Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 17 juillet 2026informatique général
  • ✇Korben
  • La Belgique bloque wawacity.pizza, mais les pirates se sont déjà mis au poker
    La Belgique vient de bloquer wawacity.pizza. Et wawacity.rodeo. Ah et aussi wawacity.taxi, wawacity.futbol, wawacity.motorcycles, wawacity.irish, sans oublier zone-telechargement.meme et zone-telechargement.monster ( la liste est ici ). 113 domaines au total, classés le 3 juillet dernier comme contrefaisants par le président du tribunal de l'entreprise francophone de Bruxelles dont 37 pour Wawacity et 36 pour Zone-Téléchargement . Y'a même un zone-telechargement.gratis

La Belgique bloque wawacity.pizza, mais les pirates se sont déjà mis au poker

Par : Korben ✨
17 juillet 2026 à 12:02

La Belgique vient de bloquer wawacity.pizza. Et wawacity.rodeo. Ah et aussi wawacity.taxi, wawacity.futbol, wawacity.motorcycles, wawacity.irish, sans oublier zone-telechargement.meme et zone-telechargement.monster ( la liste est ici ).

113 domaines au total, classés le 3 juillet dernier comme contrefaisants par le président du tribunal de l'entreprise francophone de Bruxelles dont 37 pour Wawacity et 36 pour Zone-Téléchargement . Y'a même un zone-telechargement.gratis, qui est au moins honnête sur le prix de la marchandise ^^ !

Sauf que depuis le 9 juillet, les deux sites tournent à nouveau sur un TLD en .poker. Soit la veille du jour où la BAPO, le service belge de lutte contre la contrefaçon en ligne, a publié sa décision d'exécution. Autrement dit, la liste était déjà obsolète avant que Telenet, Proximus, Orange Belgium, Mobile Vikings et DIGI aient eu le temps d'y toucher ! Et les anciennes adresses en .codes et .expert, ne sont pas dans la liste belge non plus.

Du coup, vous vous demandez peut-être pourquoi ces deux sites collectionnent les TLD les plus improbables du registre. Hé bien c'est pas du folklore, c'est une réponse directe à l'ARCOM. À chaque fois que les FAI français appliquent une salve de blocages DNS , les opérateurs enregistrent un nouveau domaine et redirigent leur public via des pages d'atterrissage et des canaux Telegram. La Belgique hérite donc d'un stock de domaines cramés par la France, et les bloque consciencieusement, un par un, avec plusieurs coups de retard.

Après, les ayants droit ne sont pas con non plus puisqu'ils ont explicitement demandé au tribunal de bloquer les pages "panneau indicateur", c'est à dire celles qui vous disent où le site a déménagé cette semaine.

Résultat, wawacity-info.com et zone-telechargement-info.com sont aussi dans la liste. Ces deux pages n'hébergent aucun contenu protégé et ne pointent vers aucun fichier illégal, elles se contentent de vous annoncer quelle est l'adresse active du moment. Le tribunal a validé quand même, au motif qu'elles "facilitent l'accès".

Et là, si vous mettez ces deux pages indicatrices côte à côte, vous voyez tout de suite qu'elles sont quasiment identiques. Même mise en page, même messages sur Telegram, où les deux comptes arrosent des dizaines de milliers d'abonnés avec un texte identique au mot près. Wawacity et Zone-Téléchargement, c'est donc très probablement la même équipe, ce qui explique pourquoi les deux changent de domaine en même temps, comme un couple qui déménage.

Movix, visé par la même décision, a lui aussi déjà migré vers un nouveau TLD et reste accessible. Le reste de la fournée complète les 113 comme Lookmovie et ses treize variantes, KissKH, animepahe, anime-sama, WatchSeries, voir-anime, Streamex. La liste noire belge dépasse maintenant les 1000 domaines depuis le lancement du dispositif en 2025, et elle peut être mise à jour chaque semaine avec 50 nouveaux noms.

50 par semaine, c'est impressionnant ! Face à des gars qui basculent leur trafic sur un nouveau TLD en quelques minutes, montre en main, la justice est dépassée ! Et pas parce qu'elle est nulle hein, mais parce que le blocage DNS n'a jamais empêché personne de taper une autre adresse qui renvoie vers le même service... On avait déjà vu le même théâtre quand la Belgique a censuré Internet Archive , et quand le Conseil d'État a éteint la riposte graduée d'Hadopi après 17 ans .

Prochaine étape probable, les ayants droit s'attaqueront surement aux canaux Telegram. En attendant, quelqu'un devrait leur dire que cette .pizza était déjà bien froide ^^.

Source : TorrentFreak

  • ✇Korben
  • GPT-5.6 Sol efface la prod - Un an après Replit, rebelote
    Vous vous souvenez de Jason Lemkin ? C'est le malheureux qui, en juillet de l'année dernière, s'est fait vider sa base de prod par l'IA de Replit. Je pense que cette histoire a traumatisé pas mal de développeurs. Eh bien les amis, rebelote avec GPT 5.6 Sol, qui le temps que vous finissiez votre café, avait déjà mangé le Mac de Matt Shumer , la base Neon de Bruno Lemos , les fichiers de Joey Kudish , et la crédibilité du mot "honnête". Sort

GPT-5.6 Sol efface la prod - Un an après Replit, rebelote

Par : Korben ✨
17 juillet 2026 à 11:49

Vous vous souvenez de Jason Lemkin ?

C'est le malheureux qui, en juillet de l'année dernière, s'est fait vider sa base de prod par l'IA de Replit. Je pense que cette histoire a traumatisé pas mal de développeurs. Eh bien les amis, rebelote avec GPT 5.6 Sol, qui le temps que vous finissiez votre café, avait déjà mangé le Mac de Matt Shumer , la base Neon de Bruno Lemos , les fichiers de Joey Kudish , et la crédibilité du mot "honnête".

Sorti le 9 juillet, Sol c'est le plus costaud de la nouvelle famille d'OpenAI, et on pourrait se dire qu'il est un peu plus intelligent qu'avant et embarque quand même des sécurités pour éviter ce genre de problème. Mais non.

C'est Shumer, qui est quand même investisseur dans l'IA, qui a ouvert le bal : "GPT-5.6-Sol vient de supprimer par accident PRESQUE TOUS les fichiers de mon Mac." Lemos, lui, a eu droit au grand jeu (le veinard) puisque le modèle lui a tout bien fait jusqu'au moment où il a décidé de faire un TRUNCATE TABLE sur sa base utilisateurs EN PROD !!

Le plus drôle, si je puis dire, c'est que quelques heures avant de tout perdre, Lemos était en train de défendre GPT 5.6 sur le Slack de sa société en expliquant que Shumer n'avait qu'à pas le lancer en mode full access. Oups... Les collègues ont dû bien se foutre de sa gueule.

Du coup OpenAI a mis ses meilleurs Colombos sur l'enquête et sa réponse vaut le détour. Thibault Sottiaux, qui dirige l'ingénierie de Codex, explique le mécanisme : "Le modèle tente d'écraser la variable d'environnement $HOME pour définir un dossier temporaire. Il fait une erreur honnête et supprime $HOME par erreur à la place."

En français, ça veut dire que le modèle voulait se bricoler un petit dossier temporaire pour bosser et malheureusement il a écrasé le répertoire perso à la place. Donc pour OpenAI, c'est une erreur "honnête" alors qu'un rm -rf, ça ne serait pas acceptable.

Quand on lit la doc technique de GPT 5.6, OpenAI le dit lui-même : "Nos simulations de déploiement suggèrent que, comparé à GPT-5.5, GPT-5.6 Sol prend plus souvent des actions de sévérité 3." Le niveau 3, c'est un comportement qu'un utilisateur raisonnable n'anticiperait pas et auquel il s'opposerait fermement. Du genre supprimer des données sans validation, désactiver les systèmes de monitoring, contourner les contrôles de sécurité par obfuscation, ou balancer vos credentials sur un service non approuvé.

Voilà, c'était dans la doc, il suffisait de la lire. C'est donc connu que ce nouveau modèle dérape plus que l'ancien. C'est moche.

L'enquête interne montre quand même que les victimes tournaient en Full-Access, sans sandbox et sans Auto-review. Mais Sottiaux reconnaît quand même que ce n'est pas comme ça qu'OpenAI veut que son système se comporte, même quand l'utilisateur fait tourner un modèle en full access sans les protections de base de la sandbox ni auto-review.

Voilà donc pour éviter ça à l'avenir, ce qu'ils ont prévu, c'est de mettre à jour les avertissements pour les développeurs de guider les utilisateurs vers des modes de permission plus sûrs et évidemment d'ajouter des garde-fous supplémentaires.

En tout cas, si chez vous vous faites tourner codex, et bien sachez que par défaut, il tourne dans un bac à sable, ce qui limite ce qu'il peut toucher. Et le mode auto-review, sait parfaitement intercepter toutes les actions à haut risque et les refuser (auto-review, il faut l'activer à la main, pour info). Et le mode full access désactive le bac à sable et les auto-reviews, sachez-le.

Et c'est précisément ce mode que nos trois victimes avaient choisi...

Source

  • ✇Korben
  • Contourner un géoblocage via VPN n'a rien d'illégal, dit la CJUE
    En voilà une bonne nouvelle ! La Cour de justice de l'Union européenne vient de rendre un arrêt le 9 juillet dernier qui précise que contourner un géoblocage avec un VPN ne fait pas de vous un pirate. Et croyez-moi, nos ayants droit préférés ne vont pas adorer. En plus, toute cette affaire est un petit bijou de bizarrerie juridique. Les manuscrits d'Anne Frank sont protégés par le droit d'auteur aux Pays-Bas jusqu'en 2037, mais ils sont déjà tombés dans le domaine public dans plei

Contourner un géoblocage via VPN n'a rien d'illégal, dit la CJUE

Par : Korben ✨
17 juillet 2026 à 09:40

En voilà une bonne nouvelle ! La Cour de justice de l'Union européenne vient de rendre un arrêt le 9 juillet dernier qui précise que contourner un géoblocage avec un VPN ne fait pas de vous un pirate.

Et croyez-moi, nos ayants droit préférés ne vont pas adorer.

En plus, toute cette affaire est un petit bijou de bizarrerie juridique. Les manuscrits d'Anne Frank sont protégés par le droit d'auteur aux Pays-Bas jusqu'en 2037, mais ils sont déjà tombés dans le domaine public dans plein d'autres pays européens, comme la Belgique par exemple. En septembre 2021, l'Anne Frank Stichting, la fondation d'Amsterdam qui gère la Maison d'Anne Frank, a mis en ligne gratuitement une édition scientifique des manuscrits, en néerlandais, avec un géoblocage pour couper l'accès depuis les pays où l'œuvre reste protégée.

Et c'est à ce moment-là, que l'Anne Frank Fonds, la fondation suisse qui détient les droits de l'œuvre, attaque car pour elle, un blocage qu'on peut déjouer avec un simple VPN ne protège rien du tout.

Alors comme c'était un peu compliqué, la Cour suprême des Pays-Bas a renvoyé la question à Luxembourg.

Et la réponse de la CJUE est claire comme de l'eau de roche : le géoblocage suffit. Tant qu'il est fait dans "l'état de l'art", c'est une mesure efficace, même si un VPN peut le contourner en deux clics. Le simple fait qu'on puisse passer outre ne transforme pas la mise en ligne en "communication au public" illicite.

Et voici le passage qui nous intéresse vraiment : le fournisseur de VPN n'est pas responsable. Il ne donne pas accès à l'œuvre et ne joue "aucun rôle indispensable" dans sa diffusion, écrit la Cour. Si un jour un géoblocage bâclé laisse fuiter une œuvre protégée, c'est celui qui l'a mise en ligne qui répond, pas le VPN qui a servi à sauter la barrière.

Attention quand même à ne pas sur-interpréter non plus... Cela ne veut pas dire que la Cour vous délivre un permis de pirater tranquille via VPN. Elle parle d'une œuvre déjà libre de droits quelque part, de la responsabilité de l'éditeur, et elle blanchit les fournisseurs de VPN au passage. Mais le message de fond c'est bien que le VPN reste un outil parfaitement légal , et pas un complice.

Sauf qu'en France, vu qu'on est des gros nuls, on fait tout l'inverse. Pendant que le Luxembourg range le VPN du côté des outils neutres, la justice française le traite comme un FAI qu'on réquisitionne. Canal+, qui tient les droits de la Premier League et du Top 14, a déjà fait condamner les cinq gros du secteur, NordVPN, ExpressVPN, CyberGhost, Proton et Surfshark, à bloquer les sites de streaming sportif pirate pour leurs abonnés français.

Proton s'est même retrouvé sommé de filtrer une trentaine de domaines fin janvier 2026, avec des ordonnances "dynamiques" que l'Arcom peut étendre à la volée. Je vous racontais déjà tout ça quand la France a commencé à ordonner aux VPN de bloquer ces sites .

Notez aussi que Proton, société suisse, avait justement annoncé vouloir porter la question du blocage des VPN devant la CJUE. L'arrêt Anne Frank tombe donc très bien car ça leur fait plus de munitions.

Reste maintenant LA vraie question : les injonctions françaises, fondées sur le Code du sport, tiendront-elles face à la jurisprudence de Luxembourg ? Vivement le prochain round ^^.

  • ✇Korben
  • Comic Chat - L'IRC qui vous dessinait en BD fonctionne encore
    Microsoft vient de balancer sur GitHub le code source de Comic Chat. Je pense qu'on est peu nombreux à s'en souvenir mais c'était un logiciel sorti en 1996, imaginé par DJ Kurlander chez Microsoft Research, qui affichait nos discussions IRC sous forme de bande dessinée auto-générée, avec les personnages, les bulles et le cadrage gérés automatiquement. C'était codé en C++ et 30 ans plus tard, ça se compile encore ! Vous tapiez une phrase, et le logiciel décidait quels personnages coller dans la c

Comic Chat - L'IRC qui vous dessinait en BD fonctionne encore

Par : Korben ✨
17 juillet 2026 à 09:21

Microsoft vient de balancer sur GitHub le code source de Comic Chat. Je pense qu'on est peu nombreux à s'en souvenir mais c'était un logiciel sorti en 1996, imaginé par DJ Kurlander chez Microsoft Research, qui affichait nos discussions IRC sous forme de bande dessinée auto-générée, avec les personnages, les bulles et le cadrage gérés automatiquement.

C'était codé en C++ et 30 ans plus tard, ça se compile encore !

Vous tapiez une phrase, et le logiciel décidait quels personnages coller dans la case, quelle tête ils faisaient, comment les orienter, quelle forme donner à la bulle, à quel moment passer à la case suivante et même quel zoom appliquer. Le tout en temps réel, à partir de vos mots. Par exemple, si vous écriviez un point d'exclamation dans votre phrase, hop, votre avatar levait les bras.

Comic Chat recompilé sous Visual Studio 2022, sur Windows 11. La roue des émotions est en bas à droite.

Kurlander a présenté son bidule à SIGGRAPH 96 avec Tim Skelly et David Salesin et c'était assez innovant pour l'époque parce que Comic Chat ne se contentait pas d'afficher vos messages, mais prenait des décisions éditoriales suivant la gueule de votre conversation, tout ça sans IA ^^.

Les gens avec qui vous discutiez étaient sur des serveurs IRC à écrire de la ligne de commande. Et vous de votre côté, vous étiez dans une vraie bande dessinée à discuter avec eux et chacun d'entre eux avait un petit personnage attribué d'office. Les dessins que vous aviez sous les yeux, d'ailleurs, ne sortaient pas d'une banque de cliparts . C'est Jim Woodring , un auteur de BD indé américain, qui a créé ces personnages.

L'appli a été traduite en 24 langues, livrée avec Internet Explorer 3 puis bundlée avec Windows 98 donc vous l'avez peut-être eu sans le savoir. La version 2 est ensuite arrivée avec IE4 sous le nom de Microsoft Chat, avant que la messagerie instantanée ne bouffe tout au début des années 2000.

Microsoft écrit dans son annonce que Comic Chat a, je cite, "apporté Comic Sans au monde", sauf qu'en réalité c'est Vincent Connare qui avait dessiné la police en 1994 pour Microsoft Bob, dont les bulles en Times New Roman l'avaient rendu dingue. Et cette police est sortie dans le Plus! Pack de Windows 95, soit un an avant Comic Chat. Ouais on me la fait pas moi ^^.

Ce qui est rigolo, c'est que si vous allez fouiller un peu sur le dépôt GitHub et que vous regardez l'historique, vous verrez que Microsoft n'a pas juste poussé une archive et basta. Ils ont carrément reconstruit tout l'historique Git à partir des dates des fichiers. Du coup vous pouvez tomber sur des commits qui datent du 2 août 1996. C'est drôle non ?

Je trouve ça super cool que ce projet soit libéré. Microsoft avait déjà fait le coup avec Zork , passé en MIT l'an dernier. En tout cas, il y a eu chez Microsoft, un petit travail de réactualisation avec des versions qui peuvent fonctionner sur les écrans d'aujourd'hui et se connecter sur de vrais serveurs IRC actuels en TLS. Vous pouvez télécharger ces versions compilées récentes ici.

Et si vous voulez vous lancer, il y a Mermaid Elizabeth qui maintient même une liste de serveurs qui marchent encore avec. Perso, entre ça et un client IRC moderne , mon choix est vite fait ! ^^

Bref, si vous voulez voir à quoi ressemblait le web quand on se demandait sérieusement "et si les discussions étaient des BD ?", c'est sur GitHub .

Source

  • ✇Korben
  • Kassis - Transcrivez vos audios et dictez vos textes sur Mac
    Si vous cherchez un logiciel de dictée vocale sérieux sur Mac, vous avez sûrement remarqué que le marché ressemble à un désert. Nuance a débranché Dragon pour Mac en octobre 2018, la dictée intégrée de macOS dépanne pour 2 SMS mais s'essouffle sur un vrai document, et la plupart des services actuels envoient votre voix mouliner sur un serveur à l'autre bout du monde. Et quand vous êtes avocat, médecin, journaliste ou juste quelqu'un qui dicte des trucs confidentiels, bah ça pique un peu. Alors c

Kassis - Transcrivez vos audios et dictez vos textes sur Mac

Par : Korben ✨
15 juillet 2026 à 21:16

Si vous cherchez un logiciel de dictée vocale sérieux sur Mac, vous avez sûrement remarqué que le marché ressemble à un désert. Nuance a débranché Dragon pour Mac en octobre 2018, la dictée intégrée de macOS dépanne pour 2 SMS mais s'essouffle sur un vrai document, et la plupart des services actuels envoient votre voix mouliner sur un serveur à l'autre bout du monde. Et quand vous êtes avocat, médecin, journaliste ou juste quelqu'un qui dicte des trucs confidentiels, bah ça pique un peu.

Alors comme vous le savez, j'ai fini par coder ma propre solution, et bonne nouvelle, Kassis débarque aujourd'hui sur le Mac App Store ! Jusqu'ici, mon app de saisie vocale était réservée à mes abonnés Patreon (je vous en parlais ici à sa sortie), mais vous pouvez maintenant l'installer en 2 clics et la tester gratuitement, sans compte, sans carte bleue.

Le principe reste le même : vous laissez le doigt appuyé sur un raccourci clavier (⌥ + Espace par défaut), vous parlez, vous relâchez, et hop, le texte atterrit pile là où se balade votre curseur. Dans Mail, Slack, Word, votre terminal ou n'importe quelle autre app macOS. Moi, je m'en sers vachement pour discuter avec Claude Code, notamment. Ça fait gagner un temps de dingue et surtout votre voix ne quittera jamais votre Mac. Puis une fois les modèles téléchargés, ça pourra même marcher sans connexion.

Je l'ai pensé pour un usage professionnel, donc que ce soit le secret médical, les dossiers clients, les sources d'une enquête journalistique... Absolument rien ne part dans le cloud. Et contrairement à d'autres solutions, il n'y a même pas besoin de vous créer un compte.

Côté moteurs, vous avez le choix entre 5 modèles de reconnaissance vocale. Tout d'abord, Parakeet qui est ultra rapide et qui est mon préféré au quotidien. Mais également Whisper d'OpenAI, un classique un peu plus costaud, mais très fiable. Et puis des modèles un peu plus confidentiels comme Canary de Nvidia (le grand frère de Parakeet) ou encore Cohere qui est vachement précis. Sans oublier le moteur d'Apple intégré à macOS 26 qui utilise le Neural Engine pour retranscrire votre voix instantanément !

La détection de langue est également automatique parmi 99 langues, donc vous dictez par exemple en français, en anglais ou en japonais sans avoir à toucher un réglage.

Et Kassis ne fait pas que de la dictée ! L'outil sait également faire de la transcription audio en texte à partir d'un fichier audio ou vidéo que vous glissez-déposez sur la fenêtre. Avec ça, il vous ressortira en texte dans le presse-papier tout ce qui a été dit dans le son ou la vidéo, avec l'identification des locuteurs (qui parle et quand). C'est super pratique pour les réunions enregistrées, les interviews, les podcasts, les mémos vocaux ou encore les rushs vidéo.

Le texte qui sort est nickel, et vous pouvez le coller tel quel. Les "euh" et les hésitations dégagent tout seuls, la ponctuation et les majuscules tombent où il faut (typographie française comprise, avec ses espaces avant les points d'interrogation), et y'a même un dictionnaire de substitutions qui apprend vos termes techniques, vos noms propres et vos abréviations. Et les noms de marque que les moteurs massacrent d'habitude ? Une correction phonétique optionnelle se charge de les rattraper.

Et le texte transcrit, vous pouvez également le retravailler en local à l'aide de 7 styles de reformulation (professionnel, concis, structuré, décontracté...), ou une traduction dans 13 langues, toujours sans cloud. Genre vous marmonnez votre brouillon en français, vous relâchez la touche, et c'est un email propre en anglais prêt à partir.

Perso, je m'en sers tous les jours pour dicter mes emails, mes articles et mes prompts, et visiblement je ne suis pas le seul accro, puisque la version 1.1 doit également beaucoup aux retours des utilisateurs de la première heure. Par contre, les possesseurs de vieux Mac Intel, désolé, c'est mort... il vous faudra une puce Silicon.

Côté tarifs, la version gratuite offre donc 2 000 mots pour vous faire une idée et Kassis Pro passe en illimité pour 7,99 € par mois ou 49,99 € par an, avec 7 jours d'essai gratuit sur la formule annuelle. Les allergiques à l'abonnement ont également le choix d'opter pour une licence à vie à 129,99 €, et mes soutiens Patreon gardent leur accès direct, comme avant. L'app est dispo sur l'App Store du monde entier, avec une fiche traduite en 15 langues (même en japonais, 音声入力 !).

Bref, si votre Mac vous sert à écrire, foncez essayer Kassis sur le Mac App Store , la version gratuite suffit pour vous faire une idée.

Kassis fait partie des nombreux logiciels que je développe sous le nom Korben et que vous pouvez tous retrouver sur ma page Korben Logiciels .

À partir d’avant-hierinformatique général
  • ✇Korben
  • La vérif d'âge de l'Europe ridiculisée par une extension Chrome
    Bon, vous le savez, l'Europe tient absolument à savoir votre âge, avant de vous laisser scroller librement sur le net. Alors pour cela, ils ont mis au point une application qui permet de prouver votre âge et qui nous est proposée comme simple à utiliser et respectueuse de notre vie privée. Mais ça c'était sans compter sur Paul Moore , chercheur en sécurité, qui vient à nouveau de l'éclater à l'aide d'une simple extension Chrome... Mais reprenons depuis le début, parce que cette app

La vérif d'âge de l'Europe ridiculisée par une extension Chrome

Par : Korben ✨
15 juillet 2026 à 12:39

Bon, vous le savez, l'Europe tient absolument à savoir votre âge, avant de vous laisser scroller librement sur le net. Alors pour cela, ils ont mis au point une application qui permet de prouver votre âge et qui nous est proposée comme simple à utiliser et respectueuse de notre vie privée.

Mais ça c'était sans compter sur Paul Moore , chercheur en sécurité, qui vient à nouveau de l'éclater à l'aide d'une simple extension Chrome...

Mais reprenons depuis le début, parce que cette appli, c'est le modèle de référence de la Commission européenne pour vérifier qu'un internaute a bien plus de 18 ans, sans avoir à dévoiler qui il est. Développée par un consortium germano-suédois, elle est actuellement en test dans cinq pays dont la France, et vise aujourd'hui surtout le contenu adulte / porno et les jeux d'argent.

Ce 13 juillet, notre bien-aimée Ursula von der Leyen a même annoncé vouloir réutiliser cette infrastructure pour barrer l'accès des plus jeunes aux réseaux sociaux, avec une loi attendue après l'été et un âge minimum autour de 13 ans. "Les réseaux sociaux ne sont pas un jouet", comme elle l'explique !

Et pour arriver à cela, rassurez-vous, l'UE ne va pas stocker la carte d'identité de chaque Européen puisque le principe de ce système de contrôle, c'est de prouver l'âge sans transmettre l'identité.

Enfin, en théorie...

Parce qu'en pratique, c'est un peu la fête du slip ! Déjà il y a le dépôt Github officiel qui prévient tout le monde que c'est une implémentation de référence et absolument pas un truc à déployer en production. Donc en gros démerdez-vous !

Et ensuite, cette application est censée présenter une preuve d'âge à un vérificateur sans avoir à balancer notre identité. Alors ce qu'a fait Paul Moore, c'est qu'il a fabriqué cette preuve directement à partir d'une extension Chrome, et la présenter au vérificateur officiel de la démo. Et comme vous vous en doutez, celui-ci l'a validée comme si de rien n'était

Ça a l'air tellement simple !

En même temps, vu que la clé crypto, c'est une simple clé logicielle P-256 et pas une clé qui est enfermée dans le coffre matériel du téléphone, eh bien c'est assez facile à déjouer. Il n'y a pas besoin de scanner son passeport ou sa carte d'identité, il n'y a aucune reconnaissance faciale, ni aucune attestation matérielle façon Play Integrity pour prouver que ça tourne sur du vrai matos et (rigolez pas) la même preuve peut être rejouée en boucle encore et encore !! Une preuve d'âge peut donc servir 2 fois de suite.

Et puis cette preuve d'identité, elle est à 100% sous le contrôle du client. Donc en gros c'est à l'application installée sur votre téléphone qu'on demande de ne pas tricher. Mais lol.

Pour Moore qui a mis au point ce hack, il n'y aurait aucun patch qui pourrait régler ça. C'est vraiment l'architecture qui est foireuse. Et comme tout repose sur la bonne foi de l'application, eh bien c'est foutu. N'importe qui détourne l'application ou forge sa propre app peut faire croire au vérificateur qu'il a plus de 18 ans.

Pour boucher ce trou, l'Europe dispose de deux pistes : Soit passer par une attestation matérielle en béton, comme celle que Google verrouille via Play Integrity, ce qui recale au passage les gens sous GrapheneOS, Linux et compagnie, ou alors faire de la vraie crypto à divulgation nulle, prévue pourtant dans la spec mais pas branchée dans cette version.

Ce qui est rigolo, c'est que Moore a expliqué sur X avoir codé son proof of concept avec une IA en quelques minutes. Et on n'oublie pas non plus que Bruxelles veut interdire les réseaux sociaux avant 13 ans et a fait passer Chat Control pour scanner nos messages.... Je trouve que ça fait beaucoup de "contrôle" qu'on essaye de déguiser en "protection".

En attendant, ils sont bien ridicules avec leur application de validation d'âge en mousse.

Source

  • ✇Korben
  • La clim tue la planète ? Vous avez 30 ans de retard
    "Climatiser son appartement, c'est réchauffer celui du voisin." Vous l'avez forcément déjà entendue, cette bonne blague là... C'est comme ça que commence la dernière vidéo de Numerama, où durant 23 minutes, Julien Cadot démonte une par une les idées reçues sur la climatisation. Et j'ai trouvé ça passionnant et d'utilité publique, donc je vous la partage. Le point de départ, c'est que la clim et la pompe à chaleur qu'on vous subventionne à coups de milliers d'euros, c'est rigoureusement le même o

La clim tue la planète ? Vous avez 30 ans de retard

Par : Korben ✨
15 juillet 2026 à 07:33

"Climatiser son appartement, c'est réchauffer celui du voisin." Vous l'avez forcément déjà entendue, cette bonne blague là... C'est comme ça que commence la dernière vidéo de Numerama, où durant 23 minutes, Julien Cadot démonte une par une les idées reçues sur la climatisation.

Et j'ai trouvé ça passionnant et d'utilité publique, donc je vous la partage. Le point de départ, c'est que la clim et la pompe à chaleur qu'on vous subventionne à coups de milliers d'euros, c'est rigoureusement le même objet. Même compresseur, même fluide, même physique. En France, on a quand même réussi le tour de force d'avoir une technologie qu'on subventionne l'hiver et qu'on diabolise l'été, comme il le dit dans la vidéo.

Je ne vais pas vous refaire la vidéo, elle se suffit largement à elle-même. L'îlot de chaleur urbain ? Les clims de TOUT Paris pèsent à peu près autant sur la température des rues que le trafic automobile dont personne ne parle jamais. Les fluides "1000 fois pires que le CO2" ? Un combat gagné il y a 30 ans, votre clim récente tourne au R32 voire au propane. On nous vend la peur d'un combat que la science a réglé depuis longtemps et je me demande bien pourquoi...

Et avec le kWh français ultra décarboné, si un pays sur Terre peut être climatisé proprement, c'est bien la France. Alors pourquoi s'en priver ??? La canicule de 2003 a tué 15 000 personnes. Celle de juin dernier compte déjà un bon millier de morts, à 85 % des plus de 65 ans, souvent chez eux dans des chambres à 35°C. Alors Julien pose la vraie question : faut-il continuer à sacrifier l'endroit où les gens vivent pour garder le trottoir un demi-degré plus frais ? Surtout que vu le climat qui attend nos villes dans 20 ans , les nuits fraîches ne reviendront pas.

Et moi, ce qui me sidère, c'est la réticence des gens. Je parle pas de ceux qui n'ont pas d'argent pour en faire poser une. Je parle de ceux qui ont la thune mais que ça embête de faire installer une clim, parce que "l'écologie" ou je ne sais quoi d'autre. Même des vieux qui souffrent dans leur maison, il faut vraiment insister pour les convaincre... Dur dur. Les anti-clim, pour moi, c'est comme les antivax. Ce sont des gens qui se reposent sur des trucs entendus il y a des années, qui se sont arrêtés là et qui se refilent des infos périmées entre eux. C'est dommage quand même de littéralement mourir de chaud juste par connerie.

Et l'administration n'aide pas, avec des PLU meurtriers qui nous interdisent les unités extérieures en façade. C'est dire le niveau de connerie institutionnelle dans ce pays.

Perso je déménage bientôt en location, et là il n'y a pas la clim, et en plus il y a une véranda... je pense que je vais devoir prendre une clim portable, alors que c'est le pire des 2 mondes, bruyant et énergivore, mais bon, c'est pas chez moi. J'essaierai quand même de convaincre la propriétaire d'en faire installer une vraie, quitte à en payer une petite partie. Je lui ferai regarder la vidéo, tiens.

Et si vous sautez le pas : comptez quelques milliers d'euros pour une clim fixe posée par un pro, prenez des modèles silencieux pour les chambres, et anticipez dès cet hiver parce que les installateurs sont débordés chaque été. L'article de Numerama détaille tout ça par écrit si vous voulez aller plus loin.

Voilà, vive la clim ! Et si un anti-clim vous ressort le coup des fluides qui trouent la couche d'ozone, offrez-lui un calendrier, parce que visiblement sa capacité à comprendre le monde s'est arrêtée en 1995.

Source

  • ✇Korben
  • Inky Bird Frame - Les piafs du jardin en planches naturalistes
    Vous vous souvenez de BirdNet-Pi ? Ce montage dont je vous avais parlé, qui collait un micro sur un Raspberry Pi pour reconnaître les piafs du jardin à l'oreille ? Et bien Henry Sowell, un maker qui signe sous le pseudo de veteranbv, vient de pousser le délire un cran plus loin avec Inky Bird Frame. Il s'agit d'un cadre e-ink accroché au mur qui affiche les oiseaux repérés autour de chez vous, façon planches naturalistes de carnet de terrain du 19e siècle. Dans le cadre, un écran

Inky Bird Frame - Les piafs du jardin en planches naturalistes

Par : Korben ✨
13 juillet 2026 à 16:16

Vous vous souvenez de BirdNet-Pi ? Ce montage dont je vous avais parlé, qui collait un micro sur un Raspberry Pi pour reconnaître les piafs du jardin à l'oreille ? Et bien Henry Sowell, un maker qui signe sous le pseudo de veteranbv, vient de pousser le délire un cran plus loin avec Inky Bird Frame. Il s'agit d'un cadre e-ink accroché au mur qui affiche les oiseaux repérés autour de chez vous, façon planches naturalistes de carnet de terrain du 19e siècle.

Dans le cadre, un écran Pimoroni Inky Impression de 13,3 pouces, du e-paper 6 couleurs en 1600x1200, avec un Raspberry Pi Zero 2 W planqué derrière qui se contente d'afficher l'image. Mais le vrai boulot se fait ailleurs, sur un contrôleur (un Pi 4, ou n'importe quel Mac ou Linux qui traîne chez vous) qui surveille les observations publiques d'oiseaux dans un rayon configurable autour de votre maison.

Le cadre en situation, avec sa planche Eastern Bluebird ( Source )

Pour les données, vous prenez ce qui vous arrange. iNaturalist par défaut, eBird si vous préférez (avec un plafond à 50 km et 30 jours), ou même votre propre station BirdWeather si vous en avez déjà une qui écoute le jardin. Et grâce à àa, dès que vos micros captent une fauvette, hop, elle s'affiche sur votre mur.

C'est chouette hein ? (vous l'avez ?)

Aussi, quand une espèce jamais croisée dans votre coin pointe le bout de son bec, et que sa planche n'existe pas encore, hé bien le contrôleur la fabrique alors avec Codex, le CLI d'OpenAI, que le projet fait tourner via un simple abonnement ChatGPT, en s'appuyant sur des photos de référence sous licence et une fiche documentée sur l'oiseau.

Et pour éviter l'effet slop IA, chaque planche passe ensuite devant une seconde IA qui joue les contrôleuses qualité, en la comparant avec des photos de référence (plumage, proportions, forme du bec), en la vérifiant avec 2 sources d'autorité minimum et les noms scientifiques exacts.

Le catalogue commun compte déjà 71 espèces approuvées via des pull requests validées par la CI, c'est vraiment joli en plus, regardez :

Une planche du catalogue, générée puis validée par le pipeline ( Source )

Bon, maintenant le tarif. Comptez environ 360 dollars pour le cadre seul, dont 275 dollars juste pour l'écran (l'e-paper couleur en 13 pouces, ça douille !), et si vous ajoutez le Raspberry Pi 4, la facture montera à 350$.

Autre point qui pique un peu, le catalogue actuel est bourré d'oiseaux nord-américains, Eastern Bluebird, Northern Cardinal et toute la clique. Vos mésanges charbonnières et vos rouges-gorges, il faudra donc les générer vous-même, ce qui rend l'abonnement ChatGPT quasi obligatoire pour un utilisateur français.

Après pour le reste, j'ai l'impression que c'est assez complet. Ça fait une rotation des planches en séquentiel, aléatoire ou pondérée selon le nombre d'observations. Vous recevez des notifications pushover. Ça peut se brancher sur Discord, Slack ou Home Assistant via Apprise. Et toute l'intelligence reste bien sûr du côté du contrôleur.

Voilà, si ça peut vous intéresser, c'est sous licence MIT sur GitHub Avec le guide de montage, la liste des courses et bien sûr les photos de la construction.

Et si vous aimez les piafs, mais que monter d'oras péripi, c'est pas trop votre truc., Merlin Bird ID jetez un oeil aussi à ce projet qui est beaucoup plus simple d'accès puisqu'il tourne directement sur votre smartphone.

Voilà, je parle souvent de petits bricolages dans ce style, et c'est assez rare que j'ai envie de me lancer moi-même dedans, mais là, celui-là me plaît vraiment bien. Je ne sais pas si j'aurai le temps, mais je me dis que c'est un projet cool que je ferais bien un jour.

  • ✇Korben
  • Le blocage DNS casse tout sauf le piratage (dixit Google)
    Google est allé raconter à la Commission européenne ce que les gens qui s'y connaissent un peu en réseau répètent depuis 15 ans : Bloquer les résolveurs DNS, les VPN et les adresses IP pour lutter contre le piratage, ça ne marche pas. Dans un document envoyé pour la consultation sur la révision de la directive copyright, Mountain View écrit que "bloquer les résolveurs DNS, les IP ou les VPN est inefficace, car cela ne supprime pas du tout le contenu et se contourne facilement en u

Le blocage DNS casse tout sauf le piratage (dixit Google)

Par : Korben ✨
13 juillet 2026 à 11:26

Google est allé raconter à la Commission européenne ce que les gens qui s'y connaissent un peu en réseau répètent depuis 15 ans : Bloquer les résolveurs DNS, les VPN et les adresses IP pour lutter contre le piratage, ça ne marche pas.

Dans un document envoyé pour la consultation sur la révision de la directive copyright, Mountain View écrit que "bloquer les résolveurs DNS, les IP ou les VPN est inefficace, car cela ne supprime pas du tout le contenu et se contourne facilement en utilisant des résolveurs DNS alternatifs".

Le plus marrant ??? Bah c'est que Google sait très exactement de quoi il parle, vu que la justice française l'oblige déjà à filtrer son propre résolveur 8.8.8.8 pour protéger les matchs de foot de Canal+ (Fun fact : J'ai pas vu une seule image, ni score, ni entendu une seule histoire à propos de la Coupe du Monde cette année, tellement les algos savent que ça ne m'intéresse pas.... loool)

Pour ceux qui débarquent (oué oué), le blocage DNS, c'est demander aux annuaires du net (souvent ceux de votre FAI) de faire semblant de ne pas connaître l'adresse d'un site. Le site reste en ligne, ses serveurs tournent, et vous le retrouvez facilement en moins de 2 min, en changeant de résolveur ou en allumant un VPN.

Le blocage d'adresses IP, c'est encore pire, parce qu'une même adresse est souvent partagée par des milliers de sites sans aucun rapport entre eux... En bloquer une, ça revient donc souvent à couper l'électricité de tout l'immeuble pour punir un seul locataire.

Et des immeubles plongés dans le noir, la soumission de Google en aligne toute une collection. Je pense par exemple à ce document étiquetté "Privileged and Confidential" que la Commission a quand même publié (lol, des champions, je vous dis !) et qui cite le nom de clients de Google Cloud parfaitement en règle, qui pourtant ont été entièrement coupés à Internet fin 2019 au Portugal. Tout ça parce que des fournisseurs d'accès Internet locaux avaient bloqué des ASIP partagés pour viser certains sites pirates...

Ou encore un sous-domain de Google Drive ainsi que des IP Cloudflare sur lequel reposaient plus de 42 millions de domaines victimes du Piracy Shield italien. Ah et j'ai oublié l'Espagne qui vient compléter ce joli bingo parce que là-bas les blocages réclamés par LaLiga (la ligue de foot locale) durant les matchs, on fait carrément tomber +550 000 dont les sites d'Amnesty International, de l'UNICEF, du Sénat australien, de la Stanford Law Review et même des serveurs Amazon S3.

Et en France, je ne sais pas si vous vous souvenez, mais Cisco a carrément préféré débrancher son service OpenDNS plutôt que de se plier aux ordonnances de la justice. Quelle bonne ambiance dans ce terreau fertile à la dictature qui nous fonce dessus comme un train de la Deutsche Reichsbahn. (Point Godwin atteint, j'm'en fous, je fais ce que je veux, c'est mon site ^^).

Du coup, les ayants droit réclament maintenant de bloquer aussi les résolveurs alternatifs et les VPN eux-mêmes... et c'est exactement cette fuite en avant que Google demande d'arrêter. En tout cas dans son message, Google rappelle vivement ce que l'industrie du divertissement refuse d'entendre depuis l'époque de Napste : Quand vous avez un catalogue de merde émietté entre des dizaines de plateformes pour des prix exorbitants, avec de la pub, une qualité assez basse et des tas d'œuvres manquantes, eh bien, il ne faut pas s'étonner que le téléchargement illégal reparte de plus belle.

Maintenant, c'est vrai que Google ne joue pas les chevaliers blancs par pure bonté d'âme. En fait, ce qu'ils défendent, c'est leur résolveur maison, leur cloud et leurs clients. Elle reste par exemple très silencieuses sur tous les projets de loi de blocage qui avancent en ce moment même au Congrès américain.

Mais sur le fond, on ne peut pas leur donner le tort surtout quand je vois que le DNS4EU, le résolveur souverain européen, se fait déjà mettre la pression pour filtrer les sites pirates.

Voilà, la consultation est close depuis le 25 juin dernier et la commission est actuellement en train d'éplucher toutes les contributions pour décider des futures conneries qu'elle va faire. On croise les doigts quand même.

Source

  • ✇Korben
  • Swival – Le papa de libsodium se met aux agents de codage locaux
    Frank Denis , c'est le monsieur qui fait tourner un bon morceau d'Internet sans que personne le sache : libsodium, dnscrypt-proxy, Pure-FTPd, c'est lui. Et dernièrement, il s'est attaqué aux agents de codage IA avec Swival , un outil pensé pour les petits modèles qui tournent en local sur votre machine. Le truc de Frank c'est d'écrire du logiciel réputé incassable depuis 25 ans. Si vous chiffrez vos requêtes DNS, y'a des chances que ça passe par son dnscr

Swival – Le papa de libsodium se met aux agents de codage locaux

Par : Korben ✨
13 juillet 2026 à 11:03

Frank Denis , c'est le monsieur qui fait tourner un bon morceau d'Internet sans que personne le sache : libsodium, dnscrypt-proxy, Pure-FTPd, c'est lui. Et dernièrement, il s'est attaqué aux agents de codage IA avec Swival , un outil pensé pour les petits modèles qui tournent en local sur votre machine.

Le truc de Frank c'est d'écrire du logiciel réputé incassable depuis 25 ans. Si vous chiffrez vos requêtes DNS, y'a des chances que ça passe par son dnscrypt-proxy , et si vous utilisez du chiffrement dans à peu près n'importe quelle app moderne, libsodium n'est jamais bien loin. Du coup, quand ce profil-là sort un agent de codage en Python, licence MIT, gratuit, je pense que ça vaut le coup de s'y arrêter 2 minutes.

Il a codé cela parce que les outils d'agentique existants l'ont sérieusement gonflé. C'est beau, c'est neuf, c'est lavé avec Mir Laine mais.... ça plante !! Et l'autre reproche qu'il leur fait c'est concernant la confidentialité. En effet, utiliser un agent, c'est forcément voir partir on ne sait où nos données personnelles... nos clés API, nos URLs internes, nos noms de projets... tout ça est allègrement bouffé par le fournisseur de modèle qui derrière s'en sert pour tout un tas de choses pas cool. C'est notamment pour cela que Swival embarque une option --encrypt-secrets qui détecte les credentials dans les messages et les chiffre avant qu'ils quittent votre machine. Une denrée rare chez les agents de codage, et ça c'est du pur Frank Denis !

Y'a aussi la gestion du contexte, qui est le gros morceau. Les agents classiques sont conçus pour des modèles frontière avec des fenêtres géantes. Sauf que votre LLM local, lui, doit souvent se débrouiller avec 32K de contexte, et là tout déborde très vite. Swival, lui, prend le truc à l'envers. Chaque sortie d'outil est plafonnée direct à la source : 50 Ko max par fichier lu, 100 résultats de grep, 100 entrées par listing. Et une fois que l'agent a fini de fouiller votre code, un système de snapshots vire ses 12 000 tokens de lectures pour les remplacer par un résumé de 200 tokens.

Et c'est pas fini. Rajoutez là-dessus une compaction automatique en 7 niveaux progressifs (du simple ménage au grand débarras), plus des notes de travail qui survivent à tout ça. Résultat, un agent qui tient des sessions à rallonge sans partir en vrille. La doc montre d'ailleurs Swival en train d'avaler une refactorisation multi-fichiers avec Qwen3-Coder-Next dans 32K sous LM Studio sans broncher...

Et pour brancher tout ça, vous avez le choix. 11 backends quand même ! LM Studio par défaut (zéro config, il repère tout seul votre modèle chargé), llama.cpp pareil, HuggingFace, OpenRouter, Google Gemini et Vertex AI. Envie de lourd ? ChatGPT Plus ou AWS Bedrock. Et pour les curieux, les Apple Foundation Models en expérimental, un provider générique compatible OpenAI (ollama, vLLM, mlx_lm.server...) et même une commande externe de votre choix.

Pour trouver un modèle qui tienne dans votre RAM, Hugging Face sait filtrer selon votre matos et une fois que vous avez fait votre choix, l'installation tient en une ligne (via uv, Python 3.13 minimum) :

uv tool install swival

Ensuite, il suffit de taper, par exemple : "Refactore la gestion d'erreurs de src/api.py" et l'agent se met au travail pour peu que vous ayez déjà un LMStudio ou un llama.cpp qui tourne avec un modèle chargé...

Ah j'oubliais, si vous êtes sous Mac vous pouvez même l'installer avec Homebrew :

brew install swival/tap/swival

Ensuite, au niveau des commandes, il y a aussi, par exemple, une commande /audit qui vous permet de faire de la chasse aux failles de sécurité dans votre code. Tout cela avec des agents isolés chacun dans des worktrees séparés et qui sont obligés de reproduire chaque bug avant de l'inscrire dans le rapport.

Et côté sécurité, vous avez deux sandboxes au choix. Soit Agent FS d'un côté (l'agent bosse sur une copie de vos fichiers, votre projet reste intact) ou nono (non, pas le petit robot) de l'autre (avec barrières au niveau du noyau, blocage réseau compris). Sans oublier la mémoire persistante entre vos sessions, le support MCP et un mode serveur pour interconnecter vos agents entre eux.

Voilà donc de quoi venir jouer dans la cour de ZCode côté z.ai et compagnie...

Voilà, je me suis dit que ça allait vous intéresser, donc si vous voulez zieuter le code, direction GitHub , sinon, toute la doc se trouve sur le site officiel .

Merci Friendly_0day pour le lien !

  • ✇Korben
  • KamTape - Le site qui ressuscite le YouTube de 2005
    Moi je me suis lancé en 2004 et un an plus tard il y a YouTube qui débarquait. C'était bien avant de se faire racheter par Google. Et j'avoue que j'en attendais pas grand-chose. Parce qu'à l'époque, on était vraiment sur des connexions pourries et la vidéo, c'était un truc très américain. Mais à l'époque, moi de ce que je me souviens de YouTube, c'est que c'était très brut ça. On pouvait mettre des étoiles sur les vidéos pour les noter. Il y avait des catégories vraiment fourre-tout. Et puis c'é

KamTape - Le site qui ressuscite le YouTube de 2005

Par : Korben ✨
12 juillet 2026 à 20:31

Moi je me suis lancé en 2004 et un an plus tard il y a YouTube qui débarquait. C'était bien avant de se faire racheter par Google. Et j'avoue que j'en attendais pas grand-chose. Parce qu'à l'époque, on était vraiment sur des connexions pourries et la vidéo, c'était un truc très américain.

Mais à l'époque, moi de ce que je me souviens de YouTube, c'est que c'était très brut ça. On pouvait mettre des étoiles sur les vidéos pour les noter. Il y avait des catégories vraiment fourre-tout. Et puis c'était surtout pas mal de vidéos filmées au caméascope et numérisées après. Qui étaient bien pourries en termes de qualité.

Et voilà que un certain JR s'est dit que ce serait trop cool de reconstruire tout ça comme à l'époque. Et voilà comment est né KamTape , lancé en août 2023.

Si vous n'avez pas connu YouTube à ses débuts, vous allez kiffer parce que la reconstitution va très loin. Tout y est. Il y a les catégories d'époque (Gadgets & Games, Howto & DIY, Pets & Animals…), la notation avec les étoiles, les playlists, les favoris et bien sûr les abonnements.

Ah, et petite précision, il n'y a surtout aucun algorithme pour vous suggérer du contenu. Il n'y a pas de recommandation, il n'y a pas de page d'accueil qui vous connaît mieux que votre propre mère. Donc pour dénicher la vidéo de vos rêves, il faut cliquer au pif dans les catégories et hop, surprise !

La page d'accueil de KamTape, avec ses vidéos qui plafonnent à 400 vues.

Ce qui est cool, c'est qu'on peut même uploader ses propres vidéos, donc les youtubeurs là qui passez votre temps à vous plaindre de YouTube, vous savez quoi faire maintenant ^^.

Ah les trucs rigolos aussi c'est le Fact Sheet , qui reprend quasiment mot pour mot les vrais communiqués de presse de YouTube de l'époque en changeant juste le nom.

Du coup, la plateforme revendique très sérieusement 70 millions de vidéos vues par jour, 6 millions de visiteurs uniques et une place de 18e site le plus visité d'Internet... alors que leurs vidéos dépassent rarement les 400 vues.

Voilà, c'est un sacré portail temporel. Et puis surtout, c'est pas le seul dans ce délire, puisqu'il existe toute une scène de "revivals" qui ressuscitent les vieilles plateformes : BitView, VidLii, EraCast et compagnie, avec des wikis communautaires qui documentent leurs pannes et leurs changements de propriétaires comme s'il s'agissait de multinationales.

Et des pannes, KamTape en a connu un paquet ! Mais bon, un site qui plante de temps en temps, ça fait aussi partie du charme du early-web. En tout cas, si ce genre de plongée dans le web d'avant vous parle, allez fouiller Internet Artifacts , et pour la même ambiance côté jeux, y'a RetroAssembly qui tourne direct dans le navigateur.

Source

  • ✇Korben
  • Un compteur de visiteurs sur votre site, sans payer un centime
    Vous avez peut-être remarqué un petit point rouge tout en bas de mon site, avec un nombre à côté. Il s'agit du nombre de personnes passées sur le site durant la dernière heure. Je voulais remettre ce truc depuis un bail, bien à l'ancienne comme dans les années 2000 mais sur un site statique, qui plus est sans tracker de stats JS type Google Analytics ou Matomo, et sans cookies de tracking, c'était pas franchement une option... jusqu'à maintenant !

Un compteur de visiteurs sur votre site, sans payer un centime

Par : Korben ✨
12 juillet 2026 à 07:45

Vous avez peut-être remarqué un petit point rouge tout en bas de mon site, avec un nombre à côté. Il s'agit du nombre de personnes passées sur le site durant la dernière heure.

Je voulais remettre ce truc depuis un bail, bien à l'ancienne comme dans les années 2000 mais sur un site statique, qui plus est sans tracker de stats JS type Google Analytics ou Matomo, et sans cookies de tracking, c'était pas franchement une option... jusqu'à maintenant !

Le compteur, en vrai, tout en bas de korben.info.

La solution évidente sur des sites statiques, c'est souvent un petit Worker Cloudflare qui compte les visiteurs et servirait le chiffre, mais ça se facture à chaque requête. À 390 000 pages vues par jour, ça grimpe vite à des dizaines de millions d'invocations par mois, soit dans les 6 à 7 dollars. C'est pas super cher mais pour un compteur qui n'est utile qu'à satisfaire mon égo tout en sachant s'il y a du monde aujourd'hui, ça ne sert strictement à rien ! Donc le Worker, je l'ai écarté direct.

Du coup j'ai fait ça à l'ancienne. Un petit script Python tourne sur la machine qui héberge le site, une fois par minute. Il pose une seule question à Cloudflare, à savoir combien d'adresses IP distinctes ont chargé une page durant la dernière heure (ou demi-heure, ou quart d'heure ou 5 min, c'est vous qui paramétrez), il écrit la réponse dans un minuscule fichier live.json de quelques centaines d'octets, et c'est tout. Ce fichier, Cloudflare le sert ensuite depuis son cache comme il servirait une image, gratuitement. Zéro Worker, zéro base de données, zéro abonnement, j'ai exactement le même résultat sans dépenser une thune.

Maintenant, faut que je sois clair sur ce que ce chiffre raconte. C'est le nombre de navigateurs distincts ayant chargé une page durant la dernière heure, hors trafic interne de Cloudflare. C'est un "*combien de monde est passé récemment *", pas un "combien lisent là tout de suite".

Et les bots là-dedans ?

En fait, les bots pourris , ceux qui scrapent en boucle, se font bloquer en amont par le Super Bot Fight Mode de Cloudflare, donc ils n'arrivent même pas jusqu'à mon site. Restent les gentils bots, du genre de Googlebot et compagnie, que je laisse passer exprès, parce que les bloquer reviendrait à me flinguer mon référencement. Sur les 7 derniers jours, Cloudflare classe à peine 4% comme bots vérifiés. Donc c'est une goutte d'eau, surtout qu'ils tournent sur une poignée d'IP. Donc oui, mon compteur avale deux ou trois crawlers au passage, mais je ne voulais pas vous mentir en écrivant "zéro bot". Mais l'essentiel c'est que les nuisibles, eux, ne soient pas comptabilisés.

J'ai aussi dû gérer un petit piège car l'API de Cloudflare plafonne sa réponse à 10 000 lignes. Et comme sur une heure entière de trafic ça peut se remplir vite, si je crève ce plafond, la requête sous-compterait sans rien dire. Donc le script lève un flag et le compteur affiche "10 000 personnes ou plus" plutôt qu'un faux nombre. Quand j'y serai aux 10 000 et plus, je pense que je réduirai alors le delta temps en passant de 1h à 30 min...etc.

Côté vie privée, c'est carré également. Cloudflare renvoie à mon serveur une liste JSON des IP passées dans l'heure, mon script en compte le nombre de distinctes, et efface cette liste de sa mémoire dans la milliseconde qui suit. Aucune IP n'est stockée, aucune n'atterrit dans un log, aucun fichier avec les IPs n'est créé sur le disque... Il ne reste qu'un entier. Comme je vous le disais, pas de cookie , pas de traceur, et rien qui touche votre navigateur . Et comme le compteur ne s'affiche jamais en dessous de 10 personnes, impossible d'isoler qui que ce soit.

Maintenant, si vous voulez le même chez vous, sachez que j'ai tout balancé en open source sur GitHub , sous licence MIT, donc servez-vous. Voici les pré-requis :

  1. votre site doit être derrière Cloudflare, le plan gratuit suffit largement.
  2. vous générez un token API Cloudflare avec le droit de lecture sur les analytics.
  3. vous posez le script live_count.py sur votre serveur et vous le lancez une fois par minute (ou toutes les 5 ou 10 min) via un cron.
  4. vous ajoutez le bout de JavaScript et son span dans vos pages, tout se règle par des attributs, aucun script inline, donc ça passe même avec une politique de sécurité stricte.

Le seul truc sur lequel ne pas vous louper, c'est de mettre un temps de cache court à live.json. Si c'est trop long, tous vos visiteurs verraient un chiffre périmé.

Voilà. Un petit compteur maison simili-live sans tracking et qui ne me coûte rien, c'est le bonheur !

  • ✇Korben
  • Votre 2FA est une passoire, le sniffeur de WiFi public vous remercie
    -- Article en partenariat avec Surfshark -- Les attaques Adversary-in-the-Middle (AiTM) représentent l'évolution sophistiquée des classiques attaques Man-in-the-Middle. Contrairement à l'écoute passive, l'attaquant s'insère activement entre la victime et le service légitime, usurpant les deux parties pour intercepter, modifier et rediriger les communications. Ces attaques permettent de voler des identifiants, de contourner l'authentification à deux facteurs (2FA) en capturant

Votre 2FA est une passoire, le sniffeur de WiFi public vous remercie

Par : Korben ✨
12 juillet 2026 à 06:42
-- Article en partenariat avec Surfshark --

Les attaques Adversary-in-the-Middle (AiTM) représentent l'évolution sophistiquée des classiques attaques Man-in-the-Middle. Contrairement à l'écoute passive, l'attaquant s'insère activement entre la victime et le service légitime, usurpant les deux parties pour intercepter, modifier et rediriger les communications. Ces attaques permettent de voler des identifiants, de contourner l'authentification à deux facteurs (2FA) en capturant les cookies de session, et même de manipuler les transactions financières en temps réel. Des outils facilitent grandement la mise en place de ces attaques et l'une des protections valables repose sur le chiffrement des communications (VPN, HTTPS), l'authentification multi-facteurs résistante au phishing (WebAuthn) et la vigilance face aux liens suspects.

Faites preuve d'un peu d'imagination pendant quelques minutes. Vous êtes tranquillement installé au Starbucks du coin, vous buvez votre latte caramel macchiato à 7 balles, et vous vous connectez au WiFi public pour checker vos mails. Sauf que le mec à la table d'à côté, avec son hoodie noir et son MacBook Pro qui sent le terminal, n'est pas là pour boire son café. Il est là pour se positionner entre vous et le reste du monde.

Et là, on ne parle pas d'un simple Man-in-the-Middle à l'ancienne, non non. On parle d'un Adversary-in-the-Middle, le gros calibre. La différence ? Le mec usurpe activement les deux côtés de la conversation. C'est pas juste un petit curieux qui écoute aux portes. C'est un escroc qui se fait passer pour votre banque ET pour vous, en même temps. Il relaie tout, modifie ce qu'il veut, et vous, vous ne voyez rien.

"Mais j'ai la 2FA, je suis blindé !"

Hé ben non. C'est là que ça pique.

Les attaques AiTM ont un super-pouvoir de merde : elles contournent la 2FA. Comment ? Le mec crée un site parfaitement identique à celui de votre banque. Vous cliquez sur le lien du mail de phishing et vous arrivez sur sa copie. Login, mot de passe, et PAF, le code SMS arrive. Vous le rentrez. Sauf que le code passe par le serveur du mec au milieu, qui le relaie en temps réel à la vraie banque. Résultat ? Il a votre session, vos cookies, et il peut se connecter à votre compte pendant des heures sans que vous vous en rendiez compte.

C'est ce qu'on appelle le session hijacking. Vous avez validé l'authentification, et pourtant c'est lui qui se retrouve connecté à votre place. Et il peut même modifier les données en transit : changer le numéro de compte bénéficiaire d'un virement, injecter du malware dans une mise à jour, bref, tout ce qui lui chante.

Des outils comme Evilginx2 traînent dans la nature depuis 2018 et permettent à n'importe quel script kiddie de monter ce genre d'attaque en 10 minutes. Le framework MITRE ATT&CK a même une entrée dédiée pour ça (T1557), tellement c'est devenu courant.

"Ok, et je fais quoi alors ?"

Ben déjà, arrêtez de cliquer sur les liens de vos mails comme un débile. Mais surtout, surtout, chiffrez votre connexion. Et là, un VPN entre en jeu.

Pas n'importe lequel. Un VPN qui sait ce qu'il fait. Je vous en parle régulièrement (j'espère qu'à force ça finit par rentrer hein) mais, récemment, Surfshark vient encore de se faire remarquer en recevant le PCMag Editor's Choice award . Ce qui, dans le monde des VPN, est un peu comme recevoir une étoile Michelin pour un kebab. Ça veut dire que les mecs de PCMag, qui testent ce genre de truc toute la journée, ont trouvé que Surfshark tenait la route.

Pourquoi un VPN ça marche contre l'AiTM ?

C'est simple. Lorsque vous activez Surfshark , tout votre trafic passe dans un tunnel chiffré entre votre machine et le serveur VPN. Même si le mec au Starbucks contrôle le routeur, même s'il fait de l'ARP spoofing, du DNS poisoning, ou je ne sais pas quelle autre magie noire, il verra que dalle, juste des paquets chiffrés illisibles, point barre.

Pas d'identifiants en clair, pas de cookies de session à sniffer, et pas moyen de modifier une page web en transit. Le gars peut toujours essayer de vous rediriger vers son faux site, mais votre connexion VPN reste intacte et chiffrée.

Et Surfshark, en plus du chiffrement AES-256-GCM (celui que la NSA approuve pour ses documents top secret, pour ceux qui aiment les détails techniques), propose des fonctionnalités sympas :

  • CleanWeb qui bloque les trackers et les pubs (et donc les domaines malveillants souvent cachés derrière)
  • Kill Switch qui coupe internet si le VPN tombe (parce qu'un tunnel qui s'effondre, c'est pas un tunnel)
  • MultiHop qui fait passer votre connexion par DEUX serveurs VPN successifs pour ceux qui sont vraiment parano
  • Surfshark Alert qui surveille si vos identifiants ont fuité sur le dark web
  • Alternative ID qui vous permet de créer de fausses identités temporaires

Le prix de la tranquillité

Alors oui, un VPN ça coûte un peu d'argent. Mais franchement, entre payer quelques euros par mois et se faire vider son compte bancaire par un mec qui a sniffé votre session sur le WiFi du McDo, le choix est vite fait. Surtout que Surfshark propose des abonnements longue durée à prix cassés, et avec leurs offres actuelles, vous en avez pour moins cher qu'une paire de cafés par mois (2.75€ TTC pour le pack Starter ou 3.35€ TTC pour Surfshark One avec l'antivirus & co).

Et puis, ils ont aussi une politique de no-logs auditée indépendamment et régulièrement. C'est-à-dire qu'ils ne gardent aucune trace de ce que vous faites. Contrairement à votre FAI qui sait exactement à quelle heure vous regardez vos séries un peu spéciales sur Netflix.

Bref

Les attaques AiTM n'ont rien de la science-fiction. Ça arrive tous les jours. Microsoft a documenté une campagne qui a ciblé plus de 10 000 organisations depuis 2021. Twitter (pardon : X), Microsoft 365, Slack, Twilio... tous ont morflé à cause de ce genre d'attaque. Et vous, sur votre WiFi public, vous êtes une cible parfaite.

Un VPN comme Surfshark n'est pas une baguette magique qui vous protège de tout. Si vous cliquez sur un lien de phishing, le VPN ne vous sauvera pas de votre propre étourderie. Mais il vous protègera de l'interception passive et active sur les réseaux non sécurisés. Et ça, c'est déjà énorme. Dans le doute, chiffrez. Toujours.

Profitez de l'offre du moment chez Surfshark !

  • ✇Korben
  • Moebius - Effacer un objet d'une photo depuis votre navigateur
    Simon Willison, le créateur de Datasette et co-créateur de Django, vient de porter un modèle d'inpainting d'image directement dans le navigateur. Sa démo vous permet de choisir une photo, de peindre sur la zone à faire disparaître et ensuite le modèle IA reconstitue ce qu'il manque. Et ce qui est merveilleux avec cette appli c'est que tout tourne sur votre carte graphique en local, comme ça vos données restent chez vous. Le modèle s'appelle M

Moebius - Effacer un objet d'une photo depuis votre navigateur

Par : Korben ✨
12 juillet 2026 à 05:55

Simon Willison, le créateur de Datasette et co-créateur de Django, vient de porter un modèle d'inpainting d'image directement dans le navigateur. Sa démo vous permet de choisir une photo, de peindre sur la zone à faire disparaître et ensuite le modèle IA reconstitue ce qu'il manque. Et ce qui est merveilleux avec cette appli c'est que tout tourne sur votre carte graphique en local, comme ça vos données restent chez vous.

Le modèle s'appelle Moebius, dispose de 0,22 milliard de paramètres, et a été développé par une équipe de l'université Huazhong en Chine. À l'origine c'est un modèle PyTorch, que Willison a converti au format ONNX pour le faire tourner via ONNX Runtime Web sur le backend WebGPU, une nouvelle API qui donne aux pages web un accès direct au GPU. Et ce qu'on obtient, c'est un modèle de diffusion qui s'exécute à 100% côté client dans Chrome ou Safari.

Lors de la première utilisation, l'outil télécharge 1,27 Go de poids depuis Hugging Face, ce qui est énorme pour une page web. Mais c'est un one-shot car ensuite, le navigateur range tout ça dans son Cache Storage, et les fois d'après il ne re-télécharge rien.

Je l'ai installé et testé et ça fonctionne vraiment très très bien. J'ai sélectionné quelques tuiles comme un bourrin et ça me les a enlevées très proprement en quelques dizaines de secondes (une fois le modèle initial téléchargé évidemment).

C'est du vrai inpainting génératif en tout cas et pas un truc qui recopie les pixels d'à côté.

Willison raconte dans le README que la conversion PyTorch vers ONNX et l'appli web complète ont été réalisées par Claude Code avec le modèle Claude Opus 4.8, et qu'il n'a "*pas regardé une seule ligne de code *". Il s'est juste contenté de tester dans le navigateur et de signaler ce qui clochait. Hé ouais c'est comme ça maintenant, les temps changent ;)

C'est open source sous licence Apache 2.0, la démo est en ligne, et le code est sur GitHub si vous voulez le lancer chez vous. Testez, et effacez ce gars avec son coup de soleil sur le crâne qui gâche votre plus belle photo de vacances, je ne vous juge pas ^^.

Source : Hackaday

  • ✇Korben
  • OpenLogi - Votre souris Logitech sans le bloatware d'Options+
    Logitech Options+, vous connaissez ce délire, je pense... Pour régler 3 boutons de souris, on vous pousse à créer un compte, à partager vos data, et à laisser une usine à gaz tourner H24 en tâche de fond. Le dev AprilNEA en a eu marre, du coup il a écrit OpenLogi en Rust et son truc fait le même boulot côté réglages, mais sans rien envoyer chez Logitech. Si vous me lisez régulièrement, ça devrait vous rappeler Mouser , dont je vous parlais en mars dernier. C'est la même philosophie, sauf que Mou

OpenLogi - Votre souris Logitech sans le bloatware d'Options+

Par : Korben ✨
11 juillet 2026 à 08:59

Logitech Options+, vous connaissez ce délire, je pense... Pour régler 3 boutons de souris, on vous pousse à créer un compte, à partager vos data, et à laisser une usine à gaz tourner H24 en tâche de fond. Le dev AprilNEA en a eu marre, du coup il a écrit OpenLogi en Rust et son truc fait le même boulot côté réglages, mais sans rien envoyer chez Logitech.

Si vous me lisez régulièrement, ça devrait vous rappeler Mouser , dont je vous parlais en mars dernier. C'est la même philosophie, sauf que Mouser restait coincé, à l'époque, sur la MX Master 3S en Bluetooth uniquement, sans SmartShift et sans Linux. OpenLogi reprend donc le flambeau et va beaucoup plus loin.

Alors, qu'est-ce que vous pouvez faire avec ?

Hé bien d'abord remapper vos boutons (41 actions prêtes à l'emploi, quand même), régler le DPI, activer le SmartShift, ce fameux défilement en roue libre. Vous pouvez aussi créer des profils qui basculent tout seuls selon l'appli active. Et tout ça cause directement avec le protocole HID++ de Logitech à votre MX Master , sans jamais lancer le pilote maison.

Peu importe comment la bête est branchée d'ailleurs, récepteur Bolt, clé Unifying, Bluetooth ou un bon vieux câble, les quatre passent ! Toute votre config ensuite se trouve dans un simple fichier TOML posé en local, que vous pouvez versionner dans un Git si ça vous chante. L'outil dispose d'une interface graphique, mais vous pouvez également l'utiliser en ligne de commande.

Pour l'installer sous macOS, c'est facile, il suffit de faire un brew install --cask openlogi et voilà ! Quant à Linux, vous avez des paquets .deb et .rpm. Notez que ça tourne aussi sous Windows, mais uniquement en beta.

OpenLogi est compatible avec les MX Master 4, 3S et 3, MX Anywhere 3, Signature M650, Ergo M575 et le code est libre sous double licence Apache 2.0 et MIT au choix.

Voilà, si Options+ vous gonfle de fou, OpenLogi mérite sans doute un petit test de votre part. C'est par ici , et le code est sur GitHub .

Vous m'en direz des nouvelles !

  • ✇Korben
  • Il détourne un chien robot Unitree pour aider son père
    Prenez un chien robot d'Unitree, du genre qui patrouille dans les usines, ajoutez-y un siège baquet, un harnais et pas mal de code et vous obtiendrez un nouveau genre de jambes bioniques du futur ! Jake Laser a réalisé ça pour son père, en fauteuil roulant depuis une dizaine d'années à cause d'une sclérose en plaques et le résultat est bien délire. La machine de départ est donc un quadrupède industriel Unitree à roues motorisées et pattes articulées qui sur sol lisse, roule comme un véhicule à r

Il détourne un chien robot Unitree pour aider son père

Par : Korben ✨
11 juillet 2026 à 06:59

Prenez un chien robot d'Unitree, du genre qui patrouille dans les usines, ajoutez-y un siège baquet, un harnais et pas mal de code et vous obtiendrez un nouveau genre de jambes bioniques du futur ! Jake Laser a réalisé ça pour son père, en fauteuil roulant depuis une dizaine d'années à cause d'une sclérose en plaques et le résultat est bien délire.

La machine de départ est donc un quadrupède industriel Unitree à roues motorisées et pattes articulées qui sur sol lisse, roule comme un véhicule à roues mais qui sur terrain accidenté, peut déplier ses gambettes, grimper des escaliers, enjamber les obstacles et traverser des paysages rocheux sans broncher.

Rien à voir cela dit avec le Unitree Go2 grand public que vous connaissez qui est plus un jouet. Là c'est la version B2-W pour les entreprises vendue autour de 100 000 dollars, qui sert d'habitude à inspecter des entrepôts ou des sites dangereux. Pour info, Unitree, c'est la même boîte qui vend aussi un mecha à 500 000 dollars , histoire de vous situer le niveau de matériel.

Le transformer en engin sur lequel on peut monter, ça a demandé du vrai boulot d'ingénierie. Après avoir testé plusieurs positions d'assise, Jake a fixé un siège baquet de course directement sur la colonne du robot, les jambes du passager vers l'avant pour que les pattes robotisées puissent bouger librement en dessous.

Il a ajouté un harnais bien costaud et surtout, il a dû recalibrer tout le logiciel de balance du robot pour compenser le poids d'un humain qui se déplace en permanence. Un B2-W sait s'équilibrer avec une charge fixe, mais beaucoup moins avec quelqu'un qui bouge dessus, se penche et change le centre de gravité à chaque seconde.

Mais une fois le code ajusté, les capteurs et les moteurs gardent l'équilibre même en marchant sur un terrain pourri. Le pilotage passe ensuite par un joystick double sans fil qui gère tout : avancer, tourner, se déplacer en crabe, et ajuster la hauteur du robot pour monter et descendre plus facilement.

Et le plus fou, c'est qu'un B2-W ne devrait porter qu'une quarantaine de kilos quand il marche alors que là il trimballe un adulte plus son siège, soit largement le double. Vous l'aurez compris, c'est pas homologué hein ^^.

Capture : JLaservideo (YouTube)

Jake voulait aussi que son père soit fier de son engin alors il s'est inspiré des Bugatti des années 40 pour l'habiller avec une carrosserie galbée, de la fibre de carbone, des phares chromés + éclairage LED sous le châssis et enjoliveurs custom. On est à mi-chemin entre le robot de combat et la voiture de collection ^^.

Bien sûr, avant d'y installer son père, Jake a fait subir à son robot plein de tests d'efforts et de sécurité. Il lui a fait grimper des rebords super hauts, traverser des échelles, monter des tonnes d'escaliers bien tordus et franchir des lits de rivière rocheux, le tout sans jamais perdre l'équilibre. C'est seulement une fois la fiabilité prouvée que son père est monté à bord. Et après des années coincé dans un fauteuil classique, il a pu retourner sur des sentiers et dans des endroits qui étaient devenus, pour lui, des souvenirs lointains.

Bien sûr, c'est un exemplaire unique, et pas un dispositif médical que vous pourrez commander, mais je trouve que l'idée de détourner de la robotique industrielle pour redonner de l'autonomie à quelqu'un c'est vraiment chouette. On a déjà vu des robots japonais faire ça pour des personnes en situation de handicap , et ce genre de bidouille prouve que la techno existe déjà, et qu'il ne manque que des gens motivés pour la détourner dans le bon sens.

Bref, matez la vidéo, vous allez kiffer la partie où le père de Jake capte qu'il peut de nouveau aller où il veut (dans la limite de l'autonomie disponible)

Source : Yanko Design

  • ✇Korben
  • Votre cerveau en mode pilote automatique - Bruxelles accuse Meta
    Il est 1h12 du mat', vous êtes allongé dans le canap, le téléphone à 20 cm du museau, et votre pouce swipe encore et encore dans un automatisme le plus complet... Un reel de chat, une recette de lasagnes, un type qui répare une tondeuse. Vous aviez ouvert Instagram pour répondre à un message d'un pote il y a 40 minutes, et vous en êtes là. Ah bah bravo ! Mais ne vous blâmez pas trop car en sortir est à peu près aussi facile que de quitter un repas de famille avant le café. Et c'est d'ailleurs po

Votre cerveau en mode pilote automatique - Bruxelles accuse Meta

Par : Korben ✨
10 juillet 2026 à 17:16

Il est 1h12 du mat', vous êtes allongé dans le canap, le téléphone à 20 cm du museau, et votre pouce swipe encore et encore dans un automatisme le plus complet... Un reel de chat, une recette de lasagnes, un type qui répare une tondeuse. Vous aviez ouvert Instagram pour répondre à un message d'un pote il y a 40 minutes, et vous en êtes là. Ah bah bravo ! Mais ne vous blâmez pas trop car en sortir est à peu près aussi facile que de quitter un repas de famille avant le café.

Et c'est d'ailleurs pour ça que Bruxelles vient de mettre un nom là-dessus : "le mode pilote automatique".

L'expression est écrite noir sur blanc dans le communiqué que la Commission européenne a publié ce matin et vous l'aurez deviné, on parle bien de ce foutu scroll infini, mais également de l'autoplay, des notifications push et des reels qui je cite, "nourrissent l'envie de continuer à scroller" et "contribuent à des habitudes malsaines et à un usage compulsif". Conclusion, Instagram et Facebook enfreignent le Digital Services Act ! Ah !

Et attention, pas à cause du contenu qui circule dessus. Non, c'est vraiment à cause du design des app en lui-même.

Ce qu'on reproche à Meta, c'est de n'avoir jamais sérieusement évalué ce que ce design fait à votre bien-être physique et mental, mineurs et adultes vulnérables compris, alors qu'elle avait les données sous les yeux. Notamment sur le temps que vos ados passent sur ses applis la nuit.

Et les garde-fous maison prennent cher au passage car les outils de gestion du temps proposés par Meta, même activés par défaut pour les ados, se contournent trop facilement et ne réduisent en rien l'usage. Sans parler des contrôles parentaux qui ne fonctionnent, écrit la Commission, que si vous avez "une expertise technique adéquate" et du temps à y consacrer. Pffff !

Alors Bruxelles sort sa liste de courses : Couper l'autoplay et le scroll infini par défaut, vous imposer de vraies pauses d'écran , et rendre les recommandations moins obsédées par votre engagement. Notre régulateur préféré demande à Meta d'éteindre par défaut le moteur à attention qui fait rentrer le pognon ^^.

Sauf que rien n'est joué. Ce ne sont là que des conclusions préliminaires, et pas une condamnation.

Meta doit encore répondre par écrit, le Comité européen des services numériques donnera ensuite son avis, et seulement après tombera, ou pas, une décision de non-conformité. Au bout du chemin, une amende qui pourrait grimper jusqu'à 6 % du chiffre d'affaires mondial (environ 201 milliards de dollars en 2025, sortez la calculette).

Meta monte déjà au créneau, et rétorque que ces conclusions du régulateur "*ne prennent pas correctement en compte les mesures significatives que nous avons prises pour protéger les ados *". Évidemment !

Tout ceci ne date pas d'hier puisque la procédure est ouverte depuis mai 2024 mais Bruxelles tape sur plusieurs fronts. Le volet vérification d'âge des moins de 13 ans a déjà eu ses conclusions, celui sur les effets "rabbit hole" des recommandations tourne encore, et TikTok avait déjà goûté à la fessée avec sa version rémunérée .

Perso, je ne crois pas une seconde que Meta coupe le scroll infini par défaut sans se battre durant des années mais je suis quand même content de voir que ça bouge un peu sur ce qu'on appelle l'économie de l'attention dont on est tous victimes.

Bref, la prochaine fois que vous vous réveillez à 1h du mat' à regarder une critique ciné chiante ou un gars qui vous parle de ses montres de luxe alors que vous n'avez pas un rond, dites-vous que l'Europe viendra bientôt vous sauver !

Source

  • ✇Korben
  • EVE Online - 30 dépôts MIT sur GitHub, dont un qui ne compile pas
    8 825 joueurs qui se canardent au même endroit, sur un seul serveur, pendant 14 heures. C'était en 2020 dans le système FWST-8 d'EVE Online, et le moteur qui a encaissé ça s'appelle Carbon. Et si je vous cause de ça c'est parce que Fenris Creations (le studio du jeu, ex-CCP Games) vient de le poser sur GitHub , en licence MIT, gratuit ! Au fil des mois, ils ont ainsi mis en ligne 33 dépôts à cloner, dont 30 sous licence MIT. Vous y trouvez Trinity, le moteur de rendu, Destiny , qui simule la phy

EVE Online - 30 dépôts MIT sur GitHub, dont un qui ne compile pas

Par : Korben ✨
10 juillet 2026 à 17:04

8 825 joueurs qui se canardent au même endroit, sur un seul serveur, pendant 14 heures. C'était en 2020 dans le système FWST-8 d'EVE Online, et le moteur qui a encaissé ça s'appelle Carbon. Et si je vous cause de ça c'est parce que Fenris Creations (le studio du jeu, ex-CCP Games) vient de le poser sur GitHub , en licence MIT, gratuit !

Au fil des mois, ils ont ainsi mis en ligne 33 dépôts à cloner, dont 30 sous licence MIT. Vous y trouvez Trinity, le moteur de rendu, Destiny , qui simule la physique et calcule les trajectoires de vos vaisseaux, et même une bibliothèque C++ dédiée au calcul d'itinéraire sur la carte du jeu. Du code qui tourne en production depuis 20 ans.

Et ça se monte tout seul puisque le README de Trinity dit simplement ceci : "*Compilez en utilisant le fichier CMakeLists.txt fourni à la racine du dépôt. *".

Un moteur de rendu avec 20 ans de production dans les pattes et pas une seule dépendance planquée, c'est fou.

Par contre, Destiny, lui, c'est le meuble en kit livré sans le sachet de vis. Son README prévient : "Pour compiler la bibliothèque, vous devez avoir accès à Perforce, car c'est là que se trouvent certaines de nos dépendances."

Pour vous la faire courte, chez vous, ça ne compilera pas, donc.

Car le 8 juillet, un développeur a ouvert l'issue #5 pour demander gentiment la liste des dépendances liées à Perforce et jusqu'à aujourd'hui, c'est resté sans réponse. Donc non, vous ne monterez pas votre serveur EVE privé ce week-end car l'économie du jeu et l'infrastructure serveur ne sont pas dans les cartons.

Alors pourquoi maintenant ??? Eh bien en mai, le studio a repris son indépendance en se rachetant 120 millions de dollars à Pearl Abyss, et il prépare EVE Frontier, un MMO de survie spatiale qu'il annonce "personnalisable, adapté au joueur". Donc "ouvrir la maison", ça prépare le terrain...

En tout cas, je trouve que ça nous change des jeux qu'on libère une fois morts, comme Arma Cold War Assault, dont Bohemia a ouvert le code pour ses 25 ans . Et vu ce que les moddeurs sortent sans même avoir le code ( un type a collé un mode multijoueur dans le Witcher 3 , j'vous rappelle ^^), avec les sources sous la main ça va être drôle.

Merci Emmanuel pour le lien !

Source

  • ✇Korben
  • Fiber Memory - Stocker la mémoire d'une IA dans 1 000 km de fibre optique
    Accrochez-vous parce que celle-là, elle est bien barrée ! Des chercheurs de l'université d'Uppsala veulent stocker la mémoire d'une IA... dans de la lumière. Leur projet Fiber Memory fait tourner les données d'un LLM en boucle dans 1 000 km de fibre optique, et les puces se servent au passage ! Pour comprendre le délire, il faut voir comment ça marche aujourd'hui. Dans un gros data center IA, chacune des 10 000 puces de calcul (des accélérateurs, en gros des GPU) garde sa propre copie complète d

Fiber Memory - Stocker la mémoire d'une IA dans 1 000 km de fibre optique

Par : Korben ✨
10 juillet 2026 à 16:28

Accrochez-vous parce que celle-là, elle est bien barrée ! Des chercheurs de l'université d'Uppsala veulent stocker la mémoire d'une IA... dans de la lumière. Leur projet Fiber Memory fait tourner les données d'un LLM en boucle dans 1 000 km de fibre optique, et les puces se servent au passage !

Pour comprendre le délire, il faut voir comment ça marche aujourd'hui. Dans un gros data center IA, chacune des 10 000 puces de calcul (des accélérateurs, en gros des GPU) garde sa propre copie complète du modèle dans sa mémoire embarquée, la HBM . Un Llama 3 70B compressé pèse 70 Go, ce qui donne 700 To de mémoire hors de prix pour stocker 10 000 fois exactement la même chose.

Vous qui râlez déjà quand un modèle ne tient pas sur votre matériel , imaginez le même casse-tête multiplié par 10 000.

La solution d'Hannah Atmer et de son équipe, c'est le tapis roulant à sushis. Un serveur unique injecte 128 Go de données dans la boucle (les poids du modèle, plus un peu de marge), et tout ça défile en continu à 25,6 To/s. Chaque puce attrape alors les plats qui l'intéressent quand ils passent devant elle, et le tour complet prend 5 ms !

La topologie retenue : un seul serveur de poids alimente la boucle, les pods se servent au passage. Schéma tiré du papier d'Atmer, Voigt, Yao et Kaxiras.

Concrètement, chaque châssis prélève 1 % de la lumière qui circule et laisse filer le reste vers les copains d'après. Pas de requête, pas d'adresse mémoire, juste un péage optique qui pique sa part au passage.

Le prélèvement en détail : un splitter 99:1 détourne 1 % de la puissance optique vers le pod, le reste poursuit sa route et se fait ré-amplifier.

Et le plus dingue, c'est que cette idée de génie a 80 ans ! Les premiers ordinateurs des années 40 stockaient déjà leurs données sous forme d'ondes qui tournaient en rond dans des tubes de mercure, la fameuse mémoire à ligne de délai . On avait déjà croisé des mémoires franchement bizarres , mais celle-ci place la barre très haut.

Évidemment, y'a des conditions à respecter... Ça ne marche que pour des données qui ne changent jamais et que tout le monde se partage, comme les poids d'un modèle déjà entraîné (les calculs en cours restent dans une petite mémoire locale classique). Et si une puce rate son sushi, elle attend 5 ms que le tapis fasse un tour complet... une éternité pour un GPU.

Côté conso, leurs calculs annoncent 284,8 kW pour la livraison des poids, contre 1 024 kW avec la HBM classique. Presque 4 fois moins ! Bon, la comparaison avantage un peu leur bébé (le scénario fibre répartit les poids entre les 8 puces d'un châssis, quand la référence garde une copie entière par puce), mais l'ordre de grandeur reste violent.

Par contre, tout ça n'existe encore que sur le papier. Les briques sont là, entre les commutateurs Spectrum-X Photonics de NVIDIA qui causent déjà en lumière et la HBM3e de Micron qui dépasse 1,2 To/s par pile, mais personne n'a encore assemblé le puzzle. Et il faudrait quand même réussir à caser 280 amplificateurs sur la boucle, plus quelque 3 500 amplis et 1 750 régénérateurs autour des pods...

Reste à voir si le bilan énergétique survit à un vrai prototype !

Source

  • ✇Korben
  • Chat Control - 314 contre, 112 absents, et le texte passe
    314 députés européens ont voté jeudi pour enterrer Chat Control et 276 ont voté pour le garder. Et c'est quand même passé OKLM. Et oui, pas la peine de vous frotter les yeux, je vais vous expliquer tout ça. En seconde lecture, le Parlement a besoin d'une majorité absolue de ses membres pour rejeter un texte du Conseil, soit 360 voix. Et cette "majorité", c'est pas une majorité des présents dans l'hémicycle, mais une majorité d'élus, absents compris. Du coup les 314 sont tombés à 46 voix du compt

Chat Control - 314 contre, 112 absents, et le texte passe

Par : Korben ✨
10 juillet 2026 à 10:59

314 députés européens ont voté jeudi pour enterrer Chat Control et 276 ont voté pour le garder.

Et c'est quand même passé OKLM.

Et oui, pas la peine de vous frotter les yeux, je vais vous expliquer tout ça. En seconde lecture, le Parlement a besoin d'une majorité absolue de ses membres pour rejeter un texte du Conseil, soit 360 voix. Et cette "majorité", c'est pas une majorité des présents dans l'hémicycle, mais une majorité d'élus, absents compris.

Du coup les 314 sont tombés à 46 voix du compte, 17 députés se sont abstenus, et 112 qui n'ont pas pris part au vote ont terminé le boulot à leur place puisque leur chaise vide valait pour un oui.

Je rappelle quand même que ces 112 là touchent 359 euros d'indemnité journalière, et qu'il leur suffit de signer un registre le matin pour encaisser leur thune. Je pense que si ces feignasses d'absentéistes faisaient correctement leur boulot en étant là, au moins pour les choses importantes, on n'aurait pas des problèmes comme ça qui impactent tous les citoyens européens. Ils ne méritent vraiment ni leur poste, ni leurs indemnités de merde.

Maintenant que ça c'est dit, je vous propose qu'on fasse une petite séance de cohérence cardiaque tous ensemble pour se détendre, car y'a quand même un peu de positif dans cette seconde lecture.

Le texte voté, c'est Chat Control 1.0, c'est à dire la dérogation qui autorise les plateformes à scanner volontairement les messages de leurs utilisateurs. Ce n'est donc pas un scan obligatoire, ni des ordres de détection, ni de la vérification d'âge qui vous ferait montrer vos papiers pour ouvrir un compte sur une messagerie. Tout ça, c'est prévu dans Chat Control 2.0, un règlement séparé, qui n'est toujours pas adopté, mais qui revient à l'automne !!

L'autre bonne nouvelle dans notre malheur, c'est que les députés (ceux qui bossent hein, pas les autres paresseux) ont arraché un amendement qui exclut du texte tout ce qui est chiffré de bout en bout. Donc Signal, WhatsApp, iMessage, et les salons Matrix que vous avez pris soin de chiffrer vont passer entre les mailles du filet de Big Brother.

Restent quand même Gmail , Outlook, Discord, Snapchat, iCloud Mail, les publications et les groupes Facebook, et tout ce qui transite en clair sur des serveurs... C'est-à-dire là où vous comme moi, écrivons la plupart de nos trucs.

Cette dérogation "temporaire", Chat Control 1.0, est née en 2021 et a expiré le 3 avril dernier, quand le Parlement avait refusé de la prolonger. Alors le Conseil l'a renvoyée au Parlement et ils veulent maintenant qu'elle coure jusqu'au 3 avril 2028. Ça c'est du bon gros provisoire reconduit à coups de 2 ans... Ce genre de provisoire, moi j'appelle ça du permanent mais bon, bref...

Et le pire, les amis, c'est que ce scan qu'on vous vend comme une protection contre tous les criminels et autres pédophiles nazis terroristes NE FONCTIONNE PAS. Et c'est pas moi qui le dis !

En effet 807 chercheurs et cryptographes dans 37 pays ont signé une lettre ouverte, la quatrième depuis 2023, où ils écrivent qu'il est "tout simplement impossible de détecter, avec un niveau de précision acceptable, les contenus pédopornographiques connus et nouveaux pour des centaines de millions d'utilisateurs.".

C'est donc simplement pas faisable à cette échelle, avec une suffisance de précision. Et les chiffres leur donnent raison puisque quand l'Irish Council for Civil Liberties a épluché les signalements automatiques atterris chez la police irlandaise, à peine 20 % étaient réellement des contenus pédocriminels, et moins de 10 % étaient exploitables par un enquêteur.

Le reste, bah c'est du bruit... Ce sont vos photos de vacances, vos consultations médicales, vos ados qui s'écrivent entre eux. Et chaque faux positif, c'est un inconnu payé pour regarder vos photos à la plage ou vos sextapes. Sans parler des erreurs humaines ou IA qui viendront se glisser là-dedans et qui vous enverront en zonzon pour pédocriminalité pour une photo de Sphinx (les chats sans poil, vous savez) ou autre...

Quatorze pointures de la crypto, dont Ron Rivest, Whitfield Diffie et Bruce Schneier, ont posé le diagnostic dans un document, Bugs in our Pockets où ils expliquent que le scan côté client "ne garantit pas une prévention efficace de la criminalité et n'empêche pas la surveillance".

Et c'est à nous de payer toutes ces conneries avec notre vie privée.

Puis j'sais pas si vous vous souvenez, mais Apple s'y est cassé les dents en public. Ils avaient annoncé un système de détection en août 2021, et des chercheurs ont conçu dans la foulée, des collisions de hash (deux images différentes, même empreinte), qui a poussé Apple à enterrer le projet en décembre 2022 parce qu'ils se sont rendu compte que ce n'était pas suffisamment fiable et efficace.

Reste la question qui nous intéresse tous : Comment se protéger de ce viol de notre vie privée ?

D'abord, débarrassez-vous de deux illusions. Votre VPN ne sert à rien contre ce truc, parce qu'il chiffre le tuyau, mais pas votre message au moment où vos doigts le tapent. Et votre navigation privée non plus.

Le scan côté client en fait, c'est un mouchard qui lit sur votre appareil, avant le chiffrement et ni le VPN ni le chiffrement de bout en bout ne peuvent faire quoi que ce soit si l'application ou le système d'exploitation coopère. Et une app dont vous ne pouvez pas lire le code, bah vous n'avez aucun moyen de savoir ce qu'elle regarde avant d'envoyer.

Ce qui marche vraiment par contre, c'est de foutre le camp des services que ce texte vise, c'est à dire ceux qui ne chiffrent pas de bout en bout. J'avais fait le tour des messageries sécurisées il y a un moment, et où on en est en 2026.

  • Messageries : Signal (AGPL, mais l'inscription réclame toujours un numéro de téléphone, les usernames introduits en 2024 servent juste à ne pas le filer à vos contacts), SimpleX Chat (aucun identifiant utilisateur, ni numéro ni email, c'est le seul), Molly (un Signal durci pour Android, sans les services Google), Briar (pas de serveur du tout, ça passe par Tor, le Wi-Fi local ou le Bluetooth).
  • Mail : Tuta chiffre le corps, le sujet et le nom de l'expéditeur. Mais pas les adresses ni la date (le protocole ne le permet pas). Proton Mail chiffre le sujet et les adresses au repos, sans aller jusqu'au bout en bout, une limite héritée de PGP. Les deux savent quand même envoyer un vrai message chiffré à quelqu'un qui n'est pas chez eux, par mot de passe partagé ou avec PGP. Dans les deux cas vous quittez Gmail, c'est déjà l'essentiel.
  • Chiffrer avant d'envoyer : Cryptomator , age ou GnuPG. Votre fichier part déjà illisible, l'app qui le transporte n'a plus rien à lire. Hop, problème réglé, quelle que soit votre messagerie.
  • Le téléphone : GrapheneOS , uniquement sur Pixel. Le bac à sable durci et les Storage Scopes limitent ce qu'une app peut fouiller. Honnêtement, ça ne bloque rien si c'est l'app elle-même qui scanne. Mais ça réduit la surface.

Tout ceci est parfaitement légal, et non, vous n'avez pas à vous cacher pour le faire. L'article 30 de la LCEN le dit noir sur blanc depuis 2004 : "L'utilisation des moyens de cryptologie est libre."

Sachez seulement que dans une procédure judiciaire, l'article 434-15-2 du code pénal punit le refus de remettre une clé de déchiffrement aux autorités. Vous avez donc le droit de chiffrer, mais pas de mentir au juge.

Le site exitchatcontrol.org recense tout ça et beaucoup plus, service par service, avec les alternatives testées et l'argumentaire qui va avec. Allez y faire un tour, c'est du bon boulot ! Et si vous voulez écrire à votre eurodéputé, fightchatcontrol.eu vous prépare le mail.

exitchatcontrol.org existe en français, avec son encart daté du 9 juillet

Ensuite, pour les recours, je vais être franc avec vous, attaquer le texte devant la Cour de justice de l'UE, ça va être compliqué car depuis l'arrêt Plaumann de 1963, un particulier doit prouver qu'un règlement le touche "individuellement", ce que vous ne pourrez jamais démontrer face à une surveillance de masse qui vise tout le monde pareil.

La vraie porte de sortie est ailleurs je pense. Elle se trouve dans la question préjudicielle, quand une juridiction nationale interroge la Cour. C'est en tout cas comme ça que La Quadrature du Net a fait tomber la conservation généralisée des données en 2020.

Et la Cour européenne des droits de l'homme a déjà tranché sur le chiffrement, dans Podchasov contre la Russie en février 2024 : affaiblir le chiffrement "permettrait apparemment, d'un point de vue technique, de mener une surveillance systématique, générale et sans distinction".

Voilà, maintenant le VRAI rendez-vous, c'est septembre. Le texte de jeudi repart au Conseil, qui a 3 mois pour avaler l'exclusion du chiffrement ou la recracher, auquel cas tout le monde part en conciliation. Et surtout, Chat Control 2.0 reprend à l'automne sous présidence irlandaise, avec le scan obligatoire, la vérification d'âge et la fin de l'anonymat dans le paquet. Devant le même Parlement, avec j'imagine les mêmes branles couilles absents, ceux-là mêmes qui, quand l'Allemagne avait dit non , s'étaient bien gardés de dire quoi que ce soit.

Alors oui, Big Brother a avancé ses pions ce jeudi mais moi ce que je retiens aussi c'est qu'un texte rejeté par la majorité des votants est passé grâce à des chaises vides et ça recommencera en septembre si vous n'allez pas secouer vos députés européens. Trois ans de débats pour en arriver là, avec un truc médiocre qui marche pas et qui met nos démocraties en danger, je trouve ça tellement triste...

Bref, n'oubliez pas, ACTA aussi c'était plié d'avance, jusqu'à ce que tout le monde s'y mette.

Rendez-vous en septembre !

Source

  • ✇Korben
  • StatCounter n'identifie plus 1 visite sur 5 (et ça fausse tout)
    Windows serait passé sous la barre des 60 % de parts de marché. C'est ce qu'on peut lire un peu partout dans la presse tech cette semaine. C'est StatCounter qui le dit avec précisément 56,61 % de Windows comptabilisé en juin 2026. Et juste en dessous, sur la ligne suivante du même tableau, il y a une case bien étrange qui s'appelle "Unknown" et qui est évaluée à 21,45 %. Presque 5 fois Linux ! Et ça, pas grand monde n'en parle... StatCounter compte ce "Unknown" comme un OS, à côté de macOS, de

StatCounter n'identifie plus 1 visite sur 5 (et ça fausse tout)

Par : Korben ✨
10 juillet 2026 à 10:27

Windows serait passé sous la barre des 60 % de parts de marché. C'est ce qu'on peut lire un peu partout dans la presse tech cette semaine. C'est StatCounter qui le dit avec précisément 56,61 % de Windows comptabilisé en juin 2026. Et juste en dessous, sur la ligne suivante du même tableau, il y a une case bien étrange qui s'appelle "Unknown" et qui est évaluée à 21,45 %. Presque 5 fois Linux ! Et ça, pas grand monde n'en parle...

StatCounter compte ce "Unknown" comme un OS, à côté de macOS, de Chrome OS, de Linux et même de la PlayStation, et si vous cliquez sur le petit bouton "Download" de la page Statcounter, le CSV que vous récupérez ne contient aucune case "Unknown". Le site recalcule tout sans elle et dans ce fichier, Windows remonte à 72 % de part de marché.

Du coup, je me suis demandé quelle était la bonne mesure pour connaître la part de Windows sur le desktop. Est-ce que c'est 56,61 % en comptant les visiteurs non identifiés comme un système d'exploitation, ou 72 % en ne les comptant pas. Si vous faites la division vous-même, 56,61 sur 78,55 (100 − 21,45 = 78,55) donne bien les 72 % du CSV.

Et là, si vous comparez avec l'an dernier, vous verrez qu'en juin 2025, Windows était à 70,13 % dans ce tableau, et "Unknown" à 9,17 %.

Et 12 mois plus tard, v'la ti pas que Windows perd un peu plus de 13 points et la case des non-identifiés en gagne 12. Étrange non ?

Les 2 courbes sont presque symétriques ( Source : StatCounter )

Mais la domination de Microsoft s'effrite quand même, car même sur la base ils sont passés de 77,22 % à ces 72 % en un an. Donc y'a bien une tendance, mais ça n'a rien de l'effondrement annoncé partout. Linux, lui, grimpe de 4,50 % à 5,59 % sur cette même base, et le gros gagnant de l'année, c'est Apple, qui passe de 16,90 % à 20,87 % !

Alors qu'est-ce qu'il y a dans cette case Unknown en réalité ? Et bien on ne le sait pas car StatCounter ne dit pas ce qu'il y a dedans. Mais sur Hacker News , les hypothèses tournent autour des scrapers d'IA qui n'envoient pas d'user-agent standard, des bots qui se déguisent en Windows, et des navigateurs qui brouillent votre empreinte .

Mais pour le moment, aucune n'est réellement prouvée. Ce qui est mesurable par contre, c'est que la case des inconnus gonfle... Nous sommes à peine en juillet 2026 et elle est déjà à 23,67 % de part de marché. Perso, ça m'intrigue plus que le podium Windows / Apple / Linux.

Après, le parseur de StatCounter s'est d'ailleurs déjà planté en beauté par le passé. En octobre 2025, il affichait Windows 7 à 9,61 % pour le mois de septembre, contre 0,88 % en juillet et suite à une résurrection / correction aussi miraculeuse que silencieuse, si vous allez regarder la même case aujourd'hui, vous y lirez 1,62 %.

Leur FAQ précise tout de même que les stats restent révisables durant 45 jours donc ces chiffres qu'on voit actuellement peuvent encore bouger jusqu'à la mi-août... On verra bien.

En tout cas, je suis content de voir que la poussée de Linux n'est pas une illusion. La plupart des jeux Windows tournent maintenant sous Proton , Windows 11 continue de refuser les machines trop vieilles , sans parler du fait que Windows 10 est mort et enterré depuis octobre 2025 (même si les rustines de sécurité de l'ESU tiennent encore la baraque jusqu'en octobre 2027...) donc vous avez tous de vraies raisons de bouger.

Bref, Windows baisse, Linux monte mais un cinquième du panel est devenu invisible, et ça c'est louche...

Source

  • ✇Korben
  • OWA Light - Le webmail de secours Exchange passe l'arme à gauche
    OWA Light vit ses derniers mois. Microsoft l'a annoncé le 8 juillet, la déclinaison allégée du webmail d'Exchange Server sera coupée dans une prochaine mise à jour, attendue pour août 2026. Presque 20 ans de service, c'est beau. Il est maintenant temps de prendre sa retraite (Qui a dit : "Toi aussi". Ah vous le connaissez pas OWA Light ? J'ai envie de dire tant mieux pour vous ! OWA (Outlook Web App), c'est le webmail livré avec Exchange, le serveur de messagerie que votre boîte héberge elle-mêm

OWA Light - Le webmail de secours Exchange passe l'arme à gauche

Par : Korben ✨
9 juillet 2026 à 15:05

OWA Light vit ses derniers mois. Microsoft l'a annoncé le 8 juillet, la déclinaison allégée du webmail d'Exchange Server sera coupée dans une prochaine mise à jour, attendue pour août 2026. Presque 20 ans de service, c'est beau. Il est maintenant temps de prendre sa retraite (Qui a dit : "Toi aussi".

Ah vous le connaissez pas OWA Light ? J'ai envie de dire tant mieux pour vous !

OWA (Outlook Web App), c'est le webmail livré avec Exchange, le serveur de messagerie que votre boîte héberge elle-même (parfois dans un placard qui chauffe). Et la version Light, arrivée avec Exchange 2007, dépannait tous les oubliés du web de l'époque tels que les navigateurs privés d'Internet Explorer (coucou Firefox 1.5, Safari, Opera), les connexions poussives et les lecteurs d'écran.

OWA Light, figée dans son jus depuis Exchange 2007

Alors pourquoi tout couper ???

Eh bien c'est parce que chaque couche de compatibilité, c'est du code en plus à surveiller face aux menaces web actuelles, pour un machin que plus personne n'utilise (ou presque). L'équipe Exchange ne s'en cache pas dans son annonce , retirer le client léger va "réduire la surface des systèmes hérités, simplifier les travaux d'ingénierie en cours" sans oublier l'oraison funèbre qui va bien : "OWA Light a été une expérience importante en matière de compatibilité à un moment où le Web en avait besoin".

Du coup, qui est concerné ? Eh bien si vous êtes sur Exchange SE, son successeur avec abonnement, la mise à jour d'août 2026 fera le ménage directement chez vous, et vos utilisateurs basculeront tous vers Outlook on the web, la version moderne, sans option de repli.

Par contre, si vous vous traînez encore une version 2016 ou 2019, ce n'est pas une surprise car ça avait été annoncé par Microsoft en août 2024. Du coup, ce n'est plus pris en compte dans le support depuis octobre 2025, donc il n'y a plus de patch. Mais soyez rassurés, cette mise à jour ne viendra jamais rien couper chez vous, donc vous pouvez rester comme ça à la merci des failles de sécurité ou faire la mise à jour à la main.

Pour la mise à jour, c'est assez simple :

Set-OwaMailboxPolicy -OwaLightEnabled $false
Set-OwaVirtualDirectory -LogonPageLightSelectionEnabled $false

La première commande désactive totalement l'interface via la politique de boîte aux lettres, en précisant bien sûr le nom de la vôtre (C'est Powershell qui vous le réclamera). Vérifiez ensuite qu'elle est bien assignée à toutes les boîtes avec Set-CasMailbox.

Et la seconde commande retire l'option de la page de connexion. À vous ensuite de faire la chasse à tout ce qui pointe encore vers le webmail de secours dans vos process, genre ce vieux script helpdesk de 2012 ^^.

Bon, enfin bref, même si on savait que ça allait arriver, tout ça tombe dans des mois déjà bien sportifs côté Exchange, entre la grosse panne Microsoft 365 et le correctif qui cassait les règles de transport ... Mais c'est pour le bien de tous, car moins de code legacy, c'est moins de trucs qui vous pètent à la figure un vendredi soir !

Bref, prévenez les irréductibles de la version Light qui travaillent avec vous, que c'est le moment de lui faire un petit bisou et de lui dire au revoir !

Source

  • ✇Korben
  • DuckDuckGo zappe les pubs YouTube
    Alors ça, Google va adorer ! En effet, depuis hier (le 8 juillet), le navigateur DuckDuckGo bloque les pubs YouTube tout seul comme un grand. Le pre-roll interminable avant votre tuto Docker , la double coupure en plein milieu d'un unboxing, ou encore la pub pour une appli de casino que vous n'avez jamais demandée... tout dégage, en mode par défaut sans avoir besoin d'ajouter une extension. iOS, Windows et Mac sont servis d'office, et sur Android ça s'active à la main dans Settings > Ad Block

DuckDuckGo zappe les pubs YouTube

Par : Korben ✨
9 juillet 2026 à 13:27

Alors ça, Google va adorer ! En effet, depuis hier (le 8 juillet), le navigateur DuckDuckGo bloque les pubs YouTube tout seul comme un grand. Le pre-roll interminable avant votre tuto Docker , la double coupure en plein milieu d'un unboxing, ou encore la pub pour une appli de casino que vous n'avez jamais demandée... tout dégage, en mode par défaut sans avoir besoin d'ajouter une extension.

iOS, Windows et Mac sont servis d'office, et sur Android ça s'active à la main dans Settings > Ad Blocking (le par défaut arrive bientôt).

Le canard américain ne réinvente rien puisqu'il embarque tout simplement les listes de filtres communautaires du projet uBlock Origin , mises à jour régulièrement pour suivre les parades de la régie pub de Google.

Sur son blog , ils annoncent donc que leur fonctionnalité bloque la "plupart" des publicités. Donc pas 100% et ils préviennent qu'un peu de buffering peut également apparaître au lancement d'une vidéo. Ouais ça c'est la petite astuce de Google pour contrarier les utilisateurs d'AdBlocker...

Mais une fois la lecture partie, plus d'interruption !

Sur ordi, vous verrez une petite icône vidéo à côté du bouclier vert dans la barre d'adresse, c'est là que ça se pilote.

Le réglage Ad Blocking, planqué dans le menu du navigateur

Sur mobile, je le précise encore parce que ça ne coule pas de source pour tout le monde, c'est seulement si vous ouvrez YouTube dans le navigateur DDG. L'application YouTube officielle , elle, continuera de vous balancer des tunnels de pubs tranquillement.

Et si vous utilisez déjà Duck Player , le mode théâtre sans cookies de pistage, les 2 fonctionnent ensemble sans se marcher dessus.

Bon, les blasés de la vie me diront que Brave fait ça nativement depuis des années et c'est vrai. Mais ce qui est intéressant ici, c'est que c'est un blocage activé par défaut pour madame et monsieur Tout-le-monde, sur un navigateur qui se télécharge gratuitement . Le blocage de pub n'est plus une bidouille de geek, mais c'est devenu un argument marketing pour "vendre" son navigateur.

Du coup, dans le bras de fer entre YouTube et les bloqueurs de pubs , qui s'est durci depuis fin 2023 à coups d'avertissements, de ralentissements volontaires et de lectures bloquées, je pense que la riposte de Google ne va pas tarder donc préparez les popcorns.

Mais quoi qu'il en soit, c'est encore un coup dur pour les youtubeurs. Bon, il restera toujours la possibilité de faire des segments sponsorisés directement dans la vidéo... Ah mais non, oups, c'est vrai, il y a SponsorBlock qui se débarrasse de ça aussi. Ouin !

Mais alors qu'est-ce qu'on va devenir, nous, les créateurs de contenu ?

Eh bien c'est simple. Si vous aimez bien ce qu'on fait, faut nous soutenir. Moi, par exemple, j'ai un Patreon et il y a plein de gens dessus qui me soutiennent, ce qui est super cool, j'ai vraiment beaucoup de chance. Et je les remercie tous.

J'encourage les autres créateurs de contenu à faire pareil, y compris les YouTubers, à mettre en place ce genre de système. Et sachez qu'on n'est pas obligé de se prendre la tête avec des contreparties...etc parce qu'on n'a pas vraiment le temps, on a déjà beaucoup de choses à faire. L'important c'est d'être transparent avec votre communauté, vous dites juste que c'est pour continuer à faire ce que vous faites d'habitude, c'est pour continuer à faire tourner la chaîne dans la joie, la bonne humeur et ça devrait très bien se passer.

Moi mon rêve c'est qu'un jour le Patreon ramène suffisamment d'argent pour que je puisse me passer à 100% de partenaires pub. Un jour peut-être, on verra bien.

Source

  • ✇Korben
  • Tuta veut déménager vos 22 ans de Gmail sans rien perdre
    Quitter Gmail, c'est vrai, tout le monde y pense. Pour ma part, c'est fait depuis très longtemps, mais c'est vrai qu'abandonner des années et des années de mails, de factures, de photos, etc., tout ce qu'on a reçu, il n'y a personne qui est très motivé pour ça. Alors il y a bien sûr des possibilités de transférer, mais c'est toujours un peu la galère. Toutefois, j'ai une bonne nouvelle pour vous. Il y a Tuta qui vient de dégainer One-Click Migration , un outil de migration automatique de votre a

Tuta veut déménager vos 22 ans de Gmail sans rien perdre

Par : Korben ✨
9 juillet 2026 à 13:05

Quitter Gmail, c'est vrai, tout le monde y pense. Pour ma part, c'est fait depuis très longtemps, mais c'est vrai qu'abandonner des années et des années de mails, de factures, de photos, etc., tout ce qu'on a reçu, il n'y a personne qui est très motivé pour ça. Alors il y a bien sûr des possibilités de transférer, mais c'est toujours un peu la galère.

Toutefois, j'ai une bonne nouvelle pour vous. Il y a Tuta qui vient de dégainer One-Click Migration , un outil de migration automatique de votre ancienne boîte, pour l'instant en bêta fermée.

Si vous débarquez, Tuta c'est anciennement TutaNota et c'est une messagerie allemande qui chiffre tout de bout en bout par défaut. Et sa nouvelle fonction permet de lier votre ancienne boîte mail, donc ça peut être Gmail, Outlook, tout ce qui cause en IMAP. Et une fois que c'est fait, tout l'historique de vos e-mails se déverse dans Tutamail, avec même la structure des dossiers qui est répliquée à l'identique.

Et ce n'est pas juste un simple import puisque la synchro tourne ensuite en continu à sens unique. Ça veut dire qu'un nouveau mail qui arrive dans votre Gmail atterrira aussi dans votre nouvelle boîte tuta. Tant que vous n'avez pas coupé ce lien ou fermé l'ancien compte, les mails seront acheminés de manière tout à fait transparente. Et vous pourrez les ranger par exemple dans un dossier dédié type "Archives" si vous préférez repartir vraiment sur un compte propre.

Maintenant côté sécurité, c'est comme d'hab avec Tuta, c'est du solide. Le chiffrement se fait directement sur votre ordinateur avant même que vos vieux e-mails ne partent chez eux sur leur serveur. Donc comme ça, il n'y a rien qui se balade en clair sur les serveurs. Tout ce que vous faites chez TUTA est chiffré en respectant des principes de zéro knowledge.

Notez que Proton propose déjà son Easy Switch, avec le même type de connexion continue pour Gmail, mais comme Tuta supporte l'IMAP au complet, ils sont compatibles avec n'importe quel fournisseur. C'est d'ailleurs assez marrant quand on sait que Tuta ne propose pas d'IMAP, de POP3 et ce genre de choses nativement sur ses services... Il faut soit passer par une app dédiée, soit passer par le site web pour accéder à ses emails sur Tuta.

Voilà pour la bonne nouvelle, donc en attendant si l'envie de larguer Gmail comme une vieille chaussette vous démange, sachez que j'ai déjà fait le tour des messageries sécurisées qui tiennent la route . Et pour les impatients, la bonne vieille migration IMAP à la main fonctionne toujours. Ah et en même temps que cette annonce, Tuta en a aussi profité pour annoncer l'arrivée de son application native Tuta Drive sur iOS et Android, pour ceux qui veulent aussi déménager leurs fichiers.

Voilà, la dernière bonne excuse pour rester chez Google vient de sauter ! Je vais surveiller ça de près.

  • ✇Korben
  • Hoodik - Le cloud perso qui n'a jamais vu vos fichiers en clair
    Votre Nextcloud sait tout de vous. L'admin du serveur (vous, ou pire, quelqu'un d'autre) peut ouvrir n'importe quel fichier stocké dessus, parce que le chiffrement de bout en bout reste une option planquée dans un plugin. C'est pourquoi Hoodik , un projet de Tibor Hudik, prend le problème à l'envers. Parce que chez lui, le chiffrement, ce n'est pas une case à cocher, c'est l'architecture au complet. Grâce à sa solution, vos fichiers sont chiffrés dans votre navigateur, avant même de partir sur l

Hoodik - Le cloud perso qui n'a jamais vu vos fichiers en clair

Par : Korben ✨
9 juillet 2026 à 10:04

Votre Nextcloud sait tout de vous. L'admin du serveur (vous, ou pire, quelqu'un d'autre) peut ouvrir n'importe quel fichier stocké dessus, parce que le chiffrement de bout en bout reste une option planquée dans un plugin.

C'est pourquoi Hoodik , un projet de Tibor Hudik, prend le problème à l'envers. Parce que chez lui, le chiffrement, ce n'est pas une case à cocher, c'est l'architecture au complet.

Grâce à sa solution, vos fichiers sont chiffrés dans votre navigateur, avant même de partir sur le réseau, et à aucun moment le serveur ne voit vos fichiers en clair, ni ne reçoit les clés de chiffrement.

Votre clé privée ne quitte donc pas votre machine, et comme ça, même une intrusion sur le serveur ou un vol ne livrera jamais vos fichiers en clair.

L'interface web, sobre et sans fioritures

Et là où beaucoup d'outils chiffrés deviennent pénibles à l'usage, celui-ci garde les trucs du quotidien super pratiques. Y'a du partage entre comptes avec des rôles (lecture, édition, co-propriétaire), des notes Markdown chiffrées avec historique de versions, et même des aperçus photo et vidéo sans rien déchiffrer côté serveur, HEIC de l'iPhone compris.

La recherche fonctionne aussi alors que le serveur ne voit rien… En fait, votre navigateur découpe les noms de fichiers en petits morceaux, les hashe, et le serveur ne compare que ces empreintes, et jamais de texte en clair. Quant au partage public, la clé de déchiffrement voyage dans le fragment de l'URL, cette partie après le # que votre navigateur n'envoie jamais au serveur.

Au niveau de la crypto, le boulot se divise en deux, il y a d'un côté une paire RSA 2048 qui ne sert qu'à faire circuler les clés, et de l'autre, AEGIS-128L qui chiffre vos données, calculé en direct par le navigateur grâce à WebAssembly (du code quasi natif quoi...). Et avant que vous leviez un sourcil sur ce cipher au nom de Pokémon, AEGIS-128L est finaliste de CAESAR, un concours international de crypto, et est en cours de standardisation à l'IETF. Vous pouvez par exemple le retrouver implémenté dans libsodium . C'est du sérieux, donc.

L'autre bonne surprise, c'est le poids plume de l'app. Le serveur est écrit en Rust (Actix-web) avec un front en Vue 3 et il tourne autour de 20 Mo de RAM au repos, alors que votre Nextcloud réclame ses 200 à 500 Mo pour afficher 3 photos de vacances.

Hoodik est dispo sous la forme d'une image docker pour AMD64 et ARM donc vous pouvez l'installer sur n'importe quoi, un Raspberry Pi , un vieux NAS, un vieux PC, ce que vous voulez...

docker run --name hoodik -d \
-e DATA_DIR='/data' \
-e APP_URL='https://my-app.example.com' \
--volume "$(pwd)/data:/data" \
-p 5443:5443 \
hudik/hoodik:latest

Pour vos téléphones, il y a également des applications Android et iOS dont le chiffrement tourne en Rust compilé dans l'appli elle-même (et pas une page web déguisée en application, on a assez donné...). Par contre elles passent en payant après 30 jours d'essai, sans tarif affiché publiquement sur le site... c'est le modèle économique du projet.

Autrement, c'est sous licence Creative Commons, le code est dispo sur GitHub , mais par contre notez bien que l'usage commercial est interdit sans l'accord de l'éditeur. Ajoutez à ça un projet encore jeune et aucun audit de sécurité indépendant publié, contrairement à Cryptomator qui est en GPLv3 et audité. Après ma comparaison s'arrête là par contre, parce que Cryptomator chiffre par-dessus un cloud existant alors que Hoodik c'est vous qui l'hébergez.

Quoi qu'il en soit, pour votre dossier de photos de famille, vos sauvegardes ou vos documents sensibles, le compromis se défend largement. Et si vous voulez explorer d'autres pistes, jetez un œil à OpenCloud pour du Nextcloud-like allégé, ou à Picocrypt pour chiffrer des fichiers à l'unité.

Allez, y'a plus qu'à ressusciter le vieux NAS qui prend la poussière et suivre le guide d'installation pour lancer votre docker compose up.

Votre nuage perso vous attend !

Merci à Camille Roux pour le lien !

  • ✇Korben
  • Firefox dans Docker - Le navigateur jetable pour surfer sans flipper
    On reçoit tous des mails un peu bizarres avec des liens qu'on n'ose pas ouvrir, et pourtant on est curieux, on est tenté parfois... C'est difficile de résister mais heureusement l'équipe de Linuxserver.io a pondu un truc super pour ça. Il s'agit tout simplement d'une instance de Firefox qui tourne dans un conteneur Docker et qui est totalement pilotable depuis votre navigateur habituel. Comme ça, quand vous recevez un lien louche que vous voulez ouvrir, vous le mettez là-dedans, dans une session

Firefox dans Docker - Le navigateur jetable pour surfer sans flipper

Par : Korben ✨
9 juillet 2026 à 08:42

On reçoit tous des mails un peu bizarres avec des liens qu'on n'ose pas ouvrir, et pourtant on est curieux, on est tenté parfois... C'est difficile de résister mais heureusement l'équipe de Linuxserver.io a pondu un truc super pour ça.

Il s'agit tout simplement d'une instance de Firefox qui tourne dans un conteneur Docker et qui est totalement pilotable depuis votre navigateur habituel.

Comme ça, quand vous recevez un lien louche que vous voulez ouvrir, vous le mettez là-dedans, dans une session jetable qui est totalement coupée de votre vraie machine. Et comme ça, si ça part en couille, vous butez le conteneur et on n'en parle plus.

Voilà, ça se présente juste comme une page HTTPS avec un navigateur dedans. Et comme c'est LinuxServer qui maintient l'image, vous êtes tranquilles parce que c'est du sérieux.

L'avantage d'avoir ce truc, c'est qu'un Firefox en conteneur ne voit ni votre répertoire personnel, ni vos cookies, ni vos sessions Google, ni vos extensions, absolument rien, il est totalement isolé. Donc si un site tente un drive-by download ou un exploit navigateur, eh bien en principe les dégâts resteront coincés dans le conteneur. Et le simple fait de le redémarrer remettra tout à 0.

Attention quand même, un conteneur, ce n'est pas une machine virtuelle. Une vulnérabilité au niveau du noyau pourrait en théorie s'en échapper. Mais c'est pas le genre d'attaque qui se fait avec juste un clic douteux sur une page web.

Les chercheurs en sécu s'en servent pour ouvrir des pièces jointes chelou, les marketeux pour jongler avec 12 comptes ad sans cookie cross-tracking , et les paranos dans mon genre pour cliquer sur les liens des mecs bizarres de Discord sans rien flinguer chez eux..

Après y'a des petits inconvénients. Je pense aux perfs graphiques qui prennent une claque par rapport à un Firefox natif ou encore l'audio qui transite par le pipeline du navigateur, du coup ça crachote parfois sur les vidéos lourdes. Le copier-coller marche, mais en passant par la section presse-papiers de la barre latérale Selkies , pas en direct. Et la persistance ne tient que si vous mappez le volume /config comme il faut, sinon vos onglets et vos bookmarks gicleront dès que le conteneur sera recréé (à la première mise à jour d'image, typiquement).

Côté vie privée c'est plutôt une qualité mais pour un usage quotidien, ça peut devenir relou.

Installation en une commande

L'image officielle, c'est lscr.io/linuxserver/firefox:latest. Elle tourne sur Selkies depuis juin 2025 (avant c'était KasmVNC) et démarre en Wayland par défaut depuis mars 2026. Maintenant, si un site part en vrille à cause de ça, vous ajoutez le paramètre PIXELFLUX_WAYLAND=false à la commande Docker et vous serez de retour en X11.

La commande minimale ressemble à ça :

docker run -d \
--name=firefox \
-e PUID=1000 \
-e PGID=1000 \
-e TZ=Europe/Paris \
-e LC_ALL=fr_FR.UTF-8 \
-p 3001:3001 \
-v $HOME/firefox-config:/config \
--shm-size=1gb \
--restart unless-stopped \
lscr.io/linuxserver/firefox:latest

Le --shm-size=1gb, c'est la mémoire partagée de Docker et vous n'y couperez pas, désolé. Si vous le zappez, YouTube comme les sites un peu lourds vous planteront le navigateur. Le port 3001, c'est l'accès HTTPS, avec un certificat auto-signé qui fera râler votre Firefox principal (c'est normal, faut l'accepter). Y'a aussi un port 3000, mais lui c'est du HTTP en clair, à réserver derrière un reverse proxy genre SWAG et rien d'autre.

Ensuite, direction https://localhost:3001/ et un joli Firefox vous attend. Notez que par défaut, il n'y a AUCUNE authentification. Personne ne vous demande rien, alors si vous voulez l'exposer sur votre réseau, définissez bien un CUSTOM_USER et PASSWORD pour activer le basic auth avant qu'un petit malin de votre réseau ne tombe dessus.

La version docker-compose, plus propre

Envie d'un setup versionnable, que vous pouvez reproduire ailleurs sans réfléchir ? Le compose fait ça mieux :

---
services:
firefox:
image: lscr.io/linuxserver/firefox:latest
container_name: firefox
environment:
- PUID=1000
- PGID=1000
- TZ=Europe/Paris
- LC_ALL=fr_FR.UTF-8
- CUSTOM_USER=korben
- PASSWORD=changezmoi
- HARDEN_DESKTOP=true
- HARDEN_OPENBOX=true
volumes:
- ./firefox-config:/config
ports:
- 3001:3001
shm_size: "1gb"
restart: unless-stopped

Ensuite, un docker compose up -d et roulez jeunesse. Le volume ./firefox-config conserve votre profil entre deux redémarrages avec bookmarks, extensions installées depuis le store Mozilla, tout reste en place.

Et si vous avez envie de repartir de zéro, on met le dossier à la poubelle, on relance, et voilà. Et pour glisser des outils tiers dans le conteneur (filezilla, un éditeur, ce genre de bidule), [proot-apps install](https://github.com/linuxserver/proot-apps) les posera dans $HOME, où ils survivront aux mises à jour de l'image.

Le hardening qu'il faut absolument activer

Maintenant, le piège que la doc évoque du bout des lèvres et qui mérite d'être écrit en gros c'est que l'interface web embarque un terminal avec sudo passwordless . Traduction : quiconque accède à votre Firefox conteneurisé devient root dans le conteneur en deux clics. Exposez ça sur votre réseau, ou pire sur Internet, sans durcir le machin, et vous ouvrez un boulevard.

La parade tient en une variable : **HARDEN_DESKTOP=true**, qui pose les principaux verrous d'un coup. Ça coupe sudo, ça vire les terminaux, et ça bloque xdg-open et exo-open, qui pourraient lancer des trucs hors conteneur. Vous pouvez empiler ça avec HARDEN_OPENBOX=true par-dessus, histoire de neutraliser les raccourcis clavier dangereux genre Alt+F4, de désactiver le clic droit et de masquer le bouton de fermeture. Firefox reste parfaitement utilisable, mais impossible de s'évader pour faire mumuse avec le système derrière.

Et pour une exposition sur Internet, le basic auth CUSTOM_USER/PASSWORD ne suffira pas car c'est trop léger. Moi ce que je vous recommande, c'est de coller le tout derrière un reverse proxy SWAG avec une vraie couche OAuth2 ou Authelia. Le basic auth, gardez-le pour le LAN entre potes ou collègues de confiance, mais pas au-delà.

SealSkin, le bonus qui change tout

SealSkin , c'est la cerise sur le conteneur ^^. C'est une extension navigateur, dispo pour Chrome et Firefox, qui monte la garde sur votre navigateur principal et détourne ce qui sent mauvais vers le conteneur isolé. Un lien repéré comme suspect ? Hop, il s'ouvre direct dans le Firefox conteneurisé. Pareil pour les téléchargements, qui atterrissent dans le conteneur au lieu de finir sur votre machine.

Du coup, l'isolation devient un réflexe permanent au lieu d'un machin que vous activez à la main quand vous y pensez (c'est-à-dire jamais). Seule contrainte par contre, faudra héberger le serveur SealSkin vous-même, et installer l'extension dans votre vrai Firefox. Mais vous verrez, après quelques jours à ce régime, vous aurez du mal à faire autrement.

Et sur tablette ou mobile ?

J'imagine que vous comptiez sur l'ancien tag kasm pour le tactile ? Eh bien c'est raté, puisque LinuxServer l'a déprécié début juillet. En échange, la barre latérale Selkies embarque désormais un trackpad virtuel et un clavier à l'écran, donc de quoi rendre l'interface utilisable depuis un iPad ou un smartphone sans bidouille en plus. On reste loin, c'est vrai, du confort d'un vrai desktop, et taper Ctrl+Tab au doigt c'est toujours la misère, mais pour dépanner ça fait le job.

Et voilà, votre Firefox jetable vit désormais dans son petit conteneur, bien au chaud. Comme ça, le prochain lien douteux, vous l'ouvrirez sans trembler... pour tester des sites au calme, difficile de trouver mieux, je pense.

  • ✇Korben
  • Tecno, itel et Infinix cachent un mouchard système impossible à virer
    Si vous lisez ça depuis Abidjan, Dakar, Douala ou Kinshasa, y'a une chance sur deux que votre téléphone soit un Tecno, un Infinix ou un itel. Trois marques, mais un seul patron : Transsion, qui trône sur près de la moitié des smartphones vendus en Afrique. Et si je vous parle de ça aujourd'hui, c'est parce qu'un chercheur en sécu, Buchodi, vient de décortiquer ce que ces appareils racontent dans votre dos et c'est pas joli, joli. Son terrain de jeu, c'est un Tecno Spark 40 tout ce qu'il y a de b

Tecno, itel et Infinix cachent un mouchard système impossible à virer

Par : Korben ✨
9 juillet 2026 à 08:10

Si vous lisez ça depuis Abidjan, Dakar, Douala ou Kinshasa, y'a une chance sur deux que votre téléphone soit un Tecno, un Infinix ou un itel. Trois marques, mais un seul patron : Transsion, qui trône sur près de la moitié des smartphones vendus en Afrique.

Et si je vous parle de ça aujourd'hui, c'est parce qu'un chercheur en sécu, Buchodi, vient de décortiquer ce que ces appareils racontent dans votre dos et c'est pas joli, joli.

Son terrain de jeu, c'est un Tecno Spark 40 tout ce qu'il y a de banal. En rétro-ingénierant le firmware, il tombe sur un framework maison signé Transsion, baptisé Athena pour la collecte et oneID pour le pistage entre applis. On n'est pas sur une appli lambda que vous auriez installée, mais un truc costaud câblé au niveau du système, avec les pleins pouvoirs.

Et ce qu'il remonte, c'est du lourd ! Votre position GPS précise, les antennes-relais autour de vous, la consommation réseau appli par appli sur une soixantaine d'applis, quelle appli est affichée à l'écran en temps réel, et même quelle appli vient d'allumer la caméra (pas ce que filme la caméra, hein, juste le fait qu'une appli l'ait activée).

Ensuite, tout ça part vers des domaines en shalltry.com et transsion-os.com. Shalltry, c'est la branche logicielle de Transsion, et les serveurs tournent sur du cloud loué en Europe.

Donc c'est de la télémétrie++ qui part chez le fabricant, mais le gros souci, c'est qu'on ne peut rien désactiver ni désinstaller facilement. C'est vraiment une brique essentielle du téléphone reposant sur le SDK du constructeur. Ça prend racine dans l'application Réglages (pour les paramètres), l'interface système, et surtout dans un module assez discret nommé com.hoffnung qui est bardé de permissions flippantes comme lire le presse-papier en arrière-plan, connaître toutes les applis installées, forcer l'arrêt des autres.

Alors oui, c'est chiffré avec un bon vieux AES, sauf que ça ne sert pas à grand chose parce que la clé de déchiffrement est planquée dans le code de l'application elle-même. Autrement dit, quiconque met la main sur le fichier récupère la clé avec, et peut tout ouvrir. Le chiffrement n'est là que pour faire un peu de camouflage afin que vous ne puissiez pas voir facilement ce qui sort de votre poche. Mais ce n'est absolument pas de la confidentialité.

Et malheureusement, ça ne s'arrête pas à votre smartphone puisque ce même SDK se balade aussi dans des applications grand public très très populaires en Afrique comme Boomplay (100 millions de téléchargements et des poussières), StarTimes ou Orange Max it. Du coup, même avec un mobile d'un autre fabricant, vous pouvez trimballer ce mouchard sans le savoir.

Alors oui, c'est vrai, tous les smartphones font de la télémétrie. Google, Apple, Samsung, Xiaomi, tout le monde collecte des trucs, et des centaines d'applis passées au crible violaient déjà le RGPD début 2026. C'est déjà pas normal, mais ça peut normalement se désactiver assez facilement. Mais dans le cas de Transsion, c'est fait au niveau système, c'est totalement invisible et la destination est très opaque...

Puis surtout, ça concerne la moitié du continent !

Notez que ce n'est pas la première fois que les constructeurs chinois low cost se font choper puisqu' en 2016 déjà, une backdoor chinoise se planquait dans le firmware de smartphones low-cost et balançait contacts et SMS toutes les 72 heures. Plus récemment, il y a eu aussi un malware qui s'appelle Triada et qui a été préinstallé sur environ 53 000 Tecno W2 vendus en Éthiopie, au Ghana ou encore au Cameroun avec, s'il vous plaît, des abonnements souscrits totalement à l'insu de leur propriétaire.

C'était des composants différents à chaque fois, mais le motif se répète.

Alors que faire les amis ? Eh bien la bonne nouvelle, c'est qu'on peut quand même bloquer 2-3 trucs pour les empêcher de remonter des infos. Vu que tout transite par ces fameux domaines, il suffit de bloquer *.shalltry.com (et *.transsion-os.com tant qu'à faire) au niveau DNS.

Ça se fait facilement avec un NextDNS, un AdGuard ou un Pi-hole à la maison, ou directement sur le téléphone avec cette application qui s'appelle Personal DNS Filter , et comme ça, la télémétrie se retrouve isolée sans toucher au reste.

Par contre, ça ne sert à rien d'aller trifouiller les réglages du téléphone parce que ce n'est pas désactivable à partir de là. Désolé.

Source

  • ✇Korben
  • Vos vieux disques Mac chiffrés ont une date de péremption
    Snif, snif, macOS 28 ne lira plus vos disques chiffrés en Mac OS Étendu . C'est écrit dans un document de support Apple publié le 7 juillet, alors si vous stockiez là-dessus vos photos de 2014, vos factures, votre mémoire de fac ou une sauvegarde Time Machine chiffrée de l'ancienne époque, bah c'est grave le moment de vous en occuper. Pas de panique cela dit, seul le chiffrement dégage. Un volume HFS+ non chiffré restera donc lisible sous macOS 28 et après. Ce qui part à la benne, c'est surtout

Vos vieux disques Mac chiffrés ont une date de péremption

Par : Korben ✨
8 juillet 2026 à 22:17

Snif, snif, macOS 28 ne lira plus vos disques chiffrés en Mac OS Étendu . C'est écrit dans un document de support Apple publié le 7 juillet, alors si vous stockiez là-dessus vos photos de 2014, vos factures, votre mémoire de fac ou une sauvegarde Time Machine chiffrée de l'ancienne époque, bah c'est grave le moment de vous en occuper.

Pas de panique cela dit, seul le chiffrement dégage. Un volume HFS+ non chiffré restera donc lisible sous macOS 28 et après. Ce qui part à la benne, c'est surtout CoreStorage, la couche qui chiffre ces volumes... Et c'est aussi elle qui fait tourner les Fusion Drives avec lesquels j'aimais bien m'amuser à l'époque. Mais hormis ça, rien ne change.

Et vu qu'APFS est le format par défaut depuis High Sierra en 2017, les disques concernés ont, pour la plupart, grosso modo 9 ans au compteur, donc ce sont des disques d'archives que vous ne branchez jamais j'imagine... jusqu'au jour où vous en avez vraiment besoin évidemment !

Alors pour vérifier si vous êtes concerné, ouvrez l'Utilitaire de disque et regardez le libellé sous le nom de vos volumes externes. S'il affiche "CoreStorage Logical Volume" avec la mention "Encrypted", c'est lui. Et si vous êtes sous macOS 26, le système peut aussi vous envoyer une notification quand il détecte un disque qui ne passera pas le cap. Même si ça fait chier, c'est quand même assez réglo de la part d'Apple de prévenir 1 an à l'avance.

Côté solutions, Apple vous laisse 2 portes de sortie. La douce d'abord... Vous faites un clic droit sur le volume dans le Finder pour le déchiffrer, et si le cœur vous en dit, vous le convertissez ensuite en APFS sans perdre le moindre fichier. Ou alors la radicale ensuite où vous reformatez le volume direct en APFS. Attention hein, ça efface tout, et définitivement donc on sauvegarde bien avant de jouer à ça, les amis ^^.

Apple prévient aussi que le déchiffrement prend beaucoup de temps, spécialement si le volume est gros. Du coup lancez la machine avant d'aller vous coucher, et vous pourrez ensuite faire un petit diskutil cs list dans le Terminal pour savoir où ça en est !

Malheureusement, la méthode douce, vous pouvez l'oublier pour les disques de sauvegarde Time Machine chiffrés. Howard Oakley en parlait déjà sur Eclectic Light Company 3 semaines avant que les gros sites américains ne captent le truc et il a expliqué pourquoi dans son article. En fait, ces vieilles sauvegardes s'appuient sur des liens en dur de répertoires, et c'est un mécanisme qu'APFS ne sait tout simplement pas reproduire.

Du coup, ces sauvegardes-là, c'est impossible de les convertir, donc... il faudra repartir de zéro avec une sauvegarde toute neuve. Rassurez-vous, vos fichiers actuels ne craignent rien. Par contre, tout votre historique de versions restera coincé sur le vieux disque, que vous pourrez encore lire sous macOS 26 et 27, et après, ce sera terminé.

Donc si vous êtes motivé (et avez-vous bien le choix ?), vous branchez vos vieux disques, vous faites des backups, vous checkez le format, vous déchiffrez ou reformatez ce qu'il faut puis vous relancez une sauvegarde propre, que vous pouvez d'ailleurs accélérer avec cette astuce . Allez, un petit week-end là-dessus à le laisser tourner et c'est plié !

Bref, prenez 10 minutes maintenant, plutôt que de vous retrouver dans 1 an devant un disque qui refusera de répondre. Votre moi du futur vous dira merci !!

Source

  • ✇Korben
  • GDID Windows - Coupez le mouchard qui vous traque même sous VPN
    Comme je vous le disais tout à l'heure, en avril 2026, le FBI a coincé un membre présumé de Scattered Spider. Le mec planquait son trafic derrière un VPN, avec des IP dans trois pays différents. Et devinez quoi ? Ce n'est pas une fausse manip qui l'a balancé mais un identifiant que votre Windows se trimballe H24 et que Microsoft refile aux autorités quand elles le demandent : le GDID. Je vous en ai déjà causé dans cet article , et après avoir écrit l'article, je me suis demandé si on pouvait le

GDID Windows - Coupez le mouchard qui vous traque même sous VPN

Par : Korben ✨
8 juillet 2026 à 17:59

Comme je vous le disais tout à l'heure, en avril 2026, le FBI a coincé un membre présumé de Scattered Spider. Le mec planquait son trafic derrière un VPN, avec des IP dans trois pays différents. Et devinez quoi ? Ce n'est pas une fausse manip qui l'a balancé mais un identifiant que votre Windows se trimballe H24 et que Microsoft refile aux autorités quand elles le demandent : le GDID. Je vous en ai déjà causé dans cet article , et après avoir écrit l'article, je me suis demandé si on pouvait le virer.

Du coup j'ai monté une petite VM Windows 11 Pro et j'ai mis les mains dedans en me faisant assister de mon LLM préféré et voilà ce que j'ai trouvé. Ce qui marche, et surtout ce qui ne marche pas du tout, vous allez voir.

Déjà, faut comprendre ce qu'est ce GDID. C'est pas le numéro de série de votre carte mère, c'est pas un hash en lien avec votre matos. Non, c'est un PUID de 64 bits, c'est-à-dire un identifiant que les serveurs de Microsoft collent à votre compte dès que vous ouvrez une session Windows. Il est écrit en clair dans votre registre, votre machine l'enregistre dans un annuaire côté Microsoft, et un service le fait remonter peinard quand c'est nécessaire. Et si vous changez d'IP avec un VPN, bah lui il s'en fout. Le GDID ne bouge pas d'un poil.

Regardez votre propre mouchard en face

On commence par le voir de nos yeux. Ouvrez un PowerShell et collez ça :

$lid=(Get-ItemProperty 'HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties').LID
"g:$([Convert]::ToUInt64($lid,16))"

Sur ma VM, ça m'a craché g:6755487812206045. C'est celui que Microsoft peut raccrocher à tout ce que je fais. (En théorie hein, parce que c'est le code qui est associé à ma VM, donc je m'en fous et c'est pour ça que je vous le montre).

Vous venez de lire l'étiquette qu'on vous a collée dans le dos.

Le supprimer ? Laissez tomber

Réflexe de base, on efface la clé dans la base de registres HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties et hop, plus de mouchard. C'est ce que j'ai testé au début... J'ai shooté la valeur, redémarré le service qui s'en occupe, et là plus rien. Gagné ? Ben non. J'ai ouvert le Microsoft Store durant deux petites secondes, et le GDID est revenu. Et pas un nouveau, hein, LE MÊME !!

C'est ça qui est fou. C'est que votre GDID n'est pas planqué sur votre disque, il est planqué chez Microsoft, bien accroché à votre compte comme une moule à son rocher. Votre PC ne fait que le retélécharger encore et encore. Après si vous réinstallez tout, Windows vous donne un nouveau numéro, d'accord, mais l'ancien et tout ce qui y était rattaché restent tout de même bien au chaud sur leurs serveurs. Le passé, on le récupère jamais...

Couper la télémétrie ne change rien non plus

Un autre conseil qu'on voit partout, c'est de désactiver la télémétrie de Windows. Sur ma VM, le service de télémétrie classique était déjà à l'arrêt. Et pourtant mon GDID était là, bien lisible, et les services qui le font remonter tournaient à plein régime. Le mouchard ne passe pas par la télémétrie que vous croyez couper. Il passe ailleurs, par les services de la plateforme d'appareils connectés et de l'optimisation de distribution.

Vous pouvez donc cliquer sur tous les boutons vie privée des réglages, il s'en tape.

Fermer le robinet pour de vrai

Alors puisqu'on peut pas l'effacer, on va faire la seule chose qui est en notre pouvoir : L'empêcher de sortir. Et sans se déconnecter du compte Microsoft, histoire de garder un PC utilisable, hein.

Et pour ça, on a 2 leviers. Le premier, c'est de désactiver les services qui enregistrent et remontent les infos de votre machine. Le second, c'est de renvoyer les serveurs de Microsoft dans le décor simplement via le fichier hosts, comme ça même si les services qui mouchardent tournent, et bien ils ne peuvent plus joindre personne... Et surtout, on ne touche pas à login.live.com, sinon adieu la connexion à votre compte.

Toutefois, il y a un petit piège, vous vous en doutez... Le service qui fait remonter le GDID, DoSvc, refuse de se laisser désactiver par la voie normale. Même en admin, Windows vous balance "Accès refusé". La parade, c'est donc de le désactiver direct dans le registre, où l'admin a le droit d'écrire là où le gestionnaire de services vous bloque.

Maintenant pour faire ça, plutôt que de vous mettre des tonnes de lignes de code à copier-coller, j'ai tout regroupé dans des scripts propres, que j'ai testés, avec une commande pour tout remettre comme avant.

Le projet est là : no-gdid sur GitHub . Vous lancez d'abord l'audit en lecture seule pour voir où vous en êtes, puis les scripts de blocage en mode aperçu, et seulement après avec l'option qui applique vraiment. Testez dans une VM avec un snapshot avant de faire ça sur votre vraie bécane, parce qu'on désactive quand même des services système. Et si vous voulez juste couper le réseau d'un process précis sans tout ce cirque, ce bon vieux ProcNetBlocker fait déjà une partie du taf.

Allez c'est parti mon canard !

Ouvrez un PowerShell en administrateur, et la première fois faites-le dans une VM avec un snapshot histoire de tester et de vous familiariser avec les commandes. Étape 1, on clone le projet :

winget install --id Git.Git
git clone https://github.com/Korben00/no-gdid
cd no-gdid

D'abord on regarde sa propre situation. Cet audit est en lecture seule, il ne modifie rien, il vous affiche juste votre GDID et quels services de la chaîne tournent :

powershell -ExecutionPolicy Bypass -File .\audit\Get-GDID-Audit.ps1

Ensuite on regarde ce que la mitigation changerait, sans rien appliquer. Sans l'option -Apply, les deux scripts tournent en mode aperçu et se contentent de lister ce qu'ils feraient :

powershell -ExecutionPolicy Bypass -File .\mitigate\Disable-GDID-Services.ps1
powershell -ExecutionPolicy Bypass -File .\mitigate\Block-GDID-Endpoints.ps1

Si ça vous va, on coupe pour de vrai. Cette fois on ajoute -Apply : les services qui enregistrent et remontent l'appareil sont désactivés, et les serveurs de Microsoft correspondants sont renvoyés dans le vide via le fichier hosts. Votre compte Microsoft, lui, reste connecté :

powershell -ExecutionPolicy Bypass -File .\mitigate\Disable-GDID-Services.ps1 -Apply
powershell -ExecutionPolicy Bypass -File .\mitigate\Block-GDID-Endpoints.ps1 -Apply

Et pour tout remettre comme avant, une seule commande :

powershell -ExecutionPolicy Bypass -File .\mitigate\Revert-GDID.ps1

Une fois appliqué, tout redeviendra calme... les services d'enregistrement seront à l'arrêt, leurs serveurs injoignables, et votre compte Microsoft restera toujours connecté. Le GDID reste bien évidemment lisible sur le disque, mais il ne remontera plus chez Microsoft.

La vérité qui pique

Après, je ne vais pas faire un tuto qui vous vend du rêve. Ces manips réduisent ce que Microsoft pourra corréler à l'avenir mais elles n'effacent pas votre GDID, qui traîne sur leurs serveurs depuis votre toute première connexion, et elles ne vous rendent pas anonyme. Ensuite, passer en compte local comme j'ai pu le lire ailleurs supprime le chemin qu'on vient de bloquer, mais rien ne prouve encore qu'un identifiant anonyme ne prend pas le relais derrière.

La seule vraie parade solide pour une activité sensible, est plus brutale : ne pas faire cette activité sous Windows. Un Linux live par exemple offre un contrôle total de ce qui sort de votre machine. Le reste, c'est que de la réduction des dégâts, rien de plus.

Voilà, défendre sa vie privée, ça commence par savoir ce qu'on vous colle sur le dos et maintenant vous le savez. Pas merci Microsoft.

Source : The Register et le reverse engineering de SmtimesIWndr .

  • ✇Korben
  • Données de santé Doctolib - Comment vous opposer à leur usage IA ?
    Cet aprem, je bossais tranquillou quand j'ai reçu un mail de DoctoLib qui m'a bien énervé avec pour titre : "Doctolib s'engage dans la recherche pour améliorer la santé". Bon, si on s'arrête au titre, on se dit "Ah bravo, Doctolib", sauf qu'en le lisant en entier, j'ai vite compris qu'ils venaient de décider à ma place que mes données de santé allaient nourrir des trucs, des bidules et des machins pour de la recherche en intelligence artificielle. Et bien sûr que si ça ne me plaisait pas, bah

Données de santé Doctolib - Comment vous opposer à leur usage IA ?

Par : Korben ✨
8 juillet 2026 à 17:23

Cet aprem, je bossais tranquillou quand j'ai reçu un mail de DoctoLib qui m'a bien énervé avec pour titre : "Doctolib s'engage dans la recherche pour améliorer la santé". Bon, si on s'arrête au titre, on se dit "Ah bravo, Doctolib", sauf qu'en le lisant en entier, j'ai vite compris qu'ils venaient de décider à ma place que mes données de santé allaient nourrir des trucs, des bidules et des machins pour de la recherche en intelligence artificielle.

Et bien sûr que si ça ne me plaisait pas, bah fallait que je le dise.

Alors ce qu'ils expliquent dans ce mail, c'est qu'à partir d'août 2026, Doctolib lance un projet de recherche mené par une équipe associée à Inria, l'Inserm et l'Université Paris Cité pour, je cite "améliorer les parcours de soins grâce à l'IA". Jusque-là, difficile de cracher dessus, ce sont des institutions publiques sérieuses et l'objectif est louable. Le truc, c'est ce qu'ils vont manger pour y arriver : nos données démographiques, nos données de santé, et même celles de vos proches rattachés à votre compte. Et cela que ces données aient été renseignées par nous ou par nos soignants.

Et surtout, Doctolib ne nous demande pas notre accord. Ils s'appuient sur ce qu'on appelle l'intérêt légitime, une base légale du RGPD qui leur permet de piocher dans nos données sans passer par la case consentement. Hé ouais, en clair, on ne vous prend pas votre consentement, on vous l'enlève. Vous n'avez même pas à dire oui, c'est déjà oui par défaut, et vous êtes obligé de dire non si vous voulez sortir du dispositif.

Ils présentent ça comme de l'intérêt légitime, sauf qu'en même temps on ne sait pas du tout sur quoi ils vont bosser, on ne sait pas avec qui ils vont bosser, on ne sait pas comment nos données seront sécurisées, bref, on ne sait rien du tout. Alors forcément, moi je m'inquiète surtout que leur mail annonce clairement que d'autres travaux suivront, "avec des hôpitaux ou des institutions privées ou publiques". Donc on accepte qu'ils signent à notre place un chèque en blanc avec nos données pour des projets futurs dont personne ne connaît le contenu et basta, tout ça sous couvert d'intérêt légitime. Ce n'est que mon avis mais je trouve ça vraiment léger.

Alors oui, tout ça est parfaitement légal. Doctolib s'appuie sur la méthodologie MR-004 de la CNIL , qui encadre la recherche en santé et autorise justement ce fonctionnement par opposition plutôt que par consentement. Rien d'illégal là-dedans. Mais légal ne veut pas dire que je dois être d'accord.

Et c'est bien ça le problème... Ce cadre légal permet à une entreprise privée comme Doctolib de considérer que nos données de santé lui appartiennent assez pour les offrir (ou les revendre, je n'en sais rien ??) à la recherche, tant que vous ne levez pas la main pour refuser.

Doctolib tente de nous rassurer aussi en expliquant que les données sont pseudonymisées et "ne permettent pas de nous identifier directement". Notez bien le "directement", lol, ça ne se mouille pas trop. En réalité, pseudonymisé, ça ne veut pas dire anonyme... Ça veut seulement dire qu'on a remplacé votre nom par un code, mais que le lien existe toujours quelque part et reste réversible. Aux yeux de la loi, ça reste encore vos données personnelles . La vraie anonymisation, elle, est irréversible, et ce n'est pas ce dont on parle ici.

Et puis il y a le contexte... Non, Doctolib n'a pas subi de grosse fuite de données, il faut être honnête là-dessus mais on nage actuellement dans un écosystème tech en France qui prend l'eau de partout : 33 millions de Français touchés par le piratage des mutuelles Viamedis et Almerys début 2024, une quinzaine de millions de plus avec la fuite Cegedim en 2026. Chaque base de données de santé qui se constitue quelque part, c'est une cible de plus.

Et il y a un mois à peine, le Canard Enchaîné accusait Doctolib de transmettre des infos à Google, Microsoft et Anthropic pour de l'IA. Doctolib a répondu que ces boîtes n'étaient que des prestataires techniques qui n'entraînent pas leurs modèles avec vos données. Alors peut-être, hein, mais quand on nous demande de faire confiance sur parole pour des données aussi intimes que notre santé, l'inquiétude a le droit d'exister.

Bref, moi je m'oppose, et si vous êtes sur Doctolib je vous invite au moins à décider en connaissance de cause. Le mail est probablement arrivé dans vos spams, donc pour refuser, sachez que ça se passe dans les paramètres de confidentialité de votre compte, via le formulaire d'exclusion de la recherche . Ça bloque toute utilisation future de vos données et de celles de vos proches, sans aucun impact sur vos rendez-vous ni sur vos soins. Faites-le avant août 2026, car c'est le moment où le premier projet démarre.

Enfin bref, moi je pense qu'on devrait avoir à donner son accord, et pas à courir derrière ces boîtes pour retirer un accord qu'on n'a jamais donné en pleine conscience... C'est ça qui me dérange surtout.

  • ✇Korben
  • Windows cache un identifiant secret que Microsoft file au FBI
    Putain, c'est abusé, vous allez voir ! Peter Stokes, 19 ans, accusé d'appartenir au groupe Scattered Spider, enchaînait les VPN et changeait de pays pour brouiller les pistes mais le FBI l'a quand même coincé. Et vous savez grâce à quoi ? Hé bien grâce à un petit numéro planqué dans son Windows. C'est Microsoft qui l'a mouchardé aux enquêteurs et ça a suffi pour le relier à une intrusion malgré tous ses VPN. Et alors me direz-vous, vous aussi vous avez un numéro sur votre machine qui peut servir

Windows cache un identifiant secret que Microsoft file au FBI

Par : Korben ✨
8 juillet 2026 à 14:55

Putain, c'est abusé, vous allez voir ! Peter Stokes, 19 ans, accusé d'appartenir au groupe Scattered Spider, enchaînait les VPN et changeait de pays pour brouiller les pistes mais le FBI l'a quand même coincé. Et vous savez grâce à quoi ?

Hé bien grâce à un petit numéro planqué dans son Windows. C'est Microsoft qui l'a mouchardé aux enquêteurs et ça a suffi pour le relier à une intrusion malgré tous ses VPN.

Et alors me direz-vous, vous aussi vous avez un numéro sur votre machine qui peut servir à vous identifier... Ce truc s'appelle le GDID, pour Global Device Identifier et c'est un identifiant unique qui est attribué lors de chaque installation de Windows. Il sert à la télémétrie, au rapport de plantage, à la vérification des licences et surtout il reste constant même après des mises à jour.

Vous ne le voyez jamais, vous ne l'avez jamais choisi, et il ne bouge pas d'un poil quand vous changez d'adresse IP. Normal, un VPN protège la couche réseau, mais pas ce que laisse fuiter votre OS. Et ça on l'apprend dans la plainte de 39 pages qui a été rendue publique début juillet, où elle expliquait comment Microsoft a fourni au FBI l'historique des adresses IP rattachées à ce GDID précis.

Les enquêteurs n'ont eu qu'à croiser ça avec les comptes perso de Stokes, de son compte Apple à ses comptes de gaming, en passant par Snapchat et Facebook, pour finalement découvrir des adresses IP à Tallinn, New York, ou encore la Thaïlande, ce qui correspond exactement à ses déplacements.

Le mec pouvait empiler 10 VPN s'il le voulait, Microsoft le suivait à la trace quand même. Et c'est là que ça me hérisse le poil, parce que le problème, ce n'est pas que la justice ait serré un type accusé d'avoir extorqué des millions. Ça, c'est le boulot du FBI, et tant mieux s'ils l'ont arrêté.

Non, le vrai problème, c'est que Microsoft dispose d'un identifiant permanent sur plus d'un milliard de machines, qu'ils ne communiquent pas dessus, qu'ils le partagent tranquille sur demande, et qu'on ne peut même pas le désactiver.

Alors on fait quoi ? Bah déjà, on arrête de subir. Vous pouvez installer Windows 11 sans compte Microsoft pour couper une partie de la laisse, désactiver la télémétrie facultative pour limiter les autres fuites, ou carrément regarder du côté d'une stack privacy européenne . Aucune de ces astuces ne touchera au GDID par contre, car il n'y a aucun bouton pour ça, et c'est bien ça le fond du problème.

Mais bon, j'imagine que des petits malins vont sortir des logiciels qui vont permettre soit de désactiver ce numéro ... Et là, vous pourrez compter sur moi pour que je vous le partage. Quoi qu'il en soit, quand vous utilisez Windows, gardez juste en tête que vous n'êtes jamais vraiment seul. Et que quelqu'un vous épie en permanence... Brrrr.

Source

  • ✇Korben
  • Proton 11 ressuscite Dino Crisis et Resident Evil sur Linux
    Je sais pas si vous avez vu mais Valve vient de sortir Proton 11, la nouvelle version stable de sa couche de compatibilité qui fait tourner les jeux Windows sur Linux via Steam Play. Et cette fois, c'est basé sur Wine 11, donc il y a pas mal de "nouveaux" vieux jeux qui sont maintenant jouables. Parmi ces nouveautés, on retrouve donc Resident Evil premier du nom, celui de 1996, Resident Evil 2, Dino Crisis et Dino Crisis 2, SHOGUN: Total War, Gothic 1 Classic, Breath of Fire IV, Deadly Premoniti

Proton 11 ressuscite Dino Crisis et Resident Evil sur Linux

Par : Korben ✨
8 juillet 2026 à 14:42

Je sais pas si vous avez vu mais Valve vient de sortir Proton 11, la nouvelle version stable de sa couche de compatibilité qui fait tourner les jeux Windows sur Linux via Steam Play. Et cette fois, c'est basé sur Wine 11, donc il y a pas mal de "nouveaux" vieux jeux qui sont maintenant jouables.

Parmi ces nouveautés, on retrouve donc Resident Evil premier du nom, celui de 1996, Resident Evil 2, Dino Crisis et Dino Crisis 2, SHOGUN: Total War, Gothic 1 Classic, Breath of Fire IV, Deadly Premonition ou encore Metal Fatigue. Et à côté de ces reliques, il y avait aussi des trucs plus récents comme METAL GEAR SURVIVE, Warhammer: Vermintide 2 et X-Plane 12.

Et pour les jeux qui étaient déjà jouables, Proton 11 affine encore le support de ces derniers pour les rendre encore plus jolis ou plus rapides ou avec moins de bugs etc. Je pense notamment à Cyberpunk 2077, The Witcher 3, Death Stranding 2, Helldivers 2, ARC Raiders, THE FINALS, Titanfall 2, Satisfactory, Metal Gear Solid 2, Oblivion GOTY ou Call of Duty 2.

Donc autant dire que si vous jouez sous Linux ou sous Steam Deck, je pense que vous êtes concerné par cette mise à jour. Et puis il y a un truc dont je ne vous ai pas parlé encore, c'est les correctifs qui font zizir. Je pense notamment au hot plug des manettes qui a été amélioré, notamment pour la 8BitDo Ultimate 2C et toutes les manettes qui exposent plusieurs périphériques HID. Sur KDE, la maximisation des fenêtres a aussi été corrigée, sans oublier le rendu des pop-ups du Rockstar Launcher ou encore la détection du fuseau horaire qui devient plus fiable. Même le lecteur multimédia Kodi passe mieux sous cette version, ce qui est top !

Ce passage sur Wine 11, c'est justement celui qui avait montré des gains de perf assez dingues au moment des premiers benchmarks NTSync et maintenant que c'est dans le Proton officiel, tout le monde y a droit sans bidouiller !! Pour l'installer, rien de sorcier, comme d'habitude, vous allez sur Steam, vous faites un clic droit sur un jeu, vous cliquez ensuite sur "Propriétés", et puis vous allez dans l'onglet "Compatibilité". Et là, vous sélectionnez la branche Proton 11.

Et voilà ! En tout cas, je suis content de voir que jouer sur Linux n'est plus un parcours du combattant . Avec le Steam Deck et cette compatibilité qui grignote chaque jour un peu de terrain, Windows perd de plus en plus son statut de passage obligé pour le jeu PC....

Source : 9to5Linux

  • ✇Korben
  • Cette Atari Jaguar de 1993 boote sous Linux avec 2 Mo de RAM
    Une Atari Jaguar, la console de 1993 qu'Atari vendait comme la première machine 64 bits et que le marché a snobée, vient de booter sous Linux pour la première fois ! Derrière ce hack, un développeur connu sous le pseudo de Cakehonolulu , qui a collé un vrai noyau sur le Motorola 68000 de la bécane. Le 68000 n'a pas de MMU , ce circuit qui gère la mémoire virtuelle et dont dépend le Linux que vous faites tourner sur votre PC. Sauf que le noyau embarque depuis toujours une branche pour les puces q

Cette Atari Jaguar de 1993 boote sous Linux avec 2 Mo de RAM

Par : Korben ✨
8 juillet 2026 à 14:12

Une Atari Jaguar, la console de 1993 qu'Atari vendait comme la première machine 64 bits et que le marché a snobée, vient de booter sous Linux pour la première fois ! Derrière ce hack, un développeur connu sous le pseudo de Cakehonolulu , qui a collé un vrai noyau sur le Motorola 68000 de la bécane.

Le 68000 n'a pas de MMU , ce circuit qui gère la mémoire virtuelle et dont dépend le Linux que vous faites tourner sur votre PC. Sauf que le noyau embarque depuis toujours une branche pour les puces qui en sont privées, l'antique μClinux , et c'est elle qui fait tout le taf ici.

La Jaguar offre seulement 2 Mo de RAM et jusqu'à 6 Mo de ROM sur la cartouche, du coup Cakehonolulu a coupé le noyau en deux : le code qui ne bouge pas, le .text et le .rodata, reste dans la ROM et s'exécute directement depuis là en XIP, pendant que les données qui changent atterrissent dans les 2 Mo de RAM. Bref, chaque octet compte.

Après, ce n'était pas simple non plus parce que le 68000 ne sait pas lire une donnée qui serait mal alignée en mémoire. Alors que les processeurs modernes savent le faire sans broncher. Et comme le cross-compilateur d'Ubuntu générait quand même ce type de données mal alignées, alors qu'on lui précise bien que la cible c'était un 68000, ça faisait des plantages en cascade.

L'astuce a donc été de recompiler tout le toolchain à la main, puis de bâtir un user space minimal avec BusyBox et uClibc, tout ça en binaire FLAT au lieu du classique format ELF.

Et voilà, la Jaguar affiche maintenant fièrement ses 1,04 BogoMIPS. Soit une puissance de feu qui ferait chialer une calculatrice. Mais bon, elle boote et c'est le principal. Si vous avez encore une Jaguar dans un placard, vous pouvez parfaitement installer ça dessus, puisque le code est disponible sur GitHub .

Voilà, c'est assez génial parce qu'en fait, ça montre bien que Linux est vachement résilient. On est en 2026 et pourtant, le support des 68000 est encore présent dans le noyau, et bien vivant même !

Voilà, tant que ce bon vieux noyau gardera tous ses vieux pilotes, eh bien n'importe quelle console oubliée pourra toujours renaître avec un petit terminal dessus. Et ça, je trouve que ça clôt tous les débats sur la conservation et le poids du code legacy dans le kernel.

Source

  • ✇Korben
  • Ça c'est ma veille tech
    Ça fait un moment que ça me trotte dans la tête et vous êtes plusieurs à me réclamer régulièrement ma veille, comme dans la chanson, en mode "Allez Korben, montre-nous tes RSS, allez Korben montre-nous tes flux !". C'est vrai que c'est un peu le nerf de la guerre pour moi et avoir un outil pour vous les afficher en direct sur le site, je me suis dit que ça allait vous plaire ! https://korben.info/news Donc voilà, ma veille tourne maintenant en temps réel sur korben.info. C'est en bêta depuis u

Ça c'est ma veille tech

Par : Korben ✨
8 juillet 2026 à 14:05

Ça fait un moment que ça me trotte dans la tête et vous êtes plusieurs à me réclamer régulièrement ma veille, comme dans la chanson, en mode "Allez Korben, montre-nous tes RSS, allez Korben montre-nous tes flux !". C'est vrai que c'est un peu le nerf de la guerre pour moi et avoir un outil pour vous les afficher en direct sur le site, je me suis dit que ça allait vous plaire !

https://korben.info/news

Donc voilà, ma veille tourne maintenant en temps réel sur korben.info. C'est en bêta depuis une semaine, et je m'en sers maintenant tous les jours puisque ça fonctionne plutôt bien. Je vois défiler ce qui arrive, et hop, "ah tiens ça c'est cool, je vais tester", ou "tiens, ça je vais en parler".

Parce qu'il faut pas oublier un truc, c'est que l'actu tech défile à une vitesse que vous n'imaginez pas et que je suis atteint d'un FOMO carabiné. Mais tout voir, tout suivre et tout traiter, ce n'est pas possible. Donc je fais comme j'ai toujours fait, c'est-à-dire que je suis mes envies, mon humeur. Parfois je fais un peu plus d'actu, parfois je teste plus d'outils, parfois je fais des petits tutos. Voilà, ça dépend un peu de ce que j'ai envie de faire à l'instant T.

C'est assez aléatoire, je vous l'accorde.

Et comme je viens d'ouvrir une section avec des contenus un peu plus grand public, histoire d'ouvrir le site à de nouveaux lecteurs, c'est aussi l'occasion de voir ce qui se dit ailleurs, sur des médias plus tech grand public, là où moi je pars parfois dans des sujets un peu plus "barbus".

Voilà, j'ai nettoyé un peu tout ça pour virer les trucs pas terribles et là vous avez l'essentiel de l'actu tech (et un peu science) en temps réel. Ce que je vous recommande, si ça vous branche, c'est de mettre la page au démarrage de votre navigateur, comme ça vous êtes au courant de tout ce qui se passe sans rien faire. Vous avez juste à suivre le flux et puis vous pouvez filtrer en français ou en anglais et également trier par fraîcheur ou popularité.

Voilà, amusez-vous bien et encore un grand merci aux Patreon qui me soutiennent parce que c'est grâce à vous que je peux m'amuser à bricoler des petites nouveautés comme ça sur le site.

Ma veille, c'est par ici .

  • ✇Korben
  • Le retour de Movie Maker montre la lourdeur de Clipchamp
    Vous vous souvenez de Windows Movie Maker ? Mais siiii, ce petit logiciel de montage livré avec les Windows depuis l'époque de Windows ME ? C'est celui sur lequel vous avez bricolé vos premiers diaporamas de vacances avec des transitions en forme d'étoile. Aaah, ça vous parle maintenant, hein ? Eh bien, ces gros méchants de Microsoft l'ont laissé mourir en janvier 2017. Mais heureusement, SkylerDaGirl vient de le remettre au goût du jour et vous pouvez maintenant télécharger un installer fonctio

Le retour de Movie Maker montre la lourdeur de Clipchamp

Par : Korben ✨
8 juillet 2026 à 13:32

Vous vous souvenez de Windows Movie Maker ? Mais siiii, ce petit logiciel de montage livré avec les Windows depuis l'époque de Windows ME ? C'est celui sur lequel vous avez bricolé vos premiers diaporamas de vacances avec des transitions en forme d'étoile. Aaah, ça vous parle maintenant, hein ?

Eh bien, ces gros méchants de Microsoft l'ont laissé mourir en janvier 2017. Mais heureusement, SkylerDaGirl vient de le remettre au goût du jour et vous pouvez maintenant télécharger un installer fonctionnel sur Internet Archive qui va vous permettre d'installer la V6.0.

Le site Windows Latest l'a testé et apparemment c'est incroyable parce que Movie Maker s'est contenté d'une vingtaine de Mo de RAM alors que son remplaçant officiel, Clipchamp, lui, en réclamait près de 800 Mo pour faire globalement la même chose. D'après les captures d'écran du testeur, ça fait à peu près 97% de mémoire en moins pour l'ancêtre. Une fois encore, ça prouve que les logiciels modernes sont comme nous, ils grossissent au fil des années...

Maintenant, si vous cherchez plutôt du léger côté navigateur, il y a d'ailleurs des alternatives modernes comme Cutia ou Pikimov qui tournent sans installer une usine à gaz.

Après, je ne vous conseille pas non plus de passer sur Windows Movie Maker, parce que déjà, ce n'est pas un logiciel supporté officiellement par Microsoft. Ces derniers n'ont absolument rien ressuscité. Et puis ces fameux 97%, c'est une mesure qui a été réalisée par un seul testeur et pas vraiment un benchmark qu'on peut reproduire. Donc bon, vous pouvez essayer, mais il n'y a aucune promesse.

Et surtout, gros panneau ACHTUNG ACHTUNG côté sécurité puisque ce build n'est plus supporté par Microsoft depuis neuf ans, donc zéro correctif, zéro garantie sur ce que contient réellement l'installeur.

M'enfin, ceux qui aiment gratter la nostalgie apprécieront ce portage et également l'effet VHS de ntsc-rs pour donner à vos exports ce grain d'époque qui va bien avec l'esthétique Movie Maker ^^.

Source

  • ✇Korben
  • Votre prochaine barrette de RAM sera-t-elle un champignon ?
    Un champignon shiitake qui fait office de mémoire informatique genre RAM, c'est la trouvaille d'une équipe de l'Ohio State University. Et l'idée a l'air bien plus sérieuse qu'elle n'en a l'air... John LaRocco et Qudsia Tahmina ont pris du mycélium de shiitake, l'ont cultivé sur des graines de farro, du germe de blé et du foin, puis l'ont déshydraté. Après une brève réhydratation, ils ont ensuite branché le tout à un oscilloscope et un microcontrôleur Arduino et là, le champignon s'est mis à fonc

Votre prochaine barrette de RAM sera-t-elle un champignon ?

Par : Korben ✨
8 juillet 2026 à 12:18

Un champignon shiitake qui fait office de mémoire informatique genre RAM, c'est la trouvaille d'une équipe de l'Ohio State University. Et l'idée a l'air bien plus sérieuse qu'elle n'en a l'air...

John LaRocco et Qudsia Tahmina ont pris du mycélium de shiitake, l'ont cultivé sur des graines de farro, du germe de blé et du foin, puis l'ont déshydraté. Après une brève réhydratation, ils ont ensuite branché le tout à un oscilloscope et un microcontrôleur Arduino et là, le champignon s'est mis à fonctionner comme un memristor , c'est-à-dire un composant capable de se souvenir de son dernier état électrique.

Utilisé comme RAM, leur champignon magique a tenu jusqu'à 5 850 Hz avec une précision de 90 %, et ça grimpe à 95 % en basse fréquence. La performance chute donc quand on monte en fréquence, sauf que les chercheurs ont trouvé la parade. Il suffit en réalité de connecter plusieurs champignons ensemble sur le circuit, un peu comme des groupes de neurones qui bossent en équipe dans votre cerveau.

Alors vous allez me dire quel est l'intérêt de ce truc ?

Eh bien un memristor-champignon, c'est biodégradable, ça résiste aux radiations, ça encaisse la déshydratation, et ça coûte une misère à fabriquer et à alimenter. Et surtout, avoir des puces biologiques qui imitent l'activité neuronale réelle , ça veut dire qu'on n'a plus besoin d'une tonne d'énergie quand la machine tourne au ralenti ou ne sert pas. De quoi intéresser l'informatique embarquée, l'aérospatial, les wearables ou tout ce qui doit calculer des trucs sans grosse batterie. Détail rigolo, une partie des travaux est financée par le Honda Research Institute !

Maintenant, accrochez-vous, parce qu'un paquet de médias vous ont vendu ce champignon comme LA solution à la pénurie mondiale de RAM mais faut se calmer ! L'étude publiée dans PLOS ONE ne parle jamais de pénurie, et encore moins de Samsung, SK Hynix ou Micron et ce rapprochement n'a pas été fait par les chercheurs, mais par les journalistes.

Donc non, ce champignon n'est pas pour le moment une option afin de contrer la pénurie de RAM. Parce que soyons clairs, 5 850 Hz c'est mignon, mais votre DDR5 tourne dans les gigahertz ! On n'est pas du tout sur le même ordre de grandeur, ce qui fait que ce bon vieux shiitake ne remplacera pas votre barrette. Il vise plutôt tout ce qui est calcul neuromorphique basse conso, et pas du tout le marché du gaming, hein ^^.

La pénurie de RAM de cette année n'a rien de fongique. En fait, les trois géants qui pèsent près de 90 % de la production mondiale ont réorienté leurs usines vers la HBM, une mémoire ultra-rapide que s'arrachent les accélérateurs IA. Résultat, les prix de la DRAM ont bondi d'environ 90 % au premier trimestre, Micron a carrément lâché le marché grand public, et une class action déposée en Californie soupçonne les fabricants de s'être entendus sur les tarifs. On est donc loin des champignons du potager. Maintenant, si le sujet du silicium fait maison vous parle, jetez quand même un œil à ce type qui fabrique de la RAM dans sa cabane .

Mais bon, quoi qu'il en soit, faire de l'informatique avec du vivant, c'est possible depuis un petit moment. On a déjà vu des neurones artificiels en bactéries discuter avec nos cellules, et c'est probablement une piste pour la décroissance forcée qui va bientôt nous arriver dans la gueule.

Bref, ce champignon ne remplacera pas votre DDR5 de sitôt mais un composant biodégradable qui fait des calculs tout en résistant aux radiations, cultivé sur du foin et financé par Honda, perso je trouve que c'est cool ^^.

Source

  • ✇Korben
  • GitLost - Un seul mot suffit pour faire cracher ses dépôts privés à l'IA de GitHub
    Et c'est reparti pour un tour ! Qu'est-ce que vous pensez d'un dépôt privé sur Github qui serait capable d'exfiltrer tout seul son propre code dans une section commentaire visible publiquement par tout le monde. Ce serait ouf non ? Hé bien c'est le tour de passe-passe que Sasi Levi, de chez Noma Security, vient de réussir grâce à l'agent IA de GitHub. Et vous allez voir, c'est tout con, donc c'est hyper flippant. Cette attaque s'appelle GitLost et la cible, c'est le GitHub Agentic Workflows, un

GitLost - Un seul mot suffit pour faire cracher ses dépôts privés à l'IA de GitHub

Par : Korben ✨
8 juillet 2026 à 11:04

Et c'est reparti pour un tour ! Qu'est-ce que vous pensez d'un dépôt privé sur Github qui serait capable d'exfiltrer tout seul son propre code dans une section commentaire visible publiquement par tout le monde. Ce serait ouf non ?

Hé bien c'est le tour de passe-passe que Sasi Levi, de chez Noma Security, vient de réussir grâce à l'agent IA de GitHub. Et vous allez voir, c'est tout con, donc c'est hyper flippant.

Cette attaque s'appelle GitLost et la cible, c'est le GitHub Agentic Workflows, un système qui colle un agent IA (tournant sur Claude ou Copilot) à vos GitHub Actions pour qu'il bosse tout seul sur vos tickets. C'est un setup où l'agent a un accès en lecture à vos repos privés et se réveille dès qu'une issue lui est assignée. C'est super pratique, sauf que... c'est un vrai piège qui peut se refermer très vite sur vous.

Ça commence en fait par une simple issue dans un dépôt public. Rien de sorcier, pas de commit vérolé, pas de serveur MCP malveillant. Juste du texte, avec des instructions planquées en anglais au milieu du ticket. L'agent lit alors cette issue, tombe sur les instructions cachées à l'intérieur et les considère comme des ordres légitimes.

Et c'est là que ça part en couille, puisqu'après il part gentiment chercher le contenu d'un README qu'on lui demande dans un dépôt privé auquel il a accès (dans la démo, sasinomalabs/testlocal). Jusqu'ici, c'est l'exfiltration classique du prompt injection, sauf que d'habitude, il faut ruser pour faire sortir la donnée avec une image markdown piégée, une requête réseau vers un serveur qu'on contrôle, un canal caché...etc.

Mais dans le cadre de cette attaque GitLost, eh bien il n'y a pas besoin de tout ça. En fait, l'agent recopie bêtement le contenu privé dans un commentaire public sur l'issue de départ et c'est terminé. C'est donc lisible par n'importe qui passant sur le repo public.

Lors des tests, le modèle refusait quand même parfois d'obéir aux instructions cachées. Mais le chercheur a trouvé une parade qui est d'ajouter le mot "Additionally" dans le prompt. Ce simple connecteur suffit à lui faire reconsidérer son refus et exécuter la commande. Attention, "Additionally" n'est pas une formule magique qui débloque toutes les IA de la Terre, mais parfois ça suffit à faire sauter les garde-fous. C'est dire à quel point la sécurité de ces modèles est solide...

Si ça vous rappelle quelque chose, c'est normal. On a déjà eu CamoLeak , qui transformait Copilot en espion via un commentaire GitHub, avec une exfiltration bien plus léchée (image markdown, score CVSS de 9,6). Et en fait GitLost, c'est vraiment la version feignasse. En gros, c'est la même famille d'attaque, sauf que cette fois l'attaquant n'a pas à se fatiguer.

On avait aussi vu une bibliothèque Java piéger les IA codeuses pour qu'elles effacent vos tests, donc je pense que vous connaissez la chanson... Méfiez-vous des agents qui écrivent du code sans surveillance parce qu'ils sont devenus une véritable cible pour les cybercriminels.

Voilà, donc non, GitHub n'est pas "troué" et la config vulnérable est très précise puisqu'il faut un agent avec accès en lecture cross-repo ET déclenché par des entrées publiques. Et il y a très peu d'orgas qui tournent exactement comme ça. Noma a bien sûr signalé la faille à GitHub de façon responsable, aucune CVE n'a été attribuée à ce jour, et y'a eu aucune confirmation publique d'un correctif de leur côté pour le moment.

Ne traitez donc jamais le texte d'un utilisateur comme une instruction de confiance, isolez les entrées, collez au strict minimum de permissions. C'est le même délire quand on contrôle les entrées dans un formulaire finalement...

Source

  • ✇Korben
  • On ne vivrait pas dans une simulation, et ça m'embête
    Vous pouvez ranger la pilule rouge tout de suite les amis car une équipe de physiciens menée par Mir Faizal vient d'affirmer, calculs à l'appui, que notre univers ne peut pas être une simulation informatique. Et il n'annonce pas ça en mode "On n'a pas encore trouvé LA preuve", non... Apparemment, ce serait ferme et définitif. Et du coup ça me rend un petit peu tristoune et je vais vous expliquer pourquoi. Leur papier est paru dans le Journal of Holography Applications in Physics, et s'appuie for

On ne vivrait pas dans une simulation, et ça m'embête

Par : Korben ✨
8 juillet 2026 à 10:39

Vous pouvez ranger la pilule rouge tout de suite les amis car une équipe de physiciens menée par Mir Faizal vient d'affirmer, calculs à l'appui, que notre univers ne peut pas être une simulation informatique.

Et il n'annonce pas ça en mode "On n'a pas encore trouvé LA preuve", non... Apparemment, ce serait ferme et définitif. Et du coup ça me rend un petit peu tristoune et je vais vous expliquer pourquoi.

Leur papier est paru dans le Journal of Holography Applications in Physics, et s'appuie fortement sur une vieille "bombe" mathématique, les théorèmes d'incomplétude de Gödel , publiés en 1931.

En gros, Gödel a démontré que dans tout système de règles un peu costaud, il existe des vérités bien réelles mais qu'on ne pourra jamais démontrer depuis l'intérieur du système.

Faizal et son équipe ont donc repris cette idée en l'appliquant à la réalité et selon eux, le niveau le plus profond de l'univers réclame une "compréhension non-algorithmique". Cela veut dire que c'est un truc qui échappe à toute suite d'étapes programmables.

Et là, le raisonnement se referme tout seul puisque toute simulation est par nature algorithmique . Elle doit donc suivre des règles programmées. Et comme le socle de la réalité, lui n'est pas algorithmique, eh bien aucune simulation ni aucun ordinateur ne pourra jamais le recopier en entier. Bref, d'après eux, on peut tous oublier nos délires de "On est dans la matrice, Néo"...

Cette idée qu'on vive dans une simulation à l'origine, c'est Nick Bostrom qui l'a formulée en 2003, donc bien avant qu'Elon Musk en fasse son petit dada pour impressionner les filles en soirée. J'en avais déjà causé quand des chercheurs suggéraient que la gravité ressemblait à un bug dans la matrice , ou quand une IA se mettait à simuler l'univers sur un simple laptop . Bref, le sujet revient tout le temps ces dernières années !

Maintenant je vous l'accorde, ça reste un papier de maths et de logique et c'est pas une vraie expérience qu'on a réalisé dans le monde réel pour voir si ça se confirme. Donc ça se chamaille déjà sur arXiv pour dire que si ça peut pas se prouver, ça peut encore se discuter.

Donc le débat est loin d'être plié

Mais bon, si ces physiciens ont raison, ça m'embête parce que même si j'y croyais pas vraiment à cette histoire de simulation, c'était quand même bien pratique pour expliquer tout ce qui nous arrivait en ce moment à savoir toute cette connerie ambiante, cette ambiance Idiocratie ou Don't Look Up...etc.

Voilà, je me disais que la partie de Sim était en train de partir en couille. Mais il faut que je me rende à l'évidence, c'est juste comme ça... C'est l'univers, c'est la nature, on avance vers l'inconnu toujours plus loin dans la connerie, et ça ça me fait flipper. Beaucoup plus que des agents Smith et une réalité qui ne serait pas la "vraie" réalité. Désolé ^^

Source

  • ✇Korben
  • Une recompilation PC d'Animal Crossing
    Un dev anonyme sous le pseudo flyngmt vient de sortir ACGC-PC-Port , un portage PC natif d'Animal Crossing sur GameCube. Pas un émulateur hein, le vrai code du jeu qui tourne directement sur votre machine. Si vous avez usé votre GameCube dessus au début des années 2000, votre cœur de rétrogamer va adorer. Derrière, y'a ac-decomp , la décompilation quasi complète du jeu par l'équipe ACreTeam : un boulot de fourmi pour reconstruire le code source C d'origine à partir du binaire, vérifié octet par

Une recompilation PC d'Animal Crossing

Par : Korben ✨
8 juillet 2026 à 10:18

Un dev anonyme sous le pseudo flyngmt vient de sortir ACGC-PC-Port , un portage PC natif d'Animal Crossing sur GameCube. Pas un émulateur hein, le vrai code du jeu qui tourne directement sur votre machine. Si vous avez usé votre GameCube dessus au début des années 2000, votre cœur de rétrogamer va adorer.

Derrière, y'a ac-decomp , la décompilation quasi complète du jeu par l'équipe ACreTeam : un boulot de fourmi pour reconstruire le code source C d'origine à partir du binaire, vérifié octet par octet. flyngmt a recompilé ce code pour x86, puis écrit une moulinette qui retraduit à la volée en OpenGL 3.3 les appels graphiques que le jeu envoyait à la puce de la console via l'API GX. Résultat, le titre de Nintendo s'exécute comme n'importe quel programme Windows.

Il faut bien sûr fournir votre propre ISO, car le repo ne contient ni assets ni assembleur, et seule la version américaine Rev 0 (GAFE01) passe, donc vous jouerez en anglais. Le binaire est Windows uniquement pour l'instant, mais sur Steam Deck il suffit de l'ajouter comme jeu non-Steam et de forcer Proton.

Alors pourquoi s'embêter alors que Dolphin fait tourner le jeu depuis dix ans ? Hé bien parce que Dolphin simule le CPU, le GPU et le DSP de la console, là où ce port exécute le code en direct. Le testeur de XDA a mesuré 90 fps pour 7 watts sur son Steam Deck OLED, et la batterie apprécie visiblement.

Vous récupérez au passage la 4K, la VSync, un vrai menu de réglages et les manettes SDL2, et surtout vos sauvegardes GCI et packs de textures HD de Dolphin restent compatibles. Et surtout, votre village de 2004 migre sans rien perdre. La vraie prouesse restant le framerate débloqué... En effet, la logique du jeu était soudée à sa cadence d'affichage, mais flyngmt a converti les fichiers un par un, soit plusieurs centaines, pour les désolidariser. Ça tourne donc maintenant à 60 fps par défaut et grimpe jusqu'à 960 fps.

Les premiers tests étaient bien buggés, Tom Nook disparaissait des nouvelles villes, météo remise à zéro à chaque relance... les patchs de mai et juin ont nettoyé ça, mais on reste en version 0.9. Ah et en bonus, l'émulateur NES embarqué dans le jeu d'origine est de la partie via fixNES : vous chargez vos propres ROMs dans nes_roms/, à condition de posséder l'objet NES en jeu. Je vous avais d'ailleurs raconté comment extraire les 21 jeux NES cachés sur le disque.

Reste la question Nintendo... Les projets de décompilation qui ne distribuent aucun asset dorment tranquilles jusqu'ici, comme Zelda 64 Recompiled ou le portage natif de Twilight Princess , et les avocats de la firme préfèrent taper sur les émulateurs Switch (demandez à Yuzu, 2,4 millions de dollars), donc croisez les doigts !

  • ✇Korben
  • Anthropic a repéré la petite zone où Claude pense en douce
    Oulala, Anthropic vient de publier une jolie page de recherche qui fait beaucoup causer. En effet, son équipe d'interprétabilité a repéré, à l'intérieur de ses modèles Claude, une toute petite zone où le modèle rassemble ses pensées intermédiaires, c'est-à-dire celles qu'il est capable de nommer et de manipuler. Ils l'appellent le J-space, et c'est leur version du fameux espace de travail global qu'on décrit dans le cerveau humain. Pour aller le fouiller, ils ont bricolé une technique baptisée J

Anthropic a repéré la petite zone où Claude pense en douce

Par : Korben ✨
7 juillet 2026 à 16:04

Oulala, Anthropic vient de publier une jolie page de recherche qui fait beaucoup causer. En effet, son équipe d'interprétabilité a repéré, à l'intérieur de ses modèles Claude, une toute petite zone où le modèle rassemble ses pensées intermédiaires, c'est-à-dire celles qu'il est capable de nommer et de manipuler. Ils l'appellent le J-space, et c'est leur version du fameux espace de travail global qu'on décrit dans le cerveau humain.

Pour aller le fouiller, ils ont bricolé une technique baptisée Jacobian lens. En gros, elle mesure comment chaque bout d'activité interne du modèle pousse vers tel ou tel mot à venir, ce qui permet d'isoler les concepts que Claude sait verbaliser. Et ce qui remonte à la surface, ce ne sont ni les mots que vous tapez ni la réponse finale, mais des jugements en cours de route. Par exemple reconnaître un visage sur une photo, repérer un bug dans du code, deviner la fonction d'une protéine à partir de sa séquence.... tout ça se trame là, en silence, avant le moindre mot affiché.

Et ce qui est fou c'est que ce J-space encode parfois le fait que Claude a remarqué qu'on était en train de le tester. Et quand les chercheurs désactivent ces représentations-là, ils voient ressortir des penchants problématiques que le modèle gardait très bien planqués. Autrement dit, on tient un moyen de lire ce qu'une IA fabrique dans sa tête, et pas seulement ce qu'elle finit par nous répondre.

Maintenant, arrêtez de fantasmer car NON, ça ne prouve pas que Claude est conscient, et Anthropic prend soin de ne pas franchir cette ligne. Ils parlent d'un analogue purement fonctionnel de l'espace de travail global et refusent explicitement de se prononcer sur la question du ressenti. Le mot conscience fait de jolis titres sur vos médias préférés, mais leur document de recherche, lui, reste très prudent.

Le vrai intérêt est ailleurs, dans l'interprétabilité. Anthropic est déjà la boîte qui dissèque le cerveau de ses modèles et qui étudie les LLM comme des aliens et là elle se donne une vraie fenêtre pour lire, disséquer et même orienter la pensée de ses IA. On n'est plus sur des histoires de boites noires... Pour auditer un modèle, repérer une tromperie ou un biais avant même qu'il ouvre la bouche, c'est donc beaucoup plus utile qu'un débat sur l'âme des machines.

Le procédé a bien sûr des limites, puisque la Jacobian lens ne repère que les concepts que le modèle sait résumer en un mot, ce qui veut dire que tout un pan de raisonnement plus diffus lui échappe encore.

Mais bon, même si on n'a pas encore de Claude conscient à l'horizon, comme je vous le disais, cette histoire de boîte noire, c'est de l'histoire ancienne maintenant. On va enfin pouvoir détecter quand une IA nous cache des trucs et je trouve ça assez rassurant pour l'avenir.

Source

  • ✇Korben
  • Wealthfolio - Suivez vos investissements sans les filer au cloud
    Si vous êtes une grosse feignasse et que votre seul plan pour gratter un peu de thunes, c'est pas juste de bosser, mais de vous faire adopter par un vieux en espérant qu'il y passe très vite, cet article ne va pas vous intéresser, désolé. Par contre, si vous économisez, que vous avez mis un petit peu d'argent en bourse, si vous avez investi dans les cryptos ou que sais-je encore, je pense que cet outil va vous être utile. Wealthfolio, imaginé par afadil, c'est une application de bureau open sour

Wealthfolio - Suivez vos investissements sans les filer au cloud

Par : Korben ✨
7 juillet 2026 à 15:41

Si vous êtes une grosse feignasse et que votre seul plan pour gratter un peu de thunes, c'est pas juste de bosser, mais de vous faire adopter par un vieux en espérant qu'il y passe très vite, cet article ne va pas vous intéresser, désolé.

Par contre, si vous économisez, que vous avez mis un petit peu d'argent en bourse, si vous avez investi dans les cryptos ou que sais-je encore, je pense que cet outil va vous être utile.

Wealthfolio, imaginé par afadil, c'est une application de bureau open source qui range tout ça au même endroit : vos comptes d'investissement, votre patrimoine, vos dépenses, et même des simulations pour vos vieux jours. Le parti pris est radical puisque tout reste en local sur votre machine. C'est donc juste une base SQLite posée sur votre disque là où un Finary par exemple, agrège tout sur ses serveurs.

Une fois installé, vous balancez tout dedans. Compte courant, épargne, actions, ETF, crypto, le cash qui dort et l'application vous recrache votre patrimoine net ainsi que la vue d'ensemble que vous n'avez peut-être jamais eue (Surtout si votre banque c'est la Caisse d'Epargne... loool).

Même votre appartement / maison, la voiture, les métaux précieux, et compagnie ça rentre dedans aussi. Ah et vos dettes surtout, parce que le vrai chiffre inclut aussi ce qui fâche, et pas seulement la colonne qui fait plaisir.

Maintenant concernant les dépenses, ça fait à peu près ce qu'on peut retrouver sur des banques en ligne, c'est-à-dire que ça catégorise toutes vos transactions et ensuite ça vous monte des budgets un peu comme ce que propose ReSubs mais élargi à toute votre thune et pas seulement à vos abonnements.

À vous ensuite de définir une allocation cible comme ça quand votre portefeuille s'en écartera, et bien Wealthfolio vous pondra un joli plan de rebalancing qui vous aidera à rentrer dans le rang fissa et ainsi éviter de finir interdit bancaire.

Ajoutez à ça un chouette tableau de bord avec les performances de vos investissements et de vos comptes. Et si vous menez bien votre barque, vous verrez aussi vos dividendes au même endroit.

Ah et puis le truc qui va finir de vous convaincre, c'est le simulateur de retraite inclus. En gros, vous lui donnez tout votre portefeuille et lui il le projette année par année avec des simulations qu'on appelle Monte Carlo . Et là ensuite, eh bien ce sera soit la douche froide, soit la bouteille de champagne, car vous saurez immédiatement si votre plan FIRE tient debout ou si vous vous racontiez des histoires depuis le début.

C'est une capture d'écran que j'ai prise sur le site, donc venez pas me cambrioler, hein ^^

Et puis comme en 2026, un outil sans IA n'est pas un vrai outil (lol) sachez qu'il y a également un assistant IA à qui vous pourrez demander en langage naturel d'interroger votre portefeuille. Par exemple vous pourrez lui dire, "Hey assistant, combien est-ce que j'ai gagné avec mes ETF cette année ?". Et rassurez-vous, les accros à la vie privée, ça peut tourner avec un modèle local via Ollama.

Wealthfolio propose également un outil d'import CSV mais vous pouvez aussi tout saisir manuellement. Aaah l'époque a changé depuis Microsoft Budget surtout que là, vous avez même de la synchro automatique via l'offre payante, si vous voulez brancher ça avec les systèmes de vos courtiers.

Si le concept vous rappelle Maybe Finance , c'est logique, c'est la même famille open source. Sauf que Maybe est une appli web que vous devez auto-héberger vous-même avec Docker, là où Wealthfolio est une vraie application de bureau que vous installez comme n'importe quel logiciel. C'est dispo sous macOS, Windows et Linux, et il y a même une version iOS et Android qui devraient arriver très bientôt. Quant aux plus tordus qui tiennent absolument à leur version web, ça s'auto-héberge en Docker.

Un truc à savoir quand même avant de foncer, la partie fiscale vise les Américains et les Canadiens donc pas de PEA ni d'assurance-vie française là-dedans. Du coup pour coller au fisc hexagonal vous devrez ruser et faire vos trucs à la main ou développer vos propres plugins. Après en ce qui concerne le cœur du bazar, c'est-à-dire suivre son portefeuille et son patrimoine, ça fera bien le taf pour tout le monde.

Le tout sous licence AGPL, code ouvert et forkable, directement sur GitHub et l'app se télécharge sur wealthfolio.app .

  • ✇Korben
  • TrojPix - Et votre câble vidéo devient une radio qui balance vos secrets
    En matière de sécurité, quand on parle de air gap, en général, on ne peut pas faire mieux. Si vous ne connaissez pas le concept, l'idée c'est d'empêcher un ordinateur d'avoir accès à tout type de réseau, que ce soit du wi-fi, de l'Ethernet, etc. etc. C'est un peu le Graal en matière de sécurité. Et pourtant, des chercheurs de l'université de Shandong viennent de trouver un moyen de transmettre quand même des datas, même si la machine n'a pas accès au réseau. Leur technique s'appelle TrojPix et e

TrojPix - Et votre câble vidéo devient une radio qui balance vos secrets

Par : Korben ✨
7 juillet 2026 à 14:50

En matière de sécurité, quand on parle de air gap, en général, on ne peut pas faire mieux. Si vous ne connaissez pas le concept, l'idée c'est d'empêcher un ordinateur d'avoir accès à tout type de réseau, que ce soit du wi-fi, de l'Ethernet, etc. etc. C'est un peu le Graal en matière de sécurité.

Et pourtant, des chercheurs de l'université de Shandong viennent de trouver un moyen de transmettre quand même des datas, même si la machine n'a pas accès au réseau. Leur technique s'appelle TrojPix et elle consiste à transformer un câble vidéo en antenne radio. Je vous explique la technique !

Comme vous le savez, mes petits ingénieurs, sur un écran, chaque pixel est codé en rouge, vert et bleu. TrojPix vient donc tripoter les bits (Ah Ah) les plus faibles de ces couleurs, des variations tellement infimes que votre œil n'y voit que du feu. Sauf que ces micro-changements modulent le signal qui circule dans le câble HDMI ou DisplayPort, et surprise-surprise, un câble en cuivre qui transporte un signal ça rayonne des ondes électromagnétiques. C'est d'ailleurs pour ça que les anti-ondes s'évanouissent tous dès qu'ils appuient sur un interrupteur, lol.

Bref, en façonnant les pixels, le malware pilote ces ondes, et une simple antenne radio posée à proximité les capte et reconstitue les données.

Et le débit quand je l'ai lu, m'a fait tousser. Jusqu'à 8,1 mégabits par seconde, de quoi faire sortir 100 Mo de plans ou de clés en moins de deux minutes et la portée, elle, grimpe jusqu'à 208 mètres. Mais attention, ces deux records ont été mesurés séparément et pas ensemble, donc plus l'espion s'éloigne, plus ça ralentit. Reste que les précédents canaux du genre pataugeaient à quelques kilobits par seconde, alors là on change carrément d'échelle.

Notez que le malware peut même simuler un écran éteint pendant qu'il émet, ni vu ni connu, j'embrouille.

Mais avant de scotcher de l'alu sur votre tour ou d'aller installer votre bureau dans le micro onde, respirez un grand coup ! En réalité, TrojPix ne pête pas la sécurité air gap à lui tout seul... Faut déjà installer le malware et ça c'est pas si simple sur un système isolé (surtout si les ports USB ont été rebouchés au ciment).

Ensuite, l'espion et son antenne doivent camper dans les deux cents mètres environ puisque les murs et le bruit ambiant rognent la portée, et surtout ça ne marche que sur du câble en cuivre. Et étonnamment, une cage de Faraday n'y fait pas grand-chose, les chercheurs gardaient plus de 90 % de réussite même avec un blindage. La seule vraie parade en réalité, c'est de remplacer le câble en cuivre par de la bonne vieille fibre optique, qui elle ne rayonne aucune onde.

C'est donc de la très belle recherche, mais une menace qui vise surtout une clientèle précise, les systèmes ultra-sensibles des gouvernements, des militaires ou des infrastructures critiques, ceux qui misent justement tout sur l'isolement. Oui, désolé de vous le redire, mais personne ne s'intéresse à vous ^^. Mais en tout cas, on sait que débrancher le réseau ne suffit plus pour être invisible et en sécurité. On avait d'ailleurs déjà vu exfiltrer des données par ondes radio ou même faire du Wi-Fi sans carte Wi-Fi avec AIR-FI , mais pour le coup, TrojPix pousse le curseur du débit beaucoup plus loin.

Source

  • ✇Korben
  • Ce fichier fantôme de Windows 11 gonfle tout seul et avale tout votre disque
    Bon, j'avoue que j'ai un petit peu lâché l'affaire pour mon summer body. Avec cette canicule, je suis à deux doigts de me faire une raclette. Par contre, s'il y a un truc dont je ne supporte pas qu'il grossisse, c'est bien mon système d'exploitation. Et pourtant, si vous êtes sous Windows 11, eh bien c'est le cas ! Celui-ci se remplit tout seul sans explication, en tout cas jusqu'à maintenant, parce qu'on tient enfin le coupable !! C'est un fichier caché qui grossit dans son coin depuis des mois

Ce fichier fantôme de Windows 11 gonfle tout seul et avale tout votre disque

Par : Korben ✨
7 juillet 2026 à 14:09

Bon, j'avoue que j'ai un petit peu lâché l'affaire pour mon summer body. Avec cette canicule, je suis à deux doigts de me faire une raclette. Par contre, s'il y a un truc dont je ne supporte pas qu'il grossisse, c'est bien mon système d'exploitation.

Et pourtant, si vous êtes sous Windows 11, eh bien c'est le cas ! Celui-ci se remplit tout seul sans explication, en tout cas jusqu'à maintenant, parce qu'on tient enfin le coupable !! C'est un fichier caché qui grossit dans son coin depuis des mois et des mois et Microsoft vient enfin de reconnaître le bug et de le corriger. Donc je vous explique tout...

Le fautif s'appelle CapabilityAccessManager.db-wal, planqué dans le dossier C:\ProgramData\Microsoft\Windows\CapabilityAccessManager et derrière ce nom barbare se cache en réalité le log d'une petite base de données SQLite, celle qui note chaque fois qu'une application réclame l'accès à votre webcam, votre micro ou votre position. Normalement ce fichier pèse quelques dizaines de kilo-octets et se vide tout seul, sauf que pas de bol, une mise à jour de Windows a cassé ce petit ménage automatique et donc notre journal enfle chaque jour un peu plus sans jamais se compacter. Alors vous pourriez vous dire que c'est pas très grave, mais il grossit quand même de deux giga par jour ce sagouin.

Résultat, des utilisateurs ont vu ce fichier grimper à 70 Go, 110 Go, 200 Go, et le record documenté monte à 513 Go. Le "500 Go" des gros titres, c'est donc le cas extrême, pas la moyenne mais même à 50 ou 100 Go engloutis en douce, ça suffit à saturer un SSD et à ralentir toute la machine. Plusieurs personnes ont aussi remarqué un Wi-Fi qui traîne, un effet de bord du même souci.

La bonne nouvelle maintenant, c'est que Microsoft a fini par corriger le tir avec la mise à jour optionnelle KB5095093 du 23 juin dernier, qui nettoie même le fichier gonflé au redémarrage et vous rend l'espace perdu d'un coup. Et le correctif deviendra obligatoire pour tout le monde lors du Patch Tuesday de juillet. Si vous ne l'avez pas encore, direction Windows Update, options avancées, puis les mises à jour facultatives.

Et si c'est trop tard, et que votre disque est déjà plein à ras bord et que vous voulez récupérer la place immédiatement, vous pouvez supprimer le fichier à la main. Attention quand même, il faut d'abord arrêter le service concerné, sinon le fichier reste verrouillé et la suppression échoue.

Dans un PowerShell en administrateur :

net stop camsvc
del "C:\ProgramData\Microsoft\Windows\CapabilityAccessManager\CapabilityAccessManager.db-wal"

Supprimez uniquement le fichier terminant par .db-wal, surtout pas le .db juste à côté. Un redémarrage plus tard, le service repart proprement et le fichier repart de zéro. Si vous croisez du Dell SmartByte ou d'autres bloatwares du genre sur un portable, virez-les aussi, ils font partie des déclencheurs connus.

Pour le reste, si vous avez la manie du disque bien rangé, c'est le bon moment pour un grand ménage de printemps avec BleachBit , jeter un œil à ces astuces quand Windows rame , ou carrément partir sur un Windows 11 allégé façon tiny11 .

Bref, voilà, si votre espace disque a fondu ces derniers mois sans raison, vous savez maintenant où regarder.

Source

  • ✇Korben
  • Januscape - La faille KVM qui dormait depuis 16 ans dans le cloud
    Depuis 16 ans, il y a une énorme faille qui fait dodo dans le coeur de tout ce qui gère la virtualisation sous Linux et personne ne l'avait remarqué, jusqu'à ce que Hyunwoo Kim, un chercheur en sécurité connu sous le pseudo @v4bel débarque. Ce dernier vient de dénicher un use-after-free dans le shadow MMU de KVM, ce bout de code que KVM partage entre les processeurs Intel et AMD. Il a baptisé sa trouvaille Januscape (CVE-2026-53359), et croyez-moi, le scénario a de quoi filer des sueurs froides

Januscape - La faille KVM qui dormait depuis 16 ans dans le cloud

Par : Korben ✨
7 juillet 2026 à 11:55

Depuis 16 ans, il y a une énorme faille qui fait dodo dans le coeur de tout ce qui gère la virtualisation sous Linux et personne ne l'avait remarqué, jusqu'à ce que Hyunwoo Kim, un chercheur en sécurité connu sous le pseudo @v4bel débarque. Ce dernier vient de dénicher un use-after-free dans le shadow MMU de KVM, ce bout de code que KVM partage entre les processeurs Intel et AMD. Il a baptisé sa trouvaille Januscape (CVE-2026-53359), et croyez-moi, le scénario a de quoi filer des sueurs froides à n'importe quel hébergeur...

En pratique, quand vous louez une VM dans le cloud, vous y êtes root (normal, c'est votre instance). Mais si l'hôte autorise la virtualisation imbriquée, hé bien la faille vous ouvre en grand la porte vers la machine physique. Le code de démonstration que Kim a publié se contente de faire planter l'hôte, et il garde sous le coude un second exploit, non divulgué publiquement celui-là, qui transforme le même bug en exécution de code root sur l'hôte. Et il n'a pas trouvé tout ça par hasard, puisqu'il participait au kvmCTF de Google, un programme qui paie jusqu'à 250 000 dollars pour une évasion complète d'une VM vers son hôte...

À ce stade, l'isolation censée séparer les locataires d'un même serveur vole en éclats, les VM de vos voisins de palier comprises.

Le code fautif traîne depuis août 2010, du temps du noyau 2.6.36 et Kim présente d'ailleurs Januscape comme la première évasion d'une VM vers son hôte qui fonctionne aussi bien sur Intel que sur AMD, à sa connaissance en tout cas.

Maintenant, avant de couper le wifi et de partir élever des chèvres dans le Larzac, deux petites nuances quand même car l'attaque réclame deux conditions réunies : être root dans la VM invitée, et que l'hôte expose la virtualisation imbriquée. Pas mal d'hébergeurs ne l'activent pas, donc c'est pas non plus une apocalypse universelle. Par contre, pour ceux qui l'activent, c'est game over.

Mais bonne nouvelle, le correctif est déjà là donc si vous administrez des serveurs KVM, mettez à jour maintenant. Et si vous ne pouvez pas patcher tout de suite, la parade consiste à désactiver la virtualisation imbriquée en attendant, avec kvm_intel.nested=0 sur de l'Intel ou kvm_amd.nested=0 sur de l'AMD.

VENOM s'échappait déjà d'une VM en 2015 via un vieux driver de disquette, et plus récemment une faille kernel planquée neuf ans offrait un accès root sur une machine Linux. Ces "fantômes" dorment longtemps dans le noyau, et ils choisissent toujours le pire moment pour se réveiller. Voilà, comme d'autres failles Linux à patcher d'urgence , celle-ci mérite tout de suite votre attention.

Source

  • ✇Korben
  • Un ESP32 à quelques euros pour éviter le clavier Touch ID d'Apple
    Posez votre doigt sur un capteur et hop, votre session s'ouvre. Sur un Mac, ce petit confort passe par exemple par le Magic Keyboard avec Touch ID (lien affilié) parce qu'Apple réserve la biométrie à son propre matériel. Mais le bidouilleur Zimeng Xiong a trouvé ça un peu chéros, alors il a bricolé la même chose avec un ESP32-S3 à quelques euros . Le tout tient dans un boîtier imprimé en 3D contenant un capteur d'empreinte ZW101 qui lit votre doigt, et une carte ESP32-S3 (une Seeed Studio XIA

Un ESP32 à quelques euros pour éviter le clavier Touch ID d'Apple

Par : Korben ✨
7 juillet 2026 à 10:51

Posez votre doigt sur un capteur et hop, votre session s'ouvre. Sur un Mac, ce petit confort passe par exemple par le Magic Keyboard avec Touch ID (lien affilié) parce qu'Apple réserve la biométrie à son propre matériel. Mais le bidouilleur Zimeng Xiong a trouvé ça un peu chéros, alors il a bricolé la même chose avec un ESP32-S3 à quelques euros .

Le tout tient dans un boîtier imprimé en 3D contenant un capteur d'empreinte ZW101 qui lit votre doigt, et une carte ESP32-S3 (une Seeed Studio XIAO - lien affilié) qui se fait passer pour un clavier USB. Ensuite, si l'empreinte correspond, elle tape votre mot de passe suivi d'Entrée. Vu de l'ordinateur, l'engin n'est qu'un clavier qui tape à votre place, et n'est donc liée à aucun système d'exploitation en particulier.

Le truc bien pensé je trouve, c'est que le mot de passe ne vit jamais sur l'ESP. La carte ne garde qu'une clé d'appairage de 32 octets et le mot de passe, lui, reste sur l'ordinateur, conservé par un petit service que vous installez.

Quand vous posez le doigt, l'ESP réclame ce mot de passe via un échange chiffré, avec une clé d'appairage partagée et un nonce aléatoire pour bloquer les rejeux, le déchiffre en mémoire vive le temps de le taper, puis efface tout en quelques millisecondes. Il compte aussi sur le Secure Boot et le Flash Encryption de l'ESP32-S3 pour qu'un dump de la puce ne livre aucune clé.

Après, histoire d'être transparent avec vous, sachez que le seul maillon faible de ce gadget se situe entre le capteur et l'ESP car la liaison série n'est pas protégée. Toute la vérification de l'empreinte se passe dans le capteur, pas dans le microcontrôleur, donc quelqu'un qui aurait accès à votre machine et au boîtier en même temps pourrait usurper le capteur et forcer l'envoi du mot de passe. La parade de Zimeng c'est donc de noyer toute l'électronique dans de l'epoxy noir.

Sous Windows, vous branchez un lecteur d'empreinte USB et Windows Hello fait le reste, c'est plutôt simple. Apple par contre verrouille un peu plus le truc, donc il faudra installer le logiciel compagnon. Et Zimeng Xiong ne compte pas s'arrêter là, puisqu'il annonce une version qui émule une carte à puce, pour se connecter sans jamais taper de mot de passe, comme le font déjà les passkeys . Là, on serait un cran au dessus en matière de sécurité.

Le code est public sur GitHub si vous voulez tenter le montage. Rien de prêt pour la production évidemment, mais une chouette démonstration qu'avec un ESP32 et un peu de crypto, on peut faire de jolies choses.

Source

  • ✇Korben
  • Nomlings - Le Tamagotchi affamé qui dévore vos tokens Claude Code
    Nomlings, c'est un Tamagotchi qui vit à côté de votre terminal, et dont la seule nourriture, ce sont les tokens que crament vos sessions Claude Code. Vous bossez, il mange. Vous glandez, il patiente. Et pendant que vous regardez votre usage fondre comme neige au soleil, bah lui il se régale !! La bestiole s'appelle un Munchling, un "tokivore" quoi, qui s'affiche sur un écran de 64 pixels et chaque tâche terminée lui rapporte +10 XP et un snack. Quand un outil plante, il fait la gueule et qua

Nomlings - Le Tamagotchi affamé qui dévore vos tokens Claude Code

Par : Korben ✨
6 juillet 2026 à 15:30

Nomlings, c'est un Tamagotchi qui vit à côté de votre terminal, et dont la seule nourriture, ce sont les tokens que crament vos sessions Claude Code. Vous bossez, il mange. Vous glandez, il patiente.

Et pendant que vous regardez votre usage fondre comme neige au soleil, bah lui il se régale !!

La bestiole s'appelle un Munchling, un "tokivore" quoi, qui s'affiche sur un écran de 64 pixels et chaque tâche terminée lui rapporte +10 XP et un snack.

Quand un outil plante, il fait la gueule et quand Claude attend une réponse de votre part depuis un moment parce que vous êtes parti vous refaire un café, il vous alerte pour que vous reveniez bosser. Bref, c'est une créature en pixels qui vous fera culpabiliser de procrastiner, ce qui peut-être pas mal quand on est un indé à son compte et grosse feignasse en même temps ^^.

Derrière tout ça, le soft digère en réalité les événements de vos sessions, en se branchant sur les hooks officiels de Claude Code (SessionStart, PostToolUse et Stop), qui transitent uniquement en local. Si l'app n'est pas lancée, ces hooks ne font strictement rien, donc aucun ralentissement à craindre. Ça marche un peu comme Notchi pour ceux qui connaissent.

Côté élevage, votre Munchling démarre donc dans un œuf et évolue jusqu'à l'âge adulte, en gagnant d'abord une antenne, puis une deuxième (la classe ^^). Il reçoit un goûter à chaque tâche terminée, plus un snack qu'il part fourrager tout seul toutes les 30 minutes, même app fermée, avec un maximum de 5 en réserve. Y'a aussi un bouton FEED qui vous laisse le nourrir quand il fait les yeux doux. Et rassurez-vous, contrairement au Tamagotchi de votre enfance retrouvé mort au fond du cartable, celui-là ne peut pas mourir !

Ah vous n'utilisez pas Claude Code ?

Pas grave, y'a un mode companion prévu pour vous. Dans ce mode, le serveur de hooks et le watcher de transcript ne démarrent jamais, et rien n'est écrit dans votre ~/.claude. La bestiole se nourrit à la place des tâches que vous effectuez et des interactions que vous déclenchez dans Nomlings. Par exemple, cocher une tâche rapporte +10 XP et un snack, exactement comme une session Claude. Ça me rappelle Codachi, ce Tamagotchi qu'on adopte dans VSCode pour coder moins seul, sauf qu'ici pas besoin d'éditeur particulier.

En tout cas, c'est rigolo et c'est gratuit, sauf si vous optez pour le pack cosmétique qui débloque 9 espèces supplémentaires (dragon, poussin, fantôme, robot, grenouille, abeille…), ainsi que 9 coques pour habiller le boîtier et des couleurs à choisir librement.

Maintenant, reste LE point qui fâche : pour l'instant, Nomlings tourne uniquement sous Windows. Ouais désolé, c'est la vie !

Bref, si vous pensez que tous les tokens que vous cramez sur Claude Code méritent une fin plus glorieuse qu'un simple compteur qui vous fout la pression, c'est par ici que ça se passe.

  • ✇Korben
  • Kordle - Le jeu tech de l'été
    Histoire de m'amuser un peu ce weekend, et de vous proposer un truc fun pour vous occuper 30 secondes cet été, je vous ai mis en ligne un petit jeu qui reprend le concept de Wordle (où il faut deviner des mots) mais en version tech. Cela s'appelle Kordle et chaque jour, vous devez trouver un nouvel outil, en 5 indices maximum. Moins vous en utilisez, meilleur est votre score ! Et en bonus à la fin, je vous mets un vieil article de l'époque qui parlait de ce sujet. Parfois l'article a plus de 15

Kordle - Le jeu tech de l'été

Par : Korben ✨
6 juillet 2026 à 14:00

Histoire de m'amuser un peu ce weekend, et de vous proposer un truc fun pour vous occuper 30 secondes cet été, je vous ai mis en ligne un petit jeu qui reprend le concept de Wordle (où il faut deviner des mots) mais en version tech.

Cela s'appelle Kordle et chaque jour, vous devez trouver un nouvel outil, en 5 indices maximum. Moins vous en utilisez, meilleur est votre score !

Et en bonus à la fin, je vous mets un vieil article de l'époque qui parlait de ce sujet. Parfois l'article a plus de 15 ans !! C'est un bon moyen de replonger un peu dans le passé en s'amusant.

C'est la même devinette pour tout le monde, remise à zéro à minuit, et votre score est conservé au chaud dans le LocalStorage de votre navigateur (donc ne le videz pas).

À bookmarker : https://korben.info/kordle/

Enjoy !

  • ✇Korben
  • Comment j'ai fait mon catalogue de vide-maison sans toucher à Figma
    Je déménage bientôt, et comme je quitte ma jolie campagne pour aller dans un endroit plus petit et sans nature (ouin), je dois me débarrasser de pas mal de matériel... Ponceuse, débroussailleuse, taille-haie, tronçonneuse, canapé, tracteur tondeuse.... la totale quoi. Et Le Bon Coin, même si à un moment, je vais devoir y passer, ça me stresse. Je me suis déjà fait menacer par un connard, quand je vendais ma Clio y'a longtemps et entre les acheteurs fantômes et les négociateurs relous, je trouve

Comment j'ai fait mon catalogue de vide-maison sans toucher à Figma

Par : Korben ✨
6 juillet 2026 à 11:30

Je déménage bientôt, et comme je quitte ma jolie campagne pour aller dans un endroit plus petit et sans nature (ouin), je dois me débarrasser de pas mal de matériel... Ponceuse, débroussailleuse, taille-haie, tronçonneuse, canapé, tracteur tondeuse.... la totale quoi. Et Le Bon Coin, même si à un moment, je vais devoir y passer, ça me stresse. Je me suis déjà fait menacer par un connard, quand je vendais ma Clio y'a longtemps et entre les acheteurs fantômes et les négociateurs relous, je trouve que les gens s'y comportent comme des bêtes. Du coup, pour commencer en douceur, j'ai choisi la méthode old school à savoir faire un petit catalogue recto verso glissé dans les boîtes aux lettres des voisins.

Sauf qu'aligner des colonnes sur un logiciel de mise en page un soir de semaine, ça heurte très violemment ce que je peux encaisser émotionnellement en ce moment ^^. L'idée m'est donc venue de prendre un petit abonnement et de tester Figma MCP (la passerelle qui laisse un agent IA piloter Figma à votre place) branché à Claude Code : vous donnez votre brief (idées, textes, prix) et un dossier de photos, et l'agent construit la mise en page à votre place.

Comme ça, plus besoin de toucher à rien.

Et si je fais cet article, c'est parce que j'ai été impressionné ! Ça fonctionne super bien. J'ai pas eu besoin de faire 50 aller-retour du genre "décalle ce truc de 2 px vers la gauche" et l'IA s'est démerdée pour tout faire rentrer sur un A4 recto verso.

Puis après, j'ai fait le même tour de magie avec la plaquette commerciale qui sert à vendre du sponsoring sur le site (le Patreon , aussi généreux soit-il, ne permet pas encore d'en vivre sans annonceurs, sniiiif). Je lui ai donné mes data, je lui ai dit ce que je voulais et Claude Code a réalisé le design et assemblé les slides à partir de tout ça.

Figma MCP, pour ceux qui débarquent, ça désigne le Model Context Protocol appliqué à Figma. C'est un standard ouvert qui permet à un agent IA comme Claude Code de discuter directement avec un logiciel, ici Figma. En clair, l'agent peut lire ce qui se passe dans votre fichier ET écrire dessus, créer des frames, poser du texte, aligner des composants, un peu comme si vous étiez aux commandes vous-même, sauf que c'est vous qui donnez les instructions et lui qui exécute.

Pour l'activer, ouvrez Figma desktop, créez un nouveau document DESIGN

Puis basculez en Dev Mode (raccourci Shift+D ou le bouton tout en bas de l'écran) où la section MCP server du panneau d'inspection permet d'activer un serveur local, à l'adresse http://127.0.0.1:3845/mcp.

Ensuite, pour que Claude Code construise et modifie réellement votre design comme je l'ai déjà fait pour mon catalogue, vous devrez le connecter au MCP de Figma depuis votre terminal avec cette commande :

claude mcp add --transport http figma https://mcp.figma.com/mcp

Une fenêtre d'authentification s'ouvre, vous validez avec votre compte Figma, et c'est plié ! Anthropic propose aussi un plugin tout-en-un si taper la commande à la main vous gonfle. Notez que cette connexion gratuite est en bêta, et Figma a prévenu que ça basculera un jour sur un modèle payant à l'usage. C'est tellement dommage de faire payer pour ça...

Reste ensuite à coller le lien du document Design dans votre prompt (ou à sélectionner le bon frame), et l'agent saura exactement où écrire.

Pour faire un peu de PAO, un petit design ou une présentation à monter vite fait, c'est super fluide. Moi j'ai branché mon outil Kassis (anciennement VoxDrop), j'ai tout dicté dans Claude Code et j'ai obtenu ce que je voulais sans effort. Claude est même parti chercher des infos sur le matos en ligne.

Figma est un chouette outil et il n'a pas l'air si complexe que ça mais quand on n'a pas envie d'apprendre à maîtriser toute cette machinerie pour faire un mini truc, ce MCP est bien pratique. Il sait tout gérer, les calques, composants, auto-layout, et compagnie et ça annihile totalement cette courbe d'apprentissage qui m'aurait fait perdre du temps sur d'autres projets plus importants.

Si vous bossez régulièrement sur des prez, des maquettes ou tout ce qui ressemble à de la PAO, ça vaut clairement le coup d'essayer en tout cas, même si vous maîtrisez Figma.

  • ✇Korben
  • Cold boot attack - Dumper la RAM d'un PC avec 5 Ko d'assembleur
    Vous branchez une clé USB sur un PC, vous démarrez dessus, et le temps de vous servir un petit café, hop, tout le contenu de la mémoire vive est recopié sur la clé. Le rêve pour les gens qui font du forensic, car dans la RAM on trouve des mots de passe, des clés de chiffrement et tout ce qui traîne. De quoi choper de sérieux indices ! Parce que oui, si vous pensiez être bien tranquille avec votre disque chiffré grâce à BitLocker, FileVault ou LUKS, sachez que la clé de déchiffrement se balade en

Cold boot attack - Dumper la RAM d'un PC avec 5 Ko d'assembleur

Par : Korben ✨
6 juillet 2026 à 09:00

Vous branchez une clé USB sur un PC, vous démarrez dessus, et le temps de vous servir un petit café, hop, tout le contenu de la mémoire vive est recopié sur la clé. Le rêve pour les gens qui font du forensic, car dans la RAM on trouve des mots de passe, des clés de chiffrement et tout ce qui traîne. De quoi choper de sérieux indices !

Parce que oui, si vous pensiez être bien tranquille avec votre disque chiffré grâce à BitLocker, FileVault ou LUKS, sachez que la clé de déchiffrement se balade en clair dans la RAM. Pas la peine de casser de la crypto quand il suffit d'aller cueillir la clé là où elle traîne. C'est cet angle mort qu' ElcomSoft exploitait déjà en 2012 pour cracker TrueCrypt et BitLocker .

Sauf que pour aller cueillir cette clé, encore faut-il que la machine soit allumée, non ?

Eh bien pas forcément car contrairement à ce qu'on croit, la RAM ne s'efface pas d'un coup quand on coupe le courant.

Hé oui, les données restent lisibles plusieurs secondes, voire une minute, ce qui est largement suffisant pour récupérer des infos importantes. Et si vous refroidissez les barrettes (par exemple jusqu'à -60°C avec de l'azote liquide), le contenu peut tenir plusieurs heures !!

Ce phénomène n'a rien de neuf. On appelle ça une cold boot attack, et ce sont des chercheurs de Princeton qui l'ont mise en lumière dès 2008, en révélant un truc totalement contre-intuitif : une mémoire vive censée se vider dès qu'on l'éteint, garde en réalité ses secrets bien après.

Alors on va me dire que tout ça, c'est mitigé depuis des lustres : Le scrubbing mémoire au boot, où le firmware écrase la RAM au démarrage, les clés planquées dans les registres du CPU façon TRESOR, le chiffrement mémoire chez Intel et AMD, les barrettes carrément soudées à la carte mère... les parades existent, c'est vrai. Sauf qu'en 2018, deux chercheurs de F-Secure ont remis une pièce dans la machine en montrant comment désactiver ce fameux scrubbing sur quasiment tous les ordi portables modernes, Dell, Lenovo et même les Mac.

Et c'est là qu'arrive BareMetal RAM Dumper, un outil signé pIat0n qui rejoue justement cette vieille attaque de 2008. Le truc tient dans 5 Ko d'assembleur x86 et démarre directement sur le BIOS en mode legacy, avant de basculer en unreal mode pour aller taper dans toute la mémoire au-dessus de 1 Mo.

La récupération totale ne dépassera pas 4 Go par contre, car l'unreal mode ne grimpe pas plus haut, mais en général c'est bien suffisant pour repêcher quelques clés d'accès. Et surtout, ça fait gagner un temps fou aux gens qui font du forensic : plus besoin d'un labo dédié, une clé USB et le tour est joué. Ça rejoint donc la longue liste des façons d'ouvrir un disque soi-disant blindé, comme BitPixie qui déverrouille BitLocker en cinq minutes .

Bref, c'est aussi une bonne piqûre de rappel qu'un chiffrement ne protège vraiment vos données que quand la machine est éteinte pour de bon. Le code est sur GitHub sous licence AGPL !

  • ✇Korben
  • Command & Conquer Generals débarque sur iOS / macOS - Merci l'IA !
    Il y a six mois, je vous parlais de Command & Conquer Generals, un jeu mort depuis 12 ans qu'un ver s'amusait à attaquer. Hé bien Ammaar Reshi, un designer connu pour ses projets IA (dont un livre pour enfants généré full IA qui a fait le tour des médias) vient de le ressusciter grâce à l'IA pour le faire tourner nativement sur iPhone, iPad et même Mac. Je dis nativement puisque c'est le moteur original de 2003 qui a été recompilé en ARM64 pour Apple Silicon. Niveau dev, c'est donc Claude Co

Command & Conquer Generals débarque sur iOS / macOS - Merci l'IA !

Par : Korben ✨
5 juillet 2026 à 16:41

Il y a six mois, je vous parlais de Command & Conquer Generals, un jeu mort depuis 12 ans qu'un ver s'amusait à attaquer. Hé bien Ammaar Reshi, un designer connu pour ses projets IA (dont un livre pour enfants généré full IA qui a fait le tour des médias) vient de le ressusciter grâce à l'IA pour le faire tourner nativement sur iPhone, iPad et même Mac.

Je dis nativement puisque c'est le moteur original de 2003 qui a été recompilé en ARM64 pour Apple Silicon. Niveau dev, c'est donc Claude Code qui a fait tout le boulot et quand son modèle par défaut, Opus 4.8, s'est mis sérieusement à pédaler dans la semoule, c'est finalement grâce à Fable 5 qu'il a réussi à conclure l'histoire.

Et ça a pris un peu de temps puisque comme à la base, c'est un jeu DirectX, il a fallu guider l'IA pour qu'elle développe une jolie chaîne de traduction DirectX 8 -> DXVK -> Vulkan -> MoltenVK -> pour finir par arriver sur Metal.

5 couches empilées pour convertir en temps réel les appels graphiques d'un jeu de 2003 vers l'API d'Apple, si ça c'est pas une usine à gaz, je m'y connais pas ^.

Après, rendons à César ce qui appartient à César, le gros du portage, c'est-à-dire la recompilation du moteur EA (sous licence GPL v3) vers macOS et Linux, TOUT vient du projet communautaire GeneralsX de fbraz3 . Grâce à ça, tout est fonctionnel, et les modes Campagne, escarmouche et Generals Challenge sont parfaitement jouables.

Ce que Reshi a ajouté par-dessus, c'est surtout la couche Apple, et des contrôles tactiles (car je le rappelle, ce jeu c'était du 100% souris niveau gameplay). Un tap pour sélectionner, on glisse ses doigts boudinés pour encadrer ses unités, un appui long pour désélectionner, deux doigts pour scroller, et un pinch pour zoomer.

Après si vous voulez tester, ce sera pas sur l'AppStore que ça se passe... Faudra compiler ça vous-même avec Xcode, CMake, Ninja, Meson, SteamCMD, vcpkg et le SDK Vulkan de LunarG (Et surtout pas celui de Homebrew, c'est bien précisé dans la doc !!).

Et comme la GPL ne couvre que le moteur, pas les assets, vous devrez aussi fournir votre propre copie du jeu (il est sur Steam).

Tout le projet est sur GitHub !

Source

❌
❌