C’est une malédiction qui semble coller à la peau d’Amazon Games. Pour la deuxième fois en cinq ans, le géant de la tech jette l’éponge sur son ambitieux projet de MMO basé sur l’univers de Tolkien. Entre licenciements massifs, restructuration stratégique et rumeurs persistantes sur l’usage de l’IA, le destin du jeu vidéo Le Seigneur des Anneaux sombre à nouveau dans les ténèbres.
[Deal du jour] Xiaomi aussi propose des traceurs Bluetooth qui viennent concurrencer l'AirTag d’Apple, mais à un prix bien moins onéreux, surtout lorsqu'ils tombent en promotion.
J'sais pas vous, mais en ce moment, moi ça n'arrête pas ! De quoi je parle ? Hé bien des putains d'appels commerciaux / arnaques que je reçois sur mon téléphone. C'est simple, je ne décroche plus aucun numéro que je ne connais pas.
Je crois qu'on peut tous dire collectivement qu'on en peut plus. Et c'est aussi le cas de Camille Bouvat, un développeur toulousain qui en a eu tellement marre qu'il a pondu Saracroche , une app gratuite et open source qui bloque environ 90% du démarchage téléphonique. Y'a déjà 1 million de Français qui l'ont adoptée donc y'a des chances que vous connaissiez déjà, mais dans le doute, je repartage ! Je sais, on est à quelques mois de l'arrivée de la loi anti-démarchage qui devrait normalement nous sauver même si j'y crois moyen... Ça va peut-être empêcher des sociétés françaises qui ont pignon sur rue de nous casser les couilles mais pour les arnaqueurs de tout poil, je ne suis pas sûr que cette loi suffise.
Alors comment ça marche Saracroche ? Hé bien vous installez l'app sur iOS (App Store) ou Android (Google Play, et un build F-Droid annoncé), vous activez les permissions de blocage d'appels, et hop, l'app fait correspondre chaque appel entrant grâce à une base locale de plus de 15 millions de numéros préchargés. Hé oui c'est 100% en local !
La base s'appuie sur les préfixes ARCEP (l'autorité des télécoms qu'on ne présente plus) réservés au démarchage téléphonique (les fameux 01 62, 04 24 et compagnie) ce qui permet de bloquer ces préfixes en bloc. Ça permet de se couper mécaniquement d'une grosse partie du démarchage légal en un seul coup
Et pour les arnaques qui usurpent des numéros mobiles ou ordinaires (faux colis, fausses banques, ping calls surtaxés), Saracroche complète ça avec les signalements communautaires, que vous pouvez nourrir vous-même depuis l'app.
Après j'sais pas si vous savez, mais à partir du 11 août prochain, le démarchage téléphonique sans consentement préalable sera légalement interdit en France, et Bloctel va prendre sa retraite. Mais ce ne sera pas suffisant...
J'avais déjà parlé de WinCalls y'a quelques mois ici mais c'était uniquement pour Android alors que Saracroche, pousse l'idée aussi jusqu'à iOS. Par contre, ça ne bloque que les appels entrants, et pas les arnaques par SMS ni par mail. Mais pour le démarchage classique, c'est probablement ce qu'il y a de plus efficace sur le marché français aujourd'hui.
Après côté business model, c'est comme d'hab en France... Camille Bouvat confiait à France Info que seulement 0,5% de ses utilisateurs sont donateurs. Donc sur 1 million de personnes ça fait peut-être 5 000 mecs qui mettent la main au portefeuille, soit à peine de quoi en vivre pour Camille ! Nous sommes vraiment un pays de crevards ^^ .
Bref, n'oubliez pas, si vous trouvez l'app utile, c'est le moment de cliquer sur le bouton "Soutenir" !!
Deux mois après iOS 26.4, Apple déploie la mise à jour iOS 26.5 sur les iPhone. Cette mise à jour conclut le cycle 2025-2026 en attendant la présentation d'iOS 27 à la WWDC en juin. iOS 26.5 apporte plusieurs nouveautés comme les RCS chiffrés entre iPhone et Android ou un nouveau fond d'écran coloré.
Vous le savez, il y a un algorithme dans votre téléphone qui décide ce que vous allez lire aujourd'hui et il s'appelle Google Discover.
Google Discover, c'est le flux d'articles qui apparaît quand vous ouvrez l'appli Google sur Android ou iOS, ou que vous swippez à gauche depuis la home de votre smartphone Android et Chrome mobile aussi. Et pas besoin d'avoir cherché quoi que ce soit puisque Google analyse votre historique, connaît vos centres d'intérêt, et vous sert ainsi des articles « adaptés » en continu.
Sauf que l'algo confond souvent « ce que vous voulez lire » avec « ce qui génère le plus de clics ». Et là, ça part en couille sévère...
Du coup vous vous retrouvez avec des articles qui expliquent que le cash va être interdit dans deux mois, que les conducteurs avec une moustache vont devoir repasser le permis, ou que l'Union Européenne s'apprête à requalifier la pizza comme « sandwich plat » pour l'assujettir à une nouvelle taxe.
Et pendant ce temps, les vraies actus tech que vous aimez tant, elles, se noient quelque part entre deux horoscopes et une pub déguisée en article. Et c'est d'ailleurs ça le gros défaut de tous les flux algorithmiques : ils optimisent l'engagement mais pas l'exactitude. On est tous humain, alors forcément un titre alarmiste battra toujours un article de qualité sobre et bien sourcé. L'algo se contrefout royalement de respecter les 3 neurones qui vous restent... ^^
Mais Discover a quand même un truc pas con ! En fait depuis fin de l'année dernière, Google permet de suivre directement des éditeurs sur le réseau, un peu comme un flux RSS mais sans lecteur à installer ni boîte mail à gérer. Suffit de cliquer sur un bouton et hop, les articles de vos sources préférées remontent en priorité dans votre feed Google Discover !
Par exemple, si vous voulez voir les articles de Korben.info apparaître dans votre flux (de la vraie tech, sourcée, sans moustaches ni taxes pizza), c'est par là, il suffit d'aller sur mon profil Google Discover et de cliquer sur le bouton "Suivre sur Google".
Et comme ça, une fois abonné, mes publications remonteront directement dans votre Discover. Perso, je trouve ça pas mal du tout comme système.
Bref, si vous ne voulez pas que votre téléphone vous apprenne demain que les chats seront bientôt recensés comme « animaux de surveillance passive » par un nouveau décret gouvernemental, pensez à bien choisir vos sources !
Et pour trouver les liens de vos médias préférés, vous pouvez passer par cet outil de Julien .
Hier soir Lilian, fidèle lecteur de Korben m'a envoyé une vidéo incroyable qui retrace 5h de combat sur Age of Empires 2 résumées en 34 minutes par TheGreatReview.
Faut savoir que je suis fan d'Age of Empires depuis le premier épisode de 1997 . AoE 1, 2, Mythology, AoE 3... j'ai laissé un nombre indécent d'heures sur ces titres, donc forcément, voir ces longues heures de matchs condensées en chouette récit, ça ravive de vieux souvenirs !
Lors de cette partie, 2 joueurs avec un très très bon niveau s'affrontent ainsi durant des heures, quasiment sans ressources, en mettant au point toutes sortes de stratégies pour faire capituler leur adversaire. De l'AoE2 raconté à la voix posée, avec beaucoup de stratégie, d'imagination et surtout de patience ! Mais je ne vais pas vous en dire plus pour ne pas vous spoiler.
Gardez-vous ça pour la pause déj', ça ne dure que 34 minutes et franchement ça vaut le coup !
Encore merci à Lilian pour le partage !
Tamawatchi , c'est 2,8 Mo de pixel art qui tournent en natif sur Apple Watch sans dépendre d'un iPhone. Michael Ratto, lecteur de korben.info, vient de m'écrire pour m'annoncer la sortie de son Tamagotchi qui se nourrit de vos pas via HealthKit. La première créature est gratuite, et les autres à 99 centimes pièce.
Il s'agit donc d'un compagnon style Tamagotchi des années 90 qui vit sur votre montre. Vous marchez, il bouffe. Vous glandez, il a faim. Vous dormez, il dort... vous voyez le tableau quoi... C'est une app de fitness qui se déguise puisque derrière le pixel art mignon, y'a surtout un compteur de pas gamifié qui pousse à se bouger. Parce que oui, ON EST PLUS MOTIVÉ pour faire 5000 pas pour garder en vie un blob tout mignon que pour compléter une jauge bleue qui clignote.
Cinq stades d'évolution sont proposés, du Bébé au Légendaire. Six espèces déclinées sur des thèmes élémentaires (feu, eau, lumière, terre, air, plus le blob classique baptisé Bloop). Comme je vous le disais en intro, le Bloop est offert, les autres se débloquent avec des achats in-app. L'avantage c'est que le Bloop suffit pour jouer normalement... donc rien ne vous force à payer pour profiter du concept !
Côté technique, Michael Ratto a tout codé en SwiftUI natif pour watchOS. Donc y'a zéro dépendance iPhone, ce qui est rare sur l'écosystème Apple Watch où la majorité des apps ont besoin du téléphone pour fonctionner.
L'app est même installable sur Vision Pro (allez savoir qui achète ça ??).
Le concurrent direct s'appelle habbie . Celui-ci tourne sur watchOS 8 et nécessite iOS 16 sur un iPhone à côté, en proposant le même mix Tamagotchi + tracking de pas. Tamawatchi se distingue donc surtout par son côté indépendant et son poids plume. Donc si vous cherchez la version complète avec habit tracking, habbie reste plus mature mais si vous voulez surtout un tamagotchi mignon qui vous fait marcher, Tamawatchi fait le job.
Les notifications sont plafonnées à quatre par jour, ce qui évite le harcèlement mais limite un peu l'engagement et contrairement au Tamagotchi original de 1996, votre créature ne meurt jamais !
Le côté bisounours peut donc décevoir les puristes, sauf si vous en avez déjà perdu dans des conditions dramatiques. Y'a des gens qui ont vu, mourir leur tamagotchi à l'âge de 8 ans, et qui à cause de ça n'ont jamais voulu faire d'enfant ou même adopter un chat !!
Donc là, ça permet quand même de le laisser tomber pendant trois semaines de vacances saucisson mojitos, sans aucune culpabilité.
J'aurais quand même bien aimé une option "mode hardcore" qui laisserait la créature crever comme à la grande époque, mais ça viendra peut-être !
Et pour ceux qui aimeraient pousser le concept ailleurs, y'a aussi Codachi qui fait la même chose dans VSCode, ou CATAI côté Mac. La famille des compagnons en pixel art s'étoffe donc sérieusement...
Voilà, Tamawatchi est gratuit pour tester donc si vous portez une Apple Watch, allez voir ce que ça donne !
Apple a publié hier une mise à jour iOS qui ferme une faille utilisée par les forces de l'ordre américaines pour récupérer des messages supprimés dans des applications comme Signal.
La faille concernait la base de données des notifications : quand vous supprimiez un message dans l'appli, la version cachée dans le cache des notifications pouvait rester accessible jusqu'à un mois.
Concrètement, un message Signal effacé côté appli restait lisible par quiconque avait la main sur le téléphone et savait fouiller au bon endroit.
Le FBI, selon les documents repérés par 404 Media début avril, a utilisé cette faiblesse sur plusieurs affaires pour remonter des conversations pourtant explicitement effacées par les utilisateurs, y compris celles utilisant la fonction messages éphémères.
Apple a reconnu le problème, mais si ça a été fait avec les pincettes habituelle, avec une phrase du genre... "les notifications marquées pour suppression pouvaient être conservées sur l'appareil de manière inattendue", ce qui ne veut pas dire grand chose, ou au contraire, tout dire...
Dit plus simplement, il y avait un écart entre ce que l'utilisateur voyait disparaître et ce qui restait réellement sur le disque. Le patch a été rétroporté sur les anciennes versions d'iOS 18, ce qui suggère que la faille existait depuis un bon moment et a probablement été exploitée dans des affaires que l'on ne connaîtra jamais.
Meredith Whittaker, présidente de Signal a rappelé publiquement que les notifications pour des messages effacés ne devraient jamais rester dans la base de notifications d'un OS. C'est une évidence technique. Sauf que dans la pratique, la chaîne cache des notifications plus indexation iOS laisse des traces que les outils forensiques comme Cellebrite ou GrayKey savent exploiter depuis des années.
Le problème dépasse Signal. Toute application qui envoie une notification contenant le texte d'un message entier sur iOS pouvait voir ses contenus persistés dans le cache, même après un effacement explicite. Du coup, pour les journalistes, les avocats, les activistes ou simplement les gens qui tiennent à leur vie privée, mettre à jour le plus vite possible n'est pas une option mais une priorité.
Bref, quand on parle de messagerie chiffrée, la vraie surface d'attaque n'est plus le protocole mais tout ce que l'OS fait autour dans votre dos.
Source : The Hacker News
La bibliothèque JavaScript Axios, téléchargée plus de 100 millions de fois par semaine, a été compromise. Un attaquant a détourné le compte du mainteneur principal pour y glisser un malware multiplateforme qui vise aussi bien macOS que Windows et Linux.
Tout est parti du compte npm de jasonsaayman, le mainteneur principal d'Axios. L'attaquant a réussi à prendre le contrôle du compte, a changé l'adresse mail vers un ProtonMail anonyme, et a publié deux versions malveillantes : axios 1.14.1 et axios 0.30.4.
Les deux ont été mises en ligne en l'espace de 39 minutes, et pas via le processus habituel. Au lieu de passer par GitHub Actions, le pipeline d'intégration continue du projet, les paquets ont été poussés directement avec la ligne de commande npm. Un détail qui aurait pu alerter plus tôt, mais qui est passé entre les mailles du filet pendant deux à trois heures avant que npm ne retire les versions concernées.
Le plus vicieux dans l'affaire, c'est la méthode. Plutôt que de modifier directement le code d'Axios, l'attaquant a ajouté une dépendance fantôme appelée plain-crypto-js. Elle n'est jamais importée dans le code source, son seul rôle est d'exécuter un script d'installation qui fonctionne comme un programme d'installation de malware.
Ce qui veut dire que dès que vous faites un npm install, le script contacte un serveur de commande en moins de deux secondes et télécharge un programme malveillant adapté à votre système : un daemon déguisé sur macOS, un script PowerShell sur Windows, une porte dérobée en Python sur Linux. Et une fois le malware déployé, le script se supprime, remplace son propre fichier de configuration par une version propre, et fait comme si de rien n'était. Même un npm list affiche alors un numéro de version différent pour brouiller les pistes.
StepSecurity et Socket.dev ont été les premiers à repérer la compromission. Selon Ashish Kurmi, CTO de StepSecurity, ce n'est pas du tout une attaque opportuniste. La dépendance malveillante avait été préparée 18 heures à l'avance, trois programmes malveillants différents étaient prêts pour trois systèmes d'exploitation, et les deux branches de publication ont été touchées en moins de 40 minutes.
Elastic a de son côté relevé que le binaire macOS présente des similitudes avec WAVESHAPER, une porte dérobée en C++ déjà documentée par Mandiant et attribué à un acteur nord-coréen identifié sous le nom UNC1069. Pour les chercheurs en sécurité, le message est clair : si vous avez installé axios 1.14.1 ou axios 0.30.4, considérez votre machine comme compromise. Il faut supprimer la dépendance, faire tourner les identifiants, et dans certains cas, réinstaller la machine.
Franchement, c'est le genre d'attaque qui fait froid dans le dos. Axios, c'est une brique de base pour à peu près tous les projets JavaScript qui font des appels réseau. Et là, en deux heures, un attaquant a réussi à transformer cette brique en porte d'entrée pour un cheval de Troie, y compris sur Mac.
Le plus déroutant, c'est que le système de publication npm permet encore de pousser un paquet manuellement sans que personne ne bronche. Bon par contre, il faut reconnaître que StepSecurity et Socket.dev ont fait du bon boulot en détectant le problème aussi vite.
Sans eux, la fenêtre d'exposition aurait pu être bien plus large, c'est faramineux quand on y pense. Et quand on sait que la piste nord-coréenne revient de plus en plus souvent dans ce genre d'opérations, on se dit que la sécurité de la chaîne logicielle mérite qu'on s'y intéresse de près.
Source : The Register
Connexion