En novembre 2024, je vous parlais d’un crack Windows vieux de 17 ans qui fonctionnait encore. Et là, on est un an plus tard, et j’apprends que Microsoft l’a tué.

Mais c’est quoi ce bordel ??

En effet, selon plusieurs médias, Microsoft a bloqué KMS38 , la méthode d’activation offline fournie par Massgrave. Le Patch Tuesday de novembre (KB5068861 pour Windows 11 24H2/25H2) a donc intégré ces changements apparus dans le build 26100.7019 qui ont déprécié gatherosstate.exe, l’outil que les entreprises utilisaient pour migrer leurs activations KMS lors des mises à jour. Mais cela permettait aux pirates de tricher avec la période d’activation KMS et de la prolonger jusqu’au 19 janvier 2038. Ah les brigands ! lol

Cette date, du 19/01/2038 à 03h 14m 07 UTC précisément, c’est la limite du timestamp Unix 32-bit, le fameux bug Y2K38 ! En gros, KMS38 ne crackait pas vraiment Windows mais repoussait le moment fatidique où une activation serait nécessaire… Bon et alors ? Est ce que c’est une nouvelle victoire de Microsoft contre le piratage ?

Nop, que dalle.

Car HWID et TSforge fonctionnent toujours pour activer Windows dans le dos de Microsoft. Massgrave a même sorti le 11 novembre dernier sa version 3.8 de MAS (Microsoft Activation Scripts) baptisée “R.I.P. KMS38”.

Alors c’est tout pareil ? Non, pas vraiment car KMS38 fonctionnait offline, ce qui permettait d’activer Windows sans jamais contacter Microsoft. Et malheureusement HWID et TSforge fonctionnent uniquement online. Ils nécessitent donc une connexion internet pour stocker votre licence sur les serveurs Microsoft.

Cela veut dire qu’avant, avec KMS38, vous pouviez activer Windows en mode avion, vous déconnectiez la machine du réseau, vous lanciez le script, et hop, c’était activé jusqu’en 2038 et Microsoft ne savait même pas que vous existiez ! Et aucun Hardware ID ni de télémétrie n’étaient envoyés !

Alors que maintenant, même pour pirater Windows, vous devez demander aux serveurs de Microsoft de vous accepter. Car HWID crée une licence numérique permanente liée à votre matériel et cette licence est stockée chez Microsoft. Vous devez donc vous connecter initialement à leurs serveurs pour l’activer et à chaque réinstallation, vous devez obligatoirement vous reconnecter.

Bref, votre Hardware ID et votre config matérielle sont donc enregistrés dans la base de données de Microsoft. Et pour TSforge, c’est pareil. Connexion obligatoire sur un serveur Microsoft !

Voilà, donc en gros, pour pirater Windows, il faut maintenant se déclarer à Microsoft. Les criminels que vous êtes esquivent ainsi les 145 euros de la licence, mais donnent leur Hardware ID en échange d’un Windows activé et d’une dépendance permanente aux serveurs de Redmond.

Voilà donc comment Microsoft a choisi délibérément de casser un outil utilisé par ses propres clients pour continuer à collecter de la data, même quand l’utilisateur est un “pirate”…

Source

Je viens à l’instant de m’inscrire sur la liste d’attente de Firefox AI Window . Il s’agit d’une nouvelle fonctionnalité IA pour Firefox qui tournera en local, respectera la vie privée, et nous laissera choisir notre modèle. Je suis assez hypé par le truc mais je vous avoue que les commentaires sur le forum Mozilla Connect sont… comment dire… assez révélateurs.

En effet, il y a une écrasante majorité de réactions négatives. Alors c’est pas contre l’implémentation technique, ni contre l’approche privacy-first de Mozilla. Non, c’est essentiellement contre le simple fait que le mot “IA” existe au sein de Firefox. Certains utilisateurs réclament même un bouton géant “No AI” visible depuis l’espace, pour désactiver une fonctionnalité qui est déjà désactivée par défaut. Ces mecs ont de la fièvre je pense…

Le truc qui m’agace en fait, dans ces réactions teubées, c’est qu’elles passent complètement à côté de l’enjeu stratégique. Chrome intègre Gemini de façon de plus en plus invasive, Edge a Copilot, Arc a son Browse for Me, Perplexity et OpenAI lancent leurs navigateurs IA… Alors si ce bon vieux Firefox reste immobile au sujet de l’IA pendant que tout le monde avance, je vous rassure, il ne deviendra jamais “le dernier bastion de la pureté” qui fait mouiller les anti-IA.

Non, il deviendra juste obsolète.

Réveillez-vous les gars, Mozilla propose exactement ce que les libristes demandent depuis toujours ! Un respect de la vie privée, un contrôle utilisateur total, de la transparence, un fonctionnement en local, des petits modèles, du code libre…etc.

Mais bon parce que c’est de l’IA, ça devient l’ennemi. Faudrait quand même être sacrément con pour saborder la SEULE implémentation IA grand public qui respecte réellement ces principes de liberté et de respect de la vie privée.

Plutôt que de gueuler sur Mozilla, je vous invite plutôt à vous poser cette question : Est ce que vous préférez une IA locale optionnelle dans Firefox, ou une IA obligatoire cloud-only dans Chrome qui aura au final capté 95% du marché parce que Firefox sera mort de n’avoir rien fait ?

Parce que si Firefox disparaît, on perdra le dernier navigateur grand public capable de proposer une alternative respectueuse pour notre vie privée et ça perso, ça m’inquiète.

Nos champions anti-IA n’ont, pour la plupart, même pas remarqué que Firefox proposait déjà des fonctionnalités IA locales depuis le début cette année . Je pense au tab grouping automatique avec suggestions de titres, à la traduction de pages instantanée sans envoyer le contenu hors de votre machine, à la génération d’alt-text pour des images accessibles sans faire de compromis sur la vie privée… Tout ça tourne déjà en local chez vous et pas grand monde ne s’en plaint.

Je pense que c’est parce que Mozilla ne communique pas dessus en mettant des paillettes “AI-powered” partout. Ils font juste leur taf. C’est un peu comme quand je parle d’une super application cross-platform… Suffit que j’écrive que c’est fait en Electron et y’en a qui tombent dans le coma direct. Et cela peu importe que l’app soit folle ou pas. Bref, c’est ridicule.

AI Window sera donc une troisième fenêtre de navigation (en plus des fenêtres classiques et privées), avec un assistant et un chatbot intégré. Mozilla présente ça comme, je cite, “un compagnon de confiance qui améliore votre navigation et vous guide vers le web plus large”, par opposition aux navigateurs IA qui vous enferment dans une boucle conversationnelle pour à terme, je pense vous vendre des trucs et conserver votre attention et vos données perso.

Grâce à Mozilla, vous pourrez choisir votre modèle IA et tout sera “opt-in” comme on dit. Ça veut dire que tout sera en option et rien ne sera activé par défaut. Vous pourrez choisir de l’activer ou non ! Que demande le peuple ? C’est merveilleux non ?

Faut dire que Mozilla a clairement appris de ses erreurs puisqu’ils ne forcent rien, ne pré-activent rien mais construisent tranquillement le meilleur navigateur possible, à la vue de tous (le code est libre, open source et chacun peut contribuer et donner son avis). Après, même comme ça, même en jouant la transparence absolue, ça ne plaira jamais à une certaine petite caste de barbus aveuglés par des idées pré-digérées faciles à comprendre. Tant pis pour eux !

Maintenant, le vrai enjeu pour moi, c’est pas ça, c’est surtout l’ouverture aux développeurs. J’espère vraiment que ces fonctionnalités IA seront accessibles via une API pour les extensions Firefox. Si c’est le cas, on va pouvoir créer des extensions qui s’appuient sur l’IA locale de Mozilla, sans avoir à ajouter un modèle de 500 MB ou à envoyer les données utilisateur dans le cloud. Et ça, j’avoue ce serait trop cool car ça ouvrirait l’écosystème des extensions Firefox à tout un tas de nouvelles extensions “intelligentes” qui respectent la vie privée.

Voilà… je sais que le changement c’est dur les gars, et que ça hérisse les poils de cul de certains pas bien sevrés mais l’IA de Mozilla va apporter des choses intéressantes dans le navigateur, que ça vous plaise ou non. Et si Mozilla ne se met pas à la page, Firefox prendra encore plus la poussière et finira par être délaissé. Et au final, on aura tout perdu et y’aura même plus d’IA qui respecte la vie privée et qui soit accessible au grand public gratuitement.

Voilà… Soyez pas cons. En tout cas, pour ma part, j’ai hâte de tester AI Window quand ça sortira !

Source

ImunifyAV, le scanner AV qui protège 56 millions de sites Linux, vient de se faire pwn par le malware qu’il essayait de détecter. Et c’est pas la première fois…

En effet, Patchstack vient de révéler une faille RCE critique dans ImunifyAV, qui je le rappelle est un scanner antivirus gratuit ultra répandu dans l’hébergement mutualisé. Le problème en fait c’est que AI-bolit, le composant qui déobfusque le code PHP malveillant pour l’analyser, utilise la fonction call_user_func_array sans vérifier les noms de fonctions qu’elle exécute.

Boooh ! Du coup, vous uploadez un fichier PHP malveillant spécialement conçu pour l’occasion par un attaquant, ImunifyAV le scanne pour voir si c’est un malware, le déobfusque pour comprendre ce qu’il fait, et hop, le code malveillant s’exécute avec les privilèges du scanner.

Game over.

Hé pour qu’un antimalware détecte un virus, il doit analyser son code mais si les cybercriminels obfusquent leur malware pour cacher le code, l’antimalware doit alors le déobfusquer avant d’analyser. Mais déobfusquer du code PHP, ça veut dire aussi l’exécuter partiellement pour voir ce qu’il fait vraiment… d’où cette RCE.

La faille affecte donc toutes les versions avant la 32.7.4.0 et le correctif apporte juste une fonctionnalité de whitelist de fonctions autorisées pendant la déobfuscation. Il était temps, même si maintenir une whitelist de fonctions safe, à terme c’est un cauchemar car y’a des centaines de fonctions dans PHP. Certaines sont safe seules mais dangereuses combinées et je pense que les cybercriminels trouveront toujours un moyen de contourner cette whitelist.

En tout cas, comme je le laissais entendre en intro, c’est pas la première fois qu’AI-bolit se fait avoir sur la déobfuscation. En 2021, Talos avait déjà trouvé une faille sur unserialize dans le même composant. C’est la même blague car pour analyser du code malveillant sérialisé, il faut le désérialiser. Et désérialiser du contenu malveillant sans validation, ça fait “pwn” !

Voilà, 2 fois en 4 ans sur le même composant, c’est pas ce que j’appelle un accident. C’est un problème structurel car détecter du malware sans l’exécuter, c’est quasi impossible avec du code dynamique. Les signatures statiques ça marche bien pour les virus classiques mais face à du PHP obfusqué qui se reconstruit à l’exécution, vous êtes obligé de lancer le code pour voir ce qu’il fait vraiment. Et là, on est forcement en zone grise…

Même si on exécute du code potentiellement malveillant dans un environnement censé être isolé, si celui-ci “fuit” ou si le code malveillant trouve un moyen de sortir de la sandbox, vous avez une RCE. Et comme ImunifyAV tourne avec les privilèges nécessaires pour scanner tous les fichiers d’un serveur mutualisé, si vous compromettez cet antivirus, vous avez potentiellement accès à tous les sites hébergés sur la machine.

Si vous voulez tester, voici le proof of concept :

<?php
$data = "test";

$payload = "\x73\x79\x73\x74\x65\x6d"("\x74\x6f\x75\x63\x68\x20\x2f\x74\x6d\x70\x2f\x6c\x33\x33\x74\x2e\x74\x78\x74\x20\x26\x26\x20\x65\x63\x68\x6f\x20\x22\x44\x45\x46\x2d\x33\x36\x37\x38\x39\x22\x20\x3e\x20\x2f\x74\x6d\x70\x2f\x6c\x33\x33\x74\x2e\x74\x78\x74");
eval("\x70\x61\x63\x6b"($payload));
?>

php ai-bolit.php -y -j poc.php

Y’a plein d’images et de scans en PDF sur le net ou sur votre disque dur, qui sont difficilement exploitable / indexables parce que la reconnaissance de caractères n’a pas bien fonctionné. L’OCR automatique a par exemple transformé un mot-clé en charabia et c’est illisible. Du coup, ce passage est perdu dans les limbes et impossible de le retrouver avec une simple recherche textuelle. C’est moche.

Faut dire que le problème est réel car quand on numérise des millions de livres avec un OCR à 90% de précision, ça a l’air génial, sauf que les 10% d’erreurs ne sont pas aléatoires. C’est toujours les mêmes confusions qui reviennent : “A” qui devient “H”, “C” qui devient “G”, “22” qui se transforme en “55”. Et pour les documents historiques avec des polices anciennes, c’est encore pire.

Heureusement, il existe un outil gratuit et open source qui tourne dans votre navigateur et qui va vous permettre de corriger ces milliers d’erreurs OCR sans envoyer vos docs sur les serveurs de Google, Microsoft ou je ne sais quoi d’autre. Cela s’appelle ScribeOCR et vous allez l’adorer !

Pourquoi ? Hé bien parce que c’est un éditeur d’OCR open-source qui tourne à 100% dans votre navigateur, donc aucune donnée n’est envoyée sur le net et parce qu’il est capable de corriger toutes les erreurs efficacement ! L’interface affiche le texte OCRisé par-dessus l’image source, comme ça, vous voyez immédiatement où sont les problèmes et vous corrigez tout ça en série.

Et surtout ScribeOCR génère une police custom pour chaque document. Ça vous laisse garder l’apparence originale du doc, tout en ayant un texte parfaitement indexable pour des recherches par exemple. Vous obtenez ainsi un PDF qui ressemble au document d’origine mais où chaque mot est cliquable et cherchable. Bref, c’est super pratique si vous numérisez des archives ou des vieux bouquins.

L’outil supporte plusieurs moteurs OCR dont Tesseract LSTM et Legacy et vous pouvez ajuster les paramètres de reconnaissance selon le type de document : vitesse, qualité, langue…etc. Y’a même des options avancées pour le debug et l’optimisation des polices.

L’outil permet donc de créer des PDF recherchables à partir de scans (c’est le cas classique) mais également de corriger des données OCR existantes, y compris les fichiers HOCR de Tesseract. Et pour numériser complètement des documents ou livres anciens, l’interface de correction vous aidera à faire de l’excellent travail !

Le projet est open-source (licence AGPL-3.0) , ce qui veut dire que vous pouvez l’auto-héberger si vous voulez. Ainsi, pour l’installer en local, c’est très simple :

git clone --recursive https://github.com/scribeocr/scribeocr.git
cd scribeocr
npm i
npx http-server

L’IRC c’est un classique pour les anciens du net comme moi et même si ça n’a pas techniquement disparu, c’est quand même plus comme avant. Discord, Slack, et compagnie c’est rigolo mais quand même moins roots qu’un bon vieux mIRC par exemple, qui continue d’être maintenu encore aujourd’hui (une nouvelle version est même sortie y’a 2 jours).

Mais il existe également un autre client IRC plus récent, qui assume fièrement son look des années 90 et qui vient de sortir en version 0.9 en juillet dernier. Et il a été créé par Raphaël Mudge, le mec qui a développé Cobalt Strike, l’un des outils de pentest offensif les plus balèzes du marché.

jIRCii est donc un client IRC écrit en Java pour MacOS X, Windows et Linux, développé par Raphael Mudge qui a décidé de snober volontairement Discord, Slack, et tous ces trucs avec des bulles colorées et des GIFs animés de chats. jIRCii tente ainsi de maintenir la culture IRC des années 90, avec un look de terminal Windows, sans fioritures, comme si, je cite : “mIRC et ircii avaient eu un enfant et que BitchX était le vrai père de cet enfant”. Tout un programme.

Et surtout, jIRCii est entièrement scriptable. Et pas avec du Python ou du JavaScript… Plutôt avec Sleep, un langage Perl-like que Mudge a créé lui-même. Y’a même une lib de scripts communautaires dispo ici pour ceux qui veulent. Cela vous permettra par exemple de chiffrer vos messages, d’afficher dans le canal le MP3 que vous êtes en train d’écouter, de jeter des dés pour votre partie de JdR, de faire des recherches Google, ou encore de pouvoir vous connecter automatiquement à différents serveurs avec différents nicknames.

L’IRC redevient ainsi une plateforme programmable comme à l’époque, notamment avec mIRC avec ses scripts .mrc (vous vous souvenez ?). Voilà, si ça vous chauffe parce que vous trainez encore sur IRC, sachez que jIRCii embarque toutes les fonctionnalités qu’on attend d’un client IRC moderne comme :

• Liste de notification (savoir quand vos contacts se connectent)
• Complétion automatique (auto-complétion des pseudonymes)
• Transferts de fichiers DCC (envoi de fichiers direct de pair à pair)
• Support CTCP (Client-to-Client Protocol pour les commandes étendues)
• Connexions SSL aux serveurs (connexions chiffrées aux serveurs IRC)
• Plus de 70 alias intégrés pour automatiser les commandes les plus courantes

Et en plus, 2 thèmes visuels sont proposés. Le thème par défaut avec son look de terminal classique et le thème Analog IRC qui est une variante visuelle du précédent. Et vous pouvez ajouter aussi ceux de la communauté (ou développer le votre)

Bref, vous l’aurez compris, IRC n’est pas mort. Il n’est juste plus dans le vent même si pas mal de communautés tournent encore dessus, et en 2025, jIRCii offre une alternative sympa à WeeChat (TUI pur), HexChat (GTK), ou KVIrc (Qt).

Le site de jIRCii c’est ici !