An anonymous reader quotes a report from Ars Technica: Two years ago, Microsoft launched its first wave of "Copilot+" Windows PCs with a handful of exclusive features that could take advantage of the neural processing unit (NPU) hardware being built into newer laptop processors. These NPUs could enable AI and machine learning features that could run locally rather than in someone's cloud, theoretically enhancing security and privacy. One of the first Copilot+ features was Recall, a feature that promised to track all your PC usage via screenshot to help you remember your past activity. But as originally implemented, Recall was neither private nor secure; the feature stored its screenshots plus a giant database of all user activity in totally unencrypted files on the user's disk, making it trivial for anyone with remote or local access to grab days, weeks, or even months of sensitive data, depending on the age of the user's Recall database. After journalists and security researchers discovered and detailed these flaws, Microsoft delayed the Recall rollout by almost a year and substantially overhauled its security. All locally stored data would now be encrypted and viewable only with Windows Hello authentication; the feature now did a better job detecting and excluding sensitive information, including financial information, from its database; and Recall would be turned off by default, rather than enabled on every PC that supported it. The reconstituted Recall was a big improvement, but having a feature that records the vast majority of your PC usage is still a security and privacy risk. Security researcher Alexander Hagenah was the author of the original "TotalRecall" tool that made it trivially simple to grab the Recall information on any Windows PC, and an updated "TotalRecall Reloaded" version exposes what Hagenah believes are additional vulnerabilities. The problem, as detailed by Hagenah on the TotalRecall GitHub page, isn't with the security around the Recall database, which he calls "rock solid." The problem is that, once the user has authenticated, the system passes Recall data to another system process called AIXHost.exe, and that process doesn't benefit from the same security protections as the rest of Recall. "The vault is solid," Hagenah writes. "The delivery truck is not." The TotalRecall Reloaded tool uses an executable file to inject a DLL file into AIXHost.exe, something that can be done without administrator privileges. It then waits in the background for the user to open Recall and authenticate using Windows Hello. Once this is done, the tool can intercept screenshots, OCR'd text, and other metadata that Recall sends to the AIXHost.exe process, which can continue even after the user closes their Recall session. "The VBS enclave won't decrypt anything without Windows Hello," Hagenah writes. "The tool doesn't bypass that. It makes the user do it, silently rides along when the user does it, or waits for the user to do it." A handful of tasks, including grabbing the most recent Recall screenshot, capturing select metadata about the Recall database, and deleting the user's entire Recall database, can be done with no Windows Hello authentication. Once authenticated, Hagenah says the TotalRecall Reloaded tool can access both new information recorded to the Recall database as well as data Recall has previously recorded. "We appreciate Alexander Hagenah for identifying and responsibly reporting this issue. After careful investigation, we determined that the access patterns demonstrated are consistent with intended protections and existing controls, and do not represent a bypass of a security boundary or unauthorized access to data," a Microsoft spokesperson told Ars. "The authorization period has a timeout and anti-hammering protection that limit the impact of malicious queries."

Read more of this story at Slashdot.

14,92€ - Amazon

À propos de cet article

• Knipex Ciseaux d’électricien avec gaines bi-matière, renforcées de fibres de verre 155 mm (carte LS/blister) 95 05 155 SB

Carrefour Market

[Club Carrefour] 50% remboursé en bons d'achats dès 10€ d'achat & dans la limite de 20€ sur la boucherie (hors surgelés et volailles en libre service)
...

L’accord conclu en février entre trois organisations patronales et trois organisations syndicales prévoit notamment de ramener de 18 à 15 mois la durée maximale d’indemnisation pour les allocataires âgés de moins de 55 ans, et à 20,5 mois pour les plus de 55 ans.

© Tom Nicholson/REUTERS

DÉCRYPTAGE - Après la superbe victoire de Strasbourg contre Mayence en quarts de finale retour de la Ligue Conférence (4-2 sur les deux matches), découvrez ce qui a plu, et déplu, à la rédaction du Figaro.

© Icon Sport / Ewen Gavet / PictureAlliance / Icon Sport / Claus

54,16€ - Amazon

Excellent prix pour cette précommande, disponible au 1er août, avec la livraison gratuite à domicile.

69.99 euros chez Lego. (embarrassed)

8,74€ - Nintendo

Un petit jeu de puzzle et de réflexion assez sympa où on prend des photos pour manipuler la réalité.

---

Défiez la perception, redéfinissez la ...

2€ - L'entrepôt du bricolage

La lampe à poser carré en métal noir E27 60W de XANLITE est un éclairage décoratif pour toutes les pièces de la maison.

*caractéristiques du produit:...

4,99€ - Steam

NOUVEAUTÉS D'ORI: DEFINITIVE EDITION

• Un contenu inédit et très riche : nouvelles zones et compétences, secrets et scénarios inédits, plusieurs nive...

152,15€ - Amazon.de

Hello,

Prix correct pour ce SC (y)
Via remise auto dans le panier.
Vendu et expedié par amazon.de

Test Les

1. Céline Dion : "Dansons", sa nouvelle chanson avec Jean-Jacques Goldman dévoilée... Voici où l'écouter  Linternaute.com
2. Le Figaro a écouté Dansons, le single événement de Céline Dion composé par Jean-Jacques Goldman  Le Figaro
3. Céline Dion sort « Dansons » : elle est comment cette nouvelle chanson écrite par Jean-Jacques Goldman  Le Parisien
4. Céline Dion : écoutez son nouveau tube écrit par Jean-Jacques Goldman ce soir à minuit sur Nostalgie  Nostalgie
5. Céline Dion fait son retour avec « Dansons », une chanson écrite par Goldman  20 Minutes

1. Responsable peut-être, coupable sûrement pas  Eurosport
2. Le constat amer de Kylian Mbappé sur le niveau du Real Madrid  Foot Mercato
3. « On ne gagne plus rien » : le Real de Mbappé face au spectre d’une saison blanche  Le Parisien
4. « Nous ne renoncerons jamais » : Kylian Mbappé déterminé après l’élimination du Real Madrid  Ouest-France
5. Kylian Mbappé ciblé après la défaite  Sports.fr

1. Ligue Conférence : le RC Strasbourg renverse Mayence et se qualifie pour la première demi-finale européenne de son histoire  franceinfo
2. Gary O'Neil après la qualification de Strasbourg pour les demi-finales de Ligue Conférence : « Un match dont je me rappellerai toute ma vie »  L'Équipe
3. Le RC Strasbourg renverse Mayence en quart de finale retour de Ligue Conférence et s’offre sa première demi-finale européenne  Le Monde.fr
4. ”Ici, c’est chez nous” : Strasbourg, une fête qui restera  Eurosport
5. Ligue Europa Conference : Strasbourg réalise l’exploit contre Mayence et rejoint le dernier carré !  Foot Mercato

1. Ce que l’on sait de la mort violente d’une habitante d’un petit village breton  20 Minutes
2. PORTRAIT. Qui était Catherine Josselin, cette femme de 66 ans décédée à Plouasne après l’intervention de deux élus ?  Ouest-France
3. Victime maintenue au sol, "pression des riverains"... Ce que l'on sait sur la mise en examen du maire de Plouasne après la mort d'une sexagénaire  BFM
4. « Ma mère était une belle personne » : après le drame de Plouasne, la fille de Catherine Josselin lui rend un puissant hommage  Le Télégramme
5. Le maire et plusieurs élus voulaient la faire interner de force en hôpital psychiatrique : une habitante du village meurt devant chez elle  Midi Libre

Avec « De Hugo Pratt à Corto Maltese. Un voyage dans l’imaginaire », le festival de la bande dessinée met en valeur le travail de l’artiste italien préalable à la création de son héros emblématique.

© CONG S.A. SUISSE

1. Connu pour ses positions radicales anti-France, l'influenceur Kemi Seba arrêté en Afrique du Sud  CNews
2. L'influenceur anticolonialiste Kemi Seba, déchu de sa nationalité française, a été arrêté en Afrique du Sud  franceinfo
3. Le suprémaciste noir béninois Kemi Seba arrêté par les autorités sud-africaines  Le Monde.fr
4. Pourquoi, comment, avec qui : ce que l’on sait de l’arrestation de Kemi Seba en Afrique du Sud  Jeune Afrique
5. Arrêté en Afrique du Sud, l’agitateur anti-occidental Kemi Seba pourrait être extradé au Bénin  Le Point

1. Guerre au Moyen-Orient : l’Europe n’a "plus que six semaines de carburant pour avions", alerte le directeur de l’agence de l’énergie  Midi Libre
2. Flambée du prix du kérosène : vaut-il mieux acheter ses billets d’avion tout de suite ou attendre ?  Le Figaro
3. Flambée du kérosène : ceux qui ont déjà réservé un billet d'avion peuvent-ils devoir payer un supplément  TF1 Info
4. Face au risque de pénurie de kérosène qui pourrait rapidement perturber le trafic aérien, l’Union européenne planche sur des mesures d’urgence  L'Usine Nouvelle
5. Les compagnies aériennes redoutent une pénurie de kérosène à l’approche de l’été  Courrier international

Conférence traduite de Cory Doctorow sur comment les USA ont monté tellement de gens contre eux qu'on se dirige vers un internet libéré. J'aimerais vraiment y croire.
(Permalink)

OpenAI is updating Codex with more agent-like capabilities, positioning it as a more direct rival to Anthropic's Claude Code. Some of the new features include the ability to operate macOS desktop apps, browse the web inside the app, generate images, use new workplace plug-ins, and remember useful context from past tasks. The Verge reports: Codex will now be able to operate desktop apps on your computer, OpenAI says in a blog post announcing the update. It can work in the background, meaning it won't interfere with your own work in other apps, and multiple agents can work in parallel. For developers, OpenAI says "this is helpful for testing and iterating on frontend changes, testing apps, or working in apps that don't expose an API." The feature will start rolling out to Codex desktop app users signed in with ChatGPT today and will initially be limited to macOS. OpenAI did not indicate a timeline for when use will expand to other operating systems. EU users will also have to wait, it said, adding that the update will roll out to users there "soon." Codex is also getting the ability to generate and iterate on images with gpt-image-1.5, new plug-ins for tools like GitLab, Atlassian Rovo, and Microsoft Suite, and native web browsing through an in-app browser, "where you can comment directly on pages to provide precise instructions to the agent." OpenAI also said it will also be easier to automate tasks, with users able to re-use existing conversation threads and Codex now able to schedule future work for itself and wake up automatically to continue on a long-term task. Codex will also be getting a memory feature allowing it to remember useful context from past experience, such as personal preferences, corrections, and information that took time to gather. OpenAI said it hopes the opt-in feature, which will be released as a preview, will help future tasks complete faster and to a quality that previously required detailed custom instructions. The personalization features will roll out to Enterprise, Edu, and EU users "soon."

Read more of this story at Slashdot.

Après un petit report d’un mois, Mouse: P.I. for Hire a pointé le bout de son museau avec une force de frappe mercatique plutôt conséquente. Alors que l’équipe polonaise de Fumi Games est plutôt catégorisée du côté des indépendants, ils semblent avoir fait le bon choix en s’associant avec l’éditeur PlaySide. En effet, outre les trailers réguliers partagés à la presse, ils ont largement distribué leur jeu en avance auprès des influenceurs pour généré un peu de hype. Il faut dire qu’avec son style inspiré des dessins animés des années 30, le titre avait de quoi intriguer, ce qui explique sans doute la quantité de tests publiés sur les sites spécialisés. Mouse: P.I. for Hire bénéficie donc d’assez de retours pour avoir une note chez Metacritic et OpenCritic, ce qui reste assez rare pour un projet issu d’un studio relativement inconnu. Le score est respectivement de 81 et 83, ce qui témoigne d’un réel engouement des journalistes de l’industrie. Il semble que la plupart des YouTubeurs l’aient également apprécié.

À la rédac, on vient juste de recevoir la clef, et on n’a pas encore eu le temps de le lancer. Même s’il y a de grandes chances pour qu’ils ne se soient pas tous trompés, on préfère rester sur la réserve. Cependant, on peut tout de même vous partager les avis globaux : la direction artistique met tout le monde d’accord, tout comme le gunfeel, qui a l’air très réussi. En revanche, si certains louent les phases d’enquête, d’autres les trouvent éculées et peu inspirées. Quoi qu’il en soit, on va essayer de donner notre avis au plus tôt, mais pas la peine de se presser non plus : c’est un jeu solo.

Si vous vous en foutez et que vous voulez vous lancer dans Mouse: P.I. for Hire, vous pouvez le retrouver sur Steam pour 30 €.