Un tweet mystérieux clignote sur mon écran, laissant entrevoir un bouleversement majeur dans l’univers de Fortnite. Je peux presque entendre le souffle d’anticipation des gamers et des fans de la WWE alors que les murmures d’une collaboration avec Finn Balor résonnent sur les réseaux sociaux. À chaque impulsion, l’excitation grandit : pourrait-il s’agir de la […]
Imaginez le chaos alors que les vols d’évacuation médicale se précipitent pour être déroutés d’El Paso vers le Nouveau-Mexique, leurs missions perturbées par une fermeture inexpliquée de la FAA. Pendant dix jours tumultueux, le ciel au-dessus d’El Paso a été une zone d’exclusion aérienne, l’ordre initial étant enveloppé de confusion et de peur. Puis la […]
To: Jeffrey EpsteinUeevacationagmail.comj
From: Jeffrey Epstein
Sent Thur 7/18/2013 12:39:19 PM
Subject bill
J'ai décidé de démissionner de mon poste au sein de BG3 et de la Fondation Bill et Melinda
Gates, avec effet immédiat. Je n'ai pas pris cette décision à la légère, mais après mûre réflexion.
Au cours des dernières semaines, j'ai été pris dans une grave dispute conjugale entre Melinda
et Bill. J'ai le plus grand respect pour mon ami de 7 ans et je leur souhaite à tous deux bonne chance. En tant que bras droit de Bill,
on m'a demandé à plusieurs reprises, et avec le recul, j'ai accepté à tort
de participer à des activités allant de moralement inappropriées à éthiquement
discutables, et on m'a demandé à plusieurs reprises de faire d'autres choses qui frôlaient, voire dépassaient, la
limite de l'illégalité. Bien qu'il m'ait gentiment suggéré de changer de poste
après six ans de service et que Bill m'ait promis, selon ses propres termes, une généreuse indemnité de départ, je
pense que ce serait malhonnête envers moi-même et mon avenir. Qu'il s'agisse d'aider Bill à se procurer des médicaments pour faire face aux
conséquences de ses relations sexuelles avec des filles russes, de faciliter ses rendez-vous illicites avec des femmes mariées,
ou de me voir demander de fournir de l'Adderall (amphétamie) à des étudiants de Bridge Tounianints. Je pense que je dois à mes amis et à mes futurs
collègues d'admettre mon échec moral, de demander pardon et de passer à autre chose dans ma vie.
C'est une mauvaise nouvelle pour les propriétaires de BMW. Le constructeur allemand vient d'annoncer un rappel massif touchant des centaines de milliers de véhicules dans le monde. En cause : un défaut du démarreur moteur susceptible de provoquer un incendie.
La dernière série télévisée de Marvel suscite un enthousiasme renouvelé autour de Spider-Man et ravive l’intérêt pour le prochain projet « Brand New Day », laissant entrevoir de nouvelles perspectives pour l’avenir du célèbre super-héros dans l’univers Marvel.
Une série emblématique de Cartoon Network s’apprête à faire son grand retour sur les écrans. Cette annonce suscite déjà l’enthousiasme des fans nostalgiques, impatients de retrouver l’univers animé qui a marqué leur enfance.
Mais pourquoi n’y a-t-il pas pensé plus tôt ? Au lieu de partir vers Mars, Elon Musk parle beaucoup d'implanter une base permanente sur la Lune. Futura s’est mis dans la tête de Musk pour comprendre les motivations de son projet lunaire.
Notepad, c'est je crois LE truc le plus basique de Windows depuis 40 ans (avec winver.exe... lol). C'est un éditeur de texte tellement simple qu'il n'avait même pas de correcteur orthographique jusqu'en 2024. Sauf que Microsoft a décidé d'y coller de l'IA, et avec l'IA est arrivé le support du Markdown... et c'est ce parser Markdown tout neuf qui a ouvert une faille permettant d'exécuter du code à distance.
Mais lol.
Car oui mes amis, dans la foulée des fonctions IA (AI Rewrite, tout ça), le bloc-notes de Windows 11 sait maintenant interpréter le Markdown. Il gère désormais les fichiers .md, affiche les liens cliquables, le formatage...etc... et c'est là que ça coince !
En effet, la faille CVE-2026-20841 exploite une injection de commande via des liens malveillants dans un fichier Markdown. Vous ouvrez le fichier, vous cliquez sur le lien, et hop, exécution de code à distance sur votre bécane. Personne chez M$ n'avait pensé à filtrer les protocoles des URL. Résultat, un lien du type file:///C:/Windows/System32/cmd.exe ou ms-msdt:// s'exécute comme si de rien n'était.
C'est con, c'était si simple de limiter ça à http+s ... Bref, tout ça parce que maintenant ce machin a besoin d'aller sur Internet... Roooh
Cette faille fait partie du Patch Tuesday de février 2026, qui corrige au passage 58 vulnérabilités dont 6 zero-days déjà activement exploités. Microsoft classe celle de Notepad comme "Important" (pas "Critical"), parce qu'il faut quand même que vous cliquiez sur le lien piégé. Tu m'étonne John !
À noter que seul Windows 11 version 24H2 est concerné car sur Windows 10, le Notepad reste cette bonne vieille version offline qu'on connait sans Markdown ni IA... et du coup, pas de faille. Comme quoi, des fois être has been, ça a du bon ^^.
Rassurez-vous, ça n'empêchera pas Microsoft de continuer à injecter de l'IA dans TOUS ses outils Windows. Paint génère des images, Photos supprime les objets, l'Outil Capture retranscrit du texte... Bref, chaque app basique se transforme en usine à gaz connectée, avec la surface d'attaque qui va avec. (Je me demande quand la calculatrice aura besoin d'être connectée au net...)
Pour vous protéger, lancez donc Windows Update et installez le correctif de février. Si vous faites partie de ceux qui
bloquent les mises à jour
, c'est le moment de faire une exception et si vous êtes plutôt
team Notepad++
... bah désolé pour vous aussi ^^.
Vous connaissez tous
Kali Linux
,
Metasploit
et compagnie… Mais est-ce que vous avez déjà vu une IA faire un pentest toute seule ? Genre, VRAIMENT toute seule.
Shannon
, c'est un framework open source qui lâche un agent IA sur votre code, et qui enchaîne recon, analyse de vulns, et exploitation, tout ça sans intervention humaine.
En gros, vous lui filez une URL cible et l'accès à votre code source (faut que le repo soit accessible, c'est la base), et l'agent se débrouille. Il commence alors par analyser le code en statique… puis lance des attaques dynamiques sur l'app en live. Pour cela, il déploie plusieurs sous-agents spécialisés qui bossent en parallèle via Temporal, un moteur de workflow.
Un agent pour la reconnaissance, un pour chercher les injections SQL, un autre pour les XSS, un pour les SSRF, un pour les problèmes d'authentification… Bref, chacun fait son taf et tout remonte dans un rapport final au format JSON.
Le truc, c'est que Shannon ne se contente pas de scanner bêtement comme un Nessus ou un Burp. L'agent COMPREND votre code. Il lit les routes, les middlewares, les requêtes SQL, et il construit ses attaques en fonction. Du coup, il trouve des trucs que les scanners classiques loupent complètement, genre une injection NoSQL planquée dans un endpoint obscur ou un bypass d'auth via un cookie mal valide. Attention par contre, si votre app utilise un framework un peu exotique ou du code obfusqué, y'a des chances que l'agent passe à côté… comme tout scanner, hein.
Pour ceux qui se demandent combien coute un
test d'intrusion
classique, ça va de 3 000 € à plusieurs dizaines de milliers d'euros. Shannon, c'est open source et ça tourne sur Docker, par contre, faudra compter environ 50 dollars en tokens API Anthropic par run… c'est pas gratuit mais c'est quand même 60 fois moins cher qu'un audit humain.
Cote installation, c'est Docker + Docker Compose, un fichier .env avec votre cle API Anthropic (la variable ANTHROPIC_API_KEY, classique), et hop, un docker compose up pour lancer le tout. Le workflow complet prend entre 1 h et 1 h 30 selon la taille de votre base de code. Vous pouvez suivre la progression en temps réel via l'interface web Temporal sur localhost:8233. (perso, j'aime bien voir les agents bosser en parallèle, ça a un côté satisfaisant).
Et attention, Shannon exécute de VRAIES attaques. C'est mutatif. Ça veut dire que si l'agent trouve une injection SQL, il va l'exploiter pour de vrai pour prouver que ça marche. Du coup, on le lance sur du code à soi, en local ou sur un environnement de test. Mais jamais en prod. JAMAIS !!!
Bon, sauf si vous aimez vivre dangereusement et que votre boss est en vacances… ^^
Les agents d'exploitation (Auth, SSRF, XSS, AuthZ) en parallèle sur la timeline Temporal
Pour en avoir le cœur net, je l'ai lancé sur une app Node.js/Express maison avec 27 endpoints d'API. 2 heures de scan, 287 transitions d'état, 7 agents qui ont bossé en parallèle… et une facture Anthropic qui pique un peu. Parce que oui, chaque agent consomme des tokens Claude à chaque étape d'analyse et d'exploitation, et ça s'additionne vite. Comptez une cinquantaine de dollars pour un run complet. Bref, c'est pas gratuit de se faire hacker par une IA.
Cote résultats par contre, plutôt parlant. Zero injection SQL exploitable, les 23 paramètres utilisateur ont été tracés jusqu'aux requêtes et Shannon a confirmé que tout était paramétré correctement. Bien joué. Par contre, il a détecté 6 failles SSRF liées à des contournements IPv6, des XSS stockées via innerHTML sans aucun échappement dans le frontend, et surtout… ZERO authentification sur les 27 endpoints. Genre, n'importe qui peut purger ma base ou cramer vos crédits API Claude sans se connecter. Bon après, c'est un outil que je me suis dev, qui est un proto local, donc c'est pas exposé sur internet.
Le rapport final est plutôt bien foutu, je trouve. Pour chaque vuln trouvée, vous avez la sévérité CVSS (critique, haute, moyenne), le vecteur d'attaque utilisé, une preuve d'exploitation avec les payloads, et surtout des recommandations de correction. Shannon va jusqu'à vous montrer la ligne de code fautive, expliquer pourquoi le bypass fonctionne, et proposer le fix. Si vous utilisez déjà des outils comme
Sploitus
pour votre veille secu, Shannon c'est le complément parfait pour passer de la théorie à la pratique sur votre propre code.
Le projet est encore jeune, c'est vrai, mais l'approche est intéressante. Plutôt que d'automatiser bêtement des scans, on a donc un agent qui raisonne sur le code et adapte sa stratégie. Ça change des outils qui balancent des milliers de requêtes à l'aveugle et qui vous noient sous les faux positifs.
Alors après, je vous vois venir, vous allez me dire : est-ce que ça vaut un vrai pentester qui connait votre infra par cœur et qui sait où chercher les trucs tordus ?
Pas vraiment, mais pour un premier audit à moindre coût, ça fait le taf.
Les algorithmes de recommandation, vous connaissez bien je pense... YouTube, TikTok, Instagram... ces trucs qui vous gardent scotché à l'écran durant des heures en aspirant toutes vos données au passage. Hé bien un dev de bon goût a décidé de prouver qu'on pouvait faire la même chose sans machine learning et sans collecter la moindre info perso.
Son arme secrète ? Les 270 000 articles de Simple Wikipedia.
Xikipedia
, c'est un pseudo réseau social qui vous balance des articles de Simple Wikipedia sous forme de feed, exactement comme votre fil TikTok préféré. Sauf que derrière, y'a pas de ferme de serveurs qui analyse votre comportement mais juste un petit algorithme local en JS qui tourne dans votre navigateur.
En gros, le système fonctionne avec un scoring par catégorie côté client, stocké en localStorage. Vous scrollez un article sans le lire ? Moins 5 points pour cette catégorie. Vous likez ? Plus 50 points, avec un bonus qui augmente si vous n'avez pas liké depuis longtemps (genre un mécanisme anti-binge plutôt malin). Vous cliquez sur l'article complet ? 75 points. Sur une image ? 100 points !!
Et c'est comme ça qu'au bout de quelques minutes de scroll, le feed commence à comprendre vos centres d'intérêt et vous propose des trucs de plus en plus pertinents. J'ai testé en likant 3-4 articles sur l'astronomie... au début je pensais que ça serait du random total, mais au bout de 5 minutes j'avais quasiment que des trucs sur l'espace et la physique. Plutôt efficace pour un algo sans IA.
D'ailleurs, le truc qui est assez cool c'est la répartition des contenus. 40% de sélection pondérée par vos scores, 42% du contenu le mieux noté, et 18% complètement aléatoire. Ce dernier bout de hasard, c'est ce qui évite de s'enfermer dans une bulle de filtre (prends-en de la graine, YouTube !!).
La page d'accueil avec ses catégories - sobre mais efficace
Le tout tourne en PWA, c'est-à-dire que ça s'installe comme une app sur votre téléphone ou votre ordi et ça fonctionne même hors ligne après le premier chargement. Les ~34 Mo de données compressées de
Simple Wikipedia
sont stockées localement via IndexedDB dans votre navigateur. Vous pouvez créer plusieurs profils (pratique si vous partagez un appareil), consulter vos stats d'engagement perso, et même basculer entre thème clair et sombre.
Petit bémol quand même si vous êtes sur iPhone, y'a des restrictions mémoire imposées par Apple sur Safari qui peuvent poser problème avec les ~34 Mo de données. Attention aussi, le premier chargement prend un moment vu qu'il faut tout télécharger d'un coup... sauf si vous êtes en 4G pourrie, là ça peut carrément planter en plein milieu. Et pas moyen de reprendre, faut tout relancer. Prévoyez donc du Wi-Fi.
Pour ceux qui se demandent à quoi ça sert concrètement... c'est juste un moyen sympa de tomber sur des sujets que vous n'auriez jamais cherchés, le tout sans que personne ne sache que vous avez passé 45 minutes à lire des articles sur les pieuvres géantes du Pacifique.
Voilà, j'aurais pas parié dessus au départ... mais après avoir scrollé une bonne demi-heure, je dois avouer que c'est plutôt malin comme approche.
Apple a déployé la version stable de la mise à jour iOS 26.3 pour l'iPhone. Celle-ci apporte plusieurs nouvelles fonctionnalités, dont certaines sont exclusives à l'Europe. Les propriétaires d'iPhone attendent...
Alors que la poussière retombe dans l’étendue désolée d’Arc Raiders, vous vous retrouvez penché sur un conteneur, le cœur battant. Au moment où vous vous apprêtez à l’ouvrir, un crépitement statique soudain éclate à proximité. S’agira-t-il d’un butin ou d’une embuscade ? Dans le monde d’Arc Raiders, chaque expédition est pleine de suspense, armée d’armes et […]
Alors que le soleil se couche sur Disney Dreamlight Valley, vous vous retrouvez à fixer une liste de tâches qui ressemblent plus à des énigmes qu’à des missions. Une quête particulière vous demande de vendre des légumes verts, mais les objets qui correspondent à cette description ne sont pas aussi simples qu’il n’y paraît. Juste […]
Seulement quelques instants après le début de l’opération, le chirurgien hésita, pris d’un vertige d’incertitude. Le système d’IA, censé améliorer la précision, rapportait incorrectement l’emplacement des instruments cruciaux. La panique monta alors que la réalisation s’installait : une technologie conçue pour sauver des vies pouvait mener à une catastrophe. L’IA Remodele la Chirurgie, Mais Pas […]
Vous y êtes, l’adrénaline qui coule dans vos veines, prêt à rejoindre votre escouade dans Arc Raiders. Soudain, l’écran affiche une erreur : ARMR0002. Ce moment d’anticipation s’évapore en frustration alors que vous luttez avec le monde chaotique des Raiders et des ennemis ARC, incapable de passer à l’action. Vous n’êtes pas le seul dans […]
L'Organisation mondiale de la Santé (OMS) a appelé mercredi les Etats-Unis, qui ont quitté l'organisation, de partager toute information qu'ils pourraient détenir sur l'origine de la pandémie de Covid-19.
Une journée après son retour à la Maison Blanche en janvier 2025, le président américain Donald Trump avait signé un décret ordonnant le retrait des Etats-Unis de l'OMS. Ce départ est devenu effectif en janvier, après un délai d'un an réglementaire.
Après un teasing il y a quelques heures, Google annonce Android 17. La bêta, qui devait être disponible aujourd’hui mais qui arrivera finalement un peu plus tard, donne le coup d’envoi d’un cycle qui vise la stabilité dès mars 2026. La version finale devrait arriver en juin. Les …
Connexion
