Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Accrochez-vous bien à votre clavier parce que je vais vous parler du film le plus attendu de 2024 : The Crow, le reboot signé Rupert Sanders avec dans le rôle titre Bill Skarsgård, alias Ça le clown flippant, ainsi que la chanteuse FKA Twigs que je ne connaissais pas y’a encore 40 secondes de ça.

Alors préparez les pop-corns, enfilez votre plus beau maquillage gothique et écoutez-moi bien. L’histoire, vous la connaissez si vous avez vu le film culte de 1994 avec le regretté Brandon Lee (paix à son âme 🙏) : Eric Draven et sa fiancée Shelly se font sauvagement assassiner la veille de leur mariage. Sauf que voilà, un an après, Eric revient d’entre les morts, guidé par un mystérieux corbeau, pour accomplir sa vengeance…

Bon, le pitch de base n’a pas changé, mais Sanders nous promet une version plus sombre, plus brutale, carrément dans l’esprit d’un Taxi Driver ou des films de John Woo. Il parle même d’une « romance noire » qui explore le deuil, la perte et le voile éthéré entre la vie et la mort. Tout un programme !

Rupert Sanders aux manettes, c’est quand même le gars derrière le superbe Ghost in the Shell avec Scarlett Johansson. Alors on peut s’attendre à une claque visuelle, surtout qu’il promet une ambiance à la The Cure. Les décors brumeux de Prague et la BO mélancolique devraient retranscrire parfaitement l’univers déchirant du comic original de James O’Barr.

La bande-annonce donne clairement le ton avec un Eric Draven méconnaissable, le visage barbouillé de maquillage blanc façon Jour des Morts, qui distribue des mandales et encaisse les balles comme un surhomme. Entre deux bastons ultra-violentes, on entrevoit sa relation tragique avec Shelly, incarnée par FKA Twigs. Ses yeux de biche apeurée et sa moue de bad girl promettent une interprétation intense.

On va pas se mentir, Bill Skarsgård a clairement la lourde tâche de marcher dans les traces de Brandon Lee. Mais après avoir terrorisé une génération de gamins en Grippe-Sou (le clown dans Ça, faut suivre un peu !), nul doute que son charisme magnétique et torturé fera des étincelles. Le réalisateur insiste bien sur le fait que l’âme de Lee est toujours présente dans le film. On interprétera ça comme on voudra, hein…

Côté casting, on retrouve aussi Danny Huston, le neveu de Jack Nicholson himself.

Bon après, on a flippé un peu vu le parcours chaotique du projet durant 15 ans. Entre les réalisateurs qui se sont succédés (Stephen Norrington, F. Javier Gutiérrez, Juan Carlos Fresnadillo…), la valse des acteurs pressentis pour incarner Eric (Tom Hiddleston, Luke Evans, Nicholas Hoult, Jack Huston ou encore Jason Momoa) et la bataille judiciaire autour des droits, j’ai bien cru que le reboot ne verrait jamais le jour !

Mais cette fois, ça y est, le tournage est bouclé et le corbeau est fin prêt à déployer ses ailes le 7 juin 2024 dans les cinémas américains. On a hâte de découvrir la vision de Sanders qui s’annonce comme un véritable hommage à Brandon Lee et au comic underground de James O’Barr.

Espérons que ce reboot soit à la hauteur !

Source


Vous avez entendu parler de ces vulnérabilités dans ChatGPT et ses plugins ?

Ça n’a rien à voir avec l’article précédent, car cette fois c’est Salt Labs qui a découvert le pot aux roses et publié ça dans un article de blog où ils explique comment des affreux pouvaient accéder aux conversations privées des utilisateurs et même à leurs comptes GitHub perso, juste en exploitant des failles dans l’implémentation d’OAuth.

Bon déjà, c’est quoi OAuth ?

C’est un protocole qui permet à une appli d’accéder à vos données sur un autre site sans que vous n’ayez à filer vos identifiants. Hyper pratique mais faut pas se louper dans le code sinon ça part en sucette… Et devinez quoi ? Bah c’est exactement ce qui s’est passé avec certains plugins de ChatGPT !

Salt Labs a trouvé notamment une faille bien vicieuse dans PluginLab, un framework que plein de devs utilisent pour concevoir des plugins. En gros, un attaquant pouvait s’infiltrer dans le compte GitHub d’un utilisateur à son insu grâce au plugin AskTheCode. Comment ? Tout simplement en bidouillant la requête OAuth envoyée par le plugin pour injecter l’ID d’un autre utilisateur au lieu du sien. Vu que PluginLab ne vérifiait pas l’origine des demandes, c’était open bar !

Le pire c’est que cet ID utilisateur, c’était juste le hash SHA-1 de son email. Donc si le hacker connaissait l’email de sa victime, c’était gagné d’avance. Et comme si ça suffisait pas, y’avait carrément un endpoint de l’API PluginLab qui balançait les ID quand on lui envoyait une requête avec une adresse email. Un boulevard pour les cybercriminels !

Une fois qu’il avait chopé le précieux sésame OAuth en se faisant passer pour sa victime, l’attaquant pouvait alors se servir de ChatGPT pour fouiner dans les repos privés GitHub de sa cible. Au menu : liste des projets secrets et accès en lecture aux fichiers confidentiels, le jackpot pour voler du code proprio, des clés d’API ou d’autres données sensibles.

Mais attendez, c’est pas fini ! Salt Labs a déniché deux autres failles bien creepy. La première dans ChatGPT lui-même : un attaquant pouvait créer son propre plugin pourri et le faire valider par ChatGPT sans que l’utilisateur ait son mot à dire. Ensuite en envoyant un lien piégé il installait direct son plugin à la victime qui cliquait dessus. Ni vu ni connu le plugin malveillant aspirait alors les conversations privées sur ChatGPT.

L’autre faille concernait des plugins comme Charts by Kesem AI qui ne vérifiaient pas la destination des tokens OAuth. Du coup un hacker pouvait intercepter le lien d’authentification, mettre son propre domaine dedans et envoyer ça à sa proie. Et bam, quand le pigeon cliquait, le token OAuth partait direct dans la poche du méchant qui pouvait ensuite se servir dans le compte lié sur ChatGPT ! Un vol d’identité en 2 clics…

Bon OK, OpenAI et les dévs ont colmaté les brèches rapidos une fois prévenu par les gentils chercheurs en sécu. Mais ça calme… 😰

Salt Labs compte d’ailleurs balancer bientôt d’autres résultats de recherche flippants sur les failles dans les plugins ChatGPT. Sans parler des menaces encore plus perverses comme le vol de prompts, la manipulation des IA ou la création de malwares et de phishing à la chaîne…

Source


Oh la vache les amis, j’ai une nouvelle de dingue à vous raconter ! Vous savez, on kiffe tous nos IA assistants, genre ChatGPT et compagnie. On leur confie nos pensées les plus intimes, nos secrets les mieux gardés. Que ce soit pour des questions de santé, de couple, de taf… On se dit « pas de soucis, c’est crypté, personne ne pourra lire nos conversations privées » (oui, moi je dis « chiffré », mais vous vous dites « crypté »). Eh ben figurez-vous qu’une bande de joyeux lurons (des chercheurs en cybersécu quoi…) a trouvé une faille de ouf qui permet de déchiffrer les réponses des IA avec une précision hallucinante ! 😱

En gros, ils exploitent un truc qui s’appelle un « canal auxiliaire » (ou « side channel » pour les bilingues). C’est présent dans quasiment toutes les IA, sauf Google Gemini apparemment. Grâce à ça et à des modèles de langage spécialement entraînés, un hacker qui espionne le trafic entre vous et l’IA peut deviner le sujet de 55% des réponses interceptées, souvent au mot près. Et dans 29% des cas, c’est même du 100% correct, mot pour mot. Flippant non ?

Concrètement, imaginez que vous discutiez d’un éventuel divorce avec ChatGPT. Vous recevez une réponse du style : « Oui, il y a plusieurs aspects juridiques importants dont les couples devraient être conscients quand ils envisagent un divorce…bla bla bla » Eh ben le hacker pourra intercepter un truc comme : « Oui, il existe plusieurs considérations légales dont une personne devrait avoir connaissance lorsqu’elle envisage un divorce…« 

C’est pas exactement pareil mais le sens est là ! Pareil sur d’autres sujets sensibles. Microsoft, OpenAI et les autres se font vraiment avoir sur ce coup-là… 🙈

En fait cette faille elle vient des « tokens » utilisés par les IA pour générer leurs réponses. Pour vous la faire simple, c’est un peu comme des mots codés que seules les IA comprennent. Le souci c’est que les IA vous envoient souvent ces tokens au fur et à mesure qu’elles créent leur réponse, pour que ce soit plus fluide. Sauf que du coup, même si c’est crypté, ça crée un canal auxiliaire qui fuite des infos sur la longueur et la séquence des tokens… C’est ce que les chercheurs appellent la « séquence de longueurs de tokens ». Celle-là, on l’avait pas vu venir ! 😅

Bon vous allez me dire : c’est quoi un canal auxiliaire exactement ?

Alors c’est un moyen détourné d’obtenir des infos secrètes à partir de trucs anodins qui « fuient » du système. Ça peut être la conso électrique, le temps de traitement, le son, la lumière, les ondes… Bref, tout un tas de signaux physiques auxquels on prête pas attention. Sauf qu’en les analysant bien, des hackers malins arrivent à reconstituer des données sensibles, comme vos mots de passe, le contenu de mémoire chiffrée, des clés de chiffrement… C’est ouf ce qu’on peut faire avec ces techniques !

Après attention hein, faut quand même avoir accès au trafic réseau des victimes. Mais ça peut se faire facilement sur un Wi-Fi public, au taf ou n’importe où en fait. Et hop, on peut espionner vos conversations privées avec les IA sans que vous vous doutiez de rien…

Donc voilà, le message que j’ai envie de faire passer avec cet article c’est : Ne faites pas une confiance aveugle au chiffrement de vos conversations avec les IA ! Ça a l’air sûr comme ça, mais y a toujours des ptits malins qui trouvent des failles auxquelles personne n’avait pensé… La preuve avec ce coup de la « séquence de longueurs de tokens » ! Donc faites gaffe à ce que vous confiez aux ChatGPT et autres Claude, on sait jamais qui pourrait mettre son nez dans vos petits secrets… 😉

Allez, je vous laisse méditer là-dessus ! Si vous voulez creuser le sujet, je vous mets le lien vers l’article d’Ars Technica qui détaille bien le truc.

Prenez soin de vous et de vos données surtout ! ✌️ Peace !


Je parle beaucoup d’IA en ce moment, donc histoire de changer, je vais encore vous vous parler d’un outil « intelligent » (je vous ai bien eu ! ^^) qui cette fois va plaire à tous ceux qui veulent être plus organisés et efficaces : NotesGPT.

Cet outil permet de convertir vos notes vocales en résumés organisés et en actions claires grâce à l’intelligence artificielle. C’est un nouvel usage qui va peut-être changer la façon dont vous prenez des notes et organisez votre travail. NotesGPT est open source et repose sur une combinaison de technologies, dont Convex, Together.ai et Whisper. Ces outils permettent de générer des éléments d’action comme une todo list à partir de vos notes en quelques secondes seulement.

C’est bien sûr utilisable en ligne ici, mais pour ceux qui souhaitent déployer leur propre version de l’application, il est possible de le faire. Il vous suffit pour cela de suivre les étapes décrites sur la page Deploy Your Own du projet notesGPT sur GitHub.

L’équipe derrière NotesGPT travaille également sur une série de tâches futures pour améliorer encore l’outil. Parmi ces améliorations, on peut citer la possibilité de conserver les enregistrements pour une écoute future, d’animer le microphone pour qu’il soit synchronisé avec votre voix, de stocker les éléments d’action terminés pour les consulter ultérieurement, et bien d’autres choses encore.

Je l’ai testé et c’est assez bluffant même si après les tâches sont décrites en anglais.

Ce genre d’outils peut aider les pros, mais également les étudiants à gérer leurs notes vocales de manière plus efficace. Grâce à l’IA, on gagne encore plus de temps. Après si vous êtes septique, le mieux c’est encore de le tester par vous-même.

Merci à Lorenper


Les amis, ça y est, Malwarebytes 5.0 tout frais démoulé est dans la place ! 🎉

Après presque 5 ans depuis la dernière version majeure, les p’tits gars de chez Malwarebytes nous ont pondu une nouvelle mouture de leur célèbre outil de sécurité. Et attention, c’est du lourd ! Enfin, à première vue en tout cas…

Alors, qu’est-ce qui a changé ?

Eh bien déjà, l’interface a été totalement « reimaginée », pour reprendre leur jargon marketing. On a le droit à un nouveau dashboard tout beau tout propre, centré sur 3 widgets principaux : Sécurité (pour lancer des scans ou voir l’historique), Confidentialité en ligne (en gros pour vous refourguer leur VPN maison), et un truc nommé « Trusted Advisor » (conseiller de confiance ??).

Ce fameux « conseiller de confiance », c’est un peu la nouveauté phare de cette version.

Son but ? Vous filer des infos en temps réel sur l’état de protection de votre bécane, avec un score et des recommandations d’expert. Sur le papier, ça a l’air plutôt cool. Mais en pratique, c’est un peu limité… Le score se base essentiellement sur les réglages de Malwarebytes lui-même, genre est-ce que la protection temps réel est activée, est-ce que les mises à jour automatiques sont en place, etc. Bref, ça ne va pas chercher bien loin. Dommage !

Sinon, pas de révolution côté sécurité pure à première vue. Malwarebytes annonce que les scans devraient mieux fonctionner sur les écrans haute résolution et que l’interface sera plus véloce. Ça c’est une bonne nouvelle ! Parce que bon, sur certaines machines, les anciennes versions ça ramait pas mal… Wait & see comme on dit.

Ah et pour les réglages, y a 2-3 trucs à savoir.

Par défaut MB 5.0 envoie désormais vos stats d’utilisation et les menaces détectées au QG de la firme. Vous pouvez le désactiver dans les paramètres si ça vous chante (et je vous le conseille !). Vous pouvez aussi toujours ne pas utiliser Malwarebytes en tant que solution de sécurité principale de Windows si vous préférez laisser faire l’antivirus intégré.

Dans les nouveaux réglages intéressants, on note l’option pour scanner les rootkits (désactivée par défaut), la détection des modifications suspectes (activée) et tout un tas de notifications (activées aussi, évidemment 🙄).

Dernier point qui fâche un peu : ce satané widget VPN qu’on ne peut pas virer de l’interface ! Si vous n’êtes pas abonné à la formule « Premium Plus » de Malwarebytes, ce machin ne vous servira à rien mais il squattera quand même votre tableau de bord… C’est ballot.

Bref, vous l’aurez compris, cette version 5.0 est surtout un gros changement cosmétique. Quelques ajustements bienvenus côté technique, mais rien de vraiment révolutionnaire sous le capot apparemment. Le fameux conseiller Trusted Advisor est un peu gadget à mon humble avis. À voir si Malwarebytes va bosser dessus pour le rendre vraiment utile à l’avenir.

Comme d’habitude, si ça vous branche, c’est dispo sous Windows, Mac, iOS, et Android en cliquant ici.

Après, les premières impressions sont plutôt positives concernant la vélocité et la consommation de ressources, c’est déjà ça de pris ! Faudra creuser un peu plus pour voir si la protection est vraiment au rendez-vous face à la concurrence.

Source