Le 30/12/2023 à 11h 33

C'est quoi "bien protégé" pour toi ?

Tu as manifestement une définition plus accommodante que la mienne à ce sujet. On ne pourra donc pas être d'accord.

Le 30/12/2023 à 10h 55

Je rebondis sur le fait que c'est la simple réception d'un iMessage qui permet l’attaque de l'iPhone.

Les iMessages sont vantés par Apple comme bien supérieurs à la concurrence en particulier RCS et mis en avant par les fameuses bulles bleues.

On voit ici qu'ils offrent une surface d'attaque bien plus forte qu'un simple SMS.

Et je me demande bien pourquoi l'application de messagerie Apple fait appel à une fonction gérant les fontes TrueType avant même que l'utilisateur ait demandé à afficher le message reçu d'un émetteur probablement inconnu. Cela permet une attaque 0-click alors que sinon, si l'appel se faisait suite à une demande d'affichage du iMessage, un utilisateur prudent (surtout s'il se sait cible potentielle) n'aurait pas demandé l'affichage du message et n'aurait donc pas déclenché l'attaque.
À vouloir faire trop de choses sans l'utilisateur pour lui faciliter la vie, on ouvre des failles inutilement.

Alors, oui, il y a eu aussi des failles par simple réception de SMS, mais le code nécessaire pour afficher un simple texte (SMS) est plus petit et plus facilement maîtrisable.

Le 30/12/2023 à 10h 39

Cette exploitation de plusieurs failles démontre que ton propos est faux. Un logiciel "bien protégé", ça n'existe pas, en tout cas pas chez Apple et un logiciel avec des failles n'est pas efficace contre les failles matérielles (portes dérobées ou erreurs de conception) puisqu'elles permettent justement de les mettre en œuvre. Cet article est la démonstration que des entités compétentes (peut-être étatiques ou travaillant avec ou pour des états, mais on en sait rien ici) concevront des logiciels permettant d'utiliser plusieurs failles afin de prendre le contrôle d'un appareil. Ici, c'est même une prise de contrôle zéro clic : il suffisait juste d'envoyer un iMessage à l'iPhone.

Comme je l'ai indiqué dans un autre commentaire, j'ai un doute sur la correction faite par Apple, elle me semble trop simple, mais elle bloque au moins temporairement cette attaque sophistiquée.

Le 29/12/2023 à 19h 08

Nous sachons.

Le 29/12/2023 à 19h 07

En fait, la conclusion de Boris Larin du dernier paragraphe est incompréhensible si l'on ne lit que l'article de Next.
En effet, celui-ci ne reprend pas (suffisamment) ce qui est expliqué dans son papier à partir de :
The mystery and the CVE-2023-38606 vulnerability et jusqu'à la fin de son papier.

Il y explique ce qu'il a appris (et ce qu'il suppose) sur le matériel qui réagit aux plages d'adresses non définies dans les device tree d'Apple.

En résumé très rapide, Ces zones d'adresses servent probablement à debugger le coprocesseur GPU.

Le code de l'exploit permet d'activer un DMA de ce composant qui écrit directement dans la mémoire en bypassant les systèmes de protection de la mémoire conçus par Apple.
L'utilisation de cette fonction hardware se fait en indiquant les données à écrire et l'adresse où écrire et elle est protégée par un hash des données à inscrire en mémoire. Et c'est le calcul de ce hash fait par logiciel (qui a été désassemblé par Kaspersky) qui est secret. C'est cet algo de hash qui est qualifié de protection par l'obscurité.

Effectivement, une fois cet algo connu, il n'y a plus de protection de la mémoire. Comment les attaquants ont connu cet algo qui n'est présent dans aucun code d'Apple (que a pu étudier), mystère ! Il fait des suppositions, mais sans aucune certitude.

Pour finir, comment Apple a corrigé cette vulnérabilité : en mettant les plages d'adresses dans son device tree et en interdisant l'accès (DENY). Cela initialise probablement un mécanisme de protection interdisant l'accès à ces plages d'adresses à l'initialisation du kernel.
Mon commentaire : à voir si cette protection sera suffisante ou si elle pourra elle aussi être bypassée. En tout cas, ils ne pouvaient probablement pas faire mieux sur ces matériels. Il faudra attendre une prochaine génération de puces pour protéger mieux cette fonction.

Le 29/12/2023 à 11h 39

On voit qu'il y a du niveau chez Kaspersky et encore plus chez ceux qui ont fait cette attaque.

Le 29/12/2023 à 19h 30

Pfff ! Tu n'as même pas connu le 10BASE5 ! Wikipedia

Le 22/12/2023 à 18h 54

J'ai signalé l'erreur. En espérant que ce ne l'a pas rempli de honte, comme il dit dans l'article.

Le 22/12/2023 à 17h 01

Sinon, un tableur en BASIC sur ZX80, j'aurais aimé voir ça !

Le 29/12/2023 à 19h 24

Ouf, c'est bon.

Ou pas... Mon dos me dit que passer trop de temps sur un siège devant un ordinateur ne lui fait pas du bien. Bon, le jardinage ne lui fait pas du bien non plus.

Le 28/12/2023 à 11h 06

Retournement de veste ou bien adaptation du discours à l'évolution des connaissances scientifiques et aussi l'évolution du virus avec des variants qui ont eu des effets différents du premier virus ?

Le 29/12/2023 à 19h 19

Tu ne prends donc jamais l'avion ?

Je provoque, la qualité des logiciels (malgré quelques malencontreuses erreurs entre autre chez Boeing) est autrement meilleure et prouvée que de l'IA embarquée sur Tesla.

En fait, j'avais dit sur un autre article parlant de conduite autonome que je ne ferai pas confiance tant que c'est de l'IA, donc des statistiques qui prennent les décisions. Je préfère nettement un logiciel déterministe, même avec quelques bugs restants.

Le 29/12/2023 à 17h 52

Je ne suis pas sûr qu'il soit utile de l'engueuler plus d'un an après qu'il ait écrit ce commentaire.

Quand j'écrivais à 12h33 : "Mon commentaire était là aussi pour prévenir les autres lecteurs moins attentifs.", j'avais vu juste mais j'avais oublié que les gens commentent ou répondent à un commentaire avant d'avoir lu tous les commentaires.

Le 29/12/2023 à 12h 43

Relire cette partie :

Si les lasers des chercheurs du NIF ont bien envoyé 2,05 mégajoules sur la capsule pour obtenir finalement 3,5 mégajoules d’énergie, les lasers sont loin d’être efficaces puisqu’ils ont besoin d’une puissance de plusieurs centaines de mégajoules d’électricité pour fonctionner. L’expérience dans sa globalité est donc largement déficitaire – elle a consommé bien plus de courant qu’elle n’en a produit –, mais la fusion en elle-même affiche un gain de 1,5.

Le 29/12/2023 à 12h 33

J'ai été surpris de cette façon de faire, mais c'est toi qui décides.
En fait, au départ, je ne me souvenais pas d'avoir lu récemment cet article quand j'ai vu "MàJ dans le titre et je me suis dit que c'était une mise à jour d'un article paru plus tôt aujourd'hui.

Mais la séparation entre les 2 parties est sans ambiguïté et a rétabli la chronologie.

Mon commentaire était là aussi pour prévenir les autres lecteurs moins attentifs.

Édit : tu aurais pu écrire réITERation.

Le 29/12/2023 à 11h 58

Une mise à jour plus d'un an après !

N'aurait-il pas mieux valu une brève avec un lien vers l'article initial ?

Le 29/12/2023 à 13h 20

Il me semble que c'est le traitement du sujet par les médias :

Il en va du traitement non biaisé des développements de l’intelligence artificielle, mais aussi de la tech en général : les médias doivent veiller à l’équilibre de leurs sources et de leurs représentations.

Le gras est de moi.

Il reste à définir ce qu'est l'équilibre dont il est question ici.
On prend moitié hommes, moitié femmes et moitié autres genres (je sais, il y a trop de moitiés) ? Ou on prend en proportion de leur nombre travaillant dans la discipline ? Ou on les prend en fonction de leur compétence quel que soit leur genre ?

La troisième proposition est celle qui me plaît le plus, mais, c'est la plus difficile à appliquer : il faut être capable de juger de la compétence des personnes dans ce domaine (ou dans les autres, puisqu'il y a généralisation à toute la tech).

Et il ne faut pas oublier de traiter le sujet aussi du point de vue des partisans de l'IA, comme c'est trop souvent le cas ici, mais cela a déjà été dit par d'autres que moi.

Édit : en me relisant, je vois que ma phrase n'est pas claire. Ce qui est "le cas ici", c'est l'oubli de traiter l'IA du point de vue de ses partisans.

Le 29/12/2023 à 11h 55

OK, tu trolles comme l'indique ton dernier émoticône. Je te laisse.

Le 28/12/2023 à 16h 57

l’appel au boycott soit interdit. Donc pirater, c’est mal et c’est interdit, mais clamer haut et fort que les gens doivent arrêter de consommer des produits culturels, c’est aussi mal et interdit (peut-être l’ignorais-tu ? ça rentre dans le cadre des entraves à l’exercice d’une activité économique…)

Ton information n'est pas à jour.

La CEDH a condamné la France pour cela car l'appel au Boycott relève de la liberté d'expression et la Cour de cassation l'a suivie le 17 octobre 2023 : https://actu.dalloz-etudiant.fr/a-la-une/article/lappel-au-boycott-de-produits-israeliens-releve-de-la-liberte-dexpression/h/578dc14b498cce9b1534af8307e095ff.html

Donc, use de ta liberté d'expression et appelle au boycott.

Le 27/12/2023 à 17h 22

C'est qui qui a trahi qui ? Je ne comprends rien à ce que tu dis parce que tu ne cites aucun nom.

En ce qui concerne Netflix, ils viennent de la location (https://fr.wikipedia.org/wiki/Netflix#Historique) par abonnement, il n'y a aucune trahison, juste une évolution du modèle de location en passant au dématérialisé quand le débit sur Internet a permis d'éviter la livraison physique des DVD. Leur offre a ensuite évolué en fonction du marché et de la concurrence. Quand tu n'évolues pas dans un marché qui lui le fait, tu es mort.

Alors, parler de trahison,

Le 27/12/2023 à 13h 27

Rien n'a été démontré au sujet de la licence globale. Mais je veux bien une source si cette démonstration existe. En plus le modèle s'appuyait sur un financement de tous y compris ceux qui ne consommaient pas les produits artistiques que certains voulaient avoir pour une bouchée de pain. N'oublie pas qu'il faut payer à leur juste mesure nos grands artistes qui font la renommée internationale de notre industrie cinématographique.

Tu fais probablement allusion à la revente à perte, mais ça n'a rien à voir. Une grosse partie des coûts initiaux de ces services sont des investissements liés aux développements des plateformes. Tout comme les constructeurs automobiles ont des investissements énormes pour leurs usines et ont un point mort assez haut. Il faut en vendre beaucoup pour amortir la construction des usines, ce n'est pas pour autant que le législateur a interdit la vente à perte des automobiles. Il a seulement interdit la revente à perte sauf périodes de soldes. Je ne vois pas en quoi la concurrence ne serait pas saine : au début, tout le monde est sur un pied d'égalité et a accès aux mêmes sources de financement, c'est la qualité de leur service qui fait la différence autant auprès des financeurs que des utilisateurs.

Le 27/12/2023 à 10h 59

On pourrait considérer aussi que le père noël existe.

La désobéissance civique, c'est aussi un délit la plupart du temps.

Le 27/12/2023 à 10h 55

Ses fonds propres, comme tu dis, n'existent pratiquement pas. L'essentiel de sa fortune correspond aux actions d'Amazon qu'il possède. C'est du virtuel tant qu'il n'a pas vendu et c'est difficile à vendre faute d'acheteurs ayant les moyens.

Et si on divise 114 milliards de $ par 1 million d'années, ça ne fait que 114 000 $ par an, pas grand chose en fait.

Le 27/12/2023 à 10h 36

Tu racontes n'importe quoi.

Le piratage n'est pas un modèle, c'est un délit.

Tu as cru au père noël à l'arrivée de Netflix. Mais tu devrais savoir qu'il n'existe pas.

Comme tout business de service numérique, les services sont peu chers au début pour prendre un maximum de parts de marché, puis ça augmente pour être rentable, si possible après avoir tué la concurrence (ce qui n'est pas le cas ici). Il reste des offres sans pub sur Netflix.
Si tu n'as pas les moyens de t'abonner à tout, fais des choix, c'est cela être adulte, savoir renoncer au superflu. Non, tout ne t'est pas dû gratuitement. En plus, la plupart des offres permettent d'interrompre l'abonnement quand on veut.

Quant à la copie privée, elle n'est qu'une exception à condition que la source soit légale. Si les DRM te déplaisent, n'achète pas les produits que tu ne pourras pas copier, le boycott est la meilleure façon de faire changer une offre. De toute façon, je suis sûr que tu n'as pas besoin d'une excuse pour pirater.

Et merci de te relire, j'ai failli ne pas avoir assez de doigts pour compter tes fautes.

Le 29/12/2023 à 11h 35

Uniquement ceux qui ont participé à la class action.
Comme ils vont toucher au moins 5000$ et que Google va payer 5 milliards de $, ça fait au plus 10 millions d'Américains.

Le 28/12/2023 à 18h 54

La rubrique "Tiens, en parlant de ça :" pollue la recherche du site en retournant des pages qui n'ont rien à voir avec le sujet cherché.

Je m'en suis rendu compte en cherchant "Substack" par le moteur de recherche du site. Le résultat de la recherche comprend des liens vers des articles plus anciens qui ne parlent pas de ce site mais qui ont après l'article dans la rubrique "Tiens, en parlant de ça :" le titre de l'article d'aujourd'hui qui parle de Substack.

J'ai l'impression que la recherche se fait sur toute la page WEB au lieu de se faire uniquement sur le contenu de l'article.
En fait, un seul des liens retournés sur une dizaine était pertinent parce que le mot recherché était dans l'article.

Édit : Google fait pareil, mais Google ne sait par définition pas chercher uniquement dans le contenu des articles puisqu'il indexe des pages web.

Le 25/12/2023 à 12h 28

Il me semble qu'il faut aussi rafraîchir la page après avoir cliqué sur la notification.
Je suis en train de faire retomber le nombre de notifs bloquées.

Édit : ça y est, j'ai tout nettoyé. Je vais pouvoir voir si le bug persiste ou est bien corrigé pour les nouvelles notifs. J'ai donc barré une partie de mon message.

Le 24/12/2023 à 19h 49

avec juste après :

Conformément à la loi informatique et libertés du 6 janvier 1978, vous disposez d'un droit d'accès, de rectification, aux données le concernant

C'est un peu paradoxal...

Édit : problème dans le texte que j'ai cité : ce devrait être vous concernant et pas le concernant puisque ça commence par vous disposez....

Le 24/12/2023 à 11h 54

Des bugs fermés un dimanche (24 décembre qui plus est !) ? C'est qui l'esclavagiste qui est aux commandes ?

J'espère que vous allez pouvoir profiter de congés bien mérités !

Merci à vous et joyeux noël !

Le 28/12/2023 à 17h 06

Quand la technologie sert à localiser les employés et donc faire un suivi précis de leurs déplacements, il faut minimiser la technologie et ne l'utiliser que quand il y a un vrai besoin qui n'empiète pas trop sur la vie privée dont le droit est reconnu même dans le cadre du travail salarié.

Le 26/12/2023 à 16h 15

Comme ça se passe dans les départements du Nord et du Pas de Calais, il a peut-être été importé par la Belgique.

En fait, il y a un tas de produits de ce genre en vente sur amazon.fr "brouilleur gps voiture" donne 319 résultats.

Les 2 premiers que j'ai regardés sont vendus depuis la Chine et Amazon se dédouane (humour involontaire) en écrivant sur la fiche du vendeur :

Ce vendeur a déclaré qu'il respecterait toutes les lois applicables, notamment en ne proposant que des produits et services conformes aux politiques d'Amazon et aux règles applicables du droit de l'UE.

Le 28/12/2023 à 17h 01

Tu crois vraiment qu'un Européen pouvait aider sur ce sujet aux USA ou bien, c'est juste pour le pointer du doigt ?

Le 28/12/2023 à 10h 35

Moi, c'est "série B" et son nom associé à fraudeur qui m'ont fait tilter. J'ai cru que l'on parlait d'un film de série B.

Le 28/12/2023 à 10h 24

C'est super intéressant comme service pour se monter un réseau privé. C'est assez facile aux USA où, ils utilisent une bande prévue pour ce genre d'activités utilisable sans licence. En France, il faudrait passer par l'ARCEP et l’ANFR et ce serait probablement assez complexe.

Ce n'est effectivement pas prévu pour les opérateurs de réseaux publics.

Le 27/12/2023 à 10h 43

Et de la chirurgie à distance, oui, on nous l'a dit.
Et des véhicules autonomes mais qui ont besoin d'un réseau télécoms.
l'IoT a besoin de protocoles plus économes en énergie s'ils ne sont pas sur secteur.

J'ai une formation d'ingénieur Télécom, c'est peut-être pour cela que j'ai un œil critique sur les promesses marketing et sur les discours techniques dans ce domaine.

Le 27/12/2023 à 10h 13

Oui, mais je dis simplement que les machines supportant les VM ne seront pas hébergées chez les grands du Cloud (Amazon, Microsoft ou Google (même si ce dernier a l'air de travailler avec Nokia)).

Le 26/12/2023 à 19h 01

J'ai l'impression que la virtualisation des cœurs de réseau 5G se fait sur des clouds machines dédiées pour cette virtualisation et pas sur du service cloud classique.

Il y a probablement besoin de compétences proches, mais ça ne va pas plus loin.

Le 26/12/2023 à 16h 52

L’ANSSI ne compte pas les entreprises du cloud et leurs offres SaaS. Cependant, les liens se renforcent, particulièrement avec le développement de la 5G.

Je ne vois pas le rapport entre la 5G et le cloud.

Que les opérateurs télécoms soient aussi hébergeurs/fournisseurs de cloud (ou le contraire dans le cas d'OVH), c'est assez courant mais ça n'a rien à voir avec la 5G que je sache et ça a précédé la 5G.

Le 28/12/2023 à 10h 02

J'avais aussi noté ce troisième point. Ils ont l'air de dire que Bing chat cite une plus grande partie d'un article que les moteurs de recherche et de façon plus détaillée.

Là, aussi, c'est sûrement liée à la façon dont est rédigée la requête qui demandait peut-être une citation de l'article source, mais c'est aussi de la mauvaise foi : un résultat de moteur de recherche, ce n'est effectivement que quelques lignes.

Par contre, c'est un vrai sujet parce que si la réponse est trop complète, il y a une perte de trafic certaine pour le site de presse. Il est possible que les USA aillent vers un droit voisin comme dans l'UE sur ce point.

Le 27/12/2023 à 20h 07

En fait, je voulais écrire entraînement (et éviter le mot anglais training) mais je me suis trompé de mot en français (!).


Pour l'apprentissage humain, cela ne se limite pas à cela. On apprend aussi à raisonner et donc à produire du contenu nouveau à partir de données. Ce n'est pas le cas d'un LLM dont le but est seulement d'apprendre à parler en fonction d'un contexte.

Le 27/12/2023 à 19h 39

Ça va être intéressant.

Ils ont l'air de démontrer que le processus d'entraînement le chatGPT lui a permis de mémoriser (presque parfaitement) des parties d'articles du NYT. On voit quelques exemples dans leur plainte et ils disent en avoir dans leurs pièces qui appuient leurs dires.

On va peut-être se rendre compte que ce processus d'apprentissage est en fait un moyen de coder l'information tellement performant que cela peut revenir à du plagia. Il serait aussi intéressant de connaître les prompts utilisés pour faire ressortir ces parties d'articles du NYT. Ils ont dû être bien travaillés pour obtenir ce résultat.

Je suis allé un peu rapidement sur la fin et ai lu en diagonale mais leur plainte est mieux que ce que je pensais.

Le paradoxe, c'est qu'ils accusent à la fois de violation du Copyright quand le texte correspond à du contenu du NYT et de mésinformation quand le texte ressorti ne correspond pas à du contenu du NYT mais à des hallucinations. C'est compliqué de pouvoir affirmer les 2 à la fois suivant les résultats obtenus.

Le 27/12/2023 à 20h 03

Il me semble que c'est toujours le cas.

La virgule est un caractère réservé. Il ne peut être utilisé comme les caractères courants.
Elle pourrait être encodée en ,, mais cela n'apporterait pas d'information utile à la lecture de l'URL.

Voir ici : https://developer.mozilla.org/fr/docs/Glossary/Percent-encoding

Le 27/12/2023 à 13h 30

Ça part rarement en justice les fraudes à l'impôt. Le fraudeur sait qu'il a fraudé.

Le 27/12/2023 à 10h 20

J'avais déjà fait cette réflexion en pensant que c'était la rédaction qui mettait ce point en avant. Mais, là c'est sur la planche de SiFive !

Je trouve effectivement que c'est du grand n'importe quoi.

Le 27/12/2023 à 10h 00

Va-t-on retirer la Légion d’honneur à madame si les faits sont confirmés ?

Le 26/12/2023 à 18h 25

C'est plutôt de la comparaison de résultats dans le cas présent, pas de l'entraînement.

Le 25/12/2023 à 12h 33

Non, rien.

Le 24/12/2023 à 19h 56

Ça, ça donne un coup de vieux !

Mon premier milliard de seconde est passé il y a un moment (1992) et il me dit :

Vous aurez…

…deux milliards de secondes
en mai 2024

J'ai volontairement dégradé sa réponse.

Le 23/12/2023 à 12h 20

On parle pour les newsgroups, pas pour le mail.


Mais, on est d'accord qu'Incredimail était une horreur pire que Outlook Express.

Le principal défaut d'OE était qu'il incitait à mettre les citations en fin de message ce qui faisait qu'on avait la réponse avant la question.

Le 22/12/2023 à 18h 56

Encore faut-il le savoir.