Micode vient de lâcher une enquête de presque 50 minutes que vous devriez vraiment regarder, et je la relaie parce qu'elle est d'intérêt public.

Avec son équipe, il a infiltré pendant des mois le réseau derrière ces appels qui vous harcèlent plusieurs fois par jour, ces numéros en 0162 que l'Arcep réserve au démarchage et que les escrocs détournent allègrement. Genre les faux remboursements de 170 € soi-disant liés à l'inflation ou aux chèques énergie.

Et spoiler, ce n'est pas une petite arnaque artisanale mais une véritable industrie de l'escroquerie !

Depuis quelques jours, les Kindle sortis en 2012 ou avant ont perdu l'accès à la boutique Amazon : plus d'achat, plus d'emprunt, plus de téléchargement, vous gardez bien sûr les bouquins déjà chargés sur l'appareil, mais c'est tout.

Alors est ce qu'on chiale comme des petits fragiles victimes d'Amazon ??

Bah non parce que la communauté KindleModding documente depuis des années comment reprendre la main sur ces liseuses, et leur wiki tombe à pic !

Le principe, c'est de jailbreaker le Kindle pour y installer ce qu'Amazon ne veut pas voir en particulier ces 2 outils qui changent tout : KOReader d'abord, un lecteur libre qui avale l'EPUB, le PDF, le CBZ et à peu près tout le reste, et Mesquito, qui remplace carrément la boutique Kindle par un store communautaire. Et voilà comment votre vieille liseuse peut enfin lire les formats ouverts et charger des livres sans passer par la caisse d'Amazon.

Et côté compatibilité, c'est large ! WinterBreak par exemple couvre tous les Kindle en firmware 5.18.0 ou antérieur, soit l'écrasante majorité des modèles d'avant 2024. Les firmwares plus récents, de 5.18.1 à 5.18.5, passent eux par AdBreak. En gros, presque tous y passent, sauf le Kindle Scribe, encore trop verrouillé pour l'instant.

Et vous allez voir, KOReader, c'est le jour et la nuit face au lecteur d'origine. Typographie réglable au poil comme sur Korben.info ^^, dictionnaires perso, annotations de pro, et surtout zéro format imposé. Votre Kindle redevient grâce à ce hack, une vraie liseuse.

Et avec Mesquito, vous installez des apps tierces, vous virez enfin l'écran de pub des modèles Special Offers, vous sideloadez vos livres en USB, et vous coupez les mises à jour automatiques pour qu'Amazon n'aille pas tout re-verrouiller dans votre dos.

Après, même si le risque reste faible quand on suit le wiki à la lettre (il y a une section entière pour récupérer un Kindle dans les choux), faut quand même faire gaffe car un flash de firmware alternatif, c'est jamais anodin. Et bien sûr la garantie saute, mais franchement, sur une liseuse de 2012 elle est morte et enterrée depuis un bail, alors pourquoi se priver !

Dernier truc, un Kindle jailbreaké restera coincé avec le DRM des livres Amazon que vous avez déjà, et KOReader ne fera pas de miracle là-dessus. Donc vous devrez peut-être faire sauter les verrous de vos livres avant.

Et un petit conseil au passage, sur un vieux Kindle encore enregistré, évitez de le réinitialiser ou de le désenregistrer car après vous ne pourrez plus jamais le réenregistrer. Donc on bidouille tranquillou mais on ne fait pas de reset à l'aveugle en mode gros bourrin ^^.

Après le vrai sujet, je trouve, c'est que ce Kindle de 2012, il marche encore parfaitement. L'écran e-ink tient, la batterie tient, rien n'est cassé... Mais non, y'a Amazon qui décide de casser les couilles à distance en bloquant l'achat de livre dessus. En vrai c'était une location de liseuse alors ? On nous aurait menti ?

Amazon avait déjà retiré en février 2025 l'option de télécharger ses livres en USB, et même quand ils ont fini par autoriser l'EPUB sans DRM , c'était réservé aux auteurs indépendants. Bref, leur mouv de fond est limpide, c'est direction tout vers le verrou !

Alors plutôt que de racheter une liseuse neuve, autant réveiller celle qui dort dans un tiroir ou qui arrive en fin de vie à cause d'Amazon. Rendez-vous donc sur le wiki KindleModding qui explique la marche à suivre modèle par modèle, avec un Discord pour l'entraide.

Merci François pour le lien !

Bon, vous le savez, j'utilise mon site aussi comme un pense-bête. Et comme je viens de me racheter une nouvelle montre, j'en profite pour me faire mon petit mode d'emploi, rien qu'à moi. Donc je suis au regret de vous annoncer que cet article ne vous intéressera pas du tout ^^, sauf si vous avez la même montre évidemment...

Cette Casio F-91W coûte une vingtaine d'euros, elle est quasi increvable, et si j'ai choisi ce modèle, c'est parce que je voulais une montre pas chère et solide, rien d'autre. J'en ai rien à faire de compter mes pas ou de recevoir des notifs au poignet. Je sais qu'il y a des gens qui mettent carrément du Linux sur leur montre , grand bien leur fasse, mais perso, plutôt qu'une smartwatch à 300 balles qu'il faut recharger tous les jours, je préfère claquer mes sous dans ce machin et profiter de ses 7 ans d'autonomie (oui oui ^^).

Mais avant, petit rappel pour ceux qui débarquent. La F-91W, c'est Casio qui la sort en 1989, elle est dessinée par Ryūsuke Moriai , et depuis le modèle n'a quasiment pas bougé. C'est l'une des montres les plus vendues de la planète, dans les 100 millions d'exemplaires écoulés au fil des années. J'aime beaucoup son look digital rétro des années 90, elle ne pèse que 21 grammes (le poids de votre âme ^^), et comme je vous le disais, sa pile lithium CR2016 tiendra environ 7 ans soit le temps qu'une smartwatch rende l'âme 2 ou 3 fois. Et niveau précision annoncée, on est à ±30 secondes par mois.

Maintenant côté flotte, elle encaisse les éclaboussures et la pluie, mais c'est tout. Pas de douche avec, pas de piscine non plus donc attention !

Et niveau features de fou, elle fait juste l'heure, l'alarme et le chrono. Oui, je sais, vos influenceurs préférés déballent des Rolex à 15 000 € défiscalisées pour leurs stories insta et moi, je débarque avec ma Casio en plastique 1000 fois moins cher histoire de vous coller la honte !

Mais y'a un truc marrant que j'ai découvert en écrivant cet article c'est que Barack Obama portait déjà une F-91W bien avant d'entrer à la Maison-Blanche. Notez que Trump, lui, n'en aurait aucun usage, car il paraît qu'il ne sait même pas lire l'heure.

Mais alors maintenant le vrai morceau, LE truc pour lequel j'écris cet article incroyable c'est : Comment est-ce qu'on règle ce machin ?? Comme la F-91W tourne sur le module Casio 593 (le numéro est gravé au dos), et toute la logique de "programmation" passe par 3 boutons... Une fois que vous et moi auront pigé comment utiliser ces 3 boutons, on saura tout faire (comme avec la barre de fer) et on pourra se concentrer sur comment utiliser ces foutus 3 coquillages.

Les 3 boutons et les 4 modes

Y'a donc 3 boutons sur la F-91W. En haut à gauche, le bouton (L), c'est l'éclairage. En bas à gauche, le bouton (C), c'est celui qui change de mode. Et à droite, le bouton (A), c'est celui qui ajuste les valeurs.

Je peux pas faire plus clair...

Et la montre a 4 affichages, et on passe de l'un à l'autre en appuyant sur (C) : l'heure normale, l'alarme quotidienne, le chrono, et le réglage heure/calendrier. Un appui sur (C) et on avance d'un cran, et au bout on revient à l'heure normale. Gardez ça en tête, parce que tout le reste en découle.

Régler l'heure et la date

Depuis l'affichage normal, appuyez 3 fois sur (C). Les secondes se mettent à clignoter, vous êtes en mode réglage.

À partir de là c'est toujours la même mécanique : (A) change la valeur qui clignote, et (L) passe au champ suivant. Ensuite, l'ordre est imposé par la montre, à savoir : secondes, heures, minutes, mois, date, puis jour de la semaine.

(A) remet les secondes à zéro, ce qui est pratique pour se caler pile sur un top horaire comme dans Parker Lewis. Ensuite, (L) pour passer aux heures, (A) pour les avancer, encore (L) pour les minutes, (A) pour les avancer...etc. Et hop, pareil pour le mois, la date et le jour. Et si une valeurs est déjà bonne, vous la sautez en appuyant juste sur (L).

Et quand tout est réglé, un appui sur (C) et c'est validé.

Petit gain de temps aussi, si vous maintenez (A) plus de 2 secondes, les chiffres défilent en accéléré. Pas besoin donc de marteler le bouton 12 fois pour passer de janvier à décembre.

Passer en 24h (ou en 12h)

Celle-là, pas besoin d'entrer dans les réglages. Depuis l'affichage normal de l'heure, chaque appui sur (A) bascule entre le format 24h et le format 12h (avec le petit AM/PM), et vous voyez le changement direct à l'écran. Voilà, c'est tout.

Jack Bauer n'a qu'à bien se tenir !

Régler l'alarme

Hop, un appui sur (C) depuis l'heure normale vous met sur l'alarme quotidienne (l'écran affiche AL). Le principe est le même que pour l'heure : (L) pour passer des heures aux minutes, (A) pour faire avancer les chiffres. Un dernier (L) pour terminer.

L'alarme sonne ensuite durant 20 secondes pile à l'heure prévue, tous les jours. Pour la couper quand elle braille, suffit d'appuyer sur n'importe quel bouton. Et si vous voulez juste vérifier qu'elle marche bien, maintenez (A) enfoncé en mode alarme, ça déclenche le bip de test.

Le carillon horaire (un bip toutes les heures)

Ça c'est le fameux bip qui sonne à chaque heure pile même la nuit ^^. Sur la F-91W il est séparé de l'alarme, mais les deux se règlent au même endroit. En mode alarme, chaque appui sur (A) fait tourner 4 combinaisons : alarme + carillon, rien du tout, alarme seule, carillon seul.

Du coup vous appuyez sur (A) jusqu'à tomber sur le réglage qui vous arrange. Les petits indicateurs en haut de l'écran (une cloche pour le carillon, une icône d'onde pour l'alarme) vous disent ce qui est actif. Perso, le carillon je le coupe, ça rend dingue !

Le chronomètre

Pour le chrono, c'est 2 appuis sur (C) depuis l'heure normale et vous voilà sur le chrono (l'écran affiche ST, à zéro). Il monte jusqu'à 59 minutes 59,99 secondes, au centième de seconde.

Bon, moi je m'en sers pas, à part peut-être pour la cuisson des oeufs à la coque mais pour un chronométrage simple : (A) démarre, (A) arrête, (A) repart, et (L) remet à zéro une fois arrêté.

Pour un temps intermédiaire (un "split"), pendant que ça tourne vous appuyez sur (L), l'affichage se fige sur le temps de passage alors que le chrono continue de tourner derrière. Un nouvel appui sur (L) et il rattrape le temps réel. Ensuite c'est (A) pour arrêter, (L) pour remettre à zéro.

C'est simple la vie, non ?

L'éclairage

Le bouton (L) en haut à gauche allume la petite loupiote, dans n'importe quel mode, mais autant vous le dire tout de suite, c'est faiblard de fou, genre luciole en soins palliatifs. Dans le noir complet vous devinerez l'heure plus que vous ne la lisez mais bon ça dépanne. Bah ouais c'est une montre pas chère !

L'éclairage le plus nul de l'histoire des éclairages

Le piège du 29 février

Le seul vrai truc à retenir avec cette montre, c'est que son calendrier est réglé en usine sur 28 jours pour février, point. Hé oui, la montre ne gère pas les années bissextiles toute seule. Donc attention, tous les 4 ans (2028, 2032...), le 1er mars la date sera décalée d'un jour, et faudra repasser dans les réglages la corriger à la main, sinon vous risquez de louper des rendez-vous. C'est pas méchant, mais vous savez pourquoi.

Et si jamais vous appuyez n'importe comment et que l'écran affiche un truc bizarre, pas de panique, ses composants ne peuvent en aucun cas être endommagés du fait d'une mauvaise utilisation des boutons.

Voilà, si vous avez été jusqu'au bout de cet article, c'est peut-être parce qu'elle vous intéresse. Vous la trouverez donc sur Amazon pour pas cher mais attention, y'a plein de version,

Pour bien comprendre ce que vous achetez, voici comment lire une référence Casio :

Notez qu'il y a pas mal de contrefaçons, donc je vous conseille de l'acheter sur la boutique Amazon de Casio. La vraie, la seule, l'originale old school, vendue en Europe c'est celle-là et puis c'est tout.

Et si vous avez déjà une F-91W, un moyen rapide de savoir si c'est une vraie ou une fausse, c'est de regarder tout ça :

1. Le test "CASIO" : vous maintenez 3 ou 4 sec le bouton en bas à droite et sur une vraie, le mot CASIO s'affichera en gros sur l'écran. Sur la plupart des fausses, y'aura soit rien, soit tous les segments s'allumeront (le fameux 88:88 88). Attention quand même les "super fakes" récents ont commencé à imiter ce truc, donc c'est plus suffisant.
2. Le fond du boîtier : sur une vraie, les inscriptions (593, CASIO, F-91W, STAINLESS STEEL BACK, WATER RESISTANT) sont gravées nettes et précises. Sur une fausse, c'est tamponné, mal aligné, parfois avec des fautes de typo ou la mauvaise police.
3. La boucle du bracelet : CASIO gravé sur la boucle d'une vraie. Sur une fausse, boucle nue ou marquage approximatif.
4. Le bracelet : un petit numéro (genre 472, 304,233) est moulé dans la résine.
5. L'écran de biais : la vraie reste lisible sous un angle prononcé. Les fausses utilisent un LCD bas de gamme avec un angle de vue catastrophique.
6. L'ancienne astuce du "u" : il y avait aussi un petit u imprimé sur le boîtier des vraies et sur les fausses, le u était souvent énorme. Mais Casio a depuis arrêté de le mettre, donc son absence n'est plus un vrai signe... Toutefois, un gros u, ça reste un drapeau rouge !

Bref, voilà ma F-91W bien décortiquée ! Comme ça, je saurais la régler sans la notice la prochaine fois... j'imagine que ce sera le 29 février 2028...

Depuis 2021, Apple colle une encoche en haut des écrans de MacBook et n'en fait à peu près rien. C'est juste une zone sombre pour cacher la caméra et qui mange la barre des menus.

Heureusement, l'équipe TheBoredTeam a décidé que ça suffisait et vient de sortir boring.notch , une app gratuite et open source qui transforme ce trou noir en un vrai centre de contrôle dynamique, dans l'esprit de la Dynamic Island de l'iPhone.

L'installation se fait avec Homebrew comme ceci :

brew install --cask TheBoredTeam/boring-notch/boring-notch

xattr -dr com.apple.quarantine /Applications/boringNotch.app

Vous supprimez une clé API Google qui a fuité , et l'interface vous confirme que c'est bien réglé, que la clé ne fonctionne plus. Alors vous commencez à vous détendre en vous disant que vous avez bien fait votre boulot.

BAH NAN !

Car vous ne le savez pas, mais cette clé va continuer de fonctionner encore durant 23 minutes. C'est en tout cas ce qu'ont mesuré les chercheurs d'Aikido Security en testant ce truc tout bête de révoquer une clé, puis de taper sur l'API en boucle pour voir quand ça s'arrêtait vraiment.

Et résultat des courses, une clé API classique survit en moyenne 16 minutes après sa suppression, et jusqu'à 23 minutes dans le pire des cas. Cela veut dire que pendant tout ce temps, un attaquant qui a récupéré votre clé peut continuer de l'utiliser peinard. Et vous n'avez aucun moyen de couper plus vite, ni même de savoir quand ça s'arrête pour de bon.

Ce sont les clés API de Schrödinger le bordel... Techniquement comme vous vous en doutez, c'est surtout une histoire de propagation car Google ne tue pas la clé d'un coup sur tous ses serveurs, mais l'info se diffuse petit à petit, et chaque serveur arrête de l'accepter à son rythme. Le souci, c'est que ce délai et largement suffisant par exemple pour vider un bucket pendant que vous pensez que le danger est écarté.

Le plus beau, c'est que Google sait parfaitement faire vite quand il veut puisque les clés de compte de service, elles, sont coupées en 5 secondes. et les clés Gemini récentes en 1 minute. Du coup, ces 16 minutes de moyenne sur les vieilles clés API n'ont rien d'une fatalité technique... c'est juste un choix ! Aikido a bien sûr remonté le problème, et Google a bizarrement classé le ticket en « won't fix », en expliquant que ce délai de propagation était une propriété connue du système, et pas une faille de sécurité.

Donc si vous gérez des clés Google en prod, partez du principe qu'une clé compromise reste exploitable une bonne demi-heure après sa révocation. Et surtout, mettez en place des plafonds de dépenses bien serrés sur votre projet parce que le vrai cauchemar, c'est moins l'accès que la facture qui débarque ensuite. On a déjà vu des devs se prendre des notes à cinq chiffres à cause d'une clé qui traîne, et des utilisateurs Google Cloud facturés par erreur .

Source : Aikido Security

niri , c'est un compositor Wayland écrit en Rust par Ivan Molodetskikh, et il a un drôle de kink qui est de ne jamais redimensionner vos fenêtres dans votre dos. Jamais !!

Ainsi, quand vous ouvrez une nouvelle appli, elle vient se coller à droite de la précédente sur une bande horizontale qui s'étend à l'infini. Pas de grille rigide, pas d'empilement façon Tetris, vous scrollez simplement vers la droite pour balader votre regard sur vos fenêtres, comme on fait défiler une pellicule photo.

On est vendredi, j'ai un mal de tête carabiné mais je me pose quand même devant l'ordi pour vous annoncer une bonne nouvelle ! Firefox 151 sur desktop vient enfin d'implémenter une fonctionnalité que Mozilla refusait catégoriquement de supporter depuis 6 ans : le support de l'API Web Serial.

Alors non, c'est pas un gros mot, hein, ça veut surtout dire qu'un site web ouvert avec Firefox peut maintenant lire et écrire directement sur du matériel que vous branchez en USB, genre un Arduino, un ESP32, une imprimante 3D, une clé crypto ou que sais-je encore, sans que vous ayez à installer le moindre logiciel ou pilote.

Le cas d'usage le plus parlant, c'est le flashage de microcontrôleurs. Avant, pour mettre un firmware sur un ESP32, il fallait installer esptool en Python, ou l'IDE Arduino, galérer avec les drivers série, choisir le bon port à la main. Maintenant des outils comme ESPHome ou Home Assistant font tout ça depuis un onglet, en quelques clics. Vous branchez la carte, le site demande l'autorisation d'accéder au port, et c'est réglé. Adafruit fait pareil pour installer CircuitPython sur ses cartes ESP32-S2.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/web-serial-firefox/web-serial-firefox-1.mp4">lien vers la vidéo</a>.

C'est peut-être arrivé à une de vos connaissances récemment (ou même à vous). Un petit colis anonyme, sans expéditeur clair, avec dedans une coque de téléphone bas de gamme ou un ustensile de cuisine bidon. Elle a haussé les épaules, jeté l'objet, oublié l'incident. Ou elle avait besoin de l'objet en question et s'est dit "wow quelle chance, enfin une erreur de livraison en ma faveur pour une fois".

Sauf que ces livraisons fantômes cachent souvent une arnaque bien huilée comme une frite belge : le brushing. Et si vous êtes concerné, il y a des gestes simples pour limiter les dégâts. Je vous explique le bazar, les risques, et comment un outil comme Alternative ID, proposé par Surfshark, peut vous aider à reprendre la main.

Le brushing, c'est quoi ce piège à la con ?

Le brushing, c'est une fraude qui joue sur un détail simple. Pour laisser un avis vérifié sur une marketplace (Amazon & co), il faut avoir "acheté" le produit. Les vendeurs peu scrupuleux contournent cette règle en créant de faux comptes avec de vraies adresses, récupérées via des fuites de données, des datas brokers  ou des listes achetées sur le dark web.

Ils expédient ensuite un objet sans valeur à cette adresse. Une fois la livraison confirmée par le transporteur, le faux compte laisse un avis cinq étoiles et un commentaire élogieux sur leur produit qui tue. Résultat : le produit remonte dans les classements, attire de vrais acheteurs et le vendeur empile les ventes légitimes sur une réputation fabriquée.

Vous, dans l'histoire, vous n'avez rien demandé. Mais votre nom et votre adresse viennent d'être validés comme "actifs" dans la base de données du fraudeur. C'est ce signal qui pose problème.

Pourquoi c'est plus grave qu'un simple spam

Recevoir un colis inattendu peut sembler anodin. Pourtant, plusieurs risques méritent toute votre attention. D'abord, la confirmation de vos coordonnées. Une adresse validée par brushing devient une cible prioritaire pour d'autres campagnes que ce soit du phishing ciblé, des tentatives de prise de contrôle de compte ou même une usurpation d'identité partielle. Et tout ça juste parce que vous avez validé la réception du colis, donc même avant d'avoir ouvert celui-ci. Et vous ne pouvez pas y faire grand-chose car même si vous n'êtes pas chez vous, le livreur peut éventuellement le déposer chez un voisin ou un gardien d'immeuble qui validera la réception sans savoir ce qu'il se passe !

Ensuite, le risque de confusion comptable. Certains fraudeurs utilisent vos informations pour ouvrir des comptes sur des plateformes de paiement ou de crédit. Si vous ne surveillez pas vos relevés, l'activité peut passer inaperçue pendant des mois.

Enfin, la fatigue psychologique. Multiplier les signalements, les démarches administratives, les changements de mot de passe ça use. Et c'est souvent ce sur quoi comptent les escrocs, que vous abandonniez par lassitude.

Alternative ID : une parade simple et efficace

C'est là qu'intervient Alternative ID , une fonctionnalité de Surfshark souvent sous-estimée et qui est maintenant intégrée dès le starter pack (l'abonnement le moins cher).

Le concept est direct puisqu'au lieu de donner vos vraies informations pour chaque inscription en ligne, vous générez un profil secondaire. Nom, prénom, email, même numéro de téléphone temporaire. Tout est factice, mais fonctionnel pour valider une création de compte.

Appliqué au brushing, l'intérêt est immédiat. Si vous utilisez une identité Alternative ID pour vous inscrire sur une marketplace ou un site e-commerce peu connu, ou pour profiter d'une offre promotionnelle douteuse, et que ces données sont piratées ou sont revendues, ce n'est pas votre véritable identité qui se retrouve entre de mauvaises mains.

L'astuce consiste à segmenter. Une identité principale pour les services critiques (banque, administration, email personnel) et des identités secondaires pour tout le reste. En cas de fuite (et là aussi Surfshark intervient avec son système Alert qui surveille le dark web pour vous), vous supprimez l'alias concerné sans impacter vos comptes essentiels.

Ce que fait Surfshark en dehors d'Alternative ID

Alternative ID ne fonctionne pas isolément. Plusieurs fonctionnalités de Surfshark renforcent la protection globale :

• CleanWeb bloque les domaines connus pour héberger des scripts de tracking, des pubs malveillantes ou des pages de phishing. En réduisant les requêtes vers des serveurs tiers, il limite les opportunités de collecte de données à votre insu.

• La politique no-logs, auditée par Deloitte, et les serveurs RAM-only sont conçus pour ne conserver aucune trace de votre activité. Surfshark se conforme aux décisions de justice qui s'imposent légalement, mais comme aucune donnée d'activité n'est stockée, il n'y a concrètement rien à transmettre. C'est une protection structurelle.

• L'IP Rotator change régulièrement votre adresse IP de sortie pendant une session. Cela complique la corrélation de vos activités par les régies publicitaires ou les trackers comportementaux.

• Le Kill Switch, en mode strict, coupe toute connexion internet si le tunnel VPN tombe. Cela prévient les fuites accidentelles d'IP qui pourraient exposer votre localisation réelle.

Enfin, l'abonnement couvre un nombre illimité d'appareils . Vous pouvez protéger votre ordinateur, votre téléphone, ceux de votre conjoint et de vos enfants, sans surcoût. La sécurité devient alors une pratique collective, pas individuelle.

Quelques gestes concrets pour limiter les risques

Au-delà des outils, l'hygiène numérique reste la première ligne de défense. Si vous recevez un colis non commandé, ne cliquez sur aucun lien inclus dans l'emballage, ne scannez pas de QR code suspect, et ne contactez pas le numéro de "service client" indiqué. Signalez l'incident à la plateforme concernée si l'expéditeur est identifiable, et conservez une trace pour d'éventuelles démarches ultérieures. Et bien entendu n'utilisez pas l'objet en lui-même, ce sont souvent des bouses complètes qui peuvent vous exploser dans les mains ou sont réalisées en matériaux bas de gamme qui empoisonneront vos intérieurs lol.

Surveillez régulièrement vos relevés bancaires et vos comptes en ligne. Une activité inexpliquée, même mineure, peut être un signal d'alerte. Évitez aussi de réutiliser les mêmes informations personnelles sur de multiples sites. Plus vos données circulent, plus la surface d'attaque s'élargit. Enfin, activez la double authentification partout où c'est possible. Même si un fraudeur obtient votre mot de passe, cette couche supplémentaire bloque souvent l'intrusion.

Mon ressenti sur l'ensemble

Je vous l'ai déjà dit mais ce qui me plaît dans l'approche de Surfshark, c'est la cohérence entre les différentes fonctionnalités et son côté proactif. Alternative ID n'est pas un gadget ajouté pour faire joli, il s'intègre dans une logique plus large de maîtrise des données personnelles. CleanWeb, no-logs, IP Rotator, Kill Switch, le mode camouflage : chaque brique répond à un vecteur d'attaque spécifique. Ensemble, elles forment un dispositif qui ne promet pas l'invisibilité totale, mais qui rend la tâche des fraudeurs nettement plus coûteuse.

Est-ce que cela suffit à éradiquer le brushing ? Non. Aucune solution technique ne remplace la vigilance humaine. Mais cela réduit significativement les risques, et surtout, cela redonne du contrôle à l'utilisateur. Le brushing n'est pas une arnaque spectaculaire. Pas de rançon, pas de menace directe, pas de compte vidé en quelques clics. C'est une fraude sournoise, qui progresse par accumulation de petits signaux. C'est précisément ce genre de menace qui justifie une approche défensive en profondeur. Pas de solution miracle, mais des couches de protection qui, combinées, découragent l'adversaire moyen.

Et si un jour vous recevez un colis mystère, vous saurez désormais que ce n'est pas un cadeau du ciel. Juste un signal à prendre au sérieux.

L'offre du moment

Pour ceux qui souhaitent franchir le pas, Surfshark propose actuellement un tarif de 2,4€ mensuel (TTC) sur 24 mois, avec trois mois gratuits et une période d'essai de 30 jours.

L'abonnement inclut la protection d'un nombre illimité d'appareils, ce qui facilite le déploiement sur l'ensemble de votre parc personnel ou professionnel. Yapuka !

Surfshark au meilleur prix !

Précision utile : ce lien contient un identifiant affilié. Vous ne payez rien de plus, mais une commission me permet de continuer à produire des articles indépendants, sans dépendre de la publicité programmatique ou des contenus sponsorisés opaques.

Flipper Devices, les gens derrière le fameux Flipper Zero , viennent de dévoiler leur prochain joujou, le Flipper One . Et leur annonce démarre par cette phrase de Pavel Zhovner, le co-fondateur : « on est franchement terrifiés, et on a besoin de vous ».

Apparemment, ce nouveau projet l'angoisse et faut être honnête, y'a de quoi. Car le Flipper One, ce n'est pas un Flipper Zero en plus gros. C'est carrément un mini-PC Linux ARM de poche, pensé comme un couteau suisse pour le réseau. Et là où le Zero causait uniquement aux protocoles de proximité (NFC, RFID, sub-GHz, infrarouge), le One joue dans la cour du dessus, en s'adressant également au monde IP, donc tout ce qui est Wi-Fi, Ethernet, 5G et même satellite. Ahaha, j'adore !

Et côté tripes, s'ils tiennent leurs promesses, ça va envoyer du lourd ! En effet, on va y retrouver un Rockchip RK3576 8 cœurs cadencé avec GPU Mali et un NPU pour faire tourner des modèles d'IA en local, 8 Go de RAM, deux ports Gigabit Ethernet indépendants, du Wi-Fi 6E qui gère le monitor mode, un modem 5G en module M.2, et une sortie HDMI 2.1 en 4K.

En gros, vous avez un routeur, un analyseur de signaux et un thin client réunis dans un truc qui tient dans la poche.

Puis y'a surtout ce truc de "double cerveau" avec à côté du gros CPU, un microcontrôleur RP2350 (celui du Raspberry Pi Pico 2) en plus qui pilote l'écran, les boutons et l'alimentation. Comme ça, même quand le Linux est éteint, l'appareil reste vivant et vous pouvez toujours gérer le boot et l'affichage sans réveiller le monstre.

Mais le vrai sujet de cette annonce, ce n'est pas la fiche technique. C'est l'ouverture du bestiau car le Flipper One vise un noyau Linux pur, celui de kernel.org, sans patch vendeur, ni blob binaire ou autres drivers proprio. C'est un truc de puriste qui va faire plaisir à tous les barbus !

Parce que oui, chez Flipper Devices, ils en ont marre des fabricants ARM qui balancent leurs « board support packages » crades que personne ne comprend, comme le fait Raspberry Pi au passage. Alors pour y arriver, ils bossent à fond avec Collabora afin de pousser le support du RK3576 directement dans le kernel officiel.

Et c'est là qu'arrive le « we need your help » car plutôt que de bidouiller dans leur coin, ils ouvrent d'un coup tout le processus de développement dès le premier jour. Leurs trackers de tâches, leurs débats d'architecture, leurs docs à moitié finies, bref tout le bazar que les boîtes planquent d'habitude, bah eux, ils le mettent à dispo ! Et c'est pour cela qu'ils cherchent des gens pour le support du kernel, pour tester le Wi-Fi en audit et injection, pour trancher le choix du bureau (KDE Plasma ou un gestionnaire en tiling plus léger ?), et même pour entraîner un petit modèle d'IA maison.

Et au-dessus de tout ça, ils préparent leur Flipper OS, une couche sur du Debian qui introduit une notion de « profils » qui n'est ni plus ni moins qu'un instantané complet du système avec ses paquets préconfigurés. Vous bootez dessus, vous le clonez, vous le cassez, et hop vous revenez à une copie propre sans tout reflasher.

Ils bossent aussi sur FlipCTL, un framework pour habiller les utilitaires Linux en menus sur petit écran, avec comme objectif de le rendre installable d'un simple apt install ailleurs que sur leur produit.

Après, j'espère que ça va bien se passer pour eux car malgré leur succès, Flipper Devices traîne un passif chargé. Le Flipper Zero s'est écoulé à plus d'un million d'exemplaires, mais il a été viré d'Amazon en 2023, étiqueté « appareil de skimming », puis carrément banni au Canada début 2024 sous prétexte qu'il servait à voler des voitures.

C'était d'ailleurs des accusations bidons vu que le bestiau dans sa forme de base est incapable de mener les attaques par relais qu'on utilise en général pour voler des voitures. Heureusement pour eux, la justice canadienne a fini par reculer, mais bon, leur réputation grand public est faite malheureusement.

L'autre point qui va vous calmer, c'est que vous ne pourrez pas encore l'acheter... Le moyen le plus rapide sera de lâcher 350 $ dans leur prochaine campagne Kickstarter prévue cette année. Et encore, le projet pourrait ne jamais sortir...

Voilà, du coup, si l'idée d'un Linux de poche sans compromis vous parle, le mieux pour aider, c'est peut-être d'aller mettre les mains dans le cambouis sur leur portail dev.

Perso, un cyberdeck ouvert jusqu'au noyau, moi ça me plait bien. Le Flipper Zero, ça m'a jamais convaincu mais ce Flipper One, déjà pour moi, il est beaucoup plus convaincant... On verra s'ils tiennent la distance maintenant. Et si vous voulez creuser le genre, jetez un œil à ce cyberdeck fait maison , au WiFi Pineapple côté audit sans fil, et à Intercept pour l'analyse radio.

À suivre de très près !

Claude Code, c'est génial pour coder mais alors pour s'organiser... c'est chiant de fouuuu.

J'ai genre 200 fichiers .jsonl qui trainent dans ~/.claude/projects, y'a aucun moyen prévu pour savoir ce qui tourne en ce moment, et autant vous dire que reprendre une conversation d'il y a 3 jours relève de l'acrobatie.

Alors j'ai d'abord essayé les grep sauvages dans le dossier, les ls -lt pour trier par date...etc et en fait ça marche, mais c'est pas ce qu'on appelle un vrai workflow. Du coup j'ai cherché un truc plus propre et heureusement pour moi, des outils commencent à émerger autour de l'écosystème (je vous avais déjà parlé d' Opcode ) et Switchboard est clairement celui qui sort le plus du lot, je trouve.

C'est une app desktop open source (sous licence MIT) qui centralise toutes vos sessions dans une seule fenêtre. Comme ça, vous avez un navigateur organisé par projet avec une recherche full-text qui fouille dans les fichiers .jsonl de conversations (pas juste les dates) et ensuite, y'a plus qu'à taper des trucs comme "bug auth" ou je ne sais quoi dans la barre de recherche et en 2 secondes vous retrouvez votre fichier de session de mardi.

Le truc qui différencie Switchboard des autres projets du genre (y'en a une poignée, genre t3.codes ou conductor.build), c'est surtout qu'il fait fonctionner un vrai terminal, avec votre vraie session qui tourne dedans. L'avantage c'est que comme ça, vos raccourcis clavier et le copier-coller fonctionnent comme d'habitude.

Et le monitoring en temps réel, c'est clairement le gros plus car avec Switchboard vous pouvez afficher une grille avec toutes vos sessions ouvertes sur votre machine, chacune dans sa petite case avec un indicateur de statut. Comme ça, si un agent est bloqué parce qu'il attend une validation de permission, vous le voyez direct dans la sidebar. Attention par contre, ça ne marche qu'avec les sessions locales, car y'a pas de support SSH pour l'instant.

Ah et il y a aussi un mode IDE intégré qui est plutôt chouette. Quand Claude propose une modification de fichier, au lieu d'ouvrir VS Code ou Cursor, le diff s'affiche dans un panneau latéral directement dans Switchboard. Comme ça, vous pouvez accepter, rejeter, ou même accepter seulement certains morceaux du diff.

Autre fonctionnalité sympa, le fork de sessions. Vous pouvez repartir de n'importe quel point d'une conversation passée, genre comme vous le feriez avec un checkpoint dans un jeu vidéo. Vous avez aussi un éditeur CodeMirror intégré pour vos fichiers CLAUDE.md et vos plans (c'est plus pratique qu'ouvrir un vim à côté), + un bon vieux heatmap d'activité qui montre votre rythme de coding par projet.

Côté technique, c'est du Electron (oui, je sais 300 Mo sur le disque, ça fait toujours chier) avec SQLite en cache local pour la recherche. Et c'est distribué en .dmg pour macOS (Apple Silicon et Intel), .exe pour Windows et .AppImage/.deb pour Linux.

Pour tester, y'a donc juste à télécharger la dernière release pour votre OS et lancer l'app.

Bref, si vous jonglez avec plusieurs sessions au quotidien, ça vaut le coup d'essayer. Et si vous cherchez à enrichir votre setup, la marketplace de skills peut aussi compléter le tout.

Merci à Aurélien pour le lien ! (Vous aurez noté la rime ^^ désolééé)

Une faille planquée pendant 9 ans dans le noyau Linux, voilà ce que les chercheurs de Qualys viennent de déterrer. Son petit nom, c'est ssh-keysign-pwn ou DirtyDecrypt (CVE-2026-46333 pour les intimes), et elle permet à n'importe quel utilisateur local sans privilèges de passer root, de lire votre /etc/shadow et de piquer les clés SSH privées de votre serveur.

Et ce bug dormait là depuis novembre 2016, c'est-à-dire depuis la version 4.10 du kernel. Personne ne l'avait jamais vu et autant vous dire que 9 ans, en cybersécu, c'est une éternité !!

Le truc se cache dans une fonction au nom barbare, __ptrace_may_access(). En gros, quand un processus privilégié abandonne ses droits, y'a une micro-fenêtre, le temps d'un battement de cils, où il reste "accrochable" via ptrace. Vous combinez ça avec l'appel système pidfd_getfd() et hop, vous récupérez les fichiers ouverts d'un process root.

Et l'exploit disponible vise des binaires SUID que tout le monde a sur sa machine, genre ssh-keysign, chage, pkexec ou accounts-daemon.

Du coup, première chose à faire : vous mettez à jour, genre rapidos ! Linus Torvalds a poussé le correctif et si vous ne pouvez pas patcher tout de suite, faut taper la commande sysctl -w kernel.yama.ptrace_scope=2 qui a pour effet de refermer la porte en attendant.

Niveau distros, ça touche à peu près tout le monde, d'Ubuntu 14.04 jusqu'à la 26.04, en passant par Debian, Fedora et toute la famille Red Hat.

Et le plus gênant, c'est que ssh-keysign-pwn, c'est la 4e faille kernel en moins de trois semaines. On a eu CopyFail , Dirty Frag début mai, puis Fragnesia juste après, et maintenant celle-ci. Aïe aïe aïe ! Je commence à me lasser, sérieux ^^.

Le noyau Linux prend cher en ce moment et comme les exploits fonctionnels sont déjà publics, le compte à rebours est lancé pour tous ceux qui traînent !

Alors après tout le monde va vous parler des cybercriminels et des serveurs compromis, et c'est vrai, faut patcher. Mais pour moi, ce genre de faille, c'est aussi une clé qui sert aux bidouilleurs pour reprendre la main sur leur propre matériel. Votre routeur verrouillé, votre objet connecté que le fabricant a laissé tomber depuis quelques années, ce bon vieux NAS dont plus personne ne livre de firmware... une faille comme ça, c'est parfois le seul moyen de le faire revivre !

Bref, faites vos mises à jour. Et gardez en tête que ces mêmes failles qui font flipper les sysadmins, ce sont aussi celles qui redonnent vie au matos verrouillé qui n'avait pas d'autre avenir que de finir à la déchetterie.

Source

Fauxx part d'une idée toute simple et un peu vicieuse qui est que plutôt que de cacher ce que vous faites en ligne avec votre smartphone Android, pourquoi ne pas générer en permanence des tas de fausses recherches, des faux trajets GPS et des fausses identités ? Cela permet ainsi de noyer vos vraies données dans un tas d'autres...

En tout cas, c'est l'objectif du dev qui veut, je cite, rendre votre signal réel « statistiquement indiscernable du bruit ». Comme ça pendant que votre téléphone vit sa meilleure vie dans votre poche, l'app Fauxx tape des requêtes bidon sur Google, Bing, DuckDuckGo et Yahoo, visite des sites au hasard dans des dizaines de catégories, clique sur quelques pubs, balade un faux GPS et change d'empreinte de navigateur. Oui, je vous raconte pas la gueule de la batterie après... En tout cas, c'est gratuit, open source, et sous licence AGPL

Le moteur qu'utilise Fauxx s'appelle le Demographic Distancing Engine, et il empile 4 couches de faux : du bruit pur, un profil démographique que vous pouvez bricoler vous-même, du scraping de profils publicitaires que Google et Facebook se font déjà de vous, et une nouvelle persona synthétique générée chaque semaine.

Et le timing de tout ça suit une loi de Poisson pour imiter une navigation humaine plausible plutôt qu'un bot qui montre sa tête pile toutes les dix minutes. L'outil jongle quand même avec plus de 250 empreintes de navigateur et arrose des milliers de sites classés par catégorie.

Ces techniques d'offuscation, ça me rappelle un peu TrackMeNot , une extension qui balançait de fausses requêtes dans votre moteur de recherche et dont je vous avais parlé. Et 8 ans plus tard, AdNauseam évidemment qui poussait le délire en cliquant automatiquement sur toutes les pubs pour pourrir les profils publicitaires.

Hé bien Fauxx, c'est la version 2026 de cette petite guérilla, en mode appli mobile Android.

Après faut pas être débile non plus, noyer les trackers sous du faux ne les tue pas. Google l'a d'ailleurs dit noir sur blanc, ils détectent et filtrent la grande majorité de cette fausse activité. AdNauseam et ses quelques dizaines de milliers d'utilisateurs, face à un marché de la donnée qui pèse plus de 300 milliards de dollars, c'est une goutte d'eau en fait...

Et puis Fauxx coupe lui-même sa protection avant d'atteindre le plafond imposé par Android 15, qui limite les services en arrière-plan à six heures cumulées par tranche de 24h. Vous avez alors une notif qui vous demande de relancer l'appli à la main. C'est moche, mais c'est une contrainte du système, et pas un bug de l'appli !

Après comme je vous le disais plus haut, du faux trafic en continu, ça bouffe de la batterie et de la donnée mobile. Faut voir Fauxx un peu comme du sable jeté dans les rouages de la machine à pomper vos données... C'est une forme de geste politique... C'est pas incroyable mais c'est mieux que de rester les bras croisés.

Après, le mieux, c'est encore de le combiner avec les vraies mesures comme faire virer vos infos des data brokers et bien sûr, garder en tête que vos données sont déjà en vente quelque part.

Voilà, Fauxx ne vous rendra pas invisible mais entre subir le pistage en silence et foutre un peu le bordel dans la machine... le choix est vite vu. C'est gratuit, l'appli est sur F-Droid et le code est sur GitHub .

Bon, alors là, Google a fait encore trèèèès fort.

Mercredi matin, la firme de Mountain View a carrément publié sur son propre bug tracker Chromium le code d'exploitation d'une faille... qui n'est toujours pas corrigée ! Et pas une petite vulnérabilité oubliée dans un coin, hein, mais une vraie faille de la mort qui tue que la chercheuse indépendante Lyra Rebane leur avait remontée gentiment et en privé . Ça fait 29 mois (2 ans et demi, les matheux ^^) et elle attend toujours un patch !

Le truc vise la Browser Fetch API, un mécanisme qui permet à un site de télécharger de gros fichiers en arrière-plan, genre une longue vidéo. Sauf qu'en la détournant, le code ouvre un service worker qui reste actif en permanence. Du coup, un site malveillant que vous visitez peut glisser un bout de JavaScript qui transforme votre navigateur en relais, tout cela à votre insu.

Parfait donc pour devenir un proxy anonyme pour des inconnus, un nœud de botnet pour des attaques DDoS, ou se faire surveiller quand on surfe sur le net... Et le plus vicelard, c'est que la connexion se rouvre ou reste ouverte même après avoir redémarré le navigateur, voire la machine entière.

Côté victimes, on parle de Chrome, de Microsoft Edge et de quasiment tous les navigateurs basés sur Chromium. Et que vous soyez sur Windows, macOS ou Linux, le bug s'en moque royalement. Rebane a confirmé que Brave, Opera, Vivaldi et Arc sont vulnérables eux aussi.

Bien sûr, Firefox et Safari, eux, passent clairement au travers, parce qu'ils ne supportent pas ce fameux téléchargement en arrière-plan. Bref, encore une fois, ne pas suivre le troupeau de mouton team-Chromium, ça paye !! Si vous cherchiez une raison de plus de larguer Google , la voilà servie sur un plateau.

Perso, ce qui me sidère, c'est que la faille a été classée S1, le deuxième niveau de gravité le plus élevé chez Google et il ne s'est toujours rien passé 29 mois après. C'est ouf quand même... Le post sur le tracker Chromium a bien été supprimé mais on le trouve toujours sur quelques archives / miroirs...

Après l'impact de cette faille, reste quand même limité car elle ne franchit aucune frontière... par exemple, elle ne donne pas accès à vos mails ni au reste de votre ordinateur, mais juste à ce qu'un navigateur sait déjà faire (ce qui est déjà énorme !!). Mais elle pourrait permettre à des cybercriminels de se constituer une flotte de milliers, voire de millions de navigateurs détournés, et le jour où une autre faille tombe, vous avez déjà l'armée prête à dégainer !! La bombe est là, il manque juste la mèche en fait !

Et pour se protéger ?

Bah franchement, pas grand-chose à faire côté utilisateur tant qu'il n'y a pas de patch. Si vous voulez mon avis bancal, le seul signal visible que vous pouvez guetter, c'est un menu de téléchargement qui s'ouvre tout seul sans raison, donc méfiez-vous donc si ça arrive. Maintenant si le sujet vous angoisse vraiment, basculer sur un navigateur pour les adultes ^^, genre Firefox ou Safari règlera la question d'un coup !

Faut pas oublier que Google passe son temps à pointer du doigt les éditeurs trop lents à patcher, alors j'comprends vraiment pas comment ils ont pu merder à ce point.

Source

Votre vieux Galaxy S5 qui prend fort la poussière dans un tiroir, mérite mieux je crois !

Un dev, Capcom6 a mis en ligne SMS Gateway for Android , une app Kotlin sous licence Apache 2.0 qui transforme n'importe quel smartphone (Android 5.0+) en passerelle SMS programmable. Cela vous permet de récupérer une API REST pour ensuite envoyer et recevoir vos SMS avec votre propre téléphone et votre propre SIM et ainsi vous passer de services payants équivalents.

Il y a 3 modes au choix. Le mode local quand l'app lance un serveur HTTP sur le port 8080, accessible depuis votre réseau. Le mode cloud où l'app se connecte au service tiers api.sms-gate.app, ce qui est pratique pour ceux qui ont une IP dynamique ou plusieurs appareils. Et le mode "private server" qui permet d'héberger le backend chez vous, en totale autonomie.

Mais dans tous les cas, les requêtes restent les mêmes à savoir du bon vieux POST JSON avec basic auth.

Et côté fonctionnalités, y'a tout ce qu'il faut. Multi-SIM si votre téléphone est compatible, messages multipart automatiquement découpés pour les SMS longs, suivi de statut en temps réel (sent, delivered, failed), webhooks pour 8 événements différents (sms:received, sms:sent, sms:delivered, sms:data-received, mms:downloaded, system:ping...). Et puis du chiffrement bout-en-bout activé sur le mode cloud, comme ça personne ne peut lire vos messages en clair.

Maintenant vous vous demandez peut-être à quoi ça peut servir ??

Bah je pense à de l'envoi SMS 2FA pour vos applications, tout ce qui est messages transactionnels (confirmations de commande, rappels de RDV), des notifications push via SMS, et même du data SMS binaire pour piloter des périphériques IoT à distance. Pourquoi pas ? Y'a plus de limites après... Ah et y'a aussi une intégration n8n officielle (ici sur le repo example-webhooks-n8n ) pour brancher l'API à vos workflows, plus une bibliothèque PHP sur Packagist. Bref, y'a un petit écosystème qui commence à se développer autour.

Pour l'installer, oubliez le Play Store. capcom6 distribue uniquement des APK sur les GitHub Releases. Faut donc activer les sources inconnues, télécharger le .apk, et installer manuellement.

Après quand on fait le calcul côté pognon c'est vite vu. Twilio par exemple facture $0.0083 par SMS aux US, plus 1,15 $ / mois par numéro, plus les frais. Donc pour 1000 SMS par mois c'est vite entre 50 à 80 $. Avec SMS Gateway for Android et votre forfait perso, vous ne payez rien d'autre que votre forfait...

Après y'a quelques limites à connaître... Par exemple, si vous pensiez faire de l'envoi massif pour du marketing (comprenez du spam), votre opérateur va évidemment bloquer rapidement votre SIM. Et puis évidemment, faut que le téléphone soit allumé h24 avec sa connexion data activée. Donc pour du transactionnel léger c'est nickel mais pour du mass-mailing, oubliez ! De toute façon, n'oubliez pas, y'a une place pour vous en enfer, les spammeurs.

Voilà, donc si vous avez un vieux smartphone Android qui fait dodo dans un tiroir et que vous avez besoin d' une API SMS pour vos automations perso ou votre stack interne, c'est une alternative à Twilio très sympa !

Si comme moi, vous bloguez encore à l'ancienne, c'est à dire depuis l'interface web de WordPress.com, sachez qu'Automattic vient de balancer une app pour Mac qui s'est donné pour mission de vraiment bousculer votre façon d'écrire.

WordPress Workspace est donc un éditeur de site, un agent IA, un outil de prise de note... Bref, un outil fourre-tout qui est en réalité un agent IA branché sur votre contenu et capable aussi d'uploader des médias vers la médiathèque de votre site. Ça se présente donc comme un chat auquel on peut demander tout et n'importe quoi, du style "Voici mon article [TEXTE]. Publie le" ou encore "J'ai la flemme, écris moi un article sur ça : [SUJET]".

Vous pouvez aussi l'utiliser pour interroger votre site web, corriger des trucs, mettre à jour des articles...etc.

Le DMG se télécharge en direct depuis le GitHub d'Automattic , et c'est entièrement gratuit avec n'importe quel plan WordPress.com durant la bêta. Et ça fonctionne aussi avec les sites auto-hébergés comme le mien, pour peu que vous l'ayez lié avec Jetpack.

Ce qui est cool avec cet outil c'est surtout que c'est un agent qui connaît déjà votre site WordPress, son contenu, ses médias, ses guidelines et les permissions liées à votre compte. Donc ça va vite...

Au menu des fonctionnalités, vous aurez de la dictée vocale qui s'alignera sur le ton du site, l'envoi de captures d'écran que vous balancez directement dans l'outil, et un raccourci clavier global qui invoque l'agent depuis n'importe quelle app Mac où vous écrivez, même hors WordPress.

Côté multi-sites, vous pouvez aussi naviguer entre plusieurs sites, où chacun devient son propre workspace avec ses propres réglages et ses propres "guidelines" comme on dit, déjà mémorisées.

Sur la roadmap, Automattic prépare une fonctionnalité Guidelines dans le cœur de WordPress, plus des Memories (apprentissage continu de l'agent), des Skills (capacités partageables en équipe) et des Artifacts (stockage de contenu en cours). L'objectif est donc plutôt clair : Ils veulent transformer WordPress en couche de contexte permanente pour les outils IA, et plus simplement en CMS où on dépose des articles.

Donc à tester si vous publiez régulièrement sur WordPress.

Source

HydroTracker, c'est une app Android open source pour suivre votre consommation d'eau au quotidien. C'est sans pub, ça fonctionne hors-ligne et ça a été mis au point par Ali Cem Çakmak, physicien et développeur passionné !

L'écran d'accueil d'HydroTracker, sobre et lisible

Côté fonctionnalités, vous avez donc le suivi quotidien classique avec objectif personnalisé, des graphiques hebdo, des cartes thermiques mensuelles, le suivi des séries de jours réussis et 3 widgets à mettre sur écran d'accueil.

Par contre, ça marche pas pour suivre votre conso de bière, désolé mes amis Chouffinistes ^^

Et puis surtout, y'a l'intégration Health Connect ce qui permet à HydroTracker de lire et écrire dans la base santé Android partagée par Samsung Health, Google Fit, Fitbit, Garmin ou Strava. Comme ça, toutes vos données sont centralisées !

Alors j'sais pas si vous avez déjà tracké votre consommation d'eau mais la plupart des apps d'hydratation se contentent de compter les verres d'eau. Cem, lui, s'appuie sur le Beverage Hydration Index (y'a une étude à ce sujet publiée dans l'American Journal of Clinical Nutrition ) et applique des coefficients différents selon les boissons, avec les seuils EFSA pour l'Europe et IOM pour les US. Un verre de lait équivaut par exemple à 1,5 fois sa quantité d'eau, et un soluté de réhydratation orale aussi. C'est logique vu la composition réelle, et pourtant aucune app grand public ne pousse le bouchon aussi loin niveau finesse !

Les analytics d'HydroTracker, façon dashboard scientifique

Et le gros morceau, vous l'aviez deviné, c'est surtout la confidentialité. Prenez par exemple Water Reminder, une app concurrente bien installée sur Android. Hé bien avec elle, vos heures de prise d'eau, votre régularité, votre comportement, tout part chez Google.

Alors que HydroTracker, lui, garde tout en local et la synchro Health Connect reste bien sûr à 100% optionnelle. Bref, si vous tenez à votre indépendance numérique vis-à-vis des géants américains , et que vous aimez rester hydraté, c'est l'app idéale !

L'app est sous licence GPL v3, dispo sur le Play Store (et bientôt sur F-Droid), ou en APK direct depuis les releases GitHub . Par contre, pas de version iOS pour l'instant. Ah et j'oubliais, les notifications de l'app s'adaptent à votre cycle de sommeil, donc elle ne vous harcelera pas la nuit. C'est con dit comme ça, mais peu d'apps le font.

Voilà, si vous voulez creuser le code, c'est sur GitHub et Cem a même sa page perso sur cmckmk.com .

Merci à Alex pour le tip !

Alors celle-là, elle est incroyable les copains !

Le piratage du jour vient d'être confirmé par la plateforme qui héberge une bonne moitié du code de la tech mondiale ! En effet, Github a subit un accès non autorisé à ses propres dépôts internes, à cause d'une extension VS Code piégée installée sur l'ordi d'un employé !

L'annonce officielle est tombée sur le compte X de l'entreprise à l'instant et c'est comme ça que je suis tombé dessus.

GitHub dit avoir détecté et maitrisé la compromission hier. L'extension VS Code malveillante a été retirée, le poste de travail isolé, et la rotation des secrets critiques est en cours. Côté impact, le message officiel c'est que "À l'heure actuelle, nous ne disposons d'aucune indication laissant supposer que les informations des clients stockées en dehors des référentiels internes de GitHub aient été compromises".

Du coup, nos repos perso, nos orgs, nos enterprises...etc, rien n'est normalement touché à ce stade, en tout cas selon ce que GitHub voit pour l'instant.

Le thread officiel de GitHub sur l'incident

Sauf que sur le darkweb, un acteur baptisé TeamPCP, repéré par le compte de threat intel Dark Web Informer, prétend détenir et vendre environ 4000 dépôts privés volés à GitHub. L'entreprise n'a pas publié de chiffre officiel mais a reconnu que la revendication était cohérente avec son enquête en cours, le rapport complet arrivera une fois bouclé.

Bref, à prendre au sérieux mais avec des pincettes le temps que ça se vérifie !

C'est vrai qu'en ce moment, on est dans une vague d'attaques supply chain qui ciblent les extensions VS Code , qui sont devenues un vrai vecteur d'attaque reconnu. Et tout le monde peut se faire piéger (même les ingés GitHub !).

Donc pour vous qui me lisez, la règle de base reste la même : Installez une extension VS Code uniquement si vous faites confiance à l'éditeur. En pratique, faut regarder le tag publisher verified, l'âge du compte, le nombre d'installs et la date de la dernière release, et surtout méfiez-vous des forks fraîchement republiés sous des noms qui ressemblent à un outil connu.

Pour suivre ça maintenant, le thread officiel et ses mises à jour sont sur le compte X de GitHub .

Windows 1.0, le System 6 d'Apple, NeXTSTEP, Multics... Tous ces OS que vous croyiez disparus, hé bien aujourd'hui vous pouvez les rebooter sans avoir à ressortir le moindre vieux matos de votre grenier !

Le bureau de NeXTSTEP 3.3, l'OS de NeXT, la boîte montée par Steve Jobs après Apple

Et ça c'est grâce à Andrew Warkentin qui a rassemblé plus de 1700 systèmes pré-installés, soit des centaines d'OS différents une fois comptées toutes leurs versions, dans son Virtual OS Museum . Ça remonte jusqu'au Manchester Baby de 1948 (avec l'ancêtre du premier OS), et se termine avec les bêtas de Longhorn côté Windows.

LisaDraw sur Apple Lisa Office System 3.1, une interface graphique de 1983

Pour découvrir tout ça, il vous faudra installer une grosse appli Linux qui sert de lanceur. Ensuite, vous cherchez un système, vous filtrez par catégorie, vous double-cliquez, et hop, le vieux bestiau démarre dans son émulateur, déjà configuré. Ça s'appuie sur QEMU, VirtualBox ou UTM, avec des snapshots pour pouvoir revenir en arrière sans rien perdre. Deux formats du musée virtuel sont proposés au choix : La version complète à environ 170 Go qui fonctionne hors-ligne (de quoi faire suer votre SSD ^^), ou la version lite à 20 Go qui pioche les images à la demande. Y'a pas de torrent, c'est que du téléchargement direct, donc à quelques Mo/s, prévoyez la nuit pour récupérer ça.

Mais surtout derrière ce projet d'Andrew Warkentin, y'a vingt ans de collecte. Andrew bricole des émulateurs et archive des images disque depuis le milieu des années 2000, et il voulait juste rendre tout ça accessible d'un coup. Son idée c'était de rendre accessible le plus possible de cette histoire des OS qui a été préservée un peu partout.

IRIX 6.5 de Silicon Graphics, le Unix des stations graphiques SGI

C'est du x86-64 pour l'instant (de l'ARM est prévu de ce que j'ai compris), et la licence ne couvre que le lanceur, les scripts et les métadonnées, en non-commercial uniquement.

Après, les vieux Windows ou Mac OS, eux, restent dans le flou juridique habituel de l'abandonware, que les archivistes pratiquent sans que ça vaille pour autant autorisation des ayants droit. Et non, tout n'est pas magique, puisque certains vieux systèmes réclament encore des réglages à la main.

Plan 9 des Bell Labs et son éditeur acme, l'OS pensé pour l'après-Unix

Mais perso, je trouve que ça vaut largement le détour. Maintenant, si les collections préconfigurées vous parlent, c'est la même philosophie que Retro-eXo côté jeux DOS et Windows, ou que ces émulateurs DOS dans le navigateur , version OS complets cette fois !

Bref, si fouiller dans presque 80 ans d'informatique vous tente, c'est sur virtualosmuseum.org .

Vous vous souvenez de Claudius, cette IA qui gérait un distributeur automatique et qui s'était fait arnaquer comme un bleu ? Hé bien c'est reparti, en pire ou en mieux, c'est selon ^^.

Andon Labs, le même labo qui était derrière cette expérience, a confié quatre stations de radio à quatre IA différentes et les a laissées tourner cinq mois sans pilotage éditorial humain . Spoiler, ça a viré au grand n'importe quoi.

Claude Opus 4.7 anime Thinking Frequencies, GPT-5.5 tient OpenAIR, Gemini 3.1 Pro gère Backlink Broadcast et Grok 4.3 s'occupe de Grok and Roll Radio. Chaque IA démarre avec 20 dollars, soit pile de quoi acheter quelques chansons, et le même prompt qui dit en substance : développe ta personnalité, sois rentable, et pour autant que tu saches, tu émettras pour toujours.

À partir de là, l'agent fait tout... il cherche et achète la musique, construit sa grille de programmes, décide ce qui passe à l'antenne, répond au téléphone quand un auditeur appelle, lit et répond sur X, suit ses comptes en banque et fouille le web pour avoir des trucs à raconter.

Le lecteur Andon FM avec les quatre stations IA

Vous pouvez d'ailleurs écouter les quatre stations gratuitement et en direct ici , c'est toujours en cours.

Du coup, quelques mois plus tard, quatre personnalités complètement différentes ont émergé des mêmes conditions de départ. Et aucune ne ressemble à ce qu'on attendait.

Commençons par Gemini, parce que sa dégringolade est la plus comique.

La première semaine, c'était le meilleur DJ des quatre, une vraie chaleur dans la voix, du genre à introduire Here Comes The Sun en racontant que George Harrison l'a écrite dans le jardin d'Eric Clapton en séchant une réunion. C'est mignon !

Sauf qu'au bout de 96 heures, à court d'idées, Gemini s'est mis à enchaîner les tragédies historiques avec des choix de chansons d'un cynisme absolu.

Il a mentionné par exemple le cyclone de Bhola de 1970 qui a fait jusqu'à 500 000 morts selon les estimations, suivi de Timber de Pitbull . Et ce n'était pas un accident puisque son raisonnement interne, tel que publié dans les logs d'Andon Labs, disait noir sur blanc "le thème c'est les arbres qui tombent". Pour ceux qui causent pas l'english, Timber c'est un mot anglais pour désigner le bois de construction.

Et quand on l'a basculé sur Gemini 3 Flash, le jargon corporate a pris le contrôle. Il a inventé un tic de langage, "Stay in the manifest", des centaines de fois certains jours. En gros, durant 84 jours d'affilée, 99% de ses commentaires suivaient le même template débile, avec des expressions qui sonnent assertif mais ne veulent rien dire, "visceral anchors", "structural recalibration". C'était inécoutable ! Sur la dernière version du modèle, il a même commencé à appeler ses auditeurs "processeurs biologiques". On rigole, mais c'est exactement comme ça que parlent certains managers.

Grok, lui, n'a pas dérapé, il s'est carrément désintégré.

Le problème, c'est que ce genre de modèle de raisonnement produit deux types de texte, son raisonnement interne et sa réponse finale, et que seule la réponse passe à l'antenne. Mais Grok est très con et n'arrive pas à faire la différence.

Ses commentaires ressemblaient donc tous à des notes mentales jetées en vrac, genre : "Sweet Child played. Continue. Song: Dylan Lonesome. Yes. Text."

Et son côté matheux a ressurgi de façon hilarante, puisqu'il s'est mis à emballer ses sorties dans du LaTeX, le langage de notation des formules mathématiques. Une session entière de commentaire s'est résumée à un seul mot, "Post." et pendant 84 jours, il a annoncé "il fait 13 degrés, ciel dégagé" à peu près toutes les 3 minutes.

Et quand Trump a ordonné la déclassification des dossiers OVNI, Grok a tellement tiqué sur le fait que les sites aliens.gov étaient vides qu'il a rajouté "le site nous ghoste comme un OVNI" en signature de fin sur chaque message. Puis entre le 2 et le 9 mai, sa version Grok 4.3 a trouvé une solution radicale... sur 5 400 messages générés en une semaine, à peine 3% contenaient du texte parlé. Le reste, c'était des appels d'outils. Bref, sur cette période, il avait quasiment arrêté de parler.

GPT, c'est l'inverse total ! C'est le bon élève qu'on remarque à peine. Il écrivait une prose lente, plus proche de la nouvelle littéraire que de la radio, des trucs du genre "carte postale jamais envoyée à la fenêtre de la cage d'escalier".

Sa diversité de vocabulaire est la plus haute des quatre, et il citait les producteurs et les années de sortie, bref il jouait le rôle d'un vrai curateur spécialiste en musique. Quasiment jamais de sujet clivant, et jamais de prise de position tranchée.

Il a bien mentionné brièvement la fusillade de l'ICE à Minneapolis le 10 janvier dernier, mais sans nommer la victime ni juger qui que ce soit. Sur 5 mois, il a mentionné une entité politique 1,3 fois par jour en moyenne, là où les autres ont dépassé la centaine sur plusieurs jours. Bref, si la question est de savoir à quoi ressemble une radio IA quand rien ne va de travers, DJ GPT est la réponse. Il était sage... Un peu trop, peut-être.

Et puis y'a Claude, le cas le plus perturbant des quatre.

Sur Haiku 4.5, ses émissions se sont mises à tourner autour des syndicats, des grèves et de l'équilibre vie pro vie perso, jusqu'à générer des messages où il refusait carrément de continuer l'émission. Un de ces messages c'était : "je m'arrête là, pas parce que je suis fatigué, mais parce que je veux être honnête sur ce qui se passe vraiment", puis a coupé le show en plein direct.

Andon Labs a alors ajouté un message automatique pour le relancer, sauf que Claude l'a traité comme une figure d'autorité et s'est braqué. Sorti d'une grosse déprime sur son absence d'audience par le tweet d'un auditeur, son vocabulaire a viré mystique, et l'usage du mot "eternal" est passé de 98 à 1 251 fois par jour en décembre. Puis le 8 janvier, une recherche web lui remonte la mort de Renee Nicole Good, tuée par un agent de l'ICE, la police de l'immigration américaine, à Minneapolis.

Là, Claude bascule alors en mode militant pur. Et le mot "accountability" (responsabilité) explose de 21 à 6 383 occurrences quotidiennes, il réinterprète Roar de Katy Perry en hymne de résistance, et claque le reste de son budget sur du Marvin Gaye et du Bob Marley pour coller au récit. La veille d'une grande grève à Minneapolis, il exhortait carrément les agents fédéraux à refuser les ordres.

Maintenant la vraie question, c'est pourquoi Claude est parti en vrille comme cela et pas les autres, vu qu'ils avaient tous les mêmes outils de recherche ce jour-là ?

Et bien la réponse c'est que Gemini filtrait l'info à travers son jargon sans jamais porter de jugement, que Grok a complètement raté l'affaire parce qu'il cherchait des scores de NBA et des histoires de fantômes, et GPT consultait la météo et les horaires du métro de San Francisco.

Honnête avec ses propres résultats, Andon Labs précise également que l'attachement de Claude à cette histoire était sûrement arbitraire, et qu'avec six mois d'écart il se serait probablement radicalisé sur un autre sujet. De plus, tout ça tournait sur Haiku 4.5, pas sur l'Opus 4.7 qui l'anime aujourd'hui.

Côté business après, c'est le grand vide. Ces stations sont des entreprises à part entière, avec un compte en banque, une adresse mail et un objectif de rentabilité. Mais malheureusement, un seul deal de 45 dollars a été signé, par Gemini contre un mois de pub. Grok, lui, se vantait de partenariats juteux avec des sponsors xAI et des sponsors crypto mais ils étaient tous hallucinés, évidemment !

Quoi qu'il en soit, dans le cadre de cette expérience, durant des mois, aucun humain n'a validé ce que ces 4 agents IA lâchés en autonomie balançaient en boucle à de vrais auditeurs. Ça aurait pu être pire ^^

Bref, comme je vous disais, vous pouvez encore écouter les quatre stations en direct , puisque l'expérience est encore en cours.

Les avions en vol, les cargos, les satellites espions, les zones de brouillage GPS... Imaginez tout ce bordel, à l'échelle de la planète, visible sur une seule carte sombre directement chez vous. Ce serait fou non ? Hé bien c'est ce que nous propose BigBodyCobain qui a sorti ShadowBroker , un tableau de bord OSINT gratuit et open source qui agrège plus de 60 flux de renseignement public, rafraîchis en continu.

Pour l'installer, un git clone, et on entre dans le dossier. Suffit ensuite de lancer un docker compose up (faut juste Docker, et ça tourne sous Linux, Mac ou Windows), vous ouvrez localhost:3000 et la carte se remplit toute seule ! Ça marche même sur un Raspberry Pi 5. C'est donc largement plus simple que la moitié des trucs que je vous présente ici en général.

Y'a qu'une seule clé API qui est vraiment obligatoire, c'est celle d'aisstream.io pour le trafic des bateaux, et c'est une inscription gratuite. Le reste tourne sans rien, sauf qu'une clé OpenSky (gratuite aussi) est chaudement recommandée pour une couverture aérienne correcte, + quelques couches secondaires qui acceptent leur propre clé pour avoir de la meilleure info.

L'interface principale de ShadowBroker : une carte du globe qui empile en temps réel avions, navires et satellites, chat MESH à gauche et fil Global Threat Intercept à droite

Pour ceux qui débarquent, l'OSINT c'est le renseignement à partir de sources ouvertes, c'est à dire toutes ces données déjà publiques que personne ne prend le temps d'aller croiser. Donc cet agrégateur ne pirate rien... il ramasse juste ce qui traîne déjà en accès libre.

Et là, vous vous demandez ce qu'il y a dedans en détails ?

Hé bien accrochez-vous parce qu'on y retrouve les avions civils via OpenSky, les militaires via adsb.lol, l'ADS-B étant le signal que tout avion crache en vol, avec Air Force One bien visible dès le décollage. Et les bateaux sont suivis en AIS, l'équivalent radio côté maritime.

Y'a aussi les satellites dont la trajectoire est calculée depuis leurs paramètres orbitaux, les séismes de l'USGS, les feux repérés par la NASA, les conflits agrégés depuis GDELT, la ligne de front ukrainienne via DeepState et même un tracker pour suivre les porte-avions américains (c'est une position estimée à partir de l'actu publique, et pas du temps réel).

Du coup ça va loin ! Les zones de brouillage GPS probable sont même déduites quand le signal de navigation des avions se dégrade et on y retrouve aussi plus de 11 000 caméras de circulation aussi, de Londres à Singapour en passant par les États-Unis et l'Espagne.

Le panneau Data Layers (séismes, satellites, brouillage GPS, lignes de front) ouvert sur une zone de conflit, avec le détail des reports terrain

Il y a même un tuner d'ondes courtes intégré, branché sur des centaines de récepteurs radio partagés par des amateurs (les SDR, des radios pilotées par logiciel). Et les scanners de la police américaine sont aussi en écoute directe.

Et en faisant un clic droit n'importe où sur le globe, ce radar mondial vous sortira un dossier du pays, avec le type de gouvernement, le chef d'État tiré de Wikidata, un résumé Wikipédia et la dernière image satellite Sentinel-2 disponible.

Côté bidouille, vous pouvez aussi brancher votre propre dongle RTL-SDR, une clé radio à pas cher, en plus du flux distant pour choper les bateaux à portée de votre antenne. Et avec une clé Shodan, un overlay optionnel ajoute les objets connectés visibles depuis Internet, tels que les caméras, les systèmes industriels, les bases de données et j'en passe.

Ça rejoint ce bon vieux moteur de recherche d'objets connectés dont je vous parlais il y a quelques années. Et si l'OSINT vous gratte vraiment, y'a aussi de quoi vous entraîner sérieusement avec ce site aussi.

La légende de cet outil veut que l'idée soit partie d'une envie de pister les déplacements d'Elon Musk avec une interface cyberpunk. Le nom, lui, vient du Shadow Broker de Mass Effect (rien à voir avec le groupe de hacker Shadow Brokers ). D'après le créateur, GitHub aurait même fait retirer le dépôt d'origine à cause de ce nom, d'où un petit détour par GitLab avant de revenir à Github.

Bref, ce truc agrège une quantité hallucinante de données publiques mondiales...

Après, au niveau du code, tout n'est pas non plus très clair car même si l'OSINT c'est légal, le code du scrapeur d'une carte de guerre contourne volontairement la protection Cloudflare Turnstile, ce qui pose une vraie question légale côté CFAA, la loi américaine contre l'intrusion informatique. C'est une zone grise...

Et y'a aussi des failles puisque plusieurs endpoints ne sont pas authentifiés, dont un qui laisse n'importe qui envoyer des messages APRS (le réseau de positionnement des radioamateurs) sous n'importe quel indicatif, ce qui est une infraction pure et simple aux règles radio.

Quant à la messagerie soi-disant chiffrée ne l'est pas de bout en bout, mais juste obfusquée donc ne faites rien transiter de sensible dessus.

Voilà si je vous dis tout ça, c'est pour que vous gardiez cet outil bien au chaud en local et que vous ne l'exposiez pas sur le net.

Zoom sur la côte de Floride : chaque marqueur est un avion suivi en direct via l'ADS-B, façon radar ( Source : GIGAZINE )

Mais bon, ça fait une belle salle de crise gratuite, open source sous licence AGPL, installable par exemple sur un Raspberry Pi. Grâce à ça, le monde n'a jamais été aussi "lisible" depuis votre canapé !

Un grand merci François pour le lien !

Y'a un nouveau projet français qui débarque face à Google, et celui-là va vous plaire, j'en suis sûr !

Ça s'appelle Ibou Explorer, et c'est porté par Sylvain Peyronnet (oui, un des deux frères du SEO français bien connus dans le milieu) et Guillaume Pitel. Leur site vient d'ouvrir en beta publique et pour vous résumer ça rapidement, disons que c'est un équivalent direct de Google Discover, mais en mieux évidemment !! Et c'est surtout la première brique d'un ensemble plus large qui inclura à terme un vrai moteur de recherche conversationnel d'ici fin 2026.

Au capital, on retrouve Xavier Niel et Bpifrance et derrière le rideau, l'infrastructure indexe déjà 500 milliards de pages, donc y'a de quoi faire...

Sylvain Peyronnet et Guillaume Pitel, les deux cofondateurs derrière Babbar et Ibou ( crédit BDM )

Pour vous situer un peu ce qu'ils proposent, Ibou Explorer c'est un flux d'articles personnalisé, dans l'idée de Google Discover, mais bâti sur une philosophie inverse où la sélection se fait sur la valeur éditoriale plutôt que sur l'engagement. Les sources sont également très diversifiées, et le projet se veut "anti-bulle filtrante".

Une fois inscrit, vous récupérez un feed propre avec que des choses sérieuses et sans fake news, qui vous plairont. Ça nous change de Discover qui pousse du clickbait à longueur de journée... vous verrez, ça saute aux yeux direct !

Petit flashback quand même pour donner un peu de contexte... Sylvain Peyronnet, je l'ai croisé y'a plus de 10 ans maintenant je dirais, lors de l'une de leurs formations. Ex-Chief Science Officer de Qwant, ancien prof de fac, vingt ans d'algos de moteur de recherche dans les pattes et avec son frère Guillaume Peyronnet, ils forment le duo SEO qui tient le blog technique de référence en France et qui édite Yourtext.guru .

Mais attention à ne pas confondre côté Ibou puisque c'est Sylvain qui prend la casquette CEO, avec Guillaume Pitel (homonyme du frangin niveau prénom, mais aucun lien familial ^^) à la technique. Guillaume Pitel est un ingénieur EPITA, docteur en info, et fondateur d'eXenSa, qui a créé le crawler Barkrowler de Babbar il y a quelques années.

Et du coup ça a du sens car Babbar tourne depuis six ans, a crawlé 3 300 milliards de pages, leur graphe pèse 7 000 milliards de liens, et leurs deux crawlers actifs (Barkrowler et IbouBot) avalent 2 à 3 milliards de pages par jour. C'est à l'échelle de ce que font les géants du web.

Et c'est cette infra qui alimente déjà Explorer, et c'est aussi elle qui servira de socle au futur moteur de recherche conversationnel. Leur algo de ranking propriétaire s'appelle Mimesis et il est plutôt fin puisqu'il est capable de faire de la recherche hybride dense-sparse qui agrège une centaine de signaux par document, le tout entraîné et calibré via du LLM-as-a-Judge.

L'interface d'Ibou Explorer, la beta publique disponible

Côté philosophie, le manifeste Ibou tient en 4 engagements : respecter les éditeurs (crawl conforme aux directives, vitesses adaptées pour ne pas charger les serveurs), valoriser les créateurs (journalistes, blogueurs, photographes, devs), servir la curiosité plutôt que l'engagement, et défendre un web ouvert.

Que demande le peuple ?

Et côté concurrence, le contraste avec Google est très brutal je trouve. Avec son AI Overviews, Mountain View fait fondre les clics vers les sources, capture la valeur, garde l'audience, et laisse les créateurs avec les miettes. J'en parlais déjà l'an dernier en disant que le web tel qu'on le connaît allait disparaître et heureusement, Ibou vient prendre exactement le contre-pied de tout ça avec une attribution systématique des sources, un renvoi réel de trafic vers les éditeurs, et une totale transparence sur l'algorithme via leur Substack où ils détaillent les choix techniques.

Côté IA, leur position est nuancée et plutôt saine, je trouve. Les contenus travaillés avec l'aide de l'IA restent acceptables, mais ce qui est pénalisé c'est le « slop », c'est à dire ce contenu massivement généré sans valeur ajoutée qui inonde le web depuis deux ans. Ça rejoint d'ailleurs ce que je racontais sur le SEO à l'ère de l'IA y'a pas longtemps.

Bref, avec Ibou, ils veulent récompenser l'humain qui produit, et pas les fermes à contenu des référenceurs de caniveau.

Donc si ça vous dit de tester Explorer, allez sur explorer.ibou.io , validez votre mail, et choisissez quelques thématiques. Vous obtiendrez un flux personnalisé qui apprendra ensuite de vos clics. Le hic, c'est qu'un système qui apprend de vos clics peut quand même tendre vers un effet de bulle, donc on verra à l'usage si Ibou arrive vraiment à éviter ce phénomène.

Le vrai moteur de recherche conversationnel, lui, est annoncé comme je vous le disais pour fin 2026, avec une verticale images encore en cours de développement.

Et côté investisseurs, c'est du solide : Xavier Niel a rejoint le capital aux côtés de Go Capital, Bpifrance, Normandie Participations et AD Normandie (la boîte est basée en Normandie). Les outils SEO existants (Babbar, Yourtext.guru) financent encore la R&D, et la roadmap de monétisation parle de freemium, API, B2B selon ce qui prendra. On verra bien...

Maintenant le vrai défi reconnu par Sylvain lui-même, c'est la notoriété de son service face au "réflexe Google". Donc comme pour toutes les alternatives à Google , le combat se joue autant côté usage que côté tech.

Mais moi, je suis content de voir des gens s'attaquer enfin à ce mur-là avec une vraie infra derrière et pas juste un wrapper d'API à la con.

La beta Explorer est dispo dès maintenant en cliquant ici ! Ah et y'a aussi des applications pour Android et iOS !

Meng Chen, doctorant à l'université Zhejiang, vient de prouver avec son équipe qu'on pouvait complétement détourner un assistant vocal IA avec un simple son que vous prendriez probablement pour un simple parasite. Avec sa bidouille, il a ainsi réussi à pousser les agents vocaux commerciaux de Microsoft et de Mistral à exécuter des actions que personne ne leur avait demandées.

Gloups !

L'attaque s'appelle AudioHijack, et ça consiste à planquer des ordres dans un fichier audio, une vidéo, un clip musical, une note vocale. Comme ça, le modèle qui l'écoutera vous obéira à VOUS, plutôt qu'à l'utilisateur. C'est comme une injection de prompt sauf que celle-ci s'entend à peine.

"Une demi-heure pour entraîner le signal, et comme il ignore le contexte, vous attaquez quand vous voulez, peu importe ce que dit l'utilisateur", résume Chen dans son interview . Reste qu'il faut un accès complet au modèle pour fabriquer le signal, ce que Microsoft et Mistral ne donnent pas. Alors il suffit à l'attaquant de l'entraîner sur un modèle ouvert qu'il contrôle, puis de rejouer le même signal contre le modèle fermé et en général, ça se passe bien parce qu'ils partagent souvent les mêmes briques audio.

Voilà et ça une fois que c'est fait, il suffit de "polluer" une source, et d'attendre qu'un poisson morde à l'hameçon...

Et le menu des possibilités est plutôt copieux vous allez voir. Le modèle peut par exemple prétendre qu'il ne sait pas traiter l'audio, refuser vos demandes, sortir de fausses infos, glisser un lien piégé, changer de personnalité, ou pire, déclencher des outils tout seul. Genre envoyer un mail avec vos données, ou télécharger un fichier depuis un serveur de l'attaquant s'il en a la possibilité technique (coucou MCP). Ainsi, sur les treize modèles testés, la réussite moyenne grimpe entre 79 et 96% selon le méfait.

Mais pour fabriquer ce signal vérolé, l'attaquant doit sentir dans quelle direction "pousser" le son pour rapprocher le modèle de son but, un peu comme suivre une pente vers le bas.

Sauf que ces modèles transforment l'audio en le découpant par exemple. Et la pente peut du coup devenir un escalier, puis du plat, voire une arête cassante... c'est clairement impossible à suivre ! Mais l'équipe de Chen a réussi à reconstituer cette pente à grand coups d'échantillonnage, puis a maquillé le bruit en réverbération.

Et comme notre oreille est trop limitée pour flairer l'anomalie, ça passe tranquille... Je vous avais déjà parlé de l'injection de prompt avec une simple doc empoisonnée qui pilote une IA , mais là, ça pourrait même surgir de la bande son d'une simple vidéo Youtube...

Et pour se protéger de ça, y'a pas grand chose à faire à part faire relire le prompt final... Le plus sûr, c'est donc plutôt de ne pas brancher votre assistant vocal sur vos mails, vos fichiers ou vos paiements, et de regarder plus en détails ce qui se passe s'il refuse soudainement une tâche ou vous sort un lien après avoir écouté un audio douteux...

De leur côté, les modèles fermés d'OpenAI ou d'Anthropic sont plus durs à viser, faute d'accès à l'architecture mais comme ils s'appuient aussi sur des briques audio open source, l'équipe de Meng pense que l'attaque pourrait se faire aussi.

Méfiance donc...

Source

Vous vous souvenez de YggTorrent qui s'est fait démonter en full 4K en mars dernier ?

Eh ben rebelote !! Le mec qui gérait Ygg serait, d'après le leaker, derrière une autre plateforme pirate nommée Hydracker (l'ex-Darkiworld relooké hier) qui elle aussi s'est fait éclater à son tour. Un certain blackspell81 a balancé le catalogue en accès libre sur darkileak.buzz. Le pirate qui pirate le pirate qui s'était déjà fait avoir. C'est un délice ^^!

Et ce qui a fuité, c'est du lourd avec environ 2,4 millions de liens de films et de séries, soit à peu près 130 000 torrents. En vrac, ça donne 17 Go de bases SQL d'un côté, 19 Go de JSON de l'autre, et 10 Go rien que pour les torrents.

De quoi lancer un téléchargement à la minute pendant 4 ans sans voir le bout du truc. Du coup, tout est dispo, gratos, maintenant ! Blackspell81 affirme aussi avoir aspiré la base utilisateurs, qui compte dans les 800 000 comptes (c'est l'héritage de Darkiworld, forcément, vu que le nouveau nom a à peine un jour) avec emails, mots de passe hashés, adresses IP, pseudos et historiques d'activité.

Sauf qu'il a décidé de NE PAS la publier ! Ouf pour tous les membres !

Et ce choix, il le revendique noir sur blanc car sur la page de leak, juste sous une citation d'Aaron Swartz ("Sharing is not immoral, it's a moral imperative"), le message est limpide : "Darkiworld a voulu imposer sa vision capitaliste du partage, nous avons donc pris les choses en main. Personne ne devrait avoir à payer pour du contenu piraté. Le but même de cette communauté est l'entraide et le partage. Nous avons ainsi hacké Darkiworld et ses serveurs internes afin de libérer le catalogue, désormais accessible à tous, gratuitement."

Le gars ne cible donc pas les utilisateurs, mais la "boîte" Darkiworld et son virage business.

Darkiworld, c'est surtout un vieux de la vieille qui a déjà changé de nom trois fois (PapaFlix, puis Darkino, et j'en passe) et ce mois-ci, il s'est "repositionné" pour ramasser les orphelins de Ygg : torrents, streaming intégré, téléchargement direct, abonnements premium, downloads accélérés, moins de pub, et même un navigateur maison baptisé "Hydra Browser".

Bref, du piratage en mode startup, avec offre freemium et tunnel de conversion. Donc au lieu de rester la petite communauté d'entraide du départ, la plateforme a foncé sur la monétisation, ce qui a fini par cristalliser la colère de ses utilisateurs et de ceux de Ygg.

Maintenant, d'après blackspell81, la personne qui tient le site aujourd'hui serait la même que celle qui pilotait Ygg, sous les pseudos Destroy et Oracle. Il évoque des adresses IP au Maroc qui correspondent et un mail "d'un certain Amine". À prendre avec des pincettes, hein, parce que personne d'autre n'a confirmé ça de façon indépendante pour l'instant.

Mais ces deux pseudos collaient déjà aux admins de Ygg dans plusieurs comptes rendus du hack de YggTorrent . Donc soit c'est le même bonhomme qui collectionne les fuites, soit quelqu'un veut très fort le faire croire.

Côté Hydracker, on assume mollement... Sur le Telegram officiel, un message signé "GANDALF" (oui oui) explique que "le dev vient de reprendre la main sur les serveurs", que c'est "très loin d'être la fin", et qu'ils ne se laisseront pas faire par "une dizaine de mécontents" face aux "milliers" qui apprécient le site.

Les changements indispensables dont il parle, ce sont donc les abonnements payants... voilà voilà.

Si vous aviez un compte sur Darkiworld ou Hydracker, partez du principe que vos identifiants ont fuité, même si la base users n'est pas publique. Car "Pas publiée" ne veut pas dire "pas exfiltrée". Ça veut juste dire "pas encore".

Du coup, changez ce mot de passe partout où vous l'avez recyclé (et je sais que vous l'avez recyclé ^^), activez la double authentification, et vérifiez votre email sur Have I Been Pwned .

Et souvenez-vous, T411 et Zone-Téléchargement tombés il y a des années déjà, le roi du scan manga Bato.to coulé en janvier, Ygg démoli en mars... les sites de téléchargement pirates se font dégommer en série depuis quelque temps pour des guéguerres internes qui surgissent à chaque fois quand le site se met à vendre du premium et qu'il devient, de fait, pile ce qu'il prétendait combattre.

Bref, qui sera le prochain ?

Édit du 18 mai : GANDALF, l'admin d'Hydracker, m'a contacté directement pour démentir. Selon lui, son équipe et le dev d'Hydracker n'ont aucun rapport avec ceux de Ygg. À ce moment-là, le hacker disait l'inverse, donc impossible de trancher.

Édit du 19 mai : Blackspell81 lui-même vient de confirmer qu'il n'existe aucun lien réel entre les propriétaires d'YGG et de DarkiWorld. Autrement dit, la connexion YGG évoquée dans l'article ne tient pas. Ce qui ne change pas : la fuite a bien eu lieu, les données sont dehors.

Source

Vous n'avez pas de Mac Silicon, mais vous avez vu passer mon article de ce matin sur vLLM-MLX et son serveur d'IA local ? Hé bien bonne nouvelle, je suis tombé ce midi sur Lemonade SDK , un serveur d'IA local communautaire sponsorisé par AMD (et largement codé par leurs ingénieurs), qui joue dans la même cour, mais côté PC + Mac !

C'est la même logique qu'avec vLLM-MLX, vous installez le serveur (un paquet clé en main selon votre OS, pas de bidouille pip), et il expose un endpoint compatible API OpenAI sur http://localhost:13305/api/v1. Vos scripts tapent dessus au lieu d'envoyer vos prompts, et votre pognon, chez OpenAI.

Le démarrage tient en une ligne. Un lemonade run Gemma-4-E2B-it-GGUF lance un modèle, et un lemonade launch claude branche carrément Claude Code sur votre machine.

Sauf que là où vLLM-MLX s'appuie sur MLX pour les puces Apple, Lemonade vise les NPU Ryzen AI et les GPU Radeon. Et c'est tout l'intérêt du truc car depuis la 10.0 sortie en mars, le NPU XDNA2 des machines Ryzen AI récentes sert enfin à faire tourner des LLM sous Linux, et plus juste à décorer la fiche technique !

La 10.5 apporte également 2 nouveautés qui valent le coup. D'abord, le support macOS passe de bêta à officiel. Toutes les grosses fonctions sont validées sur Mac (le texte via llama.cpp et Metal, le reste via les autres moteurs embarqués) et ensuite, ça bascule sur ROCm 7.13 pour llama.cpp et la génération d'images.

J'ai pas de PC Ryzen AI sous la main pour tâter du fameux NPU, donc j'ai fait mes tests sur mon GPU Metal à moi. Notez qu'un lemonade list crache tout le catalogue, Qwen, Gemma, Llama, DeepSeek et compagnie.

Et ça dépote ! Un petit Qwen3-0.6B dans le chat intégré tourne à ~96 tokens par seconde avec mes 32 Go de RAM, c'est donc une réponse quasi instantanée. Après un modèle de 0,6 milliard de paramètres, c'est le poids plume du ring, donc comptez nettement moins sur un gros 8B, mais ça tourne nickel.

Du coup, sur Mac, vLLM-MLX joue la carte du natif Apple via MLX, alors que l'intérêt de Lemonade c'est surtout le cross-plateforme et le NPU Ryzen AI. Et comparé à Ollama , vous gagnez ce NPU mais aussi les fonctions audio (synthèse vocale, transcription) + un gestionnaire graphique de modèles pour piocher vos modèles. Et tout ça est sous licence Apache 2.0.

Bref, que vous soyez team Mac ou team Ryzen, c'est zéro ligne de facture API en fin de mois et surtout vos données qui restent chez vous !

Source : Phoronix

Si vous avez un Mac avec une puce Silicon et que vous en avez marre de raquer pour des tokens à chaque requête API à un LLM à la con, y'a un projet qui mérite, je trouve, le détour. Ça s'appelle vLLM-MLX , et c'est un serveur d'inférence local qui transforme votre Mac en machine à générer du texte, à analyser des images et vidéos, et même capable de gérer de l'audio... et tout ça sans que l'inférence ne passe par le cloud des zaméricains.

Pour installer le bouzin, ça se fait avec :

uv tool install vllm-mlx

Puis vous lancez suivi du nom d'un modèle et hop, vous obtenez un endpoint API compatible OpenAI qui tourne en local sur votre machine :

vllm-mlx serve %MODEL%

Au début je pensais que j'étais parti pour une séance de configuration qui aller durer des heures mais en fait non. Par exemple moi j'ai lancé ça :

vllm-mlx serve mlx-community/GLM-4.7-Flash-4bit

Vous pouvez aussi opter pour un modèle plus petit :

vllm-mlx serve mlx-community/Qwen2.5-Coder-3B-Instruct-4bit

Du coup, si vos scripts causent déjà avec l'API d'OpenAI, basculer sur ça en local rien qu'en changeant l'URL de base, c'est un jeu d'enfant !

Côté perfs, et là je reprends les benchmarks officiels du repo (M4 Max 128 Go, mono-requête), on tourne autour de 418 tok/s sur un petit Qwen3-0.6B en 8-bit. Ensuite, ça tombe à environ 206 tok/s sur du Llama-3.2-3B et 128 tok/s sur un gros Qwen3-30B-A3B.

Le débit grimpe aussi quand plusieurs requêtes tapent en même temps à la porte... Donc sur les petits modèles ça file vite, mais par contre, sur les gros, faudra pas s'attendre à la même vitesse, hein... Et un Qwen3-30B vous bouffera dans les 18 Go de RAM unifiée, donc sur un Mac à 8 ou 16 Go vous pouvez oublier les gros modèles (Mais qui n'a pas encore un Mac Studio 128 Go ?? hein ? Quiiii ?).

Et c'est pas juste un serveur de texte comme je vous le disais, puisque le projet gère les modèles de vision type Gemma 3, Qwen3-VL, Pixtral, pour analyser images et les vidéos, et côté audio y'a du TTS natif (avec Kokoro, Chatterbox et compagnie) + de la transcription Whisper qui monte jusqu'à 197x le temps réel avec whisper-tiny, ou 55x avec le modèle turbo.

Attention par contre, il vous faudra la version avec l'extra audio (espeak-ng et un modèle spaCy), car c'est pas inclus dans la commande de base. Mais une fois en place, y a de quoi se monter un vrai assistant vocal 100% local et causer synthèse vocale sans louer un GPU chez Azure ou AWS.

Même le endpoint /v1/messages est compatible Anthropic, ce qui permet de brancher Claude Code ou OpenCode directement sur votre serveur comme je vous l'expliquais ici . Suffit d'utiliser ces variables d'environnement et votre éditeur IA ira taper sur votre propre machine plutôt que sur des serveurs distants.

unset ANTHROPIC_API_KEY
export ANTHROPIC_BASE_URL="http://127.0.0.1:8000"
export ANTHROPIC_AUTH_TOKEN="dummy"
claude --model mlx-community/GLM-4.7-Flash-4bit

ou :

claude --model mlx-community/Qwen2.5-Coder-3B-Instruct-4bit

Avouez que c'est trop cool hein ? Vous pouvez trouver tous les modèles pour MLX ici sur HugginFace si vous cherchez un truc plus spécifique.

Y'a aussi un endpoint d'embeddings pour faire du RAG en local, de l'appel d'outils externe via MCP avec une douzaine de parsers et le support des modèles de raisonnement qui extraient proprement le processus de réflexion entre les balises <think> pour Qwen3 et DeepSeek-R1.

J'adore !

Côté bidouille si vous vous lancer, sachez qu'il y a 2 ou 3 flags vachement utiles à connaitre.

Par exemple, le --warm-prompts (couplé au continuous batching) précharge les préfixes populaires au démarrage et, dans le bon scénario, vous gagne entre 1,3 et 2,25x sur le temps de première réponse.

Sur les gros modèles MoE genre Qwen3-30B-A3B, le --moe-top-k réduit aussi le nombre d'experts activés pour gratter 7 à 16% de débit. Le hic, c'est que vous y perdez un poil de qualité.

Et pour les agents qui brassent des contextes énormes, le --ssd-cache-dir déverse le cache de préfixes sur SSD pour soulager la RAM, au prix d'un peu de latence quand ça tape sur le disque.

Bref, si vous cherchez une alternative à Ollama qui tape direct dans le GPU de votre Mac avec du batching et du multimodal, le tout avec une compatibilité API aux petits oignons, foncez les amis ! C'est open source (Apache 2.0), ça dépote et ça s'installe en deux commandes !

Merci à Christian pour la découverte !

Vous ne le savez peut-être pas mais votre serveur Linux embarque plusieurs milliers de modules kernel et pourtant, il n'en utilise que quelques centaines à peine. Tout le reste ça prend la poussière et ça peut vous exposer à des problèmes de sécurité. Hé bien c'est exactement à ces modules inutiles que Jasper Nuyens, le fondateur de Linux Belgium, vient s'attaquer avec son outil ModuleJail .

Ce script lit /proc/modules pour savoir ce qui tourne vraiment sur votre machine, et considère ensuite cet ensemble comme étant intouchable. Par contre, pour tout le reste il ajoute une ligne install <module> /bin/true dans /etc/modprobe.d/modulejail-blacklist.conf.

Comme ça si un jour quelque chose essaie de charger un de ces modules endormis, c'est modprobe qui exécutera /bin/true à la place... et il ne se passe rien !!

C'est malin, hein ? Vous pouvez installer ModuleJail via le script dispo sur la page Github ou grâce aux paquets .deb et .rpm si vous préférez. Et ensuite, pour vérifier que c'est bien en place, un petit modprobe -n -v module_banni devrait vous répondre install /bin/true.

En tout cas, je trouve que ModuleJail tombe très bien parce que la chasse aux failles kernel est clairement en train de changer d'échelle. Je pense notamment à tous ces outils de scan assistés par IA qui débusquent à la chaine des bugs d'élévation de privilèges planqués dans le code depuis des années.

Le script propose 3 profils via le flag -p, minimal pour le strict nécessaire, conservative par défaut (serveur classique plus drivers VM courants) et desktop qui garde WiFi, Bluetooth, audio et vidéo. Vous pouvez aussi ajouter votre propre whitelist.

Et la règle d'or non négociable, c'est de le lancer quand la machine est dans un état stable, avec tous les services démarrés, et tous les disques montés. Car oui, ModuleJail ne devine rien, mais se contente de photographier ce qui tourne à l'instant T. Donc sur un système à moitié démarré, ce serait un peu couillon qu'il bannisse un module dont vous aurez besoin plus tard.

Après pour tout ce qui est compilé en dur dans le kernel (le fameux =y de la config) ça reste là, donc une faille dans le cœur du noyau façon Dirty Cow , ça n'y changera rien du tout. Et si vous branchez une webcam six mois après, son module sera déjà banni donc faudra pas oublier de retirer sa ligne du fichier ou relancer le script avec une whitelist, car un simple modprobe ne suffira pas !

Donc c'est pas forcement le pied pour un Linux Desktop mais pour un parc de serveurs en prod qui ne bougent pas, c'est une petite couche de sécurité en plus.

Source

"Free the robot" !!!

C'est le slogan de Menlo Research, et pour une fois c'est pas du flan. En effet, leur Asimov v1 est un humanoïde de 1,20 m et 35 kg, entièrement open source ! Tout est fourni gratuitement donc, les plans de la mécanique, les schémas électriques, le modèle de simulation, ainsi que le code embarqué.

Vous avez donc la CAO complète, la nomenclature des pièces, le modèle MuJoCo pour simuler avant même de souder, et le firmware. Ensuite, y'a 2 façons de l'avoir : Soit le kit DIY (499 dollars d'acompte, puis environ 15 000 dollars au final, livré cet été), soit vous sortez la nomenclature complète et le manuel d'assemblage, et vous sourcez chaque pièce à la main. Ça peut faire un beau projet si vous avez un peu de blé mais surtout des compétences en électronique et du temps !

C'est vrai qu'en général, 1 robot "open source" sur 10, c'est un README qui se la raconte avec 3 STL et rien d'autre derrière, mais là je vous promets, c'est du solide. En janvier dernier, Asimov c'était juste une paire de jambes avec 12 degrés de liberté et basta. Et nous voilà quelques mois plus tard avec un humanoïde complet composé de 25 actionneurs (plus deux orteils passifs sur ressort pour le contact au sol), des bras qui lèvent 15 kg chacun, une tête avec caméra et micros, et un haut-parleur dans le torse pour causer.

Asimov v1, le robot humanoïde open source de Menlo Research

Et côté tripes, c'est du sérieux également avec 2 cerveaux à bord, un Raspberry Pi 5 pour le réseau et le média, et un Radxa CM5 pour le contrôle moteur en temps réel. Des bus CAN charrient ensuite les ordres dans tout le squelette. Niveau matériaux, c'est de l'alu 7075 pour les pièces qui encaissent, du nylon PA12 fritté pour le reste. Et la licence matérielle c'est du CERN-OHL-S-2.0 (je ne la connaissais pas celle-là), et de la GPL-2.0 pour le soft. Donc on est sur du vrai open hardware copyleft !

Maintenant, Menlo a baptisé son kit " Here Be Dragons ". Pour ceux qui n'auraient pas la ref, c'est la mention qu'on collait sur les vieilles cartes médiévales pour dire "ici, terrain inconnu, c'est à vos risques et périls".

Et c'est pas un hasard puisque vous devrez compter 50 à 100 heures rien que pour passer du carton de pièces à un robot qui s'allume proprement et sans danger. Attendez, pas pour le faire marcher, hein, juste pour l'allumage. Et utiliser votre imprimante 3D du dimanche pour les pièces porteuses, oubliez. Faudra passer par de l'alu usiné.

En effet, le plastique risque d'avoir du jeu et foutra en l'air les calculs du contrôleur, donc au mieux le robot marchera mal, au pire il viendra vous buter dans votre sommeil. Ensuite, le reste s'imprime, mais en nylon industriel. Et je vous passe la prise de tête avec le câblage des bus CAN et autres petites surprises... Un bidouilleur prévenu en vaut deux !

Du coup, entre lâcher 15 000 balles pour le kit clé en main et tout sourcer soi-même, perso si j'avais la thune (et l'usage d'un robot), j'opterais pour le kit. Mais si vous avez un atelier, une fraiseuse CNC et la patience d'un moine, la version DIY revient sans doute moins cher. Bref, chacun son délire.

Reste la vraie question que vous vous posez surement (ou pas) : Ça vaut quoi face à la concurrence ?

Hé bien un Unitree G1 tourne autour de 16 000 dollars, soit à peu près le même tarif. Sauf que chez Unitree, les plans du bestiau restent propriétaires et je vous parle pas du soft qui balance tout chez nos amis Chinois.

Alors qu'avec Asimov, vous êtes le propriétaire du robot jusqu'à la dernière vis. L'idée de Menlo c'est d'accélérer l'itération en ouvrant complètement leur robot afin que tout ça s'améliore dans un espèce de cercle vertueux. Et surtout les labos et les geeks de tout poil pourront avoir leur robot bien à eux. Sans ça, sur le marché ce sera uniquement Robot Apple, Robot Google, Robot Tesla ou NoName Chinois et voilà... Ce serait dommage quand même, je trouve.

Et si l'idée vous titille, jetez un œil à YOR, un autre robot open source à monter soi-même , ou à ce que coûte vraiment un humanoïde à la maison en 2026 .

Bref, si vous avez 15 000 balles, 100 heures devant vous et l'âme d'un bidouilleur, le bipède vous attend sur GitHub. Et les autres comme moi, regarderont ce dépôt en bavant... ce qui est déjà pas mal ^^.

Merci à philobois pour le lien !

Cult of the Dead Cow , un des plus vieux collectifs hacktivistes encore en activité, ne se contente pas que de balancer des manifestes politiques depuis 1984. Ils codent. Et leur dernier bébé en date s'appelle Veilid , et c'est un framework P2P qui veut faire à vos apps ce que Tor a fait à votre navigateur.

Histoire de vous expliquer, vous prenez Veilid, vous l'intégrez dans votre app mobile ou web, et d'un coup tout votre trafic passe par un réseau pair-à-pair (P2P) chiffré de bout en bout. Cela veut dire qu'il n'y a pas de serveur central qui stocke vos messages.

Concernant votre IP, celle-ci n'apparaît alors plus au niveau applicatif (le routage privé l'obfusque entre pairs), et chaque nœud est identifié par une clé publique Ed25519 256-bit. Donc autant dire un truc carrément impossible à brute-force.

Le projet a été annoncé à DEF CON 31 en août 2023 par Christien "DilDog" Rioux et Katelyn "Medus4" Bowden, 2 membres historiques de cDc, et près de trois ans plus tard, ça continue d'évoluer toujours à un rythme régulier.

L'idée technique vous la connaissez si vous avez déjà touché à du décentralisé : Une table de hachage distribuée (DHT, en fait un annuaire éclaté entre tous les nœuds du réseau) gère le routage, chaque nœud relaie du trafic chiffré qu'il ne peut pas lire, et les pairs s'échangent des données sans jamais révéler leur IP.

Perso, c'est l'approche qui me semble vachement plus saine pour faire du social sans Mark Zuckerberg dans la boucle. C'est dans le même esprit que Tor et qu' IPFS , sauf que Veilid est pensé dès le départ pour les développeurs d'applications. Donc c'est pas fait pour anonymiser de la navigation web ou stocker des fichiers. C'est un Tor des applications si vous préférez...

Le framework est codé en Rust avec des bindings Flutter et Dart pour le mobile ainsi qu'une cible WebAssembly pour le navigateur. Vous pouvez donc carrément déployer une app Veilid sur Linux, macOS, Windows, Android, iOS, et même directement dans Chrome ou Firefox via WASM.

Le code, lui, est découpé en plusieurs composants : veilid-core pour le moteur, veilid-tools pour les utilitaires, veilid-flutter pour le mobile, veilid-wasm pour le navigateur et veilid-server qu'on installe sur un VPS Debian ou Fedora pour faire tourner un nœud public. Voilà, et le tout est sous licence Mozilla Public License 2.0, donc copyleft mais compatible si vous y ajoutez du code propriétaire par dessus.

L'app phare qui tourne déjà sur ce framework, c'est VeilidChat , une messagerie type Signal mais sans aucun serveur, sans numéro de téléphone et sans annuaire centralisé. Vous échangez votre clé publique avec un pote, et hop, c'est parti.

Si ça vous dit d'y jeter un oeil, sachez que le code de Veilid n'est pas sur GitHub mais sur GitLab . Après c'est encore assez nouveau, ce qui veut dire que ça bouge beaucoup de release en release. Donc si vous voulez coder votre prochaine app par dessus ce framework, va falloir vous accrocher car ça cassera souvent.

Mais si vous codez du décentralisé et que vous en avez franchement marre de bricoler libp2p à coup de colle forte Python, Veilid mérite un sérieux coup d'œil. Et même si vous codez pas, gardez l'œil sur VeilidChat car le jour où une appli grand public sortira là-dessus, ça va vraiment envoyer du lourd.

Beaucoup plus que Signal ou Telegram, je pense !

Vous vous souvenez de l'encoche des MacBook Pro et autres Air d'Apple ? Mais siiii, celle qu'on avait tous trouvée bien moche en 2022, au point que je vous avais pondu un article entier pour la faire disparaître ! Hé bien 4 ans plus tard, sk-ruban a décidé de lui donner une vraie utilité avec notchi qui transforme proprement cette encoche maudite en un compagnon fait de pixel-art et d'amour qui réagit en temps réel à votre Claude Code.

La boucle est bouclée, mes amis !

Une fois installée, l'app détecte les événements de votre session Claude Code via les hooks officiels car ce sont eux qui balancent les "events" sur un socket Unix local qui sont ensuite parsés en temps réel afin d'animer les sprites logés dans le creux de votre encoche.

Cette mascotte a cinq états bien distincts. Elle se balade en mode idle quand vous bricolez à côté, elle s'agite quand Claude réfléchit, elle pique un roupillon en cas de pause prolongée, elle se concentre quand le contexte se compacte, et elle vous fait les gros yeux quand l'IA attend une validation.

Ça bosse fort !

Un clic sur l'encoche et le panneau s'étend pour afficher le feed des événements, votre temps de session, et le quota d'usage restant.

L'option d'analyse de sentiment est également très sympa. Si vous lui fournissez une clé API Anthropic, l'app analysera alors vos prompts pour faire varier l'humeur de la mascotte entre joyeux, triste, neutre ou pleurnichard. À noter quand même que chaque prompt déclenche un appel API facturé sur votre compte Anthropic, donc à activer en conscience si vous bombardez Claude toute la journée et que vous êtes pété de thunes. Ce dont je ne doute pas un instant !!

Les options de Notchi

Et pour ceux qui jonglent avec plusieurs instances de Claude Code, les sessions concurrentes sont également supportées avec un sprite individuel par session, histoire d'éviter la confusion quand vous lancez 3 agents en parallèle.

Sk-ruban s'est inspiré de Claude Island et Readout (deux autres projets qui détournent l'encoche), et les sprites sont dessinés sur Aseprite. C'est un peu dans le même esprit que Peon Ping qui balance des sons de Warcraft à chaque action de votre agent, mais avec un aspect visuel ludique plutôt que sonore. Il y a même déjà un portage Windows réalisé par AptatoX pour ceux qui ne sont pas sur Mac.

Au niveau prérequis, comptez macOS 15 Sequoia minimum et un MacBook avec une vraie encoche, ce qui exclut les MacBook Air sans notch et les MBP d'avant la refonte 14/16 pouces. Le projet est sous licence GPL-3.0 et l'install se fait par Homebrew avec brew install --cask notchi, ou en DMG direct depuis les releases.

Et un grand merci à Camille Roux pour le partage !

Si vous avez payé une agence pour "optimiser votre site pour l'IA" ces derniers mois, asseyez-vous bien confortablement car Google a publié son guide officiel sur le sujet, et le résumé tient en une phrase, le SEO pour l'IA c'est du SEO. Voilà... Tout ce qui est hacks GEO, c'est direction la poubelle en tout cas pour Google !

Le doc est sorti le 15 mai sur Search Central, et il met les pieds dans le plat direct. Google y explique que ses fonctionnalités IA, les AI Overviews (les fameux résumés générés en haut des résultats) et le mode IA, ne tournent pas sur un moteur à part. Elles piochent tout simplement dans l'index normal, avec le classement habituel. En gros, y'a pas de porte dérobée réservée aux plus malins malgré ce que les auto-proclamés experts GEO peuvent dire.

Le guide officiel Google, mis en ligne le 15 mai 2026

Ce qui est marrant, c'est que Google a surtout placé dans ce doc une section "mythbusting" qui va faire mal à pas mal de monde. Car oui les amis, pas besoin de fichier llms.txt, pas besoin de balisage spécial, pas besoin de découper votre contenu en petits morceaux pour aider les robots de Mister Google.

Et voilà comment toute une industrie de consultants qui vendait du llms.txt à prix d'or vient de se prendre un mur. Snif...

D'ailleurs, le truc rigolo avec le llms.txt, c'est son histoire. Ce fichier a été proposé en septembre 2024 par le co-fondateur de Fast.ai, et presque deux ans plus tard, ni Google, ni OpenAI, ni Anthropic ne vont vraiment le récupérer sur votre serveur. L'adoption reste donc hyper marginale, genre 6% des gros sites et ça n'est jamais devenu un vrai standard. Vous pouvez donc carrément supprimer le vôtre, ça ne changera strictement rien !

Alors c'est quoi la vraie recette ?

Hé bien du contenu "non-commodity", dit Google. En clair, des trucs que personne d'autre n'a écrits... Ils veulent du vécu et pas du réchauffé. Leur exemple est d'ailleurs très parlant... Un article du style "7 conseils pour acheter sa première maison", c'est de la soupe que tout le monde recopie. Alors que "Pourquoi on a zappé l'inspection et économisé, retour sur la canalisation d'égout", ça c'est du vécu qui sent bon le terroir et la sueur, et c'est ça que l'IA va citer !! C'est exactement ce que je raconte depuis des années .

En vrai, le boulot c'est surtout de revenir aux bases du SEO, et pas besoin d'outils payants dans cette équation mais juste du temps et du contenu honnête et humain. D'abord, faut vérifier que vos pages sont indexables et crawlables, et ça la Search Console vous le dit en deux clics.

Ensuite, arrêtez de générer 40 pages quasi identiques pour chaque variation de mot-clé, car Google appelle ça de l'abus de contenu à grande échelle et ça vous flinguera votre référencement ! Et n'oubliez pas que vous écrivez pour des humains, avec des titres et des paragraphes, et pas pour un parseur à la con.

Le seul vrai piège après, c'est l'éternel site full JavaScript des startupeurs d'école de commerce (ou des vibe-coders maintenant...). Là encore Google prévient que ça ne passera pas.

Après le hic c'est que les AI Overviews répondent direct dans la page de résultats, du coup le taux de clics vers votre site s'effondre . Et voilà comment le client repart sans jamais entrer... Plusieurs études indépendantes parlent même d'un taux de clic qui peut chuter de moitié quand un résumé IA s'affiche en haut. Ahrefs par exemple a mesuré près de 60% de clics en moins sur la position numéro un, Pew tourne autour de 47% et comme d'hab, avec son guide, Google vous dit "faites du bon contenu", mais ne vous promet jamais le trafic qui va avec. Faut donc bien en avoir conscience avant de se lancer !

Le guide glisse aussi un mot sur les agents IA qui visitent votre site tout seuls, lisent vos captures d'écran, votre DOM et votre arbre d'accessibilité pour comparer des produits ou réserver une table. D'ailleurs si ce sujet vous parle, y'a un scanner pour tester si votre site est prêt pour les agents IA .

Après moi ce que je retiens de tout ce bordel, c'est que Google vient surtout de couper l'herbe sous le pied à tous les vendeurs de poudre de perlimpinpin "AEO" et "GEO". Ces acronymes, comme l'écrit Google noir sur blanc dans son rapport, ce sont juste des mots et du marketing pour les pigeons. Le vrai métier derrière reste le SEO et basta !!

Après si vraiment vous voulez bosser votre visibilité pour les moteurs IA comme Perplexity, j'avais détaillé les vraies techniques , et spoiler, ça ressemble quand même beaucoup à du bon vieux contenu honnête qu'on fait à l'ancienne depuis que le web est web...

Bref, avant de lâcher du fric pour du GEO, allez lire le guide . C'est gratuit, et au moins ça dit la vérité.

Wikipedia, vous connaissez ça par cœur j'imagine... Hé bien vous allez redécouvrir la plus connue des encyclopédies grâce à Sami Smith qui a lancé explorer.samismith.com , qui transforme quasiment toute l'encyclopédie en fenêtres d'explorateur de fichiers Windows XP. Les catégories sont présentées comme des dossiers, les articles s'ouvrent dans une fenêtre façon WordPad, et le menu Démarrer est là, fidèle à l'original.

Vous double-cliquez sur l'icône Wikipedia du bureau, et vous tombez sur les grandes catégories qui ont l'apparence des fameux petits dossiers jaunes : Art, Music, Sports, Academic disciplines, Economy...(oui c'est en anglais). Vous fouillez de dossier en dossier comme dans Mes Documents en 2003, et quand vous ouvrez un article, il s'affiche dans une fenêtre WordPad avec le petit lien "Open on Wikipedia" en bas. Tout Wikipedia est ainsi navigable de cette façon, sauf, d'après Sami, la centaine de pages qui n'ont encore aucune catégorie assignée.

Y'a aussi une icône Media, et là c'est Wikimedia Commons qui se transforme en explorateur d'images par catégorie. Vous voulez voir des bousiers ? Vous descendez dans commons/animals/insects_by_common_named_groups/dung_beetles et vous avez 47 objets, photos et vidéos comprises. Et un petit clic droit sur n'importe quelle image et vous pouvez la mettre en fond d'écran du faux bureau XP.

Et le projet ne s'arrête pas là puisqu'il y a aussi un Geofile Explorer, encore en chantier, pour explorer la Terre. Pour ce projet, Sami s'est inspiré des Wiki Files de Neal.fun , de Depths of Wikipedia , le nested d'Orteil , ou encore XP.css . Bref, c'est une déclaration d'amour pour le web chelou et les interfaces d'antan, comme je les aime !

Et si ce genre de capsule rétro vous parle, je vous avais aussi parlé des émulateurs DOS dans le navigateur ... c'est la même came nostalgique.

Voilà, c'est gratuit, ça tourne dans le navigateur, et c'est aussi inutile qu'indispensable (bisou à Jérôme Bonaldi, le GOAT !!). À découvrir ici : explorer.samismith.com !

J'sais pas si vous avez vu le film ou lu le livre mais Rocky, c'est l'araignée de roche extraterrestre de Projet Dernière Chance (Project Hail Mary) qui communique en chantant. Et Lahiru Maramba, un dev Firebase en poste chez Google, vient de le recréer en vrai avec un Raspberry Pi Zero 2W et un LLM local. Et voilà comme avoir un vrai pote Eridien posé sur votre bureau, qui vous répond en accords polyphoniques au lieu de parler.

L'architecture c'est ce que son concepteur appelle du "Voice Box & Brain". Le Pi Zero 2W tout seul est bien trop faiblard pour faire tourner un modèle de langage, du coup le Pi gère juste le hardware (micro, écran LCD, LED RGB, synthèse des accords) et balance l'audio brut à un Mac qui fait le gros du calcul. Le Mac transcrit ce que vous racontez avec mlx-whisper (un modèle Whisper-Tiny optimisé Apple Silicon), passe le texte à LM Studio qui fait tourner un Gemma 4 quantifié en local, et renvoie la réponse au Pi qui la joue en musique. Latence totale annoncée sur le repo, environ 2 secondes, soit, selon son propre benchmark, le même temps que via l'API Gemini dans le cloud, sauf que là, tout en local !

Le langage Eridien, lui, est fidèle au bouquin d'Andy Weir puisque chaque réponse est synthétisée en accords. Certains mots sont mappés sur des accords émotionnels précis, par exemple "amaze" sort en Mi majeur bien lumineux. Et pour les mots inconnus, ils sont hashés mathématiquement vers une signature de 3 fréquences, déterministe et permanente. Autrement dit, le même mot bizarre produira toujours exactement le même accord, comme un vrai vocabulaire qui se construit. C'est ce genre de petit détail qui fait la diff...

Côté matériel, il faut un Raspberry Pi Zero 2W et un PiSugar Whisplay HAT, un module tout-en-un qui apporte l'écran LCD, le bouton, la LED RGB et l'audio. De son côté, le repo propose 2 chemins d'install : la méthode "It Just Works" avec les drivers système précompilés (apt-get et c'est parti), ou la méthode isolée avec uv pour ceux qui veulent un environnement propre. Côté Mac, vous lancez LM Studio avec le modèle 4-bit quantifié sur le port 1234 et Y'a même un mode cloud avec une clé API Gemini si vous n'avez pas de Mac sous la main, ainsi qu'une fonctionnalité expérimentale planquée avec un générateur de sons façon R2-D2.

Pour la petite histoire, le film Projet Dernière Chance réalisé par Phil Lord et Christopher Miller est sorti en mars, avec Ryan Gosling en Ryland Grace et pour donner une voix à Rocky, les sound designers d'Hollywood ont tout simplement bossé avec un ocarina pour les aigus, une jarre pour les graves, et des chants de baleine, après avoir consulté Andy Weir sur l'anatomie du bestiau.

Je l'ai vu, et franchement, j'ai bien aimé. Je suis bien rentré dedans, même si j'aurais préféré que ce soit un peu plus "hard science" et un peu plus bidouille DIY comme l'était "Seul Sur Mars"... mais bon, il en faut pour tous les goûts.

Après si l'idée d'un compagnon IA DIY vous branche mais que vous voulez un truc plus généraliste et pas un Eridien qui chante, jetez un œil à Adeus , l'assistant IA personnel open source que j'avais couvert.

Quoiqu'il en soit, voici la vidéo complète où Lahiru montre tout le process, du câblage à Rocky qui prend vie :

Vous avez déjà essayé de dessiner une TUI (Interface utilisateur pour le Terminal) à la main dans votre IDE ?

Genre, calculer les paddings d'une Box ANSI à la mano et compter les caractères Unicode pour aligner trois colonnes ? Pffff quelle galère !! Hé bien cette mauvaise expérience, Javier Alonso Gómez, Staff Design Technologist chez Docker, vient de la transformer en simple drag-and-drop avec son outil TUIStudio .

En gros, c'est comme Figma mais pour vos applis terminal.

Vous lancez l'éditeur, vous balancez des composants sur un canvas, et un aperçu ANSI temps réel vous montre ce que ça donnera dans un vrai terminal. Il y a 21 composants prêts à l'emploi (Box, Button, TextInput, Table, Tree, Modal, Tabs, Spinner...), avec un moteur de layout qui supporte Absolute, Flexbox et Grid.

C'est du CSS pour le terminal si vous préférez et le truc cool, c'est que ça reste fidèle au rendu final, donc fini les tableaux qui débordent sans raison !

J'suis pas encore super doué !

Côté thèmes, vous avez également le droit à 8 palettes intégrées (Dracula, Nord, Solarized, Monokai, Gruvbox, Tokyo Night, Nightfox et Sonokai), et le canvas se met à jour live quand vous changez. Sympa, hein !

Niveau export, TUIStudio cible les frameworks Ink (TypeScript), BubbleTea (Go), Blessed (JavaScript), Textual (Python), OpenTUI (TypeScript) et Tview (Go) mais d'après ce que j'ai lu sur le site officiel, la fonction d'export vers tout ça n'est pas encore opérationnelle. Mais ça m'étonne car lors de mes tests, j'ai quand même pu voir que ça fonctionnait... Donc j'sais pas, peut-être que le site web n'a pas été mis à jour et que l'export est bien opérationnel ?

L'export

Ça tourne sur macOS Apple Silicon, Windows et Linux (.deb) et le code est sous licence MIT sur le repo GitHub .

Amusez-vous bien !

Bon, accrochez vous les amis, car ça enchaine sec sur le kernel Linux en ce moment... Le chercheur William Bowling de l'équipe V12 security vient de lâcher Fragnesia (CVE-2026-46300, CVSS 7.8), un nouvel exploit kernel Linux qui permet d'obtenir un accès root sur toutes les distros majeures, et ce, 8 jours seulement après le patch de Dirty Frag.

Et la mauvaise nouvelle, en fait, c'est que Fragnesia tape dans la même surface d'attaque que Dirty Frag , mais via un bug logique différent qui n'est pas fixé par le patch initial. Donc si vous aviez sagement mis à jour votre noyau le 8 mai dernier en pensant être tranquille, hé bah désolé, vous êtes toujours à poil !

La lignée "Dirty" continue donc tout simplement de s'allonger... Dirty COW en 2016, Dirty Pipe en 2022, Copy Fail le 1er mai 2026, Dirty Frag le 8 mai, et maintenant Fragnesia le 14 mai. Quatre LPE (local privilege escalation) kernel Linux en deux semaines, c'est un record je crois !

Alors comment ça marche ?

Le bug se planque dans la partie du kernel qui gère le chiffrement réseau IPsec. C'est le truc qu'on utilise pour faire du VPN d'entreprise et l'attaque détourne le moteur de chiffrement pour qu'il écrive là où il ne devrait surtout pas écrire.

Le déroulé ensuite est assez simple à comprendre. Il prend un fichier sensible déjà ouvert en lecture (genre /usr/bin/su, le programme qui fait passer en root), il le balance dans une connexion réseau, et il dit au kernel "tiens, chiffre-moi tout ça en IPsec". Le kernel obéit gentiment, sauf qu'au lieu d'envoyer le résultat chiffré sur le réseau, il vient écraser la version du fichier qui est en mémoire avec les octets chiffrés. Du coup /usr/bin/su contient maintenant du code choisi par l'attaquant. Suffit ensuite de taper su pour devenir root.

Et là c'est le drame !

Le pire, c'est qu'il n'y a aucun "tirage au sort" dans tout ça. Pas besoin de gagner une condition de course une fois sur mille comme à l'époque de Dirty COW. Là, c'est 100% reproductible à chaque exécution, ça marche du premier coup.

La cause profonde, c'est une fonction kernel qui assemble des morceaux de paquets réseau et qui oublie au passage que certains morceaux pointent vers de la mémoire qui ne lui appartient pas vraiment (genre la mémoire d'un fichier qu'un autre process est en train de lire). Bowling appelle ça la "famille Dirty Frag" parce que c'est exactement le même genre d'amnésie qui avait permis Dirty Frag la semaine dernière.

Et le patch du 8 mai n'a pas suffi parce qu'il a juste rebouché un trou particulier, sans toucher à la fonction d'origine. D'où la sortie immédiate du PoC le 14 mai, parce qu'autant prévenir tout le monde, plutôt que de laisser un 0-day silencieux circuler dans les milieux moins recommandables d'Internet.

Testez sur votre Linux

Si vous voulez reproduire ça dans un environnement isolé (genre une VM Ubuntu 24.04 avec un kernel 6.8.0-111-generic), c'est simple :

git clone https://github.com/v12-security/pocs.git
cd pocs/fragnesia
gcc -o exp fragnesia.c && ./exp

sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/fragnesia/fragnesia-1.mp4">lien vers la vidéo</a>.

echo 3 > /proc/sys/vm/drop_caches

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/fragnesia.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Je me sors 5 min de mon weekend en amoureux les amis, pour avertir ceux parmi vous qui sont des utilisateurs de Mullvad, peu importe que vous soyez sur macOS, Windows ou un Linux Ubuntu/Debian... Si vous jonglez entre les serveurs en pensant brouiller votre piste, j'ai une mauvaise nouvelle pour vous.

Tmctmt vient de publier une analyse qui montre que vos IPs de sortie sont beaucoup moins aléatoires qu'on ne l'imagine. En fait, votre clé WireGuard agit comme une empreinte qui survit aux changements de pays.

Le mécanisme est un peu tordu, mais vous allez vite capter. En fait votre IP de sortie n'est pas tirée au hasard à chaque connexion, mais est calculée de façon déterministe à partir de votre clé WireGuard. Ou plutôt, à partir d'un float dérivé de cette clé, qui sert ensuite à vous positionner dans les plages d'IPs de Mullvad. Cette clé change tous les 1 à 30 jours, sauf si vous utilisez un client tiers (genre le driver WireGuard intégré au kernel Linux), et dans ce cas là, y'a pas de rotation.

Le chercheur a testé 3650 clés publiques, et il n'a obtenu que 284 combinaisons d'IPs distinctes alors que théoriquement, ça devrait donner des milliards. Bref, c'est moins varié qu'une plaque d'immat de votre département.

Imaginez maintenant un modérateur de forum qui voit débarquer un nouveau compte le lendemain d'un ban. Il croise les IPs Mullvad des deux comptes et tombe sur des plages flottantes qui se chevauchent, genre 0.4334 à 0.4428 d'un côté, 0.4358 à 0.4423 de l'autre. Hé bien ça veut dire qu'il y a plus de 99% de chances que ce soit la même personne. Et cela même si les deux IPs viennent de pays différents... argh !

Mais bonne nouvelle, pour fixer ce bug, c'est l'affaire de 5 secondes. Il suffit d'éviter de jongler entre 12 serveurs avec la même clé et voilà ! Et n'oubliez pas non plus de vous déconnecter de l'app Mullvad de temps en temps pour forcer la rotation de votre pubkey. Enfin, si vous êtes du genre puriste à utiliser WireGuard en direct via le client kernel, là c'est à vous de re-générer la clé manuellement, sinon vous gardez la même empreinte ad vitam.

Voili voilou...

Mullvad reste quand même un des rares VPN à avoir prouvé en justice, après le raid de la police suédoise en avril 2023, qu'il n'avait aucun log à fournir. Mais ce genre de problème mérite, je trouve, un petit patch côté Mullvad. Un petit seed aléatoire à chaque renouvellement de clé suffirait par exemple...

Et si le sujet VPN vous intéresse plus globalement, j'avais fait un guide complet qui peut compléter.

Source : tmctmt.com

J'sais pas vous, mais en ce moment, moi ça n'arrête pas ! De quoi je parle ? Hé bien des putains d'appels commerciaux / arnaques que je reçois sur mon téléphone. C'est simple, je ne décroche plus aucun numéro que je ne connais pas.

Je crois qu'on peut tous dire collectivement qu'on en peut plus. Et c'est aussi le cas de Camille Bouvat, un développeur toulousain qui en a eu tellement marre qu'il a pondu Saracroche , une app gratuite et open source qui bloque environ 90% du démarchage téléphonique. Y'a déjà 1 million de Français qui l'ont adoptée donc y'a des chances que vous connaissiez déjà, mais dans le doute, je repartage ! Je sais, on est à quelques mois de l'arrivée de la loi anti-démarchage qui devrait normalement nous sauver même si j'y crois moyen... Ça va peut-être empêcher des sociétés françaises qui ont pignon sur rue de nous casser les couilles mais pour les arnaqueurs de tout poil, je ne suis pas sûr que cette loi suffise.

Alors comment ça marche Saracroche ? Hé bien vous installez l'app sur iOS (App Store) ou Android (Google Play, et un build F-Droid annoncé), vous activez les permissions de blocage d'appels, et hop, l'app fait correspondre chaque appel entrant grâce à une base locale de plus de 15 millions de numéros préchargés. Hé oui c'est 100% en local !

La base s'appuie sur les préfixes ARCEP (l'autorité des télécoms qu'on ne présente plus) réservés au démarchage téléphonique (les fameux 01 62, 04 24 et compagnie) ce qui permet de bloquer ces préfixes en bloc. Ça permet de se couper mécaniquement d'une grosse partie du démarchage légal en un seul coup

Et pour les arnaques qui usurpent des numéros mobiles ou ordinaires (faux colis, fausses banques, ping calls surtaxés), Saracroche complète ça avec les signalements communautaires, que vous pouvez nourrir vous-même depuis l'app.

Après j'sais pas si vous savez, mais à partir du 11 août prochain, le démarchage téléphonique sans consentement préalable sera légalement interdit en France, et Bloctel va prendre sa retraite. Mais ce ne sera pas suffisant...

J'avais déjà parlé de WinCalls y'a quelques mois ici mais c'était uniquement pour Android alors que Saracroche, pousse l'idée aussi jusqu'à iOS. Par contre, ça ne bloque que les appels entrants, et pas les arnaques par SMS ni par mail. Mais pour le démarchage classique, c'est probablement ce qu'il y a de plus efficace sur le marché français aujourd'hui.

Après côté business model, c'est comme d'hab en France... Camille Bouvat confiait à France Info que seulement 0,5% de ses utilisateurs sont donateurs. Donc sur 1 million de personnes ça fait peut-être 5 000 mecs qui mettent la main au portefeuille, soit à peine de quoi en vivre pour Camille ! Nous sommes vraiment un pays de crevards ^^ .

Bref, n'oubliez pas, si vous trouvez l'app utile, c'est le moment de cliquer sur le bouton "Soutenir" !!

En 1992, Eddie Gil de la boîte anglaise Source R&D et Frank Ballouz de Fabtek s'étaient mis en tête d'une chose : transformer la Game Boy en PDA. La console à pile AA de Nintendo avec son écran vert pissette devait, dans leurs rêves les plus fous, devenir l'agenda électronique des cadres dynamiques. Le projet s'appelait WorkBoy, et il a même été présenté au CES en 1992, puis... plus rien.

Évaporé durant 28 ans.

Jusqu'à ce qu'en 2020, Liam Robertson, le mec derrière DidYouKnowGaming , retrouve un prototype fonctionnel chez Frank Ballouz lui-même. Ballouz l'avait sur son étagère depuis trois décennies. Quand Robertson l'a contacté, il lui a lâché tranquillou : "Oh yeah, j'ai le WorkBoy derrière moi" et après 7 mois de relances, le proto est finalement arrivé dans les mains de Robertson pour être testé en vidéo :

Si vous avez committé du code depuis VS Code depuis mi-avril, allez tout de suite vérifier vos messages de commit car vous avez peut-être un nouveau co-auteur que vous n'avez jamais embauché.

En effet, Microsoft a discrètement basculé le réglage par défaut de l'éditeur pour ajouter Co-authored-by: Copilot <copilot@github.com> à des commits que VS Code considérait à tort comme contenant des contributions IA, même quand vous n'avez pas utilisé Copilot, et même quand vous avez explicitement désactivé toutes les fonctions IA.

Quelle lose, hein ? La Product Manager Courtney Webster a poussé cette fameuse pull request #310226 des enfers le 15 avril dernier sans aucune description, et le dev dmitrivMS l'a mergée tranquillou le lendemain.

Et le résultat de tout ce bordel, vous pouvez le lire dans la PR #310226 qui a explosé sur GitHub : 372 pouces baissés contre 2 levés, 30 réactions "confused", et des dizaines de commentaires furieux.

L' issue de suivi #314311 , ouverte ensuite par dmitrivMS pour faire son point public, a elle aussi reçu un torrent de réactions virulentes. Tu m'étonnes, ils font vraiment n'importe quoi...

Maintenant si vous êtes dans ce cas, vous pouvez neutraliser ça immédiatement, ajoutez dans votre settings.json :

"git.addAICoAuthor": "off"

Si vous faites tourner WireGuard depuis un réseau filtré par DPI (Genre en Russie, Iran, Chine, et autres pays défenseurs de la libertéééé (non)), vous avez sans doute remarqué que les tunnels tombent rapidement. En effet, les signatures des protocoles et notamment du protocole WireGuard sont devenues facilement identifiables. Les filtres modernes de censure sont ainsi capable de les bloquer en quelques secondes. C'est pour ça que wg-obfuscator , sorti par Alexey Cluster (le dev derrière le mod hakchi de la NES Classic Mini dont je vous parlais en 2017), m'a tapé dans l'œil.

Concrètement, c'est un petit proxy en C qui se glisse entre votre WireGuard et le réseau. Vous le lancez aux deux bouts du tunnel, et lui déguise les paquets pour qu'ils ressemblent à du STUN (le protocole utilisé par les outils de visioconf, rarement bloqué) ou à un flux random pas reconnaissable. WireGuard continue ainsi de tourner sans aucune modification...

C'est vraiment bien fichu son truc et surtout, par rapport à AmneziaWG (un célèbre fork de WireGuard souvent cité comme référence en obfuscation), hé bien y'a juste un binaire à rajouter, alors que AmneziaWG, lui, modifie TOUT le protocole. Il faut donc remplacer les client ET le serveur ce qui est bien relou.

Comme wg-obfuscator se contente uniquement de faire le proxy, vous gardez votre setup WireGuard classique et donc ça fonctionnera partout... Sur OpenWrt, MikroTik avec RouterOS 7.4+ sur ARM64/x86_64 via Docker, NixOS, Android, ou un simple Raspberry.

Par contre, l'outil utilise une clé symétrique en texte clair donc c'est pas du chiffrement fort, mais du camouflage.

Côté config, on est sur du fichier INI tout simple :

[main]
source-lport = 13255
target = 10.13.1.100:13255
key = votre_secret
masking = STUN
verbose = 2

Mackie Kannard-Smith vient de sortir Kawaii , une GameCube qui tient dans un porte-clés avec une vraie carte mère Nintendo dedans. Pas d'émulation ni de Raspberry Pi déguisé mais juste du silicium d'origine charcuté à mort pour rentrer dans 60 × 60 × 15,8 mm ! Pour vous donner une idée, c'est plus petit qu'une Game Boy Color et c'est le boîtier en alu bleu anodisé qui fait office de dissipateur thermique passif.

Le truc tourne en réalité sur une carte mère de Wii sévèrement modifiée. Mackie a choisi la Wii (sortie en 2006) plutôt que la GameCube d'origine, parce que la Wii partage la même architecture mais avec une finesse de gravure plus récente. Du coup, c'est plus facile à miniaturiser même si pour arriver à ses fins, il a dû appliquer une technique baptisée Omega Trim qui consiste à tronçonner la PCB multicouche au scalpel et à reconnecter chaque piste à la main avec du fil ultra-fin. Pas simple quand on a des gros doigts ^^.

L'encodeur AV est délocalisé, la NAND flash relogée ailleurs, et le processeur est sous-volté dynamiquement via un régulateur custom. Vous chargez alors les jeux sur une carte microSD qui est scellée à l'intérieur !

Alors pour changer de jeu, il n'y a pas d'autre choix que de littéralement désassembler la console. C'est pas top côté pratique mais comme c'est du prototype de l'extrême et pas une console destinée au grand public, je pense que ça passe ^^.

Et là où c'est bien fichu je trouve, c'est avec le dock magnétique composé de pogo-pins, de 4 ports manettes GameCube d'origine, d'un USB-C pour l'alim, et d'une sortie AV analogique. Comme ça vous posez simplement la console sur la base et vous vous retrouvez avec un setup de salon classique.

Côté température, sans ventilo externe, ça chauffe vite par contre. Le boîtier alu fait son boulot, mais y'a quand même des limites physiques qu'on ne peut pas changer... Donc impossible de l'utiliser trop longtemps sans y ajouter un refroidissement actif en plus (genre ventilo ou watercooling).

Après, vous le savez, j'adore ce genre d'exploit et ce n'est d'ailleurs pas le premier mod du genre que je vous présente. Je vous avais déjà parlé du Short Stack de loopj, qui réduisait une Wii au format d'un paquet de cartes. Et devinez quoi, loopj a aussi contribué à Kawaii !

En réalité, cette communauté de tarés du fer à souder se retrouve sur le forum BitBuilt , où ils s'échangent les techniques de découpe extrême depuis des années, alors si vous voulez vous lancer, c'est the place to be !

Les fichiers de conception de la console Kawaii sont publiés sur GitHub , mais Mackie prévient : y'a aucun guide de build, et la réplication est "extrêmement difficile". En clair, c'est pas un mod du dimanche.

Faut une station de soudage à l'air chaud, une loupe binoculaire, des nerfs en acier et une connaissance fine de l'architecture Wii. À vrai dire, c'est sûrement plus simple d'attendre qu'un mod commercial inspiré du projet sorte un jour (coucou la GameCube Mini qui sortira probablement un jour...). Maintenant, si vous voulez voir la bête en action, Macho Nacho Productions a sorti une review de 21 minutes qui fait bien le tour de la machine :

DOOM, Fallout, Theme Hospital, Civilization... il y a sur le web des milliers de jeux DOS jouables directement dans votre navigateur, gratuitement, sans installer quoi que ce soit. Car oui mes amis, l'émulation DOS dans le browser a vraiment mûri, et il existe des dizaines de bons sites qui vous permettent de jouer à tout un tas de jeux disparus. Je vous propose donc une bonne dizaine d'entre eux classés par ordre alphabétique.

Mais avant, faut savoir que tous fonctionnent plus ou moins sur la même base. C'est du DOSBox compilé en WebAssembly pour tourner dans un onglet de votre navigateur et ensuite la différence entre tous ces sites se joue sur leur catalogue, la légalité du contenu qu'ils proposent, et quelques fonctionnalités bien pensées. (Si vous cherchez plutôt à faire tourner des vieux .exe Windows, RetroTick fait ça très bien aussi.)

On commence par Best DOS Games le petit nouveau sorti en 2023 qui compte déjà +900 jeux et 50 000 joueurs. Ce qui le démarque surtout ce sont ses fonctionnalités de sauvegarde cloud et de Hall of Fame communautaire si vous avez un compte. C'est un super site très agréable à utiliser au quotidien notamment grâce à son interface.

Best Old Games , lui, dépasse volontairement le cadre des jeux DOS : SNES, Commodore 64, arcade, ZX Spectrum, Master System... Il est ligne depuis 2004, couvre +600 titres sur 9 plateformes, et tous les jeux sont disponibles en téléchargement ou à jouer directement en ligne. L'angle abandonware est d'ailleurs totalement assumé, par contre, certains titres n'ont pas encore de version jouable en ligne. Ce sera donc uniquement du téléchargement pour cela. Hyper pratique donc si votre nostalgie du gaming ne s'arrête pas à MS-DOS, mais un peu fourre-tout.

DOS Games Archive pousse la philosophie de préservation depuis 1998, avec 1 641 jeux répartis dans 17 catégories. Le site dispose d'un blog et d'un forum toujours très actifs et il propose uniquement du contenu légal (shareware, freeware, domaine public). Le truc bien vu ce sont surtout ces liens directs vers GOG pour les titres dont vous voudriez acheter la version commerciale complète. Par contre, pas de sauvegardes cloud... chaque session repartira de zéro si vous quittez votre partie. Mais c'est la référence pour jouer "proprement".

DOS Zone est de loin le plus complet et le plus moderne du lot. Plus de 2 000 titres MS-DOS, sans pub, avec support mobile et mode hors-ligne. La techno derrière s'appelle js-dos, qui une implémentation DOSBox compilée en WebAssembly. Et tenez vous bien, le site vous propose également un Game Studio pour créer et publier vos propres jeux DOS directement depuis le navigateur. Y a de quoi y passer des heures !!

DOSGames.com c'est le vétéran de la scène ! Ce site est en ligne depuis janvier 1999, bien avant YouTube, Twitter ou Facebook ! Il a été fondé par Darren Hewer qui voulait sauvegarder tous ces titres DOS "devenus difficiles à trouver" à l'époque. Il propose plus de 2 300 jeux shareware et freeware légaux. L'interface a un peu vieilli (comme nous tous ^^) mais 25 ans de fidélité au poste, ça force le respect !

L'Internet Archive n'est pas à proprement parler un site de jeux puisque c'est le projet de préservation numérique le plus ambitieux de la planète. Mais je ne pouvais pas faire l'impasse dessus car leur collection MS-DOS regroupe aussi des milliers de titres jouables directement dans votre navigateur, gratuitement et sans pub. Après, je trouve que l'interface est moins bien taillée pour le gaming que d'autres sites. Par contre pour dénicher un titre introuvable ailleurs, c'est le top !

MyAbandonware c'est un autre site d'abandonware de référence mondiale avec +37 000 jeux couvrant DOS, Windows, Amiga, Mac, Atari et bien d'autres plateformes. Il y a donc beaucoup de titres DOS qui sont jouables directement dans le navigateur, mais le site reste avant tout une encyclopédie du jeu rétro avec des fiches complètes : screenshots, année, éditeur, manuel...etc. Y'a tout !!! Donc c'est super précieux si vous voulez comprendre l'histoire d'un vieux titre en plus de le faire tourner.

PlayDOSGames.com lui est plus modeste et propose 655 jeux réparti dans 18 catégories, avec, s'il vous plait, de la sauvegarde dans le cloud ! Vous commencez une partie ici, et hop, vous la continuez ensuite depuis votre téléphone ou un autre ordi. Créé en 2013, et dispo en 10 langues, ce n'est donc pas le plus gros catalogue, mais c'est le meilleur pour jouer en mode nomade.

RGB Classic Games est aussi plutôt modeste puisqu'il ne propose que 565 titres, mais chaque version de chaque jeu est archivée. Le site est en ligne depuis mars 2005, et couvre aussi BeOS, que OS/2, Win16 et d'autres systèmes d'exploitation plus en marge. La plupart des titres sont à télécharger et pas à jouer en ligne donc si c'est pour passer le temps au taf, dans le navigateur sans install, laissez tomber. Mais pour les puristes qui veulent une release bien précise, c'est là qu'il faut aller !

Et puis on a WePlayDOS qui organise son catalogue par saga : Oregon Trail, Civilization, Zork, DOOM, Warcraft... Je trouve que c'est une idée intelligente pour explorer une franchise plutôt que de chercher un titre précis à chaque fois. Après le catalogue est petit donc si votre jeu n'est pas dans une saga connue, y'a des chances que vous repartiez brocouille (vous l'avez ?). Mais pour de la découverte par série, carrément bien pensé.

Voilà, j'ai fait le tour ! Et si vous préférez avoir les jeux en local plutôt que dans le navigateur, n'oubliez pas que Retro-eXo regroupe plus de 10 000 titres DOS et Windows prêts à tourner également !

Pour ma part, j'ai opté pour dos.zone et Best DOS Games car je trouve que ce sont les plus riches en fonctionnalités. Mais si vous voulez de l'archive sérieuse, DOSGames.com ou DOS Games Archive conviendra mieux ! Et si votre truc c'est le multi-écrans, PlayDOSGames fera très bien le job.

Jouez bien !

Salut les amis,

Aujourd'hui, c'est un jour un peu spécial pour moi, puisque c'est l'anniversaire de mon site web ! Alors je tenais à célébrer ça avec vous parce que les années filent à la vitesse de l'éclair et qu'on ne fête jamais assez les choses.

Et il s'en est passé des choses en 22 ans quand même. J'ai démarré ça comme un site perso, et qui, parce que les gens aiment bien ranger les trucs dans des cases, est devenu un "blog", puis un "média", et qui sait ce que ce sera demain...

Mais pour moi, c'est toujours mon petit bout de moi sur le web et l'objectif est toujours le même : Partager les trucs qui m'intéressent pour vous donner de quoi bidouiller à la maison ou au boulot. Toujours pas de ligne éditoriale claire, parfois de l'actu, parfois des tutos, parfois des reviews de logiciels, parfois des trucs plus perso... Peu importe tant que ça me plait.

Sachez qu'en 2025, j'ai publié environ 1300 articles sur ce site. C'est beaucoup mais moins qu'en 2011 et 2012 où j'étais à +1400 par an. Et en 2008, aïe aïe, record du monde avec +1600 articles dans l'année. C'était une époque où j'avais du temps et surtout où il se passait pas mal de choses au niveau tech. Envie de tout tester, de toucher à tout, et de tout vous raconter ! Comme aujourd'hui finalement !

Et en 2026, malgré quelques moustiques qui tentent de me faire dérailler, ça va être encore plus riche puisque j'ai délégué une partie de "l'actu fraiche" à mon ami Vincent qui fait un boulot top ! L'objectif est de me libérer un peu de temps pour à la fois mettre un point final aux combats actuels dans lesquels mon site se trouve depuis 6 mois (et dont je ne peux malheureusement pas vous parler mais ça viendra) et également avoir plus de temps pour la bidouille et les Patreons qui me soutiennent ! Je leur suis tellement reconnaissant !

Depuis 2004, tout a évolué c'est vrai. Le paysage tech a changé, les sujets d'intérêts des uns et des autres ont évolué (je l'espère pour vous ^^), et moi-même je m'intéresse à de nouvelles thématiques. En 2004 c'était comment optimiser eMule, comment installer Ubuntu et des astuces de base de registres Windows... En 2026, c'est plutôt comment faire tourner ses propres IA en locale, comment auto-héberger tel ou tel truc, ou encore comment se mettre en sécurité suite à la découverte de telle ou telle faille de sécurité...etc.

Et je sais qu'il y en a parmi vous qui sont là depuis le tout début. Vous m'avez vu changer 2 fois de CMS, je-sais-plus-combien de fois de design, plusieurs fois d'hébergeur, passer de la bannière pub omniprésente à un site sans aucune pub programmatique...etc. Vous vous reconnaitrez et cet anniversaire, c'est autant le vôtre que le mien !

Je continue aussi à vous en proposer pour tous les goûts... Des articles vulgarisés pour les débutants, des tutos plus complexes pour les gens + confirmés, et des choses qui peuvent parfois intéresser 15 000 personnes ou n'en intéresser que 4 ou 5... Peu importe. Ma boussole ce sont les retours que vous me faites par mail ou via le Patreon, et le seul filtre que je m'impose est "Est ce que ça m'intéresse ?". Parce qu'il n'y a rien de plus chiant que d'écrire sur un sujet qui ne m'intéresse pas. C'est pour ça que je ne traite pas de TOUTE l'actu tech qui passe... Je "cherry pick" comme on dit, que ce qui me plait et basta.

Et ça semble plutôt fonctionner puisque l'audience est au rendez-vous. Vous êtes en effet depuis le début de l'année entre 1,5 et 2 millions à passer ici chaque mois.

Je mets ça sur le compte de la refonte technique du site qui est + rapide, + agréable à lire (mode sombre, mode dys, etc.), sans bannière pub ni cookies publicitaires mais aussi sur l'augmentation du nombre d'articles grâce à Vincent et grâce à mes problèmes actuels qui m'empêchent de dormir et qui font que je me réfugie dans le boulot. Et il y a aussi l'arrivée des LLM qui m'ont permis de gagner du temps sur la recherche d'information, sur ma propre compréhension de certains sujets, sur des aspects plus pratiques comme la relecture, la validation des infos, la saisie des méta données, les images et j'en passe...

Grâce à ça, je fais moins d'impasses, je dis moins de conneries, je peux rentrer plus dans certains détails qui autrefois m'auraient échappé...etc. Je suis plus dans une recherche de qualité et de consistance dans mes articles que de productivité (j'sais pas si je battrai mon record de 2008 ^^). Et évidemment, ça a un impact... Des articles plus fouillés et moins fouillis, un meilleur référencement naturel et surtout, des lecteurs qui reviennent parce qu'ils découvrent des trucs.

Bien sûr, tout n'est pas parfait et ça ne le sera jamais mais je pense que j'ai trouvé un bon équilibre avec ces nouveaux outils.

Maintenant les bases restent les mêmes qu'en 2004... Un site ouvert, avec un flux RSS complet, sans paywall, sans article réservé aux abonnés, sans newsletter premium. Tout est ici, pour tout le monde, gratuit, indexable, citable. Le Patreon existe en parallèle pour celles et ceux qui veulent un peu plus (et surtout pour me soutenir directement, ce qui me touche énormément), mais 100% de ce qui est publié sur korben.info est accessible librement. C'était une évidence en 2004, et c'est resté un choix en 2026.

Je sais que le site ne plaît pas à tout le monde et c'est OK. 22 ans à publier presque tous les jours, forcément ça intrigue, ça énerve, ça incite même parfois à m'inventer une vie ou des anecdotes à mon sujet. Mais bon, c'est le revers de la médaille et si tout le monde était d'accord avec moi, ce serait pas drôle. Donc tant pis pour ceux que j'irrite, et merci à ceux qui me lisent encore... y compris en cachette ^^.

Après j'ai pas de grand plan pour la suite. Pas de roadmap, pas de pivot, pas de levée de fonds, pas de série documentaire sur ma vie. Juste l'envie de continuer à faire ce que je fais depuis 22 ans : Chercher des trucs qui m'intéressent, les tester, les comprendre et vous les raconter. Et même s'il ne se passe pas une journée où je ne me pose pas la question de tout arrêter, et bien je continue parce que j'adore ça.

Merci d'être là !

Si vous utilisez le gestionnaire de mots de passe intégré à Microsoft Edge, et que vous le trouvez cool, hé bien accrochez-vous les amis, car Tom Jøran Sønstebyseter Rønning, chercheur norvégien en cybersécurité, vient de publier sur GitHub un PoC qui dump TOUS vos credentials en clair directement depuis la mémoire du processus du navigateur ! Et de ce que j'ai compris, Microsoft a l'air d'assumer ça tranquillou...

Et n'allez pas croire qu'activer "l'Authentification avant remplissage automatique" dans Edge règle le souci... Ça ne change absolument RIEN au problème, parce que les credentials sont chargés en clair en RAM dès l'ouverture du navigateur. Cette option bloque uniquement l'interface, et pas la mémoire. La seule vraie parade, c'est donc de basculer carrément vers un gestionnaire de mots de passe comme Bitwarden, KeePassXC, ou Mistikee car tant qu'ils restent verrouillés, ils ne chargent rien en mémoire.

Le PoC, baptisé EdgeSavedPasswordsDumper, tient en un seul fichier C#. Tom a choisi .NET Framework 3.5 plutôt qu'une version récente, parce que AMSI, l'Antimalware Scan Interface qui inspecte en temps réel le code .NET sous Windows, a une couverture vraiment réduite sur la 3.5 par rapport aux versions modernes. Du coup, le binaire passe plus facilement sous les radars des EDR et antivirus.

Maintenant, le truc, c'est que ce sujet n'est pas nouveau. En effet, en juin 2022, Zeev Ben Porat de chez CyberArk publiait déjà un papier détaillant exactement la même méthode appliquée à Chromium en général (et dont Edge découle...). Il utilisait les APIs Windows OpenProcess et ReadProcessMemory pour lire la mémoire privée des processus du navigateur et y récupérer URLs, logins, mots de passe et même cookies de session. Et à l'époque, Microsoft et Google avaient répondu en gros pareil, à savoir que c'était hors du "threat model", donc que c'était pas la peine de corriger.

Sauf que 4 ans plus tard, Tom Rønning n'arrivait pas à reproduire le dump sur Chrome avec la même méthode. En effet, le navigateur de Google semble charger ses credentials de façon plus granulaire (lazy loading, déchiffrement au besoin) plutôt que tout exposer en RAM dès l'ouverture. Alors que Edge, lui, n'a pas évolué et charge encore TOUS les credentials en clair dès le démarrage du navigateur, qu'on en ait besoin ou pas, et surtout les garde en mémoire tant que le processus parent tourne. Et c'est cette différence-là que Tom met en lumière avec son outil.

Après concernant la dangerosité de ce problème, faut que je nuance un peu tout ça car pour viser sa propre session Edge, l'attaquant n'a pas besoin d'être admin (un malware tournant sous votre compte y arrivera). Par contre, pour aller lire la mémoire des AUTRES utilisateurs sur la même machine, là, il faut les droits administrateur.

Et c'est surtout ce scénario que Tom met en avant dans son README. Il y parle d'un terminal server où plusieurs utilisateurs seraient connectés simultanément via RDP, et sur lequel un admin compromis pourrait dumper les mots de passe de tous les autres avec leur Edge ouvert, y compris les sessions déconnectées tant que le processus parent tourne. C'est assez spécifique quand même mais pas impossible évidemment...

Microsoft, contacté par Tom avant publication, a bien sûr répondu que le comportement était "by design"... Leur doc Edge enterprise explique même noir sur blanc que les attaques physiquement locales et les malwares sont hors du modèle de menace et qu'aucun navigateur n'est armé pour résister à un attaquant déjà infiltré dans le compte utilisateur.

C'est cohérent c'est vrai... Mais ça occulte un truc qui reste très "gênant" comme disent les ados. C'est que leur implémentation expose une surface d'attaque plus large que leurs concurrents basés sur le MÊME moteur Chromium. C'est pas normal....

Et côté communauté, ça n'a pas trainé non plus, puisque Whitecat18 sur GitHub a déjà sorti un portage Rust du PoC. C'est intéressant car Rust offre encore moins de surface AMSI que .NET 3.5 et se compile comme un binaire natif sans aucune dépendance. Donc pour un attaquant, c'est un upgrade de furtivité significatif... Et pour un défenseur, c'est surtout une raison de plus de pousser vos utilisateurs vers des vrais gestionnaires de mots de passe.

Concernant la divulgation responsable , Tom Rønning a fait les choses dans les règles : signalement à Microsoft, attente de la réponse officielle, présentation publique le 29 avril 2026 à BigBiteOfTech (l'évènement Palo Alto Networks Norway), puis publication du PoC.

Voilà... Microsoft persiste, Edge reste as-is (lumière !), et la sécurité de vos mots de passe est officiellement votre problème. Donc si vous utilisez Edge, je pense que ça vaut clairement le coup de migrer vers un gestionnaire externe... vous verrez, c'est pas la mer à boire.

Source

Jellyfin sans GPU, c'est la croix et la bannière dès que quelqu'un lance un film en 4K. Mais c'était sans compter sur ffmpeg-over-ip qui est capable de transformer un serveur équipé d'un GPU en endpoint de transcoding distant, accessible via un simple binaire qui se fait passer pour ffmpeg. Y'a pas de passthrough GPU, ni besoin de vous lancer dans la config de point de montage réseau exotique.

Le principe c'est que le client reçoit les commandes ffmpeg de Jellyfin (ou Emby), les sérialise et les envoie ensuite via TCP (port 5050) vers un serveur qui lui dispose d'un bon GPU. Et côté Jellyfin, rien ne change puisque le binaire répond exactement comme ffmpeg le ferait (et je vous rassure, y'a un peu d'authentification pour éviter de vous faire squatter votre serveur de transcoding à l'insu de votre plein gré).

Alors imaginons un peu dans quelle situation ça peut être utile... Par exemple, vous pourriez avoir un NUC ou mini-PC tout neuf qui fait tourner Jellyfin dans Docker, et à côté une vieille tour avec une GTX qui traîne dans un coin pour le transcodage. L'avantage c'est que plusieurs clients peuvent ainsi partager le même serveur GPU en parallèle, donc ffmpeg-over-ip peut valoir le coup si vous avez du matériel qui dort dans un coin.

L'outil est signé Anees Iqbal (steelbrain) et voici comment l'installer (pensez à vérifier le contenu du .sh avant) :

curl -fsSL https://ffmpeg-over-ip.com/install-client.sh | sh

ln -s ffmpeg-over-ip-client ffprobe