Un développeur espagnol vient de prendre le contrôle de plus de 10 000 appareils DJI (dont 7 000 robots aspirateurs Romo - lien affilié) répartis dans 24 pays... en voulant juste piloter le sien avec une manette PS5.

Oui oui c'est un grand malade ^^.

À la base, Sammy Azdoufal, responsable IA chez Emerald Stay, voulait juste s'amuser avec son aspi alors il a d'abord essayé d'y connecter sa manette DualSense en Bluetooth, et puis il a fini par utiliser Claude Code pour décompiler l'appli mobile DJI (version Android) et reverse-engineerer les protocoles MQTT de DJI. Bien sûr, il lui fallait un token d'auth pour prouver qu'il était bien proprio du Romo et jusque-là, rien de méchant...

Sauf que le broker MQTT de DJI n'avait AUCUN contrôle d'accès au niveau des topics (c'est la chaîne de caractères qui sert d'adresse pour router les messages entre les publishers et les subscribers). Du coup, avec un seul token TLS, il voyait le trafic de tous les appareils en clair sur le broker cloud de DJI. Pas de brute force, pas d'exploit sophistiqué mais juste un pauvre token et un client MQTT.

Et hop, le voilà avec les flux vidéo des caméras embarquées, les micros, les plans 2D des maisons, les adresses IP et les numéros de série de milliers de machines. Un journaliste de The Verge lui a même filé son numéro de série, et depuis Barcelone, Azdoufal a pris le contrôle de son Romo, a pu voir qu'il était à 80% de batterie et en train de nettoyer le salon, pour finir par générer le plan de l'appart. Flippant hein ??

En gros, DJI avait un problème de validation de permissions côté backend. Ils l'ont patché début février sauf que... Azdoufal a trouvé une DEUXIÈME faille (un bypass du PIN caméra) qui serait toujours pas corrigée. Cerise sur le gâteau, les batteries DJI Power étaient aussi accessibles via cette archi MQTT. Ce sont de grosses batteries portables qu'on garde chez soit pour avoir un peu de jus en cas de coupure de courant ou quand on est off the grid..

Attention par contre, si vous avez un Romo, vérifiez bien que le firmware est à jour. Vous vous en doutez, DJI a d'abord nié le problème avant de finalement patcher mais bon, moi aussi j'ai une caméra sur mon aspi robot et comme j'adore me balader en slip chez moi, je plains le hacker qui passera par là... Et je vous raconte pas quand on aura des robots humanoïdes comme ce qu'on a vu avec la faille des robots Unitree , tiens...

Source

WorldMonitor , c'est un dashboard open source qui agrège en temps réel à peu près TOUT ce qui se passe sur la planète. Géopolitique, conflits armés, marchés financiers, menaces cyber, catastrophes naturelles, trafic maritime... le tout sur une carte interactive avec 35 couches de données superposables !

Le truc, c'est que c'est pas juste un agrégateur de news. Là-dedans y'a 150+ flux RSS, du tracking de 220+ bases militaires, du suivi de vols militaires en direct via ADS-B, de la surveillance des câbles sous-marins, et même de la détection de feux de forêt par satellite via NASA FIRMS.

Ah et y'a aussi 8 flux vidéo live (Bloomberg, Al Jazeera, France24...), un index d'instabilité par pays calculé en temps réel et il y a même l'indice Pizza du Pentagone .

Rien que ça !

Côté IA, le dashboard génère des briefs de situation via un LLM et bon, le plus sympa c'est que ça peut tourner en local si vous le désirez (c'est compatible avec Ollama et LM Studio). ZÉRO donnée ne sort de votre machine, du coup, pour ceux qui font de l' OSINT ou qui veulent juste surveiller ce qui bouge dans le monde, c'est du lourd.

Perso j'ai choisi World pour mon test car l'angle géopolitique est dingue et y'a aussi une variante Tech et une Finance si les marchés c'est votre came. Attention par contre, faut pas être allergique à la surcharge d'infos ! Et sauf si vous avez un écran ultra-wide, ça peut vite devenir le bordel.

Je vous avoue que c'est pas le truc que je vais utiliser au quotidien parce que je suis plutôt à fuir l'actualité internationale et même nationale pour me recentrer uniquement sur moi et sur l'actualité tech que j'aime tant. Mais pour les accro à l'anxiété, je pense que vous allez kiffer.

Voilà, ce projet tourne en TypeScript + React avec deck.gl pour le globe 3D, c'est dispo en 16 langues et y'a même une app desktop via Tauri. Après franchement, faut voir si votre ordi tient le coup avec tous ces flux en temps réel...

Merci à François pour le partage !

AsteroidOS , c'est une distro Linux open source qui tourne... sur des montres connectées ! Oui oui, du manchot au poignet et l'idée en fait, c'est de virer WearOS et toute la télémétrie Google qui va avec, pour le remplacer par un OS libre sans tracking ou de compte à se créer.

Ce projet existe depuis 2015 et supporte aujourd'hui une trentaine de montres (LG Watch, Huawei Watch, TicWatch, Asus Zenwatch, Fossil Gen 4/5/6...). Vous flashez votre tocante connectée, et vous récupérez un OS avec agenda, météo, chronomètre, boussole, moniteur cardiaque, contrôle musical et même un petit jeu. Le tout en Qt/QML, avec des cadrans communautaires et un affichage permanent !

Côté vie privée , c'est même le JOUR ET LA NUIT avec WearOS donc pour ceux qui flippent que leur montre balance tout à Mountain View, c'est plutôt rassurant.

Pour la synchro avec votre téléphone, y'a également AsteroidOSSync sur F-Droid ou Gadgetbridge . Si vous hésitez, sachez que Gadgetbridge est plus maintenu et plus universel. Ça couvre l'essentiel et si vous avez les chocottes, un mode dual-boot permet de tester sans virer WearOS.

Attention par contre, c'est pas la fête du slip non plus car y'a pas de store d'apps (faut pousser les APK en ligne de commande via ADB), pas de réponse aux appels depuis le poignet, et les apps WearOS ne tournent évidemment pas dessus. A moins que votre montre soit dans la liste officielle, n'y pensez même pas ! Faut aimer bidouiller, en fait mais ça, je sais que vous adorez ^^.

Et grâce à cet OS, vous atteindrez peut-être les 48h d'autonomie annoncées sur le site. Après faut voir en vrai évidemment... mais pour une distro communautaire portée par des passionnés depuis 11 ANS quand même, c'est honnête.

Merci à l'ami Lorenper pour la découverte !

VYALO , c'est une app iOS gratuite qui part d'un constat que tout le monde connaît... 9 résolutions sur 10 finissent à la poubelle. Vous savez de quoi je parle car on sort à peine du nouvel an et je pense que vous avez déjà abandonné le sport et la gentillesse sur les réseaux sociaux... Mais c'est normal car ces bonnes résolutions, on les fait dans son coin, sans personne pour nous secouer.

Heureusement celui qui va nous secouer pour nous aider à les tenir, c'est Nathan, dev solo de 22 ans en Haute-Savoie et fidèle lecteur de Korben.info qui eu une idée plutôt pas con : Vous faire surveiller par vos pôtes !!

En gros, vous posez vos objectifs ( sport , lecture, code, peu importe), vos amis voient si vous les validez ou pas grâce au système de suivi des jours consécutifs. La mise en route prend 3 clics, c'est pas la mer à boire et c'est 'achement mieux que les 45 rappels dans Calendrier.app que je m'inflige chaque lundi.

Y'a même des défis entre potes où le premier qui craque a perdu... l'enjeu, c'est vous qui le fixez donc ça peut être un resto, 50 pompes en story Instagram, un pari de 20 euros ou un bisou sur la bouche (pouah !)...etc. De quoi vous motiver !

Le VRAI morceau de son app, c'est surtout le mode Roast. Activez-le dans les réglages et l'app vous balancera des notifs hyper sarcastiques quand vous avez rien foutu de la journée. Genre "T'as encore rien fait aujourd'hui". Ça pique.

48 badges à débloquer, un feed social pour encourager (ou chambrer) ses potes, un mode focus avec sons d'ambiance , et des widgets sur l'écran d'accueil. Mon compte c'est @Korben si vous voulez venir me taquiner quand je fais pas mon sport de la journée...

Attention par contre, c'est iPhone uniquement pour l'instant, pas d'Android et pas de version web non plus. Et sauf si vous avez un groupe de potes ultra-motivés, le système d'accountability va tourner dans le vide. Donc faut des copains sérieux, en fait.

Pour un mec de 22 ans qui a TOUT fait seul (dev, design, marketing sur vyalo.app ) c'est pas mal du tout ! Bravo Nathan !

C'est fou ce qu'on peut faire avec trois bouts de ficelle et un peu de jugeote. Ou plutôt, avec 140 caractères de JavaScript et un élément . Si vous ne connaissez pas encore Dwitter , c'est le moment de sortir de votre grotte les amis... surtout si vous aimez les challenges et le code !

Le concept c'est que vous avez une fonction u(t) où t est le temps qui passe, et vous devez pondre un truc visuellement bluffant sans dépasser la taille d'un tweet (époque pré-Elon, le fameux 140 caractères). Et là, c'est la claque car les mecs qui participent à ce défi arrivent à caser des univers entiers, des forêts en parallaxe ou des simulations de colonies de fourmis dans un mouchoir de poche.

Et c'est du code pur jus, généré en temps réel par votre propre navigateur. J'ai d'ailleurs testé le fameux "Ants!" et on sent que KilledByAPixel (le boss final du site) a poussé l'optimisation dans ses derniers retranchements avec des astuces de sagouin comme eval(unescape(escape...)).

Dwitter, c'est né en 2016 lors de la demoparty Solskogen où son créateur lionleaf a d'ailleurs remporté la Wild Compo. Le projet est totalement open source (disponible sur GitHub pour les curieux) et la communauté est super active sur Discord.

En jetant un oeil au top de l'année sur la version Beta (beta.dwitter.net), on tombe sur des perles comme "Solar Orbit" qui vous colle un système planétaire en quelques octets :

Ou encore ce genre de forêts qui défile en parallaxe :

Le plus cool, c'est que tout est lisible et modifiable en direct. Vous voyez un truc qui vous plaît ? Hop, vous cliquez sur le code, vous changez une variable au pif et vous regardez le chaos s'installer. C'est l'école du partage version demoscene mais évitez quand même d'ouvrir 50 onglets en même temps si votre CPU date un peu, car certains shaders déguisés en JS peuvent être assez violents.

Bref, si vous avez 5 minutes à perdre (ou 2 heures, je vous connais), allez faire un tour sur le site. Ça vide la tête, ça pique un peu les yeux parfois, mais ça redonne foi en la créativité humaine !

Amusez-vous bien !

Si vous codez un peu avec des assistants IA, vous avez sûrement le même petit souci que moi chaque matin après mon premier café : Claude ou ChatGPT ? Lequel est le plus chaud aujourd'hui pour ce refactoring complexe ?

Hé bien j'ai trouvé un truc qui va mettre tout le monde d'accord.

Ça s'appelle Mysti et c'est une extension VS Code qui part d'un principe simple mais génial : Pourquoi se limiter à un seul cerveau quand on peut en avoir deux qui bossent ensemble ?

L'extension intègre ce qu'ils appellent le "Brainstorm Mode" où concrètement, vous sélectionnez deux modèles (par exemple Claude via claude-code et OpenAI via openai-codex) et vous les lancez sur votre problème.

On choisit son équipe de choc

Si vous activez le "Full Mode", c'est assez marrant à regarder puisque les deux IA vont discuter entre elles, débattre de la meilleure approche, critiquer les propositions de l'autre et finir par pondre une solution qui combine le meilleur des deux mondes. C'est un peu comme avoir deux seniors devs en pair programming derrière votre épaule (sans l'odeur de café froid et de dessous de bas ^^).

Ça discute sec entre les agents

Au-delà du brainstorming, Mysti propose aussi un système de Personas (16 au total). Vous pouvez alors demander à votre "équipe" IA d'adopter un rôle spécifique comme "Architecte" pour penser la structure globale ou "Security-Minded" pour auditer votre code. D'ailleurs, cette approche agentique rappelle un peu ce qu'on a vu émerger dans des outils comme Kilo Code .

L'IA propose un plan d'action avant de coder

Techniquement, attention car l'extension ne fait "que" piloter les outils CLI installés sur votre machine. Il faudra donc avoir installé et authentifié les CLI correspondants (@anthropic-ai/claude-code, @google/gemini-cli, etc.) pour que ça fonctionne. L'installation de l'extension elle-même passe par le Marketplace VS Code :

ext install DeepMyst.mysti

Perso, je trouve ça vraiment bien pour les tâches d'architecture, là où une seule IA a souvent tendance à foncer tête baissée. Avoir un "second avis" automatique, ça évite pas mal d'erreurs bêtes. Après si je devais lui trouver un défaut c'est que comme ça utilise vos propres clés API via les CLI, une session de débat intense peut vite consommer quelques tokens.

Je sais, vous vous en foutez parce que vous êtes blindé mais c'est à utiliser avec modération !

L'entraînement de l'oreille, c'est le truc que les musiciens amateurs repoussent en général à plus tard... Et puis après ils jouent faux ^^ !

Heureusement, pour vous améliorer, il existe Lend Me Your Ears qui est un jeu d'entraînement musical, 100% gratuit, dans le navigateur qui va vous permettre de vous entrainer à l'oreille sans prise de tête. Ce site c'est le boulot d'un seul dev, Shaun Pedicini et y'a pas besoin de compte ni d'abonnement.

Le principe c'est que le site joue une mélodie, et vous la reproduisez. En mode "Simon" les séquences s'allongent au fil des niveaux et si vous vous plantez, faut recommencer. Et en mode Practice, la difficulté monte progressivement avec un verrou pour bloquer un niveau et s'y acharner en boucle. Ça débute à 4 notes, puis ça augmente...

Pour jouer, y'a plusieurs options. Soit piano à l'écran (C3 à C6, trois octaves), ou un clavier MIDI, ou votre clavier d'ordinateur. Les touches ASDF jouent les notes blanches, QWERTY les noires.

Attention, au premier lancement (1 clic suffit), l'audio est muet car le navigateur bloque le son. Y'a aussi une entrée micro pour guitares et pianos acoustiques pour ceux qui veulent.

Et les réglages sont carrément fins. Vous choisissez parmi 24 gammes (majeures et mineures), vous ajustez le tempo de 40 à 220 BPM, et vous configurez votre niveau d'aide. Du mode "il vous montre la prochaine note" jusqu'au mode d'entraînement pur, où vous bossez entièrement de mémoire. Ce dernier, c'est pour les courageux !

Grâce à ça, 20 petites minutes par jour et vous progresserez ! La régularité, ça finit toujours par payer !

Vos photos dans iCloud, c'est une synchronisation, et pas un backup et même si la nuance est mince, quand on s'en rend compte, il est souvent trop tard... C'est pourquoi même si vous avez une confiance aveugle en Apple, si demain votre compte est supprimé pour une raison ou une autre, vous perdrez l'accès à vos précieuses photos. Et ça, on ne le veut pas ! Alors aujourd'hui, on va apprendre à en faire une sauvegarde.

Pour cela, on va utiliser osxphotos , une bibliothèque Python open source (MIT) qui lit directement la base SQLite de Photos.app pour en exporter tout le contenu. Ça tourne sur macOS de Sierra à Sequoia, et même sur Linux.

L'installation :

brew tap RhetTbull/osxphotos
brew install osxphotos

Et pour exporter tout votre catalogue de photos vers un disque externe il suffit d'entrer la commande suivante :

osxphotos export /Volumes/MonDisque/Photos --download-missing --update

--download-missing forcera le téléchargement depuis iCloud des photos pas encore présentes en local et --update fera le boulot incrémental, ne retraitant que les nouvelles photos ou celles modifiées depuis le dernier lancement.

Du coup, le premier export peut prendre des heures, et les suivants quelques secondes. L'outil génère d'ailleurs un .osxphotos_export.db dans le dossier de destination pour tracker ce qui a déjà été exporté. Je trouve ça un peu plus simple que d'exporter toute la grosse photothèque .photoslibrary à chaque coup.

Ensuite, pour automatiser, un cron suffit (vérifiez votre chemin avec which osxphotos - /opt/homebrew/bin/ sur Apple Silicon, /usr/local/bin/ sur Intel) :

0 3 * * * /opt/homebrew/bin/osxphotos export /Volumes/MonDisque/Photos --download-missing --update

Moi je l'ai mis tous les jours à 3h du mat ! Mais attention, disque non monté = 0 export, 0 erreur visible. Donc à moins que vous ayez un script de vérification du montage, vérifiez les logs de temps en temps. Pour une gestion plus propre des conditions de montage, launchd est quand même préférable, mais pour commencer, le cron fera très bien l'affaire.

Après si vous n'utilisez pas Photos.app mais juste iCloud depuis votre iPhone, regardez plutôt du côté de la sauvegarde iPhone sur disque externe . Et si vous voulez aussi mettre en sécurité vos données Apple Notes , ou les migrer sur Obsidian, c'est possible aussi.

Si vous écrivez de la fiction et que l'idée de savoir que vos brouillons dorment sur des serveurs américains AWS ça vous donne des boutons, je pense que LocalProse va vous intéresser.

Cet outil c'est un atelier d'écriture créative façon Scrivener , sauf que l'IA générative intégrée tourne entièrement en local sur votre CPU ou votre GPU. Le logiciel est développé en Flutter par Alexandre, un dev indé basé à Montauban qui est un lecteur de korben.info et aussi auteur de roman .

Dans l'outil vous retrouverez pèle mêle un éditeur sans distraction avec timer Pomodoro, de la dictée vocale ou plutôt un mode de capture d'idées mains-libres, un système de gestion d'univers pour organiser vos personnages et décors avec des fiches relationnelles et une fonction d'audit de cohérence narrative.

Comme ça, si votre héros change de couleur de yeux entre le chapitre 3 et le 12, l'outil peut le repérer et vous avertir. C'est hyper pratique ! Côté export, vous avez du DOCX, TXT et PDF en version gratuite, et l'EPUB en plus avec le mode Pro.

Car oui, l'app est gratuite mais les fonctions IA sont dispo en mode Pro (9,90 €/mois ou 99 €/an, après 7 jours d'essai). Elle fonctionne aussi sous Linux et vient aussi d'être publiée sur le Microsoft Store. Par contre, attention, la version macOS exige un Apple Silicon (M1+).

Et côté ressources, comptez entre 8 et 13 Go de stockage pour les modèles IA locaux, plus 16 Go de RAM (à moins que vous soyez sur Apple Silicon, qui gère ça nativement), et idéalement une NVIDIA RTX 8 Go de VRAM pour que ça tourne vraiment bien.

Bref, si vous cherchez un Scrivener avec IA 100% locale, c'est sur localprose.com que ça se passe !

Voilà.

Merci à Alexandre !

Vous avez vu le bazar chez VMware depuis que Broadcom a racheté la boîte ? Les prix qui flambent, les licences qui changent tous les quatre matins, les clients historiques qui reçoivent des factures multipliées par je sais pas combien... C'est la panique générale dans les DSI !

Et pendant ce temps-là, y'a une boîte française basée à Grenoble qui se frotte les mains. Pas par schadenfreude hein, mais parce qu'ils bossent depuis 2012 sur une alternative open source à VMware. Vous l'aurez compris, je parle de Vates et de leur stack complète baptisée Vates VMS.

J'ai donc eu l'occasion de mettre les mains dans le cambouis avec leur lab de test la semaine dernière. Ils m'ont prêté 3 serveurs HPE Moonshot rien que pour moi, avec accès VPN, et carte blanche pour faire mumuse. J'avoue, au début je pensais galérer avec la config réseau... Eh bah non. J'installe XCP-ng en une dizaine de minutes, je configure le VLAN qui va bien, et c'est parti.

Mais avant, je vous propose de poser un peu les bases pour ceux qui débarquent. Vates VMS, c'est une suite complète qui comprend XCP-ng (l'hyperviseur bare-metal de Type 1, basé sur Xen... oui oui, le même Xen qui fait tourner AWS depuis des lustres) et Xen Orchestra (l'interface web pour tout gérer). Le tout en 100% open source, hébergé par la Linux Foundation.

Et là vous allez me dire "ouais mais open source, c'est souvent la version bridée avec les vraies features payantes". Eh bien non, chez Vates c'est différent ! En fait, tout est dispo gratos sur GitHub. Leur modèle économique repose sur le support et l'accompagnement, et pas sur des licences à la c*n facturées au core ou au socket. Un prix fixe par serveur physique, point barre. Comme ça y'a pas de surprise sur la facture, ni de calculette à sortir quand vous ajoutez de la RAM.

D'ailleurs, ils viennent de sortir Xen Orchestra 6, entièrement réécrit en Vue.js. Et pour l'avoir testé, je peux vous dire que l'interface est vraiment fluide, moderne, et surtout pensée pour qu'on s'y retrouve sans avoir besoin d'un doctorat en VMwarologie. Vous gérez vos VMs, vos backups, vos migrations, votre monitoring... tout ça depuis un navigateur sur n'importe quel OS.

Et y'a même XO Lite, une version ultra-légère embarquée directement dans XCP-ng pour les opérations de base. Bon, faut pas s'attendre à tout gérer avec ça car c'est vraiment pour le dépannage quand vous n'avez pas accès au serveur principal. Mais c'est pratique quand vous êtes en déplacement et qu'il faut redémarrer une VM en urgence.

Pour les boîtes qui veulent se barrer de VMware, ils ont également développé des outils de migration V2V. Ça fonctionne pour 90% des usages VMware existants (attention quand même aux configs exotiques avec du vSAN ou des plugins proprio, là faut prévoir un peu plus de boulot). Et l'architecture est suffisamment proche de VMware pour que la transition se fasse sans tout réinstaller from scratch.

Côté fonctionnalités avancées, y'a également XOSTOR pour ceux qui veulent faire de l'hyperconvergence. C'est leur SAN virtuel basé sur DRBD qui transforme vos disques locaux en stockage partagé avec réplication et haute disponibilité. Comme ça, plus besoin de SAN externe hors de prix, puisque vos serveurs XCP-ng deviennent un cluster de stockage distribué.

Pour les DevOps, c'est aussi la fête ! Terraform, Pulumi, Ansible, API REST, CLI... tout y est. J'ai pas eu le temps de tester Terraform en profondeur, mais le provider XO existe bien sur le registry HashiCorp. Ils ont même un projet Pyrgos pour déployer Kubernetes directement depuis Xen Orchestra. Bref, c'est cloud-native ready.

Perso, ce qui m'a vraiment convaincu durant mes tests, c'est qu'on n'a pas 15 outils différents avec lesquels jongler. J'ai bien sûr testé la création de VM, les snapshots, les backups incrémentaux... tout passe par la même interface. Un seul éditeur qui maîtrise toute la stack, de l'hyperviseur jusqu'aux sauvegardes, c'est quand même le kiff. Sans oublier la doc qui est claire comme de l'eau de roche et le support répond vraiment (enfin pour ceux qui prennent un contrat, sinon y'a la communauté qui est plutôt active sur le forum).

Côté références, ils ont plus d'un millier de clients dans le monde entier. Même la NASA utilise les outils de Vates (hé ouais quand même, c'est la classe !), sans oublier des universités, des hôpitaux, l'ANSSI... C'est du sérieux !

Et pour les administrations françaises qui doivent passer par les marchés publics, Vates est référencé chez CAIH, CANUT et UGAP. Du coup pas besoin de monter un appel d'offres complexe, vous pouvez commander directement via les catalogues. Et si vous vous demandez comment ça se compare à ESXi ou à Proxmox , sachez que l'architecture est vraiment proche de VMware (donc migration facilitée), mais avec la philosophie open source en plus.

Alors oui, c'est un article sponsorisé, mais sincèrement si vous êtes sur VMware et que vous regardez vos factures arriver avec des sueurs froides depuis le rachat par Broadcom, ça vaut vraiment le coup de jeter un œil. C'est français, c'est open source, c'est maintenu par une équipe d'une centaine de personnes et ça fait très bien le taf.

Y'a même un essai d'un mois pour tester avant de se décider, histoire de ne pas acheter chat en poche (oui c'est une vraie expression du XVe siècle que je viens de découvrir alors je vous la transmets, faites en bon usage).

Bref, si la souveraineté numérique et l'indépendance technologique c'est votre truc (ou si vous en avez juste marre de vous faire racketter), allez voir ce qu'ils proposent , c'est top !

Si vous avez déjà eu besoin de montrer une app en dev à un client ou de tester un webhook Stripe sans vous farcir une config nginx, y'a de fortes chances que vous connaissiez ngrok .

Hé bien Tunnelto fait sensiblement la même chose, mais en Rust et avec un truc en plus qui fait la différence : un dashboard d'introspection pour voir tout ce qui passe dans le tunnel.

Du coup, vous lancez une commande, vous récupérez une URL publique genre votresite.tunnelto.dev, et hop, votre localhost devient accessible depuis n'importe où. Et surtout, vous pouvez inspecter toutes les requêtes HTTP qui transitent. Super utile quand vous débuguez une API ou que vous essayez de comprendre pourquoi ce foutu webhook ne se déclenche pas.

Pour l'installer, plusieurs options s'offrent à vous :

Sur macOS via Homebrew :

brew install agrinman/tap/tunnelto

Via Cargo :

cargo install tunnelto

Et pour exposer votre app qui tourne sur le port 8000 :

tunnelto --port 8000

C'est tout ! Le service vous file une URL avec un sous-domaine aléatoire. Mais si vous voulez quelque chose de plus mémorable, vous pouvez demander un sous-domaine custom :

tunnelto --port 8000 --subdomain monprojet

Et vous obtenez monprojet.tunnelto.dev. Pas mal pour une démo client, non ?

Bon, si vous avez suivi mes articles sur Bore ou Tunnl.gg , vous vous demandez peut-être la différence. Bore est ultra-minimaliste, Tunnl.gg ne nécessite même pas de client à installer... Tunnelto se situe entre les deux : plus complet que Bore avec son dashboard d'introspection, mais plus léger que ngrok avec son approche open source.

D'ailleurs, y'a un truc cool avec Tunnelto c'est que vous pouvez héberger votre propre serveur si vous ne voulez pas dépendre d'un service tiers. Pratique pour les entreprises qui veulent garder le contrôle sur leurs tunnels. Sous le capot, ça utilise également tokio pour l'async Rust, donc c'est rapide et ça consomme que dalle en ressources.

Bref, si ngrok vous paraît trop usine à gaz et que Bore manque de fonctionnalités pour vous, Tunnelto fera bien le taf surtout avec son module d'inspection du trafic HTTP, qui fait la diff quand on débugue des intégrations...

Source

Le dossier .github est un petit répertoire magique que vous avez sûrement déjà croisé à la racine de vos dépôts préférés. Il est là, non pas pour faire joli ou pour planquer vos secrets de fabrication (pour ça, y'a les secrets GitHub, hein), mais plutôt pour centraliser plusieurs fichiers de configuration reconnus nativement par la plateforme.

C'est un peu le centre de commande de votre repo. Et le truc qui est fort, c'est que si vous avez une organisation avec 50 projets, vous pouvez même créer un dépôt public spécial nommé .github qui servira à fournir des fichiers de santé communautaire et des templates par défaut pour tous les dépôts de votre organisation qui n'ont pas déjà leurs propres fichiers équivalents.

Et comme ça, dès qu'un dépôt a quoi que ce soit dans son propre .github/ISSUE_TEMPLATE/, il ne prendra plus les templates par défaut de l'orga.

Pratique pour les grosses flemmasses comme vous quoi !

Les templates d'Issues et de PR pour structurer les échanges

On a tous reçu une issue qui dit juste "ça marche pas". C'est relou, ça fait perdre du temps et on a envie de répondre par un gif de chat qui boude.

Alors pour éviter ça, créez un dossier .github/ISSUE_TEMPLATE/. Vous pouvez y coller des fichiers Markdown ou YAML pour encourager les gens à donner les infos de base (version de l'OS, étapes pour reproduire, etc.). Et faites pareil pour les Pull Requests avec un fichier PULL_REQUEST_TEMPLATE.md (à la racine, dans docs/, ou dans .github/, selon votre tambouille).

En gros, ça vous permet de guider vos contributeurs pour qu'ils ne fassent pas n'importe quoi.

GitHub Actions pour détecter les régressions

C'est LE grand classique !

Dans .github/workflows/, vous balancez vos fichiers YAML pour automatiser vos tests, votre linting ou vos déploiements. Bien sûr, pour vraiment ne pas "casser la prod", il faudra coupler ça à des règles de protection de branche (status checks requis) pour bloquer les merges si les tests échouent.

D'ailleurs, si vous voulez tester vos actions sans attendre la file d'attente des runners GitHub, je vous avais parlé de Wrkflw pour tester ça en local . C'est un outil tiers bien pratique pour valider vos workflows sur votre machine.

Les fichiers de "Santé Communautaire"

Si vous voulez que votre projet open source ressemble à autre chose qu'un champ de bataille au petit matin, il faut poser des règles.

GitHub reconnaît automatiquement des fichiers comme CODE_OF_CONDUCT.md, CONTRIBUTING.md ou même FUNDING.yml pour gratter quelques pièces pour votre café ;). Ce sont des fichiers qui aident à dire aux gens comment se comporter et comment vous aider efficacement sans avoir à surveiller votre voisin.

Guider Copilot avec des instructions sur mesure

C'est la petite nouveauté qui vous permet d'ajouter un fichier .github/copilot-instructions.md avec à l'intérieur, une liste de vos standards de code, vos libs préférées ou vos conventions de nommage.

Comme ça, hop, Copilot tiendra compte de ces instructions pour ses suggestions (même s'il garde parfois son petit caractère, hihi). Et vous pouvez même aller plus loin avec des fichiers NAME.instructions.md dans .github/instructions/ qui ciblent des dossiers specifiques via des patterns glob... à condition de mettre un frontmatter applyTo: au début, sinon Copilot les ignorera gentiment...

C'est parfait pour garder un code propre.

CODEOWNERS et Dependabot

Enfin, pour les projets qui commencent à prendre de l'ampleur, le fichier CODEOWNERS (placé dans .github/, ou à la racine, ou dans docs/... GitHub prend celui de .github/ en premier s'il y en a plusieurs) permet de définir qui est responsable de quelle partie du code. Dès qu'une PR touche à un fichier sensible, GitHub demande automatiquement la review aux bonnes personnes.

Et n'oubliez pas .github/dependabot.yml pour que l'outil vous ouvre des pull requests dès qu'une dépendance est à la bourre.

On automatise le bien relou pour ne garder que du criss de fun !

Voilà les amis, si vous aimez bidouiller vos dépôts pour qu'ils tournent tout seuls ou presque et garder un semblant d'organisation, ce dossier .github sera votre meilleur poto !

Source

On s'imagine souvent que les botnets, c'est un truc réservé aux PC vérolés de gamers qui téléchargent n'importe quoi. Sauf que non ! Votre box, votre routeur, ou n'importe quel appareil connecté de votre réseau domestique peut très bien faire partie d'un réseau de machines zombies sans que vous le sachiez.

C'est pour lutter contre ça que les gens de chez GreyNoise (une boîte spécialisée dans l'analyse des menaces réseau) ont lancé un outil gratuit pour vérifier en quelques secondes si votre IP a été repérée dans des activités de scanning suspectes. Ça s'appelle IP Check , vous allez sur le site, vous cliquez, et hop, le verdict est immédiat.

Quatre verdicts sont alors possibles. Soit votre IP est "Benign" et vous pouvez dormir tranquille. Soit elle est marquée "Malicious" ou "Suspicious", ce qui signifie qu'elle a été repérée en train de scanner Internet ou de participer à des activités louches. Soit c'est "Unknown", ce qui veut dire qu'elle n'a tout simplement jamais été vue par leurs sondes. L'outil indique aussi si votre IP appartient à un service connu (VPN, cloud, entreprise) grâce à leur base de données RIOT.

Le truc c'est que si votre IP est flaguée, l'outil vous affichera une timeline sur 90 jours, soit de quoi faire un petit diagnostic pour voir depuis quand une activité suspecte a été observée sur votre connexion. Parce que oui, le risque c'est que des botnets peuvent utiliser les connexions de particuliers comme relais pour leurs saloperies, et votre IP peut alors se retrouver sur des listes de réputation douteuse. Du coup vous vous tapez des CAPTCHA à répétition, des refus d'accès sur certains sites, ou des restrictions bizarres sur les services de streaming.

Et pour les amateurs de ligne de commande, y'a même une API JSON qui renvoie le statut de l'IP appelante !

curl -s https://check.labs.greynoise.io/api/v1/check | jq

Envie de gérer vos emails sans sortir de votre terminal ? Si vous êtes du genre à passer votre vie dans une console (genre pour les mecs comme moi quoi...), vous savez que les clients mails classiques sont souvent des usines à gaz qui mangent de la RAM pour rien.

C'est là qu'intervient Himalaya CLI .

C'est un client email écrit en Rust, donc autant vous dire que ça envoie du bois niveau rapidité et sécurité. L'idée, c'est de proposer un outil qui fait une seule chose mais qui la fait bien à savoir gérer vos courriers électroniques directement en ligne de commande, sans chichi.

Le truc cool, c'est qu'il est super polyvalent. Il gère le multi-compte sans broncher (Gmail, Outlook, iCloud, Protonmail...), supporte l'IMAP et le SMTP, mais peut aussi bosser avec des boîtes locales au format Maildir ou Notmuch. Pour les paranoïaques de la sécurité, le support PGP est de la partie pour chiffrer vos échanges, et il s'intègre même avec le trousseau de clés de votre OS pour stocker vos mots de passe proprement.

Pour l'installer en tant que user, c'est archi-simple :

curl -sSL https://raw.githubusercontent.com/pimalaya/himalaya/master/install.sh | PREFIX=~/.local sh

himalaya

Mark Zuckerberg a témoigné devant un tribunal de Los Angeles dans un procès important. Le sujet ? Les effets d'Instagram et Facebook sur la santé mentale des adolescents, avec près de 1 600 plaintes de familles et de districts scolaires américains regroupées dans cette affaire. Des documents internes accablants ont été dévoilés à l'audience.

Un procès hors norme

C'est devant la Cour supérieure de Los Angeles que le patron de Meta s'est présenté pour répondre aux accusations. Ce procès test doit déterminer si Instagram et Facebook ont contribué à dégrader la santé mentale des adolescents qui les utilisent. L'audience a démarré avec le témoignage de Kaley, une jeune femme de 20 ans qui a commencé à utiliser YouTube à 6 ans et Instagram à 9 ans. Son avocat, Mark Lanier, a déroulé devant le jury un collage de plus de 10 mètres composé de centaines de selfies qu'elle avait postés sur la plateforme. Dépression, dysmorphie corporelle, idées suicidaires : la jeune femme a décrit un parcours que des milliers d'autres familles affirment avoir vécu.

Des documents internes chocs

Et des preuves, il y en a : les avocats des plaignants ont sorti des documents internes de Meta qui datent de 2015. On y apprend qu'Instagram comptait à l'époque quatre millions d'utilisateurs de moins de 13 ans, soit environ 30 % des enfants américains de 10 à 12 ans. Un mémo de 2018 est encore plus direct : « Si on veut gagner gros avec les ados, il faut les attraper quand ils sont pré-ados ». Difficile d'être plus explicite.

Un autre document interne, daté de 2020, montre que les enfants de 11 ans avaient quatre fois plus de chances de revenir sur Facebook que les autres tranches d'âge. Zuckerberg a reconnu que les outils de protection avaient mis du temps à arriver. Il a même déclaré : « j'aurais aimé qu'on y arrive plus tôt » devant le tribunal. Sur les filtres de beauté, il a évoqué un compromis : les laisser disponibles sans les recommander.

Mais quelle défense pour Meta ?

Meta et Google, aussi visés dans cette procédure, défendent la même ligne : les réseaux sociaux ne causent pas directement de troubles psychologiques chez les jeunes. Probablement un peu embarrassés, les avocats de Meta expliquent que des dizaines de protections ont été mises en place ces dernières années, et aussi que la responsabilité incombe surtout aux parents. Le procès devrait durer six semaines, et d'autres dirigeants seront appelés à témoigner. L'enjeu dépasse clairement cette salle d'audience : si les plaignants obtiennent gain de cause, ça pourrait déclencher des milliers d'autres procédures à travers les États-Unis.

On a tous en tête un gosse qui passe ses journées sur TikTok ou Instagram, et ce procès met des visages et des chiffres sur ce problème qu'il est compliqué d'ignorer désormais. Le mémo « attrapez-les quand ils sont pré-ados » fait vraiment froid dans le dos. Reste à voir si ce procès changera quoi que ce soit, ou si dans cinq ans on en sera encore au même point, à regarder nos gamins scroller à l'infini en se disant que quelqu'un devrait faire quelque chose.

Article invité publié par Vincent Lautier .
Vous pouvez aussi me lire sur mon blog , sur Mac4ever , ou lire tous les tests que je publie ici, comme cette Webcam 4K , ou ce dock Thunderbolt 5 .

Aujourd'hui j'aimerais vous parler un peu de bidouille et plus particulièrement de domotique . Hé oui, si comme moi, vous en avez marre que tous vos objets connectés passent par des serveurs chinois (souvent à la sécurité douteuse) ou américains (souvent directement connecté à la NSA) pour vous dire qu'il fait 22°C dans votre salon, on va voir comment ensemble créer ses propres capteurs 100% locaux avec ESPHome .

ESPHome, c'est un framework open source qui transforme n'importe quel ESP32 ou ESP8266 en appareil connecté intelligent sans vous prendre la tête. Vous écrivez un petit fichier YAML, vous flashez la puce, et hop, vous avez un capteur qui cause directement avec Home Assistant. Comme ça y'a pas de cloud et encore moins de données qui partent on ne sait où.

Et c'est hyper accessible... Suffit de savoir remplir un fichier texte avec quelques indentations (le fameux YAML), et voilà vous savez utiliser ESPHome.

ESPHome fait partie de l'Open Home Foundation ( Source )

Ce qu'il vous faut

• Un ESP32 (genre un Wemos D1 Mini ou un NodeMCU)
• Un capteur DHT22 (température et humidité)
• Quelques fils Dupont
• Temps estimé : 30 minutes

Niveau branchement, c'est pas sorcier. Le DHT22 a 3 broches utiles : VCC sur le 3.3V de l'ESP, GND sur GND, et DATA sur un GPIO de votre choix (le GPIO4 marche nickel). Pensez aussi à ajouter une résistance de 4.7kΩ entre DATA et VCC si vous voulez des lectures béton (beaucoup de modules l'ont déjà intégrée, mais vérifiez bien).

source

Ensuite, pour installer ESPHome sur votre ordi, ça se passe avec pip :

pip install esphome

esphome:
 name: capteur_salon

esp32:
 board: esp32dev

sensor:
 - platform: dht
 pin: GPIO4
 temperature:
 name: "Température Salon"
 humidity:
 name: "Humidité Salon"
 update_interval: 60s

esphome run capteur_salon.yaml

Recalbox vient de publier la version 10 de sa distribution open-source française dédiée au rétrogaming. Au programme, le support du Raspberry Pi 5 et du Pi 500, l'arrivée sur Steam Deck en version LCD et OLED, de nouvelles émulations dont la Xbox originale et la GameCube, une interface entièrement revue, et du matériel dédié pour les fans de CRT et de bornes d'arcade. Que du bon.

Du Raspberry Pi 5 au Steam Deck

La version 10 de Recalbox élargit donc son catalogue de matériel compatible, et pas qu'un peu. Le Raspberry Pi 5 est désormais pris en charge, y compris dans sa version 2 Go de RAM, tout comme le Raspberry Pi 500. Mais surtout, la distribution débarque sur les consoles portables PC. Le Steam Deck, en version LCD comme OLED, profite d'une intégration qui gère la luminosité et le mode veille directement depuis l'interface. La très bonne Asus ROG Ally et le Lenovo Legion Go débarquent aussi, même si le support reste expérimental pour le moment. On passe quand même d'un projet pensé pour Raspberry Pi à une distribution qui tourne sur une tonne de machines différentes.

Une interface repensée

Côté émulation, la version 10 ajoute la Xbox originale exclusivement sur PC et Steam Deck (sous réserve de puissance suffisante). Sur Raspberry Pi 5, ce sont la GameCube, la Wii, la Nintendo DS et le Sega Model 3 qui font leur entrée. Si ces systèmes tournent de manière fluide dans la majorité des cas (environ 80 %), on atteint ici les limites matérielles du Pi 5 : certains titres très gourmands pourront donc montrer quelques signes de ralentissement.

Du matériel pour les fans de rétro

Pour ceux qui veulent aller plus loin que le logiciel, Recalbox continue de proposer du matériel dédié de qualité. Le RGB DUAL 2 et le RGB JAMMA 2 permettent de brancher des écrans CRT et des bornes d'arcade avec une gestion dynamique des résolutions. Le projet pousse le concept encore plus loin avec le Recalbox Card Reader et ses RecalCards, des cartouches physiques qui lancent un jeu quand on les insère, à l'ancienne. Et si vous cherchez du clé en main, la boutique propose des kits RecalTower préinstallés avec Raspberry Pi 5, et ça on aime.

J'ai toujours un Raspberry Pi avec Recalbox chez moi, et tout ceci me donne bien sûr très envie de tout mettre à jour !

Article invité publié par Vincent Lautier .
Vous pouvez aussi me lire sur mon blog , sur Mac4ever , ou lire tous les tests que je publie ici, comme cette Webcam 4K , ou ce dock Thunderbolt 5 .

Si vous avez grandi dans les années 90 ou 2000 , il y a de fortes chances que vous ayez connu cette époque un peu étrange où le DVD tentait de devenir le centre de divertissement ultime. On achetait nos films en boite, on les collectionnait fièrement sur nos étagères, et on passait parfois pas mal de temps à naviguer dans des menus (souvent en 4/3) avec notre télécommande.

Mais est-ce que vous vous souvenez de ces fameux "jeux" planqués dans les bonus ?

C'était un truc de fou quand on y repense. Certains éditeurs voulaient absolument exploiter le côté "Digital Versatile Disc" et nous pondaient des mini-jeux interactifs. C'était un peu l'équivalent informatique du bouclier de Captain America, ça protégeait l'intérêt du disque en rajoutant une couche de fun (ou de frustration, c'est selon). Un peu comme ces émissions télé des années 80/90 qui nous faisaient rêver de futur interactif.

Dans cette vidéo géniale de la chaîne memoria.exe , on suit une exploration de ces pépites dénichées chez Goodwill. Le concept est de tester des jeux sur des DVD de films que l'on n'a même pas vus, juste pour l'expérience "gaming". Et le moins qu'on puisse dire, c'est que c'est souvent techniquement pété.

Vous utilisiez les flèches de votre télécommande de salon pour déplacer un curseur ou faire des choix. C'était poussif, avec une latence perceptible due aux limites de l' authoring DVD et aux accès mécaniques du lecteur (le fameux bruit de moulin à café au moindre clic), mais on s'en foutait, c'était "interactif" !

– Article invité, rédigé par Vincent Lautier , contient des liens affiliés Amazon –

UGREEN nous a envoyé en test sa WebCam haut de gamme FineCam Pro 4K , une webcam équipée d'un capteur CMOS 1/2 pouce de 8 mégapixels, bien plus grand que ce qu'on trouve habituellement à ce prix. Avec un autofocus PDAF, des contrôles gestuels et un tarif correct, c’est un produit franchement sympa pour ceux qui veulent améliorer leur image en visio sans se ruiner.

Un vrai bon capteur

C'est le gros argument de cette FineCam Pro 4K : son capteur CMOS de 1/2 pouce, capable de capturer 8 mégapixels. Pour une webcam, c'est franchement pas mal. Là où la plupart des modèles se contentent de capteurs minuscules qui galèrent dès que la lumière baisse, celui-ci capte bien plus de lumière et produit une image nettement plus propre, même dans un bureau mal éclairé. En 4K à 30 images par seconde, le niveau de détail est très bon, et le mode 1080p à 60 fps assure une fluidité confortable pour les visios où vous bougez beaucoup, même si ça reste assez gadget de passer à une telle vitesse.

Autofocus, gestes et double micro

Pour ce qui est de la mise au point, la marque a intégré un système qui ajuste la netteté automatiquement en temps réel, que vous soyez à 10 centimètres de la caméra, ou à 5 mètres. Vous bougez la tête, vous vous levez pour montrer un truc, la caméra suit la mise au point sans problème. Pour aller plus loin il y a des contrôles gestuels pour activer le zoom ou le recentrage, sans installer quoi que ce soit, tout est intégré dans la caméra. Vous avez aussi deux micros avec réduction de bruit active pour isoler votre voix du bordel ambiant autour de vous, ça fonctionne très bien. Un petit bouton permet aussi de choisir des filtres de couleur directement au niveau de la caméra, donc sans installer de logiciel là aussi, c'est rigolo.

(Beau gosse)

Bien équipée, bien placée

La webcam dispose d'un cache de confidentialité physique, et c'est un vrai bon point si vous êtes un peu parano. Elle est livrée avec un support magnétique et un adaptateur USB, et elle fonctionne sous Windows, macOS et Linux sans installer quoi que ce soit. Côté prix, elle est affichée aux alentours de 120 euros, mais une promo la fait passer sous la barre des 100 euros en ce moment. Il y a un autre accessoire qui est livré avec et qui change tout pour moi, c’est le petit trépied qui permet de poser, si on le souhaite, la Webcam sur le bureau, plutôt que sur l’écran. Parce que oui, moi je ne peux pas mettre de Webcam sur mon écran, parce que j’ai déjà une barre lumineuse de chez BenQ ( que j’ai testée ici ).

Bref, cette FineCam Pro 4K a pas mal d'atouts. Le capteur 1/2 pouce est clairement top, surtout dans cette gamme de prix, et ça se voit à l'usage. Les contrôles gestuels sont un plus sympa (même si on ne s'en sert pas tous les jours), et le bundle d'accessoires est nickel. Pour 120 euros, on est sur un bon rapport qualité-prix pour les visioconférences et le streaming. C’est un super choix pour qui veut passer un cran au-dessus de la webcam intégrée dégueulasse de son Mac ou de son PC portable. En tout cas moi je valide.

Notez qu’en ce moment elle est même à moins de 100 euros, il vous suffit de cocher un coupon sur Amazon au moment de la commander ! Dispo ici .

Article invité publié par Vincent Lautier .
Vous pouvez aussi me lire sur mon blog , sur Mac4ever , ou lire tous les tests que je publie ici, comme ce dock Thunderbolt 5 ou ce chargeur Anker Prime 250W .