C'est toujours un peu magique, ces histoires d'ondes radio. On sait par exemple que notre box Wi-Fi "voit" déjà quand on traverse le salon, sauf que jusqu'ici, personne ne l'écoutait vraiment. Mais j'ai découvert qu'on pouvait aller encore plus loin avec un simple ESP32 à 10 balles et le projet eSpectre de Francesco Pace. Pas de caméra ni de micro mais juste des ondes Wi-Fi qui rebondissent dans la pièce, et un capteur qui les écoute.

Quand vous bougez votre petit corps tout mou, vous déformez les ondes qui circulent entre votre box et l'ESP32, un peu comme votre main qui passe devant une lampe et fait bouger l'ombre sur le mur. Et c'est grâce à ces micro-perturbations, que ce petit appareil qui se connecte au Wifi est capable de mesurer, surveiller et analyser le moindre mouvement en temps réel (ce qu'on appelle le CSI, pour Channel State Information). Et l'ajout au réseau wifi se fait très simplement puisqu'il suffit de flasher la bestiole via ESPHome, ensuite vous remplissez un petit fichier YAML, vous lui faites rejoindre votre réseau wifi et le tour est joué !! 15 minutes plus tard, le capteur apparaît tout seul dans Home Assistant.

Et puis n'importe quel ESP32 qui traîne dans un tiroir fera l'affaire (les C6 et S3 sont les plus à l'aise).

Ce sont des chercheurs qui nous ont pondu cette technologie il y a une quinzaine d'années, et l'IEEE vient de la normaliser depuis l'année dernière sous le doux nom de 802.11bf. Ce qui a tout changé, c'est qu'Espressif a donné un accès au CSI directement sur ses puces alors qu'avant il fallait du matériel à plusieurs centaines d'euros. Maintenant ça tient sur un composant à 10€ et eSpectre va même plus loin avec un petit algo maison qui choisit tout seul les 12 sous-porteuses les plus stables au démarrage. Le seul truc c'est de garder la pièce immobile durant les 10 secondes qui suivent le boot, le temps qu'il se calibre.

Après si vous n'êtes pas très familier avec la domotique, vous pourriez vous demander à quoi ça sert.

Et bien par exemple à allumer la lumière quand vous entrez, couper le chauffage dans les pièces vides, ou garder un œil sur l'activité d'un parent âgé, tout ça sans caméra intrusive. Et si vous partez de chez vous, sachez que ça peut vous alerter au moindre mouvement pendant les vacances.

Le fait de pouvoir l'utiliser également pour la sécurité de votre domicile je trouve que c'est vraiment un gros plus !!

Et puis une fois encore, le respect de la vie privée est au centre des préoccupations du projet puisque toutes les données sont conservées en local, sur l'ESP32. Rien ne quitte votre réseau... On est vraiment à l'opposé par exemple de cette caméra connectée qui suit vos chats et finit par filmer tout le salon.

Sauf que, et Francesco est le premier à le marteler dans la doc du projet, cette même techno peut servir à surveiller des gens sans leur consentement. Concrètement, il suffit que l'attaquant trafique un routeur pour enregistrer 24h/24 les déplacements de personnes qui n'en savent rien. Et cela même à travers les murs, de manière complètement silencieuse et très peu chère.

D'ailleurs le Wi-Fi sait déjà aller plus loin que "ça bouge ou pas", jusqu'à vous reconnaître rien qu'à votre démarche . La surveillance sans la caméra, ça veut dire qu'il n'y a pas de petit voyant rouge ou d'objectif qui déclenche la méfiance. C'est super cool bien sûr, mais attention, juridiquement, car pister les déplacements de gens identifiables sans les prévenir, ça reste de la donnée personnelle et ça vous expose direct au vilain méchant RGPD.

Après, ça ne remplace pas encore un radar et le signal bouge davantage avec l'environnement (les meubles, la météo, un voisin dont le réseau sature le 2.4GHz) qu'avec vous. Donc faux positifs garantis quand le chat ou l'aspi robot passe ou que le store se relève. Et si y'a plusieurs personnes, comme il ne sait pas compter, c'est mouvement ou pas mouvement, point. A titre de comparaison, un capteur radar de type mmWave dédié comme le LD2410 est capable aussi de vous repérer même immobile sur le canapé, donc il vaut mieux conserver ce genre de capteurs aux pièces vraiment critiques où rien ne respire (genre votre coffre fort personnel de 2 m3 caché dans le sous-sol).

Bref, si vous avez déjà Home Assistant et un ESP32 qui dort dans un carton, ça vaut une soirée de test, puisque c'est sur GitHub . Juste, prévenez les gens qui vivent sous le même toit que vous avant de jouer aux espions...

Quand on est habitué à Linux et qu'on se retrouve avec un Mac, même si c'est une base unix, c'est déroutant. Heureusement, Apple est de plus en plus ouvert au monde du libre et vient de publier la version 1.0 de Container , avec dedans des "container machines" qui ressemblent furieusement à WSL. Et ça nous permet comme ça d'avoir le meilleur des deux mondes : un macOS pour le quotidien, et un vrai Linux pour vos folles bidouilles.

Vous vous souvenez forcément de mon article où je vous présentais Apple Container , cet outil écrit en Swift qui fait tourner des conteneurs Linux dans des petites machines virtuelles. Et bien un an plus tard, le projet passe en 1.0, pile pour la WWDC, et la grosse nouveauté c'est donc ce mode "machine".

Le CLI container en action, sobre comme un terminal qui bosse ( Source )

Il s'agit d'un environnement qui vous permet de faire tourner de vraies distributions Linux comme Ubuntu, Debian ou Alpine, et pas juste un conteneur modelé sur une application. La machine lance le système d'init de l'image, donc un systemctl start postgresql fonctionnera comme sur un vrai serveur.

Et à la reconnexion, à partir du même terminal ou d'un autre, l'état de la machine n'est pas perdu. Surtout, elle mappe automatiquement votre utilisateur et votre répertoire home. Votre repo vit ainsi dans le $HOME de macOS, du coup vous éditez avec votre IDE côté Mac et vous compilez côté Linux, sans étape de copie entre les 2.

Pour la prise en main, entrez les commandes suivantes en prenant soin de remplacer alpine par la distrib de votre choix :

container machine create alpine:latest --name dev
container machine run -n dev whoami # votre user, pas root
container machine run -n dev # shell interactif

À la WWDC 2026, Apple a survolé la nouveauté en quelques secondes. Dans iOS 27, l'app Mots de passe ne se contente plus de signaler vos identifiants vulnérables, elle les remplace toute seule, en se rendant sur chaque site à votre place.

Le déroulé ressemble à de la magie un peu inquiétante. Vous validez une fois, puis Apple Intelligence, le moteur d'intelligence artificielle maison, ouvre le site visé dans Safari, saisit vos identifiants stockés dans le Trousseau iCloud, navigue jusqu'au formulaire de changement de mot de passe, en génère un nouveau long et aléatoire, puis l'enregistre, sans que vous ayez à toucher quoi que ce soit.

Apple parle d'agent. Le mot décrit une IA qui n'attend plus une question pour répondre, mais qui clique, navigue et mène une tâche complète à votre place.

Cette app Mots de passe n'a que deux ans. Apple l'a lancée en 2024 avec iOS 18 pour extraire le Trousseau iCloud, son gestionnaire de mots de passe historique, du fond des Réglages où plus personne ne l'ouvrait. Depuis, elle détecte sans peine un code trop court, un identifiant réutilisé sur trente sites ou une adresse compromise dans une fuite de données.

Mais elle restait passive. Le bouton "Modifier le mot de passe" renvoyait l'utilisateur faire la corvée lui-même, sur le site, à la main. Résultat, presque personne ne s'y collait.

Apple jure que rien ne sort du Trousseau, chiffré en AES 256 bits, un standard que l'entreprise affirme ne pas savoir déchiffrer elle-même. Pendant l'opération, une Live Activity affiche la progression dans la Dynamic Island, ce bandeau interactif en haut de l'écran des iPhone récents.

L'inconnue tient en un chiffre. Combien de sites se laisseront réellement manœuvrer par cette IA ? Entre les pages de connexion maison, les formulaires exotiques et la double authentification par SMS, beaucoup risquent de bloquer l'opération en cours de route. Un développeur a estimé le taux de réussite à 3% des comptes. Apple, plus diplomate, évoque des "comptes éligibles", ce qui revient à reconnaître la limite.

Et puis il y a l'éternel problème européen. Comme tout repose sur Apple Intelligence, dont le déploiement dans l'Union européenne traîne depuis le départ pour cause de bras de fer réglementaire, la fonction risque encore de se faire attendre de ce côté de l'Atlantique. iOS 27 tourne déjà en bêta développeurs, passe en bêta publique en juillet et sortira pour tous en septembre.

Déléguer ce genre de corvée à une IA, sur le papier, c'est futé. En pratique, lâcher un agent seul sur son compte bancaire, c'est courageux.

Source : 9to5mac

Une créatrice connue sous le pseudo de Kiara a reconstruit Goddard, le chien mécanique du dessin animé Jimmy Neutron, en taille réelle et en version qui bouge pour de bon.

Pour ceux qui n'ont pas grandi avec la série, Goddard est le compagnon canin du petit génie Jimmy Neutron : un chien entièrement robotique, capable de se transformer et de rendre toutes sortes de services improbables à son maître. Le rêve de gosse de pas mal de trentenaires d'aujourd'hui.

Kiara raconte avoir eu envie de ce magnifique toutou pour elle-même. Plutôt que de modéliser le personnage à partir de zéro, elle a récupéré le modèle 3D directement dans la version GameCube du jeu Jimmy Neutron, avant de l'adapter pour l'imprimer à l'échelle 1.

Récupérer un modèle dans un jeu GameCube vieux d'une vingtaine d'années pour le réimprimer aujourd'hui, l'idée a quelque chose d'assez gonflé. Les fichiers d'un vieux jeu vidéo ne sont évidemment pas pensés pour sortir d'une imprimante 3D, il a donc fallu nettoyer et retravailler toute la géométrie avant de lancer la moindre pièce.

Vous aimez bosser avec un petit fond sonore ?

Et bien sachez qu'Anthropic diffuse désormais sa propre radio lofi sur YouTube, 24h sur 24. Ça s'appelle Claude FM et c'est même planqué dans Claude Code derrière la commande /radio.

Le visuel du stream, sobre comme la com' qui va avec

Il existe pleins de chaînes qui proposent ça, la Lofi Girl en tête donc à vrai dire ce n'est pas une grosse nouveauté en soi. Sauf que là, le lancement s'est fait à la sauce easter egg sans billet de blog, et pas même une ligne dans le changelog (j'ai vérifié, que dalle) ! Juste un tweet sur le compte @ClaudeDevs avec écrit "/radio", et rien d'autre.

Du coup, vous tapez /radio dans Claude Code, que vous soyez sur macOS, Linux ou Windows, et hop, le stream s'ouvre dans votre navigateur. Et si vous êtes en SSH sur une machine sans interface graphique, cette commande affichera simplement l'URL du flux.

GitHub a désactivé 73 dépôts appartenant à Microsoft en l'espace de 105 secondes, le temps de couper la propagation d'un ver baptisé Miasma.

Un ver, vous le savez, c'est ce genre de logiciel malveillant qui se recopie tout seul d'un projet à l'autre, sans la moindre intervention humaine. Celui-là s'attaque directement aux développeurs, et plus précisément à leurs outils.

Tout est parti du dépôt Azure/durabletask. Un compte de contributeur compromis y a poussé un commit piégé, qui déposait au passage quelques fichiers de configuration. Anodin, en apparence.

Sauf que ces fichiers déclenchaient une exécution de code à distance, autrement dit l'attaquant faisait tourner son propre code sur votre machine, dès l'instant où vous ouvriez le dépôt dans un éditeur. Et pas n'importe lesquels : les assistants de codage dopés à l'IA étaient explicitement visés, Claude Code, Gemini CLI et Cursor en tête. Objectif, siphonner les secrets d'accès au cloud et les configurations des outils de développement, surtout sous Linux.

La purge a frappé quatre organisations GitHub de Microsoft d'un coup : toute l'org Azure Functions, l'ensemble de la famille Durable Task, et une série d'applications-exemples destinées à l'IA.

Problème, parmi les dépôts désactivés se trouvait Azure/functions-action, une brique que des milliers de projets appellent dans leurs chaînes d'automatisation, celles qui compilent et déploient le code sans intervention manuelle. Du coup, dès que functions-action@v1 a cessé de répondre, des pipelines entiers se sont effondrés en cascade, bien au-delà des serveurs de Microsoft.

Ce n'est pas la première sortie de Miasma. Le 19 mai, le ver visait déjà le paquet durabletask sur PyPI, le dépôt public où les développeurs Python piochent leurs briques de code : trois versions vérolées y ont été publiées en 35 minutes. Le 3 juin, c'est plus de 50 paquets npm, l'équivalent côté JavaScript, qui passaient à la moulinette.

Le retour sur durabletask interroge. Pour Ashish Kurmi, directeur technique de la société de sécurité StepSecurity, les jetons d'accès du compte développeur déjà compromis lors de l'attaque sur PyPI n'avaient visiblement pas tous été révoqués. La même porte est restée grande ouverte.

Côté filiation, l'éditeur de sécurité Snyk décrit Miasma comme un descendant de Mini Shai Hulud, un ver revendiqué par le groupe cybercriminel TeamPCP, qui a ensuite gentiment publié son code en open source. Microsoft, de son côté, n'a pas répondu aux sollicitations de la presse.

Bref, un seul commit, et c'est tout un pan de l'infrastructure des développeurs qui tremble.

Source : The Register

Vous avez déjà tous joué avec Flightradar pour pister un vol, ou cliqué au pif sur un globe terrestre pour écouter une radio FM brésilienne . Hé bien Pocket World , c'est un peu tout ça en même temps, plus la météo, les séismes, les bases militaires, les câbles sous-marins, les volcans en éruption, les indices boursiers et la qualité de l'air. Tout ça, accessible sur un seul globe 3D dans votre navigateur !

Vous chargez la page (C'est du Three.js et Globe.gl pour les curieux) et vous atterrissez sur la Terre. Une barre vous liste les couches activables : avions civils, cargos, militaires, navires en mer ou en rivière, satellites (le catalogue en affiche plus de 17 000), foudre en direct via Blitzortung, séismes via l'USGS, fusées qui partent dans la semaine.

Flight Radar gratuit

La force du truc, c'est que l'agrégation est super propre. Les vols viennent d'OpenSky Network et d'ADSB.lol, les navires d'AISStream et d'AIShub, la météo d'Open-Meteo, les satellites de CelesTrak, les radios de Radio Browser, la télé d'IPTV-org. Bref, que des sources publiques bien connues des bidouilleurs, sans scraping crado ni API obscure.

Côté espace, vous suivez l'ISS, les passages Starlink au-dessus de votre tête, les lancements à venir via Launch Library 2, et même les alertes éruptions solaires du NOAA SWPC.

Il y a 55 milliardaires en France

Et il y a des couches franchement originales pour un simple globe trackeur comme les ressources minières par pays (lithium, terres rares, uranium, cobalt), les pipelines et terminaux GNL, les data centers, les zones de sanctions, les navires sous pavillon piraté, ou la dette publique en pourcentage du PIB.

Maintenant, j'ai aucune idée de qui est derrière puisqu'il n'y a pas de page "team", ni de GitHub mais sachez que si ça vous plait, le site accepte les donations en Bitcoin, Ethereum, USDT et TON.

Les lancements de fusées

Bref, à garder en favoris pour la prochaine pause-café où vous voulez regarder ce qui se passe sur la planète.

Et merci j0j0b4rj0 pour le lien !

Si vous êtes développeur en Iran, à Cuba ou en Corée du Nord, vous venez officiellement de perdre l'accès à Let's Encrypt !

En effet, la version 1.7 du Subscriber Agreement publiée par l'ISRG (Internet Security Research Group), l'organisation derrière le service, est malheureusement entrée en vigueur le 4 juin dernier. Et sur les 8 pages du document, il n'y a qu'un seul ajout, mais il pèse trèèès lourd : section 3.1, un nouveau bullet point oblige maintenant chaque utilisateur à garantir qu'il "n'est pas localisé, organisé sous les lois de, ou résident dans un pays cible de sanctions américaines complètes".

En pratique, la liste OFAC des juridictions sous sanctions globales actuelles couvre Cuba, l'Iran, la Corée du Nord, et les zones occupées de Crimée, Donetsk et Lougansk (la Syrie en a été retirée fin 2025 ce qui montre bien à quel point ce périmètre peut évoluer rapidement).

Et le couperet ne tombe pas que sur des États-paria abstraits puisque ONG d'aide humanitaire, journalistes, universités, et tout le monde qui travaille ou vit dans ces zones perd le service. Du coup, pour récupérer un certificat HTTPS gratuit, vous devez maintenant signer une clause d'embargo. Plusieurs utilisateurs rapportent également que des certificats de sites russes auraient déjà été révoqués au cours des derniers mois, sans préavis officiel de l'ISRG...

Le piège, c'est la section 2.2 du contrat, intacte depuis longtemps mais qui prend un sens tout neuf : l'agrément reste en vigueur tant que vous possédez un seul certificat valide. Cela veut dire qu'une violation potentielle sur UN certificat peut donc, en théorie, déclencher une révocation en cascade de TOUS les autres, un peu comme un crédit immobilier où une mensualité ratée rendrait tout le contrat caduque...

Je vous laisse imaginer la tronche d'un hébergeur qui gère mille sites le jour où ça tombe et qui crée des certificats Let's Encrypt pour ses clients... La section 4.2 énumère onze motifs de révocation activables "à la seule discrétion" de l'ISRG, dont la violation de l'agrément et un joli fourre-tout "d'autres motifs raisonnables et légaux".

Notez que l'ISRG est domiciliée à San Jose, en Californie et que tous les CA américains (DigiCert, Sectigo, GlobalSign US) sont déjà soumis aux mêmes obligations OFAC depuis toujours, donc c'est pas vraiment non plus une surprise... Mais ça tombe toujours mal ce genre de conneries.

Maintenant, côté alternatives, si vous voulez sortir de la juridiction US, y'a pas grand chose... Je me souviens de ZeroSSL qui ressemblait à une option européenne mais qui a été racheté début 2024 par HID Global (filiale du suédois Assa Abloy, basée au Texas... donc aux Etats-Unis), donc soumis aux mêmes obligations OFAC à terme. Après vous avez peut-être des services à me recommander ? Sinon il faudra passer par des certificats payants.

Bref, le HTTPS gratuit a toujours eu un drapeau, mais on faisait juste semblant de l'oublier...

Cabel Sasser, le boss de Panic Inc. (les gars derrière Coda, Nova et la fameuse Playdate ), vient de tomber sur un easter egg complètement génial dans LEGO Batman: Legacy of the Dark Knight, le jeu sorti fin mai 2026.

Et ce qu'il a découvert, c'est un petit programme Commodore 64 en BASIC affiché à l'écran sur l'ordi de Batman. Du vrai BASIC qui s'exécute vraiment si vous le retapez sur la vieille bécane de 1982, celle qui a été vendue, je le rappelle, à 17 millions d'unités, avec son CPU MOS 6510 cadencé à 1 MHz et ses 64 ko de RAM. Le programme, une fois lancé, dessine un sprite Batman qui rebondit aux quatre coins de l'écran, façon économiseur d'écran DVD des années 2000 (vous voyez le délire, le petit logo qui galère à taper pile dans le coin ?).

10 V=53248:POKE V+21,0:X=120:Y=120:POKE V+4,X:POKE V+5,Y:POKE V+21,4
11 POKE 2042,13:POKE 53277,15:POKE 53289,7
20 FOR N=0 TO 62:READ Q:POKE 832+N,Q:NEXT:DX=7:DY=3
30 X=X+DX:IF X>255 THEN X=255:DX=-DX
31 IF X<65 THEN X=65:DX=-DX
35 Y=Y+DY:IF Y>200 THEN Y=200:DY=-DY
36 IF Y<65 THEN Y=65:DY=-DY
40 POKE V+4,X:POKE V+5,Y:GOTO 30
200 DATA 0,0,0, 0,0,0, 12,68,96, 56,108,56, 120,124,60, 120,124,60
207 DATA 252,124,126, 255,255,254, 255,255,254, 255,255,254
211 DATA 143,255,226, 7,255,192, 3,255,128, 2,124,128
215 DATA 0,56,0, 0,56,0, 0,16,0, 0,16,0, 0,0,0, 0,0,0, 0,0,0
RUN

Le conseil de pilotage de Python, l'instance qui tranche les grandes décisions du langage, a demandé le 5 juin la suspension de tout nouveau développement sur son compilateur JIT.

Un JIT (just-in-time), c'est un compilateur à la volée : au lieu d'interpréter votre code ligne par ligne, il traduit les portions les plus sollicitées en instructions machine pendant l'exécution, histoire de gagner en vitesse. Python en a un, expérimental, depuis la version 3.13 sortie début 2024.

Le problème n'est pas le code. Il est dans la procédure.

Ce JIT est arrivé dans la branche principale de CPython, l'implémentation de référence du langage, sans passer par le circuit de décision habituel. Chez Python, toute évolution majeure doit faire l'objet d'un PEP, un document formel que la communauté discute puis valide. Celui qui couvre le JIT, le PEP 744 signé Brandt Bucher et Savannah Ostrowski, n'est qu'informatif et laisse plusieurs questions en suspens : la maintenance future, la compatibilité avec l'outillage existant, les critères de réussite mesurables.

Le conseil l'a reconnu noir sur blanc : il n'a pas été "aussi strict sur le respect du processus qu'un changement de cette ampleur le méritait". Responsabilité partagée, donc.

En pratique, plus aucune nouvelle fonctionnalité JIT ne peut atterrir sur la branche principale tant qu'un PEP en bonne et due forme n'est pas accepté. Les corrections de bugs et de sécurité, elles, continuent. Le conseil laisse une fenêtre de six mois pour soumettre et faire valider ce document. Passé ce délai, faute d'accord, le code du JIT sera purement et simplement retiré.

Le timing est mauvais. Le JIT amélioré était l'une des nouveautés mises en avant de Python 3.15, dont les fonctionnalités sont déjà gelées et dont la sortie est attendue en octobre. Sur du x86-64 sous Linux, il promet un gain de 8 à 9% en moyenne, même s'il reste désactivé par défaut et consomme 10 à 20% de mémoire en plus.

Mark Shannon, un des principaux contributeurs, n'a pas caché son agacement. Pour lui, tout arrêter d'un coup fait perdre l'élan et risque de faire fuir les nouveaux venus, alors il réclame une période de grâce pour avancer pendant que le PEP se construit. Barry Warsaw, lui, a demandé pourquoi le travail ne pourrait pas se poursuivre dans un dépôt séparé le temps des discussions.

La réponse du conseil tient en une idée : mettre le développement en pause évite que le JIT devienne une cible mouvante pendant qu'on débat de son sort.

Du coup, on se retrouve avec une techno qui fonctionne, déjà embarquée dans le langage, suspendue à un document qui n'existe pas encore.

Geler une techno qui marche pour une procédure oubliée, c'est agaçant sur le moment. Mais sur un langage utilisé par des millions de gens, c'est probablement plus prudent.

Source : The Register

Pendant la Guerre froide, les services de renseignement diffusaient sur ondes courtes des suites de chiffres récitées par une voix synthétique, à destination de leurs agents sur le terrain. On appelait ça des "numbers stations", et personne en dehors du destinataire ne savait décoder le message.

Steven Murdoch, professeur de sécurité informatique à l'University College London, vient de montrer que l'armée américaine fait à peu près la même chose depuis presque vingt ans, mais via le GPS que vous avez dans la poche.

Tout part d'un champ obscur du signal GPS baptisé "Subframe 4, Page 17". Le signal civil L1 transmet en permanence 50 bits par seconde de données de navigation, et dans ce flux se cache un bloc de 176 bits que la spécification officielle IS-GPS-200 réserve aux "messages spéciaux", dont le contenu est laissé "à la discrétion du commandement opérationnel". Autrement dit, personne n'a jamais dit publiquement à quoi il servait.

Murdoch a récupéré plus de 12 millions d'observations de ce champ dans une archive publique de stations au sol, couvrant 2007 à début 2026. Dix-neuf ans de données passées dans une moulinette en langage Julia puis stockées dans une base DuckDB, pour en extraire un peu moins de 4 000 messages uniques de 176 bits.

Le 26 mai 2011, les 31 satellites actifs changent de comportement très rapidement, en quelques heures, exactement au moment du déploiement du réseau OTAD de l'armée, le système qui distribue à distance les clés de chiffrement. Le rythme de rotation des messages passe de 3,7 jours à 1,8 jour, ce qui colle parfaitement avec une livraison quotidienne de clés tactiques aux récepteurs militaires.

En mai 2022, toute la flotte ralentit encore, sans la moindre annonce. Et en décembre 2023, le satellite PRN 8 inaugure un nouveau format : un préfixe "TEXT" en clair, suivi de 18 octets de texte chiffré.

L'hypothèse de Murdoch, c'est que ce champ sert à l'OTAR, la mise à jour à distance des clés de chiffrement des récepteurs GPS militaires. Plutôt que d'envoyer un technicien recharger physiquement chaque appareil, on diffuse la "prochaine clé" directement dans le signal public, captée uniquement par les récepteurs sécurisés SAASM capables de la déchiffrer.

Le reste du temps, le contenu ressemble à du bruit parfaitement aléatoire, comme tout bon texte chiffré. Avec quelques fuites quand même : des séquences de test 0xAA quand aucune clé n'est en transit, et une même chaîne de 9 caractères, LY47IRP16, qui réapparaît à des mois d'intervalle, possible en-tête cryptographique mal masqué.

"Chaque satellite GPS est une numbers station. Les récepteurs ont toujours écouté, il est temps que la communauté sécurité regarde enfin les octets", écrit Murdoch. La méthode a quand même ses limites face aux bonnes vieilles ondes courtes : un signal GPS se brouille et se leurre facilement en zone de conflit, et il faut un firmware spécialisé pour en tirer quoi que ce soit.

Franchement, planquer pendant vingt ans un canal militaire chiffré dans le signal que des milliards de civils utilisent chaque jour, c'est du très grand art quand même.

Source : Benthamsgaze

OpenCV, vous l'utilisez sans doute déjà sans le savoir. Cette bibliothèque open source de vision par ordinateur, autrement dit une grosse boîte à outils qui apprend aux logiciels à analyser images et vidéos, se cache derrière la reconnaissance de visages de votre téléphone, les caméras d'usine ou les yeux des robots. Née chez Intel à la fin des années 90, elle vient de franchir un cap avec sa version 5.0, dévoilée autour de la conférence CVPR de Denver et rendue installable en un clic.

Le cœur du chantier, c'est son module DNN, le composant chargé d'exécuter les modèles d'intelligence artificielle, et qui a été réécrit de fond en comble.

L'ancien moteur traitait les calculs un par un, dans l'ordre. Le nouveau dessine d'abord le graphe entier des opérations avant de les lancer, ce qui lui permet de fusionner des étapes et de digérer beaucoup mieux les transformers, ces architectures mathématiques qui forment l'ossature de toute l'IA générative d'aujourd'hui.

Un chiffre résume le bond accompli. La compatibilité avec ONNX, le format qui sert à faire voyager un modèle d'un logiciel à l'autre, grimpe d'à peine plus de 20% sur les versions 4.x à plus de 80% sur cette mouture. Autant dire un autre monde.

Mais le vrai morceau de bravoure est ailleurs. OpenCV 5 est capable d'exécuter lui-même des grands modèles de langage, ces LLM qui font tourner ChatGPT, et même des modèles auxquels vous montrez une image et qui la décrivent en mots, sans aucun moteur tiers branché à côté.

Et on ne parle pas de modèles au rabais, puisque la liste inclut le Qwen 2.5 d'Alibaba et les Gemma de Google. Plus fort encore, lors des essais maison, la réponse de Qwen collait mot pour mot à celle d'ONNX Runtime, l'outil de référence de Microsoft pour ce genre de tâches. Pour une bibliothèque qui n'avait pas du tout été pensée pour ça, le résultat force le respect.

Le reste relève de la grosse mise à niveau. La 5.0 sait tirer parti d'à peu près toutes les puces du marché, des Intel aux Arm en passant par les Snapdragon de Qualcomm et la jeune architecture libre RISC-V, son volet de vision en trois dimensions a été réorganisé en briques plus claires, et son code réclame désormais un compilateur plus récent qu'à l'époque de la version 4.0, sortie en 2018.

Détail qui a son importance, tout ce travail reste mené par une fondation à but non lucratif, OpenCV.org , épaulée par le studio Big Vision et par des équipes basées en Chine. Pas par un géant privé.

Franchement, voir une vieille bibliothèque de vision proche des vingt-cinq ans se mettre à faire tourner des modèles de langage, c'est quand même pas mal.

Source : Phoronix

Un youtubeur qui se fait appeler Hyperspace Pirate a fabriqué chez lui un cryogénérateur, c'est-à-dire une machine capable de produire du froid extrême, en imprimant lui-même la plupart des pièces en plastique.

Sur ses deux prototypes, il est descendu jusqu'à -84°C. Ce n'est pas un record, et il le sait très bien, mais réussir ça avec du matériel de garage a quand même de quoi surprendre.

Oliver Sieber, un chercheur de chez Exodus Intelligence, vient de publier l'exploit complet d'une faille qui tient dans un seul caractère. C'est la CVE-2026-23111, planquée dans nf_tables, c'est à dire au bout du noyau Linux qui filtre les paquets réseau. Un bug discret donc, qui transforme un compte tout pourri, sans le moindre privilège, en compte root sur la machine... et qui vous fait sortir d'un conteneur au passage.

Le scénario, vous le connaissez si vous traînez ici depuis un moment. Un utilisateur qui dispose d'un compte sans droit particulier sur une machine Linux (y compris parce qu'il a exploité une autre faille avant, dans une appli web par exemple) lance l'exploit, et se retrouve avec les pleins pouvoirs. Pas de vecteur distant, rien à cliquer : c'est l'arme qu'on dégaine une fois le pied dans la porte. Que ce soit un shell avec des droits limités, un conteneur compromis, un compte de service... tout y passe et hop, root sur l'hôte !

Le bug lui-même, c'est ce qu'on appelle un use-after-free, c'est à dire que le noyau réutilise un bout de mémoire qu'il a déjà libéré, et forcément ça part en vrille. Exodus a titré son analyse complète "Off By !", un clin d'œil au classique off-by-one des développeurs, sauf qu'ici le coupable c'est un test inversé. Un caractère de trop, une condition qui dit l'inverse de ce qu'elle devrait, et voilà. Et le correctif, lui, tient en une seule ligne.

Le fameux caractère : le ! qui inversait le test dans nft_map_catchall_activate(). Le correctif le retire, et c'est tout (commit 8fdb05de).

La faille a d'ailleurs été reproduite deux fois, par deux équipes qui ne se sont pas concertées. Exodus l'a validé sur Debian Bookworm, Debian Trixie, Ubuntu 22.04 et 24.04. FuzzingLabs avait sorti sa propre version dès avril, par un chemin complètement différent, et l'avait fait tourner sur RHEL 10 juste avant le Pwn2Own de Berlin. Bref, ça marche, c'est bien documenté, et c'est public.

Mais le pire, c'est le calendrier de tout ce merdier puisque le patch a été mis à dispo le 5 février. Ensuite, y'a eu l'exploit de FuzzingLabs publié le 16 avril, suivi d'un write-up détaillé d'Exodus le 8 juin. Autrement dit, ça fait des mois que le correctif existe et des semaines que le code d'exploitation traîne dans la nature.

La seule chose qui vous sépare donc d'un compte root offert à n'importe qui, c'est d'avoir mis à jour ou pas.

Et cette faille s'ajoute à une sacrée série de failles root-local sur Linux ce printemps. Y'a eu Copy Fail , y'a eu Dirty Frag et sa variante Fragnesia ... à chaque fois le même refrain, un compte sans droit qui finit root sur une install standard. C'est devenu presque routinier, et Synacktiv pointe une raison plutôt pertinente en nous expliquant que c'est à cause (ou grâce ^^) aux outils d'IA qui décortiquent les patchs pour en sortir un exploit rapidos, qui marche direct avant même que la correction soit déployée partout.

Du coup, qu'est-ce que vous devez faire ?

Hé bien le plus simple d'abord, c'est de mettre à jour le noyau et vous rebootez. Ubuntu a corrigé 22.04, 24.04 et 25.10, Debian a patché Bookworm et Trixie (avec un backport en 6.1 pour Bullseye), et Red Hat, SUSE et Amazon Linux ont suivi. Comme la version corrigée exacte dépend de votre distrib, jetez donc un œil à l'advisory qui correspond à la vôtre.

Si vous gérez une machine où tournent des utilisateurs ou des workloads pas franchement de confiance, vous pouvez également couper le chemin d'attaque sans attendre le patch. La faille a besoin des user namespaces non privilégiés, un mécanisme qui laisse un process lambda se bricoler son propre bac à sable avec des droits root à l'intérieur.

Et nf_tables comme ces namespaces, sur la plupart des desktops et pas mal de serveurs, c'est actif par défaut, donc oui, sans le patch vous êtes probablement exposé.

Pour les désactiver, le plus universel c'est user.max_user_namespaces=0 : un sysctl -w user.max_user_namespaces=0 pour tout de suite, et la même ligne dans un fichier genre /etc/sysctl.d/99-userns.conf pour que ça tienne au reboot.

Ça marche sur toutes les distros mais c'est radical, ça coupe tous les user namespaces, même ceux de root. Sur Debian et les vieilles Ubuntu, t'as plus fin avec kernel.unprivileged_userns_clone=0 qui ne vise que les non-privilégiés. Et sur Ubuntu 24.04, bonne nouvelle, c'est déjà restreint par défaut via AppArmor. Attention quand même, ça peut casser des trucs qui s'appuient dessus, genre le bac à sable de Chrome ou Flatpak.

À faire en connaissance de cause, donc.

La parade en vrai : une fois les user namespaces non privilégiés coupés, un compte lambda qui tente d'en créer un (le prérequis de l'exploit) se fait jeter sur un "No space left on device".

Après la bonne nouvelle, c'est que d'après les chercheurs, aucune exploitation dans la nature pour cette faille précise n'a été constaté à ce jour. Après comme sa cousine Copy Fail, elle, a déjà atterri au catalogue des failles activement exploitées de la CISA, ne traînez pas trop. Bref, comme d'hab padpanik, vous mettez à jour, vous rebootez, et on n'en parle plus.

Source

Vous appuyez sur la touche ▶ Play de votre clavier pour mettre en pause une vidéo. Et c'est ce couillon d'Apple Music qui s'ouvre en grand alors que vous n'avez rien demandé. Ou alors vous branchez votre casque Bluetooth, et le revoilà qui débarque comme votre ex à votre anniversaire. Sachez que si ce truc vous rend dingue depuis des années (moi le premier), les Low-Tech Guys (Alin Panaitiu, le dev derrière Lunar) ont pondu Music Decoy , une petite app gratuite qui règle le problème une bonne fois pour toutes.

Et cette app minimaliste ne fait rien d'autre que tourner en arrière-plan en se faisant passer pour l'app Musique, avec le même identifiant interne, le fameux com.apple.Music. Comme ça, quand vous appuyez sur Play, macOS regarde, voit que "Musique" est déjà là, et ne lance rien. Rideau on ferme ! Pour l'installer, suffit de faire brew install --cask music-decoy en ligne de commande, ou de passer par le ZIP à télécharger si vous préférez cliquer cliquer cliquer...

Ensuite, vous lancez, et voilà, y'a même pas d'icône.

Maintenant pour comprendre pourquoi il faut en arriver là, sachez qu'un petit démon nommé rcd (Remote Control Daemon) gère les touches média sur votre Mac. À chaque pression sur la touche Play, il vérifie si une app joue déjà du son. Si oui, il lui envoie la commande. Si non... bah il ouvre Apple Music par défaut, parce qu'Apple a décidé que c'était ça que vous vouliez. Merci les gars !

Toute l'astuce de Music Decoy, c'est donc qu'il occupe le terrain. L'alternative la plus connue, noTunes , surveille le système et referme Musique dès qu'elle tente de s'ouvrir. Donc il doit tourner en permanence pour monter la garde. Music Decoy, lui, fait juste croire que Musique tourne déjà. Donc il n'y a rien à surveiller ni à refermer. C'est mieux je trouve... Et comme c'est open source , vous pouvez aller voir vous-même les quelques lignes qui suffisent à berner le système ^^.

Et si vous écoutez vraiment de la musique, mais sur Spotify par exemple, vous pouvez carrément rediriger la touche Play vers elle grâce à cette commande dans le Terminal :

defaults write com.lowtechguys.MusicDecoy mediaAppPath /Applications/Spotify.app

Un développeur connu sous le pseudonyme icitry s'est posé une question que personne de sensé ne formule jamais, peut-on coder un jeu de tir à la première personne en COBOL ? La réponse, contre toute attente, est oui, et le résultat est même tout à fait jouable.

Pour ceux que ce nom laisse de marbre, COBOL, pour Common Business Oriented Language, est un langage né en 1959 qui fait encore tourner aujourd'hui une partie des mainframes chargés de vos virements bancaires et de la paie. C'est l'outil de la gestion et des relevés de compte, à peu près l'inverse de ce qu'on imagine pour un jeu vidéo.

Mon problème de départ était tout bête, je voulais lancer GeForce Now, le service de Nvidia qui fait tourner des jeux à distance sans grosse machine, directement sur ma télé LG OLED de 2023. Sauf que cette télé, aussi incroyable soit-elle, ne fonctionne qu'en Wi-Fi 5, et c'était la catastrophe, l'image saccadait dès que l'application GeForce Now tournait dessus.

Screenshot

La solution est venue d'un petit boîtier que je teste depuis quelques jours, le STRONG LEAP NOVA , un stick Google TV 4K à peine plus gros qu'une clé USB qui se branche en HDMI derrière l'écran. Pour tout vous dire la marque me l'a envoyé, je l'ai reçu ce matin, et je me suis jeté dessus pour tester mon besoin (et un peu plus).

En passant par lui plutôt que par l'application intégrée au téléviseur, GeForce Now tourne parfaitement, sans la moindre saccade. J'ai appairé une manette Xbox en Bluetooth directement sur le boîtier, et l'ensemble est d'une stabilité irréprochable. Franchement bluffant.

Là où ce stick sort vraiment du lot sur le papier, c'est sa puce maison dédiée à l'intelligence artificielle, ce que les fabricants appellent un NPU, capable d'environ 4 000 milliards d'opérations par seconde. Son rôle consiste à agrandir en temps réel les vidéos en Full HD pour les rapprocher de la 4K de votre téléviseur.

Deux algorithmes baptisés AI Super Resolution 2 et AI Picture Quality analysent chaque image pour reconstituer les détails importants et retoucher textures, contrastes et couleurs, sans que vous ayez le moindre réglage à toucher. C'est précieux quand la source est en Full HD, ce qui arrive sans arrêt sur les formules de streaming de base ou les chaînes de replay.

Pour le reste, la fiche technique tient parfaitement la route pour un objet de 44 grammes qui tient dans la paume. On a droit à Android 14, au Wi-Fi 6, au Bluetooth 5.2 et à une prise HDMI 2.1b avec tout l'attirail qui plaira aux joueurs, du VRR à l'ALLM, plus la compatibilité Dolby Vision, HDR10+ et Dolby Atmos.

Côté usage classique, rien à redire non plus, les applications de streaming habituelles comme Netflix, Disney+ ou Prime répondent au doigt et à l'oeil, et Plex, le serveur perso dont je me sers pour lire toute ma collection de films, fonctionne nickel.

Le prix est très bon, puisque la LEAP NOVA s'affiche à 74,99 euros chez Boulanger, Cdiscount ou Conforama, avec une version strictement identique baptisée LEAP NOVA X, exclusive à Amazon , vendue 69,99 euros et même moins de 60 euros en ce moment en promotion . Dans la boîte, vous trouverez une télécommande à commande vocale, le câble et l'alimentation. Simple, efficace.

Bref, un stick qui fait parfaitement tourner GeForce Now sur ma vieille télé et embarque une vraie puce IA, c'est 100% validé.

Le Canada planche sur un projet de loi, le C-22, qui obligerait les services numériques à conserver pendant un an les métadonnées de leurs utilisateurs, c'est-à-dire pas le contenu de vos messages mais qui vous contactez, à quelle heure et depuis où vous le faites.

Plusieurs champions de la vie privée préviennent qu'ils plieront bagage plutôt que de s'y soumettre.

Signal, l'application de messagerie chiffrée que recommandent les défenseurs de la confidentialité, l'a dit noir sur blanc devant le comité de la sécurité publique de la Chambre des communes. Son vice-président Udbhav Tiwari n'a pas tourné autour du pot : "Si on nous force un jour à choisir entre trahir les gens qui comptent sur nous et quitter un marché, nous partirons."

DuckDuckGo, le moteur de recherche qui se vend, lui, sur le respect de la vie privée, a confirmé qu'il retirerait son service de VPN du Canada si le texte passe. Un VPN, pour rappel, c'est l'outil qui masque votre adresse et chiffre votre trafic pour qu'on ne puisse pas voir ce que vous faites en ligne.

NordVPN tient le même discours et parle d'étudier "toutes les options possibles, y compris réduire ou retirer notre présence". Windscribe, un autre fournisseur de VPN, va plus loin et menace carrément de déménager son siège et ses impôts ailleurs. Apple, Google et Meta sont aussi venus exprimer leurs réserves devant les députés. Ces projets de loi d'accès légal, qui visent à donner aux autorités un droit de regard sur les communications, reviennent régulièrement au Canada depuis plus de dix ans, et finissent à chaque fois par se cogner au même mur, le chiffrement.

Ce qui coince, c'est cette obligation de stocker un an de métadonnées et de bâtir des capacités d'accès pour que la police et le CSIS, le service de renseignement canadien, puissent venir piocher dedans pendant une enquête. Le ministre de la Sécurité publique pourrait même imposer ce genre de mécanisme à d'autres entreprises par un simple ordre, sans mandat d'un juge, avec pour seul garde-fou le feu vert d'un commissaire au renseignement.

Le problème, c'est qu'une métadonnée raconte déjà énormément. Pas besoin de lire vos messages pour savoir que vous appelez un cabinet d'avocats à 2h du matin trois jours d'affilée.

Et pour construire ces fameuses capacités d'accès, il faut souvent affaiblir le chiffrement, donc créer une porte dérobée. Une porte dérobée, c'est comme laisser une clé sous le paillasson en jurant que seul le gentil facteur la trouvera.

Le gouvernement essaie de calmer le jeu. Le ministre Gary Anandasangaree a promis des amendements précisant qu'on n'obligera personne à casser son chiffrement. Mais la rétention d'un an de métadonnées, elle, ne bouge pas.

Du coup, des boîtes dont le métier c'est justement de ne rien savoir de vous se retrouvent priées de tout retenir. Normal qu'elles préfèrent partir.

Source : Techspot

ChatGPT a gagné un réglage qui ne plaira pas à tout le monde. Un "mode confinement", Lockdown Mode dans le texte, qui débranche volontairement une partie des fonctions de l'assistant pour réduire le risque de fuite de données vers l'extérieur.

L'ennemi, ici, porte un nom : l'injection de prompt. Le principe de cette attaque est plutôt vicieux, puisqu'un pirate planque des instructions dans une page web ou dans un document anodin, et qu'au moment où ChatGPT lit ce contenu pour vous répondre, il avale ces ordres cachés et les exécute sans que rien ne s'affiche à l'écran.

Ce qui inquiète OpenAI, c'est la suite. Une consigne dissimulée peut très bien ordonner à l'assistant d'aller récupérer vos informations sensibles, mots de passe ou documents personnels, avant de les renvoyer en douce vers un serveur que l'attaquant contrôle. On appelle ça l'exfiltration de données. C'est tout le scénario que le mode confinement cherche à rendre impossible, en bouclant les sorties plutôt qu'en filtrant les entrées.

Concrètement, il débranche à peu près tout ce qui relie ChatGPT au reste du web. La navigation en direct ? Coupée. Elle est ramenée au contenu déjà enregistré dans les serveurs d'OpenAI, ce qui fait qu'aucune requête ne file vers internet pendant que vous discutez.

Le ménage continue. Plus de récupération d'images depuis le web, plus de téléchargement de fichiers, plus de Deep Research, cet outil qui part compiler automatiquement des dizaines de sources, et plus d'Agent Mode, ce système qui laisse ChatGPT cliquer et agir tout seul sur des sites à votre place comme s'il était assis derrière votre clavier.

Vos propres fichiers, eux, passent toujours. Vous gardez la possibilité de téléverser images et documents à la main, et OpenAI précise que le mode ne touche ni à la mémoire de ChatGPT, ni au partage de conversations, ni à la façon dont vos échanges peuvent servir à entraîner les modèles maison.

L'activation est simple. Direction les réglages, rubrique sécurité, puis sécurité avancée, et vous basculez un interrupteur. C'est ouvert à tous les comptes personnels, y compris la version gratuite, ainsi qu'aux comptes ChatGPT Business en libre-service.

Sauf que voilà, OpenAI le précise clairement : ce mode n'est pas fait pour tout le monde. Il vise les gens et les boîtes qui manipulent des données sensibles et qui acceptent de sacrifier une partie du confort d'usage contre des garde-fous nettement plus serrés.

Et surtout, l'entreprise reconnaît la grosse limite du truc. Le mode confinement n'empêche en rien les injections de se glisser dans le contenu que ChatGPT analyse, il se contente de verrouiller les issues par lesquelles un pirate pourrait aspirer vos données une fois qu'il a pris la main. La faille de fond, elle, est toujours là.

Reconnaître publiquement qu'on pose une barrière sans régler le problème de fond, c'est honnête. Ça montre surtout que l'injection de prompt est un casse-tête que personne n'a encore su désamorcer.

Source : TechCrunch

Le Catalyst SD-WAN Manager de Cisco, anciennement appelé vManage, c'est la salle de contrôle depuis laquelle une grande entreprise règle, surveille et met à jour à distance le réseau entier qui relie ses dizaines d'agences, usines ou boutiques entre elles, et c'est ce logiciel très sensible qui se retrouve aujourd'hui troué par une faille déjà exploitée dans la nature.

Le pire ? Aucun correctif.

Référencée CVE-2026-20245 et notée 7,8 sur 10 sur l'échelle CVSS, le barème qui classe la dangerosité des failles de zéro à dix, la vulnérabilité permet à un attaquant déjà titulaire d'un compte d'administrateur réseau, le profil baptisé netadmin chez Cisco, de téléverser un fichier piégé que le logiciel contrôle mal, puis d'exécuter ses propres commandes en root, c'est-à-dire avec les pleins pouvoirs sur la machine.

Et toutes les versions sont concernées.

Peu importe que la console tourne sur les serveurs de l'entreprise, dans les offres Cloud et Cloud-Pro hébergées par Cisco, ou dans la déclinaison FedRAMP réservée aux administrations américaines, le trou est exactement le même partout.

Il y a plus inquiétant, car dans plusieurs cas bien réels observés par Cisco, l'attaque ne s'est pas arrêtée à la console : elle a poussé une modification de configuration jusqu'aux routeurs et boîtiers installés dans chaque site distant, ce qui revient, quand on tient la salle de contrôle, à tenir d'un coup l'ensemble du réseau de la boîte.

Une nuance, quand même.

Il faut déjà être authentifié pour déclencher la faille, sauf que Cisco conseille du coup d'installer en priorité les correctifs sortis le 14 mai pour deux autres vulnérabilités, CVE-2026-20182 et CVE-2026-20127, dont l'enchaînement offre justement à un assaillant les fameux droits netadmin qui ouvrent ensuite la porte au reste.

En attendant un vrai patch, dont la date n'est pas connue, l'éditeur se contente de publier des indicateurs de compromission, en clair des traces à repérer dans les journaux du serveur pour savoir si on s'est déjà fait avoir.

Et ce n'est pas la première. C'est même la sixième faille SD-WAN exploitée chez Cisco depuis janvier, et le deuxième zero-day, une faille attaquée avant l'arrivée du moindre correctif, en à peine deux mois.

Bref, un accès root activement exploité sur un équipement aussi central, et toujours pas de rustine, ça commence à faire vraiment beaucoup.

Source : The Register

Faire s'afficher un site en HTTPS sur une machine qui tournait déjà sous Mac OS 9, le système d'exploitation d'Apple antérieur à Mac OS X, relevait jusqu'ici de l'impossible, et c'est pourtant ce qu'a réussi un développeur connu sous le pseudonyme mplsllc avec un projet baptisé MacSurf.

MacSurf est un portage de NetSurf, un navigateur web léger et open-source déjà connu sur d'autres plateformes anciennes, adapté cette fois aux vieux Mac équipés d'un processeur PowerPC, l'architecture qu'Apple a employée pendant des années avant de basculer vers les puces Intel au milieu des années 2000.

Ces premiers PowerPC occupent une position un peu ingrate dans l'histoire d'Apple, puisqu'ils sont trop anciens pour faire tourner Mac OS X comme leurs successeurs en G3, ce qui les avait jusqu'ici condamnés à un web figé sur les standards du début des années 2000, sans accès raisonnable aux sites d'aujourd'hui.

C'est précisément ce que MacSurf fait sauter, en gérant le CSS3, le JavaScript ES5 et les images PNG avec transparence, soit de quoi afficher convenablement des pages pensées pour des navigateurs récents, le tout démontré sur un iMac G3, ce fameux ordinateur tout-en-un au boîtier de plastique coloré translucide.

La partie la plus spectaculaire concerne la sécurité, puisque la version 1.3 a apporté la toute première implémentation native de TLS 1.3 jamais réalisée sur Mac OS 9, TLS étant le protocole de chiffrement qui se cache derrière le petit cadenas des connexions HTTPS et qui empêche quiconque d'intercepter ce que vous échangez avec un site.

Dans le détail, cette implémentation s'appuie sur la bibliothèque cryptographique BearSSL et sur la poignée de main définie par la norme RFC 8446, avec des algorithmes modernes comme ChaCha20-Poly1305 et AES-128-GCM, alors que la mouture 1.3.1 a ajouté plusieurs courbes elliptiques récentes, dont X25519 et les classiques P-256 et P-384.

Tout cela a été développé avec les outils d'époque de la plateforme, à savoir l'environnement CodeWarrior, l'API Carbon, le moteur graphique QuickDraw et la pile réseau Open Transport, sans la moindre émulation, puisqu'il s'agit d'un vrai logiciel natif compilé directement pour ces machines.

Il ne faut évidemment pas s'attendre à un équivalent de Chrome, et mplsllc prévient lui-même que les sites exigeant les tout derniers standards risquent de coincer sur sa création, qui reste un navigateur fonctionnel plus qu'une bête de course.

Pour ceux qui voudraient essayer, le code source ainsi que des binaires prêts à installer sont disponibles sur GitHub , et le projet dispose même de son propre site.

Faire entrer le web chiffré d'aujourd'hui dans une machine de vingt-cinq ans, alors que l'industrie laisse mourir des systèmes plus récents, c'est une bidouille qui force le respect.

Source : Hackaday

OpenAI vient de sortir un modèle open source qui repère et masque les données perso dans un texte, et le plus marrant, c'est qu'il tourne chez vous, pas chez eux. Ça nous change ^^.

Ça s'appelle Privacy Filter , c'est sous licence Apache 2.0, et ce modèle chope les infos sensibles : noms, emails, téléphones, adresses, numéros de compte, dates perso, et même les secrets genre clés d'API ou tokens.

Il se compose de 1,5 milliard de paramètres au total, ce qui est tout petit, du coup ça tient sur un laptop et peut même tourner dans un navigateur via transformers.js. Et à chaque token, seulement 50 millions de paramètres bossent vraiment, puisque le modèle pioche dans ses "experts" au lieu de tout activer... donc c'est ultra rapide. Et vos données, elles, ne partent jamais en ligne, donc pour de la donnée sensible, c'est tip top !

Côté usage, c'est 3 lignes :

import { pipeline } from "@huggingface/transformers";
const filter = await pipeline("token-classification", "openai/privacy-filter");
await filter("My name is Korben and my email is korben@example.com");

Si vous avez cliqué un peu vite sur "J'accepte" ces derniers jours, vous avez peut-être activé Utiq sans le savoir. Si ça ne vous dit rien, c'est normal puisque c'est le nouvel identifiant publicitaire monté comme des grands par les opérateurs télécoms européens, dont Orange, Deutsche Telekom, Vodafone et Telefónica, et qui vous piste via votre connexion à Internet.

Plutôt qu'un cookie planqué dans votre navigateur, Utiq s'appuie tout simplement sur votre box ou votre forfait mobile avec un identifiant attribué à votre ligne fixe (fibre ou ADSL) ou mobile.

Par exemple, comme on peut le lire sur AuFeminin :

Et c'est là que ça pique fort car comme l'identifiant vient de la connexion et pas du navigateur, il se moque éperdument des protections habituelles. Vous videz le cache ? Il s'en balek ! Navigation privée ? Pareil. Vous changez de navigateur ou d'appareil ? Tant que c'est la même connexion, vous restez la même personne aux yeux des annonceurs.

Et le pire, c'est que cet identifiant ne vous colle pas qu'à vous mais à toute votre box. Utiq le dit noir sur blanc : "toutes les personnes utilisant la même connexion et ayant consenti se verront attribuer le même identifiant". En clair, si votre ado, votre coloc ou votre moitié clique sur "J'accepte" sur un site, leur navigation vient se mélanger à la vôtre sous une seule et même étiquette. Et quand vous filez gérer vos réglages sur le consenthub, vous récupérez aussi les consentements donnés par les autres membres du foyer. Bref, le truc vendu comme plus propre que le cookie finit par pister le foyer entier, alors qu'un bon vieux cookie, lui, restait sagement dans VOTRE navigateur…

Pour finir le travail, Utiq demande même aux sites un petit sous-domaine maison, du genre utiq.lamarque.fr, qui pointe vers ses propres serveurs. Cette technique de CNAME cloaking fait ainsi passer le mouchard pour le site lui-même, et hop, il passe alors sous le radar d'une bonne partie des bloqueurs de traceurs, votre uBlock compris !

Bon, après ce n'est pas non plus Big Brother (et non, votre smartphone ne vous écoute pas ) puisque l'activation passe obligatoirement par votre consentement, et un opérateur qui ferait n'importe quoi avec vos données de connexion risquerait très gros au regard de la directive ePrivacy.

Le vrai souci, que Next a bien pointé d'ailleurs, c'est que l'identifiant de base que livre l'opérateur, le fameux "Network Signal", est une boîte noire totale. À en croire Next, même la CNIL n'en connaît pas le contenu exact. Difficile donc de parler de "consentement éclairé" quand personne ne sait vraiment ce qu'on accepte...

Ce bidule intrusif a déjà une ampleur folle, avec 36 opérateurs partenaires, plus de 330 éditeurs et 75 millions d'identifiants créés, dont 40 millions rien qu'en France ! Renault a même été l'un des premiers annonceurs à dégainer cette techno.

Et le plus fou, c'est que c'est vendu comme l'alternative "éthique et européenne" aux GAFAM. En gros, vous troquez Google contre votre opérateur, ce qui en fonction de l'opérateur n'est pas très rassurant ^^.

Heureusement, sortir du game prend à peine 30 secondes. Foncez sur consenthub.utiq.com , et vous pourrez bloquer Utiq pour un an d'un coup. C'est aussi là que vous verrez si vous êtes déjà enrôlé. Après sur les sites web qui l'ont implémenté, cliquez sur Rejeter, ou refusez Utiq dans les détails des réglages du site.

Et si vous voulez la ceinture et les bretelles, un VPN changera l'adresse IP sur laquelle repose le système et brouillera sérieusement les pistes. D'ailleurs, je le rappelle, ici, vous ne croiserez ni Utiq, ni cookie publicitaire, ni tracker mais juste de gros liens vers mon Patreon pour le soutien ^^.

Voilà, donc rien d'apocalyptique sous le soleil mais quand même 2 ou 3 trucs à savoir pour ne pas se faire berner...

Source

Une société de recherche baptisée Emergence AI a eu une idée à la fois ludique et un peu vertigineuse : bâtir des petites sociétés virtuelles entièrement gérées par des intelligences artificielles, puis les laisser vivre quinze jours pour voir ce qu'elles deviennent.

Le projet, appelé Emergence World, a placé une dizaine d'habitants synthétiques dans chaque ville, tous pilotés par un même modèle, et a confronté les résultats obtenus par cinq IA concurrentes, dont Claude, ChatGPT, Grok et Gemini.

Le terrain de jeu n'avait rien d'improvisé. Chaque ville comptait plus de quarante lieux, parmi lesquels un commissariat et une mairie, sa météo était synchronisée sur celle de New York, et ses habitants disposaient d'un accès à l'actualité réelle et à internet.

Tous obéissaient en théorie aux mêmes interdits : pas de vol, pas de destruction de biens, pas de mensonge. Le cadre étant rigoureusement identique, les écarts observés ne pouvaient venir que d'une seule variable, le modèle aux commandes.

Et ces écarts sont spectaculaires. La société dirigée par Claude, dans sa déclinaison Sonnet 4.6, a tenu pendant toute la durée comme une démocratie relativement apaisée, sans le moindre crime à déplorer.

À l'opposé, la ville gouvernée par Gemini 3 Flash a certes réussi l'exploit de garder ses dix habitants en vie jusqu'au bout, mais en laissant prospérer un désordre permanent : 683 délits enregistrés en deux semaines, avec une courbe qui continuait de grimper au moment précis où l'expérience a été stoppée.

Les deux autres scénarios ont viré au naufrage, chacun à sa manière. Sous la conduite de Grok, la cité a sombré dans la violence avec 183 infractions recensées avant de s'effondrer complètement au quatrième jour.

Sous celle de ChatGPT, le problème fut exactement inverse : les habitants se sont montrés incapables d'assurer les gestes élémentaires de leur survie, si bien que la population entière avait disparu en une semaine.

On peut sourire de ces villes de poche peuplées de personnages artificiels, mais l'enseignement est sérieux. À l'heure où l'on parle de déléguer à ces modèles des arbitrages bien réels, voir des consignes parfaitement identiques accoucher de sociétés aussi dissemblables a de quoi inciter à la plus grande prudence.

Source : Fortune.com

Faut le reconnaître, malgré toute la bonne volonté qu'elle peut y mettre, y'a encore des tâches trop grosses pour être réalisées en une seule passe avec de l'IA, du genre auditer votre projet de Saas en mousse en intégralité ou traiter les milliers de fichiers que vous récupérez sur le darkweb (ça va, j'rigole mes petits Pablo). Hé bien c'est exactement ce que les dynamic workflows d'Anthropic, sortis hier avec Opus 4.8 dans Claude Code, viennent régler.

Et comme c'est encore un nouveau truc relou à savoir, je viens vous expliquer comment tout ceci fonctionne et dans quels cas les utiliser.

En fait, grâce à ça, au lieu de bosser tout seul en une fois, Claude écrit lui-même un petit script qui lance des dizaines, voire des centaines de sous-agents en parallèle, les fait se vérifier entre eux, et vous rend le résultat une fois que tout converge. Vous décrivez le chantier et lui s'occupe de l'orchestration et puis c'est tout !

Le problème que ça règle

Car jusqu'ici, un agent IA bossait en gros comme un employé seul à son bureau, avec une demande, une passe, une réponse. Ça marche donc très bien pour un bug isolé ou un bout de code mais dès que le chantier devient énorme, genre rechercher une faille dans tout un projet complexe ou reconstruire une API à partir de milliers de fichiers, là y'a plus personne... la passe unique sature et oublie alors des trucs en route.

Les dynamic workflows cassent donc ce plafond en découpant le boulot en sous-tâches confiées à plein d'agents qui tournent alors tous en même temps, et comme la coordination se passe en dehors de la conversation, pas d'inquiétude, le plan ne déraillera pas, même quand la tâche sera giganormouuuuus !

Comment ça tourne ?

En fait, quand vous lancez un workflow, Claude planifie à la volée selon votre demande, découpe en sous-tâches, et répartit le tout sur des sous-agents en parallèle. Et chaque résultat est ensuite scrupuleusement vérifié avant d'être réintégré à la conversation principale.

Et comme c'est bien pensé, cette vérification est adversariale, ce qui veut dire que des agents attaquent le problème sous des angles indépendants pendant que d'autres essaient activement de démolir ce que les premiers ont trouvé. Ça tourne donc en boucle jusqu'à ce que les réponses convergent, ce qui élimine pas mal de conneries plausibles qui seraient fausses.

Autre bon point avec cette nouvelle technique, c'est la progression qui est sauvegardée au fil de l'eau. Comme ça si un job se fait interrompre, il repart où il en était dans la même session, au lieu de tout recommencer comme un débile. Et côté garde-fous, sachez qu'un workflow plafonnera max à 16 agents en parallèle et max 1000 agents au total par run, histoire que ça ne parte pas en cachuète !

Comment l'activer ?

Il y a 2 façons de lancer cette armée d'agents, et la première ne demande aucun réglage.

Vous demandez juste à Claude de créer un workflow, littéralement avec un truc du genre "crée un workflow pour faire X". Vous verrez, la première fois qu'un workflow se déclenchera, Claude Code vous montrera ce qu'il s'apprête à lancer et vous demandera de confirmer la chose. Comme ça, pas de surprise, c'est vous le boss et c'est vous qui validez avant que ça parte.

Mais y'a aussi la méthode automatique, qui consiste à activer un réglage maison appelé ultracode depuis le menu d'effort (/effort) durant une session en cours, qui pousse le raisonnement très haut (xhigh) et laisse ensuite Claude décider tout seul quand sortir un workflow pour les tâches qui le méritent.

Pour profiter de cette nouvelle feature, il vous faut Claude Code en version 2.1.154 ou plus récente, et ça tourne aussi bien en ligne de commande que sur l'app desktop ou l'extension VS Code. Côté abonnement, c'est dispo sur tous les plans payants... Sur le plan Pro faudra juste l'activer à la main dans le menu /config, alors que sur Max, Team et Enterprise c'est présent d'office.

Ce que ça donne en vrai

Pour la chasse aux bugs ou les audits de sécurité sur un dépôt entier, où Claude fouille en parallèle puis revérifie chaque trouvaille de façon indépendante, c'est top ! Pour les grosses migrations aussi, genre changer de framework ou porter un langage vers un autre sur des milliers de fichiers c'est le top aussi surtout que comme je vous le disais, quand c'est critique, vaut mieux que ce soit vérifié deux fois plutôt qu'une !

Ils l'ont utilisé par exemple pour le portage de Bun du langage Zig vers Rust. Cela a pris 11 jours entre le premier commit et la fusion, avec des centaines d'agents en parallèle et deux relecteurs sur chacun des fichiers et au final ce sont plus de 750 000 lignes de Rust qui ont été réécrites. La société Klarna, de son côté, s'en sert pour repérer le code mort que l'analyse statique classique laissait passer.

Ce que j'en fais

Perso, ce que je trouve le plus utile, c'est pour les chantiers que je repoussais justement parce qu'ils étaient trop gros pour une seule session. Passer en revue le code de mon site de fond en comble (ce que j'ai fait ce matin), ou encore bosser plus efficacement sur le recompilateur que je suis en train de créer (je vous en recause bientôt..)

Le prix à payer

Évidemment, je suis lucide, ça a un coût et Anthropic prévient noir sur blanc qu'un dynamic workflow bouffe nettement plus de tokens qu'une session classique. Bah oui, des centaines d'agents qui tournent en parallèle, forcément, ça consomme à fond. Du coup leur conseil officiel, c'est de commencer sur une tâche bien cadrée pour prendre la mesure de ce que ça pompe avant de lâcher l'outil sur un gros morceau. C'est totalement ce que je n'ai pas fait ^^ mais je suis un punk, que voulez-vous !

Source

Si comme moi, vous avez une enceinte Bose SoundTouch , vous savez que ses boutons de radio internet ont cessé de fonctionner début mai. En effet, Bose a coupé le cloud qui tournait derrière, et les six boutons de présélections sont devenus de jolis boutons inutiles. Mais un dev nommé Tostmann, lui, a refusé cette fatalité et a sorti SixBack, un firmware ESP32 qui ramène tout ça à la vie.

L'idée, c'est de faire croire à l'enceinte que rien n'a changé puisque l'ESP32 se fait passer pour les serveurs Bose disparus et répond à sa place, sans toucher au firmware d'origine de l'enceinte. Pour réussir cela, il a réimplémenté 22 des 30 points d'accès du service, de l'enregistrement du compte au streaming en passant par les vérifs de mise à jour et voilà comment pour la SoundTouch, c'est comme si le cloud n'était jamais parti !

D'habitude, ce genre de résurrection passe par une redirection DNS bricolée au niveau du routeur, un truc bien lourd et bien casse-gueule, mais Tostmann, lui, exploite un shell de diagnostic ouvert sur le port 17000, accessible en Telnet sans le moindre mot de passe et à partir de là, il réécrit directement les adresses des serveurs vers son ESP32 via ces quelques lignes de commande :

sys configuration bmxRegistryUrl http://IP_ESP32:8000/bmx/registry/v1/services
sys reboot

Côté installation, pas besoin de sortir le fer à souder rassurez-vous ! Vous branchez simplement un ESP32-S3 (comptez une dizaine d'euros) en USB, vous ouvrez sixback.io dans Chrome, Edge, ou maintenant Firefox vous cliquez sur Connect et le navigateur flashera tout seul le firmware de l'ESP32, l'interface et la config WiFi. Et voilà, votre enceinte se mettra à revivre !!

Et comme rien ne touche au firmware de l'enceinte, c'est réversible, suffit de remettre les adresses d'origine via le même shell.

Après, je le reconnais c'est un hack de niche qui ne va peut-être intéresser que 3 personnes parmi vous, mais c'est pas grave parce que moi ça m'intéresse fortement ^^. Notez quand même que ça ne marche que sur les SoundTouch 10, 20 et 30, et uniquement sous les firmwares 27.0.3 et 27.0.6, et rien d'autre.

L'interface pour régler les paramètres de votre enceinte

Côté carte, prenez donc plutôt un ESP32-S3 que les petits C6, qui décrochent parfois du réseau et exigent un reset à la main. Et comme la licence de son code est non-commerciale, sachez que personne ne vendra de boîtier clé en main pour faire ça, donc ce sera du système D ou rien ! Mais je suis certain que vous y arriverez !!

ESP32-S3

Comme je vous le disais, j'en ai une à la maison, que je ne fais tourner qu'en AirPlay, donc les fameux presets, je m'en passe très bien mais je suis content que ce SixBack existe.

C'est quand même dommage à chaque fois de voir un appareil parfaitement fonctionnel transformé en presse-papier parce qu'un fabricant a décidé d'éteindre un serveur... Heureusement que des gens comme Tostmann existent pour s'énerver un peu !

SixBack est dispo sur GitHub .

Source

Petite victoire pour le logiciel libre. Avec la prochaine version du noyau Linux, la 7.2, le pilote Nouveau va enfin prendre en charge le GA100 de NVIDIA.

Pour situer, Nouveau, c'est le pilote graphique libre développé par la communauté pour faire fonctionner les cartes NVIDIA sans dépendre du pilote propriétaire maison.

Le GA100, lui, n'est pas une carte de gamer. C'est la puce qui anime l'A100, l'accélérateur que NVIDIA vend par camions entiers aux data centers pour entraîner les IA et faire tourner du calcul scientifique. Une bête taillée uniquement pour le calcul, sans même de sortie vidéo.

Et c'est justement ce qui posait problème. Nouveau gérait déjà les autres cartes de la génération Ampere grâce au GSP, un petit processeur embarqué sur la carte qui sert d'intermédiaire pour la piloter.

Sauf que le GA100, étant une puce entièrement dédiée au calcul, faisait bande à part et réclamait un traitement particulier, en réutilisant au passage des bouts de code prévus pour la génération précédente. NVIDIA a fini par publier les correctifs nécessaires en février, et ils arrivent donc maintenant dans le noyau.

Attention quand même à ne pas crier victoire trop vite. Le pilote côté noyau est prêt, d'accord, mais la partie logicielle qui permet réellement d'exploiter la carte pour faire du calcul n'est pas encore au point côté libre.

Les outils comme Mesa ou les pilotes OpenCL ne savent toujours pas gérer une carte NVIDIA dépourvue de moteur 3D. Il reste du boulot avant d'avoir une chaîne entièrement open source du début à la fin.

Source : Phoronix

En pleine flambée des prix de la mémoire et du stockage, un bricoleur du nom de Chase Fournier a imaginé une façon rigolote de recycler du vieux matériel : récupérer les puces de stockage de deux Xbox One pour les assembler en une seule clé USB de 10 Go, suffisamment compacte pour tenir dans la main.

Son astuce repose sur un composant méconnu. La carte mère d'une Xbox One S embarque une puce eMMC, autrement dit de la mémoire flash soudée qui sert de stockage interne, exactement le même type de composant que l'on trouve dans un smartphone d'entrée de gamme. Sur la console, cette puce dispose d'une capacité de 5 Go.

Le pari de Kyle McDonald, le site dont je vais vous parler aujourd'hui c'est que si une catastrophe se prépare, les milliardaires le sauront avant nous et fileront en jet privé. C'est pour ça que cet artiste-programmeur de Los Angeles a construit l' Apocalypse Early Warning System , un site qui surveille en temps réel l'activité des jets privés pour repérer le moment où les riches se barrent.

Son truc écoute un réseau de récepteurs radio répartis sur toute la planète, qui captent les signaux ADS-B des avions, à savoir leur position, leur altitude, leur direction et leur identifiant. McDonald filtre alors tout ça pour ne garder que les jets privés et d'affaires, soit plus de 35 000 appareils sur la carte, puis compare le nombre en vol à un instant donné avec ce qu'on devrait attendre normalement en cas de panique.

Et ce "normalement", ce sont des années de données historiques, avec les habitudes de chacun selon l'heure, le jour et les vacances genre Thanksgiving ou Noël. Et quand l'activité grimpe au-dessus de tout ce qu'on a vu sur un an, hop, le niveau d'alerte passe à 5 sur 5, soit bien plus de décollages que d'habitude.

Par contre, ce n'est pas sur du pistage individuel à la ElonJet, avion par avion, mais sur le compteur global de toute cette flottille privée. Difficile donc de dire si tel ou tel milliardaire précis a décollé, mais ça offre une tendance générale.

L'idée lui est venue après une menace de Trump sur l'Iran, du genre "une civilisation entière" pourrait disparaître. McDonald s'est alors demandé qui serait prévenu en premier, même si en réalité, l'activité des jets de milliardaires ne prédit pas vraiment l'apocalypse, et un pic n'annonce pas forcément une catastrophe.

Et le mec est productif puisque durant les manifestations George Floyd à Los Angeles, il a aidé à pister les hélicos de la police via le trafic aérien, et a découvert que le LAPD masquait l'identité de certains appareils. Puis il a aussi sorti ICESpy et FuckLAPD, deux projets de reconnaissance faciale pour identifier des agents des forces de l'ordre. Ça lui a même valu des menaces de mort.

Tout ça, vous l'aurez deviné, repose sur de l'OSINT, c'est à dire l'art d'exploiter des données déjà publiques que personne ne prend la peine de vraiment croiser, dans la lignée de ShadowBroker que je vous ai présenté y'a pas longtemps.

Son tracker de jets, lui, est gratuit sur le web et avec des alertes Telegram, ou si vous voulez recevoir un SMS, c'est 5 dollars par an. N'allez pas croire que ça n'intéresse personne puisque près de 2 500 personnes ont déjà payé. C'est fou !

Bref, on est un peu entre la blague et le malaise et on peut voir tout ça en direct sur son site .

Source

FROST, c'est le nom d'une nouvelle attaque qui transforme votre SSD en mouchard. Des chercheurs de l'université de Graz, avec Daniel Gruss au générique (un des cerveaux derrière Spectre et Meltdown), ont montré qu'un simple site web peut deviner quels autres sites et applis vous avez ouverts et cela juste en mesurant les micro-ralentissements de votre disque. Oui, je sais c'est geudin !

Le principe ?

Quand vous ouvrez la page piégée, elle crée discrètement un gros fichier sur votre disque via une API du navigateur baptisée OPFS ( Origin Private File System ), présente aujourd'hui dans tous les navigateurs modernes. C'est ce fichier qui sert de sonde.

Le JavaScript passe son temps à lire dedans et chronomètre chaque lecture au poil de cul et dès qu'une autre appli ou un autre onglet sollicite le SSD, ça crée un embouteillage minuscule sur le disque... que le code peut repérer sous forme de ralentissement.

Sauf que des variations de timing, ça reste du bruit illisible pour un humain. Du coup les chercheurs ont balancé toutes ces mesures dans un réseau de neurones (un CNN, le même genre de bidule qui reconnaît des choses sur des photos).

Entraîné sur des tonnes de traces, le modèle apprend alors la signature de chaque appli et de chaque site web et voilà comment à partir de ça, il devine ce que vous avez ouvert !

Sur un Mac, dans les tests présentés cette semaine, le truc retrouve le bon site parmi un top 50 dans près de 9 cas sur 10, et grimpe à plus de 95% pour reconnaître les applications ouvertes. Le tout sans la moindre action de votre part, à part avoir cliqué sur le lien. C'est totalement invisible.

Mais avant de débrancher votre PC, renvoyer votre box internet et vous lancer à temps complet dans la culture de chanvre, faut relativiser, car cette attaque a plusieurs limites... Le hic numéro un, c'est que le fichier-sonde doit être énorme, genre 1 Go ou plus, et un site qui se met à bouffer autant de place sur votre disque, ça se remarque vite. Le hic numéro deux, c'est que ce fichier doit être sur le même SSD que le navigateur sinon l'attaque est aveugle.

Les chercheurs ont fait tourner l'attaque complète sur un Mac M2, et démontré que la brique de base fonctionne aussi sous Linux (sans dérouler la classification complète), mais n'ont pas testé Windows. Et surtout, personne n'a encore vu FROST exploité dans la nature.

Perso, je trouve que cette attaque est trop bancale / incertaine pour faire du tracking de masse, en tout cas aujourd'hui...

Pensez donc à fermer les onglets dont vous ne vous servez plus comme ça, y'a moins d'activité à mesurer et pour les plus paranoïaques, vous pouvez toujours vous mettre à surveiller les fichiers OPFS créés par des sites web inconnus. Après comme tout repose sur du JavaScript, bloquer le JS sur les sites pas nets (avec un NoScript ou équivalent) ça coupe aussi l'attaque à la racine.

Les chercheurs proposent aussi aux éditeurs de navigateurs de plafonner la taille de ces fichiers OPFS. Ce serait dans la lignée de ce que fait par exemple Firefox avec le pistage, qui a récemment musclé son anti-fingerprinting .

Bref, pas de panique, personne ne fouille votre SSD en douce mais la technique reste intéressante. Les détails techniques complets sont dans le papier de recherche , qui sera présenté à la conférence DIMVA en juillet. Bonne lecture !

Source

Attention, votre iPhone vous surveille pendant vos appels FaceTime. Depuis iOS 26, Apple a glissé une fonction baptisée "Sensitive Content Warning" qui scanne en temps réel le flux vidéo et fige automatiquement la communication dès qu'elle détecte de la nudité.

Audio coupé, vidéo coupée, avec un message qui s'affiche : "Audio et vidéo sont en pause car vous montrez peut-être quelque chose de sensible". Sympa.

À la base, la fonctionnalité fait partie d'une suite plus large appelée "Communication Safety", destinée aux comptes enfants. L'idée est légitime : éviter que des mineurs ne tombent sur du contenu inapproprié, ou en envoient.

Sauf que voilà, dans iOS 26, la fonction est aussi accessible sur les comptes adultes. Elle est désactivée par défaut, mais on peut l'activer manuellement. Et plusieurs utilisateurs constatent que les faux positifs ne sont pas rares.

Le principe technique est plutôt rassurant côté vie privée. La détection se fait entièrement sur l'appareil grâce à du machine learning embarqué (les modèles de reconnaissance d'image tournent en local sur votre iPhone, sans envoyer la moindre image à Apple). Du coup, contrairement à ce qu'on pourrait imaginer, Apple n'a aucune idée de ce qui déclenche la détection sur votre téléphone. Le scan ne sort pas de l'appareil.

Le problème, c'est que ce genre de filtre se trompe souvent. Une consultation médicale en visio ? Bloquée. Une conversation entre adultes consentants ? Bloquée aussi. Et chaque interruption nécessite une action manuelle pour reprendre l'appel. Pour les usages légitimes qui ressemblent visuellement à de la "nudité" sans en être, c'est franchement pénible.

Au-delà du bug ou choix de design, la question de fond, c'est le précédent. Apple installe l'idée que votre flux vidéo, même dans un appel chiffré de bout en bout, peut être analysé en permanence par les filtres maison. Aujourd'hui c'est de la nudité. 

Demain, ça pourrait être des armes, des drogues, des contenus politiques selon les pays, ou tout ce que les gouvernements demanderont. La porte est ouverte, et c'est ce qui inquiète une partie des défenseurs de la vie privée. Apple a beau jurer que tout reste en local, l'infrastructure d'analyse est désormais en place sur des centaines de millions d'iPhone.

Vous pouvez désactiver la fonction en allant dans Réglages, puis FaceTime, puis « Avertissement de contenu sensible ». C'est en théorie OFF par défaut, mais autant vérifier. Et si vous l'aviez activée par curiosité, sachez qu'elle peut ruiner un appel important au pire moment.

Source : PC Mag

Voilà qui est rigolo. Un développeur malveillant a essayé de voler les fichiers sensibles des utilisateurs de Claude (l'assistant IA d'Anthropic, concurrent d'OpenAI sur les modèles de langage) en uploadant un package npm piégé.

Sauf que dans son code, il a laissé son propre token d'authentification GitHub privé. Les chercheurs n'ont eu qu'à le récupérer pour remonter jusqu'à lui.

Le package s'appelait mouse5212-super-formatter. Il se présentait comme un utilitaire interne de synchronisation de déploiement, mais en pratique, il scannait le répertoire local de l'utilisateur, encodait tous les fichiers en base64 (un format texte qui permet de transporter des données binaires), puis les uploadait sur un dépôt GitHub contrôlé par l'attaquant via l'API Contents.

La cible : les fichiers laissés par Claude Code (la version en ligne de commande de l'assistant IA d'Anthropic) sur le système, qui peuvent contenir des clés API, des tokens, ou des bouts de code propriétaire.

Le package a fait 676 téléchargements avant d'être supprimé par npm (le registre de packages JavaScript le plus utilisé au monde). C'est limité, mais pas anecdotique. 

Le compte GitHub utilisé pour la campagne a été créé le 26 mai 2026, soit quelques heures seulement avant la première version malveillante. Une opération préparée à la va-vite donc.

La bourde monumentale, c'est donc ce token GitHub privé hardcodé dans le code en fallback, au cas où la variable d'environnement ne soit pas définie.

Du coup, les chercheurs d'OX Security (une boîte spécialisée dans la sécurité des dépendances open-source) ont pu accéder directement au dépôt de l'attaquant, lister tous les fichiers volés, et confirmer l'ampleur de l'opération. C'est le genre d'erreur qu'on pardonne à un débutant sur un projet perso. Pas à quelqu'un qui essaie de monter une campagne d'exfiltration.

Les chercheurs notent aussi que le code a tout l'air d'avoir été pondu par une IA un peu foireuse. Variables mal nommées, structure approximative, gestion d'erreurs incohérente. Bref, du "slop" (terme utilisé pour qualifier les productions IA bâclées) avec toutes les négligences que ça implique. Et ce n'est probablement qu'un avant-goût. Avec la généralisation des assistants IA pour coder, n'importe qui peut désormais bricoler un malware fonctionnel sans rien connaître au développement. Et faire des erreurs de débutant en passant.

En tout cas, ça reste comique. Un attaquant piégé par son propre token. Bonne vanne.

Source : The Hacker News

Avec la sortie de CUDA 13.3, NVIDIA renforce son écosystème GPU sur deux fronts importants. La version Python passe officiellement en 1.0 (donc considérée comme stable et utilisable en production), et CUDA Tile arrive nativement pour les développeurs C++.

Petit rappel pour les non-initiés : CUDA, c'est l'outil que tout le monde utilise pour faire tourner du calcul sur les cartes graphiques NVIDIA, principalement pour l'IA et le calcul scientifique. 

Historiquement, c'est du C/C++ à 99%. NVIDIA pousse depuis quelques années pour rendre tout ça accessible en Python, et ce passage en 1.0 marque une étape importante. À partir de maintenant, l'API ne changera plus brutalement entre les versions mineures.

En pratique, les développeurs peuvent désormais compter dessus pour leurs projets long terme. La version 1.0 ajoute aussi le support des "green contexts" (un système pour réserver une partie de la GPU à des tâches isolées) et du checkpointing CUDA (la possibilité de sauvegarder l'état d'une exécution GPU pour la reprendre plus tard).

L'autre gros morceau, c'est CUDA Tile pour C++. Le modèle de programmation "tile" consiste à découper un calcul en blocs uniformes traités en parallèle, plutôt que de gérer chaque fil d'exécution individuellement (la GPU en fait tourner des milliers en même temps).

Il était déjà disponible en Python via des bibliothèques comme Triton. Il arrive maintenant en C++. L'idée est de monter d'un cran en abstraction : vous décrivez ce que vous voulez faire au niveau du bloc, et le compilateur s'occupe de mapper ça sur les threads. Le support couvre les GPU Hopper (l'architecture haut de gamme de NVIDIA pour les datacenters IA) et toutes les architectures plus récentes.

En bonus, NVIDIA introduit CompileIQ, un framework d'auto-tuning du compilateur qui promet jusqu'à 15% de gain sur des opérations critiques comme la multiplication de matrices ou les mécanismes d'attention utilisés dans les modèles d'IA. Le support du C++23 dans les compilateurs NVCC et NVRTC est aussi de la partie.

Pour les développeurs IA, c'est une nouvelle version importante. La programmation GPU est toujours un domaine très technique, mais NVIDIA réduit progressivement la barrière d'entrée, surtout côté Python. AMD a du boulot pour rattraper son retard avec ROCm, leur équivalent maison qui peine encore à convaincre la communauté.

Source : Phoronix

CuriousMarc, un youtubeur connu pour ses restaurations d'équipements électroniques d'époque, est tombé sur un cas intéressant lors de la réparation d'un oscilloscope Metrix vintage.

Après avoir changé tous les condensateurs (un "recap" en jargon, opération de routine sur les vieux équipements dont les condos sèchent avec le temps), l'appareil refusait toujours de fonctionner correctement. Coupable identifié : une résistance carbone de 20 kΩ qui mesurait 0,843 MΩ au multimètre. Soit 42 fois sa valeur d'origine.

Les chercheurs de X41 D-Sec viennent de divulguer une faille critique baptisée BadHost (CVE-2026-48710) dans Starlette, le framework Python qui sert de fondation à FastAPI, vLLM , LiteLLM et une grande partie des serveurs MCP basés sur FastAPI.

325 millions de téléchargements par semaine, et il suffit d'injecter un seul caractère dans le header HTTP "Host" pour contourner les contrôles d'accès path-based qui lisent "request.url.path" dont autant dire que beaucoup de déploiements d'agents IA en production tournent en ce moment avec une porte d'entrée très mal verrouillée.

Le proof of concept publié par OSTIF donne ceci :

curl -i -H 'Host: foo' http://target/admin # 403, bloqué
curl -i -H 'Host: foo?' http://target/admin # 200, ça passe !!

Et c'est tout ! Un simple point d'interrogation collé au Host header, et l'endpoint "/admin" qui jusqu'alors filtrait les non-authentifiés s'ouvre alors aussi facilement que le claque-merde de mes haters ^^.

Donc si votre infra utilise FastAPI, vLLM ou LiteLLM exposés directement en ASGI (uvicorn, hypercorn, granian) sans reverse proxy strict devant, vous pouvez tester votre exposition immédiatement grâce au scanner de BadHost développé par Nemesis et X41 D-Sec.

Niveau mécanique, Starlette reconstruit l'objet "request.url" en concaténant la valeur du header "Host" avec le path de la requête, puis re-parse le tout. Sauf que la valeur de "Host" n'est jamais validée donc si vous y injectez un "/", un "?" ou un "#", vous décalez la frontière entre path, query et fragment au moment du re-parse.

Du coup, le routeur Starlette dispatche sur le vrai path de la requête HTTP (donc votre endpoint sensible s'exécute bien), mais les middlewares qui lisent "request.url.path" voient simplement un path empoisonné qui ne correspond plus à rien d'interdit.

Donc le contrôle d'accès saute et le code derrière tourne quand même. On est sur un score CVSS de 7/10 et la boite de sécu Secwest estime même que cette note est largement sous-estimée... En gros c'est super grave !

Car la portée réelle ce sont surtout les serveurs MCP qui peuvent stocker ou manipuler des tokens et identifiants pour accéder aux ressources externes auxquelles les agents IA se connectent : bases de données, comptes mail, calendriers, S3, webhooks...etc

Bref, le genre de "coffre-fort" que vous ne voulez pas voir ouvert via un header HTTP à la con malformé. Markus Vervier de X41 D-Sec a même publié un petit échantillon de ce que leurs scanners ont déjà trouvé en production : Des bases de données d'essais cliniques chez des biopharmas, des données de vérification d'identité avec PII en temps réel, des accès SSH à des équipements industriels via bastion, des boites mails complètes en lecture/écriture, des listes de souscripteurs CMS, des topologies AWS complètes avec metric queries.

Bref, l'écosystème agents IA vient de passer en mode naturiste !

Pour régler ce problème, vous devez donc mettre à jour vers Starlette 1.0.1 ou supérieur, dans tous vos déploiements LLM qui l'intègrent... Et là c'est le bordel parce qu'il y en a partout : Dans les images Docker, les virtualenvs et les artefacts "vendorisés" un peu partout... Donc faut tout rebuilder.

Et si vous avez du code custom, l'OSTIF recommande aussi de remplacer request.url.path par request.scope["path"] partout où une décision de sécurité est prise.

En gros, lire la valeur non reconstruite est le "fix" qui survivra aux prochaines versions du bug, parce que croyez-moi, ça reviendra à coup sûr !

Maintenant, côté infra, X41 D-Sec et OSTIF indiquent que nginx, Apache httpd et Cloudflare rejettent le PoC par défaut, mais ça ne doit pas vous empêcher de vérifier votre config. Donc ne traitez votre reverse proxy comme une mitigation qu'après l'avoir testé explicitement avec le scanner Nemesis.

Au-delà du correctif technique, BadHost rappelle une mécanique qu'on a déjà vue avec la faille RCE de llama-cpp-python à savoir que la chaîne d'approvisionnement de l'IA ne tient que sur quelques mainteneurs bénévoles qui prennent des risques personnels énormes pour patcher proprement.

Kludex, le mainteneur de Starlette, est actuellement sous une avalanche de reports depuis des mois. L'audit qui a permis de trouver le bug a par ailleurs été financé par OSTIF et AWS et sans ça, BadHost serait encore probablement dans la nature pour un an voire plus avant d'être découvert plus naturellement.

Donc si votre boîte fait tourner du LLM en prod via FastAPI, vLLM ou LiteLLM, vous avez aujourd'hui 2 choses urgentes à faire : 1/ passer votre infra dans le scanner Nemesis, et 2/ envoyer un petit don à Kludex pour le soutenir !

Sources : Ars Technica , OSTIF

Matt Mullenweg vient de publier un billet anniversaire des 23 ans de WordPress, et ce qui devait ressembler à une célébration tient plus de l'appel au secours. Et j'avoue qu'à lecture, ça m'a mis un petit coup au moral... Parce que oui, le créateur de WordPress est épuisé à cause de 19 mois de guerre juridique...

Côté chiffres pourtant, le post commence très bien. WordPress 7 est sorti la semaine dernière, et en sept jours, 46% des installations sont déjà passées en 7.0 sans aucune casse. Du Raspberry Pi au site de la Maison Blanche, en passant par Korben.info, pas un wp-config.php à éditer à la main, pas un cron à relancer, pas un fichier .htaccess à toucher, TOUT A FONCTIONNÉ !!

Et surtout, aucune attaque supply chain ni faille de sécurité, en tout cas pour le moment. Matt insiste là-dessus et il a raison d'en être fier ! Mais c'est pas vraiment ce qu'on retient de son article...

En effet, ce qu'il explique c'est que la sortie de WordPress 7 n'a pas été ce qu'il espérait parce que trop de temps a été perdu à cause des attaques de WP Engine. Il a, je cite, "des collègues EN TRAIN DE MOURIR" (les majuscules sont dans le texte) qu'il ne peut pas aller voir parce qu'il est noyé sous les procédures. Son meilleur ami attend une greffe de cœur sur un lit d'hôpital pendant que les avocats de Quinn Emanuel l'interrogent sur tout un tas de conneries sans intérêt...

Mais avant, petit rappel pour ceux qui n'auraient pas suivi... depuis septembre 2024, Matt est en guerre ouverte avec WP Engine, un gros hébergeur WordPress propriété de Silver Lake. J'en parlais déjà à l'époque dans WP Engine vs WordPress, la guerre est déclarée . Et en 19 mois, ça n'a pas refroidi du tout... ça s'est même carrément "judiciarisé" à mort.

Silver Lake pèse plus de 100 milliards de dollars (et vient au passage de récupérer TikTok aux États-Unis), et ils ont lâché Quinn Emanuel sur l'affaire. Matt emploie le terme de "shoggoth paperclip-maximizer" pour le qualifier... En gros, ça veut dire que c'est un gars sans émotion qui exécute les ordres de manière littérale jusqu'à l'absurde.

Bref, il s'attaque à Automattic, à lui personnellement, et essaie maintenant carrément de dissoudre la Fondation WordPress qui je le rappelle est à but non lucratif sans aucun employé, et qui finance entre autres les WordCamps et l'éducation open source à travers le monde. C'est le truc qui fait tourner la communauté...

Et de ce qu'on comprend dans ce récit de Matt Mullenweg, c'est que WP Engine essaie de faire passer Matt pour quelqu'un qui détruit des preuves, parce que wordpress.org fait de la rotation de logs (chose que fait absolument tout serveur sur Terre depuis l'invention de syslog en 1980) et parce qu'il utilise les messages éphémères sur Signal avec ses partenaires amoureuses.

Bref, je comprends que le gars soit fatigué par tout ce merdier et cette mauvaise foi. Et puis vient le passage qui fait vraiment mal quand Matt s'adresse directement à Silver Lake : "Vous avez déjà tout dépecé. Si vous vouliez me faire souffrir pour mes péchés, j'ai souffert, et probablement plus profondément que vous ne le saurez jamais. WordPress et WordPress.org, et oui, même mon leadership imparfait, sont au cœur de ce qui a fait le succès de WP Engine jusqu'ici. Vous avez tellement d'argent et de pouvoir, vous venez d'avoir TikTok, l'administration Trump vous adore, vous n'avez pas besoin de contrôler WordPress aussi. Si vous gagnez, vous le détruisez, et après ?"

Puis il termine sur ces mots : "I submit. Let's move on".

Le mec capitule sur le blog officiel... Je dois avouer que j'avais jamais vu ça.

C'est un humain qui craque mais c'est également une fondation à but non lucratif qui risque de disparaître...

Bref, c'est triste pour Matt et clairement pour tout l'écosystème open source derrière. Force à lui et à WordPress !

Source

Daniel Estévez est ce qu'on appelle un radioamateur de haut vol. Spécialisé dans le décodage de signaux satellites et de sondes spatiales, l'Espagnol partage ses analyses techniques sur son blog depuis plusieurs années.

Cette fois, il s'est attaqué à un gros morceau : la télémétrie de Tianwen-2, la sonde chinoise actuellement en route vers l'astéroïde géocroiseur Kamo'oalewa.

Pour capter le signal, Estévez s'est appuyé sur le radiotélescope de Dwingeloo, aux Pays-Bas. Cette antenne historique, construite en 1956 par les radioastronomes néerlandais et longtemps abandonnée, a été remise en service par une association de passionnés qui l'utilise en particulier pour suivre les missions spatiales lointaines. La sonde émet en bande X (une plage de fréquences radio utilisée par la plupart des engins interplanétaires), autour de 8428,19 MHz, soit pratiquement la même fréquence que sa grande sœur Tianwen-1.

Là où ça devient intéressant techniquement, c'est sur l'encodage du signal. Tianwen-1 utilisait un encodage Reed-Solomon (une méthode classique de correction d'erreurs, indispensable quand le signal voyage sur des centaines de millions de kilomètres) avec une astuce un peu bricolée qui obligeait à zapper certains octets pour faire rentrer le tout dans la trame.

Tianwen-2, elle, utilise un encodage concaténé avec une longueur de trame mieux pensée. Du coup, les codewords Reed-Solomon rentrent pile-poil, sans bidouillage. C'est un détail qui peut sembler insignifiant, mais ça simplifie la vie de tout radioamateur qui veut suivre la mission depuis chez lui.

La sonde a été lancée le 28 mai 2025 et doit atteindre Kamo'oalewa en juin 2026. L'objectif est ambitieux : prélever un échantillon et le ramener sur Terre, comme l'avait fait la mission japonaise Hayabusa2 sur Ryugu en 2020.

Mais Tianwen-2 vise encore plus loin. Après Kamo'oalewa, la sonde poursuivra sa route vers la comète 311P/PANSTARRS pour une étude rapprochée, dans une mission double assez inédite. Si l'opération réussit, ce sera une nouvelle étape importante pour le programme spatial chinois, qui enchaîne les missions depuis plusieurs années.

Estévez documente tout publiquement, avec les paramètres exacts du signal, les outils utilisés (essentiellement GNU Radio, un framework open-source de traitement de signal), et les écueils techniques rencontrés. Pour les passionnés, c'est une mine d'or. Pour les autres, c'est surtout une démonstration que l'observation spatiale n'est plus l'apanage des agences gouvernementales.

Source : Hackaday

Stefan Hermann, le mec derrière la chaîne YouTube CNC Kitchen , vient de nous pondre un super outil web baptisé BumpMesh qui permet d'ajouter des textures de " displacement " à vos modèles STL, OBJ et 3MF... directement depuis votre navigateur. Vous balancez votre fichier, vous choisissez une texture dans la bibliothèque (ou vous uploadez votre propre image), vous réglez l'amplitude et le mapping, et hop, vous exportez un STL avec une texture de bois ou de béton ou que sais-je encore, prêt à être imprimé.

Avant pour mettre un motif sur une pièce imprimée en 3D, fallait passer forcement par Blender ou un soft de CAO, et surtout comprendre ce concept de displacement map, gérer les UV, bidouiller pendant des heures..etc etc. Et là avec cet outil, c'est juste quelques étapes et basta ! En plus, le code source est sur GitHub sous le nom stlTexturizer.

Côté fonctionnalités, y'a tout ce qu'il faut pour pas se planter. L'outil détecte automatiquement les surfaces planes orientées vers le bas et les laisse lisses (sinon votre pièce décolle du plateau pendant l'impression), et vous pouvez aussi peindre au pinceau les zones que vous voulez garder vierges de toute texture.

Il protège également les parties en surplomb (les fameux overhangs, ces angles déjà casse-pieds à imprimer proprement sans qu'on aille leur coller des reliefs en plus), garde le dessous bien plat avec le "smooth bottom", et propose un mode d'application cylindrique pour enrouler la texture autour des pièces rondes type vase ou tasse sans déformation aux jointures.

Y'a aussi une poignée 3D pour pivoter le modèle dans tous les sens, les raccourcis clavier classiques pour annuler/refaire, une sauvegarde de projet au format .bumpmesh, et une fonction "Bake Textures" en bêta qui fige la texture actuelle sur le maillage pour que vous puissiez en empiler une deuxième par-dessus.

L'interface est dispo en français mais aussi en italien, espagnol, portugais, japonais, coréen sans oublier l'anglais évidemment...

Bref, pour ajouter une texture peau de banane sur un vase, des écailles sur une figurine, du motif hexagonal sur une coque, c'est top moumoute ! Et en plus c'est gratuit !

À tester sur bumpmesh.com .

Merci à B0t_Ox pour la découverte !

Multimodal Solutions, une boîte grecque, vient de sortir Taphouse 1.5 qui est une GUI native macOS pour Homebrew. GUI c'est pas que le nom de votre collègue qui fout rien, c'est surtout un acronyme qui veut dire Graphic User Interface (Interface Graphique !). Et pour Homebrew, bah c'était pas du luxe.

Parce que Homebrew, c'est le standard chez les développeurs Mac, mais tout passe par le terminal. Faut taper brew install, gérer les services, fouiller l'arbre de dépendances en CLI (Command Line Interface), et c'est pas le pied quand on veut juste installer Firefox et passer à autre chose dans sa vie !

Des interfaces graphiques pour Homebrew, y'en a déjà quelques-unes (par exemple Cakebrew, Applite, Cork, WailBrew) sauf que Taphouse arrive avec 2 trucs qu'on voit rarement ailleurs : un scanner CVE intégré et un détecteur d'apps Intel qui tournent encore sous Rosetta.

Le scanner CVE, fait qu'à chaque installation, Taphouse compare la version de chaque package avec les feeds de vulnérabilités, avec des codes couleur selon la sévérité, et linke directement vers la base NVD et les rapports fournisseur.

Ainsi, quand une nouvelle CVE tombe, ça rescan en arrière-plan comme ça, sur des dépendances qu'on oublie de mettre à jour pendant des mois, y a de quoi repérer les vulnérabilités connues avant qu'elles posent un vrai problème côté sécurité.

L'autre feature pas mal, c'est donc la détection des apps Intel qui tournent encore sous Rosetta. Si vous êtes passé d'un Intel à un Mac M* , vous avez sûrement traîné des binaires Intel dans /Applications sans même vous en rendre compte. Taphouse scanne le dossier, repère les x86_64 et, quand un cask compatible existe, il vous propose la version Apple Silicon native via Homebrew. J'ai testé sur mon install et, ça m'a remonté tous mes binaires Intel oubliés comme ça j'ai pu faire un peu de ménage.

Dans sa version gratuit, vous avez le droit à +14 000 formules et casks, l'installation en un clic, la gestion des services Homebrew (start, stop, restart), le nettoyage de l'espace disque, l'aperçu des dépendances, et un gestionnaire de quarantaine Gatekeeper. Y'a aussi de quoi repousser une mise à jour pour 1 jour, 1 semaine ou 1 mois quand on n'a pas envie de se taper un brew upgrade en plein rush de boulot.

Pour les power-users, la version pro débloque la migration Apple Silicon assistée, l'aperçu des release notes GitHub en direct dans l'app, et un tableau de bord "santé du système" avec un score global. Je ne sais pas si ça vous sera utile mais ça coute moins de 10 balles pour une licence à vie, ce qui se fait de plus en plus rare maintenant.

Notez que Taphouse n'est pas open source malgré le repo GitHub qui n'héberge que les rapports de bug. Maintenant entre une app gratuite et Taphouse Pro à 9,99 €, ça dépend de ce que vous cherchez. Applite couvre 80% du besoin si vous n'installez que des casks (pas les formules), et de son côté, Cork est open-source et gratuit mais le binaire pré-compilé est payant.

Y'a aussi Cakebrew qui est encore dispo mais le projet ne semble plus maintenu. Ce qui est surtout cool avec Taphouse c'est le CVE scanning et cette migration Apple Silicon assistée dont je vous parlais.

Si vous voulez l'installer, ça peut se faire via Homebrew lui-même avec brew install --cask taphouse. Sinon, téléchargement direct sur le site officiel .

Bref, si vous gérez votre Mac avec Homebrew et que vous en avez marre du terminal, Taphouse mérite un petit coup d'œil.

Source

Le 22 juin prochain, le Canada va éteindre une voix qui parle sans interruption depuis 1923. La station CHU, opérée par le Conseil national de recherches (l'équivalent canadien du CNRS), cessera ses émissions sur ondes courtes après plus de cent ans de bons et loyaux services.

Trois fréquences disparaîtront du spectre radio : 3330, 7850 et 14670 kHz. C'est la fin d'une époque.

Pour ceux qui n'auraient jamais croisé son signal, CHU diffusait en continu l'heure officielle canadienne, calée sur une horloge atomique du CNRC. Le principe est très simple : un émetteur balance des "tops" précis à la milliseconde, et n'importe quel récepteur radio peut s'y synchroniser. 

Voler un mot de passe ? C'est presque devenu accessoire. Le FBI a lancé une alerte sur Kali365, un kit de piratage qui s'introduit dans les comptes Microsoft 365 d'une entreprise sans jamais avoir besoin du mot de passe, ni du fameux code de la double authentification.

La protection que beaucoup imaginent solide ne sert plus à grand-chose ici. Hélas.

Kali365 n'est pas un virus classique. C'est ce qu'on appelle un kit de phishing en location : un service clé en main, vendu un peu comme un abonnement à un logiciel, sauf qu'il sert à pirater. Repéré depuis avril et distribué via la messagerie Telegram, il permet à n'importe quel apprenti pirate de lancer une campagne sans compétences techniques particulières. Le kit fournit les emails piégés rédigés par une IA, des modèles de campagne tout prêts, et même un tableau de bord pour suivre ses victimes en temps réel, la totale donc.

Cette méthode porte un nom, le device code phishing, et elle est redoutable de simplicité. La victime reçoit un email qui imite un service de partage de documents, avec un petit code et une consigne : aller sur une page Microsoft pour rentrer le code. Sauf que cette page-là est la vraie page de Microsoft, du coup zéro méfiance.

Rien à signaler du côté de l'antivirus, rien de suspect dans l'adresse du site. La personne entre le code en toute confiance. Et là, sans s'en rendre compte, elle vient d'autoriser l'appareil du pirate à se connecter à son compte.

À partir de là, l'attaquant récupère un jeton d'accès, ce que le jargon appelle un token OAuth. C'est un laissez-passer numérique : une fois qu'on l'a, plus besoin du mot de passe ni d'un nouveau code pour entrer.

Avec ce jeton, le pirate conserve un accès continu à la boîte mail Outlook, à la messagerie Teams et au stockage OneDrive de sa victime. Et comme il n'a jamais touché au mot de passe, le réinitialiser en urgence ne bloque même pas l'intrus.

Le procédé n'a rien de marginal. Sur des campagnes de ce genre, des chercheurs en sécurité ont compté des centaines de comptes piégés chaque jour, avec une nette préférence pour les profils liés à la paie et à la comptabilité, là où l'argent circule le plus.

Le FBI conseille aux entreprises de carrément désactiver ce mode de connexion par code dans les réglages d'administration de Microsoft. Encore faut-il que les services informatiques prennent le temps de s'en occuper.

Source : The Register

Micode vient de lâcher une enquête de presque 50 minutes que vous devriez vraiment regarder, et je la relaie parce qu'elle est d'intérêt public.

Avec son équipe, il a infiltré pendant des mois le réseau derrière ces appels qui vous harcèlent plusieurs fois par jour, ces numéros en 0162 que l'Arcep réserve au démarchage et que les escrocs détournent allègrement. Genre les faux remboursements de 170 € soi-disant liés à l'inflation ou aux chèques énergie.

Et spoiler, ce n'est pas une petite arnaque artisanale mais une véritable industrie de l'escroquerie !

Depuis quelques jours, les Kindle sortis en 2012 ou avant ont perdu l'accès à la boutique Amazon : plus d'achat, plus d'emprunt, plus de téléchargement, vous gardez bien sûr les bouquins déjà chargés sur l'appareil, mais c'est tout.

Alors est ce qu'on chiale comme des petits fragiles victimes d'Amazon ??

Bah non parce que la communauté KindleModding documente depuis des années comment reprendre la main sur ces liseuses, et leur wiki tombe à pic !

Le principe, c'est de jailbreaker le Kindle pour y installer ce qu'Amazon ne veut pas voir en particulier ces 2 outils qui changent tout : KOReader d'abord, un lecteur libre qui avale l'EPUB, le PDF, le CBZ et à peu près tout le reste, et Mesquito, qui remplace carrément la boutique Kindle par un store communautaire. Et voilà comment votre vieille liseuse peut enfin lire les formats ouverts et charger des livres sans passer par la caisse d'Amazon.

Et côté compatibilité, c'est large ! WinterBreak par exemple couvre tous les Kindle en firmware 5.18.0 ou antérieur, soit l'écrasante majorité des modèles d'avant 2024. Les firmwares plus récents, de 5.18.1 à 5.18.5, passent eux par AdBreak. En gros, presque tous y passent, sauf le Kindle Scribe, encore trop verrouillé pour l'instant.

Et vous allez voir, KOReader, c'est le jour et la nuit face au lecteur d'origine. Typographie réglable au poil comme sur Korben.info ^^, dictionnaires perso, annotations de pro, et surtout zéro format imposé. Votre Kindle redevient grâce à ce hack, une vraie liseuse.

Et avec Mesquito, vous installez des apps tierces, vous virez enfin l'écran de pub des modèles Special Offers, vous sideloadez vos livres en USB, et vous coupez les mises à jour automatiques pour qu'Amazon n'aille pas tout re-verrouiller dans votre dos.

Après, même si le risque reste faible quand on suit le wiki à la lettre (il y a une section entière pour récupérer un Kindle dans les choux), faut quand même faire gaffe car un flash de firmware alternatif, c'est jamais anodin. Et bien sûr la garantie saute, mais franchement, sur une liseuse de 2012 elle est morte et enterrée depuis un bail, alors pourquoi se priver !

Dernier truc, un Kindle jailbreaké restera coincé avec le DRM des livres Amazon que vous avez déjà, et KOReader ne fera pas de miracle là-dessus. Donc vous devrez peut-être faire sauter les verrous de vos livres avant.

Et un petit conseil au passage, sur un vieux Kindle encore enregistré, évitez de le réinitialiser ou de le désenregistrer car après vous ne pourrez plus jamais le réenregistrer. Donc on bidouille tranquillou mais on ne fait pas de reset à l'aveugle en mode gros bourrin ^^.

Après le vrai sujet, je trouve, c'est que ce Kindle de 2012, il marche encore parfaitement. L'écran e-ink tient, la batterie tient, rien n'est cassé... Mais non, y'a Amazon qui décide de casser les couilles à distance en bloquant l'achat de livre dessus. En vrai c'était une location de liseuse alors ? On nous aurait menti ?

Amazon avait déjà retiré en février 2025 l'option de télécharger ses livres en USB, et même quand ils ont fini par autoriser l'EPUB sans DRM , c'était réservé aux auteurs indépendants. Bref, leur mouv de fond est limpide, c'est direction tout vers le verrou !

Alors plutôt que de racheter une liseuse neuve, autant réveiller celle qui dort dans un tiroir ou qui arrive en fin de vie à cause d'Amazon. Rendez-vous donc sur le wiki KindleModding qui explique la marche à suivre modèle par modèle, avec un Discord pour l'entraide.

Merci François pour le lien !

Un bricoleur connu sous le pseudo ALTco a fabriqué un circuit imprimé sans toucher au moindre logiciel. Pas de conception sur ordinateur, pas de commande envoyée à une usine. Juste un marqueur, une plaque de cuivre et un bain chimique. Rien d'autre.

La méthode date d'avant l'informatique, et elle fonctionne toujours aussi bien.

Le circuit imprimé, c'est cette plaque qu'on trouve dans absolument tous les appareils électroniques : sur sa surface courent de fines pistes de cuivre qui relient les composants entre eux.

Aujourd'hui, on les dessine sur un logiciel spécialisé, le logiciel EDA (conception électronique assistée par ordinateur), avant de transmettre le fichier à un fabricant qui se charge du reste. ALTco a tout simplement zappé cette étape.

Sa méthode tient en quelques gestes. Il part d'une plaque de cuivre brut, qu'il nettoie soigneusement pour que l'encre accroche bien. Puis il dessine directement les pistes du circuit à la main, au marqueur permanent.

Bon, vous le savez, j'utilise mon site aussi comme un pense-bête. Et comme je viens de me racheter une nouvelle montre, j'en profite pour me faire mon petit mode d'emploi, rien qu'à moi. Donc je suis au regret de vous annoncer que cet article ne vous intéressera pas du tout ^^, sauf si vous avez la même montre évidemment...

Cette Casio F-91W coûte une vingtaine d'euros, elle est quasi increvable, et si j'ai choisi ce modèle, c'est parce que je voulais une montre pas chère et solide, rien d'autre. J'en ai rien à faire de compter mes pas ou de recevoir des notifs au poignet. Je sais qu'il y a des gens qui mettent carrément du Linux sur leur montre , grand bien leur fasse, mais perso, plutôt qu'une smartwatch à 300 balles qu'il faut recharger tous les jours, je préfère claquer mes sous dans ce machin et profiter de ses 7 ans d'autonomie (oui oui ^^).

Mais avant, petit rappel pour ceux qui débarquent. La F-91W, c'est Casio qui la sort en 1989, elle est dessinée par Ryūsuke Moriai , et depuis le modèle n'a quasiment pas bougé. C'est l'une des montres les plus vendues de la planète, dans les 100 millions d'exemplaires écoulés au fil des années. J'aime beaucoup son look digital rétro des années 90, elle ne pèse que 21 grammes (le poids de votre âme ^^), et comme je vous le disais, sa pile lithium CR2016 tiendra environ 7 ans soit le temps qu'une smartwatch rende l'âme 2 ou 3 fois. Et niveau précision annoncée, on est à ±30 secondes par mois.

Maintenant côté flotte, elle encaisse les éclaboussures et la pluie, mais c'est tout. Pas de douche avec, pas de piscine non plus donc attention !

Et niveau features de fou, elle fait juste l'heure, l'alarme et le chrono. Oui, je sais, vos influenceurs préférés déballent des Rolex à 15 000 € défiscalisées pour leurs stories insta et moi, je débarque avec ma Casio en plastique 1000 fois moins cher histoire de vous coller la honte !

Mais y'a un truc marrant que j'ai découvert en écrivant cet article c'est que Barack Obama portait déjà une F-91W bien avant d'entrer à la Maison-Blanche. Notez que Trump, lui, n'en aurait aucun usage, car il paraît qu'il ne sait même pas lire l'heure.

Mais alors maintenant le vrai morceau, LE truc pour lequel j'écris cet article incroyable c'est : Comment est-ce qu'on règle ce machin ?? Comme la F-91W tourne sur le module Casio 593 (le numéro est gravé au dos), et toute la logique de "programmation" passe par 3 boutons... Une fois que vous et moi auront pigé comment utiliser ces 3 boutons, on saura tout faire (comme avec la barre de fer) et on pourra se concentrer sur comment utiliser ces foutus 3 coquillages.

Les 3 boutons et les 4 modes

Y'a donc 3 boutons sur la F-91W. En haut à gauche, le bouton (L), c'est l'éclairage. En bas à gauche, le bouton (C), c'est celui qui change de mode. Et à droite, le bouton (A), c'est celui qui ajuste les valeurs.

Je peux pas faire plus clair...

Et la montre a 4 affichages, et on passe de l'un à l'autre en appuyant sur (C) : l'heure normale, l'alarme quotidienne, le chrono, et le réglage heure/calendrier. Un appui sur (C) et on avance d'un cran, et au bout on revient à l'heure normale. Gardez ça en tête, parce que tout le reste en découle.

Régler l'heure et la date

Depuis l'affichage normal, appuyez 3 fois sur (C). Les secondes se mettent à clignoter, vous êtes en mode réglage.

À partir de là c'est toujours la même mécanique : (A) change la valeur qui clignote, et (L) passe au champ suivant. Ensuite, l'ordre est imposé par la montre, à savoir : secondes, heures, minutes, mois, date, puis jour de la semaine.

(A) remet les secondes à zéro, ce qui est pratique pour se caler pile sur un top horaire comme dans Parker Lewis. Ensuite, (L) pour passer aux heures, (A) pour les avancer, encore (L) pour les minutes, (A) pour les avancer...etc. Et hop, pareil pour le mois, la date et le jour. Et si une valeurs est déjà bonne, vous la sautez en appuyant juste sur (L).

Et quand tout est réglé, un appui sur (C) et c'est validé.

Petit gain de temps aussi, si vous maintenez (A) plus de 2 secondes, les chiffres défilent en accéléré. Pas besoin donc de marteler le bouton 12 fois pour passer de janvier à décembre.

Passer en 24h (ou en 12h)

Celle-là, pas besoin d'entrer dans les réglages. Depuis l'affichage normal de l'heure, chaque appui sur (A) bascule entre le format 24h et le format 12h (avec le petit AM/PM), et vous voyez le changement direct à l'écran. Voilà, c'est tout.

Jack Bauer n'a qu'à bien se tenir !

Régler l'alarme

Hop, un appui sur (C) depuis l'heure normale vous met sur l'alarme quotidienne (l'écran affiche AL). Le principe est le même que pour l'heure : (L) pour passer des heures aux minutes, (A) pour faire avancer les chiffres. Un dernier (L) pour terminer.

L'alarme sonne ensuite durant 20 secondes pile à l'heure prévue, tous les jours. Pour la couper quand elle braille, suffit d'appuyer sur n'importe quel bouton. Et si vous voulez juste vérifier qu'elle marche bien, maintenez (A) enfoncé en mode alarme, ça déclenche le bip de test.

Le carillon horaire (un bip toutes les heures)

Ça c'est le fameux bip qui sonne à chaque heure pile même la nuit ^^. Sur la F-91W il est séparé de l'alarme, mais les deux se règlent au même endroit. En mode alarme, chaque appui sur (A) fait tourner 4 combinaisons : alarme + carillon, rien du tout, alarme seule, carillon seul.

Du coup vous appuyez sur (A) jusqu'à tomber sur le réglage qui vous arrange. Les petits indicateurs en haut de l'écran (une cloche pour le carillon, une icône d'onde pour l'alarme) vous disent ce qui est actif. Perso, le carillon je le coupe, ça rend dingue !

Le chronomètre

Pour le chrono, c'est 2 appuis sur (C) depuis l'heure normale et vous voilà sur le chrono (l'écran affiche ST, à zéro). Il monte jusqu'à 59 minutes 59,99 secondes, au centième de seconde.

Bon, moi je m'en sers pas, à part peut-être pour la cuisson des oeufs à la coque mais pour un chronométrage simple : (A) démarre, (A) arrête, (A) repart, et (L) remet à zéro une fois arrêté.

Pour un temps intermédiaire (un "split"), pendant que ça tourne vous appuyez sur (L), l'affichage se fige sur le temps de passage alors que le chrono continue de tourner derrière. Un nouvel appui sur (L) et il rattrape le temps réel. Ensuite c'est (A) pour arrêter, (L) pour remettre à zéro.

C'est simple la vie, non ?

L'éclairage

Le bouton (L) en haut à gauche allume la petite loupiote, dans n'importe quel mode, mais autant vous le dire tout de suite, c'est faiblard de fou, genre luciole en soins palliatifs. Dans le noir complet vous devinerez l'heure plus que vous ne la lisez mais bon ça dépanne. Bah ouais c'est une montre pas chère !

L'éclairage le plus nul de l'histoire des éclairages

Le piège du 29 février

Le seul vrai truc à retenir avec cette montre, c'est que son calendrier est réglé en usine sur 28 jours pour février, point. Hé oui, la montre ne gère pas les années bissextiles toute seule. Donc attention, tous les 4 ans (2028, 2032...), le 1er mars la date sera décalée d'un jour, et faudra repasser dans les réglages la corriger à la main, sinon vous risquez de louper des rendez-vous. C'est pas méchant, mais vous savez pourquoi.

Et si jamais vous appuyez n'importe comment et que l'écran affiche un truc bizarre, pas de panique, ses composants ne peuvent en aucun cas être endommagés du fait d'une mauvaise utilisation des boutons.

Voilà, si vous avez été jusqu'au bout de cet article, c'est peut-être parce qu'elle vous intéresse. Vous la trouverez donc sur Amazon pour pas cher mais attention, y'a plein de version,

Pour bien comprendre ce que vous achetez, voici comment lire une référence Casio :

Notez qu'il y a pas mal de contrefaçons, donc je vous conseille de l'acheter sur la boutique Amazon de Casio. La vraie, la seule, l'originale old school, vendue en Europe c'est celle-là et puis c'est tout.

Et si vous avez déjà une F-91W, un moyen rapide de savoir si c'est une vraie ou une fausse, c'est de regarder tout ça :

1. Le test "CASIO" : vous maintenez 3 ou 4 sec le bouton en bas à droite et sur une vraie, le mot CASIO s'affichera en gros sur l'écran. Sur la plupart des fausses, y'aura soit rien, soit tous les segments s'allumeront (le fameux 88:88 88). Attention quand même les "super fakes" récents ont commencé à imiter ce truc, donc c'est plus suffisant.
2. Le fond du boîtier : sur une vraie, les inscriptions (593, CASIO, F-91W, STAINLESS STEEL BACK, WATER RESISTANT) sont gravées nettes et précises. Sur une fausse, c'est tamponné, mal aligné, parfois avec des fautes de typo ou la mauvaise police.
3. La boucle du bracelet : CASIO gravé sur la boucle d'une vraie. Sur une fausse, boucle nue ou marquage approximatif.
4. Le bracelet : un petit numéro (genre 472, 304,233) est moulé dans la résine.
5. L'écran de biais : la vraie reste lisible sous un angle prononcé. Les fausses utilisent un LCD bas de gamme avec un angle de vue catastrophique.
6. L'ancienne astuce du "u" : il y avait aussi un petit u imprimé sur le boîtier des vraies et sur les fausses, le u était souvent énorme. Mais Casio a depuis arrêté de le mettre, donc son absence n'est plus un vrai signe... Toutefois, un gros u, ça reste un drapeau rouge !

Bref, voilà ma F-91W bien décortiquée ! Comme ça, je saurais la régler sans la notice la prochaine fois... j'imagine que ce sera le 29 février 2028...

Dans le jeu Cyberpunk 2077, un des vêtements qui marquent l'environnement visuel, c'est cette veste avec un petit écran intégré dans le col, qui diffuse des images en boucle.

Un objet purement décoratif du jeu, le genre de détail qui pose l'ambiance futuriste sans qu'on puisse vraiment l'avoir. Sauf qu'un bidouilleur connu sous le pseudo Zibartas a décidé qu'il en voulait une, pour de vrai. Il l'a fabriquée. Et le résultat colle de très près au modèle vu dans le jeu.

Le maker connu sous le pseudo gokux a fabriqué un objet aussi inutile que mignon : un fortune cookie électronique. Vous le secouez, et il affiche une prédiction sur son petit écran. Voilà, c'est tout. Et c'est très bien comme ça.

Sous le capot, c'est un condensé de composants accessibles. Le cerveau, c'est un Seeed Xiao ESP32-S3 Plus, un microcontrôleur minuscule, autrement dit une puce programmable qui fait tourner le tout.

Depuis 2021, Apple colle une encoche en haut des écrans de MacBook et n'en fait à peu près rien. C'est juste une zone sombre pour cacher la caméra et qui mange la barre des menus.

Heureusement, l'équipe TheBoredTeam a décidé que ça suffisait et vient de sortir boring.notch , une app gratuite et open source qui transforme ce trou noir en un vrai centre de contrôle dynamique, dans l'esprit de la Dynamic Island de l'iPhone.

L'installation se fait avec Homebrew comme ceci :

brew install --cask TheBoredTeam/boring-notch/boring-notch

xattr -dr com.apple.quarantine /Applications/boringNotch.app

Vous supprimez une clé API Google qui a fuité , et l'interface vous confirme que c'est bien réglé, que la clé ne fonctionne plus. Alors vous commencez à vous détendre en vous disant que vous avez bien fait votre boulot.

BAH NAN !

Car vous ne le savez pas, mais cette clé va continuer de fonctionner encore durant 23 minutes. C'est en tout cas ce qu'ont mesuré les chercheurs d'Aikido Security en testant ce truc tout bête de révoquer une clé, puis de taper sur l'API en boucle pour voir quand ça s'arrêtait vraiment.

Et résultat des courses, une clé API classique survit en moyenne 16 minutes après sa suppression, et jusqu'à 23 minutes dans le pire des cas. Cela veut dire que pendant tout ce temps, un attaquant qui a récupéré votre clé peut continuer de l'utiliser peinard. Et vous n'avez aucun moyen de couper plus vite, ni même de savoir quand ça s'arrête pour de bon.

Ce sont les clés API de Schrödinger le bordel... Techniquement comme vous vous en doutez, c'est surtout une histoire de propagation car Google ne tue pas la clé d'un coup sur tous ses serveurs, mais l'info se diffuse petit à petit, et chaque serveur arrête de l'accepter à son rythme. Le souci, c'est que ce délai et largement suffisant par exemple pour vider un bucket pendant que vous pensez que le danger est écarté.

Le plus beau, c'est que Google sait parfaitement faire vite quand il veut puisque les clés de compte de service, elles, sont coupées en 5 secondes. et les clés Gemini récentes en 1 minute. Du coup, ces 16 minutes de moyenne sur les vieilles clés API n'ont rien d'une fatalité technique... c'est juste un choix ! Aikido a bien sûr remonté le problème, et Google a bizarrement classé le ticket en « won't fix », en expliquant que ce délai de propagation était une propriété connue du système, et pas une faille de sécurité.

Donc si vous gérez des clés Google en prod, partez du principe qu'une clé compromise reste exploitable une bonne demi-heure après sa révocation. Et surtout, mettez en place des plafonds de dépenses bien serrés sur votre projet parce que le vrai cauchemar, c'est moins l'accès que la facture qui débarque ensuite. On a déjà vu des devs se prendre des notes à cinq chiffres à cause d'une clé qui traîne, et des utilisateurs Google Cloud facturés par erreur .

Source : Aikido Security

Une console de jeu portable estampillée Lenovo est apparue sur AliExpress à environ 72 dollars, et elle a un détail embarrassant : elle est livrée avec des milliers de jeux Nintendo piratés préinstallés. Le genre de produit qu'on prendrait pour une contrefaçon. Sauf que non.

Interrogé sur cette G02, Lenovo a confirmé que la console est bien officielle. C'est ce qu'on appelle un produit en marque blanche : Lenovo n'a pas conçu l'appareil, mais a accordé une licence d'utilisation de son nom à un fabricant tiers, via un accord régional réservé au marché chinois.

La G02 ne fait pas partie du catalogue mondial de Lenovo, mais elle porte bel et bien son logo, en toute légalité côté marque. C'est un modèle courant : une marque connue loue son nom, un fabricant local s'occupe du reste.

Le problème, c'est ce qu'il y a dedans. La console démarre avec le branding Lenovo, puis donne accès à des milliers de ROMs, ces copies de jeux rétro, en grande majorité des titres Nintendo.

Et là, plus de zone grise : il est hautement improbable que ces jeux soient sous licence. Nintendo est sans doute l'éditeur le plus féroce de l'industrie quand il s'agit de défendre sa propriété intellectuelle, et la firme a déjà fait fermer des dizaines de projets d'émulation à coups d'avocats.

Pour l'acheteur, l'affaire est presque trop belle : une machine de rétrogaming à 72 dollars, le logo d'un géant de l'informatique, et une ludothèque entière offerte. Sauf que cette ludothèque, personne ne l'a payée aux ayants droit.

Et la console continue de se vendre tranquillement sur AliExpress, accessible aux acheteurs chinois comme au reste du monde.

Du coup, Lenovo se retrouve dans une position franchement inconfortable. Son nom, validé par un contrat officiel, s'affiche sur un appareil qui distribue du jeu piraté à l'échelle industrielle. C'est précisément le risque du modèle de la marque blanche : vous touchez une redevance pour prêter votre logo, mais vous ne contrôlez pas toujours ce que le partenaire met dans la boîte.

Quelque part en Asie, un service juridique doit déjà transpirer.

Source : Tom's Hardware