Ah Facebook… Vous savez quoi ? J’ai arrêté d’y poster mes news il y a un moment déjà parce que les gens qui prennent encore le temps d’y commenter ne sont pas toujours très “fut-fut” comme on dit. Et manifestement, les escrocs l’ont bien compris parce qu’ils s’en donnent à cœur joie avec leurs nouvelles techniques de malware planqués notamment dans des images.

Car la dernière trouvaille des cybercriminels, c’est de cacher du code malveillant dans des fichiers SVG partagés via des posts Facebook à thématique adulte. C’est brillant, non ?

Le SVG, contrairement au JPEG de tata Ginette, c’est du XML qui peut embarquer du HTML et du JavaScript. Du coup, vous cliquez sur l’image de la fausse célébrité à oualpé, et vous voilà avec un petit Trojan.JS.Likejack qui force votre navigateur à liker des pages Facebook sans que vous vous en rendiez compte.

Le plus drôle dans tout ça c’est que les hackers utilisent une technique appelée “hybrid JSFuck” pour masquer leur code. C’est une forme d’obfuscation qui encode le JavaScript en utilisant seulement six caractères : “[ ] ( ) ! +”. Du grand art pour piéger les grands naïfs qui traînent encore sur la plateforme de Zuckerberg.

Mais attendez, ça devient encore mieux puisqu’une étude d’Harvard révèle que les escrocs utilisent l’IA générative pour créer de fausses images… et ça cartonne énormément sur Facebook. Je vous parle quand même de centaines de millions d’engagements. Par exemple, avec une seule image générée par IA, un escroc a récolté 40 millions de vues. QUARANTE MILLIONS SUR UNE FAUSSE IMAGE !!! Et le pire c’est que la plupart des utilisateurs ne se rendent même pas compte que ces images sont bidons.

Les commentaires sous ce genre de posts sont également à mourir de rire. Des gens félicitent des enfants générés par IA pour leurs peintures générées par IA. D’autres envoient leurs infos personnelles à des comptes d’arnaqueurs pour acheter des produits qui n’existent pas. C’est beau la crédulité humaine, vraiment.

Et devinez qui tombe le plus dans le panneau ?

Les utilisateurs plus âgés, évidemment. Ceux qui tapent encore “www” avant chaque URL et qui pensent que le bouton “J’aime” est une forme de cyber-politesse.

D’ailleurs, en parlant d’arnaque sophistiquée, il y a aussi cette campagne de fausses pubs Facebook pour Kling AI qui distribue un RAT (Remote Access Trojan) appelé PureHVNC. Les victimes cliquent sur une pub pour un outil d’IA, et hop, les hackers ont accès complet à leur système et peuvent voler leurs identifiants et leurs cryptos. Et toute cette merde est amplifiée par l’algorithme de Facebook lui-même.

Car oui, la plateforme recommande activement ces contenus bidons parce qu’ils génèrent de l’engagement. L’algorithme voit des clics, des likes, des commentaires de gens crédules, et amplifie automatiquement ce contenu. C’est le cercle vicieux parfait où la stupidité nourrit l’arnaque qui nourrit l’algorithme qui nourrit la stupidité…etc.

Concernant ces images SVG vérolées, les sites malveillants sur lesquels tombent les victimes sont souvent hébergés sur Blogspot / WordPress. Ils promettent ainsi des photos explicites de stars (générées par IA bien sûr) et utilisent ces appâts pour installer leurs saloperies de malware. Et comme Edge sous Windows ouvre automatiquement les fichiers SVG, même si vous avez un autre navigateur par défaut, c’est super pratique pour les hackers… et moins pour les victimes.

Donc, si vous êtes encore sur Facebook en 2025 et que vous cliquez sur des images de célébrités à poil ou des posts d’enfants miraculeux qui peignent des chefs-d’œuvre, vous méritez presque ce qui vous arrive. C’est devenu un repaire d’escrocs qui exploitent la naïveté des derniers utilisateurs encore actifs. Entre les boomers qui partagent des fake news et les arnaqueurs qui déploient des malwares sophistiqués, Facebook c’est vraiment devenu le fond de poubelle d’Internet.

Donc mon conseil c’est que si vous tenez absolument à rester sur cette plateforme moribonde, apprenez au moins à reconnaître une image générée par IA, à travailler votre esprit critique et méfiez-vous des fichiers SVG comme de la peste. Et surtout, arrêtez de cliquer sur tout ce qui brille et de croire tout ce qui y est écrit. Internet, ce n’est pas un sapin de Noël magique.

Source

Vous connaissez les fortunes ? Mais siii, ce sont petites citations aléatoires qui s’affichent dans le terminal ! Eh bien figurez-vous que Debian a décidé de faire le grand ménage dans les versions “offensantes” de ces paquets. Et forcément, ça fait des vagues.

L’histoire a commencé avec deux bug reports (#1109166 et #1109167) déposés par Andrew M.A. Cater qui a tout simplement demandé la suppression pure et simple des paquets fortunes-es-off (la version espagnole) et fortunes-it-off (la version italienne), arguant que ces blagues n’avaient “aucune place dans Debian”. Et c’est là, que c’est parti en cacahuète.

D’un côté, il y a donc Agustin Martin qui maintient le paquet espagnol depuis des années et qui nous explique qu’il a déjà fait un sacré tri en virant les trucs vraiment violents, et que ce qui reste c’est de l’humour qui peut choquer certaines personnes “avec un seuil de tolérance bas”. Et de l’autre, Salvo Tomaselli qui gère la version italienne et qui n’était vraiment pas content qu’on lui demande de supprimer son paquet en pleine période de freeze.

Alors quand le contributeur NoisyCoil a analysé le contenu du paquet italien et y a trouvé des citations qui appellent explicitement à la violence contre les femmes, du genre, des trucs qui disent que les femmes devraient être battues régulièrement, c’était plus possible !

Là, on n’était clairement plus dans l’humour douteux mais dans quelque chose de beaucoup plus problématique.

Paul Gevers de l’équipe de release Debian a donc tranché en déclarant que “les versions offensantes des paquets fortune n’ont plus leur place dans Debian”. Une décision qui fait écho à ce qui s’était déjà passé avec la version anglaise fortunes-off, supprimée il y a déjà quelques années.

Ce qui est intéressant, je trouve, dans cette histoire, c’est de voir comment une communauté open source gère ce genre de tensions car d’un côté, vous avez cette “tradition” de la liberté totale, et de l’autre, la volonté de créer un environnement inclusif.

Mais bon, au final, Tomaselli a cédé et supprimé les paquets offensants notant avec une pointe d’ironie dans le changelog que c’était dû à des “bug reports bien synchronisés de l’équipe de release pendant la période de freeze”.

Alors est-ce qu’on doit tout accepter au nom de la liberté ? Ou est-ce qu’il y a des limites à ne pas franchir ?

Perso, je pense qu’entre une blague de mauvais goût et un appel à la violence contre les femmes, il y a quand même une sacrée différence. Mais bon visiblement, tout le monde n’est pas d’accord là-dessus… Certes les mentalités évoluent dans le bon sens, mais il y en a qui évoluent moins vite que les autres (voire qui sont encore bloqués dans les années 50…).

Bref, ce qui est sûr, c’est que tant que certains n’auront pas compris que discriminer des gens déjà fortement discriminés, ce n’est pas de l’humour mais de la violence, alors ce genre de débat continuera à agiter le monde du libre !

Source

Mais bordel, on attend quoi pour se réveiller en France ?

Microsoft vient littéralement d’avouer devant le Sénat français qu’ils ne pouvaient PAS garantir que nos données restent bien chez nous. Et cela sous serment devant nos sénateurs probablement en pleine digestion.

Et on fait quoi ? Et bah RIEN.

C’était le 18 juin dernier, qu’Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a été auditionné par la commission d’enquête sénatoriale sur la commande publique. La question était simple : “Pouvez-vous nous garantir, sous serment, que les données des citoyens français ne peuvent pas être transmises au gouvernement américain sans l’accord explicite du gouvernement français ?”

Sa réponse ?

“Non, je ne peux pas le garantir.” BOUM. Voilà. C’est dit. Mais bon, apparemment à par moi, ça ne dérange personne.

Le Cloud Act, cette loi américaine de 2018, donne en effet le pouvoir au gouvernement US de récupérer TOUTES les données stockées par des entreprises américaines. Peu importe où elles sont physiquement.

Vos données médicales chez Microsoft Azure en France ? Les Américains peuvent les demander. Vos documents administratifs sensibles ? C’est pareil. Vos secrets industriels ? Allez, cadeau ! Et le pire dans tout ça c’est qu’on le sait depuis des années. Le Cloud Act est incompatible avec le RGPD européen puisque l’article 48 du RGPD dit clairement qu’aucune décision d’une juridiction étrangère ne peut forcer le transfert de données sans accord international. Mais le Cloud Act s’en tape royalement.

Et pendant ce temps, qu’est-ce qu’on fait en France ? Et bien on signe des contrats à 74 millions d’euros avec Microsoft pour l’Éducation nationale. On leur confie les données de santé des Français via le Health Data Hub. On migre nos administrations sur Microsoft 365. C’est du suicide de nos données personnelles, purement et simplement.

Et les excuses de Microsoft sont pathétiques : “On résiste aux demandes infondées”, “On demande à rediriger vers le client”…etc. Mais à la fin, s’ils reçoivent une injonction légale américaine, ils DOIVENT obéir. Point final.

Et ne me sortez pas l’argument du “ça n’est jamais arrivé” car c’est exactement ce qu’on disait avant Snowden, avant PRISM, bref, avant qu’on découvre l’ampleur de la surveillance américaine ou encore de l’existence des tribunaux secrets. Donc le fait que ça ne soit pas encore arrivé ne veut pas dire que ça n’arrivera pas. Surtout avec Trump au pouvoir.

La solution existe pourtant… Des hébergeurs français, des clouds européens : OVH, Scaleway, et des dizaines d’alternatives qui ne sont PAS soumises au Cloud Act. Mais non, on préfère donner nos millions à Microsoft parce que c’est “plus pratique” ou que parce que “tout le monde fait ça”.

Alors c’est quoi la prochaine étape du coup ? On va attendre qu’un scandale éclate ? Que les données médicales de millions de Français se retrouvent entre les mains de la NSA ? Que des secrets industriels français soient “mystérieusement” récupérés par des concurrents américains ? AWS et Google font exactement la même chose d’ailleurs. Ils tentent de nous rassurer avec leurs “clouds souverains” mais c’est du pipeau car tant qu’ils sont américains, ils sont soumis au Cloud Act, c’est aussi simple que ça.

Ce qui me rend dingue, c’est qu’on a TOUTES les cartes en main. L’Europe est un marché énorme et on pourrait imposer nos conditions, exiger de vraies garanties, développer nos propres solutions…etc… Mais non, on préfère se coucher devant les GAFAM et devant les Etats-Unis.

Il est temps je pense de dire STOP et d’arrêter ces contrats débiles avec des entreprises qui ne peuvent même pas garantir la protection de nos données. Ce serait bien de soutenir les acteurs européens du cloud, de respecter l’article 48 du RGPD et de commencer à construire notre souveraineté numérique au lieu de la brader. Parce que là, on est en train de donner les clés de la maison à des gens qui nous disent en face qu’ils pourront les filer à leur gouvernement quand il le demandera.

C’est complètement con, non ?

Source : The Register

Hier, j’ai reçu un petit mail d’un lecteur qui m’a fait ma journée ! Johan, un dev français vient de sortir un truc de malade pour remplacer Nextcloud. C’est pareil mais codé en TypeScript au lieu du PHP vieillissant, et surtout c’est pensé dès le départ pour la souveraineté des données.

Car Johan en avait marre de dépendre de clouds propriétaires où on est le produit, alors il a créé sa propre solution.

Sync-in, c’est donc une plateforme complète pour stocker, partager et synchroniser vos fichiers, mais avec une approche moderne. Exit le PHP qui rame et les failles de sécurité à répétition de Nextcloud et OwnCloud. Ici, tout est développé en TypeScript avec Node.js, ce qui donne une application beaucoup plus rapide et stable.

Les fonctionnalités sont vraiment bien pensées car vous avez des espaces collaboratifs où chaque équipe peut bosser de manière autonome avec des permissions ultra-fines. Vous pouvez ainsi définir qui a accès à quoi, jusqu’au niveau du fichier individuel ce qui parfait pour les boîtes qui veulent compartimenter leurs données.

La synchronisation desktop est disponible pour Windows, macOS et Linux et vous pouvez vous connecter à plusieurs serveurs Sync-in en même temps. C’est donc super pratique si vous avez un serveur perso et un pro. Les options de sync sont aussi faites aux petits oignons avec la possibilité de choisir la direction, la fréquence, et même un mode simulation pour tester avant de tout synchroniser.

Pour le partage, c’est aussi du grand art puisque vous pouvez créer des liens sécurisés avec mot de passe, date d’expiration, limite d’accès… Tout ce qu’il faut pour garder le contrôle sur vos documents. Et pour les invités externes, pas besoin qu’ils créent un compte complet, vous pouvez juste leur donner un accès temporaire uniquement pour un projet spécifique.

Sync-in intègre aussi une recherche full-text qui indexe le contenu de tous vos documents comme ça, c’est fini de chercher pendant des heures ce PDF où vous aviez noté une info importante. La recherche trouve même ce que vous voulez dans le contenu des fichiers Office, PDF, HTML… C’est complètement dingue !

L’intégration d’OnlyOffice permet également d’éditer des documents directement en ligne, en collaboration temps réel. Comme Google Docs, mais sur votre propre serveur. Et bien sûr, tout reste compatible avec les formats Microsoft Office.

Pour les geeks comme nous, il y a aussi le support WebDAV comme ça, vous pouvez monter vos espaces Sync-in comme des disques réseau, que ce soit depuis l’explorateur Windows, le Finder macOS, ou même votre smartphone. Pratique pour bosser avec vos outils habituels sans changer vos habitudes.

Niveau cas d’usage, c’est vraiment pensé pour tout le monde. Les collectivités peuvent l’utiliser pour stocker des documents sensibles avec une traçabilité complète. Les boîtes du BTP peuvent accéder aux plans directement sur les chantiers. Les avocats et notaires adorent pour la confidentialité. Et même les ONG qui bossent dans des zones avec peu de connexion peuvent synchroniser en différé.

Johan a même pensé aux admins sys avec une CLI pour automatiser les synchros dans des scripts. Et pour ceux qui veulent tester avant de se lancer, il y a une démo en ligne sur demo.sync-in.com avec les identifiants demo/demo.

Bien sûr, c’est encore un projet jeune et Johan est le seul développeur pour l’instant, mais il espère mobiliser une communauté qui l’aidera. Le code est sur GitHub et il accueille les contributions avec plaisir. Il traîne aussi sur le Discord du projet si vous voulez échanger avec lui.

En tout cas, ça fait plaisir de voir des projets français de cette qualité. On a tendance à toujours regarder ce qui se fait aux US, mais là, on a un outil souverain, moderne et bien fichu donc si vous cherchez une alternative à Nextcloud qui ne vous fera pas arracher les cheveux à chaque mise à jour, foncez tester Sync-in.

Source

Vous savez ce qui manquait vraiment à Internet ? La possibilité de coller un Mac System 1.0 de 1984 dans n’importe quelle page web. Et bien c’est maintenant possible grâce à Mihai Parparita, le génie derrière Infinite Mac, qui vient de sortir une fonctionnalité qui va faire kiffer tous les nostalgiques et les passionnés d’histoire informatique.

Son projet, qui permet déjà d’émuler tous les Mac OS de 1984 à 2005 directement dans le navigateur, peut maintenant être intégré dans n’importe quelle page web. Genre comme une vidéo YouTube, mais avec un Mac dedans.

En 2005, quand j’ai mis en place Google Adsense, c’était magique. Sans rien faire, je gagnais quelques euros par mois avec mon site et pour la première fois, je me suis dit que je pourrais peut-être un jour en vivre. Ces bannières pub, ça a ouvert beaucoup de possibilités à pas mal de monde, car on pouvait enfin vivre (ou arrondir les fins de mois) grâce à son site web sans que ce soit compliqué.

Si vous ne le connaissez pas encore, MatterV est un hyperviseur open-source qui permet de faire tourner vos VMs VMware sans rien changer à votre vie, ce qui va vous éviter de vous faire saigner par Broadcom.

Car oui, les hausses tarifaires VMware atteignent des sommets de +800% à +1500% depuis le rachat par Broadcom, et MatterV débarque au bon moment avec une promesse technique qui va faire rêver tous les admins système : Être le premier hyperviseur au monde capable de faire tourner vos machines virtuelles VMware sans aucune modifications sur celles-ci.

Vous pensiez être invisible en mode incognito avec votre VPN ?

Et bien Meta vient de nous prouver que vous étiez aussi discret qu’un rhinocéros dans un magasin de porcelaine. En effet, leur dernière trouvaille technique transforme votre smartphone en mouchard et cette fois, ça pourrait leur coûter la bagatelle de 32 milliards d’euros d’amende.

L’affaire a éclaté en juin 2025 quand une équipe de cinq chercheurs a révélé au grand jour le “localhost tracking” de Meta. Tim Vlummens, Narseo Vallina-Rodriguez, Nipuna Weerasekara, Gunes Acar et Aniketh Girish ont découvert que Facebook et Instagram avaient trouvé le moyen de contourner toutes les protections d’Android pour vous identifier, même quand vous faites tout pour rester anonyme. VPN activé, mode incognito, cookies supprimés à chaque session… Meta s’en fichait complètement.

Vous savez ce qui m’énerve plus que les développeurs qui utilisent “!important” sur chaque ligne de leur CSS ?

Ce sont les website builders qui vous arnaquent avec leurs “plans gratuits” bourrés de pubs. Mais heureusement, Mozilla a sorti en fin d’année dernière Solo, un créateur de sites IA qui vous offre VRAIMENT tout gratis, domaine personnalisé inclus. L’organisation derrière Firefox s’attaque donc frontalement au marché des “constructeurs de site web” dominé par Wix (1,76 milliard de dollars de revenus en 2024) et Squarespace (1,01 milliard en 2023).

Quand vous tapez korben.info dans votre navigateur, il se passe un petit truc aussi sympa qu’indispensable : votre DNS transforme ce nom en adresse IP. Le problème, c’est que c’est souvent Google (8.8.8.8) ou Cloudflare (1.1.1.1) qui s’en occupe… et donc qui sait tout de vos habitudes. Heureusement, l’Europe vient de dire stop à cette dépendance avec DNS4EU, son propre résolveur DNS qui promet de garder vos données chez nous.