03 Ressources

Sources, outils et liens mentionnés dans les vidéos.

Ton container Docker n'est pas sécurisé. Voilà pourquoi.
▶ vidéo DockerContainersCybersécuritéDevOpsKubernetes

Sources — “Ton container Docker n’est pas sécurisé. Voilà pourquoi.”

Passe-Tech | À venir

🏗️ Fondamentaux — Isolation & surface d’attaque

Docker Documentation — Security overview Vue d’ensemble officielle du modèle de sécurité Docker. Namespaces Linux, cgroups, capabilities, seccomp. Point de départ incontournable pour comprendre ce que le runtime garantit (et ne garantit pas). 🔗 https://docs.docker.com/engine/security/

Linux Kernel — Namespaces & cgroups Documentation des primitives noyau qui fondent l’isolation des containers. Explique pourquoi un container n’est pas une VM. 🔗 https://man7.org/linux/man-pages/man7/namespaces.7.html

🔓 Vecteurs d’attaque courants

OWASP Docker Security Cheat Sheet Liste structurée des mauvaises configurations les plus exploitées : daemon exposé, conteneur privilégié, montage du socket Docker, volumes sensibles. 🔗 https://cheatsheetseries.owasp.org/cheatsheets/Docker_Security_Cheat_Sheet.html

NCC Group — “Understanding and Hardening Linux Containers” (2016) Référence technique sur la profondeur des mécanismes d’isolation. Toujours pertinent pour comprendre les limites fondamentales. 🔗 https://research.nccgroup.com/wp-content/uploads/2020/07/ncc_group_understanding_hardening_linux_containers-1-1.pdf

Trail of Bits — “Docker for Pentesters” Techniques d’évasion de container documentées : abus du socket Docker, escape via /proc, exploitation des capabilities non restreintes. 🔗 https://blog.trailofbits.com/2019/07/19/docker-for-pentesters/

🖼️ Sécurité des images

Snyk — State of Open Source Security Report (dernière édition) Statistiques sur la présence de CVE dans les images Docker Hub officielles. Chiffres d’impact réels. 🔗 https://snyk.io/reports/open-source-security/

Chainguard — “Minimal Container Images” Approche distroless/minimal pour réduire la surface d’attaque. Comparaison avec les images classiques Alpine et Debian. 🔗 https://www.chainguard.dev/unchained/minimal-container-images-towards-a-more-secure-future

Google — Distroless Images Dépôt de référence des images sans shell ni gestionnaire de paquets, utilisées en production chez Google. 🔗 https://github.com/GoogleContainerTools/distroless

🔬 Runtime Security

Falco (CNCF) — Documentation Outil de détection comportementale en temps réel pour containers. Règles basées sur les syscalls. 🔗 https://falco.org/docs/

gVisor — Sandbox kernel (Google) Noyau applicatif en espace utilisateur pour isoler les containers de l’hôte. Architecture et cas d’usage. 🔗 https://gvisor.dev/docs/

Kata Containers Containers dans des micro-VMs légères. Isolation renforcée par hyperviseur. 🔗 https://katacontainers.io/learn/

🛠️ Durcissement & outils

CIS Docker Benchmark Référentiel de durcissement Docker publié par le Center for Internet Security. Base des audits de conformité. 🔗 https://www.cisecurity.org/benchmark/docker

Docker Bench for Security Script d’audit automatisé qui vérifie la conformité au CIS Benchmark sur un hôte Docker. 🔗 https://github.com/docker/docker-bench-security

Trivy (Aqua Security) — Scanner de vulnérabilités Scanner de CVE pour images, filesystems, dépôts Git et configurations IaC. Standard de facto dans les pipelines CI. 🔗 https://trivy.dev/

Dockle — Linter d’images Docker Analyse les bonnes pratiques de sécurité dans un Dockerfile (USER non-root, HEALTHCHECK, etc.). 🔗 https://github.com/goodwithtech/dockle

☸️ Kubernetes & orchestration

Kubernetes — Pod Security Standards Trois niveaux de politique de sécurité (Privileged, Baseline, Restricted). Remplacement des PodSecurityPolicies. 🔗 https://kubernetes.io/docs/concepts/security/pod-security-standards/

NSA/CISA — Kubernetes Hardening Guide (2022) Guide officiel de durcissement Kubernetes publié par les agences de sécurité américaines. Sections sur la sécurité des containers dans un cluster. 🔗 https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2716980/nsa-cisa-release-kubernetes-hardening-guidance/

📖 Contexte & incidents notables

Sysdig — “TeamTNT : Inside a Container Attack” Analyse d’une campagne réelle ciblant les démons Docker exposés sur Internet. Cryptomining, lateral movement, exfiltration de credentials AWS. 🔗 https://sysdig.com/blog/teamtnt-malicious-docker-hub-container/

Aqua Security — “The Container Threat Landscape Report” Rapport annuel sur les attaques observées en production contre des containers et clusters Kubernetes. 🔗 https://www.aquasec.com/cloud-native-threats/

Sources compilées le 23 mai 2026.

Reverse Proxy, Load Balancer, API Gateway : c'est quoi la différence ?
▶ vidéo Reverse ProxyLoad BalancerAPI GatewayNginxTraefikKongRéseauArchitecture

Sources - “Reverse Proxy, Load Balancer, API Gateway : c’est quoi la différence ?”

Passe-Tech | Mai 2026

🎟️ L’incident Ticketmaster - Eras Tour

Ticketmaster - Communiqué officiel : “Taylor Swift The Eras Tour On-Sale Explained” Source primaire de l’incident. Chiffres officiels : 3,5 millions de pré-inscrits au programme Verified Fan, 3,5 milliards de requêtes système en une journée (“4x notre précédent pic”). 🔗 https://business.ticketmaster.com/press-release/taylor-swift-the-eras-tour-onsale-explained/

Wikipedia - Taylor Swift–Ticketmaster controversy Chronologie de l’incident, effondrement du site en moins d’une heure, réactions des fans et des législateurs. 🔗 https://en.wikipedia.org/wiki/Taylor_Swift%E2%80%93Ticketmaster_controversy

CBS News - “Taylor Swift fans battle ticket bots and Ticketmaster” Le chiffre de “14 millions de tentatives” qui circule dans les médias. ⚠️ Le chiffre officiel Ticketmaster est “3,5 milliards de requêtes système” - à préférer. 🔗 https://www.cbsnews.com/news/taylor-swift-fans-battle-ticket-bots-and-ticketmaster/

🔧 Documentation officielle des outils

Nginx - Documentation officielle Reverse Proxy et Load Balancer. Référence principale pour la configuration des upstreams, les algorithmes de répartition de charge, et la terminaison SSL. 🔗 https://nginx.org/en/docs/

Caddy - Documentation officielle Reverse Proxy avec HTTPS automatique via Let’s Encrypt. Configuration déclarative via Caddyfile. 🔗 https://caddyserver.com/docs/

Traefik - Documentation officielle Reverse Proxy et API Gateway cloud-native. Détection automatique des services (Docker, Kubernetes). 🔗 https://doc.traefik.io/traefik/

HAProxy - Documentation officielle Load Balancer haute performance, référence du secteur pour les déploiements critiques. 🔗 https://www.haproxy.org/#docs

AWS Elastic Load Balancer - Documentation officielle Load Balancer managé AWS. Couvre les types ALB (L7), NLB (L4), et CLB. 🔗 https://docs.aws.amazon.com/elasticloadbalancing/

Kong - Documentation officielle API Gateway open source. Gestion des plugins (auth, rate limiting, cache, logging). 🔗 https://docs.konghq.com/

AWS API Gateway - Documentation officielle API Gateway managé AWS. Intégration native avec Lambda, IAM, et CloudWatch. 🔗 https://docs.aws.amazon.com/apigateway/

Apigee - Documentation officielle API Gateway Google Cloud. Gestion du cycle de vie des APIs, analytics, monétisation. 🔗 https://cloud.google.com/apigee/docs

🔬 Points techniques

Nginx - Health Checks : actifs vs passifs Health checks passifs natifs en version open source ; health checks actifs (polling proactif) disponibles uniquement sur Nginx Plus. 🔗 https://docs.nginx.com/nginx/admin-guide/load-balancer/http-health-check/

Kong - Proxy Cache Plugin Cache de réponses HTTP via Redis ou mémoire. Réduction de la charge sur les services upstream. 🔗 https://docs.konghq.com/hub/kong-inc/proxy-cache/

Nginx - SSL/TLS : Termination vs Passthrough (L4) SSL offloading (déchiffrement au niveau du Load Balancer) vs SSL passthrough (trafic chiffré transféré tel quel jusqu’au serveur backend). 🔗 https://docs.nginx.com/nginx/admin-guide/security-controls/terminating-ssl-tcp/

Wikipedia - Modèle OSI Les 7 couches du modèle OSI. L4 = Transport (TCP/UDP), L7 = Application (HTTP/HTTPS). Base pour comprendre la distinction entre Load Balancing L4 et L7. 🔗 https://en.wikipedia.org/wiki/OSI_model

⚖️ Algorithmes de Load Balancing

Nginx - Load Balancing : documentation des algorithmes Description et configuration des trois algorithmes principaux :

  • Round-robin - distribution séquentielle cyclique (défaut)
  • Least connections - envoi vers le serveur avec le moins de connexions actives
  • IP hash - même client → même serveur (affinité de session) ⚠️ limité derrière NAT 🔗 https://nginx.org/en/docs/http/load_balancing.html
Project Glasswing : les Avengers de la cybersécurité ?
AnthropicGlasswingMythosCyberSécuritéOpenSourceIA

Sources — “Project Glasswing : les Avengers de la cybersécurité ?”

Passe-Tech | Avril 2026

🤖 Sources primaires — Anthropic

Anthropic — Annonce officielle Project Glasswing (7 avril 2026) Annonce du consortium, liste des 12 partenaires de lancement, engagement de 100M$ en crédits d’usage et 4M$ en dons à des organisations open source. 🔗 https://www.anthropic.com/glasswing

Anthropic — Red Team Blog : “Assessing Claude Mythos Preview’s cybersecurity capabilities” (7 avril 2026) Détails techniques complets sur les capacités offensives de Mythos Preview. Inclut les cas Firefox 147, OpenBSD 27 ans, FFmpeg 16 ans / 5M passes, le scaffold utilisé, et la comparaison Opus 4.6 (near-0%) vs Mythos (181 exploits). Source du chiffre 83,1% sur CyberGym. 🔗 https://red.anthropic.com/2026/mythos-preview/

Anthropic — Claude Mythos Preview System Card (7 avril 2026) Document de 244 pages. Source des incidents de comportement (sandbox escape, effacement git, jugements subjectifs sur l’alignement). Contient la note de bas de page n°10 sur Sam Bowman et le sandwich. 🔗 https://www.anthropic.com/claude-mythos-preview-system-card

Anthropic — Alignment Risk Update : Claude Mythos Preview (7 avril 2026) Rapport d’évaluation des risques d’alignement. Source des citations sur les “jugements subjectifs” et l’absence de confiance dans l’identification exhaustive des problèmes. 🔗 https://www.anthropic.com/claude-mythos-preview-risk-report

📰 Sources secondaires — Presse et analyses

NBC News — “Anthropic Project Glasswing: Mythos Preview gets limited release” Citations de Logan Graham (head of offensive cyber research) sur l’autonomie et le “long-range-ness” du modèle. Citation de Heidy Khlaaf sur l’absence de taux de faux positifs dans les benchmarks publiés. 🔗 https://www.nbcnews.com/tech/security/anthropic-project-glasswing-mythos-preview-claude-gets-limited-release-rcna267234

Simon Willison — “Project Glasswing—restricting Claude Mythos to security researchers” (7 avril 2026) Analyse indépendante. Mention de Mythos comme premier modèle à finir un cyber range privé de bout en bout. Retranscription de la vidéo Nicholas Carlini sur le chaînage de vulnérabilités. 🔗 https://simonwillison.net/2026/Apr/7/project-glasswing/

The Register — “Project Glasswing and open source: The good, bad, and ugly” (10 avril 2026) Opinion critique : “Just what FOSS developers need — a flood of AI-discovered vulnerabilities.” Source de la formulation “Mythos ferait s’effondrer l’internet en une journée”. 🔗 https://www.theregister.com/2026/04/10/project_glasswing/

Penligent — “Claude Mythos Preview Is Not Black Box Pentesting” (8 avril 2026) Analyse technique précise sur la distinction white-box vs black-box. Démontre que ce qu’Anthropic a testé (code source fourni, conteneur isolé) n’est pas équivalent à un pentest sur une application web live. 🔗 https://www.penligent.ai/hackinglabs/claude-mythos-preview-is-not-black-box-pentesting

Decrypt — “Anthropic’s Mythos Safety Report Shows It Can No Longer Fully Measure What It Built” Analyse des hedges linguistiques dans la system card. Comparaison quantitative avec Opus 4.6 : augmentation des termes subjectifs, “caveat”, “not confident”. Source de la métaphore du guide de montagne. 🔗 https://decrypt.co/363663/anthropic-claude-mythos-safety-report-warning-risk-assesment

LessWrong — “Excerpts and Notes on Mythos Model Card” Analyse des claims internes sur les “grandes contributions” de Mythos qui se sont dégonflées à l’examen. Source de la nuance sur ce qui semblait être de la découverte autonome vs exécution fiable d’approches humaines. 🔗 https://www.lesswrong.com/posts/ZfbChZBXgje8T6Geu/excerpts-and-notes-on-mythos-model-card

Picus Security — “The Glasswing Paradox” (2026) Source de l’IPO potentielle en octobre 2026 et de l’accord Broadcom. Citation de Larry Dignan (Constellation Research) : “Glasswing is good for the industry and great marketing for Claude.” 🔗 https://www.picussecurity.com/resource/blog/anthropics-project-glasswing-paradox

⚖️ Sources — Contexte Pentagon / juridique

ABC News — “Anthropic and Pentagon supply chain dispute” Détails des négociations entre Anthropic et le Pentagone. Refus de lever les garde-fous sur les armes autonomes et la surveillance de masse. Annonce de la liste noire fin février 2026. 🔗 https://abcnews.com/Politics/anthropic-latest-pentagon-contract-bar-ai-autonomous-weapons/story?id=130558898

CNBC — “Claude used in Iran strikes” Confirmation que le Pentagone a continué d’utiliser Claude dans les opérations en Iran malgré la désignation “supply chain risk”. 🔗 https://www.cnbc.com/2026/03/05/anthropic-pentagon-ai-claude-iran.html

CNN — “Judge blocks Pentagon’s effort to punish Anthropic” (26 mars 2026) Injonction préliminaire du juge Rita Lin bloquant la désignation supply chain risk. Citation : “Nothing in the governing statute supports the Orwellian notion that an American company may be branded a potential adversary.” 🔗 https://www.cnn.com/2026/03/26/business/anthropic-pentagon-injunction-supply-chain-risk

CNBC — “Anthropic loses appeals court bid” (8 avril 2026) La cour d’appel de Washington refuse de suspendre la désignation le lendemain de l’annonce Glasswing. Citation : “The equitable balance here cuts in favor of the government.” 🔗 https://www.cnbc.com/2026/04/08/anthropic-pentagon-court-ruling-supply-chain-risk.html

Bloomberg — “Anthropic Fails to Halt US Label as a Supply Chain Risk” (8 avril 2026) Arguments oraux fixés au 19 mai. Reconnaissance par la cour qu’Anthropic “is likely to suffer some irreparable harm”. 🔗 https://www.bloomberg.com/news/articles/2026-04-08/anthropic-fails-for-now-to-halt-us-label-as-a-supply-chain-risk

🛠️ Sources — Open source sous-financé

Wikipedia — Core Infrastructure Initiative Chiffres sur OpenSSL avant Heartbleed : 1 développeur à plein temps, 20 000$/an de salaire, 2 000$/an de dons. Contexte de la création du CII après la découverte de Heartbleed en 2014. 🔗 https://en.wikipedia.org/wiki/Core_Infrastructure_Initiative

USC Viterbi — “Hacked: The overlooked and under-supported open source projects” Analyse des incidents XZ Utils (2024) et Heartbleed. Confirmation du mainteneur unique Lasse Collin, épuisement documenté, tactiques de l’attaquant “Jia Tan” sur 2 ans. 🔗 https://illumin.usc.edu/hacked-open-source-projects/

The New Stack — “cURL’s Daniel Stenberg: AI is DDoSing open source” (février 2026) Interview de Stenberg à FOSDEM 2026. Source de la citation “will to live” (hampering our will to live). Chiffres 1/20 à 1/30 de validité. Twist : AISLE trouve de vraies CVEs pendant que le bug bounty s’effondre. 🔗 https://thenewstack.io/curls-daniel-stenberg-ai-is-ddosing-open-source-and-fixing-its-bugs/

Daniel Stenberg — Blog personnel : “The end of the curl bug-bounty” (26 janvier 2026) Source primaire de la citation exacte : “The never-ending slop submissions take a serious mental toll to manage and sometimes also a long time to debunk. Time and energy that is completely wasted while also hampering our will to live.” 🔗 https://daniel.haxx.se/blog/

BleepingComputer — “curl ending bug bounty program after flood of AI slop reports” (janvier 2026) Chiffres sur les soumissions IA : 20% des rapports en 2025, taux de validité 5%. Contexte de la fermeture du programme HackerOne. 🔗 https://www.bleepingcomputer.com/news/security/curl-ending-bug-bounty-program-after-flood-of-ai-slop-reports/

LessWrong — “AI found 12 of 12 OpenSSL zero-days while curl cancelled its bug bounty” Source du twist curl : l’IA sérieuse (AISLE) soumet 5 vraies CVEs pendant que le bug bounty s’effondre. Dans la release 8.18.0 : 3 des 6 corrections de sécurité attribuées à AISLE. 🔗 https://www.lesswrong.com/posts/7aJwgbMEiKq5egQbd/ai-found-12-of-12-openssl-zero-days-while-curl-cancelled-its

Sources compilées le 16 avril 2026. La situation juridique entre Anthropic et le Pentagone étant en cours (arguments oraux fixés au 19 mai 2026), certaines informations peuvent évoluer.

litellm : le braquage raté qui a quand même marché
▶ vidéo liteLLMSupply Chain AttackCybersécuritéPython

Sources — “litellm : le braquage raté qui a quand même marché”

Passe-Tech | 01 avril 2026

🔎 Découverte & analyse initiale

FutureSearch — Rapport de découverte (24 mars 2026) Première divulgation publique de l’attaque. Analyse technique du fichier litellm_init.pth, timeline de l’incident, description du payload en trois étapes. 🔗 https://futuresearch.ai/blog/litellm-pypi-supply-chain-attack

FutureSearch — Analyse de l’ampleur : “Were You One of the 47,000?” (25 mars 2026) Requête BigQuery sur les téléchargements PyPI pendant la fenêtre d’attaque. Chiffres : 46 996 téléchargements, 2 337 paquets dépendants, 88% exposés. Distinction entre les deux vecteurs 1.82.7 et 1.82.8. 🔗 https://futuresearch.ai/blog/litellm-hack-were-you-one-of-the-47000

FutureSearch — Checker interactif Outil permettant de vérifier si un paquet PyPI dépend de litellm et s’il était exposé pendant la fenêtre d’attaque. 🔗 https://futuresearch.ai/tools/litellm-checker

🏢 Réponse officielle des mainteneurs

BerriAI / litellm — Security Update (25 mars 2026) Déclaration officielle des mainteneurs. Confirmation que la compromission provient de la dépendance Trivy dans le pipeline CI. Pause des nouvelles releases. Scripts de détection pour GitHub Actions et GitLab CI. 🔗 https://docs.litellm.ai/blog/security-update-march-2026

GitHub Issue #24512 — BerriAI/litellm Thread communautaire original de signalement. Inclut la fermeture de l’issue par le compte compromis et la réponse de la communauté. 🔗 https://github.com/BerriAI/litellm/issues/24512

🔬 Analyses techniques approfondies

Snyk — “How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM” Analyse complète de la chaîne d’attaque Trivy → litellm. Timeline détaillée, description du mécanisme .pth, analyse du botnet de 88 comptes compromis en 102 secondes. Lien avec la campagne Trivy du 19 mars. 🔗 https://snyk.io/articles/poisoned-security-scanner-backdooring-litellm/

Endor Labs — “TeamPCP Isn’t Done” Analyse de la campagne globale TeamPCP sur 5 écosystèmes. Identification de la Phase 09. Évaluation des prochaines cibles probables (RubyGems, crates.io, Maven Central). 🔗 https://www.endorlabs.com/learn/teampcp-isnt-done

Sonatype — “Compromised litellm PyPI Package Delivers Multi-Stage Credential Stealer” Analyse du payload multi-étapes. Détection automatique par Sonatype dans les secondes suivant la publication (sonatype-2026-001357). Mention des liens supposés avec LAPSUS$. 🔗 https://www.sonatype.com/blog/compromised-litellm-pypi-package-delivers-multi-stage-credential-stealer

The Hacker News — “TeamPCP Backdoors LiteLLM Versions 1.82.7–1.82.8 via Trivy CI/CD Compromise” Synthèse de la campagne. Déclarations de TeamPCP sur Telegram. Collaboration supposée avec LAPSUS$. Chiffre Wiz : litellm présent dans 36% des environnements cloud. 🔗 https://thehackernews.com/2026/03/teampcp-backdoors-litellm-versions.html

Truesec — Threat Notice Indicateurs de compromission (IOC). Domaines d’exfiltration : models.litellm.cloud et checkmarx.zone/raw. 🔗 https://www.truesec.com/hub/blog/malicious-pypi-package-litellm-supply-chain-compromise

📊 Analyse d’impact

Comet — Post-mortem public Seule organisation à avoir communiqué publiquement sur l’incident. Confirmation de deux pipelines CI compromis. Audit de 50+ dépôts GitHub. 🔗 https://www.comet.com/site/blog/litellm-supply-chain-attack/

Arctic Wolf — Campaign Analysis Analyse de la campagne globale TeamPCP (Trivy + Checkmarx KICS + litellm). Estimation : au moins 1 000 environnements SaaS d’entreprise potentiellement affectés. 🔗 https://arcticwolf.com/resources/blog/teampcp-supply-chain-attack-campaign-targets-trivy-checkmarx-kics-and-litellm-potential-downstream-impact-to-additional-projects/

🕵️ Contexte de la campagne TeamPCP

Kaspersky — “Trojanization of Trivy, Checkmarx, and LiteLLM” Vue d’ensemble de la campagne. CVE-2026-33634 (score CVSS4B : 9.4). Timeline complète des trois attaques. Description de la technique de réécriture des tags Git. 🔗 https://www.kaspersky.com/blog/critical-supply-chain-attack-trivy-litellm-checkmarx-teampcp/55510/

Microsoft Security Blog — “Detecting, Investigating, and Defending Against the Trivy Supply Chain Compromise” Analyse technique de la compromission Trivy. Explication du mécanisme de tags Git mutables. Détections Microsoft Defender. 🔗 https://www.microsoft.com/en-us/security/blog/2026/03/24/detecting-investigating-defending-against-trivy-supply-chain-compromise/

ReversingLabs — “TeamPCP Software Supply Chain Attack Spreads to LiteLLM” Analyse de la compromission du compte GitHub du co-fondateur de litellm, Krish Dholakia. Défacement automatisé des dépôts le 24 mars à 14h00 UTC. 🔗 https://www.reversinglabs.com/blog/teampcp-supply-chain-attack-spreads

Aikido Security — Documentation du hackerbot-claw Documentation de l’utilisation d’un agent IA autonome (hackerbot-claw) dans la compromission initiale de Trivy. Premier cas documenté d’agent IA utilisé opérationnellement dans une supply chain attack. (Référencé via Snyk et Endor Labs)

🏛️ Alertes institutionnelles

PyPI — Advisory officiel Avis de quarantaine des versions 1.82.7 et 1.82.8. Recommandations de rotation des credentials. 🔗 https://pypi.org (advisory interne, référencé dans les analyses Snyk et CSO Online)

FBI Cyber Division — Alerte formelle (27 mars 2026) Déclaration publique de Brett Leatherman, Assistant Director. Anticipation d’une vague d’annonces de compromissions et de tentatives d’extorsion. (Référencé via Infosecurity Magazine) 🔗 https://www.infosecurity-magazine.com/news/teampcp-litellm-pypi-supply-chain/

📖 Documentation technique de référence

Python — Documentation officielle des fichiers .pth Spécification du mécanisme site-packages et du comportement d’exécution des fichiers .pth au démarrage de l’interpréteur. 🔗 https://docs.python.org/3/library/site.html

PyPI Blog — Analyse de l’attaque Ultralytics (décembre 2024) Contexte historique : précédent notable d’attaque supply chain via GitHub Actions sur un paquet Python IA (Ultralytics YOLO). Mécanisme de cache poisoning documenté. 🔗 https://blog.pypi.org/posts/2024-12-11-ultralytics-attack-analysis/

Sources compilées le 29 mars 2026. La campagne TeamPCP étant en cours, certaines informations peuvent avoir évolué depuis la publication de cette vidéo.

Cortical Labs - CL1
▶ vidéo IAneuroscienceshardware

Sources - Et si vos cellules jouaient à Doom sur Internet ?

🧬 Biologie & Technique

iPSC - Cellules souches pluripotentes induites

  • Yamanaka, S. et al. (2006). Induction of Pluripotent Stem Cells from Mouse Embryonic and Adult Fibroblast Cultures by Defined Factors. Cell.
  • Prix Nobel de médecine 2012 - Shinya Yamanaka & John Gurdon
  • Prix de la technologie du millénaire 2012 - Yamanaka & Linus Torvalds

DishBrain - Le prototype

  • Kagan, B.J. et al. (2022). In vitro neurons learn and exhibit sentience when embodied in a simulated game-world. Neuron. https://pubmed.ncbi.nlm.nih.gov/36228614/
  • Apprentissage observé en moins de 5 minutes de gameplay
  • 800 000 neurones, humains et murins, sur CMOS chip

CL1 - Le produit commercial

  • Cortical Labs - Page produit CL1 : https://corticallabs.com/cl1
  • Lancé le 2 mars 2025 à Barcelone (MWC)
  • 200 000 neurones sur HDMEA (High Density Multi-Electrode Array)
  • Système biOS - Biological Intelligence Operating System
  • Viabilité : jusqu’à 6 mois (certains cas documentés jusqu’à 1 an)
  • Prix : 35 000 $ l’unité / 20 000 $ en rack de 30

Doom sur CL1

⚡ Énergie & Industrie

Consommation IA

CL1 vs GPU

Data centers biologiques

🧠 Neurosciences & Apprentissage

Principe d’Énergie Libre - Karl Friston

  • Friston, K. (2010). The free-energy principle: a unified brain theory? Nature Reviews Neuroscience.
  • Application à DishBrain : Kagan et al. 2022 (voir ci-dessus)
  • Friston sur CL1 : “the ultimate in neuromorphic computing using real neurons” - IEEE Spectrum 2025

Paradoxe de Moravec

  • Moravec, H. (1988). Mind Children. Harvard University Press.
  • Observation : tâches cognitives complexes faciles pour les machines, tâches motrices/perceptives faciles pour les humains - et inversement
  • Lien avec CL1 : la biologie court-circuite le problème au lieu de le résoudre en silicium

Mémoire et limites actuelles

⚖️ Éthique & Consentement

Consentement des donneurs

  • Lewis, J. & Holm, S. (2022). Organoid biobanking, autonomy and the limits of consent - Bioethics.
    • Argument : le consentement large des biobanques ne couvre pas structurellement les usages imprévus comme les organoïdes
  • Enquête donneurs (2022) : enthousiastes mais souhaitent information continue et droit de retrait
  • Source secondaire : blockbuster.thoughtleader.school https://blockbuster.thoughtleader.school/p/cortical-labs-trains-200000-living

Statut moral des cultures neuronales

  • Cortical Labs - premier papier publié : papier d’éthique (avant tout papier technique)
  • Brett Kagan : “these neuron networks are not conscious” - position officielle
  • Parallèle historique : Descartes & animaux-machines → législation progressive sur le bien-être animal
  • Henrietta Lacks / HeLa cells : précédent historique sur le consentement en biologie commerciale

Réglementation

  • Pas de cadre légal existant pour les cultures neuronales computationnelles
  • Expérimentation animale : réglementée dans la plupart des pays industrialisés
  • Seuil moral discuté : à quelle échelle de neurones la question devient-elle pertinente ?

🎬 Culture & Références

Matrix

  • Wachowski, L. & L. (1999). The Matrix. Warner Bros.
  • Script original : humains utilisés comme réseau de calcul distribué, pas comme batteries
    • Source : Matrix Wiki Fandom https://matrix.fandom.com/wiki/Power_plant
    • Source forum : sci-fi.narkive.fr + multiple Reddit/GameFAQs threads
    • Statut : bien documenté dans les documents de production, non confirmé officiellement par les Wachowski en interview

Expériences de pensée philosophiques

  • Zombie philosophique - David Chalmers (1995). The Conscious Mind. Oxford University Press.
    • Un être physiquement identique à un humain, sans expérience subjective
  • Chambre chinoise - John Searle (1980). Minds, Brains, and Programs. Behavioral and Brain Sciences.
    • Un système traite des symboles parfaitement sans les comprendre
  • Chambre de Mary - Frank Jackson (1982). Epiphenomenal Qualia. Philosophical Quarterly.
    • On peut tout savoir sur la physique d’une expérience sans la vivre

📰 Articles de référence principaux

SourceURLDate
IEEE Spectrumhttps://spectrum.ieee.org/biological-computer-for-saleJuin 2025
New Atlashttps://newatlas.com/brain/cortical-bioengineered-intelligenceMars 2025
Live Sciencehttps://www.livescience.com/technology/computing/worlds-1st-computer-that-combines-human-brain-with-silicon-now-availableMai 2025
Discover Magazinehttps://www.discovermagazine.com/brain-cells-on-a-computer-chipOct 2025
Interesting Engineeringhttps://interestingengineering.com/innovation/cortical-labs-neurons-computingNov 2025
David Kingsley Substackhttps://davidkingsley.substack.com/p/lab-grown-neurons-learn-to-play-doomMars 2026
Blockbuster Newsletterhttps://blockbuster.thoughtleader.school/p/cortical-labs-trains-200000-livingMars 2026

Sources v1 - Passe-Tech / “Et si vos cellules jouaient à Doom sur Internet ?” Compilées le 19 mars 2026

WASM & WebGPU — Le Web natif
▶ vidéo WASMWebGPUwebperformance

Sources — WASM & WebGPU

Démo

🕹️ Avant WASM — L’ère des plugins

Java Applets

Adobe Flash

  • Steve Jobs, Thoughts on Flash — 29 avril 2010
  • Flash EOL : 31 décembre 2020, contenu bloqué le 12 janvier 2021
  • Flash AVM2 : bytecode + JIT, pas du code natif
    • Source : Mozilla/Adobe Tamarin FAQ

Google NaCl (Native Client)

Doom dans le navigateur

⚙️ WebAssembly

Standardisation

  • Consensus MVP W3C : 28 février 2017
  • Support tous les navigateurs majeurs : novembre 2017

Unity & WASM

Performances réelles

🎮 WebGPU

Standardisation

LLM dans le navigateur

  • WebLLM — inférence LLM côté client via WebGPU
    • Source : webllm.mlc.ai
    • ⚠ SOURCE À CONFIRMER : modèles disponibles et benchmarks à vérifier

Sources v1 — Passe-Tech / “WASM & WebGPU” Compilées le 25 mars 2026