Vous scrollez tranquillement r/rance à 2h du mat’ pour tuer le temps avant de dormir, vous lisez quelques posts, regardez des memes, rigolez sur un truc débile. Mais savez-vous que Reddit enregistre chaque post que vous lisez, chaque image que vous ouvrez, chaque seconde que vous passez sur chaque thread ? Et ça, ils le font même si vous n’avez pas de compte y compris si vous êtes en navigation privée.

Bienvenue dans le monde merveilleux du tracking obligatoire !

Heureusement, pour lutter contre ça, sans se priver de Reddit, il existe Redlib , un front-end alternatif open source, codé en Rust, qui va vous permettre de lire Reddit sans que Reddit ne sache que vous existiez. Pas d’inscription, pas de JavaScript, pas de pubs, pas de tracking. Vous remplacez juste “reddit.com” par “redlib.tiekoetter.com” dans l’URL et hop, vous avez le même contenu sans la surveillance.

D’ailleurs, petite histoire rapide pour comprendre pourquoi Redlib existe…

En 2023, Reddit a décidé de tuer toutes les apps tierces populaires comme Apollo ou BaconReader en rendant son API hors de prix. Le vrai objectif n’était pas de monétiser l’API, mais plutôt de forcer tout le monde à passer par leur app officielle bourrée de trackers et de pubs. À cette époque, il existait Libreddit, un projet similaire à Redlib qui permettait de lire Reddit en privé mais Reddit a commencé à imposer des rate limits agressifs qui ont tué Libreddit… Projet tragiquement décédé, fin de l’histoire…

Sauf que non. Un dev a décidé de ressusciter Libreddit sous un nouveau nom : Redlib. Et là, coup de génie technique, au lieu de se connecter normalement à l’API Reddit, Redlib utilise une technique appelée OAuth token spoofing.

En gros, Redlib se fait passer pour l’application officielle Android de Reddit. Il envoie les mêmes headers HTTP, utilise les mêmes tokens d’authentification, et imite le comportement de l’app officielle. Du coup, Reddit pense que c’est son app qui fait des requêtes, et laisse tout passer sans bloquer. Alors évidemment, la première question qui vous vient surement c’est : Est ce légal ??

Et bien comme pour toutes les bonnes choses de la vie, techniquement, on est dans une “zone grise”. Mais après éthiquement parlant, vous lisez du contenu public que les gens ont posté gratuitement sur une plateforme publique, donc j’imagine que pour le concepteur de Redlib, y’a pas mort d’homme.

Donc pour utiliser Redlib, vous avez donc cette instance publique redlib.tiekoetter.com qui vous permet de libérer n’importe quel lien Reddit. Mais pour les plus geeks d’entre vous, ceux qui sont à fond dans l’auto-hébergement parce qu’ils ont beaucoup de temps libre (lol), vous pouvez le mettre en place chez vous également avec Docker. Le repo GitHub explique tout, c’est assez rapide à mettre en place.

La différence avec l’expérience Reddit normale est d’ailleurs flagrante car sur reddit.com, vous êtes bombardé de popups “Install our app”, de bannières de cookies, de pubs…etc. Le site est lourd, lent, et essaie constamment de vous pousser vers l’app mobile alors qu’au contraire, sur Redlib, c’est du contenu pur et dur. Pas de JavaScript, pas de popups, juste les threads et les commentaires. Et c’est super rapide !! Même les images passent par le serveur Redlib, donc Reddit ne voit jamais votre IP quand vous chargez une photo.

Maintenant, faut quand même savoir que Reddit n’est pas content de cette situation. Ils essaient régulièrement de bloquer les instances Redlib en bannissant des adresses IP. C’est pour cela que certaines instances publiques rencontrent parfois des erreurs du style “Failed to parse page JSON data”, mais la communauté Redlib réagit en général très vite, change d’IP, ajuste les tokens OAuth, et le service repart.

Bref, je vous conseille de tester, surtout si vous en avez marre de vous faire harceler par des messages vous incitant à installer l’app mobile.

Reddit, c’est bien mais Reddit sans surveillance, c’est mieux !

Vous avez un site WordPress et vous voulez ajouter de l’IA dedans ?

Alors pour faire ça, vous installez un super plugin qui utilise ChatGPT. Parfait ! Sauf que 2 mois après, vous découvrez l’existence d’un nouvelle version de Claude qui est bien meilleure. Ou Gemini sort une fonctionnalité que vous voulez absolument..

Mais bon, votre plugin est marié avec OpenAI, et impossible de divorcer. Du coup, vous êtes coincé. Bienvenue dans le grand bordel de l’IA, où chaque outil parle sa propre langue et refuse de discuter avec les autres.

Heureusement, WordPress vient de sortir un truc qui pourrait bien changer tout ça. En gros, ils ont créé trois outils qui fonctionnent ensemble pour transformer WordPress en “traducteur universel” pour les IA. Ça s’appelle l’Abilities API, le PHP AI Client SDK, et le support du MCP (Model Context Protocol).

D’après l’annonce officielle sur Make WordPress , l’idée c’est donc de créer un registre central où toutes les capacités de WordPress sont décrites de manière lisible par les machines. Jonathan Bossenger explique que l’Abilities API ne se limite pas à découvrir les capacités du site, mais gère aussi les permissions et l’exécution de manière sécurisée. Votre site peut dire à une IA “Voilà ce que je sais faire, voilà ce que tu peux toucher, et voilà comment tu exécutes ça”.

// N'importe quel plugin peut enregistrer ses capacités avec le hook `init`.
wp_register_ability( 'my-seo-plugin/analyze-content-seo', [
 'label' => __( 'Analyser le SEO du contenu', 'my-seo-plugin' ),
 'description' => __( 'Analyse le contenu de l\'article pour améliorer le SEO.', 'my-seo-plugin' ),
 'thinking_message' => __( 'Analyse de votre contenu en cours !', 'my-seo-plugin' ),
 'success_message' => __( 'Contenu analysé avec succès.', 'my-seo-plugin' ),
 'execute_callback' => [ 'MySEOPlugin', 'analyze_content' ],
 'input_schema' => [
 'type' => 'object',
 'properties' => [
 'post_id' => [
 'type' => 'integer',
 'description' => __( 'L\'identifiant de l\'article.', 'my-seo-plugin' ),
 'required' => true
 ],
 ],
 'additional_properties' => false,
 ],
 'output_schema' => [
 'type' => 'number',
 'description' => __( 'Le score du contenu en pourcentage.', 'my-seo-plugin' ),
 'required' => true,
 ],
 'permission_callback' => 'edit_posts',
] );

Xerox m’a gentiment envoyé leur imprimante multifonction C235 à tester et franchement, je dois avouer que je ne m’attendais pas à ce qu’une imprimante me fasse encore de l’effet en 2025. Mais bon, vu que j’imprime encore pas mal de trucs et que mon ancienne commençait à rendre l’âme, autant vous faire un retour complet.

La C235, c’est donc une laser multifonction couleur qui fait tout : impression, scanner, photocopieuse et même fax si vous êtes du genre nostalgique. C’est compact, ça tient dans 41 x 39 x 34 cm pour environ 20 kg , donc vous pouvez la caser dans un bureau sans qu’elle squatte toute la place. Elle crache du 24 pages par minute en noir comme en couleur, ce qui reste très correct pour un usage domestique ou une petite structure.

Ce que j’ai kiffé d’entrée, c’est l’installation. Vous branchez le câble USB, Ethernet ou vous la connectez en Wi-Fi, et en quelques minutes c’est plié. Xerox a également bien bossé l’interface, avec un écran tactile couleur de 2,4 pouces qui rend la navigation plutôt intuitive. Pas besoin de sortir le manuel de 200 pages pour comprendre comment lancer une impression recto-verso ou scanner un document. D’ailleurs, le recto-verso automatique, ça change la vie quand vous imprimez des dossiers de plusieurs pages. Puis ça économise du papier et du temps.

Le scanner intégré possède un chargeur automatique de 50 feuilles, ce qui est bien pratique pour numériser des piles de documents. Par contre, petite déception : le chargeur automatique ne gère pas le recto-verso. Du coup, si vous voulez scanner les deux faces d’une pile de feuilles, il faudra retourner le tas à la main et relancer le scan. C’est un peu dommage sur une machine de ce standing, mais bon, on fait avec…

Côté qualité d’impression, rien à redire. Le rendu laser est net, précis, les couleurs sont fidèles sans être ultra-saturées. Je n’ai jamais eu d’imprimantes lasers et je peux vous dire que ça n’a rien à voir avec les jets d’encre ! Pour des documents pros, des présentations ou même des photos imprimées sur du papier correct, ça fait le job sans broncher.

La première page sort même en moins de 11 secondes, ce qui évite d’attendre comme un idiot devant l’imprimante en se demandant si elle a bien reçu le fichier. Et surtout, la compatibilité est au rendez-vous : AirPrint pour les fans d’Apple, Mopria pour les Android, Chromebook aussi, et bien sûr le bon vieux Wi-Fi Direct si vous voulez imprimer directement depuis votre smartphone sans passer par le réseau. Xerox a pensé à tout le monde, et ça, c’est appréciable.

Bon, maintenant parlons du point qui fâche : les consommables. Xerox fournit des toners “starter” qui tiennent environ 500 pages donc autant dire que si vous imprimez régulièrement, vous allez vite devoir racheter des cartouches. Et là, selon les retours utilisateurs sur Amazon et autres sites, le prix des toners peut vite piquer. C’est le classique piège des imprimantes : la machine coûte environ 300 euros, mais il faut bien calculer le coût à la page sur le long terme. Si vous imprimez beaucoup, ça peut vite chiffrer.

Autre petit détail qui aurait pu être mieux : la capacité du bac papier. Avec un magasin de 250 feuilles et un chargeur manuel d’une feuille, c’est correct pour un usage modéré, mais si vous êtes une petite boîte qui imprime des centaines de pages par semaine, vous allez recharger souvent. Rien de rédhibitoire cela dit, mais c’est bon à savoir.

Au final, la Xerox C235 se révèle être une excellente machine pour qui cherche une imprimante multifonction fiable et compacte. Elle fait le boulot proprement, l’installation est rapide, la qualité d’impression au rendez-vous et les fonctionnalités sont complètes. J’ai été également super surpris par le peu de bruit qu’elle fait. C’est assez agréable… Sans oublier le recto-verso automatique et la connectivité sans fil sont des vrais plus, je trouve.

Bref, pour un bureau à domicile ou une petite équipe qui a besoin d’une imprimante qui tient la route sans se prendre la tête, c’est un excellent choix !

Page officielle Xerox C235

Un journaliste de la BBC a reçu une proposition de Medusa pour devenir leur taupe. En effet, Joe Tidy, correspondant cyber sécurité à la BBC, a été contacté en juillet 2024 par le groupe de ransomware russe pour qu’il leur file des infos sur ses collègues. Leur proposition : 600 000 livres sterling sur la table, soit environ 715 000 euros !! Je connais quelques journalistes français sous-payés qui adoreraient recevoir une telle proposition ^^

Medusa (à ne pas confondre avec MedusaLocker, c’est important) opère depuis 2021 et a déjà fait plus de 300 victimes selon les données officielles . Leur mode opératoire ? Le classique double chantage : ils chiffrent vos données ET menacent de les publier si vous ne payez pas. Les rançons vont de 100 000 dollars à 15 millions selon la taille de la victime. C’est le business !

Ce qui rend cette histoire complètement dingue, c’est que Medusa a vraiment cru pouvoir retourner un journaliste de la BBC. Le message initial de “mediaman” (subtil comme pseudo) disait texto : “Si vous pouviez nous fournir des détails sur les vulnérabilités, mots de passe ou accès à l’infrastructure BBC, nous pourrions travailler ensemble.” Autant demander à un pompier de mettre le feu à sa caserne.

Le plus drôle dans tout ça, c’est leur approche… D’après l’enquête de Joe Tidy lui-même , le contact initial s’est fait par email en juillet, suivi d’une attaque MFA bombing en août. Pour ceux qui ne connaissent pas, le MFA bombing c’est quand les hackers spamment votre téléphone de demandes d’authentification jusqu’à ce que vous craquiez et cliquiez sur “Accepter” par erreur ou parce que vous n’en pouvez plus… Sauf que Joe a reconnu ce schéma d’attaque et n’a jamais validé la demande.

Alors près avoir échoué à le hacker directement, Medusa a tenté l’approche “soft” avec une offre d’emploi. Ils lui ont proposé de devenir leur informateur privilégié, de balancer les vulnérabilités de la BBC, en échange d’un petit pot-de-vin… Le groupe lui a même envoyé des “preuves” de leur sérieux en partageant des données volées à d’autres victimes. Genre “regarde, on est des vrais méchants, on a de l’argent”.

Faut dire que cette tactique d’approche directe des employés devient de plus en plus courante. Hé oui, pourquoi s’embêter à craquer des systèmes complexes quand on peut simplement acheter quelqu’un de l’intérieur ? C’est le principe du maillon faible, mais sans Laurence Boccolini ^^ (oui, j’ai encore mangé un clown).

D’ailleurs, petite parenthèse technique : Medusa utilise un ransomware-as-a-service (RaaS) classique. Les développeurs créent le malware, les affiliés le déploient, et tout le monde se partage les gains. Le groupe opère depuis des serveurs russes et utilise Tor pour ses communications et ils ont même un blog sur le dark web où ils publient les données des victimes qui refusent de payer. C’est charmant.

Ce qui m’impressionne vraiment dans cette histoire, c’est le culot astronomique (qui a dit “la connerie” ?) des hackers… Contacter directement un journaliste cyber de la BBC pour lui proposer de devenir une taupe, fallait oser. Leur niveau de déconnexion avec la réalité est stratosphérique.

Joe Tidy a évidemment tout documenté et partagé avec les autorités et le National Crime Agency britannique et le FBI sont sur le coup. Mais bon, avec des serveurs en Russie et des opérateurs probablement basés là-bas aussi, les chances d’arrestation sont proches de zéro. C’est le problème éternel des ransomwares… Tant que certains pays servent de “sanctuaires”, les groupes de cybercriminels continueront d’opérer en toute impunité.

Quoiqu’il en soit, un employé mécontent, endetté ou simplement naïf peut faire plus de dégâts que n’importe quel exploit zero-day.

Moralité : Pour réduire vos risques cyber, payez mieux vos employés ;-)

Source

Vous vous souvenez de keys.lol qui permettait de parcourir toutes les clés privées Bitcoin et Ethereum possibles ? Ou de everyuuid.com qui listait tous les UUID existants ? Hé bien voici la dernière création dans cette noble lignée de l’exhaustivité : infohash.lol , le site qui énumère tous les liens magnet BitTorrent possibles, teste le nombre de peers, et récupère les métadonnées.

Je me suis dit que ça pourrait vous intéresser, parce que ce projet est aussi chouette qu’absurde…

Faut d’abord savoir qu’un infohash BitTorrent, c’est un identifiant unique pour un torrent, calculé à partir du contenu du fichier .torrent. Infohash.lol génère tous les infohash possibles et les affiche par pages de 32. Alors ça fait combien de pages au total ? Hé bien, tenez-vous bien :

**45 671 926 166 590 716 193 865 151 022 383 844 364 247 891 968 pages. **

De quoi péter un câble si on devait tout parcourir 1 par 1 !

Pour chaque infohash généré, le site interroge le DHT BitTorrent (la table de hachage distribuée qui permet de trouver des peers sans serveur centralisé) pour voir s’il existe des peers qui répondent. Et c’est là que ça devient rigolo car beaucoup d’infohash affichent un seul peer solitaire. Des fantômes du DL qui répondent à l’appel sans qu’on sache vraiment ce qu’ils conservent. Le site tente aussi de récupérer les métadonnées associées, mais comme l’explique son créateur, il n’y a aucune garantie qu’un infohash corresponde à un vrai torrent car pas mal de crawlers et d’indexeurs annoncent régulièrement des infohash aléatoires sur le réseau, créant un genre de bruit de fond cosmique.

Du coup, chercher un torrent spécifique sur infohash.lol, c’est exactement comme chercher une aiguille dans une planète constituée de foin. En fait, même pas une planète, plutôt un univers entier de foin, quoi…

Mais ce qui est génial avec ce projet (et tous les projets similaires), c’est qu’il ne crée ni n’indexe vraiment l’information. Il la révèle, plutôt car tous ces infohash existent déjà dans l’espace mathématique, quelque part entre 0 et 2^160. Le DHT BitTorrent est conçu pour être difficile à énumérer complètement. Même si une extension (BEP 51) a été créée pour permettre aux indexeurs de sampler les infohash stockés par les nœuds, elle reste très peu implémentée et bruteforcer tous les infohash reste techniquement impossible avec nos moyens actuels. Mais mathématiquement ? Ils sont tous là, qui attendent.

Ça me fait penser à la Bibliothèque de Babel de Borges , cette histoire où une bibliothèque infinie contient tous les livres possibles, donc tous les textes jamais écrits et tous ceux qui ne le seront jamais. Infohash.lol, c’est un peu la même chose appliquée au BitTorrent et quelque part dans ces 45 septillions de pages, il y a l’infohash du torrent de votre film préféré, mais aussi l’infohash d’un torrent qui n’existe pas encore et qui ne sera créé que dans 10 ans.

Maintenant c’est sympa à essayer, en vrai, ça ne sert à rien. Enfin si, à deux ou trois trucs. Le site propose par exemple des exemples concrets comme l’infohash de Ubuntu 24.04.3 (d160b8d8ea35a5b4e52837468fc8f03d55cef1f7) ou du court métrage libre Sintel (08ada5a7a6183aae1e09d831df6748d566095a10) histoire de voir que ce n’est pas du flan. Vous pouvez aussi naviguer vers la première page, la dernière page, ou une page aléatoire mais l’immense majorité des infohash ne correspondent à rien du tout… C’est juste du vide.

C’est donc exactement le même paradoxe que keys.lol où toutes les clés privées Bitcoin et Ethereum entre 1 et 2^256 sont générées à la volée, avec vérification automatique des balances. En vert si le wallet a des fonds, en jaune s’il a été utilisé mais est vide, en rouge s’il n’a jamais servi. Techniquement, votre clé privée Bitcoin est quelque part sur ce site. Mais la trouver est impossible car l’espace des clés possibles est si vaste que tous les habitants de l’univers entier pourrait la chercher pendant des milliards d’années sans tomber dessus. C’est pour ça que la cryptographie moderne fonctionne… pas grâce à des murs infranchissables, mais grâce à l’impossibilité statistique pure.

Même délire avec everyuuid.com qui contient plus de 5 septillions d’UUID v4 possibles. Le site ne les stocke pas tous (évidemment), mais utilise un mapping bijectif où chaque index correspond à exactement un UUID et vice-versa. C’est, si vous préférez, un projet satirique sur l’absurdité de vouloir tout énumérer.

Et ces trois projets ont pour point commun de prouver concrètement POURQUOI la sécurité informatique moderne fonctionne si bien. Keys.lol démontre que votre Bitcoin est protégé par l’entropie mieux qu’aucun coffre-fort physique et Infohash.lol montre que le DHT BitTorrent est sécurisé par son propre chaos. La sécurité est dans l’impossibilité statistique de trouver la bonne combinaison parmi des trillions de trillions de possibilités.

Et contrairement aux collections physiques (timbres, cartes Pokémon, dates Tinder…etc), ces sites créent des collections où TOUT existe déjà mais où posséder n’a aucun sens. Vous ne pouvez pas collectionner tous les UUID parce qu’ils existent tous simultanément dans une abstraction mathématique. C’est l’anti-collection ultime… Un genre de musée où toutes les œuvres sont exposées mais où personne ne viendra jamais toutes les voir.

Bref, comme je vous le disais en intro, infohash.lol est un projet parfaitement inutile et totalement absurde. Mais ça nous fait réaliser l’échelle “cosmique” de la cryptographie…

Source

Les nouveaux AirPods Pro 3 sont arrivés, et avec eux, la promesse d’une expérience audio encore améliorée. Après quelques jours d’utilisatio intensive, le constat est clair : Apple a su peaufiner une formule déjà très efficace pour livrer des écouteurs sans fil qui excellent clairement sur les points essentiels. Ce sont toujours les meilleurs écouteurs qui soient, que vous soyez sur iPhone ou Android.

Qualité sonore : la précision avant tout

À la première écoute, on ne note pas de révolution, mais une évolution qui s’entend quand même. Le profil sonore a été retravaillé pour offrir plus de présence dans les basses. Celles-ci sont plus profondes, plus rondes, ce qui donne une assise sonore solide à l’ensemble. On peut y voir un rapprochement avec la signature de certains casques Bose, connus pour leur chaleur. Pour autant, les médiums et les aigus sont aussi clairs et détaillés, et proposent une bonne polyvalence sur tous les styles musicaux, des podcasts aux morceaux les plus complexes.

La véritable avancée de ses petites beautés se situe au niveau de la réduction de bruit active (l’ANC). Sans être une rupture totale avec la génération précédente, son efficacité a été encore améliorée augmentée. Les bruits de fond constants, comme ceux que l’on subit dans les transports en commun, sont filtrés avec une efficacité redoutable. Les nouveaux embouts aident probablement, on y reviendra. Le mode “Transparence Adaptatif” est également de plus en plus convaincant : il atténue les bruits soudains et agressifs (travaux, sirènes) sans vous couper complètement de votre environnement. C’est un vrai plus au quotidien.

De plus en plus confortables

Le confort a été l’un des axes d’amélioration. Apple fournit désormais une nouvelle taille d’embouts en silicone, permettant à une plus grande majorité d’utilisateurs de trouver un ajustement stable et confortable. Pour ma part, cela a réglé les soucis de tenue que je pouvais rencontrer quand j’allais courir avec mes AirPods par exemple.

J’ai également pu tester la fonction de test auditif. C’est rigolo, et potentiellement interessant si vous avez le sentiment d’avoir des problèmes d’audition. Ca dure 5 minutes, et ça fini par vous dire votre niveau d’audition. Ca semble assez sérieux.

Une compatibilité Android efficace

C’est souvent le point qui fâche, mais Apple a assuré sur ce point. Une fois appairés en Bluetooth standard à un smartphone Android, les AirPods Pro 3 délivrent leurs qualités premières : l’excellente restitution sonore et une réduction de bruit active très performante, que l’on active par une pression longue sur la tige.

Bien entendu, l’intégration n’est pas aussi poussée qu’avec un iPhone. On fait l’impasse sur l’appairage rapide, la bascule automatique entre les appareils ou l’Audio Spatial avec suivi des mouvements de la tête. (que je n’utilise de toutes manières pas sur iOS). Cependant, pour une utilisation centrée sur l’écoute de musique et la gestion des appels avec ANC, l’expérience est tout à fait qualitative. Ces manques ne sont pas bloquants pour qui cherche avant tout la performance audio.

La puce qui équipe ces écouteurs leur ouvre des perspectives intéressantes. On pense en particulier à la fonctionnalité de traduction en temps réel, qui a été annoncée mais qui n’est pas encore disponible en Europe. Son arrivée, probablement via une mise à jour logicielle, viendra encore enrichir l’écosystème.

Bref, perso je sur-valide. Ces AirPods Pro 3 ne réinventent pas le concept, mais ils l’optimisent sur tous les plans. Avec une qualité sonore améliorée, une réduction de bruit de premier ordre et un confort clairement amélioré, ils se positionnent comme un choix solide et une référence difficilement détrônable sur le marché. Leur compatibilité assurée avec Android pour les fonctions clés les rend d’autant plus recommandables ! Ils sont dispos en livraison rapide sur Amazon en cliquant par ici.

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ou lire tous les tests que je publie dans la catégorie “Gadgets Tech” , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Tous les mardis soir, c’est la même chose dans le petit monde de la cybersécurité : Microsoft balance ses patches, et dès le mercredi matin, c’est la ruée vers l’or pour les experts sécu. Bienvenue dans l’univers déjanté de l’Exploit Wednesday, où des chercheurs du monde entier se transforment en cyber-archéologues pour y déterrer les vulnérabilités avant que les méchants ne s’en emparent afin de coder des exploits.

Et un nouvel outil vient de débarquer pour pimenter cette course folle : Diffrays .

Imaginez… il est 3h du matin, on est mercredi et pendant que vous dormez tranquillement, des milliers de chercheurs en sécurité sont déjà en train de comparer frénétiquement les binaires de Windows fraîchement patchés avec leurs versions vulnérables.

Pourquoi est-ce qu’ils font ça ? Hé bien c’est parce que chaque seconde compte. L’IA a réduit de 40% le temps nécessaire pour identifier une vulnérabilité à partir d’un patch et ce qui prenait des jours prend maintenant des heures, notamment aux cybercriminels, du coup, la course s’est transformée en sprint.

Et c’est là que Diffrays entre en scène. Cet outil, conçu par pwnfuzz, fait ce qu’on appelle du “patch diffing”. Pour les non-initiés, le patch diffing, c’est l’art de comparer deux versions d’un programme pour trouver ce qui a changé. Un peu comme comparer deux photos pour jouer au jeu des 7 différences, sauf que là, on cherche des bugs qui valent potentiellement des millions.

Pour cela, Diffrays utilise IDA Pro et sa nouvelle IDA Domain API pour extraire le pseudocode des fonctions et les comparer de manière structurée. Et ce n’est un vulgaire comparateur de texte…non… Diffrays génère en fait une base de données SQLite complète avec toutes les différences trouvées, et lance même un serveur web local pour naviguer dans les résultats. Vous tapez diffrays diff old.exe new.exe, puis diffrays server --db-path results.sqlite, et hop, vous avez une jolie interface web sur http://localhost:5555 pour explorer ces changements.

Grâce à cet outil, chacun peut savoir exactement comment Microsoft corrige ses bugs. Prenez par exemple l’analyse du driver Clfs.sys montrée dans la documentation de Diffrays . Les chercheurs ont téléchargé deux versions du driver. La première vulnérable (10.0.22621.5037) et la seconde patchée (10.0.22621.5189) puis ont laissé Diffrays faire son travail… Et en quelques minutes, l’outil a identifié exactement quelles fonctions avaient été modifiées et comment.

Évidemment, Diffrays n’est pas seul sur ce marché juteux. Google a son BinDiff , il y a aussi Diaphora, et maintenant même des outils boostés à l’IA comme DeepDiff qui convertissent le code en “embeddings” (des représentations mathématiques) pour trouver des similarités. Mais Diffrays a un avantage, il est open source, gratuit, et surtout, il est conçu spécifiquement pour la recherche. Pas de conneries marketing, juste du code qui fait le taf.

D’ici 2026 , les experts prédisent que le patch diffing assisté par IA sera la norme dans toutes les red teams et programmes de bug bounty. On parle même de plateformes de diffing en temps réel avec des bases de données de vulnérabilités crowdsourcées.

Voilà, donc si vous voulez vous lancer dans ce genre d’analyses comparatives de binaires, sachez que Diffrays est sur GitHub , et qu’il est prêt à transformer vos mercredis matins en séances de fouilles intensives. Et n’oubliez pas… avec un grand pouvoir vient une grande responsabilité ! Sinon, c’est la zonzon, comme pour Sarko !

On connait tous le problème des petites imprimantes pas chères type Canon, HP, Epson…etc. C’est vendu pour une bouchée de pain mais à côté de ça, les cartouches coûtent une couille !! Et on est prisonnier d’un format de cartouches propriétaires avec dessus une puce, qui parfois s’arrange pour bloquer toute impression parce que le niveau d’encre est trop bas alors qu’il en reste dedans de quoi imprimer encore des centaines de feuilles.

Et tout le monde s’en fout !

Tout le monde ? Non, car trois français viennent de dire stop à cette arnaque avec l’Open Printer, une imprimante jet d’encre qui tourne sur Raspberry Pi Zero W et qui fait quelque chose de complètement foufou en 2025 : elle imprime quand vous le voulez, avec l’encre que vous voulez, sans vous bloquer ou exiger un abonnement.

Léonard Hartmann, Nicolas Schurando et Laurent Berthuel de Open Tools ont créé cette machine incroyable qui n’a pas de puce qui compte vos impressions, pas de cartouche qui se désactive après 6 mois, pas de driver propriétaire qui refuse de fonctionner sous Linux. C’est juste une imprimante qui imprime. Point.

Le truc génial avec l’Open Printer, c’est qu’elle accepte les cartouches HP standard (les modèles black et color) mais sans le DRM qui va avec. Vous pouvez donc les recharger avec n’importe quelle encre, autant de fois que vous voulez !

Et comme sur les vieilles imprimantes matricielles des années 80, cette jet d’encre imprime sur des rouleaux de papier et coupe automatiquement les pages. Ça veut dire que vous pouvez imprimer une liste de courses de 3 mètres, un ticket de caisse personnalisé, ou même une bannière “Joyeux anniversaire” sans vous prendre la tête avec les formats A4. Elle accepte aussi les feuilles classiques (letter, tabloid, A4, A3) pour ceux qui préfèrent.

Techniquement, c’est du solide puisque son Raspberry Pi Zero W fait tourner le cerveau, y’a aussi un microcontrôleur STM32 de STMicroelectronics qui gère la mécanique, et CUPS qui assure la compatibilité avec tous les OS. USB, Wi-Fi, Bluetooth, tout y est. Et il y a même un petit écran de 1,47 pouces avec une molette qui permet de contrôler la bête directement.

Et au lieu de vous vendre une imprimante à 50 balles pour vous saigner sur les cartouches à 40 balles, Open Tools met tout en Creative Commons BY-NC-SA 4.0. Plans, firmware, matériaux, tout est libre, vous pouvez donc modifier, améliorer, réparer cette imprimante éternellement…

HP continue de verrouiller ses cartouches avec des DRM de plus en plus vicieux , et les autres fabricants suivent le mouvement. Epson propose bien des modèles EcoTank avec réservoirs rechargeables, mais à 230€ minimum et toujours avec leur écosystème propriétaire. L’Open Printer arrive donc pile poil au bon moment pour ceux qui en ont marre de se faire avoir.

La campagne de financement participatif sur Crowd Supply arrive bientôt. On ne connait pas encore le prix, mais vu que c’est basé sur un Raspberry Pi Zero W (environ 15€) et des composants standards, ça devrait rester raisonnable. Et même si c’était plus cher qu’une imprimante classique, au moins vous payez une fois et c’est fini. Pas d’abonnement “Instant Ink”, pas de cartouches qui expirent, pas de mises à jour qui désactivent les fonctions. Vous êtes peinard.

Et pour les makers, c’est Noël avant l’heure. Imaginez les possibilités d’une telle machine pour vos projets !

Alors oui, c’est un projet de niche et il faudra probablement mettre les mains dans le cambouis pour l’assembler. Mais entre payer 40€ tous les deux mois pour des cartouches DRM ou investir une fois dans une machine que vous contrôlez vraiment, le choix est vite fait.

Source

Si vous aimez les IA génératives, je pense que vous n’êtes pas passé à côté de Nano Banana, le nouveau générateur d’images de Google. Ce truc est incroyable ! On peut vraiment faire des choses très réalistes et qui respectent le sujet initial… Plus besoin de Photoshop avec ce truc. Suffit d’avoir une idée et de lui donner.

Mais si on n’a pas d’idée, qu’est ce qu’on peut faire ? Hé bien un dev a codé une app Google Gemini qui permet de transformer votre photo en ce que vous voulez…

Soit en dessin, soit vous donner un look années 70 / 80 / 90, soit changer votre coupe de cheveux, soit même vous mettre dans situations cheloues voire faire de vous un gros tas de Mac&Cheese bien dégoutant.

Je vous laisse avec mes essais plus ou moins sympas :

Pour vous amuser, suffit donc d’aller ici , d’uploader votre photo ou d’activer votre webcam pour en prendre une bien fraiche et de choisir ce que vous voulez comme résultat.

Et le code est complètement ouvert, donc vous pouvez aussi le récupérer et le modifier pour ajouter par exemple de nouveaux prompts ou modifier les prompts existants.

Et si vous voulez encore d’idées ou tout simplement voir les possibilités de Nano Banana, rendez-vous ici, y’a des dizaines de prompts que vous n’avez plu qu’à copier coller !

Merci à Lorenper pour le partage !

Vous savez ce qu’il y a dans votre chargeur rapide USB-C posé là, sur votre bureau ? Il y a du nitrure de gallium . Hé bien ce truc, c’est la même technologie qui permet à l’armée américaine de faire tomber 49 drones du ciel en une seule impulsion. C’est ce qui s’est passé le 26 août à Camp Atterbury dans l’Indiana, où la société Epirus a fait une démonstration de son système Leonidas devant des représentants de pays alliés.

Cette machine, baptisée en référence au roi spartiate qui défendait les Thermopyles , ne tire pas de projectiles. A la place, elle génère un champ électromagnétique dans un arc de 60 degrés et tout ce qui vole dedans tombe comme une mouche. Les circuits grillent, les servomoteurs deviennent fous, et paf, le drone s’écrase. Le truc génial c’est que le coût de revient par drone abattu n’est que de quelques centimes, contre des dizaines de milliers de dollars pour un missile traditionnel.

L’armée américaine a signé un contrat de 66 millions de dollars pour quatre prototypes, soit environ 16,5 millions pièce. Ça peut paraître cher, mais comparé au coût d’un système de défense classique et surtout au coût des munitions, c’est donné. Vous payez une fois et vous avez une quantité illimitée de destructions de drones… Pas de munitions à racheter, juste de l’électricité et un peu de maintenance.

Le système fonctionne donc avec des semi-conducteurs au nitrure de gallium au lieu des bons vieux magnétrons qu’on trouvait dans les micro-ondes de nos grands-mères. Ces puces GaN peuvent balancer des kilowatts de puissance sans chauffer comme un four, ce qui permet au système de tirer en continu. De leur côté, les Chinois développent leur propre système appelé Hurricane avec des tubes à vide old-school et ce qui est drôle c’est que la Chine produit 98% du gallium mondial.

Et comme elle a décidé de bloquer ses exportations vers les États-Unis , les entreprises américaines comme Epirus se tournent vers des alternatives. Le Japon, leader mondial du recyclage de gallium, devient donc une source cruciale pour contourner le blocage chinois.

Lors du test en Indiana, le système a détruit 100% des drones utilisés lors de leurs 5 scénarios de tests IRL. Le clou du spectacle étant la mise à terre de 49 drones d’un coup ! Regardez, c’est impressionnant.

Les observateurs présents ont décrit la scène comme surréaliste… une vague de drones qui tombent du ciel en même temps, leurs moteurs qui crépitent avant le silence… Le PDG d’Epirus, Andy Lowery, a même qualifié ça de moment historique. Un peu pompeux, mais bon, quand tu viens de prouver que ton micro-ondes géant fonctionne, tu peux te permettre.

Les Marines américains vont également recevoir une version portable appelée ExDECS (Expeditionary Directed Energy Counter-Swarm) qui peut être montée sur n’importe quel véhicule et il existe même une version “pod” qui peut être accrochée sous un avion. C’est beau la guerre quand même, non ? (Je décooooonnne !)

Le ExDECS

Matéo, 16 ans, qui fait voler son DJI au-dessus de l’aéroport parce qu’il veut faire une vidéo TikTok a intérêt à bien se tenir !!! Et Vladimir aussi ^^.

Epirus prépare déjà la version 2 qui sera deux fois plus puissante et pourra griller des drones encore plus loin… J’ai hâte de voir ça (ou pas…)

Entre screenshots de bugs, memes de geeks et photos de vacances, on échange des tonnes d’images chaque jour, et à cause de nous, les data centers chauffent comme des radiateurs. Alors à chaque fois que vous compressez une image avant de l’envoyer, on peut se dire qu’on participe “un petit peu” à sauver la planète, non ?

C’est pour ça qu’aujourd’hui, je vous présente Caesium, un petit logiciel open source développé par @Lymphatus qui transforme vos images obèses en versions ultra légères, sans que personne ne remarque la différence. L’outil nous promet dans certains cas, des compressions allant jusqu’à 90% avec une qualité visuelle quasiment identique. Et le plus beau dans tout ça, c’est qu’on n’a même pas besoin d’envoyer nos photos à un GAFAM qui fera le boulot.

Tout d’abord, le développeur Caesium est en train de réécrire toute la partie compression (libcaesium) en Rust au lieu du C++ traditionnel et c’est intéressant, parce que Rust fait partie du trio de tête avec C et C++ en termes de performance énergétique, tout en apportant une sécurité mémoire supérieure. Et quand on sait que Caesium traite potentiellement des millions d’images par jour, l’amélioration de la sécurité et de la maintenance est cruciale.

De plus, une image compressée à 90% ne réduit pas seulement sa taille de stockage. D’après les analyses de compression WebP , elle peut diviser jusqu’à 6 fois la consommation énergétique nécessaire à son transfert sur le réseau, avec une réduction moyenne par 2 ou 3 pour les compressions qui conservent le même niveau de qualité. Multipliez ça par les milliards d’images échangées chaque jour, et vous comprenez pourquoi chaque compression compte.

Le truc génial avec Caesium, c’est qu’il existe sous trois formes. La version desktop classique pour Windows/Mac/Linux qui vous permet de traiter vos images en masse, prévisualisation en temps réel comprise.

La version ligne de commande CaesiumCLT pour les barbus qui veulent automatiser leurs compressions dans leurs scripts.

Et la petite dernière, la version web caesium.app qui tourne directement dans votre navigateur. Attention quand même, cette dernière limite à 10 images avec une taille maximale par fichier de 20 MB, mais pour un usage ponctuel, c’est parfait.

En plus, comme je vous le disais, Caesium fait tout en local. Vos photos restent chez vous, y’a pas de compte à créer, pas de limite mensuelle, pas de tracking. C’est efficace et moins cher que gratuit ^^.

Pour l’installer, c’est simple comme bonjour. Sur Mac ou Linux, un petit brew install caesiumclt pour la version ligne de commande, ou téléchargez directement l’installeur sur le site officiel pour la version graphique toute moche. Windows a droit à une version portable, pratique pour l’avoir sur une clé USB. Et si vous voulez juste tester, direction caesium.app dans votre navigateur.

L’utilisation reste ultra intuitive. Vous glissez vos images, vous réglez la qualité (80% par défaut, largement suffisant pour 99% des cas), et hop, Caesium optimise !

Et pour l’outil en ligne de commande, vous pouvez faire de la compression sans perte comme ceci :

# Compresser avec préservation des métadonnées
caesiumclt --lossless -e --keep-dates -o output/ image.jpg

# Compresser plusieurs images avec une qualité spécifique
caesiumclt -q 75 -o output/ image1.jpg image2.png image3.webp

# Compresser avec un suffixe pour éviter d'écraser les originaux
caesiumclt -q 85 --suffix _compressed --same-folder-as-input image.jpg

# Compresser avec un réglage de qualité
caesiumclt -q 80 -o output/ image.jpg

# Convertir les images au format WebP avec réglage de qualité
caesiumclt -q 85 --format webp -o output/ Pictures/*.jpg

# Redimensionner à une largeur spécifique (en conservant le ratio d'aspect)
caesiumclt --lossless --width 1920 -o output/ image.jpg

# Redimensionner à une hauteur spécifique (en conservant le ratio d'aspect)
caesiumclt -q 90 --height 1080 -o output/ image.jpg

Je viens de lire un truc super intéressant sur les nouvelles capacités de nos chers LLM qui devrait changer pas mal de choses aussi bien pour les scientifiques, que les développeurs ou n’importe qui, cherchant à faire du “neuf” avec les IA.

Moran Feldman et Amin Karbasi, deux chercheurs de l’université de Haifa et de Cisco Foundation AI, ont eu l’idée géniale de créer ce qu’ils appellent le “test de Gödel” . Un nom chelou mais qui cache l’idée suivante : est-ce qu’une IA peut résoudre des conjectures mathématiques encore jamais publiées ?

C’est à dire des trucs tellement nouveaux qu’elle ne peut pas les avoir mémorisés pendant son entraînement. Pour tester cela, nos chercheurs ont balancé cinq conjectures (des problèmes d’optimisation combinatoire qu’ils avaient spécialement concoctés pour l’occasion) à GPT-5 Pro, et là, surprise !!!

Sur le deuxième problème, GPT-5 Pro ne s’est pas contenté de chercher une solution. Le modèle a carrément réfuté leur conjecture originale en trouvant une meilleure approche qui, après vérification, s’est avérée correcte.

Et c’est exactement ce que Sebastian Bubeck, passé récemment de Microsoft à OpenAI, a observé aussi de son côté. Il a donné à GPT-5 Pro un problème ouvert d’optimisation convexe, un truc sur lequel les humains planchaient depuis un bon moment… Le modèle a alors réfléchi 17 minutes et a pondu une solution d’optimisation convexe valide et encore jamais trouvée. Bon, entre-temps des humains avaient déjà trouvé plus efficace, mais l’IA n’était pas au courant et a fait sa propre découverte indépendamment.

Les IA commencent donc à développer ce qu’on pourrait appeler un “esprit critique computationnel”. Elles ne se contentent plus de chercher LA solution qu’on leur demande, mais évaluent la pertinence même de la question.

Le test de Gödel révèle d’ailleurs les limites actuelles de façon assez claire car sur les cinq problèmes, GPT-5 Pro en a résolu trois correctement (enfin, presque correctement, avec quelques erreurs mineures). Le quatrième problème, qui nécessitait de combiner des data de deux papiers scientifiques différents a été un échec total. Et pour le cinquième, encore plus complexe, GPT-5 a proposé le même algorithme que les chercheurs avaient en tête mais s’est planté dans son analyse.

Selon l’étude , les preuves incorrectes “paraissaient initialement plausibles et même convaincantes” et ce n’est qu’après un examen détaillé que les failles profondes du raisonnement sont apparues. Comme d’hab, l’IA peut dire de la merde mais avec un tel aplomb qu’on aurait tendance à la croire, un peu comme un politique français qui témoigne sous serment.

Cette année 2025 marque vraiment un tournant dans les maths par IA. L’armée américaine, via la DARPA, a lancé le programme expMath qui vise carrément à créer des “co-auteurs IA” pour les mathématiciens. Des chercheurs de Caltech utilisent l’IA pour s’attaquer à la conjecture d’Andrews-Curtis, un problème de théorie des groupes vieux de 60 ans. Google Deepmind a découvert de nouvelles solutions à des problèmes de dynamique des fluides . Et, GPT-5 décroche même des médailles d’or aux Olympiades Internationales de Mathématiques.

On est bien sûr encore loin de remplacer les mathématiciens par des IA mais on s’approche de plus en plus d’outils capables d’accompagner, de challenger, de contredire ou de reformuler certains problèmes sans forcement recracher la soupe qu’on leur a servi lors de leur entrainement initial. Bref, l’IA semble être capable, en tout cas en maths, de faire preuve d’un peu (un peu seulement !!) de créativité grâce à son analyse de plus en plus fine des problèmes.

Je me demande maintenant si avec GPT-5 Pro, on peut accéder aussi à cet embryon de créativité pour d’autres choses plus quotidiennes, comme du code, ou des problèmes de la vie de tous les jours… Faudra tester !

Et si je vous disais qu’il existe un futur où vous allez pouvoir vous connecter en SSH à votre serveur de production avec votre compte Google et que celui-ci serait totalement invisible aux yeux du monde ?

Et bien ça arrive bientôt et ça s’appelle SSH3 !

Alors déjà, pas de panique, je vais pas vous sortir le speech classique du “Oh regardez, un nouveau protocole qui va révolutionner le monde”. Non non, l’histoire est beaucoup plus tordue que ça car SSH3, c’est un symptôme d’un phénomène beaucoup plus gros qui est en train de se passer sous notre nez et qui est la “webisation” d’Internet (oui, je viens d’inventer ce mot).

Car pendant que tout le monde s’excitait tous sur ChatGPT et les IA génératives, des chercheurs belges de l’UCLouvain étaient tranquillement en train de planifier la disparition des serveurs SSH de la surface d’Internet. Et je dis bien “disparaître” dans le sens où votre serveur devient invisible aux scans de ports , car votre serveur SSH peut maintenant se planquer derrière ce qui ressemble à un banal site web.

Pour réussir ce tour de magie, SSH3 utilise HTTP/3 et QUIC au lieu du bon vieux protocole SSH traditionnel. Et là vous me dites “Mais Korben, c’est quoi le rapport avec l’invisibilité ?” Bah c’est simple, comme SSH3 tourne sur les mêmes ports que n’importe quel site HTTPS, impossible de distinguer un serveur SSH3 d’un serveur web lambda. Vous pourriez même planquer votre serveur SSH derrière une URL secrète… Tentez ensuite un scan de ports, et vous ne verrez rien de plus qu’un stupide serveur web…

Ce que j’appelle “webisation”, c’est en fait l’absorption totale de l’infrastructure système par les technologies du web. Et même SSH, le protocole le plus fondamental de l’administration système présent depuis 1995, va devoir capituler face à HTTP/3.

C’est la victoire finale du navigateur sur le terminal, et personne n’en cause vraiment… Avec SSH3, vous allez donc pouvoir utiliser vos certificats Let’s Encrypt pour authentifier votre serveur et le GitHub du projet explique que c’est plus sécurisé que les clés d’hôtes SSH classiques car votre terminal vérifiera le certificat comme le fait votre navigateur.

Mais attendez, le délire va encore plus loin puisque OAuth 2.0 et OpenID Connect sont également supportés nativement. Vous allez donc pouvoir vous connecter à votre serveur de prod avec votre compte Google, Microsoft ou GitHub. Et si j’en crois le draft IETF , c’est parfaitement légitime et sécurisé grâce à l’authentification HTTP standard.

Alors évidemment, l’idée de se logger sur un serveur critique avec son compte Gmail, ça peut faire peur mais on fait déjà confiance à ces mêmes providers pour notre authentification partout ailleurs, donc un de plus ou un de moins… Puis j’imagine que vous pourrez aussi mettre en place votre propre provider, ce qui vous permettra d’éviter les GAFAM tout en ayant une gestion plus simple des accès à vos machines.

Au niveau perfs, SSH3 établit une connexion en seulement 3 round-trips contre 5 à 7 pour SSH classique. Sur une connexion avec 100ms de latence, ça fait une différence énorme. Et en bonus SSH3 supporte le port forwarding UDP en plus du TCP. Cela veut dire que vous pouvez enfin “tunneler” du QUIC, du DNS ou du RTP correctement… Ce projet a explosé en décembre 2023 quand François Michel et Olivier Bonaventure ont publié leur papier mais attention, c’est encore expérimental. Les développeurs le répètent partout : Ne mettez pas ça en prod tout de suite !

Alors est-ce qu’on doit s’inquiéter de cette uniformisation des protocoles ?

Peut-être car si tout le monde utilise les mêmes briques de base, une faille dans QUIC ou HTTP/3 pourrait affecter absolument TOUT. Mais d’un autre côté, concentrer les efforts de sécurité sur moins de protocoles, c’est aussi moins de surface d’attaque à surveiller.

Maintenant pour tester SSH3, c’est simple si vous avez Go installé :

go install github.com/francoismichel/ssh3/cmd/...@latest

`ssh3-server -generate-selfsigned-cert localhost`

`ssh3 user@server`

Alors que Zuckerberg claque 15 milliards par an pour nous convaincre de porter des casques VR à 2000 balles, un petit studio vient de créer le metaverse le plus cool de 2025. En plus c’est gratuit et ça fonctionne dans notre navigateur !

Messenger d’Abeto , c’est un jeu où vous livrez du courrier sur une planète tellement minuscule que vous en faites le tour complet en 30 secondes en courant. L’effet de courbure est permanent, et on est un peu comme ce simp intergalactique, qu’est le Petit Prince sur son astéroïde, sauf qu’on est facteur !

Le studio Abeto, spécialisé dans les expériences web interactives, a construit ça avec WebGL et Three.js et ça marche parfaitement sur mobile. Pas besoin de télécharger 3GB de data, pas d’installation, pas de compte Steam. On ouvre le navigateur, on va sur https://messenger.abeto.co/ et nous voilà dans un univers coloré avec une musique chill, en train de nous balader…

C’est un jeu assez relaxant je trouve… Ça va vous changer de Call of Duty et vous pouvez même personnaliser votre personnage, changer vos fringues, et bien sûr faire vos quêtes de super facteur…

Et vous voyez les autres personnages qui courent sur la planète en même temps que vous ? Hé bien ce sont les autres joueurs ! Si vous voulez échanger avec eux c’est possible, mais uniquement via des emotes…

Après c’est vrai qu’habituellement, plus c’est grand, mieux c’est… Skyrim, GTA, Zelda… on mesure la qualité en kilomètres carrés, mais avec Messenger il suffit d’une planète de 50 mètres de diamètre et on s’amuse déjà bien avec.

Rien à payer, pas de pub, pas de pass de combat ou ce genre de conneries… C’est juste un petit monde où on peut se poser 10 minutes pour faire une petite pause dans sa journée, croiser d’autres facteurs et se dire bonjour avec des petits émojis…

Source

Apple vient de sortir un truc énorme et je pense que personne n’a encore capté cette folie. Leur équipe de recherche en machine learning a publié SimpleFold , un modèle d’IA pour prédire la structure des protéines. Jusque-là, rien de révolutionnaire me direz-vous car AlphaFold de Google fait déjà ça très bien, sauf que… SimpleFold, lui, tourne sur votre MacBook Pro !

Maintenant, je vais vous expliquer pourquoi c’est complètement dingue. D’après l’article de recherche d’Apple , SimpleFold atteint 95% des performances d’AlphaFold2 tout en étant infiniment plus léger. En effet, AlphaFold nécessite des supercalculateurs avec des GPU à 20 000 balles pièce alors SimpleFold, lui tourne tranquille sur un MacBook Pro M2 avec 64GB de RAM.

Pour réaliser cet exploit, au lieu d’utiliser les modules super complexes d’AlphaFold comme la méthode du triangle attention ou les MSA ( Multiple Sequence Alignments ), SimpleFold utilise une technique appelée “flow-matching” avec des transformers basiques. Pour rappel, flow matching ça permet de générer des données (souvent des images ou du texte), à partir de bruit aléatoire…

Ils ont donc échangé le moteur de Formule 1 utilisé par des outil comme Alphafold par un moteur de Twingo bien générique et arrivent à atteindre la même vitesse.

Les chercheurs d’Apple ont pour cela entraîné 6 versions différentes de SimpleFold, de 100 millions à 3 milliards de paramètres. Et même la plus petite version (100M) atteint 90% des performances d’ ESMFold sur les benchmarks CAMEO22.

Et c’est super cool parce que prédire la structure d’une protéine, c’est pas juste un truc de geek pour s’amuser. C’est LA base pour créer de nouveaux médicaments, comprendre des maladies, développer des vaccins… Jusqu’à présent, seuls les gros labos avec des budgets de malade pouvaient se permettre de faire ça, c’est pourquoi SimpleFold change complètement la donne en rendant cette technologie accessible à n’importe quel chercheur avec un MacBook.

Un chercheur indépendant peut maintenant découvrir de nouvelles molécules depuis son canapé… Chapeau Apple pour démocratiser cette partie de la recherche scientifique !

Le plus drôle dans tout ça, c’est qu’Apple a entraîné SimpleFold sur 8,6 millions de structures protéiques, ce qui en fait donc le plus gros modèle de folding jamais créé, avec 3 milliards de paramètres pour la version complète. Maintenant pour l’installer, c’est super simple. Le repo GitHub montre que vous aurez juste besoin de Python 3.10 et que ça supporte PyTorch ou MLX (le framework d’Apple pour les puces Silicon).

Et voilà, en 5 minutes, vous avez un labo de biologie moléculaire totalement open source sur votre machine !

Yuyang Wang et son équipe ont donc prouvé que pour prédire les structures protéiques, pas besoin de réinventer la roue. Des transformers classiques avec du flow-matching, et ça marche ! Imaginez des lycéens qui découvrent de nouvelles molécules pour leur TPE, des startups biotech qui se lancent depuis un garage (littéralement), des pays en développement qui peuvent enfin faire de la recherche de pointe sans investir des millions dans l’infra…

Apple vient de casser un petit peu le monopole de la big pharma sur la recherche moléculaire.

C’est top non ?

Encore une histoire complétement dingue qui va faire zizir aux fans de LEGO !

En 2020, un Suédois de 21 ans a balancé à la télé qu’il allait construire une vraie voiture en LEGO s’il gagnait l’émission. Et 3 ans plus tard, David Gustafsson a tenu sa promesse et il roule maintenant dans une Volvo V70 entièrement faite de briques.

Le mec a utilisé 400 000 pièces LEGO pour construire une réplique grandeur nature de sa propre V70 ce qui représente 1,2 tonnes de plastique assemblées brique par brique. Et ce qui est fou c’est que c’est une voiture qui roule vraiment, avec portes qui s’ouvrent, des rétroviseurs électriques et même des phares qui suivent le mouvement du volant.

Comme je vous le disais en intro, David participait à LEGO Masters Suède avec son pote Rickard. Et pendant l’épisode 7, l’animateur Mauri leur demande ce qu’ils feraient avec tous les LEGO s’ils gagnaient. David, pour rigoler, balance qu’il construirait sa voiture en taille réelle. Sauf que quand ils ont gagné, il s’est dit “bon bah, j’ai promis, je le fais”.

Surtout que le prix de LEGO Masters Suède, c’est pas du cash comme partout ailleurs. Non, c’est un super crédit pour commander des pièces directement chez LEGO à prix coûtant. David s’est donc retrouvé avec 400 000 pièces à disposition. Et en décembre 2020, il commence alors le boulot…

2400 heures de travail plus tard, début 2024, la bête est terminée.

Après je me suis demandais comment ça pouvait tenir ce truc, parce que des LEGO, c’est pas vraiment prévu pour supporter le poids d’un adulte qui roule à 20 km/h. Et bien apparemment, David a triché un peu (heureusement) en intégrant 3 éléments non-LEGO que sont les roues, le moteur électrique et un châssis métallique. Tout le reste, des sièges au tableau de bord en passant par le volant et le sélecteur de vitesse, c’est du LEGO pur !

Le plus impressionnant c’est qu’il a réussi à reproduire les courbes complexes d’une V70 de troisième génération (2008-2016) avec des briques rectangulaires. Vous avez déjà essayé de faire un truc rond avec des LEGO ? C’est l’enfer alors une voiture entière avec ses galbes et ses arrières-train arrondis…

Les boutons de la clim fonctionnent, le sélecteur de vitesse fait “clic” quand on change de position, et les rétroviseurs latéraux pivotent. Incroyable !

Alors voilà, si vous habitez en Europe et que vous refusez obstinément de passer à Windows 11, j’ai une excellente nouvelle pour vous les amis !! Microsoft vient en effet de céder face à la pression européenne et rend les mises à jour de sécurité étendues (ESU) de Windows 10 complètement gratuites pour les utilisateurs de l’Espace Économique Européen. Oui, vous avez bien lu, gratuit. Enfin presque, on va voir ça…

Pour ceux d’entre vous qui ne savent pas ce que c’est l’EEA, ça regroupe les 27 pays de l’Union Européenne, plus l’Islande, le Liechtenstein et la Norvège. Hé oui, si vous êtes au Royaume-Uni, désolé les gars, mais le Brexit ça se paye aussi en mises à jour Windows apparemment. Vous devrez donc casquer 30 dollars ou utiliser 1000 points Microsoft Rewards comme le reste du monde.

Mais attendez, pourquoi Microsoft fait ça ?

Hé bien parce que le groupe de défense des consommateurs Euroconsumers leur a mis une pression monstre en les accusant d’obsolescence programmée, car ils ont prévu d’arrêter le support en octobre. D’après Euroconsumers , 22% des utilisateurs européens ont encore des PC de 2017 ou avant, et ces machines ne peuvent tout simplement pas faire tourner Windows 11. Microsoft les forçait donc soit à acheter un nouveau PC, soit à prendre de gros risques de sécurité…

Car Windows 10 c’est encore 45% de parts de marché environ, ce qui représente presque la moitié des utilisateurs Windows dans le monde ! Complètement dingue !

À la base, Microsoft a quand même essayé de jouer au plus malin en proposant 3 options aux utilisateurs hors Europe à savoir soit payer 30 dollars, soit échanger 1000 points de fidélité, ou alors, tenez-vous bien… synchroniser toutes leurs données dans le cloud Microsoft (!!). C’était ça ou rien et Euroconsumers a immédiatement crié au scandale en disant que “lier l’accès aux mises à jour de sécurité essentielles à l’engagement avec les propres services de Microsoft” soulevait des doutes “raisonnables” sur le respect du Digital Markets Act européen (DMA).

Bref, Microsoft a plié (ahaha les faibles !) et annonce maintenant que dans l’EEA, les mises à jour seront gratuites jusqu’en octobre 2026. Mais attention, ce n’est pas non plus open bar total, car vous devrez quand même avoir un compte Microsoft et vous connecter au moins une fois tous les 60 jours. Si vous oubliez, paf, plus de mises à jour… C’est le seul compromis un peu mesquin que Microsoft ait réussi à garder.

Et voilà comment votre vieux PC de 2017 qui fait tourner Windows 10 vient de devenir un vrai symbole de résistance !! Microsoft a même publié un communiqué très corporate pour expliquer leur décision : “Dans l’Espace économique européen, nous apportons des modifications au processus d’inscription pour nous assurer qu’il réponde aux attentes locales et offre une expérience sécurisée et rationalisée”.

À vos souhaits !

Bref, on s’est fait taper sur les doigts et on préfère esquiver une joie amende de plusieurs milliards plutôt que de jouer les rebelzzz.

Et pour les utilisateurs hors Europe qui veulent quand même ces mises à jour gratuites, il existe visiblement des scripts open source et des méthodes de contournement dont on reparlera surement plus tard…

Et dire qu’ils auraient pu éviter ce bordel en rendant Windows 11 compatible avec plus de machines, mais non, ils ont voulu forcer leur TPM 2.0 et les processeurs de 8e génération, et voilà, ils se privent de plus de la moitié de leurs utilisateurs qui vont surement migrer sous Linux…

Maintenant pour activer ces mises à jour gratuites si vous êtes en Europe, il faudra aller dans les paramètres de Windows Update après octobre 2025 et suivre le processus d’inscription. Et surtout, n’oubliez pas de vous connecter avec votre compte Microsoft tous les deux mois, sinon vous perdrez l’accès à ces updates… Oui, je sais, la vie est cruelle. Et si vous êtes hors Europe… bah venez habitez chez nous, c’est chouette !

Source

Ce qui est super relou avec les IA qu’on peut utiliser en local, genre avec Ollama, c’est que si on lui demande des infos un peu trop récente, ça nous sort des vieux chiffres de 2023 avec la confiance d’un vendeur de voitures d’occasion. Bon bah ça, c’est fini puisqu’ Ollama vient de sortir une API de recherche web qui permet enfin à vos modèles locaux d’accéder à des infos fraîches dispo sur le net.

Woohoo \o/ !

Baptisée Ollama Web Search, cette API REST permet donc à vos modèles de faire des recherches sur le web en temps réel comme ça plus besoin de se contenter des données d’entraînement figées dans le temps. Selon la doc officielle , l’API fournit “les dernières informations du web pour réduire les hallucinations et améliorer la précision”. En gros, votre IA locale devient aussi à jour que ChatGPT, mais sans envoyer vos données perso à OpenAI.

Les modèles compatibles avec cette nouvelle fonctionnalité incluent qwen3, LLama, gpt-oss (la version open source d’OpenAI), deepseek-v3.1, et plein d’autres. Et d’après les premiers tests de la communauté , qwen3 et gpt-oss sont même plutôt doués pour exploiter cette fonctionnalité. Le modèle comprend qu’il lui manque une info, fait sa recherche, analyse les résultats et nous sort une réponse documentée !

C’est trop incrrrr ! Vous allez pouvoir booster vos scripts / bots / outils d’IA locale pour qu’ils puissent surveiller des choses dispo en ligne, les comparer, générer des résumés à partir de sites web, fact checker ou compléter des infos…etc.

Mais alors comment s’en servir ? Bon, on est vendredi soir et j’ai la flemme de tourner un tuto vidéo, donc même si je risque de détailler tout ça bientôt à mes Patreons d’amour , voici quand même quelques explications.

D’abord, il faut créer une clé API Ollama . La doc explique que vous avez un essai gratuit généreux pour commencer, mais s’il vous en faut plus, il faudra prendre un petit abonnement Ollama Cloud …

Une fois votre clé en poche, exportez-la dans votre environnement comme ceci :

export OLLAMA_API_KEY="votre_clé_ici"

Le plus simple ensuite pour tester, c’est avec curl :

curl https://ollama.com/api/web_search \ --header "Authorization: Bearer $OLLAMA_API_KEY" \ -d '{ "query": "dernières vulnérabilités CVE janvier 2025" }'

Mais bon, soyons honnêtes, on va plutôt utiliser Python car c’est quand même plus cool ;-) . Voici donc un exemple de script basique qui compare une réponse avec et sans recherche web :

import ollama
from ollama import chat, web_search, web_fetch

model = "qwen3:4b"

# 1. Sans recherche web
response_classic = chat( # pas ollama.chat
 model=model,
 messages=[{
 "role": "user",
 "content": "Quelles sont les features de React 19?"
 }]
)
print("Sans recherche web:", response_classic.message.content[:500]) # .message.content

# 2. Avec recherche web
search_results = web_search("React 19 features dernières nouveautés")
print("Résultats:", search_results)

# 3. Avec outils
available_tools = {'web_search': web_search, 'web_fetch': web_fetch}
messages = [{
 "role": "user",
 "content": "Utilise la recherche web pour me dire les dernières features de React 19"
}]

response_with_tools = chat(
 model=model,
 messages=messages,
 tools=[web_search, web_fetch],
 think=True
)

# Accès aux tool_calls
if response_with_tools.message.tool_calls:
 for tool_call in response_with_tools.message.tool_calls:
 function_to_call = available_tools.get(tool_call.function.name)
 if function_to_call:
 args = tool_call.function.arguments
 result = function_to_call(**args)
 print(f"Outil utilisé: {tool_call.function.name}")
 print(f"Résultat: {str(result)[:500]}...")

print("Réponse finale:", response_with_tools.message.content)

import ollama
from ollama import chat, web_search

class SecurityAgent:
 def __init__(self):
 self.model = "qwen3:4b"

 def check_vulnerabilities(self, technologies):
 rapport = "🛡️ RAPPORT SÉCURITÉ\n\n"

 for tech in technologies:
 # Recherche directe des CVE récentes
 results = web_search(f"{tech} CVE vulnerabilities 2025 critical")

 # Demande au modèle d'analyser
 response = chat(
 model=self.model,
 messages=[{
 "role": "user",
 "content": f"Résume les vulnérabilités critiques de {tech}: {results}"
 }]
 )

 rapport += f"### {tech}\n{response.message.content}\n\n"

 return rapport

# Utilisation
agent = SecurityAgent()
rapport = agent.check_vulnerabilities(["Node.js", "PostgreSQL", "Docker"])
print(rapport)

from ollama import web_search, web_fetch, chat

# 1. Recherche d'articles pertinents
search_results = web_search("React 19 vs Vue 3 comparison 2025")
top_url = search_results.results[0]['url'] # ou .url selon le type
print(f"📰 Article trouvé: {search_results.results[0]['title']}")

# 2. Récupération du contenu complet de la page
page_content = web_fetch(top_url)
print(f"📄 {len(page_content.content)} caractères récupérés")

# 3. Analyse approfondie du contenu
response = chat(
 model="qwen3:4b", # ou "gpt-oss" si disponible
 messages=[{
 "role": "user",
 "content": f"""
 Analyse cette comparaison technique:
 {page_content.content[:4000]}

 Donne-moi:
 1. Les points clés de chaque framework
 2. Le gagnant selon l'article
 3. Les cas d'usage recommandés
 """
 }]
)

print(f"\n🔍 Analyse:\n{response.message.content}")

Vous vous souvenez peut-être de mon article récent sur LockPass, le gestionnaire de mots de passe français certifié ANSSI ? Eh bien, à l’approche des Assises de la cybersécurité à Monaco, c’est l’occasion de vous en dire plus sur LockSelf et sa suite d’outils cyber pour la protection des mots de passe et fichiers. Ils seront présents du 8 au 11 octobre 2025 sur l’événement, stand B05.

Car les Assises c’est LE rendez-vous annuel de référence pour tous les professionnels de la cybersécurité. Échanges entre pairs, découverte de nouveaux outils et visibilité sur l’évolution des solutions. C’est donc le moment PARFAIT pour aller les voir. Cette année, avec le thème « FuturS : la cybersécurité au service des métiers et de la création de valeur » , on va enfin arrêter de voir la sécurité comme une contrainte mais plutôt comme un véritable atout business.

D’ailleurs, petite info sympa, qu’il est toujours bon de rappeler, LockSelf propose exceptionnellement un essai gratuit de 30 jours pour l’occasion. Donc vous pouvez vous inscrire ici si vous voulez tester avant de faire le déplacement.

Mais revenons à nos moutons. Pourquoi LockSelf mérite votre attention aux Assises ? Eh bien j’ai identifié trois bonnes raisons qui vont vous faire comprendre pourquoi cette suite française cartonne autant.

Pour commencer, parlons de quelque chose qui va vous faire gagner un temps précieux : la conformité réglementaire. Avec LockSelf, finies les prises de tête avec NIS2, DORA ou ISO 27001. Leur suite vous permet de gérer finement les droits d’accès aux données de votre entreprise, avec des règles granulaires pour chaque utilisateur ou groupe. Que ce soit pour les mots de passe, les fichiers ou les transferts sensibles, vous pouvez limiter, déléguer ou ajuster les permissions selon les rôles, les besoins métiers ou l’appartenance à un service.

Et surtout, leur Dashboard centralisé, c’est de l’or en barre pour les administrateurs. Il centralise en temps réel tous les indicateurs clés de vos modules LockSelf et vous offre une vue panoramique sur la santé et la sécurité de vos données. Plus d’une centaine de métriques à votre disposition, avec suivi des accès, analyse des comportements, traçabilité des actions et reporting. La section “logs” peut même s’exporter et vaut pour preuve en cas d’audit.

LockSelf propose aussi une interconnexion native avec la plateforme SOC Sekoia, et peut s’interfacer avec n’importe quel SIEM/SOC grâce à son API. Plutôt pratique pour centraliser vos informations de sécurité et automatiser la détection des menaces.

Autre point important côté conformité : la gestion des accès partenaires. LockSelf permet de créer des accès temporaires, de partager en mode aveugle et de révoquer ou ajuster les droits à tout moment. Parfait pour sécuriser les collaborations avec des tiers tout en respectant le principe du moindre privilège.

Et pour la continuité d’activité (PCA/PRA), LockFiles facilite les sauvegardes externalisées tandis que LockTransfer met à disposition une plateforme souveraine, déconnectée du SI, pour échanger en cas de crise, ce qui est un énorme avantage pour rester opérationnel même dans un contexte très tendu.

D’ailleurs, ils ont un super cas d’usage d’un de leurs clients sur l’utilisation de LockSelf dans le cadre d’une cyberattaque (résolue en moins de 24h !). Si vous voulez un retour d’expérience concret, c’est ici.

Deuxième point qui va vous parler : l’alternative française à WeTransfer. Vous vous rappelez du tollé de juillet** **2025 ? WeTransfer a modifié ses CGU pour s’autoriser à utiliser vos données pour entraîner leur IA avant de faire machine arrière face à la polémique, mais bon… les entreprises qui manipulent des données sensibles ont vite compris qu’il fallait chercher ailleurs.

C’est là que LockTransfer entre en scène. Cette solution souveraine et sécurisée vous garantit un chiffrement de bout en bout, avec des serveurs hébergés exclusivement en France chez des partenaires reconnus (Scaleway, Outscale) ou directement sur votre infrastructure en On-Premises. Car contrairement à WeTransfer, LockTransfer n’accède à aucun moment à vos données.

Dans le contexte géopolitique actuel, avoir une solution française qui élimine tout risque de fuite liée à des législations extraterritoriales, ce n’est pas du luxe, c’est de la nécessité pure. Et puis, entre nous, montrer pattes blanches sur sa cybersécurité, ça aide aussi à décrocher des contrats avec les grandes entreprises ou les secteurs stratégiques comme la défense ou le spatial.

Troisième atout, et pas des moindres : LockSelf transforme la cybersécurité en avantage business. Comme je vous le disais en intro, c’est pile poil le thème des Assises cette année. On va donc enfin arrêter de voir la cybersécurité comme un frein pour en faire un moteur de création de valeur et LockSelf a cette particularité de répondre aux besoins de la DSI tout en se calquant sur les usages réels des collaborateurs. Résultat, adoption garantie !

Concrètement, c’est du chiffrement des pièces jointes directement dans votre messagerie grâce au plugin Outlook/O365, de l’autocomplétion des champs sur navigateur pour les mots de passe… Bref, des fonctionnalités qui simplifient la vie de vos équipes au lieu de la compliquer.

LockSelf, c’est surtout un éditeur français de solutions de cybersécurité ** certifié CSPN par l’ANSSI**. Cette certification atteste de la robustesse de leurs mécanismes de chiffrement et de la fiabilité de la protection appliquée aux données sensibles. Leur force, c’est donc une solution complète et modulaire : LockPass pour la gestion centralisée des mots de passe, LockTransfer pour l’envoi sécurisé de fichiers, LockFiles pour le stockage chiffré des documents sensibles.

L’approche modulaire permet aux TPE/PME, ETI ou grands groupes de choisir les modules dont elles ont besoin et de renforcer progressivement leur niveau de protection. Et comme tout est développé en France avec un hébergement souverain, vous gardez la maîtrise totale de vos données.

La cybersécurité étant avant tout une fonction “support”, au service des métiers, elle ne doit pas être une barrière mais un levier qui simplifie la vie des collaborateurs, protège les actifs sensibles sans freiner la productivité et c’est pour ça que des outils comme LockSelf vous permettent d’intégrer la cybersécurité comme un atout quotidien pour la sécurité de votre entreprise et la productivité de vos équipes.

Voilà, donc si vous passez aux Assises de la cybersécurité du 8 au 11 octobre 2025, n’hésitez pas à faire un tour sur le stand B05, et à les saluer de ma part ! L’équipe LockSelf sera là pour échanger autour de vos enjeux en matière de gestion des mots de passe, de partage sécurisé de données et de stockage chiffré. Ils pourront également vous accompagner sur l’intégration de leurs solutions dans une stratégie de conformité aux exigences NIS2 et DORA.

En prime, les équipes LockSelf présenteront en avant-première de nouvelles fonctionnalités dédiées à la gestion des accès en entreprise, idéales pour les grands groupes, avant évidemment un déploiement plus large. De quoi avoir un aperçu de ce qui nous attend dans les mois à venir !

À découvrir ici !