Powered By Blogger

Rechercher sur ce blogue

samedi 17 février 2024

On peut contourner l'antivirus Windows Defender avec une simple virgule

 On peut contourner l'antivirus Windows Defender avec une simple virgule


Par; Téo Marciano

16/02/24 16:52

C'est une découverte insolite qu'a réalisée un chercheur en sécurité informatique : il est possible de tromper la vigilance de l'outil de protection Windows Defender en insérant une simple virgule dans une ligne de commande !


Soyons honnêtes, la sécurité informatique en générale et celle de Windows en particulier, s'est considérablement améliorée depuis la démocratisation des outils numériques. Il est loin le temps où naviguer sur Internet sans utiliser un logiciel antivirus dédié était une pratique peu recommandable. Depuis de nombreuses années, l'outil de protection Windows Defender, intégré par défaut au système d'exploitation de Microsoft, constitue un rempart tout à fait solide et suffisant contre la plupart des menaces qui peuvent guetter nos ordinateurs. Le programme antivirus de Microsoft tourne en permanence en tâche de fond, afin de détecter tout programme suspect et potentiellement malveillant, pour en empêcher l'exécution avant que l'ordinateur ne soit compromis.


En matière de sécurité cependant, certaines failles se cachent dans les détails les plus anodins. Un chercheur en sécurité informatique du nom de John Page, alias @hyp3rlinx sur X (ex-Twitter), avait révélé en 2022 qu'il était  possible de berner la surveillance de l'outil de protection Windows Defender en insérant des points et des virgules dans des lignes de commande visant à exécuter des programmes malveillants. Depuis, Microsoft a apporté des correctifs à son logiciel antivirus afin d'empêcher l'exploitation de cette faille, mais n'a visiblement pas poussé la réflexion suffisamment loin. Dans un tweet publié le 8 février 2024, le même Hyp3rlinx a en effet montré qu'il était toujours possible d'exécuter une commande lançant un programme Javascript, qui devrait normalement être détecté comme dangereux et donc bloqué par Windows Defender, en ajoutant simplement… une deuxième virgule dans la commande !

Ex: Par:hyp3rlinx

- Windows Defender Trojan.Win32/Powessere.G / Mitigation Bypass Part 2


C:\sec>rundll32.exe javascript:"\..\..\mshtml,RunHTMLApplication ";alert(666)

Access is denied.


C:\sec>rundll32.exe javascript:"\..\..\mshtml,,RunHTMLApplication ";alert(666)


Multi-commas, for the Win!




Qu'on se rassure toutefois, le danger réel de cette faille est plus limité qu'il n'y paraît. Afin d'exploiter cette vulnérabilité, un attaquant potentiel doit disposer d'un accès assez large à la machine visée, ce qui suppose d'avoir déjà franchi beaucoup d'autres barrières de sécurité. Les conditions à réunir pour mettre en oeuvre ce contournement de Windows Defender sont donc nombreuses  et il est peu probable de voir cette technique employée à grande échelle pour compromettre les ordinateurs domestiques de monsieur et madame tout le monde. Mais cette découverte est intéressante sur le plan ludique, car elle montre à quel point les mécanismes de protection même les plus sophistiqués peuvent se révéler  vulnérables à des attaques en apparence triviales. Elle rappelle également qu'en matière de sécurité informatique, la recherche décentralisée par de multiples acteurs, ingénieux et malins, reste la méthode la plus efficace pour identifier des failles de sécurité, et que dissimuler le code source des logiciels n'empêche aucunement la découverte et l'exploitation de vulnérabilités. Une preuve supplémentaire des vertus de l'open source, tant pour les développeurs que pour les utilisateurs.


REF.: commentcamarche.net

9 commandes vocales Siri à connaitre pour contrôler les AirPods

 9 commandes vocales Siri à connaitre pour contrôler les AirPods

“Dis Siri, lance la musique” !

Tous les écouteurs et casques sans-fil d’Apple de la gamme AirPods partagent une particularité notable : ils n’ont pas de réels boutons physiques. Vous pouvez tout de même contrôler l’écoute et même aller jusqu’à piloter l’iPhone, le tout, en vous servant de Siri. Dans le cadre de nos articles pratiques sur les AirPods, voici une liste de commandes vocales de base servant à gérer son écoute, AirPods dans les oreilles. Attention, avant d’utiliser l’assistant, il est bien sûr nécessaire de l’invoquer, par exemple, en disant “Dis Siri”.


Il est alors possible d’utiliser les commandes vocales suivantes.


Les commandes spécifiques

Gestion du volume : “augmente le volume”, “augmente le son”, “baisse le volume”, “baisse le son”

Gestion plus précise du volume : “mets le volume à 50 %”, “baisse le volume 30 %”, “monte le volume à 80 %”, etc.

Connaître le pourcentage batterie des AirPods : “pourcentage de batterie”, “niveau de batterie”

Gestion de la lecture : “mettre la musique en pause”, “pause”, “pause la musique”, “relance la lecture”, “remets la musique”, “titre suivant”, “titre précédent”, “prochain album”, “suivant”, “précédent”, “next”, “back”, “lecture aléatoire”, “active la répétition”

D’autres instructions Siri utiles avec les AirPods

Les commandes de l’iPhone habituelles sont également disponibles et là Siri avec les écouteurs dans l’oreille ouvre un vaste champ de possibilités :


“Activer/désactiver le mode avion”

“Appeler Jeanne”

“Lance Google Maps”

“Lance la lecture dans Podcasts”

“Lance la lecture dans Apple Music”

“Créer un événement de calendrier”

“Écrire un mail”

“Envoyer un message à Thomas”

Il existe de nombreuses autres commandes vocales non spécifiques aux AirPods que vous pouvez utiliser avec ces derniers pour vous rendre la vie plus facile, nous en avons listé plus de 15 dans cet article.


Il s’agit donc d’une ici liste non exhaustive qui devrait aider les débutants et débutantes avec AirPods à mieux les piloter.


Et puis si vous connaissez d’autres commandes vocales spécifiques, n’hésitez pas à les partager dans les commentaires.


REF.: iphon.fr

Sora : découvrez les incroyables vidéos créées par la nouvelle IA d'OpenAI

Sora : découvrez les incroyables vidéos créées par la nouvelle IA d'OpenAI


Par: Maurine Briantais

16/02/24




OpenAI présente Sora, sa nouvelle IA capable de générer des vidéos d'un réalisme époustouflant à partir d'une simple description textuelle. Les résultats sont tellement impressionnants qu'ils soulèvent déjà des questions éthiques.Rien ne semble pouvoir arrêter OpenAI, qui multiplie les projets d'intelligence artificielle générative avec des outils tous plus bluffants les uns que les autres ! Alors que l'entreprise derrière ChatGPT a annoncé développer son propre moteur de recherche pour concurrencer Google – rien que ça ! –, l'entreprise américaine vient de dévoiler un tout nouvel outil. Baptisé Sora, qui signifie "ciel" en japonais, en référence à l'infinité de possibilités offertes – rien à voir avec le héros de Kingdom Hearts –, il permet de générer des vidéos à partir d'une simple demande textuelle. Sam Altman avait déjà annoncé son projet en janvier 2023, sans toutefois donner beaucoup de détails. Concrètement, il fonctionne comme n'importe quel éditeur d'images dopé à l'IA – comme DALL-E – : il suffit d'écrire sa demande pour que l'intelligence artificielle s'exécute, mais au lieu de créer une image, il génère une vidéo, dont la durée peut aller jusqu'à 60 secondes. Et le moins que l'on puisse dire, c'est que le résultat est bluffant de réalisme ! Voilà qui risque d'inquiéter les artistes, qui mettent généralement plusieurs heures à produire ce genre de contenu...l’arrivée de Sora, une intelligence artificielle “texte vers vidéo”.

Sora : des vidéos d'un réalisme époustouflant

"Sora est capable de générer des scènes complexes avec plusieurs personnages, des types de mouvements spécifiques et des détails précis sur le sujet et l'arrière-plan. Le modèle comprend non seulement ce que l'utilisateur a demandé dans l'invite, mais aussi comment ces choses existent dans le monde physique", explique OpenAI. Ces courtes vidéos produisent des scènes diverses et variées, comme un couple marchant dans les rues enneigées de Tokyo, des mammouths courant dans la neige, un monstre en admiration devant une bougie, ou encore la visite d'une galerie d'art avec de nombreuses œuvres d'art de styles différents. Voici un exemple de prompt : "La belle ville de Tokyo enneigée est agitée. La caméra se déplace au sein des rues animées, suivant plusieurs personnages en train d'apprécier la météo hivernale et de faire du shopping. Des pétales de sakura [ndla : fleurs de cerisiers] volent dans les airs, en compagnie de flocons de neige." On vous laisse juger du résultat !

Les vidéos sont extrêmement réalistes et comportent de multiples détails, avec une caméra qui s'amuse à virevolter dans le ciel. Il y a même un petit monstre que l'on croirait tout droit sorti d'un film d'animation de Pixar ou de Dreamworks ! Heureusement qu'il y a un marqueur, sinon il serait difficile de les différencier de vidéos authentiques. Mais comment est-ce possible ? "Sora s'appuie sur des recherches antérieures sur les modèles DALL-E et GPT. Il utilise la technique de récapitulation de DALL-E 3, qui consiste à générer des légendes hautement descriptives pour les données d'entraînement visuel. En conséquence, le modèle est capable de suivre plus fidèlement les instructions textuelles de l'utilisateur dans la vidéo générée", explique Open AI dans un communiqué.

L'IA utilise un important ensemble de données issues de vidéos, qui sont ensuite analysées par le système, qui va générer des millions de mots descriptifs des images. Lorsque l'utilisateur émet sa requête par écrit, Sora l'analyse et en extrait les mots-clés qu'elle juge pertinents. Elle recherche ensuite les vidéos qui correspondent le mieux aux mots-clés, puis les extrait de sa base de données et les assemble pour créer le clip vidéo. Mieux encore, l'outil est capable d'étirer une vidéo déjà existante en l'étendant "vers l'avant et vers l'arrière, afin de produire une boucle infinie transparente". Elle fait bien évidemment en sorte que les personnages se déplacent de manière cohérente dans l'espace tridimensionnel.

Vous pouvez découvrir de nombreux exemples de vidéos réalisées avec Sora sur la page de présentation d'OpenAI. Petite astuce : en cliquant simplement sur un des panneaux latéraux à droite d'une vidéo, vous en verrez d'autres qui ne sont pas affichées par défaut. Et certaines valent vraiment le détour, tant elles sont spectaculaires.

Sora : une IA à ne pas mettre entre toutes les mains

Reste que, si on prête attention, certains détails ne laissent pas de doute quant à l'origine de la vidéo. Par exemple, les jambes de la femme qui déambule la nuit dans les rues de Tokyo s'intervertissent à la 15e seconde de la vidéo. Quant au couple, on peut remarquer un freeze qui fait tache. OpenAI en est bien conscient. "Le modèle actuel a des faiblesses. Il peut rencontrer des difficultés en voulant simuler avec précision la physique d'une scène complexe, et peut ne pas comprendre des cas spécifiques de causalité. Par exemple, un personnage peut manger un morceau de cookie et, l'instant d'après, le cookie reste intact", concède l'entreprise. 

Mais on peut légitimement s'interroger sur les dangers qui peuvent découler d'un outil si puissant. Comment différencier le faux du réel ? Même si OpenAI prend soin d'incorporer des marqueurs afin d'identifier les vidéos générées par Sora, la plupart des internautes risquent de passer à côté et de prendre pour argent comptant ce qu'ils voient. Et c'est sans compter les contenus problématiques... Aussi, pour le moment, l'IA n'est pas destinée au grand public. L'entreprise annonce prendre "plusieurs mesures de sécurité importantes avant de rendre Sora disponible dans les produits d'OpenAI". Une équipe d'experts "dans les domaines de la désinformation et des contenus haineux" s'occupe de tester l'outil pour le pousser dans ses derniers retranchements afin de mettre en place les garde-fous les plus résistants possibles. Par la suite, l'entreprise de Sam Altman compte déployer l'accès à Sora auprès de quelques artistes, designers et cinéastes afin d'obtenir des retours. Bref, nous ne sommes pas près de l'avoir entre les mains !

vendredi 16 février 2024

Le deep fake, un nouveau risque pour la fraude bancaire

 

Le deep fake, un nouveau risque pour la fraude bancaire

À l’ère de l’intelligence artificielle, les risques de l’authentification vocale dans le domaine bancaire sont bien réels.

-La plupart des institutions financières canadiennes, comme Desjardins, CIBC et BMO, offrent depuis quelques années l’authentification vocale : une centaine de caractéristiques de la voix (intonation, accent, timbre sonore, débit, etc.) sont utilisées pour vérifier l’identité d’un client au téléphone sans lui poser de questions personnelles telles que le nom de jeune fille de sa mère ou le montant de sa dernière transaction.


Comme les empreintes digitales, les empreintes vocales sont uniques d’une personne à l’autre. Même un André-Philippe Gagnon au sommet de son art ne saurait imiter une voix au point de déjouer un système d’authentification moderne. Toutefois, certains outils d’intelligence artificielle (IA) sont désormais beaucoup plus précis que le célèbre imitateur québécois. Si aucune fraude du genre n’a encore été signalée au pays, selon le Centre antifraude du Canada, les dernières avancées en IA inquiètent des experts. 


Car tout comme avec les hypertrucages vidéos (deep fakes), quelques minutes d’enregistrement de la voix d’une personne suffisent maintenant pour la reproduire avec une impressionnante fidélité. Assez pour déjouer les systèmes d’authentification vocale ? C’est le défi que s’est récemment donné le laboratoire du professeur de sciences informatiques Urs Hengartner, de l’Université de Waterloo.



« Nous avons été capables de berner tous les systèmes auxquels nous nous sommes attaqués », résume le chercheur à L’actualité. Son équipe n’a pas fraudé de banques pour faire sa démonstration, elle a plutôt visé les meilleurs systèmes de reconnaissance vocale sur le marché (l’équivalent d’acheter un coffre-fort pour en tester la solidité au lieu d’effectuer un véritable braquage).


Pour répéter l’exploit, un fraudeur n’aurait besoin que d’enregistrements audios d’une personne, d’un peu d’argent pour utiliser des outils en ligne et d’une certaine connaissance technologique. « Ça n’existe pas encore, mais quelqu’un pourrait créer un logiciel qui automatiserait le tout, et alors, n’importe qui pourrait reproduire ces attaques », craint Urs Hengartner. Le chercheur note également qu’il est facile de « voler » une voix en enregistrant quelqu’un à son insu ou en repiquant des vidéos publiées sur les réseaux sociaux, par exemple.


Le spectre de l’hypertrucage vocal ne semble pas angoisser l’industrie bancaire pour autant. « Desjardins est consciente de l’émergence de cette nouvelle forme d’escroquerie et nous avons des stratégies en place pour les contrer », affirme Camille Garcia Bigras, conseillère principale à la direction principale des solutions, canaux assistés, chez Desjardins, dont le service d’authentification vocale est utilisé par plus de 1,5 million de membres depuis son lancement à l’été 2021.



L’authentification vocale est effectuée tout au long de la conversation, et non seulement au début, ce qui complexifie la tâche pour le fraudeur, puisqu’il doit maintenir le leurre pendant toute la discussion. Le rythme décousu d’une conversation avec un pirate qui devrait taper la réponse à chaque question sur un clavier alerterait l’agent, qui utiliserait alors les autres méthodes d’authentification, comme les questions de sécurité.


« Aucune mesure de sécurité n’est parfaite. Les banques analysent le risque et les bénéfices, et elles implémentent les mesures seulement si ça en vaut la peine », explique Urs Hengartner.


En cas de fraude vocale, les clients ne seraient pas tenus responsables, affirment les institutions financières consultées. Ceux qui ne veulent pas risquer d’être les premières victimes peuvent néanmoins ne pas adhérer à ces services, ou encore s’en désinscrire.


REF.: https://lactualite.com

mardi 13 février 2024

Spotube – Le client Spotify open source sans pub et sans compte payant

 Spotube – Le client Spotify open source sans pub et sans compte payant

@KORBEN  —  8 FÉVRIER 2024


Je sais, il existe beaucoup d’alternatives gratuites à Spotify ou Deezer qui font la même chose, mais sans lâcher un kopeck. Je vous avais parlé de Nuclear il y a quelques semaines d’ailleurs, qui était très cool.


Et bien aujourd’hui, je vous cause de Spotube qui n’est pas basé sur Electron (!!), utilise l’API de Spotify pour son catalogue de titres et de playlists et qui va récupérer les sons sur YouTube. Un fonctionnement assez classique pour ce genre d’outil, mais surtout un client sans pub, sans collecte de données et bien sûr compatible tous OS.



Avec Spotube, vous pourrez parcourir vos propres playlists Spotify, les morceaux que vous aimez, les genres musicaux, les artistes…etc mais également télécharger localement les morceaux ou encore afficher les paroles des chansons de manière synchronisée avec le son pour vos soirées Karaoké.


Le projet est sous licence libre et en constante amélioration. Il y a encore des petits bugs parfois, mais c’est parfaitement utilisable pour dandiner vos petits popotins sur les derniers tubes.


Dispo sous Windows, macOS, Android, Linux ici.


REF.: https://korben.info/spotube-open-source-spotify-client-no-ads-free-account.html?fbclid=IwAR0L5kmUWqT8pBfJXXXMPbDueygjcYMLyauuyBQela0Sz_b3Av6YX8uL45E