Viewfinder est le jeu offert par le store d'Epic Games, aujourd'hui, vous avez jusqu'au 30 décembre, 17 heures pour effectuer l'ajout ici.Défiez la perception, redéfinissez la réalité et remodelez le monde qui vous entoure avec un appareil photo instantané. Viewfinder est un nouveau jeu solo offrant aux joueurs des heures d'expériences passionnantes et l'occasion de percer des mystères oubliés. […]
Lire la suite
Les Razer Blade 14 semblent avoir une fragilité au niveau d'une vis de fixation de la carte mère, très au bord du PCB. En cas de chute par exemple de l'ordinateur portable, cette vis peut venir arracher le petit bout de PCB autour d'elle, entrainant la panne du laptop car certains circuits sont alor...
Les contenus générés par des intelligences artificielles sans réel contrôle continuent d’inonder Internet. Ce phénomène n’épargne évidemment pas les réseaux sociaux et plateformes de streaming. Une étude révèle l’étendue des dégâts sur YouTube.
Plus de 20 % des vidéos recommandées par l’algorithme de YouTube aux nouveaux utilisateurs sont des « AI slop » (ou bouillie d’IA en français), du nom donné à ces contenus bas de gamme générés par intelligence artificielle et conçus pour cumuler les vues afin de les monétiser par la publicité, rapporte The Guardian..
La société de montage vidéo Kapwing a en effet analysé 15 000 chaînes YouTube (les 100 plus populaires de chaque pays), et constaté que 278 ne contenaient que de l’AI slop. Elles avaient accumulé plus de 63 milliards de vues, et combinaient 221 millions d’abonnés, pour des revenus cumulés estimés à 117 millions de dollars par an.
Les chiffres varient en fonction des pays. Plus de 20 millions de personnes sont abonnées aux 8 chaînes d’AI slop espagnoles, 18 millions aux 14 chaînes égyptiennes, et 14,5 millions aux neuf chaînes états-uniennes. Kapwing ne précise pas combien de chaînes françaises figurent dans le Top100 de YouTube, mais indique que la France arrive en 16ᵉ position (sur 20) avec 4 millions d’abonnés.
La France ne figure pas, par contre, dans le classement des pays enregistrant le plus grand nombre de vues, dominé par la Corée du Sud (8,45 milliards de vues, dont plus de 2 milliards par une seule chaîne, lui permettant de générer 4 millions de dollars de revenus par an), suivie par le Pakistan (5,3) et les États-Unis (3,4), l’Espagne y figurant en cinquième position avec 2,5 milliards de vues.
Kapwing a également créé un nouveau compte YouTube, et constaté que 104 (21 %) des 500 premières vidéos recommandées dans son flux étaient des contenus AI slop. 165 (33 %) des 500 vidéos relevaient de la catégorie « brainrot » (littéralement « pourriture du cerveau » ou « pourriture cérébrale »), qui comprend les contenus AI slop et autres contenus de mauvaise qualité créés dans le but de monétiser l’attention.
« Il y a toute une foule de gens sur Telegram, WhatsApp, Discord et les forums qui échangent des conseils, des idées [et] vendent des cours sur la manière de créer du contenu suffisamment attrayant pour gagner de l’argent », explique au Guardian Max Read, un journaliste qui a beaucoup écrit sur le contenu généré par l’IA.
Nombre d’entre eux viennent de pays anglophones bénéficiant d’une connexion Internet relativement bonne, et où le salaire médian est inférieur à ce qu’ils peuvent gagner sur YouTube précise-t-il : « Il s’agit principalement de pays à revenu intermédiaire comme l’Ukraine, mais aussi de nombreux habitants de l’Inde, du Kenya, du Nigeria et d’un nombre important de Brésiliens ».
À l’instar de ce qui se passe avec les influenceurs et créateurs de contenus, si certains gagnent effectivement leur vie grâce à leurs chaines YouTube, Instagram, Snapchat, TikTok ou Facebook, une bonne partie en vivent en vendant des formations surfant sur la tendance, sans forcément vivre eux-mêmes de leurs propres chaînes.
« L’IA générative est un outil, et comme tout outil, elle peut être utilisée pour créer du contenu de haute ou de basse qualité », rétorque un porte-parole de YouTube au Guardian :
« Nous continuons à nous concentrer sur la mise en relation de nos utilisateurs avec du contenu de haute qualité, quelle que soit la manière dont il a été créé. Tout contenu téléchargé sur YouTube doit respecter nos règles communautaires, et si nous constatons qu’un contenu enfreint une politique, nous le supprimons. »
Voir aussi cet épisode du Dessous des images d’Arte consacré à l’AI slop et mis en ligne ce 28 décembre :
Le Tineco S5 Stretch Extreme profite d’une baisse de prix importante et passe de 449 € à 249 € chez Boulanger. Une offre particulièrement intéressante pour un aspirateur-laveur sans fil capable d’aspirer et de laver en un seul passage, d’autant plus qu’il est pensé pour les tous sols… et les foyers avec animaux !
L’article Grosse promo sur le Tineco S5 Stretch Extreme chez Boulanger : 200 euros de réduction sur l’un des meilleurs aspirateur-laveur ! est apparu en premier sur Toms Guide.
Cinebench 2024 était la dernière version en date du benchmark signé Maxon, et basé sur le moteur de Cinema 4D, ce benchmark était sorti en septembre 2023. Ce moteur était Redshift, eh bien il a été mis à jour pour prendre en charge plus de technologies, et coller plus encore aux rapports de force en...
C’est une actualité presque inattendue avec tout ce qu’on entend en ce moment sur le marché de la mémoire. Samsung a décidé d’accélérer l’augmentation de sa capacité de production de DRAM. Initialement, Samsung est une des trois entreprises faisant partie de ce que l’on nomme depuis quelques semaines le “cartel” de la DRAM. A l’origine, […]
L’article Samsung augmente sa production de DRAM et redonne espoir au marché du PC ? est apparu en premier sur Overclocking.com.
Pour les amateurs de séries et de films, rater une diffusion n’est plus une fatalité.
L’article Replay Canal+ sur Freebox Ultra, tout savoir pour en profiter est apparu en premier sur Toms Guide.
Donc après le M10 Ultra qui se présente comme le premier moniteur RGB Mini-LED au monde, le ANT257PF, un 24 pouces TN FHD en 750 Hz et enfin le 27 pouces Dual-Mod 200/800 Hz, voilà que HKC nous sort un ANT275PQ-MAX. Au programme cette fois, un 24 pouces en QHD, qui est capable de fonctionner à 540 Hz en QHD donc, mais qui propose aussi un second mod, qui est en 720p 1080 Hz. […]
Lire la suiteHKC a décidé de frapper fort avant le CES 2026 en annonçant l'arrivée prochaine d'un nouvel écran Dual-Mod. Ce nouveau modèle 27 pouces, qui n'a pas encore de référence, pourra fonctionner en UHD 200 Hz ou alors en FHD 800 Hz. Oui, oui, vous lisez bien, 800 Hz en FHD... Cerise sur le gâteau, la marque promet de pouvoir switcher entre les deux modes, juste avec un simple bouton... […]
Lire la suite
Ce jeudi 20 novembre, des chercheurs d’OpenAI ont mis en ligne une série de témoignages sur l’utilisation de GPT-5 en recherche. En jouant avec les codes de la publication scientifique sans faire un réel travail de recherche, ils appuient la communication de leur entreprise et poussent les chercheurs à adopter leur outil dans leur routine de travail.
Pour les fêtes de fin d’année, Next vous offre cet article initialement paru le 24 novembre 2025 et réservé aux abonnés. Pour lire les prochains entretiens dès leur publication, abonnez-vous !
OpenAI et ses chercheurs ont publié ce jeudi 20 novembre sur le blog de l’entreprise un billet vantant les mérites de GPT-5 qui permettrait d’ « accélérer la science ». L’entreprise s’appuie pour cela sur des témoignages de chercheurs qu’elle a recueillis et compilés dans un fichier qui a la présentation d’un article scientifique, qui a comme auteurs des chercheurs qui pourraient signer un article scientifique, mais qui n’est pas un article scientifique.
Rappelons d’abord qu’il y a trois ans quasiment jour pour jour, Meta s’était embourbée dans un « bad buzz » après avoir publié son IA Galactica. À l’époque, l’entreprise expliquait que cette IA était un grand modèle de langage pour la science capable de « résumer la littérature académique, résoudre des problèmes de maths, générer des articles Wiki, écrire du code scientifique, annoter des molécules et des protéines, et plus encore ». Critiqué par la communauté scientifique, notamment car Galactica pouvait générer des réponses fausses à des questions de culture scientifique assez basiques, le projet avait été dépublié au bout de trois jours. Seulement une semaine après, Sam Altman annonçait, avec un peu moins d’arrogance que Meta à l’époque, la disponibilité d’un nouveau chatbot : ChatGPT.
Les proclamations des entreprises d’IA génératives pour nous assurer que leurs outils sont de très bons compagnons pour les chercheurs ne sont donc pas nouvelles.
D’ailleurs, si OpenAI est resté pendant un temps un peu en dehors de ces déclarations, l’entreprise affirmait en septembre 2024 que son modèle o1, « dépassait le niveau d’un docteur [human PhD-level accuracy] » sur un benchmark de physique, de biologie et de chimie, tout en précisant un peu plus loin que « ces résultats ne signifient pas que o1 est plus compétent qu’un docteur à tous égards, mais seulement que le modèle est plus performant pour résoudre certains problèmes qu’un docteur serait censé résoudre ».
Nous expliquions en juin dernier que le benchmark utilisé se basait sur un QCM alors que les compétences demandées à un chercheur ne sont pas de répondre à des questions de culture scientifique (même très pointue) mais de formuler des problèmes scientifiques, d’établir des projets de recherche et de mettre en place des protocoles, tout ça pour trouver potentiellement de nouvelles réponses. Comme le remarquait Ars Technica, l’industrie de l’IA a, depuis ce moment-là, adopté le terme marketing « PhD-level AI » (« IA du niveau doctorat », en français) pour promouvoir ses modèles.
« Avec notre modèle le plus avancé, GPT-5, nous avons maintenant des IA qui agissent vraiment comme un chercheur débutant », affirme maintenant le chercheur d’OpenAI Sébastien Bubeck interrogé par Le Monde.
L’entreprise joue d’ailleurs sur le fil, puisque si son chercheur compare GPT-5 à un « chercheur débutant », dans son billet, OpenAI avoue qu’ « il ne mène pas de projets ni ne résout de problèmes scientifiques de manière autonome, mais il peut élargir le champ d’exploration et aider les chercheurs à obtenir plus rapidement des résultats corrects ».
Or un chercheur n’est pas formé pour sortir de son cerveau des réponses à des questions très compliquées comme les QCM utilisés dans certains benchmarks de LLM ou à aider des chercheurs séniors à réfléchir.
Le billet d’OpenAI sur l’ « accélération de la science » avec GPT-5 s’appuie sur un texte cosigné par Sébastien Bubeck. Présenté comme un article scientifique (même mise en page et présentation, mis en ligne sur arXiv après l’avoir d’abord été sur les serveurs d’OpenAI [PDF]), il réunit surtout des témoignages de chercheurs en mathématiques, physique ou biologie sélectionnés par l’entreprise qui expliquent comment ils ont utilisé GPT-5 dans leur recherche.
Si les entreprises d’IA générative ont pris l’habitude de mettre en ligne des articles de leurs chercheurs (sur leur site ou sur des serveurs de prépublication comme arXiv), celui-ci se distingue sur le sujet du texte. Ici, pas question de dévoiler un nouveau modèle accompagné de ses caractéristiques techniques. Il diffuse des avis de chercheurs sans information sur une éventuelle méthode scientifique avec laquelle auraient été recueillis les témoignages. Six des douze cas impliquent des chercheurs d’OpenAI (dont trois de Sébastien Bubeck lui-même).
Deux des cas évoqués dans le texte concernent des problèmes de mathématiques posés par le mathématicien Paul Erdős. « Outre la publication de plus de 1 500 articles mathématiques, Erdős a posé un nombre considérable de conjectures mathématiques, dont plusieurs sont devenues des problèmes centraux en mathématiques », explique l’article.
En octobre dernier, sur X, Sébastien Bubeck avait proclamé que « deux chercheurs ont trouvé des solutions à 10 problèmes de Erdős pendant le week-end avec l’aide de GPT-5 ». Comme l’expliquait Gary Marcus, le chercheur d’OpenAI a ensuite supprimé son message. En effet, il a ensuite précisé « seules des solutions ont été trouvées dans la littérature [scientifique], et je trouve que ça accélère beaucoup les choses parce que je sais que c’est difficile de faire des recherches dans la littérature ». Cette anecdote avait engendré quelques persiflages de la communauté, notamment de la part de Yann LeCun.
Dans leur texte présenté comme un article scientifique, les chercheurs d’OpenAI présentent quand même l’utilisation de leur modèle pour la recherche bibliographique concernant certains problèmes de Erdős.
Pour l’un d’entre eux (le 848e problème de Erdős), ils fournissent une solution mathématique formelle qu’ils auraient trouvée, en s’aidant donc du modèle d’OpenAI. Il en reviendra à des mathématiciens de se prononcer sur la qualité de cette proposition. Dans ce témoignage, ils affirment que cet exemple « met en évidence la capacité du GPT-5 à servir d’assistant mathématique efficace, capable de rappeler des lemmes pertinents, d’identifier des analogies et de localiser des résultats pertinents à partir d’indications vagues et mal spécifiées ». Cependant, ils remarquent des limites importantes, notamment sur « une confiance excessive dans la puissance des méthodes existantes […] car cette discussion est largement absente de la littérature mathématique elle-même ».
Le texte mis en ligne par les chercheurs d’OpenAI aborde aussi quelques critiques de l’utilisation des LLM dans la recherche, comme les hallucinations des références scientifiques. Ainsi Timothy Gowers y témoigne que, selon lui, « GPT-5 semble significativement meilleur que GPT-4 » à ce sujet. Le mathématicien, chercheur au Collège de France et à Cambridge, y affirme qu’ « avec GPT-5, mon expérience m’a montré que les références sont rarement imaginaires, et même les hallucinations peuvent s’avérer être des indications vers des références qui existent et qui sont utiles », mais aucune analyse chiffrée n’y est effectuée.
Rappelons que même en dehors de la communauté scientifique, une semaine après sa sortie, GPT-5 essuyait les mêmes critiques que ses prédécesseurs sur ses réponses à de simples questions logiques ou mathématiques.
En 2025, près de la moitié des 400 milliards de dollars d’investissements dans les startups ont été captés par des entreprises et start-ups liées à l’IA, générant une cinquantaine de nouveaux milliardaires. La fortune cumulée du Top10 des milliardaires de la tech’ a dans le même temps explosé de 550 milliards de dollars, en augmentation de 32 %, quand le S&P 500 ne progressait « que » de 18 %.
Les entreprises liées à l’IA ont capté près de 50 % de l’ensemble des financements mondiaux dédiés aux startups en 2025, contre 34 % en 2024, et 21 % en 2023, d’après les données collectées par Crunchbase. Au total, 202,3 milliards de dollars ont été investis dans les entreprises liées à l’IA en 2025, soit 75 % de plus que les 114 milliards de dollars investis en 2024, et 215 % de plus que les 64 milliards de 2023.
Ces levées de fonds massives ont aussi permis à une cinquantaine d’acteurs de l’IA de devenir milliardaires, relève Forbes. Les levées de fonds successives de 16,5 milliards de dollars enregistrées l’an passé par Anthropic ont ainsi valorisé l’entreprise à 61,55 puis 183 milliards, faisant entrer ses sept cofondateurs dans le cénacle des milliardaires.
Les investissements tout aussi massifs dans les centres de données liés à l’IA ont eux aussi générés une douzaine d’autres nouveaux milliardaires cette année. Dans le lot figurent les fondateurs de sociétés telles que Astera Lab (semiconducteurs), Fermi (foncière spécialisée), ISU Petasys (entreprise coréenne de semiconducteurs), Sanil Electric (transformateurs électriques), sans oublier Coreweave, spécialiste du cloud computing associé à plusieurs des projets d’OpenAI.
Sont également devenus milliardaires le fondateur de Surge AI, spécialisée dans l’étiquetage de données, ceux d’ElevenLabs, une start-up spécialisée dans la génération audio par IA, ceux de l’entreprise de « vibe coding » Lovable (qui vient de lever 330 millions de dollars et se targue d’avoir enregistré l’équivalent de 100 millions de dollars de revenu annuel récurrent en seulement huit mois), ou encore les trois co-fondateurs de la start-up Mercor, créée en 2023 et qui recrute des experts chargés d’évaluer et affiner les données pour le compte des grands laboratoires d’IA de la Silicon Valley. Âgés de seulement 22 ans, ils détrônent Mark Zuckerberg, qui était devenu milliardaire il y a près de 20 ans, à 23 ans.
Les 10 milliardaires états-uniens les plus riches du secteur technologique ne sont pas en reste. Leur fortune combinée a en effet augmenté de plus de 550 milliards de dollars cette année, du fait de l’engouement des investisseurs pour les grandes entreprises spécialisées dans l’intelligence artificielle, relève le Financial Times.
D’après les données de Bloomberg, ils détenaient « près de 2 500 milliards de dollars en liquidités, actions et autres investissements » à la clôture de la Bourse de New York la veille de Noël, contre 1 900 milliards de dollars au début de l’année (soit + 31,6 %), quand le S&P 500 n’a grimpé « que » de plus de 18 % dans le même temps.
Elon Musk reste en tête du classement, avec une fortune nette ayant augmenté de près de 50 % pour atteindre 645 milliards de dollars. Et ce, alors qu’il a aussi conclu un plan de rémunération de mille milliards de dollars avec les actionnaires de Tesla, et que la valorisation de SpaceX a grimpé à 800 milliards de dollars.
Le FT relève également que Mark Zuckerberg et Larry Ellison d’Oracle ont été dépassés par les cofondateurs de Google, Larry Page et Sergey Brin, grâce à leurs modèles d’IA et puces développés en interne.
Suivent en effet Larry Page (270 milliards de dollars,+ 61 %), Jeff Bezos (255 milliards ,+ 7 %), Sergey Brin (251 milliards ,+ 59 %), Larry Ellison (251 milliards,+ 31 %), Mark Zuckerberg (236 milliards ,+ 14 %), Steve Ballmer (170 milliards ,+ 16 %), Jensen Huang de NVIDIA (156 milliards , 37 %), Michael Dell (141 milliards ,+ 14 %).
Dernier du Top 10, Bill Gates (118 milliards ,- 26 %) est le seul à avoir vu sa fortune chuter d’un quart de sa valeur potentielle, du fait qu’il continue à vendre ses actions afin de financer ses activités philanthropiques, précise le FT.
Il note que d’autres ont profité de cette explosion des cours boursiers pour vendre une partie de leurs actions et empocher de substantiels gains. Les documents déposés auprès des autorités boursières montrent que Huang a ainsi cédé pour plus d’un milliard de dollars d’actions cette année, Michael Dell plus de 2 milliards et Jeff Bezos 5,6 milliards.
Mark Zuckerberg, PDG de Meta, est de son côté passé de la 3e à la 6e position du classement suite à la récente chute du cours de l’action du réseau social. Le FT l’explique du fait que les investisseurs s’inquiéteraient de ses « dépenses considérables » dans les infrastructures d’IA et des montants faramineux proposés pour débaucher les « meilleurs chercheurs en IA ».
Larry Ellison a pour sa part vu sa fortune personnelle monter en flèche après qu’Oracle a annoncé, il y a trois mois, un contrat de 300 milliards de dollars avec OpenAI pour la construction d’un centre de données. Depuis, rappelle le FT, les craintes concernant le financement de la construction de ce centre de données ont cela dit entraîné une chute de 40 % du cours de l’action Oracle par rapport à son pic de septembre.
Les dirigeants de la Silicon Valley ont certes tiré profit des centaines de milliards de dollars dépensés à l’échelle mondiale dans les puces, les centres de données et les produits liés à l’IA, « même si certains de leurs gains ont été réduits ces derniers mois en raison des inquiétudes suscitées par une bulle spéculative alimentée par l’IA », tempère le FT.
« Tout cela n’est que spéculation et dépend du succès de l’IA », résume Jason Furman, professeur d’économie à l’université Harvard et consultant pour la start-up OpenAI : « Il y a un énorme point d’interrogation quant à savoir si tout cela va porter ses fruits, mais les investisseurs parient que ce sera le cas. »
L'intelligence artificielle nous facilite la vie. Mais l'IA est aussi très agaçante. Par exemple, lorsque nous recherchons des contenus sur Google ou YouTube et que nous ne voyons que de l' "AI Slop". Dans ce cas, un petit outil peut faire des merveilles et exclure l'IA de vos recherches !
Der Beitrag Marre de l’IA ? Débarrassez-vous en avec cette astuce. erschien zuerst auf nextpit.
Vous avez peut-être vu passer ces quelques derniers jours des actualités pointant vers la fin du support d’anciens GPU NVIDIA par Arch Linux. Ce n’est pas tout à fait ça, même si le résultat y ressemble.
À l’origine, on trouve la publication des pilotes 590 de NVIDIA. C’est bien cette version, sortie début décembre, qui met fin au support officiel des GPU des générations Maxwell et Pascal, c’est-à-dire les GeForce GTX des séries 900 et 1000.
Cette fin de support, annoncée il y a plusieurs années, signifie que NVIDIA n’ajoute plus d’optimisations spécifiques ni de prises en charge de jeux en particulier. Les GPU continuent de fonctionner avec la version précédente des pilotes (de la branche 580). En outre – et c’est une information importante – le support complet n’est pas coupé : les mises à jour de sécurité continueront d’arriver jusqu’en octobre 2028.
Pourquoi un problème particulier avec Arch Linux dans ce cas ? À cause du fonctionnement en « rolling release », à savoir la diffusion quasi immédiate des dernières nouveautés logicielles. Le pilote 590 de NVIDIA y a été diffusé, avec utilisation par défaut. Ce n’est pas sans conséquence sur des systèmes appliquant toutes les mises à jour quand un pilote supprime un support.
Pour Arch Linux, la situation a été expliquée le 20 décembre par Peter Jung, l’un des mainteneurs du système (et créateur de cachyOS, distribution spécialisée dans le jeu vidéo). Il y indique que la nouvelle série 590 supprime le support des générations Pascal et antérieures, et que des remplacements de paquets sont donc appliqués : nvidia par nvidia-open, nvidia-dkms par nvidia-open-dkms, et nvidia-lts par nvidia-lts-open.
Il avertissait également que la mise à jour des paquets NVIDIA sur des systèmes intégrant ces anciens GPU entraînerait l’échec de chargement du pilote et donc celui de l’environnement graphique. La seule solution est de désinstaller les paquets nvidia, nvidia-lts et nvidia-dkms, puis d’installer le paquet nvidia-580xx-dkms depuis le dépôt AUR.
Il ajoute que rien ne change pour les GPU datant d’au moins la génération Turing, qui comprend la série 2000 des GeForce, mais également la série 1600. Cette dernière est en effet basée sur Turing, mais débarrassée des capacités de ray tracing. Les GeForce 1660 Ti, notamment, ne sont ainsi pas concernées par l’abandon de support dans le pilote 590.
Reste que la décision d’Arch Linux de procéder ainsi a provoqué de nombreuses réactions, comme on peut le voir dans les commentaires de sites tels que Phoronix et TechPowerUp. Plusieurs personnes manifestent de l’incompréhension face à une méthode jugée un peu trop radicale, indiquant qu’une détection automatique aurait pu être mise en place.
Enfin, précisons que cet arrêt de support n’est pas spécifique à la sphère Linux : Windows est lui aussi concerné. Le problème est cependant différent, car l’application NVIDIA n’installera pas d’elle-même la mise à jour, et Windows Update ne devrait pas non plus la proposer. Si l’on veut télécharger le pilote depuis le site officiel, l’outil intégré permet d’envoyer vers la bonne version. Si vous avez par exemple une GeForce GTX 1060, la version proposée au téléchargement est la 581.80.
Google Photos va débarquer sur de nouveaux appareils. Samsung vient de confirmer que l'application allait bientôt être ajoutée à ses téléviseurs afin de permettre aux utilisateurs de regarder leurs souvenirs sur grand écran. Le constructeur sud-coréen grille étonnamment la politesse à Google TV.
L’article Google Photos arrive enfin sur ces TV mais pas sur celles que vous croyez est apparu en premier sur Toms Guide.
Une faille MongoDB laisse fuiter des données sensibles des serveurs, y compris des mots de passe et des clés secrètes. Le danger est réel, d’autant plus que la faille existe depuis plus de huit ans et que des preuves de concept sont librement disponibles sur Internet. Des correctifs sont disponibles, à déployer au plus vite si ce n’est pas encore fait !
MongoDB est de nouveau victime d’une vilaine faille de sécurité, baptisée cette fois CVE-2025-14847. « De multiples vulnérabilités ont été découvertes dans MongoDB Server. Certaines d’entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une atteinte à l’intégrité des données », explique le CERT-FR.
Le CERT Santé français donne quelques détails sur la faille et ses conséquences. Elle est exploitable par le réseau avec une complexité « faible » et ne nécessite aucun privilège, ce qui explique sa dangerosité. Dans tous les cas, elle ne permet pas d’obtenir des privilèges plus élevés, mais tout de même d’accéder à des « espaces mémoire non initialisés sans authentification ».
Cette vulnérabilité rappelle Heartbleed qui avait secoué Internet il y a plus de 10 ans, avec des conséquences parfois très graves.
Le CVE lui attribue une note de dangerosité de 7,5 sur 10 dans la version 3.1 du CVSS et de 8,7 sur 10 pour la version 4.0. L’alerte date du 19 décembre 2025 et fait suite à cinq bulletins de sécurité publiés par MongoDB les 25 novembre (1, 2 et 3), le 9 décembre (4) et enfin le 19 décembre (5). Le CERT indiquait le 23 décembre que la faille n’était pas activement exploitée… mais la situation va rapidement changer.
Dans le dernier bulletin de MongoDB, on peut lire que la faille concerne toutes les versions de MongoDB Server à partir de la 3.6. Le bug a été ajouté dans ce commit du 1ᵉʳ juin 2017… il y a donc plus de huit ans. Il est ensuite resté dans les versions plus récentes, de la 4.x à la 8.2 en passant par les 5.x, 6.x et 7.x. Des correctifs sont disponibles avec les versions 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 et 4.4.30. Les moutures 4.2, 4.0 et 3.6 de MongoDB sont donc laissées sur le côté.
Si vous ne pouvez pas mettre à jour rapidement, MongoDB recommande de « désactiver la compression zlib sur le serveur MongoDB en démarrant mongod ou mongos avec l’option networkMessageCompressors ou net.compression.compressors qui exclut explicitement zlib ».
Selon un rapport du moteur de recherche Censys (un concurrent de Shodan), plus de 87 000 bases de données seraient vulnérables.
Dans une mise à jour, le CERT Santé affirme maintenant qu’une preuve de concept « est disponible en sources ouvertes », permettant donc à n’importe qui d’exploiter facilement cette brèche si elle n’est pas corrigée. Les documents nécessaires pour créer un outil afin d’exploiter cette brèche ont été mis en ligne dans la nuit du 25 au 26 décembre sur un dépôt GitHub, soit une semaine après l’annonce de MongoDB et la mise en ligne des correctifs, en pleine période de préparation des fêtes de fin d’année.
Ils ont été publiés par un utilisateur qui serait responsable technique chez Elastic Security, qui se présente comme une « plateforme open source qui optimise la recherche, l’observabilité et la sécurité ». Le chercheur en cybersécurité Kevin Beaumont affirme avoir testé le PoC et confirme « que cet exploit est réel ».
C’est visiblement aussi simple à exploiter que HeartBleed, avec les mêmes dangers : « il suffit de fournir l’adresse IP d’une instance MongoDB et elle commencera à dénicher en mémoire des choses comme les mots de passe de base de données (qui sont en texte brut), les clés secrètes AWS, etc. », détaille Kevin Beaumont.
Ce dernier ajoute qu’une « autre entreprise a jugé bon de publier des détails techniques la veille de Noël » ; il s’agit d’Ox Security. Le ton est volontairement sarcastique car le calendrier est tout sauf idéal. La faille peut se révéler extrêmement dangereuse et publier les détails techniques de son exploitation permet à quasiment n’importe qui de tenter sa chance. Plusieurs s’étonnent d’ailleurs de voir des experts ainsi publier les détails d’exploitation d’une faille de sécurité aussi sensible, surtout en pleine période de fête.
Nous en parlions avec des experts en cybersécurité lors des Assises de Monaco en octobre dernier : « Quand une vulnérabilité est rendue publique avec son code d’exploitation, des acteurs malveillants vont lancer une campagne sur l’ensemble d’Internet en mode « /0 » pour tester si des sites ou services sont vulnérables ». Désormais, le plus difficile est presque d’estimer le bon montant de la rançon.
Publier ainsi des PoC revient à faciliter la vie des pirates, comme relayer tout et n’importe quoi sur les fuites de données… et ainsi se faire les « commerciaux » des pirates. Un sujet sensible, qui nécessite souvent des vérifications incompatibles avec la course à l’information. Next a déjà depuis longtemps choisi son camp sur ce point.
Que des chercheurs en cybersécurité postent des preuves de concepts et des détails techniques en plein pendant le réveillon n’est certainement pas l’idée de l’année… même s’il faut aussi reconnaitre que laisser des serveurs vulnérables pendant une semaine n’est pas mieux.
Aussi bien de la part du chercheur de chez Elastic Security que chez Ox Security, on ne trouve aucune précision sur comment détecter une exploitation de cette vulnérabilité dans les journaux par exemple. Un autre expert en cybersécurité s’est attelé à la tâche : Eric Capuano. Sur son blog, il recommande évidemment d’appliquer les correctifs, mais ajoute que « le patch seul ne suffit pas — il faut savoir si vous avez été ciblé avant le patch ».
Il explique que la particularité de cette brèche est qu’elle ne semble « détectable que dans les journaux du serveur MongoDB, qui ont très peu de chance d’être transmis à un système SIEM [Security Information and Event Management ou gestion des événements et des informations de sécurité, ndlr], et nécessite une logique relativement complexe qui pourrait être difficile à intégrer à la plupart des moteurs de détection SIEM ». Il propose un « artefact » pour Velociraptor, une plateforme open source de collecte et d’analyse. Si vous avez d’autres moyens de vérifier ce qu’il en est, n’hésitez pas à nous le signaler via les commentaires.
Ce n’est pas la première fois que MongoDB défraye la chronique. On se souvient par exemple en 2015 que plusieurs dizaines de milliers de bases de données étaient ouvertes aux quatre vents. Pas à cause d’une faille, mais d’un défaut de configuration avec des administrateurs qui laissaient les bases accessibles depuis n’importe quelle adresse IP. MongoDB avait alors réagi avec quasiment un simple RTFM (Read The Fucking Manual). Deux ans plus tard, rebelote. En 2023, MongoDB s’était fait pirater et des données de ses clients avaient été dérobées.
Le calme habituel des parties en ligne de Rainbow Six Siege a été brutalement interrompu ce week-end, à la suite d’une cyberattaque qui a compromis les serveurs du jeu pendant plusieurs heures.
L’article Tout débloqué, comptes bannis : Rainbow Six Siege victime d’une attaque de hackers est apparu en premier sur Toms Guide.
Connexion