Un chercheur en sécurité a réussi à prendre le contrôle d'un ordinateur en passant par une simple enceinte branchée en USB, à distance, et sans jamais s'approcher de la machine.

L'appareil en question est la Sound Blaster Katana V2X, une barre de son vendue autour de 280 euros par Creative Technologies, le fabricant singapourien d'accessoires audio bien connu des joueurs. Elle se branche aussi bien sur un PC, un Mac ou un Linux, en USB comme en Bluetooth. Je la connais d'ailleurs plutôt bien, puisque je l'ai testée sur Mac4ever .

Rasmus Moorats, un chercheur, est tombé sur la faille un peu par hasard. Il voulait juste écrire un petit logiciel Linux pour piloter son enceinte, et il a découvert un protocole maison de Creative qui permet d'envoyer des commandes à l'appareil, comme changer la couleur des LED ou régler l'égaliseur.

Sauf que voilà : son téléphone en Bluetooth a pu se connecter à l'enceinte, elle-même reliée à un PC en USB, sans aucune authentification et sans même avoir été appairé au préalable. Et parmi les commandes disponibles, il y en avait une intitulée "envoyer un nouveau micrologiciel à l'appareil".

Le micrologiciel, c'est le programme interne qui fait tourner l'enceinte. Normalement, un appareil refuse d'installer un programme qui n'est pas signé par son fabricant, un peu comme un coffre qui n'accepterait que la clé d'origine. Là, rien de tout ça : Moorats a pu remplacer le firmware officiel par le sien, sans la moindre vérification.

Sa première démonstration est assez simple, avec le mot "patched" affiché sur l'écran LED de l'enceinte. Puis il s'est demandé jusqu'où on pouvait pousser le bouchon.

Et la réponse fait un peu froid dans le dos. L'enceinte sait se présenter à l'ordinateur comme un périphérique d'interface humaine, la catégorie qui regroupe les claviers, les souris et les webcams. Moorats a modifié cette carte d'identité USB pour que l'enceinte se déclare aussi comme un clavier, puis lui a fait taper des touches toute seule.

En enchaînant le tout, il a pu, totalement à distance et par les airs, envoyer son firmware piégé à une enceinte qu'il n'avait jamais appairée, la faire redémarrer, puis lui faire taper une commande et l'exécuter sur le PC. Dans un vrai scénario d'attaque, ce serait l'ouverture du terminal de commandes de Windows et le collage d'une ligne malveillante.

Pire encore : un attaquant pourrait au passage désactiver la mise à jour du micrologiciel, ce qui rendrait son code impossible à effacer. Et le Bluetooth de l'enceinte reste allumé en permanence, même en veille, sans aucun moyen de le couper.

Il y a quand même une limite de taille. L'attaquant doit se trouver à portée Bluetooth de l'enceinte. On parle donc d'un voisin, d'un colocataire ou d'un bureau mitoyen, pas d'un pirate à l'autre bout du monde.

Moorats a prévenu Creative, sans réponse, puis a fait intervenir le CERT de Singapour, l'agence publique qui gère les alertes de sécurité. Le fabricant a fini par répondre que ses ingénieurs ne considèrent pas ce comportement comme une faille. Aucun correctif n'est donc prévu.

Le seul vrai garde-fou aujourd'hui, c'est un correctif publié par des bidouilleurs de la communauté. Quand un fabricant vous explique qu'un clavier fantôme piloté par le voisin n'est pas un problème, c'est quand même un peu gênant.

Source : ARS Technica

Tellement de produits UGREEN passent entre mes mains que c'en est devenu une blague. Plus j'en kiffe un, plus ils m'en envoient un autre. Et à chaque fois, je craque pareil. Mais là je dois avouer que sur celui-là je suis complètement en phase (mais vous le savez, j'adore les chargeurs ha ha).

Le petit dernier donc, c'est ce Nexode Air 65W , qui m'a eu avant même que je le branche. Juste en le sortant du carton. Il est minuscule.

À côté du chargeur Apple 30W, celui qu'on connaît tous, la comparaison fait mal. Non seulement le UGREEN est minuscule à côté, mais il crache deux fois plus de watts. Mon Belkin 45W ? Même encombrement, et lui plafonne 20W plus bas. Et quand je le pose près d'un vieux UGREEN 65W d'il y a deux ou trois ans, on voit bien les progrès sur ce genre de produits.

Screenshot

Le tour de magie porte un nom, vous le connaissez, c'est le GaN, pour nitrure de gallium, un matériau qui pique peu à peu la place du bon vieux silicium dans nos chargeurs et qui permet de faire tenir beaucoup de puissance dans un tout petit boîtier sans que ça chauffe comme un radiateur. UGREEN sert sa recette maison sous le nom de GaNInfinity, annonce un rendement dans les 93% et un format réduit de presque trois quarts face à un 65W d'ancienne école, et de toutes manières plus réduit que les chargeurs GaN d'il y a quelques années.

Dans la vraie vie, ces 65W encaissent tout. L'iPhone qui repart d'à plat aux deux tiers en une demi-heure. Le MacBook Air qui passe la moitié dans le même temps. Le MacBook Pro qui se recharge sans mal. Franchement rien à dire, et sans chauffe problématique.

Il parle au passage tous les dialectes de la charge rapide, du Power Delivery au PPS, garde un oeil sur sa température et dose le courant pour épargner les batteries. On ne le voit pas, on ne le sent pas, mais c'est ça, un bon chargeur.

Bonus appréciable, le câble USB-C de 100W est fourni dans la boîte, tressé, donné pour 10 000 pliages. C'est con mais ça se fait rare.

Du coup il a élu domicile dans ma pochette et n'en bouge plus. Je le préfère même au modèle 45W d'Anker et son petit écran , parce que sur un truc grand comme un briquet, l'écran, je ne vois pas forcément l'intérêt (même s'il est très chou).

Reste le prix. Autour de 35 euros, avec plein de choix de couleurs, et 28 euros en ce moment si vous pensez à cocher le coupon sur Amazon .

Bref, microscopique, costaud, à 28 balles. Pour qui voyage léger, c'est 100% validé !

Un écran de 24 pouces autonome avec une dalle Full HD 120 Hz... des deux côtés. Voilà ce que propose le Philips 24B2D5300, repéré par TechSpot sur la boutique en ligne UK du constructeur, et que la marque revendique comme une première mondiale dans la catégorie des moniteurs. 

La machine sera disponible en juin pour 359 livres sterling, soit environ 420 euros.

Posons d'abord la question évidente : à quoi ça peut bien servir ? L'idée, ce n'est pas de jouer à deux ou de regarder deux films en même temps avec son colocataire installé derrière. Philips vise clairement les usages professionnels où l'on partage régulièrement un écran avec quelqu'un en face de soi.

Le guichet d'une agence bancaire, un comptoir de pharmacie, un bureau de notaire, une visite commerciale où il faut faire valider un devis au client, ou encore un coin de réception en entreprise. Au lieu de retourner laborieusement le moniteur ou de partager l'écran de son téléphone, le client voit ce qu'il doit voir sur son côté à lui, pendant que vous travaillez sur le vôtre.

Plusieurs modes d'affichage sont prévus. En mode dupliqué, les deux écrans montrent exactement la même chose, parfait pour valider un document avec quelqu'un. En mode DualView, les deux panneaux fonctionnent comme deux écrans étendus indépendants, comme si vous aviez branché deux moniteurs séparés sur votre PC.

Vous pouvez aussi connecter deux ordinateurs en même temps via les entrées dédiées, ce qui permet à deux personnes installées de chaque côté de bosser sur leur propre machine en partageant la même base. Pratique pour le co-working sur un coin de table.

La fiche technique ne casse pas trois pattes à un canard. Du 1080p sur du 24 pouces, c'est correct pour de la bureautique et du document, mais ce n'est clairement pas un produit pour graphistes ou monteurs vidéo.

Le 120 Hz est presque surprenant à ce niveau de gamme et pour cet usage, mais ça ne sert quasiment à rien pour les cibles visées par Philips. Du coup on peut imaginer que le constructeur l'a embarqué parce que la dalle utilisée le proposait déjà nativement.

Le pari de Philips, c'est de remplacer deux moniteurs distincts (le vôtre plus celui du client posé en face de vous) par un seul appareil qui prend moitié moins de place et n'a besoin que d'une seule alimentation. Dans un petit comptoir d'accueil ou un coin agence bancaire, ça peut faire sens, surtout dans des lieux où chaque centimètre carré compte. Le pari n'est pas gagné côté acheteurs pros, parce que le concept est nouveau et un peu déroutant à expliquer à un service achats.

À 420 euros, ça reste un investissement raisonnable pour une PME qui veut équiper trois ou quatre postes de réception sans encombrer ses bureaux.

Source : Techspot

Le truc cool avec un disque de backup, c'est quand vous arrêtez de le sortir du tiroir. Et c'est ce que permet de faire le DATO Ares Q4 (lien affilié) qui se trouve être aimanté et que je peux donc coller direct sur le côté de mon Mac Studio . Je l'ai depuis bientôt un an, et c'est devenu mon disque de Time Machine à résidence.

Il est trop mignon parce qu'il est tout petit, puisqu'il mesure 64 par 64 mm, 12 mm d'épaisseur, et 40 grammes, soit à peine plus gros qu'un bloc de petits Post-it, sauf que dedans y'a 4 To de NVMe en USB4. Les aimants sont prévus pour s'accrocher à un iPhone 15/16/17 Pro façon MagSafe, mais en pratique ils tiennent aussi nickel sur n'importe quelle machine, si vous collez le petit aimant-sticker livré avec.

Après je sais pas si coller un aimant sur un ordinateur c'est le move le plus intelligent que j'ai fait de ma vie mais je l'ai collé y'a 1 an, et ça bouge pas et j'ai aucun souci. Après c'est pas des GROS aimants non plus hein... C'est assez fin et pas très aimanté non plus. Et niveau connectique, c'est livré avec un câble USB-C rikiki de 10 cm.

Côté débits l'USB4 crache du 4000 Mo/s en lecture et 3600 Mo/s en écriture et comme c'est du natif, y'a pas de puce intermédiaire entre le NVMe et le port, donc on est max de ce qu'on peut avoir en vitesse avec ce genre de disque. Par contre, faut un port USB4 ou Thunderbolt 4/5 côté Mac, sinon ça retombe sur de l'USB 3.2 classique. C'est pas dramatique mais ça va 'achement moins vite quand même.

Et comme mon Mac Studio embarque 4 To en interne, c'est pile la taille du DATO que je dédie à ma sauvegarde Time Machine. Le sparsebundle peut donc grossir jusqu'à occuper tout le disque sans que je m'en occupe ! Et comme je ne le remplis jamais à 100%, je suis assez tranquille.

En plus de ce SSD, je fais toujours des backups sur mon NAS Synology avec Carbon Copy Cloner à côté parce que je suis parano et qu'on sait jamais...

Côté chauffe, la surprise est plutôt bonne, il reste froid / tiède même en plein transfert. Alors je suis pas sûr mais je me dis que le boîtier en alu du Mac Studio, joue peut-être un petit rôle de dissipateur thermique mais j'sais pas, peut-être pas... En tout cas, ça chauffe pas quoi.

Ce disque est compatible Mac, PC, Linux, et même iPhone Pro en USB-C comme ça si vous avez besoin de filmer de la 4K ProRes HDR direct sur un SSD plutôt que sur la mémoire interne, c'est possible ! Et il est garanti 5 ans, ce qui est toujours bon à prendre.

Voilà, si ça vous intéresse, le DATO Ares Q4 (lien affilié) est dispo sur Amazon en versions 1 To, 2 To ou 4 To .