Attention, si vous laissez tourner WebGoat sur votre machine, elle sera “extrêmement vulnérable aux attaques”. C’est en tout cas ce qui est écrit en gros sur la page de ce projet OWASP , et c’est pas pour faire joli car WebGoat est une application web délibérément pourrie, truffée de failles de sécurité, créée exprès pour que cous appreniez à les exploiter.

Et c’est génial !!

Car on a enfin un truc qui nous permet d’apprendre vraiment comment les hackers s’infiltrent dans les sites web, sans risquer de finir au tribunal. Parce que bon, scanner le site de votre voisin pour “apprendre”, c’est direct trois ans de prison et 100 000 euros d’amende. Alors qu’avec WebGoat, vous pouvez tout péter tranquille depuis chez vous.

WebGoat , c’est donc un projet open source maintenu par l’OWASP depuis des années qui vous propose uune application web qui ressemble à n’importe quel site lambda, sauf qu’elle est bourrée de vulnérabilités volontaires telles que des injections SQL, XSS, CSRF, contrôle d’accès défaillant… bref, toutes les saloperies du Top 10 OWASP sont là, prêtes à être exploitées.

Et WebGoat fonctionne comme un cours interactif car pour chaque vulnérabilité, vous avez trois étapes : d’abord on vous explique comment ça marche, ensuite vous devez l’exploiter vous-même via des exercices pratiques, et enfin on vous montre comment corriger le problème. On apprend en faisant !

D’après la doc officielle , WebGoat couvre presque toutes les vulnérabilités du Top 10 OWASP. Pour ceux qui ne savent pas, le Top 10 OWASP c’est LA référence mondiale des failles de sécurité web.

Au sein de WebGoat se cache aussi WebWolf, une application séparée qui simule la machine de l’attaquant. Ça tourne sur le port 9090 pendant que WebGoat tourne sur le 8080, comme ça, vous avez vraiment la séparation entre ce qui se passe côté victime et côté attaquant. WebWolf vous permet également d’uploader vos payloads ou outils, de recevoir des données exfiltrées, et même de simuler un serveur mail pour les attaques de phishing.

Et pour installer tout ça, le plus simple c’est Docker :

docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 webgoat/webgoat

Ou si vous préférez la version standalone avec Java :

java -Dfile.encoding=UTF-8 -jar webgoat-2025.3.jar

Une fois lancé, vous accédez à WebGoat sur http://localhost:8080/WebGoat et WebWolf sur http://localhost:9090/WebWolf. Vous vous créez un compte (c’est juste en local, pas de panique) et c’est parti pour les exercices !

Les leçons sont vraiment bien foutues. Prenez l’injection SQL par exemple. D’abord on vous montre comment une requête SQL mal protégée peut être détournée. Ensuite vous devez exploiter la faille pour voler des numéros de cartes bancaires (fausses, hein), et à la fin, on vous explique comment utiliser les prepared statements pour éviter ce genre de conneries.

Et n’allez pas croire que ça s’adresse uniquement aux pro. Non, les débutants ont des exercices guidés avec des indices, et les plus avancés ont des “challenges” sans aucune aide semblables à des CTF (Capture The Flag).

Et pour les développeurs, c’est vraiment un super outil pour comprendre pourquoi votre chef de projet vous casse encore les pieds avec la sécurité ! Car, croyez-moi, une fois que vous avez réussi à dumper toute une base de données avec une simple apostrophe dans un formulaire, vous ne regardez plus jamais les entrées utilisateur de la même façon.

Attention quand même, WebGoat n’est pas un jouet. Les techniques que vous apprenez sont réelles et fonctionneront sur de vrais sites mal sécurisés. D’ailleurs, l’OWASP est très clair là-dessus : “Si vous tentez ces techniques sans autorisation, vous allez très probablement vous faire choper”. Et n’oubliez pas, comme vous ne faites partie d’aucun parti politique, pour vous y’aura vraiment de la zonzon.

D’ailleurs, petite conseil, quand vous faites tourner WebGoat, coupez votre connexion internet ou au moins assurez-vous qu’il n’écoute que sur localhost, parce que si quelqu’un d’autre sur votre réseau découvre que vous avez une application volontairement vulnérable qui tourne… Disons que ça pourrait mal finir ;-).

Ah et WebGoat s’intègre super bien avec d’autres outils de sécurité. Ça permet du coup de se former aussi dans la foulée sur Burp Suite, OWASP ZAP, ou SQLMap.

Bref, installez WebGoat ce weekend et amusez-vous à tout casser. Vous m’en direz des nouvelles !!

Et un grand merci à Letsar pour l’info !

Vous vous souvenez d’Anchor, cette plateforme qui avait permis de simplifier la création de podcasts avant de se faire racheter par Spotify pour 150 millions de dollars ? Eh bien ses créateurs, Nir Zicherman et Michael Mignano, sont de retour avec un nouveau projet qui pourrait bien changer l’apprentissage en ligne. Leur nouvelle création s’appelle Oboe et permet de créer des cours éducatifs personnalisés en quelques secondes grâce à l’IA.

Une fois sur Oboe, vous tapez un prompt du genre “Histoire de l’IA”, “Comment réaliser des pâtisseries” ou même “Préparer mon déménagement au Japon” et hop, Oboe vous génère instantanément un cours complet adapté à vos besoins. C’est le premier outil d’apprentissage généralisé par IA qui permet vraiment de créer des formations sur n’importe quel sujet, d’une manière plus personnalisée et efficace que tout ce qui existe aujourd’hui.

Mon cours sur les échecs

Ce qui rend Oboe vraiment intéressant, c’est son architecture multi-agents développée from scratch. Sur TechCrunch , Zicherman explique que leur système fait tourner plusieurs agents IA en parallèle qui s’occupent de tout : développer l’architecture du cours, vérifier les informations de base, écrire le script pour les podcasts, récupérer des images pertinentes sur Internet et même auditer le contenu pour garantir sa qualité et son exactitude. Tout ça en quelques secondes chrono.

Au lancement, Oboe propose déjà 9 formats de cours différents ( Cours classique, épisode de podcast, points clés à retenir, livre audio, FAQ, flashcards, quiz, etc…) capables de couvrir des domaines aussi variés que les sciences, l’histoire, les langues étrangères, l’actualité, la pop culture ou même la préparation aux changements de vie selon ce que vous lui demandez. Chaque cours combine du texte, des visuels, des conférences audio, des quiz interactifs et même des jeux. Vous avez deux modes audio disponibles : un format de conférence traditionnelle ou une expérience plus conversationnelle façon podcast, un peu comme NotebookLM de Google.

Le nom “Oboe” n’a pas été choisi au hasard. Il s’inspire de la racine du mot japonais qui signifie “apprendre”. Une jolie référence qui colle parfaitement à leur mission de rendre l’humanité plus intelligente. Encore faudrait-il qu’elle souhaite “apprendre”, cette humanité…

Niveau business model, Oboe adopte une approche freemium assez classique. Vous pouvez créer jusqu’à 2 cours par mois et si vous voulez aller plus loin, deux forfaits payants sont disponibles : Oboe Plus à 12$/mois pour 30 cours supplémentaires et Oboe Pro à 32$/mois pour 100 cours.

Au lieu d’avoir des cours statiques créés par des experts et consommés passivement, Oboe permet à chacun de générer instantanément du contenu éducatif ultra-personnalisé, comme un prof particulier capable de créer un programme sur mesure en temps réel, quel que soit le sujet qui vous intéresse.

Perso, j’ai testé et j’ai trouvé les 2 formations que ça m’a généré de très bonne qualité. Et si vous creusez un peu sur Google, vous pouvez aussi trouver certains cours générés par d’autres utilisateurs : inurl:https://oboe.fyi/courses/

Quand on voit la qualité de ce que peuvent générer les IA aujourd’hui, l’idée d’avoir une plateforme capable de créer des cours complets et structurés en quelques secondes, c’est assez cool, surtout avec leur système multi-agents qui vérifie la qualité et l’exactitude des informations. Ça pourrait vraiment changer les choses dont on apprend de nouvelles compétences ou dont on explore de nouveaux sujets.

Reste maintenant à voir si Oboe réussira à s’imposer face aux géants de l’éducation en ligne mais avec l’expérience des fondateurs, ils ont clairement quelques atouts dans leur manche.

Je ne l’avais pas forcément anticipé, mais plus l’IA s’amuse à générer de fausses infos, plus les gens se réfugient vers les médias traditionnels. En tout cas, c’est à cette conclusion que sont arrivés les chercheurs de Johns Hopkins, de l’Université nationale de Singapour et de Carnegie Mellon dans une étude publiée récemment .

Ces derniers ont mis en place une collaboration avec Süddeutsche Zeitung , l’un des mastodontes de la presse allemande, pour élaborer un quiz interactif. Le principe c’était de proposer aux lecteurs 5 images et leur demander lesquelles étaient générées par IA. Je vous donne la conclusion direct : 36% des participants ont été incapables d’identifier correctement les fausses images. C’est fou non ?

Et là où ça devient vraiment intéressant, c’est après ce quiz… car une fois confrontés à cette difficulté de distinguer le vrai du faux, les lecteurs ont modifié leur comportement. L’étude montre en effet une augmentation de 2,5% des visites quotidiennes sur le site du journal .

Ça peut paraître peu, mais pour un média en place qui ronronne depuis longtemps, c’est plutôt pas mal. Et comme si ça ne suffisait pas, le taux de désabonnement a également chuté d’un tiers parmi ceux qui ont participé au quiz.

Filipe Campante, l’un des chercheurs de Johns Hopkins, explique que cette sensibilisation crée en fait une prise de conscience car les gens réalisent soudainement la valeur d’avoir des sources fiables dans un océan de contenus douteux. Plus les participants étaient surpris par leur incapacité à distinguer le vrai du faux, plus ils augmentaient leur consommation de contenus vérifiés par la suite.

C’est une forme de vaccination où une petite dose contrôlée de désinformation renforce les défenses de l’esprit critique (Oui, je sais, les “grosses doses” vous ont déjà eu pour certains d’entre vous… snif.)

Et surtout, il semblerait que l’effet persiste dans le temps . Ce n’est donc pas juste un pic temporaire d’intérêt car les lecteurs ont développé une sorte de réflexe de vérification, en se tournant vers des sources fiables quand ils tombaient sur des infos douteuses ailleurs.

Bien sûr, il y a des limites à cette étude car elle a été menée avec un public allemand, déjà habitué à payer pour de l’information de qualité… Faudrait donc voir ce que ça pourrait donner sur le secteur des médias français où tout le monde est habitué à se gaver de confiture gratuite jusqu’à la gerbe…

Quoiqu’il en soit, la tendance de fond reste encourageante.

Pour les médias traditionnels, c’est donc une super opportunité car au lieu de voir l’IA uniquement comme une menace existentielle et de chialer toute la journée sur leur propre sort, ils peuvent l’utiliser comme un argument de différenciation. Cette authenticité peu devenir un sérieux argument marketing et certains journaux commencent déjà à intégrer des modules éducatifs sur la détection de fakes dans leur stratégie d’engagement. C’est pas con, va falloir que j’y pense aussi ^^.

Bref, cette méchante IA, censée remplacer les journalistes et tout ce qui a un cerveau, va peut-être bien finir par renforcer la valeur du journalisme fait par des humains, car les lecteurs ne veulent pas juste de l’information… Non, ils veulent de la confiance. Et pour l’instant (oui, pour l’instant…), cette confiance est encore présente chez les médias qui emploient de vrais journalistes, avec de vraies sources et de vrais processus de vérification…

Quoiqu’il en soit, imaginez ce que pourrait donner si on formait notre jeunesse à tout cela… On pourrait créer une génération beaucoup plus résistante à la désinformation !

Et évidemment, tout cela pourrait s’appliquer à d’autres domaines où l’authenticité devient rare. Je pense par exemple aux artistes qui pourraient bénéficier de cette prolifération d’œuvres générées par IA ou aux photographes qui pourraient voir leur travail à nouveau mis en valeur face aux deepfakes. Visiblement, les gens veulent de l’authenticité donc tout n’est pas foutu, mais bon après, si votre travail est artistiquement sans intérêt et qu’une IA peut faire exactement le même truc que vous, c’est sûr que va falloir vous sortir un peu les doigts ou penser à une reconversion professionnelle.

Voilà, moralité, plus on est bombardé de contenus artificiels, plus on apprécie l’humain qui se cache derrière l’information. En tout cas, pour le moment… ^^

Et n’oubliez pas que vous pouvez suivre mes contenus de confiance et de qualité soit directement sur ce site soit via mon flux RSS .

Source

J’ai une super nouvelle pour vous si vous êtes dev que vous vous intéressez à l’IA générative ! Microsoft vient de sortir une formation complète et gratuite sur son outil GitHub Copilot, et avec les nouvelles fonctionnalités qui débarquent en 2025, c’est le moment ou jamais de s’y mettre.

La formation “Mastering GitHub Copilot for AI Peer Programming” propose donc 10 heures de contenu (en anglais) réparti en plusieurs modules, du niveau débutant jusqu’aux fonctionnalités les plus avancées. Et le timing est parfait parce que GitHub Copilot vient de passer en mode agent, ce qui change complètement la donne. Ce n’est plus d’un simple outil d’autocomplétion mais d’un véritable collègue virtuel qui peut analyser votre base de code, proposer des modifications, exécuter des tests et même corriger ses propres erreurs.

Je ne suis pas nerd de l’impression 3D même si j’adore ma Bambulab parce qu’elle fonctionne à tous les coups sans me demander 3h de réglages. Et je sais aussi reconnaitre quand une idée est cool et c’est le cas ici avec cette imprimante 3D qui utilise un tapis de course comme plateau, ce qui lui permet d’imprimer de longues pièces.

On appelle ça une imprimante à bande et dans le commerce c’est vendu par exemple par Creality pour un peu plus de mille euros… Mais la faire soi-même avec du matériel de sport, c’est quand même plus cool. Surtout quand on trouve des tapis de course sur Leboncoin à 50 balles, abandonnés par leurs propriétaires après trois sessions de cardio et une prise de conscience que Netflix et les M&M’s c’est quand même bien plus sympa que de transpirer.

Ce serait cool si on pouvait avoir accès directement aux informations les plus pertinentes pour nous, sans être submergé par le bruit constant des trucs sans intérêt. Et bien c’est exactement ce que propose Auto-News, un agrégateur d’actu personnel qui exploite la puissance de l’intelligence artificielle pour vous aider à vous informer de manière plus efficace.

Notre temps étant précieux, il est crucial de bien l’utiliser et malheureusement, tout ces moments qu’on passe à chercher, filtrer et organiser le contenu provenant de différentes sources, c’est un peu du gâchis.

Cet outil est donc capable d’agrèger les flux de diverses sources telles que Twitter, RSS, YouTube, des articles web, Reddit et même vos notes personnelles et grâce à l’utilisation de modèles de langage comme ChatGPT, il est capable de résumer et de filtrer le contenu, éliminant ainsi plus de 80% du bruit.

Comme ça, vous pouvez rester concentré sur la lecture des actus qui vous intéressent vraiment, en fonction de vos centres d’intérêt, tout en restant aligné sur vos objectifs. N’oubliez pas quand même de mettre Korben.info dans vos sources :))

Mais Auto-News va encore plus loin puisqu’il est capable de générer des listes de tâches à partir de vos notes. Il peut également les organiser en les résumant avec les informations clés et y’a même une fonctionnalité expérimentale appelée « Deepdive » qui grâce à un agent de recherche web et à l’outil Autogen de Microsoft, vous permet d’explorer en profondeur des sujets qui vous passionnent.

Côté technique, Auto-News prend en charge plusieurs backends d’IA, dont OpenAI ChatGPT et Google Gemini. L’interface utilisateur est basée sur Notion, ce qui signifie que vous pouvez y accéder de n’importe où, que ce soit via un navigateur web ou une application mobile. Son déploiement est plutôt flexible, avec une prise en charge de Docker Compose et de Kubernetes donc ça peut s’intégrer facilement dans votre flux de travail.

A découvrir ici.