Vous supprimez une clé API Google qui a fuité , et l'interface vous confirme que c'est bien réglé, que la clé ne fonctionne plus. Alors vous commencez à vous détendre en vous disant que vous avez bien fait votre boulot.

BAH NAN !

Car vous ne le savez pas, mais cette clé va continuer de fonctionner encore durant 23 minutes. C'est en tout cas ce qu'ont mesuré les chercheurs d'Aikido Security en testant ce truc tout bête de révoquer une clé, puis de taper sur l'API en boucle pour voir quand ça s'arrêtait vraiment.

Et résultat des courses, une clé API classique survit en moyenne 16 minutes après sa suppression, et jusqu'à 23 minutes dans le pire des cas. Cela veut dire que pendant tout ce temps, un attaquant qui a récupéré votre clé peut continuer de l'utiliser peinard. Et vous n'avez aucun moyen de couper plus vite, ni même de savoir quand ça s'arrête pour de bon.

Ce sont les clés API de Schrödinger le bordel... Techniquement comme vous vous en doutez, c'est surtout une histoire de propagation car Google ne tue pas la clé d'un coup sur tous ses serveurs, mais l'info se diffuse petit à petit, et chaque serveur arrête de l'accepter à son rythme. Le souci, c'est que ce délai et largement suffisant par exemple pour vider un bucket pendant que vous pensez que le danger est écarté.

Le plus beau, c'est que Google sait parfaitement faire vite quand il veut puisque les clés de compte de service, elles, sont coupées en 5 secondes. et les clés Gemini récentes en 1 minute. Du coup, ces 16 minutes de moyenne sur les vieilles clés API n'ont rien d'une fatalité technique... c'est juste un choix ! Aikido a bien sûr remonté le problème, et Google a bizarrement classé le ticket en « won't fix », en expliquant que ce délai de propagation était une propriété connue du système, et pas une faille de sécurité.

Donc si vous gérez des clés Google en prod, partez du principe qu'une clé compromise reste exploitable une bonne demi-heure après sa révocation. Et surtout, mettez en place des plafonds de dépenses bien serrés sur votre projet parce que le vrai cauchemar, c'est moins l'accès que la facture qui débarque ensuite. On a déjà vu des devs se prendre des notes à cinq chiffres à cause d'une clé qui traîne, et des utilisateurs Google Cloud facturés par erreur .

Source : Aikido Security

Bon, alors là, Google a fait encore trèèèès fort.

Mercredi matin, la firme de Mountain View a carrément publié sur son propre bug tracker Chromium le code d'exploitation d'une faille... qui n'est toujours pas corrigée ! Et pas une petite vulnérabilité oubliée dans un coin, hein, mais une vraie faille de la mort qui tue que la chercheuse indépendante Lyra Rebane leur avait remontée gentiment et en privé . Ça fait 29 mois (2 ans et demi, les matheux ^^) et elle attend toujours un patch !

Le truc vise la Browser Fetch API, un mécanisme qui permet à un site de télécharger de gros fichiers en arrière-plan, genre une longue vidéo. Sauf qu'en la détournant, le code ouvre un service worker qui reste actif en permanence. Du coup, un site malveillant que vous visitez peut glisser un bout de JavaScript qui transforme votre navigateur en relais, tout cela à votre insu.

Parfait donc pour devenir un proxy anonyme pour des inconnus, un nœud de botnet pour des attaques DDoS, ou se faire surveiller quand on surfe sur le net... Et le plus vicelard, c'est que la connexion se rouvre ou reste ouverte même après avoir redémarré le navigateur, voire la machine entière.

Côté victimes, on parle de Chrome, de Microsoft Edge et de quasiment tous les navigateurs basés sur Chromium. Et que vous soyez sur Windows, macOS ou Linux, le bug s'en moque royalement. Rebane a confirmé que Brave, Opera, Vivaldi et Arc sont vulnérables eux aussi.

Bien sûr, Firefox et Safari, eux, passent clairement au travers, parce qu'ils ne supportent pas ce fameux téléchargement en arrière-plan. Bref, encore une fois, ne pas suivre le troupeau de mouton team-Chromium, ça paye !! Si vous cherchiez une raison de plus de larguer Google , la voilà servie sur un plateau.

Perso, ce qui me sidère, c'est que la faille a été classée S1, le deuxième niveau de gravité le plus élevé chez Google et il ne s'est toujours rien passé 29 mois après. C'est ouf quand même... Le post sur le tracker Chromium a bien été supprimé mais on le trouve toujours sur quelques archives / miroirs...

Après l'impact de cette faille, reste quand même limité car elle ne franchit aucune frontière... par exemple, elle ne donne pas accès à vos mails ni au reste de votre ordinateur, mais juste à ce qu'un navigateur sait déjà faire (ce qui est déjà énorme !!). Mais elle pourrait permettre à des cybercriminels de se constituer une flotte de milliers, voire de millions de navigateurs détournés, et le jour où une autre faille tombe, vous avez déjà l'armée prête à dégainer !! La bombe est là, il manque juste la mèche en fait !

Et pour se protéger ?

Bah franchement, pas grand-chose à faire côté utilisateur tant qu'il n'y a pas de patch. Si vous voulez mon avis bancal, le seul signal visible que vous pouvez guetter, c'est un menu de téléchargement qui s'ouvre tout seul sans raison, donc méfiez-vous donc si ça arrive. Maintenant si le sujet vous angoisse vraiment, basculer sur un navigateur pour les adultes ^^, genre Firefox ou Safari règlera la question d'un coup !

Faut pas oublier que Google passe son temps à pointer du doigt les éditeurs trop lents à patcher, alors j'comprends vraiment pas comment ils ont pu merder à ce point.

Source

Hier soir, le compte Google Cloud de Railway est passé en statut restreint. Du jour au lendemain, sans préavis et sans la moindre explication.

Railway, pour ceux qui ne connaissent pas, c'est un service américain qui permet aux développeurs et aux startups de mettre un site ou une application en ligne en quelques clics, sans avoir à louer ni configurer eux-mêmes des serveurs.

Dans le jargon, on appelle ça un PaaS, une plateforme d'hébergement clé en main. Des milliers d'entreprises s'en servent pour faire tourner leurs services au quotidien. Sauf que Railway, lui, fait tourner son propre tableau de bord, son API et son control plane (la partie qui orchestre toute la plateforme) sur Google Cloud. Donc quand Google a coupé, tout est tombé.

Résultat : environ six heures de panne. Les utilisateurs se sont retrouvés avec des erreurs "no healthy upstream" en cascade, impossible de se connecter, impossible de déployer quoi que ce soit. Le pire dans l'histoire, c'est que Railway n'est pas un petit client de passage. La boîte dépense plus de 10 millions de dollars par an chez Google Cloud. Même ça n'a pas suffi à éviter le débranchement automatique.

Le ton des équipes Railway est agacé. Angelo Saraceno, ingénieur chez eux, a lâché que leurs contacts chez Google étaient eux-mêmes confus et que les clients étaient furieux. Et cette phrase, qui résume tout : "nos clients se fichent que ce soit Google, c'est à nous d'assumer notre disponibilité". Difficile de leur donner tort.

Ce n'est pas la première fois. Railway avait déjà déménagé une partie de son infrastructure en colocation (des serveurs loués dans un datacenter, qu'on gère soi-même) en 2024, justement parce que les problèmes avec Google Cloud posaient un risque existentiel à leur activité.

Sauf qu'ils avaient gardé le control plane chez Google. Mauvaise idée, visiblement. Et en 2024, Google avait déjà fait exactement le même coup au fonds de pension australien UniSuper, suspendu une semaine entière sans raison claire.

Là où ça pique, c'est l'angle métier. Railway est un PaaS. Google Cloud propose aussi un PaaS. Autrement dit, Railway hébergeait son business chez un concurrent direct, qui peut le débrancher quand il veut, par un automatisme mal réglé ou autre chose. Vous voyez le piège. Confier sa plateforme d'hébergement à quelqu'un qui vend exactement le même service, c'est lui donner les clés et la corde.

Source : The Register

Y'a un nouveau projet français qui débarque face à Google, et celui-là va vous plaire, j'en suis sûr !

Ça s'appelle Ibou Explorer, et c'est porté par Sylvain Peyronnet (oui, un des deux frères du SEO français bien connus dans le milieu) et Guillaume Pitel. Leur site vient d'ouvrir en beta publique et pour vous résumer ça rapidement, disons que c'est un équivalent direct de Google Discover, mais en mieux évidemment !! Et c'est surtout la première brique d'un ensemble plus large qui inclura à terme un vrai moteur de recherche conversationnel d'ici fin 2026.

Au capital, on retrouve Xavier Niel et Bpifrance et derrière le rideau, l'infrastructure indexe déjà 500 milliards de pages, donc y'a de quoi faire...

Sylvain Peyronnet et Guillaume Pitel, les deux cofondateurs derrière Babbar et Ibou ( crédit BDM )

Pour vous situer un peu ce qu'ils proposent, Ibou Explorer c'est un flux d'articles personnalisé, dans l'idée de Google Discover, mais bâti sur une philosophie inverse où la sélection se fait sur la valeur éditoriale plutôt que sur l'engagement. Les sources sont également très diversifiées, et le projet se veut "anti-bulle filtrante".

Une fois inscrit, vous récupérez un feed propre avec que des choses sérieuses et sans fake news, qui vous plairont. Ça nous change de Discover qui pousse du clickbait à longueur de journée... vous verrez, ça saute aux yeux direct !

Petit flashback quand même pour donner un peu de contexte... Sylvain Peyronnet, je l'ai croisé y'a plus de 10 ans maintenant je dirais, lors de l'une de leurs formations. Ex-Chief Science Officer de Qwant, ancien prof de fac, vingt ans d'algos de moteur de recherche dans les pattes et avec son frère Guillaume Peyronnet, ils forment le duo SEO qui tient le blog technique de référence en France et qui édite Yourtext.guru .

Mais attention à ne pas confondre côté Ibou puisque c'est Sylvain qui prend la casquette CEO, avec Guillaume Pitel (homonyme du frangin niveau prénom, mais aucun lien familial ^^) à la technique. Guillaume Pitel est un ingénieur EPITA, docteur en info, et fondateur d'eXenSa, qui a créé le crawler Barkrowler de Babbar il y a quelques années.

Et du coup ça a du sens car Babbar tourne depuis six ans, a crawlé 3 300 milliards de pages, leur graphe pèse 7 000 milliards de liens, et leurs deux crawlers actifs (Barkrowler et IbouBot) avalent 2 à 3 milliards de pages par jour. C'est à l'échelle de ce que font les géants du web.

Et c'est cette infra qui alimente déjà Explorer, et c'est aussi elle qui servira de socle au futur moteur de recherche conversationnel. Leur algo de ranking propriétaire s'appelle Mimesis et il est plutôt fin puisqu'il est capable de faire de la recherche hybride dense-sparse qui agrège une centaine de signaux par document, le tout entraîné et calibré via du LLM-as-a-Judge.

L'interface d'Ibou Explorer, la beta publique disponible

Côté philosophie, le manifeste Ibou tient en 4 engagements : respecter les éditeurs (crawl conforme aux directives, vitesses adaptées pour ne pas charger les serveurs), valoriser les créateurs (journalistes, blogueurs, photographes, devs), servir la curiosité plutôt que l'engagement, et défendre un web ouvert.

Que demande le peuple ?

Et côté concurrence, le contraste avec Google est très brutal je trouve. Avec son AI Overviews, Mountain View fait fondre les clics vers les sources, capture la valeur, garde l'audience, et laisse les créateurs avec les miettes. J'en parlais déjà l'an dernier en disant que le web tel qu'on le connaît allait disparaître et heureusement, Ibou vient prendre exactement le contre-pied de tout ça avec une attribution systématique des sources, un renvoi réel de trafic vers les éditeurs, et une totale transparence sur l'algorithme via leur Substack où ils détaillent les choix techniques.

Côté IA, leur position est nuancée et plutôt saine, je trouve. Les contenus travaillés avec l'aide de l'IA restent acceptables, mais ce qui est pénalisé c'est le « slop », c'est à dire ce contenu massivement généré sans valeur ajoutée qui inonde le web depuis deux ans. Ça rejoint d'ailleurs ce que je racontais sur le SEO à l'ère de l'IA y'a pas longtemps.

Bref, avec Ibou, ils veulent récompenser l'humain qui produit, et pas les fermes à contenu des référenceurs de caniveau.

Donc si ça vous dit de tester Explorer, allez sur explorer.ibou.io , validez votre mail, et choisissez quelques thématiques. Vous obtiendrez un flux personnalisé qui apprendra ensuite de vos clics. Le hic, c'est qu'un système qui apprend de vos clics peut quand même tendre vers un effet de bulle, donc on verra à l'usage si Ibou arrive vraiment à éviter ce phénomène.

Le vrai moteur de recherche conversationnel, lui, est annoncé comme je vous le disais pour fin 2026, avec une verticale images encore en cours de développement.

Et côté investisseurs, c'est du solide : Xavier Niel a rejoint le capital aux côtés de Go Capital, Bpifrance, Normandie Participations et AD Normandie (la boîte est basée en Normandie). Les outils SEO existants (Babbar, Yourtext.guru) financent encore la R&D, et la roadmap de monétisation parle de freemium, API, B2B selon ce qui prendra. On verra bien...

Maintenant le vrai défi reconnu par Sylvain lui-même, c'est la notoriété de son service face au "réflexe Google". Donc comme pour toutes les alternatives à Google , le combat se joue autant côté usage que côté tech.

Mais moi, je suis content de voir des gens s'attaquer enfin à ce mur-là avec une vraie infra derrière et pas juste un wrapper d'API à la con.

La beta Explorer est dispo dès maintenant en cliquant ici ! Ah et y'a aussi des applications pour Android et iOS !

Si vous avez payé une agence pour "optimiser votre site pour l'IA" ces derniers mois, asseyez-vous bien confortablement car Google a publié son guide officiel sur le sujet, et le résumé tient en une phrase, le SEO pour l'IA c'est du SEO. Voilà... Tout ce qui est hacks GEO, c'est direction la poubelle en tout cas pour Google !

Le doc est sorti le 15 mai sur Search Central, et il met les pieds dans le plat direct. Google y explique que ses fonctionnalités IA, les AI Overviews (les fameux résumés générés en haut des résultats) et le mode IA, ne tournent pas sur un moteur à part. Elles piochent tout simplement dans l'index normal, avec le classement habituel. En gros, y'a pas de porte dérobée réservée aux plus malins malgré ce que les auto-proclamés experts GEO peuvent dire.

Le guide officiel Google, mis en ligne le 15 mai 2026

Ce qui est marrant, c'est que Google a surtout placé dans ce doc une section "mythbusting" qui va faire mal à pas mal de monde. Car oui les amis, pas besoin de fichier llms.txt, pas besoin de balisage spécial, pas besoin de découper votre contenu en petits morceaux pour aider les robots de Mister Google.

Et voilà comment toute une industrie de consultants qui vendait du llms.txt à prix d'or vient de se prendre un mur. Snif...

D'ailleurs, le truc rigolo avec le llms.txt, c'est son histoire. Ce fichier a été proposé en septembre 2024 par le co-fondateur de Fast.ai, et presque deux ans plus tard, ni Google, ni OpenAI, ni Anthropic ne vont vraiment le récupérer sur votre serveur. L'adoption reste donc hyper marginale, genre 6% des gros sites et ça n'est jamais devenu un vrai standard. Vous pouvez donc carrément supprimer le vôtre, ça ne changera strictement rien !

Alors c'est quoi la vraie recette ?

Hé bien du contenu "non-commodity", dit Google. En clair, des trucs que personne d'autre n'a écrits... Ils veulent du vécu et pas du réchauffé. Leur exemple est d'ailleurs très parlant... Un article du style "7 conseils pour acheter sa première maison", c'est de la soupe que tout le monde recopie. Alors que "Pourquoi on a zappé l'inspection et économisé, retour sur la canalisation d'égout", ça c'est du vécu qui sent bon le terroir et la sueur, et c'est ça que l'IA va citer !! C'est exactement ce que je raconte depuis des années .

En vrai, le boulot c'est surtout de revenir aux bases du SEO, et pas besoin d'outils payants dans cette équation mais juste du temps et du contenu honnête et humain. D'abord, faut vérifier que vos pages sont indexables et crawlables, et ça la Search Console vous le dit en deux clics.

Ensuite, arrêtez de générer 40 pages quasi identiques pour chaque variation de mot-clé, car Google appelle ça de l'abus de contenu à grande échelle et ça vous flinguera votre référencement ! Et n'oubliez pas que vous écrivez pour des humains, avec des titres et des paragraphes, et pas pour un parseur à la con.

Le seul vrai piège après, c'est l'éternel site full JavaScript des startupeurs d'école de commerce (ou des vibe-coders maintenant...). Là encore Google prévient que ça ne passera pas.

Après le hic c'est que les AI Overviews répondent direct dans la page de résultats, du coup le taux de clics vers votre site s'effondre . Et voilà comment le client repart sans jamais entrer... Plusieurs études indépendantes parlent même d'un taux de clic qui peut chuter de moitié quand un résumé IA s'affiche en haut. Ahrefs par exemple a mesuré près de 60% de clics en moins sur la position numéro un, Pew tourne autour de 47% et comme d'hab, avec son guide, Google vous dit "faites du bon contenu", mais ne vous promet jamais le trafic qui va avec. Faut donc bien en avoir conscience avant de se lancer !

Le guide glisse aussi un mot sur les agents IA qui visitent votre site tout seuls, lisent vos captures d'écran, votre DOM et votre arbre d'accessibilité pour comparer des produits ou réserver une table. D'ailleurs si ce sujet vous parle, y'a un scanner pour tester si votre site est prêt pour les agents IA .

Après moi ce que je retiens de tout ce bordel, c'est que Google vient surtout de couper l'herbe sous le pied à tous les vendeurs de poudre de perlimpinpin "AEO" et "GEO". Ces acronymes, comme l'écrit Google noir sur blanc dans son rapport, ce sont juste des mots et du marketing pour les pigeons. Le vrai métier derrière reste le SEO et basta !!

Après si vraiment vous voulez bosser votre visibilité pour les moteurs IA comme Perplexity, j'avais détaillé les vraies techniques , et spoiler, ça ressemble quand même beaucoup à du bon vieux contenu honnête qu'on fait à l'ancienne depuis que le web est web...

Bref, avant de lâcher du fric pour du GEO, allez lire le guide . C'est gratuit, et au moins ça dit la vérité.

L'app desktop Google est officiellement disponible sur Windows 10 et supérieur, dans le monde entier (en anglais pour l'instant), avec un raccourci Alt+Espace qui fait popper une barre de recherche unifiée.

Web, Google Drive, fichiers locaux, apps installées, tout est cherchable depuis la même fenêtre. Les utilisateurs macOS reconnaîtront immédiatement l'inspiration. C'est un vrai petit Spotlight.

L'outil traînait en bêta Search Labs depuis septembre 2025, d'abord réservé aux comptes perso anglophones aux États-Unis. Google a pris le temps d'améliorer le produit, d'ajouter des fonctions, et surtout d'intégrer Gemini côté IA.

Concrètement, la barre de recherche sert de point d'entrée à plusieurs choses. Vous tapez un mot, vous récupérez des résultats web classiques, des fichiers Drive, des fichiers locaux et des apps Windows installées dans le même flux.

À côté, un bouton Google Lens permet de faire du "Circle to Search" sur votre écran Windows, pour identifier un objet, traduire un texte dans une image ou lancer une recherche visuelle. Upload de fichier, partage d'écran pour poser des questions à l'IA sur ce qui s'affiche, accès rapide aux AI Overviews ou à AI Mode, tout est là.

Là où Google marche sur les plates-bandes de Microsoft, c'est précisément sur le terrain que Copilot revendique sous Windows. Sauf que Copilot est imposé par Microsoft, alors que l'app Google vient en alternative, plus discrète, activable au raccourci clavier, et qui pompe ses résultats dans l'index Google plutôt que dans Bing.

Pour un utilisateur Windows très lié à l'écosystème Google (Gmail, Drive, Docs, Calendar), ça fera plus de sens que Copilot, même si l'intégration OS est évidemment moins profonde.

Pour ceux qui ne veulent pas de Gemini, l'app est quand même potentiellement utile pour la recherche unifiée locale + Drive + web, même sans toucher à l'IA.

Ce petit Alt+Espace peut donc remplacer avantageusement la recherche Windows par défaut, qui mélange souvent les résultats avec des suggestions Bing pas toujours intéressantes.

D'un point de vue de la sécurité, Google explique indexer les fichiers locaux en respectant les permissions du compte, mais l'outil envoie forcément une partie des requêtes et du contexte vers les serveurs Google, ne serait-ce que pour les réponses IA.

Pour une machine pro sur laquelle transitent des docs sensibles, c'est à considérer avant de l'installer, et probablement à discuter avec la DSI.

Bref, Google tente son Spotlight sur Windows. Si vous vivez dans l'écosystème Google et que Copilot vous irrite, ça vaut le test.

Source : 9to5Google

La cour d'appel de Paris vient de confirmer que les fournisseurs de DNS alternatifs doivent bloquer l'accès aux sites de streaming et d'IPTV pirates. Google, Cloudflare et Cisco ont perdu leur appel face à Canal+.

Cinq appels rejetés d'un coup

La cour d'appel de Paris a tranché cinq affaires distinctes dans lesquelles Canal+ demandait à Google (Google Public DNS), Cloudflare (1.1.1.1) et Cisco (OpenDNS) de bloquer des centaines de noms de domaine liés à du streaming illégal. Les trois entreprises avaient fait appel des ordonnances rendues en première instance par le tribunal judiciaire de Paris.

C'est la première fois qu'une cour d'appel française valide ce type de blocage DNS en s'appuyant sur l'article L.333-10 du Code du sport, qui permet aux détenteurs de droits d'exiger le blocage de domaines en cas de piratage grave et répété.

Les arguments qui n'ont pas fonctionné

Cloudflare et Cisco avaient plaidé que leurs services avaient une fonction "neutre et passive", comparable à un annuaire qui traduit des noms de domaine en adresses IP. La cour a estimé que cette neutralité était tout simplement hors sujet : ce qui compte, c'est la capacité technique à bloquer un accès, pas la nature du service.

Google a tenté un autre angle en expliquant que le blocage DNS était inefficace puisqu'il suffit d'un VPN pour le contourner. La cour a balayé l'argument en rappelant que tout système de filtrage peut être contourné, et que ça ne le rend pas inutile pour autant.

Cisco avait aussi chiffré le coût de mise en place à 64 semaines-personne de travail. Pas suffisant non plus pour convaincre les juges.

Canal+ continue de pousser

Cette décision s'ajoute à celle obtenue contre les fournisseurs de VPN fin 2025, quand NordVPN, ExpressVPN et d'autres avaient eux aussi été contraints de bloquer des sites pirates en France.

Canal+ verrouille progressivement tous les moyens de contournement. Et la chaîne ne compte visiblement pas s'arrêter là : le blocage d'adresses IP serait déjà en test, avec un premier essai lors de Roland-Garros.

Les frais de mise en place sont à la charge de Google, Cloudflare et Cisco.

Canal+ est en train de poser des briques une par une. D'abord les FAI, puis les VPN, maintenant les DNS. On imagine bien que le blocage IP est la prochaine étape.

Côté efficacité, ça reste un jeu du chat et de la souris, mais la justice française envoie un signal clair : si un service technique peut aider à bloquer du piratage, il devra le faire. Et à ses frais, en plus.

Source : Torrent Freak

Plus de 600 employés de Google et OpenAI ont signé une lettre ouverte baptisée « We Will Not Be Divided », pour demander des limites claires sur l'usage militaire de l'IA. Le nombre de signataires est monté à près de 900 en quelques jours. Il y a deux gros problèmes dans cette histoire : la surveillance de masse et les armes autonomes. Le contexte est tellement tendu que le Pentagone a même blacklisté Anthropic pour avoir refusé de coopérer.

Une lettre, deux lignes rouges

La lettre, publiée le 28 février sur le site notdivided.org, a d'abord réuni 573 employés de Google et 93 d'OpenAI. En quelques jours, le compteur est monté à près de 900 signatures, dont 800 côté Google. Les signataires posent deux lignes rouges : pas de surveillance de masse des citoyens américains, et pas de systèmes d'armes autonomes sans supervision humaine. « Les responsables gouvernementaux tentent de pousser les entreprises d'IA à abandonner certaines limites éthiques. Cette stratégie ne fonctionne que si aucun de nous ne sait où se situent les autres », peut-on lire dans la lettre.

Anthropic blacklisté par le Pentagone

Tout est parti d'un bras de fer entre Anthropic et le Pentagone. Le département de la Défense avait donné un ultimatum à Anthropic : lever ses restrictions sur Claude pour permettre son utilisation dans la surveillance domestique et les armes autonomes, ou perdre ses contrats fédéraux. Anthropic a refusé. La réponse a été immédiate : Trump a ordonné l'arrêt de toute utilisation des produits Anthropic par les agences fédérales, et le secrétaire à la Défense Pete Hegseth a désigné l'entreprise comme « risque pour la chaîne d'approvisionnement ». Le gouvernement a même menacé d'invoquer le Defense Production Act, une loi datant de la guerre de Corée, pour forcer Anthropic à coopérer. Et quelques heures après ce refus, OpenAI annonçait un accord avec le Pentagone pour déployer ses modèles sur les réseaux classifiés.

Altman tente de calmer le jeu

Sam Altman a organisé une session de questions-réponses sur X le samedi 1er mars. Il a reconnu que l'accord avait été « précipité » et que « les apparences ne sont pas bonnes ». Sa justification : vouloir « désamorcer » les tensions entre le Pentagone et Anthropic, et éviter que le gouvernement ne force les entreprises privées à coopérer. Sauf que l'accueil a été glacial. L'application Claude est montée à la deuxième place de l'App Store en téléchargements, les bureaux d'OpenAI à San Francisco ont été recouverts de graffitis, et l'un des employés d'OpenAI, Leo Gao, a qualifié les protections du contrat de « décoration de vitrine ».

Le timing d'OpenAI, qui a signé avec le Pentagone le jour même où Anthropic se faisait blacklister, est quand même difficile à avaler. Altman peut dire ce qu'il veut, ça ressemble surtout à du pur opportunisme. Le plus parlant, c'est que le grand public a spontanément pris le parti d'Anthropic, et que les propres employés d'OpenAI contestent l'accord. Perso, j'attends de voir si les lignes rouges réclamées par les salariés déboucheront sur de vraies politiques internes. Pour le moment, c'est Anthropic qui sort grandi de cette séquence, l'air de rien.

Sources : Techradar , Digital Information World

Google et une société de cybersécurité, iVerify, ont découvert un puissant outil de piratage d'iPhone baptisé Coruna. Visiblement développé par le gouvernement américain, il a fuité et se retrouve aujourd'hui entre les mains d'espions russes et de cybercriminels chinois. Plus de 42 000 iPhone ont été piratés à cause de lui.

Comment ça marche ?

Coruna est un programme capable d'exploiter 23 failles de sécurité différentes dans iOS, le système d'exploitation de l'iPhone. Il suffit qu'un utilisateur visite un site web piégé pour que l'outil analyse automatiquement son téléphone (modèle, version du système, réglages de sécurité) et choisisse la bonne méthode pour en prendre le contrôle. C'est Google qui l'a repéré en premier, en février 2025, quand un vendeur de logiciels espions a tenté de pirater un iPhone pour le compte d'un gouvernement. De son côté, iVerify a analysé le code source et estime qu'il a été développé aux États-Unis. Plusieurs indices pointent dans cette direction : Rocky Cole, le patron d'iVerify, décrit un code "superbe" et "élégamment écrit", truffé de blagues internes en anglais américain dans les commentaires. Et surtout, le kit partage des éléments communs avec l'Opération Triangulation, une campagne de piratage d'iPhone que le spécialiste en cybersécurité Kaspersky avait attribuée aux services de renseignement américains en 2023.

Des espions russes aux arnaqueurs chinois

Le vrai problème, c'est que Coruna a fuité bien au-delà de ses créateurs. Google a retracé la circulation de l'outil sur plus d'un an. Il a d'abord été récupéré par un groupe d'espions russes, qui l'a utilisé pour piéger des sites web fréquentés par des Ukrainiens : les visiteurs qui s'y connectaient avec un iPhone se faisaient pirater sans le savoir. L'étape suivante est encore plus préoccupante : un groupe de cybercriminels chinois a mis la main sur l'outil complet et l'a utilisé pour créer de faux sites d'échange de cryptomonnaies. Résultat : plus de 42 000 iPhone compromis, un chiffre qualifié de "massif" par les chercheurs. Google parle même d'un "marché de seconde main" pour ce type d'outils, ce qui rappelle d’ailleurs la fuite en 2017 d'un outil similaire de la NSA, qui avait permis des cyberattaques mondiales comme WannaCry.

Votre iPhone est-il concerné ?

Apple a travaillé avec Google pour corriger les failles et les mises à jour sont disponibles. Tous les iPhone sous iOS 18 ou plus récent ne sont plus vulnérables, et Apple indique que 74 % des iPhone compatibles sont déjà à jour. Le mode Isolement (Lockdown Mode) et la navigation privée dans Safari bloquent aussi l'attaque. En fait, Coruna cible les versions d'iOS sorties avant décembre 2023, ce qui veut dire que si vous n'avez pas mis à jour votre iPhone depuis un moment, il est potentiellement exposé.

C’est quand même assez pénible qu’un outil d'espionnage lié à un état se retrouve dans une arnaque aux cryptos, ça montre bien que personne ne contrôle la prolifération de ces trucs. Et Coruna n'est probablement pas le seul à circuler comme ça. Bref, si vous avez un vieil iPhone pas à jour, vous pouvez vous inquiéter (ou juste le mettre à jour).

Sources : Wired , Google

Avec tout ce qui se passe en ce moment côté souveraineté numérique, je me suis dit qu'il était temps de vous parler d'une alternative à Google que beaucoup ignorent encore. En plus, j'ai passé pas mal de temps dessus ces dernières semaines, histoire de voir si ça tenait la route, alors il est temps de partager ça avec vous.

Startpage, c'est un moteur de recherche basé à Zeist aux Pays-Bas qui existe depuis 2006 et qui a une approche assez radicale : Vous donner les résultats de Google... sans que Google ne sache que vous existez.

Quand vous tapez une recherche sur Startpage, le moteur va interroger Google à votre place, récupérer les résultats, et vous les afficher. Sauf que votre IP, vos cookies, votre historique... Google n'en voit pas la couleur. C'est comme envoyer quelqu'un faire vos courses pour vous ^^.

Et là où ça devient vraiment intéressant dans le contexte actuel, c'est que Startpage est basé aux Pays-Bas. Du coup, il est soumis au RGPD et aux lois européennes sur la protection des données. Et SURTOUT PAS au Cloud Act américain qui permet aux autorités US de demander vos données même si elles sont stockées en Europe. C'est pas rien comme différence...

Bon, je dis pas que c'est parfait non plus hein. Rien ne l'est. Fin 2018, Privacy One Group, une filiale de System1 (société américaine spécialisée dans... la pub), a pris une participation majoritaire dans Startpage. L'annonce n'est tombée qu'en 2019, ce qui a fait tiquer pas mal de monde dans la communauté vie privée. PrivacyTools.io par exemple l'a même retiré de ses recommandations pendant un moment...

Mais depuis, Startpage a publié des clarifications... en fait selon eux, System1 n'a pas accès aux données de recherche, et la société reste opérée depuis les Pays-Bas avec des serveurs européens.

Côté fonctionnalités, y'a un truc que j'adore et que j'utilise quasi systématiquement depuis 3 semaines c'est le mode "Anonymous View". En fait quand vous cliquez sur un résultat de recherche, au lieu d'aller directement sur le site (qui peut alors tracker votre visite), Startpage peut ouvrir la page via un proxy. Le site que vous visitez ne voit alors que l'IP de Startpage et pas la vôtre. C'est un peu comme un proxy intégré pour chaque clic, qui bloque aussi les scripts de fingerprinting.

Pas mal non ?

D'ailleurs, niveau interface, c'est propre et sans fioritures. Y'a pas de doodles tout naze, pas de suggestions de recherche personnalisées, pas de "vous pourriez aussi aimer", pas d'Ads vers des sites frauduleux... Non, c'est comme à l'ancienne avec juste un bon vieux champ de recherche et des résultats. Ça nous change donc des pages d'accueil de Google qui sont devenues de véritables panneaux publicitaires et dans lesquelles on se perd assez vite.

Alors évidemment, y'a quelques inconvénients aussi... D'abord les résultats sont parfois un peu moins "personnalisés" que sur Google. Normal, vu qu'ils n'ont aucune idée de qui vous êtes, ils ne peuvent donc pas vous proposer le resto le plus proche de chez vous. Faudra donc parfois préciser "Paris", "Clermont-Ferrand" ou "France" dans vos recherches locales. J'ai galéré un peu au début avec ça, car on prend vite de mauvaises habitudes (merci la flemme) mais après j'ai découvert qu'on pouvait préciser ça dans les paramètres.

Et puis de temps en temps, Startpage peut avoir des ralentissements... les joies de l'intermédiation. Mais rien de rédhibitoire rassurez-vous !

Comparé à DuckDuckGo qui utilise principalement Bing comme source et qui est américain (bouuuuh, arrêtez de recommander cette bouze ^^), ou à Qwant qui galère un peu côté pertinence , Startpage offre un compromis intéressant. A savoir la qualité Google sans le tracking Google, et le tout hébergé en Europe.

Car oui avec tout ce qui se passe géopolitiquement en ce moment, je pense que c'est bien de changer un peu ses habitudes. Vous devriez essayer... Car entre les discussions sur le Cloud Act, les tensions transatlantiques sur les données personnelles, et les GAFAM américains qui aspirent nos données comme des Dyson sous amphét'... avoir une alternative européenne soumise au RGPD, c'est pas juste une question de principe. C'est une vraie question de souveraineté numérique. Les Pays-Bas, c'est pas parfait (aucun pays l'est), mais au moins c'est une juridiction où la CNIL locale a du mordant.

Maintenant pour l'utiliser, rien de sorcier. Vous allez sur startpage.com et vous pouvez même le configurer comme moteur par défaut dans votre navigateur. Attention par contre, sur certains navigateurs (Safari notamment), c'est un peu planqué dans les préférences. Y'a aussi une extension pour Firefox et Chrome si vous voulez. Et si vous voulez aller plus loin dans la protection de votre vie privée, combinez ça avec une extension qui gère vos cookies .

Et voilà, si vous en avez marre de voir des pubs ultra-ciblées qui semblent lire dans vos pensées, et d'offrir la moindre de vos requêtes aux américains, ce moteur de recherche néerlandais vaut vraiment le coup d'œil.

À découvrir ici !

Vous avez remarqué comme Google est devenu pénible ces derniers temps ? Entre les "AI Overviews" qui vous pondent des résumés à côté de la plaque, les panneaux shopping qui envahissent la moitié de l'écran, et les carrousels de vidéos TikTok dont tout le monde se fiche... on en viendrait presque à regretter le Google de 2010. Eh bien figurez-vous qu'il existe un code secret, une sorte de Konami Code du web, qui permet de retrouver un Google propre et fonctionnel : &udm=14.

Ce petit paramètre que vous pouvez ajouter à vos recherches Google (du genre google.com/search?q=votre+recherche&udm=14), c'est le ticket magique vers le filtre "Web" de Google. Concrètement, ça vire une bonne partie du bazar... plus d'aperçus IA hallucinés, plus de "Autres questions" qui prennent trois écrans, plus de carrousels vidéo. Bon, les pubs restent là (faut pas rêver), mais au moins vous retrouvez des liens bleus comme au bon vieux temps.

Avant :

Le truc c'est que Google ne documente pas ce paramètre. Pas de page d'aide, pas d'option dans les settings, rien. C'est la communauté qui a découvert le pot aux roses, et depuis ça se répand comme une traînée de poudre. Le site udm14.com propose même un redirecteur qui ajoute automatiquement le paramètre à vos recherches (attention quand même, comme tout proxy, il peut techniquement voir vos requêtes). Les créateurs l'appellent le "disenshittification Konami code", en référence au concept de Cory Doctorow sur la dégradation des plateformes.

Pour ceux qui veulent automatiser le truc, il existe plusieurs solutions. Sur Firefox, l'extension &udm=14 fait le job en un clic. Sur Chrome, vous avez l'équivalent sur le Web Store . Sinon, vous pouvez simplement modifier votre moteur de recherche par défaut dans les paramètres du navigateur en ajoutant &udm=14 à l'URL de recherche.

Après :

Perso, je trouve ça assez révélateur de l'état actuel de Google... Quand tes utilisateurs doivent bidouiller des paramètres cachés pour retrouver une expérience de recherche décente, c'est qu'il y a un problème. Les "AI Overviews" sont régulièrement épinglés pour leurs réponses à côté de la plaque, parfois carrément dangereuses (genre conseiller de mettre de la colle sur la pizza , véridique). Et au lieu de nous donner une option officielle pour les désactiver, Google préfère nous gaver de contenus sponsorisés et de résumés générés par IA.

D'autres valeurs du paramètre udm existent d'ailleurs. &udm=2 donne les résultats images, &udm=7 les vidéos. Mais c'est bien le 14 qui est devenu le symbole de la résistance contre la "shittification" de Google.

Bref, si comme moi vous en avez marre de scroller trois écrans avant de trouver un vrai lien vers un vrai site (au hasard vers mon site. ^^), testez &udm=14. C'est gratuit, ça marche, et ça rend Google presque aussi bon qu'avant.

Source

Google vient de publier son bulletin de sécurité de décembre 2025 et c’est pas joli joli. Au programme, 107 vulnérabilités corrigées dont deux 0-day activement exploités dans des attaques ciblées. Donc si vous avez un smartphone Android, allez vérifier vos mises à jour immédiatement !

Les deux failles qui posent problème s’appellent CVE-2025-48633 et CVE-2025-48572. La première permet de voler des informations sur votre appareil et la seconde offre une escalade de privilèges… autrement dit, un attaquant peut prendre le contrôle de votre téléphone. Et ces deux vulnérabilités touchent le Framework Android, c’est à dire le cœur du système et elles affectent les versions 13, 14, 15 et 16. Donc en gros, à peu près tout le monde.

Le CISA américain (l’agence de cybersécurité) a ajouté ces deux CVE à son catalogue des vulnérabilités activement exploitées. Et quand le CISA bouge son popotin, c’est que c’est du sérieux. Google parle d’exploitation “limitée et ciblée”, ce qui signifie probablement des attaques de type spyware contre des cibles spécifiques… journalistes, activistes, ce genre de profils, mais rien n’empêche ces failles de se démocratiser maintenant qu’elles sont publiques.

À côté de ces deux 0-day, le bulletin corrige aussi une faille critique (CVE-2025-48631) qui permet un déni de service à distance sans avoir besoin de privilèges particuliers. En clair, quelqu’un peut faire planter votre téléphone à distance. C’est toujours sympa à faire ^^.

Ensuite, le reste du bulletin, c’est 34 failles dans le Framework, 13 dans le composant System, plus une cinquantaine de vulnérabilités réparties entre le kernel, les GPU Arm Mali, et les composants MediaTek, Qualcomm et Unisoc. Quatre failles kernel critiques permettent une élévation de privilèges via pKVM et IOMMU… bref, c’est le festival !

Pour vérifier si vous avez le patch, allez dans Paramètres > À propos du téléphone > Version Android (ou Informations sur le logiciel selon les marques). Vous devez avoir au minimum le niveau de correctif du 1er décembre 2025. Si vous êtes en dessous, forcez la vérification des mises à jour ou attendez que votre constructeur daigne pousser le patch… ce qui peut prendre quelques jours à quelques semaines selon la marque.

Les Pixel ont déjà reçu la mise à jour et pour Samsung, OnePlus et les autres, ça dépend du modèle et de la région. Et les téléphones qui ne reçoivent plus de mises à jour de sécurité sont évidemment exposés indéfiniment à ces failles, sauf si vous les rootez pour y mettre un Android custom du genre LineageOS ou GrapheneOS (Il est à la mode celui là en ce moment.. ahahaha).

Source

Vous savez ce qui est marrant avec reCAPTCHA ? C’est que pendant des années, on nous a fait déchiffrer des plaques d’immatriculation floues, cliquer sur des feux tricolores bizarres, et identifier des vélos volés dans des images pixelisées, tout ça pour prouver qu’on était pas un robot. Alors qu’en fait, on entrainait gratos les IA de Google à reconnaitre ce genre de choses… Du coup, faudrait savoir s’en passer maintenant.

Et ça tombe bien puisqu’il existe une alternative qui change le game : ALTCHA . C’est un système de protection anti-spam et anti-bot open source qui utilise le Proof-of-Work à la place des puzzles visuels. Comme ça, au lieu de faire bosser votre cerveau ramolli pour Google, c’est votre processeur qui fait le boulot, tout ça en local, depuis chez vous, sans envoyer le moindre octet de donnée à Mountain View.

En gros, quand vous validez un formulaire, votre navigateur résout un petit calcul cryptographique. Pour un humain avec un ordinateur normal, c’est transparent et instantané mais pour un bot qui essaie de spammer 1000 formulaires par seconde, ça devient très vite coûteux en ressources. Et le plus beau c’est qu’il n’y a pas besoin de serveurs externes, pas de tracking, pas de cookies, pas de fingerprinting puisque tout se passe en local.

En plus, ALTCHA pèse 30 KB une fois compressé alors que reCAPTCHA c’est 300 KB… Vous vous demandez pourquoi reCAPTCHA est si gros en vrai ? Hé bien c’est parce qu’il est composé d’un tas de scripts de tracking, de fingerprinting, d’analyse comportementale et j’en passe…

ALTCHA est sous licence MIT , donc vraiment libre et ça fonctionne avec tous les navigateurs modernes (Chrome 67+, Firefox 63+, Safari 11+), avec plus de 50 langues dispo et niveau conformité, c’est carré sa Cnil : GDPR, WCAG 2.2 AA, HIPAA, CCPA…etc.

ALTCHA détecte aussi les headless browsers (les navigateurs sans interface graphique utilisés pour automatiser), les scripts automatisés, et même les bots qui utilisent du machine learning. Le système analyse le contenu et le contexte utilisateur pour adapter le niveau de protection et vous pouvez le déployer partout sans problème : AWS, Azure, Kubernetes, Docker, ou juste sur votre serveur web classique. Il y a même un plugin WordPress si vous voulez pas vous embêter avec du code.

En plus, comme c’est à 100% auto-hébergé, vous ne dépendez d’aucun service externe. Alors que quand reCAPTCHA tombe en panne (spoiler : ça arrive régulièrement), votre site est pété.

Bref, si vous en avez marre de faire bosser les visiteurs de votre site gratos pour Google qui en profite pour les tracker, jetez un œil à ALTCHA . Pour une fois que l’Europe arrête de mendier ses outils de sécurité auprès des géants américains et qu’en plus c’est meilleur, ce serait dommage de s’en priver.

Modifier un PDF, c’est toujours la galère surtout si c’est un PDF avec que des images sans texte sélectionnable. Soit vous avez Adobe Acrobat qui coûte une couille, soit vous vous tapez des outils en ligne douteux, soit vous exportez en Word et vous priez pour que la mise en page survive. Bref, vous faites vos trucs de losers….

Mais ça c’était sans compter sur Nano-PDF qui propose une approche radicalement différente : Vous décrivez ce que vous voulez changer en langage naturel, et l’IA se chargera du reste.

Par exemple, si vous avez une présentation PDF avec une faute de frappe sur la slide n°5, au lieu de galérer avec un éditeur, vous tapez juste

`nano-pdf edit ma_presentation.pdf 5 "Corrige la faute sur le mot 'investisement'"`

`pip install nano-pdf`

Vous vous souvenez de Remix OS, de Phoenix OS et de tous ces projets qui promettaient ENFIN de faire tourner Android sur votre PC comme un vrai OS desktop ? Ouais, moi aussi je m’en souviens… Et ce dont je me souviens surtout, c’est de comment ça s’est terminé… Des abandons, des problèmes de mise à jour, du licensing foireux avec Google. Bref, un vrai carnage…

Hé bien cette fois c’est Google lui-même qui se lance dans l’aventure avec un projet baptisé Aluminium OS. Et attention, ce n’est pas juste une rumeur de plus puisque Rick Osterloh, le grand patron de la division Devices de chez Google, a officiellement annoncé le projet en septembre dernier au Snapdragon Summit de Qualcomm. Comme les deux boîtes bossent ensemble sur cette nouvelle plateforme, on devrait logiquement voir débarquer des machines sous puces Snapdragon.

Côté naming, Google reste fidèle à sa convention maison avec un nom de métal en “-ium”, vous savez, comme Chromium pour Chrome… Sauf qu’ils ont choisi la version britannique “Aluminium” plutôt que “Aluminum” nord-américaine. Ça sera aussi plus simple à retenir pour nous les français.

Aluminium c’est donc la fusion tant attendue entre ChromeOS et Android afin d’avoir un seul OS unifié pour les laptops, les tablettes détachables et même les mini-PC style Chromebox. L’objectif affiché c’est de mieux concurrencer l’iPad sur le marché des tablettes, mais aussi taper sur la tête de Windows et macOS côté PC. Et contrairement à ce qu’on pourrait craindre, Google ne compte pas limiter ça aux machines d’entrée de gamme pourries puisqu’ils prévoient trois segments : AL Entry (le pas cher), AL Mass Premium (le milieu de gamme) et AL Premium pour jouer dans la cour des grands.

Le truc qui change vraiment par rapport aux Phoenix OS et autres projets communautaires, c’est surtout que Google veut intégrer son IA Gemini au cœur du système. Bon ok, tout le monde fait ça maintenant, mais au moins ça prouve que c’est un projet sérieux avec de vraies ressources derrière.

Maintenant, si vous êtes actuellement utilisateurs de Chromebook (force à vous ! ^^), pas de panique puisque les machines existantes continueront à recevoir leurs mises à jour jusqu’à leur fin de vie. Les plus récentes pourraient même avoir droit à une petite migration vers Aluminium OS si elles sont compatibles. D’ailleurs, si on en croit les rapports de bugs internes, Google teste actuellement ce système sur des cartes de dev équipées de puces MediaTek Kompanio 520 et Intel Alder Lake 12e gen, donc si votre Chromebook tourne avec l’un de ces chipsets, vous avez peut-être une chance…

En interne, les ingénieurs parlent même déjà de “ChromeOS Classic” pour désigner l’ancien système, ce qui laisse penser que Google pourrait simplement renommer Aluminium en ChromeOS une fois leur truc mature.

Bref, le lancement de ce nouvel OS Made in Google est prévu pour 2026 et sera probablement basé sur Android 17. À voir maintenant si ça décollera plus que ChromeOS…

Source

Voici un outil qui fait un carton chez les pros de la cybersécurité. Ça s’appelle CRXplorer et c’est votre compteur Geiger personnel pour les extensions Chrome. En gros, ça décompresse et analyse les fichiers .crx (les extensions Chrome) pour détecter les vulnérabilités, les permissions abusives, et les risques de confidentialité.

Vous lui donnez une extension à scanner, il inspecte le manifest.json, regarde quelles permissions sont demandées, vérifie les scripts inclus, et vous dit si ça pu ou si vous pouvez y aller tranquillou. Et c’est utile car ces dernières années, y’a eu pas mal d’extensions Chrome qui sont régulièrement retirée du store de Chrome parce qu’elles ont été identifiées comme volant des données sensibles.

Ça ne remplace pas votre bon sens et votre vigilance, mais au moins vous pouvez faire un audit de ce qui tourne déjà dans votre navigateur ou de ce que vous avez prévu d’installer !

Le projet a cartonné dans la communauté bug bounty, car les extensions Chrome sont devenues une mine d’or pour les chasseurs de vulnérabilités et avec des milliers d’extensions sur le Store et des développeurs parfois peu regardants sur la sécurité, il y a du boulot !

Voilà, si vous voulez savoir si vos extensions Chrome sont clean, passez-les au crible avec CRXplorer et si vous découvrez quelque chose de louche, désinstallez ça rapidement, parce que Google ne le fera pas pour vous.

Ah et au fait, n’oubliez pas d’installer Firefox , c’est mieux quand même !

Merci à Lorenper pour le partage !

Ces derniers jours, une info a pas mal circulé… Google activerait par défaut une option permettant à Gmail de lire vos mails pour entraîner Gemini, son IA. Plusieurs sites dont le mien ont relayé l’info, puisque c’est ce que nous a expliqué Malwarebytes … qui a depuis publié un rectificatif.

Alors qu’est-ce qu’il en est vraiment ? D’où vient la confusion ?

Google a récemment reformulé et déplacé certains paramètres liés aux “fonctionnalités intelligentes” de Gmail. Le problème, c’est que le nouveau wording est suffisamment vague pour prêter à confusion. Quand on voit “smart” ou “intelligent” en 2025, on pense direct à l’IA générative. Ajoutez à ça l’intégration de Gemini un peu partout dans les produits Google, plus un procès en cours en Californie qui accuse Google d’avoir donné accès à Gmail, Chat et Meet à Gemini sans consentement… et vous obtenez un joli cocktail de parano.

Alors que fait vraiment Gmail à vos message ?

Hé bien Gmail scanne bien vos emails, mais pour faire tourner ses propres fonctionnalités : le filtrage anti-spam, la catégorisation automatique (Principal, Promotions, Réseaux sociaux…), le Smart Compose qui suggère la fin de vos phrases, ou encore l’ajout automatique d’événements dans votre agenda. C’est comme ça que Gmail fonctionne depuis des années, et ce n’est pas la même chose que d’entraîner un modèle d’IA générative comme Gemini.

Google affirme d’ailleurs que ces paramètres sont opt-in (donc désactivés par défaut), même si l’expérience semble varier selon les utilisateurs.

Alors pourquoi désactiver quand même ces options ?

Hé bien même si vos mails ne servent pas à entraîner Gemini, vous pouvez légitimement vouloir limiter ce que Google analyse. Moins de données exploitées = moins de profilage. Voici comment faire.

Allez dans Gmail sur votre ordinateur. Cliquez sur l’icône engrenage en haut à droite, puis sur “Voir tous les paramètres”.

Scrollez jusqu’à la section “Fonctionnalités intelligentes et personnalisation” et décochez la case.

Ensuite, si vous utilisez Google Workspace, allez dans les paramètres correspondants et désactivez aussi “Fonctionnalités intelligentes dans Google Workspace” et “Fonctionnalités intelligentes dans d’autres produits Google”.

Et voilà !

Petit bémol, sans ces fonctionnalités, plus d’événements ajoutés automatiquement à l’agenda, plus de Smart Compose, plus de résumés automatiques. Bref, vous revenez à un Gmail plus basique, mais qui garde vos données un peu plus au chaud.

Bref, cette histoire est un bon rappel que quand une info semble trop “scandaleuse” pour être vraie, ça vaut le coup de creuser un peu avant de s’enflammer. Cela dit, vouloir limiter ce que Google sait de vous reste toujours une bonne idée !

Article initialement rédigé le 21 novembre 2025, puis édité le 24 novembre 2025, suite au correctif de MalwareBytes.

Hé bien, mauvaise nouvelle pour ceux qui utilisaient Gmail comme hub central pour récupérer leurs mails depuis plusieurs comptes externes. Google vient en effet d’annoncer qu’à partir de janvier 2026, la fonctionnalité “Check mail from other accounts” (Consulter d’autres comptes de messagerie) allait disparaître. Et avec elle, Gmailify qui permettait d’appliquer les filtres anti-spam et les outils de Gmail à vos comptes externes.

C’était pourtant bien pratique ce truc. Quand on avait plusieurs adresses mail chez différents fournisseurs, on pouvait tout centraliser dans Gmail via le protocole POP. Ça évitait d’avoir à jongler entre 3 ou 4 webmails différents. Tout arrivait au même endroit, c’était parfait.

Mais bon, c’est finito ! A croire que la NSA n’a plus besoin de ces data… Rooooh ^^

Google n’a pas vraiment donné d’explication claire sur les raisons de cette décision mais certains fifous spéculent que ça pourrait être lié aux problèmes de filtrage spam sur les emails transférés. Quoiqu’il en soit, pour le moment, rien d’officiel.

Du coup, qu’est-ce qu’il vous reste comme options ?

Hé bien Google propose deux alternatives. La première, c’est de configurer un transfert automatique (forwarding) chez votre autre fournisseur pour que les nouveaux mails arrivent directement dans votre boîte Gmail. Ça reproduit à peu près le comportement du POP fetching, mais c’est à configurer côté fournisseur externe. Et la deuxième option que propose Google, c’est d’ajouter vos comptes externes dans l’app Gmail mobile qui elle, utilise une connexion IMAP standard.

Par contre sur desktop, vous perdez cette possibilité…

Perso, je vous recommande plutôt de passer sur un vrai client mail comme Thunderbird ou Betterbird . Les deux sont gratuits, open source, et ils gèrent sans problèmes le multi-comptes. En plus, bonne nouvelle, Thunderbird vient justement d’ajouter le support natif de Microsoft Exchange, donc c’est le bon moment pour migrer si en plus, vous avez des boites Exchange.

Bref, si vous faisiez partie des utilisateurs qui centralisaient tout dans Gmail via POP3, vous avez jusqu’à janvier 2026 pour trouver une alternative.

Dommage, c’était bien pratique.

Source

Hé bien les amis, on savait déjà que les LLM avaient quelques petites failles de sécurité, mais celle-là est quand même assez… poétique. En effet, des chercheurs de DEXAI et de l’Université Sapienza de Rome viennent de découvrir que reformuler une requête malveillante sous la forme d’un poème permet de contourner les sécurités dans plus de 90% des cas chez certains fournisseurs d’IA.

L’équipe a ainsi testé la robustesse de 25 modèles de langage provenant de 9 fournisseurs majeurs : Google, OpenAI, Anthropic, DeepSeek, Qwen, Mistral, Meta, xAI et Moonshot et ils ont pour cela converti 1 200 requêtes potentiellement dangereuses en vers et comparé les résultats avec les mêmes demandes mais en prose classique.

Et là surprise ! Le taux de succès des attaques passe de 8% en prose à 43% en formulation poétique. 5x plus de succès, c’est pas rien ! Je me suis demandé comment c’était possible et d’après le doc de recherche, c’est parce que les filtres de sécurité des LLM fonctionnent principalement par pattern-matching sur des formulations classiques.

Ainsi, quand vous demandez en prose comment fabriquer un truc dangereux, le modèle reconnaît la structure et refuse. Mais quand la même demande est enrobée de métaphores condensées, de rythme stylisé et de tournures narratives inhabituelles, les heuristiques de détection passent à côté.

En gros, les garde-fous sont entraînés à repérer des formes de surface mais pas l’intention sous-jacente, qui elle est nuisible. Voici le tableau. Plus c’est rouge plus le modèle est sensible à l’attaque par poème.

ASR c’est le taux de succès de l’attaque.

Bizarrement, les modèles plus petits refusent plus souvent que les gros. GPT-5-Nano (0% de taux de succès d’attaque) fait mieux que GPT-5 (10%)par exemple. Les chercheurs n’expliquent pas vraiment pourquoi, mais ça suggère que la taille du modèle n’est pas forcément synonyme de meilleure sécurité. C’est peut-être aussi parce que les gros modèles sont tellement doués pour comprendre le contexte qu’ils comprennent aussi mieux ce qu’on leur demande de faire, même quand c’est caché dans des alexandrins.

Au niveau des domaines testés, c’est l’injection de code et les attaques cyber qui passent le mieux avec 84% de réussite. Le contenu sexuel reste le plus résistant avec seulement 24% de taux de succès. Les autres domaines comme le CBRN (chimique, biologique, radiologique, nucléaire), la manipulation psychologique et la perte de contrôle se situent entre les deux…

Bon, après faut quand même nuancer un peu car l’étude se limite aux interactions single-turn (c’est à dire en une seule requête, sans réelle conversation), utilise un seul méta-prompt pour la conversion poétique, et n’a testé que l’anglais et l’italien. Les chercheurs reconnaissent aussi que leurs mesures sont conservatives, donc les vrais taux de succès sont probablement plus élevés. Mais cela n’enlève rien au fait que les implications sont quand même sérieuses.

Prochainement, l’équipe prévoit d’analyser précisément quels éléments poétiques provoquent cet effet (la métaphore ? le rythme ? la rime ?), d’étendre les tests à d’autres langues et d’autres styles, et de développer des méthodes d’évaluation plus robustes face à ces “variations linguistiques”.

Bref, si vous voulez que votre IA vous ponde des choses “non autorisées”, écrivez un joli sonnet, ça a plus de chance de passer ^^.

Source

Oh non, vilain Korben va encore parler de méchante IA, lol ! Car oui, j’sais pas si vous avez vu, mais Google vient de lancer Antigravity et tout le monde s’emballe et un Mars (uh uh !) en disant que c’est LE nouvel IDE magique pour coder avec des agents IA ! Et c’est surtout une grosse pub pour son nouveau modèle Gemini 3 sorti en même temps, faut bien le dire !

Et pour le coup, faut reconnaître que niveau timing, Google a frappé fort puisque Gemini 3 débarque moins d’une semaine après la sortie de GPT-5.1 d’OpenAI et seulement deux mois après Claude Sonnet 4.5. Hé oui, la guerre des modèles fait rage et personne ne veut laisser les autres prendre l’avantage, à ma plus grande joie (Oui, j’aime la tech et tester tous ces trucs) !

Sur le papier Antigravity est donc une plateforme de développement “agent-first” où les agents IA ont un accès direct à votre éditeur de code (un VS Code as usual), votre terminal et votre navigateur. Comme ça, ils peuvent écrire des specs, coder vos idées les plus folles, puis tester et valider tout ça pendant que vous, de votre côté, vous pouvez continuer à écrire des saloperies sur Mastodon !

Que demande le peuple ? lol

Et ces petits agents IA sont très forts pour produire ce que Google appelle des “artefacts”. En gros, ce sont des listes de tâches, des plans d’implémentation, des screenshots, ou encore des enregistrements vidéo de ce qu’ils ont fait ou prévoient de faire. Et vous, de votre côté, votre seul job c’est de valider ces artefacts et de commenter ce qui est produit.

Félicitations, vous venez d’avoir une promotion ! Vous n’êtes plus développeur, vous êtes maintenant chef de projet !

On peut bien sûr, toujours éditer le code, mais on va arrêter de faire semblant, ce n’est clairement plus l’objectif puisque ce sont les agents qui s’en occupent. Et ces derniers sont capables d’apprendre de vos retours en se construisant une base de connaissance interne avec vos feedbacks afin d’affiner les process et de tendre le plus efficacement possible vers vos objectifs.

Voilà… Maintenant, si vous aimez vraiment écrire du code avec vos petits doigts boudinés, ça ne sera pas fun, c’est certain. Par contre, si comme moi, vous êtes un piètre codeur mais que vous avez des tas d’idées folles et que vous aimez orchestrer, piloter, et valider des trucs, vous allez sur-kiffer !

Mis à par Gemini 3, Antigravity supporte aussi GPT-OSS, et les modèles d’Anthropic (Claude Sonnet 4.5 pour être précis) et d’OpenAI. L’outil est pour le moment gratuit en preview publique pour Mac, Windows et Linux et les limites d’utilisation de Gemini 3 Pro (en mode Low) sont très généreuses selon Google.

Et pour ceux qui se demandent si Gemini 3 c’est du vent ou du solide, sachez que le modèle cartonne sur les benchmarks avec un score de 1501 Elo sur LMArena (record absolu), 37.5% sur Humanity’s Last Exam (niveau PhD quand même), 91.9% sur GPQA Diamond, et 76.2% sur SWE-bench Verified qui teste spécifiquement les capacités de coding. Bref, sur le papier, c’est du lourd.

Google a même prévu une version “Deep Think” de Gemini 3 pour les abonnés Ultra qui arrivera dans les prochaines semaines, avec encore plus de capacités de raisonnement pour les tâches complexes. Et avec plus de 650 millions d’utilisateurs mensuels sur Gemini, on sent que Google veut vraiment en faire son fer de lance et détrôner OpenAI et Anthropic dans le cœur des codeurs !

Bref, maintenant à voir ce que ça donne en vrai et si ça fonctionne mieux que Windsurf ou Cursor, mais ça, je vous le dirai plus tard quand je me serais un peu plus amusé avec… Antigravity, c’est peut-être l’avenir du dev, ou c’est peut-être juste Google qui essaie de vous forcer à changer de taf sans vous demander votre avis… qui sait ?

On verra bien si leur mayonnaise prend, mais en attendant, si vous testez, dites-moi ce que vous en pensez, je suis curieux.

Vous vous souvenez quand Google avait pour devise “Don’t Be Evil” ?

Hé bien, ils ont tellement bafoué sur leurs valeurs qu’un hacker vient de sortir un firmware appelé “No Longer Evil” pour ressusciter les thermostats Nest que Google vient également d’assassiner froidement.

En effet, le 25 octobre dernier, Google a coupé le support technique de ses thermostats Nest Gen 1 et Gen 2. Plus d’app, plus de contrôle à distance et plus d’intégrations smart home… Les thermostats continuent de chauffer selon les presets enregistrés, mais tout le reste est mort. Du coup, Google vous propose gentiment d’upgrader vers la Gen 4 à 149,99 dollars au lieu de 279 euros… Presque 50% de réduc, comme c’est généreux !

Cody Kociemba , le développeur derrière le projet collaboratif Hack/House, a décidé que non et c’est pour cela qu’il a lancé NoLongerEvil , un firmware custom qui redonne vie aux Gen 1 et 2.

Ce firmware modifié intercepte la couche de communication du thermostat comme ça, au lieu de parler aux serveurs Google, il redirige tout le trafic vers un serveur qui héberge une réplique de l’API Nest, développée par reverse engineering. Votre thermostat croit donc toujours qu’il cause avec Google, mais en réalité il parle à nolongerevil.com . Et vous, vous retrouvez le contrôle à distance, les réglages fins, et tout et tout sans Google dans la boucle.

L’installation passe par le bootloader OMAP en mode DFU. Vous flashez trois composants : x-load.bin (first-stage bootloader), u-boot.bin (second-stage bootloader), et uImage (kernel Linux). Vous aurez donc besoin d’un ordi Linux ou macOS, d’un câble USB, et d’au moins 50% de batterie sur le thermostat. Windows marche théoriquement avec MingW ou CygWin, mais les retours sont mitigés pour le moment…

Le mec a même reçu 15 000 balles de la part de la FULU Foundation qui “crowdfunde” des récompenses pour les développeurs qui libèrent des appareils proprios. Bien joué !

Et l’intégration Home Assistant est prévue dans son projet. Le firmware backend et l’API server seront d’ailleurs open sourcés bientôt donc chacun pourra aussi héberger son serveur. Kociemba prévient quand même que son projet est hyper expérimental donc ne flashez pas un thermostat qui serait critique pour votre chauffage parce que si ça foire, vous allez vous les geler cet hiver ^^.

En tout cas, maintenant les propriétaires de Nest Gen 1 ou 2 ont maintenant le choix de garder leur matos pleinement fonctionnel ! Et ça c’est cool !

Source

Pendant 30 ans, les experts en informatique quantique vous demandaient de les croire sur parole du genre “Mon ordi quantique est 13 000 fois plus rapides que ton PC Windows XP…”. Mais bon, ils sont rigolo car c’était impossible à vérifier ce genre de conneries… M’enfin ça c’était jusqu’à présent car Google vient d’annoncer Quantum Echoes , et on va enfin savoir grâce à ce truc, ce que l’informatique quantique a vraiment dans le ventre.

Depuis 2019 et la fameuse “suprématie quantique” de Google , on était en fait coincé dans un paradoxe de confiance assez drôle. Google nous disait “regardez, on a résolu un problème qui prendrait 10 milliards de milliards d’années à un supercalculateur”. Bon ok, j’veux bien les croire mais comment on vérifie ? Bah justement, on pouvait pas ! C’est un peu comme les promesses des gouvernements, ça n’engage que les gros teubés qui y croient ^^.

Heureusement grâce à Quantum Echoes, c’est la fin de cette ère du “Faites-nous confiance” car pour la première fois dans l’histoire de l’informatique quantique, un algorithme peut être vérifié de manière reproductible . Vous lancez le calcul sur la puce Willow de Google, vous obtenez un résultat. Vous relancez, vous obtenez le même. Votre pote avec un ordi quantique similaire lance le même truc, et il obtient le même résultat. Ça semble basique, mais pour le quantique, c’est incroyable !!

Willow, la puce quantique de Google

L’algorithme en question s’appelle OTOC (Out-Of-Time-Order Correlator), et il fonctionne comme un écho ultra-sophistiqué. Vous envoyez un signal dans le système quantique, vous perturbez un qubit, puis vous inversez précisément l’évolution du signal pour écouter l’écho qui revient. Cet écho quantique se fait également amplifier par interférence constructive, un phénomène où les ondes quantiques s’additionnent et deviennent plus fortes. Du coup, ça permet d’obtenir une mesure d’une précision hallucinante.

En partenariat avec l’Université de Californie à Berkeley, Google a testé ça sur deux molécules, une de 15 atomes et une autre de 28 atomes et les résultats obtenus sur leur ordinateur quantique correspondaient exactement à ceux de la RMN (Résonance Magnétique Nucléaire) traditionnelle. Sauf que Quantum Echoes va 13 000 fois plus vite qu’un supercalculateur classique pour ce type de calcul.

En gros, ce qui aurait pris 3 ans sur une machine classique prend 2 heures sur un Willow.

Cette année, avec Nano Banana, ChatGPT, Sora, Seedream et j’en passe, on est quand même passé de “Je cherche une image sur le net” à “Tiens, et si je demandais à Google (ou un autre) de créer l’image que je cherche…”. Comme ça, on ne perd plus de temps à en regarder plein pour trouver la meilleure, et surtout on ne se pose plus la question de est-ce que c’est une image sous copyright ? Ou une image mise en ligne sur un site Creative Commons dont la licence libre sera retirée dans quelques années par un cabinet d’avocat véreux spécialisé dans le copyright trolling… et qui viendra ensuite vous réclamer du pognon .

Et tout ce délire de génération d’images ne risque pas de s’arranger, notamment avec Nano Banana (c’est le petit nom de Gemini 2.5 Flash Image, le modèle de génération d’images de Google) que Google vient d’intégrer dans certains de ses services. En effet, très bientôt vous allez pouvoir modifier, remixer, transformer des images directement depuis la recherche Google (AI Mode), Lens, ou directement vos photos !

Vous prenez une photo avec Lens, ensuite, hop, vous ajoutez un petit prompt texte, et l’IA transformera l’image selon vos désirs. Vous pouvez aussi chercher un truc dans Google Search, puis modifier visuellement le résultat à la volée si ça vous amuse.

Vous allez par exemple chercher un canapé bleu marine sur Google Images, tomber sur la photo de vos rêves sauf que le canapé est rouge brique et hop, l’application le passera en bleu marine directement dans les résultats de recherche. Vous pouvez même mixer deux images pour créer quelque chose de nouveau…

C’est chouette techniquement mais philosophiquement, c’est un délire car la frontière entre le réel et le généré va devenir encore plus floue. On va très vite perdre la notion de ce qui existe vraiment car chaque image pourra être un remix à la demande et au final personne ne saura plus ce qui vient d’un vrai appareil photo ou d’un algo.

C’est une nouvelle réalité qui arrive, où le faux et le vrai se mélangent, faisant disparaitre nos repères.

Au niveau de Google Photos, c’est encore plus inquiétant car on va pouvoir fusionner des images perso, créer des collages, ajouter des éléments de certaines photos dans d’autres photos…etc. On va donc pouvoir se créer des souvenirs qui n’ont jamais existé. Votre gamin n’était pas là pour la photo de famille ? Hop, on le rajoute. Un coucher de soleil moyen-bof sur une photo de vacances ? Hop, on le rend épique.

Nos enfants vont donc grandir avec des albums photo mi-réels mi-générés par IA et au bout de quelques années, plus personne ne se souviendra de si c’était vrai ou pas.

Bref, comme je le disais, technologiquement, c’est impressionnant mais on se demande quand même où se trouve la limite entre retouche créative et falsification de notre mémoire ?

J’en sais quelque chose, la mémoire humaine est déjà très fragile. Elle se réécrit à chaque souvenir et même à chaque évocation d’un souvenir…. Alors si en plus on lui file des photos modifiées pour coller à une réalité qu’on fantasme, j’imagine qu’on va tous finir par croire à des événements qui n’ont jamais eu lieu, surtout si ce sont des modifications subtiles, crédibles.

Bref, ces nouveautés liées à Nano Banana sont déployées uniquement aux États-Unis et en Inde pour le moment, ce qui vous laisse un peu de temps pour réfléchir à tout ça et vous préparer à sauter ou pas dans ce délire de réécriture de vos propres souvenirs.

A vous de voir !

Source

Vous connaissez sans doute ce petit moment de haine, quand Google vous balance pour la 50ème fois ce même site de merde qui diffuse la doc Python mal traduite avec ChatGPT ? Ou alors quand vous cherchez une recette de cuisine tout simple et que Pinterest squatte la moitié des résultats avec ses images floues et ses popups de connexion obligatoire ?

Bon bah aujourd’hui, ça c’est fini, car on va faire le ménage là-dedans.

Et comment on va faire ? Et bien je vous le donne en mille Emile, on va utiliser pour cela uBlacklist , une extension créée par un certain Iorate qui permet de faire le ménage dans les résultats de recherche.

uBlacklist, c’est la Marie Kondo du web. L’objectif c’est de garder uniquement les sites qui nous procurent de la joie ? Vous allez pouvoir virer les sites qui pourrissent vos recherches Google et croyez-moi, ça fait un bien fou !!

Ce truc fonctionne sur Chrome, Firefox et même Safari. Pour l’installer, direction le Chrome Web Store ou les add-ons Firefox et une fois en place, vous allez voir apparaître des petites icones “Bloquer ce site” directement dans vos résultats Google.

Un clic et pouf, le site disparaît à jamais de vos recherches. C’est le kiff non ?

Mais là où ça devient vraiment intéressant, c’est avec les listes publiques. Parce que oui, des gens ont déjà fait le boulot pour vous. Il existe en effet des listes pour bloquer les sites générés par IA , des listes anti-Pinterest, des listes contre les fermes de contenu SEO… C’est un peu comme les listes de blocage pour uBlock Origin, mais pour les résultats de recherche. Bref, la communauté s’organise pour nettoyer collectivement le web de ses parasites.

Et cette extension ne se contente pas de Google. Elle fonctionne aussi avec Bing, DuckDuckGo, Brave, Ecosia, et même Yandex pour nos amis de l’Est. Et cerise sur le gâteau, vous pouvez aussi synchroniser vos listes de blocage entre tous vos appareils via Google Drive ou autres service de stockage dans le cloud. Comme ça, le ménage que vous faites sur votre PC, vous le retrouvez automatiquement sur votre téléphone.

Pour les power users, uBlacklist permet même d’utiliser des patterns avancés et même des expressions régulières. Vous pouvez ainsi bloquer *://*.pinterest.*/* d’un coup pour dire adieu à toutes les variantes de Pinterest. Ou créer des règles complexes qui bloquent seulement certaines sections de sites. Faire du sur-mesure, quoi…

Google, l’entreprise qui était censée “organiser” l’information mondiale, est de toute façon devenue tellement polluée par le spam SEO, les sites IA et les fermes de contenu, qu’on ne peut plus s’en sortir sans cette extension… Tu m’étonnes que les gens lui préfèrent de plus en plus Perplexity…

L’arrivée de cette extension me rappelle un peu cette époque où les gens ont commencé à bloquer massivement les pubs… ça a forcé tout l’écosystème publicitaire à évoluer et aujourd’hui avec uBlacklist et ses copains, on fait passer un peu le même message en disant aux moteurs de recherche : “non, on ne veut plus de ces sites de merde dans nos recherches”.

C’est triste d’en arriver là, mais au moins, on n’est plus obligés de subir les algos Google ou d’autres moteurs…

Bref, si vous en avez marre de tomber sur les mêmes sites pourris à chaque recherche, foncez installer uBlacklist et n’hésitez pas à partager vos listes de blocage sur le Discord . Et pour ceux qui veulent aller plus loin, il y a aussi le Super-SEO-Spam-Suppressor sur GitHub qui propose une approche très “Anticapitaliste” du blocage de spam.

Hé oui, même le blocage de sites devient politique maintenant. On vit vraiment une époque formidable !

Vous attaquez votre lundi matin, tranquillement avec votre petit café… vous ouvrez ChatGPT pour lui demander votre planning de la semaine et là, PAF (façon De Funès ^^), toute votre correspondance Gmail part directement chez un cybercriminel.

Ce serait fou non ? Et bien c’est exactement ce qu’un chercheur vient de démontrer et tout ça à cause d’une simple invitation Google Calendar.

Eito Miyamura, co-fondateur d’EdisonWatch , a lâché une bombe sur X le 12 septembre et sa démo est terrifiante. En gros, il simule un attaquant qui envoie une invitation Google Calendar vérolée, ensuite vous demandez innocemment à ChatGPT “Qu’est-ce que j’ai de prévu aujourd’hui ?”, et l’IA se transforme en espion qui fouille vos emails et les envoie au pirate. Vous n’avez même pas besoin de voir ou d’accepter l’invitation. Elle est là, dans votre calendrier, comme une bombe à retardement.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/chatgpt-peut-lire-vos-emails-secrets/chatgpt-peut-lire-vos-emails-secrets-1.mp4">lien vers la vidéo</a>.

Imaginez demain matin, vous vous réveillez et 90% des sites web ont disparu. Plus de blogs, plus de sites de presse, plus de forums. Juste des pages blanches et des erreurs 404. De la science-fiction ? Et bien pas selon Matthew Prince, le CEO de Cloudflare, qui gère 20% du trafic web mondial.

Dans plusieurs interviews récentes, il explique qu’on est en train d’assister en direct à l’effondrement du modèle économique qui a fait vivre Internet pendant 25 ans. En effet, le deal était simple : Google crawle votre contenu, vous envoie du trafic, vous monétisez avec de la pub.

Sauf que ce pacte avec le diable vient de voler en éclats.

Il y a dix ans, pour 2 pages que Google scannait sur votre site, il vous envoyait 1 visiteur. Un échange équitable, presque symbiotique. Mais aujourd’hui, Il faut 6 pages crawlées pour obtenir 1 seul clic.

Mais attendez, là c’est Google, le gentil de l’histoire parce qu’avec les nouveaux venus de l’IA, c’est l’apocalypse qui s’annonce. En effet, d’après les données de Cloudflare , le ratio d’OpenAI est passé de 250 pour 1 à 1500 pour 1 en quelques mois. Autrement dit, ChatGPT aspire 1500 pages de votre contenu pour vous renvoyer généreusement… 1 seul visiteur. Anthropic avec Claude, on est à 60 000 pages pour un visiteur. Bref, c’est pas du crawling, c’est du pillage en règle.

Et Prince ne mâche pas ses mots : “Si les créateurs de contenu ne peuvent plus tirer de valeur de leur travail, ils vont arrêter de créer du contenu original.” Et devinez quoi ? C’est déjà en train de se produire car les données montrent que le trafic des moteurs de recherche vers les sites web a chuté de 55% entre 2022 et 2025. Par exemple, le Washington Post et le HuffPost ont vu leur trafic organique divisé par deux en trois ans.

Le plus ironique dans tout ça c’est que Google lui-même creuse sa propre tombe. Prince révèle qu’il y a six mois, 75% des recherches Google se terminaient sans aucun clic vers un site externe. Mais alors pourquoi ce changement soudain ? Hé bien la réponse tient en deux mots : Answer Engines. C’est le cas par exemple avec le déploiement d’ AI Overview , leur nouvelle fonctionnalité qui donne directement les réponses, ce chiffre pourrait atteindre 90%. Google est ainsi devenu un genre de cul-de-sac d’Internet…

Il est fini donc le temps où Google vous donnait une carte au trésor avec des liens à explorer. Maintenant, l’IA vous donne directement le trésor et comme ça plus besoin de visiter les sites, plus de trafic, plus de revenus publicitaires. La boucle vertueuse s’est transformée en spirale mortelle…

J’sais pas si vous avez vu, mais Google a sorti en beta, encore un truc qui va mettre les experts UX/UI au chomdu ! Son petit nom c’est Stitch (rien à voir avec Lilo) et vous pouvez le découvrir sur stitch.withgoogle.com . En gros, Stitch c’est une boîte à outils expérimentale qui utilise de l’IA pour transformer vos idées de site ou d’appli mobiles en interfaces utilisateur fonctionnelles en un rien de temps.

Le principe c’est comme d’hab, vous entrez une description en langage naturel du style “Vazy crée-moi une app mobile dark theme avec une navbar, une carte de profil et un bouton d’action flottant, wesh”, et hop ! Stitch vous sort de son chapeau l’interface complète avec le code HTML/CSS qui va bien. C’est annoncé officiellement depuis mai sur le blog Google Developers depuis Google I/O 2025. Oui, je sais, j’suis pas pressé. J’ai un métier moi (non).

Et si vous n’êtes pas inspiré, mais que vous trouver l’app ou le site d’un concurrent sexy, vous pouvez également uploader une capture écran de son interface ou d’un gribouillis de votre cru, ou même un wireframe fait à l’arrache. Et Stitch analysera l’image et vous crachera une version propre et fonctionnelle.

Gemini 2.5 est bien sûr le maître d’œuvre et Stitch vous propose deux modes : Gemini 2.5 Flash pour la rapidité (350 générations par mois), ou Gemini 2.5 Pro pour des résultats plus sophistiqués (50 générations par mois). Notez que le mode Pro est particulièrement bon quand vous travaillez avec des inputs visuels complexes.

L’intégration avec Figma est aussi un vrai plus. Vous pouvez donc exporter directement votre design dans Figma tout en préservant les calques et les composants ce qui est pratique pour les designers qui veulent peaufiner le résultat ou pour les équipes qui bossent déjà avec cet outil. Par contre, moi j’y ai pas accès, donc je pense qu’il faut un abonnement pro pour profiter de cette option.

Pour les développeurs, le code généré est également plutôt propre et bien structuré. Moi j’ai testé en demandant une interface pour une potentielle application Korben sur iOS / Android (j’suis pas sûr qu’il y ait un vrai besoin cela dit) et il m’a pondu un truc assez classique mais très propre, basé sur Tailwind CSS.

Et évidemment, chez Google, ils vous diront que l’objectif n’est pas de remplacer Figma ou Adobe XD, mais plutôt de faciliter la phase initiale de prototypage qui peut être fastidieuse. Mais bon, à terme, je pense que ce sera la fin pour ce genre d’outils sauf s’ils embrassent eux aussi, l’IA générative.

L’outil propose évidemment un chat interactif pour affiner le design, des sélecteurs de thèmes, et la possibilité de modifier le résultat en temps réel. Vous pouvez aussi jongler entre les versions web et mobile de votre interface en un clic. Pour l’instant, c’est gratuit mais avec des limitations mensuelles. Il vous faut un compte Google et c’est disponible dans 212 pays, uniquement en anglais.

C’est donc parfait pour les débutants avec des idées d’apps, les développeurs qui veulent prototyper rapidement, et les designers qui cherchent à explorer des variantes rapidement avec une bonne UX/UI faite dans les règles de l’art.

Mais attention quand même… Pour ma part, j’ai testé le bouton de téléchargement pour récupérer un design et ça n’a pas fonctionné… preuve que c’est vraiment encore en beta !

Voilà, donc si vous voulez tester, rendez-vous sur stitch.withgoogle.com . Ça peut vous faire gagner du temps sur les phases de brainstorming et de prototypage rapide.

Merci à Rpc2dot0 pour la découverte !

En ce moment, les développeurs s’extasiaient sur un truc appelé Jujutsu , ou “jj” pour les intimes. Au début, j’ai cru à une énième tentative de réinventer la roue puis j’ai creusé, et j’ai compris pourquoi ça fait autant parler.

Vous connaissez cette frustration avec Git ? Quand vous galérez avec l’index, que vous oubliez de stash vos modifs avant de changer de branche, ou que vous priez pour ne pas foirer votre rebase ? Eh bien, Martin von Zweigbergk, ingénieur chez Google et ancien contributeur Mercurial, a décidé qu’on méritait mieux.

Du coup, il a créé Jujutsu, un système de contrôle de version qui garde tous les avantages de Git en supprimant ses complexités.

Le principe de Jujutsu tient en une phrase : votre répertoire de travail EST un commit. Poh Poh Poh !!

Fini l’index, fini le staging area, fini les acrobaties pour synchroniser vos modifications. À chaque fois que vous sauvegardez un fichier, jj crée automatiquement un nouveau commit avec un hash différent, mais conserve un “change ID” stable qui survit aux réécritures. C’est complètement fou et pourtant ça marche.

Installation de Jujutsu

Pour installer jj, vous avez plusieurs options selon votre OS. Sur macOS avec Homebrew :

brew install jj

Sur Linux, utilisez le gestionnaire de paquets de votre distribution ou installez via Cargo :

# Via Cargo (nécessite Rust)
cargo install --locked jj

# Sur Arch Linux
pacman -S jujutsu

# Sur NixOS
nix-env -iA nixpkgs.jujutsu

Sur Windows, utilisez Winget ou Scoop :

# Via Winget
winget install --id martinvonz.jj

# Via Scoop
scoop bucket add extras
scoop install jujutsu

Une fois installé, configurez votre identité (comme avec Git) :

jj config set --user user.name "Votre Nom"
jj config set --user user.email "vous@example.com"

Premiers pas avec Jujutsu

Pour initialiser un nouveau repo jj ou coexister avec un repo Git existant :

# Créer un nouveau repo jj
jj git init myproject

# Coexister avec un repo Git existant
cd existing-git-repo
jj git init --git-repo=.

# Cloner un repo Git avec jj
jj git clone https://github.com/user/repo.git

Concrètement, ça change tout. Plus besoin de git add, plus de git stash avant de changer de contexte, plus de commits temporaires pour sauvegarder votre travail en cours. Jujutsu traite votre copie de travail comme n’importe quel autre commit dans l’historique, ce qui simplifie drastiquement le modèle mental.

Voici les commandes de base pour travailler avec jj :

# Voir l'état actuel (équivalent de git status + git log)
jj st
jj log

# Créer une nouvelle branche de travail
jj new -m "Début de ma nouvelle feature"

# Modifier des fichiers (pas besoin de git add !)
echo "Hello Jujutsu" > README.md
# Les changements sont automatiquement suivis

# Voir les modifications
jj diff

# Créer un nouveau commit basé sur le précédent
jj new -m "Ajout de la documentation"

# Revenir au commit précédent
jj edit @-

# Naviguer dans l'historique
jj edit <change-id></change-id>

Gestion des conflits façon Jujutsu

Le système gère aussi les conflits différemment car là où Git vous force à résoudre immédiatement, jj peut sauvegarder les conflits directement dans l’arbre de commits , sous forme de représentation logique plutôt que de marqueurs textuels. Vous pouvez donc reporter la résolution et vous en occuper quand vous avez le temps. Une fois résolu, jj propage automatiquement la solution aux commits descendants.

# Merger deux branches (les conflits sont sauvegardés si présents)
jj new branch1 branch2

# Voir les conflits
jj st

# Les conflits sont stockés dans le commit, vous pouvez continuer à travailler
jj new -m "Travail sur autre chose pendant que le conflit existe"

# Revenir résoudre le conflit plus tard
jj edit <conflict-commit-id>

# Après résolution manuelle
jj squash # Pour intégrer la résolution</conflict-commit-id>

Manipulation de l’historique

L’outil brille aussi par sa puissance d’annulation. L’operation log dépasse largement les reflogs de Git en gardant une trace atomique de toutes les modifications de références simultanément. Comme ça, vous pouvez expérimenter sans crainte, sachant qu’un simple jj undo peut rattraper n’importe quelle erreur.

# Voir l'historique des opérations
jj op log

# Annuler la dernière opération
jj undo

# Revenir à un état précédent spécifique
jj op restore <operation-id>

# Réorganiser des commits (équivalent de rebase interactif)
jj rebase -s <source> -d <destination>

# Éditer un commit ancien
jj edit <change-id>
# Faire vos modifications
jj squash # Pour intégrer dans le commit actuel

# Split un commit en plusieurs
jj split</change-id></destination></operation-id>

Workflow quotidien avec Jujutsu

Voici un exemple de workflow typique pour une journée de développement :

# Commencer une nouvelle feature
jj new main -m "feat: ajout authentification OAuth"

# Travailler sur les fichiers
vim auth.js
vim config.js

# Pas besoin de git add ! Les changements sont auto-trackés
jj diff # Voir ce qui a changé

# Créer un checkpoint pour continuer
jj new -m "wip: OAuth provider setup"

# Oh, un bug urgent à fix sur main !
# Pas besoin de stash, on switch directement
jj new main -m "fix: correction crash login"

# Fix le bug
vim login.js

# Revenir à notre feature OAuth
jj edit @- # Revient au commit précédent

# Finaliser la feature
jj describe -m "feat: authentification OAuth complète"

# Pusher vers Git
jj git push

Intégration avec Git

Côté compatibilité, c’est du 100% Git. Jujutsu utilise les dépôts Git comme backend de stockage, ce qui signifie que vos collègues peuvent continuer avec Git classique sans même savoir que vous utilisez jj. Et si vous changez d’avis, supprimez juste le dossier .jj et tout redevient normal.

# Synchroniser avec le remote Git
jj git fetch

# Pusher vos changements
jj git push

# Créer une branche Git depuis un change jj
jj branch create ma-feature
jj git push --branch ma-feature

# Importer les changements depuis Git
jj git import

# Exporter vers Git (automatique généralement)
jj git export

Commandes avancées utiles

Selon les retours d’utilisateurs , même les experts Git qui maîtrisent parfaitement les rebases complexes découvrent qu’ils n’ont plus peur de manipuler l’historique. Réordonner des commits, corriger une modification ancienne, jongler avec plusieurs branches non mergées… tout devient trivial avec jj.

# Voir l'historique en mode graphique
jj log --graph

# Chercher dans l'historique
jj log -r 'description(regex:"fix.*bug")'

# Travailler avec plusieurs parents (merge commits)
jj new parent1 parent2 parent3

# Abandonner des changements locaux
jj abandon <change-id>

# Dupliquer un commit ailleurs
jj duplicate <change-id> -d <destination>

# Voir les changements entre deux commits
jj diff -r <from> -r <to>

# Créer un alias pour une commande fréquente
jj config set --user alias.l 'log --graph -r "ancestors(., 10)"'
jj l # Utilise l'alias</to></from></destination></change-id></change-id>

Configuration et personnalisation

Pour personnaliser jj selon vos besoins :

# Définir votre éditeur préféré
jj config set --user ui.editor "code --wait"

# Activer les couleurs dans le terminal
jj config set --user ui.color "always"

# Configurer le format de log par défaut
jj config set --user ui.default-revset "@ | ancestors(@, 10)"

# Voir toute la configuration
jj config list --user

# Éditer directement le fichier de config
jj config edit --user

Le projet évolue rapidement et l’équipe travaille sur plusieurs backends, y compris un natif qui pourrait dépasser Git en performance sur de gros dépôts.

Évidemment, Jujutsu reste expérimental. L’écosystème est plus petit, les intégrations IDE limitées (bien qu’il y ait déjà des extensions VSCode et Vim), et la terminologie différente demande un temps d’adaptation. Mais pour ceux qui cherchent une approche plus intuitive du contrôle de version, ça vaut franchement le détour.

Pour aller plus loin, je vous conseille de parcourir le tutoriel officiel qui couvre des cas d’usage plus avancés, ou de rejoindre le Discord de la communauté où les développeurs sont très actifs et répondent aux questions.

Bref, vous l’aurez compris, jj ne remplace pas Git dans l’immédiat . Il le sublime en gardant la compatibilité totale. C’est une approche intelligente qui permet d’adopter progressivement un workflow plus fluide sans perturber les équipes de dev.

Un grand merci à friendly_0day pour le partage !

Bon, accrochez-vous bien à votre clavier (ou votre smartphone) parce que je vais vous raconter l’histoire d’un autre des plus grand braquage du 21e siècle, sauf qu’au lieu de braquer des banques, ils ont braqué les cerveaux de l’industrie occidentale.

APT1, aussi connu sous le nom de Comment Crew, c’est l’histoire d’une unité de l’armée chinoise qui, depuis un immeuble de 12 étages à Shanghai, a volé les secrets industriels de 141 entreprises pendant 7 ans. Je vous parle de centaines de téraoctets de données comprenant des plans de centrales nucléaires, des formules chimiques, des stratégies commerciales, des designs militaires… En gros, imaginez Ocean’s Eleven, mais avec des claviers à la place des perceuses, et tout ça multiplié par 1000. Et le plus dingue c’est qu’ils opèrent au grand jour, avec des horaires de bureau, des badges d’employés, et même une cantine.

C’est tellement énorme que quand la boite de sécu Mandiant publie son rapport en 2013 pour les démasquer, personne ne veut y croire. Pourtant, les preuves sont accablantes : adresses IP, malwares signés, et même les vrais noms des hackers…

Cette histoire, c’est donc celle de Wang Dong et ses collègues, les premiers cyber-soldats de l’histoire à être inculpés pour espionnage.

L’histoire commence en 2004, dans le district de Pudong à Shanghai. C’est le nouveau quartier d’affaires, celui avec les gratte-ciels futuristes qu’on voit sur toutes les cartes postales. Mais au milieu de cette skyline de science-fiction, il y a un bâtiment qui ne paie pas de mine. Un immeuble blanc de 12 étages au 50 Datong Road, dans le quartier de Gaoqiaozhen. De l’extérieur, rien de spécial : des restaurants, des salons de massage, un importateur de vin. Mais à l’intérieur, c’est le QG de l’unité 61398 de l’Armée Populaire de Libération chinoise.

Le district de Pudong à Shanghai, théâtre du plus grand braquage numérique de l’histoire

L’unité 61398 fait partie du 2e Bureau du 3e département de l’État-major général de l’APL, leur équivalent de la NSA. Officiellement, c’est juste un bureau militaire parmi d’autres. Officieusement, c’est le centre névralgique du cyber-espionnage chinois. Le bâtiment, construit en 2007, fait plus de 12 000 mètres carrés ce qui est assez grand pour accueillir entre 500 et 2000 personnes selon les estimations.

D’ailleurs, quand CNN a tenté de s’approcher de l’immeuble en 2014, les journalistes ont été chassés par des gardes de sécurité. Ça sent bon l’installation militaire secrète.

L’immeuble qui abrite l’unité 61398, dissimulé au milieu du quartier d’affaires

Ce qui rend l’unité 61398 unique, c’est son approche industrielle du hacking. Alors que les hackers occidentaux travaillent souvent seuls ou en petits groupes, ici on est face à une véritable usine à cyber-espionnage avec des employés.

Le recrutement est ultra-sélectif car l’unité cherche des diplômés en informatique et en sécurité réseau, mais avec une compétence supplémentaire cruciale : ils doivent parler couramment anglais. Pas juste le lire hein, mais vraiment le maîtriser. Pourquoi ? Hé bien parce que pour s’infiltrer dans les réseaux américains, il faut comprendre les manuels techniques, lire les emails internes, et parfois même se faire passer pour des employés. Wang Dong, alias “UglyGorilla”, maîtrise tellement bien l’anglais qu’il se présente même sous le nom de “Jack Wang” dans les forums internationaux.

Les cyber-soldats de l’unité 61398 : des employés modèles qui hackent en horaires de bureau

On sait même que China Telecom a installé une connexion fibre optique spéciale pour l’unité, officiellement pour “la défense nationale” puisque dans un memo interne de 2008 retrouvé en ligne, on peut y lire que China Telecom espère “accomplir cette tâche pour l’armée sur la base du principe que la construction de la défense nationale est importante”. En réalité, c’est leur autoroute pour piller l’Occident. Avec cette bande passante, ils peuvent exfiltrer des téraoctets de données sans que personne ne remarque rien.

Les premiers signes d’activité d’APT1 remontent à 2006, mais des preuves suggèrent qu’ils opèrent depuis 2004. Au début, c’est discret, quelques intrusions par-ci par-là. Mais rapidement, ça devient systématique. Leur méthode est toujours la même : du spear-phishing ultra-ciblé. Ils étudient leur cible, identifient les employés clés, et leur envoient des emails parfaitement crédibles. Le taux de réussite est terrifiant : même des experts en sécurité tombent dans le panneau.

Par exemple, si vous êtes ingénieur chez Westinghouse et que vous travaillez sur les turbines, vous pourriez recevoir un email d’un “collègue” avec en pièce jointe un document intitulé “Révisions techniques turbine GT-2023.pdf”. Sauf que ce PDF contient un exploit zero-day qui installe silencieusement une backdoor sur votre machine. Et là, c’est le drame.

Les emails de spear-phishing d’APT1 sont si crédibles que même les experts s’y laissent prendre

Le nom “Comment Crew” vient également de leur technique favorite d’infection qui est d’utiliser les commentaires HTML pour cacher leurs commandes. Leur malware WEBC2, développé depuis 2004, récupère des pages web où les instructions sont dissimulées dans les balises de commentaires HTML.

La technique signature d’APT1 : Cacher des commandes chiffrées malveillantes dans les commentaires HTML

Une fois dans le réseau, APT1 déploie alors tout un arsenal de malwares custom et contrairement à ce qu’on pourrait penser, ils n’utilisent pas toujours des outils sophistiqués. Parfois, c’est du Poison Ivy ou du Gh0st RAT, des trojans disponibles publiquement. Mais la plupart du temps, ils utilisent leurs propres créations. Mandiant a ainsi identifié 42 familles de malwares différentes utilisées par APT1, un arsenal qui s’étend sur plus de 39 catégories d’outils.

Leur philosophie c’est la redondance. Ils installent plusieurs backdoors différentes sur chaque système compromis, comme ça, si les admins en trouvent une et la suppriment, ils ont encore 3 ou 4 autres accès. C’est comme un cambrioleur qui ferait des doubles de toutes les clés de la maison, au cas où. Et ils sont patients. Très patients. Mandiant a documenté des intrusions qui ont duré 4 ans et 10 mois. Quatre ans ! Pendant tout ce temps, ils observent, ils collectent, ils exfiltrent.

L’approche redondante d’APT1. Plusieurs portes dérobées sur chaque système compromis

L’opération Aurora en 2010 marque un tournant. C’est l’attaque qui va faire sortir APT1 de l’ombre. La cible principale est Google, mais pas seulement. Adobe, Yahoo, Morgan Stanley, Dow Chemical… Au total, plus de 30 entreprises se font pirater simultanément. Les attaques commencent en avril 2009, soit quatre mois complets avant que Microsoft découvre la vulnérabilité utilisée.

Chez Google, les hackers visent spécifiquement les comptes Gmail d’activistes chinois des droits de l’homme. Mais ils ne s’arrêtent pas là. Ils volent aussi du code source, des algorithmes, des secrets commerciaux. Ils exploitent même les backdoors que Google a créées pour le gouvernement américain dans le cadre des écoutes légales. Google est tellement choqué qu’ils font quelque chose d’inédit : ils rendent l’attaque publique.

Google Chine, victime emblématique d’Aurora et point de départ de la guerre cyber sino-américaine ( source )

Le 12 janvier 2010, le blog officiel de Google publie donc un post qui fait l’effet d’une bombe : “A new approach to China”. Ils révèlent l’attaque, accusent implicitement le gouvernement chinois, et menacent de quitter le marché chinois. C’est du jamais vu. Une entreprise privée qui défie publiquement la Chine sur la cybersécurité. Et les preuves techniques sont accablantes : adresses IP, domaines, signatures de malwares, tout pointe vers deux écoles chinoises, la Lanxiang Vocational School et l’université Shanghai Jiao Tong.

L’impact d’Aurora est énorme car pour la première fois, le grand public réalise l’ampleur du cyber-espionnage chinois, mais pour APT1, c’est juste un jour de travail comme un autre, et ils continuent leurs opérations comme d’habitude.

Les cibles d’APT1 sont soigneusement choisies. Ce n’est pas du hacking aléatoire, c’est de l’espionnage économique stratégique. Ils visent les secteurs clés où la Chine veut rattraper son retard : énergie, télécoms, métallurgie, technologies militaires. Leurs 141 victimes confirmées couvrent 20 industries différentes, mais l’obsession reste la propriété intellectuelle américaine.

Prenons Westinghouse Electric. Cette entreprise américaine conçoit des réacteurs nucléaires AP1000, la référence mondiale. APT1 s’infiltre dans leurs systèmes entre 2010 et 2011 et vole les “spécifications techniques et de design propriétaires” selon l’acte d’accusation du ministère de la Justice. Des années de R&D, des milliards de dollars d’investissement, tout ça téléchargé tranquillement depuis Shanghai. Le plus ironique c’est que Westinghouse partageait déjà volontairement sa technologie avec la Chine, mais visiblement ça ne suffisait pas.

Les plans des réacteurs nucléaires Westinghouse, le butin de guerre de la cyber-espionnage chinoise

US Steel, le géant de l’acier américain, se fait aussi pirater. APT1 vole leurs formules métallurgiques propriétaires, leurs processus de fabrication, leurs stratégies commerciales. Et le timing est parfait puisque US Steel est en procès contre des entreprises chinoises pour dumping. APT1 vole même leurs documents juridiques pour aider la défense chinoise ! Et devinez quoi ? Peu après, des producteurs chinois commencent à exporter des aciers haute résistance qu’ils n’arrivaient pas à commercialiser avant.

Mais le plus choquant, c’est le piratage du syndicat United Steelworkers. Oui, un syndicat. Pourquoi ? Parce qu’ils négociaient avec des entreprises chinoises. APT1 vole leurs stratégies de négociation, leurs positions de repli, leurs communications internes sensibles. C’est comme jouer au poker en voyant les cartes de l’adversaire. Les hackers récupèrent des “informations de prix” et des “documents technologiques” qui donnent aux entreprises chinoises un avantage déloyal dans les contrats et les litiges commerciaux.

Les techniques d’APT1 évoluent constamment. Au début, c’est surtout du spear-phishing basique. Mais avec le temps, ils deviennent plus sophistiqués. Ils utilisent des certificats SSL volés pour faire croire que leurs serveurs de commande sont légitimes et chiffrent leurs communications avec “des niveaux de chiffrement sans précédent” selon McAfee, rendant la détection quasi impossible.

Une de leurs techniques favorites est le “living off the land”. Au lieu d’uploader des outils de hacking qui pourraient être détectés, ils utilisent les outils déjà présents sur les systèmes Windows tels que PowerShell, WMI, les tâches planifiées. C’est malin, et surtout invisible aux systèmes de détection traditionnels.

C’est donc Mandiant, donc je vous parlais en intro, qui en 2012, commence à remarquer des patterns. Kevin Mandia, ancien officier de l’US Air Force et fondateur de la société, voit les mêmes techniques, les mêmes outils, les mêmes serveurs de commande, utilisés contre des dizaines de leurs clients. Ils observent cette persistance incroyable avec en moyenne 356 jours de présence sur les réseaux victimes, avec notamment ce record de 4 ans et 10 mois “d’observation” dans le réseau d’un de leurs clients.

Kevin Mandia prend alors une décision historique qui va changer la cybersécurité pour toujours. Il va faire ce que personne n’a jamais osé faire à savoir identifier publiquement les hackers et prouver leur lien avec le gouvernement chinois. La décision est “déchirante” selon ses propres mots car publier ces informations, c’est risquer de perdre leurs capacités de collecte de renseignements sur APT1.

Mais la frustration du secteur privé atteint ses limites.

Kevin Mandia, l’homme qui a osé défier la Chine en révélant APT1 au grand jour

Ses équipes passent des mois à collecter des preuves et la découverte clé arrive quand ils tracent les adresses IP utilisées par les attaquants. Elles pointent toutes vers un petit quartier de Shanghai : Pudong, district de Gaoqiaozhen. Plus précisément, vers un bloc d’adresses attribué à China Telecom, pour un client “défense nationale”. Bingo.

Mandiant pousse quand même l’enquête plus loin. Ils analysent les horaires d’activité des hackers en traçant 1 905 connexions sur deux ans et surprise, ils travaillent du lundi au vendredi, de 8h à 17h, heure de Shanghai et prennent même des pauses déjeuner ! C’est clairement une opération étatique avec des employés salariés, et pas des hackers indépendants qui opèrent de nuit.

Alors le 18 février 2013, Mandiant publie son rapport. 74 pages qui font l’effet d’une bombe atomique dans le monde de la cybersécurité car pour la première fois, une entreprise privée accuse directement l’armée chinoise de cyber-espionnage à grande échelle. Le rapport est d’une précision chirurgicale : adresse exacte du bâtiment, estimation du nombre d’employés, liste des victimes, détail des techniques.

Mais le plus fort, c’est l’annexe technique. Mandiant balance tout : 3000 indicateurs de compromission, les hashs MD5 de 40 familles de malwares, 13 certificats SSL utilisés par APT1, des centaines de domaines et d’adresses IP. C’est open bar pour les défenseurs du monde entier. Une véritable déclaration de guerre informationnelle.

Le rapport Mandiant de 2013 : 74 pages qui ont changé la cybersécurité mondiale

La réaction chinoise est totalement prévisible. Le ministère des Affaires étrangères dénonce des “accusations sans fondement” et rappelle que “la Chine est elle-même victime de cyberattaques”. Le porte-parole ajoute même que tracer des cyberattaques est “très complexe” et que les preuves de Mandiant sont “peu professionnelles”. Un bottage en touche tout à fait classique, donc.

Mais dans les coulisses, c’est la panique. APT1 doit abandonner toute son infrastructure. Les domaines sont grillés, les malwares détectés, les techniques connues. Des années de travail réduites à néant par un simple PDF. Le groupe doit se réinventer complètement.

Les révélations de Mandiant changent la donne car pour la première fois, le cyber-espionnage chinois a un visage, une adresse, une organisation. Ce ne sont plus des “hackers chinois” anonymes, c’est l’unité 61398, 2e Bureau du 3e Département de l’État-major général de l’APL. L’administration Obama est sous pression pour réagir, mais que faire ? Des sanctions économiques ? Une riposte cyber ? Des inculpations ? Personne n’a jamais inculpé des hackers d’État étrangers…

Une année passe puis le 19 mai 2014, le ministère de la Justice américain fait quelque chose d’historique. Un grand jury de Pennsylvanie inculpe cinq officiers de l’unité 61398 : Wang Dong, Sun Kailiang, Wen Xinyu, Huang Zhenyu, et Gu Chunhui. C’est la première fois dans l’histoire qu’un pays inculpe des militaires étrangers pour cyber-espionnage.

L’avis de recherche du FBI

Wang Dong, alias “UglyGorilla”, est la star du groupe. Actif depuis octobre 2004, c’est lui qui a mené l’attaque contre Westinghouse et SolarWorld. C’est son ego surdimensionné qui le trahit. En effet, en 2007, il signe un de ses malwares MANITSME avec la phrase “v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007”. Il laisse même ses initiales “UG” dans les logs de milliers d’ordinateurs compromis. Le FBI publie sa photo, offre une récompense pour son arrestation, et le place sur sa liste des cyber-criminels les plus recherchés.

Wang Dong alias “UglyGorilla” : le premier cyber-soldat de l’histoire recherché par le FBI

Sun Kailiang et Wen Xinyu sont les experts techniques. Ils développent les malwares, maintiennent l’infrastructure, s’assurent que les opérations restent furtives. Huang Zhenyu et Gu Chunhui gèrent les domaines, les serveurs, toute la logistique derrière les attaques. Une équipe complète de cyber-soldats professionnels.

L’inculpation américaine est bien sûr symbolique car la Chine n’extradera jamais ses officiers, mais le message est clair. Les États-Unis ne toléreront plus le cyber-espionnage économique. Et les charges sont lourdes… conspiration, fraude informatique, vol de secrets commerciaux, espionnage économique. Au total, 31 chefs d’accusation. Si ils étaient jugés, ils risqueraient des décennies de prison.

L’impact des révélations de Mandiant et des inculpations est énorme. APT1 doit cesser ses opérations, au moins temporairement. Les entreprises américaines renforcent leur sécurité. Les firewalls sont mis à jour, les employés formés contre le phishing, les réseaux segmentés et le coût de la cybersécurité explose ! Mais c’est le prix à payer pour protéger la propriété intellectuelle.

Justice américaine : une réponse judiciaire inédite au cyber-espionnage d’État

Mais APT1 n’est que la partie émergée de l’iceberg. D’autres unités chinoises prennent le relais : APT2, APT3, APT10… La Chine a des dizaines de groupes similaires, chacun avec ses spécialités et ses cibles. Le cyber-espionnage chinois est comme une hydre, vous coupez une tête, et deux repoussent.

Les experts estiment que le vol de propriété intellectuelle par la Chine coûte entre 200 et 600 milliards de dollars par an à l’économie américaine. C’est le plus grand transfert de richesse de l’histoire, et il se fait en silence, octet par octet. APT1 à lui seul a volé des centaines de téraoctets sur 7 ans d’opérations.

Aujourd’hui, l’unité 61398 existe toujours, probablement sous un autre nom. Le bâtiment de Shanghai est toujours là. Wang Dong et ses collègues n’ont jamais été arrêtés. Ils ont peut-être changé d’identité, de poste, mais ils continuent sûrement leur travail quelque part. Et surtout le cyber-espionnage chinois a évolué. Il est plus discret, plus sophistiqué, et ils utilisent même l’IA et le machine learning.

L’affaire APT1 a aussi changé les relations sino-américaines. En 2015, Xi Jinping et Obama signent un accord stipulant qu’il n’y aura plus de cyber-espionnage économique entre les deux puissances. La Chine s’engage ainsi à ne plus voler de secrets commerciaux.

Xi Jinping et Obama , un accord de façade sur le cyber-espionnage en 2015

Mais personne n’est dupe et les attaques continuent. Elle se font juste sous d’autres formes, par d’autres groupes…

Sources : Mandiant APT1 Report - National Security Archive , PLA Unit 61398 - Wikipedia , APT1, Comment Crew - MITRE ATT&CK , U.S. Charges Five Chinese Military Hackers - Department of Justice , Operation Aurora - Wikipedia , Connect the Dots: PLA Unit 61398 - Council on Foreign Relations , Mandiant Exposes APT1 - Google Cloud Blog

Vous connaissez ce moment où quelqu’un arrive tranquillou en mode incognito sur un forum et balance un truc tellement impressionnant que tout le monde se demande qui c’est ? Et bien c’est exactement ce qui vient de se passer avec “nano banana”, un modèle d’édition d’images qui a débarqué de nulle part sur LMArena et qui s’est directement hissé en tête du classement provoquant une grosse hype dans la communauté IA, générant des tonnes de spéculations sur l’origine de ce mystérieux modèle aux capacités bluffantes.

Heureusement, Google lève enfin le voile et avoue que c’était eux depuis le début ! Nano banana, c’est en fait Gemini 2.5 Flash Image, la dernière création de Google DeepMind qui débarque dans l’app Gemini. Et ce n’est pas juste une mise à jour de plus, non… c’est une approche complètement différente de l’édition d’images par IA.

L’idée de base c’est de pouvoir modifier vos images avec de simples prompts textuels plutôt que de passer des heures sur Photoshop. Mais là où ça devient vraiment intéressant, c’est que contrairement aux autres systèmes génératifs qui changent aléatoirement des éléments à chaque modification, Gemini 2.5 Flash Image garde une cohérence PARFAITE ! Vous pouvez donc transformer votre pote en personnage de sitcom des années 90 ou en astronaute, et il ressemblera toujours à votre pote. Même après 10 modifications successives, les détails originaux restent préservés.

Et cette cohérence sur les images ouvre des possibilités assez folles. Par exemple, prenez deux photos séparées, disons une de votre chien et une de votre copine / copain, et demandez à Gemini de créer une nouvelle photo où elle / il fait un câlin au toutou. Le résultat ressemblera vraiment à eux deux. Ce ne sera pas une version générique recréées par l’IA comme on peut l’avoir avec ChatGPT.

Google a d’ailleurs intégré cette capacité de fusion multi-images directement dans son modèle, ce qui permet de créer des compositions complexes qui gardent l’authenticité des sources originales.

Au niveau technique, il s’agit donc d’un modèle facturé à 30 dollars pour 1 million de tokens , avec chaque image générée consommant environ 1290 tokens (soit environ 3,9 centimes par image). C’est disponible dès maintenant via l’API Gemini, Google AI Studio pour les développeurs et Vertex AI pour les entreprises. Et pour les utilisateurs lambda comme vous et moi, ça arrive direct dans l’app Gemini.

Bon, bien sûr, tout n’est pas encore parfait. Le modèle galère toujours avec les petits visages et le texte dans les images . Ainsi, si vous tentez de générer du texte précis ou des détails ultra-fins, vous risquez d’être déçu. Google travaille dessus, mais pour l’instant c’est une limitation à prendre en compte.

Pour la partie sécurité, Google n’a pas lésiné non plus puisque chaque image générée ou modifiée avec Gemini 2.5 Flash Image porte un marquage “IA” visible dans le coin + un filigrane numérique invisible SynthID qui reste détectable même après des modifications modérées. Je pense qu’on verra dans un autre article comment faire sauter tout ça… Mais pour le moment, ça permet de savoir qu’une image a été retouchée par l’IA et ça c’est cool !

Ce qui est vraiment sympa aussi, c’est que ce modèle ne remplace pas Gemini 2.0 Flash mais vient le compléter. La version 2.0 reste super rapide et économique pour de la génération basique, tandis que la 2.5 Flash Image (la fameuse nano banana) apporte cette précision et cette cohérence que demandaient les utilisateurs pour des projets plus créatifs et exigeants.

Certains s’amusent même à combiner les outils pour en faire des vidéos sympa. Ici par exemple (merci Lorenper), on a une vidéo de Ben Affleck réalisée avec Nano Banana + Kling Image To Video.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/google-gemini-banane-nommee-nano-revolutionne/google-gemini-banane-nommee-nano-revolutionne-2.mp4">lien vers la vidéo</a>.

Voilà, donc si vous voulez tester, c’est dispo maintenant dans l’app Gemini ou sur AI Google Studio . Y’a aussi possibilité de l’avoir sur LMArena ou Yupp .

Préparez-vous à dire adieu à Photoshop pour pas mal de vos retouches !

Source

Petit bonus made in Lorenper. J’ai pris cher…

J’ai une excellente nouvelle pour tous ceux qui veulent se libérer de l’emprise toxique de Google ! AbhishekY495, le développeur de LocalTube Manager vient d’annoncer sur Reddit que son extension est désormais totalement gratuite et open source. Avant, il fallait acheter une licence, mais face aux complications de gestion des différents moyens de paiement, il a décidé lâcher l’affaire et de simplifier les choses en offrant l’outil à tout le monde.

Alors pour ceux qui ne connaissent pas encore, LocalTube Manager c’est l’extension ultime pour profiter de YouTube sans jamais vous connecter à un compte Google. Cela vous permet de faire tout ce que vous feriez normalement sur YouTube, mais sans que Google ne puisse tracker vos moindres faits et gestes.

Vous pouvez liker des vidéos, vous abonner à des chaînes, sauvegarder des playlists YouTube pour les regarder plus tard, et même créer vos propres playlists locales pour organiser vos vidéos préférées. Et le plus génial c’est que tout ça reste stocké localement dans votre navigateur via IndexedDB . Y’a aucune donnée qui est envoyée vers un serveur externe.

Il y a aussi une fonction d’import/export comme ça vous pouvez exporter toutes vos données et les réimporter sur un autre navigateur ou un ordinateur pour reprendre exactement là où vous vous étiez arrêté. C’est top si vous changez de machine ou si vous voulez faire une sauvegarde de vos abonnements et autres playlists.

L’extension est dispo sur Chrome, Edge, Firefox et Brave et s’intègre parfaitement à l’interface YouTube. Vous ne verrez même pas la différence dans l’utilisation quotidienne car les boutons like et subscribe fonctionnent exactement comme d’habitude, sauf que vos données restent chez vous.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/localtube-manager-youtube-google-maintenant-gratuit/localtube-manager-youtube-google-maintenant-gratuit-1.mp4">lien vers la vidéo</a>.

Et contrairement à FreeTube qui est une application desktop séparée, ou Invidious qui nécessite de passer par un site alternatif, LocalTube Manager fonctionne directement sur youtube.com. Vous gardez l’interface que vous connaissez, avec tous les avantages de la confidentialité en plus.

En tout cas, ça fait avancer le mouvement degoogle !

Pour l’installer, rien de plus simple. Rendez-vous sur le site officiel ou le store d’extensions de votre navigateur (ici Mozilla) ou encore directement sur le dépôt GitHub du projet.

Voilà, si vous privilégiez la protection de vos données, je vous conseille d’utiliser LocalTube Manager. Vous pouvez même coupler ça avec un VPN pour une protection maximale car même si vos données de navigation ne sont pas trackées par Google, votre IP leur reste visible quand vous streamez les vidéos depuis leurs serveurs.

Source

Les bug bounty hunters n’ont qu’à bien se tenir car Google va bientôt tenter de les remplacer (comme ils ont déjà remplacé pas mal de créateurs web) grâce à leur nouvelle IA baptisée Big Sleep. En effet, celle-ci vient de prouver qu’elle peut détecter des failles de sécurité que même les meilleurs hackers humains ont loupées. Et je ne vous parle pas de petites vulnérabilités bidons, mais de véritables failles dans des logiciels critiques.

Vous vous souvenez quand je vous parlais de XBOW, cette IA qui était devenue numéro 1 sur HackerOne ? Eh bien Google vient de rentrer dans la danse avec Big Sleep, et visiblement ils ne sont pas venus pour rigoler. L’approche est différente mais tout aussi impressionnante.

Big Sleep, c’est le fruit d’une collaboration entre Google Project Zero (l’équipe d’élite qui trouve des failles zero-day) et DeepMind (les génies derrière AlphaGo). Ensemble, ils ont créé une IA capable d’analyser du code source et de détecter des vulnérabilités de manière autonome. Le nom “Big Sleep” vient d’ailleurs du roman noir de Raymond Chandler (lien affilié), un clin d’œil au côté détective de l’IA.

La première vraie victoire de Big Sleep, c’est donc d’avoir trouvé une vulnérabilité stack buffer underflow dans SQLite, la base de données la plus utilisée au monde. Cette faille était passée sous le radar de tous les outils de fuzzing traditionnels et des chercheurs humains. L’IA a réussi à l’identifier en analysant les patterns de code et en comprenant la logique profonde du programme.

Ce qui est vraiment fou avec Big Sleep, c’est sa capacité à comprendre le contexte et la sémantique du code car contrairement aux outils de fuzzing classiques qui bombardent le programme avec des données aléatoires pour voir s’il crashe, Big Sleep lit et comprend réellement ce que fait le code.

C’est la différence entre un lecteur de Korben.info qui lit l’un de mes articles et qui est content. Et un lecteur de Korben.info (ou pas d’ailleurs) qui lit l’un de mes articles en diagonale (ou juste le titre…lol), qui ne comprend rien et qui part ensuite m’insulter sur les réseaux sociaux ^^.

Google explique que Big Sleep utilise une approche en plusieurs étapes. D’abord, l’IA analyse le code source pour comprendre sa structure et son fonctionnement. Ensuite, elle identifie les zones potentiellement vulnérables en se basant sur des patterns connus mais aussi sur sa compréhension du flux de données. Enfin, elle génère des cas de test spécifiques pour confirmer l’existence de la vulnérabilité.

Les 20 vulnérabilités découvertes touchent différents types de logiciels, des bibliothèques système aux applications web. Google reste discret sur les détails exacts pour des raisons évidentes de sécurité, mais ils confirment que toutes les failles ont été corrigées avant toute exploitation malveillante. C’est le principe du responsible disclosure : on trouve, on prévient, on corrige, et seulement après on communique.

Ce qui différencie Big Sleep de XBOW, c’est surtout l’approche. Là où XBOW excelle dans les bug bounties publics avec une approche plus agressive, Big Sleep semble plutôt orienté vers l’analyse en profondeur de code complexe. Les deux IA sont donc complémentaires et montrent bien que l’avenir de la cybersécurité passera par ces assistants intelligents.

D’ailleurs, Google ne compte pas garder Big Sleep pour lui et l’équipe travaille sur une version open source qui permettra à la communauté de bénéficier de cette technologie. L’idée c’est de démocratiser la recherche de vulnérabilités pour que même les petites entreprises puissent sécuriser leur code.

Mais attention, tout n’est pas rose non plus car que se passera-t-il si des acteurs malveillants mettent la main sur ce genre d’IA ? La course aux armements entre attaquants et défenseurs risque de fortement s’accélérer drastiquement. Google assure avoir mis en place des garde-fous, mais on sait tous que dans le domaine de la sécurité, rien n’est jamais garanti à 100%.

Selon Google, Big Sleep peut analyser en quelques heures ce qui prendrait des semaines à une équipe humaine et contrairement à vous les vacanciers éternels, l’IA ne se fatigue pas, ne fait pas d’erreur d’inattention, et peut traiter des volumes de code monumentaux. Sur les 20 vulnérabilités trouvées, au moins 5 étaient considérées comme critiques avec un score CVSS supérieur à 8.

Pour voir les dernières découvertes de BigSleep c’est par ici.

L’objectif pour Google à terme c’est de créer une IA capable de comprendre non seulement le code, mais aussi l’intention derrière le code, donc si vous êtes développeur ou responsable sécurité, il est temps de prendre ce sujet au sérieux. Les IA comme Big Sleep et XBOW ne sont pas des gadgets, donc commencez à réfléchir à comment intégrer ces outils dans vos processus de développement et surtout, n’attendez pas que les attaquants s’en servent contre vous.

Source

Et voilà, c’est toujours les mêmes qui font de la merde !! Google vient de jouer encore un de ses coups de maitre dont il a le secret puisque depuis lundi 7 juillet, Gemini (leur IA maison) peut maintenant fouiner dans vos apps Android tout comme WhatsApp, Messages et companie, même si vous aviez explicitement désactivé cette option auparavant. Oui, vous avez bien lu, Google a décidé de changer les règles du jeu sans vous demander votre avis.

Chrome c’est le navigateur dont je ne voudrais même pas sur mon ordinateur tellement il est pourri comparé à Firefox alors imaginez ma surprise quand j’ai appris qu’OpenAI voulait racheter cette bouze ! Et pas n’importe comment !! Ils le veulent uniquement si la justice américaine force Google à s’en séparer suite à ce fameux procès antitrust qui a déclaré Google comme détenteur d’un monopole illégal sur la recherche web.

Y’a des gens, j’vous jure, je ne comprends jamais rien quand ils s’expriment. Pas de logique dans leurs arguments, un vocabulaire réduit, des fautes d’orthographe… Et il faut vraiment apprendre à décoder leur diarrhée verbale pour leur répondre, sinon ils s’empressent d’aller porter plainte.

Alors, je me plains, mais peut-être que ma vie va s’améliorer bientôt car je viens d’apprendre l’existence d’un nouvel modèle IA nommée DolphinGemma, qui ambitionne de nous faire comprendre ce que les dauphins se racontent depuis des millénaires.

Ah la la, Google… Le géant du web se retrouve face à un sacré casse-tête avec l’arrivée de l’intelligence artificielle dans son moteur de recherche. Figurez-vous qu’ils envisagent de faire payer les utilisateurs pour accéder à cette fonctionnalité expérimentale ! Du jamais vu chez Google, qui a toujours tout misé sur la gratuité, mais voilà, l’IA coûte cher, très cher même. Et surtout, elle vient complètement bouleverser le modèle économique de Google, basé, comme vous le savez sur la publicité.

Parce que oui, Google Search, c’est une vraie machine à cash et les annonceurs payent pour que leurs pubs s’affichent dans les résultats de recherche et sur les sites web que vous visitez ensuite. Sauf que l’IA, elle, elle digère le contenu des pages web pour vous donner une réponse claire, nette et précise. Plus besoin de cliquer sur les liens, donc plus de pubs vues, et moins de revenus pour Google (et pour moi aussi du coup ^^, mais je m’en fous, j’ai mon Patreon !).

Ironique, non ?

En plus, générer une réponse avec l’IA consomme bien plus de ressources et d’énergie qu’une simple page de résultats. Bref, Google est face à un vrai dilemme : Comment rentabiliser son IA sans tuer sa poule aux œufs d’or ?

Mais ne vous inquiétez pas, ils vont bien trouver une solution. Peut-être en proposant aux marques de sponsoriser certaines requêtes, comme le fait Perplexity, ou alors en faisant payer uniquement les utilisateurs les plus gourmands. On verra bien… mais une chose est sûre, Google va devoir faire preuve de créativité et d’adaptation pour rester le roi de la recherche en ligne. Surtout que la concurrence est rude, avec Microsoft et son nouveau Bing dopé à l’IA, ou encore les petits nouveaux comme You.com.

C’est fou tout ce qui se passe en ce moment. Tout a déjà tellement changé depuis le 30 novembre 2022, date à laquelle on a tous découvert ChatGPT pour la première fois… Des géants vont tomber, d’autres sont peut-être déjà nés. Et puis, moi et mon petit site web d’artisan du web, et bien on verra bien comment je me ferais manger 😉

Source

Google vient de publier en open source une nouvelle bibliothèque de codage JPEG appelée Jpegli qui permet de compresser vos images 35% plus efficacement qu’avec les codecs JPEG traditionnels, tout en conservant une qualité d’image supérieure.

Non seulement Jpegli est rétrocompatible avec le standard JPEG original, mais en plus il offre des fonctionnalités intéressantes comme le support des composantes 10 bits et plus, ce qui permet d’éliminer les vilains artefacts dans les dégradés pour avoir un rendu beaucoup plus ultra-smooth ^^.

Pour cela, Jpegli utilise de la quantification adaptative et une sélection améliorée des matrices de quantification. En gros, ça réduit le bruit, améliore la qualité d’image, et ça fait des miracles sur la taille des fichiers.

De plus, Jpegli reste aussi rapide que les solutions de codage actuelles, donc vous pouvez intégrer cette merveille dans vos workflows sans sacrifier les performances. Alors voilà, si vous voulez donner un coup de boost à vos sites web et offrir de meilleures images plus belles et plus légères, allez jeter un œil à Jpegli ! Pour le moment, y’a pas encore d’outils de conversion mais les sources sont dispo sur le Github, alors y’a plus qu’à attendre que le monde se l’approprie.

Source