Si vous étiez abonné à un magazine de jeux PC dans les années 90 et 2000, vous vous souvenez forcément des CD fournis avec chaque numéro de votre petit journal.

Démos jouables de jeux en cours de dev, mods, patchs, bonus, cartes supplémentaires pour les Doom et autres Quake de l'époque : les cover discs étaient un peu la seule façon de tester un jeu avant achat quand le téléchargement à 56k ne permettait pas grand-chose.

L'Internet Archive vient d'intégrer à sa collection 758 des disques du magazine PC Gamer, soit environ 1,2 To de contenu. La préservation a été orchestrée par Jason Scott (déjà à l'origine de pas mal de sauvetages numériques sur le site) avec une flopée de contributeurs bénévoles.

Chaque CD est dispo en image complète, téléchargeable directement depuis archive.org, sans compte ni inscription. Vous pouvez aussi les lancer dans un émulateur DOS ou Windows vintage si vous voulez l'expérience d'époque.

Dans le lot, il y a quelques pépites. Le disque Quake-O-Rama d'octobre 1997 contient une pelletée de maps Quake et surtout le premier speedrun démo de Quake Done Quick, document historique pour qui s'intéresse à l'histoire du competitive gaming.

Un autre disque de mars 2008 contient un épisode complet de la série Sam & Max de Telltale et une bande-annonce de Duke Nukem Forever.

Au-delà du plaisir de nostalgie, cette collection a une vraie valeur archéologique. Pas mal de ces démos contiennent des versions de jeux qui n'ont jamais été finis, des builds beta qui n'ont pas circulé ailleurs, des mods dont les auteurs ont depuis longtemps laissé leurs sites web mourir.

Bref, de la matière qu'on ne retrouverait nulle part sans ce boulot de numérisation. Jason Scott fait ça depuis plus de vingt ans sur l'Internet Archive, et c'est exactement le genre de travail que personne d'autre ne fait.

Si vous voulez farfouiller, la collection est dispo sur  archive.org  sous le nom " PC Gamer Demo Disc Collection ". Prévoyez un peu d'espace disque. Et surtout du temps. 758 CD-ROM, ça fait un sacré paquet d'heures à redécouvrir.

Une piqûre de rappel bienvenue sur le fait que les magazines papier étaient, quand même, un sacré vecteur de diffusion culturelle.

Source et visuel : Techspot

Prolonger la durée de vie d'un AirTag de quelques mois à plusieurs années, c'est la promesse du boîtier DuHeSin vendu autour de 20 euros sur Amazon. L'accessoire remplace la CR2032 d'origine par deux piles AA classiques, ce qui multiplie l'autonomie par 14 selon le fabricant. De quoi passer d'environ un an d'usage à plus d'une décennie.

Le principe est direct : vous dévissez le couvercle métallique de l'AirTag, vous placez la puce dans le logement dédié, vous insérez les deux piles AA dans le boîtier, et vous refermez l'ensemble avec la clé Allen de 4 mm fournie. Deux minutes. Le tout est en ABS noir, annoncé étanche.

Le fabricant mise aussi sur le côté modulaire avec quatre usages possibles dans la boîte. Vous pouvez suspendre le boîtier à un porte-clés, l'aimanter sur une surface métallique grâce à l'aimant intégré, le fixer avec une bande adhésive ou simplement le ranger tel quel dans un sac. De quoi suivre une voiture, un vélo, une moto, une valise ou un sac photo sans devoir remplacer la pile tous les six mois. C'est surtout pour ces cas de figure que l'objet prend son sens, pour les AirTag qu'on planque dans un véhicule, une remorque ou un équipement qu'on ne veut pas démonter tous les ans.

L'intérêt est évident : ne plus avoir à aller chercher votre AirTag au fond du garage ou dans une remorque difficile d'accès juste pour changer une pile régulièrement. Pour qui laisse un AirTag dans un bateau ou une moto remisée tout l'hiver, c'est un con calcul.

Côté étanchéité, le constructeur parle d'imperméabilité sans préciser de norme IP, donc à tester en conditions réelles avant de le balancer sous la pluie trois jours de suite. La note Amazon tourne autour de 4,5 sur 5 avec une centaine d'avis, mais bien sûr personne n'a encore testé le produit sur 10 ans ! Il va falloir donc tester nous même en condition les amis, ha ha.

Bref, c'est un accessoire quand même bien pensé pour les AirTag qu'on planque et qu'on oublie. J'en ai mis un dans ma voiture, bien planqué, et on va dire que je peux l'oublier maintenant ! Disponible ici sur Amazon , et par ici pour les AirTags !

Des utilisateurs de Claude Desktop sont en train de découvrir que l'application d'Anthropic se permet d'aller bidouiller les réglages de plusieurs navigateurs, y compris ceux qui ne sont pas installés sur la machine.

L'idée est simple, c'est pré-configurer l'accès pour que, le jour où vous installeriez Chrome, Firefox ou Edge, Claude puisse directement automatiser votre navigation sans avoir à redemander la permission.

Sur le papier, ça part d'une intention louable. Éviter de vous ennuyer avec un prompt de permission à chaque installation, pourquoi pas. Sauf que voilà, personne n'a demandé à ce que Claude Desktop touche aux navigateurs absents, et encore moins à ceux que l'utilisateur a délibérément choisi de ne pas avoir.

On a par exemple un chercheur en sécurité qui n'avait jamais installé la moindre extension Anthropic, qui s'est retrouvé avec toutes ces préconfigurations silencieuses, selon The Register.

Le problème devient plus sérieux quand on regarde comment ça marche. 

L'application pont qui fait le lien entre Claude et les navigateurs tourne hors du sandbox navigateur, avec les privilèges complets de l'utilisateur. Ce qui veut dire qu'elle peut lire vos pages, remplir vos formulaires, capturer l'écran sur des sessions authentifiées, bref agir comme vous, sans aucune boîte de dialogue qui vienne prévenir ou demander confirmation.

Côté Anthropic, silence radio. On imagine bien que l'argument défensif sera qu'il s'agit juste de préparer le terrain pour Computer Use, la fonctionnalité qui permet à Claude d'utiliser votre PC comme un humain.

Sauf qu'installer des hooks dans des navigateurs absents ressemble quand même plutôt du squatting de permissions qu'à une préparation technique légitime.

Ce qui est rageant dans cette histoire, c'est qu'Anthropic se positionne depuis des mois comme l'acteur "sérieux" de l'IA, celui qui fait des papiers d'alignement et parle éthique à longueur de blog posts. Voir leur app desktop se comporter comme un logiciel de 2005 qui colle Ask Toolbar sans prévenir, c'est un camouflet côté image.

Pour les entreprises qui regardent si elles peuvent déployer Claude Desktop en flotte, ce genre de comportement va clairement peser dans la balance sécurité, et pas dans le bon sens.

Bref, on est là sur une histoire de permissions qui n'aurait jamais dû exister sur un produit d'une boîte qui se présente comme le pro de la sécurité IA.

Source : The Register

La 0.17.3 de GAIA, le framework open-source d'AMD pour faire tourner des agents IA en local sur puces Ryzen AI, débarque avec une fonction assez attendue. Vous pouvez désormais exporter vos agents personnalisés et les réimporter sur une autre machine en quelques clics.

Très concrètement, vous packagez vos agents dans un installeur GAIA custom, et au premier lancement sur la nouvelle machine, tout est déjà là, pré-configuré, directement prêt à tourner. Sous Windows, AMD a particulièrement bossé le sujet, pour qu'un seul fichier d'install suffise à tout transporter, même les prompts systèmes.

C'est le genre de détail qui paraît anodin mais qui change la donne quand vous configurez une flotte de PC ou que vous voulez juste refiler votre setup à un collègue sans passer deux heures à tout reconfigurer. La version embarque aussi quelques changements côté sécurité qui méritent qu'on s'y arrête.

Le cache RAG, qui stockait ses données via Pickle (la sérialisation native de Python connue pour être un gros vecteur d'attaque), passe désormais en JSON avec signature HMAC-SHA256.

En clair, plus de risque de voir un agent partagé déclencher du code arbitraire à l'ouverture du cache. Pour un framework pensé justement pour faire circuler des agents entre machines, c'était quand même devenu intenable de rester sur Pickle.

La bibliothèque C++ préserve maintenant les URLs compatibles OpenAI, ce qui permet aux agents de taper sur des back-ends d'inférence alternatifs sans perdre la config au moment du transfert.

Et la gestion documentaire a été revue pour que les agents qui traitent des fichiers s'en sortent mieux avec les PDF, Word et autres formats structurés. Bref, AMD continue de solidifier GAIA version après version plutôt que de sortir des gros coups marketing.

Petit rappel pour ceux qui découvrent : GAIA tourne en local, sur votre matos Ryzen AI, sans dépendance cloud. Vous construisez vos agents, ils fonctionnent chez vous, et absolument personne ne voit passer vos requêtes ni vos documents.

C'est clairement une approche à contre-courant de ce que font OpenAI et consorts, et ça colle avec la stratégie d'AMD de pousser l'IA embarquée sur les PC plutôt que de laisser Microsoft et Nvidia se partager le gâteau du silicium IA. Pour les développeurs qui bricolent déjà avec GAIA, la 0.17.3 est dispo dès maintenant sur le GitHub du projet.

L'import/export d'agents, c'est ce qui manquait pour que des agents GAIA custom circulent dans la communauté. Affaire à suivre.

Source : Phoronix

Vercel, c'est la plateforme d'hébergement web utilisée par des milliers de développeurs et d'entreprises pour déployer leurs sites et applications (c'est eux qui font Next.js, entre autres).

Un de leurs employés s'est inscrit sur Context.ai, un assistant IA pour la bureautique, en utilisant son compte professionnel Google. Au moment de l'installation, l'app a demandé l'accès à ses emails, ses fichiers, son agenda, bref tout le Google Workspace de la boîte. Il a cliqué "autoriser tout". Erreur classique.

Sauf que Context.ai s'est fait pirater en février. Un de leurs propres employés a chopé un malware (Lumma, un voleur de mots de passe) en téléchargeant des scripts de triche pour Roblox. Le genre de bêtise qui ouvre la porte à tout le reste.

L'attaquant a récupéré l'accès que Context.ai avait sur le Google Workspace de Vercel, avec des permissions très larges : emails, fichiers internes, infrastructure de déploiement.

ShinyHunters, un groupe de pirates connu, a revendiqué le coup sur un forum et mis en vente des clés d'accès, du code source, des données de bases et des clés API de Vercel.

Le PDG de Vercel estime que le nombre de clients touchés est "assez limité", sans donner de chiffres. Mais côté crypto, plusieurs projets hébergés sur la plateforme ont quand même lancé en urgence un changement de tous leurs mots de passe et clés d'accès, ce qui donne une idée de l'ambiance.

Ce qui rend cette affaire intéressante, c'est le mécanisme. Personne chez Vercel n'a été directement attaqué. C'est un outil tiers, un outil IA installé par un employé, qui a servi de pont. L'employé donne un accès large à un service externe, le service se fait pirater trois mois plus tard, et tout le contenu professionnel de l'entreprise se retrouve exposé.

C'est exactement le scénario que les experts en sécurité décrivent depuis un an quand ils parlent des outils IA qui demandent des permissions tentaculaires sur vos comptes pro.

Bref, le vrai problème n'est pas Vercel. C'est le "autoriser tout" sur un outil IA qu'un employé a installé sans se poser de questions.

Source : SecurityWeek

5 euros. C'est le prix du tracker Bluetooth qu'un journaliste néerlandais a caché dans une carte postale et envoyé à une frégate de la marine royale des Pays-Bas. Le navire, le HNLMS Evertsen, est un bâtiment de défense antiaérienne affecté à la protection du porte-avions français Charles de Gaulle en Méditerranée. Sa valeur est estimée à 585 millions de dollars.

Le journaliste, de la chaîne régionale Omroep Gelderland, a simplement utilisé le système postal officiel que le ministère de la Défense néerlandais met à disposition pour envoyer du courrier aux soldats et marins en mission.

Les instructions sont publiques, détaillées, et librement accessibles en ligne. Les cartes postales et enveloppes ne sont pas passées aux rayons X, contrairement aux colis. Du coup, le tracker est arrivé à bord sans être détecté.

Le tracker a fonctionné pendant environ 24 heures. Il a montré le navire quittant le port d'Héraklion en Crète, naviguant d'abord vers l'ouest le long de la côte, puis bifurquant vers l'est en direction de Chypre. Pour un groupe aéronaval en mission, la position d'un navire d'escorte est une information opérationnelle sensible, et un adversaire qui sait où se trouve l'Evertsen peut en déduire la zone probable du porte-avions Charles de Gaulle.

Le ministère de la Défense a réagi en interdisant les cartes de voeux contenant des piles dans le courrier militaire, forcément. C'est la réponse directe au test bien sûr, mais bon, l'info qui gêne le plus c'est que le système de courrier militaire néerlandais ne filtre pas le contenu des enveloppes classiques, c'est un peu étonnant.

Bref, seulement 5 euros de matériel et un timbre ont suffi à localiser un navire de guerre en pleine mission. Le rapport coût-efficacité est quand même étonnant.

Source : Business AM

Quand une startup ferme, ses conversations Slack, ses emails, ses tickets Jira et ses téraoctets de Google Drive ne disparaissent pas. Et maintenant, certaines les revendent.

SimpleClosure, une boîte spécialisée dans la fermeture d'entreprises, propose aux fondateurs de monétiser ce qu'elle appelle l'"exhausteur opérationnel" de leur défunte société en le vendant comme données d'entraînement pour des modèles d'IA.

C'est ce qu'a fait Shanna Johnson, l'ancienne patronne de cielo24, une entreprise de sous-titrage et transcription qui a fermé après 13 ans d'activité. Conversations internes, échanges clients, documentation technique, tout est parti dans le lot.

SimpleClosure supprime les données personnelles identifiables avant la vente, mais le contenu des échanges reste intact. En un an, la boîte a bouclé une centaine de transactions de ce type et récupéré plus d'un million de dollars pour les fondateurs concernés, avec des prix entre 10 000 et 100 000 dollars par entreprise.

SimpleClosure lance d'ailleurs Asset Hub, une plateforme dédiée où les sociétés en fermeture peuvent mettre en vente leurs dépôts de code, leurs archives Slack, leurs emails et leurs documents internes. Le marché se structure.

Le problème évident, c'est que les gens qui ont écrit ces messages ne savaient pas qu'ils finiraient dans un jeu de données d'entraînement. Marc Rotenberg, fondateur du Center for AI and Digital Policy, résume assez bien : "Les problèmes de vie privée ici sont quand même conséquents."

Un employé qui discute de son salaire, de ses problèmes personnels ou d'un conflit avec un collègue sur Slack n'a jamais donné son accord pour que ça serve à calibrer un modèle de langage.

Côté juridique, c'est complètement le flou. Les données appartiennent à l'entreprise, pas aux employés, et quand l'entreprise est en liquidation, le liquidateur ou le fondateur dispose de fait des actifs.

Du coup, dans les faits rien n'interdit aujourd'hui la revente de conversations internes anonymisées aux États-Unis, même si le RGPD en Europe pose des limites que les boîtes américaines n'ont pas.

Bref, si votre ancienne startup a coulé, vos messages Slack sont peut-être déjà dans un dataset quelque part.

Source : TechSpot