Si vous avez un site web et que vos illustrations ressemblent comme sur mon site, à un joyeux bordel de screenshots pixelisés, de photos libres de droits et d'images IA plus ou moins réussies, y'a peut-être un moyen de donner une certaine cohérence visuelle à tout ça. L'outil s'appelle Dither , ça a été créé par Shpigford , et c'est un générateur de tramage vectoriel qui tourne directement dans Chrome, Firefox ou Safari, sans inscription ni installation.

L'interface de Dither avec ses réglages d'algorithme et de palette

Le principe est simple... Vous balancez un fichier JPEG ou PNG et hop, le moteur JavaScript le transforme en utilisant des algorithmes de dithering comme Bayer (en 2x2, 4x4 ou 8x8), du halftone, des lignes, des croix, des points ou encore des écailles.

Neuf algorithmes au total et ce qui est vraiment cool, c'est qu'il y a des palettes prédéfinies dont une palette Game Boy qui donne ce rendu vert olive mythique qu'on avait sur l'écran LCD 160x144 de la jolie brique de Nintendo. Y'a aussi du CGA et du Sepia pour ceux qui veulent varier les ambiances et pour le coup, ça envoie bien du rétro !

Pour les djeuns, sachez que le dithering c'est en fait cette vieille technique qui remonte aux années 70-80 permettant de simuler des dégradés quand on n'a que quelques teintes disponibles. En gros, au lieu d'un dégradé lisse en 16 millions de couleurs RGB, on place des petits points de 2 à 8 couleurs qui, vus de loin, donnent l'illusion d'un mélange. C'est exactement ce qu'on voyait sur les écrans CGA 320x200 des vieux PC IBM XT ou sur la Game Boy sortie en 1989.

L'intérêt d'un outil comme Dither, c'est qu'en plus de jouer avec les 9 algorithmes, vous pouvez régler pas mal de paramètres via l'interface. Par exemple, la taille des cellules en pixels (8px par défaut, mais j'ai trouvé que 12px donne un bon compromis lisibilité/esthétique sur des photos 1024x768), l'angle de rotation du motif à 45 degrés, l'échelle à 1.0, et même choisir entre cercle, carré ou diamant pour la forme du rendu.

Vous pouvez aussi partir d'un gradient linéaire, radial ou conique au lieu d'une image existante... pas mal pour générer des fonds d'écran rétro sur macOS ou Linux !

Et surtout, l'export se fait en SVG ou en PNG. Le SVG c'est super pratique si vous voulez intégrer le résultat dans un site web via une balise <img> sans perte de qualité, vu que c'est du vectoriel.

Par contre, attention, le mode Sepia a tendance à écraser les contrastes sur les photos sombres en dessous de 128 de luminosité moyenne... du coup préférez le mode B/W ou CGA sur ce type d'images.

Sachez aussi que les photos avec beaucoup de détails fins (genre une photo de foule ou un paysage urbain en 4000x3000) perdent carrément en lisibilité avec les petites cellules de 4px ou 8px. Montez la taille à 16px ou 32px dans ce cas, vous verrez, ça change tout.

Bon après, est-ce que je vais mettre toutes les images de mon site en mode pixel art tramé ? Non, clairement pas, car ça deviendrait monotone à force. Mais pour un projet perso, un portfolio, un zine en ligne ou même une série d'articles thématiques, ça peut donner un look uniforme sympa.

Bref, allez jeter un oeil, c'est gratuit et ça tourne dans le navigateur.

Merci à Lorenper pour la découverte !

ClamAV, tout le monde connaît. C'est le moteur antivirus open source qui tourne sur à peu près tous les serveurs mail de la planète. Sauf que côté bureau Linux, à part ClamTk qui commence à dater, les options pour le piloter avec une interface graphique sont plutôt limitées.

Heureusement, ClamUI vient corriger le tir avec une vraie application desktop qui se présente comme une interface GNOME native bien léchée pour scanner vos fichiers, gérer la quarantaine et garder un oeil sur la sécurité de votre bécane. Un petit

flatpak install flathub io.github.linx_systems.ClamUI

...et c'est réglé !

Bon, vous allez me dire "Un antivirus sous Linux, pour quoi faire ? Moi j'ai une vraie barbe, je bois de la chouffe cul-sec et suffit de pas installer n'importe quoi, c'est tout !!! Linux ça se mérite les moldus !" tout en embrassant vos biceps ramollis ^^.

Mais vous oubliez que si vous partagez des fichiers avec des machines Windows, si vous gérez un serveur de mails ou un NAS familial, scanner ce qui transite c'est pas du luxe. Et ClamUI rend la chose carrément accessible, là où avant fallait jongler avec des outils en ligne de commande comme ceux qu'on trouve dans les distributions d'analyse de malwares .

Côté fonctionnalités, c'est d'ailleurs plutôt complet ! L'appli détecte automatiquement les clés USB et disques externes quand vous les branchez, et peut les scanner direct sans que vous leviez le petit doigt (un peu comme CIRCLean sur Raspberry Pi , mais sans le matériel dédié). Y'a aussi l'intégration VirusTotal pour les fichiers véritablement louches (il faut juste une clé API gratuite), du coup vous pouvez croiser les résultats avec une soixantaine de moteurs de détection en un clic.

Une chose bien pensée aussi, c'est l'intégration dans les gestionnaires de fichiers comme Nautilus, Dolphin, Nemo... un clic droit sur n'importe quel répertoire et vous lancez un scan. Ça s'installe également dans le system tray avec des notifications en temps réel, genre "scan terminé, zéro menace détectée" ou "attention, fichier suspect déplacé en quarantaine".

Pour les bidouilleurs, ClamUI propose deux backends au choix, c'est à dire soit le daemon clamd, plutôt que clamscan en direct, parce que clamd garde les signatures en mémoire et scanne beaucoup plus vite. Mais si vous voulez pas d'un service qui tourne en permanence, clamscan fait le job. Vous pouvez aussi programmer des scans automatiques via systemd ou cron, donc même un vieux serveur Debian peut tourner en pilote automatique.

Y'a aussi une CLI complète derrière l'interface graphique, idéale pour l'intégrer à vos scripts. clamui scan, clamui quarantine, clamui profile, clamui status... tout sort en JSON si vous voulez scripter le truc. Les codes retour sont d'ailleurs très propres : 0 si c'est clean, 1 si y'a des menaces, 2 si erreur. "Èzé" comme dirait Booba ! De quoi intégrer ça dans un pipeline de vérification maison sans se prendre la tête !

Le projet est sous licence MIT, tourne avec Python 3.11+ et les sources sont sur GitHub .

Merci à Lorenper pour la découverte !

Un chercheur indépendant vient de présenter le 5500FP, un processeur qui ne fonctionne pas en binaire mais en ternaire. Là où nos puces actuelles raisonnent en 0 et 1, celui-ci ajoute un troisième état : le -1. Le tout tourne sur un FPGA classique, et c'est le premier matériel ternaire généraliste depuis les années 1960.

Trois états au lieu de deux

Nos processeurs fonctionnent tous en binaire : chaque bit vaut 0 ou 1. Le système ternaire, lui, remplace le bit par un trit, qui peut valoir -1, 0 ou +1. Sur le papier, un trit stocke environ 1,58 fois plus de données qu'un bit. L'idée n'est pas nouvelle : le célèbre informaticien Donald Knuth a décrit le système ternaire comme le plus élégant des systèmes numériques.

Dans les années 1950, une équipe de l'Université de Moscou avait construit le Setun, le premier ordinateur ternaire. Mais la technologie binaire a pris le dessus, et depuis les années 1960, plus personne n'avait fabriqué de matériel ternaire fonctionnel.

Le 5500FP, un processeur RISC à 24 trits

Claudio Lorenzo La Rosa, chercheur indépendant, a conçu le 5500FP : un processeur RISC de 24 trits qui fonctionne à 20 MHz sur un FPGA classique. Il dispose de 120 instructions et gère la synchronisation atomique en natif. La carte de développement est en open hardware.

Comme le Setun avant lui, le 5500FP simule la logique ternaire à partir de composants binaires : chaque trit est représenté par deux portes logiques. Ce n'est donc pas aussi efficace qu'un vrai circuit ternaire, mais ça a un avantage de taille : on peut le construire avec des composants disponibles dans le commerce, et il communique sans problème avec le reste du monde informatique, qui reste 100% binaire.

Pourquoi c'est intéressant ?

Le ternaire équilibré simplifie certaines opérations que le binaire gère mal. Les nombres négatifs, par exemple, se manipulent sans bit de signe dédié : il suffit d'inverser tous les trits. La représentation des chiffres est aussi plus compacte.

Mais bon, le 5500FP reste un prototype de recherche à 20 MHz, on est très loin d'un concurrent pour les puces que l'on trouve dans nos Mac ou nos iPhone. L'objectif de La Rosa est de passer à terme du FPGA au silicium, ce qui permettrait d'atteindre des fréquences bien plus élevées.

C'est le genre de projet qui rappelle que l'informatique aurait pu prendre un chemin totalement différent. Le binaire s'est imposé dans les années 1960 pour des raisons industrielles plus que scientifiques, et depuis, personne n'a vraiment remis en question ce choix.

Source : Zenodo

Les boîtiers KVM IP, c'est le genre de matos qu'on branche dans un rack et qu'on oublie dans un coin pendant des années. Hé bien va falloir vous souvenir de où vous les avez mis les copains parce que des chercheurs d'Eclypsium viennent de retourner de fond en comble 4 modèles populaires... et c'est pas joli joli. A l'intérieur il y on trouvé pas moins de 9 failles, dont une qui score à 9.8 sur 10 en gravité CVSS. Autant dire qu'on n'est plus dans le "petit bug rigolo oh oh" qui fait marrer votre admin sys.

Pour ceux qui débarquent, ces petits appareils dont l'acronyme veut dire "Kernel-based Virtual Machine", permettent de contrôler un serveur à distance via le réseau, clavier, souris et écran compris, comme si vous étiez physiquement devant la machine. Hyper pratique donc pour gérer un homelab ou une salle serveur, et ça coûte entre 50 et 200 euros sur Amazon. Du coup, y'en a partout !!!

Les chercheurs Paul Asadoorian et Reynaldo Vasquez Garcia ont passé au crible le GL-iNet Comet RM-1, le JetKVM, le Sipeed NanoKVM et l'Angeet ES3 et ça fait mal : authentification manquante sur des fonctions critiques, injection de commandes OS, ports UART qui filent un accès root direct, et des firmwares qu'on peut remplacer sans aucune vérification de signature. En gros, c'est la fête du slip côté sécu !

Le truc vraiment relou avec ce type d'appareils, c'est qu'en fait ils opèrent en dessous de votre OS. Pas d'antivirus, pas d'EDR, rien ne les voit. Un attaquant qui compromet votre switch de contrôle distant peut alors injecter des frappes clavier, booter depuis une clé USB (bye bye le chiffrement de disque et le Secure Boot), contourner l'écran de verrouillage, et planquer une backdoor directement dans le firmware du boîtier. Tout ça sans que votre machine ne bronche car un KVM compromis, c'est pas un stupide gadget IoT de plus sur votre réseau... Là je vous parle vraiment d'un accès direct et silencieux à toutes les machines qu'il contrôle.

Et c'est pas juste théorique puisqu'en 2025, des travailleurs nord-coréens infiltrés dans des boîtes américaines utilisaient des PiKVM et TinyPilot pour contrôler à distance les laptops d'entreprise depuis des "laptop farms". Voilà le genre de scénario qu'on rend possible quand le firmware n'a même pas de signature. C'est un peu comme ces caméras IoT bourrées de failles sur lesquelles un chercheur faisait tourner DOOM... sauf qu'ici, l'attaquant prend le contrôle de vos serveurs, pas d'un flux vidéo.

Et histoire de parfaire le tableau, côté correctifs c'est la jungle intégral !! JetKVM a patché en v0.5.4, Sipeed en v2.3.1, GL-iNet promet un fix en v1.8.1 beta et pour l'Angeet ES3, qui cumule les 2 failles les plus sévères (scores 9.8 et 8.8), y'a aucun correctif prévu. Oupsy oups...

Donc si vous avez un de ces boîtiers qui traîne, voilà ce qu'il faut faire. D'abord isolez-le sur un VLAN de management dédié (jamais sur le réseau principal), coupez-lui l'accès Internet, activez le MFA si c'est supporté, et vérifiez que votre appareil n'est pas exposé publiquement via un scan de votre IP. Mettez également le firmware à jour, sauf si c'est un Angeet... là, franchement, faut débrancher.

Bref, si vous avez un de ces machins dans votre rack, traitez-le comme un point d'accès critique... parce que c'en est un !

Source

Telnet en big 2026... bah oui ça existe encore les amis ! Et surtout c’est toujours aussi troué ! J'en veux pour preuve le daemon telnetd de GNU InetUtils qui vient de se prendre une 2ème faille critique en l’espace de deux mois, et celle-là, elle pique de fou !

Il s'agit de la CVE-2026-32746 , elle permet d’obtenir un shell root sur n’importe quel serveur Linux ou BSD exposant le port 23, et l’attaque se fait avant même que le prompt de login n’apparaisse. Pas besoin de mot de passe, pas besoin de compte. Juste une bonne vieille connexion TCP et un paquet SLC malformé et c'est parti mon kiki !

En fait, le bug se planque dans le handler SLC (Set Local Characters) du code source C de telnetd. Ainsi, quand un client ouvre une socket TCP sur le port 23, y’a une phase de négociation d’options avant l’authentification. L’attaquant envoie alors un paquet SLC contenant un nombre anormal d'octets, et ça déclenche un buffer overflow de type out-of-bounds write dans la mémoire du processus. Et boom, exécution de code arbitraire avec les privilèges root ! Et ça, ça donne un score CVSS de 9.8 sur 10 soit quasi la note maximale !

Toutes les versions de GNU InetUtils telnetd jusqu’à la 2.7 sont touchées. Toutes vulnérables, et pour le moment, aucun patch n’est disponible à ce jour. C’est la boîte de cybersécurité israélienne Dream, via son chercheur Adiel Sol, qui a découvert le pot aux roses et publié l’advisory le 11 mars dernier. Le patch officiel du mainteneur GNU est attendu pour le 1er avril (et non, c’est pas un poisson).

Ça craint surtout qu'il y a à peine 2 mois, une autre faille critique dans le même daemon, la CVE-2026-24061 (aussi scorée 9.8), avait déjà été divulguée. Et celle-là, la CISA l’a depuis ajoutée à son catalogue de vulnérabilités activement exploitées dans la nature. Ça me rappelle carrément la faille RCE dans cups-browsed l’an dernier... Ces vieux services réseau, c’est dingue comme ça revient régulièrement.

systemctl stop telnet.socket && systemctl disable telnet.socket

iptables -A INPUT -p tcp --dport 23 -j DROP

Google vient de rendre public Sashiko, un outil de revue de code par intelligence artificielle qui analyse automatiquement les correctifs soumis au noyau Linux. Sur un échantillon de 1 000 bugs récents, l'IA en a détecté 53 %, alors que les relecteurs humains les avaient tous ratés sans exception.

Comment fonctionne Sashiko

Sashiko a été développé en interne par l'équipe Linux de Google, sous la direction de Roman Gushchin. Le principe : chaque correctif envoyé sur la liste de diffusion du noyau Linux est automatiquement analysé par une IA qui cherche les erreurs, les incohérences et les bugs potentiels.

Sans surprise, c'est Gemini Pro 3.1 qui fait tourner l'outil, mais il est aussi capable de tourner avec d'autres modèles, comme Claude.

Ce projet s'appuie sur les recherches de Chris Mason, un développeur qui rédige des prompts de revue de code pour l'IA depuis fin 2025. Sashiko va encore plus loin, car il automatise l'intégralité du processus.

D'ailleurs, l'outil est open source et est hébergé sur GitHub. Son transfert vers la Linux Foundation est d'ailleurs en cours, et Google continue à financer l'infrastructure ainsi que les coûts d'usage de l'IA.

100 % des bugs détectés

Le chiffre qui retient l'attention, c'est que 100 % des bugs détectés par Sashiko avaient échappé aux développeurs humains. Sur les 1 000 correctifs récents qui portaient la mention de correction de bug, l'IA a repéré plus de la moitié des problèmes.

Le noyau Linux reçoit des milliers de contributions chaque mois, et les mainteneurs n'ont pas toujours le temps de tout vérifier avec la même rigueur. Sashiko ne remplace pas la relecture humaine, mais il ajoute une couche de vérification qui manquait.

L'interface web est accessible publiquement et couvre l'ensemble des soumissions envoyées à la liste de diffusion du noyau. Tout le monde peut consulter les analyses générées par l'IA.

Le noyau Linux, c'est la base d'Android, de Chrome OS, du cloud de Google, d'Amazon et de Microsoft, et d'à peu près tous les serveurs qui font tourner Internet.

Que Google investisse pour fiabiliser ce code avec de l'IA, c'est plutôt logique. Par contre, on imagine bien que certains développeurs vont tiquer à l'idée qu'une machine relise leur travail et pointe des erreurs qu'ils n'ont pas vues.

La question n'est pas de savoir si l'IA va remplacer les développeurs, mais plutôt combien de temps il faudra avant que ce genre d'outil devienne la norme dans tous les gros projets open source.

Source : Phoronix

Electronic Arts recrute un ingénieur senior pour adapter son système anti-triche Javelin aux processeurs ARM64. La priorité va aux PC Windows sur ARM, mais l'offre d'emploi mentionne aussi un futur support de Linux et de Proton. 

De quoi intéresser les joueurs sur Steam Deck et, pourquoi pas, sur Mac.

Un anti-triche qui arrive sur ARM

EA vient de publier une offre d'emploi pour un poste d'ingénieur senior anti-triche ARM64 au sein de son équipe SPEAR (Secure Product Engineering and Anti-Cheat Response). L'objectif principal : développer un driver natif ARM64 pour EA Javelin, le système anti-triche d'EA qui fonctionne au niveau du noyau du système d'exploitation.

La cible immédiate, ce sont les appareils Windows sur ARM, un segment qui prend de l'ampleur avec l'arrivée de consoles portables basées sur des puces ARM, et les futures puces Nvidia N1 et N1X qui se profilent dans le monde du PC portable.

Ce qui est intéressant, c'est une ligne un peu plus discrète dans l'offre d'emploi : le candidat devra "tracer une voie pour qu'EA Javelin supporte d'autres systèmes d'exploitation et matériels à l'avenir, comme Linux et Proton". C'est la couche de compatibilité de Valve qui permet de faire tourner des jeux Windows sur Linux, et donc sur le Steam Deck.

EA et Linux, une relation compliquée

Il faut quand même rappeler qu'EA a retiré le support Linux et Steam Deck d'Apex Legends fin 2024, en expliquant que la nature ouverte de Linux facilitait la triche. Du coup, des jeux comme Battlefield ou EA Sports FC ne fonctionnent tout simplement pas sur Linux.

Cette offre d'emploi va dans le sens inverse, ce qui est plutôt un bon signal, même si on parle bien d'un objectif à long terme et pas d'un lancement imminent.

EA n'est d'ailleurs pas le seul éditeur à avoir eu un rapport tendu avec Linux. Rockstar a coupé le support Linux de GTA V après avoir mis en place BattlEye, et Roblox a bloqué Wine complètement en 2023 avec son système Hyperion.

Le problème de fond reste le même : les anti-triche au niveau du noyau sont très difficiles à adapter sur Linux, où le système est par nature plus ouvert et plus personnalisable.

Un autre point d’intérêt est pour les joueurs Mac, qui pourraient suivre cette annonce de loin. Si EA finit par supporter Proton, ça pourrait aussi faciliter le fonctionnement de ses jeux via CrossOver ou le Game Porting Toolkit d'Apple, qui reposent sur la même base technique.

Bon maintenant attention, on parle ici d'un système de lutte contre la triche qui s'installe au niveau du noyau de votre système, ce qui pose forcément quelques questions de vie privée et de sécurité.

Source : Gaming on Linux

Niantic, le studio derrière Pokémon Go, a collecté plus de 30 milliards d'images prises par ses joueurs au fil des années.

Ces photos servent aujourd'hui à guider les robots livreurs de Coco Robotics dans les rues de Los Angeles, Chicago ou Helsinki, avec une précision au centimètre près. Les joueurs qui scannaient des statues pour gagner des récompenses, eux, n'en savaient pas grand-chose.

30 milliards de photos en jouant

Depuis le lancement de Pokémon Go, les joueurs arpentent les rues le téléphone à la main, en photographiant des monuments, des statues et des points d'intérêt. En 2020, Niantic a ajouté une fonction "Field Research" qui demandait aux joueurs de scanner des lieux réels avec leur caméra en échange de récompenses dans le jeu.

Le résultat : 30 milliards d'images accumulées au fil du temps, prises sous tous les angles, par tous les temps, à différentes heures de la journée. Niantic a utilisé tout ça pour entraîner son Visual Positioning System, un outil de navigation visuelle capable de localiser un appareil à quelques centimètres près rien qu'en analysant les bâtiments autour de lui.

Des robots livreurs au centimètre près

Niantic Spatial, la filiale dédiée, vient de s'associer à Coco Robotics, une startup qui déploie environ 1 000 petits robots livreurs à Los Angeles, Chicago, Jersey City, Miami et Helsinki. Ces robots transportent jusqu'à huit grandes pizzas ou quatre sacs de courses, et circulent sur les trottoirs.

Le GPS est peu fiable dans les zones urbaines denses, où les signaux rebondissent sur les immeubles, et c'est là que le VPS de Niantic change la donne : les robots se positionnent au centimètre près devant un restaurant ou une porte d'entrée, sans dépendre des satellites.

De Google à la livraison de pizzas

Niantic est née comme une équipe interne de Google spécialisée dans les données de localisation, avant de devenir un studio indépendant. La collecte d'images était mentionnée dans les conditions d'utilisation de Pokémon Go, mais personne ne lit ces pages.

Les joueurs qui scannaient des statues pour gagner des Poké Balls n'imaginaient probablement pas qu'ils construisaient une carte du monde pour des robots livreurs. Niantic parle d'une "carte vivante" qui s'améliore en continu, alimentée par ses millions de joueurs actifs.

C'est quand même un peu fort. Des millions de joueurs ont passé des heures à scanner des monuments et des trottoirs en pensant attraper des Pokémon, et en fait ils bossaient gratuitement pour entraîner des robots livreurs. 

Niantic avait prévu le coup depuis le début, l'air de rien, en transformant chaque partie en session de cartographie. C'est malin, mais on aimerait bien que les éditeurs de jeux soient un peu plus clairs quand ils transforment leurs joueurs en main-d'œuvre gratuite.

Source : PetaPixel

Un VPN gratuit, intégré direct dans Firefox, sans rien installer ça vous dit ??

Bah ça tombe bien car c'est ce que Mozilla nous balance avec la version 149 de son navigateur, qui débarquera le 24 mars, soit le LENDEMAIN de mon anniversaire 🥳 !! Et c'est pas juste un gadget marketing puisqu’ils offrent 50 Go de bande passante par mois, soit l'équivalent de 25 films en streaming SD, et qu'ils couvrent déjà la France, les États-Unis, l'Allemagne et le Royaume-Uni.

Leur intégration VPN route en fait tout le trafic de votre navigateur via un serveur proxy qui masque votre adresse IP et votre géolocalisation. Comme ça y'a pas besoin de télécharger une extension louche sur le store, puisque c'est natif. Depuis l'annonce, Mozilla nous a promis que ce service respectait ses principes en matière de protection des données, ce qui en langage courant veut dire qu'ils devraient faire un peu gaffe à nos données. On verra bien puisque les promesses n'engagent que ceux qui y croient mais bon, en général, ils respectent leurs paroles et leurs valeurs donc je leur ferais plutôt confiance sur le coup.

Par contre, 50 Go par mois, j'avoue c'est pas la fête du slip. Si vous streamez comme un gros cochon en HD tous les soirs, ça va fondre en une grosse semaine environ. Disons que ce VPN est plutôt dimensionné pour protéger votre navigation quotidienne, genre le petit Wi-Fi du café ou de l'hôtel. Et vous vous en doutez, y'aura un abonnement possible aussi mais les tarifs pour un éventuel plan "illimité" n'ont pas encore été annoncés.

L'autre grosse feature dans Firefox 149, c'est également le split view. Ça permet d'affichez deux pages côte à côte dans la même fenêtre ! Comme ça vous pouvez ouvrir Korben.info à gauche et pratiquer votre surf quotidien dans le panneau de droite. Je plaisante mais en tout cas, ça va m'éviter de jongler entre les onglets pour comparer deux trucs ou copier du texte d'un site à l'autre. ET OUI je sais, Vivaldi et Edge font ça depuis un moment déjà, mais moi je suis sous Firefox, donc c'est pour ça que je vous en parle. Parce que ça débarque enfin dans ma vraie life à moi !

Côté IA, je vous rappelle que Mozilla avait déjà ajouté un kill switch et des contrôles granulaires pour gérer chaque fonction IA individuellement et cette 149 pousse le truc encore plus loin puisque vous pouvez maintenant activer ou désactiver finement chaque brique, de la traduction automatique aux chatbots de la sidebar. Comme ça, vous pouvez garder ce qui vous sert en IA et vous virer le reste.

Y'a aussi Tab Notes qui arrive... C'est une fonctionnalité encore un peu expérimentale présente dans Firefox Labs, qui permet d'attacher des notes directement à vos onglets. Si comme moi, vvous faites de la veille sur macOS ou Linux avec 40 onglets ouverts et que vous voulez griffonner une remarque vite faire sur une page sans ouvrir un Notion ou équivalent à côté, c'est pas du luxe.

Mozilla bosse également sur Smart Window, un assistant contextuel qui affiche des définitions, des résumés d'articles ou des comparaisons de produits pendant votre navigation. J'sais pas trop si les gens vont utiliser ce truc... Moi j'suis pas certain en tout cas. Mais bon, pour le moment, c'est pas encore déployé, donc faudra patienter encore un peu avant de mettre la main dessus.

Et pour finir, le navigateur se refait une beauté. Nouvelles icônes, thèmes rafraîchis, et une mascotte toute neuve qui s'appelle Kit (Oui, le renard a un prénom maintenant !). Voilà les amis, la refonte complète des paramètres arrivera dans la Nightly à partir d'avril 2026 et rassurez vous les flippés, toutes les nouveautés IA resteront désactivées par défaut, comme pour la 148... faudra donc aller les activer à la main si vous en voulez.

Voilà, donc notez bien, Firefox 149 sort le 24 mars avec un VPN gratuit intégré nativement dans un navigateur ! On n'avait pas vu ça depuis Opera ! (lol)

Source

Settlers II, ce jeu de stratégie où vous passiez des heures à regarder vos petits bonhommes transporter des planches de bois sur des chemins de terre est quelque part, toujours vivant puisqu'il y a des devs qui bossent sur un jeu open source équivalent depuis 2001. Ça fait + de 24 ans et le résultat vaut carrément le coup d'œil.

Le projet s'appelle Widelands , c'est un jeu de stratégie en temps réel sous licence GPL-2.0, dispo sur Windows, macOS 11+ (j'ai dû le débloquer avec Sentinel comme d'hab) et Linux (AppImage, Flatpak, PPA Ubuntu). On y retrouve de la gestion de mines d'or et de fer, de la construction de scieries et de casernes en pierre, des chaînes de production complètes avec des forgerons qui tapent sur l'enclume, des bûcherons qui abattent des chênes et des fermiers qui récoltent du blé...etc. Tout pareil sur Settlers II donc sauf que là c'est gratuit, c'est libre, et ça tourne même sur des machines pas toutes jeunes.

Dans Widelands, vous avez 5 tribus jouables, les Barbarians, l'Empire, les Atlanteans, les Frisians et les Amazons, chacune avec ses bâtiments spécifiques et ses arbres de technologies. Y'a des campagnes solo avec des tutoriels intégrés, un mode multijoueur en ligne et un éditeur de cartes.

Sous le capot, c'est du C++ compilé avec CMake et du Lua pour le scripting des campagnes et de l'IA. Du coup si vous voulez bidouiller, hop vous clonez le repo depuis GitHub et vous suivez le guide de compilation du wiki (y'a des dépendances SDL2, Boost, ICU à installer avant). C'est pas forcément facile car le code source fait plusieurs centaines de milliers de lignes mais heureusement, y'a un système d'add-ons qui vous permettra d'installer des cartes et des mods sans toucher au compilateur, genre un Steam Workshop du pauvre (mais en mieux parce que c'est ouvert).

Screenshot

Et ce projet est bien vivant avec plusieurs commits par jour. La communauté discute sur IRC (#widelands sur LiberaChat) et sur Discord et fait amusant, l'équipe a officiellement refusé toutes les contributions générées par IA parce que ça pose notamment pas mal de soucis de copyright. Après pour un projet construit avec amour depuis deux décennies par des bénévoles en chair et en os, je trouve ça plutôt sain.

Voilà, si vous aimez les clones open source de jeux cultes , celui-là ça vaut le coup.

Bon jeu !

Proton vient de lancer Born Private, un programme qui permet aux parents de réserver une adresse mail chiffrée pour leur enfant dès la naissance. L'adresse reste verrouillée pendant 15 ans maximum, le temps que l'enfant soit en âge de s'en servir, sans aucune collecte de données entre-temps. Le tout pour un dollar symbolique, intégralement reversé à la Proton Foundation.

Un email chiffré dès la naissance

Les parents choisissent ici une adresse @proton.me pour leur enfant, versent un dollar minimum, et l'adresse est verrouillée pendant 15 ans. Pas de boîte de réception active, pas de collecte de données, pas de profilage publicitaire.

L'enfant n'existe tout simplement pas dans le système. Le jour venu, les parents transmettent un voucher sécurisé qui déverrouille le compte, et l'adresse devient un vrai compte Proton Mail avec chiffrement de bout en bout, protection anti-phishing et code open source vérifiable. Proton étant basé en Suisse, les données restent protégées par la législation helvétique, ce qui veut dire pas d'accès sans mandat.

71 % des enfants connectés avant 10 ans

Proton a mené une enquête auprès de 1 216 parents américains début 2026, et les résultats sont assez clairs. 32 % des enfants reçoivent un appareil connecté avant 5 ans, et 71 % en possèdent un avant 10 ans. Côté confiance, seulement 14 % des parents font vraiment confiance aux géants de la tech pour protéger les données de leurs enfants.

Et 63 % pensent que ces entreprises profitent des données des plus jeunes. Andy Yen, cofondateur et CEO de Proton, résume : "Nous avons été la première génération à devenir dépendante d'un internet basé sur la surveillance, mais la suivante n'est pas obligée de l'être."

Un film et un dollar

L'intégralité du dollar de réservation va à la Proton Foundation, l'actionnaire principal à but non lucratif de Proton. Pour le lancement, un court-métrage a été produit avec Uncommon Creative Studio et la réalisatrice Olivia de Camps, qui met en images le sentiment d'être observé et les profils fantômes que les grandes plateformes construisent autour des enfants. Vous pouvez le voir en cliquant ici .

Pour rappel, 43 % des mineurs possèdent déjà une adresse mail, et parmi eux, 74 % utilisent Gmail. Born Private arrive donc avant même que l'enfant ne commence à naviguer.

Réserver une adresse mail à la naissance de son gamin, ça sonne un peu comme réserver un nom de domaine dans les années 2000. C'est un coup de com malin de la part de Proton, mais il y a quand même un vrai sujet derrière : on laisse nos enfants débarquer sur des services qui monétisent leurs données avant même qu'ils sachent lire, et personne ne bronche.

Un dollar pour 15 ans, c'est symbolique, et ça a le mérite de poser la question au bon endroit. Bon maintenant, il faudra quand même voir comment Proton garantit la pérennité d'une adresse sur 15 ans, parce que dans la tech, 15 ans, c’est une éternité.

Source : Lbbonline

Google durcit le ton avec Android 17. La prochaine version de l'OS mobile va empêcher les applications non certifiées d'accéder aux services d'accessibilité, une API très puissante et régulièrement détournée par les malwares pour espionner les utilisateurs et vider des comptes bancaires.

Ce qui change avec Android 17

La nouveauté est apparue dans la Beta 2 d'Android 17, repérée la semaine dernière. Quand le mode Advanced Protection est activé, le système bloque automatiquement l'accès à l'API AccessibilityService pour toutes les apps qui ne sont pas de vrais outils d'accessibilité.

Seules les applications qui portent le marqueur technique isAccessibilityTool restent autorisées : lecteurs d'écran, outils de saisie vocale, systèmes d'entrée par contacteur et applications braille.

Les autres, et la liste est longue, sont mises de côté : antivirus, outils d'automatisation, assistants, nettoyeurs système, gestionnaires de mots de passe et lanceurs alternatifs.

Et si une de ces apps avait déjà l'autorisation, Android 17 la révoque automatiquement au moment où le mode Advanced Protection est activé. L'utilisateur ne peut pas non plus forcer l'accès manuellement tant que la protection est active.

Pourquoi c'est un vrai sujet ?

L'API AccessibilityService est l'une des plus sensibles d'Android. Elle permet de lire le contenu de l'écran, d'intercepter les frappes clavier, de cliquer sur des boutons à la place de l'utilisateur et d'accorder des autorisations sans que personne ne s'en rende compte.

Les malwares bancaires l'exploitent depuis des années pour voler des identifiants et vider des comptes. Google a longtemps fermé les yeux sur le problème, ou en tout cas laissé la porte grande ouverte. Avec ce mode, c'est un peu le retour à la raison.

Le mode Advanced Protection, lancé avec Android 16, regroupe aussi d'autres verrous : blocage du sideloading (l'installation d'apps en dehors du Play Store), restriction des transferts de données par USB et scan obligatoire via Google Play Protect.

Android 17 ajoute donc cette brique supplémentaire sur l'accessibilité. Côté développeurs, Google met à disposition une API AdvancedProtectionManager qui permet aux apps de détecter si le mode est actif et d'adapter leur comportement en conséquence.

On ne va pas se mentir, quand on utilise un iPhone, ce genre de problème ne se pose pas vraiment puisque iOS a toujours été bien plus restrictif sur ce que les apps peuvent faire en arrière-plan. Mais pour les utilisateurs Android, c'est une avancée qui était attendue depuis un moment. Le revers de la médaille, c'est que des apps tout à fait légitimes vont se retrouver bloquées.

Un émulateur de Dynamic Island comme dynamicSpot ne fonctionne plus avec le mode activé, et c'est le genre de petite frustration qui risque de pousser pas mal de monde à désactiver la protection. On espère que Google trouvera un juste milieu entre la sécurité et la flexibilité qui fait la force d'Android, en tout cas pour le moment ce n'est pas encore tout à fait ça.

Source : The Hacker News

Vous avez des vieilles caméras de surveillance chinoises qui prennent la poussière parce qu'il vous est impossible de trouver leur flux vidéo ? Y'a pas de RTSP, y'a pas de doc, y'a juste un pauvre port 80 ouvert et une app Android en Mandarin qui est périmée depuis 2021 ?

JE VIENS VOUS SAUVER LES ZAMIS ! Eh oui, grâce à Strix qui est capable de tester 102 787 patterns d'URL en 30 secondes et qui vous sort miraculeusement le bon flux vidéo qui marche, avec la config Frigate prête à être collée.

En fait, le principe est simple. Vous lancez un conteneur Docker, vous entrez l'IP de votre caméra et l'outil bombarde en parallèle toutes les URL connues pour ce type de matos. RTSP sur le port 554, MJPEG sur le 8080, snapshots JPEG sur le 80... et 30 à 60 secondes plus tard, vous avez la liste des flux qui répondent avec résolution, FPS et codec H.264 ou H.265.

L'installation tient en une ligne et l'interface web tourne sur le port 4567. Vous entrez l'IP, le login si besoin, et éventuellement le modèle de la caméra IP pour affiner la recherche. Après, même sans modèle, Strix se débrouille avec les 206 patterns les plus courants (sur les 102 787 de la base complète) + la découverte ONVIF . Du coup ça trouve un flux sur à peu près n'importe quoi, du Dahua au Foscam en passant par les marques fantômes d'AliExpress.

Un autre truc vraiment sympa aussi , c'est la génération de config. Vous collez votre fichier frigate.yml existant, même avec 500 caméras dedans, et l'outil ajoute proprement la 501ème sans rien casser ! Il configure automatiquement le flux HD 1080p pour l'enregistrement et le flux 640x480 pour la détection d'objets, le tout passant par go2rtc . Résultat, la conso CPU de Frigate peut carrément passer de 30% à 8%.

Et surtout, l'histoire derrière est assez dingue. Le dev derrière ce projet avait des vieux NVR chinois de 2016 qu'il voulait connecter à Frigate. Après 2 ans à tester toutes les URL possibles... rien. Snif... Tous les ports fermés sauf le 80. À vrai dire, ces machins ne parlaient même pas un protocole connu. Alors il a fini par faire tout ce que fait un vrai bidouilleur quand il est énervé : Sniffer le trafic de l'app Android avec Wireshark !

Et grâce à cela, il a découvert un truc baptisé BUBBLE, tellement obscur que ça n'existe nulle part sur Google ! Cela lui a permis de construire une base de 67 288 modèles issus de 3 636 marques, des Hikvision jusqu'aux trucs sans nom d'AliExpress.

Et quand y'a pas de RTSP du tout (ce qui arrive souvent avec le matos chinois pas cher), l'outil se rabat sur les snapshots JPEG et les convertit en vrai flux vidéo via FFmpeg. C'est pas aussi clean qu'un vrai stream H.264 (et ça saccade un peu à 10 FPS), mais c'est largement suffisant pour de la détection de personnes ou de bagnoles.

Après, sachez-le, ça ne marche qu'avec les caméras présentes sur votre réseau local. Les caméras cloud (Blink, Ring, Xiaomi) ne sont pas supportées. Et aussi, comme on n'est jamais trop prudent d'ailleurs, si vous branchez ce genre de vieux matos chinois, mettez-les dans un VLAN isolé sans accès Internet parce que côté sécurité, c'est la fête du slip sur ce genre de matos : Backdoors, mots de passe en clair sur le port 80, appels serveurs en Chine... va savoir ce qu'elles font quand personne ne regarde.

Strix a même tapé dans l'œil du développeur de Frigate lui-même, qui a invité l'auteur à soumettre une PR officielle pour l'intégrer dans la doc officielle. Eh ben quelle classe ! Ah et y'a aussi un add-on Home Assistant en beta si vous êtes branchés domotique (pas forcément stable, le soft sous Docker reste plus fiable). Strix est écrit en Go, sous licence MIT, y'a une image Docker de 80-90 Mo sur Alpine Linux, avec FFmpeg et FFprobe embarqués, et ça tourne comme un charme sur AMD64 comme sur ARM64 (votre Raspberry Pi 4 suffit).

Bref, allez tester ça, car y'a clairement de quoi sauver pas mal de matos de la poubelle !

Vous connaissez cette sensation bizarre quand un personnage de jeu vidéo est presque réaliste, mais que quelque chose cloche ? Les yeux morts, la peau en plastique, le sourire figé comme un masque en silicone... Hé bien ce phénomène, c'est ce qu'on appelle l'uncanny valley (la vallée de l'étrange), et Nvidia vient d'annoncer à la GTC 2026 que c'était bientôt terminé grâce à DLSS 5. Jack Lang, prends garde !!

Leur concept s'appelle "rendu neuronal" et en gros, ça fusionne l'IA générative avec le moteur 3D classique. En fait, le processeur graphique analyse chaque image de votre écran 4K et comprend ce que sont la peau, les cheveux, les vêtements, puis recalcule l'éclairage et les ombres pour que tout ait l'air vrai. Jensen Huang parle de combiner données structurées (la 3D prédictive) avec du calcul probabiliste (l'IA générative) et ce qu'on obtient à la sortie, c'est du photoréalisme en temps réel sur votre écran.

Des centaines de navires apparaissent au-dessus d'aéroports ou de centrales nucléaires sur les écrans de navigation. L'Iran brouillerait massivement les signaux GPS dans le détroit d'Hormuz, et le trafic maritime commence sérieusement à en pâtir.

Des bateaux fantômes sur les radars

Les écrans radars affichent en effet un peu n'importe quoi dans cette zone désormais, comme par exemple un pétrolier de 300 mètres qui tourne en rond autour d'un aéroport, ou un porte-conteneurs qui traverse en toute décontraction une centrale nucléaire.

Depuis le début des hostilités, les signaux GPS sont complètement brouillés dans cette zone, et les positions transmises par les navires ne sont absolument plus les bonnes.

Windward, une société spécialisée dans le suivi maritime, a référencé plus de 1 100 navires touchés en seulement quelques heures, avec au moins 21 zones de brouillage différentes dans la région.

Les chercheurs appellent ça des "crop circles" : sur les cartes électroniques, les bateaux dessinent des cercles parfaits au-dessus de la terre ferme. Sauf que ce n'est pas un bug un peu rigolo, c'est un vrai problème pour les bateaux et les marins.

Un GPS vieux de 15 ans face à un brouilleur moderne

Le problème de fond, c'est que les navires commerciaux utilisent des récepteurs GPS qui ont facilement 15 ans d'âge. Ils captent les signaux d'une seule constellation satellite, sur une seule fréquence. Votre smartphone fait mieux : il jongle avec quatre constellations et plusieurs fréquences en même temps.

Todd Humphreys, professeur en ingénierie aérospatiale à l'Université du Texas, est assez catégorique sur l'origine du brouillage. Selon lui, l'Iran utilise des antennes installées sur des tours côtières ou des ballons captifs pour émettre de faux signaux qui se substituent aux vrais. Et ça marche très bien.

Le système AIS, qui permet aux navires de se localiser mutuellement, est lui aussi alimenté par le GPS. Du coup, quand le GPS est compromis, c'est toute la chaîne de navigation qui s'effondre. Un capitaine qui regarde son écran voit des centaines de bateaux tourner à des positions fictives, sans savoir où se trouvent réellement les autres navires ni à quelle vitesse ils avancent.

20 % du pétrole mondial dans le goulot

Le détroit d'Hormuz, c'est à peine 34 kilomètres de large au point le plus étroit, et pourtant 20 % du pétrole et du gaz mondiaux y transitent chaque jour. En temps normal, entre 130 et 150 navires y passent quotidiennement.

Certains pétroliers naviguent désormais avec leur transpondeur AIS éteint pour éviter d'être repérés, et plusieurs navires affiliés à des compagnies occidentales ont tout simplement fait demi-tour.

L'Union européenne, via son centre de sécurité maritime, recommande aux équipages de se fier au radar et à la navigation visuelle plutôt qu'aux instruments électroniques. Autant dire qu'on en revient aux méthodes d'il y a trente ans.

C'est quand même assez fou de constater que des navires de plusieurs centaines de milliers de tonnes naviguent avec des GPS moins performants qu'un téléphone à 200 euros.

Il va être urgent que les constructeurs de navires se décident à moderniser leurs équipements.

Source : Scientific American

Non mais c'te blague ! Y'a des hackers qui viennent de lancer une cyber-attaque sur des parcmètres. Ouais des parcmètres ! Et voilà comment Perm, une ville d'un million d'habitants dans l'Oural en Russie, s'est retrouvée à offrir le parking gratuit aux automobilistes durant 4 longues journées.

En effet, du 10 au 13 mars dernier, le système de stationnement automatisé de Perm et son portail permparking.ru se sont pris une attaque par déni de service tellement massive que plus personne ne pouvait payer sa place. Et c'est à ce moment que les autorités locales ont eu une réaction d'une logique implacable, en décrétant le stationnement gratuit pour tout le monde pendant la durée de la panne, week-end compris !

Ah les veinards !

Pour ceux qui débarquent, le principe d'un DDoS c'est de noyer les serveurs sous un déluge de trafic réseau, souvent via un botnet, c'est-à-dire un réseau de machines infectées qui envoient toutes des requêtes en même temps. En fait, c'est comme si 500 000 personnes essayaient d'entrer en même temps dans une cabine téléphonique ^^. C'est un classique cyber plutôt brutal mais diablement efficace. Si le sujet vous intéresse, j'avais d'ailleurs fait un article complet là-dessus .

Ce qui est "cocasse" dans l'histoire, c'est qu'on ne sait toujours pas qui est derrière tout ça. Un groupe d'hacktivistes qui voulait faire passer un message ? Un ado qui testait un stresser (ces outils de DDoS clé en main) trouvé sur un forum ? Ou tout simplement un automobiliste bien énervé par le prix du stationnement qui aurait tout simplement décidé de régler le problème à sa manière ? On ne sait pas mais l'hypothèse n°3 est ma préférée ^^.

Après, j'avoue que dans le contexte actuel, c'est difficile de ne pas penser au hacktivisme. En effet, en octobre 2024, c'est le parking de Tver qui s'était fait démonter. Une attaque ensuite revendiquée par l' Ukrainian Cyber Alliance , puis la ville de Krasnodar a suivi en janvier 2025. Et enfin Perm, qui devient donc la 3ème ville russe à se faire offrir le parking gratos par des hackers.

Parcmètres, feux de signalisation, systèmes de transport... faut dire que tout ce qui est connecté et pas assez protégé finit tôt ou tard par se faire taper dessus.

C'est un concept que certains (j'imagine) aimeraient bien voir arriver à Paris, mais bon, rêvez pas, chez nous c'est ULTRA SECURISÉ (lol)

En tout cas, si un jour le parking devient gratuit chez vous, demandez-vous si c'est pas un affreux botnet qui est en train de vous faire économiser quelques euros.

Source

Depuis 2022, TOUS les policiers et gendarmes français ont accès à un logiciel de reconnaissance faciale directement sur leur téléphone de service. En vous prenant en photo lors d'un contrôle (chiiiiiz 😀), ils peuvent ensuite, en quelques secondes, consulter un énooOoorme fichier contenant 9 millions de portraits.

Tu parles d'un trombinoscope !!

Voilà, c'est ce que révèle une enquête impressionnante du média Disclose , documents internes du ministère de l'intérieur à l'appui.

En bref, les forces de l'ordre sont équipées d'un gros smartphone baptisé NEO, un genre de pavé noir rectangulaire qui ressemble à une tablette de poche et dessus, y'a une appli avec accès direct au TAJ (traitement d'antécédents judiciaires), un fichier qui couvre plus d'un quart de la population française. Nom, date de naissance, adresse, profession... et parfois des infos sensibles comme l'appartenance politique ou religieuse.

Ce logiciel, développé par l'allemand Cognitec (sûrement la contraction du mot "tech" et du mot "cogner"... rooooh) , affiche les 200 photos les plus ressemblantes en moins d'une minute. C'est comme la reco faciale de Yandex mais en encore plus facile ! On ouvre l'appli sur l'écran, on sélectionne la photo dans l'album, on clique sur le bouton "rapprocher", et le serveur crache ses résultats. C'est dingue.

Sauf que OH BIZARRE l'utiliser lors d'un contrôle d'identité, c'est totalement illégal ! En effet, le code de procédure pénale limite l'accès au TAJ à des agents "individuellement désignés et spécialement habilités", dans le cadre strict d'enquêtes judiciaires (et aux hackers qui font fuiter les datas ^^). Eh oui c'est pas fait pour scanner des gamins assis sous un platane sur une place à Marseille. Déso, hein.

Et pourtant ! Disclose a recueilli les témoignages de six personnes photographiées et identifiées entre 2021 et 2025, à Marseille, Paris et Lyon. Un gamin de 18 ans contrôlé sans même sortir sa carte d'identité... sa photo prise avec le téléphone a suffi. Un manifestant pro-Palestine forcé physiquement à faire face à la caméra, des mains gantées sur le visage.

Et un flic montre même la manip à Disclose sur son NEO, tranquille, en expliquant que "tout le monde y a accès dès la sortie de l'école de police". Hop, le portrait tombe en moins d'une minute. C'est chouette pour connaître le prénom des gens sur Tinder, suffit de prendre en photo l'écran de son smartphone perso, hein.... bah quoi ?

L'IGPN elle-même le sait. En effet, dans son rapport 2023, la police des polices écrivait noir sur blanc que le TAJ est "très fréquemment utilisé sur la voie publique". Ah bah ça va, s'ils sont au courant, on est rassuré parce qu'ils ont surement dû faire quelque chose pour empêcher ça... ah bah non en fait parce que les consultations ont plus que doublé en 5 ans : 375 000 en 2019, près d'un million en 2024 !! Waaaaah, ça fait environ 2 500 tirage de portrait par jour, c'est fou !! Le problème, c'est que personne ne contrôle qui consulte quoi. Les accès sont tracés sur les serveurs, mais bon... tracer sans vérifier, ça sert pas à grand-chose. Et c'est pas forcément par manque de moyens car chaque consultation est horodatée et conservée trois ans, donc y'a le temps. Non, faut croire que c'est la flemme en fait.

Et là, Noémie Levain, juriste à La Quadrature du Net, pose les mots qui font mal : "Quand des policiers peuvent photographier qui ils veulent pour savoir qui est qui, c'est un renversement de l'État de droit."

Elle rappelle en effet, qu'en 1940, il a suffi d'un, je cite, "tout petit changement de curseur" dans les fichiers de police pour aller chercher les gens chez eux. Le parallèle fait froid dans le dos, mais il est factuel.

Et surtout c'est la deuxième fois, à vrai dire, que Disclose prend le ministère en flagrant délit sur ce sujet. En 2023, c'était Briefcam , un logiciel israélien de vidéosurveillance déployé illégalement. Le ministre avait dû le faire désactiver dans les semaines qui ont suivi. Eh bien, croyez-le ou non, cette fois, le ministère n'a même pas daigné répondre aux questions de Disclose. Va savoir pourquoi... C'est trop bizaaaarre.

Maintenant si vous voulez savoir quels sont vos droits face à cette pratique, La Quadrature du Net a publié un guide en accès libre qui explique ce que la police peut et ne peut pas faire lors d'un contrôle. Franchement, c'est à lire et à partager !

Par contre, n'oubliez pas que cette technologie ne marche pas toujours. Par exemple, cette américaine vient de passer près de six mois en prison à cause d'un faux positif avec une technologie à la con de ce genre. Donc bon...

Et si vous voulez voir concrètement comment ça se passe, Camille Reporter a justement fait une vidéo très bien fichue sur le sujet :

Un développeur a créé une police OpenType capable de convertir des opcodes hexadécimaux du processeur Z80 en instructions assembleur lisibles.

Il suffit de coller le code machine dans un traitement de texte, de changer la police, et les mnémoniques s'affichent en clair. Le projet, disponible sur GitHub, détourne les tables de substitution de glyphes de manière plutôt rigolote.

Une police, pas un logiciel

L'idée est en fait assez simple. Vous balancez une suite de caractères hexadécimaux dans LibreOffice Writer, puis vous sélectionnez cette police, Z80 Sans donc, et sous vos yeux ébahis, le texte se transforme en instructions assembleur.

Pas besoin d'installer un désassembleur, pas besoin de ligne de commande. La police fait tout le travail.

Derrière cette apparente simplicité, le développeur nevesnunes a exploité deux composants du standard OpenType que l'on retrouve habituellement dans des usages bien plus classiques : la table de substitution de glyphes (GSUB) et la table de positionnement (GPOS).

Ce sont les mêmes mécanismes qui permettent d'afficher correctement l'arabe ou de fusionner deux lettres en une ligature comme le "æ". Ici, ils servent à reconnaître des séquences hexadécimales et à les remplacer par les mnémoniques Z80 correspondants.

458 752 combinaisons à gérer

Le Z80 est un processeur 8 bits qui accepte des adresses sur 16 bits et plusieurs registres comme opérandes. Résultat : une seule instruction peut donner jusqu'à 458 752 combinaisons possibles.

Et comme les octets hexadécimaux sont encodés dans un ordre différent de celui dans lequel ils doivent être affichés en assembleur, le problème se corse vite. Les adresses en little-endian et les offsets signés en complément à deux ajoutent encore une couche de difficulté.

Pour s'en sortir, nevesnunes a construit un parseur par descente récursive qui génère automatiquement toutes les règles de substitution nécessaires. Chaque quartet (0 à f) dispose de ses propres glyphes, soit 96 au total pour la partie numérique.

Le tout repose sur une édition directe des fichiers .ttx, la représentation XML des données de police, à partir de Noto Sans Mono et Droid Sans Mono.

Du détournement de police à l'art de la bidouille

Z80 Sans n'est pas le premier projet à détourner les capacités des polices OpenType. On a déjà vu Fontemon, un jeu vidéo complet caché dans une police, ou encore Addition Font, capable d'additionner deux nombres rien qu'avec le rendu typographique.

Il y a même eu Llama.ttf, qui embarquait un modèle d'IA directement dans un fichier de police. Mais un désassembleur complet pour un jeu d'instructions entier, c'est quand même autre chose en termes de complexité.

Visiblement, le projet comporte encore quelques petits bugs d'affichage sur certaines instructions complexes, et le code est qualifié par son propre auteur de "qualité CTF", ce qui veut dire bidouille assumée.

Mais bon, on parle d'un type qui a réussi à faire rentrer un désassembleur Z80 dans une police de caractères. Les puristes de l'assembleur apprécieront le côté complètement absurde de la démarche, et les fans de rétro-informatique vont adorer.

Source : Lobste.rs

Vous prenez une photo de quelqu’un avec votre téléphone et magie magie, en une fraction de seconde, vous obtenez un modèle 3D complet de son corps. Ses bras, ses jambes, ses mains, ses pieds... tout y est, modélisé en 3D comme si vous aviez un vrai studio de motion capture à Hollywood.

Et ben c’est exactement ce que fait SAM 3D Body , un modèle d’IA développé par Meta.

En gros, vous lui filez une image de vous et l’IA reconstruit votre corps en volume, avec le squelette, les articulations et la surface de la peau. Jusqu’ici, ce genre de techno existait déjà mais c’était hyper lent, genre plusieurs secondes par image. Donc pas top si vous vouliez que ça suive, par exemple, vos mouvements en direct.

Et c’est là qu’une équipe de chercheurs incroyable (USC, NVIDIA et Meta Reality Labs) a eu la bonne idée d’optimiser tout ça. Leur version accélérée, baptisée Fast SAM 3D Body , fait exactement le même boulot mais quasiment 11 fois plus vite. Du coup, il ne faut plus que 65 millisecondes pour reconstruire un corps entier en 3D sur une RTX 5090. C’est à peu près le temps d’un clic de souris ! Autrement dit, on peut ENFIN faire du vrai temps réel !

Au lieu de faire tourner un algorithme qui optimise la pose du corps de manière itérative (ce qui prend du temps), ils ont tout simplement remplacé tout ça par un réseau de neurones qui donne directement le résultat en 1 passe. Et cette astuce seule rend la conversion entre formats de modèle 3D plus de 10 000 fois plus rapide ! C'est ouf !

Mais alors concrètement, à quoi ça sert tout ça ?

Hé bien d'abord à la robotique si chère à mon cœur car imaginez un robot humanoïde comme le chinois Unitree G1 équipé d’une simple caméra. Vous faites un geste devant lui, et il le reproduit instantanément avec ses bras et ses jambes.

Robot chinois en dépression à cause d'un dropshipping mal exécuté

Dans la vidéo partagée par l'équipe, on voit que le robot manipule des objets et se déplace en copiant les mouvements d’un humain filmé par une caméra, sans aucun capteur sur le corps.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/fast-sam-3d-body-reconstruction-temps-reel-robots/fast-sam-3d-body-reconstruction-temps-reel-robots-1.mp4">lien vers la vidéo</a>.