Mark Russinovich, CTO de Microsoft Azure, a donné à Claude Opus 4.6 un programme qu'il avait écrit en assembleur 6502 pour Apple II en mai 1986. L'IA d'Anthropic y a trouvé des vulnérabilités. Une découverte possible grâce à Claude Code Security, un outil qui a déjà débusqué plus de 500 failles dans des projets open source.

Du code Apple II passé au crible

Le programme en question s'appelle Enhancer. C'est un utilitaire écrit en langage machine 6502 qui ajoutait à l'Applesoft BASIC la possibilité d'utiliser des variables ou des expressions comme destination pour les commandes GOTO, GOSUB et RESTORE.

Claude Opus 4.6 a identifié un comportement silencieux incorrect : quand une ligne de destination n'était pas trouvée, le programme plaçait le pointeur sur la ligne suivante ou au-delà de la fin du programme, au lieu de signaler une erreur. L'IA a même suggéré le correctif : vérifier le carry flag (positionné quand une ligne n'est pas trouvée) et rediriger vers un gestionnaire d'erreurs.

L'anecdote a surtout valeur de démonstration. Russinovich l'a partagée pour montrer que les modèles d'IA sont désormais capables de décompiler du code embarqué d’un autre âge et d'y repérer des failles, ce qui pose un problème quand on sait que des milliards de microcontrôleurs tournent dans le monde avec du code qui n'a jamais été audité.

Plus de 500 failles dans des projets open source

Cette histoire autour de l'Apple II est amusante, mais le vrai sujet est ailleurs. Anthropic a utilisé Claude Opus 4.6 pour scanner des bases de code open source en production et a trouvé plus de 500 vulnérabilités qui avaient échappé à des années de revue par des experts humains.

Parmi les projets touchés : GhostScript (traitement PostScript et PDF), OpenSC (utilitaires pour cartes à puce), CGIF (traitement d'images GIF) et le noyau Linux. Certaines de ces failles étaient là depuis des décennies, malgré des millions d'heures de fuzzing accumulées sur ces projets.

Côté Firefox, on vous en a parlé : 22 CVE dont 14 haute gravité, trouvées en deux semaines seulement.

On vous en a déjà parlé, Anthropic a lancé le 20 février Claude Code Security, un outil intégré à Claude Code sur le web, pour l'instant en accès limité. Le principe : l'IA scanne un dépôt de code, identifie les vulnérabilités, et propose des correctifs ciblés pour validation humaine.

Contrairement aux outils d'analyse statique classiques qui fonctionnent par pattern matching, Claude lit et raisonne sur le code comme le ferait un chercheur en sécurité, en traçant les flux de données et en comprenant comment les composants interagissent. Rien n'est appliqué sans validation humaine. L'outil est accessible aux clients Enterprise et Team, et les mainteneurs de projets open source peuvent demander un accès gratuit.

Tout ça pour dire que l'image du CTO d'Azure qui ressort son vieux code Apple II et se retrouve avec un rapport de failles, c'est quand même franchement rigolo, mais aussi intéressant. Mais le fond du sujet est plus sérieux : des milliards d'appareils embarqués tournent avec du code ancien que personne n'a jamais audité, et l'IA est désormais capable de les passer au peigne fin. Anthropic a quand même prévenu que cet écart entre la capacité à trouver les failles et celle de les exploiter ne durera probablement pas éternellement. On l’espère.

Source : The Register

Des drones iraniens ont frappé délibérément cette semaine les data centers d’AWS aux Émirats arabes unis et à Bahreïn. Selon le Financial Times (FT), c’est la première fois qu’une opération militaire prend pour cible les infrastructures d’une entreprise technologique américaine de premier plan.

L’agence Fars News, proche des Gardiens de la révolution islamique, a revendiqué ce jeudi des frappes contre des installations d’Amazon et de Microsoft dans la région. Si Microsoft a démenti tout incident opérationnel, AWS a confirmé que deux de ses sites aux Émirats avaient été « directement touchés » par des drones, mettant hors service deux de ses trois zones de disponibilité régionales.

Un data center en Bahreïn a également été atteint lors d’une attaque à proximité. AWS a conseillé à ses clients de migrer leurs données vers d’autres régions, reconnaissant que « l’environnement opérationnel au Moyen-Orient reste imprévisible ».

Des cibles difficiles à défendre

Les data centers présentent des caractéristiques qui en font des cibles vulnérables : des groupes électrogènes diesel, des turbines à gaz, et surtout d’imposants systèmes de refroidissement. « Ce sont des installations tentaculaires, et si vous mettez hors service les refroidisseurs, vous pouvez les mettre entièrement hors ligne », explique au FT Sam Winter-Levy, chercheur à la Carnegie Endowment for International Peace.

Matt Pearl, du think-tank américain CSIS, résume la logique de ces offensvives : « Les Iraniens voient les data centers comme une composante du conflit. C’est une façon d’avoir un impact réel dans la région. »

L’eldorado de l’IA du Golfe remis en question ?

Les conséquences de ces frappes dépassent largement le cadre militaire. Le Golfe avait misé sur son image de havre de stabilité pour attirer des investissements colossaux dans l’intelligence artificielle. L’Arabie saoudite, via son entité Humain, et les Émirats arabes unis, via G42, ont engagé des milliards aux côtés de Nvidia, Amazon et Microsoft pour construire de vastes clusters de data centers.

Abu Dhabi accueille également l’un des gigantesques projets « Stargate «  d’OpenAI. Le mois dernier encore, Microsoft annonçait l’ouverture prochaine d’un nouveau centre Azure en Arabie saoudite.

« Ces frappes pourraient fondamentalement changer le calcul de risque pour les investisseurs privés, les assureurs et les entreprises technologiques elles-mêmes », avertit Jessica Brandt, du Council on Foreign Relations. « Le Golfe s’était vendu comme une alternative sûre à d’autres marchés. Cet argument vient de perdre de sa force. »

Un avertissement mondial

Au-delà des capitaux, c’est le recrutement de personnel d’ingénierie et de construction qui pourrait pâtir du nouveau climat d’insécurité, selon un vétéran américain de l’industrie tech installé dans la région, cité par le FT. Il compare le projet « Stargate » aux usines de fabrication de puces d’Intel en Israël, protégées par l’armée et entourées de défenses anti-aériennes : « Il faut intégrer la protection dès le départ, c’est incontournable pour un projet de cette envergure. »

Reste que l’attaque soulève une question qui dépasse le seul Moyen-Orient. « C’est un avant-goût de ce qui va venir, et ces types d’attaques ne se limiteront pas à cette région », prévient Winter-Levy. À l’heure où les infrastructures numériques deviennent le nerf de la guerre économique et technologique mondiale, leur protection physique s’impose désormais comme un enjeu de souveraineté à part entière.

Ilustration générée par l’IA

The post Guerre en Iran : les datacenters américains dans le viseur appeared first on Silicon.fr.

Le gaspillage du cloud, c'est un peu le secret de polichinelle du devops. Tout le monde sait qu'il y a des volumes EBS détachés qui traînent, des snapshots vieux de 6 mois, des Elastic IP à 3,65 $/mois qui servent à rien... mais bon, on nettoie pas. Parce qu'on a trop les miquettes de casser un truc en prod. Mais entre le volume de 500 Go "temporaire" créé en 2024 et le NAT Gateway qui facture 32 $/mois dans le vide, ça chiffre assez vite.

CleanCloud va vous permettre de remédier à ça. Il s'agit d'un petit CLI Python compatible Linux, macOS et Windows (dispo via pip ou pipx) qui va scanner vos comptes AWS et Azure pour débusquer toutes ces ressources orphelines. Le truc, c'est qu'il tourne uniquement en lecture seule, donc pas de mutation, pas de suppression, et zéro modification de tags. Lui se contente de regarder, de prendre des notes, et de vous sortir un bon vieux report.json ou CSV avec tout le détail.

Du coup, côté permissions IAM, c'est le strict minimum... 14 permissions en lecture seule type ec2:Describe*, s3:List* ou rds:DescribeDBInstances. C'est d'ailleurs bien fichu puisque le code vérifie statiquement via AST qu'aucun appel en écriture ne passe. Donc pas besoin de filer vos clés IAM à un outil tiers, et ça c'est plutôt rassurant pour les équipes sécu qui flippent (à juste titre) dès qu'on parle d'accès cloud.

L'outil embarque 20 règles de détection. 10 pour AWS, 10 pour Azure. Côté AWS, ça scanne comme vous l'aurez deviné les volumes EBS non attachés, les vieux snapshots, les logs CloudWatch en rétention infinie, les Elastic IP orphelines, les ENI détachées, les AMI créées en 2022 qui traînent, les NAT Gateways au repos, les instances RDS à l'arrêt...etc.

Côté Azure, même combat avec les disques managés, les IP publiques inutilisées, les VMs stoppées qui continuent de bouffer du stockage Premium SSD.

Pour chaque trouvaille, vous avez un score de confiance (LOW, MEDIUM, HIGH) et une estimation du coût mensuel gaspillé en dollars. En fait c'est assez bien foutu, le rapport vous donne le type de ressource, la région, l'âge du truc et combien ça vous coûte.

Hop, un pipx install cleancloud et c'est parti :

cleancloud scan --provider aws --all-regions

cleancloud demo

Pas de VM à lancement fiable, de GPU sur AKS, d’actions de remédiation avec le moteur de politiques… En mode déconnecté, Azure Local a des limites fonctionnelles.

Pour autant, ce mode vient de passer en disponibilité générale. Il complète celui dit à « connectivité limitée », qui n’impose pas l’hébergement du plan de contrôle en local et qui envoie certaines données vers le cloud, à commencer par les logs.

En mode déconnecté, Azure Local permet pour le moment de créer des VM Windows (10 Enterprise ; Server 2022/2025) et Linux (Ubuntu 22.04/24.04 LTS). La gestion des clusters Kubernetes vanilla et AKS est en preview. Comme les VM à lancement fiable (secure boot, vTPM et attestation).

Le cluster de management doit comprendre au moins 3 nœuds physiques. Chacun avec 96 Go de RAM, 24 cœurs physiques et 2 To NVMe. Certaines opérations ne peuvent être effectuées sur le portail Azure, comme la création d’interfaces réseau et de clés SSH (pour AKS). On ne peut pas forcer la synchronisation des identités, réalisée toutes les 15 minutes.

Microsoft 365 adapté à Azure Local

Autre offre qui passe en disponibilité générale : Microsoft 365 Local. Elle permet de déployer Exchange Server, SharePoint Server et Skype for Business Server (Subscription Edition) sur des architectures de référence Azure Local. Impératif : utiliser du matériel certifié Premier (une vingtaine de configurations disponibles : du Dell AX et APEX, du Lenovo ThinkAgile et du HPE ProLiant).

Microsoft s’est engagé à supporter les trois produits au moins jusqu’à fin 2035.

Catalogue enrichi pour Foundry Local

Foundry Local reste en preview, mais accueille de plus gros modèles à son catalogue.

Cette version locale de Microsoft Foundry (ex-Azure AI Foundry) est installable sur Windows 10 (x64), Windows 11 (x64/Arm), Windows Server 2025 et macOS (Apple Silicon). Elle donne accès à une API et un serveur REST, un SDK (C#, Python, JavaScript) et un runtime ONNX. L’inférence est locale, mais le réseau peut être utilisé pour télécharger modèles et composants, et éventuellement partager des logs.

Pour le moment, l’API ne fonctionne qu’en mode chat/completions – le SDK permettant d’exploiter les modèles de reconnaissance vocale Whisper. Pensé pour un fonctionnement mononœud, Foundry Local ne gère ni l’autoscaling, ni la concurrence (le parallélisme est à contrôler au niveau applicatif), ni le batching continu. Quant à catalogue, avec 25 modèles, on est encore loin des plus de 8000 proposés sur la version cloud de Foundry.

Les 25 modèles disponibles

Illustration © Greentech – Adobe Stock

The post IaaS, inférence, bureautique… Microsoft rend son cloud un peu plus « local » appeared first on Silicon.fr.

Perplexity s’offre les services du cloud Azure de Microsoft pour déployer des modèles d’IA via le service Foundry, incluant notamment ceux développés par OpenAI, Anthropic et xAI, selon des sources citées par Bloomberg.

Son montant :  750 millions $ sur trois ans.

« Nous sommes ravis de nous associer à Microsoft pour accéder aux modèles de pointe de X, OpenAI et Anthropic », a déclaré Perplexity en précisant que ce nouveau contrat ne s’accompagne d’aucun transfert de dépenses depuis Amazon Web Services, son principal fournisseur cloud historique.

« AWS reste le fournisseur d’infrastructure cloud privilégié de Perplexity, et nous sommes impatients d’annoncer des extensions de ce partenariat dans les semaines à venir », a ajouté le porte-parole.

Cette diversification illustre une tendance forte de l’approche  « multicloud » qui s’est accélérée avec l’avènement de l’IA.

Des relations complexes avec Amazon

Perplexity avait jusqu’ici construit l’essentiel de son activité sur AWS, utilisant le service Bedrock  pour accéder aux modèles Anthropic qui alimentent son moteur de recherche.

Aravind Srinivas, le directeur général de Perplexity, est un habitué des conférences AWS qui  présentait volontiers Perplexity comme l’un de ses clients IA de référence.

Les relations se sont toutefois tendues ces derniers mois. En novembre, Amazon a poursuivi Perplexity en justice pour tenter d’empêcher la start-up de permettre aux consommateurs d’utiliser ses outils d’IA pour faire leurs achats sur la marketplace du géant du commerce en ligne. Perplexity a riposté en qualifiant Amazon d’intimidateur, dénonçant des actions constituant « une menace pour le choix des utilisateurs ». Srinivas avait alors révélé avoir pris des « centaines de millions » d’engagements auprès d’AWS.

Microsoft muscle son offre IA

Pour Microsoft, cet accord renforce sa stratégie visant à positionner Azure comme la plateforme de référence pour développer des applications d’IA et déployer des modèles de multiples fournisseurs. Le groupe propose depuis longtemps les modèles de son partenaire OpenAI et a conclu un accord similaire avec Anthropic en novembre.

« Nos clients s’attendent à utiliser plusieurs modèles dans le cadre de n’importe quelle charge de travail », a déclaré le PDG Satya Nadella lors d’une conférence téléphonique sur les résultats cette semaine. « Et nous offrons la plus large sélection de modèles de tous les hyperscalers. »

Plus de 1 500 clients Microsoft Foundry ont déjà utilisé à la fois les modèles OpenAI et Anthropic, a précisé le PDG Satya Nadella lors d’une conférence téléphonique sur les résultats financcette semaine indiquant que le nombre de clients dépensant plus d’un million de dollars par trimestre sur Foundry a progressé de près de 80% au cours du trimestre clos en décembre.

Perplexity compte parmi les start-ups d’IA les mieux valorisées, mais fait face à une rude concurrence de Google et OpenAI dans son ambition de révolutionner la recherche d’informations en ligne. Contrairement à OpenAI et Anthropic, qui ont récemment multiplié les accords d’infrastructure, elle n’a pas levé autant de capitaux que ses concurrents.

« `

The post Perplexity se laisse séduire par Microsoft Foundry…sans lâcher AWS appeared first on Silicon.fr.

Panne Microsoft en cours ce mercredi, Azure et Microsoft 365 connaissent des accès dégradés, avec une piste DNS évoquée et plus de 11 000 signalements.

Cet article Panne Microsoft sur Azure et Microsoft 365 avec plus de 11 000 signalements est apparu en premier sur Linformatique.org.