Jusqu’à ce matin, je pensais que l’esport était une activité consacrée à 100% aux jeux vidéos et en fait non !! Je viens de découvrir qu’il y a des mecs qui font des compétitions de tableurs Excel à Las Vegas, devant des centaines de spectateurs en IRL et des 60 000 personnes sur YouTube, avec diffusion sur ESPN et une même une ceinture de champion façon catch à remporter !

Bienvenue dans le monde merveilleux du Microsoft Excel World Championship.

Screenshot

Ce truc existe depuis une douzaine d’années, mais ça a vraiment décollé en 2021 quand le Financial Modeling World Cup s’est associé avec Microsoft pour créer un format plus spectaculaire. Parce que regarder des gens faire de la modélisation financière pendant des heures… Disons que c’est pas le contenu Twitch le plus palpitant. Du coup ils ont totalement gamifié le truc !

Et c’est en décembre 2024 que s’est tenue la finale au HyperX Arena de Las Vegas avec un prize pool de 60 000 dollars avec comme grand gagnant Michael Jarman, un Canadien de Toronto qui bosse comme directeur de modélisation financière chez Operis. Le mec a détrôné Andrew Ngai, surnommé “The Annihilator”, qui avait remporté les trois éditions précédentes.

Vous voyez cet emoji ? 😎󠄺󠄗󠅑󠅙󠄐󠅠󠅑󠅣󠄐󠅥󠅞󠄐󠅠󠅕󠅥󠄐󠅜󠅕󠄐󠅝󠅕󠅙󠅜󠅜󠅕󠅥󠅢󠅣󠄐󠅣󠅙󠅤󠅕󠄐󠅔󠅥󠄐󠅝󠅟󠅞󠅔󠅕󠄐󠄯 Hé bien, il contient peut-être un message secret que vous ne pouvez pas voir.

Non je ne suis pas devenu fou, c’est de la stéganographie Unicode et c’est le sujet de ma dernière vidéo.

L’idée c’est de planquer du texte invisible à l’intérieur de n’importe quel caractère grâce aux sélecteurs de variation Unicode. Ces petits caractères invisibles se glissent après un emoji et peuvent encoder un message complet. À l’oeil nu, vous voyez juste un smiley. Mais en réalité, y’a peut-être tout un paragraphe caché dedans.

Dans cette vidéo, je vous montre donc comment utiliser l’outil open source de Paul Butler pour encoder et décoder vos propres messages. On teste aussi si ChatGPT arrive à lire ces messages cachés et je vous explique les applications concrètes comme le watermarking de contenu ou l’envoi de messages discrets.

C’est une technique à la fois fun et utile à connaître, que ce soit pour protéger vos créations ou juste pour impressionner vos potes geeks.

J’ai tout expliqué en 13 minutes, accessible même si vous n’y connaissez rien en Unicode. Et un grand merci à mes soutiens sur Patreon sans qui rien ne serait possible !

Le concept ici c’est de prendre la série animée trash de Trey Parker et Matt Stone et de la transformer en film d’époque grâce à l’IA. Ça commence donc de manière assez réaliste avec les personnages principaux en version live-action rétro avec une petite voix off à l’ancienne… puis ça part complètement en vrille quand on arrive à Mr. Garrison, Satan et Mr. Hankey (mon préféré).

Et pour ceux qui se demandent, le Super Panavision 70 c’était le format cinéma panoramique haute résolution utilisé pour les grandes productions hollywoodiennes dans les années 50-70 pour Ben-Hur, 2001 l’Odyssée de l’espace, ce genre de trucs épiques.

En général, quand on parle de fin du monde, c’est soit du blabla philosophique autour d’une bière, soit c’est Bruce Willis qui sauve l’humanité avec une perceuse. Mais cette fois, on va aller un peu plus loin que ça… Car une équipe de chercheurs a trouvé le moyen d’observer pour de vrai comment les gens se comportent quand ils savent que tout va disparaître.

Pour cela, ils ont utilisé le MMORPG ArcheAge. C’est moins spectaculaire qu’un astéroïde géant ou qu’une guerre thermonucléaire, mais les données sont meilleures !

Ah Reum Kang de l’Université de Buffalo et ses collègues ont pour cela analysé 270 millions d’enregistrements de comportements durant la 4ème bêta fermée du jeu ArcheAge en 2011 et 2012. Le principe c’est qu’à la fin de la bêta fermée, tous les personnages sont supprimés, toute progression est perdue, tous les objets virtuels disparaissent… Vous avez passé 11 semaines à construire votre empire virtuel, à farmer vos légendaires, à monter votre guilde au top… Et pouf, tout disparait et y’a pas de Ctrl+Z possible. Désolé.

Pour les 81 000 joueurs testeurs, c’était comme vivre dans un monde avec une date d’expiration connue à l’avance. Et contrairement aux études philosophiques classiques basées sur des sondages et des suppositions, là on avait des données brutes, précises, et massives sur ce que les gens font vraiment.

Les chercheurs se sont appuyés sur ce qu’ils appellent le mapping principle. L’idée c’est que les joueurs agissent en ligne comme dans la vraie vie. Bon, c’est vrai que perdre son avatar n’est pas exactement comme perdre sa vie (quoique, allez expliquer ça à un joueur qui vient de perdre son level 50 avec full stuff épique, ok les boomers ? ^^). Mais quand vous avez investi 300 heures à bâtir votre royaume virtuel, la claque psychologique reste bien réelle. C’est un peu comme effacer votre disque dur sans backup, mais avec plus de dragons et de sortilèges.

Et les résultats sont plutôt encourageant pour notre prochaine fin du monde. En effet, y’a pas eu de chaos généralisé. On aurait pu croire que tout le monde allait se transformer en psychopathe, tuer son voisin, piller les maisons virtuelles et foutre le feu à tout ce qui bouge. Mais non. La plupart des joueurs n’ont pas vraiment changé leur comportement… Même en sachant que demain tout disparaissait, ils ont continué à jouer normalement.

C’est presque décevant, non ?

Alors vous allez me dire “Moi je suis pas comme ça, si mon serveur WoW ferme demain je vais tout péter ! J’suis un déglingo, un fou dans ma tête !!”. Mouais. Les stats sont contre vous les amis. Vous allez probablement juste continuer à farmer vos objets rares et à spammer le chat de guilde comme d’habitude.

Par contre c’est vrai, quelques marginaux ont bien pété les plombs. Les chercheurs ont détecté une hausse du PK (player killing, c’est quand vous tuez un autre joueur de votre propre camp, ce qui est considéré comme un meurtre dans le jeu…) mais ça a concerné seulement 334 joueurs sur 81 000. Donc pas vraiment American nightmare…

Ceux qui on abandonné le navire en cours de route, genre 3 semaines avant l’apocalypse, sont ceux qui sont devenus les plus toxiques pour la communauté. Ceux qui sont restés jusqu’au bout par contre, ont gardé une forme de loyauté envers la communauté, même quand ils savent que tout va disparaître. C’est assez révélateur sur l’attachement social.

Par exemple, en analysant les chats du jeu, les chercheurs ont mesuré ce qu’ils appellent le valence score. C’est un indicateur de positivité dans le langage et devinez quoi ? Hé bien au lieu de devenir déprimants ou agressifs, les échanges dans les canaux sociaux sont devenus légèrement plus joyeux à l’approche de la fin. Les joueurs ont augmenté leurs interactions… plus de messages échangés, plus de groupes formés pour des quêtes. Un peu comme si, face à l’apocalypse, les gens se rapprochaient au lieu de s’éloigner.

Mais alors, est-ce qu’on continue à se battre pour s’améliorer quand on sait que demain tout s’efface ?

Martin Luther aurait dit “Même si je savais que le monde disparaît demain, je planterais quand même mon pommier”. Et bien les joueurs d’ArcheAge, eux, n’ont pas planté de pommiers et encore moins mangé de la compote… Non, l’étude montre en réalité une grosse baisse des activités de progression. Il y a eu moins de quêtes complétées, moins de montées de niveau, moins de changements de compétences. Les joueurs ont carrément abandonné tout ce qui concerne l’amélioration de leur personnage.

Bah oui pourquoi s’emmerder à farmer de l’XP pendant 8 heures si demain votre magnifique niveau 50 redevient niveau 0 ?

Par contre, ils n’ont pas arrêté de jouer pour autant. Ils ont juste changé leurs priorités. Plus de construction de maisons (parce que bon, une maison virtuelle qui va être détruite dans 3 jours, autant la construire et en profiter maintenant), plus de crafting d’items, plus d’interactions sociales. Bref, des activités qui apportent une satisfaction immédiate plutôt qu’un bénéfice à long terme.

Alors posez-vous la question. Est ce que vous êtes plutôt team “je reste jusqu’au dernier screenshot avec ma guilde” ou de la team “je me barre 2 semaines avant insultant tout le monde” ?

Parce que statistiquement, si vous êtes du genre à ragequit, vous avez 78% de chances de devenir un serial killer virtuel avant de partir. Les scientifiques l’ont prouvé, bon courage pour votre karma de merde ^^.

Bon après, il faut quand même relativiser car ArcheAge n’est qu’un jeu vidéo, et pas la vraie vie. Les chercheurs le reconnaissent eux-mêmes, personne ne meurt pour de vrai à la fin de la bêta (heureusement quand même ^^) mais cette recherche a des implications concrètes.

Pour les développeurs de jeux, ça aide à comprendre quels comportements peuvent servir de signaux d’alerte pour détecter les joueurs qui vont quitter le jeu. Si quelqu’un commence à supprimer ses personnages et à PK à tour de bras, c’est probablement qu’il est sur le départ ! Pour les chercheurs en sciences sociales, c’est également une mine d’or. Avoir accès à 270 millions de décisions humaines dans un contexte de fin annoncée, avec des règles du jeu parfaitement contrôlées et connues, c’est le genre de dataset dont on ne peut que rêver dans les études traditionnelles.

Et pour nous, simples mortels ?

Et bien ça confirme quelque chose d’assez réconfortant. Face à la fin du monde, la plupart des gens ne deviennent pas des monstres. Ils se rapprochent des autres, renforcent leurs liens sociaux, et arrêtent juste de se projeter dans un futur qui n’existe plus.

Donc si demain on vous annonce que la vraie apocalypse arrive (pas celle du jeu vidéo hein, la vraie avec les robots tueurs de Trump, les zombies de Poutine ou l’astéroïde piloté par des aliens dont parlent les complotistes en ce moment), vous n’allez probablement pas piller le supermarché du coin mais plutôt appeler vos potes pour une dernière soirée pizza-bière.

Source

Vous vous souvenez de Windows 95 et de ses icônes ? A cette époque, moi je passais des heures à explorer chaque fichier .dll et .exe pour y découvrir des trésors cachés ( Resource Hacker qui se souvient ?).

Et bien tenez-vous bien, il y en a une bien nostalgique qui existe toujours dans Windows 11. Elle s’appelle pifmgr.dll, elle pèse 36 Ko, et elle a été créée “juste pour rire” il y a 30 ans.

Raymond Chen, un ingénieur Microsoft légendaire qui tient le blog The Old New Thing depuis des années, vient de raconter l’histoire de ce fichier qui refuse de crever et c’est une histoire assez marrante parce qu’elle dit beaucoup sur la façon dont Microsoft gère son propre bordel historique !

À l’origine, pifmgr.dll a été créée pour Windows 95 et son job officiel c’était de gérer les fichiers PIF, c’est-à-dire les Program Information Files qui décrivaient comment lancer une session MS-DOS virtuelle pour faire tourner vos vieux programmes DOS sous Windows. Je m’en souviens bien car à cette époque pour lancer certains jeux DOS sous Windows, il fallait configurer manuellement la mémoire étendue et la mémoire conventionnelle afin que ça démarre correctement…

Mais Raymond Chen, ce coquin, a décidé de planquer dedans une petite collection d’icônes 16 couleurs totalement inutiles. Des fenêtres, des balles, des trompettes, des chapeaux de magicien, des blocs de jeu avec des lettres, des nuages. Je suis sûr que ça va vous rappeler des souvenirs !! C’est le genre de trucs qu’on mettait sur nos raccourcis foireux quand on voulait customiser notre bureau Windows avec des icônes qui claquaient ^^.

Y’a même une pomme croquée du côté gauche… Ça ne vous rappelle rien ? C’est le genre de petite vanne passive-agressive que les développeurs Microsoft aimaient mettre partout dans les années 90.

Les nuages aussi, c’est pas un hasard. C’était le thème visuel de Windows 95. Vous vous souvenez du ciel bleu avec les nuages blancs qui s’affichait au démarrage ? Bah voilà, ils ont mis des icônes de nuages dans pifmgr.dll pour rester dans le mood.

Bref, aucune utilité pratique à tout ça, mais juste du fun. Et aujourd’hui, 30 ans plus tard (ouin ! on est vieux.), cette dll existe toujours dans Windows 11.

Et pas parce que Microsoft a voulu préserver l’histoire ou rendre hommage aux pionniers de Windows 95, non, la vraie raison, c’est que Microsoft a la flemme de la virer . Supprimer un fichier comme ça, ça coûte plus cher en tests et en compatibilité plutôt que de le laisser traîner.

Car oui, quelque part dans le monde, il y a forcément un script d’entreprise qui référence cette dll, ou un vieux raccourci qui pointe vers une de ces icônes. Et si Microsoft supprime le fichier, ben ça va péter quelque part, et ça va générer des tickets de support.

Donc Microsoft préfère garder ce petit fichier de 36 Ko qui ne fait de mal à personne. En plus, c’est tellement léger que ça ne vaut même pas le coup d’en discuter. Du coup, pifmgr.dll continue sa petite vie tranquille, planquée dans les profondeurs de Windows 11, comme une capsule temporelle des années 90 que personne n’a demandée mais que tout le monde garde par pure flemme.

Marrant non ?

Donc si vous voulez voir ces icônes de vos propres yeux, vous pouvez aller chercher pifmgr.dll dans votre installation Windows car elle est toujours là, avec ses 16 couleurs et ses gros pixels.

Merci à Lorenper pour ce partage qui m’a fait replonger dans mes souvenirs de Windows 95 !

Source

Vous vous souvenez de FCKGW-RHQQ2-YXRKT-8TG6W-2B7Q8 ?

Si vous avez touché à un PC entre 2001 et 2005, y’a des chances que oui ! C’était LA clé magique qui activait Windows XP sans broncher, celle qui circulait sur tous les forums, qui était sur tous les CD gravés, et toutes les installations pirates de la planète ! Dave Plummer, le gars qui a créé le Gestionnaire des tâches et le système d’activation de produits Windows chez Microsoft, vient de raconter sur son compte X toute l’histoire et c’est un régal à lire !

Déjà, pour les djeuns qui n’ont pas connu cette époque bénie, je vais vous donner un peu de contexte… Windows XP est sorti en octobre 2001 avec un super système d’activation antipiratage. E n gros, vous installiez le système, vous tapiez votre clé produit, et normalement ça vérifiait que vous n’utilisiez pas la même clé sur 50 machines. Sauf que FCKGW, elle, passait partout…. Des installations illimitées, aucune vérification, aucun blocage. Bref, le saint Graal du piratage Windows.

Et pendant des années, personne ne savait vraiment d’où elle venait. Une fuite ? Un employé de Microsoft rebelle ? Un hack génial ? Hé bien selon Dave Plummer, la vérité est à la fois plus simple et plus embarrassante pour Microsoft. En fait, cette clé, c’était une VLK, c’est à dire une Volume License Key. Les VLK ce sont des clés qui étaient faites pour les grandes entreprises qui devaient installer Windows sur des centaines de machines sans se taper l’activation à chaque fois. Microsoft les whitelistait directement dans le code d’activation de l’OS pour qu’elles passent sans contrôle.

Le problème, ou plutôt le GROS FUCKING PROBLEME, c’est que FCKGW a fuité seulement 5 petites semaines AVANT la sortie officielle de Windows XP. Oups la boulette !

C’est le groupe warez devils0wn a mis la main dessus et l’a balancée dans la nature et comme elle était whitelistée, Microsoft ne pouvait pas la désactiver sans casser toutes les installations légitimes des entreprises qui l’utilisaient. Du coup, bah y’avait plus rien à faire et ils ont laissé comme ça…

Dave Plummer explique que ça a été l’un des plus gros échecs de sécurité de Microsoft… la clé a circulé pendant des années, installée sur des millions de machines à travers le monde. Vous alliez chez un pote pour “réparer son PC”, vous sortiez votre CD Windows XP gravé, vous tapiez la FCKGW, et hop, il avait une installation propre et activée. Pas besoin de crack ni de keygen douteux. C’était royal !

Le truc marrant, c’est que pas mal de monde connaissait cette clé par cœur. Perso, j’ai pas été loin non plus de savoir la réciter par cœur les yeux fermés, à force de la taper. FCKGW-RHQQ2-YXRKT-8TG6W-2B7Q8 est gravée dans la mémoire collective de toute une génération de bidouilleurs PC, au même titre que les codes de GTA ou que la mélodie du modem 56k.

Voilà pour cette jolie histoire… Aujourd’hui, Windows XP n’est plus supporté depuis 2014, et cette clé ne sert plus à rien et Microsoft s’en fout d’ailleurs probablement. Mais 20 ans plus tard, on s’en souvient encore et c’est devenu un fail légendaire de plus dans l’histoire de l’informatique !

Source

Voici un documentaire qui va vous faire tourner la tête. Ça s’appelle La vraie vie , et c’est une série ARTE réalisée par Ekiem Barbier et Guilhem Causse qui a embarqué le comédien Victor Assié dans une aventure complètement barrée. Le concept c’est de tourner un documentaire entièrement dans un jeu vidéo de simulation de vie.

Dans ce film, Victor découvre un serveur de jeu où les gens s’amusent volontairement à jouer les fonctionnaires, les policiers ou les garagistes dans une petite bourgade virtuelle qu’ils ont eux-mêmes construite. Victor doit alors se faire une place parmi ces joueurs, trouver du boulot, gagner de l’argent, respecter le code de la route.

Bref, refaire exactement ce qu’il fait déjà dans la vraie vie, mais avec son avatar 3D.

Les réalisateurs n’en sont pas à leur coup d’essai car en 2023, ils ont sorti Knit’s Island, un documentaire tourné dans DayZ qui a remporté le Prix du Jury et le Prix FIPRESCI au festival Visions du Réel en Suisse. Pour ce film, leurs avatars ont passé 963 heures dans ce monde post-apocalyptique à rencontrer des communautés de joueurs et à filmer leurs interactions. Le machinima , cette technique qui consiste à créer des films avec des moteurs 3D de jeux vidéo, existe depuis une trentaine d’années, mais Knit’s Island était le premier à tenter un format long pour le cinéma.

Barbier et Causse se connaissent depuis l’École des Beaux-Arts de Montpellier et en 2016, ils ont même formé un groupe de recherche qui questionne le rapport à la réalité dans les jeux vidéo en ligne. Leur premier film, Marlowe Drive en 2017, était déjà un documentaire exploratoire tourné dans GTA V Online.

Pour La vraie vie, ils ont donc choisi un serveur de jeu de rôle basé sur le moteur d’Arma 3. Contrairement aux serveurs GTA RP français sur FiveM qui simulent la vie urbaine avec des poursuites de police et du crime organisé, ce serveur mise tout sur l’absurde bureaucratique. Victor doit donc passer son permis de conduire, acheter un téléphone portable, trouver du travail. À un moment, il se fait même arrêter pour excès de vitesse et le policier lui fait tout un speech sur les dangers de sa conduite imprudente. Un autre fois, il essaie désespérément de faire un spectacle de théâtre mais personne ne veut l’écouter, alors il récite du texte au milieu de la route.

Vous vous souvenez de keys.lol qui permettait de parcourir toutes les clés privées Bitcoin et Ethereum possibles ? Ou de everyuuid.com qui listait tous les UUID existants ? Hé bien voici la dernière création dans cette noble lignée de l’exhaustivité : infohash.lol , le site qui énumère tous les liens magnet BitTorrent possibles, teste le nombre de peers, et récupère les métadonnées.

Je me suis dit que ça pourrait vous intéresser, parce que ce projet est aussi chouette qu’absurde…

Faut d’abord savoir qu’un infohash BitTorrent, c’est un identifiant unique pour un torrent, calculé à partir du contenu du fichier .torrent. Infohash.lol génère tous les infohash possibles et les affiche par pages de 32. Alors ça fait combien de pages au total ? Hé bien, tenez-vous bien :

**45 671 926 166 590 716 193 865 151 022 383 844 364 247 891 968 pages. **

De quoi péter un câble si on devait tout parcourir 1 par 1 !

Pour chaque infohash généré, le site interroge le DHT BitTorrent (la table de hachage distribuée qui permet de trouver des peers sans serveur centralisé) pour voir s’il existe des peers qui répondent. Et c’est là que ça devient rigolo car beaucoup d’infohash affichent un seul peer solitaire. Des fantômes du DL qui répondent à l’appel sans qu’on sache vraiment ce qu’ils conservent. Le site tente aussi de récupérer les métadonnées associées, mais comme l’explique son créateur, il n’y a aucune garantie qu’un infohash corresponde à un vrai torrent car pas mal de crawlers et d’indexeurs annoncent régulièrement des infohash aléatoires sur le réseau, créant un genre de bruit de fond cosmique.

Du coup, chercher un torrent spécifique sur infohash.lol, c’est exactement comme chercher une aiguille dans une planète constituée de foin. En fait, même pas une planète, plutôt un univers entier de foin, quoi…

Mais ce qui est génial avec ce projet (et tous les projets similaires), c’est qu’il ne crée ni n’indexe vraiment l’information. Il la révèle, plutôt car tous ces infohash existent déjà dans l’espace mathématique, quelque part entre 0 et 2^160. Le DHT BitTorrent est conçu pour être difficile à énumérer complètement. Même si une extension (BEP 51) a été créée pour permettre aux indexeurs de sampler les infohash stockés par les nœuds, elle reste très peu implémentée et bruteforcer tous les infohash reste techniquement impossible avec nos moyens actuels. Mais mathématiquement ? Ils sont tous là, qui attendent.

Ça me fait penser à la Bibliothèque de Babel de Borges , cette histoire où une bibliothèque infinie contient tous les livres possibles, donc tous les textes jamais écrits et tous ceux qui ne le seront jamais. Infohash.lol, c’est un peu la même chose appliquée au BitTorrent et quelque part dans ces 45 septillions de pages, il y a l’infohash du torrent de votre film préféré, mais aussi l’infohash d’un torrent qui n’existe pas encore et qui ne sera créé que dans 10 ans.

Maintenant c’est sympa à essayer, en vrai, ça ne sert à rien. Enfin si, à deux ou trois trucs. Le site propose par exemple des exemples concrets comme l’infohash de Ubuntu 24.04.3 (d160b8d8ea35a5b4e52837468fc8f03d55cef1f7) ou du court métrage libre Sintel (08ada5a7a6183aae1e09d831df6748d566095a10) histoire de voir que ce n’est pas du flan. Vous pouvez aussi naviguer vers la première page, la dernière page, ou une page aléatoire mais l’immense majorité des infohash ne correspondent à rien du tout… C’est juste du vide.

C’est donc exactement le même paradoxe que keys.lol où toutes les clés privées Bitcoin et Ethereum entre 1 et 2^256 sont générées à la volée, avec vérification automatique des balances. En vert si le wallet a des fonds, en jaune s’il a été utilisé mais est vide, en rouge s’il n’a jamais servi. Techniquement, votre clé privée Bitcoin est quelque part sur ce site. Mais la trouver est impossible car l’espace des clés possibles est si vaste que tous les habitants de l’univers entier pourrait la chercher pendant des milliards d’années sans tomber dessus. C’est pour ça que la cryptographie moderne fonctionne… pas grâce à des murs infranchissables, mais grâce à l’impossibilité statistique pure.

Même délire avec everyuuid.com qui contient plus de 5 septillions d’UUID v4 possibles. Le site ne les stocke pas tous (évidemment), mais utilise un mapping bijectif où chaque index correspond à exactement un UUID et vice-versa. C’est, si vous préférez, un projet satirique sur l’absurdité de vouloir tout énumérer.

Et ces trois projets ont pour point commun de prouver concrètement POURQUOI la sécurité informatique moderne fonctionne si bien. Keys.lol démontre que votre Bitcoin est protégé par l’entropie mieux qu’aucun coffre-fort physique et Infohash.lol montre que le DHT BitTorrent est sécurisé par son propre chaos. La sécurité est dans l’impossibilité statistique de trouver la bonne combinaison parmi des trillions de trillions de possibilités.

Et contrairement aux collections physiques (timbres, cartes Pokémon, dates Tinder…etc), ces sites créent des collections où TOUT existe déjà mais où posséder n’a aucun sens. Vous ne pouvez pas collectionner tous les UUID parce qu’ils existent tous simultanément dans une abstraction mathématique. C’est l’anti-collection ultime… Un genre de musée où toutes les œuvres sont exposées mais où personne ne viendra jamais toutes les voir.

Bref, comme je vous le disais en intro, infohash.lol est un projet parfaitement inutile et totalement absurde. Mais ça nous fait réaliser l’échelle “cosmique” de la cryptographie…

Source

Encore une histoire complétement dingue qui va faire zizir aux fans de LEGO !

En 2020, un Suédois de 21 ans a balancé à la télé qu’il allait construire une vraie voiture en LEGO s’il gagnait l’émission. Et 3 ans plus tard, David Gustafsson a tenu sa promesse et il roule maintenant dans une Volvo V70 entièrement faite de briques.

Le mec a utilisé 400 000 pièces LEGO pour construire une réplique grandeur nature de sa propre V70 ce qui représente 1,2 tonnes de plastique assemblées brique par brique. Et ce qui est fou c’est que c’est une voiture qui roule vraiment, avec portes qui s’ouvrent, des rétroviseurs électriques et même des phares qui suivent le mouvement du volant.

Comme je vous le disais en intro, David participait à LEGO Masters Suède avec son pote Rickard. Et pendant l’épisode 7, l’animateur Mauri leur demande ce qu’ils feraient avec tous les LEGO s’ils gagnaient. David, pour rigoler, balance qu’il construirait sa voiture en taille réelle. Sauf que quand ils ont gagné, il s’est dit “bon bah, j’ai promis, je le fais”.

Surtout que le prix de LEGO Masters Suède, c’est pas du cash comme partout ailleurs. Non, c’est un super crédit pour commander des pièces directement chez LEGO à prix coûtant. David s’est donc retrouvé avec 400 000 pièces à disposition. Et en décembre 2020, il commence alors le boulot…

2400 heures de travail plus tard, début 2024, la bête est terminée.

Après je me suis demandais comment ça pouvait tenir ce truc, parce que des LEGO, c’est pas vraiment prévu pour supporter le poids d’un adulte qui roule à 20 km/h. Et bien apparemment, David a triché un peu (heureusement) en intégrant 3 éléments non-LEGO que sont les roues, le moteur électrique et un châssis métallique. Tout le reste, des sièges au tableau de bord en passant par le volant et le sélecteur de vitesse, c’est du LEGO pur !

Le plus impressionnant c’est qu’il a réussi à reproduire les courbes complexes d’une V70 de troisième génération (2008-2016) avec des briques rectangulaires. Vous avez déjà essayé de faire un truc rond avec des LEGO ? C’est l’enfer alors une voiture entière avec ses galbes et ses arrières-train arrondis…

Les boutons de la clim fonctionnent, le sélecteur de vitesse fait “clic” quand on change de position, et les rétroviseurs latéraux pivotent. Incroyable !

On est en septembre, c’est la rentrée, donc c’est l’occasion pour nous tous, de nous inscrire à ces clubs d’activités qui vous permettent de nous occuper afin de ne pas sombrer dans la dépression. Je pense aux clubs de dessin, de foot, de théâtre, et pour les plus fifous d’entre vous, le club de poterie !

Parce que oui, faire des petits boudins en terre pour les empiler afin d’en faire des vases moches, c’est super rigolo ! En plus si vous savez les émailler, vous pouvez même les vendre une couille dans votre petite boutique artisanale ouverte uniquement de 14h à 16h uniquement les jeudis entre mars et juillet.

Mais vous savez ce qui serait encore plus cool ? Ce serait d’utiliser tout cette argile et ce four incroyable pour réaliser des circuits imprimés capables de faire tourner un Arduino… Hé ouais !

Patrícia J. Reis et Stefanie Wuschitz , deux hackeuses du collectif féministe viennois Mz* Baltazar’s Lab, ont en effet développé une technique pour fabriquer des PCB avec de l’argile ramassée en forêt et de la poudre d’argent recyclée à partir de déchets de bijouterie, tout ça cuit à 700°C au feu de bois.

Je me dis que peut-être que nos ancêtres faisaient déjà du hardware sans le savoir… bah oui, leurs tablettes d’argile étaient quand même les premiers supports de stockage de données de l’humanité. Et aujourd’hui, on boucle la boucle en revenant à ces techniques ancestrales pour créer l’électronique du futur post-apocalyptique qui nous attend…

Leur projet est en réalité parti d’un constat assez brutal, car dans nos smartphones et nos ordinateurs, on trouve beaucoup de minerais issus de conflits. Je pense par exemple au tantale qui vient essentiellement de la République Démocratique du Congo et du Rwanda , où 40 000 enfants travaillent illégalement dans les mines. Je pense aussi aux populations de gorilles des plaines orientales qui ont été décimées à cause de l’exploitation du coltan dans le parc national Kahuzi-Biega… etc., etc.

Alors face à ce désastre, les deux hackeuses ont décidé de tester cette alternative radicale. D’abord, elles sortent se balader dans leur forêt autrichienne avec une bouteille d’eau. Elles ramassent de la terre, y versent un peu d’eau, et si ça devient malléable entre les doigts, bingo, c’est de l’argile.

Ensuite, elles nettoient la terre avec une passoire de cuisine pour enlever les cailloux et les insectes, ajoutent 100ml d’eau par kilo de terre, et pétrissent comme pour faire du pain. Ensuite, pour les pistes conductrices, elles utilisent un genre de tampon imprimé en 3D qu’elles appliquent sur la tuile pour dessiner le circuit, ainsi que de la poudre d’argent récupérée dans des ateliers de bijouterie.

Elles peignent alors à la main les circuits sur l’argile avec un pinceau ultra-fin, comme des enluminures électroniques. C’est un processus lent, méditatif, aux antipodes de la production industrielle frénétique.

Et la forme hexagonale qu’elles ont choisie pour leurs PCB n’est pas anodine puisque c’est la forme optimale dans la nature : les alvéoles des abeilles, les cristaux de basalte, et même la structure du graphène. Elles voulaient en effet pouvoir assembler plusieurs circuits comme des tuiles, afin de créer des réseaux modulaires. Une super idée, mais qu’elles ont du abandonner à cause de la difficulté d’obtenir des bords parfaitement droits avec l’argile naturelle.

Le tutoriel qu’elles ont publié est une mine d’or, car elles y détaillent comment créer un tampon 3D pour imprimer le circuit dans l’argile (1,2mm de profondeur, en tenant compte du rétrécissement de 5% à la cuisson), comment programmer une puce ATmega328 récupérée sur un Arduino défectueux, et même comment souder les composants avec de la pâte à souder sans plomb qui respecte les standards du commerce équitable. Toutes les sources sont même sur Github.

La cuisson au feu de bois est surtout le moment magique. Elles creusent un trou dans leur jardin, construisent un lit de branches sèches pour poser les circuits, ajoutent une deuxième couche de branches fines par-dessus, et laissent le feu faire son œuvre pendant 20 minutes. Les circuits deviennent alors incandescents, puis elles les plongent directement dans l’eau froide. Si l’argile n’a pas de bulles d’air et a bien séché, il résiste au choc thermique.

Ensuite y’a plus qu’à souder les composants et le circuit final peut alors contrôler des capteurs capacitifs, des LEDs, des moteurs, exactement comme un Arduino classique. Elles ont même développé un code open source disponible sur GitHub pour gérer les entrées/sorties.

Alors, faire ses propres PCB avec de l’argile et des matériaux de récup, c’est peut-être utopique, mais face aux 50 millions de tonnes de déchets électroniques produits chaque année et aux ravages des minerais issus de conflit, c’est une jolie forme d’hacktivisme.

Voilà, donc la prochainement que vous aurez envie de vous mettre à la poterie, dites-vous que c’est peut-être plus que ça… Peut-être que vous êtes déjà en train de vous former à une technologie à la fois ancestrale et de pointe qui sera le futur de l’électronique.

Car après tout, entre une tablette d’argile sumérienne et un PCB en terre cuite, il n’y a que 4000 ans et quelques lignes de code Arduino…

Ce weekend, j’ai découvert un truc complètement barré qui risque de vous faire repenser tout ce que vous savez sur le e-commerce. Ça s’appelle AnyCrap , et c’est littéralement une boutique en ligne qui vend… rien. Enfin si, elle vend des concepts de produits qui n’existent pas. Et c’est plus que brillant, vous allez voir !

L’idée est simple comme bonjour mais fallait y penser : Vous tapez n’importe quel nom de produit débile qui vous passe par la tête, genre des chaussettes téléportantes ou du café qui rend invisible, et le site vous génère instantanément une fiche produit complète avec description, caractéristiques et même des avis clients. Le tout propulsé par l’IA, évidemment.

Screenshot

Sur la page d’accueil, on vous promet de “trouver vos produits à travers les dimensions parallèles”. Marketing génial ou folie douce ? Les deux mon capitaine. Le slogan “Tomorrow’s products, available today (not actually available)” résume d’ailleurs parfaitement l’esprit de ce site… on est dans l’absurde assumé et ça fait du bien.

Ce qui me fascine, c’est que pendant que le marché de l’IA dans l’e-commerce atteint 6,63 milliards de dollars avec des assistants shopping ultra-sérieux, AnyCrap prend complètement le contre-pied. Au lieu d’optimiser les conversions et de tracker chaque pixel, ils ont créé un anti-marketplace où l’objectif n’est pas de vendre mais de faire rêver.

Cette anti-marketplace propose même des catégories comme “Weird Tech Stuff” et “Snacks From Outer Space” où chaque produit généré est unique, avec sa propre mythologie et ses caractéristiques loufoques. Techniquement, on est probablement sur un mix de ChatGPT pour les descriptions et peut-être DALL-E ou Midjourney pour les visuels et ce concept rejoint un peu d’ailleurs ce que propose Writecream avec son générateur de reviews fictives , sauf qu’ici c’est tout l’écosystème commercial qui est fictif.

La promesse de “livraison instantanée” de concepts m’a fait aussi marrer. En gros, vous commandez une idée et vous la recevez immédiatement dans votre cerveau. Zéro émission carbone, zéro déchet, 100% satisfaction garantie puisque vous n’avez rien acheté de tangible.

Dans un monde où on nous vend des NFT de singes à des millions et où le metaverse était censé révolutionner le shopping, AnyCrap a au moins le mérite d’être honnête sur sa proposition : on ne vous vend rien, mais on le fait avec classe.

Le site propose même une newsletter pour recevoir des produits fictifs chaque semaine. Maintenant, si on creuse un peu, AnyCrap pose surtout des questions intéressantes sur la nature même du commerce. Qu’est-ce qu’on achète vraiment quand on fait du shopping en ligne ? L’objet ou l’idée de l’objet ? Le produit ou la dopamine liée à l’acte d’achat ? En vendant littéralement du vent, AnyCrap révèle peut-être quelque chose de plus profond sur notre société de consommation…

Et pour les créatifs, c’est une mine d’or. Scénaristes en panne d’inspiration pour un objet magique ? Game designers cherchant des idées d’items ? Publicitaires voulant brainstormer sur des concepts produits ? AnyCrap devient un générateur d’idées déguisé en boutique.

Le plus beau dans tout ça c’est que le site accepte même les paiements (enfin, il y a un bouton pour soutenir le créateur). Donc techniquement, vous pouvez payer pour ne rien acheter…

Bref, c’est super fun ! Allez faire un tour sur AnyCrap.shop , inventez le produit le plus débile possible, et savourez l’absurdité. C’est gratuit, et ça va bien vous occuper en ce chouette lundi matin !

Vous savez quel est le problème avec les serveurs web mal configurés ? C’est qu’ils sont comme ces vieux greniers où on entasse tout et n’importe quoi en pensant que personne n’ira jamais fouiller. Sauf que sur Internet, il y a toujours quelqu’un pour venir mettre son nez dans vos affaires.

J’ai récemment découvert dans DirSearch et cet outil reste une valeur sûre. Pendant que tout le monde s’excite sur les dernières IA et les zero-days à 100k$, ce petit scanner Python continue tranquillement de faire le job depuis des années.

Le principe est simple comme bonjour. Vous lui donnez une URL et une wordlist, et il va tester méthodiquement tous les chemins possibles pour voir ce qui traîne. Des fichiers de backup oubliés, des répertoires d’admin planqués, des configs exposées… Le genre de trucs qui peuvent transformer une simple reconnaissance en jackpot pour un pentester.

Ce qui rend DirSearch efficace, c’est son approche multi-threadée. Là où un script basique va tester les chemins un par un comme un escargot sous Valium, lui peut balancer des centaines de requêtes simultanées. Le multithreading permet de tester des milliers d’entrées rapidement.

Mais attention, ce n’est pas qu’une histoire de vitesse brute. L’outil est assez malin pour gérer les redirections, les codes d’erreur personnalisés, et même les WAF qui essaient de vous bloquer. Il peut adapter ses requêtes, changer de User-Agent, utiliser des proxies… Bref, il sait se faire discret quand il faut.

Pour l’installer, rien de plus simple. Un petit pip install dirsearch et c’est parti. Ou alors vous clonez le repo GitHub si vous préférez avoir la version de développement. Dans les deux cas, c’est opérationnel en 30 secondes chrono.

L’utilisation basique ressemble à ça :

dirsearch -u https://target.com

L’outil va automatiquement utiliser sa wordlist par défaut et commencer à scanner. Mais évidemment, c’est en personnalisant les options qu’on obtient les meilleurs résultats.

Vous pouvez spécifier les extensions à tester avec -e php,asp,txt. Pratique quand vous savez que le serveur tourne sous une techno particulière. Le flag -r active la récursion pour explorer les sous-répertoires trouvés. Et avec --exclude-status 404,403, vous filtrez le bruit pour ne garder que les résultats intéressants.

Un truc que j’aime bien, c’est la possibilité de sauvegarder les résultats dans différents formats. L’outil supporte plusieurs formats de sortie : JSON pour parser facilement, texte simple pour un rapport rapide, ou XML pour l’intégration dans d’autres outils.

Comparé à ses concurrents comme Gobuster (codé en Go) ou Dirb, DirSearch s’en sort bien avec sa gestion efficace des cas particuliers.

L’outil gère aussi les authentifications HTTP basiques, les cookies de session, les headers personnalisés… Tout ce qu’il faut pour scanner des applications web modernes qui demandent une authentification. Vous pouvez même lui passer un certificat client si le serveur l’exige.

Le projet est hébergé sur GitHub où vous pouvez contribuer ou signaler des bugs.

Bon par contre, comme tout outil de scanning, utilisez-le uniquement sur des systèmes que vous êtes autorisé à tester. Scanner le site de votre banque “pour voir”, c’est le meilleur moyen de vous attirer des ennuis. Et croyez-moi, expliquer à un juge que c’était “juste pour apprendre”, ça passe moyen.

Pour les pros du pentest, DirSearch s’intègre bien dans une méthodologie complète. Vous commencez par un scan de ports avec Nmap, vous identifiez les services web, et hop, DirSearch entre en jeu pour explorer l’arborescence. Combiné avec Burp Suite pour l’analyse approfondie des résultats intéressants, c’est redoutable.

Pas d’IA, pas de machine learning, pas de blockchain. C’est un outil classique de brute-force intelligent qui complète bien une méthodologie de test complète… et franchement, quand on voit le nombre de serveurs qui traînent encore des phpMyAdmin non protégés ou des .git exposés, on se dit que les basiques ont encore de beaux jours devant eux.

Source

Vous allez encore vous marrer et m’envoyer des emails outragés parce que je vais encore troller Microsoft. Oui je vous parle bien de cette entreprise valorisée à 3600 milliards de dollars qui vient de nous offrir un moment de pur génie marketing. Leur compte Surface officiel sur X a publié une photo promotionnelle de leur “ultimate research buddy”, le fameux Surface Pro.

Sauf que y’a un petit problème… L’écran montre iPadOS au lieu de Windows.

Hé oui Microsoft a fait la promotion de son produit phare en montrant le système d’exploitation de son concurrent direct, Apple. C’est comme si Coca-Cola faisait une pub en versant du Pepsi dans ses canettes.

L’image publiée à 17h pile vendredi dernier montrait donc une Surface Pro avec son stylet, accompagné du message : “Read, highlight, summarize, repeat, all on Surface Pro, the ultimate research buddy.” Sauf que sur l’écran, on pouvait clairement voir Word… avec la barre de statut d’iPadOS en haut et l’indicateur Home en bas. Un montage Photoshop tellement mal fait qu’on se demande s’ils ont pas utilisé Paint.

Internet n’a pas mis longtemps à réagir. Les moqueries ont fusé de partout. “Comment une entreprise valorisée à plusieurs milliers de milliards peut-elle faire une erreur pareille ?”, demande un utilisateur. Un autre a lâché le commentaire qui tue : “Même Microsoft n’arrive pas à se résoudre à utiliser Surface.” lol, j’adore !

Le plus beau dans tout ça ce sont les Community Notes de X qui ont dû intervenir pour fact-checker Microsoft. Bref, on touche le fond.

Cette mésaventure illustre en tout cas parfaitement l’état actuel de Microsoft sous le règne de Satya Nadella. Car le PDG est tellement obsédé par l’IA qu’il en oublie les produits grand public. J’en veux pour preuve sa dernière lettre aux actionnaires, où il a mentionné 152 fois l’IA, une seule fois Windows, et la Surface, zéro.

En plus, Microsoft a licencié des milliers d’employés cet été, fermé ses boutiques physiques, et apparemment aussi viré son équipe de réseaux sociaux car sinon, comment expliquer qu’un post aussi mal fichu soit resté en ligne pendant presque 24 heures ?

Le pire, c’est que ce n’est pas la première fois. Souvenez-vous quand Surface avait le contrat avec la NFL et que les commentateurs n’arrêtaient pas d’appeler les tablettes des “iPads”. En plus ils détestaient la Surface comme jamais, regardez ça :