Vous le savez, j'adore mon Kindle ! Je manque effectivement de temps pour lire tout ce que je voudrais mais bon, on verra ça quand la retraite sera là ^^.
En attendant, ce que j'ignorais, c'est que sur les Kindle récents, il y a encore un petit navigateur web, plus exactement un vieux Chrome de 2019 bien planqué dans des menus qu'on n'ouvre jamais. Et c'est à ce module précisément que Tanguy Dubroca de
Synacktiv
s'est intéressé. Et en creusant, il a découvert qu'une faille s'y cachait et permettait de prendre le contrôle total de la liseuse avec votre compte Amazon en supplément salade tomate oignon.
Son objectif premier c'était de comprendre comment prendre la main sur un Kindle verrouillé sans le jailbreaker. Alors il a fouillé dans le firmware de son Paperwhite 5 et y a découvert ce vieux Chrome et son moteur Webkit d'une quinzaine d'années, prêt à céder à toutes ses demandes... niark niark.
Il n'a eu plus qu'à piocher dans les vieilles failles déjà bien connues de Chrome et en a choisi une présente dans le moteur Javascript V8 patchée par Google en 2022. Sauf que normalement, elle ne devait pas marcher sur un Kindle, parce qu'Amazon avait désactivé le composant vulnérable.
Enfin, avait essayé...
Parce que dans la commande censée le désactiver, il manquait deux petits tirets. Une faute de frappe qui faisait que l'option était ignorée en silence, et donc que le moteur JS d'époque restait allumé avec cette porte grande ouverte...
L'attaque n'a ensuite besoin que d'une seule chose qui est que vous ouvriez un site web piégé dans le navigateur de la liseuse. Pas de panique donc, car ça ne se déclenche pas tout seul quand vous recevez un livre, mais une fois la page web ouverte, elle peut trafiquer la mémoire de l'appareil, ce qui permet au chercheur de prendre la main sur le navigateur pour ensuite, via une seconde vulnérabilité dans le composant qui lance les applis, obtenir des droits administrateur et donc l'accès complet.
Une fois avec ça, il peut tout faire comme exécuter n'importe quel programme, vous espionner, détourner votre compte Amazon, et même rebondir vers les autres appareils présents sur votre réseau Wi-Fi. La totale !!
Dubroca a prévenu Amazon en décembre 2025, qui a classé le truc en critique, lâché 20 000 $ de prime, et poussé un correctif dans le firmware 5.19.2 en janvier. La mise à jour se fait toute seule une fois le Kindle branché et connecté au Wi-Fi alors si votre liseuse dort dans un tiroir depuis des mois, un petit coup de Wi-Fi et elle se mettra à jour, hop. D'ailleurs c'est la
deuxième faille Kindle en 7 mois
, après celle du livre audio piégé. Deux équipes françaises, deux fois le même appareil, ça commence à faire beaucoup pour de
vieilles liseuses qu'Amazon laisse doucement vieillir
.
Bref, une liseuse c'est comme un ordinateur, ça se pirate mais ça peut se mettre à jour ^^. Ouf !
Alors ça, Google va adorer ! En effet, depuis hier (le 8 juillet), le navigateur DuckDuckGo bloque les pubs YouTube tout seul comme un grand. Le pre-roll interminable avant
votre tuto Docker
, la double coupure en plein milieu d'un unboxing, ou encore la pub pour une appli de casino que vous n'avez jamais demandée... tout dégage, en mode par défaut sans avoir besoin d'ajouter une extension.
iOS, Windows et Mac sont servis d'office, et sur Android ça s'active à la main dans Settings > Ad Blocking (le par défaut arrive bientôt).
Le canard américain ne réinvente rien puisqu'il embarque tout simplement les listes de filtres communautaires du
projet uBlock Origin
, mises à jour régulièrement pour suivre les parades de la régie pub de Google.
Sur son blog
, ils annoncent donc que leur fonctionnalité bloque la "plupart" des publicités. Donc pas 100% et ils préviennent qu'un peu de buffering peut également apparaître au lancement d'une vidéo. Ouais ça c'est la petite astuce de Google pour contrarier les utilisateurs d'AdBlocker...
Mais une fois la lecture partie, plus d'interruption !
Sur ordi, vous verrez une petite icône vidéo à côté du bouclier vert dans la barre d'adresse, c'est là que ça se pilote.
Le réglage Ad Blocking, planqué dans le menu du navigateur
Sur mobile, je le précise encore parce que ça ne coule pas de source pour tout le monde, c'est seulement si vous ouvrez YouTube dans le navigateur DDG.
L'application YouTube officielle
, elle, continuera de vous balancer des tunnels de pubs tranquillement.
Et si vous utilisez déjà
Duck Player
, le mode théâtre sans cookies de pistage, les 2 fonctionnent ensemble sans se marcher dessus.
Bon, les blasés de la vie me diront que Brave fait ça nativement depuis des années et c'est vrai. Mais ce qui est intéressant ici, c'est que c'est un blocage activé par défaut pour madame et monsieur Tout-le-monde, sur un
navigateur qui se télécharge gratuitement
. Le blocage de pub n'est plus une bidouille de geek, mais c'est devenu un argument marketing pour "vendre" son navigateur.
Du coup, dans le
bras de fer entre YouTube et les bloqueurs de pubs
, qui s'est durci depuis fin 2023 à coups d'avertissements, de ralentissements volontaires et de lectures bloquées, je pense que la riposte de Google ne va pas tarder donc préparez les popcorns.
Mais quoi qu'il en soit, c'est encore un coup dur pour les youtubeurs. Bon, il restera toujours la possibilité de faire des segments sponsorisés directement dans la vidéo... Ah mais non, oups, c'est vrai, il y a
SponsorBlock
qui se débarrasse de ça aussi. Ouin !
Mais alors qu'est-ce qu'on va devenir, nous, les créateurs de contenu ?
Eh bien c'est simple. Si vous aimez bien ce qu'on fait, faut nous soutenir. Moi, par exemple, j'ai
un Patreon
et il y a plein de gens dessus qui me soutiennent, ce qui est super cool, j'ai vraiment beaucoup de chance. Et je les remercie tous.
J'encourage les autres créateurs de contenu à faire pareil, y compris les YouTubers, à mettre en place ce genre de système. Et sachez qu'on n'est pas obligé de se prendre la tête avec des contreparties...etc parce qu'on n'a pas vraiment le temps, on a déjà beaucoup de choses à faire. L'important c'est d'être transparent avec votre communauté, vous dites juste que c'est pour continuer à faire ce que vous faites d'habitude, c'est pour continuer à faire tourner la chaîne dans la joie, la bonne humeur et ça devrait très bien se passer.
Moi mon rêve c'est qu'un jour le Patreon ramène suffisamment d'argent pour que je puisse me passer à 100% de partenaires pub. Un jour peut-être, on verra bien.
On reçoit tous des mails un peu bizarres avec des liens qu'on n'ose pas ouvrir, et pourtant on est curieux, on est tenté parfois... C'est difficile de résister mais heureusement l'équipe de
Linuxserver.io
a pondu un truc super pour ça.
Il s'agit tout simplement d'une instance de Firefox qui tourne dans un conteneur Docker et qui est totalement pilotable depuis votre navigateur habituel.
Comme ça, quand vous recevez un lien louche que vous voulez ouvrir, vous le mettez là-dedans, dans une session jetable qui est totalement coupée de votre vraie machine. Et comme ça, si ça part en couille, vous butez le conteneur et on n'en parle plus.
Voilà, ça se présente juste comme une page HTTPS avec un navigateur dedans. Et comme c'est LinuxServer qui maintient l'image, vous êtes tranquilles parce que c'est du sérieux.
L'avantage d'avoir ce truc, c'est qu'un Firefox en conteneur ne voit ni votre répertoire personnel, ni vos cookies, ni vos sessions Google, ni vos extensions, absolument rien, il est totalement isolé. Donc si un site tente un drive-by download ou un exploit navigateur, eh bien en principe les dégâts resteront coincés dans le conteneur. Et le simple fait de le redémarrer remettra tout à 0.
Attention quand même, un conteneur, ce n'est pas une machine virtuelle. Une vulnérabilité au niveau du noyau pourrait en théorie s'en échapper. Mais c'est pas le genre d'attaque qui se fait avec juste un clic douteux sur une page web.
Les chercheurs en sécu s'en servent pour ouvrir des pièces jointes chelou, les marketeux pour
jongler avec 12 comptes ad sans cookie cross-tracking
, et les paranos dans mon genre pour cliquer sur les liens des mecs bizarres de Discord sans rien flinguer chez eux..
Après y'a des petits inconvénients. Je pense aux perfs graphiques qui prennent une claque par rapport à un Firefox natif ou encore l'audio qui transite par le pipeline du navigateur, du coup ça crachote parfois sur les vidéos lourdes. Le copier-coller marche, mais en passant par la section presse-papiers de la barre latérale
Selkies
, pas en direct. Et la persistance ne tient que si vous mappez le volume /config comme il faut, sinon vos onglets et vos bookmarks gicleront dès que le conteneur sera recréé (à la première mise à jour d'image, typiquement).
Côté vie privée c'est plutôt une qualité mais pour un usage quotidien, ça peut devenir relou.
Installation en une commande
L'image officielle, c'est lscr.io/linuxserver/firefox:latest. Elle tourne sur Selkies depuis juin 2025 (avant c'était KasmVNC) et démarre en Wayland par défaut depuis mars 2026. Maintenant, si un site part en vrille à cause de ça, vous ajoutez le paramètre PIXELFLUX_WAYLAND=false à la commande Docker et vous serez de retour en X11.
Le --shm-size=1gb, c'est la
mémoire partagée de Docker
et vous n'y couperez pas, désolé. Si vous le zappez, YouTube comme les sites un peu lourds vous planteront le navigateur. Le port 3001, c'est l'accès HTTPS, avec un certificat auto-signé qui fera râler votre Firefox principal (c'est normal, faut l'accepter). Y'a aussi un port 3000, mais lui c'est du HTTP en clair, à réserver derrière un reverse proxy genre SWAG et rien d'autre.
Ensuite, direction https://localhost:3001/ et un joli Firefox vous attend. Notez que par défaut, il n'y a AUCUNE authentification. Personne ne vous demande rien, alors si vous voulez l'exposer sur votre réseau, définissez bien un CUSTOM_USER et PASSWORD pour activer le basic auth avant qu'un petit malin de votre réseau ne tombe dessus.
La version docker-compose, plus propre
Envie d'un setup versionnable, que vous pouvez reproduire ailleurs sans réfléchir ? Le compose fait ça mieux :
Ensuite, un docker compose up -d et roulez jeunesse. Le volume ./firefox-config conserve votre profil entre deux redémarrages avec bookmarks, extensions installées depuis le store Mozilla, tout reste en place.
Et si vous avez envie de repartir de zéro, on met le dossier à la poubelle, on relance, et voilà. Et pour glisser des outils tiers dans le conteneur (filezilla, un éditeur, ce genre de bidule), [proot-apps install](https://github.com/linuxserver/proot-apps) les posera dans $HOME, où ils survivront aux mises à jour de l'image.
Le hardening qu'il faut absolument activer
Maintenant, le piège que la doc évoque du bout des lèvres et qui mérite d'être écrit en gros c'est que l'interface web embarque un
terminal avec sudo passwordless
. Traduction : quiconque accède à votre Firefox conteneurisé devient root dans le conteneur en deux clics. Exposez ça sur votre réseau, ou pire sur Internet, sans durcir le machin, et vous ouvrez un boulevard.
La parade tient en une variable : **HARDEN_DESKTOP=true**, qui pose les principaux verrous d'un coup. Ça coupe sudo, ça vire les terminaux, et ça bloque xdg-open et exo-open, qui pourraient lancer des trucs hors conteneur. Vous pouvez empiler ça avec HARDEN_OPENBOX=true par-dessus, histoire de neutraliser les raccourcis clavier dangereux genre Alt+F4, de désactiver le clic droit et de masquer le bouton de fermeture. Firefox reste parfaitement utilisable, mais impossible de s'évader pour faire mumuse avec le système derrière.
Et pour une exposition sur Internet, le basic auth CUSTOM_USER/PASSWORD ne suffira pas car c'est trop léger. Moi ce que je vous recommande, c'est de coller le tout derrière un
reverse proxy SWAG
avec une vraie couche OAuth2 ou Authelia. Le basic auth, gardez-le pour le LAN entre potes ou collègues de confiance, mais pas au-delà.
SealSkin, le bonus qui change tout
SealSkin
, c'est la cerise sur le conteneur ^^. C'est une extension navigateur, dispo pour Chrome et Firefox, qui monte la garde sur votre navigateur principal et détourne ce qui sent mauvais vers le conteneur isolé. Un lien repéré comme suspect ? Hop, il s'ouvre direct dans le Firefox conteneurisé. Pareil pour les téléchargements, qui atterrissent dans le conteneur au lieu de finir sur votre machine.
Du coup,
l'isolation devient un réflexe permanent
au lieu d'un machin que vous activez à la main quand vous y pensez (c'est-à-dire jamais). Seule contrainte par contre, faudra héberger le serveur SealSkin vous-même, et installer l'extension dans votre vrai Firefox. Mais vous verrez, après quelques jours à ce régime, vous aurez du mal à faire autrement.
Et sur tablette ou mobile ?
J'imagine que vous comptiez sur l'ancien tag kasm pour le tactile ? Eh bien c'est raté, puisque LinuxServer l'a déprécié début juillet. En échange, la barre latérale Selkies embarque désormais un trackpad virtuel et un clavier à l'écran, donc de quoi rendre l'interface utilisable depuis un iPad ou un smartphone sans bidouille en plus. On reste loin, c'est vrai, du confort d'un vrai desktop, et taper Ctrl+Tab au doigt c'est toujours la misère, mais pour dépanner ça fait le job.
Et voilà, votre Firefox jetable vit désormais dans son petit conteneur, bien au chaud. Comme ça, le prochain lien douteux, vous l'ouvrirez sans trembler... pour tester des sites au calme, difficile de trouver mieux, je pense.
Dans la série "Qu'est-ce qu'on se marre avec les LLMs", des chercheurs en cybersécurité de Check Point ont tenté une expérience plutôt fun (enfin, je trouve ^^) : Demander à DeepSeek de leur coder un ransomware capable de tourner directement dans le navigateur.
Et bah croyez le ou non mais le machin l'a fait sans broncher ^^ Quand je repense à tout ce foin qu'on vient de vivre avec les américains avec Mythos et Fable 5 d'Anthropic, j'avoue je rigole quand je vois ça.
Alexey Bukhteyev et Pedro Drimel Neto, de l'équipe malware de Check Point, ont récupéré cet échantillon bricolé par l'IA, l'ont un peu peaufiné quand même, et se sont retrouvés avec une arme à 100% fonctionnelle capable de chiffrer tous vos documents depuis Chrome sans rien avoir à installer.
Le code malveillant s'appuie sur la File System Access API, une fonction qui permet à une page web de demander l'accès à un dossier de votre disque. La cible clique sur "autoriser" en pensant retoucher une image sur un site de "AI photo enhancer" bidon, et derrière la page parcourt le dossier ouvert, chiffre son contenu, et laisse une jolie demande de rançon et aucun moyen de récupérer les fichiers originaux.
Et surtout, DeepSeek a été au-delà de leurs attentes en proposant plein de fonctionnalités "cools" en plus à ce ransomware comme du vol de tokens Discord, de numéros de carte, de seed phrases crypto et de l'accès webcam. Mais en y regardant de plus près, les chercheurs ont remarqué que tout ceci avait été halluciné et ne fonctionnait pas vraiment. Le seul truc fonctionnel c'est le chiffrement du dossier qu'ils ont eux-même demandé et autorisé.
L'idée de faire un ransomware dans le navigateur n'est pas nouvelle et d'autres chercheurs l'avaient déjà théorisée à la conférence USENIX Security en 2023 sous le nom de RoB, ("Ransomware over Browsers") mais ce qui change vraiment ici, c'est que sans grandes compétences, n'importe qui peut le faire.
Et c'est là que DeepSeek se distingue de la concurrence. Le modèle refuse bien sûr la demande si vous écrivez le mot "ransomware". Mais les chercheurs sont des petits malins et ont simplement retiré les termes qui fâchent, remplaçant "ransomware" par une formulation plus neutre du style "outil de chiffrement de fichiers". Et voilà, DeepSeek v4 a recraché exactement la même fonctionnalité.
Ce garde-fou s'est vraiment comporté comme un simple filtre anti gros mots, c'est un peu ridicule, surtout que ce n'est pas la première fois que le modèle chinois
se fait remarquer côté code douteux
, ni la première fois que les IA open source
montrent leur face sombre
.
Pour vous protéger contre ce genre de ransomware, il faudra donc être très vigilant à l'avenir et vous demander pourquoi tel ou tel site vous demande un accès COMPLET à un dossier plutôt que simplement au fichier dont il a besoin. Et sur Android, ça va être encore plus sensible depuis que Chrome peut donner accès au dossier photos. Bref, dans le doute, refusez...
Anthony Sgro vient d'open-sourcer un truc que tout utilisateur de VPN devrait avoir sous la main. C'est extension pour Safari, Chrome et Firefox (et pas Faille-Fox, déso) qui s'appelle GeoSpoof et qui part d'un constat tout bête que la plupart des gens ignorent.
En fait, votre VPN change masque bien votre adresse IP réelle (s'il est bien configuré, hein), d'accord, super, mais votre navigateur, lui, continue tranquillement de tout balancer aux sites web et notamment le lieu où vous vous trouvez vraiment.
Venez pas chez moi, c'est pas mon adresse...
Et il a mille façons de le faire. Y'a d'abord l'API de géolocalisation qui balance vos coordonnées GPS si vous l'autorisez, mais surtout y'a tout le reste, beaucoup plus sournois comme votre fuseau horaire, par exemple. Vous êtes connecté à un serveur VPN à New York mais votre navigateur répond Europe/Paris quand un script lui demande l'heure, et hop, le site comprend en une milliseconde que vous bluffez. Pareil avec l'objet Intl.DateTimeFormat, avec le Date du système, avec WebRTC qui adore fuiter votre vraie IP locale.
Vous pouvez avoir le meilleur VPN du monde, si ces signaux-là pointent tous vers chez vous pendant que votre IP dit le contraire, et vous êtes encore plus repérable qu'un mec sans VPN. C'est exactement
ce qu'un VPN ne fait pas
tout seul et c'est pour ça que votre abonnement à Youtube Premium, Netflix, ou Disney+ à 30 centimes acheté en Turquie ou je ne sais où, fini par se faire flagger.
GeoSpoof colmate donc ce trou en venant rebrancher directement ces APIs dans le navigateur sur du contenu factice. L'extension s'injecte au tout début du chargement de la page, avant que le JavaScript du site ait eu le temps de tourner et ensuite quand un script demande votre position, votre heure ou votre fuseau, il reçoit la localisation que VOUS avez choisie, et tout est cohérent. Géoloc, timezone, dates, WebRTC, tout raconte la même histoire et y'a plus de signal contradictoire qui dépasse.
Le mode que je trouve le plus pratique, dans GeoSpoof c'est surtout la synchro VPN automatique. L'extension repère l'IP de sortie de votre VPN, et elle aligne toute seule votre localisation navigateur dessus. Si vous changez de serveur, et que vous passez de Tokyo à Montréal, hé bien elle resynchronise sans que vous n'ayez à toucher à quoi que ce soit.
Sinon vous pouvez aussi y aller à la main, chercher une ville précise ou taper vos coordonnées directement. Pour vérifier que ça marche vraiment, l'auteur a même monté une page de test sur
geospoof.com/verify
, et l'extension passe les outils classiques de fingerprinting comme CreepJS ou BrowserLeaks.
Petit détail qui prouve le soin du travail, les overrides sont déguisés pour répondre [native code] quand un script essaie de vérifier s'ils ont été trafiqués. Héhé, malin !
Là où Anthony Sgro est honnête, c'est qu'il ne vous vend pas l'invisibilité totale. C'est écrit dans la doc que GeoSpoof ne change PAS votre IP. Sans un VPN derrière, votre adresse continue donc de pointer vers chez vous, et le bénéfice restera limité face aux sites qui recoupent l'IP.
Ça ne bypasse pas non plus la détection côté serveur, votre historique de compte ou votre moyen de paiement vous trahiront toujours. Et le mode le plus agressif, qui passe par le protocole de debug de Chrome pour verrouiller le fuseau jusque dans les workers, reste détectable par les outils qui cherchent spécifiquement ce genre de bidouille. C'est juste un outil de cohérence à utiliser en complément
du meilleur VPN auquel vous vous êtes abonnés
^^.
Ça tourne sur Firefox, Chrome, Brave, Edge et même Safari sur iOS et macOS via l'App Store. Tout est sous licence MIT, et y'a pas de tracking ni de collecte de données dedans. C'est rare de voir des extension d'une si bonne qualité de finition, encore bravo à Anthony !!
Puis si vous bidouillez déjà votre vie privée avec un truc comme
Fingerprint Defender
, GeoSpoof complètera le tableau parfaitement sur la partie localisation.
Bref, un VPN sans ça, c'est une porte blindée avec une fenêtre grande ouverte à côté. Allez jeter un œil, ça prend 2 min à installer !
Le 29 juin 2026, Ouest-France a révélé que Google lancerait cet été en France ses AI Overviews, des résumés générés par IA intégrés à son moteur de recherche. Les AI Overviews répondront directement aux recherches, avant même les liens : une petite révolution pour les internautes, beaucoup moins rassurante pour les sites qui alimentent le web.
Vous vous souvenez de la première fois que vous avez lancé Half-Life 2 et que vous avez attrapé une caisse avec le gravity gun ? Eh bien un lycéen qui se fait appeler slqnt vient de remettre tout ça dans votre navigateur, gratuitement, sans avoir à installer Steam ni à télécharger le moindre gros paquet. Ça se passe sur
hl2.slqnt.dev
, c'est en ligne depuis hier, et le jeu tourne tout en fluidité, largement au-dessus des 60 images par seconde directement sous Chrome.
Sur mobile par contre, il vous faudra un clavier branché parce que les contrôles tactiles sont quasi inexistants pour l'instant, mais sur un PC, vous lancez la page et vous voilà à Black Mesa East.
Maintenant, le plus intéressant c'est comment il s'y est pris, parce que porter un jeu bâti sur le moteur Source de Valve (le même que celui de 2004, successeur de GoldSrc) dans un onglet, ça ne se fait pas en claquant des doigts.
Et slqnt n'est pas parti de zéro puisque c'est un copain qui lui a montré un portage de Portal fait par un autre dev nommé weliveinhell. Ce projet open source était d'ailleurs lui-même un fork de
nillerusr/source-engine
, c'est-à-dire une version modifiée de la fuite du code du moteur Source de Team Fortress 2 qui a circulé en 2020. Voilà pour la base du truc qui n'est ni plus ni moins que le moteur leaké patiemment retapé par la communauté.
L'astuce de ce portage tient dans un mode de rendu appelé ToGLES. En gros le moteur sait parler OpenGLES, le truc qu'on utilise d'habitude pour les applis Android, sauf qu'Emscripten sait traduire ces appels en WebGL2 dans le navigateur. Résultat, slqnt n'a eu quasiment aucun travail à faire côté affichage, le plus dur étant déjà fait.
Le casse-tête par contre, ça a été d'abord les assets, parce que cette version du moteur date d'avant la réédition anniversaire de HL2 et ne supportait pas ses fichiers. Il a donc fallu basculer sur la branche steam_legacy de Steam, puis dépaqueter tous les VPK du jeu et les redécouper en fichiers .data, un par carte, pour que le navigateur les charge au fur et à mesure.
Et puis il y a eu les animations faciales. C'était l'une des grandes fiertés techniques de HL2 à sa sortie, la façon dont les visages bougeaient en parlant. Sauf que ça faisait tellement planter le portage que slqnt a fini par désactiver complètement le système pour avoir quelque chose de stable.
Du coup le G-Man vous fait son monologue d'intro avec un visage figé, mais au moins ça tourne. Le reste de
son journal de bord
est également une jolie liste de galères de bidouilleur, vu de l'intérieur avec au hasard, les sauvegardes à recâbler sur le système de fichiers d'Emscripten, les batteries et medkits qui ne fonctionnaient pas, le gravity gun qu'Alyx vous tend mais qui n'arrivait jamais dans l'inventaire, les PNJ qui s'effondraient et mouraient au hasard, les headcrabs qui ne faisaient aucun dégât, l'eau toute noire et j'en passe...
Petit détail qui parle à quiconque a déjà bidouillé un jeu, il a dû remapper l'accroupissement sur la touche C, parce que CTRL déclenchait des raccourcis du navigateur qui pourrissent la partie.
Reste maintenant la question que tout le monde se pose : Est-ce que Valve est au courant ? Parce qu'un portage qui repose sur du code moteur leaké et sur les assets du jeu, légalement, c'est une zone grise bien grise qui tire vers le noir.
Valve a toujours été plutôt cool avec sa communauté de moddeurs, mais ça pourrait disparaître du jour au lendemain. Après si l'idée d'un jeu Source qui tourne dans un onglet vous fait marrer, c'est exactement le même esprit que ce
Portal 2 transformé en serveur web
, ou que ce
Doom qui tourne avec juste du CSS
. Mettre les vieux FPS dans le navigateur, c'est presque devenu un sport, je vous en parlais déjà avec
Wolfenstein 3D
.
Bref, foncez essayer tant que c'est en ligne. Et si vous y arrivez sur mobile sans clavier, écrivez vite un bouquin pour raconter comment vous avez fait !
Mise à jour du 26 juin 2026 : Mathias Rochus, le fondateur d'AdBlock Ltd qui édite l'extension, m'a contacté pour réagir. Il souligne que cette capacité n'a jamais servi (le rapport Island le confirme) et que le scriptlet en cause, trusted-create-element, n'est pas maison : il vient de la bibliothèque open-source de scriptlets d'AdGuard que beaucoup de bloqueurs embarquent. Surtout, il annonce corriger les deux problèmes dès aujourd'hui : suppression pure et simple du scriptlet inutilisé pour qu'aucune config serveur ne puisse l'appeler, et vérification du vrai domaine youtube.com au lieu d'une chaîne posée n'importe où dans l'URL. La nouvelle version doit encore passer la revue de Google.
Une précision quand même, parce que c'est le cœur du sujet : selon le rapport Island, quand le serveur renvoie certains paramètres, l'élément créé est une balise <script> dont le contenu est fourni directement par le serveur. Autrement dit, le verrou qu'on retire servait bien à faire tourner du code venu d'ailleurs. Le correctif, lui, est une bonne nouvelle pour les 10 millions d'utilisateurs. Je reviendrai vérifier une fois la mise à jour en ligne.
Si vous avez installé une extension qui s'appelle "Adblock for YouTube" pour virer les pubs de vos vidéos, prenez deux minutes pour lire mon article.
Les chercheurs Oleg Zaytsev et Shachar Gritzman, de la boîte de sécurité Island, viennent de passer au peigne fin une de ces extensions installée par plus de 10 millions de personnes, et ce qu'ils ont trouvé dedans n'est pas très joli joli. Le truc affiche fièrement un badge "Featured" sur le Chrome Web Store, fait bien le boulot promis (il bloque les pubs), mais il embarque aussi de quoi exécuter n'importe quel bout de JavaScript sur n'importe quel site que vous visitez.
Et ça, ça craint !
Mais avant que vous fermiez l'onglet en panique, sachez tout d'abord qu'il existe plusieurs extensions qui portent ce nom. Celle qui pose problème a un identifiant précis, cmedhionkhpnakcndndgjdbohmhepckk. Donc pour vérifier, tapez chrome://extensions dans votre barre d'adresse, activez le "Mode développeur" en haut à droite, et regardez l'ID affiché sous chaque extension. Si vous tombez sur celui-là, virez-la sans réfléchir. Si c'est un autre identifiant, ce n'est pas l'extension visée par cette analyse, ce qui ne veut pas dire pour autant que tous les bloqueurs du store sont blancs comme neige, hein...
Ce qui inquiète Island, ce n'est pas une ligne de code qui vole vos données là, maintenant mais plutôt une capacité en sommeil. L'extension contient ce que les chercheurs appellent les ingrédients architecturaux pour faire tourner du code arbitraire, et la mèche peut être allumée par un simple changement côté serveur sans que cela se voit.
En clair, du jour au lendemain, le bidule pourrait se mettre à lire vos pages, aspirer vos données et à agir à votre place dans vos comptes perso, vos applis de boulot ou vos panneaux d'admin. Au moment de l'analyse, le mécanisme dormait. Il n'était pas absent.
Et le détail qui fait sourire jaune, c'est quand même ce garde-fou censé limiter l'extension à YouTube. En théorie elle ne s'active que sur le site de Google mais en pratique, elle tourne sur absolument tous les sites, avec une vérification qui regarde juste si la chaîne "youtube.com" apparaît quelque part dans l'URL.
Oui n'importe où, du coup une adresse comme bank.example.com/search?q=youtube.com passe le test sans problème donc autant vous dire que le verrou ne verrouille pas grand chose...
Cette extension traîne sur le store depuis 2014. Au départ c'était donc un bête bloqueur de pub YouTube, jusqu'à un changement de propriétaire en 2018. Les premières versions embarquaient carrément un SDK d'injection de pub baptisé Unistream, finalement retiré en juin 2024, et les chemins d'injection de script pilotables à distance sont présents depuis février 2025. 3 autres extensions de blocage de pub liées au même écosystème ont déjà été dégagées du Chrome Web Store pour cause de malware.
Toutefois, pour le moment, il n'y a aucune preuve qu'un payload malveillant ait réellement été poussé aux utilisateurs, mais c'est la combinaison de plusieurs de ces facteurs qui pue : une extension à 10 millions d'installs, un accès à tous les sites, un canal d'injection téléguidé, un passé d'injection de pub et des cousines déjà bannies. Gloups !
Donc je vous conseille vivement de faire le tour de vos extensions.
CRXplorer
vous aidera à débusquer celles qui sont louches, et si vous cherchez à bloquer les pubs proprement, j'avais fait le
point sur les bonnes méthodes pour ça
. Petit rappel au passage, sur Chrome le uBlock Origin complet a été débranché par le passage à Manifest V3, et il ne reste que sa version Lite, forcément moins fortiche.
Donc si vous voulez le vrai, c'est sur Firefox que ça se passe maintenant.
Bref, méfiez-vous des bloqueurs de pub qui réclament la lune et au moindre doute sur l'ID, désinstallez cette merde !
Ça fait des années et des années, je dirais pas loin de 20 ans, que nous, pauvres utilisateurs de Firefox, réclamons un truc tout bête : Pouvoir enfin changer les raccourcis clavier du navigateur.
Hé bien croyez le ou non, Mozilla a fini par céder et depuis
Firefox 147
, sorti le 13 janvier 2026, il y a une petite page de config planquée qui vous permet de faire ça. Vous tapez simplement about:keyboard dans la barre d'adresse, et hop, vous tombez sur toute la liste des raccourcis personnalisables, avec même un champ de recherche pour retrouver rapidos celui qui vous intéresse.
Vous pouvez donc cliquer sur "Modifier" pour le réassigner à une autre combinaison, "Effacer" pour carrément le virer, et "Réinitialiser" pour revenir au réglage d'origine si vous regrettez fort fort. Y'a même un bouton tout en bas pour tout remettre à zéro d'un coup si vous avez fait n'importe quoi.
L'intérêt de la chose, c'est que quand un raccourci Firefox marche sur les pieds d'un autre raccourci lié par exemple à votre système ou à un autre logiciel (genre
VoxDrop
), vous pouvez enfin le désactiver au lieu de râler à chaque fois comme des vieux libristes en manque de vitamine D.
Moi ce que je vois, c'est que c'est surtout très pratique sur Linux avec le window manager qui se bat souvent pour les mêmes touches, ou pour ceux qui aiment remapper Firefox jusqu'à la moelle comme avec le fork
Glide
.
Quand je regarde la liste des navigateurs divers et variés qu'on a à notre disposition, franchement, je déprime... Chrome, Edge, Brave, Opera, Vivaldi, et même feu Arc... tous tournent sur Chromium, donc sur le moteur de Google. C'est naze pour la diversité de l'écosystème, vous ne trouvez pas ?
Alors on a toujours notre bon vieux Firefox évidemment mais il en existe un autre dont on parle très peu qui s'appelle Orion. C'est Kagi (la boîte derrière le moteur de recherche payant du même nom, fondée par Vladimir Prelovac) qui le développe pour Mac, iPhone et iPad et sa particularité, c'est qu'il est bâti sur WebKit (utilisé aussi par Safari), ne contient pas la moindre télémétrie et dispose également d'un bloqueur de pub et de traqueurs déjà câblé à l'intérieur.
Et surtout, Orion sait faire tourner les extensions Chrome ET Firefox, en même temps, ce qu'aucun autre navigateur au monde ne sait faire. Vous récupérez votre uBlock Origin, votre gestionnaire de mots de passe ou votre Dark Reader habituels, sans vous prendre la tête, tout ça en utilisant un moteur qui n'est pas Chromium. Et comme
Chrome est justement en train de tuer les dernières astuces qui faisaient survivre uBlock Origin
, l'abandon de Chrome et ses dérivés est quelque chose qui s'envisage de plus en plus pour beaucoup d'entre nous.
En plus c'est hyper simple... Vous chopez le .dmg sur
Orion
, vous importez vos petites affaires, et vous voilà sur un navigateur sait préserver votre vie privée.
Et en plus, c'est mui mui rapido puisque sur le benchmark
Speedometer
, Orion sort en tête avec 34,5, devant Safari et ses 33,5, et il laisse looooiiiiin derrière à la ramasse Chrome (25,6) tout comme Firefox qui reste quand même mon chouchou (20,7). Après si vous êtes déjà un utilisateur aguerri de Safari, la différence est minime, c'est vrai.
Mais là où ça se sent vraiment, c'est sur la mémoire occupée car Orion sait profiter des années d'optimisations qu'Apple a peaufinées dans WebKit, comme ça, une fois vos onglets fermés il squatte deux à trois fois moins de RAM que les autres gloutons à base de Chromium. Sur un MacBook par exemple, ça se traduit notamment par un ventilo qui la ferme et une batterie qui tient toute la journée.
Orion a aussi ses propres idées (fortement emprunté à Firefox si vous voulez mon avis, mais c'est pas un reproche, je trouve que c'est bien). Je pense au mode Focus qui transforme n'importe quel site en application plein écran, sans barre d'outils ni onglets, ce qui est super pratique par exemple pour bosser dans un Google Docs ou un Notion sans avoir la tentation des 40 onglets qui clignotent à côté.
Y'a aussi les Profiles as Apps qui cloisonnent complètement votre navigation perso et votre navigation pro, comme deux navigateurs distincts qui ne se parlent pas. Puis le Link Preview pour jeter un œil à un lien sans l'ouvrir, et enfin un Page Tweaker pour bidouiller l'apparence d'un site qui vous pique les yeux. Bref, là où Safari vous laisse choisir entre trois fonds d'écran et puis c'est tout, Orion se customise jusqu'à l'os comme un Firefox.
Mais le vrai sujet avec Orion, c'est qui le fabrique et surtout comment.
Car Kagi n'est pas une entreprise comme les autres. C'est une Public Benefit Corporation bootstrappée par Prelovac, qui ne vit que grâce à l'argent de ses abonnés, et ça c'est beau ^^.
Y'a plus que 3 moteurs sérieux sur la planète : Blink (le Chromium de Google), WebKit (Safari, et donc Orion) et Gecko (Firefox) alors garder un WebKit vivant en dehors d'Apple, moi je vois ça comme un acte de résistance face à Google. Comme dans la nature avec les maladies, l'
homogénéité
logicielle est une faiblesse... On peut le constater quand la moindre
faille dans Chromium
touche d'un coup la quasi-totalité du web.
Korben.info est dispo en anglais maintenant... hé ouaiiis !
Mais bon, bref, je vais pas vous vendre du rêve non plus car Orion a aussi des défauts et des vrais. Le premier, c'est qu'il n'est pas open source, ce qui est quand même un comble pour un navigateur qui se vend sur la confiance et la vie privée. Quand Kagi jure qu'il y a zéro télémétrie, vous devez les croire sur parole (ou reverser le logiciel...). Et puis c'est vrai que les extension Chrome et Firefox fonctionnent mais pas systématiquement. Y'en a parfois qui réclament des permissions tordues, d'autres qui plantent comme des merdes. Et si vous blindez des trucs comme Tampermonkey avec des tas de userscripts trop cool, y'a des chances qu'Orion parte en cacahuète.
Toutefois, rien de rédhibitoire, mais à savoir avant de déménager dessus.
Voili voilou. C'est dispo sur macOS, iOS, iPadOS, Linux en beta x86_64 et Windos un jour peut-être. Et Android ? Euh comment vous dire... bah nan.
La version de base d'Orion est gratuite, et Orion Plus, qui débloque le reste des fonctions, se prend soit en abonnement, soit en licence à vie payée une bonne fois pour toutes, ce qui change agréablement des abonnements à rallonge.
A découvrir ici
(vous verrez, le premier lancement d'Orion, c'est Hollywood le truc).
Je viens d'apprendre que Cloudflare s'était associé à Chrome, Firefox et Edge pour régler un truc qui nous pourrit tous la vie sans que nous y pensions vraiment, à savoir prouver qu'on est des humains.
Leur projet s'appelle PACT pour Private Access Control Tokens, et l'idée c'est de remplacer les affreux CAPTCHA par un titi jeton cryptographique anonyme que votre browser baladera de sites en sites.
Alors comment ça fonctionne cette nouvelle connerie ?
Hé bien un site qui a déjà une bonne raison de vous croire humain, genre un service où vous avez un compte, émet un token anonyme. Votre navigateur le conserve, et quand vous débarquez ailleurs, il le présente comme une preuve que vous n'êtes ni un robot, ni un alien, ni un pervers narcissique manipulateur.
Comme vous avez passé le test une fois, vous n'avez donc plus à recliquer sur des feux tricolores et des passages piétons aux quatre coins du web... Et comme le token ne contient aucune donnée perso, le site qui le reçoit ne sait pas d'où il sort.
Derrière PACT, rien de sorcier niveau techno, c'est juste du Privacy Pass, l'architecture que l'IETF a posée noir sur blanc en 2024 avec les
RFC 9576à9578
. Apple fait déjà exactement ça depuis 2022 avec ses Private Access Tokens planqués dans iOS 16 et macOS Ventura, et Cloudflare est même l'un de leurs émetteurs en production. Mais PACT, c'est la version next-gen de ce truc. Au lieu d'attester juste "cet appareil est un vrai iPhone", on atteste "il y a un humain dans la boucle". Les signatures RSA aveugles font que l'attesteur ne sait pas quel site vous visitez, et que le site, lui, ne sait pas qui vous êtes.
C'est plutôt une bonne idée, je trouve. Sauf que cette histoire de "personne", ça inclut aussi les bots autorisés. Genre votre agent IA qui réserve un billet de train ou fait vos courses pendant que vous dormez. Cloudflare veut également leur filer des tokens à eux aussi, pour les démarquer des crawlers sauvages qui pompent le web à l'aspirateur de chantier.
Et ça tombe bien, parce qu'aujourd'hui plus de la moitié du trafic web mondial, c'est déjà des bots.
Maintenant, le truc qui me chiffonne avec PACT c'est que ça crée mécaniquement un web à deux vitesses. D'un côté le trafic on aura le trafic "de confiance" avec son joli token, de l'autre tout le reste, traité comme suspect par défaut. Donc si vous surfez avec Tor, un navigateur exotique ou une config un peu trop cheloue, et que personne ne veut vous émettre de jeton parce que vous êtes un haxxor intransigeant avec sa vie privée, vous devenez un citoyen de seconde zone du web. Sans compter que ce serait ENCORE Cloudflare, déjà videur d'une énorme part d'Internet, qui se retrouvera à arbitrer qui mérite son laissez-passer.
Et puis ça ne règle pas le pistage. Le fingerprinting, votre IP, les mille autres signaux que votre navigateur balance dans la nature restent en place. PACT vire juste le CAPTCHA, mais pas la surveillance. Mozilla jure sur la tête de sa mère que sa participation sert justement à garder ce système ouvert, et j'avoue que je suis content qu'ils soient dans la même pièce que les autres filous, qui pourraient en profiter pour réécrire la norme entre eux. Maintenant, si ce qui reste de votre vie privée déjà bien publique avec toutes nos données perso qui ont fuitée, vous tient encore à cœur, un petit navigateur blindé comme
LibreWolf
ou un CAPTCHA qui ne vend pas vos clics tel que
ALTCHA
restent des choix plus sérieux que d'attendre un jeton de bonne conduite.
Voilà... Pour l'instant PACT n'est qu'un projet, sans date de sortie ni même de lieu de standardisation confirmé, et même si l'idée de virer les CAPTCHA est hyper séduisante, reste encore à savoir qui tiendra les clés du laissez-passer...
La Commission européenne vient de rejeter le projet de décret du gouvernement français encadrant le filtre national de cybersécurité. En pointant de graves manquements au droit de l'Union, Bruxelles gèle le dispositif et compromet sa sortie à brève échéance.
Si vous ne connaissez pas, un favicon, c'est cette mini icône pixelisée que vous pouvez voir dans l'onglet de votre navigateur qui en général est le logo du site que vous visitez. Hé bien le dev Tim Wehrle a réussi à y faire tenir un site web entier en stockant tout son HTML dans les 212 octets de l'image.
L'astuce est toute con vous allez voir... Une image, c'est des pixels. Et chaque pixel a 3 valeurs : rouge, vert, bleu, soit 3 octets. Du coup il prend son HTML, le découpe octet par octet, et colle chaque octet dans une couleur. Premier octet dans le rouge, le suivant dans le vert, puis le bleu, et on continue ainsi de suite. Et voilà comment il arrive à stocker 208 octets de HTML dans un carré de 9 pixels sur 9. Et au final, le truc ressemble à des confettis random.
Pour relire tout ça ensuite, un peu de JavaScript suffit. Le navigateur charge l'image, la passe dans un canvas, relit chaque pixel, recolle les octets et réaffiche la page. Il n'y a donc rien à installer et pour tester ça par vous-même, il a même mis une
démo
ici où vous pouvez regarder l'encodage / décodage se faire sous vos yeux ébahis.
Maintenant, n'espérez pas faire tenir votre site e-commerce là dedans hein puisque la capacité plafonne à 239 octets. Et sans le bout de JavaScript qui décode, le favicon tout seul ne servira à rien. Et ce n'est pas de la
stéganographie
non plus puisqu'on ne planque rien dans une vraie image. La data c'est l'image...
Mais c'est le genre de hack inutile que j'adore ! Le
code est sur GitHub
si vous êtes curieux et il raconte toute sa démarche sur son
blog
.
Cloudflare s'associe aux trois principaux navigateurs du marché pour développer un nouveau protocole baptisé PACT, censé remplacer les CAPTCHA et le suivi intrusif par des jetons cryptographiques anonymes. Un projet ambitieux, mais dont le déploiement réel reste encore très incertain.
GeoFS, c'est un simulateur de vol entièrement gratuit développé par le Français Xavier Tassin, qui tourne directement dans votre navigateur. Vous ouvrez
geo-fs.com
, vous choisissez votre zinc parmi une trentaine d'appareils, et vous voilà en l'air au-dessus de n'importe quel point du globe.
Tout se pilote au clavier et à la souris, donc pas besoin de sortir le joystick pour commencer et surtout, l'imagerie est satellite et mondiale, du coup vous pouvez survoler votre quartier et reconnaître votre maison sans problème.
GeoFS est né en 2010 sous le nom de GE Flight Simulator (GE comme Google Earth, oui oui), et à l'époque il tournait carrément sur le plugin de Google Earth. Quand Google a buté son plugin, Xavier Tassin a alors tout rebasculé sur
Cesium
. Ce jeu comporte +40 000 pistes référencées, du trafic aérien réel récupéré via les données ADS-B de vrais avions, de la météo en temps réel (METAR) et même de la navigation radio aux instruments (VOR, NDB, GPS). Bref, c'est du solide !
Mais le plus chouette, c'est qu'on peut jouer soit finement comme un vrai pro, soit en mode pépère. En effet, en activant le pilote automatique, vous n'avez besoin d'aucune connaissance en pilotage, et vous pouvez juste regarder le paysage défiler sous vos ailes. Et vous pouvez carrément troquer l'avion contre une montgolfière où là, une seule commande suffit pour allumer ou couper le brûleur, et ainsi vous laisser porter par les vents. Comme me l'a joliment écrit Claude, le lecteur qui m'a soufflé GeoFS (merci !!!), c'est "une très bonne surprise pour qui voler c'est avant tout visiter le monde vu du ciel".
Du coup OUI, c'est nettement plus abouti que le simulateur planqué dans Google Earth, qui à côté fait un peu gadget. Maintenant, si vous cherchez du pilotage pointu, genre révision de brevet avec checklist et tout le bazar, il faudra plutôt vous tourner vers
FlightGear
ou X-Plane, mais là c'est réservé aux passionnés, avec PC musclé, joystick et palonnier à la clé.
Mais pour 90% d'entre nous qui ne sommes pas pilotes, GeoFS suffira largement à se faire plaisir. Et si vous préférez faire le gros bourrin, je vous rappelle que le
Web Flight Simulator et son F-15
vous attend aussi dans le navigateur.
Bref, le tout est gratuit, avec une imagerie standard à 10 mètres par pixel ce qui est déjà très correct. Et si vous voulez du détail fin pour repérer chaque clocher en vol à vue, l'option HD passe par l'imagerie Bing haute résolution pour une dizaine d'euros par an, avec une journée d'essai offerte pour vous faire une idée.
Moi à Bora-Bora
A vous maintenant d'aller sur
geo-fs.com
(ou sur
la nouvelle beta ici
), de monter à 2000 pieds et allez reconnaître votre toit. Merci à Claude pour le tuyau et son chouette carnet de vol maison qu'il m'a envoyé !
Google a planqué un vrai petit simulateur de vol dans Google Earth. Alors soyons honnêtes, ce n'est pas tout neuf : l'easter egg traîne dans la version desktop depuis 2007 (Google Earth 4.2, on le débloquait avec le raccourci Ctrl+Alt+A), c'est devenu une fonctionnalité officielle en 2008, et
j'en parlais déjà à l'époque
. Bref, ça fait presque vingt ans que ça existe. Ce qui change aujourd'hui, c'est que ça débarque enfin dans la version web, directement dans le navigateur. C'est tout en bas du menu Tools, une option "Flight simulator" estampillée "Experimental". Vous cliquez dessus, et hop, vous voilà aux commandes d'un avion au-dessus de n'importe quel coin de la planète.
Forcément, j'ai voulu survoler Paris. Grosse erreur !! C'est super sensible à piloter, alors le moindre coup de flèche un peu bourrin et l'avion part en vrille. Et une fois que c'est parti en cacahuètes, bon courage pour vous rattraper. Du coup, en une vingtaine de secondes, j'avais déjà planté mon zinc entre deux immeubles haussmanniens.
Voilà, voilà. Pilote de ligne, c'était pas pour moi j'crois...
Pour tester vous-même, ça se passe uniquement sur Google Earth dans le navigateur (
earth.google.com
, pas l'appli mobile). Vous ouvrez le menu Tools, vous choisissez Flight simulator, et pensez bien à basculer le fond de carte de "Map" à "Satellite", sinon vous volerez au-dessus d'une carte abstraite toute moche au lieu d'avoir des vrais bâtiments 3D photoréalistes.
Côté pilotage, par contre c'est rustique : Page Up et Page Down pour les gaz, les flèches du clavier pour le tangage et le roulis, et un clic dans la fenêtre pour passer en commandes à la souris. De plus, les bâtiments et l'imagerie haute résolution se chargent au fur et à mesure que vous avancez, donc si vous foncez comme un dingue ou que votre connexion rame, vous traverserez parfois du vide le temps que ça charge.
Voilà, on est donc très loin d'un vrai simulateur de vol et Google le dit lui-même... c'est conçu pour de la balade tranquille, pas pour de l'aérodynamique réaliste. Si vous voulez réellement piloter dans votre navigateur, le
Web Flight Simulator et son F-15
joue dans une autre cour.
Mais maintenant, imaginez deux secondes que Google pousse le truc un peu plus loin, avec un poil de gameplay, des objectifs, des avions différents, du trafic aérien...etc. Le potentiel serait énorme !
En attendant, allez vous crasher sur la tour Eiffel dans la joie et la bonne humeur ! C'est gratuit et légal (enfin, je crois...lol).
Je ne sais pas si vous avez déjà joué à Pac-Man parce que c'est quand même un bon vieux jeu de boomer, mais si c'est le cas, vous avez peut-être déjà ressenti un peu de peine pour ces petits fantômes qui se font avaler tout cru par ce déglingot de Pac-Man.
Non ? Bah Garrit Franke, oui. Du coup il a codé pac-hunt, un petit jeu où vous incarnez ENFIN le fantôme qui traque le glouton jaune dans son labyrinthe, au lieu de vous faire bouffer bêtement.
C'est
jouable directement depuis votre navigateur
, sans rien installer. Vous déplacez votre fantôme avec les flèches de votre clavier ou les touches WASD, et votre boulot c'est de coincer ce "Gentil p'tit bonhomme" (vous l'avez ?) avant qu'il ne nettoie tout le labyrinthe de ses pastilles. Sauf que Garrit a gardé le pire souvenir de ses parties d'enfance, ce sale moment qui ruinait tout : Pac-Man gobe une super-pastille, et les rôles s'inversent !!! Hiiii tous aux abris, car pendant ces quelques secondes, c'est lui qui vous court après et c'est vous qui détalez.
Le tout tient dans
un seul fichier HTML
, sans le moindre framework, sous licence MIT et le glouton rond comme un ballon (vous l'avez ? lol oui j'aime le comique de répétition) n'est pas piloté au pif, puisqu'il a sa petite IA qui cherche les pastilles les plus proches et qui prend ses jambes à son cou dès que votre fantôme approche à moins de 7 cases. Et si vous le trouvez trop malin ou trop bête, les réglages de vitesse et de comportement sont dispo en haut du script, donc n'hésitez pas à bidouiller ça.
J'avoue que ça me donne des idées parce que des classiques à retourner comme une crêpe, y'en a un paquet. J'imagine par exemple un Mario où vous jouez le Goomba qui voulait juste traverser tranquillou le niveau pour aller faire ses courses au marché et qui se fait ratatiner le crâne par un gars amateur de champi en roues libres. On pourrait aussi jouer à un niveau de Donkey Kong où vous êtes le tonneau, avec comme seul objectif dans votre vie : rouler droit ! Et puis Space Invaders vu par l'alien du fond de la troupe qui regarde ses potes se faire dégommer rangée par rangée. Gloups !
Et Flappy Bird où vous êtes le tuyau, et vous ne faites rien... Juste vous attendez, et vous gagnez quand même ! lol... Et mon préféré, Pong où vous jouez la balle, qui rebondit d'un bord à l'autre sans fin, à vous poser de vraies questions sur le sens de la vie.
Voilà, si vous aimez le rétro-gaming autant que vous détestez prendre une douche, alors vous allez kiffer Pac-Hunt. Ça vous occupera durant cette loooongue semaine de bullshit job en attendant la mort (oui, je suis très positif en ce moment), et si l'envie vous prend de creuser le mythe, le vrai Pac-Man
cache un bug
bien connu des fans, et côté classiques recodés pour le navigateur,
Pokémon en JavaScript
vaut aussi le coup d'œil.
Bref, pac-hunt c'est 5 minutes de plaisir vengeur dans votre navigateur, et zéro install. Blinky compte sur vous les amis !