Un commit qui change tout dans le petit monde de FFmpeg vient d’atterrir sur leur Git : L’intégration native de Whisper. Mais siii, vous savez, cette IA de reconnaissance vocale open source d’OpenAI. Eh bien maintenant, elle débarque directement dans votre outil de traitement vidéo favori.
Alors, ça veut dire quoi en français ? Et bien plus besoin de jongler entre plusieurs outils pour transcrire une vidéo. Terminé le bon vieux temps où il fallait extraire l’audio, le balancer dans un script Python avec Whisper, récupérer la transcription, la formater en SRT, puis la réinjecter dans FFmpeg.
Maintenant, tout se fait d’un coup avec une seule ligne de commande.
Le commit responsable de cette petite révolution, c’est celui de Vittorio Palmisano, daté du 17 juillet dernier et intégré par Michael Niedermayer le 8 août. Ce développeur a créé en fait un filtre audio qui s’appuie sur whisper.cpp, la version optimisée de Whisper qui tourne comme une bombe sur CPU et GPU.
Ce qui est particulièrement malin dans cette intégration, c’est le paramètre “queue” qui vous permet de doser entre rapidité et qualité. Avec une valeur de 3 secondes par défaut, vous avez une transcription qui se met à jour fréquemment mais avec une précision correcte. Si vous poussez à 10-20 secondes, la qualité monte d’un cran mais vous sacrifiez la réactivité. Un compromis classique, mais au moins vous avez le choix.
Pour les gros volumes, il y a même le support GPU pour décharger le boulot de transcription sur votre carte graphique. Et si vous voulez être encore plus précis, vous pouvez activer la VAD (Voice Activity Detection) qui va découper intelligemment votre audio selon les pauses dans la parole.
Le filtre peut sortir directement en format SRT pour vos sous-titres, mais aussi en JSON si vous voulez envoyer le résultat vers un service web, ce qui est super pratique pour intégrer ça dans une chaîne de traitement automatisée.
Cette intégration marque un tournant pour FFmpeg qui sort de son rôle traditionnel de couteau suisse multimédia pour embrasser l’IA qui visiblement devient suffisamment mature pour être intégrée nativement dans nos outils de base.
Maintenant, pour compiler FFmpeg avec ce nouveau super pouvoir, il faut ajouter l’option --enable-whisper à la configuration et s’assurer que whisper.cpp est installé sur votre système. Normalement, rien de bien sorcier si vous avez l’habitude de compiler des trucs mais moi j’en ai chié comme pas possible.
Simple, efficace, et ça fonctionne aussi bien sur des fichiers pré-enregistrés que sur des flux audio en direct. La transcription automatique est maintenant accessible à tous ceux qui maîtrisent FFmpeg.
J’ai pris 15 secondes d’une vidéo à moi, et j’ai fait tourner le modèle Large V3 de Whisper au travers de FFmpeg et ensuite, j’ai incrusté (toujours avec FFmpeg) les sous-titres dans la vidéo. Voici ce que ça donne (extrait de 15 sec) :
Si vous ne savez pas compiler ce truc, pas de soucis, puisque cette nouveauté sera disponible dans FFmpeg 8.0 qui devrait sortir dans les prochaines semaines.
Alors vous voyez déjà quels usages vous pourriez en faire ?
Cette recommandation révèle surtout une incompréhension totale de ce qui se passe réellement dans les datacenters. Parce que derrière ces conseils se cache une confusion énorme sur ce qu’on appelle la “consommation” d’eau des centres de données. Allez, je vous spoile tout de suite : Vos emails et vos photos ne consomment pratiquement rien une fois stockés.
Le vrai problème, c’est qu’on mélange tout. Car quand on parle de consommation d’eau des datacenters, on fait l’amalgame entre l’eau qui disparaît réellement et celle qui est simplement réchauffée puis rejetée (+5° à +10°). Selon les discussions techniques que j’ai pu lire sur LaFibre.info, la nuance est pourtant capitale !
Prenons Microsoft aux Pays-Bas. Ils ont consommé 84 millions de litres d’eau en 2021, soit 4 à 7 fois plus que prévu. C’est un chiffre impressionnant, mais qu’est-ce qui se passe concrètement avec cette eau ?
Et bien, Jamy, dans un système de refroidissement classique par évaporation, l’eau est littéralement “perdue”. C’est à dire qu’elle s’évapore dans l’atmosphère comme les jours fériés en France. Mais avec le refroidissement adiabatique, utilisé par Microsoft pour ses data centers, seule une petite partie s’évapore. L’essentiel de l’eau traverse le système, se réchauffe de quelques degrés, puis est rejetée. Elle n’est donc pas “consommée” au sens strict, mais juste réchauffée.
Le problème devient plus complexe avec le traitement de l’eau car pour éviter le calcaire et les bactéries, les datacenters utilisent des systèmes d’osmose inverse. Et là, aïe aïe aïe, c’est du gaspillage pur car pour 1 litre d’eau purifiée, il y aurait 2 ou 3 litres qui partent dans les égouts avec des tas d’impuretés concentrées. Sans oublier les produits chimiques pour la désinfection.
Mais contrairement aux chasseurs 🍷, il y a des bons et des mauvais datacenters. Les bons datacenters sont à 1.1L/kWh, les mauvais à 1.8L/kWh ou plus… Cela dépend simplement des technologies de refroidissement qu’ils utilisent. Un datacenter moyen, pour vous situer, c’est quasiment la même consommation d’eau qu’un terrain de golf.
Il y a par exemple, le refroidissement par immersion qui consiste à plonger les serveurs dans un bain d’huile diélectrique, comme ça pas d’évaporation, mais juste de la circulation d’huile. Peu de datacenters utilisent cette technologie car c’est assez coûteux et complexe à mettre en place. Et il existe aussi le refroidissement liquide direct qui amène l’eau au plus près des processeurs via des plaques froides. C’est plus efficace, et y’a moins de gaspillage.
Certains datacenters utilisent même l’eau de mer ou des eaux usées recyclées. D’autres récupèrent la chaleur pour chauffer des bâtiments. Bref, l’eau n’est alors plus “perdue” mais valorisée.
Et puis, il y a le free cooling utilisé quand l’air extérieur est assez froid, ce qui permet d’éviter complètement l’utilisation d’eau. Intel annonce même que ses processeurs post-2025 ne seront plus compatibles avec le refroidissement à air classique (les clims), donc ça va dans le bon sens.
OVH quant à eux sont en refroidissement liquide direct avec un système en boucle fermée et ils récupèrent aussi la chaleur. Chez O2Switch, c’est free cooling, c’est à dire l’utilisation du froid extérieur pour refroidir leurs infrastructures (L’Auvergne baby !) et ils ventilent et régulent au plus juste la température de leurs salles. Chez Infomaniak, pas de clim mais du free cooling, donc très peu d’eau consommée également.
Chez Microsoft, c’est du refroidissement adiabatique mais depuis 2024, ils sont dans certains datacenters en boucle fermée avec zéro évaporation. Quant à AWS, ce sont les vilains petits canards puisqu’en gros, quand il fait froid, ils ouvrent les fenêtres et quand il fait chaud, ils font tourner des clims à évaporation… Mais visiblement, ils recyclent l’eau et se sont donnés jusqu’à 2030 pour être “water positive”, c’est à dire rendre plus d’eau qu’il n’en consomme. C’est pas magique, c’est de la compensation financière dans des projets de rechargement de nappes phréatiques ou de purification d’eau polluée.
Au global, même si tous ces acteurs mettent le paquet sur la préservation de l’eau, Google, notamment sur ses sites en Iowa et Oregon est le plus gourmand et sa consommation d’eau pèse lourd sur les ressources locales. ET ensuite, c’est Amazon et Microsoft surtout dans les zones arides des États-Unis où ils sont implantés (Virginie, Arizona…etc)
Alors, faut-il supprimer ses emails ? Franchement, sur cet usage précis, l’impact est microscopique, surtout qu’en allant supprimer ces données inertes qui ne consomme rien en énergie, vous allez re-consommer de l’eau… C’est couillon. Je ne serai pas surpris si supprimer 20 000 emails consomme plus d’eau qu’une seule requête ChatGPT ?
La solution n’est donc pas dans la suppression de vos emails, mais dans le choix des technologies. Immersion cooling, récupération de chaleur, utilisation d’eaux non potables, free cooling… Les alternatives existent. Il faut juste arrêter de faire de la com’ facile sur le dos des utilisateurs.
Imaginez un instant que soyez contrebandier de puces électroniques… Vous venez de recevoir un serveur Dell flambant neuf bourré de puces Nvidia H100 que vous comptez évidemment revendre à prix d’or sur le marché chinois.
Alors vous ouvrez le carton, pour inspecter minutieusement chaque recoin du paquet et là, Ô surprise, vous trouvez un petit boîtier de la taille d’un smartphone bien caché dans l’emballage. Félicitations !! Vous venez de vous faire griller par l’Oncle Sam !
Cette histoire n’est pas tirée d’un film d’espionnage de mon cerveau torturé mais bien de la réalité car selon Reuters, les autorités américaines ont placé secrètement des trackers GPS dans certaines livraisons de puces IA qu’elles considèrent à haut risque de détournement vers la Chine.
Et apparemment, ça fonctionne plutôt bien puisque deux ressortissants chinois ont été arrêtés début août pour avoir tenté d’exporter illégalement pour des dizaines de millions de dollars de puces Nvidia vers l’Empire du Milieu.
Et le niveau de sophistication de l’opération est top, car les trackers ne sont pas juste collés sur les cartons. Dans un cas documenté datant de 2024, les autorités ont carrément placé plusieurs types de dispositifs. A la fois des gros trackers visibles sur les boîtes d’expédition pour le suivi basique, et des plus petits, bien planqués dans l’emballage voire directement dans les serveurs eux-mêmes. C’est malin !!
Mais ces contrebandiers ne sont pas dupes non plus. On peut lire par exemple dans les documents judiciaires, que l’un des accusés avait prévenu son complice : “Fais attention de bien chercher s’il y a un tracker dessus, tu dois regarder attentivement”. Ces types passent leur temps à démonter des serveurs Dell et Super Micro pour vérifier qu’il n’y a pas de mouchard caché quelque part… Bref, ce sont devenu des champions au jeu du chat et de la souris avec les autorités.
Bien sûr cette pratique n’est pas nouvelle du tout. Les États-Unis utilisent des trackers pour surveiller les exportations sensibles depuis des décennies. En 1985 déjà, Hughes Aircraft avait vu ses équipements interceptés par les douanes américaines qui y avaient installé un dispositif de localisation. Sauf qu’à l’époque, on parlait de pièces d’avion, pas de puces IA capables de faire tourner des LLM.
Et l’ampleur de ce trafic est vertigineuse. Malgré les restrictions imposées depuis 2022, au moins 1 milliard de dollars de puces Nvidia auraient été introduites illégalement en Chine rien qu’au cours des trois derniers mois. Les contrebandiers passent par la Malaisie, Singapour ou les Émirats arabes unis pour brouiller les pistes. C’est un vrai business qui rapporte gros quand on sait qu’une seule puce H100 peut se négocier plusieurs dizaines de milliers de dollars au marché noir.
Et pendant ce temps, la tension monte entre Pékin et les fabricants de puces. Le 31 juillet dernier, l’administration chinoise du cyberespace a convoqué Nvidia pour lui demander des explications sur les risques de “backdoors” dans ses puces H20. Les Chinois craignaient que les Américains puissent désactiver à distance leurs précieux processeurs ou les utiliser pour les espionner. Nvidia a bien sûr démenti catégoriquement (What else !?), expliquant que mettre des backdoors dans des puces serait un cadeau fait aux hackers et aux acteurs hostiles et que ça mettrait à risque l’infrastructure numérique mondiale.
Au milieu de ce bras de fer géopolitique, les entreprises comme Dell et Super Micro se retrouvent donc coincées. Dell affirme ne pas être au courant de cette initiative gouvernementale de tracking, tandis que Super Micro refuse de commenter ses “pratiques et politiques de sécurité”. Nvidia et AMD, eux, préfèrent ne pas répondre du tout. On les comprend, c’est un sujet sensible…
Cette histoire de trackers dans les puces révèle surtout l’absurdité de la situation actuelle car d’un côté, les États-Unis tentent désespérément d’empêcher la Chine d’accéder aux technologies d’IA les plus avancées. Et de l’autre, la demande chinoise est tellement forte que des réseaux entiers de contrebande se sont organisés pour contourner l’embargo.
Le pire c’est que les autorités américaines envisagent maintenant d’obliger les fabricants à intégrer directement des systèmes de localisation DANS leurs puces. Oui, oui… Vous vous doutez, c’est une proposition qui fait bondir l’industrie, car elle créerait une vulnérabilité permanente dans le hardware. Comme l’a dit David Reber, le responsable sécurité de Nvidia, intégrer un kill switch dans une puce, serait “une invitation ouverte au désastre”, et je suis assez d’accord avec lui.
C’est vraiment paradoxal, mais plus on avance dans la technologie, plus on se tourne vers ce qui est vraiment, vraiment vieux. Et là, je ne vous parle pas de vos vieux CD-ROM Windows 95, non, non, mais de trucs qui traînent sur Terre depuis des milliards d’années (comme Bayrou ^^).
Une équipe de chercheurs de l’Université de Pennsylvanie vient de faire une découverte assez dingue. Ils ont utilisé une IA pour fouiller dans les protéines d’organismes appelés Archaea, des microbes tellement anciens qu’ils étaient déjà là avant que les bactéries ne deviennent “mainstream”. Ces bestioles survivent dans des conditions extrêmes : sources d’eau bouillante acide, cheminées volcaniques sous-marines, lacs salés où rien d’autre ne peut vivre. Bref, les endroits où même Bear Grylls ne mettrait pas les pieds.
Et ce qui est fou, c’est que ces microbes ont développé des mécanismes de défense complètement différents de ce qu’on connaît. Au lieu d’attaquer la membrane externe des bactéries comme le font la plupart des antibiotiques actuels, les composés découverts (baptisés sans originalité des “archaeasins”) s’attaquent directement aux signaux électriques à l’intérieur des cellules. C’est un peu comme si au lieu de défoncer la porte d’entrée, ils coupaient directement le disjoncteur de la maison.
L’équipe dirigée par César de la Fuente a utilisé un outil d’IA appelé APEX 1.1 pour scanner 233 espèces d’Archaea. Résultat, ils ont découvert plus de 12 600 candidats antibiotiques potentiels. Sur les 80 qu’ils ont synthétisés et testés en labo, 93% ont montré une activité antimicrobienne contre au moins une bactérie pathogène. C’est un taux de réussite assez impressionnant quand on sait que d’habitude, on tourne plutôt autour de quelques pourcents.
Selon l’OMS, on fait face en ce moment à une crise majeure avec 24 pathogènes prioritaires qui nécessitent de nouveaux antibiotiques de toute urgence. Seulement, voilà, le pipeline de développement de nouveaux antibiotiques est quasiment à sec, avec seulement 27 antibiotiques en développement clinique dont seulement 6 considérés comme vraiment innovants. Et pendant ce temps, les bactéries résistantes continuent de proliférer… Cela génère 2,8 millions d’infections résistantes aux antibiotiques se produisent chaque année rien qu’aux États-Unis.
Un des archaeasins testés, le numéro 73 (ils sont pas très créatifs pour les noms, j’avoue…), s’est montré aussi efficace que la polymyxine B sur des souris infectées. Pour ceux qui ne connaissent pas, la polymyxine B c’est un peu l’arme de dernier recours contre les infections multi-résistantes. C’est le genre de truc qu’on sort quand plus rien d’autre ne marche. Vous avez intérêt à bien bien prendre vos probiotiques après celui-là, pour ne pas repeindre encore une fois l’appart.
C’est donc un tout nouveau terrain de jeu qui s’ouvre car jusqu’à présent, la recherche d’antibiotiques s’est concentrée sur les bactéries, les champignons et parfois les plantes. Les Archaea, c’est donc un domaine complètement inexploré. Et vu qu’ils représentent une branche entière de l’arbre du vivant, distincte des bactéries et de tout le reste, le potentiel est énorme !
D’ailleurs, ce n’est pas la première fois que l’équipe de de la Fuente utilise l’IA pour chercher des antibiotiques dans des endroits improbables (oups, non pas là). Ils avaient déjà scanné l’ADN d’organismes éteints comme le mammouth laineux et même analysé les composés chimiques dans les venins d’animaux. L’idée, c’est que l’évolution a déjà fait le boulot pendant des millions d’années, alors il suffit de savoir où chercher.
Les chercheurs prévoient donc maintenant d’améliorer APEX pour qu’il puisse prédire l’activité antibiotique basée sur la structure 3D des molécules, et pas seulement leur séquence. L’objectif à terme, c’est évidemment d’arriver jusqu’aux essais cliniques sur l’homme. Mais ça, c’est encore une autre paire de manches qui prendra plusieurs années…
Vous avez déjà testé une app de méditation payante qui vous promettait monts et merveilles ? Moi oui, parce que je suis du genre stressé en permanence ALORS QU’Y A OBJECTIVEMENT AUCUNE DE PUTAIN DE RAISON !! Et puis j’ai trouvé des études scientifiques qui explique tout, notamment une méta-analyse publiée dans Nature qui explique que 100% des techniques de respiration testées sur des populations anxieuses sont efficaces. Oui, 100%.
Alors pourquoi s’emmerder à faire de la pleine conscience ??
Du coup, quand je suis tombé sur Anxiety Aid Tools, un projet complètement open source qui propose 8 techniques validées scientifiquement, j’ai voulu creuser. Pas de bullshit marketing, pas d’abonnement mensuel à 29,99€… juste du code ouvert et des exercices qui fonctionnent.
Le premier exercice dure 2 minutes chrono. C’est con comme truc mais votre système nerveux parasympathique s’active direct. Selon Psychiatric Times, cette approche “bottom-up” contourne le traitement cognitif et utilise des voies plus rapides entre le tronc cérébral et les circuits de régulation émotionnelle.
Le 5-4-3-2-1 est un peu plus bizarre car il consiste à trouver 5 trucs que vous voyez, 4 que vous touchez, 3 que vous entendez, 2 que vous sentez, 1 que vous goûtez. Ça paraît simpliste mais ça court-circuite littéralement les boucles anxieuses du cerveau en forçant votre attention sur le présent immédiat.
La relaxation musculaire progressive, elle, joue sur un mécanisme différent. 8 à 12 minutes pour contracter puis relâcher systématiquement chaque groupe musculaire. Les études du PMC montrent que les 12 interventions rapides + lentes testées réduisent toutes le stress de façon mesurable.
J’ai aussi testé la visualisation. On est censé voir un paysage accompagné de pensées, mais sur mon navigateur, ça ne s’affiche pas. Je pense que c’est un bug… J’espère que ce sera vite réparé.
Il y a aussi le “thought labeling” qui est plus subtil et vous rappellera un peu cette histoire de pleine conscience. Avec cet exercice, vous apprenez à identifier vos pensées anxieuses comme des événements mentaux temporaires. C’est de la thérapie comportementale cognitive pure, mais packagée dans une interface web accessible.
Les “stress relief bubbles” ? J’étais sceptique mais l’activité répétitive de faire éclater des bulles virtuelles redirige l’énergie anxieuse vers une action motrice simple. C’est le même principe que les fidget spinners, mais en version numérique. Par contre, c’est un peu buggé donc faudra être patient.
Enfin, la thérapie sonore utilise des fréquences spécifiques pendant 5 à 30 minutes. Certaines fréquences activent des zones précises du cerveau liées à la relaxation. C’est pas du new age, c’est de la neuroacoustique, les amis !
Voilà, je me suis dit que j’allais partager ça avec vous, mes petits tendus du string. Après sur GitHub, y’a des dizaines d’autre projets qui contribuent à démocratiser l’accès aux outils de santé mentale. Je pense par exemple à ifme qui permet de partager ses expériences avec ses proches, ou encore MentAlly propose du tracking d’humeur avec des exercices personnalisés.
D’ailleurs, sur les 10 000 apps de santé mentale disponibles, seulement 4% ont démontré une efficacité clinique. Anxiety Aid Tools fait donc partie de cette minorité qui base tout sur des preuves scientifiques, et pas sur du marketing émotionnel. Car ses mécanismes physiologiques sont clairs. Ce sont des techniques qui activent votre système nerveux parasympathique, (oui, c’est le seul truc “sympathique” chez certain d’entre-vous, alors prenez en soin ! ^^), c’est à dire celui qui contre naturellement le stress. Avec une pratique régulière, vous construirez alors une meilleure tolérance au CO2, inversement corrélée aux symptômes anxieux.
L’auteur du projet recommande de commencer par les exercices courts (2-5 minutes) quand l’anxiété est forte, puis de pratiquer régulièrement même quand tout va bien. C’est comme un entraînement sportif mais pour votre système nerveux. Notez que l’absence totale de tracking sur le site est volontaire. Pas de données personnelles collectées, pas de profil utilisateur, pas de notifications push pour vous rappeler d’être zen. Ce sont juste des outils disponibles quand vous en avez besoin. Par contre, c’est un projet jeune donc y’a encore des petits bugs à corriger mais comme c’est open source, vous pouvez contribuer aussi. Soyez indulgent !
Dans cet univers bruyant où Calm facture 50€ par an et Headspace 90€, avoir accès à des techniques validées scientifiquement et totalement gratuites, c’est une révolution silencieuse 🤫. Le code est sur GitHub, les études sont peer-reviewed, et ça marche.
Alors, prêts à tester la respiration cyclique pendant 2 minutes ?
Bon, je sais que quand on parle de l’affaire Kevin Mitnick, y’a toujours deux camps qui s’écharpent. Mais, l’histoire de Tsutomu Shimomura, c’est du grand cinéma. Noël 1994, le physicien rentre tranquillement chez lui à Solana Beach et là, il découvre que quelqu’un s’est introduit dans son système informatique. Et pas via une effraction physique classique, non, mais par les “tubes cathodiques” (oui, je vous explique le délire après…lol). Et le type a même laissé un message sur son répondeur pour le narguer. Une erreur fatale quand on s’attaque à un chasseur de hackers.
Tsutomu Shimomura, c’est pas n’importe qui dans le game. Il est le fils d’Osamu Shimomura, LE Shimomura qui a décroché le Prix Nobel de chimie en 2008 pour ses travaux sur la protéine fluorescente verte des méduses. C’est ce truc vert fluo qui permet aujourd’hui aux chercheurs de visualiser les cellules vivantes en temps réel. Bref, le fiston a grandi dans un environnement où l’excellence scientifique, c’était la base. Sauf que contrairement à papa qui étudiait les méduses bioluminescentes (il en a pêché 850 000 quand même !), lui décide de chasser les prédateurs numériques.
Et c’est grâce à ses techniques de traque high-tech avec triangulation cellulaire et analyse de fréquences que Kevin Mitnick, le hacker le plus recherché d’Amérique à l’époque, se retrouve derrière les barreaux le 15 février 1995 à 1h30 du matin précisément.
Mais attention, comme toujours l’histoire est bien plus complexe qu’elle n’y paraît.
Né en 1964 à Kyoto, Tsutomu montre déjà des signes de rébellion dès le lycée. Le gamin se fait carrément expulser de Princeton High School pour “attitude anticonformiste”. Il faisait partie d’un groupe d’étudiants qui n’acceptaient pas l’autorité établie et pourtant, gagnait des concours locaux de maths et sciences. Ça vous rappelle quelque chose ? Génie + caractère de cochon = futur expert en sécurité informatique.
Ensuite, direction Caltech où il va étudier sous la direction de Richard Feynman. Oui, LE Feynman, Prix Nobel de physique et légende vivante. Franchement, avoir ce type comme prof, ça doit marquer à vie. Feynman était connu pour ses méthodes d’enseignement peu orthodoxes et sa capacité à simplifier les concepts les plus complexes. Parfait donc pour former un futur chasseur de hackers qui devra expliquer des trucs techniques aux agents du FBI.
Après Caltech, Shimomura file à Los Alamos National Laboratory. Là, il travaille avec Brosl Hasslacher sur les automates de gaz sur réseau (lattice gas automata pour les intimes). En gros, ils simulent l’écoulement des fluides avec des méthodes de calcul parallèle massif. Pourquoi je vous parle de ça ? Parce que cette expertise va directement lui servir plus tard. Quand vous maîtrisez les systèmes parallèles et les algorithmes complexes, traquer des hackers devient presque un jeu d’enfant.
En 1989, Shimomura rejoint le San Diego Supercomputer Center comme Senior Fellow. Officiellement, il fait de la recherche en physique computationnelle. Officieusement, il commence à faire du consulting pour des agences gouvernementales sur les questions de sécurité. En 1992, il témoigne même devant le Congrès américain sur les failles de sécurité des téléphones cellulaires. Il avait déjà identifié les vulnérabilités que les hackers allaient exploiter. Le type était en avance sur son temps.
Maintenant, accrochez-vous parce que l’histoire devient vraiment “juteuse”. Le 25 décembre 1994, pendant que tout le monde déballe ses cadeaux de Noël, Kevin Mitnick décide de s’attaquer au système personnel de Shimomura. Pourquoi lui ? Probablement parce que Shimomura avait des fichiers ultra-intéressants sur la sécurité des réseaux et des téléphones cellulaires. C’était du caviar pour un hacker.
Tsutomu Shimomura et Julia Menapace
La technique utilisée ? De l’art ! Mitnick utilise ce qu’on appelle le “source address spoofing” combiné avec la “TCP sequence prediction”. Pour faire simple, il fait croire au système de Shimomura qu’il est un ordinateur de confiance en prédisant les numéros de séquence TCP. C’est comme si quelqu’un se déguisait en facteur pour entrer chez vous, mais en plus compliqué.
Bien sûr, Mitnick ne s’est pas littéralement introduit via un tube cathodique d’écran CRT (ça n’a pas de sens physiquement 😅), mais via une attaque réseau ciblée, exploitant des failles dans le protocole X11 et dans des systèmes SunOS non patchés. L’expression “par les tubes cathodiques” que j’ai employé au début de ce récit vient de la façon dont certains journalistes de l’époque avaient vulgarisé le truc car Mitnick a utilisé une session graphique X11 pour ouvrir une fenêtre à distance sur le poste de Shimomura. Et comme c’était une interface graphique, les médias nous ont pondu l’image du hacker qui passe par l’écran. Et comme à l’époque, un écran = tube cathodique, hop, ça fait pas des chocapics mais une “intrusion par le tube cathodique”.
Mais Mitnick fait une erreur psychologique majeure. Non content d’avoir pénétré le système et volé des centaines de fichiers, il laisse des messages moqueurs sur le répondeur de Shimomura. Des trucs du genre “Votre sécurité, elle est où ?” avec une voix déformée. Breeeef, quand on s’attaque à un expert en sécurité fils d’un Prix Nobel, on évite de le narguer car c’est comme tirer la queue d’un tigre endormi.
Shimomura découvre alors l’intrusion en rentrant de San Francisco. Des centaines de fichiers copiés, des programmes volés, son système compromis. Mais au lieu de simplement changer ses mots de passe et passer à autre chose comme vous et moi, il décide alors de traquer l’intrus. Et là, ça devient technique.
Première étape : Analyser les traces laissées par l’attaque. Shimomura identifie que Mitnick utilise des connexions par modem cellulaire pour masquer sa position. Malin, mais pas suffisant contre un physicien qui a étudié les systèmes de communication et qui a témoigné devant le Congrès sur le sujet.
Deuxième étape : Coopération avec les opérateurs téléphoniques. Shimomura contacte Sprint et d’autres compagnies et avec leur aide, il arrive à tracer les connexions jusqu’à la source. Mais attention, on est en 1995, et les techniques de géolocalisation étaient primitives comparées à aujourd’hui. Y’avait pas de GPS dans tous les téléphones, hein !
Troisième étape : Triangulation radio. Shimomura utilise des techniques de direction finding pour localiser précisément l’émetteur. En gros, avec plusieurs antennes, on peut déterminer la direction d’où vient un signal. Croiser plusieurs directions permet alors de déterminer la position exacte. C’est de la physique pure appliquée à la chasse au hacker.
Shimomura estime qu’il lui a fallu seulement quatre jours de travail intensif pour localiser Mitnick. Le 12 février 1995, il savait déjà où se trouvait Mitnick à un mile près. Le 15 février, il débarque à Raleigh en Caroline du Nord, avec une équipe de techniciens du FBI. Ils utilisent des équipements de surveillance radio pour isoler l’immeuble exact : le Players Court, près de l’aéroport de Raleigh-Durham.
Et pourquoi Raleigh ? Et bien Mitnick expliquera plus tard qu’il adorait le jeu Monopoly et les propriétés vertes, et la Caroline du Nord, c’est les propriétés vertes sur le plateau américain. Le type avait aussi 44 demandes d’emploi dans son appart et un bouquin “The 100 Best Companies to Work for in America”. Il voulait se ranger, apparemment.
À 1h30 du matin, le FBI frappe à la porte. Mitnick se fait arrêter avec un arsenal numérique impressionnant : des téléphones clonés et de multiples fausses identités. C’est game over. Il sera condamné à presque 6 ans de prison, dont une grande partie en isolement parce que le juge avait peur qu’il pirate le téléphone de la prison. Hé oui !
Après l’arrestation, Shimomura décide de raconter son histoire. Avec John Markoff, journaliste au New York Times, il publie “Takedown: The Pursuit and Capture of Kevin Mitnick” en 1996. Le livre devient un best-seller et sera adapté au cinéma sous le titre “Operation Takedown” en 2000 avec Skeet Ulrich dans le rôle de Mitnick.
Sauf que voilà, tout le monde n’est pas d’accord avec cette version des faits. Jonathan Littman publie “The Fugitive Game” la même année et accuse carrément Shimomura et Markoff d’avoir fabriqué des éléments pour se faire mousser. Plus tard, Mitnick lui-même riposte avec “Ghost in the Wires” en 2011, où il surnomme Shimomura “Shimmy” avec un ton franchement méprisant.
Kevin Mitnick lors de son arrestation
La vérité ? Elle se trouve probablement quelque part entre les trois versions car Shimomura a certainement contribué à la capture, mais il a peut-être aussi dramatisé son rôle. Mitnick n’était probablement pas le génie du mal qu’il a décrit, mais il était loin d’être innocent avec ses 25 chefs d’accusation de crimes informatiques.
Après sa célébrité soudaine, Shimomura aurait pu capitaliser sur sa notoriété et devenir consultant en cybersécurité comme tout le monde. Mais non, le type prend une direction complètement différente. Il rejoint Sun Microsystems à la fin des années 90, puis fonde sa propre boîte : Neofocal Systems.
Neofocal, c’est pas de la cybersécurité. C’est de la technologie LED intelligente ! Shimomura développe des puces pour contrôler des réseaux de LED individuellement adressables. En gros, vous pouvez contrôler chaque LED séparément avec un seul câble pour l’alimentation et des données. En 2015, Neofocal lève 9 millions de dollars. Pas mal pour un pivot aussi radical.
L’affaire Shimomura-Mitnick soulève des questions qui résonnent encore aujourd’hui. Jusqu’où peut aller un civil dans une enquête criminelle ? Les méthodes de Shimomura, acceptables en 1995, seraient probablement problématiques aujourd’hui. Traquer quelqu’un avec des équipements de surveillance radio sans mandat, c’est limite. Mais d’un autre côté, les méthodes traditionnelles d’investigation étaient totalement inadaptées face aux nouveaux crimes numériques.
Alors 30 ans après, qu’est-ce qui reste de cette histoire ? Et bien Shimomura a prouvé que la science théorique peut être une arme redoutable en cybersécurité. Il a démontré l’importance de la coopération entre secteur privé et forces de l’ordre (aujourd’hui c’est la norme) et ses préoccupations de 1992 sur la sécurité des téléphones cellulaires étaient visionnaires !
Kevin Mitnick est décédé le 16 juillet 2023 d’un cancer du pancréas, à 59 ans, mettant fin à l’une des rivalités les plus emblématiques de l’histoire de la cybersécurité. Il était devenu Chief Hacking Officer chez KnowBe4 et consultant en sécurité respecté. Shimomura, lui, continue aujourd’hui d’innover dans le secteur des semiconducteurs. Deux destins différents pour deux figures légendaires du monde du hacking.
À vous de voir maintenant si les méthodes de Shimomura étaient justifiées ou pas mais une chose est sûre : ne narguez jamais un physicien qui connaît les protocoles TCP par cœur !
Hier soir, en faisant un peu de tri dans mon portefeuille, j’ai regardé un billet de 20 euros et là, je me suis souvenu d’un truc. Vous voyez ces petits cercles discrets disposés un peu partout sur vos billets ? Ces cinq points qui ont l’air anodins ? Eh bien figurez-vous que c’est un système de protection ultra sophistiqué qui peut bloquer instantanément n’importe quel photocopieur. Et le plus marrant, c’est qu’on peut l’utiliser pour nos propres documents.
Cette technologie s’appelle la constellation EURion, aussi connue sous le nom de cercles Omron, et elle existe depuis 1996. Ces cinq cercles jaunes, verts ou orange sont répétés à différentes orientations sur les billets de banque du monde entier et leur présence suffit à faire buguer la plupart des photocopieurs couleur qui refusent catégoriquement de traiter le document. Un vrai mur invisible contre la contrefaçon.
Alors attention, je vais maintenant vous révéler un secret. En fait, il y a deux systèmes complètement différents qui protègent votre argent. D’un côté, vous avez la constellation EURion qui fait planter les photocopieurs physiques. Et de l’autre, les logiciels comme Photoshop utilisent depuis 2003, un système totalement différent appelé CDS (Counterfeit Deterrence System). Selon les recherches de Steven J. Murdoch, ce système ne se base pas du tout sur les cercles EURion mais détecte un watermark invisible développé par Digimarc. Donc si Photoshop refuse d’ouvrir un billet scanné, ce n’est pas à cause des petits points, mais d’un filigrane numérique caché dans l’image.
Un développeur nommé Martin Scharm a surtout eu l’idée géniale de tester si on pouvait détourner ce système pour protéger ses propres documents. Il a créé un template LaTeX qui intègre la constellation EURion directement dans un PDF.
Voici le code :
wanna scan my letter?
\includegraphics[width=7mm]{EURion.pdf}
La taille de 7 mm est cruciale, car c’est l’idéal pour que les scanners détectent le motif. Martin a d’ailleurs mis tout son travail sur GitHub, avec l’image EURion et le fichier PDF résultant. Sympa de sa part de partager ça !
Le PDF de Martin
Par contre, voilà le hic… tous les scanners et photocopieurs ne sont pas sensibles à la constellation EURion. Certains modèles récents l’ignorent complètement, et d’autres la détectent parfaitement. D’après les discussions que j’ai pu lire sur Stack Overflow, un utilisateur a quand même réussi à bloquer un photocopieur Ricoh en ajoutant le motif EURion sur ses documents, mais sur d’autres machines, rien ne se passe. C’est un peu la loterie.
Alors maintenant, la question à 10 balles : Est-ce légal d’utiliser la constellation EURion sur ses propres documents ? Et bien, bonne nouvelle, aucune loi n’interdit l’utilisation de ce motif en dehors des billets de banque. Les discussions techniques sur TeX Stack Exchange confirment qu’on peut parfaitement intégrer ce système dans des documents LaTeX pour empêcher leur reproduction car c’est uniquement la reproduction des billets eux-mêmes qui est illégale, et pas l’utilisation du motif de protection. Logique, vous allez me dire.
Les cas d’usage sont quand même assez limités, je vous l’accorde. Pourquoi voudriez-vous empêcher quelqu’un de photocopier l’un de vos courrier ? Mais pour les photographes qui veulent protéger leurs œuvres en mode “le photocopillage tue le livre mais m’en fous je vais arrêter la vague de l’IA avec ma fourchette”, ou pour des documents confidentiels d’entreprise, ça peut avoir du sens.
D’ailleurs, les fabricants de photocopieurs et de scanners intègrent ce DRM physique volontairement dans leurs appareils depuis des années. C’est un accord tacite entre l’industrie et les banques centrales pour lutter contre la contrefaçon. Tout le monde le fait, même si légalement, personne n’est obligé.
Voilà, si vous voulez tester, récupérez le template LaTeX de Martin Scharm, ajoutez la constellation EURion à vos documents, et voyez si votre photocopieur au bureau fait la tête. Au pire, ça ne marchera pas. Au mieux, vous aurez créé un document physiquement incopiable. Ensuite en bon agent du chaos, y’a plus qu’à faire des patchs transparents avec cette discrète constellation de points, et à les coller sur la vitre des photocopieurs du boulot ! Et là vous récupérez tous les jours fériés qu’on vous a piqué.
Bon après, dans un monde où tout le monde partage des fichiers numériques, l’intérêt reste limité mais c’est toujours sympa de savoir qu’on peut transformer n’importe quel document en version “anti-copie” juste en ajoutant cinq petits cercles bien placés…
Pourquoi prendre des vacances d’été et glander sur une plage, alors qu’on pourrait pondre projet open source qui résout un vrai problème ?
Adrien Revel a fait exactement ça avec Microfolio, et le plus rigolo c’est qu’il s’est fait assister par Claude Code pour développer son bébé. Une fois installé, vous lui balancez vos fichiers dans des dossiers, vous ajoutez du Markdown pour les descriptions, et paf, vous avez un portfolio statique qui a la classe.
Pas de base de données qui rame, pas de CMS à maintenir, pas de plugins WordPress qui vous lâchent au pire moment. Juste des fichiers, du contenu, et un site qui booste.
Microfolio tourne sur SvelteKit 2, l’un des générateurs de sites statiques les plus utilisés, couplé à Tailwind CSS 4. Pour ceux qui ne suivent pas l’actu dev, SvelteKit est un framework qui compile votre code en vanilla JavaScript ultra-optimisé. Du coup, les sites chargent à la vitesse de l’éclair même sur une connexion 3G pourrie.
Maintenant, l’installation, c’est du velours. Par exemple, sous macOS, une ligne de Homebrew et c’est parti :
brew install aker-dev/tap/microfolio
microfolio new mon-portfolio
cd mon-portfolio
microfolio dev
Pour les autres OS, un bon vieux clone Git et pnpm font l’affaire. Le projet est pensé pour les designers, architectes, photographes, bref tous les créatifs qui veulent montrer leur travail sans se prendre la tête avec du code.
La démo en ligne montre déjà ce que ça donne à savoir une interface épurée, une navigation fluide entre les projets, une vue carte pour les projets géolocalisés (pratique pour les architectes), et un système de tags pour filtrer le contenu. Le tout responsive évidemment, c’est la base aujourd’hui.
Moi j’en ai fait un site de chat pour rigoler…
Pour le déploiement, GitHub Pages est supporté d’office avec possibilité de mettre un domaine custom. Adrien cherche également des beta-testeurs pour peaufiner le projet avant de sortir la v1.0 à la rentrée. Donc si vous avez un portfolio à refaire ou si vous voulez juste tester un outil moderne, c’est le moment.
Bref, du bon “file-based CMS” comme on les aime. Comme ça, au lieu de stocker vos contenus dans une base de données qui peut foirer, tout est dans des fichiers que vous pouvez versionner avec Git. Vous gardez le contrôle total sur vos données, vous pouvez tout éditer offline, et surtout vous n’êtes pas prisonnier d’un système.
Puis ce combo SvelteKit + Tailwind CSS est vraiment pertinent, je trouve. SvelteKit permet de générer des sites statiques en automatique, ce qui veut dire que votre site est servi en HTML statique pour le SEO, puis devient interactif côté client. C’est le meilleur des deux mondes.
Pour les devs qui veulent contribuer, le code est sur GitHub sous licence MIT. Le projet utilise les dernières versions de tout (SvelteKit 2, Tailwind CSS 4, Node.js 20+), donc c’est aussi l’occasion de jouer avec les dernières technos du moment.
Moi, j’adore quand quelqu’un fabrique un truc juste parce qu’il en a envie, sans business plan, sans pitch deck, sans lever de fonds. Juste un dev, son clavier, et l’envie de créer.
Et bien c’est exactement ce qui s’est passé avec MkEditor, et ça fait du bien !
Le créateur de MkEditor (qui se décrit lui-même comme “un peu timide pour partager ses créations”) a passé plusieurs années à maintenir cet éditeur Markdown qui respecte les specs CommonMark.
Pourquoi ?
Et bien pas pour concurrencer Obsidian ou Typora. Pas pour devenir la prochaine licorne de la tech. Non, non, juste parce qu’il voulait comprendre comment VSCode fonctionnait en détail. Et ce qu’il nous a pondu, c’est un éditeur qui utilise Monaco Editor de Microsoft, le même moteur qui fait tourner VSCode.
Alors oui, on va me dire “mais Korben, il existe déjà 50 éditeurs Markdown”. C’est vrai et ces éditeurs ont su se rendre incontournables pour les développeurs et les équipes. Obsidian cartonne avec son graph view, Typora fait toujours rêver avec son rendu en temps réel. Mais MkEditor a quelque chose de différent : Il ne cherche pas à révolutionner quoi que ce soit. Il fait juste très bien ce qu’il fait.
L’outil embarque des fonctionnalités plutôt sympas. D’abord, vous avez un split screen redimensionnable avec synchronisation du scroll entre l’éditeur et la preview. Ensuite, des raccourcis clavier personnalisables pour formater votre texte ou insérer des blocs de code. Et il y a même de l’autocomplétion pour les langages dans les code blocks, exactement comme dans VSCode.
Ce qui est bien pensé aussi, c’est l’export HTML. Vous pouvez comme ça générer du HTML brut ou une version stylée avec Bootstrap et FontAwesome directement injectés dans le <head>. Pratique quand vous voulez partager un document qui a de la gueule sans vous prendre la tête avec le CSS. Les paramètres sont configurables soit via l’interface, soit directement dans un fichier settings.json pour les puristes du terminal.
Le truc cool aussi, c’est qu’il y a la palette de commandes de VSCode. Vous tapez Ctrl+Shift+P (ou Cmd+Shift+P sur Mac) et boom, vous avez accès à toutes les commandes. Pour ceux qui vivent dans VSCode, c’est comme retrouver ses pantoufles.
Et si vous ne voulez pas installer l’application desktop (disponible en Electron pour Windows, Linux et macOS), vous pouvez tester directement la version web en cliquant ici. Pas de compte à créer, pas de données à fournir, vous arrivez et vous écrivez. C’est chouette non, à une époque où chaque app veut votre mail, votre 06 et votre groupe sanguin.
Le développeur l’avoue lui-même dans son post… il a créé MkEditor juste parce qu’il en avait envie, sans cas d’usage particulier, juste pour le plaisir de construire quelque chose. C’est cette philosophie qui résume tout ce que j’aime dans l’open source.
Le projet est donc sur GitHub si vous voulez contribuer ou juste jeter un œil au code. Le dev accepte les feedbacks et les rapports de bugs, toujours avec cette modestie qui caractérise les vrais artisans du code.
Alors non, MkEditor ne va pas détrôner les géants du Markdown et il ne va pas lever 10 millions (enfin, quoique, on ne sait jamais dans la vie…). Il n’aura peut-être même pas sa propre conférence annuelle, mais il existe, il fonctionne bien, et il est gratuit.
Bon, vous connaissez sans doute le Flipper Zero, ce petit boîtier orange qui ressemble à un Tamagotchi sous stéroïdes et qui fait flipper Amazon, le Canada et à peu près tous les responsables sécurité de la planète. Mais connaissez-vous vraiment l’histoire dingue de Pavel Zhovner, le mec qui a créé ce truc ?
Allez, c’est parti, je vais tout vous raconter !!
L’histoire commence à Odessa, en Ukraine, où le jeune Pavel Zhovner grandit avec une obsession maladive : Comprendre comment fonctionnent les trucs. Pas juste les comprendre superficiellement façon notice IKEA, mais aller au fond des choses, décortiquer, analyser, reconstruire. C’est le genre de gamin qui démonte le grille-pain familial “pour voir” et qui finit avec 12 pièces en trop au remontage. Diplômé de l’Université Polytechnique Nationale d’Odessa, Pavel se décrit lui-même avec une phrase qui résume tout : “Depuis mon enfance, j’aime explorer les choses autour de la nature, de la technologie et des humains”. Oui, des humains aussi.
Mais attention, Pavel refuse catégoriquement le terme “hacker”. Il préfère “nerd”, qu’il trouve plus honnête. Du coup, cette distinction n’est pas anodine car elle révèle une philosophie qui imprégnera plus tard tout le projet Flipper Zero à savoir la transparence, l’honnêteté, et le refus des étiquettes faciles. Parce que bon, entre nous, “hacker” ça fait tout de suite film hollywoodien avec des mecs en capuche qui tapent frénétiquement sur un clavier dans le noir. Alors que “Nerd”, c’est plus… authentique.
Avant de devenir le CEO de Flipper Devices et de terroriser les gouvernements du monde entier avec son dauphin orange, Pavel n’était pas un inconnu dans le monde de la tech underground. En 2017, face aux blocages internet imposés en Ukraine (merci Poutine), il crée Zaborona.help, un service VPN gratuit pour contourner la censure. Le projet, entièrement open source sur GitHub, utilise OpenVPN avec des serveurs multiples et propose même un script d’installation automatique pour Windows. C’était déjà la marque de fabrique de Pavel : Créer des outils accessibles pour donner du pouvoir aux utilisateurs face aux restrictions imposées par les couillons au pouvoir.
Mais le vrai game changer dans la vie de Pavel, c’est sa rencontre avec le Moscow Neuron Hackspace. En 2011, après avoir assisté au Chaos Communication Congress à Berlin (le Burning Man des hackers, mais avec plus de LED et moins de hippies), Alexander Chemeris décide d’importer le concept de hackerspace en Russie. Il faudra deux ans pour construire une communauté solide, mais Moscow Neuron Hackspace finit par voir le jour, installé au Хохловский пер 7/9 стр. 2, au cœur de Moscou. L’adresse est imprononçable, mais l’endroit était mythique.
C’est là que Pavel Zhovner prend les rênes et devient responsable du hackerspace. Entre 2013 et 2015, des universitaires sont même venus observer ces nerds dans leur habitat naturel, comme des gorilles des montagnes, dans le cadre d’une étude ethnographique. Neuron devient alors un espace alternatif pour l’industrie IT créative et l’entrepreneuriat startup, loin des initiatives étatiques pourries comme Skolkovo (le Silicon Valley russe, mais en nul). On y organise des conférences TEDx en anglais pour faire chier les autorités, des ateliers sur les réseaux sociaux, on apprend à construire des robots qui servent à rien mais qui sont cool, on expérimente avec l’impression 3D avant que tout le monde sache ce que c’est.
Neuron n’est pas qu’un simple makerspace où des barbus soudent des trucs random. C’est un lieu de résistance culturelle, un espace qui promeut “la confiance, le partage de connaissances et l’échange de compétences” selon l’étude académique (qui utilisait beaucoup de mots compliqués pour dire “des mecs cool qui s’entraident”). Pavel y développe sa vision où la technologie doit être accessible, compréhensible, hackable. C’est dans cet environnement bouillonnant de créativité et de café instantané qu’il rencontre alors Alex Kulagin.
Alexander Kulagin, diplômé du prestigieux MEPhI (Institut de Physique et d’Ingénierie de Moscou, l’endroit où l’URSS formait ses génies du nucléaire), apporte une expertise hardware cruciale. Entrepreneur IT avec plus de 5 ans d’expérience dans le développement hardware et la production de masse, il devient le COO (Chief Operations Officer) de ce qui deviendra Flipper Devices. Là où Pavel est le visionnaire philosophe qui part dans des délires métaphysiques sur la nature du hacking, Alex, lui, est le pragmatique qui sait transformer les idées en produits manufacturables sans faire exploser l’usine.
Alex et Pavel (Image IA)
Dans une interview, Kulagin explique leur vision commune : “Nous avons conçu l’appareil comme un outil de recherche et d’éducation pour tester la vulnérabilité des technologies quotidiennes qui nous entourent, souvent celles auxquelles vous n’auriez jamais pensé qu’elles pouvaient être dangereuses.” Genre votre porte de garage qui s’ouvre avec un signal radio basique qu’un gamin de 12 ans pourrait copier. Ou votre badge de bureau qui utilise une techno des années 90.
Le choix du dauphin comme mascotte n’est pas anodin non plus. “Nous avons décidé que le personnage principal serait un dauphin dès le début”, explique Kulagin. “Notre dauphin est excentrique, queer, enthousiaste mais simple et gentil en même temps. Nous voulions créer un personnage avec qui vous auriez envie d’être ami.” Et puis soyons honnêtes, un dauphin c’est moins menaçant qu’un requin ou qu’un logo de tête de mort…
2019, Pavel se balade avec l’arsenal classique du pentester dans son sac à dos… Il est bien équipé… adaptateurs WiFi, lecteurs NFC, SDR, Proxmark3, HydraNFC, Raspberry Pi Zero. Le truc, explique-t-il c’est que “Tous ces appareils ne sont pas faciles à utiliser en déplacement surtout quand vous avez une tasse de café dans une main ou que vous faites du vélo”. Et c’est vrai que sortir un Proxmark3 dans le métro pour tester une carte de transport, ça fait tout de suite très louche.
Il expérimente alors avec un Raspberry Pi Zero W pour automatiser les interactions AirDrop dans le métro de Moscou (pour envoyer des memes aux gens, évidemment), mais le résultat est catastrophique : “Les pointes de soudure déchiraient le tissu de mon pantalon”. Ses tentatives de boîtiers imprimés en 3D sont tout aussi décevantes… Bref, ça ressemblait plus à un projet d’école primaire qu’à un outil de hacking sérieux.
Le déclic arrive quand un Tamagotchi Friends original de Bandai lui tombe entre les mains. Pavel découvre que ces appareils sont encore produits et vendus en 2019. Mais qui achète encore des Tamagotchi en 2019 ??? Et c’est là que l’idée germe dans sa tête. Et si on combinait le côté ludique et attachant du Tamagotchi avec les capacités d’un outil de pentest sérieux ? Un truc qu’on peut sortir dans un café sans qu’on appelle les flics.
Après avoir utilisé le pwngotchi (un projet de Tamagotchi AI pour le hacking WiFi), Pavel réalise qu’il en fait qu’il veut, je cite “Un appareil qui apportera simultanément de la joie au format Tamagotchi, serait esthétiquement similaire aux consoles de jeux rétro et serait assez méchant pour hacker tout autour”. En gros, une Game Boy qui peut ouvrir des portes.
Pavel tweete alors son idée et ses amis designers produit, ceux qui “font des trucs électroniques sérieux” (comprendre : pas des bricolages avec de la colle chaude), lui suggèrent de créer un appareil fini, au lieu de se lancer dans un bricolage DIY fait maison avec “une vraie production en usine et des pièces de qualité”. Bref, arrête de jouer avec ton fer à souder dans ton garage et fais un vrai produit.
C’est donc le début de l’aventure Flipper Zero et Pavel et Alex se lancent dans le développement des premiers prototypes. Le nom “Flipper” vient du dauphin cybernétique du film Johnny Mnemonic avec Keanu Reeves et le concept c’est un dauphin virtuel qui vit dans l’appareil et évolue au fur et à mesure que son propriétaire interagit avec lui, se fâchant quand il n’est pas utilisé fréquemment. C’est un Tamagotchi, mais pour hackers.
Mais détrompez-vous, le Flipper Zero n’est pas qu’un gadget mignon qui fait bip-bip. C’est une prouesse technique basée sur un microcontrôleur STM32WB55 à double cœur ARM. Un Cortex-M4 à 64 MHz pour le firmware principal (le cerveau) et un Cortex-M0 à 32 MHz pour le Bluetooth Low Energy (le moulin à paroles). Avec 256 KB de RAM et 1 MB de stockage Flash, c’est suffisant pour faire tourner un système complet. C’est évidemment moins puissant que votre smartphone, mais c’est exactement ce qu’il faut.
L’écran est un LCD monochrome rétro avec rétroéclairage orange de 128×64 pixels. “Au lieu des écrans modernes TFT, IPS ou OLED, nous avons délibérément choisi un cool LCD old-school”, explique l’équipe et comme sur les vieux téléphones monochromes Nokia 3310 et les Tamagotchi, l’écran est toujours allumé. Rassurez-vous, la batterie ne se vide en 3 heures comme sur votre iPhone.
Les capacités radio sont aussi impressionnantes pour un truc de la taille d’un paquet de clopes. Il est équipé d’une antenne 125 kHz en bas pour lire les cartes de proximité basse fréquence (vos vieux badges de bureau), d’un module NFC intégré (13.56 MHz) pour les cartes haute fréquence (cartes de transport, badges modernes), d’une puce CC1101 avec antenne multi-bande pour une portée jusqu’à 50 mètres (portails, alarmes de voiture), d’infrarouge pour contrôler les appareils domestiques (bye bye la télécommande perdue), et de GPIO pour se connecter à des modules externes (pour les vrais nerds).
Puis le 30 juillet 2020, la campagne Kickstarter est lancée avec un seul objectif : Récolter 60 000 dollars. Et le résultat est au delà de toutes leurs espérance puisque c’est exactement 4 882 784 dollars qui seront récoltés auprès de 37 987 contributeurs en seulement 30 jours. C’est 8138% de l’objectif initial. Du délire total.
Quand Pavel et Alex regardent les compteurs, ils se regardent, mi-excités, mi-terrifiés. “Comment on va produire tout ça ?” La réponse : avec beaucoup de café et pas mal de crises de panique.
La communauté est plus qu’excitée, elle est en ébullition totale. Et sur les forums, certains s’inquiètent déjà : “Devoir soudainement produire 8000% de votre objectif de production d’ici une date prédéfinie ressemble à un cauchemar.” Et ils avaient raison. Pavel et Alex se retrouvent alors face à un défi monumental : transformer un projet de hackerspace en une entreprise capable de produire près de 40 000 unités. Et tout cela en pleine pandémie de COVID-19. C’est là que le fun commence vraiment.
2021-2022, c’est l’enfer sur terre. La pénurie mondiale de puces frappe de plein fouet. Le fournisseur taïwanais Sitronix annonce une pénurie continue de puces 7565R. Toutes les commandes passées avant juin 2021 sont retardées. Pire, ils suspendent temporairement toutes les nouvelles commandes. C’est la merde totale.
L’équipe doit alors redesigner l’électronique et les PCB plusieurs fois pour remplacer les composants introuvables. Un cauchemar d’ingénierie surtout que les composants de puissance deviennent l’objet de spéculation sauvage, pire que les cartes Pokémon. Un convertisseur de tension passe de 0,50$ à 10,70$, un chargeur de batterie BQ25896RTWR devient littéralement impossible à acheter. Y’a aucun stock chez TI, DigiKey ou Mouser. C’est le Far West des composants électroniques.
L’équipe cherche alors des stocks dans des entrepôts alternatifs, chez de petits fournisseurs louches car ils refusent de payer 20 fois le prix normal par principe. La production est alors fragmentée : les boîtiers plastiques dans une usine en Chine, l’électronique dans une autre en Europe de l’Est. Et coordonner tout ça pendant les perturbations de la chaîne d’approvisionnement est un cauchemar logistique qui ferait pleurer un responsable Amazon.
Malgré tout, ils commencent à expédier en janvier 2022. Mi-2022, 90% des commandes Kickstarter sont expédiées. C’est un miracle dans ce contexte de “l’une des plus grandes crises du marché des composants électroniques des dernières décennies”. D’autres projets Kickstarter de la même époque n’ont toujours pas livré.
Mais dès le début, Pavel et Alex on adopté la tactique de la transparence et de l’ouverture maximales. Tout le code est sur GitHub sous licence GPLv3, y’a pas de bullshit propriétaire, pas de DRM, pas de fonctionnalités bloquées derrière un paywall. Et cette approche attire une communauté massive.
Des firmwares alternatifs apparaissent comme des champignons après la pluie : Unleashed (firmware débloqué avec support des rolling codes pour les vrais méchants), RogueMaster (le plus cutting-edge avec les dernières fonctionnalités communautaires), Momentum (continuation officielle d’Xtreme après son arrêt). La philosophie est claire… pas de paywall, pas d’apps propriétaires. “Chaque build a toujours été et sera toujours gratuit et open source”, proclament les développeurs d’Unleashed. Respect.
Comme je vous le disais, le dauphin du Flipper Zero n’est pas qu’une mascotte mignonne pour faire joli. L’équipe lui a donné une personnalité complexe : il “a des opinions politiques de gauche, écoute de la techno, et n’a pas d’identité de genre prononcée”. C’est une déclaration politique subtile mais claire sur les valeurs de l’entreprise. Un dauphin woke, en somme. Et cette personnalité se reflète dans les interactions car le dauphin s’énerve si vous ne l’utilisez pas, il évolue avec vos hacks, il a ses humeurs. C’est un compagnon numérique avec du caractère, et pas un simple assistant style Alexa qui répond “Désolé, je n’ai pas compris”.
Nous sommes maintenant en février 2022. La Russie envahit l’Ukraine. Pavel Zhovner est ukrainien et plus de 10% de l’équipe Flipper Devices est ukrainienne. La décision est alors immédiate et radicale : Plus aucune livraison vers la Russie, plus aucun recrutement en Russie, et une aide active pour faire sortir tous les employés russes du pays, avec un déménagement du siège à Londres. C’est efficace et c’est surtout un positionnement politique fort pour une entreprise tech qui aurait pu fermer sa gueule et continuer à vendre. Flipper Devices n’a plus rien à voir avec la Russie.
Puis en 2023, le Flipper Zero devient viral sur TikTok. Des vidéos montrent des utilisateurs qui ouvrent les ports de charge des Tesla (véridique), éteignent les menus électroniques des fast-foods (hilarant), changent les prix sur les pompes à essence (illégal), déverrouillent des voitures (parfois). Les vidéos accumulent des millions de vues. “Je ne m’attendais pas à ce que ça marche 😭”, titre l’une d’elles montrant l’ouverture d’une Tesla.
Mais la réalité est plus nuancée car la plupart des vidéos sont probablement mises en scène ou nécessitent une préparation significative. Les attaques démontrées ne fonctionnent que contre des systèmes primitifs ou mal protégés. Votre Tesla Model 3 est tranquille. Votre vieille Clio de 1998, peut-être un peu moins.
Puis en avril 2023, Amazon bannit le Flipper Zero, le classifiant comme “appareil de skimming de cartes”. L’ironie c’est que toutes les annonces sur Amazon étaient de toute façon des revendeurs non officiels vendant des contrefaçons chinoises, et pas Flipper Devices directement.
La réaction de Pavel et Alex est brillante car ils transforment alors cet obstacle en opportunité en créannt leur propre réseau de distribution. Le bannissement devient un argument marketing pour la liberté technologique et le “Amazon nous a bannis” devient un badge d’honneur. L’effet Streisand joue à plein tube et chaque nouvelle interdiction génère une couverture médiatique qui fait découvrir l’appareil à de nouveaux publics. Merci Amazon et les autres shop pour la pub gratuite !
En février 2024, le Canada annonce son intention de bannir le Flipper Zero, invoquant une vague de vols de voitures. Le problème, c’est qu’aucun vol de voiture connu à cette époque, n’implique un Flipper Zero. C’est comme bannir les cuillères parce que quelqu’un s’est noyé dans sa soupe. Car techniquement, le Flipper Zero ne peut pas démarrer une voiture moderne. Il peut capturer et rejouer certains signaux, mais c’est plus compliqué que ce qu’on croit. Bref, tout ceci n’est qu’un cas classique de panique morale technologique, comme quand les parents pensaient que Doom allait transformer leurs enfants en tueurs en série ou que le téléchargement illégal ou l’IA va tuer la création et les artistes.
La réponse cinglante de Flipper Devices ne se fait pas attendre : ils pointent l’absurdité de bannir un outil à 169$ qui ne peut pas faire ce dont on l’accuse, pendant que de vrais outils de vol de voitures (genre les programmeurs de clés à 5000$) circulent librement sur eBay…
Les résultats financiers de Flipper Devices sont stupéfiants pour une entreprise sans investisseurs, sans VCs vampires, sans bullshit corporate : 2021 - 5 millions de dollars de revenus. 2022 - 25 millions de dollars. 2023 - 80 millions de dollars avec 500 000 unités vendues en cette années là. Soit une croissance de 1500% en deux ans, entièrement organique. Comme je vous le disais, pas de VCs, pas de dilution. Juste le crowdfunding initial et des ventes. “C’est du capitalisme old school” : tu vends un produit, tu fais du profit, tu réinvestis. Point.
Le business model est d’une simplicité désarmante. Un prix fixe d’environ 169 dollars (pas de Flipper Zero Pro Max Ultra à 500$), des marges confortables grâce à la production en volume, une distribution directe. Pas de versions multiples pour embrouiller les clients, pas de segmentation marketing. Un produit unique qui fait tout. Apple pourrait apprendre.
2024, après trois ans de développement intensif, la version 1.0 du firmware sort enfin. Les nouveautés sont importantes : support JavaScript pour créer des apps sans connaître le C (pour les noobs), système NFC complètement réécrit avec système de plugins, autonomie d’un mois en veille (mange-toi ça Apple Watch), transfert Bluetooth 2x plus rapide avec Android, support des apps tierces dynamiques. C’est l’aboutissement de trois ans de travail acharné, mais aussi un nouveau départ. Car la v1.0 n’est pas une fin, c’est une nouvelle base pour la communauté.
Plus de 500 000 utilisateurs actifs, des centaines de repositories sur GitHub et tout autant d’apps communautaires, c’est ça, le vrai succès du Flipper Zero. La communauté développe des usages créatifs inattendus comme de l’émulation de cartes d’hôtel pour tester la sécurité (ou entrer dans sa chambre bourré), analyse de protocoles propriétaires d’équipements médicaux (ça fait peur !), reverse engineering de jouets connectés (pourquoi pas), ou encore audit de sécurité de systèmes domotiques (votre frigo connecté est vulnérable).
Le repository awesome-flipperzero liste des centaines de ressources, projets, et modifications. C’est un écosystème vivant qui dépasse largement ce que Pavel et Alex avaient imaginé. Comme Linux, mais en plus fun. Et l’équipe ne s’arrête pas au device de base puisque des modules additionnels sortent régulièrement comme un module WiFi pour l’analyse réseau (pour hacker le WiFi du voisin légalement), une carte SD pour stocker plus de données (tous vos dumps de cartes), des modules GPIO custom pour des projets spécifiques (pour les vrais malades). Une collaboration avec Raspberry Pi est même annoncée pour de nouveaux modules hardware. Le Flipper Zero devient une plateforme, pas juste un gadget.
Dans une interview, Alex Kulagin explique leur vision : “Pour moi, le Flipper Zero est un lanceur d’alerte pour les systèmes de sécurité du monde qui reposent sur de la technologie vieille, médiocre et facilement hackable. […] Ce que Flipper apporte, c’est la prise de conscience que, les gars, ce truc n’est pas sécurisé. Si quelque chose peut être hacké par un jouet à 100$, c’est peut-être trop vieux.”
Et cette philosophie guide tout. Le Flipper Zero n’est pas conçu pour les criminels - ils ont déjà des outils bien plus puissants et ne vont pas attendre qu’un dauphin orange arrive sur Kickstarter. Non, il est conçu pour les chercheurs en sécurité, les étudiants, les curieux afin de démocratiser la compréhension de la sécurité et surtout pour montrer que la sécurité par l’obscurité, c’est de la merde.
Bien sûr, tout n’est pas rose dans le monde merveilleux du dauphin orange. Des voix s’élèvent pour critiquer le Flipper Zero : “C’est un outil pour les script kiddies”, “Ça facilite le hacking malveillant”, “Les vidéos TikTok encouragent des comportements illégaux”…etc. Alors l’équipe répond patiemment…
Sur leur blog, ils expliquent que la majorité des fonctions peuvent être répliquées avec un smartphone et 10$ d’équipement sur AliExpress. Que les vrais criminels n’attendaient pas le Flipper Zero. Que l’éducation à la sécurité passe par la compréhension pratique. Voilà, c’est comme interdire les cours de serrurerie parce que ça pourrait former des cambrioleurs.
Le Flipper Zero a changé la perception du hacking hardware car ce n’est plus réservé à une élite technique avec des outils coûteux et un PhD en électronique. C’est accessible, ludique, mais sérieux. Des universités l’utilisent pour enseigner la sécurité (MIT, Stanford, même la Sorbonne s’y met). Des entreprises l’achètent pour auditer leurs systèmes (cheaper than a consultant). Des hobbyistes découvrent le monde du hardware hacking (et arrêtent de jouer à Candy Crush).
Le design “toy-like” brise les barrières psychologiques car les gens n’ont pas peur d’un Tamagotchi orange. Ils sont curieux, ils veulent comprendre. Et c’est exactement ce que voulaient Pavel et Alex à savoir rendre le hacking moins intimidant, plus accessible. Mission accomplie !!
Dans un tweet récent, Pavel avoue que “C’est encore difficile à croire. Je n’aurais jamais pu imaginer que le projet Flipper Zero atteindrait cette taille.” Et les défis sont encore nombreux du genre comment rester fidèle à l’esprit hacker en devenant mainstream ? Comment naviguer les régulations sans compromettre les fonctionnalités ? Comment scaler sans perdre l’âme du projet et finir comme Arduino (RIP) ?
Les projections pour 2024-2025 suggèrent un dépassement des 100 millions de revenus mais l’argent n’est pas le but. “Je crois en l’open source”, répète Pavel. “Le projet sera complètement ouvert.” Pas de vente à Microsoft ou Google, pas d’IPO foireuse, pas de transformation en corporation sans ame.
C’est de l’authenticité pure et ça paye car Pavel et Alex n’ont jamais caché leurs intentions, leurs valeurs, leurs difficultés. C’est cette transparence qui a créé une confiance inébranlable avec la communauté. Et c’est surtout une preuve que l’open source n’est pas incompatible avec le succès commercial. 80 millions de dollars de revenus avec tout le code sur GitHub, c’est la preuve que le modèle fonctionne, contrairement à ce que racontent certains.
Et les contraintes créent l’innovation… la pénurie de composants, les bannissements, les controverses… chaque obstacle a été transformé en opportunité. Surtout que la communauté est plus importante que le produit. Ce Flipper Zero ne serait rien sans ses 500 000 utilisateurs qui créent, partagent, innovent. Sans oublier que le design compte autant que les fonctionnalités… c’est un dauphin mignon qui a quand même rendu le pentest accessible au grand public.
Je ne l’aurais pas cru à l’époque. Et l’équipe tease régulièrement de nouveaux appareils en laissant entendre que d’autres produits sont en développement. Mais rassurez-vous, la vision reste la même. Démocratiser la compréhension de la technologie tout en donnant aux gens les outils pour comprendre et contrôler leur environnement numérique.
C’est une mission qui dépasse largement le Flipper Zero.
Pavel Zhovner et Alex Kulagin ont créé plus qu’un gadget. Ils ont créé un mouvement. Un mouvement qui dit que la technologie ne devrait pas être une boîte noire. Comme Phil Zimmermann avec PGP, ils ont mis un outil puissant entre les mains du peuple. Et comme Zimmermann, ils font face à l’incompréhension, aux interdictions, aux controverses. Mais ils tiennent bon.
Le succès du Flipper Zero a également inspiré des concurrents tels que HackRF (plus puissant mais moins accessible et coûte un bras), Proxmark (spécialisé RFID mais moins polyvalent), WiFi Pineapple (focus WiFi mais pas portable), mais aucun n’a la combinaison magique du Flipper, accessible, portable, polyvalent, et surtout, fun.
Le Flipper Zero est surtout devenu un symbole inattendu… un mélange de tech ukrainienne innovante (fuck yeah), de résistance à la censure technologique, d’innovation hors des grands centres tech américains, et de la possibilité de succès sans Silicon Valley et ses VCs toxiques. Des gouvernements s’inquiètent, des entreprises tremblent… Et tout ça à cause d’un Tamagotchi créé par deux nerds d’Europe de l’Est.
La créativité de la communauté surprend même les créateurs. Des vétérinaires l’utilisent pour cloner les puces d’animaux perdus, des escape games l’intègrent dans leurs énigmes, des artistes créent des installations interactives, des professeurs l’utilisent pour des démonstrations de physique. Chaque jour, de nouveaux usages émergent et c’est la beauté d’un outil vraiment ouvert.
Et leurs plans pour 2025 sont ambitieux avec de nouveaux modules hardware (ça parle d’un module SDR complet), de l’intégration IA pour l’analyse de protocoles, un marketplace officiel pour les apps, des programmes éducatifs et une expansion internationale. Mais Pavel insiste “L’important n’est pas ce que nous planifions, mais ce que la communauté créera.”
Pavel et Alex pensent en décennies, pas en trimestres comme les commerciaux car le Flipper Zero doit durer 10 ans minimum (construit pour durer), l’écosystème doit survivre aux fondateurs (immortalité du projet), la communauté doit s’auto-organiser (décentralisation), et le projet doit rester pertinent technologiquement (innovation continue). Une vision long terme guide chaque décision… et surtout, pas de quick wins au détriment de la durabilité.
Et ce succès a un prix que peu comprennent car Pavel et Alex ont sacrifié leur anonymat (menaces régulières de tous les camps), leur stabilité (déménagements forcés, merci la guerre), leur vie privée (les médias sur le dos), et leur tranquillité (controverses permanentes sur Twitter), mais ils ne regrettent rien. “C’est le prix de changer le monde”, dit Pavel.
Pavel avoue parfois douter : “Sommes-nous légitimes ? Méritons-nous ce succès ?” Le syndrome de l’imposteur frappe même après 80 millions de revenus mais Alex est plus pragmatique : “On a créé quelque chose dont les gens ont besoin. Le marché a validé. Point.” Cette tension entre doute et confiance nourrit l’humilité de l’équipe et il n’y a pas de grosse tête chez Flipper Devices.
Aujourd’hui, Pavel Zhovner continue de coder depuis Londres et Alex Kulagin négocie avec les usines. Le Flipper Zero n’est pas qu’un gadget. C’est un acte de résistance et un vent de liberté dans un monde où la tech devient de plus en plus fermée.
Hey les scrapers de l’espace là, vous en avez marre de vous battre contre Cloudflare comme si c’était le boss final d’un Dark Souls ? Et bien sûr, vous avez testé Selenium et Playwright mais vos bots se font démasquer plus vite qu’un menteur à l’Assemblée Nationale ? Alors ça tombe bien car j’ai trouvé votre nouveau meilleur ami, et il s’appelle Botasaurus.
Derrière ce nom de dinosaure se cache un framework Python open source, conçu pour le scraping web moderne. Créé par Omkar Cloud, il promet de faire passer vos bots pour des humains plus vrais que nature.
La première chose avec Botasaurus, c’est sa capacité à contourner les protections anti-bot. Il passe notamment la barrière de Cloudflare avec brio mais pas seulement, puisqu’il gère aussi très bien PerimeterX, BrowserScan, Fingerprint Bot Detection, et même les CAPTCHA Turnstile. Le créateur du framework a même publié une vidéo où il contourne tous ces systèmes en live. La grande classe !
Concernant Datadome, il semble cependant galérer encore un peu d’après les retours que j’ai eu.
Ce qui démarque Botasaurus, c’est surtout son approche “humane driver” car au lieu d’utiliser bêtement Selenium ou Playwright, le framework ajoute une couche d’humanisation qui simule des mouvements de souris réalistes, des temps de pause naturels, et même des patterns de navigation qui imitent un vrai utilisateur. Du coup vos bots passent incognito avec du style ^^.
Ce framework permet même d’économiser jusqu’à 97% sur les coûts de proxy. Comment ? Et bien en utilisant des requêtes fetch basées sur le navigateur au lieu de lancer un navigateur complet pour chaque requête. C’est malin et ça fait une sacrée différence sur la facture à la fin du mois.
Pour l’installation, c’est du Python classique :
python -m pip install --upgrade botasaurus
Et voici un exemple simple pour scraper un site :
from botasaurus.browser import browser, Driver
@browser
def scrape_heading_task(driver: Driver, data):
# Visite le site via Google Referrer (pour bypass Cloudflare)
driver.google_get(data['url'])
# Récupère le texte du titre
heading = driver.get_text('h1')
return {"heading": heading}
# Lance le scraping
scrape_heading_task()
Ce décorateur @browser gère automatiquement tout le setup du navigateur, les anti-détections, et même la sauvegarde des résultats en JSON. Comme ça, pas besoin de se prendre la tête avec la configuration.
Et pour les cas où vous avez besoin de contourner du Cloudflare plus agressif, il suffit d’ajouter un paramètre comme ceci :
driver.google_get(url, bypass_cloudflare=True)
D’après les benchmarks de ScrapingAnt, Botasaurus est plus furtif qu’undetected-chromedriver et puppeteer-stealth. C’est dire le niveau de sophistication atteint.
Un autre point fort de Botasaurus, c’est également la possibilité de transformer votre scraper en application desktop. En une journée, vous pouvez créer une app pour Windows, Mac et Linux avec une interface graphique complète. C’est génial, car ça vous éviter d’expliquer à vos clients comment lancer un script Python. Ils ont juste une app sur laquelle double-cliquer.
Le framework inclut aussi un serveur web intégré qui permet de créer une UI pour vos scrapers comme ça, avec quelques lignes de JavaScript, vous pouvez définir des formulaires d’input, des filtres, des exports en CSV/Excel, et même une API REST pour intégrer votre scraper ailleurs.
Ce framework brille donc particulièrement pour tout ce qui est :
Les sites avec protection Cloudflare basique à modérée
Le scraping local ou sur VPS avec peu de volume
La création rapide de scrapers avec UI
Les projets où l’anti-détection prime sur la performance pure
Par contre, pour du scraping massif à grande échelle ou contre des protections enterprise ultra-sophistiquées, vous devrez probablement combiner Botasaurus avec d’autres outils ou services.
Vous savez quel est le pire cauchemar d’un labo pharmaceutique ? C’est investir des milliards dans un médicament qui fonctionne parfaitement sur les souris pour finalement découvrir qu’il est totalement inutile chez l’humain.
Bon, visiblement ça arrive dans 96% des cas pour les médicaments neuropsychiatriques selon les données de Johns Hopkins BME. Un taux d’échec qui ferait pâlir n’importe quel créateur de founder. Mais voilà qu’une équipe de chercheurs vient peut-être de trouver la solution en faisant pousser… des cerveaux humains miniatures.
C’est l’équipe d’Annie Kathuria à Johns Hopkins qui a réussi ce truc assez fou. Ils ont créé le tout premier organoïde cérébral complet, le MRBO (Multi-Region Brain Organoid), qui intègre toutes les régions majeures du cerveau humain. Pas juste un bout de cortex comme avant hein, mais un vrai petit cerveau avec ses vaisseaux sanguins rudimentaires et son activité neurale. La bestiole fait 6 à 7 millions de neurones ce qui comparé à votre cerveau qui en contient des dizaines de milliards, est ridicule, mais c’est déjà suffisant pour reproduire l’activité d’un cerveau fœtal de 40 jours.
Pour y parvenir, il utilisent une technique d’assemblage où au lieu d’essayer de tout faire pousser d’un coup, ils cultivent séparément les différentes régions cérébrales et les vaisseaux sanguins dans des boîtes de Petri, et ensuite, ils utilisent des protéines collantes qui font office de “superglue biologique” pour assembler le tout comme un puzzle 3D. Une fois collés ensemble, les tissus commencent alors naturellement à créer des connexions et à produire de l’activité électrique coordonnée.
Ce qui est dingue c’est que cet “‘organoïde” conserve environ 80% des types cellulaires qu’on trouve dans un cerveau humain en développement précoce. Les chercheurs ont même observé la formation d’une barrière hémato-encéphalique primitive, cette couche protectrice qui filtre ce qui peut ou ne peut pas entrer dans le cerveau. D’après ScienceDaily, c’est une première mondiale qui pourrait transformer radicalement la recherche médicale.
Mais alors pourquoi c’est si révolutionnaire ? Et bien ça permettrait de “faire de la science” sur du tissu cérébral humain sans toucher à un seul patient. Pour les maladies comme la schizophrénie, l’autisme ou Alzheimer qui affectent l’ensemble du cerveau et pas juste une région isolée, c’est donc un game-changer total.
En France, le CNRS a annoncé le lancement du programme PEPR MED-OoC début 2025. C’est un projet à 48 millions d’euros sur six ans pour développer la médecine personnalisée avec les organoïdes. Co-dirigé par le CEA, l’Inserm et le CNRS, ce programme vise à créer des modèles biologiques personnalisés et réduire l’expérimentation animale.
L’application la plus prometteuse c’est évidemment la médecine sur-mesure. En gros, on prélève vos cellules, on fait pousser un mini-vous cérébral, et on teste dessus quel traitement marchera le mieux pour VOTRE cerveau spécifique. Plus de loterie thérapeutique, plus de “on va essayer ça et voir si ça marche”. Cette approche permet déjà d’étudier la microcéphalie, les troubles du spectre autistique et même les effets du virus Zika sur le développement cérébral.
D’ailleurs, ça marche déjà pour d’autres organes. Une équipe chinoise a rapporté en 2024 les résultats d’un essai clinique où ils ont transplanté des îlots pancréatiques dérivés de cellules souches chez un patient diabétique de type 1. Du coup, sevrage complet de l’insuline en 75 jours avec une HbA1c normalisée à 5%. Alors si on peut faire la même chose avec les troubles neurologiques, c’est le jackpot médical !
Bon, maintenant avant que vous ne flippiez en mode Black Mirror, je vous rassure, ces mini-cerveaux ne sont pas conscients. L’Académie nationale de médecine insiste bien là-dessus !! Toutes les activités cellulaires observées ne peuvent pas être assimilées à des processus cognitifs, sensoriels ou moteurs. C’est juste du tissu biologique qui réagit, et pas un être pensant miniature.
Pour les chercheurs, ces organoïdes sont surtout une alternative éthique géniale car au lieu de tester sur des animaux (avec des résultats souvent non transposables) ou d’attendre des années pour des essais cliniques risqués, ils peuvent maintenant observer en temps réel comment une maladie se développe et tester immédiatement si un traitement fonctionne. Ça me fait penser aussi à cet ordinateur biologique dont j’ai parlé il y a quelques semaines…
Ce qui est fou, c’est qu’on n’est qu’au début de tout ça ! Et les applications potentielles sont énormes car ça va nous permettre de comprendre pourquoi certains cerveaux développent des maladies neurodégénératives et d’autres non, mais aussi de créer des banques d’organoïdes pour tester massivement de nouvelles molécules, ou même de développer des thérapies préventives personnalisées avant l’apparition des symptômes.
Alors oui, faire pousser des cerveaux en labo, ça peut sembler dystopique et je sais que certains d’entre vous sont déçus parce qu’ils espéraient une greffe ^^, mais quand on voit le potentiel pour soigner des maladies aujourd’hui incurables, c’est plutôt de l’espoir en boîte… de Petri.
Et avec les investissements massifs en France et aux États-Unis, on peut parier que d’ici quelques années, votre médecin pourra tester ses prescriptions sur votre jumeau cérébral miniature avant de vous les donner.
Si vous possédez un NAS Synology et que vous aimez mettre les mains dans le cambouis, faut absolument que vous lisiez cet article. Car vous avez déjà forcement connu ce moment hyper frustrant où vous voulez juste lancer un nano ou un htop sur votre NAS et… rien ? En effet, le terminal Synology est plutôt spartiate de base. Heureusement, SynoCommunity vient à votre rescousse avec ses packages SynoCli qui permet d’ajouter de nouveaux outils indispensables sur votre NAS.
Alors SynoCommunity, c’est donc une communauté open source qui maintient plus de 130 packages tiers pour Synology DSM. Des applications comme Transmission, SickRage, ou même Home Assistant, mais aujourd’hui, j’aimerai surtout qu’on se concentre sur leurs 7 packages SynoCli qui regroupent plus de 110 outils en ligne de commande. Ça va vous permettre d’installer tout un arsenal d’utilitaires Linux d’un seul coup, sans vous prendre la tête avec les compilations croisées.
La beauté du truc, c’est que tout passe par le Package Center de votre Synology. Pas besoin de SSH, pas de risque de casser votre système, et surtout, tout reste proprement géré par DSM. Si vous mettez à jour votre NAS ou que vous voulez désinstaller, tout se fait proprement.
Bon, trêve de blabla, passons maintenant aux choses sérieuses : ✨l’installation✨.
D’abord, il faut ajouter le dépôt SynoCommunity à votre Package Center. Pour cela, connectez-vous à votre DSM, allez dans le Package Center, puis dans les Paramètres. Et dans l’onglet Sources de paquets, cliquez sur Ajouter et entrez :
Validez, et voilà, vous avez maintenant accès à tout le catalogue SynoCommunity dans l’onglet Communauté de votre Package Center.
Maintenant, cherchez “SynoCli” dans le Package Center. Vous allez alors tomber sur 7 packages différents, chacun ayant sa spécialité. Voici ce que contient chaque package :
SynoCliNet pour le réseau : vous avez nmap (l’outil de scan réseau par excellence), tmux et screen pour gérer vos sessions SSH, mtr pour diagnostiquer les problèmes réseau, rsync pour vos synchronisations, et même sshfs pour monter des systèmes de fichiers distants. La version actuelle inclut aussi telnet, whois et dig.
SynoCliFile pour la gestion de fichiers : c’est le package star avec nano et micro pour éditer vos fichiers, tree pour visualiser l’arborescence, fzf (le fuzzy finder qui change la vie), ripgrep pour des recherches ultra-rapides, bat (un cat avec coloration syntaxique), et même Midnight Commander pour ceux qui ont la nostalgie de Norton Commander. Les dernières versions incluent aussi eza et lsd, des alternatives modernes à ls.
SynoCliMonitor pour surveiller votre système : htop évidemment (parce que top c’est has-been), iotop pour voir qui bouffe votre disque, iperf pour tester votre bande passante, et même bandwhich pour visualiser en temps réel qui utilise votre réseau. Les amateurs d’SNMP seront ravis de trouver les outils net-snmp inclus.
SynoCliDevel pour les développeurs : automake, autoconf, make, gdb pour débugger, pkg-config, et même strace pour tracer les appels système. Parfait si vous voulez compiler des trucs directement sur votre NAS.
SynoCliDisk pour gérer vos disques : testdisk pour récupérer des partitions perdues, ncdu pour voir ce qui prend de la place (en mode interactif), smartmontools pour surveiller la santé de vos disques, et ddrescue si vous devez récupérer des données d’un disque mourant.
SynoCliKernel pour les modules kernel : celui-là est plus spécialisé, avec des modules pour l’USB série et les tuners TV. Utile si vous branchez des périphériques exotiques sur votre NAS.
SynoCliMisc pour tout le reste : bc (la calculatrice en ligne de commande), expect pour automatiser des scripts interactifs, parallel pour paralléliser vos commandes, et plein d’utilitaires issus de util-linux comme lsblk, lscpu, findmnt.
Une fois installés, tous ces outils sont alors accessibles directement depuis le terminal SSH de votre Synology. Pas de PATH à configurer, pas de bibliothèques manquantes, ça marche direct.
Petite astuce quand même en passant… vous n’êtes évidemment pas obligé d’installer tous les packages. Si vous voulez juste éditer des fichiers et surveiller votre système, SynoCliFile et SynoCliMonitor suffisent largement. Chaque package fait entre 10 et 50 MB, donc ça reste raisonnable.
Pour DSM 7, attention, selon les développeurs, certains packages peuvent nécessiter des adaptations, mais la communauté est active et les mises à jour sont régulières. D’ailleurs, si vous upgradez de DSM 6 vers DSM 7, pensez à sauvegarder vos configurations avant. Ce qui est cool avec SynoCommunity surtout, c’est que tout est open source. Vous pouvez aller voir le code sur GitHub, contribuer si vous voulez, ou même créer vos propres packages avec leur framework spksrc. C’est une vraie communauté de passionnés qui maintiennent ça sur leur temps libre.
Bref, si vous utilisez votre Synology pour autre chose que du stockage basique, ces packages SynoCli sont indispensables. Ça transforme votre NAS en véritable serveur Linux, avec tous les outils dont vous avez besoin pour administrer, développer, et débugger… Comme ça, plus besoin d’installer Entware ou de bricoler avec ipkg/opkg. Tout est propre, maintenu, et intégré à DSM.
Alors oui, vous pourriez compiler tout ça vous-même, mais pourquoi se compliquer la vie quand une communauté entière le fait déjà pour vous ? En plus, avec le système de packages Synology, vous pouvez installer/désinstaller/mettre à jour en un clic, sans risquer de casser votre système.
Voilà, maintenant votre NAS Synology n’a plus aucune excuse pour ne pas avoir tous les outils CLI dont vous rêvez.
Puis c’est quand même plus classe de faire un htop dans un terminal que de regarder le Resource Monitor dans l’interface web, non ?
C’est l’histoire d’un couple d’artistes développeurs qui largue les amarres pour vivre sur un voilier dans le Pacifique Nord. Pas de connexion internet stable, pas d’électricité illimitée, juste l’océan et quelques panneaux solaires…
C’est dans ces conditions que Devine Lu Linvega et Rek Bell de 100 Rabbits ont créé Uxn, une machine virtuelle qui tient en 100 lignes de C et qui fait tourner des applications graphiques complètes sur à peu près n’importe quoi, de votre vieille Game Boy Advance à votre Raspberry Pi Pico.
Le truc vraiment génial avec Uxn, c’est qu’elle ne prend que 64KB en RAM. Pour vous donner une idée, c’est environ 65 000 fois moins que ce que Chrome bouffe juste pour afficher cette page. Et pourtant, avec ces 64KB, vous pouvez faire tourner un éditeur de texte complet, un logiciel de dessin, un environnement de livecoding musical, et même des jeux comme Oquonie ou Donsol.
Sorcellerie me direz-vous ? Et bien non, c’est tout à fait possible en revenant aux fondamentaux de l’informatique et en appliquant les principes du permacomputing.
L’idée du permacomputing, c’est de créer des systèmes informatiques résilients et durables. Au lieu de racheter un nouveau PC tous les 3 ans parce que le dernier Windows rame, vous créez des logiciels qui tourneront encore dans 20 ans sur le matériel d’aujourd’hui. C’est une philosophie qui maximise la durée de vie du hardware et minimise la consommation énergétique. Et Uxn incarne parfaitement cette approche.
Pour programmer sur Uxn, vous devez utilise Uxntal, un langage assembleur basé sur une stack machine avec notation postfixe. Par exemple, au lieu d’écrire 3 + 4, vous écrivez 3 4 +. Ça peut paraître bizarre au début, mais c’est redoutablement efficace. Et contrairement à ce qu’on pourrait penser, Uxntal supporte même des concepts avancés comme les fonctions lambda et la programmation fonctionnelle.
Ce qui est vraiment cool avec cet OS, c’est sa portabilité. Le même fichier ROM Uxn peut tourner sur votre PC Linux avec SDL2, sur une Nintendo DS, sur un navigateur web, sur DOS, sur une PlayStation Vita, et même sur des trucs complètement barrés comme un télétypographe ou un STM32. C’est exactement comme les ROMs des vieilles consoles en fait… Vous créez votre programme une fois, et il tourne partout où il y a un émulateur Uxn.
Les applications disponibles sont d’ailleurs impressionnantes. Il y a Left, un éditeur de texte graphique, Noodle qui permet de dessiner, Orca qui est un environnement de livecoding pour créer de la musique, Nasu qui édite des sprites, Turye qui crée des polices de caractères. Et tout ça dans des fichiers de 10 à 15KB maximum.
L’écosystème Uxn est aussi super accessible pour les développeurs. La documentation sur GitHub liste des dizaines d’émulateurs, d’outils et de tutoriels. Il y a même des compilateurs comme Dotal et Funktal qui permettent d’écrire dans des langages de plus haut niveau et de compiler vers Uxntal. La communauté est aussi très active sur IRC (#uxn sur libera.chat) et Discord, et les workshops d’introduction sont excellents pour débuter.
Maintenant, pour installer Uxn sur votre machine, c’est super simple. Sur Linux, vous installez SDL2 (sudo apt install libsdl2-dev sur Ubuntu), vous téléchargez l’émulateur, et vous lancez vos ROMs. Vous pouvez même développer directement sur Uxn avec Bicycle, un REPL interactif, ou Dexe, un éditeur hexadécimal.
Ce que j’adore avec Uxn, c’est que ça remet en question tout ce qu’on considère comme acquis dans le développement moderne. On n’a pas besoin de 8GB de RAM et d’un framework JavaScript de 500MB pour faire une calculatrice. On peut créer des outils puissants et élégants avec des contraintes extrêmes. Et le fait que tout ça vienne de deux personnes vivant sur un bateau, alimentées par de l’énergie solaire, ça rajoute une dimension poétique au projet.
Donc si vous cherchez une alternative radicale à la course à la puissance, si vous voulez explorer ce qu’on peut faire avec des systèmes minimaux, ou si vous êtes juste curieux de voir comment on peut faire tenir un OS complet dans moins de mémoire qu’une photo Instagram, Uxn vaut vraiment le détour.
Car parfois, c’est bon d’en enlever un peu pour retrouver l’essentiel.
Vous savez ce qui me fascine avec les gangs de ransomware ? C’est leur capacité à renaître de leurs cendres comme des phœnix. L’opération Checkmate vient de frapper BlackSuit le 24 juillet dernier, saisissant 4 serveurs, 9 domaines .onion et récupérant 1,09 million de dollars en crypto, mais instantanément, les cybercriminels ont déjà muté en “Chaos”, leur nouvelle identité lancée en février dernier. Trop fort ! Ils avaient anticipé le coup !
Pour comprendre l’ampleur de ce bordel, il faut remonter à mai 2022. À cette époque, le gang Conti, ces tarés qui avaient attaqué le Costa Rica et déclaré leur soutien à la Russie dans la guerre en Ukraine, implose complètement. Un insider balance 60 GB de leurs conversations internes sur Twitter. On y découvre alors tout : leurs méthodes, leurs cibles, leurs comptes Bitcoin, même leurs conversations WhatsApp où ils parlent de leurs gosses et de leurs vacances. Du jamais vu !
Mais ces mecs sont malins et plutôt que de disparaître, ils se fragmentent en plusieurs groupes. D’abord Quantum en janvier 2022, qui teste les eaux avec le ransomware ALPHV/BlackCat. Puis Royal en septembre 2022, qui développe son propre encrypteur Zeon. Et enfin BlackSuit en juin 2023, juste après avoir mis la ville de Dallas à genoux. À chaque mutation, ils perfectionnent leurs techniques et augmentent leurs tarifs. C’est l’évolution darwinienne version cybercrime !
L’attaque de Dallas en mai 2023, c’est leur chef-d’œuvre. Ils paralysent complètement la ville : services d’urgence 911 hors service, tribunaux fermés, administration municipale KO. Les flics doivent revenir aux rapports papier, les ambulances naviguent avec des cartes routières, c’est le chaos total. Royal demande 60 millions de dollars de rançon ! La ville refuse de payer mais les dégâts sont estimés à plus de 8,5 millions. C’est là qu’ils décident alors de se “rebrander” en BlackSuit… Trop de chaleur médiatique, j’imagine…
Et surtout mes amis, l’ampleur des dégâts est incroyable. Depuis 2022, BlackSuit et Royal ont touché plus de 450 organisations américaines, extorquant 370 millions de dollars selon les estimations du FBI. Mais attention, c’est juste ce qu’on sait ! Les vraies victimes sont probablement le double car beaucoup préfèrent payer en silence plutôt que de voir leurs données exposées. Hôpitaux, écoles, services d’urgence, centrales électriques… ces enfoirés ciblent spécifiquement les infrastructures critiques car elles sont plus susceptibles de payer rapidement.
La collaboration internationale pour l’Opération Checkmate, c’est du jamais vu dans l’histoire de la cybercriminalité. 8 pays unis sous la coordination d’Europol : Canada (RCMP), Royaume-Uni (NCA), Allemagne (BKA et le parquet de Francfort), Ukraine (Cyber Police), Lituanie, France (ANSSI), Irlande et les États-Unis évidemment avec ICE, FBI, Secret Service et l’OFAC.
Chacun apporte ses compétences spécifiques. Les Allemands du BKA avec leur expertise technique légendaire sur l’analyse forensique. Les Ukrainiens avec leur unité cybercrime qui est devenue ultra performante depuis qu’ils se font attaquer H24 par les Russes. Les Britanniques du NCA avec leur expérience des réseaux criminels et leurs infiltrations. Les Néerlandais qui ont fourni l’infrastructure pour coordonner l’opération. Même BitDefender, la boîte roumaine de cybersécurité, était dans le coup !
Cisco Talos a alors rapidement identifié que Chaos présente des similitudes troublantes avec BlackSuit. Mêmes commandes de chiffrement, mêmes structures de notes de rançon, mêmes outils living-off-the-land (ces techniques qui utilisent les outils légitimes Windows pour passer sous les radars). C’est comme si les développeurs avaient juste fait un Ctrl+H pour remplacer “BlackSuit” par “Chaos” dans leur code.
BlackSuit lui-même était né des cendres de Conti. C’est une dynastie criminelle qui remonte à 2016 avec Ryuk, puis Conti en 2020, puis la fragmentation en 2022. À chaque fois qu’on les tape, ils reviennent plus forts. C’est l’Hydre de Lerne version 2.0… tu coupes une tête, il en repousse deux !
Ce nouveau groupe “Chaos” opère donc déjà sur le forum criminel russe RAMP (Ransom Anon Market Place). Pour ceux qui connaissent pas, RAMP c’est le LinkedIn des cybercriminels. Créé en juillet 2021 par TetyaSluha (qui s’est rebrandé en “Orange”), c’est LE forum où les gangs de ransomware recrutent leurs affiliés après que les autres forums comme XSS et Exploit les aient bannis suite à l’attaque de Colonial Pipeline.
RAMP, c’est 14 000 membres qui parlent russe, chinois et anglais et pour s’inscrire, faut soit être recommandé par un membre d’XSS ou Exploit avec plus de 2 mois d’ancienneté et 10 messages, soit casquer 500 dollars cash. Ils ont même un système d’escrow façon Silk Road pour garantir les transactions. C’est Amazon pour les criminels, avec des notes et des avis clients !
Chaos propose donc leur ransomware-as-a-service (RaaS) compatible Windows, ESXi, Linux, BSD et NAS. Leur première demande connue s’élève à 300 000 dollars, mais c’est juste le prix d’entrée. Pour les grosses entreprises, ça peut monter jusqu’à 60 millions !
Leurs techniques d’infiltration sont diaboliques puisqu’ils combinent :
Spam flooding : bombardement d’emails de phishing jusqu’à ce qu’un employé craque
Ingénierie sociale par téléphone : ils appellent le support IT en se faisant passer pour des employés
Living-off-the-land : utilisation de PowerShell, WMI, et autres outils Windows légitimes
Supply chain attacks : compromission de fournisseurs pour atteindre les vraies cibles
Zero-days achetés sur Genesis Market : des vulnérabilités inconnues à 100 000 dollars pièce
Leur spécialité ce sont les environnements VMware ESXi. Ces salopards ont compris que si tu chiffres l’hyperviseur, tu paralyses TOUTES les machines virtuelles d’un coup. Plus besoin donc de chiffrer 500 serveurs individuellement. Il suffit d’attaquer l’ESXi et boom, c’est game over. Ils exploitent notamment la CVE-2024-37085 où il suffit de créer un groupe “ESX Admins” dans l’Active Directory pour avoir les droits admin complets. Du grand art !
Les techniques d’attaque de Chaos sont d’un autre niveau :
Clés de chiffrement individuelles pour chaque fichier (impossible de créer un décrypteur universel)
Chiffrement optimisé : seulement les premiers 1MB de chaque fichier pour aller plus vite
Ciblage des sauvegardes : suppression des snapshots VMware, Volume Shadow Copies, backups Veeam
Double extorsion : vol des données avant chiffrement pour faire pression
Triple extorsion : DDoS sur le site de la victime si elle refuse de payer
Mais le plus dingue, c’est leur nouveau système de négociation. Ils utilisent pour cela des chatbots IA pour gérer les discussions avec les victimes ! Plus besoin d’avoir un négociateur humain disponible 24/7. L’IA analyse le profil de la victime, adapte le ton, applique des techniques de pression psychologique, et peut même négocier dans plusieurs langues simultanément. C’est ChatGPT au service du crime organisé !
Le chatbot est programmé pour :
Offrir une “preuve de vie” en déchiffrant gratuitement 2 fichiers
Augmenter la pression toutes les 24h avec menaces de publication
Proposer des “réductions” si paiement rapide (technique de vente classique)
Menacer de contacter les clients/partenaires de la victime
Publier automatiquement 10% des données volées si pas de réponse après 72h
Heureusement, l’Opération Checkmate a porté un coup sévère. Les autorités ont saisi les serveurs hébergeant les sites .onion de négociation et de leak. Les domaines miroirs ont aussi été pris simultanément pour éviter toute migration rapide. Les systèmes de blanchiment via mixers Bitcoin ont été démantelés. Même les comptes sur les exchanges crypto ont été gelés grâce à l’OFAC.
Mais bon, le plus inquiétant dans cette affaire, c’est surtout la rapidité de la mutation. BlackSuit était actif jusqu’au 24 juillet, jour de la saisie. Mais Chaos était déjà opérationnel depuis février ! Ces enfoirés avaient anticipé l’intervention policière et préparé leur sortie de secours 5 mois à l’avance. Plusieurs affiliés de BlackSuit avaient d’ailleurs déjà migré vers la nouvelle plateforme, emportant avec eux leurs accès aux réseaux compromis.
L’impact sur les victimes reste dramatique. Les secteurs de la santé et de l’éducation, déjà fragilisés par le COVID et les coupes budgétaires, subissent des pertes moyennes de 800 000 dollars par incident selon les dernières statistiques. Mais c’est rien comparé aux coûts cachés :
Arrêt d’activité : 21 jours en moyenne pour un retour à la normale
Perte de confiance des clients : -23% de chiffre d’affaires sur 2 ans
Frais légaux et de notification : 450 000 dollars minimum
Augmentation des primes d’assurance cyber : x3 après une attaque
Coût de reconstruction from scratch : souvent plus cher que la rançon
Les petites municipalités américaines, avec leurs budgets IT dérisoires (genre 50 000 dollars par an pour protéger toute une ville), deviennent des cibles privilégiées. Lake City en Floride a payé 460 000 dollars. Riviera Beach a lâché 600 000. LaPorte County dans l’Indiana, 130 000. C’est open bar pour les criminels !
SC Media souligne à juste titre que malgré cette victoire, le problème reste entier. Tant que le modèle économique du RaaS reste rentable (les affiliés touchent 70 à 90% des rançons !), de nouveaux groupes continueront d’émerger. La décentralisation via les cryptomonnaies et les forums du dark web rend ces organisations presque impossibles à éradiquer complètement.
Le pire c’est que les gouvernements eux-mêmes alimentent le problème. La NSA développe des exploits qui finissent sur le marché noir (coucou EternalBlue et WannaCry). Les services de renseignement achètent des zero-days au lieu de les signaler. Et certains pays (on ne citera pas la Russie et la Corée du Nord) protègent activement ces groupes tant qu’ils ne ciblent pas leurs citoyens.
Bref, cette lutte contre les ransomwares ressemble à un jeu du chat et de la souris infini car même si les forces de l’ordre marquent des points importants comme avec Checkmate, les criminels s’adaptent et reviennent sous de nouvelles formes. C’est la version cyber de la guerre contre la drogue… on arrête un cartel, trois autres prennent sa place.
Du coup, au risque de rabâcher, n’oubliez pas que la seule vraie défense reste la prévention :
Sauvegardes hors ligne : la règle 3-2-1 (3 copies, 2 supports différents, 1 hors site)
Patchs à jour : 85% des attaques exploitent des vulns connues depuis plus de 2 ans
Formation du personnel : 91% des attaques commencent par un email de phishing
Segmentation réseau : limiter la propagation latérale
Plans de réponse aux incidents : testés régulièrement avec des simulations
Cyber-assurance : mais lisez les petites lignes car certaines excluent les “actes de guerre cyber”
Parce qu’au final, ce n’est pas une question de SI vous serez ciblé, mais de QUAND. Les stats sont implacables puisque 71% des organisations ont subi au moins une attaque ransomware en 2024. Et pour les 29% restants… soit ils mentent, soit ils ne le savent pas encore !
On vit vraiment une époque formidable où des criminels peuvent paralyser un hosto depuis leur canapé à Moscou tout en négociant une rançon à l’aide d’un chatbot IA. À vous de voir maintenant si vous préférez investir dans la prévention ou financer involontairement le prochain yacht d’un cybercriminel russe…
Ce serait quoi un monde où les bugs de sécurité se font corriger avant même que les hackers ne les trouvent ? Ce serait plus calme non ? J’écrirais moins sur les failles de sécurité cela dit, mais ça me ferais plus de temps pour chiller dans le hamac. Breeeef, ça va peut-être se produire bientôt car c’est exactement ce que vient de rendre possible Trail of Bits en libérant Buttercup, leur système AI qui a décroché la deuxième place et 3 millions de dollars au challenge AIxCC du DARPA.
Et c’est maintenant open source et ça tourne sur votre laptop.
La tendance actuelle c’est une explosion des vulnérabilités… y’a plus de code produit que jamais, des dépendances partout, et des hackers de plus en plus organisés. Donc les équipes de sécurité sont débordées et passent leur temps à courir après les failles. Heureusement, Buttercup vient inverser complètement la donne en automatisant tout le processus, de la détection au patch.
Ce qui rend ce système spécial, c’est qu’il combine le meilleur des deux mondes. D’un côté, les techniques classiques de cybersécurité comme le fuzzing (bombarder le code avec des entrées aléatoires pour le faire planter) et l’analyse statique. Et de l’autre, sept agents IA différents qui collaborent pour comprendre le contexte, générer des patchs et vérifier qu’ils ne cassent rien d’autre.
Lorsqu’on lui confie une analyse, d’abord, Buttercup lance donc une campagne de fuzzing augmentée par IA sur votre code. Et au lieu de tester bêtement des entrées aléatoires, l’IA apprend quels patterns ont le plus de chances de révéler des bugs. Puis, quand une vulnérabilité est trouvée, le système utilise des outils comme tree-sitter et CodeQuery pour créer un modèle complet du programme et comprendre exactement comment le bug s’intègre dans l’architecture globale.
Et c’est là que ça devient vraiment intéressant car les sept agents IA entrent alors en action, avec chacun avec sa spécialité. L’un analyse le bug, l’autre génère des propositions de patch, un troisième vérifie que le patch ne casse pas les tests existants, et ainsi de suite. Ils se coordonnent tous pour produire un patch normalement robuste qui corrige vraiment le problème sans créer de régression.
Pendant la compétition DARPA à DEF CON 33, Buttercup a impressionné tout le monde. Le système a trouvé et patché des vulnérabilités dans 20 des 25 CWEs les plus dangereux selon MITRE. Et je vous parle de trucs sérieux : buffer overflows, injections SQL, race conditions… Trail of Bits a même reçu le prix “LOC Ness Monster” pour avoir soumis un patch de plus de 300 lignes qui fonctionnait parfaitement.
Ce qui est fou, c’est qu’ils ont obtenu ces résultats en utilisant uniquement des modèles IA moins chers, non-reasoning, et pas les gros modèles de raisonnement ultra-chers. Ça veut dire que c’est accessible pour des projets normaux, pas seulement pour les géants de la tech avec des budgets illimités.
L’installation est vraiment simple pour un outil de cette complexité :
git clone --recurse-submodules https://github.com/trailofbits/buttercup.git
cd buttercup
make setup-local
make deploy-local
Bon, il vous faudra quand même 8 cœurs CPU, 16GB de RAM et environ 100GB d’espace disque. Plus des clés API pour OpenAI ou Anthropic si vous voulez utiliser les fonctionnalités IA. Mais comparé à d’autres outils de sécurité enterprise, c’est vraiment raisonnable. Rassurez-vous aussi, il est possible de fixer un budget maximum en conso API.
Le système supporte actuellement le C et le Java, avec une compatibilité OSS-Fuzz pour s’intégrer facilement dans vos pipelines existants. Il y a même une interface web pour monitorer les tâches en cours et voir exactement ce que fait le système.
Ce qui me plaît vraiment dans ce projet, c’est surtout la philosophie derrière car au lieu de garder cette technologie secrète ou de la vendre hyper cher, Trail of Bits a décidé de tout libérer. Ils ont même créé une version “laptop-friendly” spécialement optimisée pour tourner sur des machines normales, pas juste des clusters de serveurs.
Dans le contexte actuel, c’est une vraie révolution. Google a par exemple montré que son IA peut trouver de nouvelles vulnérabilités dans des projets open source majeurs et Meta développe AutoPatchBench pour standardiser la réparation automatique. Mais Buttercup est le premier système complet, de bout en bout, et open source.
Avec cet outil, des projets open source pourrait se patcher automatiquement et les développeurs pourraient alors se concentrer sur les features au lieu de passer des heures à debugger. Bien sûr, ce n’est pas magique et Buttercup ne remplacera pas les experts en sécurité mais c’est un outil incroyablement puissant qui peut automatiser la partie la plus répétitive et chronophage du travail. Et vu que c’est open source, la communauté peut l’améliorer, l’adapter à ses besoins, créer des plugins…
Donc, si vous bossez dans le dev ou la sécurité, allez jeter un œil au GitHub de Buttercup et qui sait, peut-être qu’un jour on regardera en arrière et on se demandera comment on faisait sans IA pour sécuriser notre code.
Je viens de découvrir un truc qui pourrait bien changer votre façon de jouer sur PC. Ça s’appelle Bazzite et c’est un genre de SteamOS boosté aux stéroïdes compatible avec absolument tout. Oui, même votre vieille tour qui prend la poussière dans un coin.
L’idée de base est chouette puisqu’il s’agit de prendre Fedora Silverblue, cette distribution Linux “immutable” (en gros, impossible à casser même en faisant n’importe quoi), et la transformer en machine de guerre gaming. On obtient alors un OS qui démarre direct en mode Steam Big Picture si vous voulez, qui supporte le HDR sur AMD, et qui fait tourner vos jeux Windows sans que vous ayez à toucher une seule ligne de commande.
The Verge a testé et apparemment les jeux tournent souvent mieux que sous Windows. C’est plus fluide, moins gourmand en batterie, et y’a zéro tracas avec les mises à jour foireuses de Microsoft. Forbes va même jusqu’à dire que c’est “objectivement meilleur que Windows” sur les consoles portables comme le ROG Ally. Rien que ça.
Car contrairement à SteamOS qui est bloqué sur Steam Deck (et quelques rares configs), Bazzite fonctionne sur pratiquement n’importe quel PC x86 de la dernière décennie. Votre laptop gaming, votre tour, votre mini PC branché à la télé, et bien sûr toutes les consoles portables du marché : Steam Deck, ROG Ally, Legion Go, GPD Win, et j’en passe. D’après la documentation officielle, ils supportent même les dernières puces AMD 9070 et Strix Halo de 2025, c’est à dire celles que SteamOS ne peut même pas faire booter.
Le truc vraiment bien, c’est surtout le système d’updates atomiques. En gros, chaque mise à jour est une image complète du système. Si quelque chose foire, vous redémarrez et hop, retour à la version précédente. Fini les soirées à réparer un OS cassé par une mise à jour nvidia, surtout que ces mises à jour arrivent toutes les semaines, et pas tous les six mois comme sur SteamOS.
Pour les utilisateurs Steam Deck, c’est donc très intéressant car vous gardez le mode Gaming que vous aimez, mais vous gagnez un vrai desktop utilisable avec Wayland (donc un scaling correct sur écran haute résolution), le support d’Android via Waydroid pour faire tourner vos apps mobiles, et surtout la possibilité d’installer ce que vous voulez : Decky Loader, EmuDeck, RetroDECK, tout est disponible dès l’installation.
Le projet est porté par la communauté Universal Blue, des gens qui ont compris que Linux pouvait être simple sans sacrifier la puissance et ils ont créé différentes versions : Deck pour les consoles portables, Desktop avec KDE ou GNOME selon vos préférences, et même une version HTPC pour transformer votre PC salon en console de jeu.
Techniquement, tout est basé sur des conteneurs OCI (comme Docker si vous connaissez), ce qui permet d’avoir un système super stable avec des applications qui tournent dans leur bulle. Et les jeux, ça passe par Steam, Lutris ou Heroic Games Launcher, tous préinstallés. Les codecs propriétaires sont inclus et les drivers Nvidia sont déjà là si vous en avez besoin. Y’a même le support du ray tracing avec NVK sur les cartes récentes.
Ce qui est vraiment cool, c’est que vous pouvez tester sans rien casser. Vous gravez l’ISO sur une clé USB, vous bootez dessus, et vous voyez si ça vous plaît. Si c’est le cas, l’installation prend ensuite 20 minutes chrono. Sinon, vous redémarrez sous Windows et on n’en parle plus.
Pour les bidouilleurs, sachez que même si le système est, comme je vous le disais, “immutable”, vous pouvez toujours installer ce que vous voulez via Flatpak (le store Flathub est intégré), Distrobox pour des environnements isolés, ou même rpm-ostree pour des modifications système permanentes. C’est le meilleur des deux mondes puisque ça a la stabilité d’un Chromebook avec la flexibilité d’un Linux classique.
Après c’est cool mais c’est pas magique non plus car certains jeux avec anti-cheat ne fonctionneront jamais sous Linux (merci les éditeurs…) et le support VR est encore perfectible. Puis si vous êtes du genre à avoir besoin d’Adobe Creative Suite ou de logiciels Windows spécifiques, ça reste du Linux avec ses limitations.
Mais pour du gaming pur, c’est une tuerie. Les performances sont là, la stabilité aussi, et vous échappez à toute la télémétrie et les pubs de Windows 11. En plus, avec le kernel fsync modifié qu’ils utilisent, vous avez accès aux dernières optimisations gaming du noyau Linux.
Donc si vous voulez tenter l’aventure, direction bazzite.gg pour récupérer l’ISO qui correspond à votre matos. L’installation est vraiment simple, et la communauté sur Discord est super active si vous avez des questions.
C’est peut-être la preuve que Linux Desktop c’est peut-être plus uniquement un délire de barbu mal sevré de leur tétine, mais une vraie alternative crédible pour le gaming. Donc peut-être même que 2025 sera vraiment l’année du Linux desktop… au moins pour les gamers ! (C’est le marronnier de la presse tech, t’as capté ? ^^)
Ce serait cool non, si on pouvait transformer n’importe quelle lampe de bureau en détecteur de deepfakes, non ?
Car le problème avec les deepfakes aujourd’hui, c’est qu’on court constamment après les faussaires. Ils ont accès aux mêmes vidéos authentiques que nous, aux mêmes outils d’édition ultra-sophistiqués, et l’IA apprend tellement vite qu’elle produit des faux quasi-indétectables. Il leur est donc très facile de reprendre une vraie vidéo et de la trafiquer légèrement pour manipuler les opinions.
Il faudrait donc une sorte de bouclier anti-manipulation-IA pour empêcher toute manip ultérieure d’une captation vidéo. Et bien c’est exactement ce que viennent de réussir des chercheurs de l’université Cornell, et leur technique est brillante… sans mauvais jeu de mots, vous me connaissez ^^.
Abe Davis, à gauche, professeur adjoint d’informatique au Cornell Ann S. Bowers College of Computing and Information Science, et Peter Michael, étudiant diplômé.
Comme l’explique Abe Davis de Cornell : “La vidéo était considérée comme une source de vérité, mais ce n’est plus une hypothèse qu’on peut faire”. Donc, plutôt que de jouer éternellement au chat et à la souris avec la connerie des gens et le talent des faussaires, l’équipe de Cornell a eu une idée géniale : Et si on marquait les vidéos dès leur création, avec un code secret planqué dans la lumière elle-même ?
Leur technologie, baptisée NCI pour “noise-coded illumination”, fonctionne en ajoutant des fluctuations microscopiques à l’éclairage. Ces variations sont totalement invisibles à l’œil nu car votre cerveau les interprète comme du bruit lumineux normal. Mais une caméra, elle pourra tout capter.
Le truc vraiment cool, c’est que chaque source lumineuse peut avoir son propre code secret comme ça vous pouvez programmer votre écran d’ordinateur, vos lampes de bureau, même l’éclairage d’une salle de conférence entière. Et pour les vieilles lampes qui ne sont pas connectées, une simple puce de la taille d’un timbre-poste suffit à les transformer en watermark lumineux.
Mais ensuite, comment ça détecte les fakes ? Et bien c’est là que ça devient vraiment intéressant car le watermark enregistre en permanence une version basse résolution de ce qui se passe sous cet éclairage, avec un horodatage. Les chercheurs appellent ça des “code videos”. Ainsi, quand quelqu’un manipule la vidéo, que ce soit pour insérer un deepfake, changer la vitesse, ou ajouter des éléments, les parties modifiées ne correspondent plus aux code videos. C’est comme si la lumière gardait un registre secret de tout ce qui s’est vraiment passé.
Comme ça, si un petit malin essaie de générer une fausse vidéo avec l’IA à partir d’une vraie vidéo, les code videos ressembleront alors à du charabia aléatoire, ce qui trahira immédiatement la supercherie. Et même si le faussaire connaît la technique et arrive à décoder les codes secrets, il devrait falsifier chaque code video séparément, et s’assurer qu’ils correspondent tous parfaitement entre eux. Autant dire que c’est mission impossible.
Peter Michael, l’étudiant qui a mené les travaux, a présenté cette innovation au SIGGRAPH 2025 à Vancouver et les tests sont vraiment impressionnant car la technique résiste aux compressions vidéo agressives, aux mouvements de caméra, aux flashs, et fonctionne même en extérieur avec différents tons de peau.
Pendant ce temps, la course à l’armement anti-deepfake continue. Le MIT a son projet Detect Fakes actif depuis 2020. Microsoft a son Video Authenticator qui analyse les pixels pour détecter les anomalies. Intel mise sur son FakeCatcher qui atteint 96% de précision en détectant les variations de flux sanguin dans les vidéos (parce que oui, même les meilleurs deepfakes n’arrivent pas encore à reproduire parfaitement les micro-changements de couleur de la peau dus à la circulation sanguine).
Reality Defender, de son côté, utilise une approche multi-modèle qui n’a pas besoin de watermarks préalables. Ils analysent images, vidéos, audio et texte en temps réel pour repérer les manipulations… C’est impressionnant, mais ça reste une approche défensive qui court après les faussaires et n’empêche pas leur “travail”.
Et c’est ça qui rend la solution de Cornell vraiment prometteuse… C’est parce qu’elle est proactive. Plus besoin d’analyser après coup si une vidéo est truquée puisque la preuve d’authenticité est encodée dedans dès le départ. On pourrait sécuriser comme ça des salles de presse équipées de ce système, des interviews officielles protégées par défaut, ou même le siège de l’ONU avec un éclairage anti-deepfake intégré.
Bien sûr, ce n’est pas la solution miracle et Davis lui-même admet que “c’est un problème qui ne va pas disparaître, et qui va même devenir plus difficile” car les faussaires trouveront de nouvelles parades, c’est certain. Mais pour l’instant, cette technologie donne une longueur d’avance cruciale aux défenseurs de la vérité.
Qui aurait cru qu’on combattrait les deepfakes avec une simple lampe de bureau ??
Vous pensiez sérieusement que vos conversations téléphoniques étaient privées tant qu’on n’était pas sur écoute. Et bien, j’ai pas une très bonne nouvelle pour vous… Voilà que des chercheurs de Penn State ont prouvé qu’un simple radar pouvait transformer les vibrations microscopiques de votre téléphone en transcription de vos appels. Y’a pas besoin de pirater quoi que ce soit, juste de pointer un capteur dans votre direction.
Le principe c’est que quand vous téléphonez, l’écouteur de votre smartphone produit des vibrations de seulement 7 micromètres. C’est tellement infime qu’on ne peut même pas le percevoir en tenant le téléphone. Pourtant, ces vibrations se propagent dans tout le châssis de l’appareil et créent ainsi une signature unique pour chaque son émis. Selon l’équipe de recherche, leur système mmWave-Whisper utilise un radar fonctionnant entre 77 et 81 GHz capable de capter ces mouvements invisibles et de les convertir en audio exploitable.
Le systeme mmWave-Whisper
Et ils ont réussi à obtenir une très bonne précision de transcription de 44,74% sur les mots et de 62,52% sur les caractères individuels. Ça peut sembler faible, mais même avec seulement la moitié des mots corrects, on peut facilement reconstituer le sens d’une conversation grâce au contexte. C’est comme lire un message avec des lettres manquantes, votre cerveau va combler automatiquement les trous. Je sais, je sais, y’a des gens qui même qui avec un texte complet ne le comprennent qu’à moitié, mais je vous assure que c’est ce qu’est censé faire le cerveau ^^.
Et cela fonctionne jusqu’à 3 mètres de distance et est totalement insensible au bruit ambiant car contrairement à un micro qui capte tous les sons environnants, le radar ne détecte que les vibrations du téléphone lui-même. Vous pourriez être dans un café bondé, le système s’en fiche complètement…
Suryoday Basak et Mahanth Gowda, les deux chercheurs derrière cette découverte, ont adapté Whisper, le modèle de reconnaissance vocale d’OpenAI, pour qu’il puisse interpréter ces signaux radar. Pour cela, ils ont utilisé une technique appelée “Low-Rank Adaptation” qui leur a permis de spécialiser le modèle avec seulement 1% de ses paramètres modifiés.
Alors adios notre vie privée ?
Et bien la mauvaise nouvelle c’est que ces radars mmWave sont déjà partout. On les trouve dans les voitures autonomes, les détecteurs de mouvement, les casques VR, et même dans certains équipements 5G. Comme le soulignent plusieurs experts, n’importe quel appareil équipé de cette technologie pourrait théoriquement être détourné pour espionner des conversations. Donc, imaginez un parking avec des dizaines de voitures récentes, chacune équipée de plusieurs radars mmWave. Bah voilà, c’est potentiellement un réseau d’écoute géant qui s’ignore.
Cette recherche s’inscrit dans la continuité de leur projet mmSpy de 2022, où ils avaient déjà réussi à identifier des mots isolés avec 83% de précision. Mais cette fois, ils sont passés à un niveau supérieur en déchiffrant des phrases complètes et des conversations entières. D’après les documents techniques, ils ont même généré des données synthétiques pour entraîner leur système, contournant ainsi le manque de datasets radar-audio disponibles.
Pour l’instant, cette technologie a ses limites car les mouvements des personnes créent des interférences (mangez-bougez !!), et la précision diminue rapidement avec la distance, mais combien de temps avant que ces limitations soient surmontées ? Les chercheurs eux-mêmes admettent que leur but est d’alerter sur cette vulnérabilité avant que des acteurs malveillants ne l’exploitent. Selon leur publication, ils comparent cette capacité à lire sur les lèvres qui ne capture environ que 30 à 40% des mots mais permet quand même de suivre une conversation.
Alors, comment s’en protéger ? Et bien pour l’instant, il n’y a pas vraiment de solution miracle. Utiliser des écouteurs pourrait limiter les vibrations du téléphone, mais ce n’est pas une garantie absolue donc la vraie question, c’est de savoir combien de temps il faudra avant que cette technologie soit miniaturisée au point de tenir dans un stylo ou intégrée discrètement dans des objets du quotidien façon 007.
On ne peut plus se contenter de sécuriser nos communications numériques, il faut maintenant s’inquiéter des propriétés physiques de nos appareils. Je vous jure, je suis fatigué :). Les implications pour la sécurité sont énormes car cette technologie est indétectable pour le commun des mortels puisque ça ne laisse aucune trace et ne nécessite aucun accès physique ou numérique au téléphone…
Connexion
