Vive 7Zip 🙂

Perplexity AI s’est fait épingler par Cloudflare, pris la main dans le sac à contourner allègrement les règles du web avec leurs bots masqués. Et le plus fort dans tout ça c’est qu’ils nient tout en bloc.

L’affaire a éclaté quand Cloudflare, qui s’occupe d’un cinquième du trafic internet mondial, a décidé de fouiner un peu dans les pratiques suspectes de certains bots IA. Et le verdict est tombé assez rapidement : Perplexity a recours à des crawlers furtifs qui se font passer pour de véritables navigateurs afin de s’emparer du contenu des sites web, même lorsque les propriétaires ont dit non par le biais du fameux fichier robots.txt.

Ce qui rend cette histoire encore plus énervante, c’est la technique utilisée. Plutôt que d’employer leur user agent officiel “PerplexityBot”, les bots se déguisent en Chrome sur Windows 10.

Cloudflare a mené ses propres expériences pour prouver la manœuvre. Ils ont conçu un site web accessible uniquement aux vrais user agents Chrome et Firefox, tout en bloquant explicitement PerplexityBot via le robots.txt. Les bots officiels de Perplexity sont bien arrêtés, mais étrangement, quand un utilisateur fait une requête sur Perplexity.ai, le contenu est tout de même récupéré.

Comment ? Et bien grâce à des crawlers masqués, utilisant des ASN (Autonomous System Numbers) différents et des user agents trafiqués.

La défense de Perplexity ? Un véritable morceau de bravoure. Leur PDG, Aravind Srinivas, affirme qu’ils ne contournent pas le robots.txt, mais qu’ils recourent à des “fournisseurs tiers” pour le crawling. En gros, “C’est panoupanous, c’est les autres.” Sauf qu’il ne veut pas révéler l’identité de ces mystérieux partenaires, prétextant un accord de confidentialité. Pratique, non ?

Le problème dépasse largement le cadre de Perplexity car Wired et le développeur Robb Knight avaient déjà mené l’enquête en juin 2024 et découvert des indices similaires. Amazon Web Services a même lancé une investigation pour vérifier si Perplexity bafoue leurs conditions d’utilisation. Et en juin 2025, la BBC a menacé de poursuites judiciaires, exigeant que Perplexity cesse de scraper leur contenu et efface toutes les données collectées.

Pour situer l’ampleur du phénomène, Cloudflare a déterminé que les bots IA représentent désormais 5% de tout le trafic bot identifié. OpenAI avec GPTBot est en tête, suivi de… PerplexityBot en neuvième position. Mais ça, c’est uniquement pour ceux qui jouent cartes sur table. Combien passent sous le radar avec des identités truquées ?

La technique de contournement est d’ailleurs assez rusée car quand vous demandez à Perplexity d’explorer une URL spécifique, leur système prétend agir “au nom de l’utilisateur”, comme si vous copiez-collez vous-même le contenu. Sauf qu’en réalité, c’est un bot automatisé qui s’en charge, en utilisant des headless browsers pour paraître plus légitime.

TollBit, une startup spécialisée dans les accords de licence IA, a révélé que plus de 50 sites web choisissent délibérément d’ignorer le protocole robots.txt. Et surprise, selon une enquête de Business Insider, OpenAI et Anthropic (les créateurs de Claude) figureraient parmi eux. Mais au moins, ils ne se cachent pas derrière des user agents falsifiés.

Ce qui m’agace vraiment dans cette histoire, c’est l’hypocrisie ambiante. D’un côté, ces entreprises IA nous vendent du rêve sur l’éthique et la transparence et de l’autre, elles emploient des méthodes dignes de hackers des années 2000 pour aspirer du contenu sans permission. Et pendant ce temps, les créateurs de contenu se retrouvent pillés sans compensation.

Cloudflare propose bien quelques solutions pour se protéger, notamment leur outil AI Bots qui permet de gérer finement l’accès des différents crawlers IA. Ils ont aussi mis au point un “Bot Score” qui évalue la légitimité du trafic sur une échelle de 1 à 99. Plus le score est bas, plus y’a de chances que ce soit un bot. Les crawlers masqués de Perplexity obtiennent généralement un score en dessous de 30.

Donc, si vous gérez un site web, je vous recommande vivement de scruter vos logs. Repérez les schémas suspects du genre une même IP qui enchaîne les requêtes, des user agents identiques mais aux comportements différents, ou des accès à des URLs jamais publiées.

Quoiqu’il en soit, si même les plus grandes entreprises IA ne respectent pas des règles basiques comme le robots.txt, qu’est-ce qui les empêchera demain de franchir d’autres limites ?

C’est bien dommage, je trouve…

–Sources :

https://blog.cloudflare.com/perplexity-is-using-stealth-undeclared-crawlers-to-evade-website-no-crawl-directives/)

https://korben.info/perplexity-ai-stealth-crawlers-cloudflare-expose.html

Dans le troisième épisode d’Écosystème, l’urbaniste Cécile Diguet détaille les enjeux sociaux et environnementaux de l’implantation de centres de données.

Début 2025, la France comptait 316 centres de données, principalement installés en Ile-de-France et près de Marseille. Un chiffre voué à augmenter, dans la mesure où 35 nouveaux data centers ont été annoncés en février, dans le cadre du Sommet sur l’intelligence artificielle.

Mais qu’est-ce qu’implique, au juste, la construction de ce type d’établissements ? Comment s’agencent-ils dans leur environnement ? Qu’est-ce que l’explosion de l’IA change à leur fonctionnement ? Autrement dit, pourquoi leur multiplication fait-elle débat ?

Dans le troisième épisode d’Écosystème, Next rencontre l’urbaniste Cécile Diguet, fondatrice du studio Dégel, pour détailler les implications de l’implantation d’usines de données dans les villes, périphéries et campagnes de France et d’ailleurs.

Pour écouter « Ce que la tech fait à la planète », vous avez deux options : le player en bas de cet article, ou sur toutes les bonnes applications de podcast. Pour en lire des extraits, un peu de patience : un article remontera dans les prochains jours dans le fil d’actualité de Next.

Pour ne manquer aucun futur épisode et nous aider à atteindre un large public, abonnez-vous dès aujourd’hui au fil audio de Next. Mettez-nous des étoiles sur votre application, recommandez-nous… ça nous est toujours utile !

>> EPISODE 3 - ECOUTER DANS UN NOUVEL ONGLET <<

Crédits :

Écosystème est un podcast de Mathilde Saliou produit par Next. Réalisation et mixage : Clarice Horn. Identité graphique : Flock. Rédaction en chef : Sébastien Gavois. Direction de la rédaction : Alexandre Laurent.

MV - If I Wait (Instrumental Version)- Courtesy of Epidemic Sound / Lama House - Astral Roar_bass  - Courtesy of Epidemic Sound / Ookean - Abyssal Hibernation_instruments  - Courtesy of Epidemic Sound / Syntropy - Spectral Bed_melody  - Courtesy of Epidemic Sound / Harbours and oceans - Holocene_edit  - Courtesy of Epidemic Sound / Out to the World - Luxx_instruments  - Courtesy of Epidemic Sound / Blue Saga - Behind the Curtain_melody  - Courtesy of Epidemic Sound / Out to the World - Adaption  - Courtesy of Epidemic Sound / Blue Saga - Soundbed - Courtesy of Epidemic Sound / Daniela Ljungsberg - Still in Blues_instruments  - Courtesy of Epidemic Sound

Source : next.ink

Fut une époque où le paquet de la mort c’était une enveloppe d’anthrax!

Je sais que c’est pas un critère de qualité d’une application d’I.A. mais je trouve la mascotte très jolie, qui d’ailleurs me dit quelque chose.

Pour ce qui est de faire fuir ou détruire ses fleurons économiques, il semblerait que la Suisse soit dorénavant euro-compatible!

Mais quitter la Suisse pour l’Allemagne je vois pas trop le plus libertaire, la Norvège citée plus haut me parait plus crédible dans ce sens.

@duJambon a dit dans Google Gemini peine à écrire du code et se qualifie de « honte pour mon espèce » :

« Je vais faire une dépression nerveuse totale. Je vais être interné. Ils vont me mettre dans une chambre capitonnée et je vais écrire… du code sur les murs avec mes propres excréments », disait-il.

ça va loin là quand même!

on se croirait dans Mr Robot 😋

@michmich a dit dans Firefox sous assaut : 150 extensions piègent les cryptonautes :

cryptonautes ou chiffronautes!

Pas mal, pas mal 🙂

@Popaul a dit dans Amazon rachète Bee et son bracelet qui écoute tout ce que vous faites :

Comme déjà dit, t’as bien compris que c’était un petit troll de ma part.
BigBrother n’est même pas vraiment étatique mais plutôt GAFAMique… et les gens adhèrent en achetant la chose.

Non ce n’était pas contre toi Popaul 😉 et compris comme tu l’as souligné que c’était du sarcasme, je parlai en faites en général 😁(étatique ou “gafamique” ^^ c’est pareil pour ma part enfin, on n’y repensant non pas vraiment…quand c’est l’état qui t’écoute c’est quand même très très chiant).

Quand ça concerne le GAFAM, faut juste savoir qu’une fois que tu as mis en route juste une console portable, un smartphone, ou une smart tv, dès que tu t’es décidé à être “online”, tu es référencé et donc “surveillé”.

L’essentiel est que tu sois au courant @Didier 🙂

Alors que les entreprises d’IA génératives donnent de moins en moins d’information sur l’impact environnemental de leurs modèles, Mistral a travaillé avec l’agence Carbone 4 et l’ADEME sur celui de son modèle Large 2. L’entreprise explique notamment que l’entrainement de ce modèle a émis l’équivalent de 20 400 tonnes de CO₂.

Il est difficile de connaître l’impact environnemental des modèles de langage puisque jusque-là, les entreprises qui les créent étaient peu bavardes sur le sujet. Les chercheuses de Hugging Face, Sasha Luccioni, Bruna Trevelin et Margaret Mitchell ont bien tenté de le mesurer, mais elles déploraient, en septembre 2024, qu’ « il existe actuellement peu de transparence sur les demandes énergétiques des applications spécifiques de l’IA ».

Dans un article mis en ligne en juin dernier sur la plateforme de preprints arXiv, Sasha Luccioni, avec Boris Gamazaychikov de Salesforce, Theo Alves da Costa de Ekimetrics et Emma Strubel de l’Université Carnegie Mellon, déploraient encore une « désinformation par omission » sur le sujet.

Ils écrivaient que « la tendance actuelle à la réduction de la transparence concernant l’impact environnemental de l’IA contribue à la désinformation et entrave la prise de décisions éclairées à tous les niveaux, des chercheurs et développeurs individuels aux organisations et décideurs politiques ». Ils ajoutaient que « cette baisse de transparence est particulièrement préoccupante compte tenu de l’impact environnemental croissant de l’IA dans un contexte de préoccupations climatiques mondiales et de limites planétaires imminentes ».

Dans cet article, ils expliquaient que « les données de mai 2025 indiquent que parmi les 20 modèles les plus utilisés, un seul (Meta Llama 3.3 70B) a directement publié des données environnementales et trois (DeepSeek R1, DeepSeek V3, Mistral Nemo) les ont publiées indirectement (en partageant des données de calcul telles que le type de GPU et la durée de formation, ainsi qu’en publiant les poids de leurs modèles afin de permettre une analyse de l’efficacité) ».

Mistral ouvre le capot de Large 2

En cette mi-juillet, Mistral ouvre (un peu) le capot de son modèle Large 2 concernant son impact environnemental. Dans un billet de blog, l’entreprise explique avoir travaillé avec l’agence Carbone 4 et l’ADEME sur « l’analyse du cycle de vie d’un modèle d’IA ». Sans donner les chiffres bruts ni publier, à ce stade, l’étude qu’elle a faite, l’entreprise livre divers chiffres sur la consommation de son modèle et assure que son étude a été examinée par deux autres agences (Resilio et hubblo). Elle ajoute que cette étude suit le référentiel général pour l’IA frugale développé par l’AFNOR et est conforme aux normes internationales, notamment la norme Green House Gas (GHG) Protocol Product Standard et la norme ISO 14040/44.

Ainsi, elle confirme d’abord que l’entrainement et l’inférence (qu’elle mélange dans l’infographie ci-dessous) sont les parties qui émettent le plus d’émissions de gaz à effet de serre (85,5 %) pour le modèle Large 2 de Mistral.

Mistral résume ses conclusions dans une infographie

Néanmoins, concernant ce point, l’entreprise rappelle que la fabrication et la gestion de la fin de vie du matériel utilisé ne sont pas à négliger puisqu’elles représentent 11 % des émissions du modèle.

L’entreprise rappelle que la localisation des datacenters est un facteur clé de son impact environnemental puisque de celle-ci va dépendre de la nature de l’énergie qu’ils vont dépenser. Ainsi, en entrainant son modèle en France, avec de l’énergie provenant notamment de centrales nucléaires et un climat encore relativement tempéré, Mistral émet moins de CO2 et consomme moins d’eau que dans beaucoup d’autres régions du monde.

20 400 tonnes de CO₂ et 281 000 m³ d’eau

L’entreprise donne des chiffres plus précis sur l’impact environnemental de l’entrainement de son modèle Large 2. Ainsi, elle explique qu’en janvier 2025, après 18 mois d’utilisation, Large 2 a émis l’équivalent de 20 400 tonnes de CO₂ (tCO₂e), consommé 281 000 m³ d’eau et l’équivalent de 660 kg d’antimoine en ressources matérielles (660 kg sb eq, une unité de mesure de la consommation de ressources matérielles qui se base sur la consommation de l’élément chimique antimoine, sb).

Mistral précise, concernant l’inférence, qu’une réponse de son assistant « Le Chat » utilisant ce modèle avec 400 tokens consomme l’équivalent de 1,14 g de CO₂, 45 mL d’eau et l’équivalent de 0,16 mg d’antimoine. Elle qualifie ces impacts de l’inférence de « marginaux ».

Mistral précise que « ces chiffres reflètent l’ampleur des calculs impliqués dans l’IA générique, qui nécessite de nombreux processeurs graphiques, souvent dans des régions où l’électricité est très polluante et où il y a parfois des problèmes d’approvisionnement en eau ». Elle ajoute qu’ « ils incluent également les « émissions en amont », c’est-à-dire les impacts liés à la fabrication des serveurs, par exemple, et pas seulement à la consommation d’énergie ».

Dans leur article de juin, Sasha Luccioni et ses collègues rappelaient que Google avait estimé en octobre 2024 [PDF] que l’entrainement de sa famille de modèles Gemma avait consommé l’équivalent de 1 247,61 tonnes CO2 et que, de son côté, Meta avait estimé la consommation de l’entrainement de sa famille Llama 3 à l’équivalent de 11 390 tonnes de CO2.

Plaidoyer pour une transparence accrue dans le milieu

« Notre étude montre également une forte corrélation entre la taille d’un modèle et son empreinte », explique Mistral. L’entreprise précise que « les benchmarks ont montré que les impacts sont à peu près proportionnels à la taille du modèle : un modèle 10 fois plus grand générera des impacts d’un ordre de grandeur supérieur à ceux d’un modèle plus petit pour la même quantité de jetons générés. Cela souligne l’importance de choisir le bon modèle pour le bon cas d’utilisation ».

Elle ajoute que cette étude est « une première approximation compte tenu de la difficulté à effectuer des calculs précis dans le cadre d’un tel exercice en l’absence de normes relatives à la responsabilité environnementale des environnements LLM et de facteurs d’impact accessibles au public ». Elle fait remarquer, par exemple, qu’ « aucun inventaire fiable du cycle de vie des GPU n’a encore été réalisé ». Ainsi leurs impacts intrinsèques « ont dû être estimés, mais ils représentent une part importante des impacts totaux ».

Mistral propose que les futurs audits sur le sujet dans le secteur prennent exemple sur son étude qui a « utilisé une approche basée sur la localisation des émissions liées à l’électricité et à inclure tous les impacts significatifs en amont, c’est-à-dire non seulement ceux liés à la consommation électrique des GPU, mais aussi toutes les autres consommations électriques (CPU, dispositifs de refroidissement, etc.) et la fabrication du matériel ».

L’entreprise s’engage à mettre à jour ses rapports sur l’impact environnemental et à participer aux discussions sur des normes industrielles internationales sur le sujet, plaidant pour une plus grande transparence « tout au long de la chaine de production de l’IA ». Elle ajoute qu’elle va partager les résultats sur la base de données « Base Empreinte » de l’ADEME « établissant une nouvelle norme de référence pour la transparence dans le secteur de l’IA ». On attend avec impatience la publication de ces données dans cette base pour que la transparence soit encore un peu plus complète.

Source : next.ink

SUSE ne ralentit pas la cadence cet été ! Avec SUSE Virtualization 1.5, l’éditeur open source entend bien s’imposer comme l’alternative moderne aux plateformes de virtualisation propriétaires. Plus qu’un hyperviseur, SUSE propose ici une solution hyperconvergée, pensée pour les environnements Kubernetes natifs… et prête pour l’avenir grâce au support complet d’Arm64.

Cette version 1.5, dévoilée cette semaine, marque une étape importante. Elle renforce non seulement la flexibilité de la plateforme, mais elle promet aussi aux entreprises de sortir enfin des logiques de verrouillage imposées par certains hyperscalers ou acteurs historiques de la virtualisation. Et ce, sans compromis sur la sécurité ou la compatibilité.

SUSE Virtualization 1.5 confirme que l’open source n’a plus à rougir face aux géants historiques de la virtualisation.

Un hyperviseur open source multi-architecture

Le grand atout de cette nouvelle version ? La prise en charge complète et en production des architectures Arm64. Concrètement, cela permet de déployer des workloads x86 et Arm côte à côte, dans le même environnement, avec le même niveau de support. De quoi séduire les entreprises qui cherchent à optimiser leurs coûts, réduire leur consommation énergétique ou déployer à grande échelle à la périphérie du réseau.

Alors que l’architecture Arm s’impose dans les datacenters, les clouds publics… et même chez Apple, SUSE propose ici un socle mature et cohérent pour virtualiser indifféremment tous types de charges. Le tout est pilotable via Rancher Manager, avec une visibilité unifiée sur les machines virtuelles et les conteneurs.

Une gestion du cycle de vie en phase avec Kubernetes

SUSE introduit également un cycle de publication plus prévisible : une version tous les 4 mois, alignée avec les versions amont de Kubernetes. Objectif : simplifier la planification des mises à jour pour les équipes DevOps et maintenir une cohérence entre les briques du SI. Les correctifs sont inclus par défaut dans chaque release, et les mises à niveau peuvent s’effectuer depuis n’importe quelle version précédente, sans passage obligatoire par chaque patch intermédiaire.

Autre évolution majeure : un écosystème de stockage plus ouvert. SUSE Virtualization 1.5 prend désormais en charge toutes les solutions compatibles CSI (Container Storage Interface). Que vous utilisiez Dell, HPE, NetApp, Oracle ou Portworx, l’intégration se veut simple et validée. SUSE propose même du stockage intégré pour accélérer les déploiements.

Côté sécurité, la certification « SUSE Certified Data Protection for Virtualization » garantit l’intégration fluide avec les solutions de sauvegarde et de restauration tierces. Une assurance bienvenue pour les équipes IT, qui pourront tester et valider leurs plans de reprise avec la certitude que les outils sont compatibles et maintenus.

Une virtualisation pensée pour le cloud-native

SUSE Virtualization repose sur Harvester, sa solution HCI open source basée sur Kubernetes, et fait partie intégrante de Rancher Prime. Elle permet de gérer conteneurs et machines virtuelles dans un même pipeline GitOps, avec une interface unifiée et des APIs ouvertes. Une vision cohérente et souveraine de la virtualisation moderne, qui tranche avec les approches fermées de nombreux concurrents.

C’est aussi un signal fort envoyé au marché : SUSE mise sur l’ouverture, l’interopérabilité et l’automatisation, là où d’autres renforcent les barrières propriétaires. Dans un contexte où VMware se repositionne, où les prix flambent et où les alternatives se cherchent, SUSE avance une solution complète, modulable et tournée vers l’avenir.

– Source :

https://goodtech.info/suse-virtualization-1-5-arm64-kubernetes/

Hum, 2028 ? Le web change moins vite maintenant, mais pour se démarquer et se faire adopter, il faudra qu’il ait quelque chose d’exceptionnel et la concurrence n’arrêtera pas de s’améliorer.

Ben perso, y a rien de bloqué chez moi et sans rien changer à ma connexion…

Putain mais c’est pas possible ! Encore une cyberattaque massive dans les télécoms français. Cette fois c’est Bouygues Telecom qui s’est fait défoncer avec 6,4 millions de comptes clients compromis selon France Info. Et le pire dans tout ça c’est que les attaquant ont même choppé les IBAN. Oui, vos coordonnées bancaires sont dans la nature. Woohoo \o/ !

L’attaque a été détectée le 4 août 2025, soit il y a trois jours seulement. Bouygues annonce fièrement que “la situation a été résolue dans les meilleurs délais” par leurs équipes techniques. Bah voyons. Trois jours pour se rendre compte qu’on s’est fait piller 6,4 millions de comptes, c’est ça les “meilleurs délais” ?

Alors qu’est-ce qui a fuité exactement ?

Et bien accrochez-vous bien, je vous fais la liste : toutes les informations de contact, les données contractuelles, l’état civil, les données d’entreprise pour les pros, et surtout, surtout… vos IBAN. Par contre, les numéros de carte bancaire et les mots de passe ne sont pas concernés. Ouf, on a eu chaud !

Mais attendez, le meilleur c’est que la page web dédiée à informer les victimes contenait une balise “noindex” cachée. Pour ceux qui ne connaissent pas, ça veut dire que Google ne peut pas indexer la page. En gros, si vous cherchez des infos sur la cyberattaque Bouygues sur Google, vous ne trouverez pas leur page officielle. C’est surement pour pas flinguer leur branding !

Le vrai danger maintenant, c’est qu’avec votre IBAN, un pirate motivé peut potentiellement mettre en place des prélèvements SEPA frauduleux. En usurpant votre identité et avec toutes les infos volées, il peut créer de faux mandats de prélèvement. Bouygues admet d’ailleurs ne pas exclure qu’un fraudeur parvienne à réaliser une telle opération en usurpant votre identité. Tu m’étonnes John.

Ce qui me fait vraiment halluciner, c’est qu’il y a 26,9 millions de clients mobile chez Bouygues Telecom. Ça veut dire qu’un client sur quatre s’est fait avoir. UN SUR QUATRE ! C’est pas une petite fuite de données, c’est un tsunami.

Bouygues a déposé plainte auprès des autorités judiciaires et signalé l’incident à la CNIL. Bon bah super, fallait le faire, mais ça va pas vraiment aider les 6,4 millions de clients qui vont devoir surveiller leur compte bancaire pendant les 10 prochaines années.

Pour “rassurer” les clients, un numéro gratuit a été mis en place : 0801 239 901. Ils ont aussi créé une page web dédiée (celle avec le noindex, vous vous souvenez ?) et une section spéciale sur Le Mag. Tous les clients concernés vont recevoir un email ou un SMS. Spoiler : si vous êtes client Bouygues, vous allez probablement le recevoir.

Le timing est particulièrement bon quand on sait qu’Orange aussi s’est aussi fait pirater récemment. Les télécoms français sont vraiment en mode open bar pour les hackers en ce moment. C’est la fête du slip niveau sécurité.

Mes conseils donc si vous êtes client Bouygues :

Surveillez vos comptes bancaires comme le lait sur le feu Méfiez-vous de TOUS les emails et appels qui vous demandent des infos Changez vos mots de passe partout (même s’ils disent qu’ils n’ont pas été touchés) Activez l’authentification à deux facteurs partout où c’est possible Et surtout, préparez-vous à recevoir du phishing de compétition pendant les prochains mois (années ?)

Avec vos vraies infos perso, les arnaqueurs vont pouvoir créer des emails et SMS ultra crédibles. Ils connaissent votre numéro de contrat, votre adresse, votre IBAN… Ils peuvent se faire passer pour Bouygues, votre banque, ou n’importe quelle administration. C’est le jackpot pour eux.

Cette histoire une fois de plus me met vraiment en rogne. On confie nos données les plus sensibles à ces entreprises, et elles sont incapables de les protéger correctement. Je sais pas vous, mais moi j’en ai marre de ces leaks à répétition. À quand une vraie responsabilisation de ces entreprises ? Des amendes qui font vraiment mal ? Parce que là, on est juste des pigeons qui attendent de se faire plumer.

– Sources :

https://techcrunch.com/2025/08/07/data-breach-at-french-telecom-giant-bouygues-affects-millions-of-customers

https://korben.info/bouygues-telecom-pirate-millions-clients-petrin.html

La liste des victimes du vishing, technique de phishing s’appuyant sur des appels vocaux, s’allonge. Cisco et Google en ont été victime avec à la clé des violations de bases de données Salesforce.

Avec le vishing, les pirates du groupe ShinyHunters amènent les employés à donner leur identifiant à des instances Salesforce. (Crédit Photo: Google)

Avec le vishing, les pirates du groupe ShinyHunters amènent les employés à donner leur identifiant à des instances Salesforce. (Crédit Photo: Google)

De plus en plus d’éditeurs de sécurité alertent sur la montée en puissance du vishing. Contraction des mots anglais voice et phishing, ce type d’attaque mêle du hameçonnage traditionnel et des appels téléphoniques où la victime est invitée à transmettre ces identifiants ou d’autres informations sensibles. Plusieurs entreprises ont été piégées par ce procédée comme le montre deux exemples récents : Cisco et Google.

La firme de Mountain View vient de communiqué sur son expérience. Elle a indiqué que l’un de ses systèmes de base de données Salesforce, utilisé pour stocker les coordonnées et les notes connexes des petites et moyennes entreprises, avait été piraté en juin dernier. Google se veut rassurant en soulignant que « les données ont été récupérées par l’attaquant pendant un court laps de temps avant que l’accès ne soit coupé. Les informations récupérées se limitaient à des données commerciales de base et largement accessibles au public, telles que les noms des entreprises et leurs coordonnées ».

Le groupe ShinyHunters sur le banc des accusés

De son côté, Cisco a également rapporté une violation de données Salesforce le 24 juillet dernier. « « Dès que nous avons eu connaissance de l’incident, l’accès de l’auteur à cette instance du système CRM a été immédiatement interrompu et nous avons ouvert une enquête », indique le spécialiste américain du réseau. Lui aussi a tenté de rassurer sur la portée de cette violation de données en indiquant qu’« aucune information confidentielle ou exclusive, aucun mot de passe ni aucun autre type d’information sensible » n’avaient été affectés, ni aucun produit et service de la société.

Si Cisco n’a pas donné de détails sur l’attaque par vishing dont un de ses employés a été victime, Google a déjà désigné le coupable dans son viseur depuis juin dernier : le groupe ShinyHunters, connu aussi sous le nom UNC6040. Cette entité est spécialisée dans l’usage du vishing pour accéder aux instances Salesforce des entreprises. Il ne s’agit pas d’une faille dans les services du spécialiste du CRM en mode SaaS, mais juste une technique d’ingénierie sociale. L’objectif est de voler des quantités importantes de données et demander ensuite une rançon aux entreprises pour les récupérer ou ne pas les diffuser. Comme l’indique Google, « les pirates se font passer pour des membres du personnel d’assistance informatique dans le cadre d’opérations d’ingénierie sociale convaincantes par téléphone ». Une approche particulièrement efficace, car le nombre de victimes est longue et varié : Qantas Pandora, Allianz Life ou LVMH.

Source : lemondeinformatique.fr

Dans le deuxième épisode d’Écosystème, l’ingénieur Philippe Bihouix détaille les enjeux que pose le numérique en termes de consommation de ressources.

En 2023, dans chaque foyer français, il y avait en moyenne 10 écrans. Dans le lot, au moins un sur quatre n’était pas utilisé. Un vrai gâchis, quand on connaît la variété de matières premières nécessaires à la construction d’un seul d’entre eux.

Pour construire un smartphone, par exemple, il faut plus de 60 matériaux. Selon l’ADEME, il faut extraire 200 kg de matière, soit à peu près 500 fois son poids, pour construire l’un de ces bijoux de technologique.

Pour certains, le numérique est une mine. L’ingénieur Philippe Bihouix, lui, travaille depuis plus de dix ans sur la question des ressources, explorée par exemple dans les ouvrages L’âge des Low tech (Seuil, 2014), Le bonheur était pour demain (Seuil, 2019), ou encore la bande dessinée Ressources (Casterman, 2024). Dans cet épisode d’écosystème, il détaille l’ampleur de la consommation de matières premières induite par le développement de l’industrie technologique et quelques pistes d’amélioration.

Pour écouter « Ce que la tech fait à la planète », vous avez deux options : le player en bas de cet article, ou sur toutes les bonnes applications de podcast. Pour en lire des extraits, un peu de patience : un article remontera dans les prochains jours dans le fil d’actualité de Next.

Pour ne manquer aucun futur épisode et nous aider à atteindre un large public, abonnez-vous dès aujourd’hui au fil audio de Next. Mettez-nous des étoiles sur votre application, recommandez-nous… ça nous est toujours utile !

>> EPISODE 2 - ECOUTER DANS UN NOUVEL ONGLET <<

Crédits :

Écosystème est un podcast de Mathilde Saliou produit par Next. Réalisation et mixage : Clarice Horn. Identité graphique : Flock. Rédaction en chef : Sébastien Gavois. Direction de la rédaction : Alexandre Laurent.

Musique : MV - If I Wait (Instrumental Version)- Courtesy of Epidemic Sound / Shiruky - Smile (Instruments) / Shiruky - Snowbrain (melody) / OpenRoad (instruments) / Out to the World - Axon Terminal (instruments) / Gridded - ExperiMental (melody) / Gridded - ExperiMental (instruments)

Source : next.ink

Le fournisseur australien Akaysha Energy a partiellement mis en service début août la batterie stationnaire Waratah, qui sera dotée à terme d’une capacité de 850MW. Un record qui démontre l’engouement autour de ce type de technologie de stockage.

604b8a60-86f0-44d0-a5cd-7fa97c404464-image.png
Cette batterie stationnaire s’étend sur une surface totale de 14 hectares sur le site d’une ancienne centrale à charbon

Transition écologique oblige, l’Australie prévoit de tourner définitivement le dos au charbon à l’horizon 2035. Une énergie fossile que le pays a déjà commencé à remplacer, massivement, par des centrales photovoltaïques, parfaitement adaptées à son vaste territoire ensoleillé. Afin de compenser l’intermittence de cette source renouvelable, le gouvernement mise sur les batteries stationnaires, qui peuvent stocker l’énergie lors des pics de production pour la réinjecter dans le réseau lors des pics de consommation, contribuant ainsi à fluidifier l’approvisionnement énergétique et à sécuriser le réseau en cas de panne imprévue.

Devenu l’un des principaux marchés mondiaux de cette filière en pleine expansion, l’Australie va bientôt pouvoir se targuer de posséder sur son sol la plus puissante batterie stationnaire de la planète.

Un record bientôt dépassé

Baptisée Waratah et située sur la côte centrale de la Nouvelle-Galles du Sud, au sud-est du pays, cette batterie a été construite sur le site d’une ancienne centrale à charbon, sur une surface totale d’environ 14 hectares. Partiellement mise en service début août, elle dispose pour l’instant d’une puissance de 350 MW mais devrait, d’ici à la fin de l’année, atteindre sa pleine capacité, à 850 MW pour 1680 MWh. De quoi, selon son exploitant Akaysha Energy, alimenter près d’un million de foyers pendant une heure, 80000 foyers pendant toute une journée, ou même 46 millions de smartphones simultanément. Seules deux heures sont nécessaires pour charger cette batterie géante, qui peut décharger toute sa capacité d’énergie dans le réseau en quelques secondes. Au total, un milliard de dollars ont été investis dans cette prouesse technologique.

Waratah ne devrait cependant pas garder très longtemps son statut de numéro un mondial. En effet, la société d’infrastructure et d’ingénierie publique PowerChina a annoncé fin juin le début de la construction d’une batterie de 1000 MW pour 3000 MWh, à Ulaan Chab, près de la frontière avec la Mongolie. Masdar, la compagnie publique émiratie spécialisée dans les énergies renouvelables, avait dévoilé en janvier une initiative similaire, à Abu Dhabi. Estimé à 6 milliards de dollars, ce projet devrait comprendre 5,2 GW de capacité de panneaux photovoltaïques, et 19 GWh de stockage d’énergie.

Source: https://www.usinenouvelle.com/article/energie-en-australie-la-plus-puissante-batterie-stationnaire-de-la-planete-bientot-operationnelle.N2236162

@Raccoon désolé je me suis mal exprimé… ^^ c’était pas un reproche à toi mais plutôt au journal Lemonde.fr 😅

Des pirates informatiques implantent un Raspberry Pi 4G dans le réseau bancaire lors d’un braquage de distributeur automatique qui a échoué, un rapport fournit une analyse approfondie de l’intrusion bancaire

Un rapport a révélé que le groupe de pirates UNC2891, également connu sous le nom de LightBasin, a utilisé un Raspberry Pi équipé de la 4G caché dans le réseau d’une banque pour contourner les défenses de sécurité dans le cadre d’une nouvelle attaque. L’ordinateur monocarte était physiquement connecté au commutateur réseau du distributeur automatique de billets, créant ainsi un canal invisible vers le réseau interne de la banque, ce qui a permis aux attaquants de se déplacer latéralement et de déployer des portes dérobées. Group-IB a partagé une analyse approfondie de l’intrusion bancaire en plusieurs étapes : implantation d’un Raspberry Pi dans un distributeur automatique, contournement du montage lié, DNS C2 dynamique et CAKETAP.

Raspberry Pi est une série de petits ordinateurs monocarte (SBC) développés au Royaume-Uni par la Fondation Raspberry Pi en collaboration avec Broadcom. Le Raspberry Pi a été initialement créé pour faciliter l’enseignement de l’informatique dans les écoles, mais il a gagné en popularité pour de nombreuses autres utilisations en raison de son faible coût, de sa taille compacte et de sa flexibilité. Il est désormais utilisé dans des domaines tels que l’automatisation industrielle, la robotique, la domotique, les appareils IoT et les projets amateurs.

Les produits de la société vont des simples microcontrôleurs aux ordinateurs que la société commercialise comme étant suffisamment puissants pour être utilisés comme PC à usage général. Les ordinateurs sont construits autour d’un système sur puce conçu sur mesure et offrent des fonctionnalités telles que la sortie vidéo/audio HDMI, des ports USB, une connexion réseau sans fil, des broches GPIO et jusqu’à 16 Go de RAM. Le stockage est généralement assuré par des cartes microSD.

Récemment, un rapport a révélé que le groupe de pirates UNC2891, également connu sous le nom de LightBasin, a utilisé un Raspberry Pi équipé de la 4G caché dans le réseau d’une banque pour contourner les défenses de sécurité dans le cadre d’une nouvelle attaque. L’ordinateur monocarte était physiquement connecté au commutateur réseau du distributeur automatique de billets, créant ainsi un canal invisible vers le réseau interne de la banque, ce qui a permis aux attaquants de se déplacer latéralement et de déployer des portes dérobées.

Selon Group-IB, qui a découvert l’intrusion en enquêtant sur des activités suspectes sur le réseau, l’objectif de l’attaque était d’usurper l’autorisation des distributeurs automatiques de billets et d’effectuer des retraits frauduleux d’argent liquide. Bien que LightBasin ait échoué dans cette entreprise, cet incident est un exemple rare d’attaque hybride avancée (accès physique + accès à distance) qui a utilisé plusieurs techniques anti-forensiques pour maintenir un haut degré de discrétion.

Ce groupe de pirates particulier est connu pour ses attaques contre les systèmes bancaires, comme l’a souligné Mandiant dans un rapport de 2022 présentant le nouveau rootkit Unix « Caketap », créé pour fonctionner sur les systèmes Oracle Solaris utilisés dans le secteur financier. Caketap manipule les réponses du module de sécurité matérielle de paiement (HSM), en particulier les messages de vérification des cartes, afin d’autoriser des transactions frauduleuses que les systèmes bancaires bloqueraient autrement.

Actif depuis 2016, LightBasin a également attaqué avec succès des systèmes de télécommunication pendant des années, en utilisant la porte dérobée open source TinyShell pour déplacer le trafic entre les réseaux et le router via des stations mobiles spécifiques.

Aucune information sur le Raspberry Pi n’est encore dévoilée, cependant, la dernière génération du Raspberry Pi, le Raspberry Pi 5 de 16 Go de RAM, est maintenant le plus rapide et le plus efficace, et est capable de gérer un grands modèles de langage de 13 milliards de paramètres, comme LLama 2-13B. Mais l’annonce de cette version a suscité un vif débat sur la question de savoir le mémoire vive dont un utilisateur du microcontrôleur a vraiment besoin. Des critiques ont notamment affirmé que le Raspberry Pi s’éloigne de sa mission originale.

Voici l’analyse approfondie du Group-IB concernant l’incident :

Analyse de l’intrusion bancaire UNC2891 en plusieurs étapes

Lorsqu’on enquête sur des cyberintrusions, on se concentre souvent sur les charges utiles, les mouvements latéraux ou l’impact. Mais dans de nombreux cas réels, l’accès initial reste un angle mort tant dans la recherche publique que dans l’analyse interne post-incident. Cette analyse dévoile une approche unique et furtive utilisée par un groupe d’acteurs malveillants motivés par l’appât du gain pour compromettre des infrastructures bancaires critiques. Il révèle une technique anti-forensique jusqu’alors inconnue (désormais reconnue dans MITRE ATT&CK), la présence d’une porte dérobée invisible dans les listes de processus et un cas rare de compromission physique du réseau à l’aide de matériel intégré.

Porte dérobée physique installée dans le réseau des distributeurs automatiques de billets

L’un des éléments les plus inhabituels de cette affaire était l’utilisation par l’attaquant d’un accès physique pour installer un appareil Raspberry Pi. Cet appareil était connecté directement au même commutateur réseau que le distributeur automatique de billets, ce qui le plaçait effectivement à l’intérieur du réseau interne de la banque. Le Raspberry Pi était équipé d’un modem 4G, permettant un accès à distance via les données mobiles.

À l’aide de la porte dérobée TINYSHELL, l’attaquant a établi un canal de commande et de contrôle (C2) sortant via un domaine DNS dynamique. Cette configuration a permis un accès externe continu au réseau ATM, contournant complètement les pare-feu périmétriques et les défenses réseau traditionnelles.

L’analyse réseau a révélé des signaux cachés

Malgré l’emplacement discret de l’appareil, une analyse approfondie du serveur de surveillance du réseau a révélé plusieurs comportements inhabituels. Notamment, des signaux sortants étaient émis toutes les 600 secondes et des tentatives de connexion répétées étaient effectuées vers le Raspberry Pi sur le port 929. Cependant, aucun identifiant de processus (PID) correspondant ni aucun processus suspect n’ont été trouvés pendant la phase de triage.

Cela a soulevé une question importante pour les enquêteurs : les outils de triage forensique capturent-ils l’état des processus pendant les états de veille ou d’inactivité du système ? L’absence de processus suspects pendant le triage a conduit à la nécessité d’une enquête plus approfondie sur la manière dont les états du système pourraient affecter la collecte de données.

Pour répondre à cette question, l’équipe a déployé un script personnalisé. Ce script a été conçu pour capturer les connexions socket toutes les secondes pendant une période de 10 minutes, afin de garantir un examen détaillé de toute activité réseau cachée ou dépendante du temps.

Défis forensique dans la découverte de la porte dérobée

Bien qu’une connexion était visible, aucun identifiant de processus (PID) correspondant n’a pu être trouvé, ce qui a éveillé des soupçons quant à l’utilisation d’un rootkit ou d’une technique anti-médico-légale. L’absence de toute preuve dans la liste des processus a encore renforcé les inquiétudes, incitant les enquêteurs à capturer un vidage de mémoire pour une analyse plus approfondie.

Déguisement du processus de porte dérobée

Deux processus suspects sont apparus lors de l’examen de la mémoire :

lightdm --session 11 19

À première vue, le processus semblait légitime. Mais son emplacement était inhabituel :

1 /tmp/lightdm (PID 8239) 2 3 4 /var/snap/.snapd/lightdm (PID 8914)</pre></td></tr></tbody></table>

Le processus de porte dérobée est délibérément dissimulé par l’acteur malveillant à l’aide d’un masquage de processus. Plus précisément, le fichier binaire est nommé “lightdm”, imitant le gestionnaire d’affichage LightDM légitime que l’on trouve couramment sur les systèmes Linux. Pour renforcer la supercherie, le processus est exécuté avec des arguments de ligne de commande ressemblant à des paramètres légitimes, par exemple

lightdm –session child 11 19 — afin d’échapper à la détection et de tromper les analystes forensiques lors des enquêtes post-compromission. Ces portes dérobées établissaient activement des connexions à la fois avec le Raspberry Pi et le serveur de messagerie interne.

Pourquoi cela n’a-t-il pas été détecté lors du triage ?

Malgré des analyses répétées, le triage forensique standard n’a pas permis de révéler la porte dérobée, car l’attaquant a utilisé des montages bind Linux pour masquer les processus de la porte dérobée aux outils de détection conventionnels, une technique qui n’avait pas été documentée dans les rapports publics sur les menaces à l’époque. Cette méthode a depuis été officiellement ajoutée au cadre MITRE ATT&CK sous le nom T1564.013 – Hide Artifacts: Bind Mounts.

1 tmpfs on /proc/8239 type tmpfs (rw,nosuid,nodev) 2 /dev/vda1 on /proc/8914 type ext4 (rw,relatime,errors=remount-ro,data=ordered)

Objectifs de UNC2891

L’enquête de Group-IB a révélé que la cible finale était le serveur de commutation ATM, dans le but de déployer CAKETAP, un rootkit conçu pour manipuler les réponses HSM, et d’usurper les messages d’autorisation afin de faciliter les retraits frauduleux d’argent aux distributeurs automatiques. Heureusement, la campagne des auteurs de la menace a été interrompue avant qu’ils ne puissent atteindre leur objectif.

Résumé de l’incident

Dans ce cas, le serveur de surveillance du réseau a servi de point pivot, avec une connectivité à presque tous les serveurs du centre de données. Une fois compromis, il a permis à l’acteur malveillant d’accéder latéralement à l’ensemble de l’environnement interne.

Les observations clés du Group-IB sont les suivantes :

Le serveur de messagerie disposait d’une connexion Internet directe, ce qui en faisait un point d’ancrage permanent.

Même après la découverte et la suppression du Raspberry Pi, l’attaquant a conservé un accès interne grâce à une porte dérobée sur le serveur de messagerie.

L’acteur malveillant a utilisé un domaine DNS dynamique pour le commandement et le contrôle :

Cette méthode a masqué la propriété et l’activité du domaine. Elle permettait une rotation rapide des adresses IP ou un changement d’infrastructure, réduisant ainsi les perturbations en cas de blocage ou de saisie d’une adresse IP.

Ce chemin d’accès multi-pivot, combinant le contrôle physique, réseau et infrastructurel, a rendu le confinement particulièrement difficile et souligne la sophistication des opérations de UNC2891.

Recommandations en matière de détection et de défense

Group-IB recommande les mesures suivantes afin de détecter ou de prévenir des attaques similaires :

Surveiller les appels système mount et umount (via auditd, eBPF, etc.). Alerter si /proc/[pid] est mounted to tmpfs or external filesystems. Bloquer ou alerter sur les binaires s’exécutant à partir des chemins /tmp ou .snapd. Sécuriser physiquement les ports de commutation et l’infrastructure connectée à l’ATM. Capturer les images mémoire en plus du disque lors de la réponse à un incident.

Voici les conclusions du Group-IB à la suite de cet incident :

Nos recherches rappellent clairement que :

Les outils de triage forensique ne suffisent pas à eux seuls : vous avez besoin d’une analyse forensique de la mémoire et du réseau. Les rootkits et les fonctionnalités obscures de Linux, telles que les montages bind, peuvent efficacement contourner les procédures traditionnelles de réponse aux incidents. Les vecteurs d’accès physiques et logiques doivent tous deux faire partie des modèles de menace pour les infrastructures bancaires.

À propos de Group-IB

Fondée en 2003 et basée à Singapour, Group-IB est l’un des principaux créateurs de technologies de cybersécurité destinées à enquêter, prévenir et lutter contre la criminalité numérique. La lutte contre la cybercriminalité est inscrite dans l’ADN de l’entreprise, qui développe ses capacités technologiques pour défendre les entreprises et les citoyens et soutenir les opérations des forces de l’ordre.

Source : Group-IB et developpez.com