Vous vous souvenez des cassettes audio ? Mais siiii, ces trucs de nous les vieux quand on était jeune (spoiler : je suis toujours jeune !). Il fallait même rembobiner avec un crayon quand le lecteur bouffait la bande !!

Hé bien des chercheurs chinois viennent de ressusciter ce format… mais version ADN. Et au lieu de stocker 90 minutes de musique, leur cassette peut théoriquement embarquer des quantités astronomiques de données.

L’équipe de Xingyu Jiang, ingénieur biomédical à la Southern University of Science and Technology de Shenzhen, a développé une bande pas comme les autres. Au lieu de la traditionnelle couche d’oxyde de fer, c’est de l’ADN synthétique qui est déposé sous forme de petits points microscopiques sur un film plastique flexible. Son prototype fait environ 5 mm de large sur 15 mètres de long et offre 545 400 emplacements adressables par kilomètre de bande. Côté capacité, on parle donc de 362 pétaoctets théoriques par kilomètre , mais en conditions réelles, l’équipe a stocké 74,7 Go par kilomètre pour le moment.

Bon, comment ça marche ce bazar ? Les données numériques sont converties en séquences ADN en utilisant les 4 bases nucléotidiques (A, T, C, G) à la place des 0 et des 1 habituels. La bande contient ces centaines de milliers d’emplacements adressables, et un système de lecture optique basé sur des codes-barres peut scanner jusqu’à 1570 partitions par seconde. C’est pas mal pour un truc basé sur des molécules biologiques.

Le vrai avantage de l’ADN comme support de stockage, c’est sa densité de ouf. Selon les chercheurs, l’ADN offre une densité théorique d’environ 455 exaoctets par gramme. Toutes les informations numériques mondiales pourraient tenir dans un volume ridiculement petit.

Et côté durabilité, c’est encore plus dingue, car là où vos disques durs claquent au bout de 1 à 10 ans et où les bandes magnétiques doivent être remplacées tous les 7 à 10 ans, l’ADN protégé par un revêtement métallo-organique (appelé ZIF) peut conserver les données pendant plus de 345 ans à température ambiante (c’est 20°C).

Et si vous le stockez dans un environnement froid comme les montagnes de Changbai en Chine, c’est parti pour 20 000 ans de stockage OKLM. Vos arrière-arrière-arrière-petits-enfants pourront encore récupérer vos TikTok de vacances et autres backups de dickpics.

Le système permet aussi de récupérer des fichiers sans détruire les données sources. Les chercheurs ont testé 10 cycles de récupération sur une même partition et les données restent intègres. Mieux encore, on peut supprimer et redéposer de nouveaux fichiers sur les mêmes emplacements, tout cela grâce à un algorithme de correction d’erreurs (Reed-Solomon) qui permet de conserver une bonne fiabilité des données malgré les manipulations.

Pour l’instant, la technologie reste quand même hyper leeeeeeente. En mode continu, les chercheurs atteignent un débit théorique de 2,3 fichiers par seconde, mais ça reste très loin des performances des bandes LTO actuelles, et au niveau coût, c’est pas jojo non plus, car la synthèse d’ADN reste très coûteuse, même si les prix baissent. Bref, y’a encore du boulot.

L’objectif des chercheurs est donc très clair. Il s’agit de créer un support de stockage durable pendant des siècles et indépendant de l’obsolescence des technologies actuelles. Car ouais, en 2025 retrouver un fichier sur une disquette, c’est quasi mission impossible alors qu’avec l’ADN, le format de lecture (le séquençage) continuera d’exister tant que la biologie moléculaire existera.

Tout ça pour dire que même si on n’est pas près de stocker nos bibliothèques Steam sur une cassette ADN, pour tout ce qui est archivage à très long terme de données “froides”, ça a énormément de potentiel.

Source : Science Advances

Personne ne s’en doutait, mais durant 3 ans, les communications entre la Terre et les sondes de la NASA étaient totalement vulnérables au piratage du moindre script kiddy ! Et personne n’était au courant évidemment, et aucun des multiples audits de code qui se sont succédé depuis 2022 n’avait mis à jour ce problème jusqu’à ce qu’une IA s’en mêle !

La faille découverte au bout de 4 jours d’analyse, se trouvait dans CryptoLib , une bibliothèque de chiffrement open source utilisée pour sécuriser les échanges entre les stations au sol et les satellites en orbite. Cette bibliothèque implémente le protocole SDLS-EP (Space Data Link Security Protocol - Extended Procedures) de la norme issue du CCSDS , qui est utilisé un peu partout dans le spatial, y compris pour des missions comme les rovers martiens ou le télescope James Webb.

Le souci donc c’est que ce code contenait une vulnérabilité d’injection de commande. En gros, des données non validées pouvaient être interpolées directement dans une commande shell et exécutées via system() sans aucune vérification. C’est le genre de faille basique qu’on apprend à éviter en première année de développement, sauf que là elle était planquée dans un code quand même bien critique…

C’est la startup AISLE , fondée par des anciens d’Anthropic, Avast et Rapid7, qui a été mandatée pour auditer le code et c’est comme ça que leur système de “cyber reasoning” basé sur l’IA s’est retrouvé à scanner la base de code. Résultat, une jolie faille débusquée par IA 3 ans après des dizaines d’audits et d’analyses humaines.

Bon, avant de paniquer sur une éventuelle chute de satellite en plein sur la tête de votre belle-mère, faut quand même nuancer un peu la chose… Pour exploiter cette faille, un attaquant aurait d’abord eu besoin d’un accès local au système, ce qui réduit significativement la surface d’attaque selon les chercheurs . Donc oui, j’ai abusé en intro avec mon histoire de script kiddy ^^ chè ! Mais quand même, on parle de satellites et de sondes spatiales qui valent des milliards de dollars donc si elle avait été exploitée, ça aurait fait mal à beaucoup de monde.

Et ce n’est pas la seule mauvaise nouvelle pour la sécurité spatiale cette année puisqu’en août dernier, 2 chercheurs allemands de VisionSpace Technologies, Milenko Starcik et Andrzej Olchawa, ont présenté, lors des confs Black Hat USA et DEF CON à Las Vegas, pas moins de 37 vulnérabilités découvertes dans l’écosystème spatial . Sans oublier Leon Juranic de ThreatLeap qui a trouvé diverses failles plus tôt dans l’année.

Le Core Flight System (cFS) de la NASA, ce framework open source déployé sur des missions comme le James Webb ou le lander lunaire Odysseus d’Intuitive Machines, contenait également 4 failles critiques. Deux bugs de déni de service, une Path Traversal, et une vulnérabilité d’exécution de code à distance (RCE). Milenko Starcik a déclaré avoir trouvé des vulnérabilités permettant par exemple de crasher tout le logiciel de bord avec un simple message distant non authentifié .

Lors d’une démo, ils ont montré qu’ils pouvaient envoyer une commande à un satellite pour activer ses propulseurs et modifier son orbite, sans que le changement de trajectoire apparaisse immédiatement sur l’écran du contrôleur au sol. Imaginez le bordel si quelqu’un faisait ça pour de vrai !!

CryptoLib elle-même était criblée de failles : 4 dans la version utilisée par la NASA, 7 dans le package standard dont 2 critiques. Et le système de contrôle de mission Yamcs développé par la société européenne Space Applications Services et utilisé notamment par Airbus présentait aussi 5 CVE permettant une prise de contrôle totale. Sans oublier OpenC3 Cosmos, un autre système utilisé pour les stations au sol, qui comptait à lui seul, 7 CVE incluant de l’exécution de code à distance.

Heureusement les amis, toutes ces horribles vulnérabilités ont été corrigées et la NASA prépare même une mise à jour majeure du cFS pour bientôt avec de meilleures fonctionnalités de sécurité, le support de l’IA et des capacités d’autonomie améliorées.

AISLE affirme que leur outil peut examiner systématiquement des bases de code entières , signaler des patterns suspects et fonctionner en continu à mesure que le code évolue, bref, pour du code critique comme celui des systèmes spatiaux, c’est le top !

Encore une victoire de l’IA ^^

Source

GITAI est une startup japonaise spécialisée dans la robotique spatiale qui vient de réaliser quelque chose de dingue, à savoir la construction autonome d’une tour de communication de 5 mètres de haut dans un désert reproduisant la surface lunaire.

Et tout ça sans intervention humaine, évidemment !

Leur système repose sur un rover lunaire et trois robots de type “Inchworm” (chenille en anglais). Chacun de ces robots a des bras équipés de pinces aux deux extrémités, ce qui lui permet de se déplacer un peu comme des chenilles arpenteuses et d’effectuer des tâches de construction diverses et variées. Dans la démo en vidéo ci-dessous, vous pouvez voir comment ils assemblent la tour, connectent l’antenne au sommet et branchent les câbles d’alimentation sans oublier de bien vérifier que le courant passe.

Vous pensiez encore que WhatsApp était secure grâce au chiffrement de bout en bout ?

Pauvres fous ^^ !

En fait, des chercheurs de l’Université de Vienne viennent (!!) de démontrer qu’on peut vous espionner à distance via Whatsapp sans que vous receviez la moindre notif.

L’attaque s’appelle “Careless Whisper” (oui, comme la chanson de George Michael) et elle exploite un truc tout bête : les accusés de réception, ces petits checks bleus qui vous indiquent qu’un message a été délivré puis vu…

Ainsi, en envoyant des messages spécialement conçus pour l’occasion, notamment des réactions à des messages qui n’existent pas, un attaquant peut déclencher des accusés de réception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui apparaît, mais de l’autre côté, votre stalker psychopathe mesure le temps que met votre téléphone à répondre.

Et en analysant ces temps de réponse, on peut savoir si votre écran est allumé ou éteint, si WhatsApp est ouvert au premier plan, quel système d’exploitation vous utilisez, combien d’appareils sont connectés à votre compte, et même déduire vos horaires de sommeil. Tout sans que vous ayez le moindre indice qu’on vous surveille, évidemment !

La recherche, disponible ici , a d’ailleurs reçu le Best Paper Award à la conférence RAID 2025. Les chercheurs ont testé sur WhatsApp et Signal, et les deux sont vulnérables. Mais sur WhatsApp, c’est le pire, car l’application autorise des payloads de réaction jusqu’à 1 Mo, ce qui permet de générer 13 Go de trafic par heure sur le téléphone de la victime, donc ça permet même de vider tranquillement sa batterie de 15 à 18% par heure sans qu’elle ne s’en rende compte.

Un développeur a même créé un outil open source pour tester la faille de manière responsable et en respectant la loi évidemment. Si vous voulez tester, faites-le uniquement sur votre matériel. L’interface de ce PoC permet de traquer en temps réel l’activité d’un numéro de téléphone. En dessous d’un certain seuil sur le délai de réponse, la personne est active, et au-dessus, elle dort ou son téléphone est en veille.

Les chercheurs ont bien sûr signalé la faille à Meta en septembre 2024, qui a “accusé réception” (lol), mais aucune correction n’a été apportée depuis. Et chez Signal ils n’ont pas répondu du tout.

Alors comment on fait pour se protéger de ça ? Et bien dans Whatsapp, il y’a une option qui se trouve dans Paramètres → Confidentialité et autoriser seulement “Mes Contacts” à voir ce qu’on partage, ce qui permet de limiter les accusés de réception à vos contacts uniquement. Ça ne règle pas tout, mais ça complique la tâche des inconnus qui voudraient vous traquer.

Voilà, une fois encore, même sur les apps avec du chiffrement de bout en bout qui protège le contenu des messages, ça ne fait pas tout, car il y a toujours des métadonnées qui peuvent être exploitées de manière frauduleuse, donc soyez vigilant :)

Vous en avez marre des services de partage de code tout pourris qui vous demandent de vous créer un compte, ou de lier votre GitHub, et qui ensuite vous bombarde de bannières pubs ?

Hé bien y’a une alternative plutôt cool qui va vous plaire.

Ça s’appelle pbnj (oui, comme le sandwich au beurre de cacahuète - Peanut Butter aNd Jelly), et c’est un pastebin auto-hébergé qui vous permet de partager du code en tout simplicité. Pas de prise de chou avec de la gestion de users ou ce genre de choses… Vous y balancez du code et vous récupérez une URL à envoyer à vos amis.

Le truc sympa, c’est que ça génère des URLs faciles à retenir au lieu des classiques suites de caractères aléatoires. Comme ça vous avez des trucs du genre “coucou-tu-veux-mon-blog” plutôt que “x7f9k2m8”. Bon ok c’est un peu plus long, mais au moins vous pouvez le retenir ou le donner par téléphone sans épeler chaque lettre. Vous pouvez tester ce que ça donne en cliquant ici .

Côté fonctionnalités, on a de quoi faire avec de la coloration syntaxique dans plus de 100 langages différents avec 12 thèmes . Y’a aussi un outil en ligne de commande qui s’installe via npm et qui permet de balancer un fichier en une commande comme ceci :

`pbnj monfichier.py`

`npm install -g @pbnjs/cli`

`pbnj --init`