This week, Florida made headlines after passing HB 3, a law banning children under 14 from accessing social media without parental consent.
Much less attention was given to another requirement under the law obligating "pornographic or sexually explicit websites" to "use age verification to prevent minors from accessing sites that are inappropriate for children," as Republican Florida Governor Ron DeSantis explained the law in a statement.
But Pornhub's parent company, Aylo, has taken notice, with a spokesperson confirming to Ars that "we are aware of the passage into law of HB 3 in Florida, which unfortunately fails to protect minors online."
Hé les amis, aujourd’hui laissez-moi vous présenter un outil génial qui vous facilitera la vie en vous permettant de télécharger des vidéos et d’extraire des pistes audios de différents formats à partir de centaines de sites, dont, YouTube, Facebook, Tiktok, Twitch, Twitter, Instagram et bien d’autres…
Cet outil s’appelle ytDownloader et vous l’aurez compris, c’est YoutubeDL derrière sauf que là, y’a une interface minimaliste facile à prendre en main. L’outil est bien sûr entièrement gratuit et Open Source.
Disponible sous Linux, Windows et macOS, cet utilitaire dispose de nombreuses fonctionnalités comme un mode clair/sombre, la possibilité de choisir un thème pour pas flinguer vos petits yeux, ainsi que la possibilité de télécharger une plage spécifique d’une vidéo si vous le souhaitez, ce qui est pratique pour extraire un morceau précis. Vous pouvez évidemment, après avoir entré l’URL de votre vidéo, choisir le format et la qualité de la vidéo et de l’audio que vous voulez récupérer, ce qui est super pratique pour faire par exemple des MP3 à partir de clips vidéos.
Cet outil prend également en charge le téléchargement des sous-titres et est disponible en plusieurs langues. Vous pouvez bien sûr configurer l’emplacement où enregistrer vos fichiers récupérés et il n’y a ni pubs ni traqueur dans l’application.
Pour résumer, ytDownloader est un outil super utile pour tous ceux qui ont besoin de récupérer des vidéos et/ou extraire des audios de différents formats à partir de différents sites. Je vous le conseille !
Rendez-vous sur leur site pour télécharger ytDownloader.
Merci à Lorenper pour le partage.
Attackers have transformed hundreds of hacked sites running WordPress software into command-and-control servers that force visitors’ browsers to perform password-cracking attacks.
A web search for the JavaScript that performs the attack showed it was hosted on 708 sites at the time this post went live on Ars, up from 500 two days ago. Denis Sinegubko, the researcher who spotted the campaign, said at the time that he had seen thousands of visitor computers running the script, which caused them to reach out to thousands of domains in an attempt to guess the passwords of usernames with accounts on them.
“This is how thousands of visitors across hundreds of infected websites unknowingly and simultaneously try to bruteforce thousands of other third-party WordPress sites,” Sinegubko wrote. “And since the requests come from the browsers of real visitors, you can imagine this is a challenge to filter and block such requests.”
Si vous aviez l’habitude d’utiliser la commande cache: de Google ou le petit lien qui allait bien pour consulter la copie d’une page web lorsque celle-ci a été supprimée, vous allez être triste puisque Google a retiré cette fonctionnalité aussi rapidement que Macron l’a fait pour les droits chômage.
Alors plutôt que de chialer comme un référenceur spécialisé en Lycos, je vous propose plutôt de vous rendre sur le site CachedView (jeu de mots cashew – noix de cajou) qui à partir de l’URL de votre choix, ira vérifier si des versions en cache existent sur Archive today, la bibliothèque du congrès, la Wayback Machine…etc et même Google Cache tant que ça fonctionne encore un peu.
Ensuite y’a plus qu’à cliquer sur les liens en vert, et vous pourrez consulter les copies en cache des sites probablement censurés par le nouvel ordre mondial comme d’habitude ^^.
Voilà, c’est aussi simple que ça !
It has never been easier to share your thoughts online. Anyone with a smartphone is mere seconds away from spinning up a new account on any number of popular social media platforms and screaming their opinions into the void. Then your casual, tossed-off thoughts are served up to The Algorithm, which decides whether it's briefly pushed in front of the gathered masses or almost instantly forgotten to the ephemeral tide of the endless scroll.
So there's something intensely charming about Final Fantasy VIII is the Best (FF8itB), a new highly personal fanblog focused on the red-headed stepchild of Square's early 3D RPG output. After a single weekend, the site is already an incredibly entertaining mess that evokes the best parts of a largely defunct and much more personal era of the Internet.
Over the years, Final Fantasy VIII has developed a pretty bad reputation among the community of hardcore Japanese-RPG fans. It's not hard to find detailed, borderline-irate takedowns of everything from the game's cheesy storyline to its overcomplicated junction system to a hidden enemy auto-leveling mechanic that makes it hard to feel truly powerful.
Si vous codez vous-même votre site web et que vous avez envie d’ajouter un peu de fiesta, de bonne humeur et de célébration à celui-ci, j’ai la lib qu’il vous faut.
Cela s’appelle Canvas Confetti et ça permet d’ajouter en animation de confetti, d’émoji ou de neige à vos pages web.
Pour l’installer, rien de plus simple:
npm install canvas-confetti
Importez ensuite la bibliothèque Canvas Confetti dans votre fichier JavaScript où vous souhaitez utiliser l’animation du confetti comme ceci :
import confetti from 'canvas-confetti';
Pour lancer l’animation du confetti, appelez la fonction confetti()
sans paramètres ou avec des options personnalisées. Voici un exemple de lancement de l’animation par défaut :
confetti();
Et voici un exemple de lancement de l’animation avec des options personnalisées :
confetti({
particleCount: 150, // Nombre de confetti à lancer
spread: 180, // Angle maximal de dispersion des confettis
startVelocity: 30, // Vitesse initiale des confettis
origin: {
x: Math.random(), // Position initiale aléatoire des confettis sur l'axe horizontal
y: Math.random() - 0.2 // Position initiale légèrement plus élevée sur l'axe vertical
},
colors: ['#ff0000', '#00ff00', '#0000ff'], // Couleurs des confettis
shapes: ['square', 'circle', 'star'], // Formes des confettis
scalar: 2 // Taille des confettis
});
Pour réinitialiser l’animation du confetti et effacer tous les confettis en cours d’animation, utilisez la méthode confetti.reset()
:
confetti.reset();
Si vous souhaitez limiter l’espace sur votre page où les confettis apparaissent, vous pouvez utiliser un canvas personnalisé. Pour cela, créez un élément <canvas>
dans votre HTML et appelez la fonction confetti.create()
en lui passant l’élément <canvas>
et des options globales facultatives :
const canvas = document.createElement('canvas');
document.body.appendChild(canvas);
const myConfetti = confetti.create(canvas, { // Options globales facultatives
resize: true, // Permet de redimensionner le canvas en fonction de la fenêtre
useWorker: true // Utilise un web worker pour le rendu du confetti
});
myConfetti({ // Options personnalisées
particleCount: 100,
spread: 160
// Autres options personnalisées
});
Enfin, si vous souhaitez créer des confettis personnalisés à partir d’une forme SVG ou d’un texte, utilisez les méthodes confetti.shapeFromPath
et confetti.shapeFromText
:
const pathShape = confetti.shapeFromPath({ path: 'M0 10 L5 0 L10 10z' }); // Forme SVG
const textShape = confetti.shapeFromText({ text: '🐈', scalar: 2 }); // Texte personnalisé
confetti({
shapes: [pathShape, textShape],
scalar: 2
});
Le mieux reste d’aller faire un tour sur la page de démo qui comporte également des exemples d’intégration.
Un grand exercice de cyberguerre organisé par l'armée (le Commandement de la cyberdéfense) pour former des étudiants a fait son retour à Nancy. Numerama a assisté à cette simulation où se mélangent cyberattaque et infiltration en tout genre.
Besoin d’accéder à un site bien chelou, bien dangereux ? Seulement, voilà, vous sanglotez de peur à l’idée de vous faire véroler.
Pas de panique, je suis là, comme d’habitude avec mes bonnes astuces.
Pour aller quand même sur une URL peu voire pas fiable du tout, il est possible de passer par un navigateur distant lancé au travers d’une sanbox. Et c’est exactement ce que propose le site Browser.lol.
Avec des fonctionnalités comme l’accès illimité, vous pouvez contourner les restrictions géographiques pour accéder à des contenus bloqués dans certaines localités. Cela garantit la protection de votre vie privée en ligne, permettant une navigation anonyme et sécurisée de votre identité numérique.
C’est également pratique pour vérifier la compatibilité des sites web avec différents navigateurs et appareils. De plus, l’outil permet de débloquer des sites web qui sont restreints sur un réseau ou par une organisation. Comme ça tout paaasssseeee !
Sur Browser.lol, vous trouverez plusieurs navigateurs comme Chrome, Firefox, Edge, ou encore Bravo, Opera et Tor, afin de faire vos tests.
Le site offre également des capacités de test de vulnérabilité pour identifier les failles de sécurité sur les sites web. Et pour les recherches discrètes (hmm-hmm), l’outil assure une recherche incognito, vous permettant de naviguer sans laisser de trace.
Enfin, l’expérience de navigation est améliorée par un blocage efficace des publicités, et le masquage du trafic permet de garder vos activités internet privées, loin des yeux de votre réseau local et de votre fournisseur d’accès internet.
Bref, c’est le genre de site bien pratique à garder dans vos favoris.
C'était une annonce très attendue, elle vient d'être confirmée : Free vient d'officialiser sa nouvelle Freebox Ultra, tête de gondole de son offre haut de gamme, avec notamment le support du Wi-Fi 7, une grande première mondiale pour une box d'opérateur. Ne l'appelez plus Freebox v9 : le successeur des Freebox Delta et Pop hérite d'un nouveau nom, la Freebox Ultra. Autour de quatre piliers (ultra-connectée, ultra-responsable, ultra-simple et ultra-généreuse), elle constitue la nouvelle offre haut de gamme de Free. Disponible dès aujourd'hui entre deux offres sans engagement, la Freebox Ultra Essentiel (39U+20AC99 par mois pendant 12 mois puis 49U+20AC99 par mois) et la Freebox Ultra (49U+20AC99 par mois pendant 12 mois puis 59U+20AC99 par mois), elle constitue l'offre haut de gamme de l'opérateur et inaugure une grande première internationale : c'est la première box Internet d'opérateur au monde à intégrer le Wi-Fi 7 et à proposer un accès symétrique 8 Gbps montant et descendant à ce niveau de prix. […]
Lire la suiteTo kick off the new year, Montana and North Carolina joined a growing number of states enforcing laws requiring age verification to access adult content online.
In the days before the laws took effect on January 1, Aylo—the owner of adult sites like Pornhub, Youporn, Brazzers, and Redtube—blocked access for users in both states, continuing to argue that requiring ID for every login makes adult sites less safe for everyone.
“As you may know, your elected officials in your state are requiring us to verify your age before allowing you access to our website," adult entertainer Cherie DeVille said in a public service announcement displayed to users attempting to access sites in Montana and North Carolina. "While safety and compliance are at the forefront of our mission, giving your ID card every time you want to visit an adult platform is not the most effective solution for protecting our users, and in fact, will put children and your privacy at risk.”
OMFG en anglais, ça veut dire « Oh My Fucking God » (C’est à dire « Bordel de dieu » comme disent les Belges) mais connaissez-vous : OMGF ?
OMGF c’est « Optimize My Google Fonts » et il s’agit d’un plugin pour WordPress qui va vous aider à récupérer et héberger sur votre serveur toutes les polices de caractère Google Fonts que vous utilisez sur votre site web. Cela a plein d’avantages. En effet, vous pourrez ainsi profiter des polices de Google en limitant les requêtes externes vers leurs serveurs. Votre site se chargera plus rapidement, le cache sera mieux géré et surtout, niveau RGPD, vous serez au top et vous n’irez pas croupir dans les geôles sombres et humides situées sous-sol des bureaux de la CNIL.
Globalement, une fois installé, y’a rien à faire. L’extension détecte automatiquement les Google Fonts de votre thème et de vos plugins et les met ensuite en cache. A vous d’affiner si besoin le chargement en amont ou pas (pré-chargement) de certaines polices situées dans vos CSS. Et si certaines polices ne sont pas utilisées, il les décharge également automatiquement.
Mais OMGF ne s’arrête pas là, il a plein d’autres fonctionnalités sous le capot : Support des polices variables, suppression automatique des sous-ensembles inutilisés pour alléger vos CSS de près de 90%, effacement des appels pointant vers fonts.googleapis.com ou fonts.gstatic.com, et bien plus encore, surtout avec la version OMGF Pro qui ajoute des choses comme la prise en charge multisite ou une fonctionnalité « Dig Deeper » pour une optimisation encore plus fine.
Si ça vous dit d’essayer, c’est sur le store des extensions WordPress en cliquant ici.
Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/
The appearance of any big brand's ads on websites that the brand has specifically blocked is one of a brand's biggest nightmares. That could include specifically blacklisted sites—like Breitbart—or any category of generally controversial site, like sites in countries sanctioned by the government, sites featuring hardcore pornography, or sites containing pirated content.
According to an Adalytics report, the Google Search Partner Network (SPN) has allegedly been putting brands at risk of all of these undesirable placements without advertisers fully realizing the dangers. Adalytics researchers reported finding Google search ads for top brands and government agencies displaying on hundreds of undesirable websites.
Among those impacted were big brands—like Amazon, Apple, BMW, Home Depot, Lego, Meta, Microsoft, Paramount+, Samsung, and Uber—and top government entities including the US Treasury and the European Commission. Ads from nonprofits like the American Cancer Society and St. Jude Children's Research Hospital, as well as major media outlets like The Guardian, The New York Times, and The Wall Street Journal were also found on illegal or adult sites.
It's Halloween, that time of year when we seek out scary things like vampires, werewolves, ghosts, mummies, and all kinds of similar fictional monsters. But Mother Nature has her own horrors—like the strange species of parasitic purple fungus discovered earlier this year in a Brazilian rainforest that infects trapdoor spiders and gradually "mummifies" its hosts.
There are lots of horrifying parasitic examples in nature, such as the lancet liver fluke, whose complicated life cycle relies on successfully invading successive hosts—snails, ants, and grazing mammals—and altering their hosts' behavior via a temperature-dependent "on/off" switch. Then there is a parasitic worm (trematode) that targets a particular species of marsh-dwelling brown shrimp (amphipod), turning the shrimp an orange hue and altering the host shrimp's behavior. Or consider the species of small-headed flies (Acroceridae) that lay batches of eggs near spiders (or in the webs) and when the larvae hatch, they pierce through the spiders' leg joints. There's also a kleptoparasitic fly species (Milichiidae) that steals food from spider webs and will sometimes snatch prey right out of a spider's mouth. (Rude!)
But fungi are arguably the champions for viscerally gruesome parasitic behavior. According to João Araújo, assistant curator of mycology at the New York Botanical Garden, the newly discovered fungus belongs to the Cordyceps family of "zombifying" parasitic fungi. There are more than 400 different species, each targeting a particular type of insect, whether it be ants, dragonflies, cockroaches, aphids, or beetles. In fact, Cordyceps famously inspired the premise of The Last of Us game and subsequent TV series.
The United Kingdom is experiencing a dramatic outbreak—unprecedented in scale and magnitude—of diarrheal illnesses from the intestinal parasite Cryptosporidium, aka Crypto.
According to a rapid communication published Thursday in the journal Eurosurveillance, UK health officials report that Crypto cases have exceeded the upper bounds of expected cases since mid-September, and an October peak saw cases roughly threefold above what is usual for this time of year. The outbreak is still ongoing.
Laboratory notifications of Cryptosporidium species in England, Wales, and Northern Ireland, by week of specimen, 2023. (credit: Eurosurveillance | Peake et al.)
So far, it's unclear what's driving the extraordinary burst in cases. The outbreak has splattered into almost every region of all four UK nations. "Given the scale and geographical spread of the [case] exceedance across regions and nations of the UK, a single local exposure is an unlikely cause," the authors, led by officials at the United Kingdom Health Security Agency in London, wrote in the rapid report.
— En partenariat avec Penpot —
Aujourd’hui, je vous invite à découvrir avec moi un outil de design que certains d’entre vous connaissent peut-être déjà : Penpot.
Si ce nom ne vous dit rien, ne vous en faites pas, je vais tout reprendre depuis le début et vous montrer pourquoi il est devenu un incontournable pour de nombreux designers et développeurs.
L’outil se présente comme une solution libre et open source que vous pouvez auto-héberger, mais qui est également accessible en ligne via votre navigateur. Conçu pour aider à la conception de designs pour les applications, les sites web et bien plus encore, il s’avère être un outil extrêmement intuitif. En quelques clics, vous placez vos éléments de design, des boutons, des images et d’autres composants, puis vous laissez Penpot générer le rendu du prototype et même le code CSS pour vous. Oui, directement du code CSS à intégrer dans vos projets web sans forcement avoir besoin de maitriser tous les paramètres de CSS.
L’une des grosses mises à jour récente de Penpot c’est son support du « flex layout ». Pour ceux qui ne sont pas familiers avec le terme, le flex layout (ou flexbox) est une norme CSS qui permet aux éléments de s’adapter automatiquement à la taille de l’écran ou de la fenêtre. Imaginez un bouton dont le texte change : au lieu de déborder, avec flexbox, le bouton s’agrandit. Penpot vous permet ainsi de créer des designs responsives, qui s’adaptent à toutes les tailles d’écran.
Evidemment, pour vous faire découvrir tout ça en détails, je vous ai concocté une vidéo tutoriel très détaillée de Flex Layout, pour que vous puissiez bien comprendre son fonctionnement et l’utiliser ensuite dans vos propres projets de sites web ou d’applications mobiles. J’espère que ça vous plaira !
Il est facile de se perdre dans les profondeurs de cet océan qu’est Internet, et peut-être que vous vous demandez comment garder un œil sur tous ces sites qui vous intéressent tant, sans avoir à les visiter frénétiquement chaque jour pour vérifier si quelque chose a changé. Alors bien sûr il y a les flux RSS mais quand on parle d’un site vitrine ou institutionnel, à part y passer de temps en temps, y’a pas grand chose à faire.
Mais que vous soyez passionné de tech, développeur web, ou simplement quelqu’un qui veut se tenir à jour avec les mises à jour de vos sites préférés, j’ai une solution pour vous : web.Monitor.
web.Monitor est un outil génial qui vous permet de suivre les modifications apportées aux sites Web en temps réel. Plus besoin de vérifier manuellement les sites pour les mises à jour ! Imaginez être averti dès que votre site préféré publie un nouvel article, ou dès qu’une nouvelle version de votre logiciel favori est disponible. Grâce à web.Monitor, vous pouvez désormais le faire facilement.
Ce petit logiciel libre et en ligne de commande est rapide et facile à utiliser, offrant une surveillance continue, une configuration flexible, un stockage persistant, une journalisation détaillée, des notifications, la visualisation des modifications, le filtrage des domaines, l’automatisation et la personnalisation. Cerise sur le gâteau, il prend en charge les notifications ce qui vous permettra ensuite d’envoyer des updates vers vos Telegram, Slack et Discord pour ne jamais manquer une alerte !
Pour configurer web.Monitor, commencez par définir le chemin des binaires dans le fichier web-monitor.ini
.
Pour ajouter une URL à la base de données, vous pouvez utiliser les commandes suivantes pour suivre une liste de sites ou un site seulement :
python3 web.monitor.py --add-urls urls.txt
python3 web.monitor.py --add korben.info
Les notifications seront alors envoyées après le premier scan.
Pour scanner toutes les URL d’un domaine racine, vous pouvez également utiliser :
python3 web.monitor.py -df roots.txt --check -H 1
python3 web.monitor.py -D korben.info --check -H 1
Le paramètre -df est utilisé pour analyser toutes les URL d’un domaine racine. Par exemple, si les URL admin.site.com et admin.site2.com se trouvent dans la base de données et que le fichier roots.txt contient uniquement *.site.com, l’analyse portera sur *.site.com.
L’indicateur -D , quand à lui, analyse uniquement les URL du site indiqué dans la commande. Le paramètre -H est utilisé pour spécifier que le domaine sera scanné toutes les 1 heures, et bien sûr, vous pouvez personnaliser cela. La recommandation c’est de scanner toutes les 12 ou 24 heures afin de ne pas vous faire blacklister ou Ddos les sites.
Et si vous voulez afficher les changements d’un domaine spécifique, voici la commande qu’il vous faut :
python3 web.monitor.py -D korben.info --show-changes
Voilà ! Grâce à web.Monitor, vous pouvez maintenant suivre les modifications de vos sites préférés sans effort. Fini les vérifications manuelles et les actualisations frénétiques. Il est temps de vous détendre et de laisser ce script python faire le travail pour vous !
Catching malaria in the US is extremely rare, but when it happens, the mosquito-borne parasite can masquerade as another parasite that's regularly found in the country, leading to a misdiagnosis that has foiled doctors around the world for years. Such was the case this year in Maryland, when the state saw its first locally acquired malaria case in over 40 years, according to a report this week.
The misdiagnosis led the patient to a weeks-long treatment for the wrong infection and held up public health responses to pinpoint and thwart further transmission. To date, the source of the patient's infection remains a mystery.
As global travel and climate warming expand malaria's range, awareness of the diagnostic pitfall and better testing will be increasingly needed, the report's authors suggest. The report was published Thursday in the Centers for Disease Control and Prevention's Morbidity and Mortality Weekly Report.
Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/
Thousands of sites running the WordPress content management system have been hacked by a prolific threat actor that exploited a recently patched vulnerability in a widely used plugin.
The vulnerable plugin, known as tagDiv Composer, is a mandatory requirement for using two WordPress themes: Newspaper and Newsmag. The themes are available through the Theme Forest and Envato marketplaces and have more than 155,000 downloads.
Tracked as CVE-2023-3169, the vulnerability is what’s known as a cross-site scripting (XSS) flaw that allows hackers to inject malicious code into webpages. Discovered by Vietnamese researcher Truoc Phan, the vulnerability carries a severity rating of 7.1 out of a possible 10. It was partially fixed in tagDiv Composer version 4.1 and fully patched in 4.2.
Hé salut les gens !
Si comme moi, vous avez un vieux site web plein de liens cassés et pas spécialement optimisé SEO, voici un outil très intéressant : Issue Detector.
Vous le savez, quand on a un site web, il est crucial de veiller à ce qu’il fonctionne correctement et offre une expérience utilisateur optimale. C’est bien pour l’utilisateur et Google surveille ça de près, contraignant les webmasters à se plier à ses exigences d’optimisation, sans quoi, les pages du site disparaitront dans le fond du classement.
Issue Detector est donc un véritable couteau suisse pour surveiller et optimiser votre site web. Il vous aide à détecter les problèmes de performance, à suivre les modifications de vos pages et même à surveiller la disponibilité de votre site. Grâce aux alertes en temps réel et aux analyses approfondies, vous pouvez rapidement identifier et résoudre les problèmes pour optimiser votre présence en ligne.
Ce qui m’a vraiment impressionné dans cet outil, c’est la facilité avec laquelle vous pouvez repérer les chevauchements de contenu, améliorant ainsi votre référencement et vous permettant de mieux structurer vos pages pour une meilleure lisibilité.
C’est comme si vous aviez un œil de faucon pour surveiller votre site, vous signalant les moindres problèmes afin que vous puissiez les résoudre rapidement et efficacement.
L’outil vous permet également d’analyser et d’affiner vos titres de pages et méta-descriptions, contribuant ainsi à améliorer vos taux de clics et vos classements dans les moteurs de recherche. Imaginez cela comme une lampe de poche, éclairant les zones d’ombre et vous montrant où concentrer vos efforts pour un gâteau SEO bien cuit !
Ne s’arrêtant pas là, il vérifie également les en-têtes manquants et les liens brisés, s’assurant que les robots d’exploration des moteurs de recherche pourront facilement naviguer sur votre site.
Ainsi, plutôt que de laisser des erreurs 404 frustrer vos visiteurs et les moteurs de recherche, Issue Detector se chargera de les trouver, ce qui vous permettra de vous concentrer sur d’autres tâches plus créatives (ou rémunératrices…hé hé).
L’outil est gratuit en version limitée à 2 domaines et un scan par tranche de 24h. Je vous invite à le tester, vous allez apprendre plein de choses sur votre site.
Et n’oubliez pas, l’avenir appartient à ceux qui comprennent que parfois, faire mieux, c’est faire autrement.
Il y a quelque temps, j’ai découvert une étude intéressante réalisée par des chercheurs de l’Université du Québec sur la sécurité du code généré par ChatGPT, le modèle de langage développé par OpenAI. Vous vous demandez peut-être ce qu’ils ont trouvé ? Eh bien, accrochez-vous, car les résultats sont surprenants !
Les chercheurs ont demandé à ChatGPT de générer 21 programmes et scripts dans différents langages, et seuls cinq d’entre eux étaient sécurisés dès la première tentative. Après avoir insisté pour que ChatGPT corrige ses propres erreurs, ils ont réussi à obtenir sept codes sécurisés de plus.
Une partie du problème semble provenir du fait que ChatGPT ne prend pas en compte un modèle d’exécution de code de type « adversarial« . En d’autres termes, il ne considère pas que le code qu’il génère pourrait être utilisé à des fins malveillantes. De plus, ChatGPT refuse de créer un code offensif, mais créera volontiers un code vulnérable, ce que les auteurs considèrent comme une incohérence éthique.
Les chercheurs ont également constaté qu’une des « réponses » de ChatGPT comme solution miracle aux préoccupations de sécurité était d’avoir uniquement des entrées valides, ce qui n’est pas vraiment réaliste dans le monde réel. De plus, le modèle ne fournit jamais de conseils utiles pour renforcer la sécurité d’un code, sauf si on lui demande précisemment de remédier aux problèmes. Et pour lui demander ça, il faut savoir quelles demandes lui formuler exactement, ce qui veut dire que vous devez vous-même être familier du langage et des vulnérabilités, par avance.
En conclusion de leur étude, les chercheurs pensent que ChatGPT, sous sa forme actuelle, représente un risque et que l’IA est victime du syndrome de Dunning Krüger. Les étudiants et les développeurs doivent être parfaitement conscients que le code généré avec ce type d’outil peut être non sécurisé. De plus, le comportement du modèle est imprévisible, car il peut générer un code sécurisé dans un langage et un code vulnérable dans un autre.
Bref, si vous utilisez ChatGPT ou un autre outil similaire (Github Copilot…etc) pour générer du code, gardez à l’esprit qu’il ne faut pas prendre pour argent comptant que le code fourni est sécurisé. Soyez vigilant et assurez-vous de vérifier et de tester le code pour détecter les éventuelles vulnérabilités. Et n’oubliez pas, comme dit Gaston Lagaffe : « La sécurité avant tout ! »