On le sait, les domaines d'utilisations de l'intelligence artificielle sont nombreux et parmi tout cet éventail des possibilités, Google en a également choisi un qui va faire grincer des dents certains, quand d'autres trouveront que c'est quelque chose de normal. Un sujet très clivant donc, puisqu'i...

Et dire qu’en 2025, certains d’entre vous laissent encore traîner des API sans authentification avec des données sensibles dedans. Ça vous dirait pas de sécuriser un peu tout ça ?

Alors ça tombe bien car je viens de découvrir AutoSwagger, un outil gratuit développé par l’équipe d’Intruder qui scanne automatiquement les domaines à la recherche de documentation API exposée (du genre OpenAPI ou Swagger). Ensuite il parse tout ça pour générer une liste d’endpoints à tester et évidemment, il trouve des trucs de malade.

L’équipe d’Intruder a par exemple découvert des vulnérabilités assez dingues pendant leurs tests comme cette faille qui permettait à n’importe qui d’énumérer les infos des utilisateurs Active Directory sans authentification, un peu comme la CVE-2025-0589 trouvée récemment dans Octopus Deploy. Ils ont aussi déniché un endpoint ‘config’ qui exposait carrément les credentials et les clés API pour des datastores Microsoft Partner Program, avec en bonus les identifiants d’une base Redis contenant des données personnelles de partenaires. Sans oublier des enregistrements Salesforce avec des infos personnelles chez une grosse multinationale tech.

Et tout ça dans de grandes entreprises avec des équipes de sécurité bien matures. Selon le rapport Verizon 2025 sur les brèches de données, l’exploitation des vulnérabilités a augmenté de 34% en un an, et les droits et autorisations mal configurés restent parmi les failles les plus critiques.

Pour réussir ses analyses, AutoSwagger utilise trois méthodes pour découvrir les specs API. D’abord, si vous lui donnez une URL qui finit en .json, .yaml ou .yml, il va parser directement le fichier OpenAPI. Ensuite, il cherche les interfaces Swagger UI connues (comme /swagger-ui.html) et extrait les specs depuis le HTML ou le JavaScript. Et si ça ne marche toujours pas, il tente sa chance avec une liste d’endpoints par défaut comme /swagger.json ou /openapi.json.

Une fois qu’il a trouvé la documentation, AutoSwagger envoie des requêtes à chaque endpoint avec des paramètres valides tirés de la doc. Si au lieu de recevoir une erreur 401 ou 403 (non autorisé), il obtient une réponse valide, bingo ! Il a trouvé un endpoint non protégé.

Mais ce n’est pas tout. L’outil intègre Presidio pour identifier automatiquement les données personnelles comme les numéros de téléphone, les emails, les adresses et les noms. Il utilise aussi des regex pour détecter les tokens exposés, les clés API et autres artefacts de debug qui traînent. En gros, il fait tout le boulot qu’un pentester ferait manuellement, mais en quelques minutes.

Pour utiliser AutoSwagger, c’est super simple. Vous clonez le repo GitHub, vous installez les dépendances Python, et c’est parti :

git clone git@github.com:intruder-io/autoswagger.git
pip install -r requirements.txt
python3 autoswagger.py https://api.example.com -v

L’outil propose plein d’options intéressantes. Avec -risk, vous pouvez inclure les méthodes non-GET (POST, PUT, PATCH, DELETE) dans les tests. Le flag -all affiche tous les codes HTTP dans les résultats (pas seulement les 401/403). Et si vous voulez être vraiment méchant, -b ou --brute active le brute-forcing des valeurs de paramètres pour contourner certaines validations.

Vous pouvez aussi contrôler le débit avec -rate (30 requêtes par seconde par défaut) et obtenir les résultats en JSON avec -json. Le mode -product est particulièrement utile car il ne montre que les endpoints qui contiennent des données personnelles ou des secrets.

La plupart des failles découvertes sont encore super communes, même chez les gros et elles peuvent être exploitées avec très peu de compétences techniques. N’importe qui peut par exemple lancer AutoSwagger et potentiellement trouver des données sensibles.

Les experts en sécurité recommandent évidemment de ne jamais exposer la documentation de vos API sauf si c’est absolument nécessaire pour le business. C’est du bon sens, mais apparemment, beaucoup l’oublient car exposer votre doc Swagger, c’est comme donner le plan de votre maison à des cambrioleurs.

L’équipe d’Intruder précise que cette première version d’AutoSwagger n’est pas encore complète car il y a certains types de spécifications que l’outil ne gère pas encore. Mais c’est open source, donc n’hésitez pas à contribuer et ajouter vos propres regex de détection selon vos besoins.

Et pour ceux qui veulent tester leurs propres API, car c’est ça l’objectif de cet outil, voici quelques conseils. D’abord, utilisez toujours l’outil en mode verbose (-v) pour voir exactement ce qui se passe. Les logs sont stockés dans ~/.autoswagger/logs. Ensuite, commencez par des tests sans risque (GET uniquement) avant de passer aux méthodes plus dangereuses. Et surtout, testez uniquement vos propres API ou celles pour lesquelles vous avez une autorisation explicite, sinon vous irez en prison car c’est illégal.

Les résultats peuvent ensuite être interprétés assez facilement. Les endpoints qui retournent un code 200 sont ceux qui méritent votre attention, surtout s’ils sont marqués comme contenant des données personnelles ou des secrets. AutoSwagger fait une bonne partie du travail, mais une vérification manuelle reste indispensable. Utilisez alors curl, Postman ou Burp Suite pour confirmer vos découvertes.

L’outil affiche aussi des statistiques intéressantes avec -stats. Vous pouvez voir combien d’hôtes ont des specs valides, lesquels exposent des données personnelles, le nombre total de requêtes envoyées, le RPS moyen, et le pourcentage d’endpoints qui répondent avec des codes 2xx ou 4xx.

Au final, AutoSwagger est un super outil pour les équipes de sécurité qui veulent tester leurs API mais c’est aussi, je trouve, un rappel brutal que les bases de la sécurité API sont encore mal appliquées. Donc si vous développez des API, prenez le temps de vérifier que chaque endpoint nécessite une authentification appropriée. Et si possible, ne documentez publiquement que ce qui est absolument nécessaire !

D’ailleurs, grand merci à Lorenper qui m’a fait découvrir cet outil !

Merci à vous de suivre le flux Rss de www.sospc.name.

Actuellement, dans le cadre des promotions spéciales de Godeal24, vous pouvez obtenir une licence à vie pour Office Professional 2021 à partir de seulement 31,55 € avec le code GG62.

Cette version d'Office Professional 2021 comprend des licences à vie pour Excel, Word, PowerPoint, Access, Outlook, Publisher, OneNote et la version gratuite de Teams.

Vous disposerez ainsi de tout ce dont vous avez besoin pour travailler, le tout dans une seule suite.

Qu'il s'agisse de travailler sur des documents, de traiter des données ou de créer des présentations percutantes, vous trouverez de nombreuses nouvelles fonctionnalités qui vous aideront à être plus productif à toutes les étapes.

Cet article Profitez d'Office 2021 et Windows 11 à vie à partir de 10 € chez Godeal24 est apparu en premier sur votre site préféré www.sospc.name

Aïe aïe aïe, mauvaise nouvelle pour les utilisateurs de Dropbox Passwords ! Si vous faites partie de ceux qui ont fait confiance à Dropbox pour gérer vos mots de passe, j’ai une annonce qui risque de vous faire grincer des dents : Le service ferme définitivement ses portes le 28 octobre 2025, et vos données seront supprimées à jamais après cette date.

Moi qui avais testé et apprécié ce service à son lancement, je trouve ça vraiment dommage. Mais bon, quand une boîte décide de “se recentrer sur son cœur de métier”, on sait ce que ça veut dire… Au revoir les petits projets annexes sympas, il faut se recentrer sur ce qui rapporte le plus de thunes.

Quand même, le calendrier de fermeture est assez brutal. Dès le 28 août 2025 (dans moins d’un mois !), Dropbox Passwords passera en mode lecture seule. Fini l’autofill automatique, vous pourrez juste consulter vos mots de passe, mais plus en ajouter de nouveaux ni modifier ceux existants.

Puis le 11 septembre 2025, l’application mobile cessera complètement de fonctionner. Seule l’extension navigateur restera accessible pour exporter vos données. Et le 28 octobre 2025, c’est la fin définitive. Tout sera supprimé, effacé, anéanti. Dropbox précise bien que les données seront “supprimées de manière permanente et sécurisée”. Super, mais ça ne console pas vraiment ceux qui vont devoir tout migrer dans l’urgence.

Dropbox recommande de passer à 1Password, ce qui n’est pas un mauvais choix en soi. C’est un gestionnaire solide, même s’il a eu quelques petits soucis techniques par le passé. Le hic, c’est qu’après la période d’essai gratuite, il faudra sortir la carte bleue pour continuer à l’utiliser. Comptez entre 3 et 8 dollars par mois selon le plan choisi.

Pour exporter vos données, Dropbox permet de générer des fichiers CSV contenant vos identifiants et informations de paiement et I ls recommandent d’utiliser l’extension navigateur plutôt que l’app mobile pour une meilleure expérience. Faites-le rapidement, parce qu’une fois la date fatidique passée, même Dropbox ne pourra plus récupérer vos données.

Ce qui m’énerve dans cette histoire, c’est le manque de considération pour les utilisateurs fidèles. Sur les réseaux sociaux, beaucoup se plaignent de cette décision prise sans consultation.

Cette fermeture s’inscrit dans un contexte difficile pour Dropbox. La boîte a licencié plusieurs centaines d’employés ces derniers temps, et le PDG Drew Houston a clairement annoncé vouloir couper dans les projets “sous-performants”. Avec un chiffre d’affaires de 2,54 milliards de dollars en 2024 et un bénéfice net de 452 millions, on ne peut pas dire que Dropbox soit en faillite. Mais visiblement, maintenir un gestionnaire de mots de passe face à la concurrence de LastPass, 1Password, et les solutions intégrées d’Apple, Microsoft et Google, c’était trop compliqué.

Maintenant si vous cherchez des alternatives gratuites, pensez à Bitwarden qui propose une version gratuite très correcte avec stockage illimité des mots de passe et synchronisation sur tous vos appareils. KeePass reste aussi une valeur sûre pour ceux qui préfèrent garder le contrôle total de leurs données. Et si vous êtes dans l’écosystème Apple, leur trousseau iCloud fait très bien le job pour un usage basique.

Et Dropbox affirme qu’il n’y aura pas de réduction de prix malgré la suppression de ce service. Vous payez le même prix, mais avec moins de fonctionnalités.

Bref, si vous utilisez Dropbox Passwords, ne traînez pas. Exportez vos données dès maintenant et commencez à chercher une nouvelle solution. Avec toutes les failles de sécurité qu’on voit passer ces derniers temps, un bon gestionnaire de mots de passe reste indispensable. C’est juste dommage de devoir changer dans l’urgence…

Allez, bon courage pour la migration ! Et n’oubliez pas le 28 octobre 2025, c’est game over pour vos données Dropbox Passwords.

Bloober Team, ça ne vous dit peut-être pas grand-chose, et pourtant vous avez croisé ces dernières années au moins deux titres venu du studio. Il y a eu Layers of Fears, un des premiers jeux en Unreal Engine 5 à être lancé sur le marché, et le récent remake de Silent Hill 2 toujours sous Unreal Engi...

Un article signé GOODTECH.info

Mauvaise nouvelle pour les amateurs de personnalisation Android : Samsung bloque désormais le déverrouillage du bootloader sur l’ensemble de ses smartphones à travers le monde. Cette décision, mise en œuvre avec la surcouche One UI 8, empêche l’installation de systèmes […]

L’article Samsung verrouille ses smartphones : adieu les ROM alternatives ? est apparu en premier sur Goodtech.

Un article signé GOODTECH.info

Le constructeur européen TUXEDO Computers, basé à Augsbourg en Allemagne, poursuit son engagement en faveur de l’informatique libre avec le lancement de l’InfinityBook Pro 15, un ultrabook professionnel haut de gamme conçu pour Linux. Pensé pour les développeurs, les créateurs […]

L’article InfinityBook Pro 15 : un ultrabook premium 100 % Linux, venu d’Allemagne est apparu en premier sur Goodtech.

Un article signé GOODTECH.info

Depuis la Chine, Zhipu AI – désormais rebaptisée Z.ai – entend bien rebattre les cartes de l’intelligence artificielle générative. Avec le lancement de son nouveau modèle GLM-4.5, l’entreprise propose une alternative open source à bas coût, aux performances proches des […]

L’article Zhipu AI casse les prix avec GLM-4.5, un modèle open source ambitieux est apparu en premier sur Goodtech.

Vous savez ce qui me fatigue dans les débats sur l’IA générative ? C’est cette tendance qu’ont certains à répéter des arguments complètement à côté de la plaque, comme s’ils sortaient du PMU du coin après trois verres de rouge.

Alors attention, je ne dis pas que toutes les critiques sont bidons. Il y en a des légitimes, et on va en parler mais qu’on arrête de confondre incompréhension technique et indignation morale, parce que je trouve que ça dessert tout le monde.

Vous l’aurez remarqué, je génère mes images avec de l’IA depuis des mois. Pas par flemme ni pas par mépris des artistes, mais parce que j’adore cette petite teinte jaune c’est un outil fascinant qui ouvre des possibilités créatives inédites à tout le monde. Et même si moi je suis assez tranquille parce que je ne vais plus sur les réseaux sociaux parce que c’est bourré de connards, il m’arrive quand même de tomber sur des commentaires outragés qui montrent surtout une méconnaissance totale du fonctionnement de ces systèmes. Certains des plus virulents incitent même les abrutis qui les écoutent à “aggresser” ceux qui utilisent l’IA générative…

Bref, c’est assez grave donc je vous propose aujourd’hui de prendre le temps de décortiquer ces arguments, avec de vraies données scientifiques à l’appui.

Commençons d’abord par le plus gros malentendu à savoir l’idée que l’IA “vole” ou “copie” directement les œuvres. C’est techniquement faux, et les études le prouvent. Les modèles de diffusion latente, comme ceux qui alimentent Midjourney ou DALL-E, fonctionnent dans un espace conceptuel compressé. Concrètement, ils réduisent une image de 512x512 pixels à une représentation latente de 64x64 et cette compression sémantique élimine tous les détails pour ne garder que les concepts abstraits.

L’équipe de Xiangming Gu a démontré que la mémorisation directe ne survient que dans des conditions exceptionnelles comme des datasets ridiculement petits, de la duplication massive des mêmes données, ou des prompts agissant comme des “clés” ultra-spécifiques. Dans l’usage normal, avec les milliards d’images d’entraînement actuels, cette mémorisation devient statistiquement négligeable. Plus fascinant encore, l’augmentation de la taille des datasets réduit paradoxalement la mémorisation, créant une fenêtre de généralisation plus large.

Les études de 2024 sur les mécanismes d’attention croisée montrent également des patterns complètement dispersés lors d’une génération normale. L’IA ne stocke pas vos œuvres dans un coin de sa mémoire pour les ressortir telles quelles, non… elle apprend des concepts, des styles, des associations visuelles, exactement comme un artiste humain qui s’inspire de ce qu’il a vu.

D’ailleurs, parlons-en de cette comparaison humain / machine car l’étude de Frontiers Psychology de Bellaiche et ses collègues de Johns Hopkins révèle un truc qui m’a bien fait rire : sans étiquetage, les observateurs préfèrent significativement l’art généré par IA. Mais dès qu’on leur dit que c’est fait par une machine, hop, biais négatif immédiat. Les mêmes œuvres deviennent soudainement “moins créatives”, “sans âme”, “artificielles”. C’est donc le parfait exemple de dissonance cognitive où nos préjugés influencent notre perception esthétique plus que les qualités intrinsèques de l’œuvre.

Le rapport Art & IA 2024 d’Hiscox confirme également cette schizophrénie collective. 67% des jeunes collectionneurs et 69% des plus âgés affirment que les œuvres IA ont moins de valeur que celles d’artistes humains. Mais en parallèle, l’intérêt pour l’art génératif explose, surtout chez les jeunes. PNAS Nexus rapporte même une augmentation de 25% de la productivité artistique avec l’IA, et 50% de probabilité accrue de recevoir des “favoris” sur les plateformes.

Contradiction ? Non, je pense que c’est plutôt une évolution des mentalités qui est en cours.

Maintenant, les critiques légitimes. Parce qu’il y en a, et nier leur validité serait aussi débile que de nier les avantages de l’IA.

Il s’agit tout d’abord de la question du consentement pour l’utilisation des données d’entraînement, et c’est un vrai sujet. L’artiste Karla Ortiz le formule bien : utiliser ses œuvres sans autorisation, c’est “une intrusion, comme un étrange vol d’identité”. Et elle a raison sur le principe éthique, même si techniquement l’IA ne “vole” rien comme je vous l’expliquais.

Bien sûr, les mécanismes d’opt-out européens sont largement insuffisants. L’ADAGP l’a souligné : contrairement à la musique ou aux films, les images sont “presque toujours immédiatement visibles et téléchargeables”. C’est vrai ça… Comment protéger efficacement son travail quand il suffit d’un clic droit pour l’aspirer ? C’est un vrai défi technique et juridique réel qui mériterait mieux que des solutions cosmétiques.

Les biais algorithmiques constituent aussi une autre préoccupation. L’études de Bloomberg montrent que les générateurs amplifient les stéréotypes raciaux et de genre. Par exemple, plus de 80% des images “criminelles” générées représentent des personnes à peau foncée. Cette perpétuation automatisée des inégalités sociétales, c’est un problème éthique majeur que les développeurs devraient prendre à bras-le-corps.

L’impact économique sur certains secteurs créatifs est également très réel. Goldman Sachs estime que l’IA peut aujourd’hui automatiser 26% des tâches dans les métiers créatifs. L’illustration commerciale, la photographie stock, le design graphique basique subissent des pressions indéniables. Brookings (2024) anticipe que 30% des travailleurs pourraient voir plus de la moitié de leurs tâches affectées, avec une exposition disproportionnée des femmes.

Mais c’est bien aussi de contextualiser ces chiffres car l’histoire des révolutions technologiques nous montre que les disruptions créent autant qu’elles détruisent. La photographie, initialement perçue comme une menace mortelle pour les peintres portraitistes, a finalement créé des industries entières et poussé la peinture vers l’innovation. Et le secteur créatif américain a atteint 1,1 trillion de dollars en 2022, ce qui est un record historique et les artistes indépendants ont connu une croissance de 13,5% depuis 2019.

Bref, l’adaptation est en cours, et on est loin de l’effondrement.

L’argument environnemental mérite aussi d’être nuancé. Car oui, générer une image avec DALL-E consomme l’équivalent énergétique d’une charge de smartphone. Mais Nature Scientific Reports révèle que l’IA est 130 à 1500 fois moins émettrice de CO2 que les humains pour des tâches équivalentes d’écriture, et 310 à 2900 fois moins pour l’illustration. Cette différence s’explique par l’empreinte carbone annuelle humaine comparée à l’usage ponctuel de l’IA.

Les initiatives Green AI progressent aussi rapidement. Par exemple, Google fournit aujourd’hui six fois plus de puissance par unité d’électricité qu’il y a cinq ans, avec 66% d’énergie sans carbone en 2024. L’optimisation quantique a aussi amélioré l’efficacité d’entraînement des IA. Bref, la trajectoire d’amélioration continue est plutôt claire, je trouve.

Alors oui, il faut bien sûr réguler. Et l’AI Act européen, les propositions de Kate Crawford sur la transparence des algorithmes et le partage équitable des revenus, tout ça va dans le bon sens. Mais non, il ne faut pas interdire ou diaboliser par principe. Par exemple, l’ouverture prochaine du musée DATALAND de Refik Anadol à Los Angeles, conçu par Frank Gehry, montre que l’art génératif trouve sa place dans l’écosystème culturel.

Mais comme d’hab, y’a des tensions et des communautés comme Newgrounds ou ArtStation bannissent l’art IA, pendant que d’autres l’embrassent. Les protestations “No AI Art” côtoient l’explosion de créativité générée par ces outils. C’est normal, je trouve même que c’est sain et nécessaire car ça force le dialogue.

Ce qui m’agace, vous l’aurez compris, c’est cette manie de transformer chaque innovation en guerre de religion de débiles. L’IA générative n’est ni le diable ni le messie. C’est un outil puissant avec des implications complexes qui méritent des débats nuancés, et pas des slogans à la con de PMU. Les vrais enjeux comme le consentement, les biais, l’impact économique, ou encore la régulation que j’évoquais un peu plus haut, sont trop sérieux pour être noyés dans cet espèce de brouillard d’incompréhension technique que j’ai pu voir sur les réseaux sociaux notamment quand j’y trainais encore.

Alors continuez à critiquer c’est votre droit, mais s’il vous plait, renseignez-vous avant. Lisez les études, comprenez le fonctionnement de la technologie, et distinguez les problèmes réels des fantasmes.

A bon entendeur…

Cette semaine, les USA et l'Europe ont signé un accord commercial imposant des droits de douane de 15 % sur la grande majorité des produits fabriqués en Europe et exportés aux USA. Autrement dit, les acheteurs américains vont devoir payer plus cher pour tout ce qui vient de l'Europe. Par conséquent,...

Il y a 15 jours, une bonne nouvelle était tombée pour certaines entreprises américaines : l'assouplissement au niveau gouvernemental de certaines restrictions d'exportations vis-à-vis de la Chine ! Pour NVIDIA et AMD, cela signifie que les ventes de leurs GPU spécialisés pour l'IA et spécifiques à c...