Vous pensiez que votre Roomba à 200 balles c’était déjà le futur ? Alors attendez de voir ce que fait le robot Figure 02 dans la vraie vie !!! Vous allez voir, il est plus doué que vous et moi :)
Brett Adcock, le fondateur de Figure AI, vient en effet de partager une vidéo qui a fait le tour du web. On y voit son robot humanoïde de 1,67 mètre et 70 kilos manipuler un panier à linge et charger tranquillou billou une machine à laver. Sa fille ajoute même un petit vêtement au panier pendant la démo, prouvant ainsi que la scène n’est pas entièrement pré-programmée.
Ça se passe chez lui, dans sa propre maison et pas dans un labo aseptisé avec des conditions parfaites, et c’est pour ça que ça marche et que pour une fois, on a envie d’y croire ! Ce robot fonctionne grâce à Helix, une IA maison que Figure AI décrit comme un “modèle généraliste vision-langage-action”.
Lors de sa dernière apparition, il ne pouvait contrôler que le haut du corps et déplacer des objets et là, y’a eu de gros progrès puisqu’on le voit faire des mouvements de plus en plus précis. Mais attention, rangez-moi tout de suite cette carte bleue bande de victimes du capitalisme car ces robots ne sont pas encore prêts pour une utilisation domestique généralisée. C’est une question de sécurité notamment car un robot de 70 kilos en métal et plastique, ça peut faire des dégâts si ça se plante ou si ça se rebelle comme dans le film iRobot.
D’ailleurs, Figure AI n’est pas seul sur ce créneau puisque le R2D3 d’OpenDroids, dévoilé au CES 2025, excelle aussi dans les tâches multiples et variées comme la vaisselle, le pliage de linge… etc. vous voyez l’idée. Prix estimé ? 60 000 dollars. Aïe. Je vais commencer à mettre un peu de blé de côté parce que le jour où il en vendent un qui peut tirer des troncs et creuser des trous, c’est sûr, je flambe le Livret A !!
On est en 2025, et le marché mondial des robots domestiques dépasse déjà les 20 milliards de dollars. Rien qu’en France, plus d’un foyer sur trois possède déjà au moins un robot domestique. J’imagine que ce sont principalement des robots aspirateurs, des robots de piscine et des robots tondeuse…
En tout cas, le cabinet Morgan Stanley pousse la projection un milliard de robots humanoïdes en service dans le monde en 2050. C’est fou, ça représente quand même un marché de 5 000 milliards de dollars. Je sais pas si c’est une bonne idée niveau écologie tout ça…
Mais revenons à notre petit Figure 02. La société, valorisée à 2,6 milliards de dollars après avoir levé 675 millions auprès de géants comme NVIDIA et Intel, prévoit des tests alpha dans de vraies maisons d’ici fin 2025. Brett Adcock, si tu me lis, JE SUIS VOLONTAIRE POUR LES BETA TESTS MON POTE !!!
De son côté, Boston Dynamics perfectionne également son Atlas dont je vous ai déjà parlé, 1X Technologies développe son Neo Gamma spécifiquement pour les tâches domestiques, et les Chinois d’Unitree proposent leurs G1 et H1 à partir de 13 000 euros. Tesla promet même un prix sous les 20 000 dollars pour son Optimus, mais bon, le marché pour les robots faisant des saluts nazis est un peu restreint depuis 1945.
Voilà, en tout cas, j’ai trouvé cette vidéo d’Adcock très cool car pour une fois, on voit un de ces robots dans la vie réelle, en train de faire un vrai truc et pas juste une démo dans un environnement contrôlé.
Si vous planifiez un voyage aux États-Unis, vous savez surement déjà que vos téléphones et ordinateurs peuvent être fouillés par les douanes américaines. Sauf que depuis quelques jours, les chiffres relatifs à ces fouilles sont sortis. Entre avril et juin 2025, le CBP (Customs and Border Protection) a inspecté 14 899 appareils électroniques, ce qui est un record qui dépasse de 16,7% le précédent pic de début 2022.
Pour les non-citoyens américains, c’est simple, refuser de donner son mot de passe peut signifier un refus d’entrée sur le territoire. Tous les voyageurs étrangers, même avec un visa valide, peuvent ainsi être refoulés en un claquement de doigt. Par contre, les citoyens américains ne peuvent pas être empêchés d’entrer dans leur pays, mais leurs appareils peuvent être confisqués durant des semaines, voire des mois.
Perso, j’attendrais que Trump parte et que les américains se détendent un peu du slip avant de remettre les pieds là bas. D’ailleurs le tourisme s’est bien cassé la gueule à cause de Donald. C’est dommage quand même..
Le 5e Amendement protège les droits des américains de ne pas révéler verbalement leur mot de passe, mais les tribunaux permettent souvent aux agents de vous contraindre à déverrouiller votre téléphone avec votre empreinte ou votre visage. D’où l’astuce répandue qui consiste à désactiver Face ID et Touch ID avant d’arriver à la frontière.
Les experts en sécurité recommandent plusieurs stratégies. J’avais moi-même fait un article sur le sujet il y a quelques temps. En gros, faut utiliser un téléphone de voyage avec données minimales, mais pas trop épuré pour éviter les soupçons. Transférer temporairement photos et fichiers sensibles vers le cloud, puis les supprimer localement. Et bien sûr désinstaller les réseaux sociaux avant le voyage. Perso, d’ordinaire, j’opte pour un achat de smartphone pas cher qui me servira juste pour le quotidien là bas. C’est un peu relou mais bon, après une fois la frontière passée, il est toujours possible de réinstaller d’autres app ou d’aller voir ses emails via un VPN.
Une nuance importante de tout ce bordel, c’est surtout que depuis 2017, la politique du CBP interdit officiellement l’accès aux données stockées dans le cloud. Les agents ne peuvent fouiller que ce qui est physiquement présent sur l’appareil. Emails, messages et posts sur serveurs distants restent donc théoriquement protégés, mais si vous gardez des copies locales de ça sur votre appareil, c’est mort.
Et pour les journalistes et les avocats, la protection reste floue… En effet, le CBP mentionne des “limitations” pour tout ce qui est informations professionnelles protégées, mais sans détailler lesquelles ni comment elles s’appliquent concrètement. Donc méfiance les amis, car Oncle Sam est très curieux en ce moment…
Le bidouilleurs et leur capacité à détourner littéralement n’importe quoi pour y faire tourner DOOM, perso j’adore ! Et là, Aaron Christophel vient de franchir un nouveau cap en transformant une station de charge Anker Prime (lien affilié) en console de jeu. Oui, vous allez pouvoir joueur sur votre chargeur entre deux sessions de recharge.
L’histoire commence par une découverte intéressante… En bon hacker, Christophel analyse la station Anker Prime qu’il vient d’acheter et réalise que le hardware embarqué est bien plus costaud que prévu. Sous le capot, on trouve un ESP32-C3 pour le Bluetooth, mais surtout un microcontrôleur ARM Synwit SWM341RET7 cadencé à 150 MHz, accompagné de 16 Mo de flash et 8 Mo de RAM. Pour un simple chargeur, c’est du luxe !
Et puis il y a l’écran ! Et quel écran puisqu’il fait 200×480 pixels. C’est pas énorme, c’est vrai mais LARGEMENT suffisant pour afficher les couloirs de la base Martienne et les affreux démons pixelisés. Et le meilleur dans tout ça c’est qu’A’aucune modification hardware n’est nécessaire. Christophel a simplement chargé son code et hop, DOOM tourne.
Mais comment on joue sur un chargeur, me direz-vous ? Eh bien, c’est tout l’art de cette prouesse. Pour cela, le développeur utilise la molette rotative de la station comme contrôleur principal. On pousse pour avancer, on tourne pour se diriger, et on appuie pour tirer. C’est pas le summum de l’ergonomie, mais ça fonctionne ! Les contrôles sont surprenamment jouables, même si naviguer dans les niveaux demande un certain temps d’adaptation.
Techniquement, le jeu tourne de manière fluide, mais Christophel a dû faire quelques compromis. Le mode plein écran s’avère trop gourmand pour le processeur, et globalement l’expérience reste “un peu bancale” selon ses propres mots. Mais franchement, quand on voit DOOM tourner sur une station de charge, on va pas chipoter sur la fluidité.
Bref, un appareil de plus dans la longue liste des portages de DOOM sur des bidoules improbables. Christophel n’en est d’ailleurs pas à son coup d’essai puisqu’il avait déjà fait tourner le jeu sur une brosse à dents électrique. Entre les calculatrices, les réfrigérateurs connectés, les PDF et maintenant les chargeurs, on se demande s’il existe encore un appareil électronique incapable de faire tourner ce chef-d’œuvre de 1993.
Et ce qu’on découvre aussi c’est que cette station Anker n’est pas qu’un bête chargeur… c’est un petit ordinateur déguisé, avec suffisamment de ressources pour faire tourner des applications complexes. Christophel l’explique d’ailleurs très bien sur Mastodon : “Le MCU interne SWM34S est juste excellent ! 8 Mo de RAM + 16 Mo de flash directement mappés en mémoire, ça déchire.”
Alors si un simple chargeur peut faire tourner DOOM, qu’est-ce qui nous empêche d’imaginer des fonctionnalités plus poussées ? Par exemple, un chargeur qui affiche vos mails, votre météo, qui sert de hub domotique ? Ou qui se fait infecter par un virus dont l’objectif est de le faire exploser ?
Une fois encore, la seule limite des hackers c’est l’imagination. Et visiblement, Aaron Christophel n’en manque pas. Maintenant, reste à savoir quel sera le prochain appareil à rejoindre la grande famille des supports DOOM ???
Le 27 juin 2017, vers 10h30 du matin, j’étais tranquillement en train de prendre mon café quand j’ai vu les premières alertes sur Twitter.
Des entreprises ukrainiennes signalaient des attaques de malwares massives. Au début, j’ai pensé “encore un ransomware, rien de nouveau sous le soleil” puis au bout de quelques heures, j’ai compris qu’on était face à quelque chose de totalement différent. Ce n’était pas un ransomware. C’était une arme de destruction qui allait coûter plus de 10 milliards de dollars à l’économie mondiale.
Et le plus fou dans tout ça c’est que ce malware ne réclamait que 300 dollars de rançon. Une misère comparée aux dégâts. Mais c’est justement là que résidait le piège : NotPetya n’était pas fait pour gagner de l’argent. Il était fait pour détruire.
Voici donc aujourd’hui l’histoire de la cyberattaque la plus dévastatrice de tous les temps, et comment un serveur situé au Ghana a miraculeusement sauvé l’une des plus grandes entreprises du monde.
Pour comprendre NotPetya, il faut d’abord comprendre le contexte. Et entre nous, c’est pas joli joli. Depuis 2014, l’Ukraine et la Russie sont en conflit. Pas seulement sur le terrain avec l’annexion de la Crimée et la guerre dans le Donbass, mais aussi dans le cyberespace. Les hackers russes, et plus particulièrement un groupe appelé Sandworm (on y reviendra), mènent une guerre d’usure numérique contre l’Ukraine.
En décembre 2015, a lieu la première frappe majeure : BlackEnergy. Ce malware coupe l’électricité à 230 000 Ukrainiens en plein hiver. C’est la première fois dans l’histoire qu’une cyberattaque réussit à éteindre un réseau électrique. Les hackers ont pris le contrôle des systèmes SCADA, ouvert les disjoncteurs à distance, et même effacé les systèmes pour empêcher un redémarrage rapide. Bon gros niveau déjà !
Un an plus tard, en décembre 2016, rebelote. Cette fois avec un malware encore plus sophistiqué : Industroyer (aussi appelé CrashOverride). Une sous-station électrique au nord de Kiev est touchée. L’attaque est plus limitée mais le message est clair : on peut vous plonger dans le noir quand on veut. Et le pire, c’est que d’après les experts qui l’ont étudié, Industroyer était conçu pour détruire physiquement l’équipement électrique, pas juste l’éteindre.
Ces attaques, c’est l’œuvre du groupe Sandworm, aussi connu sous le nom d’APT44. Ces mecs, c’est l’élite du hacking russe, rattachés à l’unité 74455 du GRU, le renseignement militaire. Leur nom vient du roman de science-fiction “Dune” de Frank Herbert car dans le livre, les vers des sables sont des créatures énormes qui vivent sous le désert et peuvent surgir n’importe où pour dévorer leur proie. Exactement comme ce groupe de hackers. Un peu chelou comme référence, mais efficace !
Sandworm, ce ne sont donc pas des script kiddies qui glandouillent dans leur garage. Ces types ont développé certains des malwares les plus sophistiqués jamais vus, ils sont patients, méthodiques, et surtout, ils ont les moyens d’un État derrière eux. Et leur mission numéro 1, c’est de déstabiliser l’Ukraine par tous les moyens numériques possibles. Du coup, ils ne vont pas se gêner.
Mais en 2017, ils vont passer à la vitesse supérieure. Leur nouvelle cible c’est l’économie ukrainienne dans son ensemble et pour ça, ils vont infecter un logiciel que tout le monde utilise déjà. Une sacrée idée !
Voici, voilà M.E.Doc. Si vous faites du business en Ukraine, vous connaissez forcément M.E.Doc. C’est LE logiciel de comptabilité et de déclaration fiscale du pays. Développé par une petite entreprise familiale appelée Linkos Group (anciennement Intellect Service, créée en 1990), il est utilisé par environ 80% des entreprises ukrainiennes. C’est simple, sans M.E.Doc, vous ne pouvez pas payer vos impôts en Ukraine. C’est un peu l’équivalent ukrainien de TurboTax, mais en version obligatoire pour tout le monde.
La société derrière M.E.Doc, c’est l’histoire typique d’une PME qui a réussi. Créée par la famille Linnik, dirigée aujourd’hui par Olesya Linnik qui a repris l’affaire familiale, elle emploie une poignée de développeurs et domine son marché de niche. Le problème c’est que la sécurité informatique, c’est pas vraiment leur priorité. Et ça, ça craint…
M.E.Doc.
…. car les hackers de Sandworm l’ont bien compris. Pourquoi attaquer des milliers d’entreprises individuellement quand on peut toutes les infecter d’un coup via leur point commun ? C’est exactement ce qu’ils vont faire.
Les experts estiment que Sandworm a compromis les serveurs de M.E.Doc dès avril 2017, peut-être même avant. Pendant des semaines, voire des mois, ils ont eu un accès total aux serveurs de mise à jour du logiciel, attendant le bon moment pour frapper.
Et ils vont prendre tout leur temps.
Le 18 mai 2017, premier test… ils distribuent le ransomware XData via une mise à jour M.E.Doc. L’attaque est limitée mais elle fonctionne. Les hackers savent maintenant qu’ils peuvent weaponiser le système de mise à jour. Bref, la voie royale est ouverte.
Mais XData, c’était juste l’échauffement. Pour le plat principal, ils préparent quelque chose de beaucoup plus destructeur. Ils prennent le code de Petya, un ransomware qui existe depuis 2016, et le modifient complètement. Le nouveau malware ressemble à Petya, mais c’est un loup déguisé en mouton. Une sacrée transformation !
Le 27 juin 2017, c’est le jour J. Pourquoi cette date ? Ce n’est pas un hasard car le 28 juin, c’est le Jour de la Constitution en Ukraine, un jour férié. Beaucoup d’entreprises ferment pour un long week-end et les hackers savent que les équipes IT seront réduites, les réactions plus lentes. Du coup, c’est un timing parfait pour foutre encore plus de bordel.
À 10h30 du matin, heure de Kiev, une mise à jour M.E.Doc est poussée. Elle contient NotPetya et en quelques secondes, le malware commence à se répandre. Et là, c’est l’apocalypse numérique qui commence et je n’exagère pas.
NotPetya est une merveille d’ingénierie malveillante. D’abord, il utilise EternalBlue, le même exploit de la NSA qui avait permis à WannaCry de se propager un mois plus tôt. Si votre Windows n’est pas patché avec MS17-010 (et beaucoup ne le sont pas), NotPetya peut alors sauter d’une machine à l’autre sans aucune interaction humaine. Ça se répand automatiquement…
Mais les créateurs de NotPetya ont appris de WannaCry. Ils savent que beaucoup ont maintenant installé le patch MS17-010, alors ils ajoutent une deuxième méthode de propagation encore plus redoutable : Mimikatz. Cet outil extrait les mots de passe depuis la mémoire Windows et une fois qu’il a des identifiants valides, NotPetya utilise PsExec et WMI, des outils d’administration Windows totalement légitimes, pour se propager latéralement. C’est diabolique !
D’ailleurs, le génie maléfique de NotPetya, c’est qu’il se fait passer pour un ransomware. L’écran affiche un message typique : “Vos fichiers ont été chiffrés, payez 300$ en Bitcoin pour récupérer vos données.” et y’a même une adresse email de contact : [email protected]. Tout semble normal pour un ransomware classique. Mais c’est du pipeau total !!
NotPetya ne chiffre pas vraiment vos fichiers de manière récupérable. Il détruit le Master Boot Record (MBR) de votre disque dur, puis chiffre la Master File Table (MFT). En gros, il rend votre ordinateur complètement inutilisable. Même si vous payez, vos données sont perdues pour toujours. C’est pas un ransomware, c’est un wiper déguisé.
Pire encore, le système de paiement est complètement bidon. L’adresse email est rapidement suspendue par Posteo, ce qui fait que même si vous vouliez payer, vous ne pourriez pas. C’est là qu’on comprend que NotPetya n’est pas un ransomware. C’est un destructeur pur et dur, déguisé en ransomware pour tromper son monde.
Mais revenons un peu à l’Ukraine qui est frappée de plein fouet. En quelques minutes, c’est le chaos total. Le métro de Kiev s’arrête, les distributeurs de billets ne fonctionnent plus. L’aéroport de Boryspil, le plus grand du pays, doit passer aux opérations manuelles. Les employés écrivent les informations de vol sur des tableaux blancs. C’est du délire !
Oschadbank, l’une des plus grandes banques d’Ukraine, voit alors son réseau entier s’effondrer en 45 secondes. 45 secondes ! Le temps de prendre une gorgée de café et tout est détruit. Les employés regardent, impuissants, leurs écrans afficher le faux message de rançon. C’est terrifiant.
Les ministères, les médias, les entreprises d’énergie, tout le monde est touché. C’est comme si quelqu’un avait appuyé sur un interrupteur géant et éteint l’infrastructure tech du pays. Les chaînes de télévision passent en mode urgence, diffusant depuis des studios de fortune. Même la centrale de Tchernobyl perd ses systèmes de monitoring des radiations !
Mais NotPetya ne s’arrête pas aux frontières ukrainiennes car le malware se propage via les connexions VPN des multinationales. Ainsi, si votre filiale ukrainienne est infectée et connectée au réseau global, c’est fini. NotPetya déferle sur vos systèmes comme un tsunami numérique.
Et c’est exactement ce qui arrive à Maersk, le géant danois du transport qui a une petite présence en Ukraine. Un tout petit bureau à Odessa avec une poignée d’employés. L’un d’eux a M.E.Doc installé pour gérer la comptabilité locale. Ça représente une seule machine. Un seul point d’entrée. Mais c’est suffisant pour foutre en l’air l’une des plus grandes entreprises au monde.
À Copenhague, au siège de Maersk, les premiers signes apparaissent vers midi. Des employés voient des messages étranges : “Réparation du système de fichiers sur C:”. Puis les ordinateurs commencent à s’éteindre… Un par un, puis par dizaines, puis par centaines. L’infection se propage à la vitesse de la lumière.
Un employé de l’IT raconte : “On a vu l’infection se propager en temps réel sur nos écrans de monitoring. C’était comme regarder un feu de forêt numérique. On essayait de couper les connexions, d’isoler les segments, mais c’était trop rapide. En une heure, tout était foutu
Maersk, c’est pas n’importe quelle entreprise. C’est le plus grand armateur du monde. Ils gèrent 76 ports, plus de 800 navires, et transportent environ 20% du commerce maritime mondial. Quand Maersk s’arrête, c’est une partie significative du commerce mondial qui s’arrête. Rien que ça !
Les terminaux portuaires de Maersk dans le monde entier tombent les uns après les autres. Los Angeles, Rotterdam, Mumbai… Les grues s’arrêtent, les camions font la queue, les conteneurs s’empilent. Un porte-conteneurs arrive en moyenne toutes les 15 minutes dans un port Maersk. Chaque navire transporte 10 000 à 20 000 conteneurs. Faites le calcul… il faut traiter un conteneur toutes les 6 centièmes de seconde. Sans ordinateurs, c’est totalement impossible.
À Rotterdam, le plus grand port d’Europe, les opérateurs regardent, impuissants, leurs écrans devenir noirs. Les systèmes qui dirigent les grues automatisées, qui trackent les conteneurs, qui gèrent les douanes, tout est mort. Des milliers de camions commencent à former des files interminables. C’est le chaos logistique total.
Mais Maersk a un problème encore plus grave. NotPetya n’a pas seulement détruit leurs ordinateurs de bureau. Il a annihilé leur infrastructure IT centrale. Les 150 contrôleurs de domaine Active Directory de Maersk, répartis dans le monde entier, sont tous détruits. Simultanément. Du jamais vu !
Pour les non-techniciens, imaginez Active Directory comme l’annuaire téléphonique géant de l’entreprise. Il gère qui peut se connecter, qui a accès à quoi, comment les ordinateurs se parlent entre eux. Sans Active Directory, votre réseau d’entreprise n’existe plus. C’est comme si on avait détruit tous les panneaux de signalisation, toutes les cartes, tous les GPS d’un pays en même temps.
Le pire c’est que ces contrôleurs de domaine de Maersk étaient configurés pour se synchroniser entre eux. En théorie, c’est une bonne idée car si l’un tombe, les autres prennent le relais. Mais en pratique, ça signifie que quand NotPetya en infecte un, il les infecte tous. La redondance censée protéger l’entreprise devient alors le vecteur de sa destruction.
Et c’est là qu’intervient le miracle du Ghana. Dans le chaos de la reconstruction, les équipes IT de Maersk font l’inventaire des dégâts. 4 000 serveurs détruits. 45 000 PC inutilisables. 150 contrôleurs de domaine annihilés. Ils cherchent désespérément une sauvegarde, n’importe quoi pour reconstruire.
Et puis, quelqu’un mentionne le Ghana. Maersk a des bureaux à Accra, la capitale. Par un coup de chance incroyable, ce bureau avait subi une panne de courant le matin du 27 juin. Le contrôleur de domaine local présent là bas était offline quand NotPetya a frappé. C’est une simple panne d’électricité qui sauve une entreprise de 60 milliards de dollars !
Un employé se souvient : “Quand on a réalisé ce qu’on avait, c’était comme trouver le Saint Graal. Un contrôleur de domaine intact. Le seul sur 150. Notre ticket de retour à la vie.” Franchement, on peut dire qu’ils ont eu du bol !
Mais le serveur est au Ghana, et les données doivent être rappatriées au Royaume-Uni, plus exactement au QG IT de Maersk à Maidenhead. Commence alors une course contre la montre digne d’un film d’action.
Le responsable de Maersk en Afrique de l’Ouest, basé au Ghana, prend personnellement le disque dur du serveur. Mais problème ! Il n’y a pas de vol direct Ghana-Londres. Il doit d’abord voler vers Lagos, au Nigeria et de là, il prend un vol pour Londres, puis un taxi jusqu’à Maidenhead. Une véritable course de relais avec plusieurs centaines de gigaoctets de données critiques dans un bagage à main.
Pendant ce temps, à Maidenhead, c’est l’état de guerre. Maersk a mobilisé des centaines d’employés et fait appel à Deloitte pour la reconstruction. Ils ont commandé des milliers de nouveaux ordinateurs. Les fournisseurs sont en rupture de stock tellement la demande est massive. Apple, Dell, HP… tout le monde mobilise ses stocks.
L’ambiance est surréaliste. Des développeurs dorment sous leur bureau. La cantine est ouverte 24/7. Des équipes entières sont mobilisées juste pour déballer et configurer les nouveaux PC. C’est la plus grande opération de récupération IT de l’histoire. Et on peut dire qu’ils y mettent les moyens !
Alors quand le disque dur du Ghana arrive enfin, c’est l’euphorie !! Les équipes peuvent commencer à reconstruire leur Active Directory. Mais c’est juste le début. Il faut réinstaller 45 000 PC, 4 000 serveurs, reconfigurer des milliers d’applications. Un travail de titan !
Pendant 10 jours, Maersk opère en mode complètement dégradé. Les employés utilisent WhatsApp sur leurs téléphones personnels pour communiquer. Les opérations portuaires se font avec papier et crayon. Des employés en Inde reçoivent des appels de collègues européens qui dictent des commandes par téléphone. C’est du bricolage.
Et dans les ports, c’est un chaos créatif car à certains endroits, on ressort des vieux ordinateurs des années 90 qui ne peuvent pas être infectés par NotPetya. Ailleurs, on installe des versions piratées de Windows sur des machines personnelles. Tout est bon pour faire bouger les conteneurs. C’est la nécessité qui commande !
Le coût pour Maersk ? Entre 250 et 300 millions de dollars. Mais ils ont eu de la chance car sans le serveur du Ghana, ça aurait pu être bien pire. Certains experts estiment qu’une reconstruction complète depuis zéro aurait pris des mois et coûté des milliards. Bref, merci la panne de courant ghanéenne !
Bon, Maersk n’est pas la seule victime de poids. Merck, le géant pharmaceutique américain, est également frappé de plein fouet. NotPetya détruit leurs systèmes de production, de recherche, de vente. Des usines qui produisent des vaccins vitaux doivent s’arrêter. Pas terrible pour la santé publique…
Merck aussi avait une filiale en Ukraine qui utilisait M.E.Doc. Une petite opération locale qui devient la porte d’entrée pour une catastrophe globale. Les dégâts sont estimés à 870 millions de dollars. On n’est pas loin du milliard et Merck doit jeter des lots entiers de vaccins parce que les systèmes de contrôle qualité sont détruits. Impossible de garantir que les vaccins ont été produits selon les normes sans les données informatiques. Des patients dans le monde entier subissent des retards pour leurs traitements. L’impact humain de cette cyberattaque est énorme.
FedEx aussi morfle sévère via sa filiale TNT Express. Les systèmes de TNT sont tellement détruits et certaines données ne seront jamais récupérées. Des colis sont perdus, les clients sont furieux et FedEx annonce 400 millions de dollars de pertes. Ça fait cher le paquet !
Le PDG de FedEx déclare lors d’une conférence : “On pensait que TNT était bien protégée. Ils avaient des sauvegardes, des plans de récupération. Mais NotPetya a tout détruit, y compris les sauvegardes. C’était comme si une bombe nucléaire avait explosé dans nos systèmes.” Ça résume bien la situation…
Mondelez, le fabricant des biscuits Oreo et du chocolat Cadbury, perd également 188 millions. Leurs lignes de production s’arrêtent, les commandes ne peuvent plus être traitées. Dans certaines usines, on revient aux bons de commande papier des années 80. Retour vers le futur, version cauchemar !
Saint-Gobain, le géant français des matériaux de construction, lui aussi encaisse 384 millions de pertes. Leur PDG raconte : “On a dû couper notre réseau mondial en morceaux pour empêcher la propagation. C’était comme amputer des membres pour sauver le corps.” Métaphore pas très joyeuse, un peu gore, mais très parlante.
Au total, les experts estiment les dégâts de NotPetya à plus de 10 milliards de dollars. Dix. Milliards. Pour un malware distribué via un obscur logiciel de comptabilité ukrainien. C’est la démonstration terrifiante de l’interconnexion de notre économie mondiale. Vous connaissez l’effet papillon ? Eh bien là, c’est l’effet tsunami !
Mais alors qui est derrière NotPetya ? Et bien comme je vous le disais, les indices pointent tous vers la Russie. Le timing (juste avant un jour férié ukrainien), la méthode (via un logiciel spécifiquement ukrainien), les victimes (principalement l’Ukraine), tout colle. C’est du travail de pro, avec un petit côté amateur dans les dégâts collatéraux.
En février 2018, les États-Unis et le Royaume-Uni accusent alors officiellement la Russie. Plus précisément, ils pointent du doigt le GRU et notre vieille connaissance, le groupe Sandworm. La même unité 74455 qui avait attaqué le réseau électrique ukrainien. Des incorrigibles récidivistes, ces gens-là !
Et le 19 octobre 2020, le département de Justice américain va plus loin. Il inculpe six officiers du GRU pour NotPetya et d’autres cyberattaques. Parmi eux : Yuriy Andrienko, Sergey Detistov, Pavel Frolov, Anatoliy Kovalev, Artem Ochichenko et Petr Pliskin. Le département d’État offre même 10 millions de dollars de récompense pour des infos sur ces gars.
Ces noms ne vous disent probablement rien, mais pour les experts en cybersécurité, c’est du lourd car ce sont les cerveaux derrière certaines des cyberattaques les plus dévastatrices de la décennie : BlackEnergy, Industroyer, NotPetya, Olympic Destroyer… Une belle collection ! Bien sûr, ils sont en Russie, intouchables, mais au moins, on a des noms sur les visages du chaos.
L’accusation révèle alors des détails fascinants. Les hackers ont utilisé des comptes mail ProtonMail pour coordonner l’attaque. Ils ont loué des serveurs avec des bitcoins volés. Ils ont même fait des erreurs opérationnelles, comme utiliser la même infrastructure pour différentes attaques, ce qui a permis de les relier. Hé oui, personne n’est parfait, même les hackers d’élite !
Mais revenons à M.E.Doc. Après l’attaque, les autorités ukrainiennes débarquent dans les bureaux de Linkos Group et ce qu’ils y trouvent est affligeant. Les serveurs n’ont pas été mis à jour depuis au moins 4 ans et les patches de sécurité sont inexistants. La police ukrainienne est furieuse. Le chef de la cyberpolice, Serhiy Demedyuk, déclare même : “Ils savaient que leur système était compromis mais n’ont rien fait. Si c’est confirmé, il y aura des poursuites.” La négligence de cette petite entreprise familiale a coûté des milliards à l’économie mondiale. Une responsabilité un peu lourde à porter…
Les propriétaires de M.E.Doc, la famille Linnik, sont dans le déni total. Olesya Linnik, la directrice, insiste : “Notre logiciel n’est pas infecté. Nous l’avons vérifié 100 fois.” et même face aux preuves accablantes, ils refusent d’accepter leur responsabilité. Du déni de niveau professionnel !
Sergei Linnik et sa Olesya Linnik
Finalement, sous la pression, ils finissent par admettre que leurs serveurs ont été compromis dès avril 2017, mais le mal est fait et surtout la confiance est brisée. De nombreuses entreprises ukrainiennes cherchent des alternatives, mais c’est compliqué car M.E.Doc est tellement intégré au système fiscal ukrainien qu’il est presque impossible de s’en passer.
Avec. NotPetya, c’est la première fois qu’une cyberattaque cause des dommages collatéraux massifs à l’échelle mondiale. Les Russes visaient l’Ukraine, mais ont touché le monde entier. Totalement incontrôlable surtout que les implications sont énormes. Si un logiciel de comptabilité ukrainien peut paralyser des géants mondiaux, qu’est-ce qui empêche d’autres acteurs de faire pareil ? Combien d’autres M.E.Doc sont en sommeil, attendant d’être exploités ?
Suite à NotPetya, la réponse de l’industrie a été mitigée. Certaines entreprises ont renforcé leur sécurité, segmenté leurs réseaux, amélioré leurs sauvegardes. D’autres ont juste croisé les doigts en espérant ne pas être les prochaines. C’est de l’Autruche-Sec : la tête dans le sable et on verra bien…
L’affaire des assurances est aussi particulièrement intéressante car beaucoup de victimes de NotPetya avaient des cyber-assurances. Mais les assureurs ont invoqué la clause d’exclusion des “actes de guerre” avec comme argument que NotPetya était une attaque d’État, donc pas couverte. Ceux là, ils ne veulent jamais payer et après ils s’étonnent que tout le monde les détestent. Bref…
Merck a dû se battre pendant des années devant les tribunaux et en 2022, ils ont finalement gagné car le juge a estimé que la clause d’exclusion ne s’appliquait pas aux cyberattaques. C’est un précédent majeur qui redéfinit ce qu’est un acte de guerre au 21e siècle. Il fallait y penser ! Et Mondelez a eu moins de chance car leur assureur, Zurich, a refusé de payer en invoquant la même clause. L’affaire est toujours en cours avec des milliards de dollars sont en jeu. À suivre…
Pour l’Ukraine, NotPetya est une blessure qui ne guérit pas facilement. Mais les Ukrainiens sont résilients et ils ont appris de leurs erreurs. Depuis NotPetya, l’Ukraine est devenue un véritable laboratoire de la cyberguerre. Ils ont renforcé leurs défenses, créé de nouvelles unités cyber, développé une expertise unique. Ainsi, quand la Russie a lancé son invasion totale en 2022, l’Ukraine était mieux préparée sur le front numérique.
Sandworm, de son côté, n’a pas chômé. Ils sont derrière la plupart des cyberattaques majeures contre l’Ukraine depuis 2022 : Industroyer2, HermeticWiper, et d’autres joyeusetés, mais ils n’ont jamais réussi à reproduire l’impact de NotPetya. Les défenses se sont améliorées, les entreprises sont plus prudentes. Tout le monde apprend de ses erreurs !
Je pense qu’avec NotPetya, les hackers ont probablement été surpris par leur propre succès. Ils voulaient s’attaquer à l’Ukraine, et pas paralyser Maersk ou Merck… mais une fois lâché, leur bébé était totalement incontrôlable. C’est le problème avec les armes numériques… elles ne s’arrêtent pas à la frontière, surtout que le vent numérique, c’est pas facile à prévoir !
Les experts estiment que NotPetya a infecté plus de 300 000 ordinateurs dans 150 pays et aujourd’hui, ce malware reste une référence dans le monde de la cybersécurité. C’est le “plus jamais ça” de l’industrie. Quoiqu’il en soit, cette histoire du serveur du Ghana reste ma préférée, car dans toute cette sophistication technologique, c’est une simple panne de courant qui a permis de sauver Maersk.
On a construit des systèmes d’une complexité inimaginable, interconnectés à l’échelle planétaire, on pensait les contrôler, mais NotPetya a montré notre vulnérabilité fondamentale. Alors la prochaine fois que vous avez la flemme de faire une mise à jour, n’oubliez pas NotPetya.
Il y a quelque chose de profondément ancré dans notre psyché collective concernant l’écran bleu de la mort, le fameux BSOD ! Cette teinte de bleu si particulière, ce code d’erreur cryptique, ce QR code mystérieux apparu dans les dernières versions de Windows… Pour certains, c’est un traumatisme. Pour d’autres, c’est devenu un art. BSoDMaker appartient clairement à cette seconde catégorie.
L’idée de transformer le symbole ultime de la frustration informatique en outil créatif est géniale, car combien de fois avez-vous vu ce fameux écran bleu apparaître au pire moment possible ? Alors si au lieu de le subir, vous pouviez le créer, le personnaliser, le transformer en œuvre d’art numérique ou en super blague ?
BSoDMaker vous permet exactement de faire ça. Vous cliquez sur n’importe quel texte de l’écran pour le modifier, comme ça vous pouvez le message d’erreur classique par votre propre texte humoristique. Ou alors changer le stop code en quelque chose de plus créatif. Et même le QR code est personnalisable, ce qui ouvre des possibilités infinies ^^.
Le plus beau dans tout ça, c’est que l’outil génère une image JPG en Full HD que vous pouvez ensuite télécharger directement pour en faire un fond d’écran surprise pour le PC d’un collègue, l’intégrer à un support de formation pour expliquer les erreurs Windows sans faire crasher de vraies machines, ou même l’utiliser comme création artistique pour illustrer un article sur les bugs chelous.
Il existe bien sûr plusieurs générateurs de BSOD, mais BSoDMaker est full web et hyper simple à utiliser. C’est juste une page web. Y’a aussi des sites comme FakeBSOD.com qui proposent des approches différentes avec détection automatique de l’OS, mais BSoDMaker mise sur la personnalisation totale.
Le mode plein écran est également redoutable pour les pranks. Vous laissez l’onglet ouvert en fullscreen sur un PC, vous cachez la barre des tâches, et y’a plus qu’à observe la panique s’installer. A utiliser bien sûr avec parcimonie et bienveillance (NOOOON !! SANS PITIÉ !!).
Voilà, je trouve que ce truc est une forme d’humour tech qui reconnaît nos traumas collectifs tout en les transformant en quelque chose de fun et ludique.
Je me souviens bien du feeling de ces après midi collé devant la NES et plus tard la SNES… C’était une époque où je notais des cheat codes sur des bouts de papiers, et où je testais les Trucs & Astuces du magazine Club Nintendo…
Et si j’évoque cet age d’or aujourd’hui, c’est parce que RetroAssembly vient de créer quelque chose qui va encore plus faire vibrer votre corde nostalgique tout en résolvant tous ces petits tracas du passé.
RetroAssembly, c’est ce qu’on appelle une station de retrogaming personnelle qui tient dans un onglet de navigateur. Pas d’installation, pas de configuration compliquée, juste votre collection de jeux rétro accessible depuis n’importe quel appareil. Vous verrez qu’après avoir testé cette plateforme, vous aurez l’impression d’avoir retrouvé votre chambre de jeune gamer…
Le principe c’est d’y uploader vos ROMs (celles que vous possédez légalement bien sûr), et RetroAssembly s’occupe du reste. La plateforme reconnaît automatiquement vos jeux, récupère les jaquettes originales, et organise tout ça dans une interface qui respire bon le rétro sans tomber dans le kitsch. Plus de 20 systèmes sont supportés, de l’Atari 2600 à la Game Boy Advance, en passant par la Neo Geo Pocket et même la Virtual Boy (oui, cette console que Nintendo préfère oublier).
Y’a même une synchro cloud intégrée, comme ça, vous pouvez commencer une partie de Super Metroid sur votre PC au bureau (pendant la pause déjeuner évidemment), et vous la reprenez exactement où vous l’aviez laissée sur votre tablette le soir. Plus besoin de refaire trois fois le même niveau parce que vous avez changé d’appareil et pour les perfectionnistes, la fonction rewind est disponible sur certains émulateurs comme ça en appuyant sur la touche R, vous remonterez le temps comme Marty McFly, pour corriger cette erreur stupide qui vous a fait perdre votre dernière vie.
La technologie d’émulation sur les navigateurs web a considérablement évolué ces dernières années et RetroAssembly, propulsé par Nostalgist.js, une bibliothèque JavaScript qui fait des miracles en matière d’émulation, en est la preuve vivante. Je regrette juste ce “bug” où quand on lance un jeu, y’a une demande pour activer la webcam… De ce que j’ai compris, quand RetroArch est compilé en Emscripten (pour sa version web), il continue quand même d’initialiser ses capacités audio, et doit donc vérifier la disponibilité du microphone. Et cela déclenche alors automatiquement la demande de permission webcam dans Firefox, même si le jeu n’utilise pas cette fonctionnalité.
Notez que l’interface supporte aussi bien le clavier que les manettes, avec une navigation spatiale qui permet de se passer complètement de la souris. Et pour ceux qui jouent sur mobile ou qui veulent retrouver les sensations tactiles d’antan, un contrôleur virtuel apparaît même à l’écran. Faudrait que je le teste avec une vraie manette mais au clavier, parfois c’est pas fou et je galère un peu à mettre ma pièce de Tetris dans la bonne position.
Ah et truc cool, y’a aussi la possibilité d’ajouter des shaders visuels rétro pour recréer l’effet scanlines des vieux téléviseurs cathodiques.
Dans le même esprit que mon test de GAM.ONL, ce type de plateforme full web c’est vraiment l’avenir du retrogaming accessible à tous et RetroAssembly va même encore plus loin en vous permettant de l’auto-héberger via un Docker pour ceux qui veulent garder un contrôle total sur leur collection.
Maintenant, pour essayer RetroAssembly, deux options s’offrent à vous. Soit vous optez pour la version hébergée sur retroassembly.com (recommandée pour commencer) ou vous partez sur l’auto-hébergement si vous êtes du genre à préférer garder vos data et mettre les mains dans le cambouis. Dans les deux cas, le projet étant en phase de développement actif, attendez-vous à voir régulièrement de nouvelles fonctionnalités apparaître !
Voilàc’est, je trouve une belle façon de continuer à jouer, depuis n’importe où, à tous ces vieux jeu sans devoir racheter des dizaines de consoles et de centaines de cartouches (ah si, les cartouches on a dit qu’il fallait les posséder pour les ROMs originales, c’est vrai… ^^).
Vous cliquez sur ce qui semble être un bouton parfaitement normal sur un site web tout à fait normal… Sauf qu’en réalité, vous venez de donner accès à tous ce qui est stocké dans votre gestionnaire de mots de passe. C’est exactement ce que permet une nouvelle technique de clickjacking découverte par le chercheur Marek Tóth et qui affecte potentiellement 40 millions d’utilisateurs dans le monde.
Si vous utilisez 1Password, Bitwarden, LastPass, Enpass, iCloud Passwords ou LogMeOnce, mauvaise nouvelle : ils sont tous vulnérables. En fait, sur les 11 gestionnaires de mots de passe testés, tous présentaient cette faille. Certains ont déjà patché (Dashlane, Keeper, NordPass, ProtonPass et RoboForm), mais pour les autres, c’est toujours open bar pour les hackers.
Selon l’analyse de Marek Tóth, les attaquants exploitent la façon dont les extensions de navigateur injectent leurs éléments dans les pages web. Ils créent une couche invisible par-dessus les boutons du gestionnaire de mots de passe et quand vous pensez cliquer sur un élément tout à fait innocent de la page, vous activez en réalité l’auto-remplissage (autofill) de votre gestionnaire.
Un seul clic suffit. Les pirates peuvent alors récupérer vos identifiants de connexion, vos codes de double authentification, vos numéros de carte bancaire avec le code de sécurité, et même dans certains cas, détourner vos passkeys. Le tout sans que vous ne vous rendiez compte de quoi que ce soit.
Voici une démo avec le piège :
Vous n’avez rien vu ?
Alors regardez cette vidéo maintenant :
D’après BleepingComputer, les réactions des entreprises concernées sont… décevantes. 1Password a classé le rapport comme “hors périmètre”. LastPass l’a marqué comme “informatif”, ce qui en langage corporate signifie “on s’en fout”. LogMeOnce n’a même pas répondu aux chercheurs. Seul Bitwarden affirme avoir corrigé le problème dans la version 2025.8.0, mais les tests montrent que ce n’est pas totalement le cas.
Ce qui est vraiment dommage, c’est que cette vulnérabilité était évitable. Les gestionnaires remplissent automatiquement les identifiants non seulement sur le domaine principal, mais aussi sur tous les sous-domaines donc si un pirate trouve une faille XSS sur n’importe quel sous-domaine d’un site, il peut voler tous vos identifiants stockés pour ce site.
Socket, une entreprise de cybersécurité, a vérifié les résultats et confirme l’ampleur du problème. Les chercheurs ont découvert que 6 gestionnaires sur 9 pouvaient divulguer les détails de carte bancaire, 8 sur 10 les informations personnelles, et 10 sur 11 les identifiants de connexion.
Alors comment se protéger ? Première chose, désactivez l’autofill. Oui, c’est chiant, mais c’est le seul moyen efficace pour le moment. Utilisez le copier-coller pour vos mots de passe. Et sur les navigateurs basés sur Chromium (Chrome, Edge, Brave), configurez l’accès aux sites de vos extensions sur “Au clic” plutôt qu’automatique. Ça vous donne le contrôle sur quand l’extension peut interagir avec la page.
Pour les plus paranos (et on ne peut pas vous en vouloir), activez les demandes de confirmation avant chaque remplissage automatique si votre gestionnaire le permet. C’est une friction supplémentaire, mais au moins vous verrez quand quelque chose tente d’accéder à vos données.
Le plus con dans cette histoire c’est que les gestionnaires de mots de passe sont censés nous protéger, mais cette vulnérabilité transforme notre bouclier en talon d’Achille. Les développeurs veulent rendre leurs outils faciles à utiliser, ce qui est louable mais chaque raccourci pris est une porte potentielle pour les attaquants. Et quand les entreprises ignorent les rapports de sécurité parce qu’elles les jugent “hors périmètre”, ce sont les utilisateurs qui risquent gros…
Bref, attendant que tous les gestionnaires corrigent cette faille, restez vigilants. Un clic de trop et c’est toute votre vie qui peut basculer.
Vous avez déjà eu besoin d’éditer rapidement un fichier audio mais vous n’aviez pas Audacity sous la main ? Ou vous êtes sur un ordinateur où vous ne pouvez pas installer de logiciel ? Alors Wavacity va vous sauver la mise ! (Oui, je sais que vous avez lu Wawacity… lol. Et vous allez voir, ce sera comme ça jusqu’à la fin de cet article… ^^)
Wavacity est tout simplement un portage web d’Audacity qui tourne directement dans votre navigateur. Pas d’install, pas de téléchargement, vous ouvrez le site et vous éditez votre audio, et c’est tout !
Pour vous proposer cette merveille, les développeurs ont porté Audacity en WebAssembly, une technologie qui permet de faire tourner du code natif dans le navigateur. Du coup, ça permet de retrouver l’interface familière d’Audacity avec ses outils de découpage, de collage, d’effets et tout le toutim, mais dans un onglet de navigateur.
Il vous faudra évidemment un navigateur moderne qui supporte cette technologie. Chrome et Firefox sur desktop feront parfaitement l’affaire… Par contre, Safari c’est moins sûr selon les développeurs.
L’interface ressemble trait pour trait à Audacity, ce qui est rassurant si vous connaissez déjà le logiciel. Vous pouvez importer vos fichiers audio, les découper, appliquer des effets, réduire le bruit, faire du multi-pistes… Bref, tout ce qu’on attend d’un éditeur audio digne de ce nom.
Après y’a quand même quelques limitations par rapport à la version desktop d’Audacity. Vous ne pourrez pas par exemple installer des plugins VST ou d’autres extensions externes, ce qui me semble assez logique. Mais pour de l’édition de base et même avancée, ça fait largement le boulot.
Bref, c’est top quand un pote vous demande de lui couper un extrait audio et que vous n’avez pas envie de télécharger et installer Audacity juste pour ça. Ou quand vous êtes sur un ordi public, ou en déplacement, ou dans un environnement où vous n’avez pas de droits administrateur pour installer des outils.
Wavacity rejoint ainsi la famille grandissante des éditeurs audio web comme AudioMass que j’avais déjà testé. Chacun a ses avantages et ses inconvénients, donc à vous de voir lequel vous préférez. Moi perso, je suis plus Ableton Live, même si c’est pas sur le web. Les habitudes, que voulez-vous…
Le projet est open source sous licence GNU GPL v2, comme Audacity, et disponible sur GitHub. Les développeurs précisent bien qu’ils ne sont ni affiliés ni soutenus par l’équipe d’Audacity. C’est un projet indépendant.
Pour un outil de dépannage ou pour des éditions rapides, c’est exactement ce qu’il nous fallait. Et qui sait, les outils portables accessibles en ligne dans le navigateur, c’est peut-être l’avenir ?
Bon, si vous utilisez Plex Media Server pour organiser vos films, séries et musiques, il faut que vous sachiez un truc important : une vulnérabilité vient d’être découverte et heureusement corrigée. Et c’est du sérieux, donc vous allez lire cet article et ensuite filer mettre à jour votre Plex !
La vulnérabilité touche les versions 1.41.7.x à 1.42.0.x du Media Server donc si vous êtes sur une de ces versions, il faudra passer à la 1.42.1.10060 ou plus récente maintenant !! Pas demain, hein ! Maintenant.
Plex reste discret sur les détails techniques de cette faille, pas de CVE attribué pour l’instant, pas d’explications détaillées sur ce qui pouvait être exploité. Mais leur communication parle d’elle-même etont même averti directement leurs utilisateurs par email, ce qui est assez rare. Généralement, ils se contentent des notes de version.
Le bug a été signalée via leur programme de bug bounty, ce qui a permis à Plex de corriger le problème avant qu’il ne soit exploité dans la nature et pour mettre à jour, c’est simple comme bonjour. Soit vous passez par l’interface d’administration de votre serveur, soit vous téléchargez la dernière version sur le site officiel de Plex.
C’est pourquoi le message de Plex est important : maintenez vos serveurs à jour car dans un environnement où nos bibliothèques multimédia sont souvent accessibles depuis l’extérieur, une faille de sécurité peut rapidement devenir problématique.
Mieux vaut être en sécurité que désolé, mes amis ! Pensez-y !
Ce que j’apprécie le plus dans tout ce qui est recherches en physique quantique, ce n’est pas la physique complexe ou les qubits intriqués. Non, c’est parfois la créativité déployée par certains chercheurs pour présenter leurs résultats de factorisation sous le meilleur jour possible, alors qu’en réalité, les machines quantiques actuelles peinent encore à traiter des nombres complexes de manière pratique.
Les chercheurs Peter Gutmann et Stephan Neuhaus viennent en effet de balancer un pavé dans la mare avec leur papier qui démontre méthodiquement comment une partie significative des benchmarks de factorisation quantique “cuisine les chiffres” depuis des années. Et leur conclusion est inquiétante : Une grande partie des benchmarks de factorisation quantique publiés utilisent des méthodes discutables qui surestiment les capacités réelles.
La technique la plus répandue dans ces cas problématiques consiste à sélectionner des “nombres pièges” délibérément conçus pour être factorisés facilement. C’est la même chose qu’un magicien qui prétend deviner votre carte alors qu’il a truqué tout le jeu.
Ces chercheurs choisissent des nombres dont la structure mathématique garantit une factorisation triviale. Au lieu d’utiliser des nombres aléatoirement générés comme dans la vraie cryptographie, ils fabriquent des valeurs où les facteurs premiers ne diffèrent que de quelques bits. Du coup, il suffit d’une recherche basique pour trouver la solution, sans avoir besoin d’un ordinateur quantique. Un VIC-20, un abaque (c’est un boulier) ou même un chien bien dressé y arriveraient selon les auteurs.
Et quand leurs nombres ne sont pas suffisamment faciles, ils utilisent du préprocessing massif sur ordinateur classique pour faire la majeure partie du boulot avant même que la machine quantique entre en jeu. On dirait certains d’entre vous qui postent sur Instagram leur dernier marathon alors qu’ils l’ont juste rejoint au kilomètre 41…
Il faut toutefois reconnaître que des travaux plus rigoureux existent. Certains chercheurs ont réussi à factoriser des nombres sans préparation particulière, notamment via des approches comme le quantum annealing avec des embeddings modulaires. Mais ces cas restent minoritaires et les nombres traités demeurent modestes.
Bruce Schneier, qui a relayé cette recherche, enfonce également le clou avec sa métaphore habituelle du “Les défis techniques pour construire un ordinateur quantique utile, c’est dur. Mais est-ce que c’est dur comme “poser un homme sur la Lune” ou dur comme “poser un homme sur le Soleil” ? Les deux sont difficiles, mais pas du tout dans la même catégorie de faisabilité”.
Cette manipulation dans certains benchmarks révèle un problème plus profond à savoir que quand la pression pour publier rencontre des milliards d’investissements en jeu, la tentation devient énorme de présenter des résultats flatteurs plutôt que honnêtes. Le problème, c’est que certains reviewers ne vérifient pas systématiquement la vraie complexité des nombres utilisés, même si d’autres le font consciencieusement (comme le montre d’ailleurs la page Wikipedia sur le sujet qui documente ces vérifications).
Il est important de comprendre que l’algorithme de Shor lui-même n’est pas en cause. Il démontre théoriquement qu’on peut factoriser en temps polynomial (O(log N)) au lieu d’une complexité exponentielle, ce qui est révolutionnaire sur le papier. Le problème, c’est l’écart entre cette promesse théorique et les réalisations expérimentales actuelles, écart que certains chercheurs tentent de masquer avec ces benchmarks discutables.
L’ironie, c’est que ce sont souvent les médias et les départements marketing, plus que les chercheurs sérieux eux-mêmes, qui promettent de “casser RSA demain”. Aucun chercheur raisonnable ne prétend aujourd’hui pouvoir briser les chiffrements actuels avec les machines quantiques existantes. Mais ces nuances se perdent dans la course au sensationnalisme et aux financements.
Donc peut-être qu’avant que les médias ne promettent une destruction de la cryptographie, il serait bon de communiquer plus honnêtement sur l’état réel de la recherche : prometteuse sur le long terme, mais encore très expérimentale et limitée aujourd’hui. Et surtout, cesser ces pratiques de benchmarking douteux qui ne font que nuire à la crédibilité du domaine.
Un grand merci à David pour l’info, et à Kim pour ses précisions constructives qui m’ont permis d’affiner cet article.
L’autre jour, en fouillant dans les recoins du web, je suis tombé sur un site tout simple, ldial.org, qui cache derrière son interface minimaliste une démarche de curation absolument remarquable.
Adam Scott qui a créé ce site a décidé de recenser et de rendre accessible toutes les radios communautaires et indépendantes des États-Unis. Attention, je ne vous parle pas grosses stations commerciales qu’on entend partout, non, non. Je vous parle des vraies radios de quartier, celles qui diffusent depuis un garage transformé ou le sous-sol d’une université, celles qui passent de la musique que vous n’entendrez nulle part ailleurs.
Le créateur de ldial.org a donc transformé ce qui pourrait être une simple liste en véritable écosystème où chaque station est soigneusement sélectionnée, testée, vérifiée. Ce site est un genre de carte sonore des États-Unis, loin des radars des médias mainstream. C’est un site vivant qui contrairement aux annuaires statiques, évolue constamment. Adam, le curateur qui se cache derrière ce site continue d’apprendre, de découvrir de nouvelles stations, d’ajuster sa sélection.
C’est donc une exploration perpétuelle de la diversité radiophonique américaine qui offre un streaming 24/7, au travers une interface épurée et un accès direct aux flux. Pas d’inscription, pas de pub, pas de complications. Juste vous et des centaines d’heures de programmation authentique, depuis des stations qui diffusent parfois pour quelques centaines d’auditeurs locaux.
Et ce sont uniquement des pépites !!! Des stations universitaires qui programment de l’ambient expérimental à 3h du matin, des radios communautaires hispaniques qui mélangent cumbia et electronic, des collectifs autochtones qui préservent leurs langues ancestrales sur les ondes.
Chaque clic sur ldial.org vous transportera dans une bulle sonore différente. Une station de Nouvelle-Orléans vous fera découvrir du jazz local méconnu, une radio du Montana vous plongera dans la country indépendante, une station californienne vous embarquera dans l’underground hip-hop chicano. C’est un voyage musical à travers l’Amérique alternative.
Ce projet révèle aussi quelque chose de plus profond sur la résistance culturelle car ces radios communautaires maintiennent des espaces d’expression libre dans un paysage médiatique de plus en plus standardisé. Elles préservent des niches musicales, donnent la parole aux minorités, expérimentent sans contraintes commerciales, et je trouve ça hyper inspirant, car ce sont des préceptes qu’on peut appliquer également au web. Qu’il faut appliquer au web !
Hier soir, j’ai découvert un outil qui m’aurait évité des dizaines de commits “fix CI”, “fix CI again”, “please work this time” sur GitHub. J’sais pas si vous aussi vous connaissez cette galère ? Vous modifiez votre workflow GitHub Actions, vous poussez, ça plante, vous corrigez, vous repoussez, ça replante… Bref, votre historique Git ressemble à un journal de débugging en temps réel.
Et heureusement, wrkflw vient mettre fin à ce cauchemar.
Ce petit outil codé en Rust vous permet en fait de valider et d’exécuter vos GitHub Actions directement sur votre machine, sans avoir besoin de pusher quoi que ce soit. L’outil vient d’être annoncé sur le forum Rust et ça va bien aider tout le monde je pense.
Grâce à lui, au lieu de tester vos workflows dans le cloud GitHub (et potentiellement faire planter votre CI/CD devant toute l’équipe… La te-hon…), vous les exécutez localement. Wrkflw parse alors votre fichier YAML, résout les dépendances entre jobs, et lance tout ça soit dans Docker/Podman pour matcher l’environnement GitHub, soit en mode émulation si vous n’avez pas de runtime container sous la main.
Ce qui rend wrkflw vraiment pratique, c’est son interface TUI (Terminal User Interface) qui vous permet de visualiser l’exécution en temps réel. Un simple wrkflw tui et vous avez un dashboard interactif où vous pouvez suivre vos jobs, voir les logs, et comprendre ce qui foire sans avoir à jongler entre 15 onglets GitHub.
L’installation se fait en deux secondes si vous avez Rust :
cargo install wrkflw
Le package est aussi dispo sur crates.io et une fois installé, vous pouvez valider un workflow avec la commande :
wrkflw validate .github/workflows/rust.yml
ou le lancer directement avec
wrkflw run .github/workflows/ci.yml
L’outil détectera automatiquement tous vos workflows et les chargera dans l’interface.
Ce qui est fort avec wrkflow, c’est surtout le support quasi-complet des fonctionnalités de GitHub Actions. Les Matrix builds ? Ça passe ! Les Container actions ? Bah ouais, pas de problème ! Tout ce qui est JavaScript actions ? Check ! Même chose pour les Composite actions et les workflows réutilisables et même les fichiers d’environnement GitHub sont supportés. Bon, il y a quelques limitations évidemment. Vous ne pouvez pas par exemple mettre de secrets GitHub (ce qui est logique), et y’a pas de support Windows/macOS runners, ni pas d’upload/download d’artifacts. Mais pour 90% des cas d’usage, c’est largement suffisant.
Wrkflw s’inscrit dans une tendance plus large d’outils qui cherchent à remplacer Make et ses Makefiles cryptiques. Je pense par exemple à Task (Taskfile) qui est un autre exemple populaire, écrit en Go avec une syntaxe YAML plus moderne ou encore à Act, un autre outil open source qui fait à peu près pareil. Les développeurs cherchent clairement des alternatives plus lisibles et maintenables et wrkflw va encore plus loin en se spécialisant sur GitHub Actions.
Le mode Docker/Podman de wrkflw permet par exemple de créer des containers qui matchent au plus près l’environnement des runners GitHub. Et si jamais vous interrompez l’exécution avec Ctrl+C, pas de panique, puisque l’outil nettoie automatiquement tous les containers créés. Comme ça, y’aura plus de containers zombies qui traînent après vos tests.
Et pour tous ceux qui bossent en mode émulation sécurisée (sans Docker), wrkflw exécute les actions dans un environnement sandboxé. C’est moins fidèle à l’environnement GitHub mais au moins ça permet de tester rapidement sans avoir besoin d’installer Docker. Pratique sur des machines de dev légères ou des environnements restrictifs.
Le workflow de test devient donc le suivant : 1/ Vous modifiez votre YAML. 2/ Vous lancez wrkflw run . 3/ Vus voyez immédiatement si ça marche. 4/ Vous corrigez si besoin. 5/ Et c’est seulement ensuite que vous poussez sur GitHub. Plus de commits de debug, plus de CI cassée, plus de collègues qui râlent parce que la pipeline est tout rouge ^^.
L’outil est encore jeune bien sûr mais déjà très prometteur. Les prochaines versions devraient ajouter le support des secrets locaux, une meilleure intégration avec GitLab CI, et peut-être même le support des runners Windows/macOS.
Bref, si vous gérez des workflows GitHub Actions complexes, wrkflw va rapidement devenir indispensable à votre life.
Ça a échappé à pas mal de monde, mais en sortant Firefox 142, Mozilla vient de réussir un coup de maître en matière d’architecture logicielle. Car pendant que tous les autres navigateurs se ruent sur l’IA dans le cloud, l’équipe Mozilla a pris le pari inverse. Ils ont développé un système qui fait tourner des modèles de langage directement sur votre machine via l’API wllama et transformer.js.
Concrètement, cela veut dire que vos extensions Firefox peuvent maintenant utiliser des LLM locaux sans jamais envoyer vos données sur des serveurs externes.
Et cette approche sans concession de Mozilla a l’avantage de résoudre un problème que personne n’avait anticipé : la latence des aperçus de liens. Vous faites un clic long sur un lien (ou vous maintenez la touche MAJ enfoncée en passant votre souris), et bam !
Firefox vous montre non seulement un aperçu visuel de la page, mais peut aussi générer des points clés grâce à l’IA… Et tout ça sans jamais quitter votre navigateur et à la vitesse de l’éclair. Cette fonctionnalité nécessite plus de 3 Go de RAM libre, mais quand je vois le résultat, je pense que ça les vaut.
Pour les groupes d’onglets, Mozilla a également introduit une fonction géniale qui permet de garder un onglet actif visible même quand le groupe est réduit. Ça paraît anecdotique, mais techniquement, c’est un casse-tête d’interface utilisateur qu’ils ont résolu avec élégance. L’onglet que vous consultez au moment de réduire le groupe reste affiché.
Côté sécurité, ils ont aussi implémenté CRLite, un système qui stocke localement toutes les révocations de certificats comme ça, au lieu de vérifier en ligne si un certificat est valide (ce qui prend du temps et expose vos habitudes de navigation), Firefox maintient une base locale de 300 Ko qui se met à jour quotidiennement. Du coup, plus de délais, plus de fuites de données vers des tiers, et une sécurité renforcée.
Les États-Unis bénéficient également d’une nouveauté sympathique. Il s’agit des recommandations d’articles sur la page Nouvel onglet qui sont maintenant organisées par thèmes (Sport, Cuisine, Divertissement). Vous pouvez donc suivre les sujets qui vous intéressent et bannir ceux qui vous agacent. Simple, pratique mais ça ne vaut pas cette extension !
Mozilla a également renforcé la protection contre le pistage avec un système d’exceptions plus flexible. Le mode ETP-Strict peut maintenant faire des exceptions granulaires, c’est à dire les fonctionnalités de base d’un côté, et les fonctions de confort de l’autre. Vous gardez ainsi la protection essentielle tout en déboquant les fonctionnalités qui vous importent.
Au final, cette version révèle une stratégie Mozilla particulièrement cohérente… De l’IA locale pour préserver la vie privée, des fonctionnalités de productivité pensées pour un usage réel, et une sécurité renforcée sans compromis sur les performances. Et bien sûr, tout ceci reste activable / désactivable selon vos besoins. En tout cas, ces choix techniques nous donnent un aperçu fascinant de ce que Mozilla prépare pour l’avenir du web.
L’Unit 8200, c’est comme si vous aviez pris les meilleurs hackers de la planète, que vous les aviez mis en uniforme israélien, et que vous leur aviez donné non pas carte blanche, mais des moyens SIGINT d’élite. Dans la littérature spécialisée, l’unité est souvent comparée à la NSA (à une autre échelle, quand même). Et ce n’est pas de la fiction puisque cette unité ultra-secrète a largement été associée à l’opération Stuxnet (une coopération USA–Israël selon les enquêtes, jamais confirmée officiellement), et a vu passer des profils qui fonderont des boîtes comme Waze, Check Point, Palo Alto Networks et d’autres licornes tech.
C’est un genre d’école où on vous apprend à pirater des gouvernements étrangers à 18 ans, et où votre prof pourrait être le futur CEO d’une startup à plusieurs milliards. Voilà, c’est exactement ça, l’Unit 8200. Une machine à fabriquer des génies qui oscillent entre James Bond et Mark Zuckerberg. Et le plus dingue dans tout ça c’est que tout a commencé en 1952 avec du matos de récup’ et une poignée de matheux dans des baraquements pourris à Jaffa. Aujourd’hui, c’est l’une des plus grandes unités de Tsahal, avec plusieurs milliers de soldats.
L’histoire démarre donc après la création d’Israël en 1948. Le pays est entouré d’ennemis, les frontières sont poreuses, et les menaces pleuvent. Les dirigeants comprennent vite qu’ils ne survivront pas qu’avec des tanks et des avions. Il leur faut du renseignement, du genre de celui qui permet de savoir ce que l’adversaire va faire, parfois avant lui.
A l’époque, l’Unit 8200 s’appelle la « 2e Unité du Service de Renseignement », puis la « 515e ». Pas très sexy, on est d’accord. En 1954, l’unité déménage à Glilot, au nord de Tel-Aviv, et prend son envol. Le nom « 8200 » arrivera plus tard, pour des raisons d’organisation interne plus que de poésie.
Ce qui rend l’Unit 8200 unique, c’est son approche. Israël n’a pas le luxe de la quantité et doit donc faire mieux avec moins. L’unité mise sur la qualité et repère très tôt des profils brillants (dès le lycée) via des programmes dédiés tels que Magshimim côté extra-scolaire, et, plus tard, des filières comme Mamram ou Talpiot pour les très, très forts.
Le système de recrutement est une master class de détection de talents. A 16 ans, si vous cartonnez en maths/infos, vous recevez une lettre pour passer des tests qui mêlent logique, crypto, prog et psycho. Les meilleurs suivent des programmes spéciaux après les cours… et, à 18 ans, quand les potes partent à l’infanterie, eux intègrent l’Unit 8200.
L’écusson de l’Unité 8200
Mais ce n’est pas la planque. Le service dure au moins trois ans. On y apprend ce qu’aucune fac ne peut enseigner. Et l’ambiance est un mix de startup et de base militaire. Hiérarchies plates, itération rapide, droit à l’essai. Un caporal de 19 ans peut proposer une idée qui change la stratégie nationale. Impensable ailleurs, normal ici.
Les capacités de cette unité sont impressionnantes. Dans le désert du Néguev, à la base d’Urim (près de Beer-Sheva), se trouve l’une des plus grandes stations d’écoute au monde, dédiée à l’interception de communications sur une vaste zone (Moyen-Orient, mais pas que). Et selon des reportages, des moyens d’écoute existeraient aussi à l’étranger (postes dans des ambassades, accès à certaines dorsales de communication).
Base d’écoute d’Urim
Et ils ne se contentent pas d’écouter depuis Israël puisque l’IAF dispose d’avions Gulfstream G550 bardés de capteurs (Nachshon Shavit/Eitam) pour l’interception électronique. Bref, du SIGINT et de l’ELINT en vol, au-sol, et dans les réseaux.
Un analyste militaire britannique résume la réputation de l’unité : « probablement l’une des meilleures agences de renseignement technique au monde, au niveau de la NSA, à l’échelle près ». C’est l’intensité et la focalisation qui marquent.
Leur passion vient d’une réalité simple. Pour Israël, le renseignement n’est pas un luxe, c’est une question de survie. Chaque interception peut sauver des vies. Chaque code cassé peut déjouer un attentat.
L’opération qui fait entrer l’unité dans la légende c’est Stuxnet. En 2006, l’Iran enrichit de l’uranium à Natanz. Scénarios militaires classiques : tous mauvais. D’où une idée folle : saboter sans tirer. C’est l’opération « Olympic Games », largement attribuée à une coopération NSA–Unit 8200 selon des sources américaines, mais jamais confirmée officiellement. Pourquoi 8200 était clé ? Parce que côté israélien, ils disposaient d’un savoir intime du terrain (installations, processus, fournisseurs…).
Stuxnet n’est pas un « simple virus » : c’est une arme binaire qui s’insère par clé USB, se propage discrètement, puis, une fois sur place, manipule des automates Siemens S7-300 et les centrifugeuses IR-1 (dérivées du design P-1 d’A.Q. Khan). Leur coup de génie ? Moduler la vitesse des rotors tout en leurrant les capteurs avec de la fausse télémétrie, ce qui use et casse les machines sans alerter immédiatement les opérateurs.
Les automates S7-300
Bilan ? L’attaque a endommagé environ 1000 centrifugeuses selon les estimations de Natanz et retardé le programme iranien pendant un moment, avant que le code, à cause d’un bug, ne s’échappe dans la nature en 2010. Et officiellement, personne n’a jamais signé l’opération.
Au-delà du sabotage hollywoodien, le quotidien de 8200, c’est la surveillance. Et là, on touche à du sensible. En 2014, 43 vétérans publient une lettre ouverte dénonçant des usages intrusifs contre des Palestiniens (collecte d’infos intimes, potentiel chantage). Le gouvernement dément, d’autres membres de l’unité signent une contre-lettre défendant des « normes éthiques élevées ». Le débat éthique est resté ouvert depuis.
Concrètement, l’unité a aussi contribué, selon les autorités israéliennes et australiennes, à déjouer des attaques (ex. en 2017, un vol Etihad visé par un complot inspiré par l’EI : des interceptions israéliennes auraient permis l’arrestation des suspects en Australie).
Plus récemment, place à l’IA. En 2023-2024, des enquêtes de presse décrivent un algorithme de ciblage surnommé « Lavender » pour identifier des opérateurs du Hamas à Gaza. L’IDF conteste l’existence d’un système autonome qui « identifie des terroristes » et affirme que les décisions restent humaines. Là encore, tensions entre efficacité opérationnelle et éthique, avec un coût humain catastrophique, avec des milliers de civils palestiniens tués, qui interroge fondamentalement l’usage de ces technologies
Stuxnet a des « cousins » : Duqu et Flame, des outils d’espionnage avancés découverts au début des années 2010, capables de captures d’écran, d’enregistrements audio, d’exfiltration de documents, etc. Leur attribution fluctue selon les rapports, mais leur sophistication a marqué un avant/après.
La collaboration internationale est centrale puisque depuis des années, Israël coopère avec des partenaires (NSA, GCHQ) dans un cadre de partage de renseignement. Et le stress interne, lui, est bien réel car à 19 ans, savoir que ton erreur peut coûter des vies, ça use. Les burn-out existent. Et la frontière entre sécurité et vie privée reste une ligne fine.
Côté civil, l’Unit 8200 est une machine à entrepreneurs. Après le service, beaucoup créent ou rejoignent des boîtes cyber majeures. Check Point, Palo Alto Networks, Waze, CyberArk, Imperva, NSO, etc. Autour de ce réseau, des structures comme Team8 (fondée par d’anciens commandants) financent et incubent des projets. Les anciens s’entraident, ouvrent des portes, et ça se voit dans l’écosystème israélien qui pèse environ 10% du marché mondial de la cybersécurité.
Le bâtiment Check Point à Tel-Aviv
Et puis arrive Pegasus. NSO Group, fondée par des vétérans, a développé un spyware classé comme matériel de défense soumis à licence d’exportation en Israël. Utilisé officiellement contre le crime et le terrorisme, il s’est aussi retrouvé au cœur de scandales (journalistes, militants, chefs d’État ciblés), avec des suites judiciaires et diplomatiques. Exemple parfait du dilemme où une techno défensive peut devenir outil d’oppression si elle dérape.
Au final, l’Unit 8200 a façonné l’image d’Israël comme « Startup Nation ». Un mix de nécessité stratégique, de service militaire qui capte les meilleurs talents, et d’une culture d’innovation très directe. D’autres pays tentent de cloner la recette (Corée du Sud, Singapour, France avec le Commandement cyber…), mais l’alchimie locale reste particulière.
Et l’avenir ? Entre quantique, IA générative, neurotech et guerre de l’information, tout s’accélère. L’unité investit, expérimente, et sera forcément discutée. Parce que derrière les lignes de code, ce sont des vies. Et c’est là que doit rester notre boussole.
Alors la prochaine fois que vous évitez un bouchon avec Waze, que votre boîte est protégée par un firewall, ou que vous lisez sur une cyber-attaque sophistiquée, ayez une pensée pour l’Unit 8200… et pour les questions éthiques qu’elle pose.
Cet article, écrit dans le cadre d’une série sur les hackers, ne peut ignorer le contexte actuel. Alors que ces lignes sont écrites, plus de 61 000 Palestiniens ont été tués à Gaza selon l’ONU, dont une majorité de civils. Les technologies décrites ici sont aujourd’hui mobilisées dans un conflit qui accusations de génocide devant la Cour internationale de Justice et de crimes de guerre devant la Cour pénale internationale.
Regarder Star Wars en version Despecialized ou le premier Jurassic Park sur un écran géant dans mon salon, c’est un peu retrouver son âme d’enfant. Et c’est exactement ce que j’ai fait ces dernières semaines avec le XGIMI Aura 2 que j’ai reçu en test.
Le truc qui m’a le plus impressionné avec ce projecteur ultra courte focale (UST - Ultra Short Throw), c’est qu’il suffit de le poser à environ 17 / 18 cm du mur pour obtenir une image de 100 pouces (2,54 m de diagonale). Plus besoin de câbles qui traînent partout, plus de projo pendu au plafond qui fait peur aux invités… Ça me change de mon ancien. Là, on le pose sur le meuble TV, et basta. (Bon, j’avoue, j’ai pas encore acheté le meuble TV…).
Un petit détail dont on parle rarement quand même avec ce genre de projo, c’est que comme la lumière arrive de façon rasante, la texture du mur se voit et ça donne un petit grain. Je fixais dessus au début, puis on s’y fait. Donc si vous êtes perfectionnistes, une toile ALR spéciale UST (type Fresnel) ou une peinture très lisse règle ce “problème” et améliorera aussi le contraste en lumière ambiante.
Côté image, le Aura 2 exploite la techno Dual Light 2.0 (hybride LED + laser) pour sortir 2300 lumens ISO et ainsi couvrir 99 % du DCI-P3. En clair, ça donne des couleurs bien pétantes et suffisamment de pêche pour regarder en journée (rideaux tirés, c’est mieux quand même). La puce 0,47” DMD affiche l’image 4K via wobulation, ce qui n’est pas du vrai 4K natif, mais honnêtement, à l’usage, on ne voit pas la différence. Et la plage de taille conseillée par XGIMI s’étends de 90 à 150”, le mieux étant 100/120”.
Autre bonne surprise dans ce projo, c’est la prise en charge de Dolby Vision, HDR10, HLG et mode IMAX Enhanced, comme ça le contraste dynamique annoncé grimpe à 1 000 000:1. Maintenant, dans la vraie vie, on n’atteint pas les noirs d’une OLED, mais pour un UST, ça fait le job.
Dessus, c’est Android TV 11.0 (pas Google TV). J’ai trouvé l’interface plutôt fluide**, par contre, pas de Netflix natif** (question de certification) alors il faudra passer par un boîtier externe (Apple TV, Chromecast/Google TV, Fire TV…) ou bidouiller. Disney+ est dispo selon les régions et versions, mais pour avoir toutes les plateformes, le plus simple reste comme je vous le disais d’y adjoindre un petit streamer HDMI.
Un gros point fort de ce projo c’est une barre Harman Kardon 60 W intégrée (4 x 15 W) avec Dolby Atmos, DTS-HD et DTS Virtual:X. Pour Netflix & chill (ou L’Amour est dans le pré), c’est largement suffisant. Après si vous voulez aller plus loin, il y a une sortie HDMI eARC pour brancher un ampli ou une barre externe.
Notez que la barre blanche que vous voyez devant le projo, c’est ma barre de son, et elle n’est pas livrée avec…
En mode Jeu, j’ai une latence autour de 20 ms, ce qui est très bon pour un projecteur. Mon astuce, c’est de désactivez l’auto keystone pour profiter du plus faible input lag. Pas de VRR ni 120 Hz en 4K, donc on reste sur du 60 Hz pour les consoles. Je me suis fait quelques parties de Mario Kart sur la Switch 2, là dessus, c’était quand même pas mal.
Niveau connectique, on peut y mettre 3 x HDMI (dont 1 eARC), 3 x USB, Ethernet, optique, jack 3,5 mm. Y’a également du Wi-Fi 6, Bluetooth 5.2, Chromecast intégré, 3D (Frame Packing & Side-by-Side). Le tout avec un capot motorisé qui protège l’optique, un Art Mode pour afficher des œuvres quand on n’utilise pas le projo, et l’ISA 5.0 (autofocus, auto-keystone continu, correction de planéité du mur, adaptation à la couleur du mur, alignement auto avec l’écran, etc.).
Bien sûr, ce n’est pas “portable” puisque ce projecteur mesue 51 cm de large, 27 cm de profondeur, 14,4 cm de haut pour environ 9 kg. Et le bruit mesuré est ≤ 32 dB à 1 m (c’est donc discret par rapport à mon vieux BenQ qui soufflait plus qu’une documentaliste de collège). Et pour la conso, on est autour de 180 W en usage.
Maintenant, le tarif officiel en Europe est de 2 899 €. C’est cher mais face à lui y’a le Hisense PX3-Pro (tri-laser, Dolby Vision, Google TV avec Netflix) qu’on voit souvent entre 2 499–2 999 €, le Samsung The Premiere 9 (tri-laser) autour de 5 999 €, et le Formovie Theater Premium (Google TV + Netflix natif, DV, ALPD RGB+) annoncé à 2 999 €.
Niveau recul donc, le XGIMI est très bien placé avec un ratio 0,177:1 (100” à 17,8 cm), ce qui est plus court que pas mal de concurrents. Bref, j’ai bien aimé l’installation ultra simple, et surtout la qualité d’image et le son 60 W très propre. Le fait aussi que ça se coupe quand on approche sa grosse tête au dessus, c’est une excellente sécurité pour ne pas se prendre un coup de laser dans l’œil.
Par contre, dommage pour Netflix et j’ai trouvé aussi que la télécommande n’était pas hyper lisible dans le noir, ce qui peut être vite relou.
Bref, après plusieurs semaines d’utilisation, je suis conquis par ce XGIMI Aura 2. Donc si vous avez le budget et que vous voulez un UST plug-and-play qui envoie une vraie image de cinéma sans transformer le salon en salle machine avec des câbles partout, foncez.
Vous vous souvenez de cette époque où partir en voyage signifiait acheter une carte SIM locale dans une boutique douteuse à l’aéroport ? Aujourd’hui, si on sort d’Europe, on active une eSIM en deux clics depuis son canapé et hop, on a internet à l’étranger. C’est pratique, non ? Sauf que voilà, une étude menée par des chercheurs de Northeastern University vient de révéler un truc assez hallucinant : Vos données personnelles pourraient bien faire le tour du monde sans que vous le sachiez.
Par exemple, si vous êtes à Rome en train de poster votre photo de pizza sur Instagram, vous pensez surement que vos données passent par un opérateur italien, puis rentrent directement chez vous. Je le croyais aussi alors qu’en réalité, elles pourraient faire un petit détour par Hong Kong, transiter par Singapour, et revenir par la Chine avant d’arriver à destination. Sympa le petit voyage organisé pour vos données perso, vous ne trouvez pas ?
Les chercheurs ont donc testé 25 fournisseurs d’eSIM et le constat est sans appel. Prenez Holafly par exemple, une entreprise basée en Irlande. Vous achetez leur eSIM en pensant avoir affaire à une société européenne, soumise au RGPD et tout le tralala. Sauf que dans les faits, vos connexions passent par le réseau de China Mobile. L’adresse IP qu’ils ont obtenue lors de leurs tests (223.118.51.96 pour les curieux) était directement allouée à China Mobile International Limited à Hong Kong.
En gros, les profils eSIM établissent silencieusement des connexions vers des serveurs à Singapour et récupèrent des SMS depuis des numéros hongkongais, le tout sans que vous en ayez la moindre idée. Mais attendez, ça devient encore plus rigolo puisque pour devenir revendeur d’eSIM, il suffit d’avoir une adresse email valide et un moyen de paiement. Y’a pas de vérification approfondie, pas de contrôle de sécurité du coup, n’importe qui peut se lancer dans le business. Et une fois revendeur, on a accès à des données ultra-sensibles comme les numéros IMSI (l’identifiant unique de votre carte SIM), la localisation des appareils avec une précision de 800 mètres, et même la possibilité d’envoyer des SMS directement aux utilisateurs.
Alors comment on fait pour protéger sa vie privée quand on voyage ? Et bien l’utilisation d’un VPN reste la meilleure solution (lien affilié), surtout si vous utilisez des réseaux WiFi publics. En effet, le VPN va chiffrer votre connexion et empêcher que vos données soient interceptées, peu importe par quel pays elles transitent. Certains fournisseurs comme Saily, créé par l’équipe derrière NordVPN, proposent même des eSIM avec VPN intégré. C’est un peu la ceinture et les bretelles de la sécurité.
Ce qui est vraiment problématique je trouve, c’est le manque total de transparence car quand vous achetez une eSIM, personne ne vous dit “au fait, vos données vont passer par la Chine”. Et chaque pays a ses propres lois sur la protection des données… En Chine du coup, les autorités peuvent légalement accéder à toutes les données qui transitent par leurs infrastructures. Vous voyez le problème ?
C’est pourquoi les chercheurs recommandent la mise en place d’un cadre réglementaire plus strict, avec une obligation de transparence pour les fournisseurs d’eSIM. Ils devraient par exemple au minimum indiquer clairement par quels pays vos données vont transiter. En attendant, leur méthodologie de recherche complète sera bientôt publiée sur GitHub pour que d’autres puissent reproduire et étendre leurs travaux.
Au final, les eSIM restent super pratiques pour voyager, mais faut être conscient des risques…
Félicitations ! Si vous avez installé la mise à jour KB5063878 de Windows 11, vous venez de débloquer la fonctionnalité cachée “Roulette Russe du stockage”. Et oui, Microsoft et Phison innovent ensemble en transformant votre précieux SSD en disque de Schrödinger, sur lequel vos données existent et n’existent pas en même temps… Enfin, jusqu’à ce que vous tentiez de les copier.
Allez, je vous spoile, en vrai, elles n’existent déjà plus.
En effet, la mise à jour d’août 2025 censée, je cite, “corriger les problèmes de performance des jeux” ET des failles de sécurité (oui, Microsoft essayait vraiment de bien faire pour une fois), a décidé que la meilleure façon d’améliorer les perfs était de supprimer complètement votre disque. C’est du génie car plus de SSD, ça veut dire plus de problèmes de performance ! Ni de sécurité d’ailleurs !
Le bug est magnifique puisque dès que vous copiez 50 GB de données, hop, votre SSD disparaît comme David Copperfield en aurait rêvé. Sur 21 disques testés, 12 sont devenus invisibles selon les tests réalisés par la communauté. Un Western Digital SA510 de 2TB, a carrément décidé de prendre sa retraite anticipée. Même après un redémarrage, il refuse de revenir. C’est beau ! Les Japonais sont particulièrement chanceux sur ce coup-là, ils remportent le jackpot avec le plus grand nombre de plaintes recensées.
Phison, le fabricant de contrôleurs touché, a publié un communiqué digne d’un sketch des Monty Python : “Nous sommes conscients des effets à l’échelle de l’industrie”. Traduction : “Oups, nos contrôleurs PS5012-E12 avaient déjà des problèmes de stabilité qu’on savait pas trop comment gérer, et Microsoft vient de révéler le pot aux roses”. Bref, ils “travaillent avec leurs partenaires” et mènent un “audit interne”, probablement en train de chercher qui va payer la facture entre eux et Microsoft. Bonus : ils ne prendront pas en charge directement les utilisateurs. Sympa !
Les SSD DRAM-less avec contrôleur Phison sont donc les plus vulnérables, mais surprise, les contrôleurs Maxio se joignent aussi à la fête ! On a le Corsair Force MP600, le SanDisk Extreme Pro et d’autres dans le club des disparus. WindowsForum confirme que le problème se déclenche quand l’utilisation du contrôleur dépasse 60%. Autrement dit, c’est un parfait combo Microsoft-Phison : Windows pousse le contrôleur dans ses retranchements pour la sécurité, et le contrôleur répond “404 SSD not found”.
Et la cerise sur le gâteau c’est quand Microsoft Support indique que l’update peut aussi se gaufrer avec une jolie erreur 0x80240069 sur WSUS. Bref, même quand elle n’arrive pas à s’installer, elle trouve un moyen de casser les pieds. Maintenant, pour les “chanceux” (non) qui ont déjà installé cette bombe à retardement co-développée, les recommandations officielles sont à se pisser dessus de rire puisqu’ils conseillent d’éviter les transferts de plus de 50 GB ou de faire des sauvegardes régulières sur un disque non affecté. Bon, déjà faire des sauvegardes, ça peut fonctionner uniquement si elles font moins de 50 GB… Et s’il y a toujours un SSD vivant pour faire le backup…
Le plus fun dans tout ça, c’est que cette mise à jour a été classée sécurité critique. “Critique”, tu m’étonnes… Entre Microsoft qui sécurise tellement bien qu’on ne peut plus accéder à nos fichiers, et Phison dont les contrôleurs avaient déjà des soucis de stabilité cachés sous le tapis, c’est le mariage parfait de l’incompétence. En attendant un correctif (prévu pour 2026 si Microsoft et Phison arrivent à se mettre d’accord sur qui est responsable ^^), votre meilleure option est de revenir à Windows 10. Ou mieux, Linux avec des SSD qui n’utilisent pas de contrôleurs Phison.
Au moins, quand quelque chose plante, vous saurez exactement qui blâmer : vous-même !
Ce serait quand même bien relou de devoir montrer sa carte d’identité à un flic à chaque fois qu’on veut regarder une vidéo sur le net, non ? Ce serait absurde, vous ne trouvez pas ? Et bien c’est pourtant ce qui se passe de plus en plus sur le web car entre le Royaume-Uni et son Online Safety Act, la Floride, le Tennessee, la Caroline du Sud et même l’Europe avec ses nouvelles régulations, on nous demande maintenant de scanner nos papiers d’identité ou de prendre un selfie pour accéder à certains sites. Heureusement, NextDNS vient de sortir l’artillerie lourde contre cette dérive.
Il y a quelques jours donc, NextDNS a lancé une nouvelle fonctionnalité qui fait déjà beaucoup parler d’elle à savoir le contournement automatique des vérifications d’âge par DNS. Le principe c’est qu’au lieu de balancer vos papiers d’identité à des sites dont vous ne savez rien, NextDNS intercepte vos requêtes DNS et les fait passer par des serveurs proxy situés dans des pays où ces vérifications débiles n’existent pas. C’est plus subtil qu’un VPN qui reroute tout votre trafic car ça se passe uniquement au niveau DNS.
La position de NextDNS est claire : “Donner vos papiers gouvernementaux à des sites random est un énorme risque pour la vie privée”. Difficile de leur donner tort. On parle quand même de sites qui vous demandent votre carte d’identité, votre permis de conduire, parfois même un selfie avec le document en main. Tout ça stocké on ne sait où, protégé on ne sait comment. Bref, un paradis pour les hackers et les usurpateurs d’identité.
Selon les premiers retours des utilisateurs, ça ne marche bien mais pas partout. Par exemple, Twitter (pardon, X) et Reddit résistent encore à la technique. YouTube aussi, mais c’est logique car pour les vidéos avec restriction d’âge, ils demandent une connexion à votre compte Google, ce qui empêche complètement l’astuce DNS.
NextDNS précise bien que les utilisateurs qui activent cette fonction reconnaissent avoir l’âge légal pour accéder au contenu. C’est leur façon de se couvrir juridiquement. Techniquement, contourner ces vérifications n’est pas illégal dans la plupart des pays, mais ça peut violer les conditions d’utilisation des plateformes donc si vous vous faites prendre, votre compte pourrait être suspendu définitivement.
Le problème en fait, c’est que ces lois censées protéger les mineurs créent un risque énorme pour la vie privée de tous les adultes. Avant, surfer sur Internet était anonyme par défaut et maintenant, on vous demande de vous identifier formellement pour accéder à du contenu parfaitement légal.
D’autres solutions existent bien sûr. Les VPN restent une option, même si c’est plus lourd et plus cher qu’une simple configuration DNS. Certains utilisent aussi des DNS privés alternatifs, mais l’approche de NextDNS a l’avantage d’être gratuite, simple et relativement efficace pour la majorité des cas.
NextDNS travaille apparemment à étendre la compatibilité avec plus de sites et en attendant, c’est déjà un bon pied de nez à cette surveillance généralisée qui s’installe petit à petit sur le web…
Xcode 15 sur un iPhone XS Max, ça vous dirait ? Non, je ne vous parle pas d’une app Remote Desktop ou d’un streaming depuis votre Mac. Je parle bien de macOS 13.4 qui tourne nativement sur un iPhone, avec le Dock, le Control Center et même le Finder. Le tout grâce à une bidouille absolument folle qu’un développeur a réussi à mettre au point.
Le responsable de cette prouesse technique, c’est Duy Tran (khanhduytran0), un dev qui a réussi l’impossible à savoir faire tourner le WindowServer de macOS (le processus qui gère toute l’interface graphique) sur un iPhone XS Max jailbreaké sous iOS 16.5. Bon, avant que vous sortiez votre iPhone pour tenter le coup, sachez que c’est extrêmement technique et que ça nécessite un jailbreak… ce qui n’est pas disponible sur les derniers modèles et versions d’iOS.
Ce qui est marrant dans toute cette histoire, c’est la méthode employée. Au départ, Tran a voulu utiliser les drivers GPU M1 d’Apple pour avoir l’accélération matérielle, mais son iPhone plantait en boucle. Pas découragé pour autant, il a trouvé une approche beaucoup plus maline qui est d’utiliser le système de streaming Metal du simulateur iOS via XPC. En gros, au lieu de faire tourner le GPU en natif, il a fait transiter les commandes graphiques par un protocole de communication inter-processus. C’est astucieux !
D’ailleurs, cette approche n’est pas sans rappeler ce que fait UTM SE pour iOS, une version spéciale de l’émulateur UTM qui utilise un interpréteur au lieu de la compilation JIT pour contourner les restrictions d’iOS. Sauf qu’ici, on ne parle pas d’émulation mais bien d’exécution native du code macOS. La différence ce sont bien sûr les performances et le fait que le système tourne directement sur le kernel Darwin partagé entre iOS et macOS.
Pour comprendre pourquoi c’est possible, il faut savoir que macOS et iOS partagent le même kernel XNU, un noyau hybride qui combine des éléments de Mach et de FreeBSD. C’est ce qui permet théoriquement de faire tourner du code macOS sur iOS, même si Apple a évidemment mis des barrières pour empêcher ça. Mais avec un jailbreak et beaucoup de patches manuels, ces barrières peuvent être contournées.
Le projet montre d’ailleurs que le jailbreak permet bien plus que de simples customisations visuelles. Ici, on parle de transformer complètement l’usage d’un appareil iOS. Par exemple, avoir un iPad Pro M4 qui ferait tourner macOS de manière native avec tous les drivers GPU optimisés… Ce serait le rêve pour beaucoup d’utilisateurs qui attendent depuis des années qu’Apple fasse converger ses systèmes.
Actuellement, le système a ses limites car le contrôle se fait via VNC (donc clavier et souris à distance), il y a des bugs graphiques à cause des limitations du simulateur Metal, et surtout, ça nécessite, comme je vous le disais, un appareil jailbreaké. Mais selon Tran, la solution fonctionnerait particulièrement bien sur les iPad avec puce M, qui ont les mêmes drivers GPU natifs que les Mac.
Ce qui est intéressant aussi, c’est qu’Apple travaille justement sur le durcissement de son kernel XNU avec un système appelé “exclaves” qui isole des ressources critiques du kernel principal. C’est une nouvelle version de l’architecture de sécurité qui rendrait ce genre de bidouille encore plus difficile à l’avenir puisque les exclaves créent des domaines isolés qui protègent des fonctions clés même si le kernel est compromis.
Pour les curieux, Tran a publié son repository GitHub avec tous les patches nécessaires, mais attention, c’est vraiment pour les experts. Il faut patcher manuellement de nombreux composants système, gérer les problèmes de mémoire partagée entre processus, et contourner les restrictions de chargement des bundles XPC. Donc pas vraiment le genre de truc qu’on fait en suivant un tuto YouTube de 5 minutes. Et ne comptez pas sur moi pour vous faire ça en vidéo… lol.
Cela prouve qu’Apple pourrait techniquement faire tourner macOS sur iPad sans trop d’efforts. Les bases techniques sont là, le hardware en est capable, et visiblement même un iPhone peut gérer l’interface de macOS. Mais alors pourquoi Apple ne le fait pas ? Probablement pour des raisons de positionnement produit et de revenus car un iPad qui ferait tourner macOS cannibaliserait les ventes de MacBook.
En attendant qu’Apple se décide (ou pas), des projets comme celui-ci montrent que la communauté du jailbreak continue d’explorer les limites de ce qui est techniquement possible avec le matériel Apple. Et voir Xcode tourner sur un iPhone, même si c’est juste pour la beauté du geste, c’est quand même assez impressionnant.
Voilà, donc si vous avez un vieil iPhone jailbreaké qui traîne et que vous aimez les défis techniques, pourquoi ne pas tenter l’expérience ? Au pire, vous aurez une bonne histoire à raconter. Au mieux, vous pourrez dire que vous faites du développement iOS… sur iOS.
Connexion
