Si vous possédez un NAS Synology et que vous aimez mettre les mains dans le cambouis, faut absolument que vous lisiez cet article. Car vous avez déjà forcement connu ce moment hyper frustrant où vous voulez juste lancer un nano ou un htop sur votre NAS et… rien ? En effet, le terminal Synology est plutôt spartiate de base. Heureusement, SynoCommunity vient à votre rescousse avec ses packages SynoCli qui permet d’ajouter de nouveaux outils indispensables sur votre NAS.
Alors SynoCommunity, c’est donc une communauté open source qui maintient plus de 130 packages tiers pour Synology DSM. Des applications comme Transmission, SickRage, ou même Home Assistant, mais aujourd’hui, j’aimerai surtout qu’on se concentre sur leurs 7 packages SynoCli qui regroupent plus de 110 outils en ligne de commande. Ça va vous permettre d’installer tout un arsenal d’utilitaires Linux d’un seul coup, sans vous prendre la tête avec les compilations croisées.
La beauté du truc, c’est que tout passe par le Package Center de votre Synology. Pas besoin de SSH, pas de risque de casser votre système, et surtout, tout reste proprement géré par DSM. Si vous mettez à jour votre NAS ou que vous voulez désinstaller, tout se fait proprement.
Bon, trêve de blabla, passons maintenant aux choses sérieuses : ✨l’installation✨.
D’abord, il faut ajouter le dépôt SynoCommunity à votre Package Center. Pour cela, connectez-vous à votre DSM, allez dans le Package Center, puis dans les Paramètres. Et dans l’onglet Sources de paquets, cliquez sur Ajouter et entrez :
Validez, et voilà, vous avez maintenant accès à tout le catalogue SynoCommunity dans l’onglet Communauté de votre Package Center.
Maintenant, cherchez “SynoCli” dans le Package Center. Vous allez alors tomber sur 7 packages différents, chacun ayant sa spécialité. Voici ce que contient chaque package :
SynoCliNet pour le réseau : vous avez nmap (l’outil de scan réseau par excellence), tmux et screen pour gérer vos sessions SSH, mtr pour diagnostiquer les problèmes réseau, rsync pour vos synchronisations, et même sshfs pour monter des systèmes de fichiers distants. La version actuelle inclut aussi telnet, whois et dig.
SynoCliFile pour la gestion de fichiers : c’est le package star avec nano et micro pour éditer vos fichiers, tree pour visualiser l’arborescence, fzf (le fuzzy finder qui change la vie), ripgrep pour des recherches ultra-rapides, bat (un cat avec coloration syntaxique), et même Midnight Commander pour ceux qui ont la nostalgie de Norton Commander. Les dernières versions incluent aussi eza et lsd, des alternatives modernes à ls.
SynoCliMonitor pour surveiller votre système : htop évidemment (parce que top c’est has-been), iotop pour voir qui bouffe votre disque, iperf pour tester votre bande passante, et même bandwhich pour visualiser en temps réel qui utilise votre réseau. Les amateurs d’SNMP seront ravis de trouver les outils net-snmp inclus.
SynoCliDevel pour les développeurs : automake, autoconf, make, gdb pour débugger, pkg-config, et même strace pour tracer les appels système. Parfait si vous voulez compiler des trucs directement sur votre NAS.
SynoCliDisk pour gérer vos disques : testdisk pour récupérer des partitions perdues, ncdu pour voir ce qui prend de la place (en mode interactif), smartmontools pour surveiller la santé de vos disques, et ddrescue si vous devez récupérer des données d’un disque mourant.
SynoCliKernel pour les modules kernel : celui-là est plus spécialisé, avec des modules pour l’USB série et les tuners TV. Utile si vous branchez des périphériques exotiques sur votre NAS.
SynoCliMisc pour tout le reste : bc (la calculatrice en ligne de commande), expect pour automatiser des scripts interactifs, parallel pour paralléliser vos commandes, et plein d’utilitaires issus de util-linux comme lsblk, lscpu, findmnt.
Une fois installés, tous ces outils sont alors accessibles directement depuis le terminal SSH de votre Synology. Pas de PATH à configurer, pas de bibliothèques manquantes, ça marche direct.
Petite astuce quand même en passant… vous n’êtes évidemment pas obligé d’installer tous les packages. Si vous voulez juste éditer des fichiers et surveiller votre système, SynoCliFile et SynoCliMonitor suffisent largement. Chaque package fait entre 10 et 50 MB, donc ça reste raisonnable.
Pour DSM 7, attention, selon les développeurs, certains packages peuvent nécessiter des adaptations, mais la communauté est active et les mises à jour sont régulières. D’ailleurs, si vous upgradez de DSM 6 vers DSM 7, pensez à sauvegarder vos configurations avant. Ce qui est cool avec SynoCommunity surtout, c’est que tout est open source. Vous pouvez aller voir le code sur GitHub, contribuer si vous voulez, ou même créer vos propres packages avec leur framework spksrc. C’est une vraie communauté de passionnés qui maintiennent ça sur leur temps libre.
Bref, si vous utilisez votre Synology pour autre chose que du stockage basique, ces packages SynoCli sont indispensables. Ça transforme votre NAS en véritable serveur Linux, avec tous les outils dont vous avez besoin pour administrer, développer, et débugger… Comme ça, plus besoin d’installer Entware ou de bricoler avec ipkg/opkg. Tout est propre, maintenu, et intégré à DSM.
Alors oui, vous pourriez compiler tout ça vous-même, mais pourquoi se compliquer la vie quand une communauté entière le fait déjà pour vous ? En plus, avec le système de packages Synology, vous pouvez installer/désinstaller/mettre à jour en un clic, sans risquer de casser votre système.
Voilà, maintenant votre NAS Synology n’a plus aucune excuse pour ne pas avoir tous les outils CLI dont vous rêvez.
Puis c’est quand même plus classe de faire un htop dans un terminal que de regarder le Resource Monitor dans l’interface web, non ?
C’est l’histoire d’un couple d’artistes développeurs qui largue les amarres pour vivre sur un voilier dans le Pacifique Nord. Pas de connexion internet stable, pas d’électricité illimitée, juste l’océan et quelques panneaux solaires…
C’est dans ces conditions que Devine Lu Linvega et Rek Bell de 100 Rabbits ont créé Uxn, une machine virtuelle qui tient en 100 lignes de C et qui fait tourner des applications graphiques complètes sur à peu près n’importe quoi, de votre vieille Game Boy Advance à votre Raspberry Pi Pico.
Le truc vraiment génial avec Uxn, c’est qu’elle ne prend que 64KB en RAM. Pour vous donner une idée, c’est environ 65 000 fois moins que ce que Chrome bouffe juste pour afficher cette page. Et pourtant, avec ces 64KB, vous pouvez faire tourner un éditeur de texte complet, un logiciel de dessin, un environnement de livecoding musical, et même des jeux comme Oquonie ou Donsol.
Sorcellerie me direz-vous ? Et bien non, c’est tout à fait possible en revenant aux fondamentaux de l’informatique et en appliquant les principes du permacomputing.
L’idée du permacomputing, c’est de créer des systèmes informatiques résilients et durables. Au lieu de racheter un nouveau PC tous les 3 ans parce que le dernier Windows rame, vous créez des logiciels qui tourneront encore dans 20 ans sur le matériel d’aujourd’hui. C’est une philosophie qui maximise la durée de vie du hardware et minimise la consommation énergétique. Et Uxn incarne parfaitement cette approche.
Pour programmer sur Uxn, vous devez utilise Uxntal, un langage assembleur basé sur une stack machine avec notation postfixe. Par exemple, au lieu d’écrire 3 + 4, vous écrivez 3 4 +. Ça peut paraître bizarre au début, mais c’est redoutablement efficace. Et contrairement à ce qu’on pourrait penser, Uxntal supporte même des concepts avancés comme les fonctions lambda et la programmation fonctionnelle.
Ce qui est vraiment cool avec cet OS, c’est sa portabilité. Le même fichier ROM Uxn peut tourner sur votre PC Linux avec SDL2, sur une Nintendo DS, sur un navigateur web, sur DOS, sur une PlayStation Vita, et même sur des trucs complètement barrés comme un télétypographe ou un STM32. C’est exactement comme les ROMs des vieilles consoles en fait… Vous créez votre programme une fois, et il tourne partout où il y a un émulateur Uxn.
Les applications disponibles sont d’ailleurs impressionnantes. Il y a Left, un éditeur de texte graphique, Noodle qui permet de dessiner, Orca qui est un environnement de livecoding pour créer de la musique, Nasu qui édite des sprites, Turye qui crée des polices de caractères. Et tout ça dans des fichiers de 10 à 15KB maximum.
L’écosystème Uxn est aussi super accessible pour les développeurs. La documentation sur GitHub liste des dizaines d’émulateurs, d’outils et de tutoriels. Il y a même des compilateurs comme Dotal et Funktal qui permettent d’écrire dans des langages de plus haut niveau et de compiler vers Uxntal. La communauté est aussi très active sur IRC (#uxn sur libera.chat) et Discord, et les workshops d’introduction sont excellents pour débuter.
Maintenant, pour installer Uxn sur votre machine, c’est super simple. Sur Linux, vous installez SDL2 (sudo apt install libsdl2-dev sur Ubuntu), vous téléchargez l’émulateur, et vous lancez vos ROMs. Vous pouvez même développer directement sur Uxn avec Bicycle, un REPL interactif, ou Dexe, un éditeur hexadécimal.
Ce que j’adore avec Uxn, c’est que ça remet en question tout ce qu’on considère comme acquis dans le développement moderne. On n’a pas besoin de 8GB de RAM et d’un framework JavaScript de 500MB pour faire une calculatrice. On peut créer des outils puissants et élégants avec des contraintes extrêmes. Et le fait que tout ça vienne de deux personnes vivant sur un bateau, alimentées par de l’énergie solaire, ça rajoute une dimension poétique au projet.
Donc si vous cherchez une alternative radicale à la course à la puissance, si vous voulez explorer ce qu’on peut faire avec des systèmes minimaux, ou si vous êtes juste curieux de voir comment on peut faire tenir un OS complet dans moins de mémoire qu’une photo Instagram, Uxn vaut vraiment le détour.
Car parfois, c’est bon d’en enlever un peu pour retrouver l’essentiel.
Vous savez ce qui me fascine avec les gangs de ransomware ? C’est leur capacité à renaître de leurs cendres comme des phœnix. L’opération Checkmate vient de frapper BlackSuit le 24 juillet dernier, saisissant 4 serveurs, 9 domaines .onion et récupérant 1,09 million de dollars en crypto, mais instantanément, les cybercriminels ont déjà muté en “Chaos”, leur nouvelle identité lancée en février dernier. Trop fort ! Ils avaient anticipé le coup !
Pour comprendre l’ampleur de ce bordel, il faut remonter à mai 2022. À cette époque, le gang Conti, ces tarés qui avaient attaqué le Costa Rica et déclaré leur soutien à la Russie dans la guerre en Ukraine, implose complètement. Un insider balance 60 GB de leurs conversations internes sur Twitter. On y découvre alors tout : leurs méthodes, leurs cibles, leurs comptes Bitcoin, même leurs conversations WhatsApp où ils parlent de leurs gosses et de leurs vacances. Du jamais vu !
Mais ces mecs sont malins et plutôt que de disparaître, ils se fragmentent en plusieurs groupes. D’abord Quantum en janvier 2022, qui teste les eaux avec le ransomware ALPHV/BlackCat. Puis Royal en septembre 2022, qui développe son propre encrypteur Zeon. Et enfin BlackSuit en juin 2023, juste après avoir mis la ville de Dallas à genoux. À chaque mutation, ils perfectionnent leurs techniques et augmentent leurs tarifs. C’est l’évolution darwinienne version cybercrime !
L’attaque de Dallas en mai 2023, c’est leur chef-d’œuvre. Ils paralysent complètement la ville : services d’urgence 911 hors service, tribunaux fermés, administration municipale KO. Les flics doivent revenir aux rapports papier, les ambulances naviguent avec des cartes routières, c’est le chaos total. Royal demande 60 millions de dollars de rançon ! La ville refuse de payer mais les dégâts sont estimés à plus de 8,5 millions. C’est là qu’ils décident alors de se “rebrander” en BlackSuit… Trop de chaleur médiatique, j’imagine…
Et surtout mes amis, l’ampleur des dégâts est incroyable. Depuis 2022, BlackSuit et Royal ont touché plus de 450 organisations américaines, extorquant 370 millions de dollars selon les estimations du FBI. Mais attention, c’est juste ce qu’on sait ! Les vraies victimes sont probablement le double car beaucoup préfèrent payer en silence plutôt que de voir leurs données exposées. Hôpitaux, écoles, services d’urgence, centrales électriques… ces enfoirés ciblent spécifiquement les infrastructures critiques car elles sont plus susceptibles de payer rapidement.
La collaboration internationale pour l’Opération Checkmate, c’est du jamais vu dans l’histoire de la cybercriminalité. 8 pays unis sous la coordination d’Europol : Canada (RCMP), Royaume-Uni (NCA), Allemagne (BKA et le parquet de Francfort), Ukraine (Cyber Police), Lituanie, France (ANSSI), Irlande et les États-Unis évidemment avec ICE, FBI, Secret Service et l’OFAC.
Chacun apporte ses compétences spécifiques. Les Allemands du BKA avec leur expertise technique légendaire sur l’analyse forensique. Les Ukrainiens avec leur unité cybercrime qui est devenue ultra performante depuis qu’ils se font attaquer H24 par les Russes. Les Britanniques du NCA avec leur expérience des réseaux criminels et leurs infiltrations. Les Néerlandais qui ont fourni l’infrastructure pour coordonner l’opération. Même BitDefender, la boîte roumaine de cybersécurité, était dans le coup !
Cisco Talos a alors rapidement identifié que Chaos présente des similitudes troublantes avec BlackSuit. Mêmes commandes de chiffrement, mêmes structures de notes de rançon, mêmes outils living-off-the-land (ces techniques qui utilisent les outils légitimes Windows pour passer sous les radars). C’est comme si les développeurs avaient juste fait un Ctrl+H pour remplacer “BlackSuit” par “Chaos” dans leur code.
BlackSuit lui-même était né des cendres de Conti. C’est une dynastie criminelle qui remonte à 2016 avec Ryuk, puis Conti en 2020, puis la fragmentation en 2022. À chaque fois qu’on les tape, ils reviennent plus forts. C’est l’Hydre de Lerne version 2.0… tu coupes une tête, il en repousse deux !
Ce nouveau groupe “Chaos” opère donc déjà sur le forum criminel russe RAMP (Ransom Anon Market Place). Pour ceux qui connaissent pas, RAMP c’est le LinkedIn des cybercriminels. Créé en juillet 2021 par TetyaSluha (qui s’est rebrandé en “Orange”), c’est LE forum où les gangs de ransomware recrutent leurs affiliés après que les autres forums comme XSS et Exploit les aient bannis suite à l’attaque de Colonial Pipeline.
RAMP, c’est 14 000 membres qui parlent russe, chinois et anglais et pour s’inscrire, faut soit être recommandé par un membre d’XSS ou Exploit avec plus de 2 mois d’ancienneté et 10 messages, soit casquer 500 dollars cash. Ils ont même un système d’escrow façon Silk Road pour garantir les transactions. C’est Amazon pour les criminels, avec des notes et des avis clients !
Chaos propose donc leur ransomware-as-a-service (RaaS) compatible Windows, ESXi, Linux, BSD et NAS. Leur première demande connue s’élève à 300 000 dollars, mais c’est juste le prix d’entrée. Pour les grosses entreprises, ça peut monter jusqu’à 60 millions !
Leurs techniques d’infiltration sont diaboliques puisqu’ils combinent :
Spam flooding : bombardement d’emails de phishing jusqu’à ce qu’un employé craque
Ingénierie sociale par téléphone : ils appellent le support IT en se faisant passer pour des employés
Living-off-the-land : utilisation de PowerShell, WMI, et autres outils Windows légitimes
Supply chain attacks : compromission de fournisseurs pour atteindre les vraies cibles
Zero-days achetés sur Genesis Market : des vulnérabilités inconnues à 100 000 dollars pièce
Leur spécialité ce sont les environnements VMware ESXi. Ces salopards ont compris que si tu chiffres l’hyperviseur, tu paralyses TOUTES les machines virtuelles d’un coup. Plus besoin donc de chiffrer 500 serveurs individuellement. Il suffit d’attaquer l’ESXi et boom, c’est game over. Ils exploitent notamment la CVE-2024-37085 où il suffit de créer un groupe “ESX Admins” dans l’Active Directory pour avoir les droits admin complets. Du grand art !
Les techniques d’attaque de Chaos sont d’un autre niveau :
Clés de chiffrement individuelles pour chaque fichier (impossible de créer un décrypteur universel)
Chiffrement optimisé : seulement les premiers 1MB de chaque fichier pour aller plus vite
Ciblage des sauvegardes : suppression des snapshots VMware, Volume Shadow Copies, backups Veeam
Double extorsion : vol des données avant chiffrement pour faire pression
Triple extorsion : DDoS sur le site de la victime si elle refuse de payer
Mais le plus dingue, c’est leur nouveau système de négociation. Ils utilisent pour cela des chatbots IA pour gérer les discussions avec les victimes ! Plus besoin d’avoir un négociateur humain disponible 24/7. L’IA analyse le profil de la victime, adapte le ton, applique des techniques de pression psychologique, et peut même négocier dans plusieurs langues simultanément. C’est ChatGPT au service du crime organisé !
Le chatbot est programmé pour :
Offrir une “preuve de vie” en déchiffrant gratuitement 2 fichiers
Augmenter la pression toutes les 24h avec menaces de publication
Proposer des “réductions” si paiement rapide (technique de vente classique)
Menacer de contacter les clients/partenaires de la victime
Publier automatiquement 10% des données volées si pas de réponse après 72h
Heureusement, l’Opération Checkmate a porté un coup sévère. Les autorités ont saisi les serveurs hébergeant les sites .onion de négociation et de leak. Les domaines miroirs ont aussi été pris simultanément pour éviter toute migration rapide. Les systèmes de blanchiment via mixers Bitcoin ont été démantelés. Même les comptes sur les exchanges crypto ont été gelés grâce à l’OFAC.
Mais bon, le plus inquiétant dans cette affaire, c’est surtout la rapidité de la mutation. BlackSuit était actif jusqu’au 24 juillet, jour de la saisie. Mais Chaos était déjà opérationnel depuis février ! Ces enfoirés avaient anticipé l’intervention policière et préparé leur sortie de secours 5 mois à l’avance. Plusieurs affiliés de BlackSuit avaient d’ailleurs déjà migré vers la nouvelle plateforme, emportant avec eux leurs accès aux réseaux compromis.
L’impact sur les victimes reste dramatique. Les secteurs de la santé et de l’éducation, déjà fragilisés par le COVID et les coupes budgétaires, subissent des pertes moyennes de 800 000 dollars par incident selon les dernières statistiques. Mais c’est rien comparé aux coûts cachés :
Arrêt d’activité : 21 jours en moyenne pour un retour à la normale
Perte de confiance des clients : -23% de chiffre d’affaires sur 2 ans
Frais légaux et de notification : 450 000 dollars minimum
Augmentation des primes d’assurance cyber : x3 après une attaque
Coût de reconstruction from scratch : souvent plus cher que la rançon
Les petites municipalités américaines, avec leurs budgets IT dérisoires (genre 50 000 dollars par an pour protéger toute une ville), deviennent des cibles privilégiées. Lake City en Floride a payé 460 000 dollars. Riviera Beach a lâché 600 000. LaPorte County dans l’Indiana, 130 000. C’est open bar pour les criminels !
SC Media souligne à juste titre que malgré cette victoire, le problème reste entier. Tant que le modèle économique du RaaS reste rentable (les affiliés touchent 70 à 90% des rançons !), de nouveaux groupes continueront d’émerger. La décentralisation via les cryptomonnaies et les forums du dark web rend ces organisations presque impossibles à éradiquer complètement.
Le pire c’est que les gouvernements eux-mêmes alimentent le problème. La NSA développe des exploits qui finissent sur le marché noir (coucou EternalBlue et WannaCry). Les services de renseignement achètent des zero-days au lieu de les signaler. Et certains pays (on ne citera pas la Russie et la Corée du Nord) protègent activement ces groupes tant qu’ils ne ciblent pas leurs citoyens.
Bref, cette lutte contre les ransomwares ressemble à un jeu du chat et de la souris infini car même si les forces de l’ordre marquent des points importants comme avec Checkmate, les criminels s’adaptent et reviennent sous de nouvelles formes. C’est la version cyber de la guerre contre la drogue… on arrête un cartel, trois autres prennent sa place.
Du coup, au risque de rabâcher, n’oubliez pas que la seule vraie défense reste la prévention :
Sauvegardes hors ligne : la règle 3-2-1 (3 copies, 2 supports différents, 1 hors site)
Patchs à jour : 85% des attaques exploitent des vulns connues depuis plus de 2 ans
Formation du personnel : 91% des attaques commencent par un email de phishing
Segmentation réseau : limiter la propagation latérale
Plans de réponse aux incidents : testés régulièrement avec des simulations
Cyber-assurance : mais lisez les petites lignes car certaines excluent les “actes de guerre cyber”
Parce qu’au final, ce n’est pas une question de SI vous serez ciblé, mais de QUAND. Les stats sont implacables puisque 71% des organisations ont subi au moins une attaque ransomware en 2024. Et pour les 29% restants… soit ils mentent, soit ils ne le savent pas encore !
On vit vraiment une époque formidable où des criminels peuvent paralyser un hosto depuis leur canapé à Moscou tout en négociant une rançon à l’aide d’un chatbot IA. À vous de voir maintenant si vous préférez investir dans la prévention ou financer involontairement le prochain yacht d’un cybercriminel russe…
Ce serait quoi un monde où les bugs de sécurité se font corriger avant même que les hackers ne les trouvent ? Ce serait plus calme non ? J’écrirais moins sur les failles de sécurité cela dit, mais ça me ferais plus de temps pour chiller dans le hamac. Breeeef, ça va peut-être se produire bientôt car c’est exactement ce que vient de rendre possible Trail of Bits en libérant Buttercup, leur système AI qui a décroché la deuxième place et 3 millions de dollars au challenge AIxCC du DARPA.
Et c’est maintenant open source et ça tourne sur votre laptop.
La tendance actuelle c’est une explosion des vulnérabilités… y’a plus de code produit que jamais, des dépendances partout, et des hackers de plus en plus organisés. Donc les équipes de sécurité sont débordées et passent leur temps à courir après les failles. Heureusement, Buttercup vient inverser complètement la donne en automatisant tout le processus, de la détection au patch.
Ce qui rend ce système spécial, c’est qu’il combine le meilleur des deux mondes. D’un côté, les techniques classiques de cybersécurité comme le fuzzing (bombarder le code avec des entrées aléatoires pour le faire planter) et l’analyse statique. Et de l’autre, sept agents IA différents qui collaborent pour comprendre le contexte, générer des patchs et vérifier qu’ils ne cassent rien d’autre.
Lorsqu’on lui confie une analyse, d’abord, Buttercup lance donc une campagne de fuzzing augmentée par IA sur votre code. Et au lieu de tester bêtement des entrées aléatoires, l’IA apprend quels patterns ont le plus de chances de révéler des bugs. Puis, quand une vulnérabilité est trouvée, le système utilise des outils comme tree-sitter et CodeQuery pour créer un modèle complet du programme et comprendre exactement comment le bug s’intègre dans l’architecture globale.
Et c’est là que ça devient vraiment intéressant car les sept agents IA entrent alors en action, avec chacun avec sa spécialité. L’un analyse le bug, l’autre génère des propositions de patch, un troisième vérifie que le patch ne casse pas les tests existants, et ainsi de suite. Ils se coordonnent tous pour produire un patch normalement robuste qui corrige vraiment le problème sans créer de régression.
Pendant la compétition DARPA à DEF CON 33, Buttercup a impressionné tout le monde. Le système a trouvé et patché des vulnérabilités dans 20 des 25 CWEs les plus dangereux selon MITRE. Et je vous parle de trucs sérieux : buffer overflows, injections SQL, race conditions… Trail of Bits a même reçu le prix “LOC Ness Monster” pour avoir soumis un patch de plus de 300 lignes qui fonctionnait parfaitement.
Ce qui est fou, c’est qu’ils ont obtenu ces résultats en utilisant uniquement des modèles IA moins chers, non-reasoning, et pas les gros modèles de raisonnement ultra-chers. Ça veut dire que c’est accessible pour des projets normaux, pas seulement pour les géants de la tech avec des budgets illimités.
L’installation est vraiment simple pour un outil de cette complexité :
git clone --recurse-submodules https://github.com/trailofbits/buttercup.git
cd buttercup
make setup-local
make deploy-local
Bon, il vous faudra quand même 8 cœurs CPU, 16GB de RAM et environ 100GB d’espace disque. Plus des clés API pour OpenAI ou Anthropic si vous voulez utiliser les fonctionnalités IA. Mais comparé à d’autres outils de sécurité enterprise, c’est vraiment raisonnable. Rassurez-vous aussi, il est possible de fixer un budget maximum en conso API.
Le système supporte actuellement le C et le Java, avec une compatibilité OSS-Fuzz pour s’intégrer facilement dans vos pipelines existants. Il y a même une interface web pour monitorer les tâches en cours et voir exactement ce que fait le système.
Ce qui me plaît vraiment dans ce projet, c’est surtout la philosophie derrière car au lieu de garder cette technologie secrète ou de la vendre hyper cher, Trail of Bits a décidé de tout libérer. Ils ont même créé une version “laptop-friendly” spécialement optimisée pour tourner sur des machines normales, pas juste des clusters de serveurs.
Dans le contexte actuel, c’est une vraie révolution. Google a par exemple montré que son IA peut trouver de nouvelles vulnérabilités dans des projets open source majeurs et Meta développe AutoPatchBench pour standardiser la réparation automatique. Mais Buttercup est le premier système complet, de bout en bout, et open source.
Avec cet outil, des projets open source pourrait se patcher automatiquement et les développeurs pourraient alors se concentrer sur les features au lieu de passer des heures à debugger. Bien sûr, ce n’est pas magique et Buttercup ne remplacera pas les experts en sécurité mais c’est un outil incroyablement puissant qui peut automatiser la partie la plus répétitive et chronophage du travail. Et vu que c’est open source, la communauté peut l’améliorer, l’adapter à ses besoins, créer des plugins…
Donc, si vous bossez dans le dev ou la sécurité, allez jeter un œil au GitHub de Buttercup et qui sait, peut-être qu’un jour on regardera en arrière et on se demandera comment on faisait sans IA pour sécuriser notre code.
Je viens de découvrir un truc qui pourrait bien changer votre façon de jouer sur PC. Ça s’appelle Bazzite et c’est un genre de SteamOS boosté aux stéroïdes compatible avec absolument tout. Oui, même votre vieille tour qui prend la poussière dans un coin.
L’idée de base est chouette puisqu’il s’agit de prendre Fedora Silverblue, cette distribution Linux “immutable” (en gros, impossible à casser même en faisant n’importe quoi), et la transformer en machine de guerre gaming. On obtient alors un OS qui démarre direct en mode Steam Big Picture si vous voulez, qui supporte le HDR sur AMD, et qui fait tourner vos jeux Windows sans que vous ayez à toucher une seule ligne de commande.
The Verge a testé et apparemment les jeux tournent souvent mieux que sous Windows. C’est plus fluide, moins gourmand en batterie, et y’a zéro tracas avec les mises à jour foireuses de Microsoft. Forbes va même jusqu’à dire que c’est “objectivement meilleur que Windows” sur les consoles portables comme le ROG Ally. Rien que ça.
Car contrairement à SteamOS qui est bloqué sur Steam Deck (et quelques rares configs), Bazzite fonctionne sur pratiquement n’importe quel PC x86 de la dernière décennie. Votre laptop gaming, votre tour, votre mini PC branché à la télé, et bien sûr toutes les consoles portables du marché : Steam Deck, ROG Ally, Legion Go, GPD Win, et j’en passe. D’après la documentation officielle, ils supportent même les dernières puces AMD 9070 et Strix Halo de 2025, c’est à dire celles que SteamOS ne peut même pas faire booter.
Le truc vraiment bien, c’est surtout le système d’updates atomiques. En gros, chaque mise à jour est une image complète du système. Si quelque chose foire, vous redémarrez et hop, retour à la version précédente. Fini les soirées à réparer un OS cassé par une mise à jour nvidia, surtout que ces mises à jour arrivent toutes les semaines, et pas tous les six mois comme sur SteamOS.
Pour les utilisateurs Steam Deck, c’est donc très intéressant car vous gardez le mode Gaming que vous aimez, mais vous gagnez un vrai desktop utilisable avec Wayland (donc un scaling correct sur écran haute résolution), le support d’Android via Waydroid pour faire tourner vos apps mobiles, et surtout la possibilité d’installer ce que vous voulez : Decky Loader, EmuDeck, RetroDECK, tout est disponible dès l’installation.
Le projet est porté par la communauté Universal Blue, des gens qui ont compris que Linux pouvait être simple sans sacrifier la puissance et ils ont créé différentes versions : Deck pour les consoles portables, Desktop avec KDE ou GNOME selon vos préférences, et même une version HTPC pour transformer votre PC salon en console de jeu.
Techniquement, tout est basé sur des conteneurs OCI (comme Docker si vous connaissez), ce qui permet d’avoir un système super stable avec des applications qui tournent dans leur bulle. Et les jeux, ça passe par Steam, Lutris ou Heroic Games Launcher, tous préinstallés. Les codecs propriétaires sont inclus et les drivers Nvidia sont déjà là si vous en avez besoin. Y’a même le support du ray tracing avec NVK sur les cartes récentes.
Ce qui est vraiment cool, c’est que vous pouvez tester sans rien casser. Vous gravez l’ISO sur une clé USB, vous bootez dessus, et vous voyez si ça vous plaît. Si c’est le cas, l’installation prend ensuite 20 minutes chrono. Sinon, vous redémarrez sous Windows et on n’en parle plus.
Pour les bidouilleurs, sachez que même si le système est, comme je vous le disais, “immutable”, vous pouvez toujours installer ce que vous voulez via Flatpak (le store Flathub est intégré), Distrobox pour des environnements isolés, ou même rpm-ostree pour des modifications système permanentes. C’est le meilleur des deux mondes puisque ça a la stabilité d’un Chromebook avec la flexibilité d’un Linux classique.
Après c’est cool mais c’est pas magique non plus car certains jeux avec anti-cheat ne fonctionneront jamais sous Linux (merci les éditeurs…) et le support VR est encore perfectible. Puis si vous êtes du genre à avoir besoin d’Adobe Creative Suite ou de logiciels Windows spécifiques, ça reste du Linux avec ses limitations.
Mais pour du gaming pur, c’est une tuerie. Les performances sont là, la stabilité aussi, et vous échappez à toute la télémétrie et les pubs de Windows 11. En plus, avec le kernel fsync modifié qu’ils utilisent, vous avez accès aux dernières optimisations gaming du noyau Linux.
Donc si vous voulez tenter l’aventure, direction bazzite.gg pour récupérer l’ISO qui correspond à votre matos. L’installation est vraiment simple, et la communauté sur Discord est super active si vous avez des questions.
C’est peut-être la preuve que Linux Desktop c’est peut-être plus uniquement un délire de barbu mal sevré de leur tétine, mais une vraie alternative crédible pour le gaming. Donc peut-être même que 2025 sera vraiment l’année du Linux desktop… au moins pour les gamers ! (C’est le marronnier de la presse tech, t’as capté ? ^^)
Ce serait cool non, si on pouvait transformer n’importe quelle lampe de bureau en détecteur de deepfakes, non ?
Car le problème avec les deepfakes aujourd’hui, c’est qu’on court constamment après les faussaires. Ils ont accès aux mêmes vidéos authentiques que nous, aux mêmes outils d’édition ultra-sophistiqués, et l’IA apprend tellement vite qu’elle produit des faux quasi-indétectables. Il leur est donc très facile de reprendre une vraie vidéo et de la trafiquer légèrement pour manipuler les opinions.
Il faudrait donc une sorte de bouclier anti-manipulation-IA pour empêcher toute manip ultérieure d’une captation vidéo. Et bien c’est exactement ce que viennent de réussir des chercheurs de l’université Cornell, et leur technique est brillante… sans mauvais jeu de mots, vous me connaissez ^^.
Abe Davis, à gauche, professeur adjoint d’informatique au Cornell Ann S. Bowers College of Computing and Information Science, et Peter Michael, étudiant diplômé.
Comme l’explique Abe Davis de Cornell : “La vidéo était considérée comme une source de vérité, mais ce n’est plus une hypothèse qu’on peut faire”. Donc, plutôt que de jouer éternellement au chat et à la souris avec la connerie des gens et le talent des faussaires, l’équipe de Cornell a eu une idée géniale : Et si on marquait les vidéos dès leur création, avec un code secret planqué dans la lumière elle-même ?
Leur technologie, baptisée NCI pour “noise-coded illumination”, fonctionne en ajoutant des fluctuations microscopiques à l’éclairage. Ces variations sont totalement invisibles à l’œil nu car votre cerveau les interprète comme du bruit lumineux normal. Mais une caméra, elle pourra tout capter.
Le truc vraiment cool, c’est que chaque source lumineuse peut avoir son propre code secret comme ça vous pouvez programmer votre écran d’ordinateur, vos lampes de bureau, même l’éclairage d’une salle de conférence entière. Et pour les vieilles lampes qui ne sont pas connectées, une simple puce de la taille d’un timbre-poste suffit à les transformer en watermark lumineux.
Mais ensuite, comment ça détecte les fakes ? Et bien c’est là que ça devient vraiment intéressant car le watermark enregistre en permanence une version basse résolution de ce qui se passe sous cet éclairage, avec un horodatage. Les chercheurs appellent ça des “code videos”. Ainsi, quand quelqu’un manipule la vidéo, que ce soit pour insérer un deepfake, changer la vitesse, ou ajouter des éléments, les parties modifiées ne correspondent plus aux code videos. C’est comme si la lumière gardait un registre secret de tout ce qui s’est vraiment passé.
Comme ça, si un petit malin essaie de générer une fausse vidéo avec l’IA à partir d’une vraie vidéo, les code videos ressembleront alors à du charabia aléatoire, ce qui trahira immédiatement la supercherie. Et même si le faussaire connaît la technique et arrive à décoder les codes secrets, il devrait falsifier chaque code video séparément, et s’assurer qu’ils correspondent tous parfaitement entre eux. Autant dire que c’est mission impossible.
Peter Michael, l’étudiant qui a mené les travaux, a présenté cette innovation au SIGGRAPH 2025 à Vancouver et les tests sont vraiment impressionnant car la technique résiste aux compressions vidéo agressives, aux mouvements de caméra, aux flashs, et fonctionne même en extérieur avec différents tons de peau.
Pendant ce temps, la course à l’armement anti-deepfake continue. Le MIT a son projet Detect Fakes actif depuis 2020. Microsoft a son Video Authenticator qui analyse les pixels pour détecter les anomalies. Intel mise sur son FakeCatcher qui atteint 96% de précision en détectant les variations de flux sanguin dans les vidéos (parce que oui, même les meilleurs deepfakes n’arrivent pas encore à reproduire parfaitement les micro-changements de couleur de la peau dus à la circulation sanguine).
Reality Defender, de son côté, utilise une approche multi-modèle qui n’a pas besoin de watermarks préalables. Ils analysent images, vidéos, audio et texte en temps réel pour repérer les manipulations… C’est impressionnant, mais ça reste une approche défensive qui court après les faussaires et n’empêche pas leur “travail”.
Et c’est ça qui rend la solution de Cornell vraiment prometteuse… C’est parce qu’elle est proactive. Plus besoin d’analyser après coup si une vidéo est truquée puisque la preuve d’authenticité est encodée dedans dès le départ. On pourrait sécuriser comme ça des salles de presse équipées de ce système, des interviews officielles protégées par défaut, ou même le siège de l’ONU avec un éclairage anti-deepfake intégré.
Bien sûr, ce n’est pas la solution miracle et Davis lui-même admet que “c’est un problème qui ne va pas disparaître, et qui va même devenir plus difficile” car les faussaires trouveront de nouvelles parades, c’est certain. Mais pour l’instant, cette technologie donne une longueur d’avance cruciale aux défenseurs de la vérité.
Qui aurait cru qu’on combattrait les deepfakes avec une simple lampe de bureau ??
Vous pensiez sérieusement que vos conversations téléphoniques étaient privées tant qu’on n’était pas sur écoute. Et bien, j’ai pas une très bonne nouvelle pour vous… Voilà que des chercheurs de Penn State ont prouvé qu’un simple radar pouvait transformer les vibrations microscopiques de votre téléphone en transcription de vos appels. Y’a pas besoin de pirater quoi que ce soit, juste de pointer un capteur dans votre direction.
Le principe c’est que quand vous téléphonez, l’écouteur de votre smartphone produit des vibrations de seulement 7 micromètres. C’est tellement infime qu’on ne peut même pas le percevoir en tenant le téléphone. Pourtant, ces vibrations se propagent dans tout le châssis de l’appareil et créent ainsi une signature unique pour chaque son émis. Selon l’équipe de recherche, leur système mmWave-Whisper utilise un radar fonctionnant entre 77 et 81 GHz capable de capter ces mouvements invisibles et de les convertir en audio exploitable.
Le systeme mmWave-Whisper
Et ils ont réussi à obtenir une très bonne précision de transcription de 44,74% sur les mots et de 62,52% sur les caractères individuels. Ça peut sembler faible, mais même avec seulement la moitié des mots corrects, on peut facilement reconstituer le sens d’une conversation grâce au contexte. C’est comme lire un message avec des lettres manquantes, votre cerveau va combler automatiquement les trous. Je sais, je sais, y’a des gens qui même qui avec un texte complet ne le comprennent qu’à moitié, mais je vous assure que c’est ce qu’est censé faire le cerveau ^^.
Et cela fonctionne jusqu’à 3 mètres de distance et est totalement insensible au bruit ambiant car contrairement à un micro qui capte tous les sons environnants, le radar ne détecte que les vibrations du téléphone lui-même. Vous pourriez être dans un café bondé, le système s’en fiche complètement…
Suryoday Basak et Mahanth Gowda, les deux chercheurs derrière cette découverte, ont adapté Whisper, le modèle de reconnaissance vocale d’OpenAI, pour qu’il puisse interpréter ces signaux radar. Pour cela, ils ont utilisé une technique appelée “Low-Rank Adaptation” qui leur a permis de spécialiser le modèle avec seulement 1% de ses paramètres modifiés.
Alors adios notre vie privée ?
Et bien la mauvaise nouvelle c’est que ces radars mmWave sont déjà partout. On les trouve dans les voitures autonomes, les détecteurs de mouvement, les casques VR, et même dans certains équipements 5G. Comme le soulignent plusieurs experts, n’importe quel appareil équipé de cette technologie pourrait théoriquement être détourné pour espionner des conversations. Donc, imaginez un parking avec des dizaines de voitures récentes, chacune équipée de plusieurs radars mmWave. Bah voilà, c’est potentiellement un réseau d’écoute géant qui s’ignore.
Cette recherche s’inscrit dans la continuité de leur projet mmSpy de 2022, où ils avaient déjà réussi à identifier des mots isolés avec 83% de précision. Mais cette fois, ils sont passés à un niveau supérieur en déchiffrant des phrases complètes et des conversations entières. D’après les documents techniques, ils ont même généré des données synthétiques pour entraîner leur système, contournant ainsi le manque de datasets radar-audio disponibles.
Pour l’instant, cette technologie a ses limites car les mouvements des personnes créent des interférences (mangez-bougez !!), et la précision diminue rapidement avec la distance, mais combien de temps avant que ces limitations soient surmontées ? Les chercheurs eux-mêmes admettent que leur but est d’alerter sur cette vulnérabilité avant que des acteurs malveillants ne l’exploitent. Selon leur publication, ils comparent cette capacité à lire sur les lèvres qui ne capture environ que 30 à 40% des mots mais permet quand même de suivre une conversation.
Alors, comment s’en protéger ? Et bien pour l’instant, il n’y a pas vraiment de solution miracle. Utiliser des écouteurs pourrait limiter les vibrations du téléphone, mais ce n’est pas une garantie absolue donc la vraie question, c’est de savoir combien de temps il faudra avant que cette technologie soit miniaturisée au point de tenir dans un stylo ou intégrée discrètement dans des objets du quotidien façon 007.
On ne peut plus se contenter de sécuriser nos communications numériques, il faut maintenant s’inquiéter des propriétés physiques de nos appareils. Je vous jure, je suis fatigué :). Les implications pour la sécurité sont énormes car cette technologie est indétectable pour le commun des mortels puisque ça ne laisse aucune trace et ne nécessite aucun accès physique ou numérique au téléphone…
En tant que propriétaire très heureux d’un Ioniq 5, j’ai failli m’étouffer avec ma Danette au chocolat ce soir en découvrant que Hyundai voulait faire payer 65 dollars pour corriger une vulnérabilité de sécurité dans ses voitures. Oui, payer pour ne pas se faire voler sa voiture par des types équipés d’un appareil qui ressemble à une vieille Game Boy de Nintendo. C’est déjà assez rageant de devoir raquer un abonnement pour les mises à jour OTA (Over-The-Air), mais là on atteint des sommets.
Mais d’abord, parlons de ce fameux dispositif “Game Boy”. Techniquement, c’est un émulateur, c’est à dire un ensemble de matériel de transmission radio fourré dans une coque qui ressemble à la console portable iconique de Nintendo. Le prix de ces petits bijoux se situe entre 16 000 et 30 000 dollars sur le marché noir et certains modèles russes se vendent même à 15 000 euros. Pour ce prix-là, vous pourriez presque vous acheter une vraie Ioniq 5 d’occasion.
Le principe du hack c’est que ça exploite une faiblesse fondamentale dans l’architecture de sécurité des véhicules modernes. Quand vous touchez la poignée de votre Ioniq 5, la voiture se réveille et initie un protocole de handshake avec ce qu’elle pense être votre clé. C’est là que la fausse Game Boy entre en jeu. Elle intercepte cette communication et se fait passer pour votre porte-clés légitime.
Mais comment est-ce possible techniquement ? Et bien laissez-moi vous emmener dans les entrailles du système CAN (Controller Area Network) de votre voiture. Selon l’expert en sécurité Ken Tindell, l’attaque CAN injection fonctionne en introduisant de faux messages sur le bus CAN, comme s’ils provenaient du récepteur de clé intelligente de la voiture. Ces messages trompent alors le système de sécurité pour qu’il déverrouille le véhicule et désactive l’immobilisateur moteur.
Sur certaines voitures, les voleurs peuvent accéder au réseau CAN en cassant simplement un phare ou l’aile et en utilisant sa connexion au bus pour envoyer des messages. À partir de là, ils peuvent ensuite manipuler n’importe quel dispositif électronique du véhicule. Les messages CAN n’ont aucune authentification ni sécurité et les récepteurs leur font simplement confiance.
Mais l’émulateur Game Boy va encore plus loin car il n’utilise pas l’injection CAN, non… Ce serait trop facile. A la place, il s’attaque au système de rolling code censé protéger votre clé. Normalement, chaque fois que vous utilisez votre porte-clés, le code change pour éviter les attaques par rejeu, mais ces dispositifs calculent le prochain code valide en quelques secondes. Et voilà comment on déverrouille et démarre un Ioniq 5 en moins de 30 secondes.
Une fois votre voiture volée, les malfaiteurs retirent les modules de connectivité pour rendre le GPS et le tracking via l’application Bluelink inutiles et votre belle Ioniq 5 s’évanouit dans la nature en direction d’un pays chaud.
Face à cette menace, Hyundai a donc imaginé une super solution. Il s’agit d’un patch matériel qui améliore la technologie Ultra-Wideband (UWB) pour une détection plus sécurisée de la clé. L’UWB permet une authentification plus précise entre votre clé/téléphone et le véhicule, rendant beaucoup plus difficile pour les émulateurs de se faire passer pour des clés légitimes. La technologie mesure aussi précisément la distance entre la clé et la voiture, empêchant également les attaques par relais classiques.
Mais voilà le hic… Hyundai présente cette mise à jour comme une “amélioration volontaire” plutôt qu’un rappel obligatoire. Leur justification c’est que le Ioniq 5 a été développée et certifiée selon toutes les normes réglementaires, y compris les exigences de cybersécurité. Et comme cette menace est classifiée comme “évolutive”, Hyundai estime qu’il est juste de demander aux clients une “contribution subventionnée” de 49 livres sterling (65 dollars US) pour le correctif.
Permettez-moi de vous traduire ce charabia corporate : “Notre voiture a une faille de sécurité béante, mais comme elle respectait les normes au moment de sa conception, on va vous faire payer pour la corriger.” C’est très rigolo quand on sait que l’Ioniq 5 est vendue avec une garantie de 5 ans.
Et le problème va bien au-delà de Hyundai car cette vulnérabilité touche aussi les Kia EV6 et Genesis GV60, qui partagent la même plateforme E-GMP. D’autres constructeurs comme Infiniti, Lexus, Mercedes-Benz, Mitsubishi, Nissan, Subaru et Toyota sont également vulnérables à des attaques similaires. C’est donc un problème systémique de l’industrie automobile qui a adopté une approche “coque dure/centre mou” où les composants internes sont considérés comme dignes de confiance.
La vraie solution serait donc d’adopter un framework “zero trust” où chaque composant du bus CAN devrait être ré-authentifié lors de son remplacement. Mais vous vous en doutez, ça coûterait une fortune à implémenter sur les véhicules existants. En attendant, certains propriétaires comme Elliott Ingram poursuivent Hyundai en justice pour ne pas avoir divulgué ces risques et d’autres prédisent que les assurances pourraient à l’avenir refuser de couvrir les véhicules non modifiés.
Pour le moment, ce patch n’est pas dispo en France mais quand ça le sera, je pense que je finirai par payer parce que même si ça me fait mal, entre payer pour un patch de sécurité à 65 balles et me retrouver sans voiture un matin, le choix est vite fait.
Mais cela n’empêche pas que c’est une pratique scandaleuse de la part de Hyundai…
Vous savez ce qui est encore plus embarrassant que de se faire pirater quand on est une multinationale ? Se faire pirater quand on est soi-même un pirate travaillant pour un État. Et c’est exactement ce qui vient d’arriver à un mystérieux opérateur APT (Advanced Persistent Threat) dont 9GB de données ont été divulguées par deux hackers se faisant appeler Saber et cyb0rg. L’arroseur arrosé dans toute sa splendeur !
L’histoire commence de manière plutôt originale puisque cette fuite monumentale a été révélée lors du 40e anniversaire du légendaire magazine Phrack, pendant la convention DEF CON 33 à Las Vegas. Pour ceux qui ne connaissent pas, Phrack c’est LA bible des hackers depuis 1985, fondée par Taran King et Knight Lightning. Un zine underground qui a formé des générations entières de hackers avec ses articles techniques pointus et sa philosophie du “Hacker Manifesto”. Ces derniers, après être sortis de 3 années de silence en 2024, ont fêté leurs 40 ans le 8 août dernier avec un cadeau plutôt explosif : L’intégralité du toolkit d’espionnage d’un acteur étatique. Rien que ça !
DEF CON, la convention où l’arroseur s’est fait arroser
Saber et cyb0rg ne sont pas des petits nouveaux. Ils expliquent dans leur article publié dans Phrack #72 avoir compromis à la fois une workstation virtuelle ET un serveur privé virtuel (VPS) utilisés par cet opérateur APT qu’ils ont surnommé “KIM”. Le duo affirme avoir passé des mois à analyser les habitudes de leur cible avant de frapper. Pour cela, ils ont exploité une mauvaise configuration des services cloud de l’opérateur et une réutilisation de mots de passe entre différents systèmes. Basique mais efficace, car oui, même les espions d’État font des erreurs de débutant !
Mais attention, l’identité réelle de notre espion maladroit reste un vrai casse-tête. Si Saber et cyb0rg affirment avoir compromis un ordinateur lié au groupe Kimsuky (ces fameux hackers nord-coréens du Bureau 121 qui font régulièrement parler d’eux depuis 2013), les experts en sécurité émettent des doutes sérieux.
Pour rappel, Kimsuky (aussi connu sous les noms APT43, Emerald Sleet ou THALLIUM) travaille directement pour le Reconnaissance General Bureau (RGB) nord-coréen. En gros, c’est leur CIA à eux. Et les mecs sont plutôt spécialisés dans l’espionnage et le vol d’informations sur les politiques étrangères liées à la péninsule coréenne, le nucléaire et les sanctions internationales à leur encontre. Ils ont notamment ciblé des think tanks sud-coréens, japonais et américains avec des campagnes de spear-phishing ultra sophistiquées. Par exemple, en mai 2024, ils exploitaient encore des failles DMARC pour usurper l’identité d’organisations de confiance.
Sauf que voilà, plusieurs éléments clochent. L’opérateur piraté semble parler chinois mandarin, et pas coréen. Son historique de navigation Chrome et Brave (presque 20 000 entrées !) montre des recherches en caractères simplifiés, pas en hangul (l’alphabet officiel du coréen), ses bookmarks pointent vers des sites chinois, et surtout, ses cibles privilégiées correspondent parfaitement au profil d’un acteur chinois : Taiwan, le Japon et la Corée du Sud. Certains experts pensent même qu’il pourrait délibérément imiter les méthodes de Kimsuky pour brouiller les pistes. C’est une technique connue sous le nom de “false flag operation” dans le monde du renseignement.
Alors Corée du Nord ou Chine ? Le mystère reste entier
Le butin déballé par nos deux Robin des Bois du hacking est absolument dingue. C’est 8,90 GB de données ultra sensibles avec :
19 783 entrées d’historique de navigation sur Chrome et Brave, révélant les habitudes et méthodes de travail de l’opérateur
Des logs d’attaques actives contre le gouvernement sud-coréen, notamment le Defense Counterintelligence Command et le Supreme Prosecutor Office
Du code source d’outils custom développés spécifiquement pour leurs opérations
Des identifiants et mots de passe pour différents systèmes compromis
Des scripts de commande et contrôle (C2) pour gérer les machines infectées
Des manuels opérationnels détaillant comment utiliser leurs backdoors
Des logs de campagnes de phishing avec les templates utilisés et les listes de victimes
Y’a même une capture écran de son bureau :
Mais le plus juteux, c’est surtout l’arsenal technique complet de l’opérateur. On y trouve le backdoor kernel TomCat, une saloperie qui s’installe au niveau du noyau système pour une persistance maximale. Des beacons Cobalt Strike customisés, Cobalt Strike étant cet outil commercial à 3 500 dollars la licence, vendu comme “logiciel de simulation d’adversaire” mais adoré par les vrais méchants. Il y a aussi la backdoor Ivanti RootRot qui exploite les vulnérabilités CVE-2025-0282 et CVE-2025-22457 découvertes fin 2024. Sans oublier des variantes modifiées d’Android Toybox pour compromettre les smartphones. Et l’exploit BRUSHFIRE/Bushfire pour les systèmes Ivanti Connect Secure.
Pour comprendre l’ampleur du désastre, c’est comme si un cambrioleur professionnel se faisait voler sa mallette contenant tous ses outils, ses plans de cambriolage, son carnet d’adresses avec les codes d’alarme de ses cibles, et même son journal intime où il note ses techniques. Bah voilà, c’et exactement ça qui vient d’arriver à notre cher APT !
DDoSecrets, les nouveaux WikiLeaks mais en mieux organisé
DDoSecrets a indexé et publié l’archive complète, la rendant accessible gratuitement à tous les chercheurs et journalistes. Pour ceux qui ne connaissent pas, DDoSecrets (Distributed Denial of Secrets) ce sont les nouveaux WikiLeaks, fondé en 2018 par Emma Best et Thomas White après que WikiLeaks soit devenu… compliqué avec l’affaire Assange.
Emma Best, journaliste spécialisée en sécurité nationale et activiste de la transparence non-binaire basée à Boston, avait d’ailleurs clashé avec Assange avant de créer DDoSecrets. Elle l’accusait notamment d’avoir menti sur la source des emails du DNC. Avec moins de 20 personnes et un budget 3000 fois inférieur à WikiLeaks, DDoSecrets a déjà publié plus de 100 millions de fichiers en provenance de 59 pays et leur philosophie est : “La vérité est son propre objectif.” Pas d’ego, pas de drama, juste de la transparence extrêmement radicale.
Leurs analystes confirment donc que les contenus de l’archive semblent authentiques et cohérents avec un véritable toolkit d’espionnage, ce qui est également confirmé par plusieurs experts en threat intelligence. Les victimes sud-coréennes ont également été notifiées avant la publication, histoire de limiter les dégâts. Ouf !
Ce qui rend cette affaire assez unique, c’est qu’elle nous offre un aperçu rare et non filtré des coulisses du cyber-espionnage étatique. D’habitude, on découvre les outils et techniques des APT après coup, en analysant leurs attaques comme des archéologues numériques qui reconstituent un dinosaure à partir de fragments d’os. Mais là, on a accès directement à leur boîte à outils complète, leurs notes, leurs cibles, leurs méthodes de travail au quotidien.
Les implications sont d’ailleurs énormes pour la communauté cybersécurité. Avec cet accès privilégié aux TTPs (Tactics, Techniques, and Procedures) de l’opérateur, les équipes de défense peuvent maintenant :
Identifier des patterns d’attaque pour créer des signatures de détection plus précises
Comprendre l’infrastructure C2 utilisée et bloquer proactivement les domaines et IPs associés
Analyser les vulnérabilités exploitées et patcher en priorité
Attribuer d’anciennes attaques non résolues grâce aux similarités dans le code et les méthodes
Former les analystes SOC avec des exemples réels d’attaques APT
Un acteur APT, habitué à opérer dans l’ombre avec l’impunité que confère le soutien d’un État-nation, s’est donc fait avoir par deux hackers indépendants qui ont ensuite balancé tout son arsenal sur Internet. C’est plutôt marrant quand on sait que ces groupes APT passent leur temps à voler les secrets des autres !
Cobalt Strike, l’outil préféré des APT (et des red teamers légitimes)
L’incident soulève quand même des questions cruciales sur l’attribution des cyberattaques. Le fait que cet opérateur pourrait être chinois mais imiter les techniques nord-coréennes montre à quel point il est difficile d’identifier avec certitude l’origine d’une attaque, car ans le monde du cyber-espionnage, les fausses pistes et les opérations sous faux drapeau sont monnaie courante.
C’est d’ailleurs pour ça que les groupes APT chinois et nord-coréens adorent se faire passer les uns pour les autres. Les Chinois ont leurs propres groupes legendaires comme APT1 (Comment Crew), APT28 (Fancy Bear… non attendez ça c’est les Russes !), ou APT40 (Leviathan). Les Nord-Coréens ont Lazarus (ceux du hack de Sony Pictures et du ransomware WannaCry), Bluenoroff / APT38 (spécialisés dans le vol bancaire, 81 millions de dollars à la Bangladesh Bank en 2016 !), et notre fameux Kimsuky.
La différence de style entre les groupes est d’ailleurs fascinante. Les Russes préfèrent exploiter des zero-days pour un impact géopolitique immédiat. Les Chinois ciblent les supply chains pour du vol de propriété intellectuelle à long terme. Les Nord-Coréens ? Eux ils ont besoin de cash, donc ils font dans le ransomware et le vol de crypto. En 2024, ils auraient volé plus de 3 milliards de dollars en cryptomonnaies selon les estimations !
Mais revenons à notre opérateur mystère. L’analyse de son infrastructure révèle des détails croustillants. Il utilisait des VPS loués avec des bitcoins minés spécifiquement pour l’opération (ces mecs ont leur propre ferme de minage !). Les domaines C2 étaient enregistrés via des registrars russes et chinois avec de fausses identités. Les certificats SSL étaient générés avec Let’s Encrypt pour paraître légitimes. Tout un écosystème criminel parfaitement rodé… jusqu’à ce que Saber et cyb0rg débarquent.
Et balancer une telle bombe pendant DEF CON, c’est s’assurer un maximum d’impact dans la communauté (la preuve, j’en parle). En tout cas, il y a une certaine justice poétique à voir un cyber espion se faire espionner à son tour.
Aujourd’hui avec ces révélations, le message envoyé à tous les groupes APT est clair : vous n’êtes pas intouchables. Même avec le soutien d’un État, même avec des budgets illimités, même avec les meilleurs outils, vous pouvez vous faire pwn par deux hackers motivés.
Je pense que cette affaire restera dans les annales car pour la première fois, ce n’est pas une agence de renseignement occidentale qui expose un groupe APT, mais des hackers indépendants. Cela me rappelle le leak de Conti qui avait subit la même chose mais de la part d’un insider (enfin, on le pense…).
Bref, si vous êtes un opérateur APT, évitez de réutiliser vos mots de passe et configurez correctement vos services cloud, sinon vous finirez en une de Phrack avec tous vos petits secrets étalés sur Internet. C’est con mais c’est comme ça !
Et pour les chercheurs en sécurité, foncez analyser ces 9GB de données, c’est Noël avant l’heure !
Pensez un peu à la tête des publicitaires si chacune de vos recherches web partait dans une direction complètement aléatoire, comme une boule de flipper qui rebondit entre 50 bumpers différents ? Et bien c’est exactement ce que fait Searloc, et vous allez voir, c’est assez malin.
Alexandre, un développeur français visiblement allergique au pistage en ligne, vient de créer quelque chose d’intéressant. Au lieu de chercher directement sur Google ou même DuckDuckGo, son outil vous envoie de manière totalement aléatoire vers l’une des 50 instances publiques SearXNG disponibles.
Ainsi, aucune instance ne voit plus de 2% de vos recherches, comme ça, pour les trackers qui essaient de créer votre profil, c’est comme essayer de reconstituer un puzzle avec seulement 1 pièce sur 50.
Le plus beau dans tout ça, c’est que Searloc fonctionne entièrement côté client. Pas de serveur, pas de base de données, pas de logs. Juste du JavaScript qui tourne dans votre navigateur et qui tire au sort votre prochaine destination. Je trouve que c’est vraiment une excellente approche de ne pas avoir de serveur fixe, car ça élimine complètement le point de centralisation.
Pour ceux qui ne connaissent pas, SearXNG est un métamoteur qui peut interroger jusqu’à 248 services de recherche différents sans jamais transmettre votre IP ou vos cookies aux moteurs sous-jacents. C’est déjà pas mal niveau privacy, mais le problème c’est que si vous utilisez toujours la même instance, l’administrateur pourrait théoriquement reconstituer votre historique de recherche. Avec Searloc, ce risque disparaît puisque vos recherches sont éparpillées façon puzzle.
L’outil propose quelques fonctionnalités sympa. Par exemple, si les résultats ne vous conviennent pas, tapez simplement “!!” et hop, votre recherche repart sur une autre instance aléatoire. Les bangs (ces raccourcis qui commencent par “!!”) sont gérés localement, donc même vos recherches spécialisées restent privées. Et pour les maniaques du contrôle, vous pouvez même ajouter vos propres instances SearXNG personnelles dans les paramètres.
Faut quand même dire que les alternatives privacy-first comme Startpage, Brave Search ou Qwant se multiplient face à l’appétit insatiable de Google pour nos données, mais là où ces services restent centralisés (même s’ils promettent de ne pas vous tracker… vous savez qui engage ce genre de promesse…), Searloc pousse la logique encore plus loin en décentralisant complètement le point d’entrée.
Maintenant, pour l’utiliser, rien de plus simple. Rendez-vous sur searloc.org et vous tapez votre recherche. L’interface reprend automatiquement vos préférences de thème et de langue pour les transmettre à l’instance SearXNG sélectionnée.
Et le code source est disponible sur Codeberg sous licence MIT, donc les paranos qui on du temps libre peuvent vérifier qu’il n’y a pas d’entourloupe.
Voilà, ce qui me plaît dans cette approche, c’est surtout qu’elle résout élégamment le dilemme de la privacy où soit vous faites confiance à un service centralisé qui promet de ne pas vous tracker (mais qui reste un point unique de défaillance), soit vous auto-hébergez votre instance (mais c’est technique et votre IP reste visible pour les sites que vous visitez). Searloc trouve ainsi un juste milieu en distribuant le risque sur des dizaines d’instances différentes.
Alors oui, c’est vrai, parfois vous tomberez sur une instance un peu lente ou qui affichera des captchas parce qu’elle a été trop sollicitée mais c’est un léger inconvénient de cette décentralisation. Parce qu’entre ça et laisser Google construire un profil psychologique détaillé de toutes vos interrogations existentielles à 3h du mat’, le choix est vite fait.
Merci à Alexandre d’avoir partagé son projet avec moi !
Vous ne le savez peut-être pas, mais le site sur lequel vous êtes actuellement est un site 100% statique. Je gère le contenu côté back avec un CMS en PHP (rédaction, édition, workflow), mais la partie publique n’exécute aucun PHP : pas de base de données, juste des fichiers HTML/CSS/JS et des images. Et tout ça est généré à partir de fichiers Markdown avec Hugo.
Et optimiser tout ça c’est pas de la tarte car si vos templates sont mal pensés, Hugo peut mettre une plombe à générer le site. Entre partiels recalculés pour rien, boucles trop larges et images retraitées à chaque passage, on flingue les perfs sans s’en rendre compte.
Et c’était mon cas au début. Je regardais avec envie les mecs qui sortaient un build en moins d’une seconde tout en restant réaliste car j’ai quand même environ 60 000 pages à générer. Au final, je suis passé de plusieurs heures de build à environ 5 minutes en optimisant les templates, le cache et le pipeline d’assets.
Tout ceci est encore en cours de tests, et ce n’est pas parfait donc il est possible que ça change à l’avenir et vous faites peut-être autrement (dans ce cas ça m’intéresse !!). Bref, voici mon retour d’XP sous forme de conseils pour transformer, vous aussi, votre escargot en fusée 🚀.
Partials - Cachez-moi tout ça (bien)
Hugo sait mettre en cache le rendu d’un partial. Utilisez partialCached (alias de partials.IncludeCached) partout où la sortie est identique sur beaucoup de pages.
Le truc malin, c’est d’utiliser des variantes (clés) pour changer le cache selon le contexte. Attention quand même car ces arguments de variante ne sont pas passés au partial. En réalité, ils servent uniquement à nommer l’entrée de cache. Si vous devez passer plus de données au partial, mettez-les dans le context via un dict.
Je regroupe tout avec resources.Concat, puis minify et fingerprint (SRI + cache-busting). Le preload déclenche le chargement au plus tôt, et le link classique prend le relais.
Côté JavaScript, j’utilise js.Build (esbuild) et je bascule les sourcemaps selon l’environnement :
J’ai également une approche hybride concernant la gestion des images. J’utilise Cloudflare Image Resizing qui génère les variantes côté CDN, et un partial Hugo prépare le srcset + LCP propre.
Comme vous pouvez le voir, j’adapte la qualité selon la plateforme (85% pour mobile / 92% pour desktop), le format AVIF par défaut, et pour l’image LCP, je mets fetchpriority="high" et pas de lazy.
Cache des ressources - Le secret des rebuilds rapides
Configurez aussi les caches pour éviter de retraiter à chaque build. Le plus important c’est le cache permanent pour les images et autres assets traités.
# hugo.toml
[caches]
[caches.getJSON]
dir = ":cacheDir/:project"
maxAge = "1h"
[caches.getCSV]
dir = ":cacheDir/:project"
maxAge = "1h"
[caches.images]
dir = ":resourceDir/_gen"
maxAge = -1 # NE JAMAIS expirer
[caches.assets]
dir = ":resourceDir/_gen"
maxAge = -1
Et en cas de besoin, pour forcer un refresh : hugo server --ignoreCache.
Organisation des templates - site.RegularPages est votre ami
En régle générale, c’est mieux d’éviter de boucler sur des pages inutiles (taxonomies, terms…). Utilisez aussi site.RegularPages plutôt que .Site.Pages.
Voici également quelques réglages utiles dans mon hugo.toml :
# Désactiver ce qu'on n'utilise pasdisableKinds=["section"]# Pagination moderne (Hugo ≥ 0.128)[pagination]pagerSize=39# 39 articles par page# Traitement d'images[imaging]quality=80resampleFilter="Lanczos"# Optimisations de build[build]writeStats=falsenoJSConfigInAssets=trueuseResourceCacheWhen="always"# Mounts: exclure fichiers lourds[module][[module.mounts]]source="content"target="content"excludeFiles=["**/*.zip","**/*.log","**/backup/**","**/archives/**","**/exports/**"][[module.mounts]]source="static"target="static"excludeFiles=["**/*.zip","**/*.log","**/backup/**","**/archives/**"]
Je mets aussi un timeout large (timeout = "600s") et j’ignore certains warnings verbeux (ignoreLogs = ['warning-goldmark-raw-html']). Et pour la pagination, pagerSize a aussi remplacé les vieux réglages (bon à savoir si vous migrez).
Perso, j’utilise uniquement les flags suivants quand je lance Hugo :
Nettoyage : hugo --gc --cleanDestinationDir pour virer l’obsolète et garder public/ clean.
Dev rapide : gardez hugo server tel quel. --disableFastRender seulement si un glitch l’exige. --renderToMemory peut accélérer (au prix de la RAM).
Profiler de templates : hugo --templateMetrics --templateMetricsHints liste les templates lents et où placer vos partialCached. C’est comme ça que j’ai vu que ma sidebar coûtait une plombe.
Conditionnez ce que vous chargez
Selon la page, j’adapte aussi mon code. L’image LCP avec fetchpriority="high" (pour éviter le lazy), le reste en lazy + placeholder SVG qui respecte les dimensions (zéro layout shift). Et pour le JS, defer partout et pas de scripts inutiles sur les pages qui n’en ont pas besoin.
Le pattern qui tue - partialCached + variantes calculées
Mon combo préféré, selon le contexte c’est celui-ci :
Il faut comme ça trouver le bon équilibre. C’est à dire avoir assez de variantes pour éviter les recalculs, mais pas trop, sinon votre cache devient inutile.
Et en bonus - Ma checklist express !
Remplacer les partial chauds par partialCached + variantes propres (au minimum : header, footer, nav, sidebar).
getJSON : config de cache (maxAge) et --ignoreCache en dev.
--templateMetrics + --templateMetricsHints pour viser les pires templates.
Pagination : passer à [pagination].pagerSize si vous migrez.
Utiliser site.RegularPages au lieu de .Site.Pages dans les boucles.
Module mounts avec excludeFiles pour éviter que Hugo scanne backups/archives.
Prod : --gc + --cleanDestinationDir + --minify.
Cache permanent pour images/assets (maxAge = -1).
Voilà. Avec tout ça, je suis passé de plusieurs heures à quelques minutes pour ~60 000 pages. Les clés : partialCached partout où la sortie ne bouge pas, un bundle CSS/JS propre avec fingerprint/SRI, et site.RegularPages pour ne pas trimbaler les taxonomies dans les boucles.
N’oubliez pas de lancer hugo --templateMetrics --templateMetricsHints pour trouver ce qui coûte cher lors de la génération. Vous verrez, dans 90% des cas c’est un partial appelé 10 000 fois non mis en cache, ou une boucle sur .Site.Pages trop large. Réparez ça, et votre build respira de nouveau.
Et si après tout ça votre build met encore plus de 10 s pour builder moins de 1000 pages, c’est qu’il y a un loup dans vos templates. Réduisez la surface des boucles, chassez les recalculs, et mettez partialCached partout où c’est pertinent !
Vous savez qu’Unix n’aurait jamais dû exister ? Hé oui, tout a commencé parce que Ken Thompson voulait jouer à Space Travel, son petit jeu vidéo. Sauf que sur le mainframe de Bell Labs, chaque partie lui coûtait 75 dollars en temps machine. C’était complètement absurde, du coup, il a bricolé un système sur un vieux PDP-7 pour faire tourner son jeu gratos.
Car oui, les plus grandes révolutions informatiques naissent parfois des problèmes les plus cons, vous allez voir…
Vous pensez que Steve Jobs a révolutionné l’informatique ? Que nenni ! Il a surtout fait du super marketing. Les vrais héros, ceux qui ont posé les fondations de TOUT ce que vous utilisez aujourd’hui c’est-à-dire votre iPhone, Android, Linux, même Windows dans ses tripes profondes, s’appellent Dennis MacAlistair Ritchie et Kenneth Lane Thompson. Deux potes de Bell Labs qui ont littéralement inventé l’informatique moderne dans les années 70 en se marrant.
L’histoire que je vais vous raconter aujourd’hui, c’est donc celle de deux génies qui ont créé Unix et le langage C presque par accident, et croyez-moi, c’est bien plus épique que n’importe quel biopic hollywoodien avec Ashton Kutcher dedans.
Imaginez un endroit où on vous paye pour réfléchir et bidouiller sans qu’on vous emmerde avec des deadlines, des KPI ou des réunions PowerPoint interminables. Bienvenue à Bell Labs dans les années 60, le Disneyland de la recherche informatique. Ce temple de l’innovation, propriété d’AT&T, abritait les cerveaux les plus tordus de la planète. C’est là par exemple qu’on a inventé le transistor, le laser, la théorie de l’information, et j’en passe. Bref, tout ce qui fait tourner notre monde moderne.
Dennis MacAlistair Ritchie, né le 9 septembre 1941 à Bronxville dans l’État de New York, était le fils d’Alistair Ritchie, un scientifique de Bell Labs spécialisé dans les systèmes de commutation. Le gamin avait donc l’informatique dans le sang, avec un côté discret et un humour plus sec que le Sahara en plein été. Diplômé de Harvard en physique en 1963, puis docteur en mathématiques appliquées en 1967, il débarque à Bell Labs la même année. Sauf que sa thèse de doctorat, il ne la finira jamais, trop occupé à changer le monde.
Kenneth Lane Thompson, né le 4 février 1943 à La Nouvelle-Orléans, était le parfait opposé : un sale gosse qui avait traîné ses guêtres partout avant d’atterrir à Berkeley pour des études d’ingénierie électrique. Bachelor en 1965, master en 1966, et hop, direction Bell Labs. Obsédé par les jeux vidéo et les échecs, Ken était le genre de mec capable de coder 30 heures d’affilée sans dormir, juste alimenté par du café et de la passion pure. Ce gars ne tenait pas à la vie.
En 1969, nos deux zigotos bossaient sur Multics (Multiplexed Information and Computing Service), un projet pharaonique censé révolutionner les systèmes d’exploitation. Le truc était tellement ambitieux qu’il en devenait inutilisable. Comme l’a dit Sam Morgan de Bell Labs : “C’était clair que Multics essayait de grimper trop d’arbres à la fois” et AT&T a fini par lâcher l’affaire en avril 1969, déclarant victoire tout en se barrant du projet, un peu comme les Américains au Vietnam.
Ken Thompson se retrouve donc sans projet officiel, avec juste un vieux PDP-7 qui traînait dans un coin du labo. Cette antiquité informatique de Digital Equipment Corporation, sortie en 1964, avait 8K de mémoire (oui, kilooctets, pas méga) et coûtait 72 000 dollars de l’époque. Pour vous donner une idée, c’est moins puissant qu’une calculatrice.
A l’époque, pour jouer à Space Travel, une simulation spatiale qu’il avait codée lui-même, Ken utilisait un autre ordinateur. Plus exactement un mainframe GE-645 avec lequel une partie lui coûtait 75 dollars en temps CPU. À ce prix-là, autant s’acheter une vraie fusée. Et là, c’est le destin qui frappe, car à l’été 1969, pendant que Neil Armstrong marchait sur la Lune, Bonnie Thompson (la femme de Ken) part en vacances chez les beaux-parents avec leur nouveau-né pour 3 semaines. Ken se retrouve donc célibataire temporaire avec un PDP-7, du temps libre et une seule mission : porter Space Travel sur cette machine pour pouvoir jouer sans se ruiner.
Ce que Ken n’avait pas prévu, c’est qu’il allait devoir tout réécrire from scratch. Y’a pas de système d’exploitation sur le PDP-7, rien, nada, alors il s’y met : système de fichiers, éditeur de texte, assembleur, debugger, tout y passe. Il code comme un fou, et au bout de quelques semaines, il réalise qu’il vient de créer un système d’exploitation complet. Par accident. Pour un jeu vidéo.
Dennis Ritchie, qui suivait les bidouillages de son pote avec intérêt, lui file un coup de main et Brian Kernighan, un autre génie du labo, trouve le nom parfait : “Unics” (Uniplexed Information and Computing Service), une blague sur Multics. Parce que contrairement à ce monstre complexe, leur système ne supportait qu’un seul utilisateur à la fois. Le nom évoluera vite en “Unix” parce que c’était plus cool à prononcer.
En deux mois, pendant l’été 69, ils ont ainsi pondu les bases d’Unix. Thompson a même développé une philosophie qui guide encore l’informatique aujourd’hui : “Faire une chose et la faire bien”. Chaque programme Unix était conçu pour être simple, modulaire, et pouvoir communiquer avec les autres via des pipes. C’est tout con, mais c’est génial.
En 1970, pour avoir plus de ressources, ils expliquent à leur boss, qu’Unix pourrait servir pour du traitement de texte. Bell Labs leur file un PDP-11/20 tout neuf à 65 000 dollars. Cette machine, c’était la Rolls des mini-ordinateurs : 24K de mémoire, des disques durs, le grand luxe.
Ken invente alors le langage B, basé sur BCPL (Basic Combined Programming Language). Sauf que quand ils migrent Unix vers le PDP-11, B montre ses limites : pas de types de données, pas de structures, bref, c’était trop “basique”.
Dennis, pas du genre à lâcher l’affaire, se retrousse les manches et crée le langage C durant la période 1972-1973. Le nom ? Bah c’est la lettre après B, ils ne se sont pas cassé la tête. Le C, c’était révolutionnaire, car assez proche de l’assembleur pour être efficace et assez évolué pour être lisible par un humain normal. Les pointeurs, les structures, les types de données, tout y était.
Puis en 1973, Dennis fait un truc de ouf : il réécrit le kernel Unix entier en C. À l’époque, tout le monde pensait qu’un OS devait être écrit en assembleur pour être performant et ces deux mecs venaient de prouver le contraire. Unix devenait portable. On pouvait le faire tourner sur n’importe quelle machine avec un compilateur C. C’était fou !
En 1978, Dennis et Brian Kernighan publient “The C Programming Language”, surnommé le “K&R” par les geeks. Ce bouquin de 228 pages est devenu LA bible du C. La première édition contenait même le fameux programme “Hello, World!” qui est devenu le premier truc que tout programmeur écrit.
Petite anecdote marrante, quand Unix a commencé à se répandre dans les universités américaines durant les années 70, Ken distribuait personnellement les bandes magnétiques 9 pistes le contenant. Chaque envoi était même accompagné d’un petit mot manuscrit signé “Love, Ken”. Imaginez recevoir Unix avec un bisou du créateur ! C’était ça l’esprit de l’époque… du partage, de la bienveillance, et zéro marketing bullshit.
Dans le code source d’Unix Version 6, Dennis Ritchie a également écrit le commentaire de code le plus célèbre de l’histoire de l’informatique. Dans la fonction de context-switching (ligne 2238 du fichier slp.c), il a ajouté :
/* You are not expected to understand this */
Ce commentaire est devenu culte, et on le retrouve sur des t-shirts, des mugs, des posters dans tous les bureaux de devs du monde. Dennis expliquera plus tard dans un email que c’était dans l’esprit “ça ne sera pas demandé lors de l’examen” et pas du tout un défi arrogant contrairement à ce qu’on pourrait penser.
D’ailleurs, le code était buggé et même eux ne le comprenaient pas complètement à l’époque.
En 1984, Ken Thompson balance alors le hack le plus vicieux de l’histoire lors de sa conférence pour le prix Turing. Il montre comment il pourrait modifier le compilateur C pour injecter automatiquement une backdoor dans Unix. Le truc vraiment diabolique c’est que même en lisant tout le code source, impossible de détecter le piège. Le compilateur s’auto-infecterait à chaque compilation. Sa conclusion est sans appel : “You can’t trust code that you did not totally create yourself”.
Cette présentation, connue sous le nom de “Reflections on Trusting Trust”, a traumatisé toute une génération de développeurs.
Dennis, lui, était l’antithèse totale de Steve Jobs : discret, humble, fuyant les projecteurs comme un vampire fuit l’ail. Sa famille le décrivait comme “un frère incroyablement gentil, doux, modeste et généreux et évidemment un geek complet. Il avait un sens de l’humour hilarant et une appréciation aiguë des absurdités de la vie”. Rob Pike, son collègue, racontait : “Dennis était drôle d’une manière tranquille. Par exemple, il décrivait les erreurs dans son propre travail de manière hilarante”.
Un participant à une conférence Usenix racontera même un peu plus tard cette anecdote qui montre toute l’humilité de Dennis : “J’ai rencontré Dennis Ritchie sans le savoir. Il avait échangé son badge avec quelqu’un d’autre pour éviter d’être harcelé. J’ai passé 30 minutes à discuter avec lui en me disant “putain ce mec s’y connaît vraiment bien”. Puis l’autre type est arrivé et a dit “Dennis, j’en ai marre de gérer tes groupies, reprends ton badge”. Ils ont rééchangé les badges. J’ai regardé… c’était le mec qui avait non seulement écrit le livre que j’avais utilisé pour apprendre le C, mais qui avait inventé le langage lui-même.”
Contrairement aux rockstars de la Silicon Valley d’aujourd’hui, Dennis n’a jamais cherché la célébrité. Il préférait coder tranquille dans son coin à Bell Labs, peaufiner Unix et le C, et laisser son travail parler pour lui. Quand il croisait Steve Jobs ou Bill Gates dans des conférences, personne ne le reconnaissait. Pourtant, sans lui, ni l’iPhone ni Windows n’existeraient, car les deux systèmes reposent sur des fondations qu’il a posées.
Dennis Ritchie est mort le 12 octobre 2011, à 70 ans, seul dans son appartement de Berkeley Heights dans le New Jersey. Il vivait en ermite depuis la mort de ses frères et sœurs. Son corps a été découvert plusieurs jours après sa mort.
Tandis que la mort de Steve Jobs le 5 octobre 2011 avait fait la une de tous les médias du monde, celle du créateur du C et d’Unix est passée quasi inaperçue.
Ken Thompson, lui, continue de nous étonner. À l’age de 82 ans en 2025, après sa retraite de Bell Labs en 2000, il continue de bosser chez Google depuis 2006 sur le langage Go avec Rob Pike et Robert Griesemer. Quand Google a voulu le recruter, ils lui ont demandé de passer un test de compétence en C. Sa réponse ? “Non merci, j’ai inventé le prédécesseur du C et Dennis a créé le C lui-même”. La classe absolue. Google l’a embauché direct.
Surtout que Ken a toujours été un passionné obsessionnel. Dans les années 80, il a créé Belle, l’ordinateur d’échecs le plus fort du monde, entièrement câblé en hardware. Cette machine a remporté le championnat du monde des ordinateurs d’échecs plusieurs fois. Le gouvernement américain l’a même temporairement confisqué quand Ken a voulu l’emmener en URSS pour un tournoi, de peur qu’elle tombe entre les mains des Soviétiques ! Belle était classée comme “munition” selon les lois d’exportation américaines. Du délire.
Parallèlement, Ken avait créé une base de données de 35 000 morceaux de musique dont il avait numérisé une bonne partie, stockés sur son système avec un algorithme de compression maison appelé PAC, bien avant l’arrivée du MP3. Quand les juristes de Bell Labs lui ont demandé s’il était dans la légalité, il a répondu avec son flegme habituel : “J’en collectionne beaucoup”. Ils lui ont répondu quelque chose comme : “Il y a du fair use pour la recherche, mais on n’ira pas en prison pour vous, alors vous devez arrêter”. Ken étant Ken, il a continué tranquille.
Ken et Rob Pike ont aussi inventé UTF-8 en 1992 lors d’un dîner dans un restaurant de New Jersey. Ils ont dessiné l’encodage sur une nappe en papier et aujourd’hui, UTF-8 représente 98% du web.
Ce qui rend cette histoire encore plus belle, c’est l’environnement unique de Bell Labs. Pas de daily standup, pas de sprint planning, pas de rétrospectives, pas de KPI, pas de OKR, pas de management toxique. Juste des génies qui se croisent dans les couloirs, discutent devant la machine à café, et imaginent les techno de demain. Cette culture collaborative a inspiré tout ce qu’on redécouvre aujourd’hui.
Le partage de code source ? Ils distribuaient Unix gratuitement aux universités. La review collaborative ? Ils se relisaient mutuellement sans process formalisé. L’amélioration continue ? Chaque version d’Unix apportait des innovations. L’open source ? Unix était fourni avec son code source complet. Tout ce qu’on pense avoir inventé avec Git, GitHub, et l’agile, ils le pratiquaient naturellement dans les années 70.
La philosophie Unix qu’ils ont créée tient en quelques principes simples mais géniaux. Comme je vous le disais plus haut, il y a d’abord “Faire une chose et la faire bien” où chaque programme Unix est spécialisé. “Tout est fichier”, une abstraction simple pour tout le système. “Les programmes doivent pouvoir communiquer”, d’où les pipes qui permettent de chaîner les commandes. “Privilégier la portabilité sur l’efficacité”, d’où le choix du C plutôt que l’assembleur.
Ces principes, on les retrouve partout aujourd’hui, de Docker aux microservices.
Et aujourd’hui, Unix et ses descendants font tourner absolument tout.
Linux, le clone d’Unix créé par Linus Torvalds en 1991 fait tourner 96.3% des 500 plus gros supercalculateurs du monde, 71% des smartphones (Android), et la majorité des serveurs web. MacOS et iOS basés sur Darwin, lui-même descendant de BSD Unix. FreeBSD, OpenBSD, NetBSD aussi sont des descendants directs d’Unix. Même Windows, avec son Windows Subsystem for Linux, est une reconnaissance de la supériorité du modèle Unix.
Le langage C reste lui aussi indétrônable pour tout ce qui touche au système. Le kernel Linux c’est 28 millions de lignes de C. Windows a son noyau est en C. MacOS en C et Objective-C (une extension du C). Les interpréteurs de Python, Ruby, PHP, Perl sont également écrits en C. Les bases de données MySQL, PostgreSQL, Redis, SQLite, c’est pareil. Sans parler des navigateurs web, des compilateurs, des machines virtuelles, de l’embarqué, de l’IoT, des systèmes critiques dans l’aviation, le spatial, le médical… Du C partout !!
Sans Dennis et Ken, pas de smartphone, pas d’Internet moderne, pas de cloud computing, pas d’intelligence artificielle (les frameworks de deep learning sont écrits en C/C++), pas de jeux vidéo modernes non plus (les moteurs de jeu sont en C++). Ils ont littéralement créé les fondations sur lesquelles repose toute notre informatique actuelle.
Quand Guido van Rossum a créé Python en 1989, il s’est inspiré de la syntaxe du C et Bjarne Stroustrup a créé C++ en 1979 comme une extension du C “avec des classes”. James Gosling s’est basé lui aussi sur la syntaxe du C pour créer Java en 1995. Brendan Eich a également repris la syntaxe du C pour JavaScript en 1995 (en 10 jours, le fou). Même les langages modernes comme Rust, Go, Swift, Kotlin, tous portent l’ADN du travail de Dennis.
Ken Thompson déteste d’ailleurs C++ avec passion : “Il fait beaucoup de choses à moitié bien et c’est juste un tas d’idées mutuellement exclusives jetées ensemble”. Avec Go, qu’il a co-créé chez Google, il a donc voulu revenir à la simplicité du C originel, mais adapté au monde moderne du multicore et des réseaux. Go compile en quelques secondes là où C++ prend des minutes. La simplicité, toujours la simplicité.
Dennis et Ken ont reçu pratiquement tous les prix possibles en informatique. Le prix Turing en 1983 (l’équivalent du Nobel en informatique), la National Medal of Technology en 1998 des mains du président Clinton, le Japan Prize en 2011 (400 000 dollars quand même). Ken a été élu à l’Académie Nationale d’Ingénierie en 1980 et à l’Académie Nationale des Sciences en 1985. Mais leur plus grande fierté c’est de voir leur création utilisée partout, par tout le monde, tous les jours.
L’histoire de Dennis et Ken nous enseigne plusieurs trucs cruciaux. Tout d’abord que l’innovation naît de la liberté créative. Pas de process, pas de roadmap, pas de framework agile, juste la liberté d’explorer et de se planter. C’est comme ça qu’Unix a réussi là où Multics a échoué, car la complexité tue l’innovation, toujours.
De mon point de vue, Dennis Ritchie mérite autant de reconnaissance que Steve Jobs ou Bill Gates, si ce n’est plus. Sans oublier Ken Thompson qui continue de coder à plus de 80 ans chez Google. Quand on lui demande pourquoi il continue, il répond simplement : “C’est fun”.
En tout cas, leur philosophie continue d’inspirer encore aujourd’hui avec l’open source, le partage de code, le principe du “faire une chose et la faire bien”… et ça c’est beau !
Voilà, maintenant vous savez pourquoi Unix c’est beau et Windows c’est… bah c’est Windows quoi. Allez, sortez votre terminal, tapez man unix et saluez ces deux génies. Et si vous voulez vraiment leur rendre hommage, apprenez le C, c’est moins chiant que vous pensez et ça vous fera comprendre comment les ordinateurs fonctionnent vraiment.
Et dire qu’à la base, c’était pour faire tourner un jeu vidéo débile…
Imaginez. Vous êtes tranquillement en train de bosser sur votre PC, votre webcam Lenovo tranquillement posée sur votre écran, et vous ne vous doutez de rien. Sauf que pendant ce temps, un cybercriminel à l’autre bout du monde a trafiqué votre innocente caméra pour qu’elle tape des commandes sur votre clavier sans que vous ne voyiez rien. Et même si vous formatez votre PC, elle continuera son petit manège.
C’est exactement ce qu’ont réussi à démontrer les chercheurs d’Eclypsium lors de la DEF CON 33. Paul Asadoorian, Mickey Shkatov et Jesse Michael ont en effet découvert une faille monumentale dans les webcams Lenovo 510 FHD et Performance FHD. Le bug, baptisé BadCam et référencé sous la CVE-2025-4371, et permet de transformer à distance ces webcams en dispositifs BadUSB.
Pour ceux qui ne connaissent pas BadUSB, c’est une technique d’attaque qui fait croire à votre ordinateur qu’un périphérique USB est autre chose que ce qu’il prétend être. Dans ce cas, votre webcam peut soudainement se faire passer pour un clavier et commencer à taper des commandes, sauf qu’ici, c’est encore pire puisque l’attaque peut se faire entièrement à distance, sans que personne ne touche physiquement à votre webcam.
Le problème vient du fait que ces webcams tournent sous Linux avec un processeur ARM SigmaStar SSC9351D. Elles utilisent le USB Gadget subsystem de Linux, qui permet à un périphérique USB de changer de rôle. Normalement, c’est pratique pour faire du debug ou créer des périphériques multifonctions. Mais dans le cadre de cette exploitation de bug, c’est pas foufou.
Ainsi, un attaquant qui a déjà un accès distant à votre machine (via un malware classique par exemple) peut identifier votre webcam Lenovo connectée. Il pousse alors une mise à jour firmware malveillante vers la caméra. Puis la webcam devient alors un dispositif BadUSB qui peut injecter des commandes clavier, installer des backdoors, voler vos mots de passe… bref, tout ce qu’un clavier peut faire en fait.
Et le plus “drôle” c’est que la webcam continue de fonctionner normalement en tant que caméra. Vous pouvez donc toujours faire vos visios Zoom en slip, car elle filme toujours et rien ne laisse supposer qu’elle est compromise. Et comme le malware réside dans le firmware de la webcam et non sur votre disque dur, vous pouvez reformater votre PC autant de fois que vous voulez, la webcam restera infectée et réinfectera votre système à chaque redémarrage.
Les chercheurs ont aussi découvert un autre vecteur d’attaque encore plus vicieux. Un attaquant peut vous envoyer une webcam déjà backdoorée par la poste. Genre un “cadeau” d’entreprise ou une webcam d’occasion sur LeBonCoin. Vous la branchez, et hop, vous êtes compromis. La webcam peut alors recevoir des commandes à distance et compromettre votre système quand l’attaquant le décide.
Et c’est pas la première fois que des experts en sécurité démontrent qu’un périphérique USB Linux déjà connecté peut être transformé en cyberarme exploitable à distance. Avant, les attaques BadUSB nécessitaient un accès physique pour brancher un périphérique malveillant mais là, on peut “weaponiser” un périphérique légitime qui est déjà sur votre bureau.
Le cœur du problème c’est que ces webcams ne vérifient pas la signature du firmware qu’on leur envoie. N’importe qui peut pousser n’importe quel firmware, et la webcam l’accepte les yeux fermés. C’est comme si votre porte d’entrée acceptait n’importe quelle clé, même un cure-dent.
Bien sûr, Lenovo a été prévenu en avril dernier et a sorti un correctif (firmware version 4.8.0) en août, juste avant la présentation à la DEF CON. Ils ont bossé avec SigmaStar pour créer un outil d’installation qui vérifie maintenant les signatures. Mais comme pour Winrar, combien d’utilisateurs vont vraiment mettre à jour le firmware de leur webcam ? Personne ne fait ça, j’crois…
Et le problème va bien au-delà de ces deux modèles Lenovo car les chercheurs d’Eclypsium ont indiqué que n’importe quel périphérique USB qui tourne sous Linux avec le USB Gadget subsystem pourrait être vulnérable. On parle donc de milliers de modèles de webcams, mais aussi de dispositifs IoT, de hubs USB, et même de certains claviers gaming haut de gamme qui embarquent Linux.
Voilà, donc pour vous protéger, si vous avez une Lenovo 510 FHD ou Performance FHD, foncez sur le site de support Lenovo et installez la mise à jour firmware 4.8.0. Et pour les autres webcams, c’est pareil, méfiez-vous et mettez à jour, car peut-être qu’elle pourrait faire des trucs qu’elle ne devrait pas pouvoir faire.
A partir de maintenant, tout ce qui se connecte à un port USB est votre ennemi !! Oui, surtout ce petit ventilo acheté sur Temu la semaine dernière…
Parfois, je me demande ce que foutent les équipes de Google… Un mec tout seul vient de créer une version desktop de YouTube Music qui explose littéralement la version web officielle et son interface web basique qui balance des pubs toutes les trois chansons.
L’app s’appelle YouTube Music Desktop, et c’est un projet open source disponible sur GitHub qui fait exactement ce que Google devrait faire depuis des années. Le développeur a pris Electron, a wrappé l’interface web de YouTube Music dedans, et puis il a ajouté tout ce qui manque cruellement à la version officielle.
Du coup on obtient une app desktop qui tourne sur Windows, Mac et Linux, codée par un seul mec qui surpasse complètement le produit officiel d’une boîte qui pèse 2000 milliards de dollars. Ce truc bloque toutes les pubs et le tracking par défaut, vous pouvez télécharger vos morceaux en MP3 ou Opus pour les écouter offline. Et y’a des raccourcis clavier natif qui fonctionnent sur tous les OS. Il y a même un égaliseur et un compresseur audio intégrés pour améliorer le son.
Mais le meilleur c’est le système de plugins. On peut y ajouter des extensions en un clic pour ajouter exactement les fonctionnalités que vous voulez. Discord Rich Presence pour montrer à vos potes ce que vous écoutez, des lyrics synchronisées qui s’affichent en temps réel, un mode ambient qui change les couleurs de l’interface selon l’album, du backup local de playlists, l’ajout dans la touchBar sous Mac…etc et le tout sans avoir à fouiller dans du code ou des configs compliquées.
Pour l’installer, c’est super simple. Sur Windows, passez par Scoop ou Winget. Sur Mac, c’est Homebrew avec un simple brew install th-ch/youtube-music/youtube-music. Sur Linux, vous avez des packages pour toutes les distros majeures.
L’app pèse moins de 100MB et consomme moins de RAM que l’onglet YouTube Music dans Chrome. D’ailleurs, il n’y a pas que cette version. YTMDesktop propose une alternative similaire avec une interface un peu différente et un focus sur l’intégration système. Après c’est une question de goût…
Bref, cette app montre exactement ce que YouTube Music pourrait être si Google se bougeait le cul. Ce sont des trucs basiques que les utilisateurs demandent depuis le lancement du service mais comme Google est plus concentré à faire payer un abonnement Premium à 11€ par mois qu’à proposer des fonctionnalités cools, bah voilà…
Évidemment, cette app pourrait arrêter de fonctionner du jour au lendemain si Google décide de changer son API ou d’en bloquer l’accès mais pour l’instant, ils laissent faire. Donc si vous en avez marre de YouTube Music dans le navigateur, ou que vous voulez stopper votre abonnement Spotify parce qu’il a encore augmenté, foncez. L’app est gratuite, open source, et fait tout mieux que la version officielle.
WinRAR, vous savez, le truc que tout le monde a sur son PC pour décompresser des fichiers et dont personne ou presque ne paye la licence ? Bah il vient de se faire trouer comme jamais. En effet un groupe de hackers russes exploite actuellement une faille zero-day pour installer des backdoors sur les machines et le pire dans tout ça, c’est que vous avez probablement WinRAR installé depuis des années sans jamais l’avoir mis à jour.
La faille en question, c’est la CVE-2025-8088, une vulnérabilité de type directory traversal qui a été découverte le 9 janvier dernier. En gros, quand vous ouvrez une archive RAR piégée, le malware peut s’installer où il veut sur votre système, notamment dans le dossier de démarrage de Windows. Résultat, à chaque fois que vous allumez votre PC, la backdoor se lance automatiquement.
Derrière cette attaque, on trouve le groupe RomCom, aussi connu sous les noms Storm-0978, Tropical Scorpius, Void Rabisu ou UNC2596. Ces mecs sont liés à la Russie et sont actifs dans le cyber-espionnage depuis plusieurs années. Leur mode opératoire est simple… Ils vous envoient des emails de phishing avec des pièces jointes RAR qui ont l’air légitimes. Genre un faux document de votre banque ou une facture bidon.
Ce qui rend cette vulnérabilité particulièrement vicieuse, c’est la méthode d’exploitation. Comme je vous l’expliquais en intro, les fichiers malveillants peuvent être placés directement dans le dossier Windows Startup sans aucune alerte de sécurité, permettant au malware de s’exécuter automatiquement à chaque démarrage. Vous décompressez le fichier, vous pensez que tout va bien, mais en réalité vous venez d’installer un backdoor qui donnera accès complet à votre machine aux hackers.
RARLAB, la société derrière WinRAR, a publié en urgence la version 7.02 le jour même de la découverte, sauf que voilà le problème : WinRAR n’a pas de système de mise à jour automatique. Ça veut dire que les 500 millions d’utilisateurs dans le monde doivent aller manuellement télécharger et installer la nouvelle version. Combien vont vraiment le faire ? On peut parier que dans 6 mois, 90% des gens auront toujours la version vulnérable.
D’ailleurs, c’est pas la première fois que WinRAR se fait avoir cette année. En juin 2025, une autre faille critique CVE-2025-6218 avec un score CVSS de 7.8 permettait l’exécution de code à distance. Et il y a aussi eu la CVE-2025-31334 qui permettait de contourner le Mark of the Web, cette protection Windows qui vous avertit quand vous ouvrez un fichier téléchargé d’Internet.
Les chercheurs en sécurité qui ont analysé les attaques RomCom ont découvert que le groupe cible principalement des organisations gouvernementales et militaires en Ukraine et dans les pays de l’OTAN. Selon Security Affairs, les attaquants utilisent des leurres très élaborés, comme de faux documents sur des exercices militaires ou des rapports de renseignement.
Le malware RomCom lui-même est une saloperie bien rodée. Une fois installé, il peut voler vos identifiants, enregistrer vos frappes clavier, faire des captures d’écran, et même activer votre webcam. Les hackers peuvent aussi l’utiliser comme point d’entrée pour déployer d’autres malwares, notamment des ransomwares qui chiffrent tous vos fichiers.
C’est quand même couillon cette absence totale de mise à jour automatique dans WinRAR. On est en 2025, et même ma cafetière se met à jour toute seule ! Alors comment un logiciel aussi répandu peut encore fonctionner comme dans les années 90 ? RARLAB justifie ça en disant qu’ils veulent éviter de “déranger” les utilisateurs. Mais là, le dérangement c’est de se faire pirater parce qu’on n’a pas pensé à vérifier manuellement les mises à jour.
Pour vous protéger, c’est simple mais chiant… Allez sur le site officiel de WinRAR (attention aux faux sites), téléchargez la version la plus récente, et installez-la par-dessus votre ancienne version. Vérifiez bien dans le menu Aide que vous avez la bonne version après installation. Et surtout, méfiez-vous des archives RAR que vous recevez par email ou que vous téléchargez. Si vous avez un doute, utilisez un sandbox ou une machine virtuelle pour les ouvrir.
Les entreprises sont particulièrement à risque parce qu’elles ont souvent des versions anciennes de WinRAR déployées sur des centaines de postes et avec le télétravail, c’est encore pire car les employés utilisent leurs PC perso avec des versions obsolètes pour ouvrir des fichiers pro. C’est la porte ouverte à toutes les fenêtres, comme dirait l’autre !
Bref, encore une fois, c’est souvent les trucs basiques qu’on néglige qui nous font tomber. Faites-vous une faveur et mettez à jour WinRAR maintenant, ou mieux, passez à 7-Zip qui est open source et se met à jour plus régulièrement.
Nous sommes lundi matin, et vous garez votre bagnole dans le parking du boulot…. Et pendant que vous glandouillez devant korben.info avec un petit café, un mec à l’autre bout du monde déverrouille votre caisse, fouille dans vos données perso et suit vos trajet en temps réel. De la science-fiction ? Non, c’était possible jusqu’en février 2025 chez un constructeur automobile majeur qu’on ne nommera pas. Pas parce que je ne veux pas le dire mais parce que son nom a été tenu secret.
Le héros de cette histoire, c’est Eaton Zveare, un chercheur en sécurité chez Harness qui a trouvé LA faille de l’année. Lors de sa présentation au DEF CON 33, il a expliqué comment il a réussi à créer un compte “national admin” sur le portail concessionnaire d’un constructeur. Deux bugs API tout bêtes, et hop, accès total à plus de 1000 concessionnaires américains.
Le code buggé se chargeait directement dans le navigateur quand vous ouvriez la page de connexion et Zveare a juste eu à modifier ce code pour bypasser les contrôles de sécurité. Selon lui, “les deux vulnérabilités API ont complètement fait sauter les portes, et c’est toujours lié à l’authentification”. Bref, le B.A.-BA de la sécurité qui n’était pas respecté, une fois de plus.
Une fois connecté avec son compte admin fantôme, Zveare avait accès à un outil de recherche national complètement dingue. Il suffisait d’entrer un nom ou de relever un numéro VIN sur un pare-brise pour trouver n’importe quel véhicule du constructeur.
Le chercheur a testé ça sur un ami consentant (important, le consentement, hein !) et a transféré la propriété du véhicule sur un compte qu’il contrôlait, et bam, il pouvait déverrouiller la voiture à distance. Le portail demandait juste une “attestation”, en gros, une promesse sur l’honneur que vous êtes légitime. Super sécurisé, n’est-ce pas ?
Ce qui est flippant, c’est que ce n’est pas un cas isolé. Selon les chiffres de 2025, les cyberattaques sur les voitures ont augmenté de 225% en trois ans. 80% des nouvelles voitures ont une connexion internet, et 95% de toutes les voitures fabriquées en 2025 en auront une. Des millions de véhicules Kia et Subaru ont déjà été touchés par des vulnérabilités similaires permettant le contrôle à distance.
Mais le vrai délire, c’était la fonction “impersonation” du portail. Zveare pouvait se faire passer pour n’importe qui sans leurs identifiants et naviguer entre tous les systèmes interconnectés des concessionnaires. De là, c’était open bar : données perso et financières, tracking temps réel de TOUS les véhicules (perso, location, courtoisie, même ceux en livraison), contrôle de l’app mobile… Il pouvait même annuler des livraisons en cours…
Selon SecurityWeek, une vulnérabilité similaire dans le système Starlink de Subaru a été corrigée en 24 heures en novembre 2024. Cette faille permettait de démarrer, arrêter, verrouiller et déverrouiller des véhicules à distance. Le constructeur concerné par la découverte de Zveare a mis une semaine pour corriger les bugs après sa divulgation en février. Ils n’ont trouvé aucune preuve d’exploitation passée, ce qui suggère que Zveare était le premier à découvrir et signaler cette faille béante.
Ce qui est fou, c’est la simplicité du hack. Pas besoin d’être un génie du code ou d’avoir des outils sophistiqués. Juste deux bugs d’authentification mal gérés, et c’est open bar sur les données de milliers de clients et leurs véhicules. Les constructeurs automobiles doivent vraiment se réveiller sur la cybersécurité car avec 84,5% des attaques exécutées à distance et des API mal protégées partout, on est assis sur une bombe à retardement.
La morale de l’histoire c’est que si vous avez une voiture connectée, priez pour que votre constructeur prenne la sécurité au sérieux. Et si vous êtes développeur dans l’automobile, par pitié, sécurisez vos APIs d’authentification. C’est la base !
J’ai découvert ce matin qu’on pouvait maintenant faire tourner un WordPress complet dans un navigateur. Sans serveur. Sans PHP installé. Sans MySQL. Juste votre navigateur et voilà, vous avez un WordPress fonctionnel. Ça s’appelle WordPress Playground et le truc de fou, c’est que tout ça tourne grâce à WebAssembly.
Pour ceux qui ne connaissent pas, WebAssembly c’est cette techno qui permet de faire tourner du code compilé directement dans le navigateur à une vitesse proche du natif. Les mecs de WordPress ont donc carrément compilé PHP en WebAssembly. Selon la documentation officielle, ils utilisent même SQLite à la place de MySQL, avec un driver qui intercepte toutes les requêtes MySQL pour les traduire en SQLite.
Concrètement, vous allez sur playground.wordpress.net, et hop, vous avez un WordPress qui se lance instantanément. Pas d’“installation en 5 minutes” comme avant. C’est direct. Vous pouvez même installer des plugins, des thèmes, créer du contenu, tout ça dans votre navigateur. Et le plus beau c’est que comme tout reste en local dans votre navigateur, et rien n’est envoyé sur un serveur distant.
Les dernières mises à jour ont ajouté un nouveau driver SQLite qui améliore les performances, et maintenant le CLI supporte le montage de votre répertoire de travail, ce qui vous pouvez bosser sur vos fichiers locaux directement depuis WordPress Playground. Plus besoin de jongler entre votre éditeur et un serveur local.
Pour les développeurs, c’est surtout la révolution, car si vous codez un plugin, vous créez un Blueprint (un fichier JSON de configuration) et vous pouvez générer instantanément un environnement de test avec votre plugin préinstallé, des données de démo, et même des utilisateurs de test déjà connectés. La documentation Blueprint explique comment créer ces configurations, et c’est super simple. C’est comme Docker Compose mais pour WordPress, sauf que ça tourne dans le navigateur.
Dans le même genre des trucs cools, il y a l’outil wp-now. Vous êtes dans le dossier de votre plugin ou thème, vous tapez npx @wp-playground/cli server --auto-mount, et vous obtenez un WordPress local qui tourne avec votre code monté automatiquement. Pas d’installation, pas de config Apache, pas de base de données à créer. C’est instantané.
Et puis il y a tout ce qui est démos interactives. Selon WordPress Developer Blog, vous pouvez créer des tutoriels interactifs où les gens peuvent tester votre plugin directement dans leur navigateur. Plus besoin de dire “installez WordPress, puis installez mon plugin, puis configurez ci et ça”. Vous leur envoyez juste un lien avec un Blueprint, et ils ont tout prêt à tester.
Le repository WordPress.org a même commencé à intégrer des previews live pour les plugins. Vous allez sur la page d’un plugin, et au lieu de juste lire la description, vous pouvez le tester direct. Il suffit de créer un fichier blueprint.json dans le dossier assets de votre plugin, et WordPress.org s’occupe du reste.
Pour ceux qui se demandent comment ça marche techniquement, c’est assez balèze. Ils ont un Service Worker qui intercepte toutes les requêtes HTTP et les passe à une instance PHP qui tourne dans un Web Worker séparé. Le PHP est compilé avec Emscripten (l’outil qui convertit du C/C++ en WebAssembly), et ils ont adapté toute la stack pour que ça fonctionne dans le navigateur. Et selon Platform Uno, avec l’arrivée de WASI 0.3, on va avoir des capacités async natives qui vont encore améliorer les performances.
Ce qui est vraiment cool aussi, c’est l’extension VS Code qu’ils ont sortie. Vous codez dans VS Code (ou Cursor pour les hipsters), et vous avez un WordPress Playground intégré directement dans l’éditeur. Ça évite de switcher entre l’éditeur et le navigateur pour tester. Ça change complètement le workflow de développement.
Alors oui, c’est encore expérimental. Oui, il y a des limitations (pas de support pour certaines extensions PHP, pas de persistance longue durée par défaut). Mais franchement, pour du prototypage rapide, des démos, ou même juste pour apprendre WordPress sans se prendre la tête avec l’installation, c’est parfait. Avec ça, vous pouvez même faire dess formations WordPress sans avoir à gérer 30 installations différentes pour vos étudiants.
Les développeurs parlent maintenant de faire tourner WordPress sur l’edge computing, d’avoir des sites WordPress décentralisés, et même de pouvoir développer des plugins depuis votre smartphone. Avec WebAssembly qui devient de plus en plus puissant, c’est vrai qu’on n’est qu’au début de ce qui est possible.
Donc si vous voulez tester, allez direct sur playground.wordpress.net. Et si vous êtes développeur, regardez la doc des Blueprints, c’est vraiment un génial pour créer des environnements de test reproductibles. Comme ça, plus d’excuses pour ne pas tester vos plugins dans toutes les configs possibles maintenant !
– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –
Si vous avez déjà ressenti ce petit pincement au cœur en laissant votre chat ou votre chien seul à la maison, l’Imou Pet Feeder PF1 4L est clairement conçu pour vous. Ce n’est pas juste un distributeur de croquettes, c’est un mélange entre un garde-manger intelligent et un petit agent secret équipé d’une caméra pour garder un œil sur votre compagnon. Je le teste depuis le début de l’été, et ça fonctionne super bien !
Une mangeoire qui pense à tout (et même plus)
Première bonne surprise : son réservoir de 4 litres. Concrètement, ça veut dire jusqu’à trois semaines de tranquillité selon la taille et l’appétit de votre animal. Les croquettes restent au sec, et la distribution est régulière grâce à un système motorisé fiable, protégé contre les bourrages. Si jamais il y a un souci, l’appli vous prévient. Cerise sur la gamelle : l’appareil fonctionne sur secteur, mais aussi sur piles en cas de coupure de courant.
Une caméra 2,5K qui voit tout
Là où l’Imou Pet Feeder se distingue vraiment, c’est avec sa caméra 4 MP intégrée juste au-dessus du bol. Vous avez quatre modes de vision, dont un panoramique à 360°, un mode “bol” pour zoomer sur l’action (comprendre : voir votre chat engloutir ses croquettes), un mode fisheye ultra-large et un mode VR qui permet de bouger le point de vue à la volée. Même de nuit, la qualité reste excellente.
Et comme voir ne suffit pas, vous pouvez aussi parler à votre animal grâce à la communication bidirectionnelle, ou enregistrer un petit message audio qui se déclenche à chaque repas. On est dans la personnalisation totale.
Une application bien pensée
Tout se pilote depuis l’application Imou Life, disponible sur Android et iOS, ultra simple à utiliser. Vous pouvez programmer jusqu’à 15 repas par jour, ajuster la taille des portions au gramme près, déclencher un repas manuellement ou même laisser l’IA décider en fonction des restes détectés dans le bol. Les statistiques sur les habitudes alimentaires sont précises, et un an de stockage cloud est inclus pour revoir photos et vidéos.
Bonus pratique : il accepte des croquettes de 2 à 12 mm, qu’elles soient sèches, lyophilisées ou mélangées. L’entretien est simple grâce à un bol en acier inox amovible et lavable.
C’est absolument génial, c’est fiable, bien équipé, simple à configurer, et surtout rassurant pour vous comme pour lui. On l’adopte sans hésiter. Comptez 120 euros sur Amazon.
Bon, vous m’avez demandé que je démêle le vrai du faux dans cette histoire de Firefox qui se transforme en aspirateur à batterie, alors allons-y. Je vous spoile quand même, c’est à la fois pire et moins grave que ce qu’on raconte ^^.
D’abord, parlons de cette solution miracle que personne ne vous donne dans les articles alarmistes. Ouvrez about:config, cherchez browser.tabs.groups.smart.enabled et mettez-le à false. Pareil pour browser.ml.chat.enabled. Voilà, problème réglé. Il y a même une ribambelle d’autres paramètres liés si vous voulez vraiment tout virer mais attendez avant de tout désactiver, laissez-moi vous expliquer ce qui se passe vraiment.
Alors oui, Firefox 141 s’est vu ajouter des groupes d’onglets assistés par IA qui peuvent automatiquement regrouper vos tabs selon leur contenu. Et oui, plusieurs utilisateurs se sont plaints sur Reddit de voir leur CPU grimper en flèche et leur batterie fondre comme neige au soleil. Apparemment, le coupable serait un processus appelé “Inference” qui gère toute cette magie IA en local.
Mais, non, Mozilla ne vous espionne pas avec cette IA car tout le traitement se fait sur votre machine. Rien, absolument rien n’est envoyé dans le cloud. C’est d’ailleurs pour ça que ça bouffe autant de ressources… C’est votre pauvre ordinateur qui fait tout le boulot tout seul.
Maintenant, le problème technique que personne n’explique vraiment c’est que Mozilla a choisi d’utiliser le format ONNX de Microsoft au lieu du format GGUF. Pour faire simple, GGUF est spécialement optimisé pour faire tourner de l’IA sur CPUavec une meilleure quantization, tandis qu’ONNX est plus généraliste. Donc c’est pas optimal mais plus adapté à un logiciel qui sert à plein de choses comme Firefox.
Firefox essaie ainsi de rattraper Chrome et Edge qui ont déjà leurs propres fonctionnalités IA, mais en y allant avec les pieds dans le plat. L’idée de regrouper automatiquement les onglets n’est pas mauvaise en soi et le système peut même suggérer d’autres onglets à ajouter au groupe basé sur le contenu. C’est super pratique sur le papier, mais c’est la cata en pratique si votre machine n’est pas une bête de course.
Les problèmes de conso batterie de Firefox ne datent pas d’hier et cette controverse IA vient juste s’ajouter à une longue liste de plaintes sur la consommation excessive du navigateur. Certains utilisateurs rapportent même que chaque mise à jour empire la situation mais sans le prouver avec des benchmarks ou des mesures fiables. Tout ceci c’est un peu des retours au feeling et la grande méchante IA, c’est juste la goutte d’eau qui fait déborder le vase.
Mozilla a déjà eu des controverses avec l’IA en début d’année avec des changements de conditions d’utilisation qui avaient fait flipper tout le monde. Ils avaient alors dû clarifier qu’ils n’utilisaient pas les données des utilisateurs pour entraîner des modèles. Mais cette fois, c’est différent, car l’IA tourne bien en local, mais elle bouffe vos ressources au passage.
Donc ce que je peux vous dire c’est que toute cette controverse est à moitié justifiée. OUI, les fonctionnalités IA de Firefox 141 peuvent effectivement faire exploser votre consommation CPU et vider votre batterie mais NON, ce n’est pas une catastrophe universelle. Ça dépend juste de votre config et de votre usage. Si vous avez 50 onglets ouverts sur un laptop de 2018, oui, vous allez souffrir. Si vous avez une machine récente et que vous utilisez Firefox normalement, vous ne remarquerez peut-être même pas la différence.
Le vrai problème en fait, c’est que Mozilla a activé ces nouvelles fonctionnalités par défaut sans vraiment prévenir les utilisateurs ni optimiser correctement le code. Ils auraient pu utiliser GGUF, ils auraient pu rendre ça opt-in, ils auraient pu mieux communiquer. Mais au lieu de ça, ils ont balancé ça dans une mise à jour et maintenant ils se prennent une volée de bois vert.
Alors, que faire ?
Et bien si vous avez des problèmes de performance, désactivez les fonctions IA via about:config. Et si vous voulez tester mais que vous trouvez ça trop gourmand, attendez quelques versions, car Mozilla finira probablement comme d’hab par optimiser tout ça.
Et fuck Chrome et tous ses dérivés ! (Oui c’était gratuit !)
Connexion
