Agrégateur de flux

Mozilla is prepping a new VPN service called Firefox VPN. This will protect all traffic in the browser.

Mozilla has a VPN called, Mozilla VPN. It's basically Mullvad VPN. So, what's Firefox VPN. Well, unlike Mozilla VPN, which is a systemwide protection, Firefox VPN is said to be a browser-only VPN, so it won't protect web traffic from other apps on your computer.

A few months ago, Windows Report's Venkat discovered that Mozilla began testing something called Firefox IP Protection. It was laying the foundation for Firefox VPN. This is being tested currently, and is available for few users. A new article by Windows Report says that once the VPN is available, you will see an option on the toolbar, and will be prompted to sign in to your Mozilla account to set up the VPN. This experimental VPN will route your traffic through a server located in the U.S. Things are likely to change in the future, as it is still in beta. Don't like it? You will be able to disable the feature from the browser.

Image courtesy: Windows Report

Is there a way to test Firefox VPN? The short answer is no. I enabled the browser.ipProtection.enabled flag in about:config, but it doesn't seem to do anything. I also tried searching for further VPN flags in about:config, and in about:studies, but couldn't find it in Firefox stable, beta and nightly channels on Linux and on a Windows 11 VM. After discussing this Venkat in a personal chat, I've come to the conclusion that there is no away around the Nimbus rollout, which is completely automated and randomized.

To learn more about Firefox VPN, I began looking around Bugzilla, and found a GitHub page that indicates that the IPP Add-on Activator extension that was introduced in the Firefox 143 branch, which we are on currently.

Bugzilla has several reports about IP Protection, one of which reveals a plan for a new section to manage Firefox VPN from the browser's Settings. It looks like users will be able to configure the VPN to be used on a per-site-basis, or choose to encrypt all traffic in Firefox, except for some that you may blacklist. There are plans to set the VPN to auto-start with the session, or only turn it on in Private Browsing mode.

The "upgrade to Mozilla VPN" option is also interesting, which all but confirms that Firefox VPN will be free.

Here's another listing that showcases the site management panel for Firefox VPN.

It will surely have some restrictions such as data limits, fewer server locations, compared to Mozilla's VPN. Mozilla wants Firefox to become "the best VPN-integrated browser on the market". As for its privacy policy, Firefox VPN will collect some technical data, including the connection quality, bandwidth usage for improving its service. It will not log your browsing history. I wouldn't be surprised if this is some sort of collaboration with Mullvad.

Opera, Microsoft, Brave, and even Vivaldi (Proton VPN) have a built-in VPN. Why not Firefox? It shouldn't be a problem as long as it is optional.

What do you think?

Thank you for being a Ghacks reader. The post Mozilla is testing Firefox VPN, a browser-only free VPN appeared first on gHacks Technology News.

Y’a plein de problème avec les IA, mais y’en a un encore un peu trop sous-estimé par les vibe codeurs que vous êtes… Ce problème, c’est qu’on leur fait confiance comme à un collègue, on leur montre notre code, nos repos privés, nos petits secrets bien planqués dans les variables d’environnement…

Par exemple, quand vous passez en revue une pull request sur GitHub, vous faites quoi ? Vous lisez le code ligne par ligne, vous cherchez les bugs, les failles de sécu, les optimisations possibles. Mais les commentaires vous les lisez ? Au mieux on les survole, c’est vrai, car c’est de la comm’ entre devs, et pas du code exécutable.

Sauf pour bien sûr pour Copilot Chat pour qui un commentaire c’est un texte comme un autre. Et selon Omer Mayraz , chercheur en sécurité chez Legit Security, c’est exactement ce qui en fait une zone de confiance aveugle parfaite pour une attaque.

Ce qu’a découvert Omer Mayraz c’est donc une vulnérabilité critique dans GitHub Copilot Chat avec un score CVSS de 9.6 sur 10. Cela consiste à planquer des instructions malveillantes dans des commentaires markdown invisibles comme ça, ces commentaires ne s’affichent pas dans l’interface web de GitHub, mais Copilot Chat les voit parfaitement et les traite comme des prompts légitimes.

Du coup, l’attaquant peut forcer Copilot à chercher des secrets dans vos repos privés, à extraire du code source confidentiel, voire à dénicher des descriptions de vulnérabilités zero-day non publiées. Tout ça sans que vous ne voyiez rien venir évidemment !

Voici une démo complète de l’attaque en vidéo :

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un <a href="/camoleak-github-copilot-vulnerability-prompt-injection/camoleak-github-copilot-vulnerability-prompt-injection-1.mp4">lien vers la vidéo</a>.

La première étape c’est donc l’injection de prompt via un commentaire caché. Rien de révolutionnaire, mais efficace. Ensuite, deuxième étape : le bypass de la Content Security Policy de GitHub. Normalement, Copilot Chat ne peut charger que des ressources depuis des domaines appartenant à GitHub. Il est donc impossible d’envoyer des données vers un serveur externe.

Mais c’était sans compter sur le fait que GitHub dispose d’un proxy appelé Camo, conçu à l’origine pour sécuriser l’affichage d’images externes en les servant via HTTPS et en évitant le tracking. C’est donc ce proxy de sécurité qui devient l’outil d’exfiltration. Avec ce proxy, toutes les URLs d’images externes sont automatiquement transformées en URLs Camo du type https://camo.githubusercontent.com/[hash unique] et Mayraz a simplement utilisé l’API GitHub pour pré-générer un dictionnaire complet de ces URLs Camo, chacune pointant vers un emplacement unique sur son serveur.

Troisième étape, l’exfiltration des données. Au lieu de faire passer les secrets directement dans les URLs (trop visible), Mayraz a eu l’idée d’utiliser l’ordre des requêtes. Chaque lettre de l’alphabet correspond à une URL Camo unique. En faisant charger ces URLs dans un ordre précis, on peut ainsi transmettre des données texte comme avec un alphabet ASCII artisanal. C’est plutôt créatif comme approche, je trouve.

C’est exactement le même principe que les attaques ultrasoniques contre Alexa ou Siri. Si vous ne vous en souvenez pas, des chercheurs avaient démontré qu’on pouvait envoyer des commandes vocales à des fréquences inaudibles pour l’oreille humaine, mais parfaitement comprises par les assistants vocaux.

Bah ici, c’est pareil… On a des prompts invisibles pour les humains mais que l’IA voit et exécute sans broncher. Comme pour les enceintes, on parle à la machine sans que l’humain ne s’en aperçoive et la différence, c’est qu’au lieu de jouer sur les fréquences sonores, on joue sur le markdown et les commentaires cachés.

Du coup, chaque pull request externe est un potentiel cheval de Troie. Un contributeur externe soumet par exemple une PR apparemment légitime, avec un commentaire invisible qui ordonne à Copilot de chercher “AWS_KEY” dans vos repos privés. Vous de votre côté, vous ouvrez la PR dans votre éditeur, Copilot Chat s’active bien sûr automatiquement, et hop, vos clés API partent chez l’attaquant.

Quand on sait que GitHub a créé Camo justement pour améliorer la sécurité, ça fout un peu les boules. Bref, grâce à son proof-of-concept, Mayraz a réussi à exfiltrer des clés AWS, des tokens de sécurité, et même la description complète d’une vulnérabilité zero-day stockée dans une issue privée d’une organisation et tout ça sans aucune interaction suspecte visible par la victime.

Heureusement, notre joyeux chercheur a prévenu GitHub qui a réagi assez vite. Le 14 août l’entreprise a complètement désactivé le rendu d’images dans Copilot Chat, comme ça plus d’images, plus de problème. C’est radical, c’est sûr mais c’est efficace !

Quoiqu’il en soit, ces histoires de prompt injection c’est un problème fondamental propre aux LLM qui sont encore actuellement incapable de distinguer de manière fiable les instructions légitimes des instructions malveillantes. Ça reste donc un problème de confiance…

Dans ce cas prévis, on fait confiance à GitHub pour héberger notre code du coup, on fait confiance à Copilot pour nous aider à développer, tout comme on fait confiance aux contributeurs externes pour soumettre des PR de bonne foi. Et nous voilà avec une jolie chaîne de confiance prête à être exploitée…

Bref, CamoLeak c’est que le début de cette nouvelle vague de vuln liées aux assistants IA qui se retrouvent intégrés dans nos outils de développement… Donc ouvrez l’oeil car on ne sait jamais ce qui sa cache vraiment dans une pull request.

Source

Vous venez de claquer plusieurs milliers d’euros dans une solution antivirus dernier cri pour votre boîte car le commercial vous a convaincu avec du machine learning, de l’IA comportementale, du threat hunting prédictif et j’en passe…

Cool story ! Mais si je vous disais qu’un petit exécutable open source gratuit peut potentiellement passer à travers ? Ce programme s’appelle al-khaser et je vous assure qu’il va vous faire déchanter, car ce truc, c’est le détecteur de mensonges des solutions de cybersécurité.

Al-khaser est outil qui ne fait rien de méchant en soi… C’est ce qu’on appelle un PoC, un “proof of concept” avec de bonnes intentions car il rassemble dans un seul programme toutes les techniques que les vrais malwares utilisent pour se planquer tels que la détection de machines virtuelles, le contournement des débogueurs, l’échappement aux sandbox, et j’en passe.

Comme ça, si votre antivirus ne détecte pas al-khaser, il y a de bonnes chances qu’il rate aussi les vraies menaces qui utilisent les mêmes techniques.

Faut dire que les éditeurs d’antivirus et d’EDR adorent nous vendre leurs nouvelles fonctionnalités IA de fou alors que certaines de leurs solutions ne détectent même pas des techniques pourtant connues depuis longtemps.

Al-khaser met donc tout ça en lumière de façon assez brutale en enchaînant des dizaines de vérifications. Par exemple, il va regarder si votre processeur a vraiment le bon nombre de cœurs ou si c’est une simulation. Il va checker l’adresse MAC de votre carte réseau pour voir si elle correspond à un hyperviseur VMware ou VirtualBox. Il va mesurer le temps d’exécution de certaines opérations pour détecter si le système est accéléré artificiellement, comme dans une sandbox d’analyse. Il va même tester des API Windows classiques comme IsDebuggerPresent ou CheckRemoteDebuggerPresent pour voir si quelqu’un espionne son exécution.

Maintenant si vous voulez tester les protections anti-debug de votre système, vous tapez :

al-khaser.exe –check DEBUG –sleep 30

Oui si vous voulez voir si votre virtualisation VMware ou QEMU est bien masquée :

al-khaser.exe –check VMWARE –check QEMU

Bien sûr, ces techniques ne sortent pas de nulle part car elles sont documentées depuis des années notamment dans ce référentiel dont je vous déjà parlé .

Les équipes de pentest et les red teams adorent al-khaser car ça leur permet de montrer aux décideurs que leur gros investissement en cybersécurité n’est peut-être pas aussi solide qu’ils le pensaient. Vous lancez l’outil un vendredi après-midi dans un environnement de test, et vous voyez instantanément ce que votre EDR détecte ou pas.

Voilà, une fois encore, rassurez-vous, al-khaser ne fait rien de malveillant… Il ne vole pas de données, ne chiffre pas vos fichiers, ne lance pas de ransomware mais se contente juste de lever la main et de dire “hé ho, je suis là, regardez moi, je fais plein de des trucs louches !!”.

Bien sûr, ne lancez pas al-khaser sur n’importe quelle machine car c’est un outil de test qui doit rester dans un environnement contrôlé. Si vous le lancez sur le réseau de prod sans prévenir votre équipe sécu, vous allez déclencher des alertes partout et recevoir des appels pas très sympathiques. Et surtout, juridiquement, vous devez avoir l’autorisation du propriétaire de l’infrastructure, sinon, vous risquez de gros ennuis.

Ce projet est open source, écrit essentiellement en C++, et disponible sur GitHub . Y’a plus qu’à vous monter une VM isolée, récupérer al-khaser, et voir ce que ça donne.

Le salon professionnel annuel du World Travel Market (WTM) de Londres est un must de l'industrie mondiale du tourisme.
A lire ou relire :
Hôtel Whistler : fluidité et fidélisation au cœur de la performance
Étude de cas – Hôtel Whistler : Medialog x Experience, une gestion fluide et des clients fidèles.
Une immersion élégante au cœur de Paris Niché entre deux des plus grandes gares parisiennes, l'Hôtel (...)

Renseignements & inscription : (...)

- Agenda / WTM, Londres, salon, conférence

Last month, Vivaldi was updated to 7.6 on desktop. Now, the mobile versions have been updated, Vivaldi 7.6 for iOS brings several new features, including a Reader View, and a Tab Stack Pane.

When you are on a web page, tap on the Reader View button in the address bar to view a distraction-free version of the page. It offers a few customization options such as changing the theme (light, dark, sepia, high-contrast black), a brightness slider, options to switch between Sans Serif, Serif or Monospace font, and adjust the text size using the + and - buttons.

Note: You can disable Reader View from the Settings > Content Settings.

Vivaldi comes with a bunch of search engines by default. The latest update adds an option to use custom search engines, so you can add Kagi, Qwant, or anything that you prefer. Go to Settings > Search > Add Search Engine.

For example, you can add Qwant like this: https://www.qwant.com/?q=%s or Kagi using: https://kagi.com/search?q=%s. Give it a nickname to access it quickly, usually this is done automatically. The app also picks up the search engine's icon, and adds it to your list. Tap on an existing search engine to edit its options.

Vivaldi's Tab Switcher is now home to a new button, the Tab Stack Pane. Tapping on it allows you to view a list of all your Tab Stacks. You can now add a tab to a stack quickly, by long pressing on a link, and selecting the Add to Stack option.

Long pressing on URLs also displays a preview of the linked page, without leaving the current page, right inside that compact pop-up. It does temporarily blank the background tab, possibly for readability. Link previews can be disabled from the Settings > Content Settings.

Vivaldi 7.6 for Android update adds a new feature. You can create bookmark folders quickly, by choosing to create a new folder when you save a bookmark.

Download Vivaldi 7.6 for iOS from the App Store, and the Android version from the Play Store. The announcement for the update is available on Vivaldi's blog.

Which of these new features do you like?

Thank you for being a Ghacks reader. The post Vivaldi for iOS gets Reader View, Tab Stack Pane, Link Previews, Custom Search Engines appeared first on gHacks Technology News.

Une nouvelle marque qui vient étoffer le portefeuille d'enseignes du leader français de la restauration en franchise.
Bertrand Franchise annonce le déploiement de Meatpack Steakhouse, sa toute nouvelle enseigne avec une vision affirmée : faire de la viande la véritable star de l'assiette. L'ouverture de ce concept inédit envoie un signal fort : dans un contexte où le secteur de la restauration subit de profondes transformations, le leader multi-segments de la restauration en France témoigne de sa (...)

- Communiqué de presse / Groupe Bertrand, restauration, marque, Meatpack Steakhouse

De janvier à septembre 2025, le pays a accueilli 7 099 237 touristes internationaux, soit 45 % de plus que sur la même période de l'année précédente. En neuf mois, le Brésil a déjà dépassé l'objectif annuel fixé pour l'ensemble de 2025.
Entre janvier et septembre 2025, 7,1 millions de visiteurs étrangers se sont rendus au Brésil. Ce chiffre représente une hausse de 45 % par rapport à 2024 et constitue un record historique pour le tourisme brésilien.
Rien qu'en septembre, le pays a reçu 570 934 visiteurs, le (...)

- Communiqué de presse / Brésil, tourisme

La 11e édition des Universités du Tourisme Durable (UTD) a réuni à Angers, ce 9 octobre 2025, près de 600 professionnels du tourisme venus de tous horizons et de toute la France autour de la thématique transversale « Le Vivant ». Une journée d'échanges intenses organisée par l'association Acteurs du Tourisme Durable (ATD) autour de convictions partagées : le développement durable du tourisme est possible dans tous les métiers du secteur et c'est grâce à l'engagement collectif que la transition se poursuivra. (...)

- Communiqué de presse / université, tourisme, durable

Vous vous souvenez de FCKGW-RHQQ2-YXRKT-8TG6W-2B7Q8 ?

Si vous avez touché à un PC entre 2001 et 2005, y’a des chances que oui ! C’était LA clé magique qui activait Windows XP sans broncher, celle qui circulait sur tous les forums, qui était sur tous les CD gravés, et toutes les installations pirates de la planète ! Dave Plummer, le gars qui a créé le Gestionnaire des tâches et le système d’activation de produits Windows chez Microsoft, vient de raconter sur son compte X toute l’histoire et c’est un régal à lire !

Déjà, pour les djeuns qui n’ont pas connu cette époque bénie, je vais vous donner un peu de contexte… Windows XP est sorti en octobre 2001 avec un super système d’activation antipiratage. E n gros, vous installiez le système, vous tapiez votre clé produit, et normalement ça vérifiait que vous n’utilisiez pas la même clé sur 50 machines. Sauf que FCKGW, elle, passait partout…. Des installations illimitées, aucune vérification, aucun blocage. Bref, le saint Graal du piratage Windows.

Et pendant des années, personne ne savait vraiment d’où elle venait. Une fuite ? Un employé de Microsoft rebelle ? Un hack génial ? Hé bien selon Dave Plummer, la vérité est à la fois plus simple et plus embarrassante pour Microsoft. En fait, cette clé, c’était une VLK, c’est à dire une Volume License Key. Les VLK ce sont des clés qui étaient faites pour les grandes entreprises qui devaient installer Windows sur des centaines de machines sans se taper l’activation à chaque fois. Microsoft les whitelistait directement dans le code d’activation de l’OS pour qu’elles passent sans contrôle.

Le problème, ou plutôt le GROS FUCKING PROBLEME, c’est que FCKGW a fuité seulement 5 petites semaines AVANT la sortie officielle de Windows XP. Oups la boulette !

C’est le groupe warez devils0wn a mis la main dessus et l’a balancée dans la nature et comme elle était whitelistée, Microsoft ne pouvait pas la désactiver sans casser toutes les installations légitimes des entreprises qui l’utilisaient. Du coup, bah y’avait plus rien à faire et ils ont laissé comme ça…

Dave Plummer explique que ça a été l’un des plus gros échecs de sécurité de Microsoft… la clé a circulé pendant des années, installée sur des millions de machines à travers le monde. Vous alliez chez un pote pour “réparer son PC”, vous sortiez votre CD Windows XP gravé, vous tapiez la FCKGW, et hop, il avait une installation propre et activée. Pas besoin de crack ni de keygen douteux. C’était royal !

Le truc marrant, c’est que pas mal de monde connaissait cette clé par cœur. Perso, j’ai pas été loin non plus de savoir la réciter par cœur les yeux fermés, à force de la taper. FCKGW-RHQQ2-YXRKT-8TG6W-2B7Q8 est gravée dans la mémoire collective de toute une génération de bidouilleurs PC, au même titre que les codes de GTA ou que la mélodie du modem 56k.

Voilà pour cette jolie histoire… Aujourd’hui, Windows XP n’est plus supporté depuis 2014, et cette clé ne sert plus à rien et Microsoft s’en fout d’ailleurs probablement. Mais 20 ans plus tard, on s’en souvient encore et c’est devenu un fail légendaire de plus dans l’histoire de l’informatique !

Source

Vous faites du pentest, de la recherche en sécu ou vous êtes juste un curieux qui aime bidouiller des environnements de test ? Dans ce cas, il faut absolument que vous vous montiez un lab cybersécurité ! Mais c’est vai que c’est souvent la galère… Y’a Active Directory à configurer, des VMs Windows à déployer, des réseaux isolés à créer, tout ça manuellement… Ça prend des heures, voire des jours. Heureusement, Ludus règle le problème ! Vous décrivez ce que vous voulez dans un fichier YAML, vous tapez une commande, et hop, votre lab est prêt.

Ludus , c’est donc un système d’automatisation open-source qui tourne sur Proxmox. Vous définissez votre environnement de test (ce qu’ils appellent un “range”) dans un fichier de config, et Ludus s’occupe de tout déployer. Active Directory, machines Windows avec Office et Chocolatey, réseaux isolés, firewall rules personnalisées, DNS interne… Tout ce qu’il faut pour un lab de red team, blue team ou purple team.

Le truc cool, c’est que Ludus utilise Packer et Ansible en arrière-plan. Les templates sont construits à partir d’ISOs vérifiées, et tout est déployé de manière reproductible. Comme ça si vous voulez 255 VLANs, pas de souci. Si vous avez besoin de règles firewall custom ou de définir rôles Ansible pour configurer vos machines, c’est fastoche. Bref, Ludus vous laisse faire du high-level en YAML tout en gérant la complexité technique pour vous.

L’isolation est également bien pensée. Vous pouvez couper vos VMs d’internet, prendre des snapshots avant de leur autoriser l’accès, et ne whitelister que les domaines ou IPs spécifiques dont vous avez besoin. Du coup, pas de télémétrie qui fuit, pas de mises à jour Windows qui cassent votre environnement de test. Vous contrôlez tout !

Pour l’accès, Ludus intègre un serveur WireGuard ce qui vous permettra de vous connecter depuis n’importe où via SSH, RDP, VNC ou KasmVNC. Pratique si vous voulez accéder à votre lab depuis l’extérieur sans exposer vos machines de test sur internet.

Techniquement, ça tourne uniquement sur Debian 12/13 avec Proxmox 8/9. Il vous faudra au minimum 32GB de RAM par range (environnement de test), 200GB de stockage initial plus 50GB par range supplémentaire, et un CPU x86_64 avec un score Passmark au-dessus de 6000. C’est des specs correctes, mais pas non plus délirant si vous montez un serveur dédié pour ça.

Après une fois que c’est en place, le workflow pour les utilisateurs est assez simple. Vous récupérez une clé API et une config WireGuard auprès de l’admin du serveur Ludus, vous installez le client Ludus, vous importez votre VPN, et vous pouvez gérer votre range via la ligne de commande.

Le projet est sous licence AGPLv3, donc full open-source et comme d’hab, le code est sur GitHub . C’est en train de devenir un outil de référence dans la communauté sécu pour qui veut des environnements de test reproductibles.

Bref, si vous en avez marre de passer des heures à configurer vos labs à la main, pensez à Ludus ! Un fichier YAML, une commande vite fait, et votre infrastructure de test est toute prête ! Après, vous pouvez toujours aller bidouiller manuellement dans Proxmox si besoin, Ludus ne vous en empêchera pas, mais pour le gros du boulot chiant, il automatisera tout.

Ah et la documentation est ici !

Canonical has released Ubuntu 25.10 Questing Quokka. There are a couple of important changes in this release.

Ubuntu 25.10 comes with the GNOME 49 desktop environment, making Wayland session the only option available for users. It does not support X11/Xorg sessions. Ubuntu 25.10 ships with Linux kernel 6.17, based on 6.17-RC7. It includes Mesa 25.2.3 drivers with support for Intel Core Ultra Xe3 integrated Intel Arc graphics, and Intel Arc Pro B50 and B60 “Battlemage” discrete GPUs.

The proprietary Nvidia driver now supports Suspend-resume by default, in order to reduct freezes and corruption when waking up from sleep. Fractional scaling has been improved to reduce blur. Ubuntu's default monospace font size has been reduced to match the UI font size in terminals and similar apps.

The update changes some default apps. Ptyxis terminal emulator is now the default terminal, replacing the GNOME Terminal. Loupe image viewer replaces the Eye of GNOME as the default image viewer. Ubuntu now uses sudo-rs, which is a new Rust implementation of the sudo tool. The initramfs-tool has been replaced by Dracut, which uses sytemd, for the default initial ramdisk infrastructure. It supports new features such as Bluetooth and NVM Express over Fabrics (NVMe-oF). Chrony is the new default time-daemon in Ubuntu 25.10, replacing systemd-timesyncd, and uses the Ubuntu Network Time Security (NTS) servers by default. Apps can be set to auto-start at boot from the Settings > Apps.

Images courtesy: Canonical Blog

Ubuntu's Software Updater window will not pop up or steal the keyboard focus, when system updates are available. The OS will display a notification, that has options to open the Software Updater or to install all updates directly.

An icon in the system tray reminds you that updates are available even after dismissing the notification. It also provides a quick way to apply all the updates or inspect them in the Software Updater. Ubuntu 25.10 brings experimental support for TPM-backed Full Disk Encryption (FDE), for added security.

Ubuntu 25.10 Ubuntu 25.10 will receive updates for 9 months, until July 2026. You can download it from the official website. If you want more technical details about Ubuntu 25.10, please refer to the Questing Quokka release notes on Ubuntu Discourse.

Here are the system requirements for Ubuntu 25.10

• 2 GHz dual-core processor or better
• 4 GB system memory
• 25 GB of free hard drive space
• Either a USB port or a DVD drive for the installer media

Canonical also confirmed that Ubuntu 26.04 LTS is called Resolute Raccoon.

Windows 10 will reach end of support in 5 days from now. If your computer cannot be upgraded to Windows 11, you can try Ubuntu, Linux Mint, Fedora or any distro that you want.

Thank you for being a Ghacks reader. The post Ubuntu 25.10 Questing Quokka is now available appeared first on gHacks Technology News.

Over the past few years, it has managed to captivate users with ChatGPT, but OpenAI has bigger plans. It wants to create an operating system with ChatGPT at its heart.

Nick Turley, the head of ChatGPT, told TechCrunch that he believes that the company is inspired by browsers, to create an OS. He says that browsers have become the primary tool at the workplace because of web apps. Turley isn't the first one to compare browsers with an operating system. In fact, a couple of browsers were already designed like that, Arc Browser and Dia Browser. The Browser Company's CEO, Josh Miller, had the same idea as Turley.

It's worth noting that back in April this year, Turley had told a U.S. court that OpenAI would be interested in buying Chrome, if Google were to be forced to sell it. A couple of months later, rumors began circling that OpenAI was building its own AI browser to rival Perplexity's Comet browser. Turley did not confirm the rumors, nor did he deny it, but believes that ChatGPT will evolve into a platform with various apps.

AI-powered is advancing rapidly. In September, OpenAI had added shopping capabilities in ChatGPT, allowing users to buy products from Etsy, and Shopify (coming soon). OpenAI launched apps in ChatGPT earlier this week, with support for Expedia, Uber, Thumbtack, Instacart, DoorDash, Target, Booking.com, Canva, Coursera, Figma, Spotify and Zillow. These apps are available in English for all users, except those in the European Union. A couple of days ago, I reported about the Spotify app's availability in ChatGPT. A couple of days ago, Google introduced the Gemini 2.5 Computer Use model in Google AI Studio and Vertex AI.

If AI can provide and handle everything a user needs, it eliminates the need for interaction with other browsers or apps. That's sort of what OpenAI seems to think, clearly that is the motivation to create a ChatGPT operating system. Whether that is a good thing for users, and would actually serve as a replacement for Windows, Linux and macOS, is a completely different story. I feel it's a little far-fetched, and possibly difficulty to achieve, in terms of attracting users. An AI-powered browser would likely help win users over far easier than an OS. Not that I like either idea, of course.

What do you think about an AI-powered operating system?

Thank you for being a Ghacks reader. The post OpenAI wants to create a ChatGPT operating system appeared first on gHacks Technology News.

Agentic browsing is the next big thing in AI, at least when you ask the likes of Microsoft, Google, Opera, Perplexity and others. It is an integrated AI that performs tasks on behalf of the user. From research to creating Spotify playlists or, my personal favorites, buying groceries (that's irony).

While some of these tasks do not require special permissions or data, others, like making a purchase on your behalf, do. This usually requires authorization. If you want the AI to buy something from Amazon, it needs your Amazon account credentials to do just that. At other times, it may need access to API keys or one-time codes.

That is seen as a problem by some, as you have to trust the maker of the AI that the artificial intelligence won't do anything problematic with the data. There is also the chance of it being retained and then stolen, if things go really wrong.

1Password, maker of the password manager of the same name, announced a solution to the problem. According to the company's announcement, agentic browsers introduce a whole range of issues:

• No single source of truth for secrets management across agentic AI and employees
• Difficulty of revoking credentials/items, especially long-lived ones
• Proliferation of untracked/out-of-date credential grants

Secure Agentic Autofill Secure Agentic Autofill workflow (image source: 1Password)

The company calls its solution Secure Agentic Autofill. It explains: "Secure Agentic Autofill injects credentials via the 1Password Browser Extension into a browser on behalf of an AI agent only when required and always authorized by a person".

The AI never gets its virtual hands on the password, credentials, or other sensitive data under the system. Credential storage is delegated to the password manager, which will fill out the credentials on behalf of the user. 1Password says that the AI and its large language model "never need to see nor handle the credentials" to complete the workflow.

The maker of the password manager has developed a new protocol for that very purpose. Its purpose is to allow the secure requesting and delivering of credentials into the browser context. The protocol creates an end-to-end encrypted channel between the 1Password browser extension and 1Password device.

The agent has to inform 1Password that credentials are required, which 1Password then identifies. The password manager requests human approval to inject the credentials securely into the browser.

The integration is only available through Browserbase. The company operates a platform for building and running browser-based AI agents.

Closing Words

Can 1Password succeed with Secure Agentic Autofill? Much depends on adoption, preferably by bigger players. It might stay a niche feature of a password manager, especially if the likes of Google, Microsoft, or OpenAI do not throw their weight behind the protocol.

Now You: Would you hand over credentials to AI agents so that they can act on your behalf? Feel free to leave a comment down below.

Thank you for being a Ghacks reader. The post 1Password says it has a solution for AI agents leaking your passwords appeared first on gHacks Technology News.

Les grandes icônes du tourisme français confirment leur attractivité à l'échelle internationale. D'après le classement Trip.Best 2025 publié par Trip.com, neuf des attractions les plus populaires d'Europe se trouvent en France, dont quatre dans le Top 10.
Le Louvre, classé numéro 1 européen, devance la Sagrada Familia et les Musées du Vatican, tandis que la tour Eiffel, Disneyland Paris et le château de Versailles figurent également parmi les dix premiers. Ces lieux emblématiques illustrent à la fois la (...)

- Communiqué de presse / Trip.com

Aujourd'hui, Booking.com annonce le lancement de ses premières innovations d'IA agentive destinées à ses clients : Smart Messenger et Auto-Reply. Ces outils sont conçus pour rendre la communication entre le partenaire d'hébergement et le client plus rapide, rationalisée et intuitive.
S'appuyant sur la suite croissante de solutions basées sur l'IA générative de Booking.com, ces nouvelles fonctionnalités s'intègrent harmonieusement pour améliorer l'expérience de réservation des voyageurs comme des (...)

- Communiqué de presse / Booking, AI, innovation

Étude de cas – Hôtel Whistler : Medialog x Experience, une gestion fluide et des clients fidèles.
Une immersion élégante au cœur de Paris Niché entre deux des plus grandes gares parisiennes, l'Hôtel Whistler Paris invite ses hôtes à voyager dans un univers ferroviaire alliant élégance et dépaysement. Cet hôtel 4 étoiles ne cesse d'évoluer, cherchant à consolider ses acquis tout en explorant de nouvelles pistes de croissance.
Des outils technologiques au service de la performance L'Hôtel Whistler s'appuie sur (...)

- Articles sponsorisés / Medialog, Experience CRM, PMS, CRM

Peut-être que vous le connaissez déjà, mais si ce n’est pas le cas, sachez qu’il existe un site qui tracke méticuleusement toutes les apocalypses ratées ! Et actuellement et le compteur affiche fièrement 201 échecs et 0 succès. Ouf, tant mieux ! Ce site c’est le Doomsday Scoreboard de March1 Studios, et c’est un peu le panneau “X jours sans accident” des usines, mais inversé puisqu’ici on célèbre le fait que les prophètes se plantent avec la régularité d’un métronome cassé.

La dernière en date c’est l’apocalypse du 23 septembre 2025. Joshua Mhlakela, un pasteur sud-africain, avait posté des vidéos expliquant que le “Rapture” (le retour de Jésus) allait se produire ce jour-là. Les vidéos sont devenues virales sur TikTok sous le hashtag #RaptureTok, parce que bien sûr, même l’apocalypse a besoin d’influenceurs maintenant et y’a même des gens qui ont quitté leur job pour se préparer ou fait des tutos à la con du genre “5 conseils pour survivre au Rapture”.

Autant vous dire que le réveil normal du 24 septembre a dû être chelou et plein de mauvaise foi.

Mais le vrai champion toutes catégories de ces apocalypses, c’est Harold Camping. Lui il a fait 12 prédictions ratées. C’est plus que le nombre de Fast and Furious ^^ et sa prédiction la plus célèbre, sortie en mai 2011, il l’a financée avec des millions de dollars en publicité : 5000 panneaux d’affichage, 20 camping-cars sillonnant les États-Unis. Il avait calculé que c’était exactement 7000 ans après le déluge biblique, donc forcément, ça devait matcher.

Puis le 22 mai, après sa prédiction ratée, il s’est déclaré complètement débousolé ! Imaginez, vous claquez des millions pour annoncer la fin du monde, et le lendemain vous devez sortir les poubelles. Du coup pour sauver la face, il a dit “Ah non en fait c’était spirituel, la vraie c’est en octobre”. Je vous rassure, ça a foiré aussi en octobre et toutes les fois d’après.

William Miller, lui aussi c’est un autre roi du pivot stratégique. En 1843, il prédit la fin du monde devant 100 000 personnes mais bien sûr, ça a foiré “Pardon les gars, j’ai refait les calculs, c’est octobre 1844”. Et le 22 octobre 1844, toujours rien. Le résultat de ce double échec s’appelle même la Grande Déception , et honnêtement, le nom est bien trouvé. Mais Miller ne s’est pas découragé : il a juste dit que ça s’était passé au paradis, donc vous n’avez rien vu. C’est d’ailleurs de là qu’est née l’Église Adventiste.

Niveau récupération de fail, chapeau ! On dirait ces gens bizarres sur les réseaux sociaux qui repoussent chaque mois depuis 2020, leur prédiction de tous ces millions de morts provoqués à cause d’un vaccin Covid qui devait normalement joncher nos rues. Ahahaha qu’est ce qu’on se marre ^^.

Les Témoins de Jéhovah ont aussi leur propre série de ratés : 1914, 1915, 1918, 1920, 1925, 1941, 1975, 1994. La prédiction de 1925 était d’ailleurs annoncée comme plus certaine que celle de 1914 selon les Écritures. Résultat ? Entre 1925 et 1928, ils ont perdu 80% de leurs membres, déçus. La réponse officielle a été que ça avait aidé à séparer les fidèles des autres. Ça c’est du marketing de crise de champions !

En 2012 (vous vous souvenez de cette apocalypse là ?), un sondage dans 20 pays montrait que 14% des gens pensaient que le monde finirait de leur vivant. Aux États-Unis, c’était même plus de 20%. Et en 2022, 39% des Américains croyaient vivre la fin des temps. Autrement dit, 4 personnes sur 10 parient sur un cheval qui a perdu ses 201 dernières courses. Les paris sportifs sont moins risqués…

Le calendrier Maya de 2012, c’était peut-être d’ailleurs la plus grosse en termes de couverture médiatique. La fin du Grand Cycle du calendrier Maya a été interprétée comme la fin du monde avec des films catastrophe, des documentaires alarmistes, des ventes de bunkers qui explosent…etc. Puis le jour J, le 22 décembre 2012, réveil normal, café normal, métro normal. Hé oui, les Mayas n’avaient jamais dit que c’était la fin, juste que leur calendrier recommençait un nouveau cycle. Mais bon, ça fait moins de clics.

On a un peu le même truc en ce moment avec la comète 3I/ATLAS. Je vois dans Google News des tas de médias merdiques nous expliquer une fois que c’est un vaisseau alien qui ralenti pour venir nous achever, et une autre fois que le machin nous arrive droit dessus pour nous atomiser…

Et dire qu’il suffit d’aller lire 2/3 articles sérieux sur le sujet pour capter qu’on ne risque rien. Le machin va juste passer, on va lui faire coucou et on ne le reverra jamais… Breeeef, la connerie et la peur n’a pas de limites malheureusement.

Et le site Doomsday Scoreboard ne se contente pas uniquement d’archiver les échecs. Il liste aussi les apocalypses en attente. En ce moment y’a 8 prédictions pour 2025-2026. Donc 8 nouvelles chances de voir le compteur passer à 209 apocalypses ratées. Ce que j’aime bien avec ce site en tout cas, c’est qu’il transforme des annonces plutôt déprimantes en performance artistique.

Le compteur qui tourne, le total des échecs qui s’incrémente, les liens vers les sources Wikipedia pour chaque prédiction…etc. C’est à la fois un joli devoir de mémoire et une bonne blague ! En tout cas, pour le moment, c’est le seul domaine où l’humanité affiche un taux de fiabilité de 100% !

Voilà… Maintenant, rendez-vous dans 249 jours pour savoir si l’apocalypse aura lieue ou si vous devrez quand même aller bosser le lendemain.

Merci à Lilian pour le lien !

Vous connaissez ces outils qui promettent de créer des apps web juste en discutant avec une IA ? Genre Lovable, v0, Bolt, Replit…etc. C’est magique, sauf que tout tourne dans le cloud, vos données passent par leurs serveurs et vous êtes du coup enfermés dans leur écosystème.

Hé bien Dyad fait la même chose, mais un peu différemment puisque tout tourne en local sur votre machine. En plus c’est open-source et c’est gratuit.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un lien vers la vidéo.

Dyad, c’est donc un builder d’applications web piloté par IA. Vous lui expliquez ce que vous voulez, il génère le code directement chez vous sur votre machine et le truc cool, c’est qu’il vous laisse choisir votre modèle IA.

ChatGPT d’OpenAI, Gemini 2.5 Pro de Google, Claude Sonnet 4.5 d’Anthropic, prenez ce que vous voulez, vous mettez vos propres clés API et ça roule. Et si vous tenez vraiment à une vie privée totale, vous pouvez même utiliser Ollama pour faire tourner des modèles en local sans jamais que ça se connecte à internet.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un lien vers la vidéo.

Le projet est dispo sur GitHub , c’est codé en TypeScript, ça s’installe sur Mac et Windows, et y’a aucune inscription requise. Bref, vous téléchargez, vous lancez, et ça marche.

Dyad s’intègre avec Supabase pour la partie backendce qui permet d’avoir une bonne authentification, une base de données, des fonctions serveurr…etc. Tout y est, du coup vous pouvez créer des vraies apps full-stack, et pas juste des interfaces statiques comme on peut le faire avec mon petit LocalSite . Vous partez d’une idée, vous discutez avec l’IA, et vous sortez une application complète qui tourne sur votre machine en full vibe coding !

Il y a bien sûr des plans payants mais la version gratuite fait déjà le job pour du développement solo. Le créateur de Dyad s’appelle Will Chen et a même monté une communauté Reddit r/dyadbuilders où chacun montre un peu ce qu’il a fait. Ça peut vous donner des idées des capacités de cet outil.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un lien vers la vidéo.

Bref, si vous voulez jouer avec un vrai app builder IA sans dépendre du cloud et sans vendre votre âme à une plateforme propriétaire, Dyad fera très bien le job ! Vous pouvez même ensuite ouvrir les fichiers générés dans un VS Code ou Cursor si vous voulez mettre les mains dans le cambouis.

À l'image des Étoiles MICHELIN qui récompensent les restaurants d'exception, les Clefs MICHELIN mettent en lumière les hôtels les plus prestigieux au monde Les voyageurs avisés peuvent désormais accéder aux meilleurs restaurants et hôtels, et les réserver directement sur les plateformes digitales du Guide MICHELIN 2 457 hôtels se sont vu attribuer une, deux ou trois Clefs MICHELIN dans le cadre de la toute première sélection mondiale, qui récompense les meilleurs hébergements Quatre nouveaux Prix Spéciaux (...)

- Communiqué de presse / Clé Michelin, Michelin

A few days ago, Discord had revealed that one of its customer service providers had suffered a data breach. It had resulted in photos of government-ID photos being stolen by the attackers.

In its initial report, Discord had said that the hackers had gained access to "a small number" of government-ID images. However, an update to the statement says that about 70,000 photos of government-issued IDs were exposed. Sure, that's a small number.

VX Underground, which is known for its repository for malware samples for cybersecurity research, alleged that the Discord data breach was significantly larger. They claimed that attackers had targeted Zendesk, and compromised it, thus gaining access to 1.5TB of age verification related images. The total number was said to be 2.1 Million, more specifically, 2,185,151 images. This included driver licenses, passports, and may also have included an unknown number of email addresses. More importantly, the report claimed that Discord was being extorted by the attackers.

Discord has denied the data breach was so large. In a statement sent by spokesperson Nu Wexler to The Verge, Discord said that inaccurate claims are being circulated online. The company says approximately 70,000 users may have had their government-ID photos exposed. Discord also said that it would not reward those responsible for their illegal actions, meaning it would not pay the ransom.

Discord says all users who were impacted by the data breach have been notified of the attack, and that it is still investigating the matter with the help of law enforcement, security experts, and data protection authorities.

This security mishap has highlighted that age verification laws such as the U.K.'s Online Safety Act could not only pose privacy risks, but also expose user data to hacks. It only took a couple of months for hackers to gain access to a database containing images of personal identification documents, which was never supposed to exist in the first place. Discord had claimed that its support services would verify the age of users and immediately delete them, which, if it were true, would not have led to such an incident.

Thank you for being a Ghacks reader. The post Discord says the recent data breach leaked 70,000 government-ID photos appeared first on gHacks Technology News.