Vous codez seul la nuit comme un petit lutin tout triste, paria de la société ? Et bien si je vous disais que vos collègues peuvent éditer vos fichiers en temps réel, directement dans votre Neovim ? Ce serait pas le feu ça ?
Ethersync vient de débarquer et c’est exactement ce qu’il propose à savoir transformer n’importe quel éditeur de texte en espace de collaboration instantané. Comme un Google Docs mais en local, peer-to-peer et chiffré.
Le projet a été présenté au FOSDEM 2025 par blinry, et la démo m’a scotché. En gros, vous tapez ethersync share dans votre terminal, un code apparaît du style “5-hamburger-endorse”, et de son côté, votre collègue tape ethersync join 5-hamburger-endorse et boom, vous éditez les mêmes fichiers en temps réel. Pas de serveur, pas de cloud, juste une connexion P2P chiffrée entre vos machines.
Ce qui rend Ethersync génial, c’est qu’il fonctionne avec VOTRE éditeur préféré. Neovim, VS Code, et bientôt Emacs et JetBrains grâce aux plugins communautaires en développement comme ça plus besoin de forcer tout le monde sur le même outil. Chacun garde ses habitudes, ses raccourcis, ses configurations. L’interopérabilité est totale !
Le secret technique derrière cette magie ce sont les CRDT (Conflict-free Replicated Data Types) via Automerge. En gros, c’est une structure de données qui permet à plusieurs personnes de modifier le même document sans créer de conflits. Chaque modification est enregistrée comme une opération, et l’algorithme sait comment les fusionner intelligemment. Même si vous travaillez hors ligne et que vous vous reconnectez plus tard, tout se synchronise nickel.
Mais Ethersync va plus loin qu’Etherpad ou Google Docs car il ne se contente pas d’un seul fichier mais synchronise des projets entiers ! Vous partagez un dossier, et tout ce qui s’y trouve devient collaboratif. Fichiers sources, documentation, configs… tout est synchronisé en temps réel ce qui en fait le complément parfait à Git pour la collaboration instantanée.
L’architecture est d’ailleurs brillante. Il y a un daemon qui tourne en arrière-plan et gère la synchronisation via Iroh (une bibliothèque Rust qui permet d’établir des connexions directes entre pairs via QUIC, avec du hole-punching et des relais de secours) ainsi que Magic Wormhole (que vous connaissez, pour l’établissement de connexion facile avec des codes courts).
Les éditeurs communiquent alors avec le daemon via un protocole JSON-RPC tout simple. Du coup, créer un nouveau plugin est relativement facile si vous voulez supporter votre éditeur exotique préféré.
Et surtout, niveau sécurité, c’est du solide. Comme, je vous le disais, toutes les connexions sont chiffrées de bout en bout, et y’a pas de serveur central qui pourrait être compromis. Comme ça, VOS données restent sur VOS machines et si même internet tombe parce que c’est la fin du monde, vous pourrez continuer à collaborer en local sur le même réseau.
Pour l’installer sous Linux/macOS, vous récupérez le binaire statique depuis GitHub, vous le mettez dans votre PATH, et c’est parti. Les utilisateurs d’Arch ont même un paquet AUR (yay -S ethersync-bin). Pour Android, ça marche dans Termux et pour les amateurs de Nix, il y a un flake officiel.
Ce projet est encore jeune et en développement actif mais l’équipe l’utilise au quotidien donc ça se bonifie avec le temps. D’ailleurs, la bonne nouvelle c’est que ça a été financé par NLNet via leur fonds NGI0 Core pour 2024, et par le Prototype Fund allemand pour 2025. Ça garantit comme ça un développement sérieux et en continu.
Bref, que ce soit pour du pair programming, mais aussi de la prise de notes collaborative, de la rédaction de documentation à plusieurs, de la sessions de debug en équipe…etc, ça devrait bien faire le taf et contrairement aux partages d’écran, chacun garde le contrôle de son environnement.
Si vous voulez tester, c’est le moment car le projet recherche des retours, des testeurs, et des contributeurs pour créer de nouveaux plugins. La documentation est claire, le code est propre et l’équipe est réactive !
De la collaboration fluide et instantanée, directement dans votre environnement de travail habituel, comme on aime !
2,4 milliards de dollars, c’est le montant des dégâts causés par un seul groupe de hackers russes entre 2019 et 2024. Et le truc marrant dans cette histoire c’est qu’en mai 2025, ces mêmes génies de la cybercriminalité se sont fait pirater par des hackers anonymes qui ont balancé tous leurs secrets sur Internet.
C’est vrai que j’ai toujours eu un faible pour les histoires de David contre Goliath, sauf que là, c’est l’inverse. C’est l’histoire de Goliath qui terrorise la planète entière avant de se prendre une pierre dans la gueule, et cette pierre, elle ne vient pas d’où vous croyez.
Le logo menaçant de LockBit qui a fait trembler des milliers d’entreprises
Septembre 2019, Dmitry Yuryevich Khoroshev, 26 ans, est développeur informatique lambda dans la grisaille de Omsk, en Sibérie. Le gars bosse probablement pour 300 euros par mois, galère à payer son appart communiste, et regarde les oligarques russes se goinfrer à la télé. Vous voyez le tableau ? Frustration maximale.
Alors Dmitry, il a une idée. Une idée de génie maléfique, si on peut dire. Au lieu de rester dans son coin à développer des sites web foireux, pourquoi ne pas créer le ransomware le plus puissant de la planète ? Après tout, c’est juste du code, et lui, il sait coder.
Les premières attaques commencent donc discrètement. Son bébé s’appelle encore “virus .abcd”, ouais, naze comme nom, hein ? C’est l’extension qu’il colle aux fichiers chiffrés. Mais bon, même Steve Jobs a commencé avec l’Apple I dans un garage. Dmitry, c’est pareil, sauf que son garage c’est l’internet russe et son Apple I c’est un malware qui va faire trembler Boeing et TSMC.
En janvier 2020, notre futur empereur du crime débarque sur un forum cybercriminel russophone et cette fois, il a trouvé le bon nom : LockBit. Percutant, efficace, ça sonne comme une marque de cadenas allemand. Et c’est exactement ça, un cadenas numérique inviolable sur vos données les plus précieuses.
Mais Dmitry, il est malin. Plus malin que tous ces script kiddies qui piratent 3 serveurs et se prennent pour Anonymous. Lui, il a compris le truc : pourquoi faire le boulot tout seul quand on peut créer une franchise criminelle ?
Vous connaissez le Software-as-a-Service ? Salesforce, Office 365, tout ça ? Et bien Dmitry a inventé le Crime-as-a-Service. Et franchement, côté business model, c’est du génie pur.
L’interface du site de leak de LockBit où les victimes voyaient leurs données exposées
Leur interface d’administrationn, c’est du niveau de ce qu’on fait en entreprise pour des clients légitimes. Interface point-and-click, tableaux de bord avec statistiques en temps réel, générateur automatique de ransomware personnalisé. Même leur FAQ était mieux foutue que celle de la plupart des startups parisiennes.
Mais le coup de génie, c’est le recrutement. LockBit ne prend pas n’importe qui. Non, ils chassent les experts en pentest qui maîtrisent Metasploit et Cobalt Strike. Des gars qui savent réellement s’infiltrer dans un réseau d’entreprise, pas juste télécharger un script sur GitHub. C’est la différence entre un cambrioleur amateur et un perceur de coffres-forts suisse.
Et contrairement aux autres gangs de ransomware qui se payent d’abord et donnent les miettes aux affiliés, LockBit fait l’inverse. Les affiliés touchent leur part directement, puis reversent la commission. C’est psychologiquement très fort car ça donne l’impression d’être un partenaire, pas un employé.
Puis en juin 2021, LockBit 2.0 débarque. Interface encore plus léchée, nouvelles fonctionnalités, vitesse de chiffrement améliorée. Dmitry soigne son produit comme Tim Cook soigne l’iPhone. Et ça marche ! Les affiliés se bousculent au portillon.
Mais parlons peu, parlons chiffres concrets. Selon les rapports du FBI, entre janvier 2020 et mai 2023, il y a eu plus de 1700 attaques rien qu’aux États-Unis et 91 millions de dollars de rançons payées officiellement. Et ça, c’est juste ce qu’on sait. La réalité doit être 5 fois plus importante.
Ce qui m’impressionne le plus, c’est quand même leur professionnalisme. Regardez leurs négociations avec les victimes (et oui, on peut les lire maintenant grâce aux fuites de 2025), c’est du niveau relation client d’Amazon. Ils expliquent le processus, rassurent sur la récupération des données, proposent même des facilités de paiement. Du grand art.
Le système technique de LockBit, c’est également du costaud. Chiffrement AES-256 bits combiné avec RSA-2048 pour les clés. Et surtout double extorsion systématique : on chiffre vos données ET on les exfiltre. Si vous ne payez pas, non seulement vous ne récupérez rien, mais en plus on balance tout sur le net. C’est vicieux mais efficace.
La vitesse de chiffrement ? C’est 100 000 fichiers par minute sur un serveur standard. Avec leur builder, en 3 clics, vous générez un ransomware personnalisé avec votre adresse Bitcoin, votre message de rançon, vos exclusions de fichiers. C’est le McDonald’s du crime, rapide, standardisé, efficace.
Dmitry, pendant ce temps, se paye une vie de milliardaire. 100 millions de dollars personnels. À 29 ans, parti de développeur sibérien à 300 euros par mois il vit son rêve russe, version cybercriminelle.
Sauf que comme tous les empires, LockBit avait ses failles. Et les gentils de ce monde préparaient leur contre-attaque.
Le site de LockBit après sa saisie lors de l’Opération Cronos - “Cette page est maintenant sous le contrôle des forces de l’ordre”
Février 2024 c’est l’Opération Cronos. Le nom fait classe, vous trouvez pas ? Cronos, le titan qui dévore ses enfants dans la mythologie grecque, c’est le symbole parfait pour une opération qui va bouffer LockBit de l’intérieur.
10 pays mobilisés. France, Royaume-Uni, États-Unis, Allemagne, Pays-Bas, Suisse, Japon, Australie, Canada, Suède. Quand vous voyez une coalition pareille, vous savez que ça va saigner. L’ANSSI, la Gendarmerie, le FBI, Europol selon le communiqué officiel… Tout l’alphabet de la lutte anti-cybercrime mobilisé. Et leur plan est chirurgical et impitoyable.
34 serveurs saisis d’un coup, 200 comptes cryptomonnaies gelés, 14 000 comptes en ligne fermés. Et surtout plus de 1000 clés de déchiffrement récupérées pour aider les victimes. C’est du level débarquement de Normandie, version bits et octets et en une nuit, 5 ans d’empire criminel réduits en cendres.
Et les détails personnels révélés sont nombreux… né le 17 avril 1993, passeport russe numéro 2006801524…etc. Le mec qui terrorisait la planète a maintenant sa date d’anniversaire sur Wikipedia. Happy birthday, Dmitry !
Dmitry Khoroshev sur l’affiche du FBI avec 10 millions de dollars de récompense
Bref, la machine de guerre LockBit, construite durant 5 ans, détruite en 48 heures. Game over.
Enfin… c’est ce qu’on croyait.
Parce que évidemment, Dmitry n’allait pas ranger ses affaires et ouvrir un kebab à Omsk. Quelques semaines après Cronos, LockBit refait surface. Sites web recréés, affiliés remobilisés, nouvelles victimes revendiquées. Le gars a même eu les couilles de narguer le FBI publiquement. “Le FBI bluffe, je ne suis pas Dmitry” a-t-il déclaré selon The Record. Bon, c’est pas exactement ce qu’il a dit parce que je ne parle pas russe, mais l’idée est là.
Et là, j’avoue, j’ai respecté. Pas pour le crime, hein. Mais pour la ténacité. Se faire démanteler par une coalition internationale et revenir au combat 3 semaines plus tard, faut avoir des burnes en titanium. Ou être complètement barré. Ou les deux.
LockBit 4.0 est même annoncé pour février 2025. Nouvelle version, nouvelles fonctionnalités, nouveau marketing. Dmitry fait du Steve Jobs version criminelle avec une keynote par an pour présenter les nouvelles features de son ransomware.
Sauf que cette fois, il y avait quelqu’un d’autre qui préparait un coup. Quelqu’un que personne n’avait vu venir.
Le message laissé par les mystérieux hackers de Prague : “Don’t do crime, crime is bad xoxo from Prague”
Mai 2025. Je suis tranquillement en train de checker mes flux RSS quand je tombe sur ça : “LockBit Infrastructure Breached”. Evidemment, je vérifie et là… bordel. Quelqu’un avait vraiment piraté LockBit. Pas les serveurs publics, non. Leur infrastructure interne. Le saint des saints. Leurs bases de données privées.
Le message sur leur site web défiguré est le suivant “Don’t do crime, crime is bad xoxo from Prague.” C’est exactement le même message que celui affiché après le piratage du groupe Everest en avril. C’est une signature, un trolling de niveau galactique.
Mais le meilleur restait à venir, parce que nos pirates anonymes, n’ont pas juste défiguré le site. Ils ont divulgué toute la base de données de LockBit. Absolument tout. 59 975 adresses Bitcoin, plus de 4400 conversations avec les victimes. Les mots de passe des admins stockés en clair. Les détails financiers. L’infrastructure technique. Les pseudos des affiliés. Même leurs querelles internes.
Bref, c’est une mine d’or pour comprendre comment fonctionne vraiment un empire criminel de l’intérieur.
Les mots de passe d’abord. “Weekendlover69”. “MovingBricks69420”. “Lockbitproud231”. Sérieusement ? L’empire cybercriminel le plus sophistiqué de la planète protégé par des mots de passe de collégien travaillé par ses hormones ?
Et puis les conversations internes, c’est bien naze… “I hate that idiot Leo.” “Too many ID chat windows, I will establish communication again later.” Des pirates épuisés, stressés, qui s’engueulent comme dans n’importe quelle boîte. La légende du cybercriminel concentré et froid qui s’effrite en direct…
Les chats internes de LockBit
Mais le plus humiliant, ce sont les statistiques commerciales. Sur 210 négociations de rançon entre décembre 2024 et avril 2025, seulement 15 ont abouti à un paiement. 7,1% de taux de conversion. 615 000 dollars récoltés sur la période, c’est le chiffre d’affaires d’une PME française lambda.
Hé oui, l’empire qui faisait trembler Boeing et TSMC génère moins de thunes qu’un salon de coiffure à Arras. C’est la vérité derrière le rideau de fer et cerise sur le gâteau, on a aussi accès à leurs outils d’attaque, les URLs pour tester les failles XSS, les domaines .onion sur TOR, les infrastructures automatisées…etc. Tout ça divulgué publiquement.
Mais au-delà de l’humiliation, ces fuites révèlent des trucs fascinants sur l’économie souterraine du ransomware. Parce que oui, c’est vraiment une économie, avec ses règles, ses acteurs, ses marges.
Le modèle RaaS de LockBit, c’est du franchising pur où l’affilié paie entre 40 et plusieurs milliers de dollars par mois pour accéder aux outils et en échange, il bénéficie de l’infrastructure, du support technique, et même de formations.
Leur panel d’administration est plus ergonomique que la plupart des outils légitimes que j’utilise au quotidien. Gestion des victimes, génération automatique de variants du ransomware, outils de chiffrement/déchiffrement, même un module de business intelligence pour analyser les performances.
Et leur support client avec les victimes est redoutable d’efficacité. Ils ont des templates, des procédures, des escalades. Comme dans n’importe quel centre d’appels, sauf qu’au lieu de vous vendre un crédit conso ou des panneaux solaires, ils vous expliquent comment payer 50 millions en Bitcoin.
Ce qui me fascine le plus, c’est leur compréhension de la psychologie des victimes. Ils rassurent, promettent la confidentialité, proposent des “tests” de déchiffrement pour prouver qu’ils peuvent vraiment récupérer les données et ils ont même des réductions pour payement rapide. C’est du marketing pur.
L’innovation continue aussi. StealBit, leur logiciel d’exfiltration de données maison, des mises à jour régulières du ransomware, une veille concurrentielle sur les autres gangs… Bref, c’est une vraie startup, qui est juste illégale.
Et surtout derrière les gros titres Boeing et TSMC, il y a des milliers de victimes invisibles. PME françaises, hôpitaux de province, mairies de communes de 2000 habitants. Eux, ils n’ont pas 200 millions en cash pour négocier. LockBit visait méthodiquement les maillons faibles.
Et puis il y a les hôpitaux. Corbeil-Essonnes en août 2022. Dix millions de dollars de rançon pour un hôpital public français. Vous imaginez la gueule du directeur quand il a découvert que tous les dossiers médicaux étaient chiffrés ? Les urgences à l’arrêt, les patients renvoyés dans d’autres établissements. Et Dmitry et sa bande, ils s’en foutent. Business is business.
Puis Cannes en avril 2024. Encore un hôpital français. Dmitry, il a visiblement un kink avec notre système de santé. Peut-être que sa mère a mal été soignée dans un hôpital russe et qu’il se venge sur nous ? Allez savoir la psychologie d’un cyber-psychopathe.
Ce qui me rend dingue, c’est cette asymétrie. On parle quand même d’un mec de 30 ans qui depuis son appart de Omsk, peut paralyser l’hôpital d’une ville de 50 000 habitants en France. 10 lignes de code bien placées et hop, 500 lits d’hôpital hors service.
LockBit avait pourtant promis de ne jamais attaquer les hôpitaux. Une “règle éthique” de leur programme RaaS, mais bon, l’éthique chez les criminels, c’est comme les promesses d’un politique, ça vaut pas tripette. Mais heureusement, il y a aussi les gentils. Et eux, ils ont pas chômé.
Car l’Opération Cronos selon la National Crime Agency, c’est pas juste de la com’. Derrière, il y a des centaines d’enquêteurs qui ont bossé pendant des années. Des types de l’ANSSI qui passent leurs nuits à traquer des serveurs en Ukraine. Des agents du FBI qui apprennent le russe pour infiltrer les forums. Des gendarmes français qui comprennent mieux les cryptomonnaies que 99% des français.
Et puis il y a les anonymes de Prague. Parce que oui, c’est forcément des Tchèques puisque le message le dit (lol). Ces gars-là, ils ont réussi là où 10 gouvernements avaient échoué. Infiltrer complètement LockBit et balancer toutes leurs données.
Ce qui me plaît surtout dans cette histoire, c’est qu’on voit que la tech peut être utilisée dans les deux sens. Dmitry a utilisé son talent pour faire du mal. Les anonymes de Prague ont utilisé le leur pour rétablir l’équilibre. Le code n’est ni bon ni mauvais, tout dépend de qui tape sur le clavier.
Entre juin 2022 et février 2024, plus de 7000 attaques utilisant LockBit ont eu lieu, soit un quart de toutes les attaques ransomware mondiales. Si c’était une entreprise légitime, elle serait dans le Fortune 500.
Alors qu’est-ce qu’on retient de cette saga ?
Et bien d’abord que personne n’est invincible sur internet. Dmitry se croyait intouchable, planqué derrière ses VPN et ses cryptomonnaies, résultat, il a sa photo d’identité publiée par le FBI et 10 millions de récompense sur sa tête.
Ensuite que la collaboration internationale peut fonctionner. Quand 10 pays décident de s’unir contre un ennemi commun, même le plus gros gang de cybercriminels du monde peut tomber. L’Opération Cronos, c’est la preuve que les gentils peuvent gagner quand ils s’y mettent sérieusement.
Et puis il y a cette leçon délicieuse : l’hubris tue toujours. Dmitry et sa bande se croyaient tellement supérieurs qu’ils ont négligé leur propre sécurité. Mots de passe ridicules, serveurs mal protégés, arrogance maximale. Et boom ! Piratés par des anonymes qui les ont ridiculisés publiquement.
Bref, la tech, c’est comme les arts martiaux. Plus tu montes en niveau, plus tu réalises que tu peux te faire battre par n’importe qui. L’humilité, n’est pas optionnelle dans ce métier.
Et maintenant ? Et bien Dmitry court toujours. Où qu’il soit planqué, il doit pas dormir tranquille. Ses 100 millions de dollars sont probablement encore accessibles, mais compliqués à utiliser car c’est difficile de mener la grande vie quand on est l’un des hommes les plus recherchés de la planète. Et puis maintenant, on connaît ses adresses Bitcoin donc chaque transaction est tracée…
Depuis la chute de LockBit, RansomHub a récupérè 41% du marché, BlackBasta se développe, Mora_001 utilise une variante de LockBit 3.0 comme base. Bref, l’empire est mort, mais l’ADN de LockBit survit.
En conclusion, le crime ne paie pas, surtout quand on commet les mêmes erreurs que ceux qu’on attaque…
Un artiste a transformé une cafetière des années 80 en PC gaming. Et ça marche ! Le café est bon aussi, il paraît…. En effet, Doug MacDowell nous prouve que la frontière entre génie et folie est parfois aussi fine qu’un filtre à café. Son Coffeematic PC est une machine qui défie toutes les lois du refroidissement informatique en utilisant du café chaud pour… refroidir son processeur. Pas de panique, je vais tout vous expliquer !!
L’histoire commence dans un magasin d’occasion durant l’hiver 2024. Doug cherchait le châssis parfait pour un ordinateur rétro gaming. Son regard s’est alors posé sur une magnifique cafetière General Electric Coffeematic des années 80. “Boxy yet athletic”, comme il la décrit. Un design qui ne s’embarrasse pas des considérations futures d’internet. Parfaite pour être hackée.
Et son concept est complètement barré car ce PC est entièrement fonctionnel, et la cafetière aussi. Elle percole du java comme n’importe quelle cafetière. Du café très chaud, à environ 90°C. Car là où les ordinateurs utilisent normalement des ventilateurs ou du watercooling pour réduire la chaleur, le Coffeematic PC fait exactement l’inverse. Il utilise le café brûlant qu’il prépare pour… chauffer ? refroidir ? caféiner ? son processeur !
Une pompe prend ce breuvage bouillant et le fait circuler à travers deux radiateurs placés sur le dessus de la machine. Le liquide descend ensuite vers un CPU (AMD Athlon II X4 640) niché dans une carte mère ASUS M2NPV-VM sanglée au dos de la cafetière. Le café continue ensuite son voyage à travers une artère qui le ramène dans la carafe. Et ça recommence, jusqu’à ce que le café soit “intégré à l’utilisateur” ou que la machine soit éteinte.
Normalement, un CPU doit rester froid et le café chaud. Les processeurs fonctionnent idéalement entre 30 et 70°C, et à 90°C on flirte avec la zone dangereuse où le CPU ralentit pour se protéger. Pourtant, malgré la circulation de café à 90°C, le Coffeematic PC ne plante pas.
Doug a écrit du code pour monitorer sa machine toutes les 5 secondes pendant 75 minutes et d’après ses résultats, sa machine est “presque auto-destructrice”. Le CPU, l’ensemble du système et son module circulatoire trouvent finalement leur équilibre à une température de 33°C, ce qui est étonnamment proche de celle du liquide qui circule en vous et moi. Un miracle thermodynamique qui défie toute logique de refroidissement PC.
Cela peut s’expliquer par le fait que ce grand volume de café en circulation dans de looong tuyaux fini par refroidir et dissiper à la fois sa propre chaleur mais aussi celle du processeur, sans oublier qu’il y a mis pas mal de radiateurs qui eux aussi participent à la dissipation thermique. Puis je crois aussi me souvenir pour en avoir eu un équivalent, que les processeurs Athlon AMD de l’époque étaient plutôt solide face à la canicule.
La liste des composants est un voyage temporel : une cafetière de la fin des années 70, une carte mère et un CPU des années 2000 récupérés dans un centre de recyclage, un SSD et du matériel moderne des années 2020.
Le tout tourne sous Linux Mint et la cafetière GE n’a nécessité qu’une réparation mineure à savoir remplacer un petit tube vinyle fissuré. Elle met bien sûr du temps à faire le café, mais une fois prêt… il a le goût d’un café fait dans une cafetière en plastique des années 70. Et ça c’est inimitable comme sensation !
Bref, vous l’aurez compris, on est plus dans un délire artistique que dans un véritable système de water-cooling euh pardon, de coffee-cooling ^^.
Et ce qui rend ce projet encore plus intéressant, c’est surtout qu’il s’inscrit dans une certaine lignée du hack de machines à café… Car Doug n’est pas le premier à fusionner café et informatique, mais il est probablement le premier à utiliser du café chaud comme méthode de refroidissement. L’histoire de cette “mode” commence en 2002 avec Nick Pelis et sa “Caffeine Machine”. Puis… plus rien pendant 15 ans. Un silence radio total dans le monde des ordinateurs-cafetières.
Mais la renaissance arrive en 2018 avec le “Zotac Mekspresso” d’Ali Abbas pour un salon et en 2019, un certain Logarythm crée le “Mr. Coffee PC” (le préféré de Doug pour sa simplicité). Enfin en 2024, la chaîne YouTube NerdForge construit un “PC that makes coffee”.
Et Doug vient donc compléter cette lignée avec son Coffeematic PC.
Mais alors pourquoi ce trou de 15 ans ? Les gens étaient-ils fatigués du café ? Doug ne le pense pas.
Pour comprendre, il a créé un graphique croisant la timeline des ordinateurs-cafetières avec les événements tech majeurs compilés par le Computer History Museum.
Entre 2002 et 2018, le monde a connu guerres, catastrophes naturelles, crises financières, et même l’apocalypse de 2012 selon le calendrier Maya. Mais en se concentrant sur la tech, Doug cherche des indices sur cette disparition de la créativité absurde. Facebook, Twitter, l’iPhone, Android… Est-ce que l’arrivée des réseaux sociaux et des smartphones a tué notre envie de créer des machines inutiles mais géniales ???
Suite à son invention, Doug a alors monté une expo appelée “Sparklines” où il explore ce mystère à travers des visualisations de données dessinées à la main. Il crée des portraits de ce qu’il appelle des “artistes-hackers”, utilisant des outils de dessin technique et un kit de lettrage vintage. C’est une jolie approche analogique pour documenter une créativité numérique.
Pour concevoir et construire son PC qui fait le café, Doug a passé environ un mois et ça lui a coûté dans les 300-400 dollars en pièces neuves (pompe, radiateurs, tuyaux alimentaires) + les composants recyclés.
Ainsi, son build traverse les époques, mélangeant des technologies de trois décennies différentes dans une seule machine totalement absurde.
Voilà, donc la prochaine fois que vous siroterez votre café devant votre PC bien ventilé, pensez au Coffeematic PC car vous pourriez peut-être faire pareil chez vous et voir circuler du café brûlant le long de votre processeur sans tout faire exploser. Car visiblement, on peut.
Vous pensiez que BitLocker était votre ami ? Celui qui protège gentiment vos données avec son chiffrement intégral du disque ?
Eh bien, Fabian Mosch vient de prouver lors de la conférence Troopers 2025 qu’on pouvait le transformer en complice involontaire pour des attaques plutôt vicieuses. Le principe, c’est qu’au lieu d’attaquer BitLocker frontalement (ce qui serait suicidaire vu la robustesse du chiffrement), la technique consiste à détourner ses mécanismes internes pour exécuter du code malveillant.
Comment ?
Et bien en exploitant le fait que BitLocker cherche à charger des objets COM qui n’existent pas. C’est le fameux CLSID A7A63E5C-3877-4840-8727-C1EA9D7A4D50 que le processus BaaUpdate.exe essaie désespérément de trouver à chaque fois qu’il se lance.
L’astuce ici, c’est donc d’utiliser WMI (Windows Management Instrumentation) pour créer à distance cette clé de registre manquante et y glisser le chemin vers une DLL malveillante.
Comme ça, quand BitLocker démarre, il charge gentiment votre code en pensant que c’est un composant légitime. Et le plus magique c’est que tout s’exécute sous l’identité de l’utilisateur connecté.
Alors si c’est un admin du domaine, je vous raconte pas le jackpot ! Pour prouver que ce n’est pas que de la théorie, l’équipe de r-tec Cyber Security a développé BitLockMove, un outil qui automatise toute l’attaque.
Le mode énumération permet d’abord de scanner les sessions actives sur une machine distante grâce aux API non documentées de winsta.dll et une fois qu’on a repéré un utilisateur intéressant (genre DOMAINE\Administrateur), on passe en mode attaque.
La séquence d’attaque est assez cool d’ailleurs :
Activation du service Remote Registry via WMI
Création de la clé de registre piégée
Déclenchement du processus BitLocker via l’interface BDEUILauncher
Exécution du code malveillant dans le contexte de l’utilisateur ciblé
Nettoyage des traces (suppression de la clé et de la DLL) Au fait, .
Ce qui rend cette technique particulièrement sournoise, c’est qu’elle abuse de processus Microsoft signés et légitimes. Par exemple, il y a BdeUISrv.exe, le processus qui finit par exécuter votre code, qui est un binaire officiel de Windows. Pour un EDR lambda, ça ressemble donc à du comportement normal de BitLocker.
Toutefois, ce n’est pas non plus la panacée pour les attaquants car il faut déjà avoir des privilèges d’administrateur local sur la machine cible. Ensuite, toute cette gymnastique laisse des traces exploitables. Le service Remote Registry qui passe de “désactivé” à “actif” puis retourne à “désactivé” en quelques secondes, c’est louche.
Les événements Windows 4657, 4660 et 4663 sur les clés de registre BitLocker, c’est donc un red flag énorme, sans parler des processus baaupdate.exe et BdeUISrv.exe qui apparaissent dans des contextes inhabituels.
Pour les défenseurs qui veulent mater leurs logs, voici les points de surveillance critiques :
Event ID 7040 pour les changements d’état du service Remote Registry
Surveillance des créations/suppressions sous HKEYCURRENTUSER\SOFTWARE\Classes\CLSID{A7A63E5C-3877-4840-8727-C1EA9D7A4D50}
Processus BdeUISrv.exe lancé par svchost.exe (au lieu du comportement normal)
Chargement des DLL winsta.dll ou wtsapi32.dll par des processus non standards
L’article original propose même des règles SIGMA toutes prêtes et des requêtes KQL pour Microsoft Defender for Endpoint. C’est du clé en main pour les équipes SOC qui veulent détecter cette technique.
Comme d’hab, la sécurité Windows reste un casse-tête car chaque fonctionnalité légitime introduit de nouvelles surfaces d’attaque. BitLocker protège vos données au repos, mais ses mécanismes internes deviennent des vecteurs d’attaque pour du “mouvement latéral” (c’est comme ça qu’on dit).
Pour ceux qui veulent creuser le sujet, le code de BitLockMove est disponible sur GitHub. Mais comme toujours avec ce genre d’outils, utilisez-le uniquement dans un cadre légal (tests d’intrusion autorisés, labos de recherche, etc.) sinon, vous allez finir en prison !!
Maintenant, reste à voir combien de temps il faudra à Microsoft pour patcher ce comportement… s’ils considèrent ça comme un bug, hein, et pas juste comme une “fonctionnalité” du système COM. On verra bien…
Vous êtes en train de lire tranquillement un long tuto, et voilà que votre écran s’éteint.
Relou, non ?
Alors si vous en avez marre de devoir toucher votre souris toutes les 30 secondes pour garder votre écran allumé, j’ai déniché un petit outil sympa qui va vous changer la vie : LumoSprite.
Le truc génial avec LumoSprite, c’est que c’est une application web toute simple qui empêche votre écran de s’endormir. Pas besoin d’installer quoi que ce soit, pas de logiciel lourd qui tourne en arrière-plan, juste une page web à garder ouverte.
C’est totalement gratuit et ça utilise la fameuse Wake Lock API pour faire sa magie. Pour ceux qui se demandent comment ça marche techniquement, la Screen Wake Lock API c’est une technologie web qui permet aux sites de demander au système de ne pas éteindre l’écran. Cette API est maintenant supportée par tous les navigateurs majeurs (Chrome, Safari, Firefox), ce qui rend l’outil super compatible.
Il suffit donc que votre navigateur supporte JavaScript et la Wake Lock API, et c’est parti. Vous arrivez sur le site, vous activez la fonction, et voilà, votre écran restera allumé tant que l’onglet est ouvert et au premier plan. L’outil propose même plusieurs langues (anglais, chinois, japonais, coréen… Pas de français encore) et différents thèmes pour personnaliser l’expérience.
C’est vraiment pensé pour être accessible à tous et les cas d’usage sont nombreux. Par exemple, vous lisez un livre numérique ou vous suivez une recette de cuisine sans avoir à toucher votre écran avec vos mains pleines de beurre ? Vous présentez quelque chose à distance ? Ou vous surveillez simplement un process au boulot ? Ça répond à tous ces besoins.
Des alternatives comme nosleep.page ou Keep Screen On proposent des fonctionnalités similaires mais LumoSprite se démarque par sa simplicité et son look sympa. Pas de fioritures inutiles non plus et niveau vie privée, c’est nickel puisque tout fonctionne localement dans votre navigateur, et qu’aucune donnée n’est collectée ou envoyée quelque part.
L’outil consomme d’ailleurs moins de 1% des ressources de votre machine, donc pas de souci pour la batterie ou les performances car c’est du JavaScript léger, qui fait juste ce qu’il faut. Après si vous cherchez une solution plus permanente, il existe aussi des extensions navigateur comme Keep Awake pour Chrome ou des solutions système comme PowerToys Awake pour Windows.
Mais franchement, pour un usage ponctuel, LumoSprite fait largement le job sans encombrer votre navigateur d’extensions supplémentaires.
Le succès de ce type d’outils montre bien qu’il y avait un vrai besoin. D’ailleurs, Betty Crocker (le site de cuisine américain) a vu une augmentation de 300% de l’intention d’achat après avoir implémenté la Wake Lock API sur leur site directement. Comme ça, les gens peuvent enfin suivre leurs recettes sans que l’écran s’éteigne toutes les deux minutes ! Pour un site de tuto, c’est peut-être un move pertinent.
Bref, si vous cherchez un moyen simple et efficace de garder votre écran allumé, foncez tester LumoSprite.
29 heures par semaine. C’est le temps qu’un gamin de 12 ans passe aujourd’hui sur son smartphone. Un mi-temps, quoi ! Et pendant que je tape ces lignes, des milliers de parents flippent en voyant leurs mômes hypnotisés par TikTok. Et je les comprends.
L’OMS vient de lâcher des chiffres qui donnent le vertige : entre 2018 et 2022, l’usage problématique des réseaux sociaux chez les ados est passé de 7% à 11%. Un ado sur dix, c’est énorme. Sans compter les 12% qui sont accros aux jeux vidéo et ne veulent rien faire d’autre. Autant dire qu’on a collectivement un sacré problème sur les bras.
C’est dans ce contexte, qu’un mouvement de résistance prend de l’ampleur. Le Smartphone Free Childhood, lancé par deux parents britanniques début 2024, cartonne méchamment et plus de 140 000 parents ont déjà signé leur pacte pour retarder l’arrivée du smartphone chez leurs gosses. Le truc a tellement pris qu’on retrouve des groupes similaires dans 60 pays, de l’Argentine à l’Ouzbékistan.
Jonathan Haidt, un prof qui a écrit “The Anxious Generation” (lien affilié), pousse le concept avec ses 4 règles simples : pas de smartphone avant 14 ans, pas de réseaux sociaux avant 16 ans, des écoles sans téléphones et surtout, redonner aux gamins une vraie enfance avec des activités dans le monde réel. Simple sur le papier, mais dans la pratique, c’est une autre paire de manches.
Le souci, c’est que quand vous êtes le seul parent à dire non au smartphone, votre gosse devient le paria de la cour de récré. “Mais tous mes copains en ont un !”… on la connaît tous celle-là. C’est pour ça que le mouvement mise sur l’action collective. Si tous les parents d’une classe ou d’une école s’y mettent ensemble, ça change la donne.
Bon, c’est bien beau tout ça, mais là c’est les vacances, on bosse tous en télétravail, et on a en même temps les enfants dans le collimateur. Alors concrètement, on fait quoi pour occuper nos chères têtes blondes sans écrans ? C’est là qu’intervient Offline Kids, un site lancé en 2025 qui propose des activités sans écran pour les 2-10 ans. Le concept est malin car tout est classé par durée (de 15 minutes à 2 heures), par âge, par type d’activité et même par niveau de bordel que ça va mettre dans votre salon.
Le site propose des trucs variés : arts créatifs, jeux, musique, danse, activités d’extérieur… Y’a même une catégorie “life skills” pour apprendre aux gamins des trucs utiles. Et franchement, quand je vois certaines idées, ça me rappelle ma propre enfance. Genre faire des châteaux avec des cartons Amazon (au moins ils servent à quelque chose), organiser des chasses au trésor dans le jardin ou apprendre à faire des crêpes.
Ce qui est cool, c’est qu’ils ont pensé aux parents crevés. Y’a toute une section d’activités que les gosses peuvent faire en autonomie pendant que vous êtes en call ou en train de préparer le dîner. Parce que oui, on a tous déjà autoriser plus d’heures de console ou de télévision pour avoir la paix pendant une conf call importante.
Et en France, on n’est pas en reste notamment avec le Défi Déconnexion 2025 qui mobilise parents, profs et animateurs pour créer des alternatives aux écrans. Car ce n’est pas en fliquant les gamins qu’on va s’en sortir, mais en proposant des activités qui les éclatent vraiment. D’ailleurs, les bénéfices d’une digital detox en famille sont prouvés : meilleure communication, plus de créativité, amélioration de la concentration et des résultats scolaires. Sans parler du sommeil qui revient et de l’anxiété qui diminue. Mais le plus important, c’est peut-être de retrouver du temps ensemble, du vrai temps, pas juste coexister dans la même pièce chacun sur son écran.
Alors oui, c’est pas facile. Les écrans, c’est pratique, ça occupe, ça calme. Mais quand on voit que depuis 2010, le temps que les ados passent avec leurs potes a chuté de 65%, y’a de quoi se poser des questions. On est en train de fabriquer une génération de gosses qui savent swiper avant de savoir lacer leurs chaussures.
D’ailleurs, j’avais déjà parlé des dangers des smartphones avant 13 ans et franchement, toutes ces nouvelles études ne font que le confirmer. Et le mouvement prend de l’ampleur puisque des célébrités comme Benedict Cumberbatch ont signé le pacte. Des écoles entières passent ainsi en mode “smartphone free”.
Maintenant, pour ceux qui veulent tenter l’aventure, le site Offline Kids est un bon point de départ. C’est tout en anglais mais bon, je pense que vous êtes assez malin pour traduire tout ça comme des grands. En plus, les activités sont simples, pas chères et testées par de vrais parents. Et surtout, pas besoin de matériel compliqué… Il faut juste un peu d’imagination et de bonne volonté. Et si ça permet de retrouver des moments de complicité avec vos gamins, ça vaut le coup d’essayer, non ?
Parce qu’au final, nos gosses n’ont qu’une enfance et elle est trop courte pour la passer derrière un écran. (Dis le vieux con qui a passé la sienne devant le Club Dorothée ^^)
Le fait que la plupart des caméras IP qu’on achète sur Amazon ou AliExpress soient potentiellement truffées de backdoors, ça ne vous empêche pas de dormir ? Genre, vous installez une caméra pour surveiller votre maison et au final c’est vous qui êtes surveillé. Sympa, non ? Et bien sur Hackernews, j’ai découvert un projet qui va vous redonner le sourire : OpenIPC.
Il s’agit d’un firmware alternatif open source pour vos caméras IP. En gros, c’est un système d’exploitation créé par la communauté qui remplace le firmware pourri, opaque et souvent abandonné que les fabricants installent par défaut. Et le meilleur dans tout ça c’est que ça fonctionne sur une tonne de puces différentes : ARM, MIPS, et des processeurs de chez Hisilicon, Ingenic, Sigmastar, et j’en passe.
Ça permet de reprendre le contrôle total de vos streams comme ça plus de backdoors, plus de botnets, plus de malware de crypto-mining planqué dans votre caméra. C’est vous le seul maître à bord. Et vu le nombre de scandales qu’on a eus ces dernières années avec des caméras chinoises qui envoient des données on ne sait où, c’est plutôt rassurant.
Le projet utilise Buildroot pour construire sa distribution Linux et propose plusieurs streamers selon vos besoins : Majestic (le plus performant mais pas encore open source), Divinus (totalement open source), Mini ou Venc. Majestic, même s’il n’est pas encore ouvert, offre des performances de malade pour un large éventail de matériel. D’ailleurs, l’auteur cherche à l’open-sourcer dès qu’il aura sécurisé assez de fonds pour continuer le développement.
Ce qui est génial, c’est surtout que ce firmware supporte plein de fonctionnalités sympas comme le stockage cloud IPEYE externe, le streaming vers YouTube et Telegram, les proxys SOCKS5, la configuration de tunnels VPN… Bref, tout ce qu’il faut pour faire de votre caméra un vrai petit serveur multimédia sécurisé.
D’ailleurs, la communauté FPV est complètement fan du projet car des marques comme Runcam, Emax et Eachine ont déjà intégré le firmware dans leurs produits. Pour les pilotes de drones, c’est donc la révolution niveau transmission vidéo et les projets spécialisés fleurissent : caméras pour drones, casques de chantier, outils de surveillance, recherche médicale, pêche sous-marine… Les possibilités sont infinies.
Pour installer Openpic sur vos caméras, il y a deux méthodes principales. La première, c’est d’utiliser Coupler, un projet qui crée des images firmware installables via les mécanismes de mise à jour intégrés dans le firmware d’origine. Super pratique si vous ne voulez pas ouvrir votre caméra.
Et la deuxième méthode, c’est plus hardcore puisqu’il faut ouvrir la caméra, connecter un adaptateur UART sur le port série de debug, et flasher via TFTP. Ça demande de mettre les mains dans le cambouis, mais c’est pas si compliqué. Il faut juste identifier votre SoC (System on Chip), configurer un serveur TFTP, interrompre le bootloader au démarrage, et envoyer le nouveau firmware. Ahaha, je sais dit comme ça, ça fait peur, mais rassurez-vous, le projet fournit des guides détaillés pour chaque étape.
Un point important, avant de flasher, sauvegardez toujours votre firmware d’origine. On ne sait jamais, vous pourriez vouloir revenir en arrière (même si franchement, une fois qu’on a goûté à la liberté d’OpenIPC, difficile de faire marche arrière).
Le projet est distribué sous licence MIT, ce qui signifie que vous pouvez faire à peu près ce que vous voulez avec le code, même l’utiliser dans des projets commerciaux. La seule restriction, c’est l’usage militaire qui n’est pas autorisé.
Et niveau support matériel, c’est impressionnant puisque aujourd’hui, OpenIPC supporte des puces d’Ambarella, Anyka, Fullhan, Goke, GrainMedia, Ingenic, MStar, Novatek, SigmaStar, XiongMai… et la liste continue de s’allonger. Bref, si vous avez une vieille caméra qui traîne et qui n’est plus supportée par le fabricant, il y a de fortes chances qu’OpenIPC puisse lui donner une seconde vie.
Pour les développeurs, il y a même des outils sympas comme un Dashboard multi-plateforme (Linux/Mac/Windows) construit avec Avalonia UI qui permet de gérer et monitorer facilement vos caméras OpenIPC. C’est totalement pensé pour simplifier la vie des utilisateurs.
Voilà, donc au lieu de jeter votre vieille caméra chinoise, vous pouvez la revitaliser avec un firmware moderne et sécurisé. C’est bon pour votre portefeuille et pour la planète et qui sait, peut-être que ça poussera les fabricants traditionnels à être plus transparents sur leurs firmwares.
Le dépôt GitHub du projet est ici et si vous voulez approfondir, la documentation officielle est très complète et accessible même pour les débutants.
Vous connaissez les fortunes ? Mais siii, ce sont petites citations aléatoires qui s’affichent dans le terminal ! Eh bien figurez-vous que Debian a décidé de faire le grand ménage dans les versions “offensantes” de ces paquets. Et forcément, ça fait des vagues.
L’histoire a commencé avec deux bug reports (#1109166 et #1109167) déposés par Andrew M.A. Cater qui a tout simplement demandé la suppression pure et simple des paquets fortunes-es-off (la version espagnole) et fortunes-it-off (la version italienne), arguant que ces blagues n’avaient “aucune place dans Debian”. Et c’est là, que c’est parti en cacahuète.
D’un côté, il y a donc Agustin Martin qui maintient le paquet espagnol depuis des années et qui nous explique qu’il a déjà fait un sacré tri en virant les trucs vraiment violents, et que ce qui reste c’est de l’humour qui peut choquer certaines personnes “avec un seuil de tolérance bas”. Et de l’autre, Salvo Tomaselli qui gère la version italienne et qui n’était vraiment pas content qu’on lui demande de supprimer son paquet en pleine période de freeze.
Alors quand le contributeur NoisyCoil a analysé le contenu du paquet italien et y a trouvé des citations qui appellent explicitement à la violence contre les femmes, du genre, des trucs qui disent que les femmes devraient être battues régulièrement, c’était plus possible !
Là, on n’était clairement plus dans l’humour douteux mais dans quelque chose de beaucoup plus problématique.
Paul Gevers de l’équipe de release Debian a donc tranché en déclarant que “les versions offensantes des paquets fortune n’ont plus leur place dans Debian”. Une décision qui fait écho à ce qui s’était déjà passé avec la version anglaise fortunes-off, supprimée il y a déjà quelques années.
Ce qui est intéressant, je trouve, dans cette histoire, c’est de voir comment une communauté open source gère ce genre de tensions car d’un côté, vous avez cette “tradition” de la liberté totale, et de l’autre, la volonté de créer un environnement inclusif.
Mais bon, au final, Tomaselli a cédé et supprimé les paquets offensants notant avec une pointe d’ironie dans le changelog que c’était dû à des “bug reports bien synchronisés de l’équipe de release pendant la période de freeze”.
Alors est-ce qu’on doit tout accepter au nom de la liberté ? Ou est-ce qu’il y a des limites à ne pas franchir ?
Perso, je pense qu’entre une blague de mauvais goût et un appel à la violence contre les femmes, il y a quand même une sacrée différence. Mais bon visiblement, tout le monde n’est pas d’accord là-dessus… Certes les mentalités évoluent dans le bon sens, mais il y en a qui évoluent moins vite que les autres (voire qui sont encore bloqués dans les années 50…).
Bref, ce qui est sûr, c’est que tant que certains n’auront pas compris que discriminer des gens déjà fortement discriminés, ce n’est pas de l’humour mais de la violence, alors ce genre de débat continuera à agiter le monde du libre !
Perplexity AI s’est fait épingler par Cloudflare, pris la main dans le sac à contourner allègrement les règles du web avec leurs bots masqués. Et le plus fort dans tout ça c’est qu’ils nient tout en bloc.
L’affaire a éclaté quand Cloudflare, qui s’occupe d’un cinquième du trafic internet mondial, a décidé de fouiner un peu dans les pratiques suspectes de certains bots IA. Et le verdict est tombé assez rapidement : Perplexity a recours à des crawlers furtifs qui se font passer pour de véritables navigateurs afin de s’emparer du contenu des sites web, même lorsque les propriétaires ont dit non par le biais du fameux fichier robots.txt.
Ce qui rend cette histoire encore plus énervante, c’est la technique utilisée. Plutôt que d’employer leur user agent officiel “PerplexityBot”, les bots se déguisent en Chrome sur Windows 10.
Cloudflare a mené ses propres expériences pour prouver la manœuvre. Ils ont conçu un site web accessible uniquement aux vrais user agents Chrome et Firefox, tout en bloquant explicitement PerplexityBot via le robots.txt. Les bots officiels de Perplexity sont bien arrêtés, mais étrangement, quand un utilisateur fait une requête sur Perplexity.ai, le contenu est tout de même récupéré.
Comment ? Et bien grâce à des crawlers masqués, utilisant des ASN (Autonomous System Numbers) différents et des user agents trafiqués.
La défense de Perplexity ? Un véritable morceau de bravoure. Leur PDG, Aravind Srinivas, affirme qu’ils ne contournent pas le robots.txt, mais qu’ils recourent à des “fournisseurs tiers” pour le crawling. En gros, “C’est panoupanous, c’est les autres.” Sauf qu’il ne veut pas révéler l’identité de ces mystérieux partenaires, prétextant un accord de confidentialité. Pratique, non ?
Le problème dépasse largement le cadre de Perplexity car Wired et le développeur Robb Knight avaient déjà mené l’enquête en juin 2024 et découvert des indices similaires. Amazon Web Services a même lancé une investigation pour vérifier si Perplexity bafoue leurs conditions d’utilisation. Et en juin 2025, la BBC a menacé de poursuites judiciaires, exigeant que Perplexity cesse de scraper leur contenu et efface toutes les données collectées.
Pour situer l’ampleur du phénomène, Cloudflare a déterminé que les bots IA représentent désormais 5% de tout le trafic bot identifié. OpenAI avec GPTBot est en tête, suivi de… PerplexityBot en neuvième position. Mais ça, c’est uniquement pour ceux qui jouent cartes sur table. Combien passent sous le radar avec des identités truquées ?
La technique de contournement est d’ailleurs assez rusée car quand vous demandez à Perplexity d’explorer une URL spécifique, leur système prétend agir “au nom de l’utilisateur”, comme si vous copiez-collez vous-même le contenu. Sauf qu’en réalité, c’est un bot automatisé qui s’en charge, en utilisant des headless browsers pour paraître plus légitime.
TollBit, une startup spécialisée dans les accords de licence IA, a révélé que plus de 50 sites web choisissent délibérément d’ignorer le protocole robots.txt. Et surprise, selon une enquête de Business Insider, OpenAI et Anthropic (les créateurs de Claude) figureraient parmi eux. Mais au moins, ils ne se cachent pas derrière des user agents falsifiés.
Ce qui m’agace vraiment dans cette histoire, c’est l’hypocrisie ambiante. D’un côté, ces entreprises IA nous vendent du rêve sur l’éthique et la transparence et de l’autre, elles emploient des méthodes dignes de hackers des années 2000 pour aspirer du contenu sans permission. Et pendant ce temps, les créateurs de contenu se retrouvent pillés sans compensation.
Cloudflare propose bien quelques solutions pour se protéger, notamment leur outil AI Bots qui permet de gérer finement l’accès des différents crawlers IA. Ils ont aussi mis au point un “Bot Score” qui évalue la légitimité du trafic sur une échelle de 1 à 99. Plus le score est bas, plus y’a de chances que ce soit un bot. Les crawlers masqués de Perplexity obtiennent généralement un score en dessous de 30.
Donc, si vous gérez un site web, je vous recommande vivement de scruter vos logs. Repérez les schémas suspects du genre une même IP qui enchaîne les requêtes, des user agents identiques mais aux comportements différents, ou des accès à des URLs jamais publiées.
Quoiqu’il en soit, si même les plus grandes entreprises IA ne respectent pas des règles basiques comme le robots.txt, qu’est-ce qui les empêchera demain de franchir d’autres limites ?
Un faux tweet, 3 minutes de chaos, 136,5 milliards de dollars évaporés. Non, c’est pas Elon Musk qui a encore fait des siennes sur Twitter, mais bien une bande de hackers syriens qui a réussi le plus gros market crash de l’histoire en 140 caractères. Bienvenue dans l’univers complètement barré de la Syrian Electronic Army.
Beaucoup ont creusé cette histoire pendant des années sans vraiment comprendre toutes les ramifications politiques, mais avec la chute du régime Assad en décembre 2024, on peut enfin reconstituer le puzzle complet de cette organisation qui a terrorisé les médias occidentaux pendant près d’une décennie.
Bon, pour comprendre comment des mecs dans un bureau à Damas ont pu faire trembler Wall Street, il faut remonter à 1989. À l’époque où on jouait tous à Tetris sur Game Boy, Bassel al-Assad, le frère aîné de Bashar et héritier présomptif du trône syrien, fonde la Syrian Computer Society. L’objectif affiché c’est de démocratiser l’informatique en Syrie, mais en réalité, il s’agit de créer les fondations d’une infrastructure numérique contrôlée par le clan Assad.
Quand Bassel se tue dans un accident de voiture en 1994 (il roulait à 240 km/h sur la route de l’aéroport de Damas dans le brouillard… le mec n’était pas très prudent), Bashar hérite de tout : le destin politique et la présidence de la Syrian Computer Society. Le futur dictateur, qui était ophtalmologue à Londres, se passionne alors pour les nouvelles technologies et supervise personnellement l’introduction d’Internet en Syrie.
Ce qui est fort dans cette histoire, c’est que Assad avait tout de suite compris dès les années 90, tout le potentiel stratégique d’Internet. Pendant que nos dirigeants européens découvraient encore le Minitel, lui posait déjà les bases d’une cyberguerre moderne. Au bout d’un moment, sa femme Asma a alors repris le contrôle de la Syrian Computer Society, transformant progressivement l’organisation en pépinière de cyber-soldats.
En 2000, Bashar devient président et garde un œil attentif sur le développement numérique du pays. La Syrian Computer Society devient le seul registrar de noms de domaine syriens et contrôle l’infrastructure Internet nationale via SCS-NET, son propre FAI. Puis arrive 2011 et les Printemps arabes. Les manifestations éclatent en Syrie, les réseaux sociaux s’embrasent, et Assad comprend qu’il a besoin d’une arme numérique pour contrôler le narratif. Le 5 mai 2011, la Syrian Computer Society enregistre discrètement le domaine syrian-es.com via la Syrian Telecommunications Establishment.
La Syrian Electronic Army vient officiellement de naître.
Le truc génial (enfin, façon de parler), c’est que contrairement aux groupes de hackers anonymes classiques, la SEA opérait presque à visage découvert. Ces mecs étaient tellement protégés par le régime qu’ils se permettaient de défiler dans les rues de Damas avec des gilets aux couleurs du groupe !
Alors, qui sont ces cyber-warriors du régime Assad ? Et bien voici les profils des principaux acteurs, et vous allez voir, c’est un sacré casting.
Ahmad Umar Agha, alias “Th3 Pr0” - Le prodige négligent : Ahmad, 22 ans à l’époque de ses principaux exploits, incarne parfaitement la génération de hackers syriens formés dans l’écosystème Assad. Le FBI l’a ajouté à sa liste des cyber-criminels les plus recherchés avec une récompense de 100 000 dollars. Pourquoi ? Parce que ce génie s’est fait identifié à cause de son compte Gmail [email protected] créé en 2010.
Ahmad Umar Agha
Le mec envoyait ses documents d’identité personnels et des photos de famille par email et bien sûr, il se connectait souvent à ses comptes depuis des adresses IP syriennes non masquées. J’ai vu des script kiddies de 13 ans se protéger mieux que lui…
Ahmad dirigeait la division “opérations spéciales” de la SEA. Selon le FBI, il était spécialisé dans les attaques de spear-phishing ultra-sophistiquées, capable de créer de faux emails tellement convaincants que même des journalistes expérimentés tombaient dans le panneau. Entre 2011 et 2014, il a comme ça compromis des dizaines d’agences gouvernementales américaines, des médias et des organisations privées.
Firas Dardar, alias “The Shadow” - L’homme de l’ombre pas si discret : Firas, 27 ans, était le binôme technique d’Ahmad. Surnommé “The Shadow”, il était censé être l’expert en furtivité du groupe. Raté ! Comme son complice, il a multiplié les erreurs de sécurité qui ont permis au FBI de le traquer.
Dardar était l’expert en ingénierie sociale de l’équipe et sa spécialité c’était de créer des pages de connexion factices tellement bien foutues qu’elles trompaient même les équipes IT des grandes rédactions. Il avait développé un système de phishing multi-étapes où la première page redirige vers une seconde, puis une troisième, pour mieux brouiller les pistes. Du travail d’orfèvre !
Et à partir de 2013, Dardar et un certain Peter Romar ont monté un business parallèle d’extorsion. Ils hackaient des entreprises et menaçaient de détruire leurs données sauf si elles payaient une rançon. L’entrepreneuriat version cyber-terroriste !
Peter Romar - Le blanchisseur d’argent : Ce mec de 36 ans était le troisième larron du groupe d’extorsion. Son job ? Contourner les sanctions internationales pour récupérer l’argent des rançons. Quand les victimes ne pouvaient pas payer directement en Syrie à cause des sanctions, Romar servait d’intermédiaire.
Arrêté en Allemagne et extradé aux États-Unis en mai 2016, il a plaidé coupable en septembre 2016. Il risquait 5 ans de prison. Au moins un qui s’est fait choper !
Haidara Suleiman - Le prince héritier du cyber-empire : Voici le personnage le plus intéressant de toute l’histoire. Haidara n’est pas un hacker lambda, c’est le fils de Bahjat Suleiman, l’un des hommes les plus puissants du régime Assad. Bahjat dirigeait la branche interne de la Direction générale du renseignement et était considéré comme le mentor et confident d’Assad.
Et Haidara cumule les casquettes : rédacteur en chef du journal pro-régime Baladna, membre dirigeant de la Syrian Electronic Army, et surtout… gestionnaire de la page Facebook officielle de Bashar al-Assad ! Le fils d’un chef des services secrets qui gère les réseaux sociaux du dictateur ET coordonne les cyberattaques contre l’opposition, c’est comme si le fils du patron de la DGSE gérait le Twitter de Macron tout en hackant Le Monde !
Yaser al-Sadeq - Le commandant qui aimait les caméras : Yaser se proclamait “commandant” de la Syrian Electronic Army et adorait apparaître dans les médias syriens en tenue militaire. Ce type était l’antithèse du hacker anonyme classique puisqu’il cherchait la reconnaissance publique et revendiquait fièrement chaque attaque.
La période 2013-2014 marque l’apogée de la Syrian Electronic Army. Leurs techniques étaient d’une redoutable efficacité, mélangeant ingénierie sociale, exploitation de vulnérabilités et manipulation psychologique. Certaines de leurs attaques étaient du grand art car les hackers syriens avaient développé une méthode imparable qui fait encore des dégâts aujourd’hui. Voici leur recette secrète (bon, plus si secrète que ça maintenant) :
Étape 1 : La reconnaissance - Ils épluchaient les réseaux sociaux et les organigrammes des rédactions pour identifier les employés ayant accès aux comptes Twitter/Facebook officiels. LinkedIn était leur terrain de jeu favori pour cartographier les équipes. Un peu comme des stalkers professionnels quoi !
Étape 2 : L’email d’hameçonnage - Ils envoyaient des emails ultra-convaincants, souvent en usurpant l’identité d’un collègue ou d’un service IT interne. Le message contenait toujours un prétexte crédible : “urgent, problème de sécurité sur votre compte”, “nouvelle procédure de connexion obligatoire”, “document exclusif sur la Syrie à consulter”. Les journalistes adorent les scoops, et eux le savaient !
Étape 3 : La page piégée - Le lien menait vers une fausse page de connexion, parfaite copie de Google, Facebook ou du système interne de l’entreprise. Ces pages étaient tellement bien faites que n’importe qui aurait pu se faire avoir un jour de fatigue. Une fois les identifiants saisis, hop, les hackers avaient ensuite accès aux comptes.
Étape 4 : L’escalade - Avec un premier compte compromis, ils envoyaient des emails aux contacts de la victime pour étendre leur emprise. “Salut, peux-tu vérifier ce document urgent ?” avec un nouveau lien piégé. C’est comme ça qu’ils ont réussi à compromettre des rédactions entières !
Le hack du siècle se déroule le 23 avril 2013 à 13h07, heure de New York. Le compte Twitter officiel d’Associated Press (@AP), suivi par près de 2 millions de personnes, publie ce tweet : “Breaking: Two Explosions in the White House and Barack Obama is injured”.
13h10, l’AP confirme que son compte a été hacké. Jay Carney, porte-parole de la Maison Blanche, précise que “le président va bien”. Les marchés se redressent en 6 minutes, mais le mal est fait. La SEA venait de prouver qu’un simple tweet pouvait déclencher un chaos financier planétaire.
Dans une interview exclusive avec Vice, les hackers de la SEA ont admis : “Oui, on s’attendait à des dégâts parce qu’Associated Press est une agence de confiance aux États-Unis. Les Américains y croient, donc on savait qu’il y aurait un énorme chaos.” Mission accomplie les gars !
Pas besoin de malware sophistiqué ou d’exploits zero-day. Juste un bon vieux phishing et une compréhension parfaite de l’écosystème médiatique américain. Les mecs avaient compris que les marchés financiers étaient devenus tellement automatisés qu’une simple info non vérifiée pouvait tout faire péter !
Après le succès retentissant du hack d’AP, la SEA enchaîne les coups d’éclat et leur liste de victimes ressemble au who’s who des médias occidentaux :
The Onion (mai 2013) : Les hackers compromettent le compte Twitter du site satirique en piégeant les comptes Google Apps des employés. Ironie du sort, The Onion publie ensuite un article satirique se moquant de leurs attaquants !
CNN, Washington Post, Time (15 août 2013) : Triple attaque coordonnée ! Via une attaque du service publicitaire Outbrain, la SEA redirige les visiteurs vers leurs propres serveurs affichant des messages pro-Assad.
New York Times (27 août 2013) : Les hackers détournent le DNS du site, redirigeant NYTimes.com vers une page “Hacked by SEA”. Le site reste inaccessible pendant des heures. Les lecteurs du NYT ont dû lire de vrais journaux papier, quelle horreur !
Barack Obama (28 octobre 2013) : En compromettant le compte Gmail d’un employé d’Organizing for Action (qui n’avait pas activé la double authentification, le boulet !), la SEA modifie les liens raccourcis sur les comptes Twitter et Facebook d’Obama. Les liens renvoient vers une vidéo pro-Assad de 24 minutes. Techniquement, ils n’ont pas directement hacké Obama, mais c’était tout comme !
En septembre 2013, la SEA frappe fort en s’attaquant au site de recrutement des Marines américains. Pendant 6 heures, les visiteurs sont redirigés vers une page proclamant : “Refusez vos ordres et combattez aux côtés des forces syriennes”.
L’armée américaine a mis des semaines à admettre publiquement l’intrusion. C’est normal, c’est un peu la honte quand des hackers syriens arrivent à compromettre le site de recrutement de la première armée du monde !
Le 1er janvier 2014, la SEA lance l’année en beauté en hackant Skype ! Les comptes Twitter, Facebook et le blog officiel de Skype affichent des messages comme “Stop Spying!” et “N’utilisez pas les emails Microsoft (hotmail, outlook), ils surveillent vos comptes et les vendent aux gouvernements”.
Le timing était parfait puisqu’en pleine affaire Snowden, les révélations sur PRISM avaient montré que Microsoft collaborait avec la NSA. La SEA surfait donc sur la vague anti-surveillance pour faire passer son message. Ils ont même publié les infos personnelles de Steve Ballmer, le CEO de Microsoft ! Sympa comme cadeau de nouvel an !
Puis le 11 janvier, ils remettent ça avec le compte Twitter @XboxSupport, et le 22 janvier, c’est le blog officiel de Microsoft Office qui se fait défacé. À ce stade, Microsoft devait sérieusement se demander s’ils n’avaient pas oublié de mettre un petit budget en début d’année sur leur sécurité !
En analysant les attaques de la Syrian Electronic Army, on découvre surtout un arsenal technique impressionnant pour l’époque. Ce n’étaient pas des script kiddies, c’étaient de vrais pros !
Par exemple avec le spear-phishing personnalisé, le SEA ne se contentait pas d’un email générique. Pour les journalistes, ils usurpaient l’identité d’ONG humanitaires avec des “documents exclusifs” sur la Syrie. Pour les techniciens IT, ils se faisaient passer pour des services de sécurité avec des alertes bidon. Ou encore pour les dirigeants, ils imitaient des partenaires commerciaux avec des “contrats urgents à signer”.
Le niveau de personnalisation était hallucinant. Ils mentionnaient des détails sur la vie privée des victimes, des projets en cours, des collègues spécifiques. Genre “Salut John, comme on en a parlé avec Sarah lors du meeting de mardi dernier…”. Fort !
Sur l’exploitation de CMS obsolètes, la SEA excellait dans l’exploitation de failles dans les systèmes de gestion de contenu mal mis à jour. WordPress, Joomla, Drupal… Dès qu’une vulnérabilité était découverte, ils scannaient automatiquement des milliers de sites pour identifier les versions obsolètes.
C’est comme ça qu’ils ont réussi à défacer tant de sites médiatiques. Les admins sys qui oubliaient de faire leurs mises à jour se retrouvaient alors avec un beau logo SEA en page d’accueil. La base quoi !
Le DNS hijacking était également une de leurs techniques les plus vicieuses. Cela consistait à compromettre les serveurs DNS des hébergeurs. En modifiant les enregistrements DNS, ils pouvaient rediriger le trafic d’un site légitime vers leurs propres serveurs. Les visiteurs tapaient l’adresse habituelle, mais arrivaient sur une page de propagande pro-Assad.
Et puis il y avait BlackWorm RAT : À partir de 2014, la SEA (ou plus précisément la Syrian Malware Team, leur division malware) développe ses propres outils. BlackWorm était un trojan espion distribué via de fausses apps imitant des outils de communication sécurisée.
Le malware existait en deux versions : la v0.3.0 originale et la Dark Edition v2.1. Cela permettait de tuer des processus Windows, redémarrer le système, collecter les infos système, copier sur USB avec autorun, contourner l’UAC, désactiver les firewalls, se propager sur le réseau… Du grand classique mais très efficace !
Une fois installé, BlackWorm collectait contacts, messages, géolocalisation et même les enregistrements audio. Les dissidents syriens qui pensaient utiliser une app sécurisée se retrouvaient alors complètement surveillés. Pas cool !
Puis en 2017, quelque chose change dans la stratégie de la Syrian Electronic Army. Le groupe abandonne progressivement les opérations de hacking pour se concentrer sur la guerre informationnelle et la propagande.
Yaser al-Sadeq l’explique dans une interview : “Avant, on travaillait en secret sur l’axe militaire. Maintenant que le gouvernement a gagné, on veut devenir les auxiliaires médiatiques de l’armée syrienne.”
Cette version 2017 de la SEA n’a plus grand-chose à voir avec le groupe underground des débuts. Al-Sadeq organise des défilés publics dans Damas, ses hackers portent des uniformes avec le logo SEA, ils donnent des interviews à la télé.
Et plutôt que de pirater des sites web, la nouvelle SEA se concentre sur la création de fake news. En 2021, Facebook découvre et supprime un réseau de faux comptes gérés par la SEA ciblant l’opposition syrienne, les Casques blancs et les combattants kurdes avec de la désinformation massive.
Leurs techniques ont donc évolué, mais l’objectif reste le même : contrôler le narratif, sauf qu’au lieu de pirater le compte Twitter d’AP, ils créent des milliers de comptes pour noyer l’info. C’est moins spectaculaire, mais tout aussi efficace !
Puis le 8 décembre 2024, c’est la fin. Le régime Assad s’effondre face à l’offensive des rebelles menés par Hayat Tahrir al-Sham et Bashar fuit vers la Russie avec sa famille, mettant fin à plus de 50 ans de dictature familiale. Avec la chute du régime, la Syrian Electronic Army perd sa raison d’être, Yaser al-Sadeq et ses troupes disparaissent dans la nature, Haidara Suleiman s’exile probablement avec papa et Ahmad Agha et Firas Dardar restent introuvables et sont encore aujourd’hui sur la liste des plus recherchés du FBI avec 100 000 dollars de récompense sur leur tête.
Cette organisation qui se vantait de maîtriser l’information n’a pas vu venir la chute de son propre camp et leurs talents en cyber-guerre n’ont pas suffi à sauver Assad. C’est le karma !
Tchao !
L’attaque contre AP reste LE cas d’école sur la fragilité des marchés face aux fake news et depuis, plusieurs incidents similaires ont eu lieu, la preuve que les gens n’apprennent pas vite et que les algos de trading sont toujours aussi cons.
En ciblant les médias occidentaux, la SEA a normalisé l’idée que l’info était un champ de bataille et aujourd’hui, que ce soit l’Ukraine, Gaza, Taiwan… partout, la guerre de l’info fait rage.
Bref, la Syrie c’est peut-être pas la Silicon Valley, mais ses hackers ont réussi à faire crasher Wall Street donc ça remet un peu les pendules à l’heure sur la prétendue supériorité technologique occidentale !
La Switch 2 refuse de fonctionner au-dessus de 35°C. Et c’est une mauvaise nouvelle pour 2 milliards d’humains qui vivent dans des zones où c’est la température normale. Voici donc Nintendo invente la console géo-discriminante.
Hé oui, ces derniers vient de confirmer officiellement sur Twitter que leur nouvelle Switch 2 a un petit souci avec la chaleur. Et quand je dis petit, c’est un euphémisme. La console ne doit pas être utilisée dans des environnements dépassant 35°C (95°F) sous peine de dysfonctionnement. Ah, et en dessous de 5°C non plus. En gros, si vous n’habitez pas dans un climat tempéré avec la clim’, oubliez.
Le tweet du service client Nintendo Japon du 1er août 2025 précise que “Utiliser la Nintendo Switch ou la Nintendo Switch 2 dans un environnement chaud peut faire monter la température de la console. Cela peut causer des dysfonctionnements, donc utilisez-la dans un endroit entre 5 et 35°C.” Ils ajoutent même, avec une pointe d’ironie involontaire que “Récemment, la température dépasse 35°C plusieurs jours de suite. Faites attention quand vous l’utilisez dehors.”
Ce qui me tue, c’est que ce n’est pas une découverte. En effet, début juillet 2025, des utilisateurs rapportaient déjà que leur Switch 2 surchauffait grave. Les ventilateurs tournaient à fond, la console crashait en mode portable comme en mode dock, et certains disaient même qu’elle devenait trop chaude pour la tenir. Et ce n’était pas qu’avec le gros Cyberpunk 2077. Non, non, même Splatoon ou Pokémon faisaient surchauffer la bête.
Le Moyen-Orient, le Sahara, l’Asie du Sud… des zones où les températures dépassent régulièrement 35°C. Sans clim’, pas de Switch 2. Nintendo vient littéralement de dire à des milliards de personnes : “Notre console n’est pas pour vous.”. Car le hardware de la Switch 2 a beau être une upgrade majeure par rapport à l’originale, elle reste sous-motorisée comparée aux consoles portables modernes comme le GPD Win 5ou l’Ayaneo Next 2. Nintendo mise donc sur ses exclusivités pour vendre, mais veut aussi attirer plus de jeux AAA. Du coup, le hardware est poussé dans ses retranchements par des titres mal optimisés.
Par exemple, la Turquie connaît régulièrement des températures dépassant 40°C en été. L’Inde, le Pakistan, une bonne partie de l’Afrique et de l’Amérique du Sud aussi. Même en France, on tape régulièrement dans les 35-40°C l’été maintenant. Nintendo suggère donc de “placer la console dans un endroit bien ventilé” et “d’éviter la lumière directe du soleil”.
Les recommandations de Nintendo pour éviter la surchauffe sont du niveau “avez-vous essayé de l’éteindre et de la rallumer ?” du genre, utilisez-la sur des surfaces dures et plates (pas sur le lit), ne bloquez pas les aérations, placer la console dans un endroit bien ventilé, limitez le temps de jeu quand il fait chaud, évitez la lumière directe du soleil…etc. Merci Captain Obvious !
En gros, achetez une console à 400 balles pour jouer 30 minutes avant qu’elle ne fonde. Quand je pense à ma vieille Game Boy de 1989 qui survivait à des étés caniculaires sans broncher. La DS et la 3DS aussi. Mais la Switch 2, console “next-gen” de 2025, fond comme un esquimau dès qu’il fait un peu chaud. Du coup, c’est quoi la prochaine étape ? Une console qui ne marche que les jours de pluie ?
Bref, avec le réchauffement climatique qui s’accélère, de plus en plus de régions vont connaître des températures extrêmes. C’est donc un fail monumental en termes d’ingénierie thermique… Ouin.
Les centrales solaires font du télétravail la nuit car au lieu de roupiller comme nous tous maintenant elles cherchent des astéroïdes. C’est ce qu’a mis en place un scientifique fou des Sandia Labs qui a ainsi transformé 218 miroirs héliostats en télescope géant pour traquer les cailloux spatiaux quand le soleil se couche.
John Sandusky, chercheur aux Sandia National Laboratories, en avait marre de voir les héliostats se tourner les pouces après le coucher du soleil. Ces miroirs géants de 37 mètres carrés qui concentrent la lumière solaire sur une tour de 61 mètres pour produire 6 mégawatts thermiques le jour, bah la nuit ils font rien. Zéro. Nada. C’est donc un gâchis monumental pour une installation qui a coûté des millions.
Alors il s’est dit : et si on leur trouvait un petit boulot ? Genre chasseur d’astéroïdes ? Pas con le mec.
Le principe est assez dingue, vous allez voir… Au National Solar Thermal Test Facility d’Albuquerque au Nouveau-Mexique, Sandusky a reprogrammé un des 218 héliostats pour qu’il suive les étoiles comme un télescope. Sauf qu’au lieu de capturer des images, il mesure les variations de lumière avec une précision au femtowatt près. C’est un millionième de milliardième de watt, autant dire trois fois rien.
“On collecte un million de watts de lumière solaire le jour”, explique Sandusky. “Et la nuit, on veut collecter un femtowatt de lumière réfléchie par les astéroïdes.” Le rapport c’est un pour un million de milliards. C’est comme passer d’un concert de Metallica à entendre une fourmi péter.
Pour cela, l’héliostat oscille d’avant en arrière toutes les minutes en suivant le ciel étoilé et si un astéroïde passe dans le champ de vision, il crée une perturbation dans le spectre de fréquences lumineuses. Bien sûr, pas de jolies photos avec des traînées comme dans les télescopes classiques, mais une signature dans les données qui trahit sa présence, sa vitesse et sa trajectoire.
Évidemment, le système ATLAS de la NASA (Asteroid Terrestrial-impact Last Alert System) fait déjà un boulot remarquable avec ses quatre télescopes qui scannent le ciel complet toutes les 24 heures et depuis sa création, ATLAS a découvert plus de 700 astéroïdes proches de la Terre et 66 comètes. Il a même détecté les deux seuls astéroïdes qui sont tombé sur Terre ces dernières années : 2019 MO et 2018 LA.
Mais les télescopes coûtent cher et il n’y en a pas assez alors que les centrales solaires, elles, sont déjà là. Aux États-Unis, en Espagne, au Maroc, en Chine, en France… Des milliers d’héliostats qui pourraient faire double usage.
Le plus fou c’est que cette technologie pourrait aussi servir pour surveiller l’espace cislunaire, c’est à dire la zone entre la Terre et la Lune car les orbites près de la Lune sont difficiles à suivre depuis le sol et des objets (vaisseaux, ovnis, satellites, rayons laser de la mort ^^…etc) pourraient s’y cacher discrètement. Avec un réseau d’héliostats comme celui-ci transformés en sentinelles nocturnes, plus moyen de jouer à cache-cache.
Mais pour l’instant, vous vous en doutez, c’est de la recherche fondamentale et maintenant, Sandusky cherche des financements pour passer à l’échelle supérieure.
“On veut passer d’un héliostat à plusieurs et démontrer qu’on peut aider à trouver des objets proches de la Terre. […] On veut aussi prouver qu’on peut détecter des astéroïdes encore plus petits.”
En février 2025, ATLAS a d’ailleurs fait une découverte historique : l’astéroïde 2024 YR4, gros comme un immeuble de 20 étages, qui pourrait percuter la Terre en décembre 2032. Cette collision reste possible même si les probabilités sont faibles mais ce genre de menace justifie qu’on utilise toutes les ressources disponibles pour surveiller le ciel.
L’idée de Sandusky, c’est donc du recyclage intelligent car plutôt que de construire de nouveaux télescopes de plus en plus gros, on utilise l’infrastructure existante de ces centrales solaires qui la nuit ne font rien. Elles deviendraient ainsi nos vigies de l’espace, gratuitement ou presque car un héliostat qui traque les astéroïdes la nuit et produit de l’électricité le jour, c’est deux fois plus rentable.
Et si ça marche bien, on pourrait voir fleurir des réseaux de surveillance spatiale low-cost où chaque centrale solaire deviendrait un maillon de la défense planétaire. Les astéroïdes tueurs n’auront qu’à bien se tenir !!
Édit du 5/08/20 : Pour ceux qui n’auraient pas compris, je n’ai jamais changé de position concernant le piratage. Je suis toujours pro-partage de la culture car je pense qu’elle a des effets très positifs. Et je suis aussi pro-IA car je pense que cela a aussi des effets positifs sur la création. Je me suis surement mal exprimé mais ce que je dénonce dans cet article, c’est simplement l’hypocrisie de ceux qui sont anti-IA au nom des artistes tout en piratant… des artistes. Choisissez votre camp, mais soyez cohérents car là votre posture, de mon point de vue, c’est : “You wouldn’t use AI to generate a car?”.
Ces dernières années, la dissonance cognitive frappe fort car tenez-vous bien, j’ai découvert qu’il existait des anti-IA qui militaient activement entre deux épisodes piratés de Dr Who. Hé oui, c’est le paradoxe moral de notre époque, à savoir défendre les droits d’auteur tout en ayant 2 To de films illégaux sur son disque dur.
Attention, je ne dis pas que pirater un film = entraîner une IA sur des millions d’œuvres. Je parle de l’incohérence morale de ceux qui brandissent l’argument du droit d’auteur contre l’IA tout en le piétinant allègrement par ailleurs.
D’un côté, il y a donc une indignation face aux IA génératives qui s’entraînent sur des œuvres protégées et de l’autre, la normalisation totale du piratage de contenus.
Les deux pratiques utilisent le travail des autres sans permission, mais bizarrement, une seule déclenche l’outrage moral. Ce que j’aimerai aborder dans cet article c’est donc cette dissonance cognitive / ce malaise mental qui se produit quand nos actions contredisent nos valeurs. Les psychologues qui étudient le piratage ont même identifié des “techniques de neutralisation” qu’on utilise pour justifier nos contradictions du genre : “C’est pas pareil”, “Les studios sont riches”, “Je paierais si c’était moins cher”… Ça vous rappelle quelque chose, non ^^ ?
Les deux pratiques posent des questions éthiques légitimes car comme je vous l’expliquais dans mon précédent article, l’IA générative utilise des millions d’œuvres pour créer du contenu qui peut directement concurrencer les artistes originaux. Même si c’est totalement faux, on entend souvent dire que le piratage priverait aussi les créateurs de revenus direct. C’est le même argument qui est repris par les opposants à l’IA, bizarrement… Pourtant, si je suis cette logique, dans les deux cas, on profiterait du travail des autres sans compensation.
Mais il y a quand même des nuances importantes car l’IA transforme, recrée, et elle produit quelque chose de nouveau (même si c’est discutable), et le piratage, c’est de la consommation culturelle pure. L’un est légal dans certains contextes (le fair use reste quand même assez flou), et l’autre est clairement illégal partout. L’un démocratise la création, l’autre ne fait que redistribuer l’existant.
Et puis il y a l’aspect financier qu’on ne peut pas ignorer. Dans les deux écosystèmes, on retrouve les mêmes acteurs : les “dealers” et les consommateurs. Côté IA, OpenAI, Anthropic ou Midjourney se font des milliards.
Côté piratage, les plateformes de streaming illégal monétisent via la pub et les abonnements premium. Les deux business models exploitent le travail des créateurs pour générer du profit. Encore une fois, l’un est légal, l’autre non mais fondamentalement, c’est la même logique capitaliste qui s’applique. Quant aux utilisateurs finaux, qu’ils piratent un film ou utilisent ChatGPT pour éviter de payer un rédacteur, l’objectif reste le même : faire des économies sur le dos des créateurs.
La vraie hypocrisie, c’est donc de prétendre qu’on défend les artistes tout en piratant leur travail.
Pour être clair, je ne condamne pas le piratage qui a beaucoup de bienfaits. Je pointe simplement du doigt ceux qui utilisent l’argument du “vol” contre l’IA tout en piratant eux-mêmes. Si vous assumez que le partage de la culture est légitime (comme moi), alors soyez cohérents et acceptez que l’IA fasse pareil.
Ainsi, si vous téléchargez illégalement la dernière série de Netflix tout en critiquant Midjourney, vous faites partie du problème que vous dénoncez.
L’impact économique est évidemment débattu car certains argumentent que les deux pratiques affaiblissent l’économie créative mais d’autres (dont je fais partie) soutiennent que le piratage a paradoxalement forcé l’innovation, favorisé la culture…etc créant finalement plus de valeur. L’IA générative pourrait avoir un effet similaire, destructeur à court terme mais potentiellement transformateur à long terme. On verra bien…
Bref, pour certains, le piratage est un acte de résistance contre les monopoles du divertissement, tandis que d’autres voient l’IA comme un accès à tous à la création. Et bien sûr, les deux camps utilisent des justifications morales pour des actes reconnus comme ambigus. C’est humain c’est sûr, mais c’est incohérent. Ainsi, ces mêmes personnes qui s’insurgent contre le “vol” de styles artistiques par l’IA n’ont visiblement aucun problème à “voler” une série entière, un album MP3 ou installer un crack pour la suite Adobe. Comme si le support changeait la moralité de l’acte. Un dataset d’images scrapées, c’est mal, mais un disque dur plein de films piratés, c’est la normalité.
Bref, on défend la propriété intellectuelle quand ça nous arrange (l’IA menace mon job) et on l’ignore quand ça nous gêne (j’ai pas envie de payer Disney+). C’est quand même une position intenable intellectuellement, vous ne trouvez pas ? Et cela, les entreprises qui font de l’IA l’ont bien compris et surfent sur cette hypocrisie généralisée : “Vous piratez bien des livres et des films, alors pourquoi pas nous ?”
Bien sûr, ce n’est pas dit explicitement, mais le message est là, et si on est honnête, l’argument n’est pas totalement faux.
Donc la solution, ce serait déjà de reconnaître nos contradictions. Perso, je pense que le partage de la culture est une bonne chose, que ce soit via le piratage ou via l’IA. Ce que je critique, c’est ceux qui défendent l’un en condamnant l’autre.
Donc si vous militez pour les droits des créateurs, soyez cohérents et payez pour le contenu que vous consommez. Et si vous piratez, assumez que vous participez aussi totalement à l’érosion du système que vous prétendez défendre contre l’IA. Après si vous achetez tout ce que vous regardez en séries, films, livres, logiciels, musique ET qu’en plus, vous militez contre l’IA, vous êtes cohérent avec vous-même et dans ce cas bravo les amigos !
Et si vous n’en avez rien à foutre de la propriété intellectuelle, que vous téléchargez illégalement tout ce qui bouge, vous pouvez continuer à attaquer l’IA sur la thématique des emplois détruits ou de l’écologie mais concernant le respect du travail des artistes, vous n’avez jamais été crédibles.
Bref, je pense qu’on devrait repenser totalement notre approche de la propriété intellectuelle car visiblement, le modèle actuel ne fonctionne plus, que ce soit pour l’IA ou le piratage. Mais bon, tant qu’on restera dans le déni de nos propres contradictions, on n’avancera pas. Donc, avant de poster votre prochain tweet indigné sur l’IA générative, regardez votre historique de téléchargements et si vous trouvez ne serait-ce qu’un fichier piraté, prenez quand même 2 min pour réfléchir à votre position morale. Vous verrez, c’est un exercice fascinant ^^.
Au final, on est tous des pirates d’une manière ou d’une autre… La différence, c’est juste le niveau d’honnêteté qu’on a avec nous-mêmes. Alors, prêts à regarder vos contradictions en face ? Ou vous préférez retourner sur YGG en attendant que ChatGPT écrive le prochain épisode de votre série préférée ?
Voici quelque chose que beaucoup ignorent chez o2switch : la possibilité de faire tourner des applications NodeJS, Python et Ruby ! Eh oui, c’est pas que du WordPress et du PHP chez eux, on peut faire du développement moderne aussi.
Je vous vois venir avec vos “mais o2switch c’est un hébergeur mutualisé, on peut pas faire tourner du Node dessus”. Bah si ! Et c’est même super simple à mettre en place et quand j’ai découvert ça, j’ai halluciné.
Commençons par NodeJS. Vous savez, ce truc qui permet de faire du JavaScript côté serveur et de créer des applications web ultra réactives. Chez o2switch, vous avez un outil dédié dans cPanel qui s’appelle “Setup Node.js App”. Vous cliquez dessus, vous choisissez votre version de Node (ils ont toutes les versions récentes), vous indiquez où sont vos fichiers, et boom, c’est parti.
Le process est vraiment simple : vous uploadez vos fichiers (votre server.js, votre package.json et tout le tralala), vous créez votre application depuis l’interface, et o2switch s’occupe de créer un environnement virtuel isolé pour votre app. Vous pouvez même définir des variables d’environnement directement depuis l’interface, pratique pour vos clés API et autres secrets.
Ce qui est vraiment cool, c’est que vous pouvez faire tourner plusieurs applications Node en même temps, chacune sur son propre port ou son propre chemin d’URL. Genre vous pouvez avoir votre site principal en WordPress et une API en Node qui tourne sur monsite.com/api. C’est flexible comme tout !
Pour Python, c’est le même délire. L’interface s’appelle “Setup Python App” et ça fonctionne avec WSGI. Vous choisissez votre version de Python (de la 2.7 à la dernière 3.x), vous pointez vers votre fichier d’entrée, et c’est parti. Parfait pour faire tourner du Django, du Flask ou n’importe quel framework Python moderne.
Ruby aussi est de la partie avec “Setup Ruby App”. Bon, je vais être honnête, l’interface est un poil plus austère pour Ruby, mais ça fait le job. Si vous êtes fan de Ruby on Rails ou Sinatra, vous pouvez tout à fait les faire tourner sur o2switch.
Mais attendez, le meilleur dans tout ça ? C’est que c’est inclus dans toutes les offres ! Que vous soyez sur l’offre Grow à 7 € HT par mois, sur la Cloud à 4,25 € HT/mois la première année ou sur la Pro à 6,25 € HT/mois la première année également, vous avez accès à ces fonctionnalités. Pas de supplément, pas d’option à 50 balles, c’est dedans !
D’ailleurs, petit aparté sur Softaculous. Vous connaissez ? C’est l’installateur automatique d’applications qu’ils ont intégré. En plus de WordPress (même si pour ça je vous conseille plutôt WP Tiger, leur outil maison), vous pouvez installer en un clic des tonnes d’applications : Matomo pour vos stats RGPD-friendly, TinyTinyRSS pour votre agrégateur de flux, des outils de ticketing comme osTicket, et j’en passe.
Le truc vraiment pratique avec tout ça, c’est que ça reste de l’hébergement infogéré. Vous n’avez pas à vous soucier des mises à jour système, de la sécurité du serveur ou de la configuration Apache. o2switch gère tout ça en coulisses pendant que vous, vous vous concentrez sur votre code.
Pour ceux qui aiment automatiser, vous avez aussi les tâches cron. Vous pouvez programmer des scripts qui se lancent à intervalles réguliers, que ce soit du PHP, du shell, du Python… Parfait pour vos scripts de maintenance, vos sauvegardes custom ou la régénération de votre site statique.
Ah et pour les devs, il y a même la possibilité de créer des dépôts Git directement dans cPanel. Plus besoin de passer par FTP pour déployer, vous pouvez cloner votre repo et travailler directement sur le serveur. C’est pas du CI/CD automatisé, mais pour un hébergement mutualisé, c’est déjà énorme.
Et notez que leur support technique est au courant de toutes ces fonctionnalités. Comme ça, si vous galérez avec votre config Node ou Python, n’hésitez pas à les contacter. Ils sont en France, ils parlent français, et connaissent leur sujet sur le bout des doigts ! Et puis il y a Tigrou, leur chatbot intégré dans cPanel. Quand vous êtes sur la page de config Node ou Python, il détecte où vous êtes et vous propose directement la documentation adaptée. C’est con mais c’est super pratique quand on débute.
Franchement, pour le prix, je ne connais pas d’autre hébergeur qui propose autant de flexibilité technique. On est loin du simple hébergement PHP de papa. Avec les lunes pour isoler vos projets, les outils de performance, et maintenant le support de tous ces langages modernes, o2switch c’est devenu une vraie plateforme de développement.
Alors oui, on n’est pas sur du VPS où vous avez un contrôle total. Mais est-ce que vous avez vraiment envie de passer vos soirées à configurer Nginx et à patcher votre serveur ? Moi pas. Je préfère coder et laisser o2switch s’occuper de l’infra.
Si vous voulez tester, foncez. Avec leur garantie satisfait ou remboursé de 30 jours et la migration gratuite, vous ne risquez rien. Et avec le code KORBEN10, c’est vraiment le moment de sauter le pas !
Il est 2h du mat’, je tombe sur keygenmusic.tk et BAM, flashback direct dans les années 90 / 2000. Car oui, forcement, comme moi, vous vous souvenez de ces petites mélodies 8-bit qui accompagnaient les cracks de logiciels, non ? Et bien ce site les stream toutes, gratuitement, directement dans votre navigateur. C’est Mikhailo Onikiienko, un développeur ukrainien basé à Kiev, qui maintient cette perle depuis 2015.
Le truc, c’est que keygenmusic.tk n’est pas juste un player audio basique… c’est de mon point de vue, un véritable monument à la culture de la demoscene et du tracker musical. Le site lit nativement les formats .mod, .xm, .s3m et .it directement dans votre navigateur comme ça, plus besoin de télécharger WinAmp ou ModPlug Tracker comme en 1998.
Depuis 2015, Mikhailo peaufine son bébé avec des fonctionnalités qui font plaisir comme le support des touches média pour play/pause/next/prev, la recherche par titre de module, un système de favoris, des liens directs vers les morceaux, et même un visualiseur de spectre. Le garçon ne chôme pas !
Pour ceux qui ne connaissent pas ce pan de la culture tech, les musiques de keygen sont nées de la convergence entre la scène du cracking et la demoscene dans les années 90. Les groupes de crackers voulaient montrer leur talent technique, et quoi de mieux qu’une intro musicale péchue composée note par note dans un tracker ? D’ailleurs, ces morceaux devaient être ultra légers (quelques Ko max) pour ne pas alourdir les keygens distribués à l’époque du 56k.
Le site utilise chiptune2.js de deskjet, une bibliothèque JavaScript qui fait tourner libopenmpt dans le navigateur ce qui permet d’obtenir un son authentique qui vous ramènera direct à l’époque où on attendait 3 heures pour télécharger Photoshop 7 sur eMule. Ces mélodies répétitives mais addictives, ces basslines qui tapent, ces arpèges impossibles… raaaah, tout y est et j’adore !
Chaque morceau conserve ses métadonnées originales : nom du groupe, message du cracker, année… C’est un véritable musée numérique de la culture underground des années 90-2000. Des groupes mythiques comme Fairlight, Razor 1911, Paradox… leurs signatures sonores sont toutes là. Ces compositions ont influencé toute une génération d’artistes électroniques et aujourd’hui, on retrouve l’esthétique chiptune partout : dans les jeux indés, les films, et même dans la musique mainstream.
Le projet est hébergé sur GitHub et Mikhailo a vraiment soigné les détails pour que l’expérience soit fluide sur tous les navigateurs modernes. Y’a même des extensions pour Chrome, Firefox et Opera pour avoir ces petits sons toujours sous la main.
Bref, pour les nostalgiques de la demoscene comme moi, c’est Noël ! Ces musiques racontent l’histoire d’internet, du piratage, et de la culture geek des débuts et sont techniquement impressionnantes ! Foncez vite découvrir ça en cliquant ici !
J’avoue que je n’ai rien suivi de tout ça parce que pas le temps, mais comme d’hab, on va nous la faire à l’envers et on ne pourra pas y faire grand chose. Ce projet baptisé Chat Control c’est l’Europe qui veut scanner TOUS nos messages WhatsApp, Signal et Telegram dès octobre 2025. La France, l’Allemagne et 17 autres pays soutiennent ce délire totalitaire et voici comment ils comptent casser le chiffrement de bout en bout.
Tout d’abord, le Danemark a remis ça sur la table dès le premier jour de sa présidence de l’UE, le 1er juillet dernier. C’est fou quand on sait que toute l’opposition danoise est contre ce projet et que leurs propres cryptographes ont déclaré que “Chat Control va saper toute l’idée du chiffrement de bout en bout”. Ce projet qui était mort et enterré plusieurs fois revient encore plus agressif et cette fois, ils veulent forcer toutes les messageries à scanner automatiquement chaque message, photo et vidéo que vous envoyez. Même chiffré de bout en bout.
Le principe est vicieux et stupide car au lieu de casser directement le chiffrement (ce qui serait trop voyant), ils veulent imposer le “client-side scanning”. En gros, un mouchard installé sur votre téléphone qui analyse tout ce que vous tapez AVANT que ça soit chiffré, un peu comme si la Poste venait lire toutes vos lettres dans votre salon avant que vous ne les mettiez dans l’enveloppe.
Patrick Breyer, ancien eurodéputé du Parti Pirate allemand, balance les chiffres… D’après lui, au moins 19 pays sur 27 soutiennent maintenant ce projet selon les données du Parti Pirate européen. La France qui était contre a retourné sa veste (comme c’est étonnant…), l’Allemagne hésite encore car le nouveau gouvernement n’a pas encore pris position mais personne ne se fait d’illusion, et surtout, la Belgique, la Hongrie, la Suède, l’Italie, l’Espagne… tous sont pour.
Le prétexte officiel comme d’hab, c’est de lutter contre la pédocriminalité (CSAM - Child Sexual Abuse Material). Noble cause, certes mais encore une fois, l’exécution est catastrophique. Comme les plateformes devront scanner TOUS les messages de TOUS les utilisateurs pour détecter du contenu illégal, y’a pas de mandat, pas de suspicion, mais juste une surveillance généralisée permanente.
Techniquement, c’est également une catastrophe annoncée car les systèmes de détection automatique sont notoirement mauvais. Apple avait tenté un truc similaire en 2021 et avait dû reculer face au tollé. Les faux positifs sont légion : photos de famille à la plage, discussions médicales, échanges entre ados… Tout peut être mal interprété par un algorithme. Les juristes du Conseil de l’UE eux-mêmes ont critiqué le projet dans un rapport interne révélé en mars 2025. Ils parlent de mesure “disproportionnée” qui viole la Charte européenne des droits fondamentaux et la Cour européenne des droits de l’homme a déjà statué en 2023 contre l’affaiblissement du chiffrement.
Le plus absurde c’est que les vrais criminels n’utilisent pas WhatsApp. Ils ont leurs propres outils, leurs propres réseaux, du coup cette surveillance touchera uniquement monsieur et madame tout-le-monde. Et pendant ce temps, les pédocriminels continueront tranquillement leurs saloperies sur le dark web ou avec des solutions maison.
Le Danemark veut faire passer le texte avant le 14 octobre 2025 et si l’Allemagne bascule du côté obscur, c’est plié. La majorité qualifiée sera atteinte et on aura tous un espion gouvernemental dans la poche. Et les implications vont bien au-delà de la simple vie privée car si une backdoor existe pour scanner les messages, elle peut être exploitée par des hackers, par des gouvernements étrangers, par des entreprises malveillantes…etc. Ce truc c’est ouvrir la boîte de Pandore de la surveillance.
Les associations de défense des libertés numériques sont sur le coup et tirent la sonnette d’alarme. La Quadrature du Net, l’EFF, Privacy International… tous dénoncent une dérive autoritaire sans précédent dans une démocratie. Même les développeurs de Signal ont prévenu : si Chat Control passe, ils pourraient quitter l’Europe.
La vérification d’âge obligatoire est aussi dans le package… Terminé l’anonymat, il faudra prouver qui vous êtes pour utiliser une messagerie. Vos données personnelles seront ainsi liées à chaque message. C’est vraiment le rêve humide préféré de tous les régimes autoritaires.
Alors pour l’instant, on peut encore agir d’après ce que j’ai compris. Il faut contacter nos eurodéputés, signez les pétitions, sensibilisez autour de nous. Parce qu’une fois que ce système sera en place, il sera quasi impossible de revenir en arrière. L’infrastructure de surveillance sera là, prête à être utilisée pour n’importe quel prétexte.
Après si Chat Control passe, il faudra migrer vers des solutions vraiment décentralisées comme Matrix, Briar, et des trucs qui échappent encore au contrôle étatique mais ce sera pas forcement très user-friendly pour tout le monde. Surtout que les États-Unis, l’Australie, le Canada… tous regardent cette loi avec des étoiles dans les yeux pour faire pareil chez eux.
Bref, on n’est plus dans 1984 d’Orwell, on est carrément au-delà.
C’est l’histoire d’un développeur polonais a quitté son job il y a plus d’un an pour créer un éditeur graphique et il s’est dit que ce serait cool de le donner gratuitement !
Krzysztof Krysiński et son équipe viennent de sortir PixiEditor 2, et c’est une claque monumentale. Fini l’époque où il fallait jongler entre Photoshop, Illustrator et Aseprite car cette petite équipe européenne a créé le premier véritable “éditeur 2D universel”.
Car oui, pourquoi avoir 10 logiciels différents quand un seul peut tout faire ? PixiEditor 2.0 fusionne pixel art, graphisme vectoriel, retouche photo, animation frame par frame et même art procédural avec un système de nodes. C’est comme si Photoshop, After Effects et Blender avaient eu un bébé open source.
Jusqu’à présent, PixiEditor était surtout connu comme un éditeur de pixel art sympa mais limité. Cette version 2.0 change complètement la donne puisque l’équipe a construit un pipeline de rendu raster/vectoriel ultra configurable qui s’adapte à n’importe quel workflow. Vous pouvez littéralement switcher entre trois modes de travail : Painting (pour le dessin classique), Pixel Art (avec des outils pixel-perfect) et Vector (pour les logos et illustrations scalables).
Le truc dingue, c’est que ces trois modes peuvent cohabiter sur le même canvas. Vous dessinez un sprite en pixel art, vous ajoutez du texte vectoriel par-dessus, et vous balancez des effets procéduraux avec les nodes. Tout ça dans un seul fichier .pixi, comme ça plus besoin d’exporter/importer entre différents logiciels.
Mais parlons surtout du Node Graph, parce que c’est là que PixiEditor devient vraiment foufou. Grâce à ce truc, vous allez pouvoir créer des effets visuels complexes juste en connectant des boîtes entre elles. Chaque layer devient ainsi un node, et vous pouvez les combiner pour créer des trucs impossibles dans un éditeur classique. L’équipe a même réussi à créer un workspace de texturing 3D avec preview en temps réel. Je vous rappelle que c’est un éditeur 2D à la base !
Dans les démos, j’ai vu des exemples hallucinants comme des îles générées procéduralement avec des saisons qui changent automatiquement, du feu entièrement créé avec des nodes, des animations de sprites réutilisables basées sur l’UV indexing. On ferait tourner Doom là dedans que ça ne m’étonnerait pas !
Les animations ont également été ajoutées après des années de demandes et surtout PixiEditor ne s’est pas contenté du minimum. Vous avez le frame par frame classique pour vos sprites de jeu, mais aussi la possibilité d’animer vos nodes pour créer des effets procéduraux. Y’a aussi de l’export en GIF, MP4 ou spritesheet pour vos jeux… Toutefois, il manque encore les animations vectorielles avec keyframes, mais c’est prévu pour après cette mouture.
Pour les pixel artists, c’est aussi Noël car le mode Pixel Art propose un brush avec option pixel-perfect (plus de pixels baveux !), des outils de transformation qui préservent le style pixel (scale, rotate, skew sans antialiasing), et même un outil texte non-destructif qui reste pixel-perfect lui aussi. Les palettes sont gérées nativement avec import / export vers tous les formats populaires, s’il vous plait !
Il y beaucoup d’attention aux détails dans cette release. Les vecteurs supportent le high DPI natif, donc vos logos restent nets même sur un document basse résolution. Le système de preview permet d’avoir plusieurs viewports sur le même fichier ce qui est super pratique pour voir différentes sorties de votre node graph en simultané. Et cerise sur le gâteau, tout fonctionne offline, pas besoin de connexion internet.
Comparé à la concurrence, PixiEditor se démarque donc vraiment, Aseprite reste excellent pour le pixel art pur mais coûte 20$ et n’a pas de vectoriel, LibreSprite est gratuit mais basé sur une vieille version d’Aseprite, Piskel est limité au navigateur et Pixelorama est prometteur mais moins complet. PixiEditor est donc le seul à proposer cette approche “universelle” tout en restant 100% gratuit et open source.
Notez que l’équipe a créé Pixi Labs Sp. z o.o., une entité légale polonaise pour gérer le projet, mais pas de panique car PixiEditor reste libre et gratuit. Leur modèle économique est transparent et malin puisqu’ils maintiennent et développent PixiEditor gratuitement tout en vendant des extensions et assets optionnels.
Par exemple, le Founder’s Pack inclut des workspaces spécialisés (card builder pour créer des cartes de jeu, texturing 3D, animations réutilisables) et 21 palettes exclusives. C’est du win-win comme ça vous soutenez le développement et vous récupérez des outils sympas.
Niveau config, il vous faudra un GPU compatible Vulkan (la plupart des cartes récentes) et un système 64 bits. Et si votre machine est trop vieille, vous pouvez toujours utiliser PixiEditor 1.0 via Steam. Linux est même maintenant officiellement supporté, ce qui manquait cruellement à la v1. Les développeurs bossent dur pour supporter plus de configurations, mais désolé de vous le dire, le 32 bits c’est fini.
Pour la petite histoire, le créateur Krzysztof Krysiński, développeur .NET spécialisé en desktop et développement de jeux, a tout commencé en 2017 comme projet d’apprentissage. Finaliste Google Code-In 2018 et runner-up 2019, il a rebaptisé son projet “Pixi” en PixiEditor lors de sa première sortie publique en octobre 2018.
Son but initial était de construire un éditeur libre qui peut gérer TOUTE la 2D et la mission est accomplie… PixiEditor 2.0 n’est pas “encore un clone de Photoshop” mais plutôt une nouvelle vision de ce que devrait être un éditeur graphique moderne.
Si ça vous tente, c’est disponible sur Steam, le Microsoft Store, ou directement sur leur site. Le code source est sur GitHub si vous voulez contribuer ou compiler vous-même.
Et l’avenir s’annonce radieux avec une roadmap ambitieuse : version web, marketplace d’assets, CLI pour l’automatisation, format de fichier interactif, et surtout une API d’extensions avec store intégré façon Visual Studio Code.
Le but étant de permettre le développement d’extensions dans presque n’importe quel langage grâce aux composants WASI. Grâce à toutes ses fonctionnalités, PixiEditor a les épaules pour devenir LE standard de la création 2D libre. En attendant, c’est déjà un outil incroyablement puissant qui ridiculise pas mal de solutions payantes.
Je suis un grand utilisateur d’Apple Notes et régulièrement, je me dis que ce serait quand même cool d’en avoir un petit backup sur mon NAS pour au cas où le jour où Apple décide de tout supprimer. J’y ai des années de réflexions, d’idées, de projets…etc et les voir s’envoler me foutrait un peu le cafard !
Alors aujourd’hui, j’ai enfin trouvé 5 min pour me pencher sur cette problématique et je suis tombé sur Exporter, une petite app Mac qui exporte l’ensemble de vos notes Apple en fichiers Markdown. Et ça m’a enlevé un stress parmi ma liste de mes autres 456 986 stress que j’ai dans mon cerveau dérangé.
Car le problème avec Apple Notes, c’est qu’on s’y habitue trop bien. L’app est fluide, synchronisée entre tous vos appareils, et on finit par y stocker toute sa vie numérique. Alors que se passe-t-il si votre compte iCloud bug ? Si Apple décide de changer certaines choses ? Ou si vous voulez migrer vers une autre app ? Et bien je vais vous le dire… Vous l’avez dans le cul et vous vous retrouvez coincé avec vos données enfermées dans l’écosystème Apple.
Surtout que les statistiques font froid dans le dos… 93% des entreprises qui perdent leurs données pendant plus de 10 jours font faillite dans l’année. Et bien pour vos notes personnelles, c’est pareil. Une fois perdues, impossible de les récupérer et contrairement aux photos ou documents qui traînent souvent dans plusieurs endroits, vos notes n’existent généralement que dans une seule app.
C’est là qu’Exporter entre en scène. Cette petite app développée par Chintan Ghate fait exactement ce que son nom indique : elle exporte toutes vos notes Apple vers des formats standards comme Markdown ou HTML. En quelques clics, vous transformez vos notes propriétaires en fichiers lisibles par n’importe quelle app de prise de notes.
Pour vous en servir, une fois installé, vous lancez Exporter, vous sélectionnez le format de sortie (Markdown ou HTML), vous choisissez le dossier de destination, et hop. L’app récupère automatiquement toutes vos notes, préserve la structure de dossiers, garde les dates de création et modification, et exporte même les pièces jointes. JPEG, PNG, GIF, TIFF, BMP, PDF, DOCX, MP4, fichiers audio… tout y passe.
Ce qui me plaît surtout dans cette app, c’est qu’elle fonctionne en local. Ainsi, vos données ne transitent jamais par internet et passent directement de l’app Notes vers vos fichiers sur le disque dur. Comme ça, pas de stress du “Est-ce que mes notes privées vont se retrouver sur un serveur quelconque ?”. Tout reste sur votre Mac.
Surtout que l’export en Markdown, c’est le format magique. Lisible par les humains, compatible avec une flopée d’apps modernes : Obsidian, Bear, Standard Notes, Craft, Joplin, NotePlan, Agenda… Bref, vous avez l’embarras du choix. Et si demain vous voulez changer encore d’app, vos fichiers Markdown vous suivront partout.
La version de base exporte tout, et il y a la possibilité, si vous payez un petite quelque chose, de filtrer l’export par notebook si vous ne voulez pas tout récupérer d’un coup.
Par contre, attention aux limitations… Exporter ne gère pas les sous-dossiers, donc si vous avez une hiérarchie complexe dans Notes, il faudra la recréer manuellement dans votre nouvelle app. Les hyperliens ne sont pas exportés non plus. Ce ne sont pas des bugs, juste des limites du format Apple Notes lui-même.
Et surtout n’oubliez pas que le vrai piège, c’est de se dire “je le ferai plus tard”. Donc si vous êtes comme moi, que vous vivez dans Apple Notes et que l’idée de tout perdre vous angoisse, Exporter est votre bouée de sauvetage ! Ça vous libère de votre prison dorée, et comme ça vos notes deviennent portables, sauvegardables, migrables, et vous dormirez mieux la nuit (ou pas).
Aujourd’hui mes amis, voici l’histoire du plus vieux groupe de hackers encore en activité. 41 ans d’existence, c’est pas rien quand même. Alors oui, le Cult of the Dead Cow, ça peut faire peur comme nom, mais derrière cette appellation qui fleure bon le metal des années 80, y’a une bande de petits génies qui ont inventé l’hacktivisme moderne. Du coup, on va causer de vaches mortes, de hackers texans, et de comment ces quelques geeks ont changé le monde depuis un abattoir pourri.
Le culte de la vache morte version ASCII
Je vais prendre un exemple concret pour que vous compreniez bien l’ampleur du truc. Juin 1984, Lubbock, Texas. Pendant qu’on découvrait les Transformers et qu’on se battait pour avoir une NES, six gamins se retrouvent dans un abattoir désaffecté appelé Farm Pac. L’endroit pue la mort, les mouches font la java, des carcasses de vaches pourries traînent partout. C’est dans cette ambiance digne d’un film de Tobe Hooper que naît le Cult of the Dead Cow.
Le cerveau derrière tout ça ? Kevin Wheeler, 14 ans à peine, qui se fait appeler Grandmaster Ratte’ (avec l’accent aigu, s’il vous plaît car le mec avait déjà le sens du spectacle). Né en avril 1970, Wheeler avait déjà monté son propre BBS et passait ses nuits à explorer les systèmes téléphoniques. Avec lui, il y avait Bill Brown alias Franken Gibe, un mec surnommé Sid Vicious (rien à voir avec les Sex Pistols), et trois autres opérateurs de BBS locaux dont les noms se sont perdus dans les brumes du temps.
Grandmaster Ratte'
Wheeler deviendra par la suite « l’Imperial Wizard of ExXxtasy » du groupe. Oui, avec trois X, parce que pourquoi pas. Le mec avait une personnalité complexe, flamboyant et théâtral en public, mais terriblement reclus dans la vraie vie. Le genre de type qui fait le show sur scène mais qui disparaît dès que les projecteurs s’éteignent. Un vrai paradoxe ambulant.
Pour les plus jeunes qui lisent ça, laissez-moi vous expliquer ce qu’était un BBS. C’était l’ancêtre d’Internet… vous composiez un numéro de téléphone avec votre modem 2400 bauds (oui, 2400 bauds, pas 2400 Mbps), et après 3 minutes de bruits de robot qui agonise, vous vous connectiez sur le serveur d’un passionné. Télécharger un fichier de 1 Mo prenait 6 heures et votre mère vous engueulait parce que la ligne était occupée et qu’elle attendait un appel de tante Germaine. C’était ça, l’informatique des années 80 !
Le truc marquant avec ces gars du cDc (c’est leur petit nom, prononcez “see-dee-see”), c’est qu’ils ont compris très tôt que la technologie n’était pas neutre. Alors que la plupart des hackers de l’époque s’amusaient à craquer WordPerfect pour l’avoir gratos ou à explorer des systèmes VAX par pure curiosité, eux ils avaient une vision. C’était nouveau pour l’époque où Reagan était président et où tout le monde pensait que l’informatique c’était juste pour faire des tableaux Excel.
Dans les années 80, le groupe s’organise alors autour d’un réseau de BBS affiliés. C’était comme une franchise underground où chaque BBS avait sa spécialité. Les noms étaient complètement barrés : “Demon Roach Underground” (géré par un certain Swamp Rat), “The Works”, “Face of the Beyond”, “TacoLand” (où officiait un certain Beto O’Rourke, mais on y reviendra)…
Petit fun fact en passant, ce sont eux qui ont inventé le terme “31337” pour désigner quelqu’un de doué. Aujourd’hui on dit “il gère” ou “c’est un crack”, mais à l’époque, être “31337” c’était le summum. Ce nombre fait référence à “ELEET” (élite) écrit en caractères ASCII, et le port 31337 deviendra plus tard celui utilisé par Back Orifice. Hé oui, ces mecs avaient le sens du détail !
Aussi, les “t-files” du cDc, c’était quelque chose. Un mélange entre Vice Magazine, 2600, et les délires d’un ado sous acide. Et ils publiaient de tout : des guides techniques pour hacker, des manifestes anarchistes, des parodies religieuses comme le “Book of Cow” (une parodie biblique de 1100 mots), et même de la fiction bizarre. Leur article le plus controversé ? “Sex with Satan” de 1988, qui leur a valu d’être traités de “bunch of sickos” par Geraldo Rivera en direct à la télé nationale en 1994. Mdr !
Le site du cDc
En décembre 1990, un membre du groupe va alors dépoussiérer les conférences hacker. Jesse Dryden (pseudo : Drunkfux ou dFx), crée HoHoCon dans un motel miteux près de l’aéroport de Houston. Le mec avait un pedigree de ouf, fils de Spencer Dryden, le batteur de Jefferson Airplane (celui qui a joué à Woodstock !), et petit-neveu de Charlie Chaplin himself. Ses potes le comparaient aux Merry Pranksters de Ken Kesey, sauf qu’au lieu de distribuer de l’acide, il distribuait des exploits zero-day.
HoHoCon était révolutionnaire parce que Dryden a eu les couilles d’inviter tout le monde : hackers, journalistes et même les flics ! Imaginez la tension… d’un côté des mecs recherchés par le FBI, de l’autre des agents fédéraux, et au milieu Dryden qui fait le médiateur avec son charisme légendaire. Il organisera comme ça 5 éditions au total, créant un modèle pour toutes les conférences de sécurité modernes.
Mais le vrai game changer arrive en 1996. Un membre surnommé Omega (Misha Kubecka de son vrai nom) envoie un email interne avec un mot qu’il vient d’inventer : “hacktivism”. La fusion entre “hacking” et “activism”. Dans son email, il écrivait : “We are hacktivists. We hack for a cause.” Simple, direct, efficace !
Cette même année, le groupe crée sa “Ninja Strike Force”. Le nom fait sourire aujourd’hui (c’était les années 90, tout le monde voulait être un ninja), mais l’idée était novatrice. Il s’agissait de créer une équipe dédiée aux actions concrètes pour défendre leurs idées. Parmi les membres : RaD Man (fondateur d’ACiD Productions), Mark Hinge (The Syndicate Of London), et d’autres légendes de la scène. Notez qu’après le 11 septembre, certains membres sont partis bosser pour le gouvernement et ça a créé des tensions, mais ça c’est une autre histoire…
Back Orifice - Simple mais terriblement efficace
Le 1er août 1998, c’est l’apocalypse. À la DEF CON 6 à Las Vegas, dans une salle bondée du Plaza Hotel, le cDc présente Back Orifice. Créé par Sir Dystic (Josh Buchbinder), c’est un outil de prise de contrôle à distance pour Windows qui fait tout péter. Le nom est un jeu de mots génial sur “BackOffice” de Microsoft.
L’outil utilisait le port 31337 (vous avez la référence maintenant), pesait seulement 124 Ko, et permettait de prendre le contrôle total d’un PC Windows 95/98. Microsoft panique, CNN en parle en boucle, et le gouvernement comprend que ces hackers texans ne rigolent plus. Le plus ouf pour l’époque c’est qu’ils l’ont distribué gratuitement avec le code source complet et 50 pages de doc ! J’avoue qu’à l’époque je l’ai beaucoup utilisé principalement pour m’amuser sans jamais rien détruire ni voler. Juste faire des blagues façon « Ton PC est hanté ». C’était illégal bien sûr mais c’était tellement grisant.
L’année suivante, le 10 juillet 1999, ils remettent ça avec Back Orifice 2000 (BO2k) à la DEF CON 7. Cette fois c’est DilDog (Christien Rioux) qui mène le développement. Compatible avec Windows NT/2000/XP, chiffrement 3DES, système de plugins, capacité de changer de PID pour éviter la détection… Du grand art ! DilDog avait bossé comme un malade pendant des mois et le résultat était bluffant.
Mais ils ne s’arrêtent pas là et le cDc sort toute une panoplie d’outils : NBName (DoS sur NetBIOS), SMBRelay (pour voler les hashes NTLM), Camera/Shy (rebaptisé Peek-a-Booty pour contourner la censure en Chine et Iran). Et chaque outil incluait une doc technique qui expliquait comment s’en protéger. La classe totale !
Et en 1997, coup de génie avec les “Hong Kong Blondes”, un groupe fictif de hackers dissidents chinois inventé de toutes pièces. L’histoire était si bien ficelée que des médias internationaux ont publié des articles sur ce groupe qui n’existait pas ! Du pur cDc : action directe + désinformation créative + humour décalé = message politique qui passe.
Les membres du cDc à la DEFCON 1999
En 1999, s’en suit la création d’Hacktivismo, branche dédiée aux droits humains. Menée par Oxblood Ruffin (Laird Brown), musicien classique canadien et “Ministre des Affaires étrangères” autoproclamé du cDc. Leur mission est de développer des outils pour les dissidents et les journalistes sous régimes oppresseurs. Plus question de hacker pour le fun, maintenant c’est du militantisme pur jus.
Parlons maintenant des destins incroyables des membres. Mudge (Peiter Zatko), diplômé de Berklee en musique, auteur du légendaire L0phtCrack, finit par briefer Bill Clinton en personne sur la sécurité Internet en février 2000. Et le mec enchaîne : @stake, BBN, DARPA (où il lance Cyber Fast Track), Google, puis head of security chez Twitter en 2020.
Mudge - Peiter Zatko
En 2022, gros plot twist, Mudge devient whistleblower et balance Twitter dans une plainte de 84 pages, révélant les failles béantes de sécurité juste avant le rachat par Musk. Son témoignage devant le Congrès en septembre 2022 était du pur Mudge : technique, précis, implacable. Et en 2024, retour à la DARPA comme CIO. De hacker à conseiller gouvernemental à lanceur d’alerte, quelle trajectoire !
Mais le plus fou, c’est Beto O’Rourke. Si si, l’ancien congressman du Texas qui s’est présenté à la présidentielle 2020 ! Il était membre du cDc ado sous le pseudo “Psychedelic Warlord” (tiré d’une chanson de Hawkwind). Il gérait le BBS “TacoLand” et a même écrit des t-files, dont “The Song of the Cow” en 1988.
Beto O’Rourke quand il était actif dans cDc (lors d’une DEFCON)
Le truc génial c’est que O’Rourke militait déjà pour plus de femmes dans le groupe et grâce à lui, des hackeuses comme Lady Carolin (Carrie Campbell) les ont rejoint. Quand Reuters a sorti l’info sur son passé en 2019, les républicains ont crié au cyber-terroriste. O’Rourke a assumé : “C’était formateur, j’ai appris l’importance de la liberté d’expression.” Respect !
Les membres du cDc ont protégé son secret pendant 30 ans et cela même quand des journalistes fouinaient, ou que cela aurait pu leur apporter de la notoriété. Respect la famille, comme on dit. Une fois dedans, t’es protégé à vie. C’est beau non ?
D’autres parcours de ouf c’est aussi Chris Wysopal (Weld Pond) qui co-fonde Veracode, vendue 950 millions en 2017. Count Zero (John Lester) qui devient ponte chez Linden Lab (Second Life). Ou encore Window Snyder (proche du milieu) qui devient CSO d’Intel puis d’Apple. Leur influence est partout.
Dans les années 2000, le cDc se fait alors plus discret. Normal, les membres ont grandi, fondé des boîtes, rejoint le corporate ou le gouvernemental. Mais Hacktivismo continue : Six/Four System (2003, un proxy anti-censure dont le nom est une référence à Tiananmen), ScatterChat (2006, une messagerie chiffrée), campagne Goolag (2006) contre la complicité de Google avec la censure chinoise.
Et en août 2023, surprise totale : le cDc revient avec Veilid (prononcez “vay-lid”) à la DEF CON 31. Présenté par Katelyn “medus4” Bowden (membre depuis 2020, ex-CEO de BADASS) et DilDog. 3-4 ans de dev secret pour créer un logiciel qui fait “comme si Tor et IPFS avaient eu un bébé”.
Veilid - Le futur d’Internet selon le cDc
Veilid c’est donc leur réponse aux GAFAM : un framework pour créer des apps sans collecter AUCUNE donnée. Tout est chiffré, décentralisé, P2P, résistant à la NSA. Pas de nœuds de sortie comme Tor, des clés 256-bit et c’est développé en Rust. Et ça tourne sur tout : Linux, macOS, Windows, Android, iOS, et même le navigateur via WebAssembly !
Une fondation gère le truc et lance un premier projet : VeilidChat, une messagerie ultra-sécurisée. Après 40 ans à critiquer les failles, ils proposent enfin leur vision d’Internet : privé par design, résistant à la censure, hors de portée des gouvernements et autres corporations.
Ce qui est fou avec le cDc, c’est la continuité. Ces mecs ont 50-60 ans pour les plus vieux, mais ils continuent le combat en nous prouvant 41 ans après l’abattoir texan, que la surveillance de masse n’est pas une fatalité. J’ai un grand respect pour l’ensemble de leur œuvre.
Et le groupe continue de recruter. Admission par cooptation, faut avoir fait ses preuves et partager les valeurs et une fois dedans, on est membre à vie. Ils ont des réunions annuelles secrètes où anciens et nouveaux se retrouvent pour échanger, planifier, et sûrement boire des bières en se rappelant le bon vieux temps.
Ce que je remarque surtout c’est que l’héritage du cDc est partout. Chaque fois qu’Anonymous lance une op, qu’un dev chiffre par défaut, qu’un journaliste utilise SecureDrop, qu’un dissident utilise Signal, c’est l’esprit cDc qui survit. L’hacktivisme qu’ils ont inventé en 1996 est maintenant devenu mainstream. Il n’y a qu’à voir les actions contre la Russie depuis 2022 !
Leur leçon surtout c’est que le hacking ce n’est pas juste de la technique. C’est une posture éthique où chaque ligne de code est un acte politique. Et 41 ans plus tard, cette guerre fait rage plus que jamais… IA, metaverse, crypto, surveillance biométrique, 5G… on est en plein dedans et leur message n’a pas pris une ride : la technologie peut être un outil de libération, et il suffit de quelques personnes déterminées pour changer le monde. Ou comme ils disaient : “Bovine Freedom Through Digital Anarchy”. La liberté bovine par l’anarchie numérique. 🐄
Bref, vu comment ça part avec les IA qui aspirent tout, les gouvernements qui scannent nos messages “pour protéger les enfants”, et les GAFAM qui construisent leur dystopie, on a intérêt à écouter les vaches mortes. HACK THE PLANET!
Connexion
