Notepad, c'est je crois LE truc le plus basique de Windows depuis 40 ans (avec winver.exe... lol). C'est un éditeur de texte tellement simple qu'il n'avait même pas de correcteur orthographique jusqu'en 2024. Sauf que Microsoft a décidé d'y coller de l'IA, et avec l'IA est arrivé le support du Markdown... et c'est ce parser Markdown tout neuf qui a ouvert une faille permettant d'exécuter du code à distance.

Mais lol.

Car oui mes amis, dans la foulée des fonctions IA (AI Rewrite, tout ça), le bloc-notes de Windows 11 sait maintenant interpréter le Markdown. Il gère désormais les fichiers .md, affiche les liens cliquables, le formatage...etc... et c'est là que ça coince !

En effet, la faille CVE-2026-20841 exploite une injection de commande via des liens malveillants dans un fichier Markdown. Vous ouvrez le fichier, vous cliquez sur le lien, et hop, exécution de code à distance sur votre bécane. Personne chez M$ n'avait pensé à filtrer les protocoles des URL. Résultat, un lien du type file:///C:/Windows/System32/cmd.exe ou ms-msdt:// s'exécute comme si de rien n'était.

C'est con, c'était si simple de limiter ça à http+s ... Bref, tout ça parce que maintenant ce machin a besoin d'aller sur Internet... Roooh

Cette faille fait partie du Patch Tuesday de février 2026, qui corrige au passage 58 vulnérabilités dont 6 zero-days déjà activement exploités. Microsoft classe celle de Notepad comme "Important" (pas "Critical"), parce qu'il faut quand même que vous cliquiez sur le lien piégé. Tu m'étonne John !

À noter que seul Windows 11 version 24H2 est concerné car sur Windows 10, le Notepad reste cette bonne vieille version offline qu'on connait sans Markdown ni IA... et du coup, pas de faille. Comme quoi, des fois être has been, ça a du bon ^^.

Rassurez-vous, ça n'empêchera pas Microsoft de continuer à injecter de l'IA dans TOUS ses outils Windows. Paint génère des images, Photos supprime les objets, l'Outil Capture retranscrit du texte... Bref, chaque app basique se transforme en usine à gaz connectée, avec la surface d'attaque qui va avec. (Je me demande quand la calculatrice aura besoin d'être connectée au net...)

Pour vous protéger, lancez donc Windows Update et installez le correctif de février. Si vous faites partie de ceux qui bloquent les mises à jour , c'est le moment de faire une exception et si vous êtes plutôt team Notepad++ ... bah désolé pour vous aussi ^^.

Source

Vous connaissez tous Kali Linux , Metasploit et compagnie… Mais est-ce que vous avez déjà vu une IA faire un pentest toute seule ? Genre, VRAIMENT toute seule. Shannon , c'est un framework open source qui lâche un agent IA sur votre code, et qui enchaîne recon, analyse de vulns, et exploitation, tout ça sans intervention humaine.

En gros, vous lui filez une URL cible et l'accès à votre code source (faut que le repo soit accessible, c'est la base), et l'agent se débrouille. Il commence alors par analyser le code en statique… puis lance des attaques dynamiques sur l'app en live. Pour cela, il déploie plusieurs sous-agents spécialisés qui bossent en parallèle via Temporal, un moteur de workflow.

Un agent pour la reconnaissance, un pour chercher les injections SQL, un autre pour les XSS, un pour les SSRF, un pour les problèmes d'authentification… Bref, chacun fait son taf et tout remonte dans un rapport final au format JSON.

Le truc, c'est que Shannon ne se contente pas de scanner bêtement comme un Nessus ou un Burp. L'agent COMPREND votre code. Il lit les routes, les middlewares, les requêtes SQL, et il construit ses attaques en fonction. Du coup, il trouve des trucs que les scanners classiques loupent complètement, genre une injection NoSQL planquée dans un endpoint obscur ou un bypass d'auth via un cookie mal valide. Attention par contre, si votre app utilise un framework un peu exotique ou du code obfusqué, y'a des chances que l'agent passe à côté… comme tout scanner, hein.

Pour ceux qui se demandent combien coute un test d'intrusion classique, ça va de 3 000 € à plusieurs dizaines de milliers d'euros. Shannon, c'est open source et ça tourne sur Docker, par contre, faudra compter environ 50 dollars en tokens API Anthropic par run… c'est pas gratuit mais c'est quand même 60 fois moins cher qu'un audit humain.

Cote installation, c'est Docker + Docker Compose, un fichier .env avec votre cle API Anthropic (la variable ANTHROPIC_API_KEY, classique), et hop, un docker compose up pour lancer le tout. Le workflow complet prend entre 1 h et 1 h 30 selon la taille de votre base de code. Vous pouvez suivre la progression en temps réel via l'interface web Temporal sur localhost:8233. (perso, j'aime bien voir les agents bosser en parallèle, ça a un côté satisfaisant).

Et attention, Shannon exécute de VRAIES attaques. C'est mutatif. Ça veut dire que si l'agent trouve une injection SQL, il va l'exploiter pour de vrai pour prouver que ça marche. Du coup, on le lance sur du code à soi, en local ou sur un environnement de test. Mais jamais en prod. JAMAIS !!!

Bon, sauf si vous aimez vivre dangereusement et que votre boss est en vacances… ^^

Les agents d'exploitation (Auth, SSRF, XSS, AuthZ) en parallèle sur la timeline Temporal

Pour en avoir le cœur net, je l'ai lancé sur une app Node.js/Express maison avec 27 endpoints d'API. 2 heures de scan, 287 transitions d'état, 7 agents qui ont bossé en parallèle… et une facture Anthropic qui pique un peu. Parce que oui, chaque agent consomme des tokens Claude à chaque étape d'analyse et d'exploitation, et ça s'additionne vite. Comptez une cinquantaine de dollars pour un run complet. Bref, c'est pas gratuit de se faire hacker par une IA.

Cote résultats par contre, plutôt parlant. Zero injection SQL exploitable, les 23 paramètres utilisateur ont été tracés jusqu'aux requêtes et Shannon a confirmé que tout était paramétré correctement. Bien joué. Par contre, il a détecté 6 failles SSRF liées à des contournements IPv6, des XSS stockées via innerHTML sans aucun échappement dans le frontend, et surtout… ZERO authentification sur les 27 endpoints. Genre, n'importe qui peut purger ma base ou cramer vos crédits API Claude sans se connecter. Bon après, c'est un outil que je me suis dev, qui est un proto local, donc c'est pas exposé sur internet.

Le rapport final est plutôt bien foutu, je trouve. Pour chaque vuln trouvée, vous avez la sévérité CVSS (critique, haute, moyenne), le vecteur d'attaque utilisé, une preuve d'exploitation avec les payloads, et surtout des recommandations de correction. Shannon va jusqu'à vous montrer la ligne de code fautive, expliquer pourquoi le bypass fonctionne, et proposer le fix. Si vous utilisez déjà des outils comme Sploitus pour votre veille secu, Shannon c'est le complément parfait pour passer de la théorie à la pratique sur votre propre code.

Le projet est encore jeune, c'est vrai, mais l'approche est intéressante. Plutôt que d'automatiser bêtement des scans, on a donc un agent qui raisonne sur le code et adapte sa stratégie. Ça change des outils qui balancent des milliers de requêtes à l'aveugle et qui vous noient sous les faux positifs.

Alors après, je vous vois venir, vous allez me dire : est-ce que ça vaut un vrai pentester qui connait votre infra par cœur et qui sait où chercher les trucs tordus ?

Pas vraiment, mais pour un premier audit à moindre coût, ça fait le taf.

Source

Les algorithmes de recommandation, vous connaissez bien je pense... YouTube, TikTok, Instagram... ces trucs qui vous gardent scotché à l'écran durant des heures en aspirant toutes vos données au passage. Hé bien un dev de bon goût a décidé de prouver qu'on pouvait faire la même chose sans machine learning et sans collecter la moindre info perso.

Son arme secrète ? Les 270 000 articles de Simple Wikipedia.

Xikipedia , c'est un pseudo réseau social qui vous balance des articles de Simple Wikipedia sous forme de feed, exactement comme votre fil TikTok préféré. Sauf que derrière, y'a pas de ferme de serveurs qui analyse votre comportement mais juste un petit algorithme local en JS qui tourne dans votre navigateur.

En gros, le système fonctionne avec un scoring par catégorie côté client, stocké en localStorage. Vous scrollez un article sans le lire ? Moins 5 points pour cette catégorie. Vous likez ? Plus 50 points, avec un bonus qui augmente si vous n'avez pas liké depuis longtemps (genre un mécanisme anti-binge plutôt malin). Vous cliquez sur l'article complet ? 75 points. Sur une image ? 100 points !!

Et c'est comme ça qu'au bout de quelques minutes de scroll, le feed commence à comprendre vos centres d'intérêt et vous propose des trucs de plus en plus pertinents. J'ai testé en likant 3-4 articles sur l'astronomie... au début je pensais que ça serait du random total, mais au bout de 5 minutes j'avais quasiment que des trucs sur l'espace et la physique. Plutôt efficace pour un algo sans IA.

D'ailleurs, le truc qui est assez cool c'est la répartition des contenus. 40% de sélection pondérée par vos scores, 42% du contenu le mieux noté, et 18% complètement aléatoire. Ce dernier bout de hasard, c'est ce qui évite de s'enfermer dans une bulle de filtre (prends-en de la graine, YouTube !!).

La page d'accueil avec ses catégories - sobre mais efficace

Le tout tourne en PWA, c'est-à-dire que ça s'installe comme une app sur votre téléphone ou votre ordi et ça fonctionne même hors ligne après le premier chargement. Les ~34 Mo de données compressées de Simple Wikipedia sont stockées localement via IndexedDB dans votre navigateur. Vous pouvez créer plusieurs profils (pratique si vous partagez un appareil), consulter vos stats d'engagement perso, et même basculer entre thème clair et sombre.

Et le code est sous licence AGPLv3, dispo sur GitHub .

Petit bémol quand même si vous êtes sur iPhone, y'a des restrictions mémoire imposées par Apple sur Safari qui peuvent poser problème avec les ~34 Mo de données. Attention aussi, le premier chargement prend un moment vu qu'il faut tout télécharger d'un coup... sauf si vous êtes en 4G pourrie, là ça peut carrément planter en plein milieu. Et pas moyen de reprendre, faut tout relancer. Prévoyez donc du Wi-Fi.

Pour ceux qui se demandent à quoi ça sert concrètement... c'est juste un moyen sympa de tomber sur des sujets que vous n'auriez jamais cherchés, le tout sans que personne ne sache que vous avez passé 45 minutes à lire des articles sur les pieuvres géantes du Pacifique.

Voilà, j'aurais pas parié dessus au départ... mais après avoir scrollé une bonne demi-heure, je dois avouer que c'est plutôt malin comme approche.

Amusez-vous bien !

Mistral AI s'allie à l'entreprise suédoise EcoDataCenter pour mettre au point un centre de données en Suède au nom de la souveraineté européenne en matière d'intelligence artificielle. Un projet qui souffre cependant d'une limite : la provenance des GPU.

Pokopia, nouveau jeu de simulation de vie cozy pour la Switch 2, est prévu le 5 mars 2026. S'il s'annonce particulièrement prometteur, le jeu pourrait s'avérer un chouille enfantin pour certains amateurs du genre. Numerama a pu y jouer.

Sony a décidé de mettre un terme à la fabrication de platines-enregistreurs Blu-ray. L'annonce intervient quasiment un an après l'arrêt ds médias BD-R.

L’IA générative a faim — et, surtout, elle a besoin de manger « propre ». Après une vague de procès et de tensions autour du copyright, l’industrie cherche désormais une sortie plus… contractualisée. Selon The Information, Amazon discuterait avec des éditeurs d’un projet de place de marché où les publishers pourraient licencier directement leurs contenus à des […]

L’article Amazon prépare un « Store » pour vendre vos contenus aux géants de l’IA est apparu en premier sur BlogNT : le Blog des Nouvelles Technologies.

Assis dans une pièce ensoleillée, entouré de crayons éparpillés et de papiers froissés, une vague de frustration m’a envahi. La page blanche me narguait : aucune histoire, aucun personnage, juste du vide. Mais une étincelle s’est alors allumée : et si l’IA pouvait insuffler la vie à mon imagination ? Partie 1 : Invitations IA […]

Le post Meilleures invites d’IA pour livres pour enfants : créer des histoires captivantes est apparu en premier sur Moyens I/O.

L’adoption de l’IA en entreprise ne se limite plus à des expérimentations et des proof of concept. Pour l’industrialiser, il est désormais nécessaire de repenser en profondeur l’infrastructure IT, avec des choix structurants qui engagent l’organisation sur le long terme. C’est précisément l’objet de cette matinale organisée par Silicon.

La première table ronde attaque un sujet majeur : « Cloud, On-premise ou Hybride : Quel socle technique pour maîtriser les coûts et la puissance de calcul ? »

Face à l’explosion des besoins en puissance de calcul, les directions IT doivent arbitrer entre l’internalisation de GPU pour garder le contrôle, le recours au cloud pour sa flexibilité, ou une approche hybride. Jean-Jacques Mok, Cloud Program Manager chez MATMUT, et Grégoire Martinon, AI Research Director chez EMERTON, partageront leurs retours d’expérience sur ces décisions où se mêlent performance, souveraineté des données et maîtrise des coûts.

Sécurité et résilience, deux piliers non négociables

L’intelligence artificielle amplifie les risques autant qu’elle offre d’opportunités. La matinale Silicon accorde une place centrale aux enjeux de cybersécurité et de continuité d’activité, deux priorités absolues pour tout CISO.

La seconde table ronde abordera cet enjeu crucial : « De la conception à la production : sécuriser les pipelines et gouverner la donnée à l’ère des LLM ». Avec Chahir Al Echi, responsable du service Experts Cybersécurité à la Caisse des dépôts, et Franck Rouxel de la Fédération Française de Cybersécurité, les échanges porteront sur la gouvernance des données à l’ère des LLM, la protection des modèles, et l’industrialisation sécurisée de l’IA. Car déployer un modèle d’IA en production, c’est ouvrir de nouvelles surfaces d’attaque qu’il faut anticiper et protéger.

Un format pensé pour les décideurs IT

Le programme alterne intelligemment tables rondes thématiques et interventions de partenaires technologiques (Vertiv, Fivetran), permettant de croiser les perspectives stratégiques et les approches techniques.

Pour les CIO, cet événement permet de confronter leurs choix d’infrastructure aux retours d’expérience de pairs confrontés aux mêmes dilemmes : où placer le curseur entre performance et coûts ? Comment justifier des investissements massifs en GPU ?

Pour les CISO, c’est l’occasion de comprendre comment sécuriser des chaînes de traitement IA complexes, où les données sensibles circulent entre multiples environnements, et comment assurer la résilience face à des menaces de plus en plus sophistiquées.

Pour les CTO, les échanges éclaireront les arbitrages techniques entre différentes architectures, et les critères de choix pour bâtir un socle évolutif capable d’absorber la croissance exponentielle des usages IA.

La Matinale Silicon  vous propose deux heures pour prendre de la hauteur, confronter ses réflexions à celles d’autres décideurs, et repartir avec des clés concrètes pour l’action.

Rejoignez-nous le 19 février en vous inscrivant ici.

The post L’infrastructure à l’ère de l’IA : les choix techniques qui engagent l’avenir appeared first on Silicon.fr.

En attendant GPT-5.3, dont la sortie pourrait être moins imminente que prévu, OpenAI annonce une mise à jour majeure de sa fonctionnalité Deep Research, désormais capable de cibler des sites spécifiques. Une révolution pour l'exploration d'un site web.

Cet article a été réalisé en collaboration avec Nvidia

Un PC solide, un GPU Nvidia de dernière génération, une solide connexion internet, ComfyUI et un peu de temps : voilà les ingrédients nécessaires à la mise en place d’un agent IA personnalisé pour générer des images ou des vidéos.

Cet article a été réalisé en collaboration avec Nvidia

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Ali Benyahia : « Je suis plutôt radical socialiste dans l’esprit gaullien du CNR (Conseil National de la Résistance) »

Inutile de ressasser un mandat iconoclaste, mais le maire veut remercier les partenaires, comme Valenciennes Métropole, le Conseil départemental du Nord, et la Région Hauts de France pour un soutien indéfectible : « Ils ont été présents sur nos projets grâce à notre partenariat étroit, entre les élus et entre les techniciens sur les dossiers. » Retour sur le bilan 2020/2026 sur https://www.lobservateur.fr/municipales-2026-ali-benyahia-beuvrages/

Une liste renouvelée 1/3

Pour cette nouvelle campagne municipale, l’équipe est renouvelée avec 12 nouveaux membres. « Pas de départ, pas de dissidence, mais 3 décès, 3 incompatibilités professionnelles, 3 déménagements et 3 personnes malades. Sur 29 (+2), nous avons 12 nouveaux membres », commente le maire sortant.

Le plus connu des petits nouveaux est évidemment Rémi Kasprzyk, infirmier sur le devant la scène pendant la COVID et sa présidence d’une association d’infirmiers, une gestion partagée du centre de vaccination Jean Mineur à Valenciennes, mais également le début d’un engagement politique avec une candidature suppléante en juin 2022 derrière Delphine Alexandre (candidate Renaissance) sur la 20ème circonscription. Cette entrée dans le chose politique s’est prolongée récemment par une participation sur la liste d’opposition à Saint-Saulve, portée par Bruno Thiollet à l’époque et aujourd’hui Virginie Houdart. Dès sa sortie (médiatisée), Ali Benyahia a contacté l’intéressé : « Il a son cabinet rue des Poilus. C’est un enfant de Beuvrages et ses parents y habitent. Ensuite, nous nous connaissions depuis la Covid, l’association et même à travers la CPTS Grand Valenciennes (Communautés Professionnelles Territoriales de Santé). Il a réfléchi 48 heures et m’a répondu favorablement ! Il sait que l’exécutif est déjà en place et ne prétend à aucune fonction d’adjoint ! »

D’ailleurs, sur 12 entrants, ils seront 4 professionnels de santé, un médecin urgentiste, un infirmier libéral, un infirmier anesthésiste et Rémi Kasprzyk. « Je crois beaucoup dans la médecine 3.0. Avec l’arrivée de l’IA, nous devons anticiper l’évolution des pratiques médicales. C’est pourquoi, il est nécessaire de travailler en amont sur ce sujet avec des professionnels. »

Des ambitions communautaires !

Carté autrefois au Parti radical, plus centre gauche, il a quitté ce parti. « Aujourd’hui, centre droit ou centre gauche ne signifie plus rien. Je suis plutôt radical socialiste dans l’esprit gaullien du CNR (Conseil National de la Résistance), la racine républicaine avec le respect de la laïcité, la solidarité et une vision collective. » Sur la prochaine élection, la liste « Continuons à faire ensemble ce qui nous rassemble » du maire sortant est « d’un optimisme raisonnable » avec la particularité d’un manque de lisibilité sur la concurrence potentielle les 15 et 22 mars… ! Par contre, il sait comme tous les futurs élus que « les exercices budgétaires seront difficiles pour les communes ! »

Sur ces amis politiques, il est plus proche du « sénateur Guislain Cambier et de Valérie Létard » Par contre, il n’a pas digéré son éviction du Bureau communautaire en 2020 où « tout était négocié avant le 1er tour ! » Cette fois, en cas de réélection à la fonction de maire en mars 2026, il fera entendre la voix de sa commune et sa représentativité au sein de Valenciennes Métropole, voire au delà !

Un programme axé sur le logement, l’efficacité thermique, la sécurité et le sérieux budgétaire !

La Police Municipale

Sujet transversal par essence en 2026, le candidat veut muscler sa police municipale avec « 2 agents supplémentaires, contre 5 aujourd’hui et 2 ASVP, afin d’assurer des brigades de nuit jusque minuit/1h du matin en hiver et 1h/2H du matin en été », précise-t-il. Ensuite, sur les caméras de vidéo-surveillance, l’éventuel maire en 2026 souhaite poursuivre un maillage pertinent : « Nous avons identifié les problématiques dans les quartiers à partir des doléances collectées. A ce titre, nous avons sollicité l’Etat et obtenu son accord. »

Pas spécifiquement dans la case sécuritaire, mais le Premier magistrat aborde la sécurité routière avec une lutte contre des conduites « délicates, notamment suite à la prise de protoxyde d’azote. » Et par suite, la rénovation des voiries fait partie intégrante de cette thématique : « Nous allons entamer la 3ème phase de la Résidence du Ruissard (rue Marcel Serbat, rue Henri Colin), mais également la rue des Poilus. »

L’urbanisme à l’heure de l’efficacité thermique

Absolument anonyme pour le grand public, mais pour autant le fameux « Décret Tertiaire » oblige toutes les collectivités locales à remettre à niveau l’efficacité thermique de leurs grands bâtiments publics. « Avec l’école maternelle Juliot Curie, sa toiture et sa façade, la salle des sports Léo Lagrange, toiture, la salle des sports Pierre de Coubertin, une rénovation thermique complète ; tous les bâtiments publics auront été réhabilités suite au diagnostic énergétique bâtimentaire pris en charge par Valenciennes Métropole. Après ces 3 rénovations, nos sites seront rénovés pour une meilleure efficacité énergétique. Concrètement, en 2025, nous avons payé la même facture énergétique qu’en 2020… » Aucun doute, l’autosuffisance énergétique des édifices publics existants ou nouveaux sera la nouvelle norme pour un mandat local en France.

Ensuite, sur les 13 édifices publics (3 salles des sports, 4 écoles, 1 pôle social, un EVS…), la collectivité locale envisage un « AMI (Appel à Manifestation d’Intérêt) électrification sur dix de nos bâtiments publics. A ce stade, nous réfléchissons à différents scénarios pour l’exploitation des équipements solaires », poursuit-il.

Le logement

Cette thématique est la pierre angulaire de son prochain mandat (potentiel). « Notre ambition est de permettre à la population de bien vieillir et de bien grandir », dit-il. Dans cette optique, deux friches locales seront investies par la puissance publique. La friche Houdin Desplechin avec 24 logements individuels et un collectif dans le centre-ville, mais également la friche Lainé avec 44 logements. Cette nouvelle offre de 68 logements va permettre de réduire une demande forte « sur une ville attractive. Nous sommes à 6 800 habitants et plus de 7 000 à mi-mandat ! »

Le budget

Evidemment, le volet financier est intimement lié à une dynamique de la population. Dans ce cadre, Beuvrages, contrairement à tant d’autres, ne connaît pas « de diminution de sa DGF, notamment grâce à une hausse de celle-ci dans le quartier QPV (Quartier Politique de la Ville) », souligne le candidat/maire.

Concernant la maîtrise budgétaire, la commune oscille entre 3,5 et 4 ans en capacité de désendettement. « Nous travaillerons à la réduction de notre dette publique. Nous étions à 11 millions d’euros en 2020 et 5,5 millions d’euros aujourd’hui. L’objectif est de la diminuer à 1 million d’euros », conclut-il. Difficile de donner un cap plus clair sur les choix à venir, la prudence financière serait indubitablement le mantra de cette mandature sur Beuvrages.

Daniel Carlier

Cet article (Municipales 2026) Ali Benyahia, un candidat/maire raisonnablement optimiste ! est apparu en premier sur Va-Infos.fr.