Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 11 juillet 2026Korben

Tangem - La faille laser qui condamne votre carte crypto à vie

Par : Korben ✨
11 juillet 2026 à 13:55

Vous voyez le principe du wallet crypto au format carte bancaire ?

Ça se compose d'une puce, d'un code, et de vos précieuses clés privées cryptos planquées dedans. Et bah figurez-vous que Baptistin Boilot, un chercheur de chez Ledger Donjon, vient de montrer qu'avec un laser, un scalpel et une sacrée dose de patience, on peut imposer un nouveau code à une carte Tangem sans jamais connaître l'ancien. C'est en tout cas la démonstration que vient de publier son labo, et le plus dingue, c'est que ça se joue sur un secure element Samsung certifié EAL6+, autrement dit le très haut du panier en matière de puces sécurisées.

Un petit pulse laser d'une nanoseconde envoyé pile au bon endroit, et le taux de réussite pour remettre à zéro le code secret de la carte monte à 100 % !!

Alors oui, Ledger Donjon c'est le laboratoire de sécurité de Ledger, concurrent frontal de Tangem, et Tangem n'a évidemment pas manqué de le rappeler. Sauf que la faille a été divulguée à la marque en février 2026, bien avant publication, donc tout a été fait dans les règles de l'art. Et puis Ledger n'a pas vraiment de leçons à donner niveau boulettes (rappelez-vous la fuite de sa base client ), donc on va juger le boulot technique plutôt que la rivalité commerciale.

Leur cible, c'est l'instruction SetPin, celle qui gère le code protégeant vos fonds. Quelque part là-dedans, la puce se pose une question toute bête, du genre "cette carte est-elle en mode récupération ?". Et le tir laser vient fausser ce test à l'instant exact où il s'exécute. Il ne grille rien du tout hein, il fausse juste le résultat une fraction de seconde, ce qui permet à la puce d'accepter un nouveau code sans jamais vérifier le vôtre.

Après, y'a quand même un sacré ticket d'entrée car pour en arriver là, les chercheurs ont ouvert la carte au scalpel, retiré le blindage métallique, dessoudé la puce, recâblé le tout sur une carte maison, et remplacé l'antenne NFC par une alimentation filaire pour piloter chaque signal. Un vrai travail d'orfèvre ! Ajoutez environ 250 000 dollars de matériel entre le laser, l'oscilloscope et la sonde électromagnétique et puis beaucoup de temps : 1 heure de balayage laser pour la première réussite, puis 2 heures par carte ensuite, sans parler de toute la R&D en amont.

La puce se défend, en plus. Elle tient un compteur de fautes en mémoire flash et se verrouille pour de bon au bout de quelques centaines de ratés. Sauf que les chercheurs ont trouvé la parade qui est de couper l'alimentation au moment précis où la puce s'apprête à noter l'incident. Du coup le compteur ne grimpe quasiment plus, et une carte qui aurait dû se bloquer très vite a encaissé plus d'une journée de tirs laser !

Alors, la question que vous vous posez forcément c'est : est-ce que votre Tangem est toujours fiable ? Pour vous, au quotidien, oui car il faut un accès physique à la carte. Puis l'opération laisse des dégâts parfaitement visibles (une carte charcutée au scalpel, ça se remarque), et je pense que personne ne va monter un labo à un quart de million pour siphonner votre wallet.

Maintenant, c'est vrai que cette faille ne sera jamais corrigée, car les cartes Tangem n'embarquent aucun mécanisme de mise à jour du firmware. Ça peut vous sembler absurde, mais en fait c'est pas si con que ça parce que qui dit pas de mise à jour dit pas de mise à jour vérolée. Hé hé.

Mais maintenant que le trou existe, et qu'aucun patch n'est possible, cela veut dire que toutes les cartes en circulation, dont la vôtre peut-être, restent vulnérables à vie. Et celle que vous achèteriez aujourd'hui ? Bah vulnérable tout pareil, tant que Tangem ne revoit pas son design.

Alors oui, l'attaquant ne lit pas vos secrets, il prend juste le contrôle du wallet en lui imposant son propre code, un peu comme une carte à puce sécurisée qu'on déverrouillerait de force sans en lire le contenu. C'est pourquoi Tangem estime que le risque est quasi inexistant, en rappelant au passage que n'importe quel secure element finira au bout d'un moment par céder si on y consacre assez de temps et d'argent.

Bref, si vous avez une Tangem au fond d'un tiroir, pas de panique, gardez-la juste bien à vous, parce que côté correctif, vous pourrez attendre longtemps, il n'y en aura jamais.

Source

Un Kindle rooté à cause d'une faute de frappe d'Amazon

Par : Korben ✨
11 juillet 2026 à 13:11

Vous le savez, j'adore mon Kindle ! Je manque effectivement de temps pour lire tout ce que je voudrais mais bon, on verra ça quand la retraite sera là ^^.

En attendant, ce que j'ignorais, c'est que sur les Kindle récents, il y a encore un petit navigateur web, plus exactement un vieux Chrome de 2019 bien planqué dans des menus qu'on n'ouvre jamais. Et c'est à ce module précisément que Tanguy Dubroca de Synacktiv s'est intéressé. Et en creusant, il a découvert qu'une faille s'y cachait et permettait de prendre le contrôle total de la liseuse avec votre compte Amazon en supplément salade tomate oignon.

Son objectif premier c'était de comprendre comment prendre la main sur un Kindle verrouillé sans le jailbreaker. Alors il a fouillé dans le firmware de son Paperwhite 5 et y a découvert ce vieux Chrome et son moteur Webkit d'une quinzaine d'années, prêt à céder à toutes ses demandes... niark niark.

Il n'a eu plus qu'à piocher dans les vieilles failles déjà bien connues de Chrome et en a choisi une présente dans le moteur Javascript V8 patchée par Google en 2022. Sauf que normalement, elle ne devait pas marcher sur un Kindle, parce qu'Amazon avait désactivé le composant vulnérable.

Enfin, avait essayé...

Parce que dans la commande censée le désactiver, il manquait deux petits tirets. Une faute de frappe qui faisait que l'option était ignorée en silence, et donc que le moteur JS d'époque restait allumé avec cette porte grande ouverte...

L'attaque n'a ensuite besoin que d'une seule chose qui est que vous ouvriez un site web piégé dans le navigateur de la liseuse. Pas de panique donc, car ça ne se déclenche pas tout seul quand vous recevez un livre, mais une fois la page web ouverte, elle peut trafiquer la mémoire de l'appareil, ce qui permet au chercheur de prendre la main sur le navigateur pour ensuite, via une seconde vulnérabilité dans le composant qui lance les applis, obtenir des droits administrateur et donc l'accès complet.

Une fois avec ça, il peut tout faire comme exécuter n'importe quel programme, vous espionner, détourner votre compte Amazon, et même rebondir vers les autres appareils présents sur votre réseau Wi-Fi. La totale !!

Dubroca a prévenu Amazon en décembre 2025, qui a classé le truc en critique, lâché 20 000 $ de prime, et poussé un correctif dans le firmware 5.19.2 en janvier. La mise à jour se fait toute seule une fois le Kindle branché et connecté au Wi-Fi alors si votre liseuse dort dans un tiroir depuis des mois, un petit coup de Wi-Fi et elle se mettra à jour, hop. D'ailleurs c'est la deuxième faille Kindle en 7 mois , après celle du livre audio piégé. Deux équipes françaises, deux fois le même appareil, ça commence à faire beaucoup pour de vieilles liseuses qu'Amazon laisse doucement vieillir .

Bref, une liseuse c'est comme un ordinateur, ça se pirate mais ça peut se mettre à jour ^^. Ouf !

Source

OpenLogi - Votre souris Logitech sans le bloatware d'Options+

Par : Korben ✨
11 juillet 2026 à 08:59

Logitech Options+, vous connaissez ce délire, je pense... Pour régler 3 boutons de souris, on vous pousse à créer un compte, à partager vos data, et à laisser une usine à gaz tourner H24 en tâche de fond. Le dev AprilNEA en a eu marre, du coup il a écrit OpenLogi en Rust et son truc fait le même boulot côté réglages, mais sans rien envoyer chez Logitech.

Si vous me lisez régulièrement, ça devrait vous rappeler Mouser , dont je vous parlais en mars dernier. C'est la même philosophie, sauf que Mouser restait coincé, à l'époque, sur la MX Master 3S en Bluetooth uniquement, sans SmartShift et sans Linux. OpenLogi reprend donc le flambeau et va beaucoup plus loin.

Alors, qu'est-ce que vous pouvez faire avec ?

Hé bien d'abord remapper vos boutons (41 actions prêtes à l'emploi, quand même), régler le DPI, activer le SmartShift, ce fameux défilement en roue libre. Vous pouvez aussi créer des profils qui basculent tout seuls selon l'appli active. Et tout ça cause directement avec le protocole HID++ de Logitech à votre MX Master , sans jamais lancer le pilote maison.

Peu importe comment la bête est branchée d'ailleurs, récepteur Bolt, clé Unifying, Bluetooth ou un bon vieux câble, les quatre passent ! Toute votre config ensuite se trouve dans un simple fichier TOML posé en local, que vous pouvez versionner dans un Git si ça vous chante. L'outil dispose d'une interface graphique, mais vous pouvez également l'utiliser en ligne de commande.

Pour l'installer sous macOS, c'est facile, il suffit de faire un brew install --cask openlogi et voilà ! Quant à Linux, vous avez des paquets .deb et .rpm. Notez que ça tourne aussi sous Windows, mais uniquement en beta.

OpenLogi est compatible avec les MX Master 4, 3S et 3, MX Anywhere 3, Signature M650, Ergo M575 et le code est libre sous double licence Apache 2.0 et MIT au choix.

Voilà, si Options+ vous gonfle de fou, OpenLogi mérite sans doute un petit test de votre part. C'est par ici , et le code est sur GitHub .

Vous m'en direz des nouvelles !

EVE Online - 30 dépôts MIT sur GitHub, dont un qui ne compile pas

Par : Korben ✨
10 juillet 2026 à 17:04

8 825 joueurs qui se canardent au même endroit, sur un seul serveur, pendant 14 heures. C'était en 2020 dans le système FWST-8 d'EVE Online, et le moteur qui a encaissé ça s'appelle Carbon. Et si je vous cause de ça c'est parce que Fenris Creations (le studio du jeu, ex-CCP Games) vient de le poser sur GitHub , en licence MIT, gratuit !

Au fil des mois, ils ont ainsi mis en ligne 33 dépôts à cloner, dont 30 sous licence MIT. Vous y trouvez Trinity, le moteur de rendu, Destiny , qui simule la physique et calcule les trajectoires de vos vaisseaux, et même une bibliothèque C++ dédiée au calcul d'itinéraire sur la carte du jeu. Du code qui tourne en production depuis 20 ans.

Et ça se monte tout seul puisque le README de Trinity dit simplement ceci : "*Compilez en utilisant le fichier CMakeLists.txt fourni à la racine du dépôt. *".

Un moteur de rendu avec 20 ans de production dans les pattes et pas une seule dépendance planquée, c'est fou.

Par contre, Destiny, lui, c'est le meuble en kit livré sans le sachet de vis. Son README prévient : "Pour compiler la bibliothèque, vous devez avoir accès à Perforce, car c'est là que se trouvent certaines de nos dépendances."

Pour vous la faire courte, chez vous, ça ne compilera pas, donc.

Car le 8 juillet, un développeur a ouvert l'issue #5 pour demander gentiment la liste des dépendances liées à Perforce et jusqu'à aujourd'hui, c'est resté sans réponse. Donc non, vous ne monterez pas votre serveur EVE privé ce week-end car l'économie du jeu et l'infrastructure serveur ne sont pas dans les cartons.

Alors pourquoi maintenant ??? Eh bien en mai, le studio a repris son indépendance en se rachetant 120 millions de dollars à Pearl Abyss, et il prépare EVE Frontier, un MMO de survie spatiale qu'il annonce "personnalisable, adapté au joueur". Donc "ouvrir la maison", ça prépare le terrain...

En tout cas, je trouve que ça nous change des jeux qu'on libère une fois morts, comme Arma Cold War Assault, dont Bohemia a ouvert le code pour ses 25 ans . Et vu ce que les moddeurs sortent sans même avoir le code ( un type a collé un mode multijoueur dans le Witcher 3 , j'vous rappelle ^^), avec les sources sous la main ça va être drôle.

Merci Emmanuel pour le lien !

Source

À partir d’avant-hierKorben

StatCounter n'identifie plus 1 visite sur 5 (et ça fausse tout)

Par : Korben ✨
10 juillet 2026 à 10:27

Windows serait passé sous la barre des 60 % de parts de marché. C'est ce qu'on peut lire un peu partout dans la presse tech cette semaine. C'est StatCounter qui le dit avec précisément 56,61 % de Windows comptabilisé en juin 2026. Et juste en dessous, sur la ligne suivante du même tableau, il y a une case bien étrange qui s'appelle "Unknown" et qui est évaluée à 21,45 %. Presque 5 fois Linux ! Et ça, pas grand monde n'en parle...

StatCounter compte ce "Unknown" comme un OS, à côté de macOS, de Chrome OS, de Linux et même de la PlayStation, et si vous cliquez sur le petit bouton "Download" de la page Statcounter, le CSV que vous récupérez ne contient aucune case "Unknown". Le site recalcule tout sans elle et dans ce fichier, Windows remonte à 72 % de part de marché.

Du coup, je me suis demandé quelle était la bonne mesure pour connaître la part de Windows sur le desktop. Est-ce que c'est 56,61 % en comptant les visiteurs non identifiés comme un système d'exploitation, ou 72 % en ne les comptant pas. Si vous faites la division vous-même, 56,61 sur 78,55 (100 − 21,45 = 78,55) donne bien les 72 % du CSV.

Et là, si vous comparez avec l'an dernier, vous verrez qu'en juin 2025, Windows était à 70,13 % dans ce tableau, et "Unknown" à 9,17 %.

Et 12 mois plus tard, v'la ti pas que Windows perd un peu plus de 13 points et la case des non-identifiés en gagne 12. Étrange non ?

Les 2 courbes sont presque symétriques ( Source : StatCounter )

Mais la domination de Microsoft s'effrite quand même, car même sur la base ils sont passés de 77,22 % à ces 72 % en un an. Donc y'a bien une tendance, mais ça n'a rien de l'effondrement annoncé partout. Linux, lui, grimpe de 4,50 % à 5,59 % sur cette même base, et le gros gagnant de l'année, c'est Apple, qui passe de 16,90 % à 20,87 % !

Alors qu'est-ce qu'il y a dans cette case Unknown en réalité ? Et bien on ne le sait pas car StatCounter ne dit pas ce qu'il y a dedans. Mais sur Hacker News , les hypothèses tournent autour des scrapers d'IA qui n'envoient pas d'user-agent standard, des bots qui se déguisent en Windows, et des navigateurs qui brouillent votre empreinte .

Mais pour le moment, aucune n'est réellement prouvée. Ce qui est mesurable par contre, c'est que la case des inconnus gonfle... Nous sommes à peine en juillet 2026 et elle est déjà à 23,67 % de part de marché. Perso, ça m'intrigue plus que le podium Windows / Apple / Linux.

Après, le parseur de StatCounter s'est d'ailleurs déjà planté en beauté par le passé. En octobre 2025, il affichait Windows 7 à 9,61 % pour le mois de septembre, contre 0,88 % en juillet et suite à une résurrection / correction aussi miraculeuse que silencieuse, si vous allez regarder la même case aujourd'hui, vous y lirez 1,62 %.

Leur FAQ précise tout de même que les stats restent révisables durant 45 jours donc ces chiffres qu'on voit actuellement peuvent encore bouger jusqu'à la mi-août... On verra bien.

En tout cas, je suis content de voir que la poussée de Linux n'est pas une illusion. La plupart des jeux Windows tournent maintenant sous Proton , Windows 11 continue de refuser les machines trop vieilles , sans parler du fait que Windows 10 est mort et enterré depuis octobre 2025 (même si les rustines de sécurité de l'ESU tiennent encore la baraque jusqu'en octobre 2027...) donc vous avez tous de vraies raisons de bouger.

Bref, Windows baisse, Linux monte mais un cinquième du panel est devenu invisible, et ça c'est louche...

Source

Duolingo refond ses cours et se met une bonne partie de ses utilisateurs à dos

9 juillet 2026 à 13:40

Duolingo pensait sans doute faire plaisir à ses apprenants en musclant ses cours, et c'est plutôt l'inverse qui se produit. Depuis la refonte de neuf de ses cours de langues, une partie de la communauté râle très fort.

L'idée de départ n'était pourtant pas mauvaise. En avril, l'application a annoncé étoffer neuf grosses langues, dont le français, l'espagnol, l'allemand, l'italien et le japonais, pour permettre d'atteindre un niveau B2, soit un bon niveau intermédiaire avancé sur l'échelle européenne.

Sauf que ça ne s'est pas passé comme prévu, en réorganisant l'intégralité du parcours, Duolingo a aussi pas mal mélangé la progression des gens. Des utilisateurs très avancés, certains niveau 50 en italien, se sont retrouvés renvoyés vers des leçons de grand débutant incapable de commander une pizza au resto.

Le résultat est franchement incohérent par endroits. Des unités marquées comme terminées contiennent des notions jamais croisées, pendant que des leçons ajoutées après coup sont considérées comme déjà maîtrisées.

Le nouveau système de cartes de révision n'arrange d'ailleurs pas grand chose, avec des critères tellement stricts qu'une bonne réponse peut se voir refusée, et la reconnaissance vocale en rajoute une couche en recalant à l'oral des phrases pourtant correctes.

En plus de tout ce bordel, Duolingo a mis en place un système d'énergie, une sorte de jauge de vies limitées comme dans un jeu mobile, qui rationne le nombre d'exercices gratuits et agace encore plus ceux qui voulaient juste réviser tranquillement.

Beaucoup de membres parlent carrément de résilier leur abonnement. 

Ce n'est pas la première fois que la marque se fâche avec son public, puisque l'an dernier déjà, sa stratégie tout IA, quitte à remplacer des humains par des machines, avait provoqué un tollé qui l'avait forcée à rétropédaler.

Vouloir pousser ses élèves plus loin, c'est une bonne idée, mais renvoyer un joueur niveau 50 réapprendre à dire bonjour, c'est le meilleur moyen de le faire filer chez la concurrence.

Source : Clubic

Tuta veut déménager vos 22 ans de Gmail sans rien perdre

Par : Korben ✨
9 juillet 2026 à 13:05

Quitter Gmail, c'est vrai, tout le monde y pense. Pour ma part, c'est fait depuis très longtemps, mais c'est vrai qu'abandonner des années et des années de mails, de factures, de photos, etc., tout ce qu'on a reçu, il n'y a personne qui est très motivé pour ça. Alors il y a bien sûr des possibilités de transférer, mais c'est toujours un peu la galère.

Toutefois, j'ai une bonne nouvelle pour vous. Il y a Tuta qui vient de dégainer One-Click Migration , un outil de migration automatique de votre ancienne boîte, pour l'instant en bêta fermée.

Si vous débarquez, Tuta c'est anciennement TutaNota et c'est une messagerie allemande qui chiffre tout de bout en bout par défaut. Et sa nouvelle fonction permet de lier votre ancienne boîte mail, donc ça peut être Gmail, Outlook, tout ce qui cause en IMAP. Et une fois que c'est fait, tout l'historique de vos e-mails se déverse dans Tutamail, avec même la structure des dossiers qui est répliquée à l'identique.

Et ce n'est pas juste un simple import puisque la synchro tourne ensuite en continu à sens unique. Ça veut dire qu'un nouveau mail qui arrive dans votre Gmail atterrira aussi dans votre nouvelle boîte tuta. Tant que vous n'avez pas coupé ce lien ou fermé l'ancien compte, les mails seront acheminés de manière tout à fait transparente. Et vous pourrez les ranger par exemple dans un dossier dédié type "Archives" si vous préférez repartir vraiment sur un compte propre.

Maintenant côté sécurité, c'est comme d'hab avec Tuta, c'est du solide. Le chiffrement se fait directement sur votre ordinateur avant même que vos vieux e-mails ne partent chez eux sur leur serveur. Donc comme ça, il n'y a rien qui se balade en clair sur les serveurs. Tout ce que vous faites chez TUTA est chiffré en respectant des principes de zéro knowledge.

Notez que Proton propose déjà son Easy Switch, avec le même type de connexion continue pour Gmail, mais comme Tuta supporte l'IMAP au complet, ils sont compatibles avec n'importe quel fournisseur. C'est d'ailleurs assez marrant quand on sait que Tuta ne propose pas d'IMAP, de POP3 et ce genre de choses nativement sur ses services... Il faut soit passer par une app dédiée, soit passer par le site web pour accéder à ses emails sur Tuta.

Voilà pour la bonne nouvelle, donc en attendant si l'envie de larguer Gmail comme une vieille chaussette vous démange, sachez que j'ai déjà fait le tour des messageries sécurisées qui tiennent la route . Et pour les impatients, la bonne vieille migration IMAP à la main fonctionne toujours. Ah et en même temps que cette annonce, Tuta en a aussi profité pour annoncer l'arrivée de son application native Tuta Drive sur iOS et Android, pour ceux qui veulent aussi déménager leurs fichiers.

Voilà, la dernière bonne excuse pour rester chez Google vient de sauter ! Je vais surveiller ça de près.

Firefox dans Docker - Le navigateur jetable pour surfer sans flipper

Par : Korben ✨
9 juillet 2026 à 08:42

On reçoit tous des mails un peu bizarres avec des liens qu'on n'ose pas ouvrir, et pourtant on est curieux, on est tenté parfois... C'est difficile de résister mais heureusement l'équipe de Linuxserver.io a pondu un truc super pour ça.

Il s'agit tout simplement d'une instance de Firefox qui tourne dans un conteneur Docker et qui est totalement pilotable depuis votre navigateur habituel.

Comme ça, quand vous recevez un lien louche que vous voulez ouvrir, vous le mettez là-dedans, dans une session jetable qui est totalement coupée de votre vraie machine. Et comme ça, si ça part en couille, vous butez le conteneur et on n'en parle plus.

Voilà, ça se présente juste comme une page HTTPS avec un navigateur dedans. Et comme c'est LinuxServer qui maintient l'image, vous êtes tranquilles parce que c'est du sérieux.

L'avantage d'avoir ce truc, c'est qu'un Firefox en conteneur ne voit ni votre répertoire personnel, ni vos cookies, ni vos sessions Google, ni vos extensions, absolument rien, il est totalement isolé. Donc si un site tente un drive-by download ou un exploit navigateur, eh bien en principe les dégâts resteront coincés dans le conteneur. Et le simple fait de le redémarrer remettra tout à 0.

Attention quand même, un conteneur, ce n'est pas une machine virtuelle. Une vulnérabilité au niveau du noyau pourrait en théorie s'en échapper. Mais c'est pas le genre d'attaque qui se fait avec juste un clic douteux sur une page web.

Les chercheurs en sécu s'en servent pour ouvrir des pièces jointes chelou, les marketeux pour jongler avec 12 comptes ad sans cookie cross-tracking , et les paranos dans mon genre pour cliquer sur les liens des mecs bizarres de Discord sans rien flinguer chez eux..

Après y'a des petits inconvénients. Je pense aux perfs graphiques qui prennent une claque par rapport à un Firefox natif ou encore l'audio qui transite par le pipeline du navigateur, du coup ça crachote parfois sur les vidéos lourdes. Le copier-coller marche, mais en passant par la section presse-papiers de la barre latérale Selkies , pas en direct. Et la persistance ne tient que si vous mappez le volume /config comme il faut, sinon vos onglets et vos bookmarks gicleront dès que le conteneur sera recréé (à la première mise à jour d'image, typiquement).

Côté vie privée c'est plutôt une qualité mais pour un usage quotidien, ça peut devenir relou.

Installation en une commande

L'image officielle, c'est lscr.io/linuxserver/firefox:latest. Elle tourne sur Selkies depuis juin 2025 (avant c'était KasmVNC) et démarre en Wayland par défaut depuis mars 2026. Maintenant, si un site part en vrille à cause de ça, vous ajoutez le paramètre PIXELFLUX_WAYLAND=false à la commande Docker et vous serez de retour en X11.

La commande minimale ressemble à ça :

docker run -d \
--name=firefox \
-e PUID=1000 \
-e PGID=1000 \
-e TZ=Europe/Paris \
-e LC_ALL=fr_FR.UTF-8 \
-p 3001:3001 \
-v $HOME/firefox-config:/config \
--shm-size=1gb \
--restart unless-stopped \
lscr.io/linuxserver/firefox:latest

Le --shm-size=1gb, c'est la mémoire partagée de Docker et vous n'y couperez pas, désolé. Si vous le zappez, YouTube comme les sites un peu lourds vous planteront le navigateur. Le port 3001, c'est l'accès HTTPS, avec un certificat auto-signé qui fera râler votre Firefox principal (c'est normal, faut l'accepter). Y'a aussi un port 3000, mais lui c'est du HTTP en clair, à réserver derrière un reverse proxy genre SWAG et rien d'autre.

Ensuite, direction https://localhost:3001/ et un joli Firefox vous attend. Notez que par défaut, il n'y a AUCUNE authentification. Personne ne vous demande rien, alors si vous voulez l'exposer sur votre réseau, définissez bien un CUSTOM_USER et PASSWORD pour activer le basic auth avant qu'un petit malin de votre réseau ne tombe dessus.

La version docker-compose, plus propre

Envie d'un setup versionnable, que vous pouvez reproduire ailleurs sans réfléchir ? Le compose fait ça mieux :

---
services:
firefox:
image: lscr.io/linuxserver/firefox:latest
container_name: firefox
environment:
- PUID=1000
- PGID=1000
- TZ=Europe/Paris
- LC_ALL=fr_FR.UTF-8
- CUSTOM_USER=korben
- PASSWORD=changezmoi
- HARDEN_DESKTOP=true
- HARDEN_OPENBOX=true
volumes:
- ./firefox-config:/config
ports:
- 3001:3001
shm_size: "1gb"
restart: unless-stopped

Ensuite, un docker compose up -d et roulez jeunesse. Le volume ./firefox-config conserve votre profil entre deux redémarrages avec bookmarks, extensions installées depuis le store Mozilla, tout reste en place.

Et si vous avez envie de repartir de zéro, on met le dossier à la poubelle, on relance, et voilà. Et pour glisser des outils tiers dans le conteneur (filezilla, un éditeur, ce genre de bidule), [proot-apps install](https://github.com/linuxserver/proot-apps) les posera dans $HOME, où ils survivront aux mises à jour de l'image.

Le hardening qu'il faut absolument activer

Maintenant, le piège que la doc évoque du bout des lèvres et qui mérite d'être écrit en gros c'est que l'interface web embarque un terminal avec sudo passwordless . Traduction : quiconque accède à votre Firefox conteneurisé devient root dans le conteneur en deux clics. Exposez ça sur votre réseau, ou pire sur Internet, sans durcir le machin, et vous ouvrez un boulevard.

La parade tient en une variable : **HARDEN_DESKTOP=true**, qui pose les principaux verrous d'un coup. Ça coupe sudo, ça vire les terminaux, et ça bloque xdg-open et exo-open, qui pourraient lancer des trucs hors conteneur. Vous pouvez empiler ça avec HARDEN_OPENBOX=true par-dessus, histoire de neutraliser les raccourcis clavier dangereux genre Alt+F4, de désactiver le clic droit et de masquer le bouton de fermeture. Firefox reste parfaitement utilisable, mais impossible de s'évader pour faire mumuse avec le système derrière.

Et pour une exposition sur Internet, le basic auth CUSTOM_USER/PASSWORD ne suffira pas car c'est trop léger. Moi ce que je vous recommande, c'est de coller le tout derrière un reverse proxy SWAG avec une vraie couche OAuth2 ou Authelia. Le basic auth, gardez-le pour le LAN entre potes ou collègues de confiance, mais pas au-delà.

SealSkin, le bonus qui change tout

SealSkin , c'est la cerise sur le conteneur ^^. C'est une extension navigateur, dispo pour Chrome et Firefox, qui monte la garde sur votre navigateur principal et détourne ce qui sent mauvais vers le conteneur isolé. Un lien repéré comme suspect ? Hop, il s'ouvre direct dans le Firefox conteneurisé. Pareil pour les téléchargements, qui atterrissent dans le conteneur au lieu de finir sur votre machine.

Du coup, l'isolation devient un réflexe permanent au lieu d'un machin que vous activez à la main quand vous y pensez (c'est-à-dire jamais). Seule contrainte par contre, faudra héberger le serveur SealSkin vous-même, et installer l'extension dans votre vrai Firefox. Mais vous verrez, après quelques jours à ce régime, vous aurez du mal à faire autrement.

Et sur tablette ou mobile ?

J'imagine que vous comptiez sur l'ancien tag kasm pour le tactile ? Eh bien c'est raté, puisque LinuxServer l'a déprécié début juillet. En échange, la barre latérale Selkies embarque désormais un trackpad virtuel et un clavier à l'écran, donc de quoi rendre l'interface utilisable depuis un iPad ou un smartphone sans bidouille en plus. On reste loin, c'est vrai, du confort d'un vrai desktop, et taper Ctrl+Tab au doigt c'est toujours la misère, mais pour dépanner ça fait le job.

Et voilà, votre Firefox jetable vit désormais dans son petit conteneur, bien au chaud. Comme ça, le prochain lien douteux, vous l'ouvrirez sans trembler... pour tester des sites au calme, difficile de trouver mieux, je pense.

Tecno, itel et Infinix cachent un mouchard système impossible à virer

Par : Korben ✨
9 juillet 2026 à 08:10

Si vous lisez ça depuis Abidjan, Dakar, Douala ou Kinshasa, y'a une chance sur deux que votre téléphone soit un Tecno, un Infinix ou un itel. Trois marques, mais un seul patron : Transsion, qui trône sur près de la moitié des smartphones vendus en Afrique.

Et si je vous parle de ça aujourd'hui, c'est parce qu'un chercheur en sécu, Buchodi, vient de décortiquer ce que ces appareils racontent dans votre dos et c'est pas joli, joli.

Son terrain de jeu, c'est un Tecno Spark 40 tout ce qu'il y a de banal. En rétro-ingénierant le firmware, il tombe sur un framework maison signé Transsion, baptisé Athena pour la collecte et oneID pour le pistage entre applis. On n'est pas sur une appli lambda que vous auriez installée, mais un truc costaud câblé au niveau du système, avec les pleins pouvoirs.

Et ce qu'il remonte, c'est du lourd ! Votre position GPS précise, les antennes-relais autour de vous, la consommation réseau appli par appli sur une soixantaine d'applis, quelle appli est affichée à l'écran en temps réel, et même quelle appli vient d'allumer la caméra (pas ce que filme la caméra, hein, juste le fait qu'une appli l'ait activée).

Ensuite, tout ça part vers des domaines en shalltry.com et transsion-os.com. Shalltry, c'est la branche logicielle de Transsion, et les serveurs tournent sur du cloud loué en Europe.

Donc c'est de la télémétrie++ qui part chez le fabricant, mais le gros souci, c'est qu'on ne peut rien désactiver ni désinstaller facilement. C'est vraiment une brique essentielle du téléphone reposant sur le SDK du constructeur. Ça prend racine dans l'application Réglages (pour les paramètres), l'interface système, et surtout dans un module assez discret nommé com.hoffnung qui est bardé de permissions flippantes comme lire le presse-papier en arrière-plan, connaître toutes les applis installées, forcer l'arrêt des autres.

Alors oui, c'est chiffré avec un bon vieux AES, sauf que ça ne sert pas à grand chose parce que la clé de déchiffrement est planquée dans le code de l'application elle-même. Autrement dit, quiconque met la main sur le fichier récupère la clé avec, et peut tout ouvrir. Le chiffrement n'est là que pour faire un peu de camouflage afin que vous ne puissiez pas voir facilement ce qui sort de votre poche. Mais ce n'est absolument pas de la confidentialité.

Et malheureusement, ça ne s'arrête pas à votre smartphone puisque ce même SDK se balade aussi dans des applications grand public très très populaires en Afrique comme Boomplay (100 millions de téléchargements et des poussières), StarTimes ou Orange Max it. Du coup, même avec un mobile d'un autre fabricant, vous pouvez trimballer ce mouchard sans le savoir.

Alors oui, c'est vrai, tous les smartphones font de la télémétrie. Google, Apple, Samsung, Xiaomi, tout le monde collecte des trucs, et des centaines d'applis passées au crible violaient déjà le RGPD début 2026. C'est déjà pas normal, mais ça peut normalement se désactiver assez facilement. Mais dans le cas de Transsion, c'est fait au niveau système, c'est totalement invisible et la destination est très opaque...

Puis surtout, ça concerne la moitié du continent !

Notez que ce n'est pas la première fois que les constructeurs chinois low cost se font choper puisqu' en 2016 déjà, une backdoor chinoise se planquait dans le firmware de smartphones low-cost et balançait contacts et SMS toutes les 72 heures. Plus récemment, il y a eu aussi un malware qui s'appelle Triada et qui a été préinstallé sur environ 53 000 Tecno W2 vendus en Éthiopie, au Ghana ou encore au Cameroun avec, s'il vous plaît, des abonnements souscrits totalement à l'insu de leur propriétaire.

C'était des composants différents à chaque fois, mais le motif se répète.

Alors que faire les amis ? Eh bien la bonne nouvelle, c'est qu'on peut quand même bloquer 2-3 trucs pour les empêcher de remonter des infos. Vu que tout transite par ces fameux domaines, il suffit de bloquer *.shalltry.com (et *.transsion-os.com tant qu'à faire) au niveau DNS.

Ça se fait facilement avec un NextDNS, un AdGuard ou un Pi-hole à la maison, ou directement sur le téléphone avec cette application qui s'appelle Personal DNS Filter , et comme ça, la télémétrie se retrouve isolée sans toucher au reste.

Par contre, ça ne sert à rien d'aller trifouiller les réglages du téléphone parce que ce n'est pas désactivable à partir de là. Désolé.

Source

Vos vieux disques Mac chiffrés ont une date de péremption

Par : Korben ✨
8 juillet 2026 à 22:17

Snif, snif, macOS 28 ne lira plus vos disques chiffrés en Mac OS Étendu . C'est écrit dans un document de support Apple publié le 7 juillet, alors si vous stockiez là-dessus vos photos de 2014, vos factures, votre mémoire de fac ou une sauvegarde Time Machine chiffrée de l'ancienne époque, bah c'est grave le moment de vous en occuper.

Pas de panique cela dit, seul le chiffrement dégage. Un volume HFS+ non chiffré restera donc lisible sous macOS 28 et après. Ce qui part à la benne, c'est surtout CoreStorage, la couche qui chiffre ces volumes... Et c'est aussi elle qui fait tourner les Fusion Drives avec lesquels j'aimais bien m'amuser à l'époque. Mais hormis ça, rien ne change.

Et vu qu'APFS est le format par défaut depuis High Sierra en 2017, les disques concernés ont, pour la plupart, grosso modo 9 ans au compteur, donc ce sont des disques d'archives que vous ne branchez jamais j'imagine... jusqu'au jour où vous en avez vraiment besoin évidemment !

Alors pour vérifier si vous êtes concerné, ouvrez l'Utilitaire de disque et regardez le libellé sous le nom de vos volumes externes. S'il affiche "CoreStorage Logical Volume" avec la mention "Encrypted", c'est lui. Et si vous êtes sous macOS 26, le système peut aussi vous envoyer une notification quand il détecte un disque qui ne passera pas le cap. Même si ça fait chier, c'est quand même assez réglo de la part d'Apple de prévenir 1 an à l'avance.

Côté solutions, Apple vous laisse 2 portes de sortie. La douce d'abord... Vous faites un clic droit sur le volume dans le Finder pour le déchiffrer, et si le cœur vous en dit, vous le convertissez ensuite en APFS sans perdre le moindre fichier. Ou alors la radicale ensuite où vous reformatez le volume direct en APFS. Attention hein, ça efface tout, et définitivement donc on sauvegarde bien avant de jouer à ça, les amis ^^.

Apple prévient aussi que le déchiffrement prend beaucoup de temps, spécialement si le volume est gros. Du coup lancez la machine avant d'aller vous coucher, et vous pourrez ensuite faire un petit diskutil cs list dans le Terminal pour savoir où ça en est !

Malheureusement, la méthode douce, vous pouvez l'oublier pour les disques de sauvegarde Time Machine chiffrés. Howard Oakley en parlait déjà sur Eclectic Light Company 3 semaines avant que les gros sites américains ne captent le truc et il a expliqué pourquoi dans son article. En fait, ces vieilles sauvegardes s'appuient sur des liens en dur de répertoires, et c'est un mécanisme qu'APFS ne sait tout simplement pas reproduire.

Du coup, ces sauvegardes-là, c'est impossible de les convertir, donc... il faudra repartir de zéro avec une sauvegarde toute neuve. Rassurez-vous, vos fichiers actuels ne craignent rien. Par contre, tout votre historique de versions restera coincé sur le vieux disque, que vous pourrez encore lire sous macOS 26 et 27, et après, ce sera terminé.

Donc si vous êtes motivé (et avez-vous bien le choix ?), vous branchez vos vieux disques, vous faites des backups, vous checkez le format, vous déchiffrez ou reformatez ce qu'il faut puis vous relancez une sauvegarde propre, que vous pouvez d'ailleurs accélérer avec cette astuce . Allez, un petit week-end là-dessus à le laisser tourner et c'est plié !

Bref, prenez 10 minutes maintenant, plutôt que de vous retrouver dans 1 an devant un disque qui refusera de répondre. Votre moi du futur vous dira merci !!

Source

GDID Windows - Coupez le mouchard qui vous traque même sous VPN

Par : Korben ✨
8 juillet 2026 à 17:59

Comme je vous le disais tout à l'heure, en avril 2026, le FBI a coincé un membre présumé de Scattered Spider. Le mec planquait son trafic derrière un VPN, avec des IP dans trois pays différents. Et devinez quoi ? Ce n'est pas une fausse manip qui l'a balancé mais un identifiant que votre Windows se trimballe H24 et que Microsoft refile aux autorités quand elles le demandent : le GDID. Je vous en ai déjà causé dans cet article , et après avoir écrit l'article, je me suis demandé si on pouvait le virer.

Du coup j'ai monté une petite VM Windows 11 Pro et j'ai mis les mains dedans en me faisant assister de mon LLM préféré et voilà ce que j'ai trouvé. Ce qui marche, et surtout ce qui ne marche pas du tout, vous allez voir.

Déjà, faut comprendre ce qu'est ce GDID. C'est pas le numéro de série de votre carte mère, c'est pas un hash en lien avec votre matos. Non, c'est un PUID de 64 bits, c'est-à-dire un identifiant que les serveurs de Microsoft collent à votre compte dès que vous ouvrez une session Windows. Il est écrit en clair dans votre registre, votre machine l'enregistre dans un annuaire côté Microsoft, et un service le fait remonter peinard quand c'est nécessaire. Et si vous changez d'IP avec un VPN, bah lui il s'en fout. Le GDID ne bouge pas d'un poil.

Regardez votre propre mouchard en face

On commence par le voir de nos yeux. Ouvrez un PowerShell et collez ça :

$lid=(Get-ItemProperty 'HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties').LID
"g:$([Convert]::ToUInt64($lid,16))"

Sur ma VM, ça m'a craché g:6755487812206045. C'est celui que Microsoft peut raccrocher à tout ce que je fais. (En théorie hein, parce que c'est le code qui est associé à ma VM, donc je m'en fous et c'est pour ça que je vous le montre).

Vous venez de lire l'étiquette qu'on vous a collée dans le dos.

Le supprimer ? Laissez tomber

Réflexe de base, on efface la clé dans la base de registres HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties et hop, plus de mouchard. C'est ce que j'ai testé au début... J'ai shooté la valeur, redémarré le service qui s'en occupe, et là plus rien. Gagné ? Ben non. J'ai ouvert le Microsoft Store durant deux petites secondes, et le GDID est revenu. Et pas un nouveau, hein, LE MÊME !!

C'est ça qui est fou. C'est que votre GDID n'est pas planqué sur votre disque, il est planqué chez Microsoft, bien accroché à votre compte comme une moule à son rocher. Votre PC ne fait que le retélécharger encore et encore. Après si vous réinstallez tout, Windows vous donne un nouveau numéro, d'accord, mais l'ancien et tout ce qui y était rattaché restent tout de même bien au chaud sur leurs serveurs. Le passé, on le récupère jamais...

Couper la télémétrie ne change rien non plus

Un autre conseil qu'on voit partout, c'est de désactiver la télémétrie de Windows. Sur ma VM, le service de télémétrie classique était déjà à l'arrêt. Et pourtant mon GDID était là, bien lisible, et les services qui le font remonter tournaient à plein régime. Le mouchard ne passe pas par la télémétrie que vous croyez couper. Il passe ailleurs, par les services de la plateforme d'appareils connectés et de l'optimisation de distribution.

Vous pouvez donc cliquer sur tous les boutons vie privée des réglages, il s'en tape.

Fermer le robinet pour de vrai

Alors puisqu'on peut pas l'effacer, on va faire la seule chose qui est en notre pouvoir : L'empêcher de sortir. Et sans se déconnecter du compte Microsoft, histoire de garder un PC utilisable, hein.

Et pour ça, on a 2 leviers. Le premier, c'est de désactiver les services qui enregistrent et remontent les infos de votre machine. Le second, c'est de renvoyer les serveurs de Microsoft dans le décor simplement via le fichier hosts, comme ça même si les services qui mouchardent tournent, et bien ils ne peuvent plus joindre personne... Et surtout, on ne touche pas à login.live.com, sinon adieu la connexion à votre compte.

Toutefois, il y a un petit piège, vous vous en doutez... Le service qui fait remonter le GDID, DoSvc, refuse de se laisser désactiver par la voie normale. Même en admin, Windows vous balance "Accès refusé". La parade, c'est donc de le désactiver direct dans le registre, où l'admin a le droit d'écrire là où le gestionnaire de services vous bloque.

Maintenant pour faire ça, plutôt que de vous mettre des tonnes de lignes de code à copier-coller, j'ai tout regroupé dans des scripts propres, que j'ai testés, avec une commande pour tout remettre comme avant.

Le projet est là : no-gdid sur GitHub . Vous lancez d'abord l'audit en lecture seule pour voir où vous en êtes, puis les scripts de blocage en mode aperçu, et seulement après avec l'option qui applique vraiment. Testez dans une VM avec un snapshot avant de faire ça sur votre vraie bécane, parce qu'on désactive quand même des services système. Et si vous voulez juste couper le réseau d'un process précis sans tout ce cirque, ce bon vieux ProcNetBlocker fait déjà une partie du taf.

Allez c'est parti mon canard !

Ouvrez un PowerShell en administrateur, et la première fois faites-le dans une VM avec un snapshot histoire de tester et de vous familiariser avec les commandes. Étape 1, on clone le projet :

winget install --id Git.Git
git clone https://github.com/Korben00/no-gdid
cd no-gdid

D'abord on regarde sa propre situation. Cet audit est en lecture seule, il ne modifie rien, il vous affiche juste votre GDID et quels services de la chaîne tournent :

powershell -ExecutionPolicy Bypass -File .\audit\Get-GDID-Audit.ps1

Ensuite on regarde ce que la mitigation changerait, sans rien appliquer. Sans l'option -Apply, les deux scripts tournent en mode aperçu et se contentent de lister ce qu'ils feraient :

powershell -ExecutionPolicy Bypass -File .\mitigate\Disable-GDID-Services.ps1
powershell -ExecutionPolicy Bypass -File .\mitigate\Block-GDID-Endpoints.ps1

Si ça vous va, on coupe pour de vrai. Cette fois on ajoute -Apply : les services qui enregistrent et remontent l'appareil sont désactivés, et les serveurs de Microsoft correspondants sont renvoyés dans le vide via le fichier hosts. Votre compte Microsoft, lui, reste connecté :

powershell -ExecutionPolicy Bypass -File .\mitigate\Disable-GDID-Services.ps1 -Apply
powershell -ExecutionPolicy Bypass -File .\mitigate\Block-GDID-Endpoints.ps1 -Apply

Et pour tout remettre comme avant, une seule commande :

powershell -ExecutionPolicy Bypass -File .\mitigate\Revert-GDID.ps1

Une fois appliqué, tout redeviendra calme... les services d'enregistrement seront à l'arrêt, leurs serveurs injoignables, et votre compte Microsoft restera toujours connecté. Le GDID reste bien évidemment lisible sur le disque, mais il ne remontera plus chez Microsoft.

La vérité qui pique

Après, je ne vais pas faire un tuto qui vous vend du rêve. Ces manips réduisent ce que Microsoft pourra corréler à l'avenir mais elles n'effacent pas votre GDID, qui traîne sur leurs serveurs depuis votre toute première connexion, et elles ne vous rendent pas anonyme. Ensuite, passer en compte local comme j'ai pu le lire ailleurs supprime le chemin qu'on vient de bloquer, mais rien ne prouve encore qu'un identifiant anonyme ne prend pas le relais derrière.

La seule vraie parade solide pour une activité sensible, est plus brutale : ne pas faire cette activité sous Windows. Un Linux live par exemple offre un contrôle total de ce qui sort de votre machine. Le reste, c'est que de la réduction des dégâts, rien de plus.

Voilà, défendre sa vie privée, ça commence par savoir ce qu'on vous colle sur le dos et maintenant vous le savez. Pas merci Microsoft.

Source : The Register et le reverse engineering de SmtimesIWndr .

Données de santé Doctolib - Comment vous opposer à leur usage IA ?

Par : Korben ✨
8 juillet 2026 à 17:23

Cet aprem, je bossais tranquillou quand j'ai reçu un mail de DoctoLib qui m'a bien énervé avec pour titre : "Doctolib s'engage dans la recherche pour améliorer la santé". Bon, si on s'arrête au titre, on se dit "Ah bravo, Doctolib", sauf qu'en le lisant en entier, j'ai vite compris qu'ils venaient de décider à ma place que mes données de santé allaient nourrir des trucs, des bidules et des machins pour de la recherche en intelligence artificielle.

Et bien sûr que si ça ne me plaisait pas, bah fallait que je le dise.

Alors ce qu'ils expliquent dans ce mail, c'est qu'à partir d'août 2026, Doctolib lance un projet de recherche mené par une équipe associée à Inria, l'Inserm et l'Université Paris Cité pour, je cite "améliorer les parcours de soins grâce à l'IA". Jusque-là, difficile de cracher dessus, ce sont des institutions publiques sérieuses et l'objectif est louable. Le truc, c'est ce qu'ils vont manger pour y arriver : nos données démographiques, nos données de santé, et même celles de vos proches rattachés à votre compte. Et cela que ces données aient été renseignées par nous ou par nos soignants.

Et surtout, Doctolib ne nous demande pas notre accord. Ils s'appuient sur ce qu'on appelle l'intérêt légitime, une base légale du RGPD qui leur permet de piocher dans nos données sans passer par la case consentement. Hé ouais, en clair, on ne vous prend pas votre consentement, on vous l'enlève. Vous n'avez même pas à dire oui, c'est déjà oui par défaut, et vous êtes obligé de dire non si vous voulez sortir du dispositif.

Ils présentent ça comme de l'intérêt légitime, sauf qu'en même temps on ne sait pas du tout sur quoi ils vont bosser, on ne sait pas avec qui ils vont bosser, on ne sait pas comment nos données seront sécurisées, bref, on ne sait rien du tout. Alors forcément, moi je m'inquiète surtout que leur mail annonce clairement que d'autres travaux suivront, "avec des hôpitaux ou des institutions privées ou publiques". Donc on accepte qu'ils signent à notre place un chèque en blanc avec nos données pour des projets futurs dont personne ne connaît le contenu et basta, tout ça sous couvert d'intérêt légitime. Ce n'est que mon avis mais je trouve ça vraiment léger.

Alors oui, tout ça est parfaitement légal. Doctolib s'appuie sur la méthodologie MR-004 de la CNIL , qui encadre la recherche en santé et autorise justement ce fonctionnement par opposition plutôt que par consentement. Rien d'illégal là-dedans. Mais légal ne veut pas dire que je dois être d'accord.

Et c'est bien ça le problème... Ce cadre légal permet à une entreprise privée comme Doctolib de considérer que nos données de santé lui appartiennent assez pour les offrir (ou les revendre, je n'en sais rien ??) à la recherche, tant que vous ne levez pas la main pour refuser.

Doctolib tente de nous rassurer aussi en expliquant que les données sont pseudonymisées et "ne permettent pas de nous identifier directement". Notez bien le "directement", lol, ça ne se mouille pas trop. En réalité, pseudonymisé, ça ne veut pas dire anonyme... Ça veut seulement dire qu'on a remplacé votre nom par un code, mais que le lien existe toujours quelque part et reste réversible. Aux yeux de la loi, ça reste encore vos données personnelles . La vraie anonymisation, elle, est irréversible, et ce n'est pas ce dont on parle ici.

Et puis il y a le contexte... Non, Doctolib n'a pas subi de grosse fuite de données, il faut être honnête là-dessus mais on nage actuellement dans un écosystème tech en France qui prend l'eau de partout : 33 millions de Français touchés par le piratage des mutuelles Viamedis et Almerys début 2024, une quinzaine de millions de plus avec la fuite Cegedim en 2026. Chaque base de données de santé qui se constitue quelque part, c'est une cible de plus.

Et il y a un mois à peine, le Canard Enchaîné accusait Doctolib de transmettre des infos à Google, Microsoft et Anthropic pour de l'IA. Doctolib a répondu que ces boîtes n'étaient que des prestataires techniques qui n'entraînent pas leurs modèles avec vos données. Alors peut-être, hein, mais quand on nous demande de faire confiance sur parole pour des données aussi intimes que notre santé, l'inquiétude a le droit d'exister.

Bref, moi je m'oppose, et si vous êtes sur Doctolib je vous invite au moins à décider en connaissance de cause. Le mail est probablement arrivé dans vos spams, donc pour refuser, sachez que ça se passe dans les paramètres de confidentialité de votre compte, via le formulaire d'exclusion de la recherche . Ça bloque toute utilisation future de vos données et de celles de vos proches, sans aucun impact sur vos rendez-vous ni sur vos soins. Faites-le avant août 2026, car c'est le moment où le premier projet démarre.

Enfin bref, moi je pense qu'on devrait avoir à donner son accord, et pas à courir derrière ces boîtes pour retirer un accord qu'on n'a jamais donné en pleine conscience... C'est ça qui me dérange surtout.

Windows cache un identifiant secret que Microsoft file au FBI

Par : Korben ✨
8 juillet 2026 à 14:55

Putain, c'est abusé, vous allez voir ! Peter Stokes, 19 ans, accusé d'appartenir au groupe Scattered Spider, enchaînait les VPN et changeait de pays pour brouiller les pistes mais le FBI l'a quand même coincé. Et vous savez grâce à quoi ?

Hé bien grâce à un petit numéro planqué dans son Windows. C'est Microsoft qui l'a mouchardé aux enquêteurs et ça a suffi pour le relier à une intrusion malgré tous ses VPN.

Et alors me direz-vous, vous aussi vous avez un numéro sur votre machine qui peut servir à vous identifier... Ce truc s'appelle le GDID, pour Global Device Identifier et c'est un identifiant unique qui est attribué lors de chaque installation de Windows. Il sert à la télémétrie, au rapport de plantage, à la vérification des licences et surtout il reste constant même après des mises à jour.

Vous ne le voyez jamais, vous ne l'avez jamais choisi, et il ne bouge pas d'un poil quand vous changez d'adresse IP. Normal, un VPN protège la couche réseau, mais pas ce que laisse fuiter votre OS. Et ça on l'apprend dans la plainte de 39 pages qui a été rendue publique début juillet, où elle expliquait comment Microsoft a fourni au FBI l'historique des adresses IP rattachées à ce GDID précis.

Les enquêteurs n'ont eu qu'à croiser ça avec les comptes perso de Stokes, de son compte Apple à ses comptes de gaming, en passant par Snapchat et Facebook, pour finalement découvrir des adresses IP à Tallinn, New York, ou encore la Thaïlande, ce qui correspond exactement à ses déplacements.

Le mec pouvait empiler 10 VPN s'il le voulait, Microsoft le suivait à la trace quand même. Et c'est là que ça me hérisse le poil, parce que le problème, ce n'est pas que la justice ait serré un type accusé d'avoir extorqué des millions. Ça, c'est le boulot du FBI, et tant mieux s'ils l'ont arrêté.

Non, le vrai problème, c'est que Microsoft dispose d'un identifiant permanent sur plus d'un milliard de machines, qu'ils ne communiquent pas dessus, qu'ils le partagent tranquille sur demande, et qu'on ne peut même pas le désactiver.

Alors on fait quoi ? Bah déjà, on arrête de subir. Vous pouvez installer Windows 11 sans compte Microsoft pour couper une partie de la laisse, désactiver la télémétrie facultative pour limiter les autres fuites, ou carrément regarder du côté d'une stack privacy européenne . Aucune de ces astuces ne touchera au GDID par contre, car il n'y a aucun bouton pour ça, et c'est bien ça le fond du problème.

Mais bon, j'imagine que des petits malins vont sortir des logiciels qui vont permettre soit de désactiver ce numéro ... Et là, vous pourrez compter sur moi pour que je vous le partage. Quoi qu'il en soit, quand vous utilisez Windows, gardez juste en tête que vous n'êtes jamais vraiment seul. Et que quelqu'un vous épie en permanence... Brrrr.

Source

Ça c'est ma veille tech

Par : Korben ✨
8 juillet 2026 à 14:05

Ça fait un moment que ça me trotte dans la tête et vous êtes plusieurs à me réclamer régulièrement ma veille, comme dans la chanson, en mode "Allez Korben, montre-nous tes RSS, allez Korben montre-nous tes flux !". C'est vrai que c'est un peu le nerf de la guerre pour moi et avoir un outil pour vous les afficher en direct sur le site, je me suis dit que ça allait vous plaire !

https://korben.info/news

Donc voilà, ma veille tourne maintenant en temps réel sur korben.info. C'est en bêta depuis une semaine, et je m'en sers maintenant tous les jours puisque ça fonctionne plutôt bien. Je vois défiler ce qui arrive, et hop, "ah tiens ça c'est cool, je vais tester", ou "tiens, ça je vais en parler".

Parce qu'il faut pas oublier un truc, c'est que l'actu tech défile à une vitesse que vous n'imaginez pas et que je suis atteint d'un FOMO carabiné. Mais tout voir, tout suivre et tout traiter, ce n'est pas possible. Donc je fais comme j'ai toujours fait, c'est-à-dire que je suis mes envies, mon humeur. Parfois je fais un peu plus d'actu, parfois je teste plus d'outils, parfois je fais des petits tutos. Voilà, ça dépend un peu de ce que j'ai envie de faire à l'instant T.

C'est assez aléatoire, je vous l'accorde.

Et comme je viens d'ouvrir une section avec des contenus un peu plus grand public, histoire d'ouvrir le site à de nouveaux lecteurs, c'est aussi l'occasion de voir ce qui se dit ailleurs, sur des médias plus tech grand public, là où moi je pars parfois dans des sujets un peu plus "barbus".

Voilà, j'ai nettoyé un peu tout ça pour virer les trucs pas terribles et là vous avez l'essentiel de l'actu tech (et un peu science) en temps réel. Ce que je vous recommande, si ça vous branche, c'est de mettre la page au démarrage de votre navigateur, comme ça vous êtes au courant de tout ce qui se passe sans rien faire. Vous avez juste à suivre le flux et puis vous pouvez filtrer en français ou en anglais et également trier par fraîcheur ou popularité.

Voilà, amusez-vous bien et encore un grand merci aux Patreon qui me soutiennent parce que c'est grâce à vous que je peux m'amuser à bricoler des petites nouveautés comme ça sur le site.

Ma veille, c'est par ici .

Le retour de Movie Maker montre la lourdeur de Clipchamp

Par : Korben ✨
8 juillet 2026 à 13:32

Vous vous souvenez de Windows Movie Maker ? Mais siiii, ce petit logiciel de montage livré avec les Windows depuis l'époque de Windows ME ? C'est celui sur lequel vous avez bricolé vos premiers diaporamas de vacances avec des transitions en forme d'étoile. Aaah, ça vous parle maintenant, hein ?

Eh bien, ces gros méchants de Microsoft l'ont laissé mourir en janvier 2017. Mais heureusement, SkylerDaGirl vient de le remettre au goût du jour et vous pouvez maintenant télécharger un installer fonctionnel sur Internet Archive qui va vous permettre d'installer la V6.0.

Le site Windows Latest l'a testé et apparemment c'est incroyable parce que Movie Maker s'est contenté d'une vingtaine de Mo de RAM alors que son remplaçant officiel, Clipchamp, lui, en réclamait près de 800 Mo pour faire globalement la même chose. D'après les captures d'écran du testeur, ça fait à peu près 97% de mémoire en moins pour l'ancêtre. Une fois encore, ça prouve que les logiciels modernes sont comme nous, ils grossissent au fil des années...

Maintenant, si vous cherchez plutôt du léger côté navigateur, il y a d'ailleurs des alternatives modernes comme Cutia ou Pikimov qui tournent sans installer une usine à gaz.

Après, je ne vous conseille pas non plus de passer sur Windows Movie Maker, parce que déjà, ce n'est pas un logiciel supporté officiellement par Microsoft. Ces derniers n'ont absolument rien ressuscité. Et puis ces fameux 97%, c'est une mesure qui a été réalisée par un seul testeur et pas vraiment un benchmark qu'on peut reproduire. Donc bon, vous pouvez essayer, mais il n'y a aucune promesse.

Et surtout, gros panneau ACHTUNG ACHTUNG côté sécurité puisque ce build n'est plus supporté par Microsoft depuis neuf ans, donc zéro correctif, zéro garantie sur ce que contient réellement l'installeur.

M'enfin, ceux qui aiment gratter la nostalgie apprécieront ce portage et également l'effet VHS de ntsc-rs pour donner à vos exports ce grain d'époque qui va bien avec l'esthétique Movie Maker ^^.

Source

Test du MOVA ViAX 500 : cette tondeuse a converti un jardinier qui ne voulait pas de robot dans son jardin

8 juillet 2026 à 13:21
- Contient des liens affiliés Amazon -

J'ai reçu en test ce robot tondeuse d'une gamme grand public accessible pour le tester en conditions réelles. J'ai moi-même un petit jardin, mais pour le tester, j'ai préféré apporter l'objet chez une personne de mon entourage qui avait un jardin plus grand, plus compliqué, meilleur terrain de test.

Sauf que voilà, le propriétaire du jardin ne voulait pas de cette machine, il me l'a dit assez clairement, et il a fallu exactement trois jours de tonte automatique pour qu'il révise complètement son jugement, ce qui en dit beaucoup sur ce que le MOVA ViAX 500 fait réellement une fois posé sur une pelouse.

Aucun câble périphérique à enterrer, aucune antenne RTK à planter en vue dégagée du ciel, ce boîtier de correction satellite que la plupart des tondeuses dites sans fil imposent pourtant encore aujourd'hui. Vous branchez la station de charge près d'une prise, et c'est tout, ça fonctionne, dans le silence.

La cartographie de votre jardin se fait au téléphone, en pilotant le robot comme une voiture télécommandée pour lui faire faire le tour du terrain, pendant qu'il regarde et mémorise, ce qui a pris dans notre cas une petite vingtaine de minutes, et est franchement ludique.

Screenshot

MOVA a équipé son robot de ce que la marque appelle l'UltraEyes 2.0, un assemblage de deux caméras à haute plage dynamique et d'un LiDAR 360°, ce télémètre laser rotatif qui balaie les alentours en continu pour mesurer les distances, avec une reconnaissance annoncée de plus de 300 types d'obstacles.

Sur les 270 m² du jardin d'essai, en pente par endroits, encombrés de plusieurs voitures garées à l'arrache et des jouets qu'un brave toutou sème un peu partout, la machine n'a absolument rien écrasé ou percuté. Zéro accroc. Ni le chien, qui n'a même pas tiqué à la vue du robot, ni ses jouets.

Le disque de 20 cm et ses trois lames rasoir pivotantes coupent quelques millimètres à chaque passage et redéposent l'herbe broyée au sol, où elle se décompose en engrais. Du coup, aucun sac de tonte ne nécessite des aller-retours pénibles à la déchetterie. Le niveau sonore est quasi inaudible, le voisinage du dimanche ne s'en apercevra même pas si vous passez le robot à des heures "interdites".

C'est quand même une bascule philosophique, cette histoire : soit vous gardez la main sur votre gazon et sur sa pousse, soit vous déléguez tout ça à un robot. Le débat de l'aspirateur robot, transposé dehors. Si vous voulez mon avis, un transat et un bouquin valent mieux qu'un après-midi derrière une tondeuse thermique.

La hauteur de coupe se règle à la main sur la machine entre 2 et 6 cm, ce qui ne pose aucun problème, il suffit de le régler une fois pour toutes selon vos préférences. Après il faut être honnête, les 40% de pente annoncés sont un peu optimistes, deviennent plutôt 25 % quand on veut rouler serein. Pour le reste, tout est vraiment ok, ce qui est une bonne surprise pour un produit de cette gamme, quand même franchement accessible.

MOVA affiche 749 € en prix conseillé, mais le ViAX 500 se trouve régulièrement autour de 599 € sur Amazon. C'est vraiment un super produit si vous avez un jardin de taille raisonnable à entretenir, et que vous ne voulez pas vous prendre la tête avec ça.

Vous pouvez commander la bête ici sur Amazon !

Votre prochaine barrette de RAM sera-t-elle un champignon ?

Par : Korben ✨
8 juillet 2026 à 12:18

Un champignon shiitake qui fait office de mémoire informatique genre RAM, c'est la trouvaille d'une équipe de l'Ohio State University. Et l'idée a l'air bien plus sérieuse qu'elle n'en a l'air...

John LaRocco et Qudsia Tahmina ont pris du mycélium de shiitake, l'ont cultivé sur des graines de farro, du germe de blé et du foin, puis l'ont déshydraté. Après une brève réhydratation, ils ont ensuite branché le tout à un oscilloscope et un microcontrôleur Arduino et là, le champignon s'est mis à fonctionner comme un memristor , c'est-à-dire un composant capable de se souvenir de son dernier état électrique.

Utilisé comme RAM, leur champignon magique a tenu jusqu'à 5 850 Hz avec une précision de 90 %, et ça grimpe à 95 % en basse fréquence. La performance chute donc quand on monte en fréquence, sauf que les chercheurs ont trouvé la parade. Il suffit en réalité de connecter plusieurs champignons ensemble sur le circuit, un peu comme des groupes de neurones qui bossent en équipe dans votre cerveau.

Alors vous allez me dire quel est l'intérêt de ce truc ?

Eh bien un memristor-champignon, c'est biodégradable, ça résiste aux radiations, ça encaisse la déshydratation, et ça coûte une misère à fabriquer et à alimenter. Et surtout, avoir des puces biologiques qui imitent l'activité neuronale réelle , ça veut dire qu'on n'a plus besoin d'une tonne d'énergie quand la machine tourne au ralenti ou ne sert pas. De quoi intéresser l'informatique embarquée, l'aérospatial, les wearables ou tout ce qui doit calculer des trucs sans grosse batterie. Détail rigolo, une partie des travaux est financée par le Honda Research Institute !

Maintenant, accrochez-vous, parce qu'un paquet de médias vous ont vendu ce champignon comme LA solution à la pénurie mondiale de RAM mais faut se calmer ! L'étude publiée dans PLOS ONE ne parle jamais de pénurie, et encore moins de Samsung, SK Hynix ou Micron et ce rapprochement n'a pas été fait par les chercheurs, mais par les journalistes.

Donc non, ce champignon n'est pas pour le moment une option afin de contrer la pénurie de RAM. Parce que soyons clairs, 5 850 Hz c'est mignon, mais votre DDR5 tourne dans les gigahertz ! On n'est pas du tout sur le même ordre de grandeur, ce qui fait que ce bon vieux shiitake ne remplacera pas votre barrette. Il vise plutôt tout ce qui est calcul neuromorphique basse conso, et pas du tout le marché du gaming, hein ^^.

La pénurie de RAM de cette année n'a rien de fongique. En fait, les trois géants qui pèsent près de 90 % de la production mondiale ont réorienté leurs usines vers la HBM, une mémoire ultra-rapide que s'arrachent les accélérateurs IA. Résultat, les prix de la DRAM ont bondi d'environ 90 % au premier trimestre, Micron a carrément lâché le marché grand public, et une class action déposée en Californie soupçonne les fabricants de s'être entendus sur les tarifs. On est donc loin des champignons du potager. Maintenant, si le sujet du silicium fait maison vous parle, jetez quand même un œil à ce type qui fabrique de la RAM dans sa cabane .

Mais bon, quoi qu'il en soit, faire de l'informatique avec du vivant, c'est possible depuis un petit moment. On a déjà vu des neurones artificiels en bactéries discuter avec nos cellules, et c'est probablement une piste pour la décroissance forcée qui va bientôt nous arriver dans la gueule.

Bref, ce champignon ne remplacera pas votre DDR5 de sitôt mais un composant biodégradable qui fait des calculs tout en résistant aux radiations, cultivé sur du foin et financé par Honda, perso je trouve que c'est cool ^^.

Source

GitLost - Un seul mot suffit pour faire cracher ses dépôts privés à l'IA de GitHub

Par : Korben ✨
8 juillet 2026 à 11:04

Et c'est reparti pour un tour ! Qu'est-ce que vous pensez d'un dépôt privé sur Github qui serait capable d'exfiltrer tout seul son propre code dans une section commentaire visible publiquement par tout le monde. Ce serait ouf non ?

Hé bien c'est le tour de passe-passe que Sasi Levi, de chez Noma Security, vient de réussir grâce à l'agent IA de GitHub. Et vous allez voir, c'est tout con, donc c'est hyper flippant.

Cette attaque s'appelle GitLost et la cible, c'est le GitHub Agentic Workflows, un système qui colle un agent IA (tournant sur Claude ou Copilot) à vos GitHub Actions pour qu'il bosse tout seul sur vos tickets. C'est un setup où l'agent a un accès en lecture à vos repos privés et se réveille dès qu'une issue lui est assignée. C'est super pratique, sauf que... c'est un vrai piège qui peut se refermer très vite sur vous.

Ça commence en fait par une simple issue dans un dépôt public. Rien de sorcier, pas de commit vérolé, pas de serveur MCP malveillant. Juste du texte, avec des instructions planquées en anglais au milieu du ticket. L'agent lit alors cette issue, tombe sur les instructions cachées à l'intérieur et les considère comme des ordres légitimes.

Et c'est là que ça part en couille, puisqu'après il part gentiment chercher le contenu d'un README qu'on lui demande dans un dépôt privé auquel il a accès (dans la démo, sasinomalabs/testlocal). Jusqu'ici, c'est l'exfiltration classique du prompt injection, sauf que d'habitude, il faut ruser pour faire sortir la donnée avec une image markdown piégée, une requête réseau vers un serveur qu'on contrôle, un canal caché...etc.

Mais dans le cadre de cette attaque GitLost, eh bien il n'y a pas besoin de tout ça. En fait, l'agent recopie bêtement le contenu privé dans un commentaire public sur l'issue de départ et c'est terminé. C'est donc lisible par n'importe qui passant sur le repo public.

Lors des tests, le modèle refusait quand même parfois d'obéir aux instructions cachées. Mais le chercheur a trouvé une parade qui est d'ajouter le mot "Additionally" dans le prompt. Ce simple connecteur suffit à lui faire reconsidérer son refus et exécuter la commande. Attention, "Additionally" n'est pas une formule magique qui débloque toutes les IA de la Terre, mais parfois ça suffit à faire sauter les garde-fous. C'est dire à quel point la sécurité de ces modèles est solide...

Si ça vous rappelle quelque chose, c'est normal. On a déjà eu CamoLeak , qui transformait Copilot en espion via un commentaire GitHub, avec une exfiltration bien plus léchée (image markdown, score CVSS de 9,6). Et en fait GitLost, c'est vraiment la version feignasse. En gros, c'est la même famille d'attaque, sauf que cette fois l'attaquant n'a pas à se fatiguer.

On avait aussi vu une bibliothèque Java piéger les IA codeuses pour qu'elles effacent vos tests, donc je pense que vous connaissez la chanson... Méfiez-vous des agents qui écrivent du code sans surveillance parce qu'ils sont devenus une véritable cible pour les cybercriminels.

Voilà, donc non, GitHub n'est pas "troué" et la config vulnérable est très précise puisqu'il faut un agent avec accès en lecture cross-repo ET déclenché par des entrées publiques. Et il y a très peu d'orgas qui tournent exactement comme ça. Noma a bien sûr signalé la faille à GitHub de façon responsable, aucune CVE n'a été attribuée à ce jour, et y'a eu aucune confirmation publique d'un correctif de leur côté pour le moment.

Ne traitez donc jamais le texte d'un utilisateur comme une instruction de confiance, isolez les entrées, collez au strict minimum de permissions. C'est le même délire quand on contrôle les entrées dans un formulaire finalement...

Source

On ne vivrait pas dans une simulation, et ça m'embête

Par : Korben ✨
8 juillet 2026 à 10:39

Vous pouvez ranger la pilule rouge tout de suite les amis car une équipe de physiciens menée par Mir Faizal vient d'affirmer, calculs à l'appui, que notre univers ne peut pas être une simulation informatique.

Et il n'annonce pas ça en mode "On n'a pas encore trouvé LA preuve", non... Apparemment, ce serait ferme et définitif. Et du coup ça me rend un petit peu tristoune et je vais vous expliquer pourquoi.

Leur papier est paru dans le Journal of Holography Applications in Physics, et s'appuie fortement sur une vieille "bombe" mathématique, les théorèmes d'incomplétude de Gödel , publiés en 1931.

En gros, Gödel a démontré que dans tout système de règles un peu costaud, il existe des vérités bien réelles mais qu'on ne pourra jamais démontrer depuis l'intérieur du système.

Faizal et son équipe ont donc repris cette idée en l'appliquant à la réalité et selon eux, le niveau le plus profond de l'univers réclame une "compréhension non-algorithmique". Cela veut dire que c'est un truc qui échappe à toute suite d'étapes programmables.

Et là, le raisonnement se referme tout seul puisque toute simulation est par nature algorithmique . Elle doit donc suivre des règles programmées. Et comme le socle de la réalité, lui n'est pas algorithmique, eh bien aucune simulation ni aucun ordinateur ne pourra jamais le recopier en entier. Bref, d'après eux, on peut tous oublier nos délires de "On est dans la matrice, Néo"...

Cette idée qu'on vive dans une simulation à l'origine, c'est Nick Bostrom qui l'a formulée en 2003, donc bien avant qu'Elon Musk en fasse son petit dada pour impressionner les filles en soirée. J'en avais déjà causé quand des chercheurs suggéraient que la gravité ressemblait à un bug dans la matrice , ou quand une IA se mettait à simuler l'univers sur un simple laptop . Bref, le sujet revient tout le temps ces dernières années !

Maintenant je vous l'accorde, ça reste un papier de maths et de logique et c'est pas une vraie expérience qu'on a réalisé dans le monde réel pour voir si ça se confirme. Donc ça se chamaille déjà sur arXiv pour dire que si ça peut pas se prouver, ça peut encore se discuter.

Donc le débat est loin d'être plié

Mais bon, si ces physiciens ont raison, ça m'embête parce que même si j'y croyais pas vraiment à cette histoire de simulation, c'était quand même bien pratique pour expliquer tout ce qui nous arrivait en ce moment à savoir toute cette connerie ambiante, cette ambiance Idiocratie ou Don't Look Up...etc.

Voilà, je me disais que la partie de Sim était en train de partir en couille. Mais il faut que je me rende à l'évidence, c'est juste comme ça... C'est l'univers, c'est la nature, on avance vers l'inconnu toujours plus loin dans la connerie, et ça ça me fait flipper. Beaucoup plus que des agents Smith et une réalité qui ne serait pas la "vraie" réalité. Désolé ^^

Source

❌
❌