Alors là, accrochez-vous à votre clavier parce que je vais vous parler d’un truc qui défrise. Si je vous disais qu’il est possible de simuler l’univers entier, sa structure à grande échelle, ses milliards de galaxies… sur votre MacBook Air ??
Pas besoin de réserver du temps sur un supercalculateur, pas besoin de faire la queue pendant des semaines pour obtenir vos résultats. Hé bien c’est ce que permet de faire Effort.jl, et c’est de la bombe pour astrophysiciens !
Mais avant que je vous retourne le cerveau encore une fois, voici un peu de contexte. En mars 2025,
le projet DESI a lâché une nouvelle incroyable
: l’énergie noire, cette force mystérieuse qui fait accélérer l’expansion de l’univers, pourrait ne pas être constante mais évoluer dans le temps. C’est potentiellement le plus gros bouleversement en cosmologie depuis des décennies, sauf que pour prouver ça, il faut analyser des quantités astronomiques de données (j’assume ce jeu de mots), et c’est là que ça coince.
Le problème, c’est que modéliser la “cosmic web” (cette toile cosmique gigantesque où les galaxies forment des amas reliés par des filaments de matière) ça nécessite des calculs d’une complexité monstrueuse. On utilise pour ça la théorie des champs effectifs de la structure à grande échelle (
EFTofLSS
pour les intimes), et une seule analyse peut prendre des jours entiers sur un supercalculateur. Multiplié par les milliers d’analyses nécessaires pour faire de la science solide, on arrive vite à des mois de calculs !!
C’est là qu’intervient
Marco Bonici de l’Université de Waterloo
et son équipe. Plutôt que de continuer à se battre avec des files d’attente interminables sur les supercalculateurs, ils ont eu une idée géniale : Apprendre à une IA comment la physique fonctionne, et la laisser faire les calculs à notre place.
Effort.jl, c’est donc un peu comme le DLSS de Nvidia mais pour l’univers. Vous savez le DLSS c’est cette techno qui utilise l’IA pour calculer des images haute définition sans faire suer votre GPU. Bon bah là, au lieu de cracher des graphismes de jeux vidéo, on crache… l’univers lui-même. Et le résultat est incroyable… C’est une accélération de x1000 fois par rapport aux méthodes traditionnelles de génération.
La beauté du truc, c’est que l’équipe n’a pas juste balancé des données dans un réseau de neurones en espérant que ça marche. Non, ils ont intégré dès le départ les lois physiques connues dans l’architecture même de leur IA. Comme l’explique Bonici dans une
interview
, c’est comme décrire l’eau dans un verre. Plutôt que de calculer le mouvement de chaque molécule (ce qui serait impossible), on encode les propriétés microscopiques importantes et on regarde leur effet au niveau macroscopique.
Le réseau de neurones d’Effort.jl est donc relativement simple. Il est constitué de 5 couches cachées de 64 neurones chacune, entraînées sur 60 000 combinaisons de paramètres cosmologiques. Ainsi grâce à l’intégration intelligente de la physique, il peut calculer en 15 microsecondes ce qui prenait des heures avant. Et niveau précision c’est identique, voire parfois meilleure que les modèles originaux.
En plus, tout est codé en
Julia
, un langage de programmation scientifique qui monte en flèche. L’équipe a même créé deux backends différents : SimpleChains.jl pour faire tourner ça sur CPU (ultra rapide) et Lux.jl pour exploiter les GPU si vous en avez. Et cerise sur le gâteau, tout est différentiable, ce qui veut dire que l’IA peut non seulement calculer les résultats, mais aussi comprendre comment ils changent quand on modifie légèrement les paramètres.
Pour valider leur bébé, l’équipe a donc fait tourner Effort.jl sur les vraies données du
Baryon Oscillation Spectroscopic Survey
(BOSS) et le résultat est ouf.. On obtient exactement les mêmes conclusions que les méthodes traditionnelles, mais en seulement quelques minutes sur un laptop au lieu de plusieurs jours sur un cluster. C’est testé, validé, et ça marche.
Au-delà de l’exploit technique, Effort.jl arrive à un moment important car avec les télescopes comme DESI et Euclid qui génèrent des téraoctets de données, et surtout cette découverte potentielle que l’énergie noire évolue, on a besoin d’outils capables de suivre le rythme. Bah oui, c’est fini le temps où les chercheurs passaient plus de temps à attendre le résultat de leurs calculs qu’à faire de la science.
Et en plus, Effort.jl est totalement
open source et sur GitHub
. N’importe qui peut donc télécharger le code, l’installer sur son laptop, et commencer à explorer l’univers depuis son canap'.
Alors oui, on pourrait dire que c’est “juste” une accélération de calculs, mais en réalité, c’est bien plus que ça. C’est la différence entre attendre des mois pour tester une hypothèse et pouvoir explorer des milliers de scénarios en temps réel. C’est la possibilité pour des équipes sans accès aux supercalculateurs de faire de la recherche de pointe. Et c’est, potentiellement, ce qui nous permettra de comprendre enfin ce qu’est cette foutue énergie noire qui compose 70% de l’univers…
Bref, l’IA quand elle est bien utilisée et combinée avec une vraie compréhension de la physique, ça décuple les capacités de la science et ça c’est beau !
Si vous êtes sous Mac, je pense que comme moi, vous passez votre temps à chercher des fichiers ou lancer des applications avec Spotlight… Si vous ne connaissez pas cet outil, c’est un truc super pratique d’Apple qui indexe tout votre disque dur pour vous faire gagner du temps. Command+Espace, trois lettres tapées, et hop, votre document apparaît. Pratique, non ?
Sauf que voilà, depuis presque 10 ans maintenant, ce même Spotlight peut servir de cheval de Troie pour siphonner vos données les plus privées. Et le pire, c’est qu’Apple le sait et n’arrive toujours pas à vraiment colmater la brèche.
Patrick Wardle, le chercheur en sécurité derrière plusieurs outils populaires comme
LuLu
, vient d’expliquer
sur son blog Objective-See
une technique ahurissante qui permet à un plugin Spotlight malveillant de contourner toutes les protections TCC de macOS. Pour info, TCC (Transparency, Consent and Control), c’est le système qui vous demande si telle application peut accéder à vos photos, vos contacts, votre micro… Bref, c’est censé être le garde du corps de votre vie privée sous Mac.
Alors comment ça marche ?
Hé bien au lieu d’essayer de forcer les portes blindées du système, le plugin malveillant utilise les notifications Darwin comme une sorte de morse numérique. Chaque byte du fichier à voler est encodé dans le nom d’une notification (de 0 à 255), et un processus externe n’a qu’à écouter ces notifications pour reconstruire le fichier original, octet par octet. C’est du génie dans sa simplicité !
Ce qui rend cette histoire encore plus dingue, c'est que cette vulnérabilité a été présentée pour la première fois par Wardle lui-même lors de sa conférence #OBTS v1.0 en 2018. Il avait déjà montré comment les notifications pouvaient permettre aux applications sandboxées d'espionner le système.
Plus récemment, Microsoft a “redécouvert” une variante de cette technique cette année et l’a baptisée “
Sploitlight
”. Ils ont même obtenu un joli CVE tout neuf (CVE-2025-31199) pour leur méthode qui consistait à logger les données dans les journaux système. Apple a corrigé cette variante dans macOS Sequoia 15.4… mais la méthode originale de Wardle fonctionne toujours, même sur macOS 26 (Tahoe) !
Et sinon, savez-vous ce que ces plugins peuvent voler exactement ?
Il y a notamment un fichier bien particulier sur votre Mac, caché dans les profondeurs du système, qui s’appelle knowledgeC.db. Cette base de données SQLite est littéralement le journal intime de votre Mac. Elle contient tout :
Quelles applications vous utilisez et pendant combien de temps
Vos habitudes de navigation web avec Safari (historique détaillé, fréquence des visites, interactions)
Quand vous branchez votre téléphone
Quand vous verrouillez votre écran
Vos trajets en voiture avec CarPlay
Vos routines quotidiennes et patterns comportementaux
C’est le genre de données qui raconte votre vie mieux que vous ne pourriez le faire vous-même. Et avec les nouvelles fonctionnalités d’Apple Intelligence dans macOS Tahoe, cette base de données alimente directement l’IA d’Apple pour personnaliser votre expérience.
Avec ce fichier, quelqu’un pourrait non seulement voir ce que vous faites maintenant sur votre Mac, mais aussi reconstituer vos habitudes des 30 derniers jours. À quelle heure vous commencez votre journée, quelles apps vous lancez en premier, combien de temps vous passez sur tel ou tel site… C’est le rêve de n’importe quel espion ou publicitaire, et c’est accessible via une simple vulnérabilité Spotlight.
Apple a bien sûr essayé de corriger le tir. Dans macOS 15.4, ils ont ajouté de nouveaux événements TCC au framework Endpoint Security pour mieux surveiller qui accède à quoi. Ils ont aussi corrigé la variante découverte par Microsoft (CVE-2025-31199).
Mais… la vulnérabilité de base présentée par Wardle fonctionne toujours sur macOS 26 (Tahoe), même en version Release Candidate avec SIP activé ! C’est comme ajouter une serrure supplémentaire sur la porte alors que tout le monde passe par la fenêtre depuis 10 ans.
Wardle a une idée toute simple pour régler définitivement le problème : Apple pourrait exiger une notarisation pour les plugins Spotlight, ou au minimum demander l’authentification et l’approbation explicite de l’utilisateur avant leur installation. Actuellement, n’importe quel plugin peut s’installer tranquillement dans ~/Library/Spotlight/ et commencer à espionner vos données, sans même nécessiter de privilèges administrateur.
Alors bien sûr, avant que vous ne couriez partout comme une poule sans tête, il faut relativiser :
Cette attaque nécessite un accès local à votre système - on ne parle pas d’une vulnérabilité exploitable à distance
Il faut qu’un malware ou un attaquant installe d’abord le plugin malveillant sur votre Mac
La “bande passante” est limitée - transmettre octet par octet n’est pas très efficace pour de gros fichiers
macOS affiche une notification quand un nouveau plugin Spotlight est installé (même si cette alerte peut être contournée)
Ça fait quand même quelques conditions… mais le fait que cette faille existe depuis près de 10 ans et fonctionne toujours sur la dernière version de macOS reste préoccupant.
Cette histoire nous rappelle que les outils les plus dangereux sont souvent ceux auxquels on fait le plus confiance… Wardle fournit même un proof-of-concept complet sur son site pour que la communauté puisse tester et comprendre le problème. Espérons qu’Apple prendra enfin cette vulnérabilité au sérieux et implémentera les mesures de sécurité suggérées.
En attendant, restez vigilants sur les applications que vous installez et gardez un œil sur les notifications système concernant l’installation de nouveaux plugins Spotlight !
Alors celle-là, je ne l’avais pas vue venir… Vous utilisez BitLocker depuis des années pour protéger vos données sensibles, vous dormez sur vos deux oreilles en pensant que votre laptop est un vrai coffre-fort… et puis paf, on découvre qu’il y avait une faille MONUMENTALE dans TOUS les boot managers de Windows créés entre 2005 et 2022 ! Et oui, la vulnérabilité affecte même des boot managers sortis un an avant que BitLocker n’existe !
L’équipe de SySS
a analysé dernièrement cette vulnérabilité baptisée BitPixie (CVE-2023-21563) et comme j’ai trouvé leur article intéressant, je me permet de vous le partager. En fait, le bug dormait tranquillement dans le Windows Boot Manager depuis octobre 2005, et personne ne s’en était rendu compte. BitLocker est ensuite arrivé en 2006 avec Windows Vista, et a donc été bâti littéralement sur des fondations déjà pourries.
L’attaque paraît simple en surface… un câble réseau, un clavier et environ 5 minutes si tout est préparé. De plus, son exploitation est totalement non-invasive et ne laisse aucune trace permanente sur l’appareil. Mais attention, derrière cette simplicité apparente se cache quand même pas mal de technique… Il faut créer un fichier BCD personnalisé (Boot Configuration Data), configurer un serveur TFTP/DHCP, et dans certains cas exploiter une faille Linux (CVE-2024-1086) pour contourner les protections du kernel. Donc bon, c’est pas non plus à la portée du premier venu, mais ça reste faisable pour quelqu’un de motivé.
Concrètement, voilà comment ça marche. L’attaquant modifie le fichier BCD pour activer le démarrage réseau, puis effectue ce qu’on appelle un “PXE soft reboot” en utilisant un ancien boot manager non patché (celui de 2011 fait très bien l’affaire). Le problème, c’est que pendant ce redémarrage PXE, le système oublie complètement de nettoyer la mémoire où est stockée la clé maître du volume BitLocker (VMK pour Volume Master Key). Du coup, on peut tranquillement démarrer sur un Linux, scanner la mémoire, récupérer la clé et déverrouiller le disque. C’est aussi simple que ça…
Faut savoir que le TPM (cette puce de sécurité dans votre ordi) utilise des trucs appelés PCR (Platform Configuration Registers) pour vérifier que personne n’a trafiqué le processus de démarrage. Normalement, si quelque chose change, pouf, le TPM refuse de donner la clé BitLocker. Sauf que l’attaque BitPixie arrive à contourner ça en exploitant le fait que le redémarrage PXE ne réinitialise pas correctement la mémoire.
Même les systèmes configurés avec l’authentification pré-démarrage (PBA) et protection par code PIN restent partiellement vulnérables. Alors attention, nuance importante ici : si vous avez mis un code PIN et qu’un voleur pique votre laptop, il sera bien embêté car l’attaque ne marchera pas sans le PIN. Par contre, si l’attaquant connaît le PIN (genre un employé mécontent ou quelqu’un qui vous a vu le taper), il peut toujours escalader ses privilèges locaux via des techniques de manipulation mémoire. Donc votre PIN à 4 chiffres est une protection, oui, mais pas la muraille de Chine face à un insider malveillant avec BitPixie.
D’ailleurs, certains systèmes résistent mieux que d’autres. Plusieurs ordinateurs portables HP, par exemple, ne permettent pas de démarrer des boot managers tiers, ce qui bloque l’attaque. Mais bon, on peut pas vraiment compter là-dessus comme stratégie de sécurité…
C’est le chercheur Rairii qui a découvert cette vulnérabilité en août 2022, mais ce n’est qu’en février 2023 que Microsoft l’a publiquement divulguée. Entre temps, ils ont sorti le patch KB5025885 en mai 2023. Ce patch remplace l’ancien certificat Microsoft de 2011 par le nouveau certificat Windows UEFI CA 2023, et il ajoute l’ancien certificat à la liste de révocation. Comme ça, impossible de faire une attaque par downgrade avec un vieux boot manager. Sauf que… à cause de certaines limitations dans le standard Secure Boot, la vulnérabilité reste exploitable aujourd’hui sur les systèmes qui n’ont pas appliqué ce patch.
Ce qui est sûr c’est que Microsoft savait pertinemment que leurs certificats allaient expirer.
D’après le support Microsoft
, les trois certificats Microsoft (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, et Microsoft UEFI CA 2011) expirent tous en juin 2026. C’est cette expiration qui va enfin forcer tout le monde à mettre à jour. Il aura donc fallu attendre une contrainte administrative pour que tout le monde corrige une faille critique vieille de presque 20 ans.
Compass Security
a même publié un PoC (Proof of Concept) montrant comment exploiter BitPixie avec une édition WinPE personnalisée.
Marc Tanner, chercheur en sécurité, avait à l’époque développé une version Linux de l’exploit après que Thomas Lambertz ait présenté le principe au
38C3
mais sans publier son code. Le fait qu’un PoC public soit maintenant disponible rend donc la situation encore plus critique pour les millions d’appareils Windows qui utilisent BitLocker sans authentification pré-démarrage.
En tout cas, pour ceux qui ont perdu l’accès à leurs données chiffrées, BitPixie pourrait effectivement être une solution de dernier recours. Mais attention, on parle ici d’une vulnérabilité qui nécessite un accès physique à la machine et des compétences techniques non négligeables. Mais si vous avez oublié votre mot de passe BitLocker et que vous n’avez pas sauvegardé votre clé de récupération, cette technique pourrait théoriquement vous permettre de récupérer vos données. Mais bon, je vous le dis tout de suite, c’est pas la méthode officielle recommandée par Microsoft ^^ !
Pour vous protéger de cette attaque, plusieurs options s’offrent à vous :
Forcez l’authentification avant le démarrage avec un code PIN costaud (évitez 1234, hein). Ça protège contre les voleurs, mais pas contre quelqu’un qui connaît votre PIN.
Appliquez le patch KB5025885 qui empêche les attaques par downgrade. C’est LA solution officielle de Microsoft.
Pour les plus paranos : vous pouvez modifier la configuration PCR pour inclure le PCR 4, qui vérifie l’intégrité du boot manager. Mais attention, ça peut causer des demandes de clé de récupération après les mises à jour Windows.
Voilà… c’est dur de réaliser que pendant toutes ces années, BitLocker nous a donné une illusion de sécurité partielle. Tous ces laptops d’entreprise, ces disques de données sensibles, ces machines gouvernementales… potentiellement vulnérables depuis le début…
La célèbre startup chinoise DeepSeek vient de révéler le coût de l'entraînement de son modèle R1 : seulement quelques centaines de milliers de dollars. Entre USA et Chine, la course à l'IA suit deux chemins différents.
L'opération "Calypso" du Parquet européen a permis une saisie record de 2 435 conteneurs au port du Pirée, en Grèce, pour une valeur de 250 millions d'euros. L'enquête révèle une fraude massive aux droits de douane et à la TVA sur des vélos électriques chinois, impliquant des agents douaniers et des réseaux criminels structurés.
Cette carte graphique là, on peut sans doute dire que personne ne l'avait vu venir ! Il y avait bien eu des rumeurs au sujet d'une carte du même nom il y a deux ans environ, mais qui n'annonçaient de toute manière pas du tout les caractéristiques de celle qui vient d'être officialisée par AMD en ce...
Nothing lance aujourd’hui ses écouteurs Ear (3) avec un boîtier partiellement en métal, un nouveau Super Mic intégré, des transducteurs de 12 mm, une réduction de bruit adaptative jusqu’à 45 dB et une autonomie portée jusqu’à 10 heures par charge. Audio repensé et meilleure réduction de bruit Les …
S'il est important de sécuriser les communications des employés d'une entreprise avec un mécanisme de chiffrement, ce dernier peut bien souvent poser quelques problèmes. Les implémentations classiques dans des clients comme Outlook ou Thunderbird génèrent pour les utilisateurs des contraintes et des frustrations.
Pour sa rentrée 2025, Bouygues Telecom frappe fort avec une offre jamais vue. L’iPhone 17 Pro, fleuron de la marque à la pomme, est disponible dès 1 € avec un forfait 200 Go 5G, le tout accompagné d’un tarif mensuel étalé sur 36 mois.
Depuis plus de 30 ans, le JPEG règne sans partage. Mais son âge commence à se faire sentir et de nouveaux formats, plus efficaces cherchent à prendre sa place.
Un bug dans la dernière mise à jour de sécurité de Windows 10 et 11 provoque des problèmes de connexion aux partages réseau utilisant l'antique protocole SMBv1. Si votre vieille imprimante ou votre NAS est soudainement inaccessible, ne cherchez plus. Microsoft pousse, peut-être un peu brutalement, les derniers utilisateurs à abandonner cette technologie obsolète et dangereuse.
Intel va produire de nouveaux SoC x86 intégrant directement une solution graphique RTX de Nvidia. Oui, vous avez bien lu : des processeurs Intel avec du RTX dedans
Pourquoi vouloir faire survivre tout un groupe quand on s'en sortirait mieux seul avec toutes les ressources ? Bienvenue dans Project Winter !
A récupérer gratuitement ici, et faites passer le mot pour jouer nombreux.
[…]
Le spécialiste français des infrastructures télécoms, TDF, vient d'annoncer l'ouverture de son data center au Pic Rouge, sur les hauteurs de Papeete, en Polynésie française. Il ne s'agit pas du premier centre de données de l'archipel polynésien.
La réalité virtuelle et la réalité mixte évoluent à une vitesse impressionnante, portée par des innovations qui changent vite la donne. Entre casques filaires ultra-performants, modèles autonomes toujours plus polyvalents et dispositifs hybrides intégrant la réalité augmentée, l’offre s’est considérablement diversifiée. Pour vous aider à y voir clair, nous avons sélectionné les casques les plus intéressants du moment.
Chaque jour nous dénichons pour vous des promos sur les produits High-Tech pour vous faire économiser le plus d’argent possible. Voici la liste des bons plans du jour (valable au moment où nous écrivons ces lignes) : Les stocks des produits sont limités, les prix peuvent donc remonter …
Enregistrez de manière sécurisée tous vos mots de passe, générez des mots de passe complexes et retrouvez-les simplement et sûrement à partir de n'importe quel ordinateur ou de votre smartphone...
Connexion
Cette carte graphique là, on peut sans doute dire que personne ne l'avait vu venir ! Il y avait bien eu des rumeurs au sujet d'une carte du même nom il y a deux ans environ, mais qui n'annonçaient de toute manière pas du tout les caractéristiques de celle qui vient d'être officialisée par AMD en ce...
Depuis plus de 30 ans, le JPEG règne sans partage. Mais son âge commence à se faire sentir et de nouveaux formats, plus efficaces cherchent à prendre sa place.
Intel va produire de nouveaux SoC x86 intégrant directement une solution graphique RTX de Nvidia. Oui, vous avez bien lu : des processeurs Intel avec du RTX dedans
