Wikipedia, vous connaissez ça par cœur j'imagine... Hé bien vous allez redécouvrir la plus connue des encyclopédies grâce à Sami Smith qui a lancé explorer.samismith.com , qui transforme quasiment toute l'encyclopédie en fenêtres d'explorateur de fichiers Windows XP. Les catégories sont présentées comme des dossiers, les articles s'ouvrent dans une fenêtre façon WordPad, et le menu Démarrer est là, fidèle à l'original.

Vous double-cliquez sur l'icône Wikipedia du bureau, et vous tombez sur les grandes catégories qui ont l'apparence des fameux petits dossiers jaunes : Art, Music, Sports, Academic disciplines, Economy...(oui c'est en anglais). Vous fouillez de dossier en dossier comme dans Mes Documents en 2003, et quand vous ouvrez un article, il s'affiche dans une fenêtre WordPad avec le petit lien "Open on Wikipedia" en bas. Tout Wikipedia est ainsi navigable de cette façon, sauf, d'après Sami, la centaine de pages qui n'ont encore aucune catégorie assignée.

Y'a aussi une icône Media, et là c'est Wikimedia Commons qui se transforme en explorateur d'images par catégorie. Vous voulez voir des bousiers ? Vous descendez dans commons/animals/insects_by_common_named_groups/dung_beetles et vous avez 47 objets, photos et vidéos comprises. Et un petit clic droit sur n'importe quelle image et vous pouvez la mettre en fond d'écran du faux bureau XP.

Et le projet ne s'arrête pas là puisqu'il y a aussi un Geofile Explorer, encore en chantier, pour explorer la Terre. Pour ce projet, Sami s'est inspiré des Wiki Files de Neal.fun , de Depths of Wikipedia , le nested d'Orteil , ou encore XP.css . Bref, c'est une déclaration d'amour pour le web chelou et les interfaces d'antan, comme je les aime !

Et si ce genre de capsule rétro vous parle, je vous avais aussi parlé des émulateurs DOS dans le navigateur ... c'est la même came nostalgique.

Voilà, c'est gratuit, ça tourne dans le navigateur, et c'est aussi inutile qu'indispensable (bisou à Jérôme Bonaldi, le GOAT !!). A découvrir ici : explorer.samismith.com !

J'sais pas si vous avez vu le film ou lu le livre mais Rocky, c'est l'araignée de roche extraterrestre de Projet Dernière Chance (Project Hail Mary) qui communique en chantant. Et Lahiru Maramba, un dev Firebase en poste chez Google, vient de le recréer en vrai avec un Raspberry Pi Zero 2W et un LLM local. Et voilà comme avoir un vrai pote Eridien posé sur votre bureau, qui vous répond en accords polyphoniques au lieu de parler.

L'architecture c'est ce que son concepteur appelle du "Voice Box & Brain". Le Pi Zero 2W tout seul est bien trop faiblard pour faire tourner un modèle de langage, du coup le Pi gère juste le hardware (micro, écran LCD, LED RGB, synthèse des accords) et balance l'audio brut à un Mac qui fait le gros du calcul. Le Mac transcrit ce que vous racontez avec mlx-whisper (un modèle Whisper-Tiny optimisé Apple Silicon), passe le texte à LM Studio qui fait tourner un Gemma 4 quantifié en local, et renvoie la réponse au Pi qui la joue en musique. Latence totale annoncée sur le repo, environ 2 secondes, soit, selon son propre benchmark, le même temps que via l'API Gemini dans le cloud, sauf que là, tout en local !

Le langage Eridien, lui, est fidèle au bouquin d'Andy Weir puisque chaque réponse est synthétisée en accords. Certains mots sont mappés sur des accords émotionnels précis, par exemple "amaze" sort en Mi majeur bien lumineux. Et pour les mots inconnus, ils sont hashés mathématiquement vers une signature de 3 fréquences, déterministe et permanente. Autrement dit, le même mot bizarre produira toujours exactement le même accord, comme un vrai vocabulaire qui se construit. C'est ce genre de petit détail qui fait la diff...

Côté matériel, il faut un Raspberry Pi Zero 2W et un PiSugar Whisplay HAT, un module tout-en-un qui apporte l'écran LCD, le bouton, la LED RGB et l'audio. De son côté, le repo propose 2 chemins d'install : la méthode "It Just Works" avec les drivers système précompilés (apt-get et c'est parti), ou la méthode isolée avec uv pour ceux qui veulent un environnement propre. Côté Mac, vous lancez LM Studio avec le modèle 4-bit quantifié sur le port 1234 et Y'a même un mode cloud avec une clé API Gemini si vous n'avez pas de Mac sous la main, ainsi qu'une fonctionnalité expérimentale planquée avec un générateur de sons façon R2-D2.

Pour la petite histoire, le film Projet Dernière Chance réalisé par Phil Lord et Christopher Miller est sorti en mars, avec Ryan Gosling en Ryland Grace et pour donner une voix à Rocky, les sound designers d'Hollywood ont tout simplement bossé avec un ocarina pour les aigus, une jarre pour les graves, et des chants de baleine, après avoir consulté Andy Weir sur l'anatomie du bestiau.

Je l'ai vu, et franchement, j'ai bien aimé. Je suis bien rentré dedans, même si j'aurais préféré que ce soit un peu plus "hard science" et un peu plus bidouille DIY comme l'était "Seul Sur Mars"... mais bon, il en faut pour tous les goûts.

Après si l'idée d'un compagnon IA DIY vous branche mais que vous voulez un truc plus généraliste et pas un Eridien qui chante, jetez un œil à Adeus , l'assistant IA personnel open source que j'avais couvert.

Quoiqu'il en soit, voici la vidéo complète où Lahiru montre tout le process, du câblage à Rocky qui prend vie :

Nginx, c'est ce logiciel discret qui sert les pages d'environ un site populaire sur trois sur la planète. Quand vous chargez une page web, il y a une bonne chance que ce soit lui qui vous l'envoie.

La société DepthFirst AI, spécialisée dans la recherche de failles assistée par intelligence artificielle, vient d'y trouver un trou de sécurité, et il est plutôt balèze : présent dans le code depuis 2008. Soit environ 18 ans de service sans que personne ne le remarque.

La faille (référencée CVE-2026-42945, le système de numérotation officiel des vulnérabilités) est notée 9,2/10 sur l'échelle de gravité, ce qui la classe en critique. Concrètement, elle vit dans un module précis de nginx qui gère la réécriture d'URL, et elle se déclenche quand deux instructions de configuration ("rewrite" et "set") sont utilisées en même temps.

C'est un débordement de mémoire tampon, c'est-à-dire que des données débordent dans une zone qu'elles ne devraient pas occuper. Quand on contrôle ce débordement, on peut faire planter le serveur, voire dans certains cas exécuter son propre code à distance sur la machine.

Pour le déni de service (DoS), c'est-à-dire faire tomber le serveur, l'exploitation est démontrée et fonctionne. Pour l'exécution de code à distance, c'est plus délicat : les chercheurs y arrivent uniquement quand une protection mémoire appelée ASLR est désactivée, ce qui n'est pas le cas par défaut sur les systèmes modernes. Bonne nouvelle relative, donc, mais ça reste à prendre très au sérieux.

Côté correctifs, les versions à installer sont nginx Open Source 1.31.0 ou 1.30.1, et NGINX Plus R36 P4 pour les clients commerciaux. Toutes les versions précédentes depuis 0.6.27 sont vulnérables, donc autant dire à peu près tout ce qui tourne en production aujourd'hui.

Si vous administrez un serveur, c'est le moment de regarder ce qui tourne dessus et de patcher rapidement. Les exploits publics ont une fâcheuse tendance à apparaître quelques jours après les divulgations de ce genre.

Le détail qui pique, c'est la méthode de découverte. DepthFirst AI utilise l'intelligence artificielle pour faire de l'analyse de code à grande échelle, en cherchant des motifs suspects que des outils classiques ne repèrent pas. Le fait qu'une faille planquée dans nginx depuis dix-huit ans soit sortie comme ça donne une idée de ce qui dort encore dans tout le code qu'on utilise au quotidien.

Source : Bleeping Computer

BitLocker, c'est le système de chiffrement intégré à Windows qui protège vos disques contre quelqu'un qui mettrait la main sur votre machine. Activé par défaut sur Windows 11 et installé sur des millions d'ordinateurs, il est censé garantir que sans votre mot de passe ou votre code de récupération, personne ne lit ce qu'il y a dessus.

Sauf qu'un chercheur en sécurité, Chaotic Eclipse, vient de publier une démonstration qui réduit cette promesse en miettes.

L'exploit s'appelle YellowKey et c'est une faille zero-day, c'est-à-dire une vulnérabilité connue avant que Microsoft ne sorte de correctif. La méthode est presque insultante de simplicité. Vous copiez un dossier nommé "FsTx", planqué dans le répertoire système "System Volume Information", sur une clé USB.

Vous redémarrez la machine en appuyant sur les bonnes touches. Et là, surprise. Windows vous propose un accès en ligne de commande avec les pleins pouvoirs, et le chiffrement BitLocker est contourné comme s'il n'avait jamais existé.

Pire encore, les fichiers utilisés pour l'attaque disparaissent après usage, ce qui ne laisse quasi aucune trace. Pour Chaotic Eclipse, ce comportement ressemble plus à une porte dérobée laissée par Microsoft qu'à une faille classique. C'est-à-dire un accès secret délibérément intégré au système, plutôt qu'un bug malheureux.

Le chercheur précise au passage que ses précédents rapports de sécurité ont été "apparemment rejetés" par les équipes de Microsoft. Bref, nous ne sommes pas dans de la collaboration sereine.

Côté machines concernées : Windows 11, Windows Server 2022 et 2025. Windows 10 passe entre les gouttes. Microsoft, pour l'instant, n'a fait aucune déclaration publique sur le sujet. Si BitLocker était le seul rempart entre vous et un voleur d'ordinateur, c'est le moment de revoir votre stratégie. 

Les entreprises qui s'appuient sur BitLocker pour leurs flottes de portables vont devoir se poser sérieusement la question d'un complément ou d'une alternative, en attendant un patch officiel qui n'arrive visiblement pas.

La théorie de la porte dérobée volontaire est évidemment difficile à prouver. Il faudrait soit un aveu de Microsoft, soit une analyse approfondie du code source qui n'est pas public.

Mais le profil de la faille (mécanisme trop propre, comportement trop spécifique, fichiers qui s'auto-nettoient) interpelle. D'autant que la fonction utilisée n'a pas de raison technique évidente d'exister dans un système destiné à empêcher l'accès au disque sans authentification.

Vous l'avez compris, une faille à laquelle on accède avec une clé USB et trois touches au démarrage, ça fait beaucoup pour un outil censé protéger des secrets industriels.

Source : Tom's Hardware

Vous avez déjà essayé de dessiner une TUI (Interface utilisateur pour le Terminal) à la main dans votre IDE ?

Genre, calculer les paddings d'une Box ANSI à la mano et compter les caractères Unicode pour aligner trois colonnes ? Pffff quelle galère !! Hé bien cette mauvaise expérience, Javier Alonso Gómez, Staff Design Technologist chez Docker, vient de la transformer en simple drag-and-drop avec son outil TUIStudio .

En gros, c'est comme Figma mais pour vos applis terminal.

Vous lancez l'éditeur, vous balancez des composants sur un canvas, et un aperçu ANSI temps réel vous montre ce que ça donnera dans un vrai terminal. Il y a 21 composants prêts à l'emploi (Box, Button, TextInput, Table, Tree, Modal, Tabs, Spinner...), avec un moteur de layout qui supporte Absolute, Flexbox et Grid.

C'est du CSS pour le terminal si vous préférez et le truc cool, c'est que ça reste fidèle au rendu final, donc fini les tableaux qui débordent sans raison !

J'suis pas encore super doué !

Côté thèmes, vous avez également le droit à 8 palettes intégrées (Dracula, Nord, Solarized, Monokai, Gruvbox, Tokyo Night, Nightfox et Sonokai), et le canvas se met à jour live quand vous changez. Sympa, hein !

Niveau export, TUIStudio cible les frameworks Ink (TypeScript), BubbleTea (Go), Blessed (JavaScript), Textual (Python), OpenTUI (TypeScript) et Tview (Go) mais d'après ce que j'ai lu sur le site officiel, la fonction d'export vers tout ça n'est pas encore opérationnelle. Mais ça m'étonne car lors de mes tests, j'ai quand même pu voir que ça fonctionnait... Donc j'sais pas, peut-être que le site web n'a pas été mis à jour et que l'export est bien opérationnel ?

L'export

Ça tourne sur macOS Apple Silicon, Windows et Linux (.deb) et le code est sous licence MIT sur le repo GitHub .

Amusez-vous bien !

Bon, accrochez vous les amis, car ça enchaine sec sur le kernel Linux en ce moment... Le chercheur William Bowling de l'équipe V12 security vient de lâcher Fragnesia (CVE-2026-46300, CVSS 7.8), un nouvel exploit kernel Linux qui permet d'obtenir un accès root sur toutes les distros majeures, et ce, 8 jours seulement après le patch de Dirty Frag.

Et la mauvaise nouvelle, en fait, c'est que Fragnesia tape dans la même surface d'attaque que Dirty Frag , mais via un bug logique différent qui n'est pas fixé par le patch initial. Donc si vous aviez sagement mis à jour votre noyau le 8 mai dernier en pensant être tranquille, hé bah désolé, vous êtes toujours à poil !

La lignée "Dirty" continue donc tout simplement de s'allonger... Dirty COW en 2016, Dirty Pipe en 2022, Copy Fail le 1er mai 2026, Dirty Frag le 8 mai, et maintenant Fragnesia le 14 mai. Quatre LPE (local privilege escalation) kernel Linux en deux semaines, c'est un record je crois !

Alors comment ça marche ?

Le bug se planque dans la partie du kernel qui gère le chiffrement réseau IPsec. C'est le truc qu'on utilise pour faire du VPN d'entreprise et l'attaque détourne le moteur de chiffrement pour qu'il écrive là où il ne devrait surtout pas écrire.

Le déroulé ensuite est assez simple à comprendre. Il prend un fichier sensible déjà ouvert en lecture (genre /usr/bin/su, le programme qui fait passer en root), il le balance dans une connexion réseau, et il dit au kernel "tiens, chiffre-moi tout ça en IPsec". Le kernel obéit gentiment, sauf qu'au lieu d'envoyer le résultat chiffré sur le réseau, il vient écraser la version du fichier qui est en mémoire avec les octets chiffrés. Du coup /usr/bin/su contient maintenant du code choisi par l'attaquant. Suffit ensuite de taper su pour devenir root.

Et là c'est le drame !

Le pire, c'est qu'il n'y a aucun "tirage au sort" dans tout ça. Pas besoin de gagner une condition de course une fois sur mille comme à l'époque de Dirty COW. Là, c'est 100% reproductible à chaque exécution, ça marche du premier coup.

La cause profonde, c'est une fonction kernel qui assemble des morceaux de paquets réseau et qui oublie au passage que certains morceaux pointent vers de la mémoire qui ne lui appartient pas vraiment (genre la mémoire d'un fichier qu'un autre process est en train de lire). Bowling appelle ça la "famille Dirty Frag" parce que c'est exactement le même genre d'amnésie qui avait permis Dirty Frag la semaine dernière.

Et le patch du 8 mai n'a pas suffi parce qu'il a juste rebouché un trou particulier, sans toucher à la fonction d'origine. D'où la sortie immédiate du PoC le 14 mai, parce qu'autant prévenir tout le monde, plutôt que de laisser un 0-day silencieux circuler dans les milieux moins recommandables d'Internet.

Testez sur votre Linux

Si vous voulez reproduire ça dans un environnement isolé (genre une VM Ubuntu 24.04 avec un kernel 6.8.0-111-generic), c'est simple :

git clone https://github.com/v12-security/pocs.git
cd pocs/fragnesia
gcc -o exp fragnesia.c && ./exp

sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/fragnesia/fragnesia-1.mp4">lien vers la vidéo</a>.

echo 3 > /proc/sys/vm/drop_caches

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/fragnesia.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Je me sors 5 min de mon weekend en amoureux les amis, pour avertir ceux parmi vous qui sont des utilisateurs de Mullvad, peu importe que vous soyez sur macOS, Windows ou un Linux Ubuntu/Debian... Si vous jonglez entre les serveurs en pensant brouiller votre piste, j'ai une mauvaise nouvelle pour vous.

Tmctmt vient de publier une analyse qui montre que vos IPs de sortie sont beaucoup moins aléatoires qu'on ne l'imagine. En fait, votre clé WireGuard agit comme une empreinte qui survit aux changements de pays.

Le mécanisme est un peu tordu, mais vous allez vite capter. En fait votre IP de sortie n'est pas tirée au hasard à chaque connexion, mais est calculée de façon déterministe à partir de votre clé WireGuard. Ou plutôt, à partir d'un float dérivé de cette clé, qui sert ensuite à vous positionner dans les plages d'IPs de Mullvad. Cette clé change tous les 1 à 30 jours, sauf si vous utilisez un client tiers (genre le driver WireGuard intégré au kernel Linux), et dans ce cas là, y'a pas de rotation.

Le chercheur a testé 3650 clés publiques, et il n'a obtenu que 284 combinaisons d'IPs distinctes alors que théoriquement, ça devrait donner des milliards. Bref, c'est moins varié qu'une plaque d'immat de votre département.

Imaginez maintenant un modérateur de forum qui voit débarquer un nouveau compte le lendemain d'un ban. Il croise les IPs Mullvad des deux comptes et tombe sur des plages flottantes qui se chevauchent, genre 0.4334 à 0.4428 d'un côté, 0.4358 à 0.4423 de l'autre. Hé bien ça veut dire qu'il y a plus de 99% de chances que ce soit la même personne. Et cela même si les deux IPs viennent de pays différents... argh !

Mais bonne nouvelle, pour fixer ce bug, c'est l'affaire de 5 secondes. Il suffit d'éviter de jongler entre 12 serveurs avec la même clé et voilà ! Et n'oubliez pas non plus de vous déconnecter de l'app Mullvad de temps en temps pour forcer la rotation de votre pubkey. Enfin, si vous êtes du genre puriste à utiliser WireGuard en direct via le client kernel, là c'est à vous de re-générer la clé manuellement, sinon vous gardez la même empreinte ad vitam.

Voili voilou...

Mullvad reste quand même un des rares VPN à avoir prouvé en justice, après le raid de la police suédoise en avril 2023, qu'il n'avait aucun log à fournir. Mais ce genre de problème mérite, je trouve, un petit patch côté Mullvad. Un petit seed aléatoire à chaque renouvellement de clé suffirait par exemple...

Et si le sujet VPN vous intéresse plus globalement, j'avais fait un guide complet qui peut compléter.

Source : tmctmt.com

L'histoire est partie d'un changement de mot de passe fait pendant une cuite en 2014. Onze ans plus tard, le malheureux (" cprkrn " sur X) avait toujours ses 5 bitcoins coincés dans un portefeuille numérique dont la clé d'accès s'était totalement évaporée de sa mémoire.

À l'époque, ça valait quelques milliers de dollars. Aujourd'hui, c'est environ 400 000 $. De quoi avoir un peu mal au cœur.

Pour récupérer un portefeuille Bitcoin chiffré, il existe des outils comme btcrecover, un logiciel libre qui essaie des combinaisons de mots de passe en masse. Le problème, c'est qu'il faut une idée précise des variantes à tester, sinon on tape dans le vide pendant des années.

Notre trader avait justement passé des années à essayer sans succès. Et puis il a demandé un coup de main à Claude, l'assistant IA d'Anthropic, l'un des principaux concurrents d'OpenAI.

Claude a fait trois choses concrètes. D'abord, il a fouillé dans les archives d'un vieux disque de fac pour y dénicher une sauvegarde du portefeuille datant de décembre 2019, qui était passée inaperçue. Ensuite, il a repéré un bug de configuration dans btcrecover qui empêchait l'outil de combiner correctement les variantes de mot de passe. Et une fois le bug corrigé, la machine s'est lancée pour de bon.

Résultat : 3 500 milliards de mots de passe testés avant de tomber sur le bon. Le portefeuille s'est ouvert, les 5 bitcoins sont apparus, et notre type a récupéré un pactole oublié.

Cette histoire n'est pas anecdotique en fait. Un nombre énorme de bitcoins sont aujourd'hui considérés comme perdus à jamais, parce que les propriétaires ont oublié leur mot de passe, perdu leur disque dur, ou jeté la mauvaise clé USB.

On parle de plusieurs millions de Bitcoins immobilisés pour rien. Si l'IA peut aider à en récupérer une partie, c'est tout benef, même si la méthode ne marche pas dans tous les cas. Il fallait quand même la sauvegarde du wallet pour que ça fonctionne.

À noter que ce genre d'usage commence à devenir une tendance. Les services de récupération de portefeuilles crypto, comme Wallet Recovery Services, intègrent désormais des modèles d'IA dans leur process pour orienter les attaques par force brute.

Là où une machine essayait bêtement toutes les combinaisons possibles, l'IA peut deviner les habitudes du propriétaire et tester en priorité les variantes les plus probables. Ce qui change tout, parce que le nombre total de combinaisons possibles est en général astronomique.

Bref, ne changez jamais un mot de passe à 3h du matin après quelques verres. Et si c'est déjà fait, gardez l'espoir, Claude a peut-être une idée.

Source : Tom's Hardware

Je ne vous apprends rien, un GPU, c'est la puce qui calcule l'image que vous voyez à l'écran. Pour qu'elle fonctionne, il lui faut un pilote, le logiciel qui fait le lien entre le matériel et le système d'exploitation.

Sur les puces Arm Mali, qu'on retrouve dans des tas de smartphones et de cartes type Raspberry Pi, Arm ne fournit pas de pilote libre. Du coup une bande de développeurs a monté Panfrost, un pilote libre reconstruit en grande partie par reverse-engineering, c'est-à-dire en observant le comportement du matériel pour deviner comment il marche.

Panfrost et son cousin PanVK, la version dédiée à Vulkan (l'interface graphique moderne pour les jeux et les applications 3D), viennent de prendre en charge le Mali G1 Pro. C'est le GPU le plus récent d'Arm, basé sur l'architecture maison baptisée "v14". Jusqu'ici, le haut du panier supporté s'arrêtait au Mali-G725 sorti en 2024. Le support arrivera officiellement avec Mesa 26.2, la prochaine grosse version de la bibliothèque graphique libre, attendue le trimestre prochain.

Pour comprendre pourquoi c'est un gros sujet, il faut savoir qui utilise Panfrost. Tous ceux qui font tourner Linux sur du matériel Arm, des cartes de bricolage aux ordinateurs portables ou aux téléphones reconvertis, en dépendent pour avoir une accélération graphique digne de ce nom.

Sans ces pilotes libres, ce matériel reste à moitié aveugle côté affichage. Que le projet suive d'aussi près les puces les plus récentes d'Arm, c'est donc tout sauf un détail.

Attention quand même, on est très loin d'un truc fini. Les tests sont encore limités, des morceaux peuvent manquer ou être carrément cassés. Et les développeurs ne s'en cachent pas : pour activer le pilote Vulkan sur ces nouvelles puces, il faut passer par une variable d'environnement nommée, je vous jure que c'est vrai, PAN_I_WANT_A_BROKEN_VULKAN_DRIVER=1. Soit "je veux un pilote Vulkan cassé" en français. Difficile d'être plus honnête.

Côté modèles, le G1 Pro est pris en charge mais ses grands frères, les G1-Premium et G1-Ultra, ne sont pas encore de la partie. Ça viendra sûrement, c'est souvent comme ça que le projet avance : une puce après l'autre, à mesure que le reverse-engineering progresse et que les développeurs comprennent les entrailles de chaque nouvelle architecture.

Source : Phoronix

Le LiDAR, c'est cette techno qui mesure des distances en envoyant des impulsions laser et en chronométrant leur retour, un peu comme un sonar, mais avec de la lumière. On en entend parler surtout pour les voitures autonomes ou les robots aspirateurs.

Mellow Labs , une chaîne qui bidouille du hardware, s'est procuré un capteur LiDAR un peu particulier : un modèle matriciel. C'est-à-dire un capteur qui ne mesure pas une seule distance droit devant lui, mais toute une grille de points d'un coup.

La Mary Rose, c'était le navire de guerre préféré d'Henri VIII. Il a coulé en 1545 au large de Portsmouth, son épave a été retrouvée en 1971 puis remontée en 1982, et depuis, tout ce qu'elle contenait fascine les historiens.

Parmi les objets sortis de la coque, il y avait des armes assez mystérieuses : d'énormes fléchettes qui semblaient conçues pour transporter une charge incendiaire. Personne ne savait vraiment comment elles fonctionnaient. Tod's Workshop, une chaîne YouTube spécialisée dans la reconstitution historique « testée pour de vrai », vient de s'attaquer à la question avec d'autres passionnés.

J'sais pas vous, mais en ce moment, moi ça n'arrête pas ! De quoi je parle ? Hé bien des putains d'appels commerciaux / arnaques que je reçois sur mon téléphone. C'est simple, je ne décroche plus aucun numéro que je ne connais pas.

Je crois qu'on peut tous dire collectivement qu'on en peut plus. Et c'est aussi le cas de Camille Bouvat, un développeur toulousain qui en a eu tellement marre qu'il a pondu Saracroche , une app gratuite et open source qui bloque environ 90% du démarchage téléphonique. Y'a déjà 1 million de Français qui l'ont adoptée donc y'a des chances que vous connaissiez déjà, mais dans le doute, je repartage ! Je sais, on est à quelques mois de l'arrivée de la loi anti-démarchage qui devrait normalement nous sauver même si j'y crois moyen... Ça va peut-être empêcher des sociétés françaises qui ont pignon sur rue de nous casser les couilles mais pour les arnaqueurs de tout poil, je ne suis pas sûr que cette loi suffise.

Alors comment ça marche Saracroche ? Hé bien vous installez l'app sur iOS (App Store) ou Android (Google Play, et un build F-Droid annoncé), vous activez les permissions de blocage d'appels, et hop, l'app fait correspondre chaque appel entrant grâce à une base locale de plus de 15 millions de numéros préchargés. Hé oui c'est 100% en local !

La base s'appuie sur les préfixes ARCEP (l'autorité des télécoms qu'on ne présente plus) réservés au démarchage téléphonique (les fameux 01 62, 04 24 et compagnie) ce qui permet de bloquer ces préfixes en bloc. Ça permet de se couper mécaniquement d'une grosse partie du démarchage légal en un seul coup

Et pour les arnaques qui usurpent des numéros mobiles ou ordinaires (faux colis, fausses banques, ping calls surtaxés), Saracroche complète ça avec les signalements communautaires, que vous pouvez nourrir vous-même depuis l'app.

Après j'sais pas si vous savez, mais à partir du 11 août prochain, le démarchage téléphonique sans consentement préalable sera légalement interdit en France, et Bloctel va prendre sa retraite. Mais ce ne sera pas suffisant...

J'avais déjà parlé de WinCalls y'a quelques mois ici mais c'était uniquement pour Android alors que Saracroche, pousse l'idée aussi jusqu'à iOS. Par contre, ça ne bloque que les appels entrants, et pas les arnaques par SMS ni par mail. Mais pour le démarchage classique, c'est probablement ce qu'il y a de plus efficace sur le marché français aujourd'hui.

Après côté business model, c'est comme d'hab en France... Camille Bouvat confiait à France Info que seulement 0,5% de ses utilisateurs sont donateurs. Donc sur 1 million de personnes ça fait peut-être 5 000 mecs qui mettent la main au portefeuille, soit à peine de quoi en vivre pour Camille ! Nous sommes vraiment un pays de crevards ^^ .

Bref, n'oubliez pas, si vous trouvez l'app utile, c'est le moment de cliquer sur le bouton "Soutenir" !!

500 000 dollars. C'est le prix d'entrée annoncé pour le GD01 d'Unitree, un robot mecha de 2,7 mètres de haut que vous pouvez littéralement piloter depuis son torse, façon Pacific Rim version chinoise. Unitree, le fabricant chinois déjà connu pour ses chiens-robots quadrupèdes, passe au stade de la production en série pour son engin transformable.

Le robot pèse 500 kilos avec son pilote à bord, soit clairement plus qu'un quad de loisir. Sa particularité, et c'est là qu'on bascule dans le délire science-fiction, c'est qu'il peut passer de la marche bipède à un mode quadrupède pour les terrains plus accidentés.

Un utilisateur de Reddit a découvert cette semaine que le nouveau Steam Controller de Valve, vendu 100 euros en pré-commande sur le site de Steam, contient un easter egg complètement absurde : si vous lâchez la manette en mode Big Picture (l'interface plein écran de Steam, pensée pour être affichée sur une télé), elle pousse un Wilhelm Scream.

OpenZFS 2.4.2 est sortie ce 12 mai, et c'est une mise à jour qu'attendaient pas mal de gens qui font tourner du Linux 7.0 (le tout dernier noyau Linux stable). OpenZFS, pour ceux qui ne suivent pas, c'est le portage libre du célèbre système de fichiers ZFS originellement développé par Sun Microsystems, et désormais maintenu par une communauté autour de FreeBSD et Linux.

ZFS, en gros, c'est ce qui permet de gérer des pools de disques de plusieurs téraoctets avec snapshots, compression, déduplication et auto-réparation des données. Le genre d'outil qu'on retrouve dans les NAS sérieux et les serveurs de stockage.

La grosse nouveauté de cette 2.4.2, c'est le support du noyau Linux 7.0 stable. La version précédente 2.4.1 plafonnait à Linux 6.19, et beaucoup d'admins qui ont mis à jour leur distribution se retrouvaient avec un système qui refusait de charger le module ZFS.

C'est résolu. La compatibilité historique est aussi maintenue jusqu'à Linux 4.18, ce qui permet aux serveurs un peu anciens de continuer à profiter des dernières corrections. Côté BSD, FreeBSD 13.3 et plus restent supportés.

Dans le détail des changements, on trouve des corrections sur initramfs (le système qui charge le noyau au démarrage), le support de l'appel système POSIX_FADV_DONTNEED qui permet à une application de dire au noyau qu'elle n'a plus besoin d'un fichier en cache (ce qui libère de la RAM), les premiers patchs préparatoires pour Linux 7.1, et un durcissement des en-têtes SPDX (les balises de licence en tête de chaque fichier). Rien de spectaculaire, mais c'est ce genre de maintenance discrète qui fait tenir un projet sur la durée.

Pour ceux qui ne veulent pas passer sur la branche 2.4, l'équipe a aussi publié OpenZFS 2.3.7 en parallèle. Mêmes corrections de stabilité, kernels supportés un peu plus anciens. Ça permet aux infrastructures conservatrices de rester sur leur branche sans rater les fixes importants.

Si vous tournez sur Proxmox, TrueNAS, ou un Linux avec ZFS en racine, allez donc vérifier la version dispo dans vos dépôts. La 2.4.2 va probablement arriver sous quelques jours.

Source : Phoronix

Hugh Jeffreys , le YouTuber australien qui démonte tout ce qu'il trouve, s'est attaqué cette fois à une GoPro Hero 10 achetée 100 dollars avec un message d'erreur "no camera input".

Traduction : la caméra ne reçoit plus l'image du capteur. Sur Hackaday , le récit complet est savoureux pour qui aime la réparation board-level (la réparation au niveau de la carte, avec fer à souder et microscope, plutôt que le simple swap de pièces).

Pour ne pas y aller à l'aveugle, il achète une seconde GoPro Hero 10 HS à 40 dollars, censée donner ses pièces. Premier souci : le démontage.

La GoPro Hero 10 a un écran tactile collé au châssis avec une telle quantité d'adhésif que le retirer sans le briser tient du miracle. Hugh y arrive après plusieurs essais avec un sèche-cheveux et beaucoup de patience, mais c'est clair que GoPro n'a pas pensé à la réparabilité une seconde.

Vient ensuite le swap du module caméra, l'élément suspecté sur la première unité. Démontage, montage, reset usine, mise à jour firmware, rien n'y fait. Le message d'erreur revient. Hugh teste plusieurs combinaisons, sans plus de succès, et finit par admettre qu'il manque cruellement de schémas électroniques pour aller plus loin.

Du côté de Google DeepMind, on s'amuse à réinventer le pointeur de souris. Le projet s'appelle Magic Pointer, c'est un pointeur piloté par Gemini (le modèle d'IA maison de Google) qui comprend ce que vous désignez à l'écran.

L'idée est simple. Vous survolez un élément (un tableau, une image, un PDF, une recette), vous tapez ou dites ce que vous voulez en faire, et Gemini exécute en tenant compte du contexte visuel précis.

Les démos publiées font effectivement leur petit effet. Vous survolez un tableau de chiffres et vous demandez un camembert ? Le graphique apparaît directement dans la zone visée. Vous pointez une recette en ligne et vous dites "double les ingrédients" ? La liste se réécrit avec les nouvelles quantités.

Un truc franchement rageant remonte du côté de chez Google Cloud, et c'est The Register qui a mené l'enquête. Plusieurs développeurs ont vu leur facture Google Cloud exploser entre 3000 et 10000 dollars en quelques minutes, pour des services qu'ils n'ont jamais utilisés : génération vidéo Veo 3, tokens du modèle Gemini, le tout via leurs clés API Maps. Et le pire, c'est qu'ils avaient suivi à la lettre les recommandations officielles de Google.

La doc Google vous dit en effet de mettre votre clé Maps en clair côté client (dans le JavaScript de votre site, par exemple), parce qu'elle sert à afficher une carte dans un navigateur. Sauf que voilà, si vous activez sur votre projet Google Cloud d'autres APIs (comme Gemini ou Veo, l'outil de génération vidéo de Google), la même clé peut être utilisée pour appeler ces services.

Un bot malveillant trouve la clé sur n'importe quel site (le code source d'une page web est lisible par tout le monde), s'en sert pour générer des milliers de vidéos IA, et c'est le proprio du projet qui paie l'addition.

Le plus pénible, ce sont les spending caps, ces plafonds de dépenses que Google met en avant comme garde-fou. En pratique, ils ne déclenchent qu'une alerte par mail, pas une coupure réelle des services.

Vous recevez l'alerte alors que la facture grimpe déjà depuis dix minutes, et le temps de réagir, c'est déjà fini. Plusieurs devs disent avoir vu leur compte passer de quelques euros à plusieurs milliers en moins d'une heure. Ça pique.

Et Google ? La firme refuse les remboursements en parlant d'un problème "industrie-wide", autrement dit "tout le monde a ce souci, c'est pas notre faute". Pratique pour eux, moins pour les développeurs qui se retrouvent avec une note salée pour des services qu'ils n'ont jamais demandés.

Le vrai sujet, c'est le mélange clé Maps publique par design + accès Gemini activé par défaut sur le même projet. Ce n'est pas une faille au sens technique du terme, c'est une configuration que Google a choisie et qui transforme chaque clé Maps en bombe potentielle pour le portefeuille de celui qui l'utilise.

Si vous bossez sur Google Cloud, allez donc vérifier que Gemini et Veo ne sont pas activés sur les projets qui n'en ont pas besoin, et restreignez vos clés Maps à des domaines précis dans la console. C'est moche, mais visiblement c'est à vous de le faire.

Source : The Register

Le gang ransomware Nitrogen a balancé Foxconn sur son site de fuite avec 8 To de données et 11 millions de fichiers volés, selon The Register.

Schémas hardware, instructions d'assemblage, topologies de datacenters côté client. Et comme Foxconn assemble une bonne partie de ce que vous avez dans votre poche ou sur votre bureau (iPhones pour Apple, GPU pour Nvidia, serveurs pour Google, machines pour Intel et Dell), la liste des marques potentiellement exposées fait peur.

L'usine de Mount Pleasant dans le Wisconsin a été paralysée plusieurs jours. Foxconn a fini par confirmer l'incident après plusieurs semaines de silence, en assurant que la production avait été rétablie et que l'enquête se poursuivait avec les autorités.

Nitrogen, lui, est un gang ransomware connu depuis 2024. Un ransomware, pour les non-initiés, c'est un logiciel qui chiffre les fichiers d'une boîte puis demande une rançon pour les déchiffrer. Le mode opératoire classique de Nitrogen : voler les données avant de chiffrer, et menacer de tout publier si la victime refuse de payer.

Le détail croustillant qui devrait calmer toute envie de cracher au pot : Coveware, la société américaine spécialisée dans la négociation de ces affaires, a démontré dès février que le décrypteur de Nitrogen est buggé.

Pour dire ça plus simplement, vous payez la rançon, vous récupérez un outil censé déchiffrer vos fichiers, et il ne fonctionne pas correctement. Une bonne partie des données reste illisible après paiement. C'est documenté. Ce n'est pas la première fois qu'un gang livre un outil pourri, mais c'est rarement aussi évident.

Côté contenu dérobé, on parle de plans d'assemblage de cartes-mères et de schémas électroniques détaillés, mais surtout de topologies de datacenters. La topologie d'un datacenter, c'est en gros la carte qui montre comment toutes les machines, les baies et le réseau sont agencés.

C'est exactement le genre d'info qu'un attaquant cherche pour préparer une intrusion future. Apple et Nvidia n'ont pas commenté, ce qui ne veut pas dire grand-chose à ce stade, mais ça veut dire qu'il y a probablement quelques juristes qui n'ont pas beaucoup dormi cette semaine.

Source : The Register