Read more of this story at Slashdot.
Ce qui est "amusant" avec les futurs processeurs Panther Lake d'Intel, c'est qu'il ne s'écoule pas une semaine sans un rebondissement dans les informations ou rumeurs à son sujet. La plus marquante était sans doute le fait que les Xe3-cores utilisés dans son GPU intégré n'avaient finalement rien à v...
Read more of this story at Slashdot.
Read more of this story at Slashdot.
Anthropic explique avoir détecté l’utilisation de son service de vibe coding Claude Code pour mettre au point des cyberattaques en passant outre les garde-fous mis en place. La startup d’IA a analysé l’attaque, banni les comptes utilisés pour la mettre en place, prévenu les entreprises ciblées et travaillé avec les autorités concernées.
Certains clients des entreprises d’IA générative veulent profiter de leurs outils pour monter plus facilement des cyberattaques. Il y a un mois, OpenAI expliquait avoir banni des comptes chinois cherchant à surveiller les réseaux sociaux.
C’est maintenant au tour d’Anthropic de publier un rapport sur le sujet. Ici, l’entreprise explique avoir détecté à la mi-septembre ce qu’elle qualifie d’ « opération de cyberespionnage sophistiquée » conduite par un groupe de hackers (qu’elle nomme GTG-1002) soutenu par l’État chinois.
« Les pirates ont utilisé les capacités « agentiques » de l’IA à un degré sans précédent, utilisant l’IA non seulement comme conseiller, mais aussi pour exécuter eux-mêmes les cyberattaques », affirme Anthropic.
Sans indiquer si c’est une mesure au doigt mouillé ou un calcul plus précis, Anthropic affirme qu’ils ont « pu utiliser l’IA pour mener à bien 80 à 90 % de la campagne, l’intervention humaine n’étant nécessaire que de manière sporadique (peut-être 4 à 6 points de décision critiques par campagne de piratage) ». Elle indique quand même que « la quantité de travail effectuée par l’IA aurait pris énormément de temps à une équipe humaine. Au plus fort de son attaque, l’IA a effectué des milliers de requêtes, souvent plusieurs par seconde, une vitesse d’attaque qui aurait été tout simplement impossible à égaler pour des pirates informatiques humains ». Si Anthropic « vend » les capacités de son IA à faire des milliers de requêtes, rappelons que l’automatisation des cyberattaques ne date pas d’aujourd’hui : on connait déjà depuis des années des attaques DdoS submergeant des systèmes informatiques de requêtes ou de données.
L’entreprise explique avoir lancé une enquête dès qu’elle a détecté l’activité suspicieuse. Anthropic indique que cette enquête a duré 10 jours pendant lesquels elle a petit à petit banni les comptes utilisés, informé les cibles concernées et travaillé avec les autorités.
Selon Anthropic, Claude Code a été utilisé pendant les cinq phases de l’attaque, de la mise en place et la sélection des cibles à l’extraction des données intéressantes, en passant par les phases de recherche de vulnérabilités des infrastructures ciblées et celle de collecte d’identifiants utiles pour s’infiltrer.
Dans son rapport, l’entreprise fournit des exemples de séquences de mise en place du système avec les tâches effectuées par Claude et celles de l’utilisateur humain :
Pour mettre en place leur projet, les pirates ont dû passer les sécurités mises en place dans Claude par Anthropic pour bloquer les attaques. L’entreprise avoue qu’ils ont pu cacher leur projet simplement en découpant les attaques en petites tâches paraissant anodines, ce qui coupait Claude du contexte complet des attaques. « Ils ont également dit à Claude qu’il s’agissait d’un employé d’une entreprise de cybersécurité légitime et qu’il était utilisé dans le cadre de tests défensifs », affirme l’entreprise.
Dans son billet, Anthropic constate qu’avec des outils comme Claude, « les barrières pour réaliser des cyberattaques sophistiquées se sont abaissées énormément » et elle prévoit que cette baisse va continuer. « Des groupes moins expérimentés et disposant de moins de ressources peuvent désormais potentiellement mener des attaques à grande échelle de cette nature », assure-t-elle.
De quoi abandonner le développement de Claude ? L’entreprise se pose elle-même la question : « si les modèles d’IA peuvent être détournés à des fins de cyberattaques à cette échelle, pourquoi continuer à les développer et à les commercialiser ? ». Mais elle se reprend très vite : « La réponse est que les capacités mêmes qui permettent à Claude d’être utilisé dans ces attaques le rendent également indispensable pour la cyberdéfense ». Claude aurait alors une place de choix dans la course aux armements.
Anthropic explique avoir détecté l’utilisation de son service de vibe coding Claude Code pour mettre au point des cyberattaques en passant outre les garde-fous mis en place. La startup d’IA a analysé l’attaque, banni les comptes utilisés pour la mettre en place, prévenu les entreprises ciblées et travaillé avec les autorités concernées.
Certains clients des entreprises d’IA générative veulent profiter de leurs outils pour monter plus facilement des cyberattaques. Il y a un mois, OpenAI expliquait avoir banni des comptes chinois cherchant à surveiller les réseaux sociaux.
C’est maintenant au tour d’Anthropic de publier un rapport sur le sujet. Ici, l’entreprise explique avoir détecté à la mi-septembre ce qu’elle qualifie d’ « opération de cyberespionnage sophistiquée » conduite par un groupe de hackers (qu’elle nomme GTG-1002) soutenu par l’État chinois.
« Les pirates ont utilisé les capacités « agentiques » de l’IA à un degré sans précédent, utilisant l’IA non seulement comme conseiller, mais aussi pour exécuter eux-mêmes les cyberattaques », affirme Anthropic.
Sans indiquer si c’est une mesure au doigt mouillé ou un calcul plus précis, Anthropic affirme qu’ils ont « pu utiliser l’IA pour mener à bien 80 à 90 % de la campagne, l’intervention humaine n’étant nécessaire que de manière sporadique (peut-être 4 à 6 points de décision critiques par campagne de piratage) ». Elle indique quand même que « la quantité de travail effectuée par l’IA aurait pris énormément de temps à une équipe humaine. Au plus fort de son attaque, l’IA a effectué des milliers de requêtes, souvent plusieurs par seconde, une vitesse d’attaque qui aurait été tout simplement impossible à égaler pour des pirates informatiques humains ». Si Anthropic « vend » les capacités de son IA à faire des milliers de requêtes, rappelons que l’automatisation des cyberattaques ne date pas d’aujourd’hui : on connait déjà depuis des années des attaques DdoS submergeant des systèmes informatiques de requêtes ou de données.
L’entreprise explique avoir lancé une enquête dès qu’elle a détecté l’activité suspicieuse. Anthropic indique que cette enquête a duré 10 jours pendant lesquels elle a petit à petit banni les comptes utilisés, informé les cibles concernées et travaillé avec les autorités.
Selon Anthropic, Claude Code a été utilisé pendant les cinq phases de l’attaque, de la mise en place et la sélection des cibles à l’extraction des données intéressantes, en passant par les phases de recherche de vulnérabilités des infrastructures ciblées et celle de collecte d’identifiants utiles pour s’infiltrer.
Dans son rapport, l’entreprise fournit des exemples de séquences de mise en place du système avec les tâches effectuées par Claude et celles de l’utilisateur humain :
Pour mettre en place leur projet, les pirates ont dû passer les sécurités mises en place dans Claude par Anthropic pour bloquer les attaques. L’entreprise avoue qu’ils ont pu cacher leur projet simplement en découpant les attaques en petites tâches paraissant anodines, ce qui coupait Claude du contexte complet des attaques. « Ils ont également dit à Claude qu’il s’agissait d’un employé d’une entreprise de cybersécurité légitime et qu’il était utilisé dans le cadre de tests défensifs », affirme l’entreprise.
Dans son billet, Anthropic constate qu’avec des outils comme Claude, « les barrières pour réaliser des cyberattaques sophistiquées se sont abaissées énormément » et elle prévoit que cette baisse va continuer. « Des groupes moins expérimentés et disposant de moins de ressources peuvent désormais potentiellement mener des attaques à grande échelle de cette nature », assure-t-elle.
De quoi abandonner le développement de Claude ? L’entreprise se pose elle-même la question : « si les modèles d’IA peuvent être détournés à des fins de cyberattaques à cette échelle, pourquoi continuer à les développer et à les commercialiser ? ». Mais elle se reprend très vite : « La réponse est que les capacités mêmes qui permettent à Claude d’être utilisé dans ces attaques le rendent également indispensable pour la cyberdéfense ». Claude aurait alors une place de choix dans la course aux armements.
Read more of this story at Slashdot.
Proposé par Solder Party’s, le KeebDeck Basic est une solution ultra-compacte qui se connectera à n’importe quel montage ou PC grâce à un firmware hautement paramétrable.
Piloté par une solution QMK qui fera l’interface entre son micro-controleur STM32F042 et sa connexion USB Type-C, le KeebDeck Basic propose 69 touches programmables. Livré en QWERTY, il peut ainsi être dérivé dans la configuration de son choix.
La membrane silicone livrée étant optionnelle ou remplaçable par une solution imprimée en 3D avec une matière comme du TPU. Mesurant 8.74 cm de large pour 6.7 cm de profondeur le petit clavier
En haut à droite du KeebDeck Basic, on peut voir les différents éléments à souder.
Le KeebDeck Basic est un clavier parfaitement fonctionnel construit autour de plusieurs solutions de connexion. Le port USB Type-C sera l’interface de base, mais il sera possible de profiter d’une connectique I2C ou même de lui souder un connecteur Qwiic. Le firmware QMK préinstallé pouvant ensuite être configuré pour fonctionner aussi bien avec un PC sous Windows, Linux ou MacOS.
Une tablette Android ou iOS. Une carte de développement comme un RaspberryPi ou autyre. Un module robotique programmable ou que sais-je encore. L’objet pouvant soit fonctionner de manière parfaitement autonome, tel quel, ou s’intégrer dans un châssis sur mesures. On pourra évidemment l’ajouter à un projet plus vaste. On imagine un Cyberdeck avec ce type de clavier, un PC déporté avec un petit écran pour piloter une solution domotique ou autre.
La membrane en TPU est coincée entre deux PCB
L’arrière du PCB montre des fonctions intéressantes pour un usage déporté comme la possibilité de monter un bouton de démarrage ou des LEDs de rétroéclairage. S’il faudra sortir son fer à souder pour en profiter, cet ajout n’aura rien de vraiment compliqué. Le côté Open Source du clavier permettra sans doute de récupérer des tonnes de documentations, projets et montage construits autour de ce petit clavier.
Le KeebDeck Basic dans son cadre imprimé
Un cadre à imprimer en 3D est déjà diposnible surPrintable pour en faire un clavier de poche qui ne nécessitera qu’un câble USB pour piloter n’importe quel ordinateur.
Le prix est l’autre argument phare de l’objet. Proposé à 8.40€ TTC, il demandera malheureusement pas moins de 6€ de frais de port pour atterrir chez vous. 9€ pour 2 à 5 unités et 21€ entre 6 et 10 pièces. L’idéal étant donc d’en acheter 5 pour partager les 9€ à plusieurs.
Toute la documentation est disponible sur le site de Solder Party
KeebDeck Basic : un petit clavier Open Source à 8€ © MiniMachines.net. 2025
Read more of this story at Slashdot.
Read more of this story at Slashdot.
Des échanges pimentés ont eu lieu ces dernières semaines entre le projet open source FFmpeg, Google et plusieurs experts en sécurité. Au cœur du débat, le signalement d’un trop grand nombre de problèmes par Google jugés secondaires par l’équipe de FFmpeg. Les discussions houleuses sur le sujet illustrent la problématique du sous-financement des briques logicielles open source essentielles.
FFmpeg est un composant omniprésent, même si vous n’avez jamais croisé sa route. Il est discret, mais il est partout : dans presque tous les navigateurs, VLC, ou encore des produits comme Kodi et Plex. Ce framework, écrit en assembleur, a pour mission de lire et transcoder tous les formats vidéo existants. Il est considéré depuis longtemps comme robuste et très performant.
Cette ubiquité et ces louanges masquent cependant une réalité : FFmpeg est développé par une équipe de bénévoles. Comme de nombreuses briques open source, son financement est difficile et les dons sont essentiels. Une situation mise de nouveau en lumière à la faveur d’un « simple » signalement de sécurité.
Mi-octobre, le compte X de FFmpeg publie plusieurs messages où filtre la colère. On peut lire par exemple que le projet a été accepté par l’initiative européenne YesWeHack pour faciliter la découverte de failles de sécurité. « Aucune réflexion n’a été menée sur le financement des bénévoles qui doivent corriger les bugs gratuitement », ajoute cependant le message.
Dans la foulée, un autre message mettait en avant le cas de Nick Wellnhofer, mainteneur principal de la bibliothèque libxml2, qui critiquait le circuit habituel des signalements de failles de sécurité, autant que le fonctionnement peu ouvert de la Linux Foundation. Il s’en prenait en particulier à Google, dont le Project Zero, décrit comme ce qu’on peut se payer de mieux dans le domaine de la recherche de failles de sécurité, mais venant respirer « sur la nuque des bénévoles ». D’autant plus avec sa politique stricte de publication des détails au bout de 90 jours si aucun correctif n’a été fourni.
Confrontée à une déferlante de fausses informations, la retraite complémentaire a récemment publié un message d’alerte sur son site web. Nous avons découvert que la quasi-totalité des articles mis en avant ces derniers mois par Google au sujet de l’Agirc-Arrco émanaient d’articles (hallucinés, voire mensongers) générés par IA. Sur les 10 % d’articles émanant de rédactions humaines, plus de la moitié concernaient ces fake news.
Cet été, un éditeur de sites d’infos générées par IA (GenAI) a accusé plusieurs chaînes d’hypermarchés de vendre des produits cancérigènes, pourris, lavés à l’eau de Javel ou recongelés. Ses articles n’en avaient pas moins été recommandés par l’algorithme Discover de Google, comme nous le relations dans un précédent article. Mais ces chaînes de magasins ne sont pas les seules à avoir été ciblées de la sorte par de fausses informations sensationnalistes.
En début d’année, la retraite complémentaire des salariés de l’agriculture, du commerce, de l’industrie et des services (dite Agirc-Arrco, qui complète la retraite obligatoire de base), avait elle aussi été alertée au sujet de rumeurs la concernant sur les réseaux sociaux.
Cet été, elle a en outre été confrontée à une déferlante de fausses informations, diffusées sur des sites d’infos générées par IA, et pour certaines relayées sur des réseaux sociaux. Au point que l’Agirc-Arrco a publié sur son site une alerte dédiée mi-septembre, déplorant cette prolifération d’ « articles aux titres et contenus trompeurs, pouvant provoquer de l’inquiétude ».
Dans un article consacré aux « bons réflexes » à adopter en la matière, l’Agirc-Arrco donnait trois fausses informations en exemple, relatives au soi-disant versement d’une prime d’été, à de supposés retards de paiement, et au fait que la revalorisation des retraites complémentaires serait « déjà connue » (alors qu’elle n’est fixée qu’en octobre).
Nous avons effectivement identifié que l’algorithme de recommandation de contenus Discover de Google avait partagé de nombreux articles sensationnalistes cet été émanant de la ferme de sites GenAI de Julien Jimenez notamment, le serial-éditeur qui spamme tellement Google que ses confrères s’en plaignent.
Ils l’accusent en effet de « défonce[r] le business » à force de spammer Google avec des centaines de « conneries de fakenews massive (320 articles hier sur un seul site) pour s’en foutre plein les poches ».
Certains de ses articles, publiés cet été, n’hésitaient pas à illustrer par le propos des citations de personnes ayant prétendument été interviewées, alors qu’elles ont vraisemblablement été générés par IA : « personne n’avait vu venir une réforme aussi brutale et rapide », « on se sent pris de court et trahis par ceux qui décident », « on nous prend vraiment pour des chiens ».
Si la peur fait vendre, les bonnes nouvelles peuvent également inciter les internautes à cliquer, surtout lorsqu’elles leur promettent de gagner de l’argent, alors qu’ils ne s’y attendaient pas.
Nous avons ainsi identifié de nombreux articles, eux aussi mensongers, mais qui n’en ont pas moins été recommandés par Discover, annonçant notamment aux retraités un bonus de « jusqu’à 380 € mensuels », des rentes revalorisées ou d’énormes « remboursements ».
D’autres articles vont jusqu’à mettre l’accent sur un risque de tensions sociales, avançant par exemple que, « malgré les promesses », les retraités auraient obtenu une « prime exceptionnelle » qualifiée par un syndicaliste (dans une citation elle aussi probablement générée par IA) de « victoire arrachée de haute lutte » qui, cela dit, « ravive les tensions sur la justice sociale ».
Un autre de ces personnages, a priori GenAI, oppose de son côté fonctionnaires du public et salariés du privé en affirmant que ces derniers « touchent un avantage inédit face aux fonctionnaires », au point que ces derniers « vont hurler à l’injustice ».
Ironie de l’histoire, certains sites GenAI poussent le vice jusqu’à publier des articles de fact-checking revenant sur les rumeurs et fausses infos démenties par l’Agirc-Arrco « après que des articles frauduleux, souvent écrits par des intelligences artificielles, ont fait le buzz », alors qu’ils sont eux-mêmes générés par IA.
Un autre article, lui aussi recommandé par Discover, relève que des « plateformes douteuses » étaient alors pointées du doigt pour la diffusion de fausses informations sur une aide vacances prétendument offerte par l’Agirc-Arrco, et que « ces sites publient des articles illustrés par des images générées par intelligence artificielle, suggérant que le contenu pourrait également être produit par IA ».
Si Julien Jimenez excelle en la matière, et qu’il surclasse ses concurrents, il n’est pas le seul éditeur de sites GenAI à surfer sur ce type de fausses informations anxiogènes. DiscoverSnoop, un dashboard de suivi des articles recommandés par Discover, a en effet identifié 156 articles recommandés par Discover au sujet de l’Agirc-Arrco, dont 131 générés par IA (soit 84 %), dans 42 médias, dont 31 GenAI (soit 74 %).
Gnewsalyzer, concurrent (gratuit) de DiscoverSnoop, dénombre de son côté 146 articles relatifs à l’Agirc-Arrco recommandés par Discover, dont 17 ont été publiés par des médias connus dans la profession, et 129 (soit 88 %) par des sites figurant dans notre base de données comme étant générés par IA.
Cette épidémie de fake news affecte aussi la presse généraliste : la plupart des articles publiés sur de vrais sites de presse (La Dépêche, Ici, Pleine Vie, Notre Temps, Boursorama, RMC, commentcamarche.net) portaient en effet précisément sur le message d’alerte de l’Agirc-Arrco au sujet de cette prolifération de fausses informations générées par IA.
Dit autrement : la quasi-totalité des articles publiés ces derniers temps au sujet de l’Agirc-Arrco émanent, et/ou concernent, des contenus (hallucinés, voire mensongers) générés par IA.
Signe de l’ampleur du problème : l’un de ces médias « mainstream », Sud Ouest, a néanmoins relayé une (fausse) « bonne nouvelle pour les retraités ». Dans un article titré (au conditionnel) « Agirc-Arrco : quel est ce versement exceptionnel qui pourrait arriver cet automne ? », il reprenait en effet une info émanant de L’Écho des Seniors, un site d’infos que nous avions identifié comme étant « en tout ou partie » généré par IA.
Read more of this story at Slashdot.
Connexion