Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

Microsoft nous la jouent à nouveau façon Big Brother et il est possible que les dernières nouvelles vous fassent froid dans le dos ! Vous vous souvenez de l’épisode flippant de Black Mirror où les gens avaient une puce derrière l’oreille qui enregistrait tout ? Et bien dites-vous que c’est en train de devenir réalité, sauf que c’est sur nos ordis !

Lors de la conférence Build de lundi, Microsoft a révélé une nouvelle feature alimentée par l’IA appelée « Recall » qui permettra aux utilisateurs de Windows 11 de rechercher et récupérer leurs activités passées sur leur PC. Concrètement, Recall va enregistrer tout ce que vous faites : les applications que vous utilisez, vos communications en réunion, vos recherches web, tout ! Soi-disant pour vous permettre de retrouver facilement un truc que vous avez fait il y a 3 mois. Mais bon, de prime abord ça pue un peu le cramé côté vie privée…

Recall prend des images de votre écran toutes les quelques secondes, les chiffre et les stocke sur votre disque dur. Vous pourrez ensuite les retrouver via une recherche ou une timeline. Ça scannera même vos réunions en ligne pour les retranscrire et les traduire grâce à une fonctionnalité alimentée par l’IA. Pratique ? Peut-être. Flippant ? Carrément !

Imaginez que quelqu’un accède à votre session Windows et fouille dans votre historique Recall. Il pourra voir TOUT ce que vous faites, même les trucs pas très catholiques ^^… Évidemment, Microsoft jure que les données restent en local (pour le moment ?) et sont chiffrées et heureusement, il y aura des options pour mettre en pause ou supprimer des contenus.

Plus précisément, Microsoft précise que les captures d’écran sont uniquement liées à un profil utilisateur spécifique et ne sont pas partagées avec d’autres utilisateurs ni utilisées par Microsoft pour des publicités ciblées (pour le moment ?). Recall ne prendra pas de captures des sessions de navigation InPrivate dans Microsoft Edge ou des contenus protégés par DRM mais ne cachera pas les informations sensibles comme les mots de passe.

Si vous voulez quand même utiliser cette fonctionnalité, il faudra acheter un « Copilot+ PC », les seuls capables de faire tourner ce truc. Et il faudra aussi avoir de la place sur le disque, au moins 256 Go dont 50 Go pour Recall.

Mais attendez moussaillons, ce n’est pas fini ! Sur les Mac, ça s’y met aussi avec Recall Memory ! Ce n’est pas un outil officiel Apple, mais comme son nom l’indique très subtilement, il enregistre aussi ce que vous faites pour la « mémoriser ». Il capture l’écran actif chaque seconde, mais ne stocke que les changements significatifs, sûrement pour ne pas exploser le disque dur.

Et comme chez Microsoft, les dev de cet outil jurent que les données resteront sur votre Mac, chiffrée et jamais uploadées. Vous contrôlez quelles applications sont capturées et combien de données sont sauvegardées. De plus, les sessions de navigation privée sur Safari et Chrome sont automatiquement ignorées.

En bref, ces nouvelles fonctionnalités rappellent un peu la Timeline de Windows 10, mais en 1000 fois plus intrusif. Il y a bien des systèmes de favoris, de recherche et de contrôle de ce qui est capturé. Alors oui, il y a des garde-fous, des promesses de confidentialité, de chiffrement, de données qui restent locales, mais comme je le disais en intro, je ne peux pas m’empêcher de penser à cet épisode de Black Mirror (S01E03) où le mec devient parano et pète un câble parce qu’il peut voir les souvenirs de sa femme.Pour rappel, cet épisode montre une société où une technologie permet d’enregistrer tout ce qu’un individu voit et entend, et où ces souvenirs deviennent sources de paranoïa.

On n’en est pas encore là, mais ça y ressemble de plus en plus…

Après, je ne dis pas, ça peut être pratique pour retrouver un truc qu’on a vu il y a longtemps, ou pour les personnes qui ont des trous de mémoire, mais je trouve ça assez risqué comme truc… Puis la place que ça prend sur le disque dur… mdr.

Source

@  — 

Vous l’ignorez peut-être mais le web que nous connaissons et aimons est en réalité d’une nature bien plus éphémère qu’il n’y paraît, car derrière cette apparente stabilité se cache une menace insidieuse qui ronge lentement mais sûrement notre précieux patrimoine numérique : le redoutable déclin numérique !

Selon une étude approfondie menée par le Pew Research Center, c’est près de 38% des pages web qui existaient en 2013 qui se sont volatilisées dans les limbes du cyberespace en l’espace d’une décennie. Une conclusion formulée après avoir examiné un échantillon représentatif de pages web provenant des archives de Common Crawl pour chaque année de 2013 à 2023. Et ce triste sort est partagé par un quart des pages publiées entre 2013 et 2023, qui se retrouvent aujourd’hui inaccessibles, leur contenu perdu à tout jamais… snif…

C’est vrai que le web est en perpétuelle mutation. Les sites changent d’adresse, les serveurs rendent l’âme, les hébergeurs mettent la clé sous la porte… et les dégâts ne s’arrêtent pas là puisque cette cyber gangrène s’attaque aussi aux liens. Telles les routes d’un royaume oublié envahies par les mauvaises herbes, on estime que 23% des liens présents sur les sites d’actualités et 21% sur les sites de gouvernements mènent aujourd’hui vers des destinations disparues, avalées par le temps. Des pages uniques ont été supprimées ou déplacées, mais parfois, c’est le site entier qui disparaît.

Même Wikipédia, pourtant réputée pour la qualité de ses sources, n’est pas épargnée. En effet, 54% des articles de l’encyclopédie collaborative ont au moins une référence qui pointe vers une page aux abonnés absents. De quoi faire trembler les fondations du temple du savoir !

Quant aux réseaux sociaux, c’est encore pire. Sur Twitter (devenu X, merci Elon pour ce nom de merde !), près de 20% des tweets disparaissent dans les mois qui suivent leur publication. Cette volatilité est encore plus marquée pour les tweets en langues turque ou arabe, dont plus de 40% disparaissent dans les trois mois. Sur Twitter, les comptes utilisant les paramètres de profil par défaut sont également plus susceptibles de voir leurs tweets supprimés. Plus de 60% des tweets non visibles étaient dûs à des comptes rendus privés, suspendus ou supprimés, et 40% étaient des tweets individuels supprimés par leurs auteurs.

Face à cette hémorragie de données, la fondation Internet Archive et son célèbre site Wayback Machine, s’échinent à sauvegarder des pans entiers du web avant qu’il ne soit trop tard… mais il faudra davantage d’efforts et d’imagination. car le web croît à une vitesse prodigieuse, et la préservation de ce patrimoine immatériel de l’humanité reste un défi de taille.

En attendant de trouver la solution miracle, pensez à sauvegarder régulièrement vos sites et vos contenus favoris, faites des archives que chacun peu s’approprier, et n’hésitez pas à signaler les liens morts à leurs propriétaires ! Car le web est notre bien commun et nous devons le protéger des ravages du temps. Perso, j’avoue, je supprime automatiquement mes tweets au bout de quelques mois mais en ce qui concerne les archives de mon site, rares sont les pages qui ont disparu… J’essaye de maintenir tout ça à flot, même si j’avoue que ça me parait un peu inutile vu que beaucoup de mes vieux contenus sont périmés en terme d’information.

Source

@  — 

La bibliothèque JavaScript de visualisation de PDF développée par Mozilla, connue sous le nom de PDF.js, est au centre d’une nouvelle découverte de sécurité assez préoccupante ! Une faille dans le code de rendu des polices permet à un attaquant d’exécuter du JavaScript arbitraire simplement en ouvrant un PDF malveillant. Et attention, cela affecte toutes les applications utilisant PDF.js, y compris Firefox, certains éditeurs de code et navigateurs de fichiers. Aïe aïe aïe !

En gros, lorsque PDF.js affiche une police spéciale, il convertit la description des glyphes en instructions pour dessiner ces glyphes. Cependant, un hacker mal intentionné peut injecter son propre code dans la description de la police, résultant en l’exécution de ce code par le navigateur.

La vulnérabilité, estampillée CVE-2024-4367, repose donc sur une manipulation des commandes de rendu de polices. La commande transform utilisant fontMatrix est exploitée pour insérer du code JavaScript puis PDF.js compile dynamiquement les descriptions de polices pour optimiser les performances. Normalement, ce tableau contient uniquement des nombres, toutefois, cette faille permet d’y injecter des chaînes de caractères. Et en insérant du code JavaScript dans ce tableau, il est possible de déclencher du code lors du rendu d’une police.

Un exploit bien forgé permettrait diverses attaques telles que l’exécution de code arbitraire, le vol de données, ou même la prise de contrôle complète du système via des attaques XSS ou l’exécution de code natif. La vulnérabilité touche actuellement les versions de PDF.js inférieures à 4.2.67.

Selon les chercheurs de Codean Labs, cette vulnérabilité affecte non seulement les utilisateurs de Firefox (<126), mais également de nombreuses applications web et basées sur Electron utilisant indirectement PDF.js pour la fonctionnalité d’aperçu. Ils soulignent également que cette faille exploite une partie spécifique du code de rendu de la police, un segment que les développeurs devraient vérifier attentivement.

Bref, pensez à mettre à jour PDF.js vers une version supérieure à la 4.2.67 et à mettre à jour vos outils vers des version égales ou supérieures à Firefox 126, Firefox ESR 115.11 et Thunderbird 115.11.

Source

@  — 

Imaginez télécharger un modèle d’IA apparemment inoffensif sur une plateforme de confiance comme Hugging Face et découvrir qu’il ouvre en fait une porte dérobée permettant à des attaquants de prendre le contrôle de votre système ! C’est le risque que pose la faille critique CVE-2024-34359, découverte récemment dans le célèbre package Python llama-cpp-python.

Ce package très utilisé permet d’intégrer facilement des modèles d’IA écrits en C++ dans des projets Python. Pour cela, il utilise la bibliothèque de templates Jinja2 qui est capable de faire un rendu dynamique du HTML à partir des données. Une lib surpuissante mais potentiellement risquée si c’est mal configuré !

Et c’est justement là que le bât blesse. Le package llama-cpp-python utilise Jinja2 pour traiter les métadonnées des modèles au format .gguf, mais sans activer les protections nécessaires comme le bac à sable. Du coup, en injectant un template malicieux dans les métadonnées d’un modèle, un pirate peut exécuter du code arbitraire sur le système hôte !

Les dégâts potentiels sont énormes : vol de données, prise de contrôle totale, interruption de services… Surtout que les systèmes IA manipulent souvent des données ultra sensibles. Et vu la popularité de llama-cpp-python, l’impact est massif : plus de 6000 modèles vulnérables rien que sur Hugging Face ! Selon un article détaillé de Checkmarx, cette faille permet des attaques de la chaîne d’approvisionnement, où un acteur malveillant peut injecter du code dans un modèle téléchargé et redistribuer ce modèle compromis pour attaquer les développeurs d’IA.

Découverte par Patrick Peng (alias retro0reg), cette vulnérabilité repose comme je vous l’expliquait sur une mauvaise implémentation du moteur de templates. Cette faille de score CVSS critique de 9.7, permet l’injection de template côté serveur, conduisant à une exécution de code à distance (RCE). Un proof-of-concept a même été publié sur Hugging Face, démontrant comment un modèle compromis peut exécuter du code arbitraire lorsqu’il est chargé ou lors d’une session de chat.

Cela met en lumière un problème plus large : la sécurité des systèmes d’IA est intimement liée à celle de leur chaîne logicielle. Une vulnérabilité dans une dépendance tierce peut compromettre tout un système. Il faut donc redoubler de vigilance à tous les niveaux. Les modèles d’IA étant souvent utilisés au sein de projets critiques et manipulant des volumes importants de données sensibles, la moindre faille peut avoir des conséquences catastrophiques.

Mais rassurez-vous, une solution existe ! La version 0.2.72 de llama-cpp-python corrige le tir en ajoutant une validation des entrées et un bac à sable robuste autour de Jinja2. Si vous utilisez une version antérieure, la mise à jour est plus que recommandée.

Comment savoir si vos modèles sont touchés ? Regardez s’ils utilisent :

  • Le package llama-cpp-python en version < 0.2.72
  • Le format de fichier .gguf
  • Des templates Jinja2 dans les métadonnées

Si c’est le cas, passez immédiatement à la 0.2.72 ! Vous pouvez aussi auditer le code de vos modèles et regarder les permissions avec vos yeux de lynx.

Bref, comme d’hab, une petite faille peut vite tourner au désastre

Source

@  — 

Vous utilisez probablement le GPS tous les jours sans y penser, que ce soit sur votre smartphone, dans votre voiture ou même dans un avion. Cette technologie de positionnement par satellites, et ses cousines comme GLONASS, Galileo et Beidou, sont devenues tellement courantes qu’on en oublierait presque qu’elles sont vulnérables. Et quand je dis vulnérables, je ne parle pas d’un bug ou d’un plantage logiciel, non. Je parle de menaces bien réelles qui peuvent rendre votre GPS complètement dingue !

Vous voyez, le GPS repose sur des signaux radio ultra faibles émis par des satellites à des milliers de kilomètres. Pour vous donner une idée, c’est un peu comme si vous essayiez d’entendre quelqu’un vous chuchoter quelque chose depuis l’autre bout d’un stade pendant un concert de rock ! Autant dire que c’est le bordel pour entendre quoi que ce soit.

Du coup, pas besoin d’être un génie pour comprendre qu’il est facile de noyer le signal GPS dans un gros brouhaha radio. C’est ce qu’on appelle le brouillage. Avec quelques watts seulement, on peut rendre le GPS inutilisable dans un rayon de plusieurs kilomètres ! Pas besoin d’un doctorat en électronique, un petit bricolage fait maison peut suffire. Évidemment, c’est complètement illégal, mais ça n’empêche pas certains de s’amuser à le faire.

Mais pourquoi brouiller le GPS ? Eh bien, en cas de conflit par exemple, c’est bien pratique pour empêcher l’ennemi de savoir où il est et où tirer ses missiles et ses drones. C’est d’ailleurs ce qui se passe en ce moment autour de l’Ukraine. Des zones de brouillage apparaissent régulièrement, rendant la navigation aérienne hasardeuse.

Mais le brouillage peut aussi servir à des fins moins guerrières. Tenez, en Chine, il paraît que des boîtes de pub brouillent le GPS des drones de leurs concurrents pendant des shows aériens pour leur faire perdre le contrôle et ruiner le spectacle ! De la concurrence de haut vol, sans mauvais jeu de mots.

Et les dégâts collatéraux dans tout ça ?

Parce que mine de rien, on ne dépend pas du GPS uniquement pour savoir si on doit tourner à gauche ou à droite au prochain croisement. Les réseaux de téléphonie mobile s’en servent également pour synchroniser leurs antennes relais. Ainsi, quand le GPS déconne, c’est toute la 4G/5G qui peut partir en vrille !

Mais si vous trouvez que le brouillage c’est déjà costaud, attendez de découvrir le leurrage ! Là, on passe au niveau supérieur. Le leurrage, c’est carrément une technique qui permet d’envoyer de faux signaux GPS pour faire croire à votre récepteur qu’il est ailleurs. Un peu comme si un petit rigolo changeait les panneaux sur la route pour vous faire croire que vous allez vers le sud de la France, alors que vous roulez vers le Nord.

Alors bien sûr, générer un faux signal GPS crédible, c’est autrement plus coton que simplement brouiller la fréquence. Il faut recréer toute une constellation de satellites virtuels avec les bons timings, les bonnes orbites, cohérents entre eux. Un vrai boulot d’orfèvre ! Mais une fois que c’est au point, imaginez le potentiel de nuisance ! Vous pourriez faire atterrir un avion de ligne à côté de la piste. Téléguidez un drone militaire en territoire ennemi ou envoyer un navire s’échouer sur des récifs. Ça fait froid dans le dos…

Heureusement, il existe des parades pour durcir les récepteurs GPS contre ces attaques : Utiliser des antennes directionnelles qui filtrent les signaux ne venant pas du ciel. Analyser en détail les signaux pour repérer les incohérences et les satellites suspects. Recouper avec d’autres capteurs comme les centrales inertielles. La version militaire du GPS dispose déjà de pas mal de protections dont du chiffrement.

Mais pour le GPS grand public dans nos smartphones et nos bagnoles, on est encore loin du compte. À part quelques modèles haut de gamme, la plupart gobent à peu près tout et n’importe quoi tant que ça ressemble à un signal GPS et il va falloir que ça change, et vite !

Scott Manley, un expert en la matière que vous connaissez peut-être pour ses vidéos sur les fusées, aborde en profondeur ces questions dans une vidéo bien documentée sur le sujet. Non seulement il analyse les risques de brouillage et de leurrage, mais il examine aussi les contre-mesures possibles, comme l’utilisation d’antennes directionnelles et l’analyse détaillée des signaux pour repérer d’éventuelles incohérences. Je vous mets la vidéo ici, ça vaut le coup d’œil :

On a beau être fan des nouvelles technos qui nous rendent la vie plus facile, faut quand même garder à l’esprit qu’elles ont leurs failles et leurs limites. Ça ne veut pas dire qu’il faut revenir à la bonne vieille carte Michelin et à la boussole, mais un petit cours de rattrapage en navigation à l’ancienne, ça ne ferait pas de mal !

Perso, la prochaine fois que mon appli Waze me dira de tourner à gauche direct un lac, je me méfierai…

Source