❌

Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraĂźchir la page.
Aujourd’hui — 13 aoĂ»t 2025Flux principal

MkEditor - L'éditeur Markdown que personne n'attendait

Par : Korben
12 août 2025 à 16:16

Moi, j’adore quand quelqu’un fabrique un truc juste parce qu’il en a envie, sans business plan, sans pitch deck, sans lever de fonds. Juste un dev, son clavier, et l’envie de crĂ©er.

Et bien c’est exactement ce qui s’est passĂ© avec MkEditor, et ça fait du bien !

Le crĂ©ateur de MkEditor (qui se dĂ©crit lui-mĂȘme comme “un peu timide pour partager ses crĂ©ations”) a passĂ© plusieurs annĂ©es Ă  maintenir cet Ă©diteur Markdown qui respecte les specs CommonMark.

Pourquoi ?

Et bien pas pour concurrencer Obsidian ou Typora. Pas pour devenir la prochaine licorne de la tech. Non, non, juste parce qu’il voulait comprendre comment VSCode fonctionnait en dĂ©tail. Et ce qu’il nous a pondu, c’est un Ă©diteur qui utilise Monaco Editor de Microsoft, le mĂȘme moteur qui fait tourner VSCode.

Alors oui, on va me dire “mais Korben, il existe dĂ©jĂ  50 Ă©diteurs Markdown”. C’est vrai et ces Ă©diteurs ont su se rendre incontournables pour les dĂ©veloppeurs et les Ă©quipes. Obsidian cartonne avec son graph view, Typora fait toujours rĂȘver avec son rendu en temps rĂ©el. Mais MkEditor a quelque chose de diffĂ©rent : Il ne cherche pas Ă  rĂ©volutionner quoi que ce soit. Il fait juste trĂšs bien ce qu’il fait.

L’outil embarque des fonctionnalitĂ©s plutĂŽt sympas. D’abord, vous avez un split screen redimensionnable avec synchronisation du scroll entre l’éditeur et la preview. Ensuite, des raccourcis clavier personnalisables pour formater votre texte ou insĂ©rer des blocs de code. Et il y a mĂȘme de l’autocomplĂ©tion pour les langages dans les code blocks, exactement comme dans VSCode.

Ce qui est bien pensĂ© aussi, c’est l’export HTML. Vous pouvez comme ça gĂ©nĂ©rer du HTML brut ou une version stylĂ©e avec Bootstrap et FontAwesome directement injectĂ©s dans le <head>. Pratique quand vous voulez partager un document qui a de la gueule sans vous prendre la tĂȘte avec le CSS. Les paramĂštres sont configurables soit via l’interface, soit directement dans un fichier settings.json pour les puristes du terminal.

Le truc cool aussi, c’est qu’il y a la palette de commandes de VSCode. Vous tapez Ctrl+Shift+P (ou Cmd+Shift+P sur Mac) et boom, vous avez accùs à toutes les commandes. Pour ceux qui vivent dans VSCode, c’est comme retrouver ses pantoufles.

Et si vous ne voulez pas installer l’application desktop (disponible en Electron pour Windows, Linux et macOS), vous pouvez tester directement la version web en cliquant ici. Pas de compte Ă  crĂ©er, pas de donnĂ©es Ă  fournir, vous arrivez et vous Ă©crivez. C’est chouette non, Ă  une Ă©poque oĂč chaque app veut votre mail, votre 06 et votre groupe sanguin.

Le dĂ©veloppeur l’avoue lui-mĂȘme dans son post
 il a créé MkEditor juste parce qu’il en avait envie, sans cas d’usage particulier, juste pour le plaisir de construire quelque chose. C’est cette philosophie qui rĂ©sume tout ce que j’aime dans l’open source.

Le projet est donc sur GitHub si vous voulez contribuer ou juste jeter un Ɠil au code. Le dev accepte les feedbacks et les rapports de bugs, toujours avec cette modestie qui caractĂ©rise les vrais artisans du code.

Alors non, MkEditor ne va pas dĂ©trĂŽner les gĂ©ants du Markdown et il ne va pas lever 10 millions (enfin, quoique, on ne sait jamais dans la vie
). Il n’aura peut-ĂȘtre mĂȘme pas sa propre confĂ©rence annuelle, mais il existe, il fonctionne bien, et il est gratuit.

Hier — 12 aoĂ»t 2025Flux principal

Pavel Zhovner et le Flipper Zero - L'histoire du hacker qui a créé le Tamagotchi du pentest

Par : Korben
12 août 2025 à 13:37
Cet article fait partie de ma sĂ©rie de l’étĂ© spĂ©cial hackers. Bonne lecture !

Bon, vous connaissez sans doute le Flipper Zero, ce petit boĂźtier orange qui ressemble Ă  un Tamagotchi sous stĂ©roĂŻdes et qui fait flipper Amazon, le Canada et Ă  peu prĂšs tous les responsables sĂ©curitĂ© de la planĂšte. Mais connaissez-vous vraiment l’histoire dingue de Pavel Zhovner, le mec qui a créé ce truc ?

Allez, c’est parti, je vais tout vous raconter !!

L’histoire commence Ă  Odessa, en Ukraine, oĂč le jeune Pavel Zhovner grandit avec une obsession maladive : Comprendre comment fonctionnent les trucs. Pas juste les comprendre superficiellement façon notice IKEA, mais aller au fond des choses, dĂ©cortiquer, analyser, reconstruire. C’est le genre de gamin qui dĂ©monte le grille-pain familial “pour voir” et qui finit avec 12 piĂšces en trop au remontage. DiplĂŽmĂ© de l’UniversitĂ© Polytechnique Nationale d’Odessa, Pavel se dĂ©crit lui-mĂȘme avec une phrase qui rĂ©sume tout : “Depuis mon enfance, j’aime explorer les choses autour de la nature, de la technologie et des humains”. Oui, des humains aussi.

Mais attention, Pavel refuse catĂ©goriquement le terme “hacker”. Il prĂ©fĂšre “nerd”, qu’il trouve plus honnĂȘte. Du coup, cette distinction n’est pas anodine car elle rĂ©vĂšle une philosophie qui imprĂ©gnera plus tard tout le projet Flipper Zero Ă  savoir la transparence, l’honnĂȘtetĂ©, et le refus des Ă©tiquettes faciles. Parce que bon, entre nous, “hacker” ça fait tout de suite film hollywoodien avec des mecs en capuche qui tapent frĂ©nĂ©tiquement sur un clavier dans le noir. Alors que “Nerd”, c’est plus
 authentique.

Avant de devenir le CEO de Flipper Devices et de terroriser les gouvernements du monde entier avec son dauphin orange, Pavel n’était pas un inconnu dans le monde de la tech underground. En 2017, face aux blocages internet imposĂ©s en Ukraine (merci Poutine), il crĂ©e Zaborona.help, un service VPN gratuit pour contourner la censure. Le projet, entiĂšrement open source sur GitHub, utilise OpenVPN avec des serveurs multiples et propose mĂȘme un script d’installation automatique pour Windows. C’était dĂ©jĂ  la marque de fabrique de Pavel : CrĂ©er des outils accessibles pour donner du pouvoir aux utilisateurs face aux restrictions imposĂ©es par les couillons au pouvoir.

Mais le vrai game changer dans la vie de Pavel, c’est sa rencontre avec le Moscow Neuron Hackspace. En 2011, aprĂšs avoir assistĂ© au Chaos Communication Congress Ă  Berlin (le Burning Man des hackers, mais avec plus de LED et moins de hippies), Alexander Chemeris dĂ©cide d’importer le concept de hackerspace en Russie. Il faudra deux ans pour construire une communautĂ© solide, mais Moscow Neuron Hackspace finit par voir le jour, installĂ© au Đ„ĐŸŃ…Đ»ĐŸĐČсĐșĐžĐč пДр 7/9 стр. 2, au cƓur de Moscou. L’adresse est imprononçable, mais l’endroit Ă©tait mythique.

C’est lĂ  que Pavel Zhovner prend les rĂȘnes et devient responsable du hackerspace. Entre 2013 et 2015, des universitaires sont mĂȘme venus observer ces nerds dans leur habitat naturel, comme des gorilles des montagnes, dans le cadre d’une Ă©tude ethnographique. Neuron devient alors un espace alternatif pour l’industrie IT crĂ©ative et l’entrepreneuriat startup, loin des initiatives Ă©tatiques pourries comme Skolkovo (le Silicon Valley russe, mais en nul). On y organise des confĂ©rences TEDx en anglais pour faire chier les autoritĂ©s, des ateliers sur les rĂ©seaux sociaux, on apprend Ă  construire des robots qui servent Ă  rien mais qui sont cool, on expĂ©rimente avec l’impression 3D avant que tout le monde sache ce que c’est.

Neuron n’est pas qu’un simple makerspace oĂč des barbus soudent des trucs random. C’est un lieu de rĂ©sistance culturelle, un espace qui promeut “la confiance, le partage de connaissances et l’échange de compĂ©tences” selon l’étude acadĂ©mique (qui utilisait beaucoup de mots compliquĂ©s pour dire “des mecs cool qui s’entraident”). Pavel y dĂ©veloppe sa vision oĂč la technologie doit ĂȘtre accessible, comprĂ©hensible, hackable. C’est dans cet environnement bouillonnant de crĂ©ativitĂ© et de cafĂ© instantanĂ© qu’il rencontre alors Alex Kulagin.

Alexander Kulagin, diplĂŽmĂ© du prestigieux MEPhI (Institut de Physique et d’IngĂ©nierie de Moscou, l’endroit oĂč l’URSS formait ses gĂ©nies du nuclĂ©aire), apporte une expertise hardware cruciale. Entrepreneur IT avec plus de 5 ans d’expĂ©rience dans le dĂ©veloppement hardware et la production de masse, il devient le COO (Chief Operations Officer) de ce qui deviendra Flipper Devices. LĂ  oĂč Pavel est le visionnaire philosophe qui part dans des dĂ©lires mĂ©taphysiques sur la nature du hacking, Alex, lui, est le pragmatique qui sait transformer les idĂ©es en produits manufacturables sans faire exploser l’usine.

Alex et Pavel (Image IA)

Dans une interview, Kulagin explique leur vision commune : “Nous avons conçu l’appareil comme un outil de recherche et d’éducation pour tester la vulnĂ©rabilitĂ© des technologies quotidiennes qui nous entourent, souvent celles auxquelles vous n’auriez jamais pensĂ© qu’elles pouvaient ĂȘtre dangereuses.” Genre votre porte de garage qui s’ouvre avec un signal radio basique qu’un gamin de 12 ans pourrait copier. Ou votre badge de bureau qui utilise une techno des annĂ©es 90.

Le choix du dauphin comme mascotte n’est pas anodin non plus. “Nous avons dĂ©cidĂ© que le personnage principal serait un dauphin dĂšs le dĂ©but”, explique Kulagin. “Notre dauphin est excentrique, queer, enthousiaste mais simple et gentil en mĂȘme temps. Nous voulions crĂ©er un personnage avec qui vous auriez envie d’ĂȘtre ami.” Et puis soyons honnĂȘtes, un dauphin c’est moins menaçant qu’un requin ou qu’un logo de tĂȘte de mort


2019, Pavel se balade avec l’arsenal classique du pentester dans son sac Ă  dos
 Il est bien Ă©quipé  adaptateurs WiFi, lecteurs NFC, SDR, Proxmark3, HydraNFC, Raspberry Pi Zero. Le truc, explique-t-il c’est que “Tous ces appareils ne sont pas faciles Ă  utiliser en dĂ©placement surtout quand vous avez une tasse de cafĂ© dans une main ou que vous faites du vĂ©lo”. Et c’est vrai que sortir un Proxmark3 dans le mĂ©tro pour tester une carte de transport, ça fait tout de suite trĂšs louche.

Il expĂ©rimente alors avec un Raspberry Pi Zero W pour automatiser les interactions AirDrop dans le mĂ©tro de Moscou (pour envoyer des memes aux gens, Ă©videmment), mais le rĂ©sultat est catastrophique : “Les pointes de soudure dĂ©chiraient le tissu de mon pantalon”. Ses tentatives de boĂźtiers imprimĂ©s en 3D sont tout aussi dĂ©cevantes
 Bref, ça ressemblait plus Ă  un projet d’école primaire qu’à un outil de hacking sĂ©rieux.

Le dĂ©clic arrive quand un Tamagotchi Friends original de Bandai lui tombe entre les mains. Pavel dĂ©couvre que ces appareils sont encore produits et vendus en 2019. Mais qui achĂšte encore des Tamagotchi en 2019 ??? Et c’est lĂ  que l’idĂ©e germe dans sa tĂȘte. Et si on combinait le cĂŽtĂ© ludique et attachant du Tamagotchi avec les capacitĂ©s d’un outil de pentest sĂ©rieux ? Un truc qu’on peut sortir dans un cafĂ© sans qu’on appelle les flics.

AprĂšs avoir utilisĂ© le pwngotchi (un projet de Tamagotchi AI pour le hacking WiFi), Pavel rĂ©alise qu’il en fait qu’il veut, je cite “Un appareil qui apportera simultanĂ©ment de la joie au format Tamagotchi, serait esthĂ©tiquement similaire aux consoles de jeux rĂ©tro et serait assez mĂ©chant pour hacker tout autour”. En gros, une Game Boy qui peut ouvrir des portes.

Pavel tweete alors son idĂ©e et ses amis designers produit, ceux qui “font des trucs Ă©lectroniques sĂ©rieux” (comprendre : pas des bricolages avec de la colle chaude), lui suggĂšrent de crĂ©er un appareil fini, au lieu de se lancer dans un bricolage DIY fait maison avec “une vraie production en usine et des piĂšces de qualitĂ©â€. Bref, arrĂȘte de jouer avec ton fer Ă  souder dans ton garage et fais un vrai produit.

C’est donc le dĂ©but de l’aventure Flipper Zero et Pavel et Alex se lancent dans le dĂ©veloppement des premiers prototypes. Le nom “Flipper” vient du dauphin cybernĂ©tique du film Johnny Mnemonic avec Keanu Reeves et le concept c’est un dauphin virtuel qui vit dans l’appareil et Ă©volue au fur et Ă  mesure que son propriĂ©taire interagit avec lui, se fĂąchant quand il n’est pas utilisĂ© frĂ©quemment. C’est un Tamagotchi, mais pour hackers.

Mais dĂ©trompez-vous, le Flipper Zero n’est pas qu’un gadget mignon qui fait bip-bip. C’est une prouesse technique basĂ©e sur un microcontrĂŽleur STM32WB55 Ă  double cƓur ARM. Un Cortex-M4 Ă  64 MHz pour le firmware principal (le cerveau) et un Cortex-M0 Ă  32 MHz pour le Bluetooth Low Energy (le moulin Ă  paroles). Avec 256 KB de RAM et 1 MB de stockage Flash, c’est suffisant pour faire tourner un systĂšme complet. C’est Ă©videmment moins puissant que votre smartphone, mais c’est exactement ce qu’il faut.

L’écran est un LCD monochrome rĂ©tro avec rĂ©troĂ©clairage orange de 128×64 pixels. “Au lieu des Ă©crans modernes TFT, IPS ou OLED, nous avons dĂ©libĂ©rĂ©ment choisi un cool LCD old-school”, explique l’équipe et comme sur les vieux tĂ©lĂ©phones monochromes Nokia 3310 et les Tamagotchi, l’écran est toujours allumĂ©. Rassurez-vous, la batterie ne se vide en 3 heures comme sur votre iPhone.

Les capacitĂ©s radio sont aussi impressionnantes pour un truc de la taille d’un paquet de clopes. Il est Ă©quipĂ© d’une antenne 125 kHz en bas pour lire les cartes de proximitĂ© basse frĂ©quence (vos vieux badges de bureau), d’un module NFC intĂ©grĂ© (13.56 MHz) pour les cartes haute frĂ©quence (cartes de transport, badges modernes), d’une puce CC1101 avec antenne multi-bande pour une portĂ©e jusqu’à 50 mĂštres (portails, alarmes de voiture), d’infrarouge pour contrĂŽler les appareils domestiques (bye bye la tĂ©lĂ©commande perdue), et de GPIO pour se connecter Ă  des modules externes (pour les vrais nerds).

Puis le 30 juillet 2020, la campagne Kickstarter est lancĂ©e avec un seul objectif : RĂ©colter 60 000 dollars. Et le rĂ©sultat est au delĂ  de toutes leurs espĂ©rance puisque c’est exactement 4 882 784 dollars qui seront rĂ©coltĂ©s auprĂšs de 37 987 contributeurs en seulement 30 jours. C’est 8138% de l’objectif initial. Du dĂ©lire total.

Quand Pavel et Alex regardent les compteurs, ils se regardent, mi-excitĂ©s, mi-terrifiĂ©s. “Comment on va produire tout ça ?” La rĂ©ponse : avec beaucoup de cafĂ© et pas mal de crises de panique.

La communautĂ© est plus qu’excitĂ©e, elle est en Ă©bullition totale. Et sur les forums, certains s’inquiĂštent dĂ©jĂ  : “Devoir soudainement produire 8000% de votre objectif de production d’ici une date prĂ©dĂ©finie ressemble Ă  un cauchemar.” Et ils avaient raison. Pavel et Alex se retrouvent alors face Ă  un dĂ©fi monumental : transformer un projet de hackerspace en une entreprise capable de produire prĂšs de 40 000 unitĂ©s. Et tout cela en pleine pandĂ©mie de COVID-19. C’est lĂ  que le fun commence vraiment.

2021-2022, c’est l’enfer sur terre. La pĂ©nurie mondiale de puces frappe de plein fouet. Le fournisseur taĂŻwanais Sitronix annonce une pĂ©nurie continue de puces 7565R. Toutes les commandes passĂ©es avant juin 2021 sont retardĂ©es. Pire, ils suspendent temporairement toutes les nouvelles commandes. C’est la merde totale.

L’équipe doit alors redesigner l’électronique et les PCB plusieurs fois pour remplacer les composants introuvables. Un cauchemar d’ingĂ©nierie surtout que les composants de puissance deviennent l’objet de spĂ©culation sauvage, pire que les cartes PokĂ©mon. Un convertisseur de tension passe de 0,50$ Ă  10,70$, un chargeur de batterie BQ25896RTWR devient littĂ©ralement impossible Ă  acheter. Y’a aucun stock chez TI, DigiKey ou Mouser. C’est le Far West des composants Ă©lectroniques.

L’équipe cherche alors des stocks dans des entrepĂŽts alternatifs, chez de petits fournisseurs louches car ils refusent de payer 20 fois le prix normal par principe. La production est alors fragmentĂ©e : les boĂźtiers plastiques dans une usine en Chine, l’électronique dans une autre en Europe de l’Est. Et coordonner tout ça pendant les perturbations de la chaĂźne d’approvisionnement est un cauchemar logistique qui ferait pleurer un responsable Amazon.

MalgrĂ© tout, ils commencent Ă  expĂ©dier en janvier 2022. Mi-2022, 90% des commandes Kickstarter sont expĂ©diĂ©es. C’est un miracle dans ce contexte de “l’une des plus grandes crises du marchĂ© des composants Ă©lectroniques des derniĂšres dĂ©cennies”. D’autres projets Kickstarter de la mĂȘme Ă©poque n’ont toujours pas livrĂ©.

Mais dĂšs le dĂ©but, Pavel et Alex on adoptĂ© la tactique de la transparence et de l’ouverture maximales. Tout le code est sur GitHub sous licence GPLv3, y’a pas de bullshit propriĂ©taire, pas de DRM, pas de fonctionnalitĂ©s bloquĂ©es derriĂšre un paywall. Et cette approche attire une communautĂ© massive.

Des firmwares alternatifs apparaissent comme des champignons aprĂšs la pluie : Unleashed (firmware dĂ©bloquĂ© avec support des rolling codes pour les vrais mĂ©chants), RogueMaster (le plus cutting-edge avec les derniĂšres fonctionnalitĂ©s communautaires), Momentum (continuation officielle d’Xtreme aprĂšs son arrĂȘt). La philosophie est claire
 pas de paywall, pas d’apps propriĂ©taires. “Chaque build a toujours Ă©tĂ© et sera toujours gratuit et open source”, proclament les dĂ©veloppeurs d’Unleashed. Respect.

Comme je vous le disais, le dauphin du Flipper Zero n’est pas qu’une mascotte mignonne pour faire joli. L’équipe lui a donnĂ© une personnalitĂ© complexe : il “a des opinions politiques de gauche, Ă©coute de la techno, et n’a pas d’identitĂ© de genre prononcĂ©e”. C’est une dĂ©claration politique subtile mais claire sur les valeurs de l’entreprise. Un dauphin woke, en somme. Et cette personnalitĂ© se reflĂšte dans les interactions car le dauphin s’énerve si vous ne l’utilisez pas, il Ă©volue avec vos hacks, il a ses humeurs. C’est un compagnon numĂ©rique avec du caractĂšre, et pas un simple assistant style Alexa qui rĂ©pond “DĂ©solĂ©, je n’ai pas compris”.

Nous sommes maintenant en fĂ©vrier 2022. La Russie envahit l’Ukraine. Pavel Zhovner est ukrainien et plus de 10% de l’équipe Flipper Devices est ukrainienne. La dĂ©cision est alors immĂ©diate et radicale : Plus aucune livraison vers la Russie, plus aucun recrutement en Russie, et une aide active pour faire sortir tous les employĂ©s russes du pays, avec un dĂ©mĂ©nagement du siĂšge Ă  Londres. C’est efficace et c’est surtout un positionnement politique fort pour une entreprise tech qui aurait pu fermer sa gueule et continuer Ă  vendre. Flipper Devices n’a plus rien Ă  voir avec la Russie.

Puis en 2023, le Flipper Zero devient viral sur TikTok. Des vidĂ©os montrent des utilisateurs qui ouvrent les ports de charge des Tesla (vĂ©ridique), Ă©teignent les menus Ă©lectroniques des fast-foods (hilarant), changent les prix sur les pompes Ă  essence (illĂ©gal), dĂ©verrouillent des voitures (parfois). Les vidĂ©os accumulent des millions de vues. “Je ne m’attendais pas Ă  ce que ça marche 😭”, titre l’une d’elles montrant l’ouverture d’une Tesla.

Mais la rĂ©alitĂ© est plus nuancĂ©e car la plupart des vidĂ©os sont probablement mises en scĂšne ou nĂ©cessitent une prĂ©paration significative. Les attaques dĂ©montrĂ©es ne fonctionnent que contre des systĂšmes primitifs ou mal protĂ©gĂ©s. Votre Tesla Model 3 est tranquille. Votre vieille Clio de 1998, peut-ĂȘtre un peu moins.

Puis en avril 2023, Amazon bannit le Flipper Zero, le classifiant comme “appareil de skimming de cartes”. L’ironie c’est que toutes les annonces sur Amazon Ă©taient de toute façon des revendeurs non officiels vendant des contrefaçons chinoises, et pas Flipper Devices directement.

La rĂ©action de Pavel et Alex est brillante car ils transforment alors cet obstacle en opportunitĂ© en crĂ©annt leur propre rĂ©seau de distribution. Le bannissement devient un argument marketing pour la libertĂ© technologique et le “Amazon nous a bannis” devient un badge d’honneur. L’effet Streisand joue Ă  plein tube et chaque nouvelle interdiction gĂ©nĂšre une couverture mĂ©diatique qui fait dĂ©couvrir l’appareil Ă  de nouveaux publics. Merci Amazon et les autres shop pour la pub gratuite !

En fĂ©vrier 2024, le Canada annonce son intention de bannir le Flipper Zero, invoquant une vague de vols de voitures. Le problĂšme, c’est qu’aucun vol de voiture connu Ă  cette Ă©poque, n’implique un Flipper Zero. C’est comme bannir les cuillĂšres parce que quelqu’un s’est noyĂ© dans sa soupe. Car techniquement, le Flipper Zero ne peut pas dĂ©marrer une voiture moderne. Il peut capturer et rejouer certains signaux, mais c’est plus compliquĂ© que ce qu’on croit. Bref, tout ceci n’est qu’un cas classique de panique morale technologique, comme quand les parents pensaient que Doom allait transformer leurs enfants en tueurs en sĂ©rie ou que le tĂ©lĂ©chargement illĂ©gal ou l’IA va tuer la crĂ©ation et les artistes.

La rĂ©ponse cinglante de Flipper Devices ne se fait pas attendre : ils pointent l’absurditĂ© de bannir un outil Ă  169$ qui ne peut pas faire ce dont on l’accuse, pendant que de vrais outils de vol de voitures (genre les programmeurs de clĂ©s Ă  5000$) circulent librement sur eBay


Les rĂ©sultats financiers de Flipper Devices sont stupĂ©fiants pour une entreprise sans investisseurs, sans VCs vampires, sans bullshit corporate : 2021 - 5 millions de dollars de revenus. 2022 - 25 millions de dollars. 2023 - 80 millions de dollars avec 500 000 unitĂ©s vendues en cette annĂ©es lĂ . Soit une croissance de 1500% en deux ans, entiĂšrement organique. Comme je vous le disais, pas de VCs, pas de dilution. Juste le crowdfunding initial et des ventes. “C’est du capitalisme old school” : tu vends un produit, tu fais du profit, tu rĂ©investis. Point.

Le business model est d’une simplicitĂ© dĂ©sarmante. Un prix fixe d’environ 169 dollars (pas de Flipper Zero Pro Max Ultra Ă  500$), des marges confortables grĂące Ă  la production en volume, une distribution directe. Pas de versions multiples pour embrouiller les clients, pas de segmentation marketing. Un produit unique qui fait tout. Apple pourrait apprendre.

2024, aprĂšs trois ans de dĂ©veloppement intensif, la version 1.0 du firmware sort enfin. Les nouveautĂ©s sont importantes : support JavaScript pour crĂ©er des apps sans connaĂźtre le C (pour les noobs), systĂšme NFC complĂštement réécrit avec systĂšme de plugins, autonomie d’un mois en veille (mange-toi ça Apple Watch), transfert Bluetooth 2x plus rapide avec Android, support des apps tierces dynamiques. C’est l’aboutissement de trois ans de travail acharnĂ©, mais aussi un nouveau dĂ©part. Car la v1.0 n’est pas une fin, c’est une nouvelle base pour la communautĂ©.

Plus de 500 000 utilisateurs actifs, des centaines de repositories sur GitHub et tout autant d’apps communautaires, c’est ça, le vrai succĂšs du Flipper Zero. La communautĂ© dĂ©veloppe des usages crĂ©atifs inattendus comme de l’émulation de cartes d’hĂŽtel pour tester la sĂ©curitĂ© (ou entrer dans sa chambre bourrĂ©), analyse de protocoles propriĂ©taires d’équipements mĂ©dicaux (ça fait peur !), reverse engineering de jouets connectĂ©s (pourquoi pas), ou encore audit de sĂ©curitĂ© de systĂšmes domotiques (votre frigo connectĂ© est vulnĂ©rable).

Le repository awesome-flipperzero liste des centaines de ressources, projets, et modifications. C’est un Ă©cosystĂšme vivant qui dĂ©passe largement ce que Pavel et Alex avaient imaginĂ©. Comme Linux, mais en plus fun. Et l’équipe ne s’arrĂȘte pas au device de base puisque des modules additionnels sortent rĂ©guliĂšrement comme un module WiFi pour l’analyse rĂ©seau (pour hacker le WiFi du voisin lĂ©galement), une carte SD pour stocker plus de donnĂ©es (tous vos dumps de cartes), des modules GPIO custom pour des projets spĂ©cifiques (pour les vrais malades). Une collaboration avec Raspberry Pi est mĂȘme annoncĂ©e pour de nouveaux modules hardware. Le Flipper Zero devient une plateforme, pas juste un gadget.

Dans une interview, Alex Kulagin explique leur vision : “Pour moi, le Flipper Zero est un lanceur d’alerte pour les systĂšmes de sĂ©curitĂ© du monde qui reposent sur de la technologie vieille, mĂ©diocre et facilement hackable. [
] Ce que Flipper apporte, c’est la prise de conscience que, les gars, ce truc n’est pas sĂ©curisĂ©. Si quelque chose peut ĂȘtre hackĂ© par un jouet Ă  100$, c’est peut-ĂȘtre trop vieux.”

Et cette philosophie guide tout. Le Flipper Zero n’est pas conçu pour les criminels - ils ont dĂ©jĂ  des outils bien plus puissants et ne vont pas attendre qu’un dauphin orange arrive sur Kickstarter. Non, il est conçu pour les chercheurs en sĂ©curitĂ©, les Ă©tudiants, les curieux afin de dĂ©mocratiser la comprĂ©hension de la sĂ©curitĂ© et surtout pour montrer que la sĂ©curitĂ© par l’obscuritĂ©, c’est de la merde.

Bien sĂ»r, tout n’est pas rose dans le monde merveilleux du dauphin orange. Des voix s’élĂšvent pour critiquer le Flipper Zero : “C’est un outil pour les script kiddies”, “Ça facilite le hacking malveillant”, “Les vidĂ©os TikTok encouragent des comportements illĂ©gaux”
etc. Alors l’équipe rĂ©pond patiemment


Sur leur blog, ils expliquent que la majoritĂ© des fonctions peuvent ĂȘtre rĂ©pliquĂ©es avec un smartphone et 10$ d’équipement sur AliExpress. Que les vrais criminels n’attendaient pas le Flipper Zero. Que l’éducation Ă  la sĂ©curitĂ© passe par la comprĂ©hension pratique. VoilĂ , c’est comme interdire les cours de serrurerie parce que ça pourrait former des cambrioleurs.

Le Flipper Zero a changĂ© la perception du hacking hardware car ce n’est plus rĂ©servĂ© Ă  une Ă©lite technique avec des outils coĂ»teux et un PhD en Ă©lectronique. C’est accessible, ludique, mais sĂ©rieux. Des universitĂ©s l’utilisent pour enseigner la sĂ©curitĂ© (MIT, Stanford, mĂȘme la Sorbonne s’y met). Des entreprises l’achĂštent pour auditer leurs systĂšmes (cheaper than a consultant). Des hobbyistes dĂ©couvrent le monde du hardware hacking (et arrĂȘtent de jouer Ă  Candy Crush).

Le design “toy-like” brise les barriùres psychologiques car les gens n’ont pas peur d’un Tamagotchi orange. Ils sont curieux, ils veulent comprendre. Et c’est exactement ce que voulaient Pavel et Alex à savoir rendre le hacking moins intimidant, plus accessible. Mission accomplie !!

Dans un tweet rĂ©cent, Pavel avoue que “C’est encore difficile Ă  croire. Je n’aurais jamais pu imaginer que le projet Flipper Zero atteindrait cette taille.” Et les dĂ©fis sont encore nombreux du genre comment rester fidĂšle Ă  l’esprit hacker en devenant mainstream ? Comment naviguer les rĂ©gulations sans compromettre les fonctionnalitĂ©s ? Comment scaler sans perdre l’ñme du projet et finir comme Arduino (RIP) ?

Les projections pour 2024-2025 suggĂšrent un dĂ©passement des 100 millions de revenus mais l’argent n’est pas le but. “Je crois en l’open source”, rĂ©pĂšte Pavel. “Le projet sera complĂštement ouvert.” Pas de vente Ă  Microsoft ou Google, pas d’IPO foireuse, pas de transformation en corporation sans ame.

C’est de l’authenticitĂ© pure et ça paye car Pavel et Alex n’ont jamais cachĂ© leurs intentions, leurs valeurs, leurs difficultĂ©s. C’est cette transparence qui a créé une confiance inĂ©branlable avec la communautĂ©. Et c’est surtout une preuve que l’open source n’est pas incompatible avec le succĂšs commercial. 80 millions de dollars de revenus avec tout le code sur GitHub, c’est la preuve que le modĂšle fonctionne, contrairement Ă  ce que racontent certains.

Et les contraintes crĂ©ent l’innovation
 la pĂ©nurie de composants, les bannissements, les controverses
 chaque obstacle a Ă©tĂ© transformĂ© en opportunitĂ©. Surtout que la communautĂ© est plus importante que le produit. Ce Flipper Zero ne serait rien sans ses 500 000 utilisateurs qui crĂ©ent, partagent, innovent. Sans oublier que le design compte autant que les fonctionnalitĂ©s
 c’est un dauphin mignon qui a quand mĂȘme rendu le pentest accessible au grand public.

Je ne l’aurais pas cru Ă  l’époque. Et l’équipe tease rĂ©guliĂšrement de nouveaux appareils en laissant entendre que d’autres produits sont en dĂ©veloppement. Mais rassurez-vous, la vision reste la mĂȘme. DĂ©mocratiser la comprĂ©hension de la technologie tout en donnant aux gens les outils pour comprendre et contrĂŽler leur environnement numĂ©rique.

C’est une mission qui dĂ©passe largement le Flipper Zero.

Pavel Zhovner et Alex Kulagin ont créé plus qu’un gadget. Ils ont créé un mouvement. Un mouvement qui dit que la technologie ne devrait pas ĂȘtre une boĂźte noire. Comme Phil Zimmermann avec PGP, ils ont mis un outil puissant entre les mains du peuple. Et comme Zimmermann, ils font face Ă  l’incomprĂ©hension, aux interdictions, aux controverses. Mais ils tiennent bon.

Le succĂšs du Flipper Zero a Ă©galement inspirĂ© des concurrents tels que HackRF (plus puissant mais moins accessible et coĂ»te un bras), Proxmark (spĂ©cialisĂ© RFID mais moins polyvalent), WiFi Pineapple (focus WiFi mais pas portable), mais aucun n’a la combinaison magique du Flipper, accessible, portable, polyvalent, et surtout, fun.

Le Flipper Zero est surtout devenu un symbole inattendu
 un mĂ©lange de tech ukrainienne innovante (fuck yeah), de rĂ©sistance Ă  la censure technologique, d’innovation hors des grands centres tech amĂ©ricains, et de la possibilitĂ© de succĂšs sans Silicon Valley et ses VCs toxiques. Des gouvernements s’inquiĂštent, des entreprises tremblent
 Et tout ça Ă  cause d’un Tamagotchi créé par deux nerds d’Europe de l’Est.

La crĂ©ativitĂ© de la communautĂ© surprend mĂȘme les crĂ©ateurs. Des vĂ©tĂ©rinaires l’utilisent pour cloner les puces d’animaux perdus, des escape games l’intĂšgrent dans leurs Ă©nigmes, des artistes crĂ©ent des installations interactives, des professeurs l’utilisent pour des dĂ©monstrations de physique. Chaque jour, de nouveaux usages Ă©mergent et c’est la beautĂ© d’un outil vraiment ouvert.

Et leurs plans pour 2025 sont ambitieux avec de nouveaux modules hardware (ça parle d’un module SDR complet), de l’intĂ©gration IA pour l’analyse de protocoles, un marketplace officiel pour les apps, des programmes Ă©ducatifs et une expansion internationale. Mais Pavel insiste “L’important n’est pas ce que nous planifions, mais ce que la communautĂ© crĂ©era.”

Pavel et Alex pensent en dĂ©cennies, pas en trimestres comme les commerciaux car le Flipper Zero doit durer 10 ans minimum (construit pour durer), l’écosystĂšme doit survivre aux fondateurs (immortalitĂ© du projet), la communautĂ© doit s’auto-organiser (dĂ©centralisation), et le projet doit rester pertinent technologiquement (innovation continue). Une vision long terme guide chaque dĂ©cision
 et surtout, pas de quick wins au dĂ©triment de la durabilitĂ©.

Et ce succĂšs a un prix que peu comprennent car Pavel et Alex ont sacrifiĂ© leur anonymat (menaces rĂ©guliĂšres de tous les camps), leur stabilitĂ© (dĂ©mĂ©nagements forcĂ©s, merci la guerre), leur vie privĂ©e (les mĂ©dias sur le dos), et leur tranquillitĂ© (controverses permanentes sur Twitter), mais ils ne regrettent rien. “C’est le prix de changer le monde”, dit Pavel.

Pavel avoue parfois douter : “Sommes-nous lĂ©gitimes ? MĂ©ritons-nous ce succĂšs ?” Le syndrome de l’imposteur frappe mĂȘme aprĂšs 80 millions de revenus mais Alex est plus pragmatique : “On a créé quelque chose dont les gens ont besoin. Le marchĂ© a validĂ©. Point.” Cette tension entre doute et confiance nourrit l’humilitĂ© de l’équipe et il n’y a pas de grosse tĂȘte chez Flipper Devices.

Aujourd’hui, Pavel Zhovner continue de coder depuis Londres et Alex Kulagin nĂ©gocie avec les usines. Le Flipper Zero n’est pas qu’un gadget. C’est un acte de rĂ©sistance et un vent de libertĂ© dans un monde oĂč la tech devient de plus en plus fermĂ©e.

Faudra faire avec !

Sources : LinkedIn - Pavel Zhovner, Hackaday - Why I started Flipper, GitHub - Zaborona.help, Kickstarter - Flipper Zero Campaign, Flipper Blog - Manufacturing Updates, GitHub - Flipper Zero Firmware, Moscow Neuron Hackspace Study, The Birth of Russia’s Hackerspace Movement, Gizmodo - Flipper Zero Interview, Flipper Zero Firmware 1.0, TechCrunch - M Sales, Hackaday - Canada Ban, BleepingComputer - Amazon Ban, Flipper Zero Official, Awesome Flipper Zero

Botasaurus - Le scraper qui rend Cloudflare aussi facile Ă  contourner qu'un CAPTCHA de 2005

Par : Korben
12 août 2025 à 13:21

Hey les scrapers de l’espace lĂ , vous en avez marre de vous battre contre Cloudflare comme si c’était le boss final d’un Dark Souls ? Et bien sĂ»r, vous avez testĂ© Selenium et Playwright mais vos bots se font dĂ©masquer plus vite qu’un menteur Ă  l’AssemblĂ©e Nationale ? Alors ça tombe bien car j’ai trouvĂ© votre nouveau meilleur ami, et il s’appelle Botasaurus.

DerriÚre ce nom de dinosaure se cache un framework Python open source, conçu pour le scraping web moderne. Créé par Omkar Cloud, il promet de faire passer vos bots pour des humains plus vrais que nature.

La premiĂšre chose avec Botasaurus, c’est sa capacitĂ© Ă  contourner les protections anti-bot. Il passe notamment la barriĂšre de Cloudflare avec brio mais pas seulement, puisqu’il gĂšre aussi trĂšs bien PerimeterX, BrowserScan, Fingerprint Bot Detection, et mĂȘme les CAPTCHA Turnstile. Le crĂ©ateur du framework a mĂȘme publiĂ© une vidĂ©o oĂč il contourne tous ces systĂšmes en live. La grande classe !

Concernant Datadome, il semble cependant galĂ©rer encore un peu d’aprĂšs les retours que j’ai eu.

Ce qui dĂ©marque Botasaurus, c’est surtout son approche “humane driver” car au lieu d’utiliser bĂȘtement Selenium ou Playwright, le framework ajoute une couche d’humanisation qui simule des mouvements de souris rĂ©alistes, des temps de pause naturels, et mĂȘme des patterns de navigation qui imitent un vrai utilisateur. Du coup vos bots passent incognito avec du style ^^.

Ce framework permet mĂȘme d’économiser jusqu’à 97% sur les coĂ»ts de proxy. Comment ? Et bien en utilisant des requĂȘtes fetch basĂ©es sur le navigateur au lieu de lancer un navigateur complet pour chaque requĂȘte. C’est malin et ça fait une sacrĂ©e diffĂ©rence sur la facture Ă  la fin du mois.

Pour l’installation, c’est du Python classique :

python -m pip install --upgrade botasaurus

Et voici un exemple simple pour scraper un site :

from botasaurus.browser import browser, Driver

@browser
def scrape_heading_task(driver: Driver, data):
# Visite le site via Google Referrer (pour bypass Cloudflare)
driver.google_get(data['url'])

# RécupÚre le texte du titre
heading = driver.get_text('h1')

return {"heading": heading}

# Lance le scraping
scrape_heading_task()

Ce dĂ©corateur @browser gĂšre automatiquement tout le setup du navigateur, les anti-dĂ©tections, et mĂȘme la sauvegarde des rĂ©sultats en JSON. Comme ça, pas besoin de se prendre la tĂȘte avec la configuration.

Et pour les cas oĂč vous avez besoin de contourner du Cloudflare plus agressif, il suffit d’ajouter un paramĂštre comme ceci :

driver.google_get(url, bypass_cloudflare=True)

D’aprùs les benchmarks de ScrapingAnt, Botasaurus est plus furtif qu’undetected-chromedriver et puppeteer-stealth. C’est dire le niveau de sophistication atteint.

Un autre point fort de Botasaurus, c’est Ă©galement la possibilitĂ© de transformer votre scraper en application desktop. En une journĂ©e, vous pouvez crĂ©er une app pour Windows, Mac et Linux avec une interface graphique complĂšte. C’est gĂ©nial, car ça vous Ă©viter d’expliquer Ă  vos clients comment lancer un script Python. Ils ont juste une app sur laquelle double-cliquer.

Le framework inclut aussi un serveur web intĂ©grĂ© qui permet de crĂ©er une UI pour vos scrapers comme ça, avec quelques lignes de JavaScript, vous pouvez dĂ©finir des formulaires d’input, des filtres, des exports en CSV/Excel, et mĂȘme une API REST pour intĂ©grer votre scraper ailleurs.

Ce framework brille donc particuliĂšrement pour tout ce qui est :

  • Les sites avec protection Cloudflare basique Ă  modĂ©rĂ©e
  • Le scraping local ou sur VPS avec peu de volume
  • La crĂ©ation rapide de scrapers avec UI
  • Les projets oĂč l’anti-dĂ©tection prime sur la performance pure

Par contre, pour du scraping massif Ă  grande Ă©chelle ou contre des protections enterprise ultra-sophistiquĂ©es, vous devrez probablement combiner Botasaurus avec d’autres outils ou services.

Bref, c’est à tester !

Des chercheurs font pousser un cerveau humain de poche

Par : Korben
12 août 2025 à 10:12

Vous savez quel est le pire cauchemar d’un labo pharmaceutique ? C’est investir des milliards dans un mĂ©dicament qui fonctionne parfaitement sur les souris pour finalement dĂ©couvrir qu’il est totalement inutile chez l’humain.

Bon, visiblement ça arrive dans 96% des cas pour les mĂ©dicaments neuropsychiatriques selon les donnĂ©es de Johns Hopkins BME. Un taux d’échec qui ferait pĂąlir n’importe quel crĂ©ateur de founder. Mais voilĂ  qu’une Ă©quipe de chercheurs vient peut-ĂȘtre de trouver la solution en faisant pousser
 des cerveaux humains miniatures.

C’est l’équipe d’Annie Kathuria Ă  Johns Hopkins qui a rĂ©ussi ce truc assez fou. Ils ont créé le tout premier organoĂŻde cĂ©rĂ©bral complet, le MRBO (Multi-Region Brain Organoid), qui intĂšgre toutes les rĂ©gions majeures du cerveau humain. Pas juste un bout de cortex comme avant hein, mais un vrai petit cerveau avec ses vaisseaux sanguins rudimentaires et son activitĂ© neurale. La bestiole fait 6 Ă  7 millions de neurones ce qui comparĂ© Ă  votre cerveau qui en contient des dizaines de milliards, est ridicule, mais c’est dĂ©jĂ  suffisant pour reproduire l’activitĂ© d’un cerveau fƓtal de 40 jours.

Pour y parvenir, il utilisent une technique d’assemblage oĂč au lieu d’essayer de tout faire pousser d’un coup, ils cultivent sĂ©parĂ©ment les diffĂ©rentes rĂ©gions cĂ©rĂ©brales et les vaisseaux sanguins dans des boĂźtes de Petri, et ensuite, ils utilisent des protĂ©ines collantes qui font office de “superglue biologique” pour assembler le tout comme un puzzle 3D. Une fois collĂ©s ensemble, les tissus commencent alors naturellement Ă  crĂ©er des connexions et Ă  produire de l’activitĂ© Ă©lectrique coordonnĂ©e.

Ce qui est dingue c’est que cet “‘organoĂŻde” conserve environ 80% des types cellulaires qu’on trouve dans un cerveau humain en dĂ©veloppement prĂ©coce. Les chercheurs ont mĂȘme observĂ© la formation d’une barriĂšre hĂ©mato-encĂ©phalique primitive, cette couche protectrice qui filtre ce qui peut ou ne peut pas entrer dans le cerveau. D’aprĂšs ScienceDaily, c’est une premiĂšre mondiale qui pourrait transformer radicalement la recherche mĂ©dicale.

Mais alors pourquoi c’est si rĂ©volutionnaire ? Et bien ça permettrait de “faire de la science” sur du tissu cĂ©rĂ©bral humain sans toucher Ă  un seul patient. Pour les maladies comme la schizophrĂ©nie, l’autisme ou Alzheimer qui affectent l’ensemble du cerveau et pas juste une rĂ©gion isolĂ©e, c’est donc un game-changer total.

En France, le CNRS a annoncĂ© le lancement du programme PEPR MED-OoC dĂ©but 2025. C’est un projet Ă  48 millions d’euros sur six ans pour dĂ©velopper la mĂ©decine personnalisĂ©e avec les organoĂŻdes. Co-dirigĂ© par le CEA, l’Inserm et le CNRS, ce programme vise Ă  crĂ©er des modĂšles biologiques personnalisĂ©s et rĂ©duire l’expĂ©rimentation animale.

L’application la plus prometteuse c’est Ă©videmment la mĂ©decine sur-mesure. En gros, on prĂ©lĂšve vos cellules, on fait pousser un mini-vous cĂ©rĂ©bral, et on teste dessus quel traitement marchera le mieux pour VOTRE cerveau spĂ©cifique. Plus de loterie thĂ©rapeutique, plus de “on va essayer ça et voir si ça marche”. Cette approche permet dĂ©jĂ  d’étudier la microcĂ©phalie, les troubles du spectre autistique et mĂȘme les effets du virus Zika sur le dĂ©veloppement cĂ©rĂ©bral.

D’ailleurs, ça marche dĂ©jĂ  pour d’autres organes. Une Ă©quipe chinoise a rapportĂ© en 2024 les rĂ©sultats d’un essai clinique oĂč ils ont transplantĂ© des Ăźlots pancrĂ©atiques dĂ©rivĂ©s de cellules souches chez un patient diabĂ©tique de type 1. Du coup, sevrage complet de l’insuline en 75 jours avec une HbA1c normalisĂ©e Ă  5%. Alors si on peut faire la mĂȘme chose avec les troubles neurologiques, c’est le jackpot mĂ©dical !

Bon, maintenant avant que vous ne flippiez en mode Black Mirror, je vous rassure, ces mini-cerveaux ne sont pas conscients. L’AcadĂ©mie nationale de mĂ©decine insiste bien lĂ -dessus !! Toutes les activitĂ©s cellulaires observĂ©es ne peuvent pas ĂȘtre assimilĂ©es Ă  des processus cognitifs, sensoriels ou moteurs. C’est juste du tissu biologique qui rĂ©agit, et pas un ĂȘtre pensant miniature.

Pour les chercheurs, ces organoĂŻdes sont surtout une alternative Ă©thique gĂ©niale car au lieu de tester sur des animaux (avec des rĂ©sultats souvent non transposables) ou d’attendre des annĂ©es pour des essais cliniques risquĂ©s, ils peuvent maintenant observer en temps rĂ©el comment une maladie se dĂ©veloppe et tester immĂ©diatement si un traitement fonctionne. Ça me fait penser aussi Ă  cet ordinateur biologique dont j’ai parlĂ© il y a quelques semaines


Ce qui est fou, c’est qu’on n’est qu’au dĂ©but de tout ça ! Et les applications potentielles sont Ă©normes car ça va nous permettre de comprendre pourquoi certains cerveaux dĂ©veloppent des maladies neurodĂ©gĂ©nĂ©ratives et d’autres non, mais aussi de crĂ©er des banques d’organoĂŻdes pour tester massivement de nouvelles molĂ©cules, ou mĂȘme de dĂ©velopper des thĂ©rapies prĂ©ventives personnalisĂ©es avant l’apparition des symptĂŽmes.

Alors oui, faire pousser des cerveaux en labo, ça peut sembler dystopique et je sais que certains d’entre vous sont déçus parce qu’ils espĂ©raient une greffe ^^, mais quand on voit le potentiel pour soigner des maladies aujourd’hui incurables, c’est plutĂŽt de l’espoir en boĂźte
 de Petri.

Et avec les investissements massifs en France et aux États-Unis, on peut parier que d’ici quelques annĂ©es, votre mĂ©decin pourra tester ses prescriptions sur votre jumeau cĂ©rĂ©bral miniature avant de vous les donner.

SynoCommunity - Transformez votre NAS Synology avec ces outils en ligne de commande

Par : Korben
12 août 2025 à 09:51

Si vous possĂ©dez un NAS Synology et que vous aimez mettre les mains dans le cambouis, faut absolument que vous lisiez cet article. Car vous avez dĂ©jĂ  forcement connu ce moment hyper frustrant oĂč vous voulez juste lancer un nano ou un htop sur votre NAS et
 rien ? En effet, le terminal Synology est plutĂŽt spartiate de base. Heureusement, SynoCommunity vient Ă  votre rescousse avec ses packages SynoCli qui permet d’ajouter de nouveaux outils indispensables sur votre NAS.

Alors SynoCommunity, c’est donc une communautĂ© open source qui maintient plus de 130 packages tiers pour Synology DSM. Des applications comme Transmission, SickRage, ou mĂȘme Home Assistant, mais aujourd’hui, j’aimerai surtout qu’on se concentre sur leurs 7 packages SynoCli qui regroupent plus de 110 outils en ligne de commande. Ça va vous permettre d’installer tout un arsenal d’utilitaires Linux d’un seul coup, sans vous prendre la tĂȘte avec les compilations croisĂ©es.

La beautĂ© du truc, c’est que tout passe par le Package Center de votre Synology. Pas besoin de SSH, pas de risque de casser votre systĂšme, et surtout, tout reste proprement gĂ©rĂ© par DSM. Si vous mettez Ă  jour votre NAS ou que vous voulez dĂ©sinstaller, tout se fait proprement.

Bon, trĂȘve de blabla, passons maintenant aux choses sĂ©rieuses : ✹l’installation✹.

D’abord, il faut ajouter le dĂ©pĂŽt SynoCommunity Ă  votre Package Center. Pour cela, connectez-vous Ă  votre DSM, allez dans le Package Center, puis dans les ParamĂštres. Et dans l’onglet Sources de paquets, cliquez sur Ajouter et entrez :

Validez, et voilĂ , vous avez maintenant accĂšs Ă  tout le catalogue SynoCommunity dans l’onglet CommunautĂ© de votre Package Center.

Maintenant, cherchez “SynoCli” dans le Package Center. Vous allez alors tomber sur 7 packages diffĂ©rents, chacun ayant sa spĂ©cialitĂ©. Voici ce que contient chaque package :

  • SynoCliNet pour le rĂ©seau : vous avez nmap (l’outil de scan rĂ©seau par excellence), tmux et screen pour gĂ©rer vos sessions SSH, mtr pour diagnostiquer les problĂšmes rĂ©seau, rsync pour vos synchronisations, et mĂȘme sshfs pour monter des systĂšmes de fichiers distants. La version actuelle inclut aussi telnet, whois et dig.
  • SynoCliFile pour la gestion de fichiers : c’est le package star avec nano et micro pour Ă©diter vos fichiers, tree pour visualiser l’arborescence, fzf (le fuzzy finder qui change la vie), ripgrep pour des recherches ultra-rapides, bat (un cat avec coloration syntaxique), et mĂȘme Midnight Commander pour ceux qui ont la nostalgie de Norton Commander. Les derniĂšres versions incluent aussi eza et lsd, des alternatives modernes Ă  ls.
  • SynoCliMonitor pour surveiller votre systĂšme : htop Ă©videmment (parce que top c’est has-been), iotop pour voir qui bouffe votre disque, iperf pour tester votre bande passante, et mĂȘme bandwhich pour visualiser en temps rĂ©el qui utilise votre rĂ©seau. Les amateurs d’SNMP seront ravis de trouver les outils net-snmp inclus.
  • SynoCliDevel pour les dĂ©veloppeurs : automake, autoconf, make, gdb pour dĂ©bugger, pkg-config, et mĂȘme strace pour tracer les appels systĂšme. Parfait si vous voulez compiler des trucs directement sur votre NAS.
  • SynoCliDisk pour gĂ©rer vos disques : testdisk pour rĂ©cupĂ©rer des partitions perdues, ncdu pour voir ce qui prend de la place (en mode interactif), smartmontools pour surveiller la santĂ© de vos disques, et ddrescue si vous devez rĂ©cupĂ©rer des donnĂ©es d’un disque mourant.
  • SynoCliKernel pour les modules kernel : celui-lĂ  est plus spĂ©cialisĂ©, avec des modules pour l’USB sĂ©rie et les tuners TV. Utile si vous branchez des pĂ©riphĂ©riques exotiques sur votre NAS.
  • SynoCliMisc pour tout le reste : bc (la calculatrice en ligne de commande), expect pour automatiser des scripts interactifs, parallel pour parallĂ©liser vos commandes, et plein d’utilitaires issus de util-linux comme lsblk, lscpu, findmnt.

Une fois installés, tous ces outils sont alors accessibles directement depuis le terminal SSH de votre Synology. Pas de PATH à configurer, pas de bibliothÚques manquantes, ça marche direct.

Petite astuce quand mĂȘme en passant
 vous n’ĂȘtes Ă©videmment pas obligĂ© d’installer tous les packages. Si vous voulez juste Ă©diter des fichiers et surveiller votre systĂšme, SynoCliFile et SynoCliMonitor suffisent largement. Chaque package fait entre 10 et 50 MB, donc ça reste raisonnable.

Pour DSM 7, attention, selon les dĂ©veloppeurs, certains packages peuvent nĂ©cessiter des adaptations, mais la communautĂ© est active et les mises Ă  jour sont rĂ©guliĂšres. D’ailleurs, si vous upgradez de DSM 6 vers DSM 7, pensez Ă  sauvegarder vos configurations avant. Ce qui est cool avec SynoCommunity surtout, c’est que tout est open source. Vous pouvez aller voir le code sur GitHub, contribuer si vous voulez, ou mĂȘme crĂ©er vos propres packages avec leur framework spksrc. C’est une vraie communautĂ© de passionnĂ©s qui maintiennent ça sur leur temps libre.

Bref, si vous utilisez votre Synology pour autre chose que du stockage basique, ces packages SynoCli sont indispensables. Ça transforme votre NAS en vĂ©ritable serveur Linux, avec tous les outils dont vous avez besoin pour administrer, dĂ©velopper, et dĂ©bugger
 Comme ça, plus besoin d’installer Entware ou de bricoler avec ipkg/opkg. Tout est propre, maintenu, et intĂ©grĂ© Ă  DSM.

Alors oui, vous pourriez compiler tout ça vous-mĂȘme, mais pourquoi se compliquer la vie quand une communautĂ© entiĂšre le fait dĂ©jĂ  pour vous ? En plus, avec le systĂšme de packages Synology, vous pouvez installer/dĂ©sinstaller/mettre Ă  jour en un clic, sans risquer de casser votre systĂšme.

VoilĂ , maintenant votre NAS Synology n’a plus aucune excuse pour ne pas avoir tous les outils CLI dont vous rĂȘvez.

Puis c’est quand mĂȘme plus classe de faire un htop dans un terminal que de regarder le Resource Monitor dans l’interface web, non ?

Uxn - La machine virtuelle de 100 lignes qui fait tourner des apps sur votre Game Boy

Par : Korben
12 août 2025 à 09:33

C’est l’histoire d’un couple d’artistes dĂ©veloppeurs qui largue les amarres pour vivre sur un voilier dans le Pacifique Nord. Pas de connexion internet stable, pas d’électricitĂ© illimitĂ©e, juste l’ocĂ©an et quelques panneaux solaires


C’est dans ces conditions que Devine Lu Linvega et Rek Bell de 100 Rabbits ont créé Uxn, une machine virtuelle qui tient en 100 lignes de C et qui fait tourner des applications graphiques complĂštes sur Ă  peu prĂšs n’importe quoi, de votre vieille Game Boy Advance Ă  votre Raspberry Pi Pico.

Le truc vraiment gĂ©nial avec Uxn, c’est qu’elle ne prend que 64KB en RAM. Pour vous donner une idĂ©e, c’est environ 65 000 fois moins que ce que Chrome bouffe juste pour afficher cette page. Et pourtant, avec ces 64KB, vous pouvez faire tourner un Ă©diteur de texte complet, un logiciel de dessin, un environnement de livecoding musical, et mĂȘme des jeux comme Oquonie ou Donsol.

Sorcellerie me direz-vous ? Et bien non, c’est tout à fait possible en revenant aux fondamentaux de l’informatique et en appliquant les principes du permacomputing.

L’idĂ©e du permacomputing, c’est de crĂ©er des systĂšmes informatiques rĂ©silients et durables. Au lieu de racheter un nouveau PC tous les 3 ans parce que le dernier Windows rame, vous crĂ©ez des logiciels qui tourneront encore dans 20 ans sur le matĂ©riel d’aujourd’hui. C’est une philosophie qui maximise la durĂ©e de vie du hardware et minimise la consommation Ă©nergĂ©tique. Et Uxn incarne parfaitement cette approche.

Pour programmer sur Uxn, vous devez utilise Uxntal, un langage assembleur basĂ© sur une stack machine avec notation postfixe. Par exemple, au lieu d’écrire 3 + 4, vous Ă©crivez 3 4 +. Ça peut paraĂźtre bizarre au dĂ©but, mais c’est redoutablement efficace. Et contrairement Ă  ce qu’on pourrait penser, Uxntal supporte mĂȘme des concepts avancĂ©s comme les fonctions lambda et la programmation fonctionnelle.

Ce qui est vraiment cool avec cet OS, c’est sa portabilitĂ©. Le mĂȘme fichier ROM Uxn peut tourner sur votre PC Linux avec SDL2, sur une Nintendo DS, sur un navigateur web, sur DOS, sur une PlayStation Vita, et mĂȘme sur des trucs complĂštement barrĂ©s comme un tĂ©lĂ©typographe ou un STM32. C’est exactement comme les ROMs des vieilles consoles en fait
 Vous crĂ©ez votre programme une fois, et il tourne partout oĂč il y a un Ă©mulateur Uxn.

Les applications disponibles sont d’ailleurs impressionnantes. Il y a Left, un Ă©diteur de texte graphique, Noodle qui permet de dessiner, Orca qui est un environnement de livecoding pour crĂ©er de la musique, Nasu qui Ă©dite des sprites, Turye qui crĂ©e des polices de caractĂšres. Et tout ça dans des fichiers de 10 Ă  15KB maximum.

L’écosystĂšme Uxn est aussi super accessible pour les dĂ©veloppeurs. La documentation sur GitHub liste des dizaines d’émulateurs, d’outils et de tutoriels. Il y a mĂȘme des compilateurs comme Dotal et Funktal qui permettent d’écrire dans des langages de plus haut niveau et de compiler vers Uxntal. La communautĂ© est aussi trĂšs active sur IRC (#uxn sur libera.chat) et Discord, et les workshops d’introduction sont excellents pour dĂ©buter.

Maintenant, pour installer Uxn sur votre machine, c’est super simple. Sur Linux, vous installez SDL2 (sudo apt install libsdl2-dev sur Ubuntu), vous tĂ©lĂ©chargez l’émulateur, et vous lancez vos ROMs. Vous pouvez mĂȘme dĂ©velopper directement sur Uxn avec Bicycle, un REPL interactif, ou Dexe, un Ă©diteur hexadĂ©cimal.

Ce que j’adore avec Uxn, c’est que ça remet en question tout ce qu’on considĂšre comme acquis dans le dĂ©veloppement moderne. On n’a pas besoin de 8GB de RAM et d’un framework JavaScript de 500MB pour faire une calculatrice. On peut crĂ©er des outils puissants et Ă©lĂ©gants avec des contraintes extrĂȘmes. Et le fait que tout ça vienne de deux personnes vivant sur un bateau, alimentĂ©es par de l’énergie solaire, ça rajoute une dimension poĂ©tique au projet.

Donc si vous cherchez une alternative radicale Ă  la course Ă  la puissance, si vous voulez explorer ce qu’on peut faire avec des systĂšmes minimaux, ou si vous ĂȘtes juste curieux de voir comment on peut faire tenir un OS complet dans moins de mĂ©moire qu’une photo Instagram, Uxn vaut vraiment le dĂ©tour.

Car parfois, c’est bon d’en enlever un peu pour retrouver l’essentiel.

De Conti Ă  Chaos - La dynastie criminelle qui refuse de mourir

Par : Korben
12 août 2025 à 09:24

Cet article fait partie de ma sĂ©rie de l’étĂ© spĂ©cial hackers. Bonne lecture !

Vous savez ce qui me fascine avec les gangs de ransomware ? C’est leur capacitĂ© Ă  renaĂźtre de leurs cendres comme des phƓnix. L’opĂ©ration Checkmate vient de frapper BlackSuit le 24 juillet dernier, saisissant 4 serveurs, 9 domaines .onion et rĂ©cupĂ©rant 1,09 million de dollars en crypto, mais instantanĂ©ment, les cybercriminels ont dĂ©jĂ  mutĂ© en “Chaos”, leur nouvelle identitĂ© lancĂ©e en fĂ©vrier dernier. Trop fort ! Ils avaient anticipĂ© le coup !

Pour comprendre l’ampleur de ce bordel, il faut remonter Ă  mai 2022. À cette Ă©poque, le gang Conti, ces tarĂ©s qui avaient attaquĂ© le Costa Rica et dĂ©clarĂ© leur soutien Ă  la Russie dans la guerre en Ukraine, implose complĂštement. Un insider balance 60 GB de leurs conversations internes sur Twitter. On y dĂ©couvre alors tout : leurs mĂ©thodes, leurs cibles, leurs comptes Bitcoin, mĂȘme leurs conversations WhatsApp oĂč ils parlent de leurs gosses et de leurs vacances. Du jamais vu !

Mais ces mecs sont malins et plutĂŽt que de disparaĂźtre, ils se fragmentent en plusieurs groupes. D’abord Quantum en janvier 2022, qui teste les eaux avec le ransomware ALPHV/BlackCat. Puis Royal en septembre 2022, qui dĂ©veloppe son propre encrypteur Zeon. Et enfin BlackSuit en juin 2023, juste aprĂšs avoir mis la ville de Dallas Ă  genoux. À chaque mutation, ils perfectionnent leurs techniques et augmentent leurs tarifs. C’est l’évolution darwinienne version cybercrime !

L’attaque de Dallas en mai 2023, c’est leur chef-d’Ɠuvre. Ils paralysent complĂštement la ville : services d’urgence 911 hors service, tribunaux fermĂ©s, administration municipale KO. Les flics doivent revenir aux rapports papier, les ambulances naviguent avec des cartes routiĂšres, c’est le chaos total. Royal demande 60 millions de dollars de rançon ! La ville refuse de payer mais les dĂ©gĂąts sont estimĂ©s Ă  plus de 8,5 millions. C’est lĂ  qu’ils dĂ©cident alors de se “rebrander” en BlackSuit
 Trop de chaleur mĂ©diatique, j’imagine


Et surtout mes amis, l’ampleur des dĂ©gĂąts est incroyable. Depuis 2022, BlackSuit et Royal ont touchĂ© plus de 450 organisations amĂ©ricaines, extorquant 370 millions de dollars selon les estimations du FBI. Mais attention, c’est juste ce qu’on sait ! Les vraies victimes sont probablement le double car beaucoup prĂ©fĂšrent payer en silence plutĂŽt que de voir leurs donnĂ©es exposĂ©es. HĂŽpitaux, Ă©coles, services d’urgence, centrales Ă©lectriques
 ces enfoirĂ©s ciblent spĂ©cifiquement les infrastructures critiques car elles sont plus susceptibles de payer rapidement.

La collaboration internationale pour l’OpĂ©ration Checkmate, c’est du jamais vu dans l’histoire de la cybercriminalitĂ©. 8 pays unis sous la coordination d’Europol : Canada (RCMP), Royaume-Uni (NCA), Allemagne (BKA et le parquet de Francfort), Ukraine (Cyber Police), Lituanie, France (ANSSI), Irlande et les États-Unis Ă©videmment avec ICE, FBI, Secret Service et l’OFAC.

Chacun apporte ses compĂ©tences spĂ©cifiques. Les Allemands du BKA avec leur expertise technique lĂ©gendaire sur l’analyse forensique. Les Ukrainiens avec leur unitĂ© cybercrime qui est devenue ultra performante depuis qu’ils se font attaquer H24 par les Russes. Les Britanniques du NCA avec leur expĂ©rience des rĂ©seaux criminels et leurs infiltrations. Les NĂ©erlandais qui ont fourni l’infrastructure pour coordonner l’opĂ©ration. MĂȘme BitDefender, la boĂźte roumaine de cybersĂ©curitĂ©, Ă©tait dans le coup !

Cisco Talos a alors rapidement identifiĂ© que Chaos prĂ©sente des similitudes troublantes avec BlackSuit. MĂȘmes commandes de chiffrement, mĂȘmes structures de notes de rançon, mĂȘmes outils living-off-the-land (ces techniques qui utilisent les outils lĂ©gitimes Windows pour passer sous les radars). C’est comme si les dĂ©veloppeurs avaient juste fait un Ctrl+H pour remplacer “BlackSuit” par “Chaos” dans leur code.

BlackSuit lui-mĂȘme Ă©tait nĂ© des cendres de Conti. C’est une dynastie criminelle qui remonte Ă  2016 avec Ryuk, puis Conti en 2020, puis la fragmentation en 2022. À chaque fois qu’on les tape, ils reviennent plus forts. C’est l’Hydre de Lerne version 2.0
 tu coupes une tĂȘte, il en repousse deux !

Ce nouveau groupe “Chaos” opĂšre donc dĂ©jĂ  sur le forum criminel russe RAMP (Ransom Anon Market Place). Pour ceux qui connaissent pas, RAMP c’est le LinkedIn des cybercriminels. Créé en juillet 2021 par TetyaSluha (qui s’est rebrandĂ© en “Orange”), c’est LE forum oĂč les gangs de ransomware recrutent leurs affiliĂ©s aprĂšs que les autres forums comme XSS et Exploit les aient bannis suite Ă  l’attaque de Colonial Pipeline.

RAMP, c’est 14 000 membres qui parlent russe, chinois et anglais et pour s’inscrire, faut soit ĂȘtre recommandĂ© par un membre d’XSS ou Exploit avec plus de 2 mois d’anciennetĂ© et 10 messages, soit casquer 500 dollars cash. Ils ont mĂȘme un systĂšme d’escrow façon Silk Road pour garantir les transactions. C’est Amazon pour les criminels, avec des notes et des avis clients !

Chaos propose donc leur ransomware-as-a-service (RaaS) compatible Windows, ESXi, Linux, BSD et NAS. Leur premiĂšre demande connue s’élĂšve Ă  300 000 dollars, mais c’est juste le prix d’entrĂ©e. Pour les grosses entreprises, ça peut monter jusqu’à 60 millions !

Leurs techniques d’infiltration sont diaboliques puisqu’ils combinent :

  • Spam flooding : bombardement d’emails de phishing jusqu’à ce qu’un employĂ© craque
  • IngĂ©nierie sociale par tĂ©lĂ©phone : ils appellent le support IT en se faisant passer pour des employĂ©s
  • Living-off-the-land : utilisation de PowerShell, WMI, et autres outils Windows lĂ©gitimes
  • Supply chain attacks : compromission de fournisseurs pour atteindre les vraies cibles
  • Zero-days achetĂ©s sur Genesis Market : des vulnĂ©rabilitĂ©s inconnues Ă  100 000 dollars piĂšce

Leur spĂ©cialitĂ© ce sont les environnements VMware ESXi. Ces salopards ont compris que si tu chiffres l’hyperviseur, tu paralyses TOUTES les machines virtuelles d’un coup. Plus besoin donc de chiffrer 500 serveurs individuellement. Il suffit d’attaquer l’ESXi et boom, c’est game over. Ils exploitent notamment la CVE-2024-37085 oĂč il suffit de crĂ©er un groupe “ESX Admins” dans l’Active Directory pour avoir les droits admin complets. Du grand art !

Les techniques d’attaque de Chaos sont d’un autre niveau :

  • ClĂ©s de chiffrement individuelles pour chaque fichier (impossible de crĂ©er un dĂ©crypteur universel)
  • Chiffrement optimisĂ© : seulement les premiers 1MB de chaque fichier pour aller plus vite
  • Ciblage des sauvegardes : suppression des snapshots VMware, Volume Shadow Copies, backups Veeam
  • Double extorsion : vol des donnĂ©es avant chiffrement pour faire pression
  • Triple extorsion : DDoS sur le site de la victime si elle refuse de payer

Mais le plus dingue, c’est leur nouveau systĂšme de nĂ©gociation. Ils utilisent pour cela des chatbots IA pour gĂ©rer les discussions avec les victimes ! Plus besoin d’avoir un nĂ©gociateur humain disponible 24/7. L’IA analyse le profil de la victime, adapte le ton, applique des techniques de pression psychologique, et peut mĂȘme nĂ©gocier dans plusieurs langues simultanĂ©ment. C’est ChatGPT au service du crime organisĂ© !

Le chatbot est programmé pour :

  • Offrir une “preuve de vie” en dĂ©chiffrant gratuitement 2 fichiers
  • Augmenter la pression toutes les 24h avec menaces de publication
  • Proposer des “rĂ©ductions” si paiement rapide (technique de vente classique)
  • Menacer de contacter les clients/partenaires de la victime
  • Publier automatiquement 10% des donnĂ©es volĂ©es si pas de rĂ©ponse aprĂšs 72h

Heureusement, l’OpĂ©ration Checkmate a portĂ© un coup sĂ©vĂšre. Les autoritĂ©s ont saisi les serveurs hĂ©bergeant les sites .onion de nĂ©gociation et de leak. Les domaines miroirs ont aussi Ă©tĂ© pris simultanĂ©ment pour Ă©viter toute migration rapide. Les systĂšmes de blanchiment via mixers Bitcoin ont Ă©tĂ© dĂ©mantelĂ©s. MĂȘme les comptes sur les exchanges crypto ont Ă©tĂ© gelĂ©s grĂące Ă  l’OFAC.

Mais bon, le plus inquiĂ©tant dans cette affaire, c’est surtout la rapiditĂ© de la mutation. BlackSuit Ă©tait actif jusqu’au 24 juillet, jour de la saisie. Mais Chaos Ă©tait dĂ©jĂ  opĂ©rationnel depuis fĂ©vrier ! Ces enfoirĂ©s avaient anticipĂ© l’intervention policiĂšre et prĂ©parĂ© leur sortie de secours 5 mois Ă  l’avance. Plusieurs affiliĂ©s de BlackSuit avaient d’ailleurs dĂ©jĂ  migrĂ© vers la nouvelle plateforme, emportant avec eux leurs accĂšs aux rĂ©seaux compromis.

L’impact sur les victimes reste dramatique. Les secteurs de la santĂ© et de l’éducation, dĂ©jĂ  fragilisĂ©s par le COVID et les coupes budgĂ©taires, subissent des pertes moyennes de 800 000 dollars par incident selon les derniĂšres statistiques. Mais c’est rien comparĂ© aux coĂ»ts cachĂ©s :

  • ArrĂȘt d’activitĂ© : 21 jours en moyenne pour un retour Ă  la normale
  • Perte de confiance des clients : -23% de chiffre d’affaires sur 2 ans
  • Frais lĂ©gaux et de notification : 450 000 dollars minimum
  • Augmentation des primes d’assurance cyber : x3 aprĂšs une attaque
  • CoĂ»t de reconstruction from scratch : souvent plus cher que la rançon

Les petites municipalitĂ©s amĂ©ricaines, avec leurs budgets IT dĂ©risoires (genre 50 000 dollars par an pour protĂ©ger toute une ville), deviennent des cibles privilĂ©giĂ©es. Lake City en Floride a payĂ© 460 000 dollars. Riviera Beach a lĂąchĂ© 600 000. LaPorte County dans l’Indiana, 130 000. C’est open bar pour les criminels !

SC Media souligne Ă  juste titre que malgrĂ© cette victoire, le problĂšme reste entier. Tant que le modĂšle Ă©conomique du RaaS reste rentable (les affiliĂ©s touchent 70 Ă  90% des rançons !), de nouveaux groupes continueront d’émerger. La dĂ©centralisation via les cryptomonnaies et les forums du dark web rend ces organisations presque impossibles Ă  Ă©radiquer complĂštement.

Le pire c’est que les gouvernements eux-mĂȘmes alimentent le problĂšme. La NSA dĂ©veloppe des exploits qui finissent sur le marchĂ© noir (coucou EternalBlue et WannaCry). Les services de renseignement achĂštent des zero-days au lieu de les signaler. Et certains pays (on ne citera pas la Russie et la CorĂ©e du Nord) protĂšgent activement ces groupes tant qu’ils ne ciblent pas leurs citoyens.

Bref, cette lutte contre les ransomwares ressemble Ă  un jeu du chat et de la souris infini car mĂȘme si les forces de l’ordre marquent des points importants comme avec Checkmate, les criminels s’adaptent et reviennent sous de nouvelles formes. C’est la version cyber de la guerre contre la drogue
 on arrĂȘte un cartel, trois autres prennent sa place.

Du coup, au risque de rabĂącher, n’oubliez pas que la seule vraie dĂ©fense reste la prĂ©vention :

  • Sauvegardes hors ligne : la rĂšgle 3-2-1 (3 copies, 2 supports diffĂ©rents, 1 hors site)
  • Patchs Ă  jour : 85% des attaques exploitent des vulns connues depuis plus de 2 ans
  • Formation du personnel : 91% des attaques commencent par un email de phishing
  • Segmentation rĂ©seau : limiter la propagation latĂ©rale
  • Plans de rĂ©ponse aux incidents : testĂ©s rĂ©guliĂšrement avec des simulations
  • Cyber-assurance : mais lisez les petites lignes car certaines excluent les “actes de guerre cyber”

Parce qu’au final, ce n’est pas une question de SI vous serez ciblĂ©, mais de QUAND. Les stats sont implacables puisque 71% des organisations ont subi au moins une attaque ransomware en 2024. Et pour les 29% restants
 soit ils mentent, soit ils ne le savent pas encore !

On vit vraiment une Ă©poque formidable oĂč des criminels peuvent paralyser un hosto depuis leur canapĂ© Ă  Moscou tout en nĂ©gociant une rançon Ă  l’aide d’un chatbot IA. À vous de voir maintenant si vous prĂ©fĂ©rez investir dans la prĂ©vention ou financer involontairement le prochain yacht d’un cybercriminel russe


Sources : ICE - Operation Checkmate Takedown, BleepingComputer - Royal and BlackSuit Impact, Cisco Talos - Chaos Ransomware Analysis, SOCRadar - RAMP Forum Analysis, SC Media - Operation Checkmate, TechCrunch - CISA/FBI Advisory

Buttercup - L'IA qui trouve et patche automatiquement les failles de sécurité

Par : Korben
12 août 2025 à 08:51

Ce serait quoi un monde oĂč les bugs de sĂ©curitĂ© se font corriger avant mĂȘme que les hackers ne les trouvent ? Ce serait plus calme non ? J’écrirais moins sur les failles de sĂ©curitĂ© cela dit, mais ça me ferais plus de temps pour chiller dans le hamac. Breeeef, ça va peut-ĂȘtre se produire bientĂŽt car c’est exactement ce que vient de rendre possible Trail of Bits en libĂ©rant Buttercup, leur systĂšme AI qui a dĂ©crochĂ© la deuxiĂšme place et 3 millions de dollars au challenge AIxCC du DARPA.

Et c’est maintenant open source et ça tourne sur votre laptop.

La tendance actuelle c’est une explosion des vulnĂ©rabilitĂ©s
 y’a plus de code produit que jamais, des dĂ©pendances partout, et des hackers de plus en plus organisĂ©s. Donc les Ă©quipes de sĂ©curitĂ© sont dĂ©bordĂ©es et passent leur temps Ă  courir aprĂšs les failles. Heureusement, Buttercup vient inverser complĂštement la donne en automatisant tout le processus, de la dĂ©tection au patch.

Ce qui rend ce systĂšme spĂ©cial, c’est qu’il combine le meilleur des deux mondes. D’un cĂŽtĂ©, les techniques classiques de cybersĂ©curitĂ© comme le fuzzing (bombarder le code avec des entrĂ©es alĂ©atoires pour le faire planter) et l’analyse statique. Et de l’autre, sept agents IA diffĂ©rents qui collaborent pour comprendre le contexte, gĂ©nĂ©rer des patchs et vĂ©rifier qu’ils ne cassent rien d’autre.

Lorsqu’on lui confie une analyse, d’abord, Buttercup lance donc une campagne de fuzzing augmentĂ©e par IA sur votre code. Et au lieu de tester bĂȘtement des entrĂ©es alĂ©atoires, l’IA apprend quels patterns ont le plus de chances de rĂ©vĂ©ler des bugs. Puis, quand une vulnĂ©rabilitĂ© est trouvĂ©e, le systĂšme utilise des outils comme tree-sitter et CodeQuery pour crĂ©er un modĂšle complet du programme et comprendre exactement comment le bug s’intĂšgre dans l’architecture globale.

Et c’est lĂ  que ça devient vraiment intĂ©ressant car les sept agents IA entrent alors en action, avec chacun avec sa spĂ©cialitĂ©. L’un analyse le bug, l’autre gĂ©nĂšre des propositions de patch, un troisiĂšme vĂ©rifie que le patch ne casse pas les tests existants, et ainsi de suite. Ils se coordonnent tous pour produire un patch normalement robuste qui corrige vraiment le problĂšme sans crĂ©er de rĂ©gression.

Pendant la compĂ©tition DARPA Ă  DEF CON 33, Buttercup a impressionnĂ© tout le monde. Le systĂšme a trouvĂ© et patchĂ© des vulnĂ©rabilitĂ©s dans 20 des 25 CWEs les plus dangereux selon MITRE. Et je vous parle de trucs sĂ©rieux : buffer overflows, injections SQL, race conditions
 Trail of Bits a mĂȘme reçu le prix “LOC Ness Monster” pour avoir soumis un patch de plus de 300 lignes qui fonctionnait parfaitement.

Ce qui est fou, c’est qu’ils ont obtenu ces rĂ©sultats en utilisant uniquement des modĂšles IA moins chers, non-reasoning, et pas les gros modĂšles de raisonnement ultra-chers. Ça veut dire que c’est accessible pour des projets normaux, pas seulement pour les gĂ©ants de la tech avec des budgets illimitĂ©s.

L’installation est vraiment simple pour un outil de cette complexitĂ© :

git clone --recurse-submodules https://github.com/trailofbits/buttercup.git
cd buttercup
make setup-local
make deploy-local

Bon, il vous faudra quand mĂȘme 8 cƓurs CPU, 16GB de RAM et environ 100GB d’espace disque. Plus des clĂ©s API pour OpenAI ou Anthropic si vous voulez utiliser les fonctionnalitĂ©s IA. Mais comparĂ© Ă  d’autres outils de sĂ©curitĂ© enterprise, c’est vraiment raisonnable. Rassurez-vous aussi, il est possible de fixer un budget maximum en conso API.

Le systĂšme supporte actuellement le C et le Java, avec une compatibilitĂ© OSS-Fuzz pour s’intĂ©grer facilement dans vos pipelines existants. Il y a mĂȘme une interface web pour monitorer les tĂąches en cours et voir exactement ce que fait le systĂšme.

Ce qui me plaĂźt vraiment dans ce projet, c’est surtout la philosophie derriĂšre car au lieu de garder cette technologie secrĂšte ou de la vendre hyper cher, Trail of Bits a dĂ©cidĂ© de tout libĂ©rer. Ils ont mĂȘme créé une version “laptop-friendly” spĂ©cialement optimisĂ©e pour tourner sur des machines normales, pas juste des clusters de serveurs.

Dans le contexte actuel, c’est une vraie rĂ©volution. Google a par exemple montrĂ© que son IA peut trouver de nouvelles vulnĂ©rabilitĂ©s dans des projets open source majeurs et Meta dĂ©veloppe AutoPatchBench pour standardiser la rĂ©paration automatique. Mais Buttercup est le premier systĂšme complet, de bout en bout, et open source.

Avec cet outil, des projets open source pourrait se patcher automatiquement et les dĂ©veloppeurs pourraient alors se concentrer sur les features au lieu de passer des heures Ă  debugger. Bien sĂ»r, ce n’est pas magique et Buttercup ne remplacera pas les experts en sĂ©curitĂ© mais c’est un outil incroyablement puissant qui peut automatiser la partie la plus rĂ©pĂ©titive et chronophage du travail. Et vu que c’est open source, la communautĂ© peut l’amĂ©liorer, l’adapter Ă  ses besoins, crĂ©er des plugins


Donc, si vous bossez dans le dev ou la sĂ©curitĂ©, allez jeter un Ɠil au GitHub de Buttercup et qui sait, peut-ĂȘtre qu’un jour on regardera en arriĂšre et on se demandera comment on faisait sans IA pour sĂ©curiser notre code.

Bazzite - Le Linux gaming qui enterre Windows sur Steam Deck (et ailleurs)

Par : Korben
12 août 2025 à 08:15

Je viens de dĂ©couvrir un truc qui pourrait bien changer votre façon de jouer sur PC. Ça s’appelle Bazzite et c’est un genre de SteamOS boostĂ© aux stĂ©roĂŻdes compatible avec absolument tout. Oui, mĂȘme votre vieille tour qui prend la poussiĂšre dans un coin.

L’idĂ©e de base est chouette puisqu’il s’agit de prendre Fedora Silverblue, cette distribution Linux “immutable” (en gros, impossible Ă  casser mĂȘme en faisant n’importe quoi), et la transformer en machine de guerre gaming. On obtient alors un OS qui dĂ©marre direct en mode Steam Big Picture si vous voulez, qui supporte le HDR sur AMD, et qui fait tourner vos jeux Windows sans que vous ayez Ă  toucher une seule ligne de commande.

The Verge a testĂ© et apparemment les jeux tournent souvent mieux que sous Windows. C’est plus fluide, moins gourmand en batterie, et y’a zĂ©ro tracas avec les mises Ă  jour foireuses de Microsoft. Forbes va mĂȘme jusqu’à dire que c’est “objectivement meilleur que Windows” sur les consoles portables comme le ROG Ally. Rien que ça.

Car contrairement Ă  SteamOS qui est bloquĂ© sur Steam Deck (et quelques rares configs), Bazzite fonctionne sur pratiquement n’importe quel PC x86 de la derniĂšre dĂ©cennie. Votre laptop gaming, votre tour, votre mini PC branchĂ© Ă  la tĂ©lĂ©, et bien sĂ»r toutes les consoles portables du marchĂ© : Steam Deck, ROG Ally, Legion Go, GPD Win, et j’en passe. D’aprĂšs la documentation officielle, ils supportent mĂȘme les derniĂšres puces AMD 9070 et Strix Halo de 2025, c’est Ă  dire celles que SteamOS ne peut mĂȘme pas faire booter.

Le truc vraiment bien, c’est surtout le systĂšme d’updates atomiques. En gros, chaque mise Ă  jour est une image complĂšte du systĂšme. Si quelque chose foire, vous redĂ©marrez et hop, retour Ă  la version prĂ©cĂ©dente. Fini les soirĂ©es Ă  rĂ©parer un OS cassĂ© par une mise Ă  jour nvidia, surtout que ces mises Ă  jour arrivent toutes les semaines, et pas tous les six mois comme sur SteamOS.

Pour les utilisateurs Steam Deck, c’est donc trĂšs intĂ©ressant car vous gardez le mode Gaming que vous aimez, mais vous gagnez un vrai desktop utilisable avec Wayland (donc un scaling correct sur Ă©cran haute rĂ©solution), le support d’Android via Waydroid pour faire tourner vos apps mobiles, et surtout la possibilitĂ© d’installer ce que vous voulez : Decky Loader, EmuDeck, RetroDECK, tout est disponible dĂšs l’installation.

Le projet est portĂ© par la communautĂ© Universal Blue, des gens qui ont compris que Linux pouvait ĂȘtre simple sans sacrifier la puissance et ils ont créé diffĂ©rentes versions : Deck pour les consoles portables, Desktop avec KDE ou GNOME selon vos prĂ©fĂ©rences, et mĂȘme une version HTPC pour transformer votre PC salon en console de jeu.

Techniquement, tout est basĂ© sur des conteneurs OCI (comme Docker si vous connaissez), ce qui permet d’avoir un systĂšme super stable avec des applications qui tournent dans leur bulle. Et les jeux, ça passe par Steam, Lutris ou Heroic Games Launcher, tous prĂ©installĂ©s. Les codecs propriĂ©taires sont inclus et les drivers Nvidia sont dĂ©jĂ  lĂ  si vous en avez besoin. Y’a mĂȘme le support du ray tracing avec NVK sur les cartes rĂ©centes.

Ce qui est vraiment cool, c’est que vous pouvez tester sans rien casser. Vous gravez l’ISO sur une clĂ© USB, vous bootez dessus, et vous voyez si ça vous plaĂźt. Si c’est le cas, l’installation prend ensuite 20 minutes chrono. Sinon, vous redĂ©marrez sous Windows et on n’en parle plus.

Pour les bidouilleurs, sachez que mĂȘme si le systĂšme est, comme je vous le disais, “immutable”, vous pouvez toujours installer ce que vous voulez via Flatpak (le store Flathub est intĂ©grĂ©), Distrobox pour des environnements isolĂ©s, ou mĂȘme rpm-ostree pour des modifications systĂšme permanentes. C’est le meilleur des deux mondes puisque ça a la stabilitĂ© d’un Chromebook avec la flexibilitĂ© d’un Linux classique.

AprĂšs c’est cool mais c’est pas magique non plus car certains jeux avec anti-cheat ne fonctionneront jamais sous Linux (merci les Ă©diteurs
) et le support VR est encore perfectible. Puis si vous ĂȘtes du genre Ă  avoir besoin d’Adobe Creative Suite ou de logiciels Windows spĂ©cifiques, ça reste du Linux avec ses limitations.

Mais pour du gaming pur, c’est une tuerie. Les performances sont lĂ , la stabilitĂ© aussi, et vous Ă©chappez Ă  toute la tĂ©lĂ©mĂ©trie et les pubs de Windows 11. En plus, avec le kernel fsync modifiĂ© qu’ils utilisent, vous avez accĂšs aux derniĂšres optimisations gaming du noyau Linux.

Donc si vous voulez tenter l’aventure, direction bazzite.gg pour rĂ©cupĂ©rer l’ISO qui correspond Ă  votre matos. L’installation est vraiment simple, et la communautĂ© sur Discord est super active si vous avez des questions.

C’est peut-ĂȘtre la preuve que Linux Desktop c’est peut-ĂȘtre plus uniquement un dĂ©lire de barbu mal sevrĂ© de leur tĂ©tine, mais une vraie alternative crĂ©dible pour le gaming. Donc peut-ĂȘtre mĂȘme que 2025 sera vraiment l’annĂ©e du Linux desktop
 au moins pour les gamers ! (C’est le marronnier de la presse tech, t’as captĂ© ? ^^)

Merci à Newa pour la découverte !

Des scientifiques cachent des codes secrets dans la lumiÚre pour piéger les deepfakes

Par : Korben
12 août 2025 à 07:48

Ce serait cool non, si on pouvait transformer n’importe quelle lampe de bureau en dĂ©tecteur de deepfakes, non ?

Car le problĂšme avec les deepfakes aujourd’hui, c’est qu’on court constamment aprĂšs les faussaires. Ils ont accĂšs aux mĂȘmes vidĂ©os authentiques que nous, aux mĂȘmes outils d’édition ultra-sophistiquĂ©s, et l’IA apprend tellement vite qu’elle produit des faux quasi-indĂ©tectables. Il leur est donc trĂšs facile de reprendre une vraie vidĂ©o et de la trafiquer lĂ©gĂšrement pour manipuler les opinions.

Il faudrait donc une sorte de bouclier anti-manipulation-IA pour empĂȘcher toute manip ultĂ©rieure d’une captation vidĂ©o. Et bien c’est exactement ce que viennent de rĂ©ussir des chercheurs de l’universitĂ© Cornell, et leur technique est brillante
 sans mauvais jeu de mots, vous me connaissez ^^.

Abe Davis, Ă  gauche, professeur adjoint d’informatique au Cornell Ann S. Bowers College of Computing and Information Science, et Peter Michael, Ă©tudiant diplĂŽmĂ©.

Comme l’explique Abe Davis de Cornell : “La vidĂ©o Ă©tait considĂ©rĂ©e comme une source de vĂ©ritĂ©, mais ce n’est plus une hypothĂšse qu’on peut faire”. Donc, plutĂŽt que de jouer Ă©ternellement au chat et Ă  la souris avec la connerie des gens et le talent des faussaires, l’équipe de Cornell a eu une idĂ©e gĂ©niale : Et si on marquait les vidĂ©os dĂšs leur crĂ©ation, avec un code secret planquĂ© dans la lumiĂšre elle-mĂȘme ?

Leur technologie, baptisĂ©e NCI pour “noise-coded illumination”, fonctionne en ajoutant des fluctuations microscopiques Ă  l’éclairage. Ces variations sont totalement invisibles Ă  l’Ɠil nu car votre cerveau les interprĂšte comme du bruit lumineux normal. Mais une camĂ©ra, elle pourra tout capter.

Le truc vraiment cool, c’est que chaque source lumineuse peut avoir son propre code secret comme ça vous pouvez programmer votre Ă©cran d’ordinateur, vos lampes de bureau, mĂȘme l’éclairage d’une salle de confĂ©rence entiĂšre. Et pour les vieilles lampes qui ne sont pas connectĂ©es, une simple puce de la taille d’un timbre-poste suffit Ă  les transformer en watermark lumineux.

Mais ensuite, comment ça dĂ©tecte les fakes ? Et bien c’est lĂ  que ça devient vraiment intĂ©ressant car le watermark enregistre en permanence une version basse rĂ©solution de ce qui se passe sous cet Ă©clairage, avec un horodatage. Les chercheurs appellent ça des “code videos”. Ainsi, quand quelqu’un manipule la vidĂ©o, que ce soit pour insĂ©rer un deepfake, changer la vitesse, ou ajouter des Ă©lĂ©ments, les parties modifiĂ©es ne correspondent plus aux code videos. C’est comme si la lumiĂšre gardait un registre secret de tout ce qui s’est vraiment passĂ©.

Comme ça, si un petit malin essaie de gĂ©nĂ©rer une fausse vidĂ©o avec l’IA Ă  partir d’une vraie vidĂ©o, les code videos ressembleront alors Ă  du charabia alĂ©atoire, ce qui trahira immĂ©diatement la supercherie. Et mĂȘme si le faussaire connaĂźt la technique et arrive Ă  dĂ©coder les codes secrets, il devrait falsifier chaque code video sĂ©parĂ©ment, et s’assurer qu’ils correspondent tous parfaitement entre eux. Autant dire que c’est mission impossible.

Peter Michael, l’étudiant qui a menĂ© les travaux, a prĂ©sentĂ© cette innovation au SIGGRAPH 2025 Ă  Vancouver et les tests sont vraiment impressionnant car la technique rĂ©siste aux compressions vidĂ©o agressives, aux mouvements de camĂ©ra, aux flashs, et fonctionne mĂȘme en extĂ©rieur avec diffĂ©rents tons de peau.

Pendant ce temps, la course Ă  l’armement anti-deepfake continue. Le MIT a son projet Detect Fakes actif depuis 2020. Microsoft a son Video Authenticator qui analyse les pixels pour dĂ©tecter les anomalies. Intel mise sur son FakeCatcher qui atteint 96% de prĂ©cision en dĂ©tectant les variations de flux sanguin dans les vidĂ©os (parce que oui, mĂȘme les meilleurs deepfakes n’arrivent pas encore Ă  reproduire parfaitement les micro-changements de couleur de la peau dus Ă  la circulation sanguine).

Reality Defender, de son cĂŽtĂ©, utilise une approche multi-modĂšle qui n’a pas besoin de watermarks prĂ©alables. Ils analysent images, vidĂ©os, audio et texte en temps rĂ©el pour repĂ©rer les manipulations
 C’est impressionnant, mais ça reste une approche dĂ©fensive qui court aprĂšs les faussaires et n’empĂȘche pas leur “travail”.

Et c’est ça qui rend la solution de Cornell vraiment prometteuse
 C’est parce qu’elle est proactive. Plus besoin d’analyser aprĂšs coup si une vidĂ©o est truquĂ©e puisque la preuve d’authenticitĂ© est encodĂ©e dedans dĂšs le dĂ©part. On pourrait sĂ©curiser comme ça des salles de presse Ă©quipĂ©es de ce systĂšme, des interviews officielles protĂ©gĂ©es par dĂ©faut, ou mĂȘme le siĂšge de l’ONU avec un Ă©clairage anti-deepfake intĂ©grĂ©.

Bien sĂ»r, ce n’est pas la solution miracle et Davis lui-mĂȘme admet que “c’est un problĂšme qui ne va pas disparaĂźtre, et qui va mĂȘme devenir plus difficile” car les faussaires trouveront de nouvelles parades, c’est certain. Mais pour l’instant, cette technologie donne une longueur d’avance cruciale aux dĂ©fenseurs de la vĂ©ritĂ©.

Qui aurait cru qu’on combattrait les deepfakes avec une simple lampe de bureau ??

Source

Quand votre téléphone vibre, les radars écoutent - La nouvelle menace mmWave

Par : Korben
12 août 2025 à 07:22

Vous pensiez sĂ©rieusement que vos conversations tĂ©lĂ©phoniques Ă©taient privĂ©es tant qu’on n’était pas sur Ă©coute. Et bien, j’ai pas une trĂšs bonne nouvelle pour vous
 VoilĂ  que des chercheurs de Penn State ont prouvĂ© qu’un simple radar pouvait transformer les vibrations microscopiques de votre tĂ©lĂ©phone en transcription de vos appels. Y’a pas besoin de pirater quoi que ce soit, juste de pointer un capteur dans votre direction.

Le principe c’est que quand vous tĂ©lĂ©phonez, l’écouteur de votre smartphone produit des vibrations de seulement 7 micromĂštres. C’est tellement infime qu’on ne peut mĂȘme pas le percevoir en tenant le tĂ©lĂ©phone. Pourtant, ces vibrations se propagent dans tout le chĂąssis de l’appareil et crĂ©ent ainsi une signature unique pour chaque son Ă©mis. Selon l’équipe de recherche, leur systĂšme mmWave-Whisper utilise un radar fonctionnant entre 77 et 81 GHz capable de capter ces mouvements invisibles et de les convertir en audio exploitable.

Le systeme mmWave-Whisper

Et ils ont rĂ©ussi Ă  obtenir une trĂšs bonne prĂ©cision de transcription de 44,74% sur les mots et de 62,52% sur les caractĂšres individuels. Ça peut sembler faible, mais mĂȘme avec seulement la moitiĂ© des mots corrects, on peut facilement reconstituer le sens d’une conversation grĂące au contexte. C’est comme lire un message avec des lettres manquantes, votre cerveau va combler automatiquement les trous. Je sais, je sais, y’a des gens qui mĂȘme qui avec un texte complet ne le comprennent qu’à moitiĂ©, mais je vous assure que c’est ce qu’est censĂ© faire le cerveau ^^.

Et cela fonctionne jusqu’à 3 mĂštres de distance et est totalement insensible au bruit ambiant car contrairement Ă  un micro qui capte tous les sons environnants, le radar ne dĂ©tecte que les vibrations du tĂ©lĂ©phone lui-mĂȘme. Vous pourriez ĂȘtre dans un cafĂ© bondĂ©, le systĂšme s’en fiche complĂštement


Suryoday Basak et Mahanth Gowda, les deux chercheurs derriĂšre cette dĂ©couverte, ont adaptĂ© Whisper, le modĂšle de reconnaissance vocale d’OpenAI, pour qu’il puisse interprĂ©ter ces signaux radar. Pour cela, ils ont utilisĂ© une technique appelĂ©e “Low-Rank Adaptation” qui leur a permis de spĂ©cialiser le modĂšle avec seulement 1% de ses paramĂštres modifiĂ©s.

Alors adios notre vie privée ?

Et bien la mauvaise nouvelle c’est que ces radars mmWave sont dĂ©jĂ  partout. On les trouve dans les voitures autonomes, les dĂ©tecteurs de mouvement, les casques VR, et mĂȘme dans certains Ă©quipements 5G. Comme le soulignent plusieurs experts, n’importe quel appareil Ă©quipĂ© de cette technologie pourrait thĂ©oriquement ĂȘtre dĂ©tournĂ© pour espionner des conversations. Donc, imaginez un parking avec des dizaines de voitures rĂ©centes, chacune Ă©quipĂ©e de plusieurs radars mmWave. Bah voilĂ , c’est potentiellement un rĂ©seau d’écoute gĂ©ant qui s’ignore.

Cette recherche s’inscrit dans la continuitĂ© de leur projet mmSpy de 2022, oĂč ils avaient dĂ©jĂ  rĂ©ussi Ă  identifier des mots isolĂ©s avec 83% de prĂ©cision. Mais cette fois, ils sont passĂ©s Ă  un niveau supĂ©rieur en dĂ©chiffrant des phrases complĂštes et des conversations entiĂšres. D’aprĂšs les documents techniques, ils ont mĂȘme gĂ©nĂ©rĂ© des donnĂ©es synthĂ©tiques pour entraĂźner leur systĂšme, contournant ainsi le manque de datasets radar-audio disponibles.

Pour l’instant, cette technologie a ses limites car les mouvements des personnes crĂ©ent des interfĂ©rences (mangez-bougez !!), et la prĂ©cision diminue rapidement avec la distance, mais combien de temps avant que ces limitations soient surmontĂ©es ? Les chercheurs eux-mĂȘmes admettent que leur but est d’alerter sur cette vulnĂ©rabilitĂ© avant que des acteurs malveillants ne l’exploitent. Selon leur publication, ils comparent cette capacitĂ© Ă  lire sur les lĂšvres qui ne capture environ que 30 Ă  40% des mots mais permet quand mĂȘme de suivre une conversation.

Alors, comment s’en protĂ©ger ? Et bien pour l’instant, il n’y a pas vraiment de solution miracle. Utiliser des Ă©couteurs pourrait limiter les vibrations du tĂ©lĂ©phone, mais ce n’est pas une garantie absolue donc la vraie question, c’est de savoir combien de temps il faudra avant que cette technologie soit miniaturisĂ©e au point de tenir dans un stylo ou intĂ©grĂ©e discrĂštement dans des objets du quotidien façon 007.

On ne peut plus se contenter de sĂ©curiser nos communications numĂ©riques, il faut maintenant s’inquiĂ©ter des propriĂ©tĂ©s physiques de nos appareils. Je vous jure, je suis fatiguĂ© :). Les implications pour la sĂ©curitĂ© sont Ă©normes car cette technologie est indĂ©tectable pour le commun des mortels puisque ça ne laisse aucune trace et ne nĂ©cessite aucun accĂšs physique ou numĂ©rique au tĂ©lĂ©phone


Source

Hyundai demande de payer pour sécuriser les Ioniq 5 contre les voleurs à la Game Boy

Par : Korben
12 août 2025 à 00:21

En tant que propriĂ©taire trĂšs heureux d’un Ioniq 5, j’ai failli m’étouffer avec ma Danette au chocolat ce soir en dĂ©couvrant que Hyundai voulait faire payer 65 dollars pour corriger une vulnĂ©rabilitĂ© de sĂ©curitĂ© dans ses voitures. Oui, payer pour ne pas se faire voler sa voiture par des types Ă©quipĂ©s d’un appareil qui ressemble Ă  une vieille Game Boy de Nintendo. C’est dĂ©jĂ  assez rageant de devoir raquer un abonnement pour les mises Ă  jour OTA (Over-The-Air), mais lĂ  on atteint des sommets.

Mais d’abord, parlons de ce fameux dispositif “Game Boy”. Techniquement, c’est un Ă©mulateur, c’est Ă  dire un ensemble de matĂ©riel de transmission radio fourrĂ© dans une coque qui ressemble Ă  la console portable iconique de Nintendo. Le prix de ces petits bijoux se situe entre 16 000 et 30 000 dollars sur le marchĂ© noir et certains modĂšles russes se vendent mĂȘme Ă  15 000 euros. Pour ce prix-lĂ , vous pourriez presque vous acheter une vraie Ioniq 5 d’occasion.

Le principe du hack c’est que ça exploite une faiblesse fondamentale dans l’architecture de sĂ©curitĂ© des vĂ©hicules modernes. Quand vous touchez la poignĂ©e de votre Ioniq 5, la voiture se rĂ©veille et initie un protocole de handshake avec ce qu’elle pense ĂȘtre votre clĂ©. C’est lĂ  que la fausse Game Boy entre en jeu. Elle intercepte cette communication et se fait passer pour votre porte-clĂ©s lĂ©gitime.

Mais comment est-ce possible techniquement ? Et bien laissez-moi vous emmener dans les entrailles du systĂšme CAN (Controller Area Network) de votre voiture. Selon l’expert en sĂ©curitĂ© Ken Tindell, l’attaque CAN injection fonctionne en introduisant de faux messages sur le bus CAN, comme s’ils provenaient du rĂ©cepteur de clĂ© intelligente de la voiture. Ces messages trompent alors le systĂšme de sĂ©curitĂ© pour qu’il dĂ©verrouille le vĂ©hicule et dĂ©sactive l’immobilisateur moteur.

Sur certaines voitures, les voleurs peuvent accĂ©der au rĂ©seau CAN en cassant simplement un phare ou l’aile et en utilisant sa connexion au bus pour envoyer des messages. À partir de lĂ , ils peuvent ensuite manipuler n’importe quel dispositif Ă©lectronique du vĂ©hicule. Les messages CAN n’ont aucune authentification ni sĂ©curitĂ© et les rĂ©cepteurs leur font simplement confiance.

Mais l’émulateur Game Boy va encore plus loin car il n’utilise pas l’injection CAN, non
 Ce serait trop facile. A la place, il s’attaque au systĂšme de rolling code censĂ© protĂ©ger votre clĂ©. Normalement, chaque fois que vous utilisez votre porte-clĂ©s, le code change pour Ă©viter les attaques par rejeu, mais ces dispositifs calculent le prochain code valide en quelques secondes. Et voilĂ  comment on dĂ©verrouille et dĂ©marre un Ioniq 5 en moins de 30 secondes.

Une fois votre voiture volĂ©e, les malfaiteurs retirent les modules de connectivitĂ© pour rendre le GPS et le tracking via l’application Bluelink inutiles et votre belle Ioniq 5 s’évanouit dans la nature en direction d’un pays chaud.

Face Ă  cette menace, Hyundai a donc imaginĂ© une super solution. Il s’agit d’un patch matĂ©riel qui amĂ©liore la technologie Ultra-Wideband (UWB) pour une dĂ©tection plus sĂ©curisĂ©e de la clĂ©. L’UWB permet une authentification plus prĂ©cise entre votre clĂ©/tĂ©lĂ©phone et le vĂ©hicule, rendant beaucoup plus difficile pour les Ă©mulateurs de se faire passer pour des clĂ©s lĂ©gitimes. La technologie mesure aussi prĂ©cisĂ©ment la distance entre la clĂ© et la voiture, empĂȘchant Ă©galement les attaques par relais classiques.

Mais voilĂ  le hic
 Hyundai prĂ©sente cette mise Ă  jour comme une “amĂ©lioration volontaire” plutĂŽt qu’un rappel obligatoire. Leur justification c’est que le Ioniq 5 a Ă©tĂ© dĂ©veloppĂ©e et certifiĂ©e selon toutes les normes rĂ©glementaires, y compris les exigences de cybersĂ©curitĂ©. Et comme cette menace est classifiĂ©e comme â€œĂ©volutive”, Hyundai estime qu’il est juste de demander aux clients une “contribution subventionnĂ©e” de 49 livres sterling (65 dollars US) pour le correctif.

Permettez-moi de vous traduire ce charabia corporate : “Notre voiture a une faille de sĂ©curitĂ© bĂ©ante, mais comme elle respectait les normes au moment de sa conception, on va vous faire payer pour la corriger.” C’est trĂšs rigolo quand on sait que l’Ioniq 5 est vendue avec une garantie de 5 ans.

Et le problĂšme va bien au-delĂ  de Hyundai car cette vulnĂ©rabilitĂ© touche aussi les Kia EV6 et Genesis GV60, qui partagent la mĂȘme plateforme E-GMP. D’autres constructeurs comme Infiniti, Lexus, Mercedes-Benz, Mitsubishi, Nissan, Subaru et Toyota sont Ă©galement vulnĂ©rables Ă  des attaques similaires. C’est donc un problĂšme systĂ©mique de l’industrie automobile qui a adoptĂ© une approche “coque dure/centre mou” oĂč les composants internes sont considĂ©rĂ©s comme dignes de confiance.

La vraie solution serait donc d’adopter un framework “zero trust” oĂč chaque composant du bus CAN devrait ĂȘtre rĂ©-authentifiĂ© lors de son remplacement. Mais vous vous en doutez, ça coĂ»terait une fortune Ă  implĂ©menter sur les vĂ©hicules existants. En attendant, certains propriĂ©taires comme Elliott Ingram poursuivent Hyundai en justice pour ne pas avoir divulguĂ© ces risques et d’autres prĂ©disent que les assurances pourraient Ă  l’avenir refuser de couvrir les vĂ©hicules non modifiĂ©s.

Pour le moment, ce patch n’est pas dispo en France mais quand ça le sera, je pense que je finirai par payer parce que mĂȘme si ça me fait mal, entre payer pour un patch de sĂ©curitĂ© Ă  65 balles et me retrouver sans voiture un matin, le choix est vite fait.

Mais cela n’empĂȘche pas que c’est une pratique scandaleuse de la part de Hyundai


Source

Kimsuky, l'espion qui s'est fait pwn - 9GB de secrets d'État balancĂ©s sur Internet

Par : Korben
11 août 2025 à 19:16

Cet article fait partie de ma sĂ©rie de l’étĂ© spĂ©cial hackers. Bonne lecture !

Vous savez ce qui est encore plus embarrassant que de se faire pirater quand on est une multinationale ? Se faire pirater quand on est soi-mĂȘme un pirate travaillant pour un État. Et c’est exactement ce qui vient d’arriver Ă  un mystĂ©rieux opĂ©rateur APT (Advanced Persistent Threat) dont 9GB de donnĂ©es ont Ă©tĂ© divulguĂ©es par deux hackers se faisant appeler Saber et cyb0rg. L’arroseur arrosĂ© dans toute sa splendeur !

L’histoire commence de maniĂšre plutĂŽt originale puisque cette fuite monumentale a Ă©tĂ© rĂ©vĂ©lĂ©e lors du 40e anniversaire du lĂ©gendaire magazine Phrack, pendant la convention DEF CON 33 Ă  Las Vegas. Pour ceux qui ne connaissent pas, Phrack c’est LA bible des hackers depuis 1985, fondĂ©e par Taran King et Knight Lightning. Un zine underground qui a formĂ© des gĂ©nĂ©rations entiĂšres de hackers avec ses articles techniques pointus et sa philosophie du “Hacker Manifesto”. Ces derniers, aprĂšs ĂȘtre sortis de 3 annĂ©es de silence en 2024, ont fĂȘtĂ© leurs 40 ans le 8 aoĂ»t dernier avec un cadeau plutĂŽt explosif : L’intĂ©gralitĂ© du toolkit d’espionnage d’un acteur Ă©tatique. Rien que ça !

DEF CON, la convention oĂč l’arroseur s’est fait arroser

Saber et cyb0rg ne sont pas des petits nouveaux. Ils expliquent dans leur article publiĂ© dans Phrack #72 avoir compromis Ă  la fois une workstation virtuelle ET un serveur privĂ© virtuel (VPS) utilisĂ©s par cet opĂ©rateur APT qu’ils ont surnommĂ© “KIM”. Le duo affirme avoir passĂ© des mois Ă  analyser les habitudes de leur cible avant de frapper. Pour cela, ils ont exploitĂ© une mauvaise configuration des services cloud de l’opĂ©rateur et une rĂ©utilisation de mots de passe entre diffĂ©rents systĂšmes. Basique mais efficace, car oui, mĂȘme les espions d’État font des erreurs de dĂ©butant !

Mais attention, l’identitĂ© rĂ©elle de notre espion maladroit reste un vrai casse-tĂȘte. Si Saber et cyb0rg affirment avoir compromis un ordinateur liĂ© au groupe Kimsuky (ces fameux hackers nord-corĂ©ens du Bureau 121 qui font rĂ©guliĂšrement parler d’eux depuis 2013), les experts en sĂ©curitĂ© Ă©mettent des doutes sĂ©rieux.

Pour rappel, Kimsuky (aussi connu sous les noms APT43, Emerald Sleet ou THALLIUM) travaille directement pour le Reconnaissance General Bureau (RGB) nord-corĂ©en. En gros, c’est leur CIA Ă  eux. Et les mecs sont plutĂŽt spĂ©cialisĂ©s dans l’espionnage et le vol d’informations sur les politiques Ă©trangĂšres liĂ©es Ă  la pĂ©ninsule corĂ©enne, le nuclĂ©aire et les sanctions internationales Ă  leur encontre. Ils ont notamment ciblĂ© des think tanks sud-corĂ©ens, japonais et amĂ©ricains avec des campagnes de spear-phishing ultra sophistiquĂ©es. Par exemple, en mai 2024, ils exploitaient encore des failles DMARC pour usurper l’identitĂ© d’organisations de confiance.

Sauf que voilĂ , plusieurs Ă©lĂ©ments clochent. L’opĂ©rateur piratĂ© semble parler chinois mandarin, et pas corĂ©en. Son historique de navigation Chrome et Brave (presque 20 000 entrĂ©es !) montre des recherches en caractĂšres simplifiĂ©s, pas en hangul (l’alphabet officiel du corĂ©en), ses bookmarks pointent vers des sites chinois, et surtout, ses cibles privilĂ©giĂ©es correspondent parfaitement au profil d’un acteur chinois : Taiwan, le Japon et la CorĂ©e du Sud. Certains experts pensent mĂȘme qu’il pourrait dĂ©libĂ©rĂ©ment imiter les mĂ©thodes de Kimsuky pour brouiller les pistes. C’est une technique connue sous le nom de “false flag operation” dans le monde du renseignement.

Alors Corée du Nord ou Chine ? Le mystÚre reste entier

Le butin dĂ©ballĂ© par nos deux Robin des Bois du hacking est absolument dingue. C’est 8,90 GB de donnĂ©es ultra sensibles avec :

  • 19 783 entrĂ©es d’historique de navigation sur Chrome et Brave, rĂ©vĂ©lant les habitudes et mĂ©thodes de travail de l’opĂ©rateur
  • Des logs d’attaques actives contre le gouvernement sud-corĂ©en, notamment le Defense Counterintelligence Command et le Supreme Prosecutor Office
  • Du code source d’outils custom dĂ©veloppĂ©s spĂ©cifiquement pour leurs opĂ©rations
  • Des identifiants et mots de passe pour diffĂ©rents systĂšmes compromis
  • Des scripts de commande et contrĂŽle (C2) pour gĂ©rer les machines infectĂ©es
  • Des manuels opĂ©rationnels dĂ©taillant comment utiliser leurs backdoors
  • Des logs de campagnes de phishing avec les templates utilisĂ©s et les listes de victimes

Y’a mĂȘme une capture Ă©cran de son bureau :

Mais le plus juteux, c’est surtout l’arsenal technique complet de l’opĂ©rateur. On y trouve le backdoor kernel TomCat, une saloperie qui s’installe au niveau du noyau systĂšme pour une persistance maximale. Des beacons Cobalt Strike customisĂ©s, Cobalt Strike Ă©tant cet outil commercial Ă  3 500 dollars la licence, vendu comme “logiciel de simulation d’adversaire” mais adorĂ© par les vrais mĂ©chants. Il y a aussi la backdoor Ivanti RootRot qui exploite les vulnĂ©rabilitĂ©s CVE-2025-0282 et CVE-2025-22457 dĂ©couvertes fin 2024. Sans oublier des variantes modifiĂ©es d’Android Toybox pour compromettre les smartphones. Et l’exploit BRUSHFIRE/Bushfire pour les systĂšmes Ivanti Connect Secure.

Pour comprendre l’ampleur du dĂ©sastre, c’est comme si un cambrioleur professionnel se faisait voler sa mallette contenant tous ses outils, ses plans de cambriolage, son carnet d’adresses avec les codes d’alarme de ses cibles, et mĂȘme son journal intime oĂč il note ses techniques. Bah voilĂ , c’et exactement ça qui vient d’arriver Ă  notre cher APT !

DDoSecrets, les nouveaux WikiLeaks mais en mieux organisé

DDoSecrets a indexĂ© et publiĂ© l’archive complĂšte, la rendant accessible gratuitement Ă  tous les chercheurs et journalistes. Pour ceux qui ne connaissent pas, DDoSecrets (Distributed Denial of Secrets) ce sont les nouveaux WikiLeaks, fondĂ© en 2018 par Emma Best et Thomas White aprĂšs que WikiLeaks soit devenu
 compliquĂ© avec l’affaire Assange.

Emma Best, journaliste spĂ©cialisĂ©e en sĂ©curitĂ© nationale et activiste de la transparence non-binaire basĂ©e Ă  Boston, avait d’ailleurs clashĂ© avec Assange avant de crĂ©er DDoSecrets. Elle l’accusait notamment d’avoir menti sur la source des emails du DNC. Avec moins de 20 personnes et un budget 3000 fois infĂ©rieur Ă  WikiLeaks, DDoSecrets a dĂ©jĂ  publiĂ© plus de 100 millions de fichiers en provenance de 59 pays et leur philosophie est : “La vĂ©ritĂ© est son propre objectif.” Pas d’ego, pas de drama, juste de la transparence extrĂȘmement radicale.

Leurs analystes confirment donc que les contenus de l’archive semblent authentiques et cohĂ©rents avec un vĂ©ritable toolkit d’espionnage, ce qui est Ă©galement confirmĂ© par plusieurs experts en threat intelligence. Les victimes sud-corĂ©ennes ont Ă©galement Ă©tĂ© notifiĂ©es avant la publication, histoire de limiter les dĂ©gĂąts. Ouf !

Ce qui rend cette affaire assez unique, c’est qu’elle nous offre un aperçu rare et non filtrĂ© des coulisses du cyber-espionnage Ă©tatique. D’habitude, on dĂ©couvre les outils et techniques des APT aprĂšs coup, en analysant leurs attaques comme des archĂ©ologues numĂ©riques qui reconstituent un dinosaure Ă  partir de fragments d’os. Mais lĂ , on a accĂšs directement Ă  leur boĂźte Ă  outils complĂšte, leurs notes, leurs cibles, leurs mĂ©thodes de travail au quotidien.

Les implications sont d’ailleurs Ă©normes pour la communautĂ© cybersĂ©curitĂ©. Avec cet accĂšs privilĂ©giĂ© aux TTPs (Tactics, Techniques, and Procedures) de l’opĂ©rateur, les Ă©quipes de dĂ©fense peuvent maintenant :

  • Identifier des patterns d’attaque pour crĂ©er des signatures de dĂ©tection plus prĂ©cises
  • Comprendre l’infrastructure C2 utilisĂ©e et bloquer proactivement les domaines et IPs associĂ©s
  • Analyser les vulnĂ©rabilitĂ©s exploitĂ©es et patcher en prioritĂ©
  • Attribuer d’anciennes attaques non rĂ©solues grĂące aux similaritĂ©s dans le code et les mĂ©thodes
  • Former les analystes SOC avec des exemples rĂ©els d’attaques APT

Un acteur APT, habituĂ© Ă  opĂ©rer dans l’ombre avec l’impunitĂ© que confĂšre le soutien d’un État-nation, s’est donc fait avoir par deux hackers indĂ©pendants qui ont ensuite balancĂ© tout son arsenal sur Internet. C’est plutĂŽt marrant quand on sait que ces groupes APT passent leur temps Ă  voler les secrets des autres !

Cobalt Strike, l’outil prĂ©fĂ©rĂ© des APT (et des red teamers lĂ©gitimes)

L’incident soulĂšve quand mĂȘme des questions cruciales sur l’attribution des cyberattaques. Le fait que cet opĂ©rateur pourrait ĂȘtre chinois mais imiter les techniques nord-corĂ©ennes montre Ă  quel point il est difficile d’identifier avec certitude l’origine d’une attaque, car ans le monde du cyber-espionnage, les fausses pistes et les opĂ©rations sous faux drapeau sont monnaie courante.

C’est d’ailleurs pour ça que les groupes APT chinois et nord-corĂ©ens adorent se faire passer les uns pour les autres. Les Chinois ont leurs propres groupes legendaires comme APT1 (Comment Crew), APT28 (Fancy Bear
 non attendez ça c’est les Russes !), ou APT40 (Leviathan). Les Nord-CorĂ©ens ont Lazarus (ceux du hack de Sony Pictures et du ransomware WannaCry), Bluenoroff / APT38 (spĂ©cialisĂ©s dans le vol bancaire, 81 millions de dollars Ă  la Bangladesh Bank en 2016 !), et notre fameux Kimsuky.

La diffĂ©rence de style entre les groupes est d’ailleurs fascinante. Les Russes prĂ©fĂšrent exploiter des zero-days pour un impact gĂ©opolitique immĂ©diat. Les Chinois ciblent les supply chains pour du vol de propriĂ©tĂ© intellectuelle Ă  long terme. Les Nord-CorĂ©ens ? Eux ils ont besoin de cash, donc ils font dans le ransomware et le vol de crypto. En 2024, ils auraient volĂ© plus de 3 milliards de dollars en cryptomonnaies selon les estimations !

Mais revenons Ă  notre opĂ©rateur mystĂšre. L’analyse de son infrastructure rĂ©vĂšle des dĂ©tails croustillants. Il utilisait des VPS louĂ©s avec des bitcoins minĂ©s spĂ©cifiquement pour l’opĂ©ration (ces mecs ont leur propre ferme de minage !). Les domaines C2 Ă©taient enregistrĂ©s via des registrars russes et chinois avec de fausses identitĂ©s. Les certificats SSL Ă©taient gĂ©nĂ©rĂ©s avec Let’s Encrypt pour paraĂźtre lĂ©gitimes. Tout un Ă©cosystĂšme criminel parfaitement rodé  jusqu’à ce que Saber et cyb0rg dĂ©barquent.

Et balancer une telle bombe pendant DEF CON, c’est s’assurer un maximum d’impact dans la communautĂ© (la preuve, j’en parle). En tout cas, il y a une certaine justice poĂ©tique Ă  voir un cyber espion se faire espionner Ă  son tour.

Aujourd’hui avec ces rĂ©vĂ©lations, le message envoyĂ© Ă  tous les groupes APT est clair : vous n’ĂȘtes pas intouchables. MĂȘme avec le soutien d’un État, mĂȘme avec des budgets illimitĂ©s, mĂȘme avec les meilleurs outils, vous pouvez vous faire pwn par deux hackers motivĂ©s.

Je pense que cette affaire restera dans les annales car pour la premiĂšre fois, ce n’est pas une agence de renseignement occidentale qui expose un groupe APT, mais des hackers indĂ©pendants. Cela me rappelle le leak de Conti qui avait subit la mĂȘme chose mais de la part d’un insider (enfin, on le pense
).

Bref, si vous ĂȘtes un opĂ©rateur APT, Ă©vitez de rĂ©utiliser vos mots de passe et configurez correctement vos services cloud, sinon vous finirez en une de Phrack avec tous vos petits secrets Ă©talĂ©s sur Internet. C’est con mais c’est comme ça !

Et pour les chercheurs en sĂ©curitĂ©, foncez analyser ces 9GB de donnĂ©es, c’est NoĂ«l avant l’heure !

Sources : HackRead - 9GB APT Data Leak, Dark Reading - APT Actor Data Dump Analysis, DDoSecrets - APT Down: The North Korea Files, Phrack Magazine Issue #72, Wikipedia - Distributed Denial of Secrets, CISA - Kimsuky APT Advisory

Searloc - La recherche web qui joue Ă  cache-cache

Par : Korben
11 août 2025 à 16:43

Pensez un peu Ă  la tĂȘte des publicitaires si chacune de vos recherches web partait dans une direction complĂštement alĂ©atoire, comme une boule de flipper qui rebondit entre 50 bumpers diffĂ©rents ? Et bien c’est exactement ce que fait Searloc, et vous allez voir, c’est assez malin.

Alexandre, un dĂ©veloppeur français visiblement allergique au pistage en ligne, vient de crĂ©er quelque chose d’intĂ©ressant. Au lieu de chercher directement sur Google ou mĂȘme DuckDuckGo, son outil vous envoie de maniĂšre totalement alĂ©atoire vers l’une des 50 instances publiques SearXNG disponibles.

Ainsi, aucune instance ne voit plus de 2% de vos recherches, comme ça, pour les trackers qui essaient de crĂ©er votre profil, c’est comme essayer de reconstituer un puzzle avec seulement 1 piĂšce sur 50.

Le plus beau dans tout ça, c’est que Searloc fonctionne entiĂšrement cĂŽtĂ© client. Pas de serveur, pas de base de donnĂ©es, pas de logs. Juste du JavaScript qui tourne dans votre navigateur et qui tire au sort votre prochaine destination. Je trouve que c’est vraiment une excellente approche de ne pas avoir de serveur fixe, car ça Ă©limine complĂštement le point de centralisation.

Pour ceux qui ne connaissent pas, SearXNG est un mĂ©tamoteur qui peut interroger jusqu’à 248 services de recherche diffĂ©rents sans jamais transmettre votre IP ou vos cookies aux moteurs sous-jacents. C’est dĂ©jĂ  pas mal niveau privacy, mais le problĂšme c’est que si vous utilisez toujours la mĂȘme instance, l’administrateur pourrait thĂ©oriquement reconstituer votre historique de recherche. Avec Searloc, ce risque disparaĂźt puisque vos recherches sont Ă©parpillĂ©es façon puzzle.

L’outil propose quelques fonctionnalitĂ©s sympa. Par exemple, si les rĂ©sultats ne vous conviennent pas, tapez simplement “!!” et hop, votre recherche repart sur une autre instance alĂ©atoire. Les bangs (ces raccourcis qui commencent par “!!”) sont gĂ©rĂ©s localement, donc mĂȘme vos recherches spĂ©cialisĂ©es restent privĂ©es. Et pour les maniaques du contrĂŽle, vous pouvez mĂȘme ajouter vos propres instances SearXNG personnelles dans les paramĂštres.

Faut quand mĂȘme dire que les alternatives privacy-first comme Startpage, Brave Search ou Qwant se multiplient face Ă  l’appĂ©tit insatiable de Google pour nos donnĂ©es, mais lĂ  oĂč ces services restent centralisĂ©s (mĂȘme s’ils promettent de ne pas vous tracker
 vous savez qui engage ce genre de promesse
), Searloc pousse la logique encore plus loin en dĂ©centralisant complĂštement le point d’entrĂ©e.

Maintenant, pour l’utiliser, rien de plus simple. Rendez-vous sur searloc.org et vous tapez votre recherche. L’interface reprend automatiquement vos prĂ©fĂ©rences de thĂšme et de langue pour les transmettre Ă  l’instance SearXNG sĂ©lectionnĂ©e.

Et le code source est disponible sur Codeberg sous licence MIT, donc les paranos qui on du temps libre peuvent vĂ©rifier qu’il n’y a pas d’entourloupe.

VoilĂ , ce qui me plaĂźt dans cette approche, c’est surtout qu’elle rĂ©sout Ă©lĂ©gamment le dilemme de la privacy oĂč soit vous faites confiance Ă  un service centralisĂ© qui promet de ne pas vous tracker (mais qui reste un point unique de dĂ©faillance), soit vous auto-hĂ©bergez votre instance (mais c’est technique et votre IP reste visible pour les sites que vous visitez). Searloc trouve ainsi un juste milieu en distribuant le risque sur des dizaines d’instances diffĂ©rentes.

Alors oui, c’est vrai, parfois vous tomberez sur une instance un peu lente ou qui affichera des captchas parce qu’elle a Ă©tĂ© trop sollicitĂ©e mais c’est un lĂ©ger inconvĂ©nient de cette dĂ©centralisation. Parce qu’entre ça et laisser Google construire un profil psychologique dĂ©taillĂ© de toutes vos interrogations existentielles Ă  3h du mat’, le choix est vite fait.

Merci Ă  Alexandre d’avoir partagĂ© son projet avec moi !

À partir d’avant-hierFlux principal

Comment j'ai divisé par 10 le temps de génération de mon site Hugo

Par : Korben
11 août 2025 à 13:46

Vous ne le savez peut-ĂȘtre pas, mais le site sur lequel vous ĂȘtes actuellement est un site 100% statique. Je gĂšre le contenu cĂŽtĂ© back avec un CMS en PHP (rĂ©daction, Ă©dition, workflow), mais la partie publique n’exĂ©cute aucun PHP : pas de base de donnĂ©es, juste des fichiers HTML/CSS/JS et des images. Et tout ça est gĂ©nĂ©rĂ© Ă  partir de fichiers Markdown avec Hugo.

Et optimiser tout ça c’est pas de la tarte car si vos templates sont mal pensĂ©s, Hugo peut mettre une plombe Ă  gĂ©nĂ©rer le site. Entre partiels recalculĂ©s pour rien, boucles trop larges et images retraitĂ©es Ă  chaque passage, on flingue les perfs sans s’en rendre compte.

Et c’était mon cas au dĂ©but. Je regardais avec envie les mecs qui sortaient un build en moins d’une seconde tout en restant rĂ©aliste car j’ai quand mĂȘme environ 60 000 pages Ă  gĂ©nĂ©rer. Au final, je suis passĂ© de plusieurs heures de build Ă  environ 5 minutes en optimisant les templates, le cache et le pipeline d’assets.

Car oui, Hugo sait gĂ©nĂ©rer la plupart des sites en quelques secondes si vos templates sont propres. Depuis la “million pages release”, les builds sont streamĂ©s et la mĂ©moire mieux gĂ©rĂ©e. Alors si votre gĂ©nĂ©ration est lente, c’est qu’il y a (souvent) un souci cĂŽtĂ© templates.

Tout ceci est encore en cours de tests, et ce n’est pas parfait donc il est possible que ça change Ă  l’avenir et vous faites peut-ĂȘtre autrement (dans ce cas ça m’intĂ©resse !!). Bref, voici mon retour d’XP sous forme de conseils pour transformer, vous aussi, votre escargot en fusĂ©e 🚀.

Partials - Cachez-moi tout ça (bien)

Hugo sait mettre en cache le rendu d’un partial. Utilisez partialCached (alias de partials.IncludeCached) partout oĂč la sortie est identique sur beaucoup de pages.

{{/* baseof.html - Template de base optimisé */}}
{{ partialCached "header.html" . }}
{{ partialCached "nav.html" . }}
{{ partialCached "footer.html" . }}

Le truc malin, c’est d’utiliser des variantes (clĂ©s) pour changer le cache selon le contexte. Attention quand mĂȘme car ces arguments de variante ne sont pas passĂ©s au partial. En rĂ©alitĂ©, ils servent uniquement Ă  nommer l’entrĂ©e de cache. Si vous devez passer plus de donnĂ©es au partial, mettez-les dans le context via un dict.

{{/* Sidebar: cache par section et par numéro de page */}}
{{ $variant := printf "%s|p%d" .Section (cond .Paginator .Paginator.PageNumber 1) }}
{{ partialCached "sidebar.html" . $variant }}

{{/* Pagination: on passe un contexte enrichi, et on varie par numéro de page */}}
{{ $opts := dict "showCounts" true }}
{{ partialCached "pagination-taxonomy.html" (dict "Page" . "Opts" $opts) .Paginator.PageNumber }}

{{/* BanniĂšres: cache par langue */}}
{{ partialCached "article/patreon-support-banner.html" . .Lang }}

Gardez aussi vos variantes stables et petites (ex. .Lang, .Section, .Title, .Paginator.PageNumber), sinon, vous allez exploser le cache pour rien.

Réf. : partials.IncludeCached / partialCached.

Hugo Pipes - Minify, fingerprint, bundle (et JS qui dépote)

Pour le basique, pas besoin de Gulp/Webpack car Hugo a tout ce qu’il faut, et c’est trùs rapide. Voici mon bundle CSS unique :

{{/* head/css.html - Bundle CSS optimisé */}}
{{- $styles := slice
"css/reset.css"
"css/main.css"
"css/components/home-cards.css"
"css/components/patreon-card.css"
"css/components/article-content-images.css"
"css/components/lazy-loading.css"
"css/youtube-placeholder.css"
-}}
{{- $cssResources := slice -}}
{{- range $styles -}}
{{- with resources.Get . -}}
{{- $cssResources = $cssResources | append . -}}
{{- end -}}
{{- end -}}

{{/* Concat + minify + fingerprint */}}
{{- $cssBundle := resources.Concat "css/bundle.css" $cssResources | minify | fingerprint -}}

{{/* Preload + feuille finale avec SRI */}}
<link rel="preload" as="style" href="{{ $cssBundle.RelPermalink }}" integrity="{{ $cssBundle.Data.Integrity }}" crossorigin="anonymous">
<link rel="stylesheet" href="{{ $cssBundle.RelPermalink }}" integrity="{{ $cssBundle.Data.Integrity }}" crossorigin="anonymous">

Je regroupe tout avec resources.Concat, puis minify et fingerprint (SRI + cache-busting). Le preload déclenche le chargement au plus tÎt, et le link classique prend le relais.

CĂŽtĂ© JavaScript, j’utilise js.Build (esbuild) et je bascule les sourcemaps selon l’environnement :

{{/* assets/js/app.js est mon point d'entrée */}}
{{ $opts := dict
"minify" (not hugo.IsDevelopment)
"targetPath" "js/app.js"
"sourceMap" (cond hugo.IsDevelopment "inline" "") /* inline en dev, rien en prod */
}}
{{ $js := resources.Get "js/app.js" | js.Build $opts | fingerprint }}
<script src="{{ $js.RelPermalink }}" integrity="{{ $js.Data.Integrity }}" crossorigin="anonymous" defer></script>

Réfs : Minify, Fingerprint/SRI, js.Build (esbuild), resources.Concat.

Images - Cloudflare Image Resizing + lazy loading intelligent

J’ai Ă©galement une approche hybride concernant la gestion des images. J’utilise Cloudflare Image Resizing qui gĂ©nĂšre les variantes cĂŽtĂ© CDN, et un partial Hugo prĂ©pare le srcset + LCP propre.

{{/* partials/responsive-image.html */}}
{{/* ParamĂštres attendus via dict:
- imageURL (string, chemin vers l'image d'origine dans /static)
- imgWidth, imgHeight (int)
- alt (string)
- class (string optionnelle)
- isLCP (bool) */}}

{{ $imageURL := .imageURL }}
{{ $imgWidth := .imgWidth }}
{{ $imgHeight := .imgHeight }}
{{ $alt := .alt | default "" }}
{{ $class := .class | default "" }}
{{ $isLCP := .isLCP | default false }}

{{ $widths := slice 320 640 960 1280 1920 }}
{{ $qualityMap := dict "320" 85 "640" 85 "960" 88 "1280" 90 "1920" 92 }}
{{ $srcset := slice }}

{{ range $w := $widths }}
{{ if or (eq $imgWidth 0) (ge $imgWidth $w) }}
{{ $q := index $qualityMap (printf "%d" $w) }}
{{ $srcset = $srcset | append (printf "/cdn-cgi/image/width=%d,quality=%d,f=avif%s %dw" $w $q $imageURL $w) }}
{{ end }}
{{ end }}

{{ if $isLCP }}
<img
src="/cdn-cgi/image/width=1280,quality=90,f=avif{{ $imageURL }}"
srcset="{{ delimit $srcset ", " }}"
sizes="(max-width: 1280px) 100vw, 1280px"
fetchpriority="high"
width="{{ $imgWidth }}" height="{{ $imgHeight }}"
alt="{{ $alt }}" class="{{ $class }}">
{{ else }}
{{/* LazySizes: placeholder + data-attrs et data-sizes='auto' */}}
<img
src="data:image/svg+xml,%3Csvg xmlns='http://www.w3.org/2000/svg' viewBox='0 0 {{ $imgWidth }} {{ $imgHeight }}'%3E%3C/svg%3E"
data-src="/cdn-cgi/image/width=1280,quality=90,f=avif{{ $imageURL }}"
data-srcset="{{ delimit $srcset ", " }}"
data-sizes="auto"
loading="lazy"
width="{{ $imgWidth }}" height="{{ $imgHeight }}"
alt="{{ $alt }}" class="lazyload {{ $class }}">
{{ end }}

Comme vous pouvez le voir, j’adapte la qualitĂ© selon la plateforme (85% pour mobile / 92% pour desktop), le format AVIF par dĂ©faut, et pour l’image LCP, je mets fetchpriority="high" et pas de lazy.

Voici un exemple d’appel :

{{ partial "responsive-image.html" (dict
"imageURL" .Params.featured_image
"imgWidth" 1280
"imgHeight" 720
"alt" .Title
"class" "article-cover"
"isLCP" true
) }}

Cache des ressources - Le secret des rebuilds rapides

Configurez aussi les caches pour Ă©viter de retraiter Ă  chaque build. Le plus important c’est le cache permanent pour les images et autres assets traitĂ©s.

# hugo.toml
[caches]
[caches.getJSON]
dir = ":cacheDir/:project"
maxAge = "1h"
[caches.getCSV]
dir = ":cacheDir/:project"
maxAge = "1h"
[caches.images]
dir = ":resourceDir/_gen"
maxAge = -1 # NE JAMAIS expirer
[caches.assets]
dir = ":resourceDir/_gen"
maxAge = -1

Et en cas de besoin, pour forcer un refresh : hugo server --ignoreCache.

Réf. : Configure file caches.

Minifiez tout ce qui bouge (config complĂšte)

J’ai aussi ajoutĂ© dans mon hugo.toml, une config de minification que voici :

# Minification HTML/CSS/JS/JSON/SVG/XML
[minify]
disableCSS = false
disableHTML = false
disableJS = false
disableJSON = false
disableSVG = false
disableXML = false
minifyOutput = true

[minify.tdewolff]
[minify.tdewolff.html]
keepWhitespace = false
[minify.tdewolff.css]
keepCSS2 = true
precision = 0
[minify.tdewolff.js]
keepVarNames = false
version = 2022
precision = 0

Avec hugo --minify, je gagne ~25% sur le HTML final (variable selon le site).

Réf. : Minify (config).

Organisation des templates - site.RegularPages est votre ami

En rĂ©gle gĂ©nĂ©rale, c’est mieux d’éviter de boucler sur des pages inutiles (taxonomies, terms
). Utilisez aussi site.RegularPages plutĂŽt que .Site.Pages.

{{/* sidebar/recent-posts.html - Articles récents optimisés */}}
{{ $recentPosts := first 6 (where site.RegularPages "Type" "posts") }}
{{ range $recentPosts }}
<li>
<a href="{{ .RelPermalink }}">
{{ $featuredImage := partial "get-image-optimized.html" (dict "page" .) }}
{{ if $featuredImage }}
<img src="{{ $featuredImage.RelPermalink }}" loading="lazy" width="80" height="60" alt="">
{{ else }}
<img src="/img/default-article-image.webp" loading="lazy" width="80" height="60" alt="">
{{ end }}
<h4>{{ truncate 40 .Title }}</h4>
</a>
</li>
{{ end }}

Réfs : site.RegularPages.

Et voici le petit helper image que j’utilise pour Ă©viter les nil :

{{/* partials/get-image-optimized.html */}}
{{ $page := .page }}
{{ $imageName := .imageName | default $page.Params.featured_image }}

{{ $img := false }}
{{ if $imageName }}
{{ with $page.Resources.GetMatch $imageName }}
{{ $img = . }}
{{ end }}
{{ end }}

{{ return $img }}

Configuration globale - Chaque détail compte

Voici également quelques réglages utiles dans mon hugo.toml :

# Désactiver ce qu'on n'utilise pas
disableKinds = ["section"]

# Pagination moderne (Hugo ≄ 0.128)
[pagination]
pagerSize = 39 # 39 articles par page

# Traitement d'images
[imaging]
quality = 80
resampleFilter = "Lanczos"

# Optimisations de build
[build]
writeStats = false
noJSConfigInAssets = true
useResourceCacheWhen = "always"

# Mounts: exclure fichiers lourds
[module]
[[module.mounts]]
source = "content"
target = "content"
excludeFiles = ["**/*.zip", "**/*.log", "**/backup/**", "**/archives/**", "**/exports/**"]
[[module.mounts]]
source = "static"
target = "static"
excludeFiles = ["**/*.zip", "**/*.log", "**/backup/**", "**/archives/**"]

Je mets aussi un timeout large (timeout = "600s") et j’ignore certains warnings verbeux (ignoreLogs = ['warning-goldmark-raw-html']). Et pour la pagination, pagerSize a aussi remplacĂ© les vieux rĂ©glages (bon Ă  savoir si vous migrez).

Réf. : PagerSize, Pagination.

Les flags CLI utiles

Perso, j’utilise uniquement les flags suivants quand je lance Hugo :

  • Nettoyage : hugo --gc --cleanDestinationDir pour virer l’obsolĂšte et garder public/ clean.
  • Dev rapide : gardez hugo server tel quel. --disableFastRender seulement si un glitch l’exige. --renderToMemory peut accĂ©lĂ©rer (au prix de la RAM).
  • Profiler de templates : hugo --templateMetrics --templateMetricsHints liste les templates lents et oĂč placer vos partialCached. C’est comme ça que j’ai vu que ma sidebar coĂ»tait une plombe.

Conditionnez ce que vous chargez

Selon la page, j’adapte aussi mon code. L’image LCP avec fetchpriority="high" (pour Ă©viter le lazy), le reste en lazy + placeholder SVG qui respecte les dimensions (zĂ©ro layout shift). Et pour le JS, defer partout et pas de scripts inutiles sur les pages qui n’en ont pas besoin.

Le pattern qui tue - partialCached + variantes calculées

Mon combo prĂ©fĂ©rĂ©, selon le contexte c’est celui-ci :

{{/* Home: variante par numéro de page */}}
{{ partialCached "pagination-home.html" . (cond .Paginator .Paginator.PageNumber 1) }}

{{/* Grilles d’articles: variante par (page, index de groupe) */}}
{{ partialCached "articles-grid.html"
(dict "articles" $groupArticles "Site" $.Site)
(printf "p%d|g%d" $paginator.PageNumber $groupIndex) }}

{{/* ÉlĂ©ments vraiment statiques: pas de variante */}}
{{ partialCached "footer.html" . }}

Il faut comme ça trouver le bon Ă©quilibre. C’est Ă  dire avoir assez de variantes pour Ă©viter les recalculs, mais pas trop, sinon votre cache devient inutile.

Et en bonus - Ma checklist express !

  • Remplacer les partial chauds par partialCached + variantes propres (au minimum : header, footer, nav, sidebar).
  • Pipeline assets : resources.Concat → minify → fingerprint (SRI).
  • Images : Cloudflare Image Resizing (ou .Resize Hugo) + lazy intelligent + placeholder SVG.
  • getJSON : config de cache (maxAge) et --ignoreCache en dev.
  • --templateMetrics + --templateMetricsHints pour viser les pires templates.
  • Pagination : passer Ă  [pagination].pagerSize si vous migrez.
  • Utiliser site.RegularPages au lieu de .Site.Pages dans les boucles.
  • Module mounts avec excludeFiles pour Ă©viter que Hugo scanne backups/archives.
  • Prod : --gc + --cleanDestinationDir + --minify.
  • Cache permanent pour images/assets (maxAge = -1).

VoilĂ . Avec tout ça, je suis passĂ© de plusieurs heures Ă  quelques minutes pour ~60 000 pages. Les clĂ©s : partialCached partout oĂč la sortie ne bouge pas, un bundle CSS/JS propre avec fingerprint/SRI, et site.RegularPages pour ne pas trimbaler les taxonomies dans les boucles.

N’oubliez pas de lancer hugo --templateMetrics --templateMetricsHints pour trouver ce qui coĂ»te cher lors de la gĂ©nĂ©ration. Vous verrez, dans 90% des cas c’est un partial appelĂ© 10 000 fois non mis en cache, ou une boucle sur .Site.Pages trop large. RĂ©parez ça, et votre build respira de nouveau.

Et si aprĂšs tout ça votre build met encore plus de 10 s pour builder moins de 1000 pages, c’est qu’il y a un loup dans vos templates. RĂ©duisez la surface des boucles, chassez les recalculs, et mettez partialCached partout oĂč c’est pertinent !

Bon courage !

Dennis Ritchie & Ken Thompson - Les vrais héros d'Unix

Par : Korben
11 août 2025 à 13:37
Cet article fait partie de ma sĂ©rie de l’étĂ© spĂ©cial hackers. Bonne lecture !

Vous savez qu’Unix n’aurait jamais dĂ» exister ? HĂ© oui, tout a commencĂ© parce que Ken Thompson voulait jouer Ă  Space Travel, son petit jeu vidĂ©o. Sauf que sur le mainframe de Bell Labs, chaque partie lui coĂ»tait 75 dollars en temps machine. C’était complĂštement absurde, du coup, il a bricolĂ© un systĂšme sur un vieux PDP-7 pour faire tourner son jeu gratos.

Car oui, les plus grandes révolutions informatiques naissent parfois des problÚmes les plus cons, vous allez voir


Vous pensez que Steve Jobs a rĂ©volutionnĂ© l’informatique ? Que nenni ! Il a surtout fait du super marketing. Les vrais hĂ©ros, ceux qui ont posĂ© les fondations de TOUT ce que vous utilisez aujourd’hui c’est-Ă -dire votre iPhone, Android, Linux, mĂȘme Windows dans ses tripes profondes, s’appellent Dennis MacAlistair Ritchie et Kenneth Lane Thompson. Deux potes de Bell Labs qui ont littĂ©ralement inventĂ© l’informatique moderne dans les annĂ©es 70 en se marrant.

L’histoire que je vais vous raconter aujourd’hui, c’est donc celle de deux gĂ©nies qui ont créé Unix et le langage C presque par accident, et croyez-moi, c’est bien plus Ă©pique que n’importe quel biopic hollywoodien avec Ashton Kutcher dedans.

Imaginez un endroit oĂč on vous paye pour rĂ©flĂ©chir et bidouiller sans qu’on vous emmerde avec des deadlines, des KPI ou des rĂ©unions PowerPoint interminables. Bienvenue Ă  Bell Labs dans les annĂ©es 60, le Disneyland de la recherche informatique. Ce temple de l’innovation, propriĂ©tĂ© d’AT&T, abritait les cerveaux les plus tordus de la planĂšte. C’est lĂ  par exemple qu’on a inventĂ© le transistor, le laser, la thĂ©orie de l’information, et j’en passe. Bref, tout ce qui fait tourner notre monde moderne.

Dennis MacAlistair Ritchie, nĂ© le 9 septembre 1941 Ă  Bronxville dans l’État de New York, Ă©tait le fils d’Alistair Ritchie, un scientifique de Bell Labs spĂ©cialisĂ© dans les systĂšmes de commutation. Le gamin avait donc l’informatique dans le sang, avec un cĂŽtĂ© discret et un humour plus sec que le Sahara en plein Ă©tĂ©. DiplĂŽmĂ© de Harvard en physique en 1963, puis docteur en mathĂ©matiques appliquĂ©es en 1967, il dĂ©barque Ă  Bell Labs la mĂȘme annĂ©e. Sauf que sa thĂšse de doctorat, il ne la finira jamais, trop occupĂ© Ă  changer le monde.

Kenneth Lane Thompson, nĂ© le 4 fĂ©vrier 1943 Ă  La Nouvelle-OrlĂ©ans, Ă©tait le parfait opposĂ© : un sale gosse qui avait traĂźnĂ© ses guĂȘtres partout avant d’atterrir Ă  Berkeley pour des Ă©tudes d’ingĂ©nierie Ă©lectrique. Bachelor en 1965, master en 1966, et hop, direction Bell Labs. ObsĂ©dĂ© par les jeux vidĂ©o et les Ă©checs, Ken Ă©tait le genre de mec capable de coder 30 heures d’affilĂ©e sans dormir, juste alimentĂ© par du cafĂ© et de la passion pure. Ce gars ne tenait pas Ă  la vie.

Le fameux PDP-7 (source)

En 1969, nos deux zigotos bossaient sur Multics (Multiplexed Information and Computing Service), un projet pharaonique censĂ© rĂ©volutionner les systĂšmes d’exploitation. Le truc Ă©tait tellement ambitieux qu’il en devenait inutilisable. Comme l’a dit Sam Morgan de Bell Labs : “C’était clair que Multics essayait de grimper trop d’arbres Ă  la fois” et AT&T a fini par lĂącher l’affaire en avril 1969, dĂ©clarant victoire tout en se barrant du projet, un peu comme les AmĂ©ricains au Vietnam.

Ken Thompson se retrouve donc sans projet officiel, avec juste un vieux PDP-7 qui traĂźnait dans un coin du labo. Cette antiquitĂ© informatique de Digital Equipment Corporation, sortie en 1964, avait 8K de mĂ©moire (oui, kilooctets, pas mĂ©ga) et coĂ»tait 72 000 dollars de l’époque. Pour vous donner une idĂ©e, c’est moins puissant qu’une calculatrice.

Ken et Dennis (source)

A l’époque, pour jouer Ă  Space Travel, une simulation spatiale qu’il avait codĂ©e lui-mĂȘme, Ken utilisait un autre ordinateur. Plus exactement un mainframe GE-645 avec lequel une partie lui coĂ»tait 75 dollars en temps CPU. À ce prix-lĂ , autant s’acheter une vraie fusĂ©e. Et lĂ , c’est le destin qui frappe, car Ă  l’étĂ© 1969, pendant que Neil Armstrong marchait sur la Lune, Bonnie Thompson (la femme de Ken) part en vacances chez les beaux-parents avec leur nouveau-nĂ© pour 3 semaines. Ken se retrouve donc cĂ©libataire temporaire avec un PDP-7, du temps libre et une seule mission : porter Space Travel sur cette machine pour pouvoir jouer sans se ruiner.

Space Travel (source)

Ce que Ken n’avait pas prĂ©vu, c’est qu’il allait devoir tout réécrire from scratch. Y’a pas de systĂšme d’exploitation sur le PDP-7, rien, nada, alors il s’y met : systĂšme de fichiers, Ă©diteur de texte, assembleur, debugger, tout y passe. Il code comme un fou, et au bout de quelques semaines, il rĂ©alise qu’il vient de crĂ©er un systĂšme d’exploitation complet. Par accident. Pour un jeu vidĂ©o.

Dennis Ritchie, qui suivait les bidouillages de son pote avec intĂ©rĂȘt, lui file un coup de main et Brian Kernighan, un autre gĂ©nie du labo, trouve le nom parfait : “Unics” (Uniplexed Information and Computing Service), une blague sur Multics. Parce que contrairement Ă  ce monstre complexe, leur systĂšme ne supportait qu’un seul utilisateur Ă  la fois. Le nom Ă©voluera vite en “Unix” parce que c’était plus cool Ă  prononcer.

En deux mois, pendant l’étĂ© 69, ils ont ainsi pondu les bases d’Unix. Thompson a mĂȘme dĂ©veloppĂ© une philosophie qui guide encore l’informatique aujourd’hui : “Faire une chose et la faire bien”. Chaque programme Unix Ă©tait conçu pour ĂȘtre simple, modulaire, et pouvoir communiquer avec les autres via des pipes. C’est tout con, mais c’est gĂ©nial.

En 1970, pour avoir plus de ressources, ils expliquent Ă  leur boss, qu’Unix pourrait servir pour du traitement de texte. Bell Labs leur file un PDP-11/20 tout neuf Ă  65 000 dollars. Cette machine, c’était la Rolls des mini-ordinateurs : 24K de mĂ©moire, des disques durs, le grand luxe.

Ken invente alors le langage B, basĂ© sur BCPL (Basic Combined Programming Language). Sauf que quand ils migrent Unix vers le PDP-11, B montre ses limites : pas de types de donnĂ©es, pas de structures, bref, c’était trop “basique”.

Dennis, pas du genre Ă  lĂącher l’affaire, se retrousse les manches et crĂ©e le langage C durant la pĂ©riode 1972-1973. Le nom ? Bah c’est la lettre aprĂšs B, ils ne se sont pas cassĂ© la tĂȘte. Le C, c’était rĂ©volutionnaire, car assez proche de l’assembleur pour ĂȘtre efficace et assez Ă©voluĂ© pour ĂȘtre lisible par un humain normal. Les pointeurs, les structures, les types de donnĂ©es, tout y Ă©tait.

Puis en 1973, Dennis fait un truc de ouf : il réécrit le kernel Unix entier en C. À l’époque, tout le monde pensait qu’un OS devait ĂȘtre Ă©crit en assembleur pour ĂȘtre performant et ces deux mecs venaient de prouver le contraire. Unix devenait portable. On pouvait le faire tourner sur n’importe quelle machine avec un compilateur C. C’était fou !

En 1978, Dennis et Brian Kernighan publient “The C Programming Language”, surnommĂ© le “K&R” par les geeks. Ce bouquin de 228 pages est devenu LA bible du C. La premiĂšre Ă©dition contenait mĂȘme le fameux programme “Hello, World!” qui est devenu le premier truc que tout programmeur Ă©crit.

Petite anecdote marrante, quand Unix a commencĂ© Ă  se rĂ©pandre dans les universitĂ©s amĂ©ricaines durant les annĂ©es 70, Ken distribuait personnellement les bandes magnĂ©tiques 9 pistes le contenant. Chaque envoi Ă©tait mĂȘme accompagnĂ© d’un petit mot manuscrit signĂ© “Love, Ken”. Imaginez recevoir Unix avec un bisou du crĂ©ateur ! C’était ça l’esprit de l’époque
 du partage, de la bienveillance, et zĂ©ro marketing bullshit.

Dans le code source d’Unix Version 6, Dennis Ritchie a Ă©galement Ă©crit le commentaire de code le plus cĂ©lĂšbre de l’histoire de l’informatique. Dans la fonction de context-switching (ligne 2238 du fichier slp.c), il a ajoutĂ© :

/* You are not expected to understand this */

Ce commentaire est devenu culte, et on le retrouve sur des t-shirts, des mugs, des posters dans tous les bureaux de devs du monde. Dennis expliquera plus tard dans un email que c’était dans l’esprit “ça ne sera pas demandĂ© lors de l’examen” et pas du tout un dĂ©fi arrogant contrairement Ă  ce qu’on pourrait penser.

D’ailleurs, le code Ă©tait buggĂ© et mĂȘme eux ne le comprenaient pas complĂštement Ă  l’époque.

En 1984, Ken Thompson balance alors le hack le plus vicieux de l’histoire lors de sa confĂ©rence pour le prix Turing. Il montre comment il pourrait modifier le compilateur C pour injecter automatiquement une backdoor dans Unix. Le truc vraiment diabolique c’est que mĂȘme en lisant tout le code source, impossible de dĂ©tecter le piĂšge. Le compilateur s’auto-infecterait Ă  chaque compilation. Sa conclusion est sans appel : “You can’t trust code that you did not totally create yourself”.

Cette prĂ©sentation, connue sous le nom de “Reflections on Trusting Trust”, a traumatisĂ© toute une gĂ©nĂ©ration de dĂ©veloppeurs.

Dennis, lui, Ă©tait l’antithĂšse totale de Steve Jobs : discret, humble, fuyant les projecteurs comme un vampire fuit l’ail. Sa famille le dĂ©crivait comme “un frĂšre incroyablement gentil, doux, modeste et gĂ©nĂ©reux et Ă©videmment un geek complet. Il avait un sens de l’humour hilarant et une apprĂ©ciation aiguĂ« des absurditĂ©s de la vie”. Rob Pike, son collĂšgue, racontait : “Dennis Ă©tait drĂŽle d’une maniĂšre tranquille. Par exemple, il dĂ©crivait les erreurs dans son propre travail de maniĂšre hilarante”.

Un participant Ă  une confĂ©rence Usenix racontera mĂȘme un peu plus tard cette anecdote qui montre toute l’humilitĂ© de Dennis : “J’ai rencontrĂ© Dennis Ritchie sans le savoir. Il avait Ă©changĂ© son badge avec quelqu’un d’autre pour Ă©viter d’ĂȘtre harcelĂ©. J’ai passĂ© 30 minutes Ă  discuter avec lui en me disant “putain ce mec s’y connaĂźt vraiment bien”. Puis l’autre type est arrivĂ© et a dit “Dennis, j’en ai marre de gĂ©rer tes groupies, reprends ton badge”. Ils ont rééchangĂ© les badges. J’ai regardé  c’était le mec qui avait non seulement Ă©crit le livre que j’avais utilisĂ© pour apprendre le C, mais qui avait inventĂ© le langage lui-mĂȘme.”

Contrairement aux rockstars de la Silicon Valley d’aujourd’hui, Dennis n’a jamais cherchĂ© la cĂ©lĂ©britĂ©. Il prĂ©fĂ©rait coder tranquille dans son coin Ă  Bell Labs, peaufiner Unix et le C, et laisser son travail parler pour lui. Quand il croisait Steve Jobs ou Bill Gates dans des confĂ©rences, personne ne le reconnaissait. Pourtant, sans lui, ni l’iPhone ni Windows n’existeraient, car les deux systĂšmes reposent sur des fondations qu’il a posĂ©es.

Dennis Ritchie est mort le 12 octobre 2011, Ă  70 ans, seul dans son appartement de Berkeley Heights dans le New Jersey. Il vivait en ermite depuis la mort de ses frĂšres et sƓurs. Son corps a Ă©tĂ© dĂ©couvert plusieurs jours aprĂšs sa mort.

Dennis en 2011 (source)

Tandis que la mort de Steve Jobs le 5 octobre 2011 avait fait la une de tous les mĂ©dias du monde, celle du crĂ©ateur du C et d’Unix est passĂ©e quasi inaperçue.

Ken Thompson, lui, continue de nous Ă©tonner. À l’age de 82 ans en 2025, aprĂšs sa retraite de Bell Labs en 2000, il continue de bosser chez Google depuis 2006 sur le langage Go avec Rob Pike et Robert Griesemer. Quand Google a voulu le recruter, ils lui ont demandĂ© de passer un test de compĂ©tence en C. Sa rĂ©ponse ? “Non merci, j’ai inventĂ© le prĂ©dĂ©cesseur du C et Dennis a créé le C lui-mĂȘme”. La classe absolue. Google l’a embauchĂ© direct.

Ken Thompson en 2019 (source)

Surtout que Ken a toujours Ă©tĂ© un passionnĂ© obsessionnel. Dans les annĂ©es 80, il a créé Belle, l’ordinateur d’échecs le plus fort du monde, entiĂšrement cĂąblĂ© en hardware. Cette machine a remportĂ© le championnat du monde des ordinateurs d’échecs plusieurs fois. Le gouvernement amĂ©ricain l’a mĂȘme temporairement confisquĂ© quand Ken a voulu l’emmener en URSS pour un tournoi, de peur qu’elle tombe entre les mains des SoviĂ©tiques ! Belle Ă©tait classĂ©e comme “munition” selon les lois d’exportation amĂ©ricaines. Du dĂ©lire.

ParallĂšlement, Ken avait créé une base de donnĂ©es de 35 000 morceaux de musique dont il avait numĂ©risĂ© une bonne partie, stockĂ©s sur son systĂšme avec un algorithme de compression maison appelĂ© PAC, bien avant l’arrivĂ©e du MP3. Quand les juristes de Bell Labs lui ont demandĂ© s’il Ă©tait dans la lĂ©galitĂ©, il a rĂ©pondu avec son flegme habituel : “J’en collectionne beaucoup”. Ils lui ont rĂ©pondu quelque chose comme : “Il y a du fair use pour la recherche, mais on n’ira pas en prison pour vous, alors vous devez arrĂȘter”. Ken Ă©tant Ken, il a continuĂ© tranquille.

Ken et Rob Pike ont aussi inventĂ© UTF-8 en 1992 lors d’un dĂźner dans un restaurant de New Jersey. Ils ont dessinĂ© l’encodage sur une nappe en papier et aujourd’hui, UTF-8 reprĂ©sente 98% du web.

Ce qui rend cette histoire encore plus belle, c’est l’environnement unique de Bell Labs. Pas de daily standup, pas de sprint planning, pas de rĂ©trospectives, pas de KPI, pas de OKR, pas de management toxique. Juste des gĂ©nies qui se croisent dans les couloirs, discutent devant la machine Ă  cafĂ©, et imaginent les techno de demain. Cette culture collaborative a inspirĂ© tout ce qu’on redĂ©couvre aujourd’hui.

Le partage de code source ? Ils distribuaient Unix gratuitement aux universitĂ©s. La review collaborative ? Ils se relisaient mutuellement sans process formalisĂ©. L’amĂ©lioration continue ? Chaque version d’Unix apportait des innovations. L’open source ? Unix Ă©tait fourni avec son code source complet. Tout ce qu’on pense avoir inventĂ© avec Git, GitHub, et l’agile, ils le pratiquaient naturellement dans les annĂ©es 70.

La philosophie Unix qu’ils ont créée tient en quelques principes simples mais gĂ©niaux. Comme je vous le disais plus haut, il y a d’abord “Faire une chose et la faire bien” oĂč chaque programme Unix est spĂ©cialisĂ©. “Tout est fichier”, une abstraction simple pour tout le systĂšme. “Les programmes doivent pouvoir communiquer”, d’oĂč les pipes qui permettent de chaĂźner les commandes. “PrivilĂ©gier la portabilitĂ© sur l’efficacitĂ©â€, d’oĂč le choix du C plutĂŽt que l’assembleur.

Ces principes, on les retrouve partout aujourd’hui, de Docker aux microservices.

Et aujourd’hui, Unix et ses descendants font tourner absolument tout.

Linux, le clone d’Unix créé par Linus Torvalds en 1991 fait tourner 96.3% des 500 plus gros supercalculateurs du monde, 71% des smartphones (Android), et la majoritĂ© des serveurs web. MacOS et iOS basĂ©s sur Darwin, lui-mĂȘme descendant de BSD Unix. FreeBSD, OpenBSD, NetBSD aussi sont des descendants directs d’Unix. MĂȘme Windows, avec son Windows Subsystem for Linux, est une reconnaissance de la supĂ©rioritĂ© du modĂšle Unix.

Le langage C reste lui aussi indĂ©trĂŽnable pour tout ce qui touche au systĂšme. Le kernel Linux c’est 28 millions de lignes de C. Windows a son noyau est en C. MacOS en C et Objective-C (une extension du C). Les interprĂ©teurs de Python, Ruby, PHP, Perl sont Ă©galement Ă©crits en C. Les bases de donnĂ©es MySQL, PostgreSQL, Redis, SQLite, c’est pareil. Sans parler des navigateurs web, des compilateurs, des machines virtuelles, de l’embarquĂ©, de l’IoT, des systĂšmes critiques dans l’aviation, le spatial, le mĂ©dical
 Du C partout !!

Sans Dennis et Ken, pas de smartphone, pas d’Internet moderne, pas de cloud computing, pas d’intelligence artificielle (les frameworks de deep learning sont Ă©crits en C/C++), pas de jeux vidĂ©o modernes non plus (les moteurs de jeu sont en C++). Ils ont littĂ©ralement créé les fondations sur lesquelles repose toute notre informatique actuelle.

Quand Guido van Rossum a créé Python en 1989, il s’est inspirĂ© de la syntaxe du C et Bjarne Stroustrup a créé C++ en 1979 comme une extension du C “avec des classes”. James Gosling s’est basĂ© lui aussi sur la syntaxe du C pour crĂ©er Java en 1995. Brendan Eich a Ă©galement repris la syntaxe du C pour JavaScript en 1995 (en 10 jours, le fou). MĂȘme les langages modernes comme Rust, Go, Swift, Kotlin, tous portent l’ADN du travail de Dennis.

Ken Thompson dĂ©teste d’ailleurs C++ avec passion : “Il fait beaucoup de choses Ă  moitiĂ© bien et c’est juste un tas d’idĂ©es mutuellement exclusives jetĂ©es ensemble”. Avec Go, qu’il a co-créé chez Google, il a donc voulu revenir Ă  la simplicitĂ© du C originel, mais adaptĂ© au monde moderne du multicore et des rĂ©seaux. Go compile en quelques secondes lĂ  oĂč C++ prend des minutes. La simplicitĂ©, toujours la simplicitĂ©.

Dennis et Ken ont reçu pratiquement tous les prix possibles en informatique. Le prix Turing en 1983 (l’équivalent du Nobel en informatique), la National Medal of Technology en 1998 des mains du prĂ©sident Clinton, le Japan Prize en 2011 (400 000 dollars quand mĂȘme). Ken a Ă©tĂ© Ă©lu Ă  l’AcadĂ©mie Nationale d’IngĂ©nierie en 1980 et Ă  l’AcadĂ©mie Nationale des Sciences en 1985. Mais leur plus grande fiertĂ© c’est de voir leur crĂ©ation utilisĂ©e partout, par tout le monde, tous les jours.

L’histoire de Dennis et Ken nous enseigne plusieurs trucs cruciaux. Tout d’abord que l’innovation naĂźt de la libertĂ© crĂ©ative. Pas de process, pas de roadmap, pas de framework agile, juste la libertĂ© d’explorer et de se planter. C’est comme ça qu’Unix a rĂ©ussi lĂ  oĂč Multics a Ă©chouĂ©, car la complexitĂ© tue l’innovation, toujours.

De mon point de vue, Dennis Ritchie mĂ©rite autant de reconnaissance que Steve Jobs ou Bill Gates, si ce n’est plus. Sans oublier Ken Thompson qui continue de coder Ă  plus de 80 ans chez Google. Quand on lui demande pourquoi il continue, il rĂ©pond simplement : “C’est fun”.

En tout cas, leur philosophie continue d’inspirer encore aujourd’hui avec l’open source, le partage de code, le principe du “faire une chose et la faire bien”
 et ça c’est beau !

VoilĂ , maintenant vous savez pourquoi Unix c’est beau et Windows c’est
 bah c’est Windows quoi. Allez, sortez votre terminal, tapez man unix et saluez ces deux gĂ©nies. Et si vous voulez vraiment leur rendre hommage, apprenez le C, c’est moins chiant que vous pensez et ça vous fera comprendre comment les ordinateurs fonctionnent vraiment.

Et dire qu’à la base, c’était pour faire tourner un jeu vidĂ©o dĂ©bile


Sources : Bell Labs - Dennis Ritchie Home Page, Wikipedia - Dennis Ritchie, Wikipedia - Ken Thompson, ACM Turing Award - Dennis Ritchie, ACM Turing Award - Ken Thompson, Brian Kernighan on Dennis Ritchie, Ken Thompson - Reflections on Trusting Trust

Quand vos webcams Lenovo vous espionnent

Par : Korben
11 août 2025 à 12:01

Imaginez. Vous ĂȘtes tranquillement en train de bosser sur votre PC, votre webcam Lenovo tranquillement posĂ©e sur votre Ă©cran, et vous ne vous doutez de rien. Sauf que pendant ce temps, un cybercriminel Ă  l’autre bout du monde a trafiquĂ© votre innocente camĂ©ra pour qu’elle tape des commandes sur votre clavier sans que vous ne voyiez rien. Et mĂȘme si vous formatez votre PC, elle continuera son petit manĂšge.

C’est exactement ce qu’ont rĂ©ussi Ă  dĂ©montrer les chercheurs d’Eclypsium lors de la DEF CON 33. Paul Asadoorian, Mickey Shkatov et Jesse Michael ont en effet dĂ©couvert une faille monumentale dans les webcams Lenovo 510 FHD et Performance FHD. Le bug, baptisĂ© BadCam et rĂ©fĂ©rencĂ© sous la CVE-2025-4371, et permet de transformer Ă  distance ces webcams en dispositifs BadUSB.

Pour ceux qui ne connaissent pas BadUSB, c’est une technique d’attaque qui fait croire Ă  votre ordinateur qu’un pĂ©riphĂ©rique USB est autre chose que ce qu’il prĂ©tend ĂȘtre. Dans ce cas, votre webcam peut soudainement se faire passer pour un clavier et commencer Ă  taper des commandes, sauf qu’ici, c’est encore pire puisque l’attaque peut se faire entiĂšrement Ă  distance, sans que personne ne touche physiquement Ă  votre webcam.

Le problĂšme vient du fait que ces webcams tournent sous Linux avec un processeur ARM SigmaStar SSC9351D. Elles utilisent le USB Gadget subsystem de Linux, qui permet Ă  un pĂ©riphĂ©rique USB de changer de rĂŽle. Normalement, c’est pratique pour faire du debug ou crĂ©er des pĂ©riphĂ©riques multifonctions. Mais dans le cadre de cette exploitation de bug, c’est pas foufou.

Ainsi, un attaquant qui a dĂ©jĂ  un accĂšs distant Ă  votre machine (via un malware classique par exemple) peut identifier votre webcam Lenovo connectĂ©e. Il pousse alors une mise Ă  jour firmware malveillante vers la camĂ©ra. Puis la webcam devient alors un dispositif BadUSB qui peut injecter des commandes clavier, installer des backdoors, voler vos mots de passe
 bref, tout ce qu’un clavier peut faire en fait.

Et le plus “drĂŽle” c’est que la webcam continue de fonctionner normalement en tant que camĂ©ra. Vous pouvez donc toujours faire vos visios Zoom en slip, car elle filme toujours et rien ne laisse supposer qu’elle est compromise. Et comme le malware rĂ©side dans le firmware de la webcam et non sur votre disque dur, vous pouvez reformater votre PC autant de fois que vous voulez, la webcam restera infectĂ©e et rĂ©infectera votre systĂšme Ă  chaque redĂ©marrage.

Les chercheurs ont aussi dĂ©couvert un autre vecteur d’attaque encore plus vicieux. Un attaquant peut vous envoyer une webcam dĂ©jĂ  backdoorĂ©e par la poste. Genre un “cadeau” d’entreprise ou une webcam d’occasion sur LeBonCoin. Vous la branchez, et hop, vous ĂȘtes compromis. La webcam peut alors recevoir des commandes Ă  distance et compromettre votre systĂšme quand l’attaquant le dĂ©cide.

Et c’est pas la premiĂšre fois que des experts en sĂ©curitĂ© dĂ©montrent qu’un pĂ©riphĂ©rique USB Linux dĂ©jĂ  connectĂ© peut ĂȘtre transformĂ© en cyberarme exploitable Ă  distance. Avant, les attaques BadUSB nĂ©cessitaient un accĂšs physique pour brancher un pĂ©riphĂ©rique malveillant mais lĂ , on peut “weaponiser” un pĂ©riphĂ©rique lĂ©gitime qui est dĂ©jĂ  sur votre bureau.

Le cƓur du problĂšme c’est que ces webcams ne vĂ©rifient pas la signature du firmware qu’on leur envoie. N’importe qui peut pousser n’importe quel firmware, et la webcam l’accepte les yeux fermĂ©s. C’est comme si votre porte d’entrĂ©e acceptait n’importe quelle clĂ©, mĂȘme un cure-dent.

Bien sĂ»r, Lenovo a Ă©tĂ© prĂ©venu en avril dernier et a sorti un correctif (firmware version 4.8.0) en aoĂ»t, juste avant la prĂ©sentation Ă  la DEF CON. Ils ont bossĂ© avec SigmaStar pour crĂ©er un outil d’installation qui vĂ©rifie maintenant les signatures. Mais comme pour Winrar, combien d’utilisateurs vont vraiment mettre Ă  jour le firmware de leur webcam ? Personne ne fait ça, j’crois


Et le problĂšme va bien au-delĂ  de ces deux modĂšles Lenovo car les chercheurs d’Eclypsium ont indiquĂ© que n’importe quel pĂ©riphĂ©rique USB qui tourne sous Linux avec le USB Gadget subsystem pourrait ĂȘtre vulnĂ©rable. On parle donc de milliers de modĂšles de webcams, mais aussi de dispositifs IoT, de hubs USB, et mĂȘme de certains claviers gaming haut de gamme qui embarquent Linux.

VoilĂ , donc pour vous protĂ©ger, si vous avez une Lenovo 510 FHD ou Performance FHD, foncez sur le site de support Lenovo et installez la mise Ă  jour firmware 4.8.0. Et pour les autres webcams, c’est pareil, mĂ©fiez-vous et mettez Ă  jour, car peut-ĂȘtre qu’elle pourrait faire des trucs qu’elle ne devrait pas pouvoir faire.

A partir de maintenant, tout ce qui se connecte à un port USB est votre ennemi !! Oui, surtout ce petit ventilo acheté sur Temu la semaine derniÚre


YouTube Music Desktop - L'app qui ridiculise Google

Par : Korben
11 août 2025 à 10:36

Parfois, je me demande ce que foutent les équipes de Google
 Un mec tout seul vient de créer une version desktop de YouTube Music qui explose littéralement la version web officielle et son interface web basique qui balance des pubs toutes les trois chansons.

L’app s’appelle YouTube Music Desktop, et c’est un projet open source disponible sur GitHub qui fait exactement ce que Google devrait faire depuis des annĂ©es. Le dĂ©veloppeur a pris Electron, a wrappĂ© l’interface web de YouTube Music dedans, et puis il a ajoutĂ© tout ce qui manque cruellement Ă  la version officielle.

Du coup on obtient une app desktop qui tourne sur Windows, Mac et Linux, codĂ©e par un seul mec qui surpasse complĂštement le produit officiel d’une boĂźte qui pĂšse 2000 milliards de dollars. Ce truc bloque toutes les pubs et le tracking par dĂ©faut, vous pouvez tĂ©lĂ©charger vos morceaux en MP3 ou Opus pour les Ă©couter offline. Et y’a des raccourcis clavier natif qui fonctionnent sur tous les OS. Il y a mĂȘme un Ă©galiseur et un compresseur audio intĂ©grĂ©s pour amĂ©liorer le son.

Mais le meilleur c’est le systĂšme de plugins. On peut y ajouter des extensions en un clic pour ajouter exactement les fonctionnalitĂ©s que vous voulez. Discord Rich Presence pour montrer Ă  vos potes ce que vous Ă©coutez, des lyrics synchronisĂ©es qui s’affichent en temps rĂ©el, un mode ambient qui change les couleurs de l’interface selon l’album, du backup local de playlists, l’ajout dans la touchBar sous Mac
etc et le tout sans avoir Ă  fouiller dans du code ou des configs compliquĂ©es.

Pour l’installer, c’est super simple. Sur Windows, passez par Scoop ou Winget. Sur Mac, c’est Homebrew avec un simple brew install th-ch/youtube-music/youtube-music. Sur Linux, vous avez des packages pour toutes les distros majeures.

L’app pĂšse moins de 100MB et consomme moins de RAM que l’onglet YouTube Music dans Chrome. D’ailleurs, il n’y a pas que cette version. YTMDesktop propose une alternative similaire avec une interface un peu diffĂ©rente et un focus sur l’intĂ©gration systĂšme. AprĂšs c’est une question de goĂ»t


Bref, cette app montre exactement ce que YouTube Music pourrait ĂȘtre si Google se bougeait le cul. Ce sont des trucs basiques que les utilisateurs demandent depuis le lancement du service mais comme Google est plus concentrĂ© Ă  faire payer un abonnement Premium Ă  11€ par mois qu’à proposer des fonctionnalitĂ©s cools, bah voilà


Évidemment, cette app pourrait arrĂȘter de fonctionner du jour au lendemain si Google dĂ©cide de changer son API ou d’en bloquer l’accĂšs mais pour l’instant, ils laissent faire. Donc si vous en avez marre de YouTube Music dans le navigateur, ou que vous voulez stopper votre abonnement Spotify parce qu’il a encore augmentĂ©, foncez. L’app est gratuite, open source, et fait tout mieux que la version officielle.

Merci à Lilian pour la découverte !

WinRAR troué par les Russes

Par : Korben
11 août 2025 à 09:58

WinRAR, vous savez, le truc que tout le monde a sur son PC pour dĂ©compresser des fichiers et dont personne ou presque ne paye la licence ? Bah il vient de se faire trouer comme jamais. En effet un groupe de hackers russes exploite actuellement une faille zero-day pour installer des backdoors sur les machines et le pire dans tout ça, c’est que vous avez probablement WinRAR installĂ© depuis des annĂ©es sans jamais l’avoir mis Ă  jour.

La faille en question, c’est la CVE-2025-8088, une vulnĂ©rabilitĂ© de type directory traversal qui a Ă©tĂ© dĂ©couverte le 9 janvier dernier. En gros, quand vous ouvrez une archive RAR piĂ©gĂ©e, le malware peut s’installer oĂč il veut sur votre systĂšme, notamment dans le dossier de dĂ©marrage de Windows. RĂ©sultat, Ă  chaque fois que vous allumez votre PC, la backdoor se lance automatiquement.

DerriĂšre cette attaque, on trouve le groupe RomCom, aussi connu sous les noms Storm-0978, Tropical Scorpius, Void Rabisu ou UNC2596. Ces mecs sont liĂ©s Ă  la Russie et sont actifs dans le cyber-espionnage depuis plusieurs annĂ©es. Leur mode opĂ©ratoire est simple
 Ils vous envoient des emails de phishing avec des piĂšces jointes RAR qui ont l’air lĂ©gitimes. Genre un faux document de votre banque ou une facture bidon.

Ce qui rend cette vulnĂ©rabilitĂ© particuliĂšrement vicieuse, c’est la mĂ©thode d’exploitation. Comme je vous l’expliquais en intro, les fichiers malveillants peuvent ĂȘtre placĂ©s directement dans le dossier Windows Startup sans aucune alerte de sĂ©curitĂ©, permettant au malware de s’exĂ©cuter automatiquement Ă  chaque dĂ©marrage. Vous dĂ©compressez le fichier, vous pensez que tout va bien, mais en rĂ©alitĂ© vous venez d’installer un backdoor qui donnera accĂšs complet Ă  votre machine aux hackers.

RARLAB, la sociĂ©tĂ© derriĂšre WinRAR, a publiĂ© en urgence la version 7.02 le jour mĂȘme de la dĂ©couverte, sauf que voilĂ  le problĂšme : WinRAR n’a pas de systĂšme de mise Ă  jour automatique. Ça veut dire que les 500 millions d’utilisateurs dans le monde doivent aller manuellement tĂ©lĂ©charger et installer la nouvelle version. Combien vont vraiment le faire ? On peut parier que dans 6 mois, 90% des gens auront toujours la version vulnĂ©rable.

D’ailleurs, c’est pas la premiĂšre fois que WinRAR se fait avoir cette annĂ©e. En juin 2025, une autre faille critique CVE-2025-6218 avec un score CVSS de 7.8 permettait l’exĂ©cution de code Ă  distance. Et il y a aussi eu la CVE-2025-31334 qui permettait de contourner le Mark of the Web, cette protection Windows qui vous avertit quand vous ouvrez un fichier tĂ©lĂ©chargĂ© d’Internet.

Les chercheurs en sĂ©curitĂ© qui ont analysĂ© les attaques RomCom ont dĂ©couvert que le groupe cible principalement des organisations gouvernementales et militaires en Ukraine et dans les pays de l’OTAN. Selon Security Affairs, les attaquants utilisent des leurres trĂšs Ă©laborĂ©s, comme de faux documents sur des exercices militaires ou des rapports de renseignement.

Le malware RomCom lui-mĂȘme est une saloperie bien rodĂ©e. Une fois installĂ©, il peut voler vos identifiants, enregistrer vos frappes clavier, faire des captures d’écran, et mĂȘme activer votre webcam. Les hackers peuvent aussi l’utiliser comme point d’entrĂ©e pour dĂ©ployer d’autres malwares, notamment des ransomwares qui chiffrent tous vos fichiers.

C’est quand mĂȘme couillon cette absence totale de mise Ă  jour automatique dans WinRAR. On est en 2025, et mĂȘme ma cafetiĂšre se met Ă  jour toute seule ! Alors comment un logiciel aussi rĂ©pandu peut encore fonctionner comme dans les annĂ©es 90 ? RARLAB justifie ça en disant qu’ils veulent Ă©viter de “dĂ©ranger” les utilisateurs. Mais lĂ , le dĂ©rangement c’est de se faire pirater parce qu’on n’a pas pensĂ© Ă  vĂ©rifier manuellement les mises Ă  jour.

Pour vous protĂ©ger, c’est simple mais chiant
 Allez sur le site officiel de WinRAR (attention aux faux sites), tĂ©lĂ©chargez la version la plus rĂ©cente, et installez-la par-dessus votre ancienne version. VĂ©rifiez bien dans le menu Aide que vous avez la bonne version aprĂšs installation. Et surtout, mĂ©fiez-vous des archives RAR que vous recevez par email ou que vous tĂ©lĂ©chargez. Si vous avez un doute, utilisez un sandbox ou une machine virtuelle pour les ouvrir.

Les entreprises sont particuliĂšrement Ă  risque parce qu’elles ont souvent des versions anciennes de WinRAR dĂ©ployĂ©es sur des centaines de postes et avec le tĂ©lĂ©travail, c’est encore pire car les employĂ©s utilisent leurs PC perso avec des versions obsolĂštes pour ouvrir des fichiers pro. C’est la porte ouverte Ă  toutes les fenĂȘtres, comme dirait l’autre !

Bref, encore une fois, c’est souvent les trucs basiques qu’on nĂ©glige qui nous font tomber. Faites-vous une faveur et mettez Ă  jour WinRAR maintenant, ou mieux, passez Ă  7-Zip qui est open source et se met Ă  jour plus rĂ©guliĂšrement.

Source

❌
❌