Virtualiser macOS sur un Mac, tout le monde ou presque sait le faire. Même chose avec Linux... Mais iOS c'est un peu le Graal... Le truc interdit !

Sauf que des chercheurs en sécu viennent de tomber sur VPHONE600AP, un composant planqué dans le firmware Private Cloud Compute d'Apple qui permet de faire tourner iOS 26 en VM sur un simple Mac tout simplement via le Virtualization.framework. En gros, Apple a laissé traîner la clé sous le paillasson...

Pour ceux qui débarquent, Private Cloud Compute (PCC) c'est l'infrastructure serveur qu'Apple utilise pour faire tourner Apple Intelligence et bizarrement, le firmware de ces serveurs, qu'Apple appelle cloudOS, contient un composant qui n'a rien à faire là : un iPhone virtuel. VPHONE600AP, de son petit nom.

iOS 26 dans une VM sur Mac, avec le wallpaper clownfish en guise de bienvenue

C'est vrai que jusqu'ici, on pouvait faire tourner des VM sur iOS via UTM, mais dans l'autre sens c'était niet. Mais le chercheur du nom de wh1te4ever (bien connu dans le milieu du jailbreak iOS) a documenté comment exploiter ce composant dans un writeup hyper détaillé que je vous invite à lire.

La recette, c'est pas sorcier sur le papier : on prend le firmware d'un iPhone 16 sous iOS 26.1 (~8 Go à télécharger), on y greffe les éléments vphone récupérés dans cloudOS, et on patche le résultat jusqu'à ce que le tout accepte de démarrer dans une VM. En pratique, on se doute que c'est évidemment un poil plus corsé que ça mais c'est le résultat qui compte !

Côté patches, 3 niveaux de casse-tête s'offrent à vous. Le mode Regular, le plus pépère, qui se contente de 38 modifications. Le mode Development qui en empile 47. Et le mode Jailbreak avec ses 84 patches !

Le device tree du firmware vphone, aka "iPhone Research Environment Virtual Machine"

Ces patches touchent à tout ce qui empêche normalement iOS de tourner en dehors d'un vrai iPhone : le bootloader (iBSS, iBEC, LLB), la vérification du volume système (SSV bypass), le système de fichiers APFS (seal verification), et le trustcache TXM.

Et pour simplifier tout ça, un autre dev nommé Lakr233 a créé vphone-cli , un outil en ligne de commande qui automatise tout le processus. Téléchargement des firmwares, application des patches, boot de la VM... quelques commandes dans le Terminal et c'est parti. Sans cet outil, il faudrait se taper chaque patch à la main, parce que le processus complet prend une bonne vingtaine d'étapes.

Ensuite, une fois la bête lancée, trois façons d'y accéder : SSH sur le port 22222 pour bidouiller, VNC sur le 5901 si vous voulez voir l'écran, ou RPC sur le 5910. Le tout en 1179x2556, la résolution d'un iPhone 16. Pas mal pour du virtuel !

Bon, quelques conditions quand même.... il faut macOS 15 (Sequoia) minimum, désactiver SIP et AMFI via csrutil disable en mode Recovery, et surtout un Mac Apple Silicon...

Sur Mac Intel, ça ne marchera pas. Maintenant, si vous avez déjà bidouillé de la virtualisation sur Mac , ça ne devrait pas trop vous dépayser, mais comprenez bien que c'est un outil de recherche en sécurité avant tout... même si perso, tester des apps iOS sans vrai iPhone, c'est pas du luxe quand on fait mon job.

Merci à Lorenper pour le lien de vphone-cli !

Selon des informations relayées par un leaker reconnu du secteur, NVIDIA travaillerait sur une seconde déclinaison de sa carte graphique GeForce RTX 5050, cette fois équipée de 9 Go de mémoire GDDR7.

L’article Nvidia préparerait une nouvelle carte graphique que personne n’a vu venir est apparu en premier sur Tom’s Hardware.

Un MacBook à 699€ ? L'offre semble trop belle pour être vraie. Et en regardant de plus près, certains compromis pourraient bien refroidir votre enthousiasme.

L’article MacBook Neo : ne craquez pas trop vite, voici tout ce qu’Apple ne vous a pas dit est apparu en premier sur Tom’s Hardware.

NVIDIA envisagerait une nouvelle variante de la GeForce RTX 5050 équipée de 9 Go de mémoire GDDR7. Une RTX 5060 révisée utilisant un GPU plus grand serait également à l’étude, selon plusieurs fuites récentes.

Cet article 9 Go de GDDR7 et un bus 96-bit, Nvidia envisage une RTX 5050 bizarre a été publié en premier par GinjFo.

Google accélère le rythme des mises à jour de Chrome. À partir de septembre 2026, sa maintenance suivra un cycle de publication de 14 jours

Cet article Chrome va se mettre à jour toutes les deux semaines a été publié en premier par GinjFo.

AMD lance ses Ryzen AI 400 series basés sur l’architecture Zen 5. Mais attention des concessions sont de la partie. Explications !

Cet article PCIe x8 sur AM5 : la “petite” concession d’AMD que personne n’avait demandée a été publié en premier par GinjFo.

Le robot chien Unitree Go2, c'est celui qu'on a vu se faire pirater via Bluetooth en décembre dernier. Hé bien rebelote puisque 2 nouvelles CVE viennent de tomber, et c'est encore plus lourd. Hé oui c'est à base de root shell, de persistance après reboot... et tout ça sans aucune authentification sur le protocole réseau.

La première faille ( CVE-2026-27509 ) est la plus vicieuse puisque le Go2 utilise DDS (Data Distribution Service), un protocole publish-subscribe qu'on retrouve partout dans l' industrie de la robotique . Ça tourne avec CycloneDDS, sauf que Unitree l'a déployé SANS la moindre authentification.

Du coup, n'importe qui sur le même réseau peut envoyer des messages au robot, et un topic DDS spécifique avec le paramètre api_id=1002 permet carrément d'uploader du code Python arbitraire. Code qui s'exécute ensuite directement en root via subprocess.Popen. Et voilà comment on obtient un reverse shell en quelques lignes !

Avec un accès root, ensuite c'est open bar. Caméras, moteurs, capteurs LiDAR... et comme le DDS tourne sans chiffrement, même le trafic légitime entre le robot et sa télécommande passe en clair sur le réseau.

Le truc qui pique, c'est que DDS-Security existe vraiment puisque c'est un standard documenté qui gère authentification et chiffrement. C'est juste que Unitree a simplement décidé de ne pas l'implémenter. Même pas un tout petit token basique... snif.

La deuxième faille ( CVE-2026-27510 ) est la plus tordue. Pour celle-ci, il faut un téléphone Android rooté avec l'app Unitree installée. De là, vous modifiez la base SQLite locale, la table dog_programme, et vous injectez un binding hotkey qui exécute une commande au prochain appui sur la télécommande. Et comme le robot stocke ça dans un fichier hotkey_list.txt, votre payload persiste même après reboot. Et hop, encore un shell root !

Unitree a sorti le firmware V1.1.13 qui corrige la faille SQLite absolument rien pour la faille DDS. Le protocole tourne toujours sans auth sur les versions EDU (V1.1.7 à V1.1.11), et vu que ça nécessiterait de revoir toute l'architecture réseau du robot, j'imagine que c'est pas pour demain la veille.

Ça fait donc 3 failles en moins d'un an sur la même bestiole. Entre ça et les aspirateurs DJI piratés par milliers, la sécu des robots grand public en prend un sacré coup en ce moment. Et pour un quadrupède à plusieurs milliers d'euros qu'on retrouve dans des labos de recherche ou des usines, parce que la terre entière le dropship avec son logo, ça la fout mal.

Bref, si vous avez un Go2, mettez à jour en V1.1.13 via l'app Unitree et pour le DDS, collez votre robot sur un réseau Wi-Fi dédié en attendant mieux.

C'est dommage quand même parce que la possibilité d'authentification existait... fallait juste l'activer.

Source

L’Union européenne a dévoilé son nouveau cadre réglementaire imposant des quotas de fabrication locale pour les technologies vertes. Ce texte ne se contente pas de protéger le marché intérieur : il dresse une liste précise des zones géographiques autorisées à soutenir l'indépendance du continent.

Apple a conclu sa semaine d'annonces avec le lancement du MacBook Neo, ordinateur portable le moins cher de son histoire. Après l'iPhone 17e, l'iPad Air et les nouveaux MacBook Pro et Air M5, la marque boucle trois jours de révélations.

Si vous avez raté la mise en ligne de Wonder Man, en janvier 2026, ou que vous rêvez de la dévorer, mais que vous ne possédez pas d'abonnement à Disney+, nous avons une bonne nouvelle pour vous : le premier épisode de cette production Marvel est accessible gratuitement, sur YouTube. Avec un petit bémol, tout de même.

Simulation de vie, exploration et terraforming : avec Pokémon Pokopia, Game Freak tente une nouvelle approche de la licence Pokémon. Dans ce spin-off cosy où l’on reconstruit un monde abandonné aux côtés des Pokémon, le studio signe une expérience étonnamment riche… et addictive. Notre test.

À 699 euros, le MacBook Neo coûte beaucoup moins cher que le dernier iPad Air sans clavier et trackpad (869 euros). La tablette a l'avantage de la puissance brute, mais la proposition d'Apple avec l'ordinateur portable est imbattable. Le MacBook Neo confirme ce que les observateurs pensent depuis des années : l'iPad n'est pas un bon ordinateur.

Commercialisé au tarif compétitif de 549 euros, le Pixel 10a succède au Pixel 9a avec un nombre de nouveautés anormalement bas pour une nouvelle génération de smartphone. Si la qualité est une nouvelle fois au rendez-vous et que les acheteurs peuvent foncer sans hésitation, Il vaut mieux se tourner vers l'ancienne génération tant que les stocks sont disponibles.

— Article rédigé par l’ami Remouk (DansTonChat) – Merci à lui —

Je crois que si j'ai UNE console de cœur, celle qui a bercé mon enfance et qui a aiguisé mon goût pour les jeux vidéo, c'est la Megadrive. Un des titres qui m'avait énormément marqué, qu'on avait eu en bundle avec la console, 2 manettes et Sonic, c'est Streets of Rage... Et bien sûr ces deux excellentes suites !

Le 4ème volet, sorti 26 ans après le 3ème, était incroyable lui aussi (je recommande chaudement), car il respectait à 100% la formule et le gameplay d'origine, tout en apportant plein de petits trucs et en modernisant l'aspect technique. Un pari un peu fou mais relevé avec brio.

En suivant un peu l'actualité des différents studios ayant travaillé sur ce Streets of Rage 4, je suis tombé sur le dernier petit bijou créé par Dotemu et Guard Crush, avec Supamonks aux graphismes : Absolum.

Lyca Mobile lance une série spéciale en partenariat avec la LFP qui combine un forfait mobile de 200 Go et l'accès à la plateforme Ligue 1+.

L'informaticien Donald Knuth, lauréat du prix Turing, pensait que l'IA avait encore de grandes limites. Pourtant, le modèle Claude d'Anthropic vient de réussir à résoudre un problème mathématique ardu sur lequel le chercheur séchait. Une percée inattendue qui prouve que l'IA devient un sacré partenaire pour les scientifiques, à condition de savoir comment lui parler.

L'étau se resserre pour Pearl Abyss, qui lancera Crimson Desert le 19 mars 2026 sur PS5, Xbox Series S, Xbox Series X et PC. Le studio est accusé de cacher les versions console et a tenu à mettre les choses au clair à ce sujet.

Quelques jours après avoir annoncé un contrat avec le département américain de la Défense, OpenAI évoque désormais un possible accord avec l’OTAN. L’entreprise avance en terrain miné, profitant d'une ouverture inédite de l'Alliance politico-militaire aux technologies grand public.

Apple dévoile le MacBook Neo, un ordinateur portable à partir de 699 euros. Il est équipé de la puce A18 Pro issue de l’iPhone 16 Pro.

Cet article MacBook Neo à 699 €, Apple choisit 8 Go de RAM et 256 Go de stockage en 2026 a été publié en premier par GinjFo.