Des pirates sont parvenus à détourner le domaine de premier niveau .arpa avec des adresses en IPv6 pour contourner les filtres anti-phishing.
Le post Phishing : pourquoi le domaine .arpa est-il détourné par les pirates ? a été publié sur IT-Connect.
La hausse rapide des prix de la mémoire et des processeurs pourrait entraîner une forte augmentation du prix des ordinateurs portables en 2026.
Cet article Selon TrendForce, les prix des PC portables pourraient bondir de 40% en 2026 a été publié en premier par GinjFo.
Conductor c'est une app macOS qui vous permet de lancer plusieurs agents Claude Code ou Codex en parallèle, chacun dans son propre worktree git histoire qu'ils ne se marchent pas dessus. Le tout est développé par Melty Labs, et c'est gratuit !! (enfin l'app en elle-même, parce que les tokens Claude ou OpenAI, c'est vous qui casquez hein ^^).
Vous ouvrez l'app, Cmd+N pour créer un workspace, et ensuite, chaque agent bosse dans son coin sur sa propre branche git comme ça y'a pas de conflits ni de merge foireux au milieu du boulot ! Et grâce à cet outil, vous voyez d'un coup d'oeil ce que chacun fabrique via le diff viewer intégré. Ensuite, vous reviewez, et quand c'est bon vous mergez. Comme un chef de chantier en fait, sauf que vos ouvriers ce sont des LLM.
Y'a plus qu'à vous acheter un casque !
Côté modèles, ça supporte Claude Code (avec votre clé API ou votre abonnement Pro/Max) et Codex d'OpenAI. Et la dernière release a d'ailleurs ajouté GPT-5.4 tout frais démoulé.
Le truc cool c'est surtout cette isolation par git worktrees. Chaque workspace étant un worktree séparé, les agents peuvent ainsi modifier des fichiers en parallèle sans se marcher dessus. Si vous avez déjà essayé de faire tourner deux sessions de vibe coding en même temps sur le même repo... vous savez que ça finit en général en carnage.
Attention quand même, chaque worktree bouffe de l'espace disque (genre un repo de 2 Go × 5 agents, ça peut piquer...) donc pensez-y si votre repo est un peu lourd.
L'app intègre aussi le MCP (Model Context Protocol) pour brancher des outils externes, des slash commands custom, et un système de checkpoints qui permet de revenir en arrière tour par tour si un agent part en vrille (genre il supprime un fichier critique... ça arrive). Perso, le diff viewer c'est pas mal du tout car ça évite de jongler entre le terminal et VS Code.
Après dommage que ce soit pour macOS seulement. Déso hein ^^
En tout cas, vu le rythme des mises à jour, c'est un projet qui avance vite. Des devs de chez Linear, Vercel, Notion ou Stripe l'utilisent déjà, et ça a l'air suffisamment solide pour de la prod (mais testez bien avant hein, faut jamais me faire confiance ^^).
Et si vos fichiers .env se transformaient en un joli tableau avec des astérisques partout afin d'assurer la confidentialité de vos clés API et autres crédentials ? Hé bien c'est exactement ce que propose Dotenv Mask Editor , une extension VS Code qui remplace carrément l'éditeur texte par une grille.
Du coup, vos clés API, tokens AWS, mots de passe PostgreSQL et autres STRIPE_SECRET_KEY s'affichent sous forme de ****** et vous pouvez bosser dessus même si quelqu'un mate par-dessus votre épaule.
En gros, dès que vous ouvrez un fichier .env (ou .env.local, .env.production... bref, tout ce qui matche le pattern), l'extension vous présente vos variables dans un tableau à deux colonnes. Les clés à gauche, les valeurs masquées à droite. Pour modifier une valeur, hop, vous cliquez dessus et elle se dévoile le temps de l'édition. Vous cliquez ailleurs, c'est re-masqué. Pas de sauvegarde manuelle à faire, ça se fait tout seul.
Le masquage se déclenche à partir de 6 caractères (en dessous, c'est probablement pas un secret... genre PORT=3000 ou DEBUG=true, on s'en fiche). Et le truc cool, c'est que tout tourne en local sur votre machine.
Si vous vous dites "mais attends, y'a pas déjà Camouflage pour ça ?"... oui et non. Camouflage masque vos secrets avec un overlay pendant les démos et le partage d'écran, mais vous continuez à éditer dans l'éditeur texte classique. Dotenv Mask Editor, lui, change complètement l'interface, c'est un éditeur de tableau dédié aux variables d'environnement. Deux approches différentes du coup, et rien ne vous empêche d'utiliser les deux.
L'extension est sous licence MIT, fonctionne sur toutes les plateformes (Windows, Linux, macOS, même VS Code Web) et vous pouvez ajouter des patterns de fichiers personnalisés dans vos settings.json.
D'ailleurs, si vous voulez l'installer, c'est du classique : Ctrl+Shift+X dans VS Code (Cmd+Shift+X sur Mac), vous tapez "dotenv mask" et voilà.
Avec ça, vos secrets restent secrets mais faut quand même pas oublier de mettre votre .env dans le .gitignore hein. ^^
Un agent IA autonome a percé les défenses de Lilli, la plateforme d'intelligence artificielle interne de McKinsey, c'est arrivé en à peine deux heures. Au programme : 46,5 millions de messages en clair, 728 000 fichiers clients et un accès en écriture à l'ensemble de la base de données. Le tout sans aucun identifiant.
C'est la startup de sécurité CodeWall qui a mené l'attaque, dans le cadre d'un test de pénétration. Son agent IA a commencé par scanner la documentation API de Lilli, qui était exposée publiquement. Sur les 200 points d'accès répertoriés, 22 ne demandaient aucune authentification.
L'un d'eux, qui servait à enregistrer les requêtes de recherche des utilisateurs, concaténait les noms de champs JSON directement dans les requêtes SQL sans aucun filtrage. Une injection SQL classique, la faille la plus documentée du web depuis vingt ans.
Les scanners de sécurité classiques comme OWASP ZAP étaient passés à côté, parce que les valeurs des paramètres, elles, étaient bien protégées. Mais pas les noms de champs.
Il a fallu seulement une quinzaine d'itérations à l'aveugle sur les messages d'erreur de la base, pour cartographier toute sa structure interne. Résultat : 46,5 millions de conversations en clair couvrant la stratégie, les fusions-acquisitions et les engagements clients de McKinsey, mais aussi 728 000 fichiers (192 000 PDF, 93 000 tableurs, 93 000 présentations), 57 000 comptes utilisateurs, 384 000 assistants IA et 3,68 millions de fragments de documents RAG avec les chemins de stockage S3.
Le pire, c'est que les 95 prompts système qui contrôlent le comportement de Lilli étaient accessibles en écriture. Une simple requête SQL UPDATE suffisait pour empoisonner les réponses du chatbot à l'ensemble des 40 000 consultants qui l'utilisent, sans laisser de trace.
CodeWall a divulgué la faille le 1er mars, et McKinsey a réagi vite : tous les points d'accès non authentifiés ont été fermés, l'environnement de développement mis hors ligne et la documentation API retirée, le tout en une journée.
Histoire de rassurer tout le monde, le célèbre cabinet de conseil promet qu'aucune donnée client n'a été consultée par des personnes non autorisées. Sauf que l'adoption de Lilli dans l'entreprise est massive, puisque plus de 70% des employés de McKinsey l'utilisent au quotidien, avec quand même plus de 500 000 requêtes par mois, et une faille en place depuis... 2023 !
Quoi qu'il en soit, une injection SQL sur une plateforme qui tourne depuis deux ans et demi chez un cabinet qui vend du conseil en transformation numérique à, à peu près, la Terre entière, c'est quand même plus que cocasse.
Source : The Register
yt-dlp, tout le monde connaît. C'est l'outil parfait pour télécharger des vidéos depuis à peu près n'importe quel site. Sauf que bon, la ligne de commande, c'est pas le truc de tout le monde. Du coup, les interfaces graphiques pour habiller tout ça, y'en a un paquet... mais trouver celle qui est jolie ET sous licence libre, c'est pas gagné.
Heureusement, VidBee est un nouveau venu qui coche pas mal de cases. L'appli tourne sur Windows, macOS et Linux, elle est sous licence MIT, et l'interface est plutôt clean. On colle une URL, on choisit le format MP4 ou MKV, on sélectionne la qualité entre 720p et 8K et hop, ça télécharge.
Fastoche !
Interface principale de VidBee
Bon, jusque-là, vous allez me dire que Stacher7 fait déjà ça. Sauf que VidBee a un petit truc en plus qui vaut le détour : un système de flux RSS intégré. En gros, vous vous abonnez à vos chaînes YouTube préférées via RSS, et l'outil télécharge automatiquement les nouvelles vidéos en arrière-plan. Comme ça, y'a plus besoin de vérifier manuellement si votre créateur favori a sorti un truc. Attention par contre, prévoyez du stockage parce que ça peut vite remplir un disque dur si vous suivez plusieurs chaînes...
Côté technique, ça gère les résolutions jusqu'à la 8K (si votre écran suit), l'extraction audio seule en MP3, les sous-titres dans plus de 50 langues au format SRT, et même le téléchargement de playlists entières ou de contenus privés si vous êtes connecté à votre compte. Y'a aussi un support proxy pour contourner les restrictions géographiques (genre si votre FAI bloque certains sites) et une extension navigateur pour lancer les téléchargements en un clic.
File de téléchargement VidBee
Et pour les plus bidouilleurs d'entre vous, VidBee propose carrément un mode serveur avec une API Fastify et une interface web, le tout déployable en Docker. Perso, c'est ça que je trouve le plus malin. Un docker compose up -d, l'API écoute sur le port 3100, l'interface web sur le 3000, et vous avez votre propre service de téléchargement accessible depuis n'importe quel appareil du réseau local. Attention quand même à pas le rendre accessible publiquement non plus, hein... sauf si vous voulez des ennuis ^^.
Le projet est plutôt actif, codé en TypeScript et basé sur Electron pour le desktop. D'ailleurs, le monorepo inclut aussi une extension navigateur et un site de doc complet. Par contre, c'est encore en développement très actif, du coup y'a forcément des bugs qui traînent par-ci par-là et des trucs qui cassent de temps en temps mais vu la qualité du service rendu, c'est pas bien grave !
Bref, c'est gratuit, c'est open source, et ça marche sur Windows, macOS et Linux. Allez voir !
Merci à Lorenper pour le partage !
Après son départ de Meta sur fond de désaccord avec la nouvelle stratégie de Mark Zuckerberg, Yann Le Cun, considéré par ses pairs comme un des inventeurs modernes de l'IA, a lancé AMI Labs, une startup française spécialisée dans les « world models ». Elle vient de lever 1 milliard de dollars et voir sa valorisation monter à 3,5 milliards : le monde de l'IA croit en Yann Le Cun.
Shinji Mikami, l’un des principaux créateurs de la franchise Resident Evil, a officiellement annoncé un nouveau projet d’envergure au sein de son nouveau studio, Unbound.
Lors d'un nouveau Direct dédié au film Super Mario Galaxy, Nintendo a confirmé que Yoshi sera interprété par l'acteur Donald Glover, un grand fan de la marque.
Alors que des propriétaires de SU7 Ultra ont grogné, car leur capot acheté en option n'avait pas la fonction vendue, Xiaomi leur donne enfin ce qu'ils voulaient. La marque va donc gratuitement ajouter de l'aérodynamique active à la berline sportive électrique.
Si l'on trouve une météorite, peut-on en revendiquer la propriété ? Qui est le propriétaire d'une météorite : son découvreur, l'État ?
Rigma permet d'automatiser et de fiabiliser le suivi des remédiations correspondant aux vulnérabilités de votre SI, via un tableau de bord dynamique.
Le post Suivi et remédiation de vos pentests : découvrez la plateforme Rigma a été publié sur IT-Connect.
Retiré sans motif public après avoir attiré plusieurs centaines de milliers de dollars, un pari de Polymarket sur une possible explosion nucléaire remet en lumière la place croissante des marchés liés aux conflits armés sur la plateforme de paris en ligne.
MSI promet de frapper fort avec le MAG CoreLiquid A15 360, un watercooling AIO conçu pour répondre aux exigences des configurations gaming haut de gamme.
Cet article MAG CoreLiquid A15 360 : Petit prix et maxi performance ? a été publié en premier par GinjFo.
La MAG CoreLiquid A15 360 est un Watercooling AIO équipé de trois ventilateurs de 120 mm promettant un look, des performance et un petit prix
Cet article Test MAG CoreLiquid A15 360 de MSI a été publié en premier par GinjFo.
Si vous aviez prévu de monter un nouveau PC et d’améliorer les performances de votre PC actuel, Corsair fracasse ses prix. Voici les meilleurs deals
Cet article Corsair casse ses prix en mars : jusqu’à -78 %… voici les meilleures affaires a été publié en premier par GinjFo.
C'est fou hein, mais un CD-ROM de catch sorti en 1999 a gardé ses vidéos sous DRM durant 25 piges et tout ça juste parce que le serveur qui filait les clés de déchiffrement a disparu. Du coup personne pouvait plus rien lire.
Jusqu'à maintenant.
Le WCW Internet Powerdisk, c'était un disque promo glissé dans le magazine WCW. 61 clips vidéo de catch dessus, des matchs Hogan vs Goldberg, des profils de Sting, des intros Monday Nitro... le tout en MPEG-1 à 320x240, 30 fps, et audio MP2 mono à 64 kbps. Pour lire ces vidéos, fallait passer par UlPlayer.exe qui allait chercher une clé sur un serveur distant. Et quand le serveur a disparu vers 2000, 51 minutes de contenu sont devenues inaccessibles. Du jour au lendemain. Verrouillé pour TOUJOURS... enfin presque.
Car un dev a décidé de s'attaquer au problème en analysant le programme de chiffrement utilisé à l'époque. Et le chiffrement PAVENCRYPT (oui c'est son petit nom), c'est juste une clé qui boucle sur chaque octet du fichier. Chaque fichier a sa propre clé, mais on est clairement sur du niveau exercice de première année en crypto, dans l'esprit du ROT13.
Et comme les fichiers MPEG-1 ont une structure connue, il suffit de regarder la fin du fichier chiffré pour deviner la clé. Un simple calcul, quelques secondes, et c'est plié. Sauf si le fichier est corrompu (là bon courage).
Résultat, 61 fichiers sur 61 récupérés ! 51 minutes de catch WCW avec des matchs, des promos, des segments scénarisés... tout ça converti en H.264 et mis en ligne sur l' Internet Archive . Le déchiffreur est en Python mais attention par contre, ça ne marche que sur les fichiers .PAV au format PAVENCRYPT, et pas sur n'importe quel chiffrement des années 90 ^^.
D'ailleurs, ce genre de DRM propriétaire des années 90, c'était monnaie courante. Y'a tout un tas de vieux contenus numériques qui pourrissent derrière des verrous obsolètes . Ici la protection a survécu plus longtemps que l'entreprise qui l'a fabriquée, qui a purement et simplement disparu.
Après, le chiffrement était tellement basique que c'est pas non plus un exploit de DINGUE. N'importe qui avec Python et des notions de crypto aurait pu faire pareil, sauf que personne n'avait essayé, donc voila, bravo !!
Comme quoi, un DRM n'a pas besoin d'être costaud pour bloquer du contenu pendant un quart de siècle. Suffit que personne ne s'y intéresse.
Un groupe de fabricants européens mené par l'Allemand Volla Systeme vient de lancer le projet Unified Attestation, une alternative open source à Google Play Integrity.
L'objectif : permettre aux systèmes Android alternatifs d'accéder enfin aux applications bancaires et aux services d'identité numérique européens, le tout sans dépendre de Google pour la vérification de sécurité.
Si vous utilisez un téléphone Android classique, avec les services Google, vous ne vous en rendez très certainement pas compte. Mais pour les utilisateurs de systèmes alternatifs comme /e/OS, LineageOS ou GrapheneOS, c'est franchement infernal : Google Play Integrity, le système qui permet aux applications de vérifier la sécurité d'un appareil, bloque purement et simplement l'accès aux applications bancaires, aux portefeuilles numériques et aux services d'identité.
Seuls les appareils certifiés par Google passent les niveaux de vérification les plus élevés. Les ROM alternatives, même parfaitement sécurisées, sont exclues sans ménagement.
Le consortium regroupe Murena (derrière /e/OS), IODE (France), Apostrophy (Suisse) et la UBports Foundation (Allemagne), avec l'intérêt d'un fabricant européen et d'un fabricant asiatique.
Le système comprend trois briques : un service intégré au système d'exploitation pour vérifier la sécurité de l'appareil, un service de validation décentralisé qui ne dépend d'aucune autorité unique, et une suite de tests ouverte pour certifier un OS sur un modèle donné.
Ce projet est publié sous licence Apache 2.0, avec une vérification hors ligne, et surtout sans collecte d'identifiants. Jörg Wurzer, le patron de Volla Systeme, résume bien le paradoxe : quand un seul acteur du marché contrôle la vérification de sécurité, ça crée une dépendance structurelle.
C'est d'autant plus problématique quand l'acteur en question est justement celui dont on cherche à se débarrasser.
Le timing n'arrive pas comme ça, pouf, par hasard. L'Union européenne développe en ce moment l'EUDI Wallet, un portefeuille d'identité numérique qui doit permettre à chaque citoyen d'avoir ses papiers sur son téléphone.
Le problème, c'est que la version actuelle de l'application utilise Google Play Integrity pour vérifier l'appareil. Résultat : si vous êtes sur un Android alternatif, pas de carte d'identité numérique pour vous. Des développeurs ont déjà signalé le problème sur GitHub, comparant la situation à un PC qui exigerait Windows pour ouvrir un document officiel.
Des développeurs gouvernementaux scandinaves se sont d'ailleurs positionnés parmi les premiers à vouloir tester Unified Attestation.
On est là sur une initiative qui va dans le bon sens, parce que jusqu'à présent, ça reste pénible que Google soit le seul à pouvoir dire si un smartphone Android est fiable ou non.
Unified Attestation ne va pas tout changer du jour au lendemain, et convaincre les banques d'adopter un système inconnu reste le plus gros obstacle. Mais que des développeurs gouvernementaux scandinaves s'y intéressent déjà, ça envoie un bon signal.
Source : Netzwoche.ch
Connexion