Agrégateur de flux

Est-ce que vous êtes déjà demandé pourquoi les soldats blessés au combat ne réalisent pas immédiatement qu’ils pissent le sang ? Ou pourquoi votre mal de dos disparaît mystérieusement quand vous êtes en retard pour un truc important ?

Hé bien des chercheurs de l’ Université de Pennsylvanie viennent de trouver l’interrupteur neuronal responsable et c’est assez dingue comme découverte, vous allez voir !

L’équipe de J. Nicholas Betley a identifié un groupe de neurones dans le tronc cérébral qui agissent comme un bouton “Ne pas déranger” pour la douleur chronique. Ces neurones, qu’on appelle Y1R, se trouvent dans une zone appelée le noyau parabrachial latéral . Un nom compliqué pour un truc très basic… en gros, votre cerveau a un système de priorisation brutal : La survie d’abord, le confort après !

Quand vous avez faim, soif ou peur, votre cerveau libère un neuropeptide appelé NPY. Ce neuropeptide vient se fixer sur les récepteurs Y1 de ces neurones du tronc cérébral, et quand ça arrive, les signaux de douleur chronique sont réduits. Pas coupés complètement, mais clairement atténués.

Votre cerveau vous dit en gros : “Écoute bonhomme, je sais que tu as mal au dos, mais là on a un problème plus urgent à gérer”.

L’équipe a utilisé pour cela l’imagerie calcique pour observer l’activité neuronale en temps réel chez des souris. Et ils ont constaté que les neurones Y1R ne réagissaient pas aux douleurs courtes et aiguës. Par contre, ils restaient actifs en continu pendant les douleurs prolongées. C’est ce qu’on appelle une activité tonique, et quand les chercheurs ont bloqué artificiellement l’activité de ces neurones, les souris ont vu leur douleur chronique diminuer.

Mais elles réagissaient toujours normalement aux dangers immédiats comme toucher une surface chaude par exemple. Le système de douleur aiguë fonctionnait toujours, mais la douleur persistante était très réduite.

Ça pourrait expliquer par exemple pourquoi vous oubliez votre migraine quand vous êtes concentré sur un truc urgent. Ou pourquoi l’adrénaline d’une situation stressante peut vous faire oublier une blessure. C’est votre cerveau qui active ce circuit sans vous demander votre avis.

Il priorise selon ses propres critères et ses critères datent de l’époque où on chassait le mammouth ^^.

Betley dit que cette découverte ouvre une nouvelle voie de traitement, car si on arrive à mesurer l’activité de ces neurones Y1R, on pourrait avoir un biomarqueur fiable de la douleur chronique. C’est un truc qui manque cruellement aux médecins et aux labos pharma car aujourd’hui, la douleur chronique se mesure surtout par ce que vous racontez. C’est subjectif, c’est très difficile à quantifier et donc très difficile à traiter.

Là, ceux qui en font des caisses en hurlant à la mort alors qu’ils n’ont presque rien devraient vite se faire repérer (coucou les footballeurs)… alors que ceux qui douillent vraiment, mais qui serrent les dents seront peut-être mieux pris en charge.

Avec ce biomarqueur neuronal, on pourrait donc objectiver la chose et développer des médicaments qui ciblent spécifiquement ces neurones, ou même explorer des thérapies comportementales qui activent naturellement ce circuit.

Par exemple, l’idée que la faim pourrait techniquement réduire la douleur chronique est plutôt drôle… J’image déjà sur Doctissimo les articles à la con : “Jeûnez pour ne plus avoir mal au dos !” alors qu’évidemment ce n’est pas si simple. Mais bon, ça montre à quel point notre cerveau fonctionne selon des priorités qu’on ne contrôle pas consciemment.

Betley et son équipe continuent évidemment leurs recherches, car ils veulent comprendre plus précisément comment ces neurones interagissent avec les autres circuits cérébraux afin de pouvoir à terme les activer de façon ciblée sans passer par la case “avoir faim, soif ou flipper sa race”.

Y’a aussi la question des traitements médicamenteux, car comme le neuropeptide Y existe déjà, on pourrait théoriquement développer des agonistes du récepteur Y1 qui imitent son action. Les premiers tests cliniques explorent des voies intranasal et intrathecal où des molécules viendraient se fixer sur ces récepteurs pour réduire la douleur chronique sans toucher à la douleur aiguë.

Ça va nous changer du doliprane ^^ !

Bref, les prochaines étapes vont être intéressantes notamment, le passage de la souris à l’humain, qui est toujours un défi.

Si vous voulez en savoir plus sur le sujet, l’article complet est disponible sur Nature .

Source

Vous payez 20 balles par mois pour que ChatGPT vous dise “bonjour” ? Vous attendez 5 secondes qu’une réponse revienne du cloud d’Anthropic ? Vous avez l’impression de louer votre intelligence artificielle comme vous louiez vos MP3 sur iTunes à la grande époque ?

Et bien j’ai une excellente nouvelle qui va vous plaire !! Il existe une extension de navigateur qui fait tourner de l’IA en local, sur votre machine, sans envoyer un seul octet dans le cloud. Ça s’appelle NativeMind et c’est du 100% local.

Vous installez l’extension sur Chrome, Firefox, Brave ou Edge, vous installez Ollama ou vous utilisez WebLLM directement dans le navigateur. Ensuite, vous téléchargez un modèle (DeepSeek, Qwen, Llama, ce que vous voulez) et c’est tout. Vous avez maintenant votre IA personnelle qui tourne sur votre laptop sans rien demander à personne, et accessible directement sur votre navigateur.

Le projet est open-source sous licence AGPL v3.0 et NativeMind supporte deux backends : Ollama, qui est recommandé si vous voulez de vraies performances et un contrôle total sur vos modèles ou WebLLM si vous voulez juste tester sans installer quoi que ce soit, directement dans le navigateur via WebAssembly.

Ollama c’est donc clairement la meilleure option. Vous lancez le serveur en local, il expose une API, et NativeMind s’y connecte. Vous pouvez faire tourner DeepSeek, qui est gratuit et open-source, et avoir des performances comparables à GPT-4, sans payer un centime de plus !

Vous pouvez ensuite lui demander de résumer n’importe quelle page web, de traduire un texte en gardant la mise en page intacte, d’analyser un PDF ou une image et même d’écrire pour vous !! Il est également capable de faire des tâches multi-étapes comme un agent le ferait.

Bref, tout ce que fait ChatGPT, mais sans que vos prompts partent sur les serveurs de Sam Altman.

Alors c’est moins immédiat que ChatGPT, je vous l’accorde et faut installer des trucs, mais une fois que c’est en place, vous êtes tranquille et surtout y’a pas de limite en terme de tokens ou de forfait… Puis vos données ne s’échappent pas.

Voilà, donc si vous voulez utiliser un peu d’IA pour comprendre des trucs sur des pages web, reformuler des mails que vous envoyez, générer des tweets à partir d’un contenu…etc, Nativemind est fait pour vous ! C’est largement suffisant pour des besoins d’IA classiques.

Rendez-vous sur le dépôt Github pour plus d’infos et sur le site officiel pour télécharger les extensions.

Si vous faites partie des anciens qui continuent à collectionner les liens sympa que vous trouvez sur le net, j’sais pas comment vous les gérez, mais j’ai peut-être un truc pour vous. Ça s’appelle Linkding (rien à voir avec le site rempli de teubés en costard qui parlent comme des IA nulles) et c’est un gestionnaire de bookmarks qu’on installe chez soi !

Hé oui, les champions de l’auto-hébergement, Linkding ne cherche pas à réinventer la roue… Il stocke juste vos liens, vos tags, vos notes en Markdown, et basta ! L’interface est sobre, lisible, et surtout elle ne vous balance pas des suggestions sponso à la con entre deux articles que vous vouliez lire plus tard.

Ce projet est open source sous licence MIT, et repose sur Django et SQLite. Donc c’est du solide ! SQLite pour la base de données, ça veut dire zéro configuration serveur et pas de grosse maintenance.

Vous installez le truc dans un container Docker, et ça tourne sur n’importe quoi. Ensuite, vous ajoutez un bookmark, et Linkding va automatiquement chercher le titre de la page, sa description, son icône, même une image de preview.

Autre truc cool prévu dans l’outil, c’est la possibilité de faire de l’archivage web car oui, Linkding peut créer des snapshots de chaque page que vous bookmarkez, soit en local sous forme de fichier HTML, soit via Internet Archive.

Parce que oui, il arrive parfois que les liens meurent dans d’atroces souffrances. Les sites ferment, les articles disparaissent, et dans 5 ans vous vous retrouvez avec une liste bourrée d’erreurs 404.

Alors que là, au moins, avec cet outil, vous avez une copie.

L’extension navigateur est aussi indispensable pour ajouter des bookmarks vite fait ! Elle est disponible pour Firefox et Chrome, et elle vous permet de les tagger à la volée, et même de chercher dans votre collection directement depuis la barre du navigateur. Ça ressemble un peu à ce qu’on avait avec Del.ici.ous à l’époque, en mieux.

Linkding gère aussi le multi-utilisateurs donc vous pouvez partager certains bookmarks avec d’autres personnes, ou les garder privés. C’est super pratique si vous l’installez pour toute la famille ou une petite équipe. Il y a même une API REST, donc si vous voulez automatiser des trucs ou créer vos propres outils autour, c’est possible !!

Y’a aussi une version PWA installable aussi donc vous pouvez l’ajouter à votre écran d’accueil sur mobile et l’utiliser comme une app native !

Une fois que vous y aurez goûté, difficile de revenir en arrière !

Pour tester, y’a une démo en ligne et l’installation prend moins de 10 minutes ! Ce serait dommage de s’en priver

Nouvelle collaboration gourmande pour la marque CÔTE d'AZUR FRANCE : le Château de Crémat dévoile un miel toutes fleurs récolté sur son propre rucher. Ce miel, reflet de la biodiversité florale des collines azuréennes, séduit par son goût délicat et équilibré, entre notes florales et fruitées, et par son élégant packaging illustré par l'artiste azuréen Éric Garence. Ce produit unique vient enrichir une collection 100 % azuréenne qui met en valeur l'ADN du territoire : savoir-faire, authenticité, qualité et (...)

- Communiqué de presse / Côte d'Azur, actualité

Afin de mettre en lumière ses actions en faveur de l'orientation et la valorisation de son secteur d'activité, le Campus des Métiers et des Qualifications d'Excellence Tourisme Hôtellerie Restauration des Pays de la Loire concocte un évènement de Découverte des métiers de la restauration le lundi 24 novembre 2025 au Work'in Salorges (16 quai Ernest Renaud) à Nantes.
Avec le soutien du Rectorat et de la Région, le Campus coorganise cet évènement en y associant des professionnels et des apprenants (...)

- Agenda / Nantes, école

Vous avez déjà passé plus de temps à configurer Sphinx qu’à coder votre projet Python ? Bienvenue au club !

Et oui, paradoxalement, parfois documenter son code devient plus compliqué que d’écrire le code… Vous voulez juste afficher vos docstrings joliment, mais avant ça il faut vous taper 200 pages de doc, choisir parmi 47 thèmes, configurer des dizaines d’extensions et comprendre la syntaxe reStructuredText. Breeeef, la flemme !

Heureusement, il existe une alternative qui va vous réconcilier avec la documentation : pdoc.

pdoc, c’est un outil de documentation Python qui ne nécessite pas de documentation. Vous tapez simple pdoc votre_module et c’est tout. Pas de fichier de config interminable, pas de choix existentiels entre différents builders, pas de migration depuis votre version de Sphinx de 2018 qui refuse de compiler.

Ça génère directement une belle doc à partir de votre code existant !!

Si vous avez déjà écrit des docstrings propres et utilisé les type annotations de Python, vous avez déjà fait 100% du boulot car pdoc se contente de prendre ce qui existe et de l’afficher élégamment. Pas de traduction, pas de réécriture, pas de fichiers .rst à maintenir en parallèle de votre code.

Votre code EST la documentation et ça c’est beau !

L’outil comprend les docstrings au format numpydoc et Google-style, fait des liens automatiques entre les identifiants, respecte votre variable __all__ et génère du HTML standalone que vous pouvez héberger n’importe où. Il y a même un serveur web intégré avec live reload pour développer votre doc en temps réel.

Pour mettre ça en place, faut installer pdoc avec

pip install pdoc

Puis vous lancez

pdoc ./votre_projet.py

ou

pdoc nom_de_votre_module

Et c’est tout !

Bien sûr si vous bossez sur un gros projet avec des besoins spécifiques, des guides utilisateurs complexes, des dizaines de pages de tutoriels et une doc multilingue, Sphinx reste le roi, mais pour la grande majorité des projets Python, ceux qui ont juste besoin d’une doc API claire et lisible, pdoc fait ça comme un chef, sans que vous ayez besoin d’un doctorat en outil de documentation.

Bref, si vous en avez marre de passer plus de temps sur votre documentation que sur votre code, pdoc mérite le détour car documenter son code devrait être aussi simple que de le coder, non ?

Pour tester pdoc, direction pdoc.dev ou directement le repo GitHub .

Le Fonds Tourisme Côte d'Azur* (FTCA), créé par la Caisse d'Épargne Côte d'Azur avec le soutien de la Métropole de Nice et des CCI de Nice Côte d'Azur et du Var, accompagne les fondateurs du groupe IVAZIO dans le financement de leur deuxième complexe multi-loisirs indoor, IVAZIO ISLAND Nice, qui s'implantera au cœur de l'écoquartier Joia Méridia.
Après le succès du premier site ouvert dans l'écoquartier de Bordeaux Lac (33) en décembre 2022, qui accueille près de 300 000 visiteurs annuels sur 3 700m² (...)

- Communiqué de presse / Nice, Côte d'Azur, investissement, IVAZIO

Aksaya Estates Limited a signé un accord avec Marriott International en vue de l'ouverture d'un Courtyard by Marriott à l'aéroport international Jomo Kenyatta de Nairobi.
Prévue pour 2027, cette nouvelle adresse viendra enrichir l'offre hôtelière du principal hub international du Kenya, en proposant aux voyageurs une expérience pensée pour optimiser le travail et la détente tout au long de leur séjour.
Actuellement en construction, le Courtyard by Marriott Nairobi Airport comptera environ 180 chambres (...)

- Communiqué de presse / Marriott, Kenya, Nairobi, Afrique

Avec cette transformation de grande ampleur, la marque pionnière de l'hôtellerie de luxe française célèbre un nouveau tournant de son histoire au Canada.
Sofitel, marque pionnière de l'hôtellerie de luxe française, lève aujourd'hui le voile sur la métamorphose complète du Sofitel Montréal Le Carré Doré, son adresse iconique au Canada depuis plus de vingt ans. Entièrement repensé, l'hôtel inaugure une nouvelle ère d'hôtellerie, à la fois plus luxueuse et plus authentique, alliant l'énergie créative de Montréal (...)

- Communiqué de presse / Sofitel, Accor, Montréal, rénovation

BILAN DE SAISON 2025 : 700 000 visiteurs 3e meilleure saison depuis la création du parc Parc animalier et attractions Le PAL (03 -Allier). 1er site de loisirs de la région Auvergne-Rhône-Alpes
Le PAL renouvelle son Label au niveau « Expérimenté » Premier parc à avoir atteint le niveau Expérimenté dès la création du Label, il renouvelle le 10 septembre cette reconnaissance pour deux années supplémentaires, jusqu'en septembre 2027.
Ce renouvellement est d'autant plus significatif que depuis les débuts du (...)

- Communiqué de presse / PAL, bilan

Apple Clips has been discontinued. The video editor app wasn't particularly popular among users, which probably led to it being abandoned.

The thing is, not a lot of people actually used it, some people may not have even heard about it. Apple launched Clips in April 2017, for iOS 10.3. It was designed to create videos, add effects, text, graphics to the videos, etc. You could save your work as a project, and come back to it later. The app came out during the time when Snapchat, Instagram were gaining popularity, especially for Stories.

While Clips was a decent video editor, its features were nowhere near the tool set that was offered by iMovie. Speaking of which, iMovie is available for Mac, iPhone and iPad, and is the perfect replacement for Clips. You don't even need to look for an alternative.

Anyway, the news that Clips has been discontinued is official. Macrumors reports that a support page on Apple's website mentions that The Clips app is no longer being updated. I still have it on my iPhone, and you may also have it, as it comes pre-installed with iOS.

Apple says users can continue using Clips on iOS 26 and iPadOS 26, and earlier versions of the operating systems. However, new users cannot download it, because Apple Clips is no longer available on the App Store, it was delisted on October 10, 2025.  Users are advised to save their Clips to their photo library or another location. You can import your projects to iMovie or other apps, to edit them.

The advisory to save the Clips seems to suggest a possibility that the app may disappear in future versions of iOS. That said, Apple Clips is a pretty basic video editor, you're probably not going to miss it. Use iMovie, or if you want more and have an iPad, take a look at DaVinci Resolve, which is a professional video editing suite that is free to use with a single optional in-app purchase to upgrade to the Studio version.

A lot of AI video generators are available now, and even apps like Google Photos lets you create videos from photos using AI, so that's always an option.

Did you use Apple Clips?

Thank you for being a Ghacks reader. The post Apple Clips video editor has been discontinued appeared first on gHacks Technology News.

Vous vous souvenez de ce samedi après-midi de 1995 où vous avez modifié CONFIG.SYS pour la première fois ? Les mains moites, le coeur qui bat, parce que si vous vous plantiez, Windows ne démarrait plus. L’écran bleu (le bon vieux bleu DOS hein, pas le blue screen of death), le curseur blanc qui clignote, et cette interface minimaliste où chaque caractère comptait. MS-DOS Edit.

Votre premier vrai pouvoir sur la machine !

Hé bien bonne nouvelle, Microsoft vient de le ressusciter pour de vrai, 30 ans après.

C’est fou ! L’équipe Windows Terminal annonce en effet qu’Edit est maintenant pré-installé dans Windows 11. Plus besoin de le télécharger donc… vous ouvrez votre terminal, vous tapez “edit”, et hop, vous y êtes.

230 kilo-octets seulement, comme à l’époque c’est chouette ! Et le truc marrant, c’est que Edit n’est pas juste un coup de comm nostalgique.

Non, Microsoft comble en réalité un vide qui dure depuis plus de 20 ans, car les versions 32-bit de Windows avaient MS-DOS Edit mais les versions 64-bit n’avaient rien ! Aucun éditeur en ligne de commande par défaut. Snif !

Ainsi, si vous vouliez modifier un fichier config en SSH, fallait forcement installer vim, nano, ou se débrouiller avec notepad.exe en mode graphique comme un sauvage.

Sauf que voilà, les terminaux reviennent en force ! Les devs passent leur vie dans WSL2, PowerShell est devenu cross-platform, et même les utilisateurs lambda doivent parfois mettre les mains dans un fichier texte via la ligne de commande. Finalement, après toutes ces années à vous prendre le chou avec “ouvrez un terminal” par ci, “lancez une commande” par là…etc., ça fait de moi un visionnaire ! ^^

Bon, bref, avoir un éditeur accessible et simple, qui ne nécessite pas un doctorat en raccourcis clavier vim, en 2025 ça a du sens ! D’ailleurs, MS-DOS Edit, dans les années 90, c’était la drogue douce qui menait aux drogues dures. On commençait par modifier AUTOEXEC.BAT pour optimiser notre RAM, parce qu’un jeu ne se lançait pas et deux ans plus tard on se retrouvait sous Linux à compiler un kernel à 3 heures du matin. Edit n’était pas juste un outil, c’était le Bifröst de la bidouille… le moment où on passait d’utilisateur à “celui qui comprend comment ça marche”.

Ce nouvel Edit garde donc cette philosophie avec son interface minimaliste, mais rassurez-vous sous le capot c’est du moderne. C’est écrit en Rust, c’est open-source sous licence MIT, et avec des keybindings inspirés de VS Code. Par exemple Ctrl+P pour switcher entre fichiers, Ctrl+F pour chercher… etc. Il supporte même la souris et l’unicode fonctionne.

Si ça vous dit de tester, vous pouvez l’installer via winget si vous n’êtes pas sur la dernière preview de Windows 11. Un simple “winget install Microsoft.Edit” et c’est réglé. Ensuite vous tapez “edit” dans votre terminal, ou “edit fichier.txt” pour ouvrir directement un document et voilà…

Vos enfants, ceux qui grandissent avec des interfaces tactiles, des assistants vocaux, et ChatGPT partout vont peut-être faire leurs premiers pas de bidouilleurs avec le même outil que nous à l’époque… Qui sait ?

Source

On a tellement l’habitude de tout traduire avec Google ou DeepL qu’on en oublie un truc basique. Ces outils envoient absolument tout ce que vous voulez traduire sur leurs serveurs. Message privé, photo d’un document confidentiel, ou menu de restaurant dans une langue bizarre. Tout part chez eux et tout le monde trouve ça normal.

Enfin, je pense que vous, ça vous saoule ! Heureusement, il existe Firefox Translator , une app Android qui fait de la traduction 100% offline. Texte, images, détection automatique de langue, dictionnaire intégré, tout se passe sur votre appareil. Y’a zéro requête serveur !

Techniquement, Firefox Translator utilise les modèles de traduction Bergamot développés par Mozilla. C’est la même technologie qui tourne dans Firefox sur desktop depuis quelques années. Pour l’OCR sur les images, c’est Tesseract4Android qui bosse quand à la détection de langue, elle passe par CLD2, et le dictionnaire intégré vient de Wiktionary. En plus tout est open source (sous licence GPL-3.0).

Pour vous en servir, c’est fastoche. Vous installez Firefox Translator, puis vous téléchargez les packs de langue dont vous avez besoin. Et après, vous pouvez traduire autant que vous voulez, tout ce que vous voulez, mode avion activé ou pas. Plus de dépendance au réseau, plus de tracking, et plus de serveurs tiers qui analysent vos traductions pour améliorer leurs algos publicitaires.

C’est utile par exemple pour les voyage à l’étranger sans forfait data, les documents confidentiels à traduire sans les envoyer dans le cloud, les zones blanches réseau, les pays avec censure ou surveillance réseau un poil lourde, ou juste le principe de conserver vos données chez vous…

Après y’a des compromis à faire car les packs prennent de la place sur votre téléphone, et la qualité de traduction est probablement inférieure à celle des gros services qui entraînent leurs modèles sur des milliards de textes et le nombre de langues disponibles est plus limité mais pour 90% des usages quotidiens, ça suffit largement !

Firefox Translator est uniquement dispo sur F-Droid.

Windows 10 users have just a day left to make a decision regarding the future of their device. Microsoft is ending support for the operating system on Tuesday. Probably the best option at this stage is to subscribe to extended security updates to extend support by a year for consumer devices.

However, some users may prefer to upgrade to Windows 11, especially if their device meets the operating system's requirements.

This can be done in the Settings application via Update & Security usually, but some users may prefer to use the Media Creation Tool instead.

What is it? The Media Creation Tool is an official software by Microsoft that can create bootable USB or DVD media to install or upgrade Windows.

Microsoft update broke the Media Creation Tool

Microsoft confirmed on October 10th that the tool may "not work as expected" when run on Windows 10 devices. The program may "close unexpectedly" and may not even display an error message when doing so.

Microsoft says that this issue affects the very latest version of the tool, which it released on September 29, 2025.

The company is working on a resolution, but it did not provide a timeline. The update "will be released in a future update to the Windows 11 media creation tool" according to the announcement.

Affected users may download a Windows disk image directly from Microsoft at the meantime to upgrade or use it as a workaround, suggests Microsoft. This is not as comfortable, as the ISO needs to be moved to a USB device using another tool or burned to DVD manually in that case.

The better workaround: Rufus

You may want to use the open source tool Rufus instead. It is the better tool anyway. Rufus offers similar functionality as Microsoft's official program. You can use it to create bootable USB media. It supports downloading Windows 10 or Windows 11 from Microsoft, and you can pick the version that you want to download.

That is good news for users who want to upgrade to an earlier version of Windows 11 first and not the very latest that Microsoft released.

Rufus supports extra features, like bypassing certain system requirement checks when installing or upgrading Windows 11. Ideal for upgrading a Windows 10 system that does not meet the requirements.

In any case, I recommend creating a full system backup of the system partition before you start the upgrade.

Now You: Do you still use Windows 10 on your PC or have you moved on? If you still do, what are your plans going forward? Feel free to leave a comment down below.

Thank you for being a Ghacks reader. The post Windows 10: Microsoft breaks Media Creation Tool days before end of support appeared first on gHacks Technology News.

Often, when I'm asked to fix something on a mobile device or computer, I noticed that the user is getting a ton of notifications from all sorts of websites. It is easy enough to allow sites to send notifications. Once click and it is done. Not so easy to turn them off again, at least not, if you do not know where to look for that option.

Google's last effort to do something about too many notifications in Chrome dates back to 2020. It introduced quieter notifications in Chrome 80 back then.

Combat Notification Overload

Google announced that it plans to do something against notification overload on the official Chromium Blog. The company says that this should pave the way for a "quieter browsing experience" in the Chrome browser.

The details:

• The change will roll out in Chrome for Android and for the desktop.
• Chrome unsubscribes you from notifications automatically, if you did not visit a site recently.

Google says that less than one percent of notifications receive interactions from users, and that this is the main reason why the company set out to find a solution.

Chrome displays a notification -- or the irony -- when it removes notifications from websites. The option to review is provided, and you may use it to restore a notification. Doing so opens the Safety Check page of the browser. There you may view the removed sites and restore access.

Users who do not want the feature may turn it off entirely. This may be useful for users who want to keep all notifications, even if they do not interact with them usually.

While Google mentions Chrome only in the announcement, the change will land in Chromium, the open source core of the browser. It is therefore likely that other Chromium-based browsers, such as Microsoft Edge, Vivaldi, Brave, or Opera, will also get the feature in the future.

Google claims that tests have shown that the feature reduces notification overload significantly and changes clicks on notifications only minimally.

The new feature is part of the browser's Safety Check feature. It will include notification checks in its frequent scans starting today.

Now you: how do you handle notifications in the browser? Do you allow them from certain sites, or block any request immediately? Feel free to leave a comment down below.

Thank you for being a Ghacks reader. The post Chrome: Google announced plan to combat notification overload in the browser appeared first on gHacks Technology News.

Mozilla is prepping a new VPN service called Firefox VPN. This will protect all traffic in the browser.

Mozilla has a VPN called, Mozilla VPN. It's basically Mullvad VPN. So, what's Firefox VPN. Well, unlike Mozilla VPN, which is a systemwide protection, Firefox VPN is said to be a browser-only VPN, so it won't protect web traffic from other apps on your computer.

A few months ago, Windows Report's Venkat discovered that Mozilla began testing something called Firefox IP Protection. It was laying the foundation for Firefox VPN. This is being tested currently, and is available for few users. A new article by Windows Report says that once the VPN is available, you will see an option on the toolbar, and will be prompted to sign in to your Mozilla account to set up the VPN. This experimental VPN will route your traffic through a server located in the U.S. Things are likely to change in the future, as it is still in beta. Don't like it? You will be able to disable the feature from the browser.

Image courtesy: Windows Report

Is there a way to test Firefox VPN? The short answer is no. I enabled the browser.ipProtection.enabled flag in about:config, but it doesn't seem to do anything. I also tried searching for further VPN flags in about:config, and in about:studies, but couldn't find it in Firefox stable, beta and nightly channels on Linux and on a Windows 11 VM. After discussing this Venkat in a personal chat, I've come to the conclusion that there is no away around the Nimbus rollout, which is completely automated and randomized.

To learn more about Firefox VPN, I began looking around Bugzilla, and found a GitHub page that indicates that the IPP Add-on Activator extension that was introduced in the Firefox 143 branch, which we are on currently.

Bugzilla has several reports about IP Protection, one of which reveals a plan for a new section to manage Firefox VPN from the browser's Settings. It looks like users will be able to configure the VPN to be used on a per-site-basis, or choose to encrypt all traffic in Firefox, except for some that you may blacklist. There are plans to set the VPN to auto-start with the session, or only turn it on in Private Browsing mode.

The "upgrade to Mozilla VPN" option is also interesting, which all but confirms that Firefox VPN will be free.

Here's another listing that showcases the site management panel for Firefox VPN.

It will surely have some restrictions such as data limits, fewer server locations, compared to Mozilla's VPN. Mozilla wants Firefox to become "the best VPN-integrated browser on the market". As for its privacy policy, Firefox VPN will collect some technical data, including the connection quality, bandwidth usage for improving its service. It will not log your browsing history. I wouldn't be surprised if this is some sort of collaboration with Mullvad.

Opera, Microsoft, Brave, and even Vivaldi (Proton VPN) have a built-in VPN. Why not Firefox? It shouldn't be a problem as long as it is optional.

What do you think?

Thank you for being a Ghacks reader. The post Mozilla is testing Firefox VPN, a browser-only free VPN appeared first on gHacks Technology News.

Y’a plein de problème avec les IA, mais y’en a un encore un peu trop sous-estimé par les vibe codeurs que vous êtes… Ce problème, c’est qu’on leur fait confiance comme à un collègue, on leur montre notre code, nos repos privés, nos petits secrets bien planqués dans les variables d’environnement…

Par exemple, quand vous passez en revue une pull request sur GitHub, vous faites quoi ? Vous lisez le code ligne par ligne, vous cherchez les bugs, les failles de sécu, les optimisations possibles. Mais les commentaires vous les lisez ? Au mieux on les survole, c’est vrai, car c’est de la comm’ entre devs, et pas du code exécutable.

Sauf pour bien sûr pour Copilot Chat pour qui un commentaire c’est un texte comme un autre. Et selon Omer Mayraz , chercheur en sécurité chez Legit Security, c’est exactement ce qui en fait une zone de confiance aveugle parfaite pour une attaque.

Ce qu’a découvert Omer Mayraz c’est donc une vulnérabilité critique dans GitHub Copilot Chat avec un score CVSS de 9.6 sur 10. Cela consiste à planquer des instructions malveillantes dans des commentaires markdown invisibles comme ça, ces commentaires ne s’affichent pas dans l’interface web de GitHub, mais Copilot Chat les voit parfaitement et les traite comme des prompts légitimes.

Du coup, l’attaquant peut forcer Copilot à chercher des secrets dans vos repos privés, à extraire du code source confidentiel, voire à dénicher des descriptions de vulnérabilités zero-day non publiées. Tout ça sans que vous ne voyiez rien venir évidemment !

Voici une démo complète de l’attaque en vidéo :

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un <a href="/camoleak-github-copilot-vulnerability-prompt-injection/camoleak-github-copilot-vulnerability-prompt-injection-1.mp4">lien vers la vidéo</a>.

La première étape c’est donc l’injection de prompt via un commentaire caché. Rien de révolutionnaire, mais efficace. Ensuite, deuxième étape : le bypass de la Content Security Policy de GitHub. Normalement, Copilot Chat ne peut charger que des ressources depuis des domaines appartenant à GitHub. Il est donc impossible d’envoyer des données vers un serveur externe.

Mais c’était sans compter sur le fait que GitHub dispose d’un proxy appelé Camo, conçu à l’origine pour sécuriser l’affichage d’images externes en les servant via HTTPS et en évitant le tracking. C’est donc ce proxy de sécurité qui devient l’outil d’exfiltration. Avec ce proxy, toutes les URLs d’images externes sont automatiquement transformées en URLs Camo du type https://camo.githubusercontent.com/[hash unique] et Mayraz a simplement utilisé l’API GitHub pour pré-générer un dictionnaire complet de ces URLs Camo, chacune pointant vers un emplacement unique sur son serveur.

Troisième étape, l’exfiltration des données. Au lieu de faire passer les secrets directement dans les URLs (trop visible), Mayraz a eu l’idée d’utiliser l’ordre des requêtes. Chaque lettre de l’alphabet correspond à une URL Camo unique. En faisant charger ces URLs dans un ordre précis, on peut ainsi transmettre des données texte comme avec un alphabet ASCII artisanal. C’est plutôt créatif comme approche, je trouve.

C’est exactement le même principe que les attaques ultrasoniques contre Alexa ou Siri. Si vous ne vous en souvenez pas, des chercheurs avaient démontré qu’on pouvait envoyer des commandes vocales à des fréquences inaudibles pour l’oreille humaine, mais parfaitement comprises par les assistants vocaux.

Bah ici, c’est pareil… On a des prompts invisibles pour les humains mais que l’IA voit et exécute sans broncher. Comme pour les enceintes, on parle à la machine sans que l’humain ne s’en aperçoive et la différence, c’est qu’au lieu de jouer sur les fréquences sonores, on joue sur le markdown et les commentaires cachés.

Du coup, chaque pull request externe est un potentiel cheval de Troie. Un contributeur externe soumet par exemple une PR apparemment légitime, avec un commentaire invisible qui ordonne à Copilot de chercher “AWS_KEY” dans vos repos privés. Vous de votre côté, vous ouvrez la PR dans votre éditeur, Copilot Chat s’active bien sûr automatiquement, et hop, vos clés API partent chez l’attaquant.

Quand on sait que GitHub a créé Camo justement pour améliorer la sécurité, ça fout un peu les boules. Bref, grâce à son proof-of-concept, Mayraz a réussi à exfiltrer des clés AWS, des tokens de sécurité, et même la description complète d’une vulnérabilité zero-day stockée dans une issue privée d’une organisation et tout ça sans aucune interaction suspecte visible par la victime.

Heureusement, notre joyeux chercheur a prévenu GitHub qui a réagi assez vite. Le 14 août l’entreprise a complètement désactivé le rendu d’images dans Copilot Chat, comme ça plus d’images, plus de problème. C’est radical, c’est sûr mais c’est efficace !

Quoiqu’il en soit, ces histoires de prompt injection c’est un problème fondamental propre aux LLM qui sont encore actuellement incapable de distinguer de manière fiable les instructions légitimes des instructions malveillantes. Ça reste donc un problème de confiance…

Dans ce cas prévis, on fait confiance à GitHub pour héberger notre code du coup, on fait confiance à Copilot pour nous aider à développer, tout comme on fait confiance aux contributeurs externes pour soumettre des PR de bonne foi. Et nous voilà avec une jolie chaîne de confiance prête à être exploitée…

Bref, CamoLeak c’est que le début de cette nouvelle vague de vuln liées aux assistants IA qui se retrouvent intégrés dans nos outils de développement… Donc ouvrez l’oeil car on ne sait jamais ce qui sa cache vraiment dans une pull request.

Source

Vous venez de claquer plusieurs milliers d’euros dans une solution antivirus dernier cri pour votre boîte car le commercial vous a convaincu avec du machine learning, de l’IA comportementale, du threat hunting prédictif et j’en passe…

Cool story ! Mais si je vous disais qu’un petit exécutable open source gratuit peut potentiellement passer à travers ? Ce programme s’appelle al-khaser et je vous assure qu’il va vous faire déchanter, car ce truc, c’est le détecteur de mensonges des solutions de cybersécurité.

Al-khaser est outil qui ne fait rien de méchant en soi… C’est ce qu’on appelle un PoC, un “proof of concept” avec de bonnes intentions car il rassemble dans un seul programme toutes les techniques que les vrais malwares utilisent pour se planquer tels que la détection de machines virtuelles, le contournement des débogueurs, l’échappement aux sandbox, et j’en passe.

Comme ça, si votre antivirus ne détecte pas al-khaser, il y a de bonnes chances qu’il rate aussi les vraies menaces qui utilisent les mêmes techniques.

Faut dire que les éditeurs d’antivirus et d’EDR adorent nous vendre leurs nouvelles fonctionnalités IA de fou alors que certaines de leurs solutions ne détectent même pas des techniques pourtant connues depuis longtemps.

Al-khaser met donc tout ça en lumière de façon assez brutale en enchaînant des dizaines de vérifications. Par exemple, il va regarder si votre processeur a vraiment le bon nombre de cœurs ou si c’est une simulation. Il va checker l’adresse MAC de votre carte réseau pour voir si elle correspond à un hyperviseur VMware ou VirtualBox. Il va mesurer le temps d’exécution de certaines opérations pour détecter si le système est accéléré artificiellement, comme dans une sandbox d’analyse. Il va même tester des API Windows classiques comme IsDebuggerPresent ou CheckRemoteDebuggerPresent pour voir si quelqu’un espionne son exécution.

Maintenant si vous voulez tester les protections anti-debug de votre système, vous tapez :

al-khaser.exe –check DEBUG –sleep 30

Oui si vous voulez voir si votre virtualisation VMware ou QEMU est bien masquée :

al-khaser.exe –check VMWARE –check QEMU

Bien sûr, ces techniques ne sortent pas de nulle part car elles sont documentées depuis des années notamment dans ce référentiel dont je vous déjà parlé .

Les équipes de pentest et les red teams adorent al-khaser car ça leur permet de montrer aux décideurs que leur gros investissement en cybersécurité n’est peut-être pas aussi solide qu’ils le pensaient. Vous lancez l’outil un vendredi après-midi dans un environnement de test, et vous voyez instantanément ce que votre EDR détecte ou pas.

Voilà, une fois encore, rassurez-vous, al-khaser ne fait rien de malveillant… Il ne vole pas de données, ne chiffre pas vos fichiers, ne lance pas de ransomware mais se contente juste de lever la main et de dire “hé ho, je suis là, regardez moi, je fais plein de des trucs louches !!”.

Bien sûr, ne lancez pas al-khaser sur n’importe quelle machine car c’est un outil de test qui doit rester dans un environnement contrôlé. Si vous le lancez sur le réseau de prod sans prévenir votre équipe sécu, vous allez déclencher des alertes partout et recevoir des appels pas très sympathiques. Et surtout, juridiquement, vous devez avoir l’autorisation du propriétaire de l’infrastructure, sinon, vous risquez de gros ennuis.

Ce projet est open source, écrit essentiellement en C++, et disponible sur GitHub . Y’a plus qu’à vous monter une VM isolée, récupérer al-khaser, et voir ce que ça donne.

Le salon professionnel annuel du World Travel Market (WTM) de Londres est un must de l'industrie mondiale du tourisme.
A lire ou relire :
Hôtel Whistler : fluidité et fidélisation au cœur de la performance
Étude de cas – Hôtel Whistler : Medialog x Experience, une gestion fluide et des clients fidèles.
Une immersion élégante au cœur de Paris Niché entre deux des plus grandes gares parisiennes, l'Hôtel (...)

Renseignements & inscription : (...)

- Agenda / WTM, Londres, salon, conférence

Last month, Vivaldi was updated to 7.6 on desktop. Now, the mobile versions have been updated, Vivaldi 7.6 for iOS brings several new features, including a Reader View, and a Tab Stack Pane.

When you are on a web page, tap on the Reader View button in the address bar to view a distraction-free version of the page. It offers a few customization options such as changing the theme (light, dark, sepia, high-contrast black), a brightness slider, options to switch between Sans Serif, Serif or Monospace font, and adjust the text size using the + and - buttons.

Note: You can disable Reader View from the Settings > Content Settings.

Vivaldi comes with a bunch of search engines by default. The latest update adds an option to use custom search engines, so you can add Kagi, Qwant, or anything that you prefer. Go to Settings > Search > Add Search Engine.

For example, you can add Qwant like this: https://www.qwant.com/?q=%s or Kagi using: https://kagi.com/search?q=%s. Give it a nickname to access it quickly, usually this is done automatically. The app also picks up the search engine's icon, and adds it to your list. Tap on an existing search engine to edit its options.

Vivaldi's Tab Switcher is now home to a new button, the Tab Stack Pane. Tapping on it allows you to view a list of all your Tab Stacks. You can now add a tab to a stack quickly, by long pressing on a link, and selecting the Add to Stack option.

Long pressing on URLs also displays a preview of the linked page, without leaving the current page, right inside that compact pop-up. It does temporarily blank the background tab, possibly for readability. Link previews can be disabled from the Settings > Content Settings.

Vivaldi 7.6 for Android update adds a new feature. You can create bookmark folders quickly, by choosing to create a new folder when you save a bookmark.

Download Vivaldi 7.6 for iOS from the App Store, and the Android version from the Play Store. The announcement for the update is available on Vivaldi's blog.

Which of these new features do you like?

Thank you for being a Ghacks reader. The post Vivaldi for iOS gets Reader View, Tab Stack Pane, Link Previews, Custom Search Engines appeared first on gHacks Technology News.