Bon, on va pas se mentir. Il y a des objets qui marquent une époque. Le transistor, le micro-processeur, l’iPhone… Et puis il y a ces créations plus discrètes qui révolutionnent un domaine entier sans que le grand public s’en aperçoive. Le WiFi Pineapple fait clairement partie de cette catégorie d’ananas pas comme les autres ! Ce petit boîtier noir et jaune pas plus grand qu’un smartphone transforme radicalement notre perception de la sécurité WiFi. Il inspire Hollywood, donne naissance à toute une industrie de l’audit sans fil, et surtout, il révèle à quel point nos connexions quotidiennes sont vulnérables.

L’histoire commence au milieu des années 2000, quand Darren Kitchen, un jeune administrateur système aux cheveux longs et aux idées claires, se pose une question apparemment anodine : “Pourquoi nos appareils font-ils autant confiance aux réseaux WiFi ?” Simple, mais géniale. Cette interrogation va déclencher une révolution dans le monde de la cybersécurité.

Kitchen n’est pas né de la dernière pluie. Apparu sur Terre le 11 février 1983, ce gamin grandit avec un modem 1200 bauds entre les mains, explorant les BBS (Bulletin Board Systems) de l’époque pré-Internet. “J’ai trouvé du réconfort dans le cyberespace… J’y étais accepté”, raconte-t-il avec cette nostalgie caractéristique des premiers hackers. Ses premières créations ? Des boîtes de phone-phreaking artisanales et des e-zines pour groupes de hackers dans les années 90. Du pur underground ! Après une brève mais mémorable rencontre avec la compagnie de téléphone qui l’a “dissuadé” de poursuivre ses activités de phreaking (comprendre : ils lui ont fait suffisamment peur pour qu’il arrête ses conneries), il se concentre sur ses études et fait carrière dans l’administration système.

Mais la passion du hack sommeille toujours. Kitchen commence par écrire un dialer BBS en BASIC sur un PC-XT… Je vous laisse imaginer le niveau du geek. Un IBM PC-XT, pour ceux qui ne connaissent pas, c’est l’ancêtre du PC sorti en 1983 avec son processeur 8088 à 4,77 MHz et ses 640 Ko de RAM maximum. Autant dire qu’à l’époque, coder dessus relevait de l’exploit !

En 2005, il fonde Hak5, d’abord comme un vidéocast couvrant l’open source, l’infrastructure réseau et les tests de pénétration. Son objectif est noble : créer une communauté où tous les hackers ont leur place, inspiré par ce sentiment d’appartenance qu’il a ressenti dans les premiers espaces cyber. Et ça marche ! Depuis, Hak5 est devenu la série la plus longue sur YouTube dans ce domaine, touchant des centaines de millions de personnes dans le monde. En 2008, le show rejoint même Revision3, consolidant sa place dans le paysage médiatique tech.

La révélation du WiFi Pineapple naît d’une observation simple mais géniale. Nos appareils, smartphones, laptops, tablettes, sont programmés pour chercher constamment les réseaux WiFi qu’ils connaissent. Ils envoient en permanence des requêtes dans l’éther : “Es-tu le réseau de la maison ?” “Es-tu celui du bureau ?” “Es-tu Starbucks_WiFi ?” C’est le protocole de probe request, intégré dans la norme 802.11 depuis ses débuts.

Et Kitchen se dit : “Et si je leur répondais oui à tous ?” Bingo ! L’idée est brillante !

Car plutôt que d’essayer de casser le chiffrement WiFi, un processus long et complexe qui nécessite de capturer des handshakes et de faire du bruteforce, pourquoi ne pas faire croire aux appareils qu’ils se connectent à un réseau de confiance ? Ce principe du rogue access point (point d’accès pirate) existe déjà, mais Kitchen va le pousser dans ses retranchements avec une innovation cruciale : le PineAP.

PineAP, c’est l’âme du WiFi Pineapple. Ce système breveté écoute les requêtes des appareils et leur répond de manière convaincante. Mais Kitchen ne s’arrête pas là. Il développe tout un écosystème : une interface web intuitive accessible depuis n’importe quel navigateur, des modules extensibles permettant d’ajouter des fonctionnalités (captures de handshakes, attaques de déauthentification, portails captifs…), une gestion fine des attaques avec filtrage par MAC address et SSID. Le WiFi Pineapple n’est plus juste un outil technique, c’est une plateforme complète pour l’audit sans fil.

Les premières versions sont artisanales mais déjà redoutables. En 2008, Kitchen commercialise officiellement le premier WiFi Pineapple. Les Mark I, II et III représentent l’époque bénie où les hackers modifient leurs propres équipements. On achète un routeur Alfa AP121U pour quelques dizaines de dollars, on flashe le firmware Pineapple dessus via TFTP, et voilà ! Mais Kitchen voit plus grand. Il veut créer un produit fini, professionnel, qui ne nécessite aucune compétence technique particulière pour être déployé.

Le Mark IV marque alors un tournant. Fini le bricolage, place au professionnalisme ! Cette version, basée sur un processeur Atheros AR9331 à 400 MHz, est deux fois plus rapide que les précédentes. Elle intègre tout ce qu’il faut pour mener des attaques sérieuses : WiFi 802.11 b/g/n, plusieurs ports USB pour brancher des adaptateurs WiFi supplémentaires ou des clés 3G/4G, et surtout la possibilité de l’alimenter directement via Power over Ethernet (PoE). Plus besoin de se trimballer avec des batteries ! L’interface web évolue aussi avec le système Infusion permettant d’installer des modules tiers depuis un dépôt centralisé.

Mais c’est avec le Mark V en 2013 que la magie opère vraiment et les constructeurs de smartphones commencent à se méfier. iOS 8 et Android 6.0 développent des contre-mesures : randomisation des adresses MAC lors des probe requests, détection des points d’accès suspects, limitation du broadcast des SSID connus. Les appareils deviennent plus prudents, ils ne révèlent plus aussi facilement les réseaux qu’ils connaissent.

Qu’à cela ne tienne ! Kitchen et son équipe contre-attaquent avec de nouvelles techniques encore plus sournoises. Le Mark V embarque deux radios WiFi permettant de mener des attaques sur plusieurs canaux simultanément. Une radio écoute pendant que l’autre émet. Le système PineAP évolue avec de nouveaux modes : Beacon Response Mode qui répond sélectivement aux requêtes, Broadcast SSID Pool qui diffuse une liste de réseaux populaires, Targeted Portal qui crée des pages de phishing personnalisées. Tactique redoutable !

Petit détail qui tue : il n’y a jamais eu de Mark VI commercialisé. Kitchen a sauté directement au Mark VII pour des raisons que lui seul connaît. Certains spéculent sur un prototype raté, d’autres sur une superstition autour du chiffre 6. Le mystère reste entier !

Aujourd’hui, le Mark VII représente l’état de l’art absolu. Ce bijou de technologie embarque dans sa version de base tout ce dont rêvent les hackers : trois radios qui peuvent écouter et émettre simultanément (une dédiée au monitoring, une pour les attaques, une pour le management), le support des fréquences 2.4 et 5 GHz avec 802.11 a/b/g/n/ac, un processeur MediaTek MT7628 cadencé à 580 MHz avec 256 MB de RAM, et même un port USB-C pour suivre la modernité. C’est le couteau suisse ultime de l’audit WiFi !

L’interface utilisateur, entièrement réécrite en Angular, offre un contrôle fin sur tous les aspects de l’audit. Les “Campagnes” automatisent les tests de pénétration et génèrent des rapports détaillés conformes aux standards de l’industrie. Le Cloud C2 permet une gestion à distance pour de la simulation de menaces persistantes avancées (APT). On peut contrôler une flotte entière de Pineapples depuis un dashboard centralisé !

Les nouvelles attaques incluent la capture automatique de handshakes WPA/WPA2 avec hashcat intégré, l’amélioration des attaques de déauthentification ciblées, et même des attaques contre les réseaux WPA-Enterprise avec module RADIUS intégré. L’architecture logicielle est entièrement repensée avec un backend découplé et une API REST permettant aux développeurs d’écrire des modules dans leur langage de prédilection. Une bibliothèque Python officielle facilite l’intégration. Tout cela fait du Mark VII une plateforme mûre, stable et extensible.

L’histoire des attaques WiFi ressemble vraiment à une course aux armements permanente. Et le WiFi Pineapple s’adapte à chaque évolution comme un caméléon technologique.

Au début, il y avait le WEP (Wired Equivalent Privacy), censé protéger nos réseaux WiFi. Mais ce protocole était tellement mal conçu qu’en 2001, des chercheurs découvrent qu’on peut récupérer la clé en collectant environ 40 000 paquets. Avec les outils modernes comme aircrack-ng, n’importe quel script kiddie peut alors casser du WEP en quelques minutes. Puis arrive le WPA en 2003, puis le WPA2 en 2004, chacun promettant d’être LA solution définitive. Spoiler : ils ne l’étaient pas !

Le coup de grâce arrive en octobre 2017 avec l’attaque KRACK (Key Reinstallation Attack). Mathy Vanhoef, un chercheur belge de l’université de Louvain, découvre que même le WPA2 peut être cassé. La faille exploite la réinstallation de clés dans le four-way handshake, permettant de déchiffrer le trafic, injecter des paquets malveillants et même forcer des downgrades vers des protocoles plus faibles. Et le pire ? La faille est dans le standard WiFi lui-même, pas dans une implémentation particulière. Autrement dit, TOUS les appareils WiFi au monde sont vulnérables !

En mai 2021, Vanhoef enfonce le clou avec les FragAttacks (Fragmentation and Aggregation Attacks). Ces vulnérabilités, présentes depuis 1997 dans le WiFi, touchent TOUS les protocoles de sécurité WiFi, du vieux WEP au tout nouveau WPA3. Trois failles de conception fondamentales et plusieurs bugs d’implémentation permettent d’injecter des paquets arbitraires, d’intercepter le trafic et de contourner les pare-feu. Des bugs vieux de plus de 20 ans qui étaient passés inaperçus !

Le WiFi Pineapple intègre rapidement ces nouvelles attaques. Les modules KRACK et FragAttack sont disponibles quelques semaines après leur divulgation. Les attaques multi-canaux, développées depuis 2014, permettent de manipuler les trames chiffrées entre deux points légitimes. Les techniques Evil Twin exploitent les mécanismes de roaming, particulièrement le standard 802.11v (BSS Transition Management) qui permet de demander poliment aux appareils de se reconnecter à un autre point d’accès. “Poliment” étant un euphémisme pour “de force”, vous l’aurez compris.

Même WPA3, lancé en 2018 et censé résoudre les problèmes de ses prédécesseurs avec son protocole SAE (Simultaneous Authentication of Equals) et son chiffrement 192-bit en mode Enterprise, peine à s’imposer. L’adoption reste faible, quelques pourcents à l’échelle mondiale selon WiGLE, la base de données collaborative des réseaux WiFi. WPA2 règne toujours en maître avec plus de 70% des réseaux.

Mais l’histoire du WiFi Pineapple ne se limite pas à ses prouesses techniques. Elle raconte aussi comment un outil de niche devient un phénomène culturel.

Tout commence lors des conférences de hacking. DefCon 21 en 2013 : le WiFi Pineapple Mark V se vend à raison de 1,2 unités par minute le premier jour avant rupture de stock totale ! Un succès fou pour un gadget à 90 dollars. Les hackers font littéralement la queue devant le stand Hak5 pour mettre la main sur ce petit ananas jaune. Kitchen raconte qu’ils ont dû limiter les achats à deux unités par personne pour éviter que des revendeurs ne raflent tout le stock.

Les démonstrations spectaculaires se multiplient. DefCon 25 en 2017 : des chercheurs installent discrètement des Pineapples dans les couloirs du Caesars Palace. Ils diffusent des SSID alléchants comme “DEFCON_FreeWiFi”, “DEFCON_guest” et même “FBI_Surveillance_Van_42” (pour le lol). Les participants, pourtant experts en sécurité et censés savoir mieux, se connectent massivement aux faux réseaux. Certains entrent même leurs identifiants Gmail, Facebook et bancaires sur des pages de portail captif parfaitement imitées. L’arroseur arrosé, version cybersec ! Les chercheurs publient ensuite un “Wall of Sheep” anonymisé montrant le nombre effarant de credentials capturés.

Mais LA démonstration la plus spectaculaire reste celle de Mike Spicer en 2017. Ce chercheur en sécurité indépendant qui se fait appeler d4rkm4tter construit un monstre qu’il baptise le “WiFi Cactus”. L’engin est composé de 25 Pineapple Tetras (soit 50 radios au total !) montés sur une structure métallique elle-même fixée sur un sac à dos de randonnée militaire. Le tout pèse 14 kilos et ressemble à un cosplay de cyborg sorti tout droit de Ghost in the Shell.

Son WiFi Cactus couvre TOUS les canaux WiFi simultanément avec une portée de 100 mètres et une autonomie de 2 heures. L’appareil est décoré de LEDs bleues et vertes qui clignotent en fonction de l’activité réseau, alimenté par une batterie LiPo de 30 ampères-heures, et contrôlé par un Intel NUC i7 avec deux switches Cisco Catalyst 2960 à 16 ports. Le système tourne sous Kali Linux avec une interface custom développée en Python. Il arrive à surveiller jusqu’à 14 000 appareils simultanément avant que le kernel Linux ne commence à avoir des ratés sous la charge !

L’objectif de Spicer est de mesurer le niveau réel d’attaques WiFi à DefCon. Résultat : les attaques de déauthentification pleuvent comme à Verdun. En moyenne, chaque appareil subit 23 tentatives de déauth par heure ! L’écosystème est plus hostile qu’une fosse aux lions affamés. “J’ai été époustoufflé par la réaction des gens face au Cactus”, raconte Spicer. “Partout où j’allais, les gens m’arrêtaient pour demander ce que c’était, prendre des photos, et certains voulaient même l’acheter !” Hak5 lui envoie finalement 40 Pineapples gratuits pour soutenir ses recherches.

L’anecdote la plus savoureuse reste celle de DefCon 22 en 2014. Un mystérieux hacker opérant sous le pseudo @IHuntPineapples découvre des script kiddies utilisant un WiFi Pineapple mal configuré pendant la conférence. Sa réaction est épique : il déploie un exploit zero-day contre l’appareil (une injection de commande dans le module Karma via une vulnérabilité d’authentification), prend le contrôle total du Pineapple, et remplace l’interface web par un message cinglant : “Mess with the best, die like the rest. Vous voulez jouer avec le WiFi de quelqu’un à Vegas dans une putain de conférence de hackers ? Qu’est-ce que vous attendiez ? Votre merde est complètement défoncée maintenant. Hack the planet!”, une référence directe au film culte “Hackers” de 1995.

@IHuntPineapples publie même les détails techniques de son exploit sur Twitter, révélant une faille d’injection de commande dans /components/system/karma/functions.php. Kitchen corrige la vulnérabilité dans les 48 heures avec le firmware 2.0.1. C’est ça, la beauté de DefCon : même les outils de hacking se font hacker !

Kitchen et Hak5 naviguent dans une zone grise éthique fascinante. D’un côté, ils créent des outils pouvant être utilisés de manière malveillante. De l’autre, ils éduquent la communauté sur les vulnérabilités réelles des réseaux sans fil. Cette dualité est assumée : depuis 2008, le WiFi Pineapple aide officiellement les pentesteurs, les équipes de sécurité des entreprises Fortune 500, les agences gouvernementales et même les forces de l’ordre comme plateforme de test sans fil. Le FBI et la NSA sont des clients réguliers, utilisant des versions modifiées pour leurs opérations.

La consécration arrive avec une série culte : Silicon Valley. Dans l’épisode “Hooli-Con” de la saison 4 (diffusé le 18 juin 2017), Richard Hendricks décide de planter des “pineapples” dans tout le salon technologique pour forcer le téléchargement de l’application Pied Piper sur les smartphones des visiteurs. Sa stratégie ? “L’adoption forcée par le marketing de guérilla agressif” ! Le plan est techniquement précis : ils exploitent le fait que l’app Hooli est requise pour utiliser le WiFi gratuit du salon, et injectent Pied Piper dans le processus d’installation.

Jared objecte avec sa sagesse habituelle : “En tant que victime d’une adoption forcée, je dois dire que c’est du malware, Richard !” Mais Richard, aveuglé par son ambition, rétorque : “C’est pour le bien commun !” Le plan échoue spectaculairement quand Richard, jaloux de voir son ex avec un nouveau copain, change le screensaver du gars en “Poop Fare” via le Pineapple. Cette action puérile alerte la sécurité qui lance un balayage avec des antennes directionnelles haute puissance. Ils localisent et retirent tous les Pineapples en quelques minutes.

Kitchen, consultant technique sur l’épisode, confirme : “La représentation du Pineapple dans la série n’est pas si loin de la réalité. Les scénaristes ont vraiment fait leurs devoirs. La seule liberté qu’ils ont prise, c’est la vitesse d’installation de l’app. Dans la vraie vie, ça prendrait plus de temps.” Fun fact : les vrais WiFi Pineapples utilisés pendant le tournage ont été offerts à l’équipe technique de la série qui les utilise maintenant pour tester la sécurité de leurs propres réseaux !

Cette apparition télévisée propulse le WiFi Pineapple au-delà des cercles de hackers. Le grand public découvre soudainement l’existence de ces attaques WiFi sophistiquées. Les ventes explosent et Hak5 enregistre une augmentation de 400% des commandes dans les semaines suivant la diffusion. Mais plus important encore, la sensibilisation aux risques des réseaux sans fil publics augmente drastiquement. Les VPN deviennent mainstream, et “ne jamais se connecter au WiFi public” devient un conseil de sécurité basique.

Aujourd’hui, le WiFi Pineapple incarne ce paradoxe fascinant : un outil d’attaque qui améliore les défenses. Chaque nouvelle version force l’industrie à renforcer ses protections. C’est un jeu du chat et de la souris où tout le monde finit gagnant.

Et l’avenir du WiFi Pineapple s’écrit avec une évolution complètement dingue : le Pineapple Pager !

Dévoilé à la DefCon 33 en août 2025 pour les 20 ans de Hak5, ce petit appareil ressemble à un pager des années 90 mais cache une bête de course. Le design rétro n’est pas un hasard, c’est un hommage direct au film “Hackers” et à l’esthétique cyberpunk des années 90. L’appareil embarque le moteur PineAP 8e génération, complètement réécrit from scratch en Rust pour des performances 100 fois supérieures. Il supporte le WiFi 6 GHz (WiFi 6E), une première mondiale pour un outil de pentest portable ! Le tout dans un boîtier de 131 grammes qui se clipse sur votre ceinture.

Le plus fou c’est qu’il fonctionne de manière totalement autonome, sans ordinateur ! Plus besoin de trimballer son laptop puisque ce truc lance des attaques automatisées grâce à DuckyScript 3.0, le langage de scripting de Hak5. Il vibre même quand il détecte une cible, affiche les résultats sur son écran couleur haute résolution, et peut même envoyer des alertes sur votre téléphone via Bluetooth. La batterie de 2000 mAh offre jusqu’à 8 heures d’autonomie en mode passif, 2 heures en mode attaque aggressive.

Les fonctionnalités sont délirantes… support tri-bande (2.4, 5 et 6 GHz) avec deux radios indépendantes, intégration native de hashcat pour le cracking WPA on-device, mode “stealth” qui imite les patterns de trafic d’un smartphone normal, et même un mode “warwalking” qui cartographie automatiquement les réseaux pendant que vous vous baladez.

Kitchen prouve encore qu’il sait transformer la nostalgie en arme de destruction massive du WiFi. “Le Pager, c’est 20 ans d’expérience condensés dans la poche”, explique-t-il. “On voulait créer quelque chose qui capture l’essence du hacking des années 90 tout en étant à la pointe de la technologie moderne.” Mission accomplie.

Ce qui est fascinant avec le WiFi Pineapple, c’est qu’il nous force à repenser notre rapport à la technologie. Chaque fois que votre téléphone se connecte automatiquement à un réseau, chaque fois que vous cliquez sur “Se souvenir de ce réseau”, vous créez une vulnérabilité potentielle. Le Pineapple ne fait que révéler ce qui a toujours été là : notre confiance aveugle dans des protocoles conçus à une époque où la sécurité n’était pas la priorité.

Kitchen et son équipe continuent d’innover, toujours avec cette philosophie : “Know your network. Know your risks. Know your tools.” Ils ne vendent pas juste du matériel, ils vendent de la connaissance, de la prise de conscience. Et dans un monde où nos vies entières transitent par le WiFi, c’est peut-être le service le plus précieux qu’ils puissent rendre. Car comme toutjours, la meilleure défense, c’est de comprendre les attaques.

Dans un monde parfait, le WiFi Pineapple n’aurait pas besoin d’exister. Mais on ne vit pas dans un monde parfait. On vit dans un monde où la commodité prime souvent sur la sécurité, où les standards sont adoptés avant d’être vraiment testés, où les failles de 20 ans passent inaperçues. Et tant que ce sera le cas, on aura besoin de hackers comme Kitchen pour nous rappeler que la confiance aveugle en la technologie est le premier pas vers la catastrophe.

Sources : Darren Kitchen - Site personnel, Hak5 - WiFi Pineapple, The Outline - WiFi Cactus Story, KRACK Attacks - Mathy Vanhoef, FragAttacks - WiFi Vulnerabilities, Wikipedia - Wi-Fi Protected Access, Wikitia - Darren Kitchen Biography, Hak5 Documentation, Hak5 Community Forums, CSO Online - IHuntPineapples Story

Vous avez déjà rêvé de faire tourner Word ou Photoshop sur Linux sans avoir l’impression d’utiliser une VM des années 90 ?? Moi oui et c’est pourquoi je suis heureux de vous annoncer qu’un développeur a transformé ce fantasme en réalité. Cela s’appelle WinApps et ça fait tourner Windows dans une machine virtuelle cachée et projette les applications directement sur votre bureau Linux. Comme ça votre Excel s’ouvre à côté de Firefox comme si de rien n’était…

Le principe est malin puisqu’au lieu de vous montrer tout le bureau Windows dans une fenêtre VirtualBox, WinApps utilise FreeRDP pour extraire uniquement l’application dont vous avez besoin. La VM tourne en arrière-plan avec Docker, Podman ou libvirt, et vous ne voyez que ce qui vous intéresse. Vous pouvez même faire un clic droit sur un fichier .docx dans Nautilus et l’ouvrir directement avec Word.

L’intégration est tellement poussée que vos collègues sous Windows vont se demander comment vous faites cette magie noire !!??

Car Wine, c’est bien pour les applications simples, mais dès qu’on parle de la suite Office complète ou d’Adobe Creative Cloud, ça devient vite la galère. WinApps contourne donc le problème en utilisant les vraies applications Windows, et pas du portage approximatif.

L’installation demande un peu de préparation. Il vous faut d’abord une ISO de Windows 10 ou 11 et une licence valide (oui, Microsoft veut quand même toucher ses royalties 😉). Ensuite, vous choisissez votre backend. Vous pouvez utiliser Docker et Podman qui automatisent l’installation de Windows, ou libvirt qui vous donnera plus de contrôle mais demandera aussi plus de configuration manuelle. Après je vous connais, vous êtes des Warriors 😙.

Dans tous les cas, c’est KVM qui fait le gros du travail côté performances, et croyez-moi, ça envoie du lourd.

Ce projet est né d’une frustration simple. Celle du créateur original, Fmstrat, qui en avait marre de jongler entre deux OS pour bosser. Mais depuis, la communauté a pris le relais avec ce fork actif sur winapps-org. Cette version communautaire ajoute régulièrement de nouvelles fonctionnalités, comme le widget de barre des tâches qui permet de gérer la VM Windows sans ouvrir un terminal.

Le niveau d’intégration est plutôt élevé vous verrez. Par exemple, votre dossier home Linux est accessible depuis Windows via \tsclient\home. Les liens Microsoft Office (genre ms-word://) s’ouvrent automatiquement dans la bonne application. Le système détecte même les applications installées dans Windows et crée les raccourcis correspondants sur votre bureau Linux. C’est transparent au point qu’on oublie qu’il y a une VM qui tourne.

Avec WinApps en mode “manuel”, on pourrait même avec un peu de bidouille, faire pointer l’outil vers un vrai PC Windows (en serveur RDP) sur votre réseau plutôt qu’une VM. Comme ça votre vieille tour Windows planquée dans un placard peut servir uniquement à faire tourner les apps Windows dont vous avez besoin, accessibles depuis votre laptop Linux. Les performances d’affichage seront alors limitées uniquement par votre réseau local. A tester quoi…

Le projet supporte une liste impressionnante d’applications : toute la suite Microsoft Office, Adobe Creative Cloud, les outils de développement Windows, et même l’explorateur de fichiers ou l’invite de commande. Certains ont réussi à faire tourner des jeux Steam, même si ce n’est clairement pas l’usage principal visé.

Pour les performances, comptez environ 4 Go de RAM dédiés à la VM Windows, plus ce dont vos applications ont besoin. Sur une machine moderne avec 16 Go de RAM, c’est largement gérable. Le CPU n’est sollicité que quand les applications Windows sont actives, et KVM fait un excellent travail de gestion des ressources.

L’aspect sécurité mérite également réflexion car vous faites tourner un Windows complet sur votre machine, avec tous les risques que ça implique. La VM est isolée certes, mais elle a accès à votre dossier home via RDP. Donc conseil d’ami si vous êtes parano (et vous devriez l’être), créez un utilisateur Linux dédié avec des permissions limitées pour WinApps, ce sera mieux.

Bref WinApps est un compromis, mais un compromis intelligent je trouve, surtout si vous en avez marre de redémarrer sous Windows juste pour modifier un PowerPoint vite fait.

Vous vous souvenez de l’effet Aero de Windows Vista ? Cette transparence vitreuse qui donnait l’impression que votre bureau était fait de verre dépoli ? Et bien un designer vient de ressortir ce concept du placard, mais avec une approche qui pourrait vraiment être le Windows du futur.

Hé oui car pendant que Microsoft préparerait réellement Windows 12 pour fin 2025 ou début 2026, avec des rumeurs de taskbar flottante façon macOS et d’icônes système en haut à droite, un designer repense complètement l’interface. Le coupable s’appelle Addy Visuals, aussi connu sous le nom de AR 4789, et ce n’est pas son premier rodéo. En effet, le type s’amuse depuis des années à réimaginer les OS de Microsoft, passant de Windows XP modernisé à des concepts de Windows 12 Mobile.

Et cette fois, il frappe fort avec Windows 12.2, qui est sa vision de la prochaine évolution de Windows. Notez cette obsession pour les thèmes rétro Windows 7. Car les plus jeunes, là, je sais pas si vous saviez mais à cette époque on pouvait vraiment personnaliser son bureau. Son concept propose donc un menu Démarrer qui fusionne le meilleur de Windows 10 et 11, mais aussi le retour des groupes d’applications qu’on a perdus et des widgets intégrés directement dedans.

Car le mec a compris un truc que Microsoft semble avoir oublié avec Windows 11 : les utilisateurs veulent du choix. Son concept propose des groupes d’applications qui reviennent (vous savez, cette fonctionnalité super pratique de Windows 10 qu’on a perdue), des widgets intégrés directement dans le menu Démarrer, et surtout, la possibilité de choisir entre une taskbar séparée ou étendue sur tout l’écran.

L’Explorateur de fichiers aussi a eu droit à son relooking. Mais ce qui m’a vraiment fait tiquer, c’est l’approche de Copilot. Au lieu de nous balancer l’IA dans la figure comme Microsoft le fait actuellement, Addy propose une intégration plus subtile, moins intrusive. Un Copilot qui est là quand on en a besoin, pas un assistant qui s’impose à chaque clic.

Bien sûr, tout ceci reste de l’ordre du fantasme visuel. Créer un OS fonctionnel, c’est pas juste faire du drag and drop d’éléments jolis et Microsoft doit gérer la compatibilité avec des millions d’applications, l’accessibilité, la sécurité, et j’en passe. Mais ces concepts servent quand même à montrer ce que les utilisateurs attendent vraiment. D’ailleurs, les vraies rumeurs sur Windows 12 sont tout aussi intéressantes puisque ça discute d’une architecture modulaire qui permettrait des mises à jour plus rapides et une meilleure sécurité en isolant les composants. Niveau hardware, préparez-vous aussi puisqu’il faudra 8 Go de RAM minimum et TPM 2.0 obligatoire. Les vieux PC vont encore grincer des dents.

Microsoft pourrait aussi intégrer un client de messagerie unifié, baptisé Windows Messenger, qui fusionnerait Teams et Skype. Et cerise sur le gâteau, la possibilité d’installer des APK Android directement, sans passer par l’Amazon Store. Si c’est vrai, ça changerait complètement la donne pour l’écosystème d’applications.

Bref, j’ai trouvé ce concept d’Addy Visuals plutôt magnifique avec ses effets de transparence et ses animations fluides et en attendant 2025 et les vraies annonces de Microsoft, ça nous permet de rêver un peu….

Source

Vous cherchez le fond sonore parfait pour bosser tranquille ou pour décompresser après une journée de galère ? J’ai déniché un petit outil sympa qui va vous aider à vous créer votre bulle sonore quotidienne. Ça s’appelle Ambiphone, et c’est ce qu’on appelle un “générateur de paysages sonores”.

Et contrairement aux autres que vous avez probablement déjà testé, cet outil ne se contente pas de vous balancer des sons de pluie ou de vagues comme on en trouve partout. Non, Ambiphone va beaucoup plus loin en vous proposant de mixer de la musique ambiante, des sons de la nature, et attention, c’est là que ça devient vraiment original : des flux de radios de police en direct !

Comme ça, vous pouvez littéralement créer une ambiance cyberpunk dans votre salon en mélangeant des nappes synthétiques avec les communications radio de la police de New York.

L’interface est minimaliste, sans fioritures inutiles, ni pub… juste vous et vos curseurs de volume pour ajuster chaque élément sonore.

Ambiphone permet ainsi de créer des atmosphères vraiment uniques que vous pouvez ensuite conserver sous la forme d’un Mix à recharger plus tard.

J’ai testé plusieurs combinaisons et franchement, le résultat est cool. Un peu de musique Lo-Fi, quelques sons de forêt tropicale, et une touche de radio police de Baltimore pour l’exotisme, et vous vous retrouvez dans un univers sonore complètement décalé qui, bizarrement, aide vraiment à se concentrer.

C’est comme si mon cerveau, occupé à traiter ce fond sonore, laissait ma conscience totalement libre tel, un petit papillon courageux, se focaliser sur ma tâche en cours, à savoir vous faire des articles de ouf tous les jours (même fériés ^^)

A tester ici !

Moi je retourne chercher ma combinaison de sons préférés.

Alors là, accrochez-vous bien parce que l’histoire de Troy Hunt, c’est un peu comme si Superman décidait de troquer sa cape contre un clavier et de sauver le monde depuis son bureau. Sauf qu’au lieu de voler et de porter des slips par-dessus son pantalon, il tape du code et sauve vos mots de passe compromis. Troy Hunt, c’est le mec qui a créé Have I Been Pwned, ce service gratuit qui vous dit si vos données traînent quelque part sur le dark web. Et croyez-moi, son parcours est complètement dingue !

La première fois que j’ai testé mon email sur son site, j’ai découvert avec horreur que mes données avaient fuité dans je-sais-plus-combien de hacks. Ce jour-là, j’ai réalisé l’ampleur du travail de ce type. Il a créé, à lui tout seul, un service qui aujourd’hui référence plus de 14,4 milliards de comptes compromis dans 845 fuites de données différentes. C’est presque deux fois la population mondiale ! Franchement, c’est du lourd.

Troy Hunt naît en Australie, et contrairement à ce qu’on pourrait penser, ce n’est pas un gamin des plages qui passe son temps à surfer. Non, lui, il préfère démonter des consoles de jeux “pour voir ce qui les fait marcher”. Le geek était déjà là ! Après des années d’itinérance familiale, Troy finit par s’installer sur la Gold Coast australienne, ce paradis ensoleillé où il vit toujours aujourd’hui avec sa femme Charlotte et leurs deux enfants.

Le truc dingue avec Troy, c’est qu’à l’université dans les années 90, il veut apprendre le développement web mais son école n’offre aucun cours sur Internet ! Imaginez un peu : le web explose, et les universités australiennes sont encore en mode “Internet ? C’est quoi ce truc ?” Alors Troy fait ce que font tous les vrais passionnés, il apprend tout seul. Et en 1995, alors que le web n’a que quelques années, il construit déjà des applications web professionnelles. Autodidacte niveau super chef !

Pendant ses premières années de carrière, Troy touche à tout. Finance, médias, santé… Il accumule l’expérience comme Mario collecte des pièces. Mais c’est en 2001 que sa vie prend un tournant décisif quand il décroche un job chez Pfizer à Sydney. Oui, Pfizer, le géant pharmaceutique !

Au début, c’est le rêve américain version australienne. Il code, il construit des systèmes, il gère des applications cliniques critiques. Il commence comme simple développeur, mais ses compétences le propulsent rapidement au poste d’architecte logiciel pour toute la région Asie-Pacifique. C’est énorme ! Il supervise des systèmes qui gèrent les essais cliniques, rapportent les effets indésirables, optimisent les opérations dans une quinzaine de pays. Le mec est responsable de l’infrastructure tech d’une des plus grosses boîtes pharma du monde pour toute une région géographique !

Mais voilà le hic… Au fur et à mesure que Troy grimpe les échelons, il s’éloigne de ce qu’il aime vraiment : coder. “Je ne faisais plus de code”, raconte-t-il avec amertume. “J’attendais des autres qu’ils le fassent, et je me sentais déconnecté.” Cette frustration grandit comme une démangeaison qu’on ne peut pas gratter. Il manage des gens au lieu de coder, passe ses journées en réunions au lieu de construire des trucs. Le syndrome classique du développeur devenu manager malgré lui !

Pour compenser, Troy lance des projets perso le soir et les weekends. Il crée son blog troyhunt.com, où il partage ses connaissances sur la sécurité web. En septembre 2011, il lance ASafaWeb (Automated Security Analyser for ASP.NET Websites), un outil précurseur qui analyse automatiquement la sécurité des sites ASP.NET. L’idée lui vient de son taf chez Pfizer : “Je passais un temps fou à tester des trucs basiques puis expliquer pourquoi c’était important aux développeurs.” ASafaWeb automatise tout ça. Génial ! L’outil tournera pendant 7 ans avant d’être mis à la retraite en novembre 2018.

En parallèle, Troy devient l’un des instructeurs stars de Pluralsight avec ses cours sur l’OWASP Top 10 et sa série culte “Hack Yourself First”. Son approche ? Apprendre aux développeurs à penser comme des hackers pour mieux se défendre. Plus de 32 000 personnes suivent ses cours, totalisant 78 000 heures de visionnage ! Pendant que ses collègues de Pfizer regardent Netflix, Troy construit méthodiquement sa réputation dans la cybersécurité. En 2011, il devient même Microsoft MVP (Most Valuable Professional), et sera nommé MVP de l’année la même année !

Le vrai déclic arrive à l’automne 2013. Troy analyse les fuites de données qui se multiplient et remarque un schéma inquiétant : ce sont toujours les mêmes personnes qui se font pirater, souvent avec les mêmes mots de passe pourris. Les victimes n’ont aucune idée qu’elles sont exposées et continuent d’utiliser “password123” partout. C’est la catastrophe !

Et puis arrive le coup de grâce : la fuite Adobe du 3 octobre 2013. Au début, Adobe minimise… “Juste 3 millions de cartes compromises, rien de grave !” Puis ils passent à 38 millions. Mais quand Brian Krebs de KrebsOnSecurity creuse l’affaire, la réalité explose : 153 millions de comptes compromis ! Troy analyse les données et il est horrifié. Non seulement les mots de passe sont mal chiffrés (avec un chiffrement 3DES réversible au lieu d’un hash irréversible), mais Adobe a stocké les indices de mots de passe en clair ! Genre “nom de mon chien + année de naissance”. Les hackers ont tout. C’est un carnage absolu !

Troy réalise alors l’injustice fondamentale de la situation. Les criminels téléchargent des gigas de données volées sur des torrents et analysent tranquillement qui utilise quel mot de passe où. Mais Monsieur et Madame Tout-le-monde ? Ils n’ont aucun moyen de savoir s’ils ont été compromis. C’est complètement déséquilibré !

Alors le 4 décembre 2013, Troy lance Have I Been Pwned. Au début, c’est minuscule… juste 5 fuites indexées (Adobe, Stratfor, Gawker, Yahoo! Voices et Sony Pictures). Mais le concept est brillant dans sa simplicité. Tu entres ton email, le site te dit si tu as été pwned. Point. Pas de pub, pas d’inscription, pas de collecte de données supplémentaires. Juste un service gratuit pour aider les gens. “Je voulais que ce soit ultra simple et accessible pour bénéficier au maximum à la communauté”, explique-t-il.

Le succès est immédiat et exponentiel. Les gens découvrent avec horreur que leurs données sont partout. Le site devient viral. En quelques semaines, les médias s’emparent du sujet. Troy ajoute fuite après fuite, breach après breach.

Ce qui est sympa également, c’est l’architecture technique. Troy utilise Windows Azure (maintenant Microsoft Azure) pour gérer une montée en charge astronomique. On parle de 150 000 visiteurs uniques par jour en temps normal, 10 millions lors des gros incidents. Les données sont stockées dans Azure Table Storage, une solution NoSQL qui permet de gérer des milliards d’enregistrements pour quelques dollars par mois. Les mots de passe compromis sont servis via Cloudflare avec un cache hit ratio de 99,9% sur 335 edge locations dans 125+ pays. L’API Pwned Passwords traite aujourd’hui plus de 13 milliards de requêtes par mois ! Et le plus fou ? Tout ça tourne pour moins de 300$ par mois. L’efficacité à l’état pur !

Pendant ce temps, chez Pfizer, Troy est de plus en plus malheureux. “Vers la fin, je redoutais d’aller au travail”, avoue-t-il. Se lever avec la boule au ventre, c’est le signe qu’il faut changer de job. En avril 2015, le destin frappe : Pfizer annonce que son poste est supprimé dans une restructuration. Licencié après 14 ans ! Mais au lieu de déprimer, Troy ressent… du soulagement ! “Je me sentais enfin libre de me concentrer sur HIBP et d’autres projets indépendants.”

Se faire virer devient la meilleure chose qui lui soit arrivée ! Troy devient consultant indépendant et se lance à fond. Il donne des workshops dans le monde entier : banques centrales, gouvernements, entreprises du Fortune 500. Il fait des keynotes à Black Hat, DEF CON, NDC. Plus de 100 workshops et autant de conférences en quelques années. Le développeur frustré de Pfizer est devenu une rockstar mondiale de la cybersécurité !

Mais c’est Have I Been Pwned qui reste son bébé. En janvier 2019, Troy découvre “Collection #1”, une méga-fuite de 773 millions d’emails uniques et 21 millions de mots de passe uniques, totalisant 2,7 milliards de combinaisons email/password. C’est la plus grosse fuite jamais vue ! L’analyse révèle que c’est une compilation de plus de 2000 fuites précédentes, avec 140 millions de nouveaux emails jamais vus auparavant.

Aujourd’hui en 2025, HIBP a catalogué plus de 845 fuites et 14,4 milliards de comptes pwned. Le service est utilisé par 40 gouvernements dans le monde pour monitorer leurs domaines officiels. La Malaisie est même la première nation asiatique à l’adopter officiellement. Des agences comme le FBI, la CISA, le RCMP canadien et le NCA britannique collaborent activement avec Troy, lui fournissant des mots de passe compromis découverts lors de leurs enquêtes.

Le truc génial avec Troy, c’est qu’il refuse de monétiser HIBP de façon agressive. Le service reste gratuit pour les particuliers. Il fait payer uniquement les entreprises qui veulent utiliser l’API pour vérifier en masse. Sa philosophie est claire : “Je ne stocke pas les mots de passe. Néant. Que dalle. Je n’en ai pas besoin et je ne veux pas de cette responsabilité. Tout ça, c’est pour sensibiliser à l’ampleur des fuites.”

Cette approche éthique lui vaut une reconnaissance mondiale. En novembre 2017, il témoigne devant le Congrès américain sur l’impact des fuites de données. En février 2022, il reçoit le prestigieux Mary Litynski Award du M3AAWG pour avoir rendu Internet plus sûr. Même le FBI lui a filé une médaille ! Pas mal pour un mec qui a appris le web tout seul !

Un aspect méconnu, c’est le rôle crucial de sa femme Charlotte. Elle a coordonné les conférences NDC (Norwegian Developers Conference) dans le monde entier de 2013 à 2021. Quand elle rejoint HIBP en 2021 comme Chief Operating Officer, elle gère tout ce qui n’est pas technique : onboarding des clients, tickets d’API, compta, taxes internationales…

“Charlotte est à la fois ma femme et la chef de toutes les opérations chez HIBP”, explique Troy avec affection. Sans elle, impossible de gérer un service utilisé par des millions de personnes. C’est le duo parfait !

Mais Troy n’est pas qu’un héros de la cybersécurité. En février 2017, il révèle les vulnérabilités critiques de CloudPets, des peluches connectées qui ont exposé 820 000 comptes et 2,2 millions de fichiers audio d’enfants parlant à leurs doudous. Les enregistrements étaient accessibles sans authentification sur des serveurs MongoDB mal configurés ! Son investigation force Spiral Toys à sécuriser d’urgence et sensibilise le monde aux dangers de l’IoT mal sécurisé.

Un des aspects les plus impressionnants, c’est sa capacité à vulgariser. Sur son blog, il explique des concepts complexes avec une clarté cristalline. Ses articles sur Collection #1 ou l’analyse des mots de passe Adobe sont des masterclass de pédagogie. Il a créé toute une philosophie autour de la “culture de la sécurité” : “La sécurité doit être en tête des priorités pour TOUS les professionnels de la tech, pas juste l’équipe sécu.” Cette vision révolutionne la façon dont les entreprises abordent la cybersécurité.

Et même les experts se font avoir ! Dans un exemple d’humilité rafraîchissante, Troy a admis publiquement s’être fait avoir par un email de phishing sophistiqué. Cette transparence renforce encore sa crédibilité. Le mec assume ses erreurs, c’est ça qui est beau !

L’impact technique de HIBP est phénoménal. L’API Pwned Passwords utilise un modèle k-anonymity génial où au lieu d’envoyer votre mot de passe en clair, vous envoyez les 5 premiers caractères du hash SHA-1, le serveur répond avec tous les hashs correspondants (environ 400), et votre navigateur vérifie localement. Résultat, votre mot de passe n’est jamais transmis, même pas à Troy ! C’est de la privacy by design à l’état pur. Des géants comme 1Password, Firefox et Google Chrome intègrent maintenant cette API pour vérifier si vos mots de passe ont fuité.

Le plus fou dans tout ça c’est que Troy continue de développer HIBP avec passion. En 2025, il a ajouté le support des données de “stealer logs” (malwares qui volent les identifiants), intégrant 231 millions de mots de passe uniques supplémentaires. Il travaille avec le FBI et le NCA britannique qui lui fournissent régulièrement des données saisies lors d’opérations contre les cybercriminels.

Aujourd’hui, Troy vit toujours sur la Gold Coast, “la partie ensoleillée du pays ensoleillé !” comme il aime dire. Il continue de développer HIBP, donne des conférences dans le monde entier (quand il n’est pas en train de faire du jetski ou de piloter des voitures de sport sur circuit), et reste l’une des voix les plus respectées de la cybersécurité mondiale.

Ce qui est dingue avec Troy Hunt, c’est qu’il a transformé une frustration personnelle (ne plus coder chez Pfizer) en service public mondial. Il a créé quelque chose que même les gouvernements n’avaient pas pensé à faire. Et il l’a fait gratuitement, par pure passion pour la sécurité. Dans un monde où tout se monétise, où chaque startup cherche la licorne, Troy reste fidèle à ses principes : aider les gens à rester safe online.

Si ça c’est pas inspirant, franchement, je sais pas ce qui l’est ! Le mec a littéralement changé la façon dont le monde entier gère les fuites de données. Et il continue, breach après breach, à nous protéger de nos propres mauvaises habitudes de sécurité. Respect total.

Sources : Troy Hunt - About, Have I Been Pwned - About, A Decade of Have I Been Pwned, Introducing Have I Been Pwned, Adobe credentials and password hints, Wikipedia - Troy Hunt, Welcome to ASafaWeb, Pluralsight - Troy Hunt, KrebsOnSecurity - Adobe Breach, Collection #1 Data Breach, M3AAWG Mary Litynski Award, HIBP Azure Function GitHub

Je me souviens de la première fois où j’ai entendu parler de The Grugq.

C’était en 2006, via un PDF qui expliquait aux hackers comment ne pas se faire choper par les flic. Puis un peu plus tard, en 2012, je l’ai redécouvert vie un article de Forbes qui racontait comment un mystérieux Sud-Africain basé à Bangkok gagnait plus d’un million de dollars par an en vendant des failles zero-day aux agences de renseignement.

Pas en exploitant lui-même les failles, non. Juste en servant d’intermédiaire entre les hackers qui les découvraient et les gouvernements prêts à payer des fortunes pour les acquérir. Il prenait à l’époque 15% de commission sur des ventes qui pouvaient atteindre 250 000 dollars pour un seul exploit iOS. Le calcul était vite fait.

Puis j’ai découvert que ce type était bien plus qu’un simple marchand d’armes numériques. C’était LE gourou de l’OPSEC, celui qui avait littéralement créé le domaine de l’anti-forensics. Celui qui répétait sans cesse “shut the fuck up” comme mantra ultime de survie. Voici donc aujourd’hui, l’histoire de Thaddeus Grugq, l’homme qui a appris au monde entier l’art de disparaître.

Thaddeus Grugq est né en Afrique du Sud, quelque part dans les années 70. Les détails exacts ? Mystère complet. Et c’est totalement voulu car The Grugq pratique ce qu’il prêche. La première règle de l’OPSEC, c’est de contrôler l’information sur soi-même. Pas d’année de naissance précise dans les bios officielles. Pas de ville natale. Pas de vrais noms de famille. Juste “The Grugq”, un pseudonyme qui est devenu une marque dans le monde de la sécurité.

Ce qu’on sait, c’est qu’il a grandi dans l’Afrique du Sud de l’apartheid. Un pays où la surveillance était omniprésente, où les communications étaient espionnées, et où la paranoïa était justifiée. Du coup, c’est dans ce contexte qu’il développe très jeune une fascination pour les systèmes, pour comprendre comment ils fonctionnent, et surtout, comment contourner leur sécurité. L’environnement idéal pour forger un futur expert en contre-surveillance !

En 1998, à peine sorti de l’adolescence, il débarque dans le monde de la sécurité informatique. L’industrie en est encore à ses balbutiements. Les grandes entreprises commencent tout juste à comprendre qu’Internet n’est pas qu’un gadget et que la sécurité, ce n’est pas optionnel. The Grugq trouve alors un job dans une Fortune 100. Laquelle ? Il ne le dira jamais. OPSEC, toujours.

Mais rapidement, la vie en entreprise l’ennuie. Les réunions interminables, les politiques internes, les limitations imposées par la hiérarchie… C’est pas pour lui. Il veut explorer, casser des choses, comprendre les limites des systèmes. Alors quand l’opportunité se présente de rejoindre @stake, l’une des boîtes de sécurité les plus prestigieuses de l’époque, il saute dessus. Et on peut dire que c’était le bon moment !

@stake, c’était le graal pour tout hacker qui se respectait. Fondée par des légendes issues de L0pht Heavy Industries (ces mecs qui avaient fait trembler le Congrès américain en 1998 en déclarant pouvoir “éteindre Internet en 30 minutes”), la boîte attirait les meilleurs talents. Ils faisaient du pentest pour les plus grandes entreprises, découvraient des vulnérabilités critiques, conseillaient les gouvernements. C’était l’élite de l’élite !

The Grugq s’y épanouit totalement. Il reverse tout ce qui lui tombe sous la main. Il développe des exploits. Il apprend des meilleurs du milieu. Mais surtout, il commence à s’intéresser à un domaine encore vierge : l’anti-forensics. Comment effacer ses traces numériques ? Comment rendre l’analyse post-mortem impossible ? Comment disparaître sans laisser de preuves ?

Son mentor chez @stake lui donne alors un conseil qui va changer sa vie : “If you know how to do anti-forensics, you probably don’t need anti-forensics.” En d’autres termes, si tu maîtrises l’art d’effacer tes traces, c’est que tu es déjà assez bon pour ne pas en laisser. C’est le début de sa philosophie de l’OPSEC préventive.

En 2002, The Grugq décide de partager ses connaissances avec la communauté. Il écrit un article pour Phrack, la bible underground du hacking. Le titre : “Defeating Forensic Analysis on Unix”. Dans cet article, il détaille méthodiquement comment compromettre les outils d’analyse forensique. Et c’est pas de la blague !

L’article présente une panoplie d’outils révolutionnaires : RuneFS pour cacher des données dans les bad blocks, The Defiler’s Toolkit avec ses composants Necrofile et Klismafile pour modifier directement le système de fichiers, KY FS pour stocker des données dans les répertoires, et Data Mule FS pour utiliser l’espace réservé des inodes. C’est de la technique de haut vol !

L’article fait l’effet d’une bombe atomique car pour la première fois, quelqu’un expose publiquement des techniques qui étaient jusqu’alors réservées aux agences de renseignement et aux criminels les plus pointus. The Grugq justifie sa démarche en expliquant que c’est pour “pousser l’industrie de la sécurité à développer des outils efficaces”. Il espère que “la prochaine génération d’outils d’investigation numérique donnera ainsi aux défenseurs quelque chose de fiable pour combattre efficacement les attaquants”.

Noble intention… Mais @stake ne voit pas les choses du même œil car pour eux, publier ces techniques dans Phrack, c’est donner des armes aux méchants. C’est irresponsable et surtout contraire à l’éthique de l’entreprise. The Grugq est viré. Forcé de démissionner, comme ils disent poliment. Bref, l’histoire classique du lanceur d’alerte qui se fait blacklister !

Le licenciement est un coup dur pour lui, mais également une libération totale. The Grugq devient alors consultant indépendant, et là, il découvre un marché en pleine explosion. Celui des vulnérabilités zero-day. Le timing est parfait !

En effet, début des années 2000, les gouvernements commencent à comprendre que les cyberarmes sont l’avenir de l’espionnage et du sabotage. Pas besoin d’envoyer des agents sur le terrain quand on peut compromettre un système à distance. Pas la peine de risquer des vies humaines quand un exploit bien placé peut faire le job. Le problème, c’est que les agences de renseignement ne sont pas forcément les meilleures pour trouver ces vulnérabilités. Elles ont des analystes brillants, mais pas forcément la créativité et la liberté des hackers indépendants. D’où l’idée d’acheter les exploits à ceux qui savent les trouver.

The Grugq voit alors l’opportunité et la saisit. Il a des contacts dans le milieu du hacking, il connaît les meilleurs chercheurs, ceux qui trouvent les bugs que personne d’autre ne voit. Et de l’autre côté, grâce à son passage chez @stake et ses activités de consultant, il a des contacts dans les agences gouvernementales. NSA, CIA, et leurs équivalents européens. C’est le middleman parfait !

Il devient alors broker. On dit aussi intermédiaire. Il est l’homme entre deux mondes qui ne peuvent pas se parler directement.

Comme ça, si un chercheur trouve une faille dans iOS, The Grugq sait à qui la vendre pour 250 000 dollars. Une agence cherche un exploit pour Android ? The Grugq sait qui peut le fournir pour 80 000 à 120 000 dollars. C’est du business !

Sa commission standard est de 15% donc par exemple sur une vente à 250 000 dollars, ça fait 37 500 dollars. Sans écrire une ligne de code. Sans prendre le risque de l’exploitation. Juste en mettant en relation les bonnes personnes. C’est rentable !

Mais The Grugq n’est pas qu’un simple intermédiaire. Il apporte aussi une vraie valeur ajoutée professionnelle. D’abord, il vérifie la qualité des exploits car pas question de vendre de la camelote à des clients qui paient des fortunes. Et ensuite, il garantit l’anonymat des deux parties. Le chercheur ne sait pas à qui il vend et l’acheteur ne sait pas d’où vient l’exploit. The Grugq est donc le seul à connaître les deux bouts de la chaîne.

C’est là que son expertise en OPSEC devient absolument cruciale car comment transférer des exploits qui valent des centaines de milliers de dollars sans laisser de traces ? Et comment recevoir des paiements sans que le fisc ou d’autres acteurs s’en mêlent ? Comment, même, communiquer avec des agences de renseignement sans se faire repérer par d’autres agences de renseignement ?

Une vraie prise de tête. Alors The Grugq développe tout un système sophistiqué. Communications chiffrées, bien sûr. Mais pas que. Il utilise des chains de proxies, des VPNs en cascade, des systèmes de dead drops numériques. Il change régulièrement d’identité, de méthodes de communication, de patterns de comportement. Un vrai fantôme numérique !

“Il est judicieux de migrer régulièrement l’infrastructure de communication et de changer régulièrement d’identité », expliquera-t-il plus tard. « Cela crée des silos d’informations compartimentés chronologiquement qui limitent l’impact d’une compromission.”

Et en quelques années, le business explose littéralement. 2010, 2011, 2012… Les prix des zero-days s’envolent. Ce qui se vendait 10 000 dollars en 2005 vaut maintenant 100 000. Un exploit iOS complet peut atteindre 250 000 dollars. Pour Windows, c’est 60 000 à 120 000. Et pour les navigateurs populaires (Chrome, Firefox, Safari), on parle de 80 000 dollars pour un RCE + sandbox escape. Le business est en feu et The Grugq est au milieu de tout ça. Il connaît les prix, les acheteurs, les vendeurs. Il sait quelle agence cherche quoi, quel chercheur a trouvé quoi. C’est une position de pouvoir incroyable. Et lucrative. Très, très lucrative.

En mars 2012, Forbes publie un article au sujet du marché des zero-days. Écrit par Andy Greenberg et intitulé “Shopping for Zero-Days: A Price List for Hacker’s Secret Software Exploits”, cet article expose pour la première fois publiquement ce marché secret. The Grugq y est cité, sous pseudonyme bien sûr. Et il révèle qu’il a pour projet de gagner plus d’un million de dollars cette année-là. Rien qu’en commissions. Le journaliste n’en croit pas ses oreilles. Un million de dollars pour mettre des gens en relation ?

Mais The Grugq hausse les épaules. C’est le marché, simple loi de l’offre et la demande. Surtout que les gouvernements ont des budgets illimités pour l’espionnage numérique. Par exemple, la NSA dépense 25,1 millions de dollars par an juste pour acheter des vulnérabilités selon les documents de Snowden. Ça représente entre 100 et 625 exploits par an, selon les prix du marché. Et c’est rien que la NSA !

Ajoutez à ça la CIA, le FBI, le Pentagone. Puis les Britanniques, les Français, les Allemands, les Israéliens. Tous veulent leur part du gâteau. Tous ont besoin d’exploits pour espionner, saboter, et protéger. Toutefois, The Grugq limite ses ventes aux agences américaines et européennes “pas uniquement pour des raisons éthiques, mais aussi parce qu’ils paient plus”. Pragmatique le garçon !

The Grugq estime le marché total à moins de 5 millions de dollars par an. D’autres parlent de 50 millions. Personne ne sait vraiment car c’est un marché opaque par nature, mais une chose est sûre…c’est hyper lucratif pour ceux qui savent naviguer dans ces eaux troubles.

Et surtout, même pendant cette période dorée de l’achat/revente, The Grugq ne se contente pas de faire du business. Il continue ses recherches, ses expérimentations et s’intéresse particulièrement à l’intersection entre le tradecraft traditionnel (les techniques d’espionnage classiques) et les compétences des hackers. Il dévore les manuels de la CIA déclassifiés, les mémoires d’anciens espions, les techniques du KGB et de la SOE (Special Operations Executive britannique). Il étudie comment les organisations clandestines opèrent depuis des siècles et surtout comment adapter toutes ces méthodes au monde numérique.

C’est de là que naît sa philosophie de l’OPSEC moderne. Pour lui, la sécurité opérationnelle n’est pas qu’une affaire technique. C’est avant tout une discipline mentale. Une façon de penser, de vivre, d’interagir avec le monde. Une philosophie de vie !

Sa règle numéro un, qu’il répétera ad nauseam dans toutes ses conférences : “Shut the fuck up.” Fermez-la. Ne parlez pas. Ne vous vantez pas. Ne partagez pas. C’est brutal, c’est direct, mais c’est efficace.

Car c’est là que 90% des gens échouent. Ils ne peuvent pas s’empêcher de parler. De tweeter. De se vanter. De laisser des indices. The Grugq a vu des dizaines de hackers brillants se faire prendre parce qu’ils n’ont pas su se taire.

Hé oui, l’ego, ça tue !

En parallèle de ses activités de broker, The Grugq commence aussi à enseigner. D’abord dans des conférences underground, puis dans les grands événements de sécurité. Black Hat, DefCon, CanSecWest, HITB… Il devient rapidement une star absolue du circuit et ses talks sont de véritables événements !

Pas de PowerPoints ennuyeux remplis de bullet points, The Grugq raconte des histoires captivantes. Il mélange technique et anecdotes, théorie et pratique. Il cite Sun Tzu et les manuels de la Special Operations Executive britannique. Il parle de hackers russes et d’espions de la Guerre Froide. Un storytelling incroyable qui captive !

Un de ses talks les plus célèbres est “OPSEC for Hackers” présenté à HITB 2012 où pendant une heure, il détaille comment les hackers se font prendre. Les erreurs classiques, les pièges à éviter. Il analyse des cas réels, décortique les échecs, explique ce qui aurait pu être fait différemment. Une vraie masterclass !

Et son message est clair comme du crystal : La technique ne suffit pas. Tu peux être le meilleur hacker du monde, si ton OPSEC est pourrie, tu finiras en prison.

“Donnez à un homme un 0day et il aura un accès pendant une journée, apprenez-lui à hameçonner et il aura un accès à vie.” De la sagesse hacker !

The Grugq développe comme ça toute une philosophie autour de l’OPSEC. Pour lui, c’est un art, pas une science, où chaque situation est unique. Les règles changent constamment. “Le cyberespace, c’est comme le calvinball. La seule règle, c’est qu’on ne joue jamais deux fois de la même manière.” Une jolie référence à Calvin & Hobbes qui fait mouche !

Il emprunte également beaucoup au monde du renseignement traditionnel. La compartimentation, par exemple, c’est à dire ne jamais mélanger les identités, ne jamais croiser les flux d’information, et créer de silos étanches qui limitent les dégâts en cas de compromission. En gros, du cloisonnement militaire appliqué au hacking !

Ou encore tout ce qui est désinformation. “Si vous voulez dissimuler quelque chose, ne faites pas jurer aux gens de garder le silence, racontez autant d’histoires alternatives que possible.” Une règle de la SOE britannique pendant la Seconde Guerre mondiale, toujours valable à l’ère numérique. Il fait du recyclage de techniques éprouvées qu’il adapte au monde moderne.

Il insiste particulièrement sur l’aspect humain. “On ne peut pas lutter contre un mème avec un exploit” car la technologie ne résout pas tout. Les failles les plus dangereuses sont souvent humaines et l’ingénierie sociale, la manipulation, la psychologie… C’est là que se gagnent les vraies batailles. L’humain, toujours l’humain !

Vers 2013, The Grugq sent alors que le vent tourne dans le business des exploits. Les prix deviennent complètement fous. La concurrence s’intensifie dangereusement. De nouvelles boîtes comme Vupen (qui deviendra Zerodium en 2015) ou Netragard entrent agressivement sur le marché. Les gouvernements commencent à acheter directement, sans passer par des intermédiaires. Le marché se professionnalise !

Plus important encore, l’éthique de tout ça commence sérieusement à le déranger. Ces exploits qu’il vend, ils servent à quoi exactement ? Espionner des dissidents ? Saboter des infrastructures ? Surveiller des journalistes ? The Grugq n’est pas naïf, il sait que ses clients ne sont pas des enfants de chœur, mais voir l’escalade, la militarisation du cyberespace, ça le fait réfléchir profondément.

Il décide alors de changer de cap radicalement. Exit la revente d’exploits et place à l’enseignement, la recherche, et le conseil. Il a assez d’argent pour vivre confortablement jusqu’à la fin de ses jours et il a prouvé ce qu’il avait à prouver. Maintenant, il veut transmettre. C’est, je trouve, une noble reconversion !

Il s’installe alors définitivement à Bangkok. Alors pourquoi Bangkok, me direz-vous ? Et bien “parce que c’est loin de tout”, dit-il en rigolant. Mais c’est plus profond que ça car Bangkok, c’est un hub international, connecté au monde entier mais en dehors des radars occidentaux. C’est facile d’y disparaître, d’y vivre anonymement… et puis, la bouffe est excellente et pas chère.

De Bangkok, The Grugq continue ses activités, mais autrement. Il donne des formations privées à des entreprises, des gouvernements (les gentils, précise-t-il avec ironie). Il écrit, beaucoup, notamment des articles, des guides, des analyses et devient le philosophe de l’OPSEC moderne, le Socrate de la sécurité opérationnelle !

Sa présence sur Twitter (@thegrugq) devient absolument culte. Chaque tweet est une leçon de vie. Parfois technique, parfois philosophique, toujours pertinent. Il commente l’actualité de la sécurité, analyse les échecs, dispense ses conseils. Le tout avec un humour noir bien caractéristique. C’est du contenu premium !

“Si un État-nation vous poursuit, vous allez passer un mauvais quart d’heure.” est un de ses tweets les plus célèbres, qui résume sa vision réaliste de la sécurité. Pas de faux espoirs. Pas de solutions miracles. Juste la vérité crue : contre certains adversaires, vous ne pouvez pas gagner. Point final.

Mais ça ne veut pas dire qu’il faut abandonner. Au contraire. The Grugq prêche la préparation, la discipline, la rigueur. “Pour bien maîtriser l’OPSEC, il faut intérioriser les changements de comportement nécessaires pour maintenir en permanence une posture de sécurité solide.” C’est un mode de vie, pas un hobby, je vous l’ai déjà dit !

Par exemple, en 2017, l’affaire Reality Winner éclate et devient un cas d’école parfait. Cette contractante de la NSA a leaké un document classifié au journal The Intercept. Elle est alors arrêtée quasi immédiatement.

Un cas d’école d’échec OPSEC que The Grugq va analyser dans son article Medium “Real Talk on Reality”. Car c’est un festival d’erreurs catastrophiques. Winner a par exemple imprimé le document depuis son poste de travail. Et comme les imprimantes laissent des micro-points invisibles qui permettent de tracer exactement quand et où un document a été imprimé, ça a été son erreur numéro 1. Surtout que c’était le seul document qu’elle avait imprimé ce mois-là !

Elle a ensuite accédé au document alors qu’elle n’avait aucune raison professionnelle de le faire. Dans une agence où tout est loggé en permanence, c’est un red flag immédiat. Erreur numéro 2, très grossière !

Mais attendez, c’est pas fini ! Elle avait déjà contacté The Intercept depuis son ordinateur professionnel. Alors quand l’enquête a commencé, son nom est ressorti immédiatement. Erreur numéro 3, fatale !

Et The Intercept ? Et bien ils ont envoyé une copie du document à la NSA pour vérifier son authenticité. Et avec les micro-points bien visibles. Ils ont littéralement donné à la NSA tout ce dont elle avait besoin pour identifier la source. Erreur numéro 4, 5, 6… La liste est longue !

The Grugq est sans pitié dans son analyse. “Mme Winner était condamnée, indépendamment des mesures prises par The Intercept pour protéger sa source qui, en réalité, étaient inexistantes.” Winner a violé toutes les règles de base de l’OPSEC. Elle a laissé des logs partout : Accès au document, impression, communications… Chaque action a créé une trace indélébile.

Mais il ne blâme pas que Winner car The Intercept a failli tragiquement à son devoir de protection des sources. Tout journaliste qui traite des documents sensibles devrait connaître les bases : micro-points, métadonnées, techniques de traçage. C’est de la négligence criminelle, selon lui.

“OPSEC is not a joke”, martèle-t-il. “Ce n’est pas facultatif. Ce n’est pas quelque chose que l’on fait quand on a le temps. C’est une discipline. Un mode de vie. Sinon, on finit comme Reality Winner : condamné à plusieurs décennies de prison pour avoir essayé de faire ce qui était juste, mais de la mauvaise manière.” Leçon douloureuse mais essentielle !

Au fil des ans, The Grugq devient une véritable institution dans le monde de la sécurité. “The most quoted man in infosec”, comme on l’appelle affectueusement. Pas une conférence sans qu’un speaker cite une de ses maximes. Pas un article sur l’OPSEC sans référence à ses enseignements. Une notoriété bien méritée !

Il publie régulièrement sur Medium, sur son blog, sur GitHub. Des guides pratiques, des analyses théoriques, des réflexions philosophiques… Et tout est disponible gratuitement. The Grugq ne vend pas ses connaissances OPSEC. Il les partage généreusement. C’est sa façon de rendre à la communauté.

Son blog “Hacker OPSEC” devient LA référence absolue. Des dizaines de pages détaillant chaque aspect de la sécurité opérationnelle. Comment choisir ses outils. Comment créer des identités. Comment communiquer. Comment disparaître. Mais surtout il met en garde car lire ne suffit absolument pas.

Il faut pratiquer, s’entraîner, développer les réflexes car l’OPSEC, c’est 10% de connaissances et 90% de discipline. Et la discipline, ça se travaille !

Ces dernières années, The Grugq s’est considérablement diversifié. Il dirige maintenant le Glasshouse Center, un think tank dédié aux cybermenaces émergentes et à la stratégie cyber. Il publie “The Grugq’s Newsletter”, une newsletter suivie par des dizaines de milliers d’abonnés. Il y commente l’actualité, analyse les tendances, partage ses réflexions sur l’évolution du paysage numérique.

Car le monde a radicalement changé depuis ses débuts dans les années 90. Les exploits zero-day se vendent maintenant des millions (Zerodium offre jusqu’à 2,5 millions pour certains exploits iOS). Les États-nations ont des armées entières de hackers. La surveillance est omniprésente. Mais les principes de base restent exactement les mêmes. Discipline. Compartimentation. Et surtout silence.

Car dans un monde où tout est enregistré, où chaque bit peut devenir une preuve, ce silence est littéralement d’or.

Aujourd’hui, The Grugq reste un mystère complet. Après plus de 25 ans dans le milieu, peu de gens connaissent son vrai visage. Encore moins ont son vrai numéro de téléphone. Il apparaît dans les conférences, donne ses talks brillants, puis disparaît. Comme un fantôme. Comme il l’a toujours fait. Comme il continuera de le faire.

C’est ça, le vrai OPSEC. Pas des outils fancy ou des techniques ultra-complexes. Juste cette discipline de rester dans l’ombre et de contrôler l’information sur soi-même. Il ne faut jamais baisser la garde même quand personne ne regarde.

Alors la prochaine fois que vous êtes tenté de tweeter ce truc super cool que vous venez de hacker, rappelez-vous The Grugq et de son mantra :

“Shut the fuck up.”

Sources : Medium officiel de The Grugq, Twitter @thegrugq, Phrack #59 - “Defeating Forensic Analysis on Unix”, Schneier on Security - The Grugq on Reality Winner, Medium - “Real Talk on Reality” par The Grugq, Blogs of War - Interview Hacker OPSEC, GitHub officiel, Okta Security - Profil The Grugq, Vice - Interview ancien broker exploits, The Info Op Newsletter Substack, Privacy PC - Guide OPSEC, Wikipedia - Marché des exploits zero-day, Glasshouse Center

Toutes les nuits, en m’endormant, je me pose la question suivante : “Et si on pouvait créer un jeu vidéo juste en le décrivant ?”

Non, c’est faux, je m’endors en 30 secondes chrono comme une merde, épuisé par une journée à écrire sur ce site. Mais n’empêche, décrire un jeu vidéo et y jouer, bah figurez-vous que c’est maintenant possible avec Mirage 2.

DynamicsLab AI vient en effet de lancer ce qu’ils appellent un Generative World Engine, c’est à dire un modèle général qui vous permet de créer, jouer et transformer n’importe quel monde instantanément. Et ce n’est pas juste pour les jeux, mais pour n’importe quel monde interactif que votre imagination peut créer.

Ce qui est cool surtout c’est qu’on peut maintenant uploader nos propres images… un croquis, un concept art, une photo, même un dessin d’enfant aux crayons, et hop Mirage 2 les transforme en environnements jouables. Vous y décrivez ensuite ce que vous voulez voir apparaître comme une ruelle pour vous échapper, changer d’apparence, de décor… etc et le moteur intègre votre demande instantanément dans le jeu en cours.

Ainsi, là où les précédents moteurs neuronaux comme Oasis ou GameNGen de Google se contentaient de rejouer des séquences pré-entraînées, Mirage 2 permet aux joueurs d’éditer, d’étendre et de créer des mondes entièrement nouveaux.

C’est le futur des jeux en monde ouvert mes amis ! Et cerise sur le gâteau : vous pouvez partager vos mondes créés avec vos potes qui peuvent ensuite les explorer et y jouer.

Niveau contrôles, on peut basculer entre contrôle textuel, clavier et manette de façon fluide. Vous tapez par exemple “spawn une moto”, l’instant d’après vous la pilotez avec les touches directionnelles. Avec une latence d’environ 200ms et la possibilité de jouer pendant plus de 10 minutes d’affilée, c’est déjà impressionnant pour de la génération pure.

Sous le capot, Mirage 2 repose sur ce qu’ils appellent un “modèle de diffusion autorégressif basé sur des transformers”. En gros, c’est une IA qui a appris à comprendre et générer des séquences de jeu cohérentes en puisant dans une énorme base de données de gameplay collectée sur internet. Et ça tourne sur un seul GPU (celui de la machine de l’utilisateur), donc pas besoin d’une ferme de serveurs.

D’ailleurs, comparé à Genie 3 de DeepMind annoncé récemment, Mirage 2 a l’avantage d’être jouable maintenant… C’est pas juste une n-ième démo tech qu’on peut voir que sur YouTube.

Notez que l’équipe derrière DynamicsLab AI ce sont des anciens de Google, Nvidia, Amazon, SEGA, Apple et Microsoft et ils positionnent leur technologie comme un nouveau média où les jeux ne se téléchargent plus, mais s’imaginent, se promptent et se vivent….

Bien sûr, vous verrez en testant, c’est encore loin d’être parfait. Les virages à droite peuvent parfois bugger, les transitions rapides génèrent des variations visuelles bizarres, et le contrôle des personnages demande encore du travail. Mais quand on voit ce que ça donne aujourd’hui et qu’ils sont passés de Mirage 1 à Mirage 2 en seulement un mois, j’imagine facilement ce que ça va donner dans 2-3 ans.

On va peut-être passer d’un modèle où les développeurs créent des mondes fixes qu’on explore, à un système où chaque joueur co-crée son expérience en temps réel. Je sens que ça va encore faire grincer des dents mais les possibilités pour les plateformes créatives sont énormes car ça va permettre d’offrir un contenu personnalisé instantané, des formats infiniment rejouables, et surtout une barrière d’entrée à la création réduite à une simple idée.

Si ça vous chauffe de tester Mirage 2 directement dans votre navigateur, c’est par ici : demo.dynamicslab.ai

Source

C’est quand même fou, l’obsession des développeurs et des bouffeurs de changelog comme moi pour les numéros de version. Tenez, par exemple, comma.ai vient de sortir une nouvelle version d’openpilot et au lieu de passer à la tant attendue version 1.0, ils nous font le coup du 0.9.9 → 0.10. Une jolie feinte qui montre qu’ils ont encore de l’ambition sous le capot avant de franchir ce cap symbolique du 1.0, avec un objectif clair côté équipe : faire passer le contrôle longitudinal end-to-end d’Experimental à Chill.

Ce que je retiens de cette nouvelle release, c’est surtout leur nouvelle architecture “Tomb Raider”. Ce n’est pas juste une amélioration incrémentale, c’est carrément une approche validée scientifiquement dans un papier de recherche publié sur arXiv qui prouve qu’on peut, de manière fiable, entraîner des systèmes de conduite autonome dans des simulateurs, sans avoir besoin de règles codées en dur. Ces simulateurs produisent artificiellement des situations de conduite comme on pourrait en enregistrer chaque jour avec une dashcam par exemple. Cela permet d’avoir une masse de données gigantesque afin de renforcer l’apprentissage des modèles.

Et comme ça, au lieu de faire comme Cruise ou Waymo qui claquent des milliards dans du matériel spécialisé et des cartes HD au LiDAR, comma.ai peut continuer de faire tourner son système sur un équivalent de smartphone.

Terminé le MPC (Model Predictive Control) traditionnel, place maintenant à un World Model qui prédit directement les trajectoires. Dans leur papier de recherche, ils expliquent avoir développé deux stratégies de simulation : la simulation reprojective qui utilise des cartes de profondeur pour recréer des scènes, et la simulation par World Model qui génère carrément des scénarios de conduite réalistes. Et surtout, le MPC est retiré en latéral dans les modes Chill et Experimental, et le longitudinal bascule aussi sur ce modèle en Experimental dès cette release. C’est pas rien !

Ici, en bleu vous pouvez voir le trajet pris par un humain. En vert, c’est la prédiction du trajet humain par le modèle précédent. Et en orange, vous avez la prédiction du trajet humain par le nouveau modèle de cette release. Ce qu’il faut retenir, c’est que le trajet orange est le meilleur car il part de la position actuelle de la voiture, pour converger vers le centre de la voie. Ça permet de garder le véhicule bien au centre de sa voie.

Pour l’entraînement de Tomb Raider, ils ont aussi mis en place un genre de goulot d’étranglement volontaire de l’information pour éviter que le système n’exploite les artefacts du simulateur. En gros, ils forcent le réseau de neurones à apprendre des vraies compétences de conduite plutôt que de tricher en exploitant les failles de la simulation. C’est un détail technique, certes, mais ça fait la différence entre un prototype de labo et un système actuellement déployé dans la vraie vie.

Pour ceux qui veulent creuser la partie scientifique, leur approche future-anchored world model permet de générer des scénarios de conduite réalistes en partant du futur puis en remontant vers le présent. C’est contre-intuitif, mais ça permet d’éviter les dérives accumulatives typiques des modèles génératifs. Ils ont même réussi à déployer ces politiques apprises en simulation directement dans openpilot, prouvant que le transfert sim-to-real fonctionne vraiment.

D’après les tableaux de l’étude, ce nouveau système atteint chez 500 utilisateurs environ 30 % de temps d’engagement et 52 % de distance parcourue sous assistance. C’est impressionnant et comme je vous l’expliquais dans cet article, Consumer Reports avait classé openpilot au-dessus de l’Autopilot de Tesla en 2020, mais aussi du Super Cruise de Cadillac et du Co-Pilot 360 de Ford, particulièrement sur l’engagement du conducteur et la facilité d’utilisation. Ce n’est pas pour rien.

Techniquement, la nouvelle version améliore aussi significativement la détection des véhicules à l’arrêt grâce au modèle Space Lab 2 comme vous pouvez le voir ici. La team a validé ça en conditions réelles et via une batterie de 25 scénarios CARLA pour les arrêts et redémarrages.

Ils ont aussi réduit le nombre de frames ignorées à basse vitesse de 78 % à 52 %, ce qui se traduit concrètement par une bien meilleure gestion des embouteillages et des situations de stop-and-go. Je vous rassure, la vidéo est accélérée, ça ne fait pas flipper comme ça en vrai.

Donc pour tous ceux qui ont déjà pesté contre leur régulateur adaptatif qui ne comprend rien aux bouchons et se tape de grosses accélérations pour rien, c’est une vraie avancée.

Autre détail qui change la sensation au volant c’est l’estimation en direct du délai latéral qui est désormais utilisée, ce qui affine la précision de la direction selon les modèles de voitures. Et côté pipeline d’entraînement, ils ont aussi validé l’usage d’images compressées pour coller au simulateur de Machine Learning. Par exemple, le modèle Vegan Filet-o-Fish est entraîné directement sur ces frames compressées, sans dégradation notable de la politique de conduite.

Ils ont également réécrit leur parser CAN en Python avec détection automatique de la fréquence des messages, économisant 700 lignes de code par véhicule supporté. Du coup, plus de 300 modèles de voitures sont maintenant officiellement supportés, incluant les Honda Accord, CR-V et Pilot 2023-25, ainsi que l’Acura MDX 2025, et c’est devenu beaucoup plus simple d’en ajouter de nouvelles.

Puis ils ont aussi mis à jour leur dataset commaCarSegments qui contient maintenant 3000 heures de données CAN provenant de leur flotte de 20 000 utilisateurs dans le monde. Même les constructeurs n’ont pas accès à ces données CAN de production, donc je vous laisse imaginer, ça vaut de l’or !

Côté usage au quotidien, deux petites nouveautés bien pratiques. Ils ont ajouté un outil de clipping pour partager des extraits vidéo de conduite dans le channel #driving-feedback de leur Discord, et l’option d’enregistrer l’audio de la dashcam, désactivée par défaut et maintenant activable en un tapotement de doigt.

Bref, comme d’hab avec comma, ils ne sont pas dans le marketing, ils sont dans l’amélioration continue et surtout ils livrent du concret !

N’oubliez pas quand même qu’openpilot reste un système d’aide à la conduite de niveau 2 donc le conducteur reste responsable, mains sur le volant et yeux sur la route.

Maintenant, comme je vous le disais en intro, leur objectif pour la vraie 1.0 c’est de faire passer le contrôle longitudinal end-to-end du mode Experimental au mode Chill, autrement dit le rendre suffisamment fiable pour être utilisé par défaut. On verra s’ils y parviennent mais je suis confiant.

Qui sait, ça passera peut-être par un upgrade du matériel à un moment avec un nouveau comma 4 ?

En tout cas, cette jolie version 0.10 n’est pas qu’une simple mise à jour. C’est vraiment, je trouve, la validation d’une approche totalement différente de la conduite autonome qui mise sur l’apprentissage end-to-end, des générateurs de data virtuelles pour l’entraînement et bien sûr tout ça en open source !

C’est beau non ? Les constructeurs automobiles feraient bien d’en prendre de la graine.

Source

Si vous êtes dans le reverse engineering sur mobile et que vous ne connaissez pas encore Frida CodeShare, préparez-vous à découvrir votre nouveau terrain de jeu préféré les amis ! Faut imaginer un GitHub ultra spécialisé où les développeurs du monde entier déposent leurs meilleurs scripts Frida, prêts à être utilisés en une seule commande.

Comme ça, au lieu de réinventer la roue à chaque fois que vous voulez contourner un SSL pinning ou tracer des appels de méthodes, vous piochez directement dans une bibliothèque de scripts éprouvés.

Pour ceux qui découvrent, Frida est un toolkit d’instrumentation dynamique qui vous permet d’injecter du JavaScript dans n’importe quel processus, sans avoir besoin du code source. Ça fonctionne sur Windows, macOS, Linux, iOS, Android, et même FreeBSD. Le truc magique, c’est que Frida injecte QuickJS directement dans le processus cible, ce qui vous donne un accès total à la mémoire et la possibilité de hooker des fonctions natives.

Frida a la capacité à fonctionner dans trois modes différents : Injected (le plus courant), Embedded et Preloaded via le Frida Gadget. Sur Android, vous pouvez même l’utiliser sans être root en utilisant frida-gadget sur une app debuggable.

Pour iOS, l’histoire est un peu différente mais tout aussi cool car Frida supporte les modes jailed et jailbroken, avec évidemment plus de possibilités sur un appareil jailbreaké. Sur iOS 13 et plus récent, vous pouvez par exemple utiliser Frida en mode jailed avec des builds debuggables, ce qui ouvre la porte à l’analyse même sur des appareils non-jailbreakés.

Les bindings disponibles montrent aussi la versatilité de l’outil puisque vous pouvez l’utiliser depuis Node.js (npm), Python (PyPI), Swift, .NET, Qt/Qml, Go, ou directement via l’API C. Cette diversité permet à chaque développeur de travailler dans son environnement préféré.

Maintenant, ce qui rend CodeShare puissant, c’est en réalité son intégration native avec Frida. Pas besoin de télécharger manuellement les scripts, il suffit de lancer :

frida --codeshare <author>/<script-name> -f <package-name>.

Par exemple, pour bypasser le SSL pinning d’une app Android, vous tapez juste

frida --codeshare akabe1/frida-multiple-unpinning -f com.example.app -U

… et boom, vous interceptez le trafic HTTPS comme si de rien n’était.

Les scripts les plus populaires sur la plateforme sont tous les scripts de contournement SSL (un véritable cauchemar pour les développeurs qui pensent que leur certificate pinning est inviolable) mais aussi les scripts pour observer toutes les méthodes d’une classe spécifique, tracer les appels JNI, ou même désactiver la vérification TLS de Flutter, et j’en passe…

Pour les développeurs Android, l’écosystème est particulièrement riche. Le dépot frida-codeshare-scripts rassemble par exemple une collection impressionnante de scripts utiles, organisés par catégorie. Vous y trouvez par exemple des scripts pour dumper la mémoire avec Fridump (python3 fridump.py -U -o memory_dump <app-name>), tracer les accès au système de fichiers, ou même observer les communications réseau en temps réel.

D’autres outils complémentaires enrichissent encore plus l’écosystème. Je pense par exemple à Medusa, un excellent wrapper Frida avancé avec une base de données de scripts utiles exécutables par commande. Il y a aussi des interfaces web user-friendly qui rendent le filtrage et l’exécution de scripts beaucoup plus simple qu’en ligne de commande. Et frida-rust maintient des sessions persistantes avec les applications, augmentant la vitesse d’exécution de plusieurs fois par rapport aux méthodes traditionnelles.

Maintenant, si vous voulez commencer avec CodeShare, le plus simple est de cloner quelques repositories de référence comme hyugogirubato/Frida-CodeShare. Chaque script est dans son propre répertoire avec un README qui explique son utilisation. C’est parfait pour comprendre comment les scripts fonctionnent et les adapter à vos besoins spécifiques.

Bref, je trouve que cette histoire de CodeShare sont vraiment cool car ça démocratise le reverse engineering en plus de faire gagner du temps. Plus besoin d’être un expert en assembleur ARM pour analyser une app Android par exemple.

Alors moi ça m’a surpris, mais en ce moment, en première position des apps gratuites sur mobile (aux US), bien devant ChatGPT et Gmail, trône une petite app baptisée Focus Friend.

Il s’agit de l’œuvre de Hank Green, un YouTubeur connu pour ses vidéos éducatives et ses analyses pointues. Sauf que là, ce n’est pas de la science mais plutôt une app pour aider les gens comme moi à rester concentrés plus de 5 min.

Tout a commencé lors d’un dîner en janvier 2024 entre Hank Green et Bria Sullivan, développeuse derrière Honey B Games. Tous les deux cherchaient une alternative pour soutenir les créateurs sans passer par le merchandising classique et Sullivan a proposé une app type Pomodoro, et Green a alors imaginé le haricot tricoteur. Et un an et demi de développement plus tard, leur side project explose les compteurs de partout !

Alors comment un simple haricot qui fait du tricot peut-il battre l’IA la plus hypée de la planète ? La réponse se cache dans une approche psychologique qui exploite notre empathie naturelle.

Car dans Focus Friend, quand vous lancez un timer, votre petit haricot commence à tricoter tranquillou, et si vous touchez votre téléphone, il arrête son ouvrage et devient tout triste. C’est ma belle-sœur mais en haricot, quoi… Pas d’IA générative, pas de machine learning, juste un haricot animé qui veut finir ses chaussettes.

Ce qui rend Focus Friend efficace, c’est surtout son approche du “body doubling virtuel”. Pour ceux qui ne connaissent pas, le body doubling c’est une technique où la simple présence de quelqu’un qui travaille à côté de vous augmente votre productivité. Sauf qu’ici, votre collègue c’est un haricot virtuel. Et bizarrement, ça marche. Cette app est notamment bien adaptée pour les personnes avec un TDAH qui ont besoin de cette présence externe pour maintenir leur concentration.

Pour l’avoir essayé depuis peu, je trouve que la gamification qu’il ont mis en place est pensée différemment des apps de productivité classiques que j’ai pu tester auparavant. Car au lieu de vous bombarder de stats et de graphiques, Focus Friend mise sur l’accumulation simple. Plus vous restez concentré, plus votre haricot tricote de chaussettes. Et ensuite ces chaussettes virtuelles s’échangent contre du mobilier pour décorer la chambre de votre ami le péteux. Par exemple, un tapis basique demande environ trois sessions de 30 minutes. C’est lent, c’est progressif, et c’est exactement ce dont on a besoin. Y’a pas de gratification instantanée, mais plutôt une construction patiente qui reflète nos vrais progrès IRL et ça c’est cool.

Techniquement, c’est donc un Pomodoro classique (25 minutes de travail, 5 de pause), un peu de musique funky en arrière-plan, et une intégration avec Screen Time sur iOS pour bloquer les apps distrayantes. La version payante à 1,99$/mois débloques les écharpes (qui rapportent trois fois plus), des skins personnalisés incluant Hank et John Green eux-mêmes, et la possibilité de choisir quelles apps bloquer spécifiquement.

Pas de pubs, pas de tracking invasif, juste vous et votre haricot magique. Ça fonctionne carrément mieux que les méthodes punitives classiques. Par contre, si vous avez l’empathie d’une chaise ou d’un parpaing, ça ne fonctionnera pas sur vous.

Alors est ce que cette buzz app du moment va réussir à garder sa première place face aux mastodontes de l’IA ? Je ne pense as mais son succès montre qu’il y a un vrai besoin… On galère tous à maintenir une attention continue et ça fait chier. Alors si ce genre d’app peut nous aider, pourquoi pas essayer ?

Puis vous aurez une belle collection de chaussettes à force…

• A télécharger ici pour Android

• Et ici pour iOS

Source

Vous pensiez que votre Roomba à 200 balles c’était déjà le futur ? Alors attendez de voir ce que fait le robot Figure 02 dans la vraie vie !!! Vous allez voir, il est plus doué que vous et moi :)

Brett Adcock, le fondateur de Figure AI, vient en effet de partager une vidéo qui a fait le tour du web. On y voit son robot humanoïde de 1,67 mètre et 70 kilos manipuler un panier à linge et charger tranquillou billou une machine à laver. Sa fille ajoute même un petit vêtement au panier pendant la démo, prouvant ainsi que la scène n’est pas entièrement pré-programmée.

Ça se passe chez lui, dans sa propre maison et pas dans un labo aseptisé avec des conditions parfaites, et c’est pour ça que ça marche et que pour une fois, on a envie d’y croire ! Ce robot fonctionne grâce à Helix, une IA maison que Figure AI décrit comme un “modèle généraliste vision-langage-action”.

Lors de sa dernière apparition, il ne pouvait contrôler que le haut du corps et déplacer des objets et là, y’a eu de gros progrès puisqu’on le voit faire des mouvements de plus en plus précis. Mais attention, rangez-moi tout de suite cette carte bleue bande de victimes du capitalisme car ces robots ne sont pas encore prêts pour une utilisation domestique généralisée. C’est une question de sécurité notamment car un robot de 70 kilos en métal et plastique, ça peut faire des dégâts si ça se plante ou si ça se rebelle comme dans le film iRobot.

D’ailleurs, Figure AI n’est pas seul sur ce créneau puisque le R2D3 d’OpenDroids, dévoilé au CES 2025, excelle aussi dans les tâches multiples et variées comme la vaisselle, le pliage de linge… etc. vous voyez l’idée. Prix estimé ? 60 000 dollars. Aïe. Je vais commencer à mettre un peu de blé de côté parce que le jour où il en vendent un qui peut tirer des troncs et creuser des trous, c’est sûr, je flambe le Livret A !!

On est en 2025, et le marché mondial des robots domestiques dépasse déjà les 20 milliards de dollars. Rien qu’en France, plus d’un foyer sur trois possède déjà au moins un robot domestique. J’imagine que ce sont principalement des robots aspirateurs, des robots de piscine et des robots tondeuse…

En tout cas, le cabinet Morgan Stanley pousse la projection un milliard de robots humanoïdes en service dans le monde en 2050. C’est fou, ça représente quand même un marché de 5 000 milliards de dollars. Je sais pas si c’est une bonne idée niveau écologie tout ça…

Mais revenons à notre petit Figure 02. La société, valorisée à 2,6 milliards de dollars après avoir levé 675 millions auprès de géants comme NVIDIA et Intel, prévoit des tests alpha dans de vraies maisons d’ici fin 2025. Brett Adcock, si tu me lis, JE SUIS VOLONTAIRE POUR LES BETA TESTS MON POTE !!!

De son côté, Boston Dynamics perfectionne également son Atlas dont je vous ai déjà parlé, 1X Technologies développe son Neo Gamma spécifiquement pour les tâches domestiques, et les Chinois d’Unitree proposent leurs G1 et H1 à partir de 13 000 euros. Tesla promet même un prix sous les 20 000 dollars pour son Optimus, mais bon, le marché pour les robots faisant des saluts nazis est un peu restreint depuis 1945.

Voilà, en tout cas, j’ai trouvé cette vidéo d’Adcock très cool car pour une fois, on voit un de ces robots dans la vie réelle, en train de faire un vrai truc et pas juste une démo dans un environnement contrôlé.

Et ça, ça change tout.

Source

Si vous planifiez un voyage aux États-Unis, vous savez surement déjà que vos téléphones et ordinateurs peuvent être fouillés par les douanes américaines. Sauf que depuis quelques jours, les chiffres relatifs à ces fouilles sont sortis. Entre avril et juin 2025, le CBP (Customs and Border Protection) a inspecté 14 899 appareils électroniques, ce qui est un record qui dépasse de 16,7% le précédent pic de début 2022.

C’est d’ailleurs en progression constante, puisqu’en 2015, seulement 8 503 appareils étaient contrôlés sur une année entière, en 2023, on était déjà à plus de 41 000, et maintenant, on atteint près de 15 000 en un seul trimestre.

Derrière ces stats se cache une réalité juridique complexe baptisée la “border search exception” qui permet aux agents fédéraux de fouiller sans mandat ni suspicion raisonnable. Hé oui, le 4e Amendement, qui protège normalement les américains contre les perquisitions injustifiées, s’efface dans cette zone de quelques miles autour des frontières, y compris dans les aéroports.

Pour les non-citoyens américains, c’est simple, refuser de donner son mot de passe peut signifier un refus d’entrée sur le territoire. Tous les voyageurs étrangers, même avec un visa valide, peuvent ainsi être refoulés en un claquement de doigt. Par contre, les citoyens américains ne peuvent pas être empêchés d’entrer dans leur pays, mais leurs appareils peuvent être confisqués durant des semaines, voire des mois.

C’est pas un pays de zinzins quand même ?

L’ACLU soulève un point intéressant qui est que le vrai problème, c’est l’effet paralysant que cela a sur tous les voyageurs. Car même si elle est statistiquement rare (moins de 0,01% des 420 millions de voyageurs annuels), cette possibilité influence le comportement de millions de personnes.

Perso, j’attendrais que Trump parte et que les américains se détendent un peu du slip avant de remettre les pieds là bas. D’ailleurs le tourisme s’est bien cassé la gueule à cause de Donald. C’est dommage quand même..

Côté technique, les agents distinguent deux types de fouilles. La “recherche basique” se fait sur place et consiste en un agent qui parcourt vos photos, messages, applications…etc. Et la “recherche avancée” ou “forensique” implique l’envoi de l’appareil vers des laboratoires spécialisés pour récupérer fichiers supprimés, historiques chiffrés et données protégées par mot de passe. Notez que cette seconde option nécessite théoriquement une “suspicion raisonnable” d’activité criminelle, mais bon, ça reste au bon vouloir de l’agent des douanes qui vous contrôlera.

Le 5e Amendement protège les droits des américains de ne pas révéler verbalement leur mot de passe, mais les tribunaux permettent souvent aux agents de vous contraindre à déverrouiller votre téléphone avec votre empreinte ou votre visage. D’où l’astuce répandue qui consiste à désactiver Face ID et Touch ID avant d’arriver à la frontière.

Les experts en sécurité recommandent plusieurs stratégies. J’avais moi-même fait un article sur le sujet il y a quelques temps. En gros, faut utiliser un téléphone de voyage avec données minimales, mais pas trop épuré pour éviter les soupçons. Transférer temporairement photos et fichiers sensibles vers le cloud, puis les supprimer localement. Et bien sûr désinstaller les réseaux sociaux avant le voyage. Perso, d’ordinaire, j’opte pour un achat de smartphone pas cher qui me servira juste pour le quotidien là bas. C’est un peu relou mais bon, après une fois la frontière passée, il est toujours possible de réinstaller d’autres app ou d’aller voir ses emails via un VPN.

Une nuance importante de tout ce bordel, c’est surtout que depuis 2017, la politique du CBP interdit officiellement l’accès aux données stockées dans le cloud. Les agents ne peuvent fouiller que ce qui est physiquement présent sur l’appareil. Emails, messages et posts sur serveurs distants restent donc théoriquement protégés, mais si vous gardez des copies locales de ça sur votre appareil, c’est mort.

Et puis il y a aussi l’imprécision des “circonstances atténuantes” qui permettent de garder un appareil plus de cinq jours. On a eu le cas y’a pas longtemps avec un chercheur français qui s’est vu refuser l’entrée après découverte de messages critiques envers Trump sur son téléphone. Ces cas illustrent l’arbitraire potentiel du système et leur amour de tout ce qui est liberté d’opinion et d’expression…

Heureusement, au Canada, la situation reste plus mesurée puisque seulement 0,007% des voyageurs ont vu leurs appareils inspectés entre 2017 et 2024, pour un volume de seulement 38% de ces fouilles qui ont permis effectivement de prouver des violations douanières ou d’immigration, justifiant selon les autorités cette “mesure exceptionnelle mais très efficace”.

Et pour les journalistes et les avocats, la protection reste floue… En effet, le CBP mentionne des “limitations” pour tout ce qui est informations professionnelles protégées, mais sans détailler lesquelles ni comment elles s’appliquent concrètement. Donc méfiance les amis, car Oncle Sam est très curieux en ce moment…

Source

Le bidouilleurs et leur capacité à détourner littéralement n’importe quoi pour y faire tourner DOOM, perso j’adore ! Et là, Aaron Christophel vient de franchir un nouveau cap en transformant une station de charge Anker Prime (lien affilié) en console de jeu. Oui, vous allez pouvoir joueur sur votre chargeur entre deux sessions de recharge.

L’histoire commence par une découverte intéressante… En bon hacker, Christophel analyse la station Anker Prime qu’il vient d’acheter et réalise que le hardware embarqué est bien plus costaud que prévu. Sous le capot, on trouve un ESP32-C3 pour le Bluetooth, mais surtout un microcontrôleur ARM Synwit SWM341RET7 cadencé à 150 MHz, accompagné de 16 Mo de flash et 8 Mo de RAM. Pour un simple chargeur, c’est du luxe !

Et puis il y a l’écran ! Et quel écran puisqu’il fait 200×480 pixels. C’est pas énorme, c’est vrai mais LARGEMENT suffisant pour afficher les couloirs de la base Martienne et les affreux démons pixelisés. Et le meilleur dans tout ça c’est qu’A’aucune modification hardware n’est nécessaire. Christophel a simplement chargé son code et hop, DOOM tourne.

Mais comment on joue sur un chargeur, me direz-vous ? Eh bien, c’est tout l’art de cette prouesse. Pour cela, le développeur utilise la molette rotative de la station comme contrôleur principal. On pousse pour avancer, on tourne pour se diriger, et on appuie pour tirer. C’est pas le summum de l’ergonomie, mais ça fonctionne ! Les contrôles sont surprenamment jouables, même si naviguer dans les niveaux demande un certain temps d’adaptation.

Techniquement, le jeu tourne de manière fluide, mais Christophel a dû faire quelques compromis. Le mode plein écran s’avère trop gourmand pour le processeur, et globalement l’expérience reste “un peu bancale” selon ses propres mots. Mais franchement, quand on voit DOOM tourner sur une station de charge, on va pas chipoter sur la fluidité.

Bref, un appareil de plus dans la longue liste des portages de DOOM sur des bidoules improbables. Christophel n’en est d’ailleurs pas à son coup d’essai puisqu’il avait déjà fait tourner le jeu sur une brosse à dents électrique. Entre les calculatrices, les réfrigérateurs connectés, les PDF et maintenant les chargeurs, on se demande s’il existe encore un appareil électronique incapable de faire tourner ce chef-d’œuvre de 1993.

Et ce qu’on découvre aussi c’est que cette station Anker n’est pas qu’un bête chargeur… c’est un petit ordinateur déguisé, avec suffisamment de ressources pour faire tourner des applications complexes. Christophel l’explique d’ailleurs très bien sur Mastodon : “Le MCU interne SWM34S est juste excellent ! 8 Mo de RAM + 16 Mo de flash directement mappés en mémoire, ça déchire.”

Alors si un simple chargeur peut faire tourner DOOM, qu’est-ce qui nous empêche d’imaginer des fonctionnalités plus poussées ? Par exemple, un chargeur qui affiche vos mails, votre météo, qui sert de hub domotique ? Ou qui se fait infecter par un virus dont l’objectif est de le faire exploser ?

Une fois encore, la seule limite des hackers c’est l’imagination. Et visiblement, Aaron Christophel n’en manque pas. Maintenant, reste à savoir quel sera le prochain appareil à rejoindre la grande famille des supports DOOM ???

Source

Le 27 juin 2017, vers 10h30 du matin, j’étais tranquillement en train de prendre mon café quand j’ai vu les premières alertes sur Twitter.

Des entreprises ukrainiennes signalaient des attaques de malwares massives. Au début, j’ai pensé “encore un ransomware, rien de nouveau sous le soleil” puis au bout de quelques heures, j’ai compris qu’on était face à quelque chose de totalement différent. Ce n’était pas un ransomware. C’était une arme de destruction qui allait coûter plus de 10 milliards de dollars à l’économie mondiale.

Et le plus fou dans tout ça c’est que ce malware ne réclamait que 300 dollars de rançon. Une misère comparée aux dégâts. Mais c’est justement là que résidait le piège : NotPetya n’était pas fait pour gagner de l’argent. Il était fait pour détruire.

Voici donc aujourd’hui l’histoire de la cyberattaque la plus dévastatrice de tous les temps, et comment un serveur situé au Ghana a miraculeusement sauvé l’une des plus grandes entreprises du monde.

Pour comprendre NotPetya, il faut d’abord comprendre le contexte. Et entre nous, c’est pas joli joli. Depuis 2014, l’Ukraine et la Russie sont en conflit. Pas seulement sur le terrain avec l’annexion de la Crimée et la guerre dans le Donbass, mais aussi dans le cyberespace. Les hackers russes, et plus particulièrement un groupe appelé Sandworm (on y reviendra), mènent une guerre d’usure numérique contre l’Ukraine.

En décembre 2015, a lieu la première frappe majeure : BlackEnergy. Ce malware coupe l’électricité à 230 000 Ukrainiens en plein hiver. C’est la première fois dans l’histoire qu’une cyberattaque réussit à éteindre un réseau électrique. Les hackers ont pris le contrôle des systèmes SCADA, ouvert les disjoncteurs à distance, et même effacé les systèmes pour empêcher un redémarrage rapide. Bon gros niveau déjà !

Un an plus tard, en décembre 2016, rebelote. Cette fois avec un malware encore plus sophistiqué : Industroyer (aussi appelé CrashOverride). Une sous-station électrique au nord de Kiev est touchée. L’attaque est plus limitée mais le message est clair : on peut vous plonger dans le noir quand on veut. Et le pire, c’est que d’après les experts qui l’ont étudié, Industroyer était conçu pour détruire physiquement l’équipement électrique, pas juste l’éteindre.

Ces attaques, c’est l’œuvre du groupe Sandworm, aussi connu sous le nom d’APT44. Ces mecs, c’est l’élite du hacking russe, rattachés à l’unité 74455 du GRU, le renseignement militaire. Leur nom vient du roman de science-fiction “Dune” de Frank Herbert car dans le livre, les vers des sables sont des créatures énormes qui vivent sous le désert et peuvent surgir n’importe où pour dévorer leur proie. Exactement comme ce groupe de hackers. Un peu chelou comme référence, mais efficace !

Sandworm, ce ne sont donc pas des script kiddies qui glandouillent dans leur garage. Ces types ont développé certains des malwares les plus sophistiqués jamais vus, ils sont patients, méthodiques, et surtout, ils ont les moyens d’un État derrière eux. Et leur mission numéro 1, c’est de déstabiliser l’Ukraine par tous les moyens numériques possibles. Du coup, ils ne vont pas se gêner.

Mais en 2017, ils vont passer à la vitesse supérieure. Leur nouvelle cible c’est l’économie ukrainienne dans son ensemble et pour ça, ils vont infecter un logiciel que tout le monde utilise déjà. Une sacrée idée !

Voici, voilà M.E.Doc. Si vous faites du business en Ukraine, vous connaissez forcément M.E.Doc. C’est LE logiciel de comptabilité et de déclaration fiscale du pays. Développé par une petite entreprise familiale appelée Linkos Group (anciennement Intellect Service, créée en 1990), il est utilisé par environ 80% des entreprises ukrainiennes. C’est simple, sans M.E.Doc, vous ne pouvez pas payer vos impôts en Ukraine. C’est un peu l’équivalent ukrainien de TurboTax, mais en version obligatoire pour tout le monde.

La société derrière M.E.Doc, c’est l’histoire typique d’une PME qui a réussi. Créée par la famille Linnik, dirigée aujourd’hui par Olesya Linnik qui a repris l’affaire familiale, elle emploie une poignée de développeurs et domine son marché de niche. Le problème c’est que la sécurité informatique, c’est pas vraiment leur priorité. Et ça, ça craint…

…. car les hackers de Sandworm l’ont bien compris. Pourquoi attaquer des milliers d’entreprises individuellement quand on peut toutes les infecter d’un coup via leur point commun ? C’est exactement ce qu’ils vont faire.

Les experts estiment que Sandworm a compromis les serveurs de M.E.Doc dès avril 2017, peut-être même avant. Pendant des semaines, voire des mois, ils ont eu un accès total aux serveurs de mise à jour du logiciel, attendant le bon moment pour frapper.

Et ils vont prendre tout leur temps.

Le 18 mai 2017, premier test… ils distribuent le ransomware XData via une mise à jour M.E.Doc. L’attaque est limitée mais elle fonctionne. Les hackers savent maintenant qu’ils peuvent weaponiser le système de mise à jour. Bref, la voie royale est ouverte.

Mais XData, c’était juste l’échauffement. Pour le plat principal, ils préparent quelque chose de beaucoup plus destructeur. Ils prennent le code de Petya, un ransomware qui existe depuis 2016, et le modifient complètement. Le nouveau malware ressemble à Petya, mais c’est un loup déguisé en mouton. Une sacrée transformation !

Le 27 juin 2017, c’est le jour J. Pourquoi cette date ? Ce n’est pas un hasard car le 28 juin, c’est le Jour de la Constitution en Ukraine, un jour férié. Beaucoup d’entreprises ferment pour un long week-end et les hackers savent que les équipes IT seront réduites, les réactions plus lentes. Du coup, c’est un timing parfait pour foutre encore plus de bordel.

À 10h30 du matin, heure de Kiev, une mise à jour M.E.Doc est poussée. Elle contient NotPetya et en quelques secondes, le malware commence à se répandre. Et là, c’est l’apocalypse numérique qui commence et je n’exagère pas.

NotPetya est une merveille d’ingénierie malveillante. D’abord, il utilise EternalBlue, le même exploit de la NSA qui avait permis à WannaCry de se propager un mois plus tôt. Si votre Windows n’est pas patché avec MS17-010 (et beaucoup ne le sont pas), NotPetya peut alors sauter d’une machine à l’autre sans aucune interaction humaine. Ça se répand automatiquement…

Mais les créateurs de NotPetya ont appris de WannaCry. Ils savent que beaucoup ont maintenant installé le patch MS17-010, alors ils ajoutent une deuxième méthode de propagation encore plus redoutable : Mimikatz. Cet outil extrait les mots de passe depuis la mémoire Windows et une fois qu’il a des identifiants valides, NotPetya utilise PsExec et WMI, des outils d’administration Windows totalement légitimes, pour se propager latéralement. C’est diabolique !

D’ailleurs, le génie maléfique de NotPetya, c’est qu’il se fait passer pour un ransomware. L’écran affiche un message typique : “Vos fichiers ont été chiffrés, payez 300$ en Bitcoin pour récupérer vos données.” et y’a même une adresse email de contact : [email protected]. Tout semble normal pour un ransomware classique. Mais c’est du pipeau total !!

NotPetya ne chiffre pas vraiment vos fichiers de manière récupérable. Il détruit le Master Boot Record (MBR) de votre disque dur, puis chiffre la Master File Table (MFT). En gros, il rend votre ordinateur complètement inutilisable. Même si vous payez, vos données sont perdues pour toujours. C’est pas un ransomware, c’est un wiper déguisé.

Pire encore, le système de paiement est complètement bidon. L’adresse email est rapidement suspendue par Posteo, ce qui fait que même si vous vouliez payer, vous ne pourriez pas. C’est là qu’on comprend que NotPetya n’est pas un ransomware. C’est un destructeur pur et dur, déguisé en ransomware pour tromper son monde.

Mais revenons un peu à l’Ukraine qui est frappée de plein fouet. En quelques minutes, c’est le chaos total. Le métro de Kiev s’arrête, les distributeurs de billets ne fonctionnent plus. L’aéroport de Boryspil, le plus grand du pays, doit passer aux opérations manuelles. Les employés écrivent les informations de vol sur des tableaux blancs. C’est du délire !

Oschadbank, l’une des plus grandes banques d’Ukraine, voit alors son réseau entier s’effondrer en 45 secondes. 45 secondes ! Le temps de prendre une gorgée de café et tout est détruit. Les employés regardent, impuissants, leurs écrans afficher le faux message de rançon. C’est terrifiant.

Les ministères, les médias, les entreprises d’énergie, tout le monde est touché. C’est comme si quelqu’un avait appuyé sur un interrupteur géant et éteint l’infrastructure tech du pays. Les chaînes de télévision passent en mode urgence, diffusant depuis des studios de fortune. Même la centrale de Tchernobyl perd ses systèmes de monitoring des radiations !

Mais NotPetya ne s’arrête pas aux frontières ukrainiennes car le malware se propage via les connexions VPN des multinationales. Ainsi, si votre filiale ukrainienne est infectée et connectée au réseau global, c’est fini. NotPetya déferle sur vos systèmes comme un tsunami numérique.

Et c’est exactement ce qui arrive à Maersk, le géant danois du transport qui a une petite présence en Ukraine. Un tout petit bureau à Odessa avec une poignée d’employés. L’un d’eux a M.E.Doc installé pour gérer la comptabilité locale. Ça représente une seule machine. Un seul point d’entrée. Mais c’est suffisant pour foutre en l’air l’une des plus grandes entreprises au monde.

À Copenhague, au siège de Maersk, les premiers signes apparaissent vers midi. Des employés voient des messages étranges : “Réparation du système de fichiers sur C:”. Puis les ordinateurs commencent à s’éteindre… Un par un, puis par dizaines, puis par centaines. L’infection se propage à la vitesse de la lumière.

Un employé de l’IT raconte : “On a vu l’infection se propager en temps réel sur nos écrans de monitoring. C’était comme regarder un feu de forêt numérique. On essayait de couper les connexions, d’isoler les segments, mais c’était trop rapide. En une heure, tout était foutu

Maersk, c’est pas n’importe quelle entreprise. C’est le plus grand armateur du monde. Ils gèrent 76 ports, plus de 800 navires, et transportent environ 20% du commerce maritime mondial. Quand Maersk s’arrête, c’est une partie significative du commerce mondial qui s’arrête. Rien que ça !

Les terminaux portuaires de Maersk dans le monde entier tombent les uns après les autres. Los Angeles, Rotterdam, Mumbai… Les grues s’arrêtent, les camions font la queue, les conteneurs s’empilent. Un porte-conteneurs arrive en moyenne toutes les 15 minutes dans un port Maersk. Chaque navire transporte 10 000 à 20 000 conteneurs. Faites le calcul… il faut traiter un conteneur toutes les 6 centièmes de seconde. Sans ordinateurs, c’est totalement impossible.

À Rotterdam, le plus grand port d’Europe, les opérateurs regardent, impuissants, leurs écrans devenir noirs. Les systèmes qui dirigent les grues automatisées, qui trackent les conteneurs, qui gèrent les douanes, tout est mort. Des milliers de camions commencent à former des files interminables. C’est le chaos logistique total.

Mais Maersk a un problème encore plus grave. NotPetya n’a pas seulement détruit leurs ordinateurs de bureau. Il a annihilé leur infrastructure IT centrale. Les 150 contrôleurs de domaine Active Directory de Maersk, répartis dans le monde entier, sont tous détruits. Simultanément. Du jamais vu !

Pour les non-techniciens, imaginez Active Directory comme l’annuaire téléphonique géant de l’entreprise. Il gère qui peut se connecter, qui a accès à quoi, comment les ordinateurs se parlent entre eux. Sans Active Directory, votre réseau d’entreprise n’existe plus. C’est comme si on avait détruit tous les panneaux de signalisation, toutes les cartes, tous les GPS d’un pays en même temps.

Le pire c’est que ces contrôleurs de domaine de Maersk étaient configurés pour se synchroniser entre eux. En théorie, c’est une bonne idée car si l’un tombe, les autres prennent le relais. Mais en pratique, ça signifie que quand NotPetya en infecte un, il les infecte tous. La redondance censée protéger l’entreprise devient alors le vecteur de sa destruction.

Et c’est là qu’intervient le miracle du Ghana. Dans le chaos de la reconstruction, les équipes IT de Maersk font l’inventaire des dégâts. 4 000 serveurs détruits. 45 000 PC inutilisables. 150 contrôleurs de domaine annihilés. Ils cherchent désespérément une sauvegarde, n’importe quoi pour reconstruire.

Et puis, quelqu’un mentionne le Ghana. Maersk a des bureaux à Accra, la capitale. Par un coup de chance incroyable, ce bureau avait subi une panne de courant le matin du 27 juin. Le contrôleur de domaine local présent là bas était offline quand NotPetya a frappé. C’est une simple panne d’électricité qui sauve une entreprise de 60 milliards de dollars !

Un employé se souvient : “Quand on a réalisé ce qu’on avait, c’était comme trouver le Saint Graal. Un contrôleur de domaine intact. Le seul sur 150. Notre ticket de retour à la vie.” Franchement, on peut dire qu’ils ont eu du bol !

Mais le serveur est au Ghana, et les données doivent être rappatriées au Royaume-Uni, plus exactement au QG IT de Maersk à Maidenhead. Commence alors une course contre la montre digne d’un film d’action.

Le responsable de Maersk en Afrique de l’Ouest, basé au Ghana, prend personnellement le disque dur du serveur. Mais problème ! Il n’y a pas de vol direct Ghana-Londres. Il doit d’abord voler vers Lagos, au Nigeria et de là, il prend un vol pour Londres, puis un taxi jusqu’à Maidenhead. Une véritable course de relais avec plusieurs centaines de gigaoctets de données critiques dans un bagage à main.

Pendant ce temps, à Maidenhead, c’est l’état de guerre. Maersk a mobilisé des centaines d’employés et fait appel à Deloitte pour la reconstruction. Ils ont commandé des milliers de nouveaux ordinateurs. Les fournisseurs sont en rupture de stock tellement la demande est massive. Apple, Dell, HP… tout le monde mobilise ses stocks.

L’ambiance est surréaliste. Des développeurs dorment sous leur bureau. La cantine est ouverte 24/7. Des équipes entières sont mobilisées juste pour déballer et configurer les nouveaux PC. C’est la plus grande opération de récupération IT de l’histoire. Et on peut dire qu’ils y mettent les moyens !

Alors quand le disque dur du Ghana arrive enfin, c’est l’euphorie !! Les équipes peuvent commencer à reconstruire leur Active Directory. Mais c’est juste le début. Il faut réinstaller 45 000 PC, 4 000 serveurs, reconfigurer des milliers d’applications. Un travail de titan !

Pendant 10 jours, Maersk opère en mode complètement dégradé. Les employés utilisent WhatsApp sur leurs téléphones personnels pour communiquer. Les opérations portuaires se font avec papier et crayon. Des employés en Inde reçoivent des appels de collègues européens qui dictent des commandes par téléphone. C’est du bricolage.

Et dans les ports, c’est un chaos créatif car à certains endroits, on ressort des vieux ordinateurs des années 90 qui ne peuvent pas être infectés par NotPetya. Ailleurs, on installe des versions piratées de Windows sur des machines personnelles. Tout est bon pour faire bouger les conteneurs. C’est la nécessité qui commande !

Le coût pour Maersk ? Entre 250 et 300 millions de dollars. Mais ils ont eu de la chance car sans le serveur du Ghana, ça aurait pu être bien pire. Certains experts estiment qu’une reconstruction complète depuis zéro aurait pris des mois et coûté des milliards. Bref, merci la panne de courant ghanéenne !

Bon, Maersk n’est pas la seule victime de poids. Merck, le géant pharmaceutique américain, est également frappé de plein fouet. NotPetya détruit leurs systèmes de production, de recherche, de vente. Des usines qui produisent des vaccins vitaux doivent s’arrêter. Pas terrible pour la santé publique…

Merck aussi avait une filiale en Ukraine qui utilisait M.E.Doc. Une petite opération locale qui devient la porte d’entrée pour une catastrophe globale. Les dégâts sont estimés à 870 millions de dollars. On n’est pas loin du milliard et Merck doit jeter des lots entiers de vaccins parce que les systèmes de contrôle qualité sont détruits. Impossible de garantir que les vaccins ont été produits selon les normes sans les données informatiques. Des patients dans le monde entier subissent des retards pour leurs traitements. L’impact humain de cette cyberattaque est énorme.

FedEx aussi morfle sévère via sa filiale TNT Express. Les systèmes de TNT sont tellement détruits et certaines données ne seront jamais récupérées. Des colis sont perdus, les clients sont furieux et FedEx annonce 400 millions de dollars de pertes. Ça fait cher le paquet !

Le PDG de FedEx déclare lors d’une conférence : “On pensait que TNT était bien protégée. Ils avaient des sauvegardes, des plans de récupération. Mais NotPetya a tout détruit, y compris les sauvegardes. C’était comme si une bombe nucléaire avait explosé dans nos systèmes.” Ça résume bien la situation…

Mondelez, le fabricant des biscuits Oreo et du chocolat Cadbury, perd également 188 millions. Leurs lignes de production s’arrêtent, les commandes ne peuvent plus être traitées. Dans certaines usines, on revient aux bons de commande papier des années 80. Retour vers le futur, version cauchemar !

Saint-Gobain, le géant français des matériaux de construction, lui aussi encaisse 384 millions de pertes. Leur PDG raconte : “On a dû couper notre réseau mondial en morceaux pour empêcher la propagation. C’était comme amputer des membres pour sauver le corps.” Métaphore pas très joyeuse, un peu gore, mais très parlante.

Au total, les experts estiment les dégâts de NotPetya à plus de 10 milliards de dollars. Dix. Milliards. Pour un malware distribué via un obscur logiciel de comptabilité ukrainien. C’est la démonstration terrifiante de l’interconnexion de notre économie mondiale. Vous connaissez l’effet papillon ? Eh bien là, c’est l’effet tsunami !

Mais alors qui est derrière NotPetya ? Et bien comme je vous le disais, les indices pointent tous vers la Russie. Le timing (juste avant un jour férié ukrainien), la méthode (via un logiciel spécifiquement ukrainien), les victimes (principalement l’Ukraine), tout colle. C’est du travail de pro, avec un petit côté amateur dans les dégâts collatéraux.

En février 2018, les États-Unis et le Royaume-Uni accusent alors officiellement la Russie. Plus précisément, ils pointent du doigt le GRU et notre vieille connaissance, le groupe Sandworm. La même unité 74455 qui avait attaqué le réseau électrique ukrainien. Des incorrigibles récidivistes, ces gens-là !

Et le 19 octobre 2020, le département de Justice américain va plus loin. Il inculpe six officiers du GRU pour NotPetya et d’autres cyberattaques. Parmi eux : Yuriy Andrienko, Sergey Detistov, Pavel Frolov, Anatoliy Kovalev, Artem Ochichenko et Petr Pliskin. Le département d’État offre même 10 millions de dollars de récompense pour des infos sur ces gars.

Ces noms ne vous disent probablement rien, mais pour les experts en cybersécurité, c’est du lourd car ce sont les cerveaux derrière certaines des cyberattaques les plus dévastatrices de la décennie : BlackEnergy, Industroyer, NotPetya, Olympic Destroyer… Une belle collection ! Bien sûr, ils sont en Russie, intouchables, mais au moins, on a des noms sur les visages du chaos.

L’accusation révèle alors des détails fascinants. Les hackers ont utilisé des comptes mail ProtonMail pour coordonner l’attaque. Ils ont loué des serveurs avec des bitcoins volés. Ils ont même fait des erreurs opérationnelles, comme utiliser la même infrastructure pour différentes attaques, ce qui a permis de les relier. Hé oui, personne n’est parfait, même les hackers d’élite !

Mais revenons à M.E.Doc. Après l’attaque, les autorités ukrainiennes débarquent dans les bureaux de Linkos Group et ce qu’ils y trouvent est affligeant. Les serveurs n’ont pas été mis à jour depuis au moins 4 ans et les patches de sécurité sont inexistants. La police ukrainienne est furieuse. Le chef de la cyberpolice, Serhiy Demedyuk, déclare même : “Ils savaient que leur système était compromis mais n’ont rien fait. Si c’est confirmé, il y aura des poursuites.” La négligence de cette petite entreprise familiale a coûté des milliards à l’économie mondiale. Une responsabilité un peu lourde à porter…

Les propriétaires de M.E.Doc, la famille Linnik, sont dans le déni total. Olesya Linnik, la directrice, insiste : “Notre logiciel n’est pas infecté. Nous l’avons vérifié 100 fois.” et même face aux preuves accablantes, ils refusent d’accepter leur responsabilité. Du déni de niveau professionnel !

Finalement, sous la pression, ils finissent par admettre que leurs serveurs ont été compromis dès avril 2017, mais le mal est fait et surtout la confiance est brisée. De nombreuses entreprises ukrainiennes cherchent des alternatives, mais c’est compliqué car M.E.Doc est tellement intégré au système fiscal ukrainien qu’il est presque impossible de s’en passer.

Avec. NotPetya, c’est la première fois qu’une cyberattaque cause des dommages collatéraux massifs à l’échelle mondiale. Les Russes visaient l’Ukraine, mais ont touché le monde entier. Totalement incontrôlable surtout que les implications sont énormes. Si un logiciel de comptabilité ukrainien peut paralyser des géants mondiaux, qu’est-ce qui empêche d’autres acteurs de faire pareil ? Combien d’autres M.E.Doc sont en sommeil, attendant d’être exploités ?

Suite à NotPetya, la réponse de l’industrie a été mitigée. Certaines entreprises ont renforcé leur sécurité, segmenté leurs réseaux, amélioré leurs sauvegardes. D’autres ont juste croisé les doigts en espérant ne pas être les prochaines. C’est de l’Autruche-Sec : la tête dans le sable et on verra bien…

L’affaire des assurances est aussi particulièrement intéressante car beaucoup de victimes de NotPetya avaient des cyber-assurances. Mais les assureurs ont invoqué la clause d’exclusion des “actes de guerre” avec comme argument que NotPetya était une attaque d’État, donc pas couverte. Ceux là, ils ne veulent jamais payer et après ils s’étonnent que tout le monde les détestent. Bref…

Merck a dû se battre pendant des années devant les tribunaux et en 2022, ils ont finalement gagné car le juge a estimé que la clause d’exclusion ne s’appliquait pas aux cyberattaques. C’est un précédent majeur qui redéfinit ce qu’est un acte de guerre au 21e siècle. Il fallait y penser ! Et Mondelez a eu moins de chance car leur assureur, Zurich, a refusé de payer en invoquant la même clause. L’affaire est toujours en cours avec des milliards de dollars sont en jeu. À suivre…

Pour l’Ukraine, NotPetya est une blessure qui ne guérit pas facilement. Mais les Ukrainiens sont résilients et ils ont appris de leurs erreurs. Depuis NotPetya, l’Ukraine est devenue un véritable laboratoire de la cyberguerre. Ils ont renforcé leurs défenses, créé de nouvelles unités cyber, développé une expertise unique. Ainsi, quand la Russie a lancé son invasion totale en 2022, l’Ukraine était mieux préparée sur le front numérique.

Sandworm, de son côté, n’a pas chômé. Ils sont derrière la plupart des cyberattaques majeures contre l’Ukraine depuis 2022 : Industroyer2, HermeticWiper, et d’autres joyeusetés, mais ils n’ont jamais réussi à reproduire l’impact de NotPetya. Les défenses se sont améliorées, les entreprises sont plus prudentes. Tout le monde apprend de ses erreurs !

Je pense qu’avec NotPetya, les hackers ont probablement été surpris par leur propre succès. Ils voulaient s’attaquer à l’Ukraine, et pas paralyser Maersk ou Merck… mais une fois lâché, leur bébé était totalement incontrôlable. C’est le problème avec les armes numériques… elles ne s’arrêtent pas à la frontière, surtout que le vent numérique, c’est pas facile à prévoir !

Les experts estiment que NotPetya a infecté plus de 300 000 ordinateurs dans 150 pays et aujourd’hui, ce malware reste une référence dans le monde de la cybersécurité. C’est le “plus jamais ça” de l’industrie. Quoiqu’il en soit, cette histoire du serveur du Ghana reste ma préférée, car dans toute cette sophistication technologique, c’est une simple panne de courant qui a permis de sauver Maersk.

On a construit des systèmes d’une complexité inimaginable, interconnectés à l’échelle planétaire, on pensait les contrôler, mais NotPetya a montré notre vulnérabilité fondamentale. Alors la prochaine fois que vous avez la flemme de faire une mise à jour, n’oubliez pas NotPetya.

À bon entendeur, salut !

Sources : Wikipedia - 2017 Ukraine ransomware attacks, US Department of Justice - Six Russian GRU Officers Charged, Microsoft Security Blog - New ransomware, old techniques, Control Engineering - How NotPetya Took Down Maersk, Phishing for Answers - How Ghana Saved a Global Conglomerate, MITRE ATT&CK - Sandworm Team

Il y a quelque chose de profondément ancré dans notre psyché collective concernant l’écran bleu de la mort, le fameux BSOD ! Cette teinte de bleu si particulière, ce code d’erreur cryptique, ce QR code mystérieux apparu dans les dernières versions de Windows… Pour certains, c’est un traumatisme. Pour d’autres, c’est devenu un art. BSoDMaker appartient clairement à cette seconde catégorie.

L’idée de transformer le symbole ultime de la frustration informatique en outil créatif est géniale, car combien de fois avez-vous vu ce fameux écran bleu apparaître au pire moment possible ? Alors si au lieu de le subir, vous pouviez le créer, le personnaliser, le transformer en œuvre d’art numérique ou en super blague ?

BSoDMaker vous permet exactement de faire ça. Vous cliquez sur n’importe quel texte de l’écran pour le modifier, comme ça vous pouvez le message d’erreur classique par votre propre texte humoristique. Ou alors changer le stop code en quelque chose de plus créatif. Et même le QR code est personnalisable, ce qui ouvre des possibilités infinies ^^.

Le plus beau dans tout ça, c’est que l’outil génère une image JPG en Full HD que vous pouvez ensuite télécharger directement pour en faire un fond d’écran surprise pour le PC d’un collègue, l’intégrer à un support de formation pour expliquer les erreurs Windows sans faire crasher de vraies machines, ou même l’utiliser comme création artistique pour illustrer un article sur les bugs chelous.

Il existe bien sûr plusieurs générateurs de BSOD, mais BSoDMaker est full web et hyper simple à utiliser. C’est juste une page web. Y’a aussi des sites comme FakeBSOD.com qui proposent des approches différentes avec détection automatique de l’OS, mais BSoDMaker mise sur la personnalisation totale.

Le mode plein écran est également redoutable pour les pranks. Vous laissez l’onglet ouvert en fullscreen sur un PC, vous cachez la barre des tâches, et y’a plus qu’à observe la panique s’installer. A utiliser bien sûr avec parcimonie et bienveillance (NOOOON !! SANS PITIÉ !!).

Voilà, je trouve que ce truc est une forme d’humour tech qui reconnaît nos traumas collectifs tout en les transformant en quelque chose de fun et ludique.

Donc à tester ici !!

Merci à Letsar pour la découverte !

Je me souviens bien du feeling de ces après midi collé devant la NES et plus tard la SNES… C’était une époque où je notais des cheat codes sur des bouts de papiers, et où je testais les Trucs & Astuces du magazine Club Nintendo…

Et si j’évoque cet age d’or aujourd’hui, c’est parce que RetroAssembly vient de créer quelque chose qui va encore plus faire vibrer votre corde nostalgique tout en résolvant tous ces petits tracas du passé.

RetroAssembly, c’est ce qu’on appelle une station de retrogaming personnelle qui tient dans un onglet de navigateur. Pas d’installation, pas de configuration compliquée, juste votre collection de jeux rétro accessible depuis n’importe quel appareil. Vous verrez qu’après avoir testé cette plateforme, vous aurez l’impression d’avoir retrouvé votre chambre de jeune gamer…

Le principe c’est d’y uploader vos ROMs (celles que vous possédez légalement bien sûr), et RetroAssembly s’occupe du reste. La plateforme reconnaît automatiquement vos jeux, récupère les jaquettes originales, et organise tout ça dans une interface qui respire bon le rétro sans tomber dans le kitsch. Plus de 20 systèmes sont supportés, de l’Atari 2600 à la Game Boy Advance, en passant par la Neo Geo Pocket et même la Virtual Boy (oui, cette console que Nintendo préfère oublier).

Y’a même une synchro cloud intégrée, comme ça, vous pouvez commencer une partie de Super Metroid sur votre PC au bureau (pendant la pause déjeuner évidemment), et vous la reprenez exactement où vous l’aviez laissée sur votre tablette le soir. Plus besoin de refaire trois fois le même niveau parce que vous avez changé d’appareil et pour les perfectionnistes, la fonction rewind est disponible sur certains émulateurs comme ça en appuyant sur la touche R, vous remonterez le temps comme Marty McFly, pour corriger cette erreur stupide qui vous a fait perdre votre dernière vie.

La technologie d’émulation sur les navigateurs web a considérablement évolué ces dernières années et RetroAssembly, propulsé par Nostalgist.js, une bibliothèque JavaScript qui fait des miracles en matière d’émulation, en est la preuve vivante. Je regrette juste ce “bug” où quand on lance un jeu, y’a une demande pour activer la webcam… De ce que j’ai compris, quand RetroArch est compilé en Emscripten (pour sa version web), il continue quand même d’initialiser ses capacités audio, et doit donc vérifier la disponibilité du microphone. Et cela déclenche alors automatiquement la demande de permission webcam dans Firefox, même si le jeu n’utilise pas cette fonctionnalité.

Notez que l’interface supporte aussi bien le clavier que les manettes, avec une navigation spatiale qui permet de se passer complètement de la souris. Et pour ceux qui jouent sur mobile ou qui veulent retrouver les sensations tactiles d’antan, un contrôleur virtuel apparaît même à l’écran. Faudrait que je le teste avec une vraie manette mais au clavier, parfois c’est pas fou et je galère un peu à mettre ma pièce de Tetris dans la bonne position.

Ah et truc cool, y’a aussi la possibilité d’ajouter des shaders visuels rétro pour recréer l’effet scanlines des vieux téléviseurs cathodiques.

Dans le même esprit que mon test de GAM.ONL, ce type de plateforme full web c’est vraiment l’avenir du retrogaming accessible à tous et RetroAssembly va même encore plus loin en vous permettant de l’auto-héberger via un Docker pour ceux qui veulent garder un contrôle total sur leur collection.

Maintenant, pour essayer RetroAssembly, deux options s’offrent à vous. Soit vous optez pour la version hébergée sur retroassembly.com (recommandée pour commencer) ou vous partez sur l’auto-hébergement si vous êtes du genre à préférer garder vos data et mettre les mains dans le cambouis. Dans les deux cas, le projet étant en phase de développement actif, attendez-vous à voir régulièrement de nouvelles fonctionnalités apparaître !

Voilàc’est, je trouve une belle façon de continuer à jouer, depuis n’importe où, à tous ces vieux jeu sans devoir racheter des dizaines de consoles et de centaines de cartouches (ah si, les cartouches on a dit qu’il fallait les posséder pour les ROMs originales, c’est vrai… ^^).

Merci à Lorenper pour la découverte !

Vous cliquez sur ce qui semble être un bouton parfaitement normal sur un site web tout à fait normal… Sauf qu’en réalité, vous venez de donner accès à tous ce qui est stocké dans votre gestionnaire de mots de passe. C’est exactement ce que permet une nouvelle technique de clickjacking découverte par le chercheur Marek Tóth et qui affecte potentiellement 40 millions d’utilisateurs dans le monde.

Si vous utilisez 1Password, Bitwarden, LastPass, Enpass, iCloud Passwords ou LogMeOnce, mauvaise nouvelle : ils sont tous vulnérables. En fait, sur les 11 gestionnaires de mots de passe testés, tous présentaient cette faille. Certains ont déjà patché (Dashlane, Keeper, NordPass, ProtonPass et RoboForm), mais pour les autres, c’est toujours open bar pour les hackers.

Selon l’analyse de Marek Tóth, les attaquants exploitent la façon dont les extensions de navigateur injectent leurs éléments dans les pages web. Ils créent une couche invisible par-dessus les boutons du gestionnaire de mots de passe et quand vous pensez cliquer sur un élément tout à fait innocent de la page, vous activez en réalité l’auto-remplissage (autofill) de votre gestionnaire.

Un seul clic suffit. Les pirates peuvent alors récupérer vos identifiants de connexion, vos codes de double authentification, vos numéros de carte bancaire avec le code de sécurité, et même dans certains cas, détourner vos passkeys. Le tout sans que vous ne vous rendiez compte de quoi que ce soit.

Voici une démo avec le piège :

Vous n’avez rien vu ?

Alors regardez cette vidéo maintenant :

D’après BleepingComputer, les réactions des entreprises concernées sont… décevantes. 1Password a classé le rapport comme “hors périmètre”. LastPass l’a marqué comme “informatif”, ce qui en langage corporate signifie “on s’en fout”. LogMeOnce n’a même pas répondu aux chercheurs. Seul Bitwarden affirme avoir corrigé le problème dans la version 2025.8.0, mais les tests montrent que ce n’est pas totalement le cas.

Ce qui est vraiment dommage, c’est que cette vulnérabilité était évitable. Les gestionnaires remplissent automatiquement les identifiants non seulement sur le domaine principal, mais aussi sur tous les sous-domaines donc si un pirate trouve une faille XSS sur n’importe quel sous-domaine d’un site, il peut voler tous vos identifiants stockés pour ce site.

Socket, une entreprise de cybersécurité, a vérifié les résultats et confirme l’ampleur du problème. Les chercheurs ont découvert que 6 gestionnaires sur 9 pouvaient divulguer les détails de carte bancaire, 8 sur 10 les informations personnelles, et 10 sur 11 les identifiants de connexion.

Alors comment se protéger ? Première chose, désactivez l’autofill. Oui, c’est chiant, mais c’est le seul moyen efficace pour le moment. Utilisez le copier-coller pour vos mots de passe. Et sur les navigateurs basés sur Chromium (Chrome, Edge, Brave), configurez l’accès aux sites de vos extensions sur “Au clic” plutôt qu’automatique. Ça vous donne le contrôle sur quand l’extension peut interagir avec la page.

Pour les plus paranos (et on ne peut pas vous en vouloir), activez les demandes de confirmation avant chaque remplissage automatique si votre gestionnaire le permet. C’est une friction supplémentaire, mais au moins vous verrez quand quelque chose tente d’accéder à vos données.

Le plus con dans cette histoire c’est que les gestionnaires de mots de passe sont censés nous protéger, mais cette vulnérabilité transforme notre bouclier en talon d’Achille. Les développeurs veulent rendre leurs outils faciles à utiliser, ce qui est louable mais chaque raccourci pris est une porte potentielle pour les attaquants. Et quand les entreprises ignorent les rapports de sécurité parce qu’elles les jugent “hors périmètre”, ce sont les utilisateurs qui risquent gros…

Bref, attendant que tous les gestionnaires corrigent cette faille, restez vigilants. Un clic de trop et c’est toute votre vie qui peut basculer.

Vous avez déjà eu besoin d’éditer rapidement un fichier audio mais vous n’aviez pas Audacity sous la main ? Ou vous êtes sur un ordinateur où vous ne pouvez pas installer de logiciel ? Alors Wavacity va vous sauver la mise ! (Oui, je sais que vous avez lu Wawacity… lol. Et vous allez voir, ce sera comme ça jusqu’à la fin de cet article… ^^)

Wavacity est tout simplement un portage web d’Audacity qui tourne directement dans votre navigateur. Pas d’install, pas de téléchargement, vous ouvrez le site et vous éditez votre audio, et c’est tout !

Pour vous proposer cette merveille, les développeurs ont porté Audacity en WebAssembly, une technologie qui permet de faire tourner du code natif dans le navigateur. Du coup, ça permet de retrouver l’interface familière d’Audacity avec ses outils de découpage, de collage, d’effets et tout le toutim, mais dans un onglet de navigateur.

Il vous faudra évidemment un navigateur moderne qui supporte cette technologie. Chrome et Firefox sur desktop feront parfaitement l’affaire… Par contre, Safari c’est moins sûr selon les développeurs.

L’interface ressemble trait pour trait à Audacity, ce qui est rassurant si vous connaissez déjà le logiciel. Vous pouvez importer vos fichiers audio, les découper, appliquer des effets, réduire le bruit, faire du multi-pistes… Bref, tout ce qu’on attend d’un éditeur audio digne de ce nom.

Après y’a quand même quelques limitations par rapport à la version desktop d’Audacity. Vous ne pourrez pas par exemple installer des plugins VST ou d’autres extensions externes, ce qui me semble assez logique. Mais pour de l’édition de base et même avancée, ça fait largement le boulot.

Bref, c’est top quand un pote vous demande de lui couper un extrait audio et que vous n’avez pas envie de télécharger et installer Audacity juste pour ça. Ou quand vous êtes sur un ordi public, ou en déplacement, ou dans un environnement où vous n’avez pas de droits administrateur pour installer des outils.

Wavacity rejoint ainsi la famille grandissante des éditeurs audio web comme AudioMass que j’avais déjà testé. Chacun a ses avantages et ses inconvénients, donc à vous de voir lequel vous préférez. Moi perso, je suis plus Ableton Live, même si c’est pas sur le web. Les habitudes, que voulez-vous…

Le projet est open source sous licence GNU GPL v2, comme Audacity, et disponible sur GitHub. Les développeurs précisent bien qu’ils ne sont ni affiliés ni soutenus par l’équipe d’Audacity. C’est un projet indépendant.

Pour un outil de dépannage ou pour des éditions rapides, c’est exactement ce qu’il nous fallait. Et qui sait, les outils portables accessibles en ligne dans le navigateur, c’est peut-être l’avenir ?

Bon, si vous utilisez Plex Media Server pour organiser vos films, séries et musiques, il faut que vous sachiez un truc important : une vulnérabilité vient d’être découverte et heureusement corrigée. Et c’est du sérieux, donc vous allez lire cet article et ensuite filer mettre à jour votre Plex !

La vulnérabilité touche les versions 1.41.7.x à 1.42.0.x du Media Server donc si vous êtes sur une de ces versions, il faudra passer à la 1.42.1.10060 ou plus récente maintenant !! Pas demain, hein ! Maintenant.

Plex reste discret sur les détails techniques de cette faille, pas de CVE attribué pour l’instant, pas d’explications détaillées sur ce qui pouvait être exploité. Mais leur communication parle d’elle-même etont même averti directement leurs utilisateurs par email, ce qui est assez rare. Généralement, ils se contentent des notes de version.

Le bug a été signalée via leur programme de bug bounty, ce qui a permis à Plex de corriger le problème avant qu’il ne soit exploité dans la nature et pour mettre à jour, c’est simple comme bonjour. Soit vous passez par l’interface d’administration de votre serveur, soit vous téléchargez la dernière version sur le site officiel de Plex.

Dans les deux cas, ça prend cinq minutes.

En mars 2023, la CISA avait déjà signalé l’exploitation active d’une faille RCE vieille de trois ans (CVE-2020-5741) qui permettait l’exécution de code à distance. Cette faille avait notamment été utilisée dans l’attaque contre LastPass en 2022. Et en 2018, SEC Consult avait révélé plusieurs vulnérabilités incluant des attaques XXE permettant l’accès aux fichiers système et des élévations de privilèges.

C’est pourquoi le message de Plex est important : maintenez vos serveurs à jour car dans un environnement où nos bibliothèques multimédia sont souvent accessibles depuis l’extérieur, une faille de sécurité peut rapidement devenir problématique.

Mieux vaut être en sécurité que désolé, mes amis ! Pensez-y !

Source