Simplifiez l’inventaire de votre matériel (ou votre Home Lab) avec DumbAssets, une solution open source légère, rapide à déployer et facile à utiliser.
The post DumbAssets : une solution open source légère pour l’inventaire de votre matériel first appeared on IT-Connect.
J’aime bien quand des développeurs utilisent la technologie pour rendre accessible des concepts complexes. Alors après le système solaire, vous allez pouvoir visualiser des atomes en 3D de manière totalement interactive. Comme ça, s’en est terminé des schémas statiques dans les manuels de physique ! Ici, grâce à AtomAnimation, vous pourrez faire tourner, zoomer, observer sous tous les angles des structures atomiques qui prennent même vie sous vos yeux.
Ce projet, développé par matt765, utilise une stack technologique bien moderne à base de React 19, NextJS 15, TypeScript, CSS Modules, Zustand pour la gestion d’état, ThreeJS pour la 3D, et Recharts pour les graphiques. En gros, tout ce qu’il faut pour créer une expérience utilisateur fluide et moderne.
Il y a même des graphs et une table périodique ainsi que des tas de filtres pour par exemple visualiser les atomes par densité, électronégativité, point de fusion et j’en passe…
Et ce qui rend ce projet vraiment intéressant, c’est qu’il permet à tous mais surtout aux étudiants d’explorer les structures atomiques de manière dynamique. Comme ça, on apprend des choses et c’est pas chiant car au lieu de simplement regarder une image figée d’un atome, on peut le manipuler, voir les électrons en mouvement qui lui tourne autour, et comprendre sa structure nucléaire. Bref, si vous êtes prof de physique, vos rêves les plus humides viennent de s’exaucer.
Le côté open-source rend le tout encore plus sympa puisque le code est disponible sur Github. Une fois encore avec WebGL et des bibliothèques comme ThreeJS, on peut faire des trucs vraiment chouette en web 3D.
Voilà, AtomAnimation.com est un super outil éducatif de plus à bookmarker !!
Elle est loin l’époque où on s’extasiait devant un gif animé de la Terre qui tournait. Mais non, rien de rien, je ne regrette rien car un développeur du nom de SoumyaEXE nous a pondu un système solaire complet avec 50 lunes et des ceintures d’astéroïdes, le tout qui tourne dans votre navigateur. Sans plugin. Sans téléchargement. Juste du JavaScript et sa magie.
En plus ce projet débarque pile au moment où de plus en plus de développeurs cherchent l’équilibre parfait entre la simplicité et la performance pour leurs applications web, et ce système solaire en est le parfait exemple. Les textures viennent directement de la NASA, les distances sont mises à l’échelle pour que votre cerveau puisse y comprendre quelque chose, et même votre vieux smartphone peut faire tourner le tout sans broncher ou presque.
J’ai passé plusieurs minutes à zoomer / dezoomer sur les lunes de Jupiter et les astéroides, et c’est assez hypnotisant. Pan, zoom, rotation… tout est fluide comme dans du Planta Fin ^^ et le dev a même pensé à ajouter des toggles pour afficher ou masquer les orbites, les labels, les ceintures d’astéroïdes. Bref, vous pouvez littéralement personnaliser votre exploration spatiale pour vous la jouer Thomas Pesquet en culottes courtes.
C’est fou surtout de voir comment Three.js a évolué. Sur les forums spécialisés, le développeurs explique que créer ce genre de simulation était sa motivation principale pour apprendre cette technologie, et je trouve ça bien comment façon de faire. Et quand on voit le résultat, je me dit que les limites du web sont vraiment repoussées chaque jour un peu plus.
Techniquement, le projet utilise également Vite pour le build, ce qui explique pourquoi tout est si rapide à charger. Les modèles 3D sont optimisés, les animations d’orbites sont calculées en temps réel, et pourtant, aucun ralentissement. C’est accessible, performant, et surtout open source.
D’ailleurs, parlant d’open source, tout le code est disponible sur GitHub. Donc vous pouvez le cloner, le modifier, ajouter d’autres objets si ça vous chante (Ou faire basculer Pluton du côté des planètes…^^), ou pourquoi pas le franciser. Et pour apprendre Three.js, c’est également un excellent point de départ.
Et si vous voulez une ambiance plus immersive, vous pouvez même ajouter de la musique d’Interstellar. Bon, ok, c’est un peu gadget, mais ça fait son petit effet.
Pour les développeurs qui lisent ça, sachez que le projet utilise les GLTFLoader et OrbitControls de Three.js, avec un système de caméra perspective bien pensé. L’éclairage combine ambient et directional lights pour donner ce rendu réaliste aux planètes. C’est du travail propre, bien commenté, et facilement extensible.
Donc si vous cherchez une excuse pour procrastiner intelligemment aujourd’hui, foncez tester cette merveille. Et qui sait, peut-être que ça vous donnera envie de vous lancer dans le développement web 3D.
Pourquoi prendre des vacances d’été et glander sur une plage, alors qu’on pourrait pondre projet open source qui résout un vrai problème ?
Adrien Revel a fait exactement ça avec Microfolio, et le plus rigolo c’est qu’il s’est fait assister par Claude Code pour développer son bébé. Une fois installé, vous lui balancez vos fichiers dans des dossiers, vous ajoutez du Markdown pour les descriptions, et paf, vous avez un portfolio statique qui a la classe.
Pas de base de données qui rame, pas de CMS à maintenir, pas de plugins WordPress qui vous lâchent au pire moment. Juste des fichiers, du contenu, et un site qui booste.
Microfolio tourne sur SvelteKit 2, l’un des générateurs de sites statiques les plus utilisés, couplé à Tailwind CSS 4. Pour ceux qui ne suivent pas l’actu dev, SvelteKit est un framework qui compile votre code en vanilla JavaScript ultra-optimisé. Du coup, les sites chargent à la vitesse de l’éclair même sur une connexion 3G pourrie.
Maintenant, l’installation, c’est du velours. Par exemple, sous macOS, une ligne de Homebrew et c’est parti :
Connexion
brew install aker-dev/tap/microfolio
microfolio new mon-portfolio
cd mon-portfolio
microfolio dev
Pour les autres OS, un bon vieux clone Git et pnpm font l’affaire. Le projet est pensé pour les designers, architectes, photographes, bref tous les créatifs qui veulent montrer leur travail sans se prendre la tête avec du code.
Ce qui est intéressant dans l’histoire, c’est qu’Adrien a développé Microfolio avec Claude Code, ce nouvel assistant IA d’Anthropic qui cartonne chez les développeurs. Claude Code est d’ailleurs particulièrement doué pour bosser avec Svelte 5 et sa nouvelle syntaxe de runes. L’IA l’a visiblement bien aidé sur la doc et le code, ce qui montre qu’on peut faire de l’open source de qualité en duo avec une IA.
La démo en ligne montre déjà ce que ça donne à savoir une interface épurée, une navigation fluide entre les projets, une vue carte pour les projets géolocalisés (pratique pour les architectes), et un système de tags pour filtrer le contenu. Le tout responsive évidemment, c’est la base aujourd’hui.
Moi j’en ai fait un site de chat pour rigoler…
Pour le déploiement, GitHub Pages est supporté d’office avec possibilité de mettre un domaine custom. Adrien cherche également des beta-testeurs pour peaufiner le projet avant de sortir la v1.0 à la rentrée. Donc si vous avez un portfolio à refaire ou si vous voulez juste tester un outil moderne, c’est le moment.
Bref, du bon “file-based CMS” comme on les aime. Comme ça, au lieu de stocker vos contenus dans une base de données qui peut foirer, tout est dans des fichiers que vous pouvez versionner avec Git. Vous gardez le contrôle total sur vos données, vous pouvez tout éditer offline, et surtout vous n’êtes pas prisonnier d’un système.
Puis ce combo SvelteKit + Tailwind CSS est vraiment pertinent, je trouve. SvelteKit permet de générer des sites statiques en automatique, ce qui veut dire que votre site est servi en HTML statique pour le SEO, puis devient interactif côté client. C’est le meilleur des deux mondes.
Pour les devs qui veulent contribuer, le code est sur GitHub sous licence MIT. Le projet utilise les dernières versions de tout (SvelteKit 2, Tailwind CSS 4, Node.js 20+), donc c’est aussi l’occasion de jouer avec les dernières technos du moment.
Merci à Adrien Revel pour avoir partagé son projet !
Moi, j’adore quand quelqu’un fabrique un truc juste parce qu’il en a envie, sans business plan, sans pitch deck, sans lever de fonds. Juste un dev, son clavier, et l’envie de créer.
Et bien c’est exactement ce qui s’est passé avec MkEditor, et ça fait du bien !
Le créateur de MkEditor (qui se décrit lui-même comme “un peu timide pour partager ses créations”) a passé plusieurs années à maintenir cet éditeur Markdown qui respecte les specs CommonMark.
Pourquoi ?
Et bien pas pour concurrencer Obsidian ou Typora. Pas pour devenir la prochaine licorne de la tech. Non, non, juste parce qu’il voulait comprendre comment VSCode fonctionnait en détail. Et ce qu’il nous a pondu, c’est un éditeur qui utilise Monaco Editor de Microsoft, le même moteur qui fait tourner VSCode.
Alors oui, on va me dire “mais Korben, il existe déjà 50 éditeurs Markdown”. C’est vrai et ces éditeurs ont su se rendre incontournables pour les développeurs et les équipes. Obsidian cartonne avec son graph view, Typora fait toujours rêver avec son rendu en temps réel. Mais MkEditor a quelque chose de différent : Il ne cherche pas à révolutionner quoi que ce soit. Il fait juste très bien ce qu’il fait.
L’outil embarque des fonctionnalités plutôt sympas. D’abord, vous avez un split screen redimensionnable avec synchronisation du scroll entre l’éditeur et la preview. Ensuite, des raccourcis clavier personnalisables pour formater votre texte ou insérer des blocs de code. Et il y a même de l’autocomplétion pour les langages dans les code blocks, exactement comme dans VSCode.
Ce qui est bien pensé aussi, c’est l’export HTML. Vous pouvez comme ça générer du HTML brut ou une version stylée avec Bootstrap et FontAwesome directement injectés dans le <head>. Pratique quand vous voulez partager un document qui a de la gueule sans vous prendre la tête avec le CSS. Les paramètres sont configurables soit via l’interface, soit directement dans un fichier settings.json pour les puristes du terminal.
Le truc cool aussi, c’est qu’il y a la palette de commandes de VSCode. Vous tapez Ctrl+Shift+P (ou Cmd+Shift+P sur Mac) et boom, vous avez accès à toutes les commandes. Pour ceux qui vivent dans VSCode, c’est comme retrouver ses pantoufles.
Et si vous ne voulez pas installer l’application desktop (disponible en Electron pour Windows, Linux et macOS), vous pouvez tester directement la version web en cliquant ici. Pas de compte à créer, pas de données à fournir, vous arrivez et vous écrivez. C’est chouette non, à une époque où chaque app veut votre mail, votre 06 et votre groupe sanguin.
Le développeur l’avoue lui-même dans son post… il a créé MkEditor juste parce qu’il en avait envie, sans cas d’usage particulier, juste pour le plaisir de construire quelque chose. C’est cette philosophie qui résume tout ce que j’aime dans l’open source.
Le projet est donc sur GitHub si vous voulez contribuer ou juste jeter un œil au code. Le dev accepte les feedbacks et les rapports de bugs, toujours avec cette modestie qui caractérise les vrais artisans du code.
Alors non, MkEditor ne va pas détrôner les géants du Markdown et il ne va pas lever 10 millions (enfin, quoique, on ne sait jamais dans la vie…). Il n’aura peut-être même pas sa propre conférence annuelle, mais il existe, il fonctionne bien, et il est gratuit.
Bon, vous connaissez sans doute le Flipper Zero, ce petit boîtier orange qui ressemble à un Tamagotchi sous stéroïdes et qui fait flipper Amazon, le Canada et à peu près tous les responsables sécurité de la planète. Mais connaissez-vous vraiment l’histoire dingue de Pavel Zhovner, le mec qui a créé ce truc ?
Allez, c’est parti, je vais tout vous raconter !!
L’histoire commence à Odessa, en Ukraine, où le jeune Pavel Zhovner grandit avec une obsession maladive : Comprendre comment fonctionnent les trucs. Pas juste les comprendre superficiellement façon notice IKEA, mais aller au fond des choses, décortiquer, analyser, reconstruire. C’est le genre de gamin qui démonte le grille-pain familial “pour voir” et qui finit avec 12 pièces en trop au remontage. Diplômé de l’Université Polytechnique Nationale d’Odessa, Pavel se décrit lui-même avec une phrase qui résume tout : “Depuis mon enfance, j’aime explorer les choses autour de la nature, de la technologie et des humains”. Oui, des humains aussi.
Mais attention, Pavel refuse catégoriquement le terme “hacker”. Il préfère “nerd”, qu’il trouve plus honnête. Du coup, cette distinction n’est pas anodine car elle révèle une philosophie qui imprégnera plus tard tout le projet Flipper Zero à savoir la transparence, l’honnêteté, et le refus des étiquettes faciles. Parce que bon, entre nous, “hacker” ça fait tout de suite film hollywoodien avec des mecs en capuche qui tapent frénétiquement sur un clavier dans le noir. Alors que “Nerd”, c’est plus… authentique.
Avant de devenir le CEO de Flipper Devices et de terroriser les gouvernements du monde entier avec son dauphin orange, Pavel n’était pas un inconnu dans le monde de la tech underground. En 2017, face aux blocages internet imposés en Ukraine (merci Poutine), il crée Zaborona.help, un service VPN gratuit pour contourner la censure. Le projet, entièrement open source sur GitHub, utilise OpenVPN avec des serveurs multiples et propose même un script d’installation automatique pour Windows. C’était déjà la marque de fabrique de Pavel : Créer des outils accessibles pour donner du pouvoir aux utilisateurs face aux restrictions imposées par les couillons au pouvoir.
Mais le vrai game changer dans la vie de Pavel, c’est sa rencontre avec le Moscow Neuron Hackspace. En 2011, après avoir assisté au Chaos Communication Congress à Berlin (le Burning Man des hackers, mais avec plus de LED et moins de hippies), Alexander Chemeris décide d’importer le concept de hackerspace en Russie. Il faudra deux ans pour construire une communauté solide, mais Moscow Neuron Hackspace finit par voir le jour, installé au Хохловский пер 7/9 стр. 2, au cœur de Moscou. L’adresse est imprononçable, mais l’endroit était mythique.
C’est là que Pavel Zhovner prend les rênes et devient responsable du hackerspace. Entre 2013 et 2015, des universitaires sont même venus observer ces nerds dans leur habitat naturel, comme des gorilles des montagnes, dans le cadre d’une étude ethnographique. Neuron devient alors un espace alternatif pour l’industrie IT créative et l’entrepreneuriat startup, loin des initiatives étatiques pourries comme Skolkovo (le Silicon Valley russe, mais en nul). On y organise des conférences TEDx en anglais pour faire chier les autorités, des ateliers sur les réseaux sociaux, on apprend à construire des robots qui servent à rien mais qui sont cool, on expérimente avec l’impression 3D avant que tout le monde sache ce que c’est.
Neuron n’est pas qu’un simple makerspace où des barbus soudent des trucs random. C’est un lieu de résistance culturelle, un espace qui promeut “la confiance, le partage de connaissances et l’échange de compétences” selon l’étude académique (qui utilisait beaucoup de mots compliqués pour dire “des mecs cool qui s’entraident”). Pavel y développe sa vision où la technologie doit être accessible, compréhensible, hackable. C’est dans cet environnement bouillonnant de créativité et de café instantané qu’il rencontre alors Alex Kulagin.
Alexander Kulagin, diplômé du prestigieux MEPhI (Institut de Physique et d’Ingénierie de Moscou, l’endroit où l’URSS formait ses génies du nucléaire), apporte une expertise hardware cruciale. Entrepreneur IT avec plus de 5 ans d’expérience dans le développement hardware et la production de masse, il devient le COO (Chief Operations Officer) de ce qui deviendra Flipper Devices. Là où Pavel est le visionnaire philosophe qui part dans des délires métaphysiques sur la nature du hacking, Alex, lui, est le pragmatique qui sait transformer les idées en produits manufacturables sans faire exploser l’usine.
Alex et Pavel (Image IA)
Dans une interview, Kulagin explique leur vision commune : “Nous avons conçu l’appareil comme un outil de recherche et d’éducation pour tester la vulnérabilité des technologies quotidiennes qui nous entourent, souvent celles auxquelles vous n’auriez jamais pensé qu’elles pouvaient être dangereuses.” Genre votre porte de garage qui s’ouvre avec un signal radio basique qu’un gamin de 12 ans pourrait copier. Ou votre badge de bureau qui utilise une techno des années 90.
Le choix du dauphin comme mascotte n’est pas anodin non plus. “Nous avons décidé que le personnage principal serait un dauphin dès le début”, explique Kulagin. “Notre dauphin est excentrique, queer, enthousiaste mais simple et gentil en même temps. Nous voulions créer un personnage avec qui vous auriez envie d’être ami.” Et puis soyons honnêtes, un dauphin c’est moins menaçant qu’un requin ou qu’un logo de tête de mort…
2019, Pavel se balade avec l’arsenal classique du pentester dans son sac à dos… Il est bien équipé… adaptateurs WiFi, lecteurs NFC, SDR, Proxmark3, HydraNFC, Raspberry Pi Zero. Le truc, explique-t-il c’est que “Tous ces appareils ne sont pas faciles à utiliser en déplacement surtout quand vous avez une tasse de café dans une main ou que vous faites du vélo”. Et c’est vrai que sortir un Proxmark3 dans le métro pour tester une carte de transport, ça fait tout de suite très louche.
Il expérimente alors avec un Raspberry Pi Zero W pour automatiser les interactions AirDrop dans le métro de Moscou (pour envoyer des memes aux gens, évidemment), mais le résultat est catastrophique : “Les pointes de soudure déchiraient le tissu de mon pantalon”. Ses tentatives de boîtiers imprimés en 3D sont tout aussi décevantes… Bref, ça ressemblait plus à un projet d’école primaire qu’à un outil de hacking sérieux.
Le déclic arrive quand un Tamagotchi Friends original de Bandai lui tombe entre les mains. Pavel découvre que ces appareils sont encore produits et vendus en 2019. Mais qui achète encore des Tamagotchi en 2019 ??? Et c’est là que l’idée germe dans sa tête. Et si on combinait le côté ludique et attachant du Tamagotchi avec les capacités d’un outil de pentest sérieux ? Un truc qu’on peut sortir dans un café sans qu’on appelle les flics.
Après avoir utilisé le pwngotchi (un projet de Tamagotchi AI pour le hacking WiFi), Pavel réalise qu’il en fait qu’il veut, je cite “Un appareil qui apportera simultanément de la joie au format Tamagotchi, serait esthétiquement similaire aux consoles de jeux rétro et serait assez méchant pour hacker tout autour”. En gros, une Game Boy qui peut ouvrir des portes.
Pavel tweete alors son idée et ses amis designers produit, ceux qui “font des trucs électroniques sérieux” (comprendre : pas des bricolages avec de la colle chaude), lui suggèrent de créer un appareil fini, au lieu de se lancer dans un bricolage DIY fait maison avec “une vraie production en usine et des pièces de qualité”. Bref, arrête de jouer avec ton fer à souder dans ton garage et fais un vrai produit.
C’est donc le début de l’aventure Flipper Zero et Pavel et Alex se lancent dans le développement des premiers prototypes. Le nom “Flipper” vient du dauphin cybernétique du film Johnny Mnemonic avec Keanu Reeves et le concept c’est un dauphin virtuel qui vit dans l’appareil et évolue au fur et à mesure que son propriétaire interagit avec lui, se fâchant quand il n’est pas utilisé fréquemment. C’est un Tamagotchi, mais pour hackers.
Mais détrompez-vous, le Flipper Zero n’est pas qu’un gadget mignon qui fait bip-bip. C’est une prouesse technique basée sur un microcontrôleur STM32WB55 à double cœur ARM. Un Cortex-M4 à 64 MHz pour le firmware principal (le cerveau) et un Cortex-M0 à 32 MHz pour le Bluetooth Low Energy (le moulin à paroles). Avec 256 KB de RAM et 1 MB de stockage Flash, c’est suffisant pour faire tourner un système complet. C’est évidemment moins puissant que votre smartphone, mais c’est exactement ce qu’il faut.
L’écran est un LCD monochrome rétro avec rétroéclairage orange de 128×64 pixels. “Au lieu des écrans modernes TFT, IPS ou OLED, nous avons délibérément choisi un cool LCD old-school”, explique l’équipe et comme sur les vieux téléphones monochromes Nokia 3310 et les Tamagotchi, l’écran est toujours allumé. Rassurez-vous, la batterie ne se vide en 3 heures comme sur votre iPhone.
Les capacités radio sont aussi impressionnantes pour un truc de la taille d’un paquet de clopes. Il est équipé d’une antenne 125 kHz en bas pour lire les cartes de proximité basse fréquence (vos vieux badges de bureau), d’un module NFC intégré (13.56 MHz) pour les cartes haute fréquence (cartes de transport, badges modernes), d’une puce CC1101 avec antenne multi-bande pour une portée jusqu’à 50 mètres (portails, alarmes de voiture), d’infrarouge pour contrôler les appareils domestiques (bye bye la télécommande perdue), et de GPIO pour se connecter à des modules externes (pour les vrais nerds).
Puis le 30 juillet 2020, la campagne Kickstarter est lancée avec un seul objectif : Récolter 60 000 dollars. Et le résultat est au delà de toutes leurs espérance puisque c’est exactement 4 882 784 dollars qui seront récoltés auprès de 37 987 contributeurs en seulement 30 jours. C’est 8138% de l’objectif initial. Du délire total.
Quand Pavel et Alex regardent les compteurs, ils se regardent, mi-excités, mi-terrifiés. “Comment on va produire tout ça ?” La réponse : avec beaucoup de café et pas mal de crises de panique.
La communauté est plus qu’excitée, elle est en ébullition totale. Et sur les forums, certains s’inquiètent déjà : “Devoir soudainement produire 8000% de votre objectif de production d’ici une date prédéfinie ressemble à un cauchemar.” Et ils avaient raison. Pavel et Alex se retrouvent alors face à un défi monumental : transformer un projet de hackerspace en une entreprise capable de produire près de 40 000 unités. Et tout cela en pleine pandémie de COVID-19. C’est là que le fun commence vraiment.
2021-2022, c’est l’enfer sur terre. La pénurie mondiale de puces frappe de plein fouet. Le fournisseur taïwanais Sitronix annonce une pénurie continue de puces 7565R. Toutes les commandes passées avant juin 2021 sont retardées. Pire, ils suspendent temporairement toutes les nouvelles commandes. C’est la merde totale.
L’équipe doit alors redesigner l’électronique et les PCB plusieurs fois pour remplacer les composants introuvables. Un cauchemar d’ingénierie surtout que les composants de puissance deviennent l’objet de spéculation sauvage, pire que les cartes Pokémon. Un convertisseur de tension passe de 0,50$ à 10,70$, un chargeur de batterie BQ25896RTWR devient littéralement impossible à acheter. Y’a aucun stock chez TI, DigiKey ou Mouser. C’est le Far West des composants électroniques.
L’équipe cherche alors des stocks dans des entrepôts alternatifs, chez de petits fournisseurs louches car ils refusent de payer 20 fois le prix normal par principe. La production est alors fragmentée : les boîtiers plastiques dans une usine en Chine, l’électronique dans une autre en Europe de l’Est. Et coordonner tout ça pendant les perturbations de la chaîne d’approvisionnement est un cauchemar logistique qui ferait pleurer un responsable Amazon.
Malgré tout, ils commencent à expédier en janvier 2022. Mi-2022, 90% des commandes Kickstarter sont expédiées. C’est un miracle dans ce contexte de “l’une des plus grandes crises du marché des composants électroniques des dernières décennies”. D’autres projets Kickstarter de la même époque n’ont toujours pas livré.
Mais dès le début, Pavel et Alex on adopté la tactique de la transparence et de l’ouverture maximales. Tout le code est sur GitHub sous licence GPLv3, y’a pas de bullshit propriétaire, pas de DRM, pas de fonctionnalités bloquées derrière un paywall. Et cette approche attire une communauté massive.
Des firmwares alternatifs apparaissent comme des champignons après la pluie : Unleashed (firmware débloqué avec support des rolling codes pour les vrais méchants), RogueMaster (le plus cutting-edge avec les dernières fonctionnalités communautaires), Momentum (continuation officielle d’Xtreme après son arrêt). La philosophie est claire… pas de paywall, pas d’apps propriétaires. “Chaque build a toujours été et sera toujours gratuit et open source”, proclament les développeurs d’Unleashed. Respect.
Comme je vous le disais, le dauphin du Flipper Zero n’est pas qu’une mascotte mignonne pour faire joli. L’équipe lui a donné une personnalité complexe : il “a des opinions politiques de gauche, écoute de la techno, et n’a pas d’identité de genre prononcée”. C’est une déclaration politique subtile mais claire sur les valeurs de l’entreprise. Un dauphin woke, en somme. Et cette personnalité se reflète dans les interactions car le dauphin s’énerve si vous ne l’utilisez pas, il évolue avec vos hacks, il a ses humeurs. C’est un compagnon numérique avec du caractère, et pas un simple assistant style Alexa qui répond “Désolé, je n’ai pas compris”.
Nous sommes maintenant en février 2022. La Russie envahit l’Ukraine. Pavel Zhovner est ukrainien et plus de 10% de l’équipe Flipper Devices est ukrainienne. La décision est alors immédiate et radicale : Plus aucune livraison vers la Russie, plus aucun recrutement en Russie, et une aide active pour faire sortir tous les employés russes du pays, avec un déménagement du siège à Londres. C’est efficace et c’est surtout un positionnement politique fort pour une entreprise tech qui aurait pu fermer sa gueule et continuer à vendre. Flipper Devices n’a plus rien à voir avec la Russie.
Puis en 2023, le Flipper Zero devient viral sur TikTok. Des vidéos montrent des utilisateurs qui ouvrent les ports de charge des Tesla (véridique), éteignent les menus électroniques des fast-foods (hilarant), changent les prix sur les pompes à essence (illégal), déverrouillent des voitures (parfois). Les vidéos accumulent des millions de vues. “Je ne m’attendais pas à ce que ça marche 😭”, titre l’une d’elles montrant l’ouverture d’une Tesla.
Mais la réalité est plus nuancée car la plupart des vidéos sont probablement mises en scène ou nécessitent une préparation significative. Les attaques démontrées ne fonctionnent que contre des systèmes primitifs ou mal protégés. Votre Tesla Model 3 est tranquille. Votre vieille Clio de 1998, peut-être un peu moins.
Puis en avril 2023, Amazon bannit le Flipper Zero, le classifiant comme “appareil de skimming de cartes”. L’ironie c’est que toutes les annonces sur Amazon étaient de toute façon des revendeurs non officiels vendant des contrefaçons chinoises, et pas Flipper Devices directement.
La réaction de Pavel et Alex est brillante car ils transforment alors cet obstacle en opportunité en créannt leur propre réseau de distribution. Le bannissement devient un argument marketing pour la liberté technologique et le “Amazon nous a bannis” devient un badge d’honneur. L’effet Streisand joue à plein tube et chaque nouvelle interdiction génère une couverture médiatique qui fait découvrir l’appareil à de nouveaux publics. Merci Amazon et les autres shop pour la pub gratuite !
En février 2024, le Canada annonce son intention de bannir le Flipper Zero, invoquant une vague de vols de voitures. Le problème, c’est qu’aucun vol de voiture connu à cette époque, n’implique un Flipper Zero. C’est comme bannir les cuillères parce que quelqu’un s’est noyé dans sa soupe. Car techniquement, le Flipper Zero ne peut pas démarrer une voiture moderne. Il peut capturer et rejouer certains signaux, mais c’est plus compliqué que ce qu’on croit. Bref, tout ceci n’est qu’un cas classique de panique morale technologique, comme quand les parents pensaient que Doom allait transformer leurs enfants en tueurs en série ou que le téléchargement illégal ou l’IA va tuer la création et les artistes.
La réponse cinglante de Flipper Devices ne se fait pas attendre : ils pointent l’absurdité de bannir un outil à 169$ qui ne peut pas faire ce dont on l’accuse, pendant que de vrais outils de vol de voitures (genre les programmeurs de clés à 5000$) circulent librement sur eBay…
Les résultats financiers de Flipper Devices sont stupéfiants pour une entreprise sans investisseurs, sans VCs vampires, sans bullshit corporate : 2021 - 5 millions de dollars de revenus. 2022 - 25 millions de dollars. 2023 - 80 millions de dollars avec 500 000 unités vendues en cette années là. Soit une croissance de 1500% en deux ans, entièrement organique. Comme je vous le disais, pas de VCs, pas de dilution. Juste le crowdfunding initial et des ventes. “C’est du capitalisme old school” : tu vends un produit, tu fais du profit, tu réinvestis. Point.
Le business model est d’une simplicité désarmante. Un prix fixe d’environ 169 dollars (pas de Flipper Zero Pro Max Ultra à 500$), des marges confortables grâce à la production en volume, une distribution directe. Pas de versions multiples pour embrouiller les clients, pas de segmentation marketing. Un produit unique qui fait tout. Apple pourrait apprendre.
2024, après trois ans de développement intensif, la version 1.0 du firmware sort enfin. Les nouveautés sont importantes : support JavaScript pour créer des apps sans connaître le C (pour les noobs), système NFC complètement réécrit avec système de plugins, autonomie d’un mois en veille (mange-toi ça Apple Watch), transfert Bluetooth 2x plus rapide avec Android, support des apps tierces dynamiques. C’est l’aboutissement de trois ans de travail acharné, mais aussi un nouveau départ. Car la v1.0 n’est pas une fin, c’est une nouvelle base pour la communauté.
Plus de 500 000 utilisateurs actifs, des centaines de repositories sur GitHub et tout autant d’apps communautaires, c’est ça, le vrai succès du Flipper Zero. La communauté développe des usages créatifs inattendus comme de l’émulation de cartes d’hôtel pour tester la sécurité (ou entrer dans sa chambre bourré), analyse de protocoles propriétaires d’équipements médicaux (ça fait peur !), reverse engineering de jouets connectés (pourquoi pas), ou encore audit de sécurité de systèmes domotiques (votre frigo connecté est vulnérable).
Le repository awesome-flipperzero liste des centaines de ressources, projets, et modifications. C’est un écosystème vivant qui dépasse largement ce que Pavel et Alex avaient imaginé. Comme Linux, mais en plus fun. Et l’équipe ne s’arrête pas au device de base puisque des modules additionnels sortent régulièrement comme un module WiFi pour l’analyse réseau (pour hacker le WiFi du voisin légalement), une carte SD pour stocker plus de données (tous vos dumps de cartes), des modules GPIO custom pour des projets spécifiques (pour les vrais malades). Une collaboration avec Raspberry Pi est même annoncée pour de nouveaux modules hardware. Le Flipper Zero devient une plateforme, pas juste un gadget.
Dans une interview, Alex Kulagin explique leur vision : “Pour moi, le Flipper Zero est un lanceur d’alerte pour les systèmes de sécurité du monde qui reposent sur de la technologie vieille, médiocre et facilement hackable. […] Ce que Flipper apporte, c’est la prise de conscience que, les gars, ce truc n’est pas sécurisé. Si quelque chose peut être hacké par un jouet à 100$, c’est peut-être trop vieux.”
Et cette philosophie guide tout. Le Flipper Zero n’est pas conçu pour les criminels - ils ont déjà des outils bien plus puissants et ne vont pas attendre qu’un dauphin orange arrive sur Kickstarter. Non, il est conçu pour les chercheurs en sécurité, les étudiants, les curieux afin de démocratiser la compréhension de la sécurité et surtout pour montrer que la sécurité par l’obscurité, c’est de la merde.
Bien sûr, tout n’est pas rose dans le monde merveilleux du dauphin orange. Des voix s’élèvent pour critiquer le Flipper Zero : “C’est un outil pour les script kiddies”, “Ça facilite le hacking malveillant”, “Les vidéos TikTok encouragent des comportements illégaux”…etc. Alors l’équipe répond patiemment…
Sur leur blog, ils expliquent que la majorité des fonctions peuvent être répliquées avec un smartphone et 10$ d’équipement sur AliExpress. Que les vrais criminels n’attendaient pas le Flipper Zero. Que l’éducation à la sécurité passe par la compréhension pratique. Voilà, c’est comme interdire les cours de serrurerie parce que ça pourrait former des cambrioleurs.
Le Flipper Zero a changé la perception du hacking hardware car ce n’est plus réservé à une élite technique avec des outils coûteux et un PhD en électronique. C’est accessible, ludique, mais sérieux. Des universités l’utilisent pour enseigner la sécurité (MIT, Stanford, même la Sorbonne s’y met). Des entreprises l’achètent pour auditer leurs systèmes (cheaper than a consultant). Des hobbyistes découvrent le monde du hardware hacking (et arrêtent de jouer à Candy Crush).
Le design “toy-like” brise les barrières psychologiques car les gens n’ont pas peur d’un Tamagotchi orange. Ils sont curieux, ils veulent comprendre. Et c’est exactement ce que voulaient Pavel et Alex à savoir rendre le hacking moins intimidant, plus accessible. Mission accomplie !!
Dans un tweet récent, Pavel avoue que “C’est encore difficile à croire. Je n’aurais jamais pu imaginer que le projet Flipper Zero atteindrait cette taille.” Et les défis sont encore nombreux du genre comment rester fidèle à l’esprit hacker en devenant mainstream ? Comment naviguer les régulations sans compromettre les fonctionnalités ? Comment scaler sans perdre l’âme du projet et finir comme Arduino (RIP) ?
Les projections pour 2024-2025 suggèrent un dépassement des 100 millions de revenus mais l’argent n’est pas le but. “Je crois en l’open source”, répète Pavel. “Le projet sera complètement ouvert.” Pas de vente à Microsoft ou Google, pas d’IPO foireuse, pas de transformation en corporation sans ame.
C’est de l’authenticité pure et ça paye car Pavel et Alex n’ont jamais caché leurs intentions, leurs valeurs, leurs difficultés. C’est cette transparence qui a créé une confiance inébranlable avec la communauté. Et c’est surtout une preuve que l’open source n’est pas incompatible avec le succès commercial. 80 millions de dollars de revenus avec tout le code sur GitHub, c’est la preuve que le modèle fonctionne, contrairement à ce que racontent certains.
Et les contraintes créent l’innovation… la pénurie de composants, les bannissements, les controverses… chaque obstacle a été transformé en opportunité. Surtout que la communauté est plus importante que le produit. Ce Flipper Zero ne serait rien sans ses 500 000 utilisateurs qui créent, partagent, innovent. Sans oublier que le design compte autant que les fonctionnalités… c’est un dauphin mignon qui a quand même rendu le pentest accessible au grand public.
Je ne l’aurais pas cru à l’époque. Et l’équipe tease régulièrement de nouveaux appareils en laissant entendre que d’autres produits sont en développement. Mais rassurez-vous, la vision reste la même. Démocratiser la compréhension de la technologie tout en donnant aux gens les outils pour comprendre et contrôler leur environnement numérique.
C’est une mission qui dépasse largement le Flipper Zero.
Pavel Zhovner et Alex Kulagin ont créé plus qu’un gadget. Ils ont créé un mouvement. Un mouvement qui dit que la technologie ne devrait pas être une boîte noire. Comme Phil Zimmermann avec PGP, ils ont mis un outil puissant entre les mains du peuple. Et comme Zimmermann, ils font face à l’incompréhension, aux interdictions, aux controverses. Mais ils tiennent bon.
Le succès du Flipper Zero a également inspiré des concurrents tels que HackRF (plus puissant mais moins accessible et coûte un bras), Proxmark (spécialisé RFID mais moins polyvalent), WiFi Pineapple (focus WiFi mais pas portable), mais aucun n’a la combinaison magique du Flipper, accessible, portable, polyvalent, et surtout, fun.
Le Flipper Zero est surtout devenu un symbole inattendu… un mélange de tech ukrainienne innovante (fuck yeah), de résistance à la censure technologique, d’innovation hors des grands centres tech américains, et de la possibilité de succès sans Silicon Valley et ses VCs toxiques. Des gouvernements s’inquiètent, des entreprises tremblent… Et tout ça à cause d’un Tamagotchi créé par deux nerds d’Europe de l’Est.
La créativité de la communauté surprend même les créateurs. Des vétérinaires l’utilisent pour cloner les puces d’animaux perdus, des escape games l’intègrent dans leurs énigmes, des artistes créent des installations interactives, des professeurs l’utilisent pour des démonstrations de physique. Chaque jour, de nouveaux usages émergent et c’est la beauté d’un outil vraiment ouvert.
Et leurs plans pour 2025 sont ambitieux avec de nouveaux modules hardware (ça parle d’un module SDR complet), de l’intégration IA pour l’analyse de protocoles, un marketplace officiel pour les apps, des programmes éducatifs et une expansion internationale. Mais Pavel insiste “L’important n’est pas ce que nous planifions, mais ce que la communauté créera.”
Pavel et Alex pensent en décennies, pas en trimestres comme les commerciaux car le Flipper Zero doit durer 10 ans minimum (construit pour durer), l’écosystème doit survivre aux fondateurs (immortalité du projet), la communauté doit s’auto-organiser (décentralisation), et le projet doit rester pertinent technologiquement (innovation continue). Une vision long terme guide chaque décision… et surtout, pas de quick wins au détriment de la durabilité.
Et ce succès a un prix que peu comprennent car Pavel et Alex ont sacrifié leur anonymat (menaces régulières de tous les camps), leur stabilité (déménagements forcés, merci la guerre), leur vie privée (les médias sur le dos), et leur tranquillité (controverses permanentes sur Twitter), mais ils ne regrettent rien. “C’est le prix de changer le monde”, dit Pavel.
Pavel avoue parfois douter : “Sommes-nous légitimes ? Méritons-nous ce succès ?” Le syndrome de l’imposteur frappe même après 80 millions de revenus mais Alex est plus pragmatique : “On a créé quelque chose dont les gens ont besoin. Le marché a validé. Point.” Cette tension entre doute et confiance nourrit l’humilité de l’équipe et il n’y a pas de grosse tête chez Flipper Devices.
Aujourd’hui, Pavel Zhovner continue de coder depuis Londres et Alex Kulagin négocie avec les usines. Le Flipper Zero n’est pas qu’un gadget. C’est un acte de résistance et un vent de liberté dans un monde où la tech devient de plus en plus fermée.
Faudra faire avec !
Sources : LinkedIn - Pavel Zhovner, Hackaday - Why I started Flipper, GitHub - Zaborona.help, Kickstarter - Flipper Zero Campaign, Flipper Blog - Manufacturing Updates, GitHub - Flipper Zero Firmware, Moscow Neuron Hackspace Study, The Birth of Russia’s Hackerspace Movement, Gizmodo - Flipper Zero Interview, Flipper Zero Firmware 1.0, TechCrunch - M Sales, Hackaday - Canada Ban, BleepingComputer - Amazon Ban, Flipper Zero Official, Awesome Flipper Zero
Hey les scrapers de l’espace là, vous en avez marre de vous battre contre Cloudflare comme si c’était le boss final d’un Dark Souls ? Et bien sûr, vous avez testé Selenium et Playwright mais vos bots se font démasquer plus vite qu’un menteur à l’Assemblée Nationale ? Alors ça tombe bien car j’ai trouvé votre nouveau meilleur ami, et il s’appelle Botasaurus.
Derrière ce nom de dinosaure se cache un framework Python open source, conçu pour le scraping web moderne. Créé par Omkar Cloud, il promet de faire passer vos bots pour des humains plus vrais que nature.
La première chose avec Botasaurus, c’est sa capacité à contourner les protections anti-bot. Il passe notamment la barrière de Cloudflare avec brio mais pas seulement, puisqu’il gère aussi très bien PerimeterX, BrowserScan, Fingerprint Bot Detection, et même les CAPTCHA Turnstile. Le créateur du framework a même publié une vidéo où il contourne tous ces systèmes en live. La grande classe !
Concernant Datadome, il semble cependant galérer encore un peu d’après les retours que j’ai eu.
Ce qui démarque Botasaurus, c’est surtout son approche “humane driver” car au lieu d’utiliser bêtement Selenium ou Playwright, le framework ajoute une couche d’humanisation qui simule des mouvements de souris réalistes, des temps de pause naturels, et même des patterns de navigation qui imitent un vrai utilisateur. Du coup vos bots passent incognito avec du style ^^.
Ce framework permet même d’économiser jusqu’à 97% sur les coûts de proxy. Comment ? Et bien en utilisant des requêtes fetch basées sur le navigateur au lieu de lancer un navigateur complet pour chaque requête. C’est malin et ça fait une sacrée différence sur la facture à la fin du mois.
Pour l’installation, c’est du Python classique :
python -m pip install --upgrade botasaurus
Et voici un exemple simple pour scraper un site :
from botasaurus.browser import browser, Driver
@browser
def scrape_heading_task(driver: Driver, data):
# Visite le site via Google Referrer (pour bypass Cloudflare)
driver.google_get(data['url'])
# Récupère le texte du titre
heading = driver.get_text('h1')
return {"heading": heading}
# Lance le scraping
scrape_heading_task()
Ce décorateur @browser gère automatiquement tout le setup du navigateur, les anti-détections, et même la sauvegarde des résultats en JSON. Comme ça, pas besoin de se prendre la tête avec la configuration.
Et pour les cas où vous avez besoin de contourner du Cloudflare plus agressif, il suffit d’ajouter un paramètre comme ceci :
driver.google_get(url, bypass_cloudflare=True)
D’après les benchmarks de ScrapingAnt, Botasaurus est plus furtif qu’undetected-chromedriver et puppeteer-stealth. C’est dire le niveau de sophistication atteint.
Un autre point fort de Botasaurus, c’est également la possibilité de transformer votre scraper en application desktop. En une journée, vous pouvez créer une app pour Windows, Mac et Linux avec une interface graphique complète. C’est génial, car ça vous éviter d’expliquer à vos clients comment lancer un script Python. Ils ont juste une app sur laquelle double-cliquer.
Le framework inclut aussi un serveur web intégré qui permet de créer une UI pour vos scrapers comme ça, avec quelques lignes de JavaScript, vous pouvez définir des formulaires d’input, des filtres, des exports en CSV/Excel, et même une API REST pour intégrer votre scraper ailleurs.
Ce framework brille donc particulièrement pour tout ce qui est :
Par contre, pour du scraping massif à grande échelle ou contre des protections enterprise ultra-sophistiquées, vous devrez probablement combiner Botasaurus avec d’autres outils ou services.
C’est l’histoire d’un couple d’artistes développeurs qui largue les amarres pour vivre sur un voilier dans le Pacifique Nord. Pas de connexion internet stable, pas d’électricité illimitée, juste l’océan et quelques panneaux solaires…
C’est dans ces conditions que Devine Lu Linvega et Rek Bell de 100 Rabbits ont créé Uxn, une machine virtuelle qui tient en 100 lignes de C et qui fait tourner des applications graphiques complètes sur à peu près n’importe quoi, de votre vieille Game Boy Advance à votre Raspberry Pi Pico.
Le truc vraiment génial avec Uxn, c’est qu’elle ne prend que 64KB en RAM. Pour vous donner une idée, c’est environ 65 000 fois moins que ce que Chrome bouffe juste pour afficher cette page. Et pourtant, avec ces 64KB, vous pouvez faire tourner un éditeur de texte complet, un logiciel de dessin, un environnement de livecoding musical, et même des jeux comme Oquonie ou Donsol.
Sorcellerie me direz-vous ? Et bien non, c’est tout à fait possible en revenant aux fondamentaux de l’informatique et en appliquant les principes du permacomputing.
L’idée du permacomputing, c’est de créer des systèmes informatiques résilients et durables. Au lieu de racheter un nouveau PC tous les 3 ans parce que le dernier Windows rame, vous créez des logiciels qui tourneront encore dans 20 ans sur le matériel d’aujourd’hui. C’est une philosophie qui maximise la durée de vie du hardware et minimise la consommation énergétique. Et Uxn incarne parfaitement cette approche.
Pour programmer sur Uxn, vous devez utilise Uxntal, un langage assembleur basé sur une stack machine avec notation postfixe. Par exemple, au lieu d’écrire 3 + 4, vous écrivez 3 4 +. Ça peut paraître bizarre au début, mais c’est redoutablement efficace. Et contrairement à ce qu’on pourrait penser, Uxntal supporte même des concepts avancés comme les fonctions lambda et la programmation fonctionnelle.
Ce qui est vraiment cool avec cet OS, c’est sa portabilité. Le même fichier ROM Uxn peut tourner sur votre PC Linux avec SDL2, sur une Nintendo DS, sur un navigateur web, sur DOS, sur une PlayStation Vita, et même sur des trucs complètement barrés comme un télétypographe ou un STM32. C’est exactement comme les ROMs des vieilles consoles en fait… Vous créez votre programme une fois, et il tourne partout où il y a un émulateur Uxn.
Les applications disponibles sont d’ailleurs impressionnantes. Il y a Left, un éditeur de texte graphique, Noodle qui permet de dessiner, Orca qui est un environnement de livecoding pour créer de la musique, Nasu qui édite des sprites, Turye qui crée des polices de caractères. Et tout ça dans des fichiers de 10 à 15KB maximum.
L’écosystème Uxn est aussi super accessible pour les développeurs. La documentation sur GitHub liste des dizaines d’émulateurs, d’outils et de tutoriels. Il y a même des compilateurs comme Dotal et Funktal qui permettent d’écrire dans des langages de plus haut niveau et de compiler vers Uxntal. La communauté est aussi très active sur IRC (#uxn sur libera.chat) et Discord, et les workshops d’introduction sont excellents pour débuter.
Maintenant, pour installer Uxn sur votre machine, c’est super simple. Sur Linux, vous installez SDL2 (sudo apt install libsdl2-dev sur Ubuntu), vous téléchargez l’émulateur, et vous lancez vos ROMs. Vous pouvez même développer directement sur Uxn avec Bicycle, un REPL interactif, ou Dexe, un éditeur hexadécimal.
Ce que j’adore avec Uxn, c’est que ça remet en question tout ce qu’on considère comme acquis dans le développement moderne. On n’a pas besoin de 8GB de RAM et d’un framework JavaScript de 500MB pour faire une calculatrice. On peut créer des outils puissants et élégants avec des contraintes extrêmes. Et le fait que tout ça vienne de deux personnes vivant sur un bateau, alimentées par de l’énergie solaire, ça rajoute une dimension poétique au projet.
Donc si vous cherchez une alternative radicale à la course à la puissance, si vous voulez explorer ce qu’on peut faire avec des systèmes minimaux, ou si vous êtes juste curieux de voir comment on peut faire tenir un OS complet dans moins de mémoire qu’une photo Instagram, Uxn vaut vraiment le détour.
Car parfois, c’est bon d’en enlever un peu pour retrouver l’essentiel.
Ce serait quoi un monde où les bugs de sécurité se font corriger avant même que les hackers ne les trouvent ? Ce serait plus calme non ? J’écrirais moins sur les failles de sécurité cela dit, mais ça me ferais plus de temps pour chiller dans le hamac. Breeeef, ça va peut-être se produire bientôt car c’est exactement ce que vient de rendre possible Trail of Bits en libérant Buttercup, leur système AI qui a décroché la deuxième place et 3 millions de dollars au challenge AIxCC du DARPA.
Et c’est maintenant open source et ça tourne sur votre laptop.
La tendance actuelle c’est une explosion des vulnérabilités… y’a plus de code produit que jamais, des dépendances partout, et des hackers de plus en plus organisés. Donc les équipes de sécurité sont débordées et passent leur temps à courir après les failles. Heureusement, Buttercup vient inverser complètement la donne en automatisant tout le processus, de la détection au patch.
Ce qui rend ce système spécial, c’est qu’il combine le meilleur des deux mondes. D’un côté, les techniques classiques de cybersécurité comme le fuzzing (bombarder le code avec des entrées aléatoires pour le faire planter) et l’analyse statique. Et de l’autre, sept agents IA différents qui collaborent pour comprendre le contexte, générer des patchs et vérifier qu’ils ne cassent rien d’autre.
Lorsqu’on lui confie une analyse, d’abord, Buttercup lance donc une campagne de fuzzing augmentée par IA sur votre code. Et au lieu de tester bêtement des entrées aléatoires, l’IA apprend quels patterns ont le plus de chances de révéler des bugs. Puis, quand une vulnérabilité est trouvée, le système utilise des outils comme tree-sitter et CodeQuery pour créer un modèle complet du programme et comprendre exactement comment le bug s’intègre dans l’architecture globale.
Et c’est là que ça devient vraiment intéressant car les sept agents IA entrent alors en action, avec chacun avec sa spécialité. L’un analyse le bug, l’autre génère des propositions de patch, un troisième vérifie que le patch ne casse pas les tests existants, et ainsi de suite. Ils se coordonnent tous pour produire un patch normalement robuste qui corrige vraiment le problème sans créer de régression.
Pendant la compétition DARPA à DEF CON 33, Buttercup a impressionné tout le monde. Le système a trouvé et patché des vulnérabilités dans 20 des 25 CWEs les plus dangereux selon MITRE. Et je vous parle de trucs sérieux : buffer overflows, injections SQL, race conditions… Trail of Bits a même reçu le prix “LOC Ness Monster” pour avoir soumis un patch de plus de 300 lignes qui fonctionnait parfaitement.
Ce qui est fou, c’est qu’ils ont obtenu ces résultats en utilisant uniquement des modèles IA moins chers, non-reasoning, et pas les gros modèles de raisonnement ultra-chers. Ça veut dire que c’est accessible pour des projets normaux, pas seulement pour les géants de la tech avec des budgets illimités.
L’installation est vraiment simple pour un outil de cette complexité :
git clone --recurse-submodules https://github.com/trailofbits/buttercup.git
cd buttercup
make setup-local
make deploy-local
Bon, il vous faudra quand même 8 cœurs CPU, 16GB de RAM et environ 100GB d’espace disque. Plus des clés API pour OpenAI ou Anthropic si vous voulez utiliser les fonctionnalités IA. Mais comparé à d’autres outils de sécurité enterprise, c’est vraiment raisonnable. Rassurez-vous aussi, il est possible de fixer un budget maximum en conso API.
Le système supporte actuellement le C et le Java, avec une compatibilité OSS-Fuzz pour s’intégrer facilement dans vos pipelines existants. Il y a même une interface web pour monitorer les tâches en cours et voir exactement ce que fait le système.
Ce qui me plaît vraiment dans ce projet, c’est surtout la philosophie derrière car au lieu de garder cette technologie secrète ou de la vendre hyper cher, Trail of Bits a décidé de tout libérer. Ils ont même créé une version “laptop-friendly” spécialement optimisée pour tourner sur des machines normales, pas juste des clusters de serveurs.
Dans le contexte actuel, c’est une vraie révolution. Google a par exemple montré que son IA peut trouver de nouvelles vulnérabilités dans des projets open source majeurs et Meta développe AutoPatchBench pour standardiser la réparation automatique. Mais Buttercup est le premier système complet, de bout en bout, et open source.
Avec cet outil, des projets open source pourrait se patcher automatiquement et les développeurs pourraient alors se concentrer sur les features au lieu de passer des heures à debugger. Bien sûr, ce n’est pas magique et Buttercup ne remplacera pas les experts en sécurité mais c’est un outil incroyablement puissant qui peut automatiser la partie la plus répétitive et chronophage du travail. Et vu que c’est open source, la communauté peut l’améliorer, l’adapter à ses besoins, créer des plugins…
Donc, si vous bossez dans le dev ou la sécurité, allez jeter un œil au GitHub de Buttercup et qui sait, peut-être qu’un jour on regardera en arrière et on se demandera comment on faisait sans IA pour sécuriser notre code.
Pensez un peu à la tête des publicitaires si chacune de vos recherches web partait dans une direction complètement aléatoire, comme une boule de flipper qui rebondit entre 50 bumpers différents ? Et bien c’est exactement ce que fait Searloc, et vous allez voir, c’est assez malin.
Alexandre, un développeur français visiblement allergique au pistage en ligne, vient de créer quelque chose d’intéressant. Au lieu de chercher directement sur Google ou même DuckDuckGo, son outil vous envoie de manière totalement aléatoire vers l’une des 50 instances publiques SearXNG disponibles.
Ainsi, aucune instance ne voit plus de 2% de vos recherches, comme ça, pour les trackers qui essaient de créer votre profil, c’est comme essayer de reconstituer un puzzle avec seulement 1 pièce sur 50.
Le plus beau dans tout ça, c’est que Searloc fonctionne entièrement côté client. Pas de serveur, pas de base de données, pas de logs. Juste du JavaScript qui tourne dans votre navigateur et qui tire au sort votre prochaine destination. Je trouve que c’est vraiment une excellente approche de ne pas avoir de serveur fixe, car ça élimine complètement le point de centralisation.
Pour ceux qui ne connaissent pas, SearXNG est un métamoteur qui peut interroger jusqu’à 248 services de recherche différents sans jamais transmettre votre IP ou vos cookies aux moteurs sous-jacents. C’est déjà pas mal niveau privacy, mais le problème c’est que si vous utilisez toujours la même instance, l’administrateur pourrait théoriquement reconstituer votre historique de recherche. Avec Searloc, ce risque disparaît puisque vos recherches sont éparpillées façon puzzle.
L’outil propose quelques fonctionnalités sympa. Par exemple, si les résultats ne vous conviennent pas, tapez simplement “!!” et hop, votre recherche repart sur une autre instance aléatoire. Les bangs (ces raccourcis qui commencent par “!!”) sont gérés localement, donc même vos recherches spécialisées restent privées. Et pour les maniaques du contrôle, vous pouvez même ajouter vos propres instances SearXNG personnelles dans les paramètres.
Faut quand même dire que les alternatives privacy-first comme Startpage, Brave Search ou Qwant se multiplient face à l’appétit insatiable de Google pour nos données, mais là où ces services restent centralisés (même s’ils promettent de ne pas vous tracker… vous savez qui engage ce genre de promesse…), Searloc pousse la logique encore plus loin en décentralisant complètement le point d’entrée.
Maintenant, pour l’utiliser, rien de plus simple. Rendez-vous sur searloc.org et vous tapez votre recherche. L’interface reprend automatiquement vos préférences de thème et de langue pour les transmettre à l’instance SearXNG sélectionnée.
Et le code source est disponible sur Codeberg sous licence MIT, donc les paranos qui on du temps libre peuvent vérifier qu’il n’y a pas d’entourloupe.
Voilà, ce qui me plaît dans cette approche, c’est surtout qu’elle résout élégamment le dilemme de la privacy où soit vous faites confiance à un service centralisé qui promet de ne pas vous tracker (mais qui reste un point unique de défaillance), soit vous auto-hébergez votre instance (mais c’est technique et votre IP reste visible pour les sites que vous visitez). Searloc trouve ainsi un juste milieu en distribuant le risque sur des dizaines d’instances différentes.
Alors oui, c’est vrai, parfois vous tomberez sur une instance un peu lente ou qui affichera des captchas parce qu’elle a été trop sollicitée mais c’est un léger inconvénient de cette décentralisation. Parce qu’entre ça et laisser Google construire un profil psychologique détaillé de toutes vos interrogations existentielles à 3h du mat’, le choix est vite fait.
Merci à Alexandre d’avoir partagé son projet avec moi !
Parfois, je me demande ce que foutent les équipes de Google… Un mec tout seul vient de créer une version desktop de YouTube Music qui explose littéralement la version web officielle et son interface web basique qui balance des pubs toutes les trois chansons.
L’app s’appelle YouTube Music Desktop, et c’est un projet open source disponible sur GitHub qui fait exactement ce que Google devrait faire depuis des années. Le développeur a pris Electron, a wrappé l’interface web de YouTube Music dedans, et puis il a ajouté tout ce qui manque cruellement à la version officielle.
Du coup on obtient une app desktop qui tourne sur Windows, Mac et Linux, codée par un seul mec qui surpasse complètement le produit officiel d’une boîte qui pèse 2000 milliards de dollars. Ce truc bloque toutes les pubs et le tracking par défaut, vous pouvez télécharger vos morceaux en MP3 ou Opus pour les écouter offline. Et y’a des raccourcis clavier natif qui fonctionnent sur tous les OS. Il y a même un égaliseur et un compresseur audio intégrés pour améliorer le son.
Mais le meilleur c’est le système de plugins. On peut y ajouter des extensions en un clic pour ajouter exactement les fonctionnalités que vous voulez. Discord Rich Presence pour montrer à vos potes ce que vous écoutez, des lyrics synchronisées qui s’affichent en temps réel, un mode ambient qui change les couleurs de l’interface selon l’album, du backup local de playlists, l’ajout dans la touchBar sous Mac…etc et le tout sans avoir à fouiller dans du code ou des configs compliquées.
Pour l’installer, c’est super simple. Sur Windows, passez par Scoop ou Winget. Sur Mac, c’est Homebrew avec un simple brew install th-ch/youtube-music/youtube-music. Sur Linux, vous avez des packages pour toutes les distros majeures.
L’app pèse moins de 100MB et consomme moins de RAM que l’onglet YouTube Music dans Chrome. D’ailleurs, il n’y a pas que cette version. YTMDesktop propose une alternative similaire avec une interface un peu différente et un focus sur l’intégration système. Après c’est une question de goût…
Bref, cette app montre exactement ce que YouTube Music pourrait être si Google se bougeait le cul. Ce sont des trucs basiques que les utilisateurs demandent depuis le lancement du service mais comme Google est plus concentré à faire payer un abonnement Premium à 11€ par mois qu’à proposer des fonctionnalités cools, bah voilà…
Évidemment, cette app pourrait arrêter de fonctionner du jour au lendemain si Google décide de changer son API ou d’en bloquer l’accès mais pour l’instant, ils laissent faire. Donc si vous en avez marre de YouTube Music dans le navigateur, ou que vous voulez stopper votre abonnement Spotify parce qu’il a encore augmenté, foncez. L’app est gratuite, open source, et fait tout mieux que la version officielle.
Merci à Lilian pour la découverte !
Bon, là on va parler d’un truc qui va faire trembler pas mal de développeurs. VulnHuntr, c’est le nouveau joujou de Protect AI qui utilise l’intelligence artificielle pour dénicher des vulnérabilités 0-day dans du code Python. Et quand je dis dénicher, c’est pas pour rigoler car en quelques heures seulement, cet outil a trouvé plus d’une douzaine de failles critiques dans des projets open source ayant plus de 10 000 étoiles sur GitHub !
Le principe c’est qu’au lieu de balancer tout le code source dans un LLM et espérer qu’il trouve quelque chose, VulnHuntr découpe le code en petits morceaux digestes. Puis il analyse méthodiquement la chaîne complète depuis l’entrée utilisateur jusqu’à la sortie serveur, en demandant uniquement les portions de code pertinentes.
L’outil peut ainsi détecter sept types de vulnérabilités majeures : exécution de code à distance (RCE), inclusion de fichiers locaux (LFI), falsification de requêtes côté serveur (SSRF), cross-site scripting (XSS), références directes non sécurisées (IDOR), injection SQL et écrasement arbitraire de fichiers.
Pas mal pour un outil gratuit et open source, non ?
Et puis il y a la liste des victimes… euh pardon, des projets où VulnHuntr a trouvé des failles. Je vous présente gpt_academic (67k étoiles), ComfyUI (66k étoiles), Langflow (46k étoiles), FastChat (37k étoiles), et j’en passe. Des projets ultra populaires dans l’écosystème IA qui se sont fait épingler avec des vulnérabilités critiques. Par exemple, Ragflow s’est retrouvé avec une belle RCE qui a été corrigée depuis.
Pour l’utiliser, c’est assez simple puisque ça s’installer avec pipx ou Docker (d’ailleurs ils recommandent Python 3.10 spécifiquement à cause de bugs dans Jedi). Ensuite, vous exportez votre clé API Anthropic ou OpenAI, et vous lancez l’analyse sur votre repo. Attention quand même, les développeurs préviennent que ça peut vite coûter cher en tokens si vous n’avez pas mis de limites de dépenses !
Je trouve son workflow plutôt bien pensé, car le LLM résume d’abord le README pour comprendre le contexte du projet et fait ensuite une première analyse afin d’identifier les vulnérabilités potentielles. Pour chaque faille détectée, VulnHuntr relance alors une analyse spécifique avec un prompt adapté au type de vulnérabilité. Puis il continue à demander du contexte (fonctions, classes, variables d’autres fichiers) jusqu’à avoir reconstruit toute la chaîne d’appel. À la fin, vous avez un rapport détaillé avec le raisonnement, un exploit proof-of-concept, et un score de confiance.
D’après les retours, un score de confiance inférieur à 7 signifie qu’il n’y a probablement pas de vulnérabilité. Un score de 7, c’est à investiguer. Et 8 ou plus, c’est très probablement une vraie faille. Les développeurs recommandent d’ailleurs d’utiliser Claude plutôt que GPT, car apparemment les résultats sont meilleurs, ce qui ne m’étonne pas.
Malheureusement, pour le moment, ça ne fonctionne que sur du code Python et même s’ils ont ajouté le support d’Ollama pour les modèles open source, les résultats ne sont pas terribles avec ces derniers car ils galèrent à structurer correctement leur output. A voir avec le dernier modèle OSS d’OpenAI cela dit…
Alors d’un côté, je trouve ça génial d’avoir un outil aussi puissant pour sécuriser nos propres projets mais de l’autre, ça montre à quel point nos codes sont vulnérables et combien il est facile pour quelqu’un de mal intentionné de trouver des failles. Voilà, donc si vous développez en Python, je vous conseille vraiment de tester VulnHuntr sur vos projets car mieux vaut découvrir les failles vous-même plutôt que de les voir exploitées dans la nature !
Un scénario classique en entreprise c’est un script Python de synchronisation qui doit tourner sous Windows et qui se barre en erreur à chaque redémarrage. Le coupable c’est ce fichu service Windows qui s’obstine à chercher sa configuration dans C:\Windows\System32 plutôt que dans le répertoire de l’application. Du coup, ça prend 3 heures de débogage pour un problème vieux comme Windows NT et ça c’est moche !
Car le problème avec les services Windows, c’est qu’ils sont coincés dans les années 90. La commande sc create ne fonctionne qu’avec des applications spécialement conçues pour être des services. Et NSSM est puissant mais avec une interface en ligne de commande cryptique et des éditions du registre à la main. Et le pire dans tout ça, c’est ce fameux répertoire de travail bloqué sur System32 qui fait planter la moitié des applications qui dépendent de chemins relatifs.
La bonne nouvelle c’est qu’il existe Servy qui débarque comme une bouffée d’air frais dans cet écosystème poussiéreux. Développé entièrement en C# par Aelassas, ce petit outil open source fait exactement ce qu’on attend de lui à savoir transformer n’importe quel executable en service Windows, avec une vraie interface graphique moderne et surtout, la possibilité de définir ce foutu répertoire de travail.
Pour l’utiliser, il vous suffit de télécharger la dernière release sur GitHub, de le décompresser, et de lancez Servy.exe. L’interface est claire… nom du service, description, chemin de l’exe, working directory (enfin !), paramètres de démarrage, et c’est parti. En 30 secondes, votre application Node.js, votre script Python ou votre serveur web tournera alors comme un vrai service Windows.
Et les fonctionnalités de Servy vont bien au-delà du simple lancement puisqu’il intègre des health checks configurables avec intervalle personnalisé (30 secondes par défaut) et un nombre d’échecs tolérés avant action. Le système de recovery gère comme un chef le redémarrage du service, du processus, ou même de la machine complète selon vos besoins. Et pour éviter les boucles infinies, vous pouvez bien sûr limiter le nombre de tentatives de redémarrage.
La gestion des logs est également un autre point fort de Servy puiqu’il peut rediriger automatiquement stdout et stderr vers des fichiers avec rotation automatique basée sur la taille. Comme ça, plus besoin de scripts batch complexes ou de solutions tierces pour capturer les sorties de vos applications console. Tout est géré proprement, avec des logs organisés et consultables.
Selon le guide Windows Services Manager, accéder aux services Windows reste toujours aussi archaïque : Win+R, services.msc, + Entrée. Heureusement, avec Servy, tout se fait depuis son interface. Vous pouvez démarrer, arrêter, mettre en pause, redémarrer vos services, modifier leur priorité (Real-time, High, Normal, Low), et même définir le type de démarrage (Automatic, Manual, Disabled).
Un détail qui fait la différence avec d’autres outils du même genre, c’est la prévention des processus zombies. Hé oui, Servy se la joue comme dans Walking Dead et gère proprement le cycle de vie des processus enfants, s’assurant qu’aucun processus orphelin ne traîne après l’arrêt d’un service. C’est le genre de conneries qu’on découvre généralement après plusieurs semaines de production, quand le serveur commence à ramer sans raison apparente.
Et ça tourne aussi bien de Windows 7 SP1 jusqu’à Windows 11, en passant par toutes les versions Server. Et surtout, le code source complet est disponible sur GitHub sous licence MIT.
Bref, c’est un super outil gratuit, open source, avec une interface bien pensée, et toutes les fonctionnalités dont on rêvait sans le côté usine à gaz !!
Pour les entreprises, c’est une solution idéale pour déployer des applications métier sans les réécrire, avoir à se former sur NSSM ou de maintenir des scripts PowerShell complexes. Cet outil permet de réduire les coûts de maintenance et les erreurs humaines. Bref, c’est un logiciel qui devrait être dans la boîte à outils de tout les admins Windows qui se respectent.
Ça vous dirait de pouvoir taper cursor-agent "trouve et corrige tous les bugs" dans votre terminal et voir GPT-5 analyser l’ensemble de votre code, proposer des corrections, et même les appliquer après votre validation ?
Plus besoin de copier-coller entre ChatGPT et votre éditeur, plus besoin de jongler entre interfaces. Et bien c’est exactement ce que Cursor CLI propose.
Avec la sortie de GPT-5 et l’explosion des assistants de code IA, Cursor frappe fort en proposant une alternative terminal-first qui s’intègre partout : JetBrains, Android Studio, Xcode, ou même directement dans votre shell préféré. Et ce qui est cool c’est qu’on peut utiliser GPT-5 gratuitement pendant la beta.
Alors perso, moi je suis un fervent utilisateur de Claude Code qui fonctionne excellement bien, à tel point que je trouve les IDE Cursor et Windsurf un peu nul maintenant. Donc voir Cursor sortir son clone de Claude Code, branché sur GPT-5, évidemment, ça m’intéresse.
L’installation se fait avec cette ligne magique :
curl https://cursor.com/install -fsS | bash
Une fois installé, vous suivez les instructions pour exporter cursor-agent dans votre environnement shell et ensuite vous lancez cursor-agent, et vous voilà avec un agent IA surpuissant directement dans votre terminal. Selon la documentation officielle, le CLI réutilise toute votre configuration Cursor existante : vos règles personnalisées, votre fichier AGENTS.md, et même vos intégrations MCP.
Ce qui distingue Cursor CLI des alternatives comme Claude Code ou Gemini CLI, c’est son système d’approbation granulaire. Par exemple, si vous demandez à l’agent de créer une API Express avec des tests Jest, il vous montrera d’abord les modifications proposées. Vous pouvez ensuite accepter, refuser, ou modifier chaque changement avant qu’il ne touche vos fichiers. Cette approche réduit considérablement les erreurs par rapport aux solutions qui appliquent tout automatiquement.
La vraie puissance du truc se révèle surtout dans l’automatisation, car vous pouvez créer des scripts qui utilisent Cursor CLI pour :
Le support des modèles est lui aussi impressionnant. A part GPT-5, vous avez accès à Claude 4 Sonnet, Opus (et aussi Gemini, Grok, o3…etc mais j’ai pas vu ça dans ma beta). Un simple /model ls liste tous les modèles disponibles, et /model gpt-5 vous permet de basculer dessus instantanément. Cette flexibilité permet d’utiliser le modèle le plus adapté à chaque tâche.
Perso, j’ai beaucoup testé GPT-5 hier via Windsurf pour voir ce qu’il avait dans le ventre (sur du code uniquement) et hormis le fait que c’était lent de fou, ça ne m’a pas non plus très impressionné. J’avais un bug à régler et le truc a tourné toute la matinée pour au final me faire un gros caca. Et j’ai fini par résoudre le bug en fin de journée, cette fois avec Claude Code et en quelques dizaines de minutes. Donc j’avoue que pour le moment, je suis hyper déçu de GPT-5 mais bon, je lui redonnerai sa chance plus tard.
Pour les équipes, Cursor CLI c’est top pour votre CI/CD. Vous pourriez par exemple concevoir des pipelines qui utilisent GPT-5 pour :
Le système de règles personnalisées change aussi la donne. Vous pouvez définir des contraintes spécifiques dans votre fichier AGENTS.md (TypeScript strict, tests obligatoires, commentaires en français, etc.) et Cursor CLI respectera ces règles dans toutes ses générations.
L’aspect privacy est également bien pensé aussi car contrairement à des outils comme Copilot qui envoie votre contexte en permanence, Cursor CLI ne transmet que ce que vous lui demandez explicitement. Vos secrets restent locaux et votre code propriétaire reste protégé.
Par contre, c’est encore en beta donc il reste des bugs notamment sous Windows (WSL), et certains utilisateurs ont indiqué avoir des timeouts sur les gros projets. Mais bon, ça comme avec Claude Code, l’équipe met à jour quasiment non stop.
Pour tester rapidement, lancez simplement cursor-agent pour un chat interactif, ou utilisez les flags -m pour choisir le modèle et --no-interactive pour l’automation complète sans confirmation manuelle.
Et prochainement, il devrait y avoir du contexte persistant entre sessions, de la collaboration multi-agents, et même une intégration native avec les éditeurs via LSP.
Voilà, donc si vous cherchez une alternative à Claude Code ou GitHub Copilot qui respecte votre workflow dans le terminal, Cursor CLI mérite le détour. C’est gratuit pendant la beta et ça devrait bien vous aider !
J’ai vu sur Github un développeur qui a réussi à résoudre le problème le plus universel du télétravail. Ce problème c’est cette fâcheuse tendance qu’on a tous à finir comme Quasimodo, complétement avachis devant notre écran après deux heures de coding, de blogging ou de bitching sur Mastodon.
SlouchDetector, c’est donc l’œuvre d’Alexander Kranga qui a eu cette idée brillante à savoir utiliser MediaPipe pour apprendre à la machine votre posture idéale et vous balancer une alerte quand vous commencez à vous ratatiner. Le tout tourne directement dans votre navigateur, sans qu’aucune donnée ne parte sur Internet. Votre webcam, votre navigateur, et votre vie privée respectée.
Ce qui rend ce projet vraiment bien, c’est qu’il résout un vrai problème. Car selon Planet Nomad, une mauvaise posture au bureau peut réduire la productivité de 18% et augmenter les troubles musculo-squelettiques (TMS) de 65%. Et le pire, c’est qu’on ne se rend même pas compte quand on commence à s’affaler sur notre clavier.
Pour cela, SlouchDetector utilise la détection faciale de MediaPipe pour établir votre position de référence quand vous êtes bien assis et ensuite, l’algorithme surveille en temps réel les déviations par rapport à cette baseline. Pas besoin des 33 points de détection corporelle que propose MediaPipe Pose, juste votre joli visage suffit pour détecter si vous commencez à pencher vers l’écran.
Je souis là
Pour faire tourner ce truc chez vous, c’est du Next.js 15 avec React 19, TypeScript pour la robustesse, et Tailwind CSS 4 pour l’interface. Le développeur a clairement misé sur les dernières technos pour offrir une expérience fluide. Et niveau installation, c’est du classique :
npm ci
npm run dev
# Hop, c'est parti sur http://localhost:3000
Ce qui me plaît, vous vous en doutez, c’est l’approche full respect de la vie privée. Votre webcam capture, MediaPipe analyse, JavaScript alerte, et personne d’autre que vous n’est au courant que vous ressemblez à un bretzel à 16h.
MediaPipe peut détecter des postures complexes en temps réel même sur des machines modestes et c’est cette efficacité qui permet à SlouchDetector de tourner sans problème dans n’importe quel navigateur moderne, sans avoir besoin d’une RTX 4090 pour vous dire de vous redresser.
L’intérêt va au-delà du simple gadget geek. Quand on sait qu’un bureau assis-debout peut faire chuter la pression sur les disques vertébraux de 40%, imaginez l’impact d’un simple rappel régulier pour corriger sa posture. C’est un outil qui pourrait vous éviter bien des visites chez le kiné.
Je souis plou là
Bien sûr, MediaPipe ne détecte qu’une personne à la fois, donc si vous avez l’habitude de travailler avec votre chat sur les genoux, il risque de perturber la détection. Donc mangez-le, avec des frites et une petite sauce au bleu, c’est délicieux ! Les conditions d’éclairage peuvent aussi affecter la précision, mais dans l’ensemble, ça reste très utilisable au quotidien.
Le code est ici ! Et merci à Lorenper pour la découverte !
Vous aussi vous en avez marre de voir vos images disparaître d’Imgur après 6 mois d’inactivité ? Ou de devoir passer par Discord qui compresse tout ce qui bouge ?
Ça tombe bien car j’ai découvert Slink il y a quelques jours et je pense que ça va vous plaire si vous voulez retrouver le contrôle sur vos partages d’images.
Slink, c’est le projet d’Andrii Kryvoviaz, un développeur qui a décidé de combiner ses deux passions : La danse et l’amour de la forêt euuuh, non… Avoir son propre service de partage d’images ET pouvoir raccourcir les URLs en même temps. Parce que oui, en plus d’héberger vos images, Slink génère automatiquement des liens courts pour les partager facilement. Et comme le souligne XDA Developers, tout tient dans un seul container Docker, ce qui rend le déploiement hyper simple.
Le truc vraiment bien pensé, c’est que Slink ne se contente pas de stocker bêtement vos fichiers. Il génère automatiquement des previews, gère l’expiration automatique si vous le souhaitez (pratique pour les partages temporaires), et propose même un mode galerie pour organiser vos images. Le backend en Symfony assure la robustesse, tandis que le frontend en SvelteKit offre une interface moderne et réactive.
Pour l’installation, c’est du Docker classique. Créez votre docker-compose.yml :
services:
slink:
image: ghcr.io/andrii-kryvoviaz/slink:latest
container_name: slink
environment:
- DATABASE_URL=postgresql://user:password@db:5432/slink
- APP_SECRET=your-secret-key
- STORAGE_DRIVER=local
volumes:
- ./uploads:/app/uploads
- ./data:/app/data
ports:
- "3000:3000"
Et une fois lancé, vous aurez accès à une interface web complète avec drag & drop, upload multiple, et même une API REST pour automatiser vos uploads depuis vos scripts ou applications. Le système de permissions est granulaire ce qui vous permet de créer des utilisateurs, définir des quotas, et même activer l’upload anonyme si vous voulez faire votre propre service public.
Ce qui m’a particulièrement séduit dans ce projet, c’est surtout la gestion intelligente du stockage. Selon la doc GitHub, Slink supporte non seulement le stockage local, mais aussi S3 (compatible avec MinIO, Backblaze B2, etc.), et même le partage réseau via SMB. Vous pouvez également définir des limites de taille par fichier, par utilisateur, et même configurer une rétention automatique pour ne pas exploser votre espace disque.
La partie raccourcisseur d’URL est aussi vraiment bien intégrée. Chaque image uploadée reçoit automatiquement un identifiant court (style “slink.io/a8f2”), et vous pouvez aussi créer des liens personnalisés avec votre propre nom de domaine. Et contrairement à des services comme bit.ly, vous gardez le contrôle total sur vos analytics avec le nombre de vues, l’origine des visiteurs, et bien sûr tout est stocké localement (génial pour le RGPD, comme dirait le Capitaine Haddock).
Pas de tracking tiers, pas de publicités, pas de vente de données. Avec Slink, vos images restent vos images, point. Et si vous voulez partager quelque chose de sensible, Slink propose même un chiffrement côté client avec des liens à usage unique qui s’autodétruisent après consultation.
Pour les développeurs, l’API est un vrai bonheur avec de l’authentification via tokens JWT, endpoints RESTful bien documentés, et même des webhooks pour intégrer Slink dans vos workflows. Vous pouvez par exemple configurer un hook pour redimensionner automatiquement les images, les envoyer vers un CDN, ou les sauvegarder sur un service externe.
Et les performances sont au rendez-vous grâce à Rust pour la partie critique (génération des identifiants courts et routing), avec un cache Redis optionnel pour accélérer les requêtes fréquentes. Ainsi, sur un VPS basique, Slink peut facilement gérer des milliers de requêtes par seconde. Un détail sympa, le mode sombre adaptatif suit les préférences système, et il y a une PWA complète pour installer Slink comme une app native sur mobile. De plus, l’interface est responsive et fonctionne parfaitement sur tablette ou smartphone.
Après si vous cherchez des alternatives, il y a Chevereto (payant mais très complet), Lychee (orienté galerie photo), ou PictShare (plus minimaliste et que je testerai une prochaine fois…). Slink trouve donc un excellent équilibre entre fonctionnalités et simplicité, et il y a des mises à jour régulières, ce que j’apprécie beaucoup vue que ma passion dans la vie c’est lire des changelogs.
Voilà, donc pour ceux qui veulent tester avant de se lancer, le projet est entièrement open source sous licence MIT et dispo ici !
18 milliards, c’est le nombre de mots de passe compromis auxquels GoSearch peut accéder avec une simple clé API BreachDirectory. Et ce n’est que la partie émergée de l’iceberg de cet outil OSINT qui a récemment été salué dans la newsletter OSINT pour son approche innovante de la recherche d’empreintes numériques.
Vous vous souvenez de Sherlock, cet outil Python qui permettait de chercher des pseudos sur différentes plateformes ? Et bien GoSearch, c’est comme si Sherlock avait pris des stéroïdes et appris le Go. En effet, le développeur ibnaleem a créé ce projet au départ pour apprendre le langage Go, mais il s’est rapidement transformé en un véritable projet communautaire.
La différence fondamentale avec Sherlock c’est d’abord sa vitesse. Le Go se compile en binaire et utilise la concurrence de manière native, ce qui rend les recherches exponentiellement plus rapides. Mais surtout, GoSearch a résolu le problème majeur de Sherlock c’est à dire les faux négatifs. Quand Sherlock vous dit qu’un username n’existe pas alors qu’il est bien là, GoSearch le trouve. Et pour les résultats incertains, plutôt que de vous induire en erreur, il préfère les afficher en jaune pour vous signaler qu’il y a peut-être un doute.
Concrètement, GoSearch ne se contente pas de scanner plus de 300 sites web. Il accède aussi à 900 000 identifiants compromis via l’API HudsonRock’s Cybercrime Intelligence, 3,2 milliards via ProxyNova, et ces fameux 18 milliards via BreachDirectory si vous avez une clé API. Et quand il trouve des hashes de mots de passe, il tente de les cracker avec Weakpass, avec un taux de réussite proche de 100% selon le développeur (ahem…).
L’installation est ridiculement simple pour un outil aussi puissant :
go install github.com/ibnaleem/gosearch@latest
Ensuite, une recherche basique :
gosearch -u [username] --no-false-positives
Le flag --no-false-positives est important puisqu’il filtre les résultats pour ne montrer que ceux dont GoSearch est certain. Par exemple, pour une recherche approfondie avec BreachDirectory :
gosearch -u [username] -b [API-KEY] --no-false-positives
Ce qui est cool, c’est que GoSearch ne se limite pas aux pseudos. Il cherche aussi les domaines associés en testant les TLDs classiques (.com, .net, .org, etc.). Et si vous n’avez pas de pseudo précis, vous pouvez même utiliser username-anarchy pour générer des variantes à partir d’un nom et prénom.
Attention toutefois, sous Windows, Windows Defender peut parfois marquer GoSearch comme malware. C’est un faux positif et le code source est entièrement accessible sur GitHub pour vérification.
GoSearch est particulièrement efficace pour les enquêtes de sécurité et de confidentialité. Les entreprises peuvent par exemple l’utiliser pour vérifier si leurs employés ont des comptes compromis, les particuliers pour auditer leur propre empreinte numérique, et les chercheurs en sécurité pour leurs investigations OSINT.
En plus, le projet évolue constamment et les dev envisagent d’ajouter des fonctionnalités comme des options pour n’afficher que les résultats confirmés ou prioriser la détection des faux négatifs selon les besoins. Maintenant, pour ceux qui cherchent des alternatives, il existe Gopher Find (aussi en Go), Maigret, WhatsMyName ou le récent User Searcher qui prétend couvrir 2000+ sites. Mais GoSearch reste le plus équilibré entre vitesse, précision et accès aux bases de données d’identifiants compromis.
Pour le tester, c’est par ici !
5 dollars, c’est tout ce qu’il faut pour écouter légalement 1000 fois votre artiste préféré sur S█████. Enfin, “légalement” au sens où S█████ l’entend, parce qu’avec 0,005$ par stream en moyenne, on peut difficilement parler d’un modèle équitable. C’est cette réflexion qui m’amène à vous parler aujourd’hui de Spotizerr.
L’idée derrière Spotizerr est assez maligne puisque ça consiste à utiliser l’excellente interface de recherche de S█████ pour trouver vos morceaux, puis à les télécharger depuis D████ en priorité pour obtenir du FLAC, avec un fallback sur S█████ si nécessaire. Le développeur Xoconoch ne cache pas son approche pragmatique dans le README où il écrit : “Supportez vos artistes directement (merch, concerts, dons), et considérez que 5$ leur permettent de compenser 1000 écoutes”. C’est le strict minimum éthique selon lui.
Techniquement, ce qui distingue Spotizerr des autres solutions comme Spotizer (notez la différence d’orthographe), c’est son approche vraiment orientée self-hosting avec une interface web progressive (PWA). Vous pouvez l’installer comme une app native sur mobile ou desktop, avec des thèmes clairs/sombres, et surtout un système de monitoring intelligent qui surveille automatiquement vos playlists et artistes favoris pour télécharger les nouveautés.
Le système de queue est particulièrement bien pensé : téléchargements concurrents configurables, mises à jour en temps réel via Server-Sent Events, prévention automatique des doublons, et persistance de la queue même après un redémarrage du navigateur. Vous pouvez télécharger des tracks individuels, des albums complets, des playlists entières (même celles avec plus de 1000 morceaux), ou carrément la discographie complète d’un artiste avec des options de filtrage.
Pour l’installation, c’est du Docker classique et il vous faudra créer un fichier .env (basé sur l’exemple fourni), configurer vos identifiants Redis, PUID/PGID, UMASK, et lancer le docker-compose. Pour S█████, le développeur recommande d’utiliser son outil spotizerr-auth sur un PC avec le client S█████ installé pour simplifier l’authentification. Pour D████, il suffit de récupérer le cookie “arl” depuis votre navigateur (F12 → Application/Storage → Cookies → copier la valeur “arl”).
Le support multi-utilisateurs est intégré avec authentification JWT, SSO via Google et GitHub, et un panneau d’administration pour gérer tout ce petit monde. L’historique des téléchargements est complet avec métadonnées, analytics de succès/échec, recherche et filtrage, et même l’export des données avec les IDs des services externes.
Au niveau configuration audio, vous pouvez définir la qualité par service (avec les limitations selon votre type de compte), convertir vers MP3, FLAC, AAC, OGG, OPUS, WAV ou ALAC dans différents bitrates, personnaliser les patterns de nommage des fichiers et dossiers, et même filtrer le contenu explicite si nécessaire.
Notez qu’au niveau des rémunération d’artistes, le champion c’est Qobuz qui paie jusqu’à 0,03€ par stream, soit près de dix fois plus que S█████. Apple Music fait un peu mieux avec 0,007 à 0,01€ par stream, tandis que YouTube Music reste le cancre avec 0,0008€ par stream. Pendant ce temps, Amazon, Tidal et D████ proposent du FLAC en standard, alors que S█████ résiste encore et toujours sur la qualité audio haute définition.
Le système de surveillance de Spotizerr est vraiment pratique puisqu’il vous permet de configurer des intervalles de vérification, d’ajouter des playlists ou des artistes à surveiller, et les nouveaux contenus sont automatiquement téléchargés. Pour une discographie complète, vous sélectionnez les types de releases (albums, singles, compilations) et tout est mis en queue automatiquement.
Le projet est basé sur la bibliothèque deezspot et reste dans une zone grise légale. Le développeur est transparent là-dessus : c’est pour un usage éducatif et personnel, respectez les conditions d’utilisation des services et les lois sur le copyright de votre pays. Les fichiers téléchargés conservent les métadonnées originales, et les limitations s’appliquent selon votre type de compte.
Bref, pour ceux qui cherchent une solution self-hosted complète pour gérer leur bibliothèque musicale, Spotizerr s’intègre bien dans un stack avec Lidarr pour la gestion de collection et Navidrome pour le streaming. C’est une approche qui permet de garder le contrôle sur sa musique tout en profitant des catalogues des services de streaming.
Et oui, j’ai caviardé un peu l’article parce que ça m’amusait de rajouter un peu de mystère ^^.
Un logiciel qui survit depuis plus de 16 ans, c’est assez rare. Surtout quand c’est maintenu par un seul développeur qui depuis tout ce temps refuse catégoriquement d’ajouter de la pub et qui continue de faire évoluer son outil mois après mois. Ce logiciel c’est File & Image Uploader développé par Zoom et qui me rappelle cette époque bénie où les développeurs créaient des outils juste parce qu’ils en avaient besoin, et pas pour lever des millions en série A.
Ce qui m’a d’abord plu sur ce site d’une autre époque, c’est ce petit message tout en bas qui dit : “If you don’t like it, don’t use it.” C’est cool de voir un dev qui assume complètement son projet et qui ne cherche pas à plaire à tout le monde. Et vous savez quoi ? Ça marche puisque le logiciel supporte aujourd’hui plus de 700 services différents, de Google Drive à des hébergeurs dont vous n’avez probablement jamais entendu parler comme filearn.top ou tubearn.top.
Pendant que WeTransfer fait polémique avec ses nouvelles conditions d’utilisation autorisant l’exploitation des fichiers par IA (avant de faire marche arrière face au tollé), et pendant que Gofile limite toujours ses options gratuites, zoo_m continue tranquillement son chemin. Le développeur ne demande rien, ne collecte rien, ne revend rien. Il code, il publie, point.
Le truc vraiment intéressant c’est le support des uploads resumables. Zoom le fait depuis des années pour ses 700 services différents comme ça si votre connexion plante au milieu d’un upload de 10 GB vers Dropbox, pas de panique, vous reprenez exactement où vous en étiez. Et contrairement aux interfaces web qui rament avec plusieurs fichiers, ici vous pouvez lancer des uploads parallèles vers différents services simultanément. C’est un peu l’opposé à JDownloader.
Il existe plein de services web qui font pareil, mais j’aime bien l’idée d’avoir un vrai logiciel qui transforme votre PC en centrale d’upload, comme un point de repère, un phare bravant l’océan du cloud (oui, je suis d’humeur poète). Et sur lequel vous pouvez glisser vos fichiers, choisir vos destinations (oui, au pluriel), et qui se débrouille comme un chef. Pas de limite artificielle, pas de restrictions de format, pas de serveur surchargé. D’après le site officiel, c’est généralement bien plus rapide que les interfaces web parce que le logiciel optimise les connexions et évite tout le JavaScript inutile qui plombe les navigateurs.
Alors oui, l’interface n’est pas aussi léchée qu’un produit Adobe, oui, il faut lire la documentation (quelle idée bizarre en 2025 ^^), mais si vous cherchez un outil qui fait exactement ce qu’il promet sans arrière-pensées commerciales, sans tracking, sans ces formules creuses qu’on voit partout, File & Image Uploader est probablement ce qui se rapproche le plus de l’idéal du freeware tel qu’on l’imaginait dans les années 2000.
Le développeur précise d’ailleurs qu’il accepte les suggestions et peut ajouter de nouveaux services sur demande. Pas via un formulaire Google qui finira dans les limbes, mais directement via le menu Help du logiciel.
Voilà, pour ceux que ça intéresse, le logiciel est dispo en version portable (pas d’installation requise) et tourne sur Windows. Il existe des versions 32 et 64 bits, et apparemment ça fonctionne aussi sous Wine pour les linuxiens motivés. Cependant pas de version Mac et vu la philosophie du projet, je doute que ce soit dans les priorités.
