Auto Feed RSS
82 314 dollars, c’est l’incroyable facture que s’est mangé un dev mexicain après 48 heures d’utilisation frauduleuse de sa clé API Gemini. Sa dépense habituelle était de 180 dollars par mois environ, j’imagine que ça lui a fait un peu mal aux fesses. Et c’est une bonne raison pour moi de vous inciter une nouvelle fois à bien sécuriser vos clés API !
Le gars bosse dans une petite startup et de ce que j’ai compris, quelqu’un a chopé ses credentials et s’est lâché sur Gemini 3 Pro pendant deux jours. La réponse de Google ? “Responsabilité partagée“. En gros, eux sécurisent l’infra, et vous sécurisez vos clés. Si vous vous faites plumer, c’est votre problème !
Des chercheurs en sécurité ont découvert deux failles dans Comet, le navigateur IA de Perplexity. Une simple invitation de calendrier piégée suffisait pour accéder aux fichiers locaux de la machine et prendre le contrôle d’un coffre-fort 1Password, le tout sans aucun clic de l’utilisateur.
L’attaque est d’une simplicité qui fait froid dans le dos. Les chercheurs de Zenity Labs, qui ont baptisé la faille « PleaseFix », ont montré qu’il suffisait d’envoyer une invitation de calendrier contenant des instructions malveillantes cachées. Quand l’utilisateur interagit avec cette invitation dans Comet, l’IA du navigateur exécute en toute décontraction les instructions, sans broncher. Pas besoin de cliquer sur un lien, pas besoin de télécharger quoi que ce soit : le simple fait de consulter l’événement suffisait. Le problème vient de ce qu’on appelle l’injection de prompt indirecte : l’IA ne fait pas la différence entre les instructions légitimes et le contenu malveillant planqué dans un calendrier.
Séparer la voix, la batterie ou la basse d’un morceau, ça relevait du rêve d’audiophile il y a encore quelques années. Fallait installer Python, se taper Spleeter, galérer avec les dépendances CUDA… bref, un super truc de barbu. Mais ça, c’était avant, les amis !
Demucs-rs
, une réécriture en Rust du modèle HTDemucs v4 de Meta, tourne maintenant directement dans votre navigateur grâce au WebGPU. Batterie, basse, voix, tout le reste…, chaque élément se retrouve ainsi isolé dans son propre fichier WAV. Et y’a rien à installer, puisque tout se passe côté client, sur votre machine.
C’est la grosse actu du jour ! YggTorrent, le plus gros tracker torrent francophone, a fermé DÉFINITIVEMENT ses portes après une cyberattaque survenue le 3 mars 2026. Un site de piratage qui se fait… pirater. Oups !
Un hacker du nom de Gr0lum a revendiqué l’opération baptisée YGGLeak. D’après lui, il aurait exfiltré la base de données complète du site, soit environ 6,6 MILLIONS de comptes utilisateurs. Il s’agit d’emails, de mots de passe hashés en bcrypt, d’adresses IP, d’historiques de navigation… genre, le package complet. Donc pas exactement le genre de truc que vous voulez voir traîner dans la nature.