Les détecteurs de dioxyde de carbone (CO₂) se sont popularisés pendant la pandémie de Covid-19, car ils permettent d’évaluer indirectement le risque de présence de pathogènes dans l’air en mesurant la concentration de CO₂, liée à l’expiration humaine. Bien que moins dangereux que le monoxyde de carbone, un taux élevé de CO₂ (dès 2 %) peut provoquer fatigue et maux de tête, tandis qu’un seuil critique de 5 % devient dangereux.

La détection repose principalement sur la spectrométrie infrarouge non dispersive (NDIR), exploitant l’absorption spécifique du CO₂ dans l’infrarouge à 4 260 nm. Une source lumineuse infrarouge traverse une cavité exposée à l’air, et un filtre optique isole la bande d’absorption du CO₂ avant qu’un capteur (comme une thermopile) mesure la variation de température induite par les infrarouges.

D’autres méthodes existent, mais le choix dépend du coût, de la sensibilité et de l’usage (industriel, domestique, etc.). Contrairement au monoxyde de carbone, le CO₂ ne se détecte pas par des réactions chimiques, évitant ainsi les interférences et les faux positifs.

Dependency Cooldowns propose une solution simple pour réduire les risques liés aux attaques par dépendances malveillantes dans les écosystèmes de gestion de paquets. L’idée centrale est d’imposer un délai minimal (cooldown) avant qu’une nouvelle version d’une dépendance ne soit installée, limitant ainsi l’exposition aux attaques rapides. Par exemple, un cooldown de trois jours aurait bloqué 80 à 90 % des attaques analysées, dont des compromissions comme LiteLLM ou axios, où les fenêtres d’exploitation étaient de quelques heures seulement.

Le site détaille les implémentations par écosystème, comme uv pour Python (avec des commandes comme uv pip install --exclude-newer '3 days' foo) ou npm (via des outils comme cooldowns.sh). Bien que certains gestionnaires comme pip ne supportent pas encore les durées relatives, des contournements existent. La méthode s’applique aussi aux dépendances transitives, renforçant la sécurité globale.

Enfin, l’article souligne l’efficacité des cooldowns, même réduits à un jour, et fournit des exemples de configuration pour divers outils (pnpm, Yarn, Cargo, etc.). Une approche pragmatique pour limiter les risques sans complexité majeure.

Cette page explique le fonctionnement des grands modèles de langage (LLM) comme ChatGPT, depuis la collecte des données jusqu’à leur utilisation finale. Elle détaille notamment la phase de pré-entraînement, où des milliards de pages web sont filtrées pour constituer un jeu de données de haute qualité, comme FineWeb (44 To, 15 000 milliards de tokens). L’étape clé de ce processus est la qualité et la diversité des données, qui influencent davantage les performances du modèle que d’autres paramètres.

Le texte aborde ensuite la tokenisation, une étape essentielle où le texte brut est transformé en unités numériques (tokens) via des algorithmes comme Byte Pair Encoding (BPE). Cette méthode permet de compresser efficacement le texte tout en gérant les variations linguistiques, comme les conjugaisons ou les mots composés. Les modèles modernes utilisent des vocabulaires de plusieurs dizaines de milliers de tokens pour couvrir un large éventail de contenus.

Enfin, la page souligne l’ampleur des ressources nécessaires à l’entraînement des LLM, avec des chiffres représentatifs des modèles de pointe en 2024 (15 000 milliards de tokens, 405 milliards de paramètres). Elle met en lumière l’importance des pipelines de traitement automatisés, comme celui de Common Crawl, qui nettoient et structurent des pétaoctets de données brutes avant leur utilisation.

Ce guide des agences de cybersécurité australienne, américaine, canadienne, néo-zélandaise et britannique met en garde contre les risques spécifiques des systèmes d'IA agentique, de plus en plus utilisés dans les infrastructures critiques. Bien qu'ils automatisent des tâches répétitives, ces outils peuvent être détournés, causant des perturbations, des pertes de productivité ou des fuites de données, nécessitant une évaluation rigoureuse des scénarios à risque.

Les auteurs recommandent d'intégrer ces systèmes dans les modèles de sécurité existants, en limitant strictement leurs accès, notamment aux données sensibles ou systèmes critiques. L'IA agentique ne devrait être employée que pour des tâches à faible risque, avec une supervision constante pour maintenir la confiance dans ces technologies.

Destiné aux grandes organisations et gouvernements, ce document propose des bonnes pratiques pour sécuriser ces systèmes, depuis leur conception jusqu'à leur déploiement, en passant par une analyse des vulnérabilités potentielles et des comportements à risque.

Maigret est un outil open source conçu pour collecter des informations sur une personne à partir de son pseudonyme en scrutant plus de 3 000 sites web. Il ne nécessite pas de clés API et permet d'extraire des données disponibles publiquement, comme les profils et liens vers d'autres comptes, tout en gérant les restrictions comme les CAPTCHA ou les blocages.

L'outil propose des fonctionnalités avancées comme une recherche récursive, un filtrage par catégories ou pays, et une intégration dans des projets Python. Il inclut aussi un mode web pour visualiser les résultats sous forme de graphes et exporter des rapports, ainsi qu'une option d'analyse par IA pour synthétiser les données.

Disponible en ligne de commande, via une interface web ou un bot Telegram, Maigret fonctionne avec Tor et I2P, et met à jour automatiquement sa base de sites. Son code est hébergé sur GitHub sous licence MIT.

Obscura est un navigateur headless open source écrit en Rust, conçu pour l'automatisation à grande échelle et le web scraping. Il se distingue par sa légèreté (30 Mo de mémoire contre 200+ Mo pour Chrome headless), sa rapidité (démarrage instantané et chargement de page en 85 ms) et ses fonctionnalités anti-détection intégrées. Compatible avec les outils comme Puppeteer et Playwright via le protocole Chrome DevTools, il permet d'exécuter du JavaScript via V8 et propose des modes de stealth pour contourner les blocages.

Le projet propose des binaires prêts à l'emploi pour Linux, macOS et Windows, ainsi qu'une version cloud en développement pour une utilisation managée. Obscura est distribué sous licence Apache 2.0, sans fonctionnalités restreintes, et peut être compilé depuis les sources avec des options comme le mode stealth pour bloquer les trackers. Les performances et la simplicité d'installation en font une alternative intéressante aux solutions existantes.

Le dépôt GitHub inclut une documentation détaillée pour l'installation, l'utilisation en ligne de commande et l'intégration avec des outils comme Puppeteer, ainsi qu'un système de scraping parallèle pour traiter plusieurs URLs simultanément.

Ce billet explique comment concevoir un menu d'administration efficace avec EasyAdmin dans Symfony, en s'appuyant sur l'expérience de l'auteur qui a retravaillé quatre fois son menu en deux ans pour éviter une dette d'usage quotidienne. L'objectif est de structurer un menu robuste et maintenable, en se concentrant sur la méthode configureMenuItems() du DashboardController, qui génère dynamiquement le menu sans configuration externe. L'article met en avant trois bonnes pratiques : organiser le menu pour qu'il résiste à la croissance, distinguer les trois types de liens (linkTo, linkToUrl, linkToDashboard), et conditionner l'affichage des éléments en fonction des rôles utilisateurs.

L'auteur détaille les trois familles de constructeurs de MenuItem : linkTo pour les CRUD, linkToUrl pour les liens externes ou personnalisés, et linkToDashboard pour le tableau de bord. Il souligne l'importance de la lisibilité et de la simplicité, en évitant la sur-organisation qui alourdit la navigation. Le billet aborde aussi des astuces comme l'utilisation de yield pour une génération dynamique du menu et l'ajout d'icônes compréhensibles en un coup d'œil. Enfin, il met en garde contre l'usage inutile de setPermission(), préférant une gestion des rôles plus intuitive.

GTFOBins est une liste curated d'exécutables Unix-like permettant de contourner les restrictions de sécurité locales dans des systèmes mal configurés. Le projet recense des fonctions légitimes de ces outils pouvant être détournées pour échapper à des shells restreints, élever des privilèges, transférer des fichiers ou établir des connexions inversées, sans exploiter de vulnérabilités spécifiques.

Développé par Emilio Pinna et Andrea Cardaci avec la contribution de nombreux autres, GTFOBins se concentre sur l'exploitation des outils natifs disponibles ("living off the land"). Il ne s'agit pas d'une liste d'exploits, mais d'un guide pratique pour les professionnels de la sécurité ou les administrateurs système.

Le site propose également une API JSON et des liens vers des ressources complémentaires comme LOLBAS pour les binaires Windows. Les utilisateurs peuvent contribuer en soumettant de nouvelles entrées ou techniques.

ImageWhisperer est un outil d'analyse d'images utilisant l'IA, conçu pour aider journalistes et chercheurs à détecter les manipulations, les contenus générés artificiellement ou les profils frauduleux. Il propose 41 vérifications automatiques en environ 25 secondes, avec des rapports clairs et des preuves en langage simple, tout en excluant explicitement les contenus illégaux comme la CSAM.

Le site met en avant des exemples concrets de fausses images et de deepfakes, issus d'une base de données régulièrement mise à jour, illustrant son utilité pour le fact-checking. Il se distingue par une approche plus précise que les détecteurs classiques, capable d'identifier des anomalies anatomiques ou des traces forensiques d'IA.

Développé par Henk van Ess et soutenu par Digital Digging, ImageWhisperer propose aussi des solutions pour les entreprises via une API ou des plans dédiés, tout en garantissant une utilisation encadrée par une politique stricte contre les abus.