Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

jIRCii - Le client IRC qui méprise vos envie de modernité

L’IRC c’est un classique pour les anciens du net comme moi et même si ça n’a pas techniquement disparu, c’est quand même plus comme avant. Discord, Slack, et compagnie c’est rigolo mais quand même moins roots qu’un bon vieux mIRC par exemple, qui continue d’être maintenu encore aujourd’hui (une nouvelle version est même sortie y’a 2 jours).

Mais il existe également un autre client IRC plus récent, qui assume fièrement son look des années 90 et qui vient de sortir en version 0.9 en juillet dernier. Et il a été créé par Raphaël Mudge, le mec qui a développé Cobalt Strike, l’un des outils de pentest offensif les plus balèzes du marché.

jIRCii est donc un client IRC écrit en Java pour MacOS X, Windows et Linux, développé par Raphael Mudge qui a décidé de snober volontairement Discord, Slack, et tous ces trucs avec des bulles colorées et des GIFs animés de chats. jIRCii tente ainsi de maintenir la culture IRC des années 90, avec un look de terminal Windows, sans fioritures, comme si, je cite : “mIRC et ircii avaient eu un enfant et que BitchX était le vrai père de cet enfant”. Tout un programme.

Et surtout, jIRCii est entièrement scriptable. Et pas avec du Python ou du JavaScript… Plutôt avec Sleep, un langage Perl-like que Mudge a créé lui-même. Y’a même une lib de scripts communautaires dispo ici pour ceux qui veulent. Cela vous permettra par exemple de chiffrer vos messages, d’afficher dans le canal le MP3 que vous êtes en train d’écouter, de jeter des dés pour votre partie de JdR, de faire des recherches Google, ou encore de pouvoir vous connecter automatiquement à différents serveurs avec différents nicknames.

L’IRC redevient ainsi une plateforme programmable comme à l’époque, notamment avec mIRC avec ses scripts .mrc (vous vous souvenez ?). Voilà, si ça vous chauffe parce que vous trainez encore sur IRC, sachez que jIRCii embarque toutes les fonctionnalités qu’on attend d’un client IRC moderne comme :

  • Liste de notification (savoir quand vos contacts se connectent)
  • Complétion automatique (auto-complétion des pseudonymes)
  • Transferts de fichiers DCC (envoi de fichiers direct de pair à pair)
  • Support CTCP (Client-to-Client Protocol pour les commandes étendues)
  • Connexions SSL aux serveurs (connexions chiffrées aux serveurs IRC)
  • Plus de 70 alias intégrés pour automatiser les commandes les plus courantes

Et en plus, 2 thèmes visuels sont proposés. Le thème par défaut avec son look de terminal classique et le thème Analog IRC qui est une variante visuelle du précédent. Et vous pouvez ajouter aussi ceux de la communauté (ou développer le votre)

Bref, vous l’aurez compris, IRC n’est pas mort. Il n’est juste plus dans le vent même si pas mal de communautés tournent encore dessus, et en 2025, jIRCii offre une alternative sympa à WeeChat (TUI pur), HexChat (GTK), ou KVIrc (Qt).

Le site de jIRCii c’est ici !

Google Big Sleep - L'IA qui a trouvé 20 failles de sécurité toute seule

Les bug bounty hunters n’ont qu’à bien se tenir car Google va bientôt tenter de les remplacer (comme ils ont déjà remplacé pas mal de créateurs web) grâce à leur nouvelle IA baptisée Big Sleep. En effet, celle-ci vient de prouver qu’elle peut détecter des failles de sécurité que même les meilleurs hackers humains ont loupées. Et je ne vous parle pas de petites vulnérabilités bidons, mais de véritables failles dans des logiciels critiques.

Vous vous souvenez quand je vous parlais de XBOW, cette IA qui était devenue numéro 1 sur HackerOne ? Eh bien Google vient de rentrer dans la danse avec Big Sleep, et visiblement ils ne sont pas venus pour rigoler. L’approche est différente mais tout aussi impressionnante.

Big Sleep, c’est le fruit d’une collaboration entre Google Project Zero (l’équipe d’élite qui trouve des failles zero-day) et DeepMind (les génies derrière AlphaGo). Ensemble, ils ont créé une IA capable d’analyser du code source et de détecter des vulnérabilités de manière autonome. Le nom “Big Sleep” vient d’ailleurs du roman noir de Raymond Chandler (lien affilié), un clin d’œil au côté détective de l’IA.

La première vraie victoire de Big Sleep, c’est donc d’avoir trouvé une vulnérabilité stack buffer underflow dans SQLite, la base de données la plus utilisée au monde. Cette faille était passée sous le radar de tous les outils de fuzzing traditionnels et des chercheurs humains. L’IA a réussi à l’identifier en analysant les patterns de code et en comprenant la logique profonde du programme.

Ce qui est vraiment fou avec Big Sleep, c’est sa capacité à comprendre le contexte et la sémantique du code car contrairement aux outils de fuzzing classiques qui bombardent le programme avec des données aléatoires pour voir s’il crashe, Big Sleep lit et comprend réellement ce que fait le code.

C’est la différence entre un lecteur de Korben.info qui lit l’un de mes articles et qui est content. Et un lecteur de Korben.info (ou pas d’ailleurs) qui lit l’un de mes articles en diagonale (ou juste le titre…lol), qui ne comprend rien et qui part ensuite m’insulter sur les réseaux sociaux ^^.

Google explique que Big Sleep utilise une approche en plusieurs étapes. D’abord, l’IA analyse le code source pour comprendre sa structure et son fonctionnement. Ensuite, elle identifie les zones potentiellement vulnérables en se basant sur des patterns connus mais aussi sur sa compréhension du flux de données. Enfin, elle génère des cas de test spécifiques pour confirmer l’existence de la vulnérabilité.

Les 20 vulnérabilités découvertes touchent différents types de logiciels, des bibliothèques système aux applications web. Google reste discret sur les détails exacts pour des raisons évidentes de sécurité, mais ils confirment que toutes les failles ont été corrigées avant toute exploitation malveillante. C’est le principe du responsible disclosure : on trouve, on prévient, on corrige, et seulement après on communique.

Ce qui différencie Big Sleep de XBOW, c’est surtout l’approche. Là où XBOW excelle dans les bug bounties publics avec une approche plus agressive, Big Sleep semble plutôt orienté vers l’analyse en profondeur de code complexe. Les deux IA sont donc complémentaires et montrent bien que l’avenir de la cybersécurité passera par ces assistants intelligents.

D’ailleurs, Google ne compte pas garder Big Sleep pour lui et l’équipe travaille sur une version open source qui permettra à la communauté de bénéficier de cette technologie. L’idée c’est de démocratiser la recherche de vulnérabilités pour que même les petites entreprises puissent sécuriser leur code.

Mais attention, tout n’est pas rose non plus car que se passera-t-il si des acteurs malveillants mettent la main sur ce genre d’IA ? La course aux armements entre attaquants et défenseurs risque de fortement s’accélérer drastiquement. Google assure avoir mis en place des garde-fous, mais on sait tous que dans le domaine de la sécurité, rien n’est jamais garanti à 100%.

Selon Google, Big Sleep peut analyser en quelques heures ce qui prendrait des semaines à une équipe humaine et contrairement à vous les vacanciers éternels, l’IA ne se fatigue pas, ne fait pas d’erreur d’inattention, et peut traiter des volumes de code monumentaux. Sur les 20 vulnérabilités trouvées, au moins 5 étaient considérées comme critiques avec un score CVSS supérieur à 8.

Pour voir les dernières découvertes de BigSleep c’est par ici.

L’objectif pour Google à terme c’est de créer une IA capable de comprendre non seulement le code, mais aussi l’intention derrière le code, donc si vous êtes développeur ou responsable sécurité, il est temps de prendre ce sujet au sérieux. Les IA comme Big Sleep et XBOW ne sont pas des gadgets, donc commencez à réfléchir à comment intégrer ces outils dans vos processus de développement et surtout, n’attendez pas que les attaquants s’en servent contre vous.

Source

❌