Le nouveau BMW iX3 ferait un départ canon, à en croire les premiers chiffres de ventes : plus de 50 000 commandes auraient déjà été enregistrées en l'espace de 6 mois. Le SUV électrique est le premier modèle de l'ère électrique qui va tout changer pour le constructeur allemand.
Bien que les jeux Mario et Donkey Kong Bananza présentent des similitudes évidentes pour quiconque reconnaît un platformer signé Nintendo, chacun offre une expérience de jeu bien distincte. Un choix délibéré de la part de Nintendo.
Baptisé « LATENT », le projet mené par l’université Tsinghua montre qu’un robot humanoïde peut apprendre à jouer au tennis avec très peu de données : le G1 d’Unitree s’entraîne ici à partir de seulement cinq heures de motion capture de joueurs humains.
Une vidéo publiée le 12 mars 2026 est à l'origine d'une des théories du complot les plus délirantes de ces derniers mois : des internautes sont convaincus d'avoir aperçu six doigts sur la main de Benjamin Netanyahou, ce qu'ils interprètent comme un signe de l'utilisation de l'IA pour cacher la mort du premier ministre israélien. L'intéressé a répondu dans une vidéo moqueuse le 15 mars 2026… mais ses détracteurs sont encore convaincus qu'il s'agit d'IA.
La société Aikido Security a découvert une campagne de malware baptisée Glassworm qui utilise des caractères Unicode invisibles pour dissimuler du code malveillant.
Plus de 150 dépôts GitHub, des paquets npm et des extensions VS Code sont touchés, et le malware utilise la blockchain Solana comme serveur de commande. L'objectif : voler les identifiants de portefeuilles crypto.
Le principe est assez fourbe. Les attaquants utilisent des caractères Unicode dits PUA (Private Use Area), qui ne s'affichent pas du tout à l'écran, mais qui contiennent quand même des valeurs exploitables.
Dit plus simplement, chaque caractère invisible correspond à un point de code que le décodeur extrait, reconstruit en payload, puis exécute via eval(). Le code malveillant est là, sous vos yeux, mais vous ne le voyez pas.
Aikido Security a découvert que cette campagne avait eu lieu entre le 3 et le 9 mars derniers. Plus de 150 dépôts GitHub ont été compromis, mais aussi des paquets npm comme @aifabrix/miso-client et @iflow-mcp/watercrawl-watercrawl-mcp.
Si on regarde du côté de VS Code, l'extension quartz-markdown-editor et 72 extensions sur Open VSX ont été touchées. Les attaquants ont aussi utilisé des LLM pour générer des commits de couverture parfaitement crédibles, et passer ainsi sous les radars des reviewers.
Ce qui rend Glassworm encore plus fourbe, c'est son infrastructure. Au lieu d'utiliser un serveur classique facile à bloquer, le malware récupère ses instructions de commande sur la blockchain Solana. Ce qui veut dire qu'il n'y a pas de serveur central à couper : les instructions sont inscrites dans la blockchain, accessibles à tous et quasi impossibles à supprimer.
L'objectif final est le vol de données liées aux portefeuilles crypto. Le malware cible 49 extensions de navigateur, dont MetaMask, Coinbase Wallet et Phantom. Il récupère les identifiants stockés localement et les exfiltre vers les serveurs des attaquants.
Côté attaquants, c'est du beau travail. Cacher du code dans des caractères que personne ne voit, utiliser une blockchain comme canal de commande et se servir d'IA pour maquiller les commits, c'est bien ficelé.
Le problème, c'est que ça expose un angle mort assez gênant dans la confiance qu'on accorde à l'open source : on installe des paquets et des extensions sans forcément lire chaque ligne de code, et quand le code malveillant est carrément invisible, ça devient compliqué à détecter.
Sources : Aikido.dev , Socket.dev
Linux 7.1 introduira une meilleure surveillance des NPU présents dans les puces Ryzen AI. Il sera possible de suivre la consommation et l’activité en temps réel.
Cet article Ryzen AI : Linux 7.1 apporte des métriques en temps réel sur le NPU a été publié en premier par GinjFo.
Debian 13.4 est disponible : cette version pour Debian Trixie a le mérite de consolider un nombre important de correctifs de sécurité et de résolutions de bugs.
Le post Debian 13.4 est disponible : qu’apporte cette version ? a été publié sur IT-Connect.
Une semaine après une valse d'annonces concernant les gammes iPhone, MacBook et iPad, Apple continue de lancer de nouveaux produits. La firme de Cupertino commercialise enfin une nouvelle génération de son casque AirPods Max.
Les scams vocaux par IA, c’est un peu la nouvelle génération de coup de fil foireux. Sauf que cette fois, la voix au bout du fil peut être celle de votre mère, de votre boss, ou de vous-même cloné en haute définition. Et ça, c’est nettement moins drôle.
En gros, un scam vocal par IA, c’est une arnaque où des petits malins utilisent de l’intelligence artificielle pour copier votre voix (ou celle de quelqu’un que vous connaissez) et s’en servent pour vous soutirer du fric ou des infos sensibles. Il leur suffit de quelques secondes d’enregistrement pour recréer votre timbre, votre rythme, votre accent, et vous faire dire des choses que vous n’avez jamais prononcées. À l’autre bout, le scammer joue la carte de l’urgence (“je suis en garde à vue”, “on a besoin d’un virement tout de suite”) histoire que vous paniquiez et que vous obéissiez sans réfléchir.
La matière première, c’est vous sur Internet. Vidéos TikTok, Reels Instagram, YouTube, podcasts, interviews, vocaux WhatsApp, hack d'applications ou d'IA générative dont vous avez utilisé les commandes vocales, le message d'accueil de votre messagerie vocale ... bref tout ce qui contient votre voix peut servir de base à un modèle d’IA. Juste vous téléphoner pour vous faire parler suffit. Le logiciel analyse tout ça, fabrique une version numérique de votre voix, puis peut générer n’importe quelle phrase avec votre timbre, comme si vous lisiez un script en direct. Ensuite, soit ils envoient des messages vocaux “ultra crédibles”, soit ils passent carrément des appels avec une voix clonée branchée sur un synthé vocal en temps réel.
On retrouve quelques classiques déjà bien rodés et qui ne sont déjà plus de la science-fiction futuriste :
Même si la techno devient très bonne, il reste souvent des indices. Comme un rythme de parole un peu bizarre, des émotions mal placées, un ton trop lisse pour une situation censée être dramatique, une micro-latence avant les réponses ou encore un refus catégorique de passer en visio ou de rappeler sur un numéro officiel.
La bonne pratique c'est de ne jamais céder sous la pression d’un seul appel. Posez des questions que seul le vrai proche peut connaître, vous raccrochez et vous vérifiez via un autre canal (appel direct, message, numéro de la banque trouvé par vous-même, pas dans le mail ou le SMS reçu). Et plus vous limitez votre empreinte vocale publique, moins vous donnez de matière à ces outils de clonage.
Soyons clairs : aucun outil ne peut empêcher un escroc de cloner une voix qu’il a déjà récupérée. Par contre, vous pouvez rendre sa vie beaucoup plus compliquée, et c’est là que l’écosystème Surfshark devient intéressant.
Vous combinez ça avec un peu d’hygiène numérique (mots de passe costauds, double authentification, méfiance par défaut au téléphone), et vous devenez tout de suite une cible beaucoup moins rentable pour les arnaques vocales dopées à l’IA. Arrêtez aussi de répondre aux appels de numéros masqués, inconnus ou que vous ne connaissez pas.
Surfshark VPN ne se contente pas de chiffrer votre connexion, il vient avec tout un arsenal de fonctionnalités pensées pour limiter la quantité de données que les arnaqueurs peuvent exploiter contre vous. Parmi les plus utiles, on retrouve le chiffrement de bout en bout du trafic, le masquage d’adresse IP, ainsi qu’une politique stricte de non-conservation des logs.
Vous pouvez aussi utiliser la connexion simultanée sur un nombre illimité d’appareils pour protéger en une fois votre smartphone, PC, tablette et même certains appareils connectés de la maison. Le Kill Switch coupe automatiquement votre connexion Internet si le VPN décroche, ce qui évite que votre trafic repasse à nu sans que vous ne vous en rendiez compte.
Les serveurs multi-hop (double VPN) permettent de faire transiter votre trafic par plusieurs pays à la fois, rendant le traçage encore plus compliqué pour quiconque essaierait de remonter jusqu’à vous. La fonction CleanWeb, elle, bloque pubs, trackers et une partie des sites malveillants, ce qui réduit les risques de tomber sur des pages de phishing utilisées en parallèle de scams vocaux.
Enfin, avec les serveurs spécialisés (par exemple pour le P2P) et les options de tunneling fractionné, vous pouvez décider quelles applications passent par le VPN et lesquelles utilisent une connexion normale. Ça vous permet d’ajuster finement le niveau de confidentialité sans sacrifier le confort d’usage au quotidien.
Avec un abonnement Starter Pack 2 ans à moins de 64.5 € TTC (plus 3 mois offerts), cela revient à moins de 2,39 € TTC par mois pour protéger en continu tous les appareils de la maison, 24h/24 et 7j/7. Ou 2.98€/mois TTC pour Surfshark One (avec l'antivirus, alert, alternative ID ...). C'est moins cher que le prix des abonnements en 2023, pas d'inflation chez la firme au requin.
La recompilation statique , je vous en avais parlé avec Zelda 64 et Sonic Unleashed. Le principe, en gros c'est qu'au lieu d'émuler bêtement le processeur et la mémoire d'origine, on traduit tout simplement le code assembleur du jeu directement en C natif. Du coup le jeu tourne nativement sur votre machine, sans couche d'émulation.
Et la bonne nouvelle du jour c'est que cette technique vient de parvenir jusqu'à la Game Boy avec GB Recompiled .
Vous filez à cet outil un fichier .gb et il vous sort OKLM un dossier avec du code C, un CMakeLists.txt et tout ce qu'il faut pour le compiler. Vous lancez cmake puis ninja, et votre vieux Pokemon Bleu tourne nativement sur votre PC plutôt que de passer par un émulateur qui simule le processeur Z80 à chaque frame.
Plutôt chouette non ???
Pour réussir ce tour de force, le recompilateur parse les opcodes Z80 de la cartouche, construit un graphe de contrôle de flux et résout les sauts indirects (genre les tables de jump, le truc qui rend la décompilation galère parce que l'adresse de destination dépend de la valeur d'un registre). Le taux de découverte dépasse alors les 98% même sur des RPGs bien touffus... pas mal pour de l'analyse purement statique !
Côté compatibilité, 7 jeux sont pour le moment validés : Tetris, Pokemon Blue, Donkey Kong Land, Kirby's Dream Land, Zelda Link's Awakening, Castlevania et Super Mario Land.
Par contre, attention, tous les jeux ne passent pas encore. Le runtime embarque un rendu PPU scanline , un système audio 4 canaux et les contrôleurs mémoire MBC1, MBC2, MBC3 et MBC5. Et comme tout ça tourne avec SDL2, du coup ça compile tranquillou sur macOS, Linux et Windows sans broncher !
Y'a aussi des outils de vérification assez bien pensés. Par exemple, un mode différentiel lance le binaire recompilé et un interpréteur Z80 côte à côte, puis compare l'exécution cycle par cycle avec une implémentation de référence. Tant que ça colle, le portage est fidèle !
Et y'a aussi un script Python basé sur PyBoy qui génère des traces d'exécution pour repérer les instructions que l'analyse statique aurait loupées. Voilà, ce que je veux vous dire c'est que c'est pas juste un traducteur tout bête. Y'a vraiment tout un pipeline de tests derrière pour assurer le meilleur portage possible.
Si vous avez suivi les autres projets autour de la portable de Nintendo, comme le GB Interceptor qui espionne le bus mémoire avec un adaptateur USB ou le Game Bub et son FPGA Xilinx, GB Recompiled choisit plutôt l'angle purement logiciel. Là où le FPGA reproduit les circuits et l'émulateur simule le CPU, la recompilation traduit le code source. Ce sont 3 philosophies différentes mais qui ont un seul et même objectif : Faire en sorte que ces jeux ne crèvent pas avec leurs cartouches en plastique gris.
Pour tester chez vous, c'est du classique : un petit terminal, un petit git clone, un cmake, un ninja, et vous passez votre fichier .gb au recompilateur.
Connexiongit clone https://github.com/arcanite24/gb-recompiled.git
cd gb-recompiled
cmake -G Ninja -B build .
ninja -C build
# Générer le code C depuis la ROM
./build/bin/gbrecomp path/to/game.gb -o output/game
# Compiler la nouvelle version en C
cmake -G Ninja -S output/game -B output/game/build
ninja -C output/game/build
# Optionnel: Baisser ou augmenter le niveau d'optimisation
cmake -S output/game -B output/game/build -DGBRECOMP_GENERATED_OPT_LEVEL=2
# Et on lance !
./output/game/build/game
Voilà comment avec juste quelques commandes, votre bonne vieille cartouche GB peut enfin tourner nativement sur votre laptop. Notez que le support Game Boy Color est dans les tuyaux, ainsi qu'un build Android.
Le projet est franchement actif et ça sent très bon pour la suite !
Un YouTubeur bricoleur a fabriqué un micro-drone de 136 grammes capable de filer à 108 km/h, le tout pour environ 155 dollars de composants et une imprimante 3D. Le petit engin baptisé ESP-Blast tient dans la main, utilise un microcontrôleur ESP32 à quelques dollars et un châssis en plastique PETG. Le créateur compte partager tous les fichiers en open source pour que chacun puisse le reproduire.
Le créateur, connu sous le nom de Max Imagination sur YouTube, s'est inspiré de deux équipes qui se disputent le record du drone RC le plus rapide au monde, avec des vitesses qui dépassent les 660 km/h. Son objectif à lui était plus modeste : construire un drone de poche performant avec des composants accessibles à tous.
Le résultat, c'est l'ESP-Blast, un quadcoptère en forme de balle qui décolle à la verticale avant de basculer en vol horizontal. Le châssis est imprimé en PETG sur une Elegoo Neptune 4 Plus et ne pèse que 40 grammes, nez et queue compris.
Côté motorisation, on retrouve quatre moteurs brushless 1104 avec des hélices tripales de 2,5 pouces, pilotés par des variateurs de 8 ampères. Le circuit imprimé a été conçu par Max lui-même dans le logiciel Flux, pour moins de 8 dollars. Il embarque un ESP32 avec accéléromètre, gyroscope, magnétomètre, baromètre et GPS. Le logiciel de vol, c'est du Betaflight en version 10.10.
Une caméra FPV motorisée à l'avant bascule automatiquement selon le mode de vol et transmet en 5,8 GHz la vitesse, la tension batterie et le nombre de satellites. La batterie LiPo 3S de 450 mAh offre environ 5 minutes de vol, ou 2 minutes à fond et 8 en mode tranquille. La portée Wi-Fi de l'ESP32 plafonne à environ 200 mètres. Le budget total tourne autour de 155 dollars, et on peut même descendre à 110 dollars en retirant quelques capteurs.
Max prévoit de partager les fichiers 3D et les tutoriels pour que d'autres puissent reproduire ou améliorer le drone. Le projet a demandé pas mal d'assemblage, de tests, de crashs et de réparations avant d'atteindre les 108 km/h en vol.
Il annonce déjà de futures versions pour pousser les performances encore plus loin, et ce n'est visiblement pas son premier essai puisqu'il avait déjà conçu l'ESP-Fly, un micro-drone encore plus petit contrôlable depuis un smartphone.
Pour 155 dollars et un peu de patience, on obtient un drone qui va plus vite que pas mal de modèles du commerce, et qui pèse à peine plus qu'un smartphone. Le fait que tout soit open source et imprimable en 3D rend le projet encore plus intéressant pour les bidouilleurs.
Avec quelques limites quand même, 200 mètres de portée en Wi-Fi et 5 minutes d'autonomie, ça limite un peu l'usage à des vols de démonstration. Mais pour un projet à base d'ESP32 à 3 dollars la puce, les 108 km/h sont impressionnants.
Logitech Options+, c'est quand même un truc de fou... Vous achetez une souris à 100 balles, et pour configurer 6 malheureux boutons, faut se créer un compte, accepter de la télémétrie et laisser tourner cette usine à gaz en tâche de fond. Le problème, c'est que sans ce truc, votre MX Master 3S (lien affilié) est bridée avec des réglages par défaut.
Toutefois un dev bien inspiré a pondu Mouser , une alternative open source qui fait la même chose... mais sans le bloatware.
En gros, vous téléchargez un zip de 45 Mo (un exe portable, pas besoin de Python), vous extrayez tout, vous le lancez et boom, vous pouvez alors remapper les boutons de votre MX Master 3S, les 6 que Mouser prend en charge (clic milieu, bouton geste, retour, avancer, scroll horizontal gauche/droite) + 22 actions prédéfinies : Alt+Tab, copier-coller, contrôle média, navigation web... tout y passe !
Le truc cool, c'est ce qui se passe sous le capot puisque Mouser communique directement avec votre souris via le protocole HID++ de Logitech sur Bluetooth. Sur Windows, il intercepte les événements souris avec un hook bas niveau, et sur macOS c'est via CGEventTap. Pour le fameux bouton geste sous le pouce, c'est plus subtil puisqu'il envoie une commande HID++ pour "divertir" le bouton et récupérer les événements bruts plutôt que de laisser le firmware gérer. Y'a eu un peu de reverse engineering de protocole propriétaire, en somme.
Autre truc chouette dans cette appli, ce sont les profils par application. Vous pouvez assigner des actions différentes selon que vous soyez sur Firefox, VS Code ou VLC, et le switch se fait automatiquement en détectant la fenêtre active toutes les 300 ms. C'est grosso modo ce que le logiciel officiel propose pour le remapping, sauf que là ça tourne sans envoyer quoi que ce soit chez Logitech !
Côté réglages, vous pouvez aussi jouer sur le DPI (de 200 à 8 000) et inverser le sens du scroll vertical ou horizontal. Y'a même un moniteur de batterie avec badge coloré et une reconnexion automatique quand la souris sort de veille. C'est carrément pas mal pour un projet communautaire.
Pour le moment, Mouser ne supporte QUE la MX Master 3S connectée en Bluetooth (le récepteur USB n'est que partiellement supporté). Le code est pensé pour être extensible à d'autres souris HID++ de Logitech, mais c'est la seule testée actuellement. Donc au boulot les gars ! Et pour le portage Linux, faudra aussi vous bouger le cul car actuellement seuls macOS et Windows sont supportés.
Ah et il faut absolument qu'Options+ ne tourne pas en même temps, parce que les deux se marchent dessus pour l'accès HID++ ! Et aussi, pas la peine de chercher des options Logitech Flow ou SmartShift là-dedans, car Mouser se concentre uniquement sur le remapping et le DPI, et pas (encore ?) sur le multi-machine.
La Xbox One n'a jamais été hackée ! Eh oui, depuis 2013, la console de Microsoft narguait la communauté du reverse engineering pendant que les PlayStation, les Switch et autres 3DS tombaient les unes après les autres. Microsoft la décrivait même comme "le produit le plus sécurisé jamais créé" mdrrrr.
Bon bah c'est fini comme vous vous en doutez car à la conférence RE//verse 2026 à Orlando, Markus "doom" Gaasedelen a réussi à exécuter du code arbitraire sur le boot ROM de la console, autrement dit c'est un hack hardware impossible à corriger.
Du coup, comment on casse un truc réputé incassable ?
Eh bien toute la sécurité de la Xbox One repose sur un minuscule processeur ARM Cortex R4, le Platform Security Processor (PSP), planqué dans un coin du SoC AMD.
Ce PSP contient un boot ROM gravé directement dans le silicium... et c'est le seul composant que Microsoft ne peut pas mettre à jour. L'architecte de la sécu Xbox, Tony Chen, l'avait dit lui-même en 2019 : "le seul bug logiciel dont on ne peut pas se remettre, c'est un bug dans le boot ROM".
Le die shot du SoC Xbox One. Le PSP est planqué tout en bas à droite.
Sauf que Markus n'a pas cherché de bug logiciel, parce y'en a pas. Le code du boot ROM est linéaire, hyper audité, sans la moindre faille. Du coup, il est passé par le hardware avec du voltage glitching.
Le principe c'est de faire s'effondrer brièvement le rail d'alimentation du processeur (en gros, on colle un MOSFET sur le rail et on tire la tension vers le bas pendant 100 à 200 nanosecondes) pour corrompre l'exécution d'une instruction. Et Microsoft avait quand même blindé le truc en prenant soin de ne pas mettre de pin reset accessible, pas d'UART, pas de JTAG, pas de post codes de diagnostic (désactivés par des fusibles), et surtout 37 stalls randomisés qui décalent le timing du boot à chaque démarrage. En gros, c'est comme essayer de crocheter une serrure dans le noir, avec des moufles, et la serrure qui change de position toutes les 2 secondes.
D'ailleurs, c'était la première fois que Markus faisait du glitching de sa vie. Au début, il a galéré sur le mauvais rail d'alimentation (la tension 1.8V, finalement un cul-de-sac) avant de trouver le bon (le North Bridge core). Et là, en balançant ses impulsions de voltage au bon moment, il a réussi à activer les post codes que Microsoft avait désactivés par fusibles. Premier signe que la bête était vulnérable !!!!
Le setup de glitching : oscilloscope, carte mère Xbox One et fils partout.
Ensuite, il a ciblé les opérations memcopy du boot ROM, là où les données contrôlées par l'attaquant transitent dans les registres du processeur. Un glitch bien placé pendant un memcopy, et hop, le pointeur d'instruction du processeur part n'importe où. Résultat : 0x41414141 qui sort sur le bus I2C, la preuve qu'on contrôle l'exécution du boot ROM !
Bon par contre, il était enfermé dans un "user jail", une sandbox ARM avec seulement quelques Ko de code accessible. Et c'est pas si simple d'en sortir.
0x41414141 sur le bus I2C. ROP'd OUT MY POST CODE !
Et là, coup de génie du mec : un double glitch sur le même boot.
Le premier casse la boucle d'initialisation du MPU (la protection mémoire ARM, les 12 régions qui créent les jails), le second hijack le pointeur d'instruction pendant le memcopy.
Combiner les deux sur un seul démarrage, c'est du genre 1 chance sur 100 par glitch, soit environ 1 sur 10 000 pour le combo donc autant dire qu'il faut laisser tourner la machine des centaines de milliers de fois. Mais ça marche !! Avec le MPU désactivé et le pointeur d'instruction sous son contrôle, Markus obtient alors l'exécution de code en mode superviseur, avant même que le boot ROM n'ait vérifié les signatures ou déchiffré quoi que ce soit.
Bingo !! Et les conséquences sont radicales puisque grâce à ce hack, il peut maintenant déchiffrer tous les jeux, les firmwares et les mises à jour passés, présents et futurs.
Il peut aussi dé-pairer les NAND et lecteurs optiques pour la réparation. Et comme c'est gravé dans le silicium, c'est impatchable, comme le Reset Glitch Hack de la 360 à l'époque. Pour l'instant, ça concerne uniquement le modèle Xbox One Fat de 2013.
Ah et petit détail croustillant.... Microsoft avait prévu des moniteurs anti-glitch dans le SoC pour détecter les perturbations de voltage, mais sur les premières révisions ils n'arrivaient pas à les stabiliser, du coup ils les ont désactivés par fusibles. Pas de bol. Après sur les modèles suivants (One S, One X) ils sont activés, mais Markus pense que ses techniques pourraient quand même être adaptées.
Le boot flow du PSP. Le hijack se produit à l'étape 4, avant toute vérification crypto.
Le plus dingue c'est que le hack en version finale ne nécessite que 3 fils soudés sur la carte mère ! Tout le reste, les dizaines de sondes à crochet, l'oscilloscope 4 voies, l'analyseur logique branché sur le bus I2C et les GPIO, c'était juste pour comprendre ce qui se passait.
Et le fait qu'il ait construit un émulateur du boot ROM avec l'aide de l'IA pour étudier le comportement du processeur, je trouve ça encore plus incroyable !
Bref, je vous laisse avec la conf en intégralité pour les plus motivés :
Et voilà comment 12 ans de "IMPOSSIBLE À PIRATER" se termine avec 3 fils soudés et 2 glitches bien placés. Pas mal !
Bravo Markus !
Les fans aimeraient sans doute que tout le manga One Piece soit adapté en prises de vues réelles, mais ce serait un travail herculéen pour Netflix. L'adaptation live action s'arrêtera peut-être avant. En tout cas, l'auteur du manga, Eiichiro Oda, espère qu'un certain arc sera porté à l'écran.
