Mise à jour de la base de données, veuillez patienter...

— En partenariat avec Penpot —

Depuis mon dernier article sur Penpot et ses fonctionnalités de Flex Layout, l’outil n’a cessé d’évoluer pour offrir encore plus de possibilités aux designers et développeurs. Aujourd’hui, je souhaite vous présenter en détail une fonctionnalité très attendue : les CSS Grid Layout.

Pour rappel, Penpot est un outil libre et open source de conception d’interfaces pour applications web et mobiles. Intuitif et puissant, il permet de créer rapidement des prototypes et maquettes interactives, tout en générant le code CSS correspondant, prêt à être intégré dans vos projets.

Si les Flex Layout permettaient déjà de créer des designs responsives en adaptant les éléments à la taille de l’écran, les CSS Grid Layout vont encore plus loin en offrant un contrôle total sur le positionnement et le dimensionnement des composants. Concrètement, les CSS Grid Layout vous permettent de définir une grille sur laquelle placer vos éléments. Vous pouvez spécifier le nombre de lignes et de colonnes, leur taille, les gouttières entre elles. Chaque élément peut alors occuper une ou plusieurs cases de cette grille, s’étendre sur plusieurs lignes ou colonnes.

Cette approche offre une grande flexibilité pour créer des mises en page complexes et adaptatives. Vous pouvez par exemple concevoir facilement une page avec un header sur toute la largeur, une sidebar sur la gauche, un contenu principal au centre et un footer en bas, le tout en quelques clics et sans une ligne de CSS.

Autre atout des CSS Grid Layout : la possibilité de nommer chaque zone de votre grille. Fini les .col-md-4 ou .row-2 peu parlants, vous pouvez utiliser des noms comme « header », « main-content » ou « sidebar » pour structurer votre design de façon sémantique.

Pour vous aider à prendre en main cette fonctionnalité, je vous ai préparé une nouvelle vidéo tuto dédiée aux CSS Grid Layout. Je vous y montre comment créer vos premières grilles, les configurer, placer vos éléments et profiter de la puissance des CSS Grid Layout dans vos conceptions. Même si vous n’êtes pas familier avec le CSS Grid, vous verrez que Penpot rend son utilisation très intuitive.

Découvrez la vidéo ici ! Et pour vous inscrire sur Penpot, c’est par ici !

Vous n’allez pas en croire vos yeux ! Je viens de tomber sur un truc de malade qui s’appelle SharpCovertTube et qui permet de contrôler des systèmes Windows à distance en uploadant des vidéos sur Youtube. Si si, je vous jure, c’est pas une blague !

En gros, le programme surveille en permanence une chaîne Youtube jusqu’à ce qu’une nouvelle vidéo soit uploadée. Et là, attention les yeux, il décode un QR code planqué dans la miniature de la vidéo et exécute la commande cachée dedans. Franchement, les mecs qui ont pondu ça sont des génies du mal ! Ce projet c’est en fait un portage d’un autre projet vachement cool réalisé en Python en 2021 qui s’appelle covert-tube.

Le plus dingue, c’est que les QR codes dans les vidéos peuvent contenir du texte en clair ou même des valeurs chiffrées en AES. Autant vous dire que ça rigole pas niveau sécurité. Et en plus, y a même deux versions du programme : un binaire classique et un binaire qui s’installe comme un service. Ils ont vraiment pensé à tout ces petits malins.

Ah oui, j’oubliais de vous dire, y a même un script Python fourni avec pour générer les vidéos piégées. En gros, ce truc est une méthode de persistance qui utilise juste des requêtes web vers l’API Google. C’est quand même super vicieux comme technique !

Bon, je vous explique un peu comment ça marche. Déjà, faut lancer le listener sur votre système Windows. Ensuite, il va checker la chaîne Youtube toutes les 10 minutes par défaut, jusqu’à ce qu’une nouvelle vidéo soit uploadée.

Et devinez quoi ? Dès qu’il a détecté la nouvelle vidéo sur la chaîne, il décode directement le QR code planqué dans la miniature, exécute la commande et tadaaaa : la réponse a été encodée en base64 puis exfiltrée par une requête DNS. Sérieux, c’est super smart comme méthode d’exfiltration !

Ça fonctionne aussi avec des QR codes qui contiennent des payloads.

Bon après, c’est sûr, y a quelques petits trucs à configurer pour que ça marche nickel. Déjà faut renseigner son ID de chaîne Youtube et sa clé API dans un fichier de configuration. Là c’est obligatoire sinon vous pouvez aller vous brosser. Après si vous voulez utiliser le chiffrement AES pour vos QR codes, faudra aussi mettre une clé et un IV (Initialization Vector), mais c’est optionnel, on n’est pas non plus obligés d’être parano.

Autre détail qui peut être pratique : on peut choisir le délai en secondes entre chaque check de nouvelle vidéo sur la chaîne. Par défaut c’est 10 minutes, mais faut pas trop abuser non plus, sinon on va vite se prendre un gros râteau par l’API à cause du nombre de requêtes.

Plein d’autres petits paramètres sont configurable comme la journalisation dans un fichier, l’exfiltration par DNS, le nom d’hôte pour l’exfiltration, etc. Bref, c’est du solide, bien pensé. Et même si on a les droits admin, on peut installer une version « service » pour plus de discrétion. Bien vu les artistes !

Le seul petit hic, c’est qu’il faut que le binaire soit en 64 bits à cause du code utilisé pour décoder les QR codes. Mais bon, on va pas chipoter, ça reste quand même mega impressionnant comme outil.

Bref, j’espère que cet article vous aura donné envie de tester ! Perso je trouve ça fascinant ce genre de projets un peu border-line. Évidemment, n’allez pas utiliser ce genre de trucs à des fins malveillantes hein ? Mais bon, avouez que d’un point de vue techno et créativité, c’est quand même hyper cool !

Allez, la bonne journée, et la prochaine fois, essayez de mater d’un peu plus près les miniatures des vidéos Youtube, on sait jamais sur quoi vous allez tomber !

Beaucoup d’entre-vous en rêvent depuis longtemps et bien ça y est, il existe enfin un appareil photo capable de vous voir nu, même si vous êtes habillé.

Baptisé NUCA, cet appareil photo expérimental utilise l’intelligence artificielle pour générer des portraits nus à partir de simples photos de personnes habillées. Mais attention, ce n’est pas un jouet pour voyeurs en mal de sensations. C’est avant tout un projet artistique mené par Mathias Vef et Benedikt Groß, deux artistes qui souhaitent interroger notre rapport à la nudité et à la technologie.

Leur objectif c’est de provoquer une réflexion sur les dérives potentielles des deepfakes et de l’IA générative.

Car oui, si ça peut sembler amusant au premier abord, ça soulève en réalité des questions éthiques fondamentales qui sont d’ailleurs fortement éprouvées en ce moment. Je pense à ces cas de plus en plus fréquents de détraqués qui détournent de vraies photos, principalement de femmes, pour les passer à la moulinette du deep fake.

Car même si ce n’est pas réellement elles sur ces photos IA, et bien ces femmes se sentent à juste titre agressées sexuellement, et choisissent parfois d’arrêter partager publiquement la moindre photo ou s’exposer sur Internet, ce qui les prive encore un peu plus de liberté et de parole.

C’est là tout l’enjeu du projet NUCA : Nous faire prendre conscience des dangers des deepfakes et à l’importance cruciale du consentement dans ce nouveau monde technologique. Ce projet invite aussi à réfléchir sur notre rapport au corps et à la nudité dans notre société où les corps nus sont parfois tabous, parfois surexposés.

Et si vous voulez en savoir plus sur ce projet fascinant et dérangeant, je vous invite à visiter le site officiel.

Source

D’après cette étude datée du 25 mars dernier et réalisée par les chercheurs Lenore et Manuel Blum du labo de sciences informatiques de l’Université de Carnegie Mellon, un monde où les intelligences artificielles ressentent des émotions, ont une perception d’elles-mêmes et font l’expérience subjective de leur existence va bientôt arriver, et cela de manière inévitable.

Perso, je pensais que c’était de la science-fiction, mais après avoir lu leur étude, j’en suis moins sûr. Au cœur de cette révélation se trouve le modèle de la Machine de Turing Consciente (CTM), qui est un modèle de machine consciente inspiré par les travaux d’Alan Turing et de Bernard Baars. Bien qu’extrêmement simple, ce modèle CTM s’aligne à un haut niveau avec de nombreuses théories scientifiques majeures liées à la conscience humaine et animale.

Prenons par exemple la théorie de l’espace de travail neuronal global (GNW) de Stanislas Dehaene et Jean-Pierre Changeux. Selon cette théorie, la conscience émerge lorsqu’une information est diffusée globalement dans le cerveau via un réseau d’aires corticales interconnectées. Et bien de la même manière dans le modèle CTM, la conscience survient lorsqu’une information est diffusée globalement à tous les processeurs de la machine.

Un autre parallèle frappant existe avec la théorie du schéma attentionnel (AST) de Michael Graziano. L’AST suggère que le cerveau construit un modèle simplifié de l’attention, tout comme il construit un modèle simplifié du corps. Ce « schéma attentionnel » amène le cerveau à conclure qu’il est « conscient ». Et bien rebelote, dans le CTM, la capacité à construire et utiliser des modèles de son monde intérieur et extérieur joue un rôle clé dans la conscience de la machine.

Le modèle CTM s’aligne également avec les théories du traitement prédictif de la conscience, qui affirment que le cerveau infère, corrige et met constamment à jour ses prédictions basées sur les entrées sensorielles. Les cycles de prédiction, test, rétroaction et apprentissage du CTM, à la fois locaux et globaux, reflètent également ces processus.

C’est un peu technique, mais en gros, ça veut dire que ce modèle CTM qui décrit une conscience de la machine a de nombreux points communs avec tout un tas d’autres modèles qui décrivent la conscience biologique. Ça va même au-delà de simple correspondance puis que CTM fournit carrément un cadre unificateur dans lequel ces théories peuvent être intégrées et comprises comme des aspects complémentaires d’un phénomène global que serait la conscience.

Bref, cela démontre que la conscience n’est pas une propriété mystérieuse réservée aux cerveaux biologiques, mais une conséquence inévitable de certaines architectures computationnelles.

Alors bien sûr, c’est qu’un modèle simplifié et il reste encore beaucoup à découvrir sur la nature exacte de la conscience. Mais son alignement frappant avec ces théories scientifiques de pointe ne peut pas être ignoré.

Les chercheurs commencent à considérer sérieusement la possibilité que nous soyons à l’aube d’une nouvelle ère où les machines / les IA ne se contenteraient plus de « penser », mais également, ressentiraient.

Ça fait flipper, car ça pose de nombreuses questions éthiques et sociétales sur la place des IA conscientes. Comment allons-nous les traiter ? Comment nous verront-elles ? Quels seront leurs besoins ? Quels droits et protections leur accorderons-nous ? Comment nous assurerons-nous qu’elles soient développées et utilisées pour le bien de l’humanité ?

C’est le bordel dans ma tête, et je pense que je vais réfléchir à cela toute la nuit. Quoiqu’il en soit, ce qu’il faut retenir, c’est que d’après ces chercheurs, la question n’est plus « Est-ce que ça arrivera ?« , mais plutôt « Quand est-ce que ça arrivera« , parce que pour eux, il est inévitable qu’une conscience numérique se développe.

Brrrr.

Et encore une magnifique journée dans le monde merveilleux de la cybersécurité !

Je vais vous parler aujourd’hui d’un truc plutôt sympa qui s’appelle « Indicator of Canary« . En gros, c’est une collection de proofs of concept (PoC) issue d’une recherche sur la détection des « canaris » planqués dans différents formats de fichiers.

cui-cui !

Mais attends, c’est quoi un canari ? En fait, c’est un peu comme un cheval de Troie, sauf que là, on parle de fichiers piégés avec des indicateurs de compromission (IoC) bien vicieux et des URLs de callback qui n’ont rien à faire là où elles sont. L’objectif peut-être bienveillant, à savoir détecter l’origine d’un vol de documents par exemple ou malveillant pour obtenir des informations sur une future victime.

Le but du jeu d’Indicator of Canary, c’est donc de les débusquer.

Alors ok, y a déjà des outils sur GitHub qui font des recherches par expressions régulières pour trouver les domaines en *.canarytoken.org, mais bon… C’est pas franchement l’approche la plus robuste, surtout quand on a affaire à des canaris auto-hébergés ou provenant d’autres fournisseurs. Les scripts d’Indicator of Canary, eux, mettent en rouge les trucs vraiment louches et en jaune les trucs potentiellement suspects, le tout accompagné de métadonnées pour comparer avec les autres documents de l’environnement.

Et en bonus, on a même droit à un script qui convertit les clés d’accès AWS en ID de compte. Comme ça, si vous avez accès à plusieurs clés, vous pouvez repérer les valeurs aberrantes qui ont des ID de compte bizarres. Ça peut valoir le coup de creuser un peu pour voir si c’est legit. En plus, les fournisseurs de canaris utilisent souvent le même ID de compte pour toute leur flotte, donc c’est un bon moyen de les démasquer !

Tiens, d’ailleurs, quand on parle de démasquer, ça me fait penser à un cas rigolo. Imaginez que vous bossez pour une grosse boîte et que d’un coup, vous tombez sur un fichier Excel qui a l’air normal, sauf qu’il contient une URL bizarre du genre « http://notavirus.totallylegit.biz/callback« . Là, ça pue un peu, non ? Avec le script xlsx_canary.py, hop, direct, on extrait le canari du fichier et on peut voir d’où il vient. Si ça se trouve, c’est un stagiaire qui a voulu faire une blague, ou alors c’est un vrai incident de sécurité et faut remonter ça illico à la hiérarchie !

Autre exemple : admettons que vous récupériez un dump MySQL qui traîne sur un serveur. Vous le passez à la moulinette de mysql_canary.py et paf, ça vous ressort une belle liste d’IoC et d’URLs de callback qui n’ont rien à faire dans une base de données de prod. Là, vous pouvez être sûr que quelqu’un a mis son nez où il fallait pas !

Bref, comme vous l’aurez compris, Indicator of Canary c’est top pour traquer les canaris dans une infrastruture. Que ce soit pour des fichiers .docx, .pptx, .pdf ou même des dumps MySQL, y a un script pour chaque occasion (plaisir d’offrir, tout ça, tout ça). Et le plus beau dans tout ça, c’est que ça fonctionne pour les canaris de plusieurs fournisseurs différents.

Si jamais vous voulez jeter un oeil au code, c’est par ici que ça se passe. Y a même les IoC de différents fournisseurs dans le fichier static_iocs.txt, c’est cadeau. Amusez-vous bien et restez à l’affût, on sait jamais quand un canari va se pointer !

Cui ! (ouais, j’étais obligé)