Envoyer un mot de passe par email en clair, on l'a tous fait au moins une fois dans notre vie (oui, oui vous aussi !!). C'est pourquoi ITYLOS propose une alternative radicale où vos messages s'autodétruisent après lecture afin que personne, pas même le serveur, ne puisse les lire.

Vous écrivez votre message sur itylos.com, vous choisissez une durée de vie (1h, 24h ou 7 jours), et youpla, vous récupérez un lien unique à envoyer. Et ensuite, une fois lu, le message est détruit ! Tout ça, sans compte à créer, sans app à installer... Vous ouvrez juste le site, vous collez votre texte et c'est parti.

Côté technique, c'est du lourd puisque le chiffrement se fait ENTIÈREMENT dans votre navigateur avec de l'AES-256-GCM, et la dérivation de clé passe par Argon2ID. Du coup, le serveur ne voit jamais votre message en clair... il ne fait que stocker un blob chiffré qu'il est incapable de déchiffrer. C'est du vrai zero-knowledge, mais ça reste bien sûr une webapp, donc si votre navigateur ne supporte pas la Web Crypto API (genre un vieux Firefox ESR), ça ne marchera pas.

Et le truc qui va plaire aux plus paranos d'entre vous, c'est le traffic padding où chaque requête est gonflée à 15 Ko de bruit aléatoire pour rendre l'analyse de taille de vos messages bien plus compliquée côté réseau. Oui, c'est un vrai vecteur d'attaque et oui, ils y ont pensé. D'ailleurs, les données ne touchent pas le disque selon eux puisque tout transite en RAM, ne laissant ainsi aucune trace. Bon, sauf si vous faites un copier-coller du message dans un fichier texte, là c'est de votre faute.

Le service tourne sur une infrastructure souveraine à Genève, en Suisse. Pas sur un VPS chez AWS ou Google Cloud, hein... et y'a aussi un warrant canary PGP, signé et mis à jour chaque mois. Comme ça, si le canari disparaît, vous saurez que quelqu'un est venu taper à la porte.

Et côté conformité, ITYLOS délivre même des certificats de destruction au format JSON (oui oui, un vrai fichier .json), dans l'esprit de l'article 17 du RGPD . Perso, c'est la première fois que je vois une messagerie éphémère aller aussi loin dans la traçabilité de l'effacement, donc chapeau !

L'histoire derrière Itylos est cool aussi d'ailleurs. Tout est parti quand le créateur a récupéré un disque dur d'occasion et s'est retrouvé avec la vie entière de l'ancien proprio dessus... photos, documents, tout le bazar. Ça l'a décidé à créer un outil où les données n'existent tout simplement pas assez longtemps pour fuiter.

Et en plus c'est gratuit, open source (le code est sur GitHub sous licence MIT), et si vous êtes du genre à chiffrer vos échanges (un peu comme les utilisateurs de Kloak ), ça vaut le coup d’œil !

Merci à Mehdi pour la découverte !

Vous avez des photos en résolution pourrie qui traînent sur votre Mac ?

Du genre, des souvenirs de 2003 de vous et votre ex, en 640x480 que vous n'osez même plus ouvrir tellement c'est pixelisé de fou ? Hé bien HiPixel va vous aider car c'est une app macOS gratuite qui les upscale grâce à l'IA... et comme vous allez le voir, le résultat est plutôt cool.

C'est donc une app native SwiftUI qui utilise les modèles d' Upscayl pour faire de l'upscaling x2, x4 ou carrément x8 sur vos images, sauf que contrairement à Upscayl qui tourne sous Electron (et qui bouffe de la RAM parce que c'est du Chrome déguisé), c'est du 100% natif macOS. Le GPU est exploité directement via Metal, que vous soyez sur Apple Silicon ou sur un bon vieil Intel et moi c'est ça que j'aime !

L'interface de HiPixel, sobre et efficace

Côté formats, ça gère le PNG, le JPG et le WEBP. Vous pouvez aussi choisir de garder le format d'origine et pour ceux qui veulent pousser le truc encore plus loin, y'a une option de double upscaling... ou plutôt deux passes successives pour un résultat encore plus détaillé. Après faut pas s'attendre à des miracles non plus sur une photo de 3 pixels non plus... On n'est pas dans la série Les Experts à zoomer à l'infini sur des détails compressés de caméra de surveillance ^^.

Le truc super sympa aussi je trouve, c'est son option de "folder monitoring". Vous sélectionnez un dossier et hop, dès qu'une image atterrit dedans, elle est traitée automatiquement. Idéal si vous avez un workflow de traitement d'images à automatiser. D'ailleurs, y'a aussi un URL Scheme (hipixel://?path=/chemin/vers/image) pour l'intégrer dans vos raccourcis Shortcuts ou vos scripts Automator. Vous vous en doutez je pense, mais ça ne marche pas pour la vidéo par contre, c'est images only.

Et pour les bidouilleurs fous, l'app propose le TTA (Test Time Augmentation) qui améliore la qualité en faisant tourner le modèle sous plusieurs angles avant de combiner les résultats, et la possibilité de choisir quel GPU utiliser. Perso, sur un MacBook Air c'est chiant, mais sur un Mac Pro, ça peut faire la diff !!

Et si vous connaissiez déjà Final2x qui fait à peu près le même taf en cross-platform, HiPixel se distingue par son intégration macOS native et son batch processing en drag-and-drop. Vous balancez vos fichiers dessus, ça mouline, et c'est plié !

L'app est open source (AGPL-3.0), GRATUITE, et tourne sous macOS 13 Ventura minimum.

Voilà, si vous cherchez à redonner un coup de neuf à vos vieilles photos sur Mac, c'est le genre de petit outil qui fera le job sans prise de chou.

Un grand merci à Lorenper pour la découverte !

La vie privée sur smartphone, on en parle beaucoup mais concrètement, on fait pas grand-chose. Trop galère de tout changer, trop de trucs liés à Google... Et puis un jour, y'a un mec, Gaël Duval (oui le papa de Mandrake Linux), qui a créé /e/OS en 2018 via la e Foundation . Un Android sans Google. Pour de vrai.

Concrètement e/OS, c'est un fork d'Android, open source et gratuit, qui vire TOUS les services Google. Pas de Play Services, pas de synchro avec Mountain View, rien. À la place, le système utilise microG, une réimplémentation libre des API Google. Du coup vos apps tournent normalement, mais sans que la moindre donnée parte chez Google. Attention quand même, certaines apps bancaires ou de streaming peuvent râler un peu sans les vrais Play Services... mais dans 95% des cas, ça passe à l'aise !

Côté apps, y'a l'App Lounge. C'est un store unifié qui mélange le catalogue F-Droid (100% open source) et les apps Android classiques. Le truc malin, c'est qu'il affiche un score de confidentialité pour chaque app... histoire de voir en un coup d'oeil lesquelles sont des mouchards. Comme ça, plus besoin de chercher pendant 3h.

Le score de confidentialité dans App Lounge... les mouchards sont grillés direct

Pour le tracking, Advanced Privacy bloque les trackers en arrière-plan, masque votre IP et peut même falsifier votre géolocalisation. Ajoutez à ça un bloqueur de pubs intégré au navigateur et le moteur de recherche Murena Find... bref, c'est une sacrée couche de protection par défaut.

Et là vous allez me dire "ouais mais ça marche sur 3 téléphones". Eh ben non bande de rageux ^^, car plus de 250 appareils sont compatibles. Des Pixel, des Samsung, des Xiaomi, des OnePlus, des Fairphone... La liste est looooongue. Et pour l'installation, y'a même un web installer qui fait tout depuis votre navigateur. Comme ça, pas besoin de bidouilles en ligne de commande pour les allergiques.

Par contre, attention ! Vérifiez bien que votre modèle est dans la liste avant de vous lancer, sauf si vous aimez les mauvaises surprises.

Et si vous voulez un smartphone déjà prêt, la boutique Murena en vend plusieurs. Le Fairphone 5 à 449€ pour ceux qui veulent du durable, le Fairphone 6 à 599€, et bientôt le HIROH à 999€ avec son kill switch matériel pour couper micro et caméra. Vous sortez le téléphone de sa boîte et vous êtes dégooglisés direct.

Les smartphones Murena, prêts à l'emploi sans Google

Côté cloud, Murena fournit 1 Go gratuit avec une adresse @murena.io, un service de mail et un coffre-fort chiffré (le Vault, basé sur CryptPad) tout ça hébergé en Europe. C'est pas des masses en stockage, mais pour du mail et des contacts c'est suffisant. D'ailleurs si vous cherchez des alternatives à Google Photos , y'a de quoi faire ici aussi.

Et pour ceux qui veulent aller encore plus loin sur la protection des données Android, le clavier Urik est un bon complément... parce que oui, votre clavier aussi peut balancer tout ce que vous tapez !

Si vous hésitez, sachez qu'une étude de 2021 des universités d'Édimbourg et de Trinity College Dublin a même confirmé que c'est l'une des ROM Android qui envoie le moins de données en arrière-plan. Pas "zéro" hein, faut pas rêver mais comparé à un Android stock... c'est le jour et la nuit.

Donc c'est pas parfait hein mais entre un Android qui balance tout à Google et un /e/OS qui fait le job sans moucharder... la question elle est vite répondue !

Obsidian vient de sortir son CLI officiel qui propose des dizaines de commandes, un mode interactif avec autocomplétion, et la possibilité de tout piloter depuis votre terminal. Grâce à ça, vous allez pouvoir créer des notes .md, chercher, gérer vos tâches... le tout sans quitter votre shell !

Disponible depuis la version 1.12, le CLI d'Obsidian transforme donc votre terminal en poste de pilotage pour vos coffres de notes. Concrètement, vous tapez obsidian suivi d'une commande, et ça interagit direct avec l'app qui tourne en arrière-plan via un socket local. Du coup, plus besoin de jongler entre les fenêtres... un petit obsidian create mon-fichier.md et c'est plié.

En fait, quand je dis que c'est complet, c'est pas pour faire joli. On peut créer des notes en .md, en ouvrir avec obsidian open, les déplacer, les supprimer. Vous pouvez aussi chercher avec obsidian search "mon texte", gérer les tâches, interagir avec les plugins... y'a même une commande obsidian daily pour ouvrir votre note du jour en une seconde. Si vous tenez un journal au quotidien, c'est royal !

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/obsidian-cli-piloter-notes-terminal/obsidian-cli-piloter-notes-terminal-1.mp4">lien vers la vidéo</a>.

Un développeur chinois a mis en ligne CyberStrikeAI, une plateforme open source qui combine IA générative et plus de 100 outils offensifs pour automatiser les cyberattaques. En parallèle, un pirate amateur russophone a compromis plus de 600 pare-feu FortiGate dans 55 pays avec l'aide de DeepSeek et Claude, le tout en à peine cinq semaines. Les hackers aussi ont visiblement droit à leur copilote.

Un arsenal offensif piloté par l'IA

CyberStrikeAI est l'œuvre d'un développeur chinois qui se fait appeler Ed1s0nZ. L'outil, écrit en Go et publié sur GitHub, intègre plus de 100 outils offensifs : nmap, Metasploit, hashcat, mimikatz et bien d'autres. Le tout est piloté par des modèles de langage comme GPT ou Claude, qui se chargent de planifier les attaques, analyser les résultats et adapter la stratégie au fil de l'attaque. Le développeur a des liens avec Knownsec 404, une équipe de recherche en sécurité rattachée au ministère de la Sécurité d'État chinois via la CNNVD.

600 pare-feu tombés en cinq semaines

L'autre affaire est tout aussi parlante. Entre le 11 janvier et le 18 février 2026, un pirate russophone a compromis plus de 600 pare-feu Fortinet FortiGate dans 55 pays. Amazon Threat Intelligence a repéré la campagne et découvert un serveur mal sécurisé contenant plus de 1 400 fichiers : identifiants volés, scripts d'exploitation, logs d'attaque. Le pirate utilisait un serveur MCP baptisé ARXON et un orchestrateur en Go appelé CHECKER2, les deux s'appuyant sur DeepSeek et Claude pour automatiser le travail. Le pirate n'a même pas eu besoin d'exploiter de faille logicielle : des mots de passe faibles et des ports de gestion ouverts sur Internet ont suffi.

L'IA compense le manque d'expérience

Le pirate derrière les FortiGate n'est pas un vétéran : ses erreurs de sécurité opérationnelle, comme un serveur ouvert à tous les vents, trahissent un manque d'expérience flagrant. Sauf que l'IA a compensé. Là où il aurait fallu des années de pratique pour mener une campagne de cette envergure, les modèles de langage ont comblé les lacunes. CrowdStrike a d'ailleurs noté une hausse de 89 % des attaques assistées par IA en 2025. Et avec des outils comme CyberStrikeAI qui mettent l'arsenal offensif à portée de n'importe qui, ça ne va pas s'arranger.

Franchement, on n'est plus dans la théorie. L'IA offensive est devenue accessible, et les dégâts sont bien réels. Le problème, c'est que les garde-fous des modèles de langage sont toujours une passoire, et que tout le monde fait semblant de ne pas le voir.

Sources : cyberinsider , thehackernews

π RuView: WiFi DensePose est un projet qui fait un peu flipper puisque ça permet de transformer les ondes de votre box internet en détecteur de corps humains... à travers les murs ! Rythme cardiaque, respiration, posture, tout y passe et le pire (ou le mieux, c'est selon ^^), c'est que c'est open source et que vous pouvez tester ça chez vous.

En fait, le principe c'est que votre routeur WiFi émet des ondes radio en permanence et quand ces ondes traversent ou rebondissent sur un corps humain, elles sont perturbées d'une façon mesurable. Ce projet analyse donc ces perturbations via le CSI (Channel State Information, c'est-à-dire les données de chaque sous-porteuse du signal) et en déduit la position de 17 points du corps. Un peu comme la vision WiFi dont je vous parlais déjà ici , sauf que là c'est un vrai outil clé en main que vous pouvez utiliser.

Concrètement, ça capte la respiration (entre 6 et 30 respirations par minute), le rythme cardiaque (40 à 120 BPM), et ça peut suivre plusieurs personnes en même temps, tout ça à travers les murs, jusqu'à environ 5 mètres selon l'épaisseur et le matériau. Attention, les murs épais en béton et le métal dégradent pas mal le signal, voire le bloquent carrément selon l'épaisseur.

Ce qu'il vous faut

Pour juste tester l'interface web et les démos, il vous faut Docker . C'est tout.

Après pour la détection complète en conditions réelles avec le CSI, là c'est une autre histoire. Il faut 3 à 6 modules ESP32-S3 en mesh (comptez environ 50 euros le lot) ou une carte réseau Intel 5300 / Atheros AR9580 (entre 50 et 100 euros) et bien sûr, ça tourne sur Linux, macOS et Windows.

Sauf que voilà, avec un WiFi classique de laptop (ou plutôt sans carte CSI dédiée), vous aurez uniquement la détection de présence via RSSI... c'est très basique en fait. Pour la pose complète et les signes vitaux, ça ne marchera pas sans matériel CSI mais bon, c'est pas la mer à boire niveau budget non plus !

Installation avec Docker

La méthode rapide. Ouvrez un terminal :

docker pull ruvnet/wifi-densepose:latest
docker run -p 3000:3000 ruvnet/wifi-densepose:latest

Hop, vous ouvrez http://localhost:3000 dans votre navigateur et vous tombez sur un dashboard de monitoring en temps réel.

Compiler depuis les sources

Et pour ceux qui veulent mettre les mains dans le cambouis :

git clone https://github.com/ruvnet/RuView.git
cd RuView
./install.sh --profile rust --yes

Ce repo RuView, c'est en fait la version compilable du projet WiFi DensePose. Il faut donc Rust et Python car le cœur du truc est écrit en Rust et le pipeline de traitement CSI en python annonce pouvoir traiter 54 000 frames par seconde environ. C'est lui qui gère le machine learning derrière. Sur le papier c'est donc très impressionnant, mais reste à voir ce que ça donne en conditions réelles.

Du coup, côté vie privée, c'est clairement un sujet à double tranchant. Par exemple, pouvoir surveiller une personne âgée chez elle sans capteur intrusif, ou pour détecter des survivants dans des décombres... c'est super !! Mais scanner les gens à travers les murs sans qu'ils ne le sachent, c'est une autre paire de manches... Et tout ça est sous licence MIT... donc autant dire que ça ne va pas trainer pour devenir des outils clés en main à la portée de n'importe qui.

Merci à Florian pour le lien et amusez-vous bien avec ça... mais évitez quand même de scanner vos voisins !

Le YouTuber ScuffedBits a tenté un pari un peu débile : alimenter un PC de bureau Intel sous Windows 10 avec des piles AA en remplacement de l'alimentation classique. Après plusieurs tentatives ratées avec 8 puis 24 piles, il a fini par en brancher 56, accompagnées de deux gros condensateurs. Résultat : à peine quatre minutes de Démineur avant que tout s'éteigne.

De 8 à 56 piles

L'idée de départ est simple : remplacer le bloc d'alimentation d'un PC de bureau par des piles AA du commerce. ScuffedBits a utilisé une machine plutôt modeste (processeur Intel d'entrée de gamme, deux barrettes de RAM, un SSD SATA 2,5 pouces sous Windows 10) et un adaptateur ATX acheté sur AliExpress qui accepte du 12 volts en courant continu. Les premiers essais avec 8, 16 puis 24 piles n'ont rien donné. Le câblage trop fin et les chutes de tension sous charge faisaient planter la machine instantanément. Il a fallu passer à 56 piles alcalines montées en série et en parallèle, et ajouter deux condensateurs électrolytiques de 6 800 µF pour lisser les pics de consommation. Là, le PC a enfin démarré.

Les AI Overviews de Google, ces résumés générés par intelligence artificielle en haut des résultats de recherche, affichent parfois de faux numéros de service client. Des arnaqueurs exploitent la fonctionnalité pour piéger les utilisateurs et leur soutirer de l'argent. Si elle n'est pas encore disponible en France, elle l'est dans plus de 200 pays, et ChatGPT est lui aussi concerné.

Des faux numéros dans les résultats de recherche

Alex Rivlin, un entrepreneur américain, a cherché le numéro du service client de Royal Caribbean sur Google. Le résumé IA affiché en haut de page lui a fourni un numéro. Il a appelé, une personne s'est présentée comme employée de la compagnie, a répondu à ses questions, puis lui a fait payer 768 dollars pour un service gratuit. Rivlin a compris l'arnaque en voyant deux débits suspects sur son compte.

Une technique vieille de 30 ans

Le mécanisme est assez simple. Les arnaqueurs publient le même faux numéro de téléphone sur des dizaines de sites web, forums et pages d'avis, en l'associant au nom d'une entreprise connue. L'IA de Google, en balayant ces sources pour construire ses résumés, aspire le numéro sans le vérifier et le présente comme une information fiable. Mike Blumenthal, analyste chez Near Media, rappelle que cette technique date de 30 ans (oui, 30 ans). La différence, c'est qu'avant, il fallait quand même scroller et comparer les résultats. Avec les résumés IA, le faux numéro est servi directement, sans effort.

Pas encore en France, mais attention quand même

Les AI Overviews sont actifs dans plus de 200 pays, mais pas en France pour le moment à cause d'un conflit autour des droits voisins. En Europe, la fonctionnalité est déjà active en Allemagne, en Espagne, en Italie et en Belgique. Si vous voyagez ou si vous utilisez Google en anglais, vous pouvez tomber dessus. Et le problème ne se limite pas à Google : ChatGPT affiche lui aussi ces faux numéros. Le réflexe à avoir : ne jamais appeler un numéro trouvé dans un résumé IA sans le vérifier sur le site officiel de l'entreprise.

Google possède déjà une base de données avec les coordonnées vérifiées de millions d'entreprises, et la plupart ont un compte Google Business. Utiliser ces données plutôt que de scraper le web à l'aveugle, ça semble quand même assez logique. Mais visiblement, l'IA préfère aller chercher n'importe où. On espère que ça sera corrigé avant l'arrivée de la fonctionnalité en France, parce que si c'est pour se faire arnaquer en appelant un SAV, on n'est pas rendus.

Sources : Wired , Security Boulevard (visuel : Pexels )

Thales vient de réaliser une première mondiale en démontrant qu'il est possible de mettre à jour la protection cryptographique des cartes SIM et eSIM 5G déjà en circulation, à distance et sans couper la connexion. De quoi préparer dès maintenant les réseaux mobiles à la menace des futurs ordinateurs quantiques, et ce sans avoir à remplacer physiquement les cartes.

Une mise à jour silencieuse, et c'est tout

Thales a donc montré qu'on peut télécharger de nouveaux algorithmes cryptographiques directement sur une carte SIM ou eSIM 5G, sans que l'utilisateur n'ait quoi que ce soit à faire. La mise à jour se lance en arrière-plan, un peu comme un update logiciel classique, sauf que c'est la carte SIM elle-même qui reçoit une nouvelle couche de protection (et vous n'avez même pas à cliquer sur « installer plus tard »). Le service n'est pas interrompu, les données sont préservées, et la connexion continue de fonctionner normalement. Bref, c'est totalement transparent.

Des milliards de cartes SIM à protéger

Les ordinateurs quantiques, quand ils seront assez puissants, pourront casser les systèmes de chiffrement actuels. Et la 5G ne sert pas qu'à regarder des vidéos ou envoyer des messages. Elle transporte aussi les communications des véhicules connectés, des services d'urgence et de nombreuses infrastructures du quotidien. Du coup, sécuriser ces réseaux avant l'arrivée des ordinateurs quantiques, c'est tout sauf un détail. Remplacer physiquement toutes les cartes SIM en circulation dans le monde serait impossible, trop long et beaucoup trop cher. C'est ce mur que Thales a contourné avec ce qu'il appelle l'agilité cryptographique : mettre à jour les SIM existantes à distance, plutôt que d'attendre la prochaine génération de cartes.

La France en première ligne

Thales ne fait pas que démontrer la faisabilité de la chose. Le groupe conçoit ses propres algorithmes résistants au quantique, soumis aux organismes de standardisation internationaux dont le NIST américain. L'ANSSI a d'ailleurs émis fin 2025 ses deux premières certifications de produits intégrant de la cryptographie post-quantique, et Thales en fait partie. Avec plus de 4 milliards d'euros investis chaque année en R&D et 83 000 collaborateurs dans 68 pays, le groupe avait déjà travaillé avec SK Telecom et Samsung sur le chiffrement post-quantique de la 5G. Le déploiement à grande échelle sur les réseaux commerciaux et privés est la prochaine étape.

Ce n'est franchement pas tous les jours qu'un industriel français arrive premier sur un sujet aussi pointu. Thales a prouvé que la sécurité post-quantique n'est pas uniquement un truc de labo : on peut déjà préparer les réseaux existants sans tout casser. Maintenant, il va falloir que les opérateurs suivent et décident de pousser ces mises à jour sur leurs parcs. Parce que la démo, c'est bien, mais tant que votre eSIM n'a pas reçu sa couche de crypto post-quantique (punaise ça claque), on est toujours dans la théorie. Bref, un jour votre carte SIM se mettra à jour toute seule pour résister à un ordinateur quantique. Et vous ne vous en rendrez même pas compte.

Source : Socialnews , AFP

Bon, vous connaissez tous CapCut car TOUT LE MONDE connaît CapCut. Sauf qu'avec ce truc, vos fichiers atterrissent directement sur les serveurs de l'entreprise chinoise ByteDance. Hé bien Cutia , c'est pareil mais en open source, dans le navigateur, et vos vidéos restent chez vous ! Elle est pas belle la vie ?

Cutia c'est donc un éditeur vidéo qui tourne entièrement dans votre browser, genre Chrome ou Firefox et côté fonctionnalités, on a le kit classique bien fichu de la timeline multi-pistes pour empiler de la vidéo, de l'audio, du texte et même des stickers, sans oublier une preview en temps réel, et de l'export en MP4 ou WebM. Y'a pas de watermark et c'est gratuit !

Alors oui, c'est pas Premiere Pro, clairement, mais pour du montage rapide ça fait largement le taf (sauf si vous devez gérer du 4K sur 2 heures, évidemment). Et le truc cool, c'est que tout est local-first. Vos rushs restent sur votre disque, le traitement se fait côté navigateur, et à aucun moment vos fichiers ne transitent par un serveur tiers.

Si vous faites des Reels, des TikTok ou des petites vidéos pour vos projets, c'est donc largement suffisant. Y'a pas besoin de sortir l'artillerie lourde pour couper trois clips et coller du texte par-dessus. D'ailleurs, si vous êtes plutôt du genre à automatiser vos montages vidéo avec CapCut et ChatGPT , j'ai un tuto pour ça.

Y'a aussi des éditeurs vidéo libres comme Shotcut qui existent depuis longtemps, mais ils nécessitent une installation. L'avantage de Cutia, vous l'aurez compris, c'est que vous ouvrez un onglet et c'est parti mon kiki !

Le projet est un fork d' OpenCut , sous licence MIT, et c'est encore jeune donc y'a du boulot sur pas mal de trucs (par exemple l'export rame un peu sur les grosses vidéos et ça ne marche pas encore sur Safari), mais la base est là.

Pour les plus barbus d'entre vous, c'est auto-hébergable avec du Docker ou Vercel en un seul clic. Après sur la home, le site présente l'app comme "AI-native", mais en fait y'a RIEN de visible côté IA pour l'instant. C'est surtout un éditeur vidéo solide dans le navigateur, et c'est déjà pas mal du tout.

Bref, pour du montage rapide sans prise de tête, ça vaut le coup d’œil. Merci à Lorenper pour le partage !

Bonjour les nostalgiques qui aimaient quand l'informatique c'était simple ! Aujourd'hui, j'aimerais vous parler de RetroTick , qui est un émulateur x86 qui fait tourner des exécutables Windows à l'ancienne et DOS directement dans votre navigateur. De FreeCell au Démineur en passant par SkiFree, hop, vous glissez-déposez le .exe (ou le .com pour le DOS) et ça tourne impeccable !

Ce projet reproduit une couche Win32, Win16 et DOS, le tout codé en TypeScript (99,8% du repo) sans avoir besoin ni de VM, ni de Wine / QEMU qui rame dans un coin. Vous ouvrez une page web, vous balancez votre fichier .exe, et ça s'exécute.

Le rendu 3D s'appuie sur WebGL2 pour interpréter les vieilles commandes OpenGL, du coup le screensaver Maze ou 3D Pipes (oui, les tuyaux moches de Windows 98) s'affichent nickel. Il y a même un gestionnaire de fenêtres multi-fenêtre avec barre des tâches, z-order et tout le bazar. Ambiance 1998 assurée dans un onglet de navigateur.

D'ailleurs, RetroTick ne se limite pas à faire du fun rétro. Si vous bossez par exemple dans une boîte qui traîne encore des outils legacy, genre des logiciels métier qui tournent uniquement sur Windows XP ou un truc codé en 2003 sous Visual Basic 6, ce genre de projet pourrait ouvrir quelques portes...

L'interface RetroTick dans le navigateur, ambiance Windows 98

En effet, rendre ces vieux programmes accessibles via un navigateur, sans avoir à maintenir des machines virtuelles sur chaque poste, c'est carrément pas bête. Pour les DSI qui gèrent des parcs hétérogènes, ça pourrait donc éviter pas mal de prises de tête.

Le système de fichiers est virtuel, et vos fichiers survivent entre les sessions grâce à IndexedDB (sauf si vous videz le cache du navigateur, évidemment). Et si vous connaissez déjà v86, l'émulateur x86 en WebAssembly , RetroTick est en fait assez différent parce qu'il n'émule pas un PC complet. Il traduit directement les appels Win32/DOS vers des API web natives, donc forcément, c'est bien plus léger.

Côté licence, c'est du CC0 1.0, en gros du domaine public et toute la base de code a été générée par IA (il y a même un CLAUDE.md dans le repo).

C'est donc brouillon par endroits, les rendus plantent encore et il manque des trucs et ça ne marche pas avec tous les .exe non plus. Mais au final, c'est un projet qui progresse assez vite donc ça devrait se bonifier avec le temps ! Voilà.

Et si les émulateurs rétro dans le navigateur vous branchent, allez jeter un oeil aussi à cet article.

Vous avez une vidéo trop lourde pour Discord et sa limite pourrie à 10 Mo ? Du coup, vous passez une demi-heure à bidouiller les réglages d'encodage pour trouver le bon bitrate... sauf que ça marche jamais du premier coup.

Constrict , c'est une app GNOME (Linux uniquement, du coup...) qui règle ce problème de la façon la plus logique possible. Vous lui donnez une taille cible en Mo, et elle se débrouille toute seule pour que votre vidéo rentre pile-poil dedans.

C'est le genre de truc indispensable quand Discord vous bloque à 10 Mo en compte gratuit, que Telegram impose aussi ses propres limites, ou que vous voulez envoyer un fichier par mail sans que ça foire.

En gros, au lieu de deviner quel débit binaire il faut, vous dites juste "je veux que ça fasse 8 Mo" et hop, l'outil calcule automatiquement le bitrate, la résolution, le framerate et la qualité audio pour coller à votre objectif.

Côté codecs, c'est plutôt complet puisqu'on a du H.264 pour la compatibilité, HEVC si vous voulez du lourd sans le poids, AV1 pour les plus patients (attention, l'encodage prend nettement plus longtemps que du H.264... mais le ratio qualité/taille est dingue !) et VP9 pour les adeptes des formats ouverts. Du coup, que vous envoyiez votre clip sur un réseau social, une messagerie instantanée ou par mail, y'a toujours un codec adapté !

Et si vous avez tout un dossier de vidéos à réduire, Constrict gère également le traitement par lot. Vous sélectionnez vos fichiers, vous choisissez la taille cible et un répertoire de sortie, et ça mouline tout seul (sauf si vous lancez 50 fichiers en AV1... là, prévoyez beaucoup de café). En tout cas, c'est quand même plus agréable qu'un script FFmpeg bricolé à la main.

Après si vous essayez de faire rentrer un film 4K de 2h dans 8 Mo... ça va être super moche...

L'app fait de son mieux pour garder un max de qualité, mais y'a des limites physiques (hé oui la compression, ça ne marche pas comme de la magie). D'ailleurs, si la réduction demandée est trop violente, l'outil vous préviendra que c'est mort !

L'app est développée en Python avec GTK4 et Libadwaita, du coup l'interface est native et bien intégrée au bureau GNOME. Elle est certifiée GNOME Circle (ce qui est plutôt bon signe côté qualité) et le code est sous licence GPL-3.0, donc gratuit et open source. Pour l'installation, ça passe par Flatpak sur Flathub ... un :

flatpak install flathub io.github.wartybix.Constrict

... et c'est plié !

Si vous cherchez des alternatives dans le même genre, MystiQ fait de la conversion multiformat et Adapter est un bon couteau suisse basé sur FFmpeg. Mais aucun des deux ne propose ce ciblage par taille, et c'est ça le vrai plus de Constrict !

Merci à Lorenper pour la découverte !

Filer des petites claques à son MacBook pour qu'il couine... c'est le genre de projet qu'on s'attend à trouver sur GitHub d'un Otaku sauf que là, c'est du sérieux... Enfin presque.

Spank (Ah ah !), c'est un petit binaire en Go qui exploite l'accéléromètre de votre MacBook Apple Silicon via IOKit HID qui dès qu'il détecte un choc physique sur la machine, joue un petit son.

Dans Spank, y'a 4 modes au choix. D'abord le mode "pain" par défaut qui balance aléatoirement une dizaine de clips audio de protestation quand vous lui mettez une baffe. Là ça va vous plaire un peu plus car il y a également le mode --sexy, qui lui, monte en intensité au fil des claques sur une fenêtre glissante de 5 minutes, avec 60 niveaux d'escalade (ouch !).

Et pour les fans de Master Chief, il y a le mode --halo qui joue les sons de mort du jeu. Et si rien de tout ça ne vous parle, --custom /chemin/vers/vos/mp3 vous permettra de balancer vos propres fichiers audio.

En fait, derrière ce délire, il y a une détection plutôt costaud. Notamment des algorithmes qu'on retrouve en sismologie (comme STA/LTA, CUSUM, kurtosis) qui analysent les données brutes du capteur du MacBook pour distinguer une vraie claque d'un mouvement de sac à dos.

Vous pouvez également régler la sensibilité avec --min-amplitude... de 0.05 g (un effleurement suffit) à 0.50 g (là faut le déglinguer !!). Par défaut c'est calé à 0.30 et ça se combine avec les modes, genre sudo spank --sexy --min-amplitude 0.2 pour un laptop ultra-réactif dans les petits cris.

Pour l'installer :

go install github.com/taigrr/spank@latest

ET sinon y'a aussi des binaires précompilés sur la page des releases, donc pas besoin d'installer Go sur votre machine. Et ça nécessite sudo parce que macOS protège l'accès au capteur matériel via IOKit donc faut lancer comme ceci : sudo spank dans le terminal.

D'ailleurs si vous voulez que votre Mac réagisse H24, y'a également un template launchd fourni (fichier .plist à coller dans /Library/LaunchDaemons/) pour le configurer en daemon au démarrage, un peu comme quand on doit automatiser d'autres outils macOS . C'est parfait pour piéger un collègue (Le 1er avril arrive bientôt !!!)... Le gars qui pose son café un peu fort à côté de l'ordi, va rougir assez vite...

Seul bémol, attention, ça ne marche pas sur Mac Intel. Faudra du Apple Silicon M2 minimum, car le capteur accéléromètre n'existe tout simplement pas sur les anciens modèles. Le binaire fait ~4 Mo tout mouillé, y'a pas de dépendances et c'est sous licence MIT.

Voilà voilà. Tapez pas trop fort quand même ! Après je crois qu'Apple va bientôt sortir de nouveaux MacBooks, donc c'est peut-être l'occasion aussi d'en changer... ^^

Merci à Lorenper pour la fessée... euh pour le lien !

Le Conseil norvégien des consommateurs vient de publier un rapport au titre évocateur : Breaking Free. Avec le soutien de plus de 70 organisations en Europe et aux États-Unis, il met un mot sur ce que beaucoup ressentent : les services numériques se dégradent, et c'est tout sauf un accident. Le phénomène s'appelle l'enshittification, et le rapport propose des pistes pour inverser la tendance.

Le terme enshittification a été inventé par l'auteur et militant Cory Doctorow en 2023 pour décrire un mécanisme bien rodé : une plateforme commence par offrir un service de qualité pour attirer les utilisateurs, puis dégrade progressivement l'expérience pour maximiser ses revenus. Le rapport Breaking Free, publié il y a quelques jours par le Conseil norvégien des consommateurs, reprend ce concept et l'applique à l'ensemble du secteur de la tech. Le constat est clair : il ne s'agit pas d'un effet secondaire, mais de choix délibérés.

Cortical Labs avait déjà fait jouer ses neurones à Pong. Du coup, forcément, fallait que ça leur monte à la tête... car cette fois, ils ont lâché environ 200 000 cellules cérébrales humaines sur Doom, et en moins d'une semaine, elles ont appris à y jouer !

Pour ceux qui auraient loupé l'épisode précédent, le CL1 c'est un bioordinateur avec environ 800 000 neurones humains cultivés sur une puce (dont ~200 000 utilisés ici). J'en avais parlé à son lancement, quand les neurones se contentaient de faire des parties de Pong (ce qui était déjà pas mal pour des cellules dans une boîte de Petri). Mais bon, Pong c'est sympa 5 minutes... mais l'équipe de Cortical Labs a visé plus haut !

Aidés par le développeur indépendant, Sean Cole, ils ont réussi à connecter Doom au CL1 via l'API cloud de Cortical Labs afin que les neurones reçoivent une version simplifiée de l'écran sous forme de stimulations électriques et renvoient des spikes décodés en commandes (avancer, tourner, tirer).

Le Dr. Brett Kagan, le directeur scientifique de la boîte, explique que "les cellules jouent un peu comme un débutant"... et arrivent quand même à chercher les ennemis, leur tirer dessus et tourner sur elles-mêmes.

Le truc carrément chelou, c'est que personne ne comprend exactement COMMENT les neurones apprennent à jouer. On sait juste qu'ils utilisent un truc appelé "adaptive real-time goal-directed learning"... ou plutôt, on sait qu'ils apprennent, mais en fait personne ne sait POURQUOI ça marche. Les cellules s'auto-organisent et bricolent des stratégies toutes seules, quoi...

D'ailleurs, la complexité de Doom a poussé Cortical Labs à développer le Cortical Cloud, une infra dédiée pour gérer le traitement en temps réel. Bref, Doom sur des neurones biologiques, ça demande un poil plus de tuyauterie que Pong et si vous pensiez que c'était réservé aux labos, détrompez-vous.

En effet, le projet est open source, dispo sur GitHub , et les développeurs peuvent accéder au CL1 via l'API cloud. Ça rappelle un peu le projet chinois Darwin Monkey qui simule un cerveau de singe, sauf qu'ici ce sont de VRAIS neurones humains, pas une simulation.

Attention quand même, faut pas s'emballer... les neurones jouent comme des pieds. Ils galèrent, ils tournent en rond, ils ratent des ennemis à bout portant. On dirait moi sur Arc Raider... Et ça ne marche pas à tous les coups non plus, puisque les performances varient d'une session à l'autre. Mais le fait qu'ils apprennent sans qu'on leur dise comment... je trouve ça carrément dingue.

Du coup, si vous voulez voir des neurones galérer sur Doom, je vous invite à regarder cette vidéo :

Regarder un film dans des conditions parfaites en 2026, ça passe forcément par un écran des années 2000 ! Bah quoi ? Vous vous dites qu'est ce qu'il a encore fumé le gars ? Mais ouais, vous avez bien lu parce que pendant que tout le monde court après les dalles OLED 4K à 120 Hz à se toucher la nouille, y'a une petite communauté de passionnés qui redécouvre les bons vieux moniteurs CRT de PC pour mater des films en vrai 24p... et le résultat est vraiment chouette !

Car le problème avec la plupart des écrans, c'est qu'ils tournent à 60 Hz (ou sont configurés en 60 Hz par défaut). Et 24 images par seconde, ça rentre pas pile poil dans 60 (coucou les matheux !). Du coup, votre TV fait du "3:2 pulldown", c'est-à-dire qu'elle affiche certaines images 3 fois et d'autres 2 fois pour combler le trou. Et cela provoque une micro-saccade que vous voyez dans les travellings et qui est vite agaçante...

Bonne nouvelle, c'est pas le film qui est merdique, c'est votre écran qui galère sa mère. Et y'a pas grand-chose à faire côté logiciel pour compenser... ou plutôt, pas sur un écran 60 Hz classique.

Un moniteur CRT de PC, lui, s'en fiche complètement. Il peut se synchroniser sur n'importe quel taux de rafraichissement. Et c'est là que l'astuce de Bob (de RetroRGB) entre en jeu. Avec un simple Raspberry Pi 4, un convertisseur ACTIF HDMI vers VGA (genre un Lindy 38191 à une vingtaine d'euros) et LibreELEC avec Kodi, vous pouvez balancer du 23,976 Hz natif sur votre vieux tube cathodique. Et là, vous passez en mode cinéma pur, sans aucune interpolation !

La startup chinoise MirrorMe Technology vient de dévoiler Bolt, un robot humanoïde de 75 kilos capable de sprinter à 36 km/h sur ses deux jambes, en conditions réelles. C'est le bipède artificiel le plus rapide jamais conçu et il dépasse allègrement la vitesse de course de la plupart d'entre nous. La Chine prend encore un gros coup d'avance dans la robotique humanoïde.

10 mètres par seconde sur deux jambes

MirrorMe Technology vient de présenter Bolt, un humanoïde qui a atteint 10 mètres par seconde lors de tests sur piste. Ça fait 36 km/h, soit à peu près la vitesse moyenne d'un sprinter humain sur un 100 mètres. La machine mesure 1,75 m pour 75 kg, des mensurations proches de celles d'un adulte moyen. La finition rouge métallisé donne un look qui rappelle plus un personnage de film de science-fiction qu'un robot de labo. La vidéo est assez rigolote, vous pouvez la visualiser ici .

Gaël Musquet, mon copain hacker, me parlait déjà de tracking TPMS en 2020. Du coup, quand je vois des chercheurs publier un document de recherche en 2026 pour "découvrir" qu'on peut pister une voiture via ses capteurs de pneus, bon, comment dire... je suis pas tombé de ma chaise.

Mais faut reconnaître que l'étude en question va quand même plus loin qu'une discussion entre 2 stands au FIC. En effet, une équipe d'IMDEA Networks et d'armasuisse (le labo de défense suisse, rien que ça) a posé 5 récepteurs SDR dans une ville pendant 10 semaines. Coût du matos, environ 100 dollars par capteur, qui est en gros un Raspberry Pi 4 avec un dongle RTL-SDR à 25 balles. Et grâce à cela, ils ont capté plus de 6 MILLIONS de messages, provenant de plus de 20 000 véhicules !

un Raspberry Pi 4 avec un dongle RTL-SDR - Source

Car oui, vous ne le savez peut-être pas, mais les capteurs de pression des pneus (TPMS pour les intimes) émettent régulièrement dès que le véhicule roule, sur 433 MHz en Europe. Et ces signaux contiennent un identifiant unique... qui bien sûr est en clair ^^. Pas de chiffrement, pas d'authentification, QUE DALLE. Donc avec un logiciel open source comme rtl_433 , ça devient vite facile de capter tout ça à plusieurs dizaines de mètres à la ronde.

En croisant les identifiants captés par plusieurs récepteurs, les chercheurs ont pu reconstituer les trajets des véhicules, identifier leurs horaires de travail, détecter les jours de télétravail et même estimer les variations de charge du véhicule (et potentiellement déduire la présence de passagers, même si c'est encore approximatif). Le tout sans caméra, sans GPS, et sans accès au réseau du véhicule !

Il suffirait de trouver l'identifiant d'une voiture précise pour déclencher par exemple automatiquement un lâcher de confettis en papier parfaitement inoffensifs à son passage, si vous voyez ce que je veux dire.

Alors attention, tous les véhicules ne sont pas logés à la même enseigne. Les TPMS dits "directs" (dTPMS), qu'on trouve souvent chez Toyota, Peugeot, Citroën, Hyundai ou Mercedes, émettent ces fameux signaux radio captables. Alors que les systèmes "indirects" (iTPMS), utilisés par la plupart des modèles Volkswagen, Audi ou Skoda, se basent sur les capteurs ABS et n'émettent rien par radio. Bref, si vous roulez en Golf de base, y'a de bonnes chances que vous soyez tranquilles sur ce coup-là même si certaines versions sportives ou haut de gamme (Golf R, GTI selon les marchés) peuvent embarquer du dTPMS.

Et le pire dans tout ça c'est que la réglementation UN R155 sur la cybersécurité automobile n'impose pas explicitement le chiffrement des TPMS. En gros, les constructeurs ne sont pas forcés de sécuriser ces transmissions. Pirelli et Bosch bossent bien sur un "Cyber Tyre" en Bluetooth Low Energy, mais c'est réservé au haut de gamme et c'est pas demain que ça arrivera sur votre Clio.

Donc côté protection, soyons honnêtes, y'a pas grand-chose à faire côté utilisateur. Vous ne pouvez pas désactiver vos TPMS (c'est obligatoire depuis 2014 pour les voitures neuves en Europe), et les capteurs ne proposent aucune option de chiffrement. Sauf si vous roulez en véhicule vintage d'avant 2014, c'est open bar. Une des parades serait que les constructeurs implémentent un système de rotation d'identifiants, un peu comme le fait déjà le Bluetooth avec les adresses MAC aléatoires, mais pour l'instant on en est loin.

Cela dit, comme me le fait remarquer Mathieu Passenaud, faut quand même relativiser. Pour tracker une voiture, y'a déjà un identifiant bien plus pratique... la plaque d'immatriculation. Écrite en gros, visible à l'oeil nu. Une caméra et OpenCV, c'est moins cher et plus fiable qu'un setup SDR. Le numéro de VIN est aussi accessible publiquement au niveau du pare-brise, et celui-là permet carrément de remonter au hardware embarqué du véhicule ( Mathieu a d'ailleurs documenté le cas John Deere qui lie sa plateforme aux engins via le VIN visible sur le châssis).

Et puis y'a un détail technique que personne ne mentionne... le déplacement. Un message TPMS c'est 12 à 20 octets émis entre 5 et 10 kbps, soit 10 à 20 ms de transmission. Sauf qu'à 130 km/h, la voiture avance de 3 cm par milliseconde, ce qui complique sérieusement la captation. Ajoutez que le TPMS n'émet que toutes les minutes environ (faut être pile au bon endroit au bon moment), et le scénario du tracking massif en conditions réelles, c'est quand même autre chose qu'en labo.

Pour ceux qui veulent creuser le sujet, j'avais fait une rencontre avec Gaël Musquet il y a quelques années, où il expliquait déjà comment reprendre le contrôle de nos véhicules connectés. Et si vous voulez comprendre comment on hacke une voiture de manière plus générale, c'est un rabbit hole sans fond !

Bref, la prochaine fois que vous gonflez vos pneus... dites-leur bonjour de ma part.

Source

2>&1, >, >>, 2>/dev/null... Si ces symboles dans votre terminal Linux ou macOS vous font autant flipper qu'un regex, respirez un grand coup ! Quand vous aurez lu cet article, vous verrez qu'en fait c'est super simple à comprendre, et en 5 minutes vous saurez enfin ce que vous copiez-collez depuis des années depuis StackOverflow.

En fait, dans les shells Unix (bash, zsh, etc.), y'a 3 canaux de base : stdin (entrée, numéro 0), stdout (sortie normale, numéro 1) et stderr (les erreurs, numéro 2). Tout le reste, de > à 2>/dev/null, découle de ces 3 numéros.

> - Écrire dans un fichier (et tout écraser)

echo "Salut" > fichier.txt

echo "Ligne 2" >> fichier.txt

commande_foireuse 2> erreurs.log

commande > output.log 2>&1

commande &> output.log

find / -name "*.conf" 2>/dev/null