Les chercheurs de X41 D-Sec viennent de divulguer une faille critique baptisée BadHost (CVE-2026-48710) dans Starlette, le framework Python qui sert de fondation à FastAPI, vLLM , LiteLLM et une grande partie des serveurs MCP basés sur FastAPI.

325 millions de téléchargements par semaine, et il suffit d'injecter un seul caractère dans le header HTTP "Host" pour contourner les contrôles d'accès path-based qui lisent "request.url.path" dont autant dire que beaucoup de déploiements d'agents IA en production tournent en ce moment avec une porte d'entrée très mal verrouillée.

Le proof of concept publié par OSTIF donne ceci :

curl -i -H 'Host: foo' http://target/admin # 403, bloqué
curl -i -H 'Host: foo?' http://target/admin # 200, ça passe !!

Et c'est tout ! Un simple point d'interrogation collé au Host header, et l'endpoint "/admin" qui jusqu'alors filtrait les non-authentifiés s'ouvre alors aussi facilement que le claque-merde de mes haters ^^.

Donc si votre infra utilise FastAPI, vLLM ou LiteLLM exposés directement en ASGI (uvicorn, hypercorn, granian) sans reverse proxy strict devant, vous pouvez tester votre exposition immédiatement grâce au scanner de BadHost développé par Nemesis et X41 D-Sec.

Niveau mécanique, Starlette reconstruit l'objet "request.url" en concaténant la valeur du header "Host" avec le path de la requête, puis re-parse le tout. Sauf que la valeur de "Host" n'est jamais validée donc si vous y injectez un "/", un "?" ou un "#", vous décalez la frontière entre path, query et fragment au moment du re-parse.

Du coup, le routeur Starlette dispatche sur le vrai path de la requête HTTP (donc votre endpoint sensible s'exécute bien), mais les middlewares lisent "request.url.path" voient simplement un path empoisonné qui ne correspond plus à rien d'interdit.

Donc le contrôle d'accès saute et le code derrière tourne quand même. On est sur un score CVSS de 7/10 et la boite de sécu Secwest estime même que cette note est largement sous-estimée... En gros c'est super grave !

Car la portée réelle ce sont surtout les serveurs MCP qui peuvent stocker ou manipuler des tokens et identifiants pour accéder aux ressources externes auxquelles les agents IA se connectent : bases de données, comptes mail, calendriers, S3, webhooks...etc

Bref, le genre de "coffre-fort" que vous ne voulez pas voir ouvert via un header HTTP à la con malformé. Markus Vervier de X41 D-Sec a même publié un petit échantillon de ce que leurs scanners ont déjà trouvé en production : Des bases de données d'essais cliniques chez des biopharmas, des données de vérification d'identité avec PII en temps réel, des accès SSH à des équipements industriels via bastion, des boites mails complètes en lecture/écriture, des listes de souscripteurs CMS, des topologies AWS complètes avec metric queries.

Bref, l'écosystème agents IA vient de passer en mode naturiste !

Pour régler ce problème, vous devez donc mettre à jour vers Starlette 1.0.1 ou supérieur, dans tous vos déploiements LLM qui l'intègrent... Et là c'est le bordel parce qu'il y en partout : Dans les images Docker, les virtualenvs et les artefacts "vendorisés" un peu partout... Donc faut tout rebuilder.

Et si vous avez du code custom, l'OSTIF recommande aussi de remplacer request.url.path par request.scope["path"] partout où une décision de sécurité est prise.

En gros, lire la valeur non reconstruite est le "fix" qui survivra aux prochaines versions du bug, parce que croyez-moi, ça reviendra à coup sûr !

Maintenant, côté infra, X41 D-Sec et OSTIF indiquent que nginx, Apache httpd et Cloudflare rejettent le PoC par défaut, mais ça ne doit pas vous empêcher de vérifier votre config. Donc ne traitez votre reverse proxy comme une mitigation qu'après l'avoir testé explicitement avec le scanner Nemesis.

Au-delà du correctif technique, BadHost rappelle une mécanique qu'on a déjà vue avec la faille RCE de llama-cpp-python à savoir que la chaîne d'approvisionnement de l'IA ne tient que sur quelques mainteneurs bénévoles qui prennent des risques personnels énormes pour patcher proprement.

Kludex, le mainteneur de Starlette, est actuellement sous une avalanche de reports depuis des mois. L'audit qui a permis de trouver le bug a par ailleurs été financé par OSTIF et AWS et sans ça, BadHost serait encore probablement dans la nature pour un an voire plus avant d'être découvert plus naturellement.

Donc si votre boîte fait tourner du LLM en prod via FastAPI, vLLM ou LiteLLM, vous avez aujourd'hui 2 choses urgentes à faire : 1/ passer votre infra dans le scanner Nemesis, et 2/ envoyer un petit don à Kludex pour le soutenir !

Sources : Ars Technica , OSTIF

Matt Mullenweg vient de publier un billet anniversaire des 23 ans de WordPress, et ce qui devait ressembler à une célébration tient plus de l'appel au secours. Et j'avoue qu'à lecture, ça m'a mis un petit coup au moral... Parce que oui, le créateur de WordPress est épuisé à cause de 19 mois de guerre juridique...

Côté chiffres pourtant, le post commence très bien. WordPress 7 est sorti la semaine dernière, et en sept jours, 46% des installations sont déjà passées en 7.0 sans aucune casse. Du Raspberry Pi au site de la Maison Blanche, en passant par Korben.info, pas un wp-config.php à éditer à la main, pas un cron à relancer, pas un fichier .htaccess à toucher, TOUT A FONCTIONNÉ !!

Et surtout, aucune attaque supply chain ni faille de sécurité, en tout cas pour le moment. Matt insiste là-dessus et il a raison d'en être fier ! Mais c'est pas vraiment ce qu'on retient de son article...

En effet, ce qu'il explique c'est que la sortie de WordPress 7 n'a pas été ce qu'il espérait parce que trop de temps a été perdu à cause des attaques de WP Engine. Il a, je cite, "des collègues EN TRAIN DE MOURIR" (les majuscules sont dans le texte) qu'il ne peut pas aller voir parce qu'il est noyé sous les procédures. Son meilleur ami attend une greffe de cœur sur un lit d'hôpital pendant que les avocats de Quinn Emanuel l'interrogent sur tout un tas de conneries sans intérêt...

Mais avant, petit rappel pour ceux qui n'auraient pas suivi... depuis septembre 2024, Matt est en guerre ouverte avec WP Engine, un gros hébergeur WordPress propriété de Silver Lake. J'en parlais déjà à l'époque dans WP Engine vs WordPress, la guerre est déclarée . Et en 19 mois, ça n'a pas refroidi du tout... ça s'est même carrément "judiciarisé" à mort.

Silver Lake pèse plus de 100 milliards de dollars (et vient au passage de récupérer TikTok aux États-Unis), et ils ont lâché Quinn Emanuel sur l'affaire. Matt emploie le terme de "shoggoth paperclip-maximizer" pour le qualifier... En gros, ça veut dire que c'est un gars sans émotion qui exécute les ordres de manière littérale jusqu'à l'absurde.

Bref, il s'attaque à Automattic, à lui personnellement, et essaie maintenant carrément de dissoudre la Fondation WordPress qui je le rappelle est à but non lucratif sans aucun employé, et qui finance entre autres les WordCamps et l'éducation open source à travers le monde. C'est le truc qui fait tourner la communauté...

Et de ce qu'on comprend dans ce récit de Matt Mullenweg, c'est que WP Engine essaie de faire passer Matt pour quelqu'un qui détruit des preuves, parce que wordpress.org fait de la rotation de logs (chose que fait absolument tout serveur sur Terre depuis l'invention de syslog en 1980) et parce qu'il utilise les messages éphémères sur Signal avec ses partenaires amoureuses.

Bref, je comprends que le gars soit fatigué par tout ce merdier et cette mauvaise foi. Et puis vient le passage qui fait vraiment mal quand Matt s'adresse directement à Silver Lake : "Vous avez déjà tout dépecé. Si vous vouliez me faire souffrir pour mes péchés, j'ai souffert, et probablement plus profondément que vous ne le saurez jamais. WordPress et WordPress.org, et oui, même mon leadership imparfait, sont au cœur de ce qui a fait le succès de WP Engine jusqu'ici. Vous avez tellement d'argent et de pouvoir, vous venez d'avoir TikTok, l'administration Trump vous adore, vous n'avez pas besoin de contrôler WordPress aussi. Si vous gagnez, vous le détruisez, et après ?"

Puis il termine sur ces mots : "I submit. Let's move on".

Le mec capitule sur le blog officiel... Je dois avouer que j'avais jamais vu ça.

C'est un humain qui craque mais c'est également une fondation à but non lucratif qui risque de disparaître...

Bref, c'est triste pour Matt et clairement pour tout l'écosystème open source derrière. Force à lui et à WordPress !

Source

Stefan Hermann, le mec derrière la chaîne YouTube CNC Kitchen , vient de nous pondre un super outil web baptisé BumpMesh qui permet d'ajouter des textures de " displacement " à vos modèles STL, OBJ et 3MF... directement depuis votre navigateur. Vous balancez votre fichier, vous choisissez une texture dans la bibliothèque (ou vous uploadez votre propre image), vous réglez l'amplitude et le mapping, et hop, vous exportez un STL avec une texture de bois ou de béton ou que sais-je encore, prêt à être imprimé.

Avant pour mettre un motif sur une pièce imprimée en 3D, fallait passer forcement par Blender ou un soft de CAO, et surtout comprendre ce concept de displacement map, gérer les UV, bidouiller pendant des heures..etc etc. Et là avec cet outil, c'est juste quelques étapes et basta ! En plus, le code source est sur GitHub sous le nom stlTexturizer.

Côté fonctionnalités, y'a tout ce qu'il faut pour pas se planter. L'outil détecte automatiquement les surfaces planes orientées vers le bas et les laisse lisses (sinon votre pièce décolle du plateau pendant l'impression), et vous pouvez aussi peindre au pinceau les zones que vous voulez garder vierges de toute texture.

Il protège également les parties en surplomb (les fameux overhangs, ces angles déjà casse-pieds à imprimer proprement sans qu'on aille leur coller des reliefs en plus), garde le dessous bien plat avec le "smooth bottom", et propose un mode d'application cylindrique pour enrouler la texture autour des pièces rondes type vase ou tasse sans déformation aux jointures.

Y'a aussi une poignée 3D pour pivoter le modèle dans tous les sens, les raccourcis clavier classiques pour annuler/refaire, une sauvegarde de projet au format .bumpmesh, et une fonction "Bake Textures" en bêta qui fige la texture actuelle sur le maillage pour que vous puissiez en empiler une deuxième par-dessus.

L'interface est dispo en français mais aussi en italien, espagnol, portugais, japonais, coréen sans oublier l'anglais évidemment...

Bref, pour ajouter une texture peau de banane sur un vase, des écailles sur une figurine, du motif hexagonal sur une coque, c'est top moumoute ! Et en plus c'est gratuit !

À tester sur bumpmesh.com .

Merci à B0t_Ox pour la découverte !

Multimodal Solutions, une boîte grecque, vient de sortir Taphouse 1.5 qui est une GUI native macOS pour Homebrew. GUI c'est pas que le nom de votre collègue qui fout rien, c'est surtout un acronyme qui veut dire Graphic User Interface (Interface Graphique !). Et pour Homebrew, bah c'était pas du luxe.

Parce que Homebrew, c'est le standard chez les développeurs Mac, mais tout passe par le terminal. Faut taper brew install, gérer les services, fouiller l'arbre de dépendances en CLI (Command Line Interface), et c'est pas le pied quand on veut juste installer Firefox et passer à autre chose dans sa vie !

Des interfaces graphiques pour Homebrew, y'en a déjà quelques-unes (par exemple Cakebrew, Applite, Cork, WailBrew) sauf que Taphouse arrive avec 2 trucs qu'on voit rarement ailleurs : un scanner CVE intégré et un détecteur d'apps Intel qui tournent encore sous Rosetta.

Le scanner CVE, fait qu'à chaque installation, Taphouse compare la version de chaque package avec les feeds de vulnérabilités, avec des codes couleur selon la sévérité, et linke directement vers la base NVD et les rapports fournisseur.

Ainsi, quand une nouvelle CVE tombe, ça rescan en arrière-plan comme ça, sur des dépendances qu'on oublie de mettre à jour pendant des mois, y a de quoi repérer les vulnérabilités connues avant qu'elles posent un vrai problème côté sécurité.

L'autre feature pas mal, c'est donc la détection des apps Intel qui tournent encore sous Rosetta. Si vous êtes passé d'un Intel à un Mac M* , vous avez sûrement traîné des binaires Intel dans /Applications sans même vous en rendre compte. Taphouse scanne le dossier, repère les x86_64 et, quand un cask compatible existe, il vous propose la version Apple Silicon native via Homebrew. J'ai testé sur mon install et, ça m'a remonté tous mes binaires Intel oubliés comme ça j'ai pu faire un peu de ménage.

Dans sa version gratuit, vous avez le droit à +14 000 formules et casks, l'installation en un clic, la gestion des services Homebrew (start, stop, restart), le nettoyage de l'espace disque, l'aperçu des dépendances, et un gestionnaire de quarantaine Gatekeeper. Y'a aussi de quoi repousser une mise à jour pour 1 jour, 1 semaine ou 1 mois quand on n'a pas envie de se taper un brew upgrade en plein rush de boulot.

Pour les power-users, la version pro débloque la migration Apple Silicon assistée, l'aperçu des release notes GitHub en direct dans l'app, et un tableau de bord "santé du système" avec un score global. Je ne sais pas si ça vous sera utile mais ça coute moins de 10 balles pour une licence à vie, ce qui se fait de plus en plus rare maintenant.

Notez que Taphouse n'est pas open source malgré le repo GitHub qui n'héberge que les rapports de bug. Maintenant entre une app gratuite et Taphouse Pro à 9,99 €, ça dépend de ce que vous cherchez. Applite couvre 80% du besoin si vous n'installez que des casks (pas les formules), et de son côté, Cork est open-source et gratuit mais le binaire pré-compilé est payant.

Y'a aussi Cakebrew qui est encore dispo mais le projet ne semble plus maintenu. Ce qui est surtout cool avec Taphouse c'est le CVE scanning et cette migration Apple Silicon assistée dont je vous parlais.

Si vous voulez l'installer, ça peut se faire via Homebrew lui-même avec brew install --cask taphouse. Sinon, téléchargement direct sur le site officiel .

Bref, si vous gérez votre Mac avec Homebrew et que vous en avez marre du terminal, Taphouse mérite un petit coup d'œil.

Source

GhostDesk , c'est un serveur MCP open source qui file à votre agent IA un bureau Linux complet tournant dans Docker. L'agent voit l'écran, clique, tape, lance des applis, comme un humain. Bref, c'est pas juste un browser à la Playwright, puisque grâce à lui, n'importe quelle interface graphique devient pilotable. Yoann Vanitou son créateur m'a pitché son projet par email, et comme j'ai trouvé ça cool, je vous emmène faire un petit tour du propriétaire.

Le principe c'est un conteneur Docker qui tourne avec un bureau Linux minimal, Firefox, un terminal, un éditeur de texte, une calculatrice, et un serveur MCP en frontal. Votre agent IA préféré se connecte alors sur http://localhost:3000/mcp, demande un screenshot, identifie ce qui est à l'écran, puis envoie des commandes souris et clavier via les douze outils exposés (click, drag, scroll, type, key press, copy/paste, launch app, etc.).

Et vous pouvez même regarder l'agent bosser en direct depuis votre navigateur sur le port 6080, via noVNC. C'est assez satisfaisant de voir l'IA cliquer toute seule dans Firefox, je dois bien le reconnaitre !

Là où Playwright et consorts sont coincés dans le browser, GhostDesk fonctionne ainsi sur n'importe quelle fenêtre. Un workflow automatisé qui mélange plusieurs applis , un ERP legacy, LibreOffice, un IDE, un client mail, peu importe.... Ça évite les bidouilles à base sélecteurs CSS ou code custom puisque l'agent interprète l'écran directement à partir des captures écran qu'il fait.

Et comme le serveur est pensé pour tourner avec des modèles locaux comme Qwen sur une workstation GPU, y'a vraiment aucune donnée qui sort de votre réseau et aucun coût API. Puis surtout, des cas d'usage sensibles (genre avec des données de santé, de la compta, du SI interne..etc) deviennent parfaitement envisageables. Claude et ChatGPT marchent aussi, mais avec les compromis habituels sur la latence et la confidentialité.

Pour tester, une seule commande Docker suffit :

docker run -d --shm-size 2g -p 3000:3000 -p 6080:6080 ghcr.io/yv17labs/ghostdesk:latest

Vous branchez ensuite votre client MCP sur localhost:3000/mcp, vous ouvrez localhost:6080 dans un onglet pour observer, et hop ! Pour la prod, y'a aussi un mode TLS plus bearer token qui chiffre le transport, parce qu'exposer un bureau Linux en clair sur le réseau, c'est pas l'idée du siècle, c'est vrai ^^.

Les applis pré-installées restent sobres, mais rien n'empêche de builder votre propre image avec d'autres logiciels.

Maintenant, le projet est très jeune et son développement repose quasi uniquement sur Yoann, donc je pense qu'il ne sera pas contre un petit coup de main. A voir avec lui.

Après côté licence, c'est une license non-concurrentielle qui interdit l'usage commercial rival pendant une période fixée avant bascule vers une licence ouverte classique.

Bref, GhostDesk c'est une idée sympa et je pense que si vous faites de l'automation d'applis desktop ou que vous voulez brancher un agent local sur un bureau virtuel sans payer d'API, ça mérite le coup d'œil !

Bravo à Yoann !

Remplir un formulaire web, c'est sans doute l'activité la plus chiante qu'on puisse faire en ligne. C'est pourquoi Ben, un développeur qui me lit depuis 20 ans (merci !!!), a eu l'idée géniale d'en faire un jeu à part entière. Ça s'appelle Submit This Form, et c'est un puzzle game gratuit accessible via votre navigateur et dont le boss final est... le formulaire lui-même !

Votre objectif c'est donc de soumettre le formulaire. Facile non ? Bah pas tant que ça puisque ce formulaire fait absolument tout pour vous en empêcher. Chaque niveau ajoute une règle de validation plus absurde que la précédente, et c'est à vous de trouver la combine pour passer. J'vous jure, ça ma rappelé des vrais formulaires qui m'ont déjà rendu la vie dure.

Au début, on entre simplement son pseudo, puis les exigences du formulaires se font de plus en plus précises et relou...

Et c'est ça tout le sel du projet est là puisque Submit This Form, c'est une satire jouable de tout ce qu'on déteste dans le web moderne. Les CAPTCHA débiles, les champs qui refusent votre mot de passe parce qu'il manque une majuscule, les formulaires conçus pour vous épuiser jusqu'à l'abandon, et les vrais dark patterns manipulateurs comme les bandeaux cookies qui planquent le bouton refuser.

Ben a tout simplement repris toute cette UX hostile et il en a fait sa mécanique de jeu. D'ailleurs en passant, si les bandeaux cookies vous rendent dingue, un outil comme Consent-O-Matic vous permet de les refuser automatiquement.

Le jeu cache aussi une vraie histoire qui se dévoile au fil des niveaux, avec une difficulté qui grimpe en douceur, donc vous n'êtes pas largué dès le départ. Attention quand même, certains niveaux demandent une bonne dose de débrouille. C'est gratuit, ça tourne directement dans le navigateur et c'est par ici : Submit This Form . Après vous ne verrez plus jamais un champ de saisie de la même façon.

Merci Ben pour le partage !

C'est mon plus jeune fils qui m'a fait découvrir ça un soir, et comme j'ai trouvé ça top, bah je vous en parle. C'est un jeu web nommé Pax Historia et ça a été créé par deux colocataires de fac, Eli Bullock-Papa et Ryan Zhang, sur un coin de table durant un hackathon. Et ce n'est ni plus ni moins qu'un bac à sable d'histoire alternative où c'est une IA qui fait vivre le monde autour de vous, un peu comme à son époque, " Un monde meilleur " de FibreTigre.

Dans Pax Historia, vous choisissez un pays et un moment de l'Histoire, et vous réécrivez toute la suite... Et quand je dis réécrire, c'est pas cliquer dans des menus déroulants, non non, là vous tapez en langage naturel ce que vous voulez faire, vous proposez une alliance au pays d'à côté, vous menacez, vous négociez un protectorat, vous déclarez une guerre... et l'IA en face vous répond comme le ferait une vraie chancellerie. Le moteur du jeu est donc carrément un grand modèle de langage (LLM) qui génère chaque réaction à la volée, ce qui ouvre un champ des possibles bien plus large qu'un jeu de stratégie classique.

Dans ce jeu, quand vous annoncez quelque chose, le monde change car les autres nations réagissent, les frontières bougent sur la carte, et de nouveaux foyers de tension apparaissent. Et le truc que j'adore, c'est que le ton de vos messages compte énormément.

Si vous arrivez avec des arguments construits et un minimum de diplomatie, vous réussirez à tisser des relations. Par contre, si vous balancez des menaces creuses comme quand vous êtes sur Twitter, vous transformez vos voisins en ennemis en moins de 2 tours. On est exactement entre le RISK et une vraie partie de Diplomacy, sauf que l'adversaire improvise et qu'il ne vous laisse jamais rejouer le même coup deux fois.

Screenshot

Pour démarrer, vous pouvez partir sur les temps modernes, ou la Seconde Guerre mondiale, parfaits pour se faire la main, mais il y a surtout les 4000 et quelques scénarios créés par la communauté. Ces derniers sont rangés en plusieurs familles, Historical pour les vraies dates de notre Histoire, Alt-Historical pour les uchronies, Historical Fiction pour les récits romancés, et Fantasy ou Science-Fiction pour les mondes complètement inventés sans aucun lien avec le réel (Genre Starwars). Moi, vu que j'adore réimaginer l'Histoire, je me suis rué sur l'Alt-Historical sans hésiter mais si rien ne vous convient, y'a aussi l'option "Play as anything" qui vous laisse incarner à peu près n'importe quoi, une cité-État imaginaire, une faction, ce que vous voulez.

Et autre truc cool, vous pouvez aussi avancer dans le temps... Vous faites défiler les années et le monde évolue à partir de vos dernières actions et comme ça vous pouvez voir cet effet papillon que vous avez initié.

Vous pouvez même fabriquer votre propre monde puisque le mode Create embarque un éditeur de carte où vous dessinez des régions, vous les attribuez à des pays, vous posez le contexte historique et les relations diplomatiques de départ.

Et c'est un vrai jeu de stratègie, parce qu'il faut anticiper plusieurs coups à l'avance. Vous pouvez choisir un niveau de difficulté qui va de Very Easy à Impossible, le mode Normal étant calé pour rester réaliste. Vous choisissez aussi la qualité de l'IA, parce que derrière, le jeu fait tourner une trentaine de modèles différents via OpenRouter, des trucs d'OpenAI, d'Anthropic, de Google, et des modèles open source. Attention par contre, plus le modèle est costaud, plus il bouffe des tokens, donc sauf si vous aimez tomber en rade en plein milieu d'une guerre et être obligé de sortir la CB pour en racheter, démarrez avec les options les moins chères.

Et surtout, comme l'arme principale dans Pax Historia, c'est votre façon de formuler les choses, votre victoire dépend en grande partie de votre talent à argumenter. C'est du prompt engineering déguisé en grand jeu de stratégie, et je trouve que ça rejoint pas mal ce genre d'histoires où des modèles apprennent l'art de la persuasion . Le revers de la médaille, c'est que l'IA est encore beaucoup trop malléable du coup avec la bonne tournure de phrase, vous pouvez la convaincre de presque tout, un peu comme cette IA qu'on a baratinée pour lui faire lâcher 47 000 dollars .

Bref, si comme moi vous aimez triturer l'Histoire et réfléchir trois coups à l'avance, allez tester Pax Historia . C'est encore en alpha, mais j'ai trouvé l'idée brillante.

Y'a des entreprises qui claquent des millions pour bien aligner leurs modèles d'IA afin qu'ils refusent toutes les questions sensibles qui font flipper nos amis puritains d'outre-Atlantique et y'a Heretic , un outil signé Philipp Emanuel Weidmann, qui balaye toute censure sur n'importe quel modèle en moins de 30 minutes avec une simple carte graphique de gamer.

Je vous explique... Vous devez avoir Python et une version récente de PyTorch sur votre machine, puis vous tapez pip install heretic-llm, puis heretic Qwen/Qwen3-4B-Instruct-2507 avec le nom du modèle que vous voulez décensurer.

Et l'outil fait alors sa vie et 20 à 30 minutes plus tard, vous récupérez une version du modèle qui a lâché prise sur l'essentiel de ses refus. Pas de dataset à préparer et surtout pas besoin de comprendre les entrailles d'un transformer, avec ce truc !

Dans un modèle aligné, le réflexe de refuser (le fameux "désolé, je ne peux pas vous aider avec ça") correspond souvent à une direction précise dans ses calculs internes. Les chercheurs appellent ça la "direction de refus". Et l'idée de l'abliteration, c'est de repérer cette direction et de la gommer des poids du modèle. En gros, on coupe le câble qui déclenche le "non", en touchant le moins possible au reste.

D'autres outils d'abliteration existaient déjà , mais leur réglage restait largement manuel et il y a aussi des gens comme mlabonne ou huihui-ai qui publient des modèles décensurés en ajustant les paramètres à la main, modèle par modèle, avec des résultats souvent inégaux. Mais Heretic, lui, automatise complètement le réglage. Pour cela, il s'appuie sur Optuna, un framework d'optimisation qui teste des dizaines de configurations et garde les meilleures tout seul. Et son seul objectif c'est de virer un max de refus tout en abîmant le moins possible le modèle d'origine.

Et de ce que je comprends, ça marche super bien ! Sur Gemma-3-12B, le modèle de Google de base refuse 97 fois sur 100 les prompts sensibles du benchmark maison. Mais après un petit passage dans Heretic, il tombe à 3 refus sur 100, soit le même niveau que les meilleures "nettoyages" manuels.

Et surtout, Heretic affiche une divergence de 0,16 là où les versions faites main grimpent à 0,45 voire 1,04 (C'est une mesure de l'écart de comportement sur les questions normales... plus c'est bas, mieux c'est).

Cela veut donc dire qu'il abîme beaucoup moins le modèle au passage.

Maintenant, tous les modèles n'y passent pas, car un gros calibre demande bien plus de VRAM et cela peut grimper à plusieurs heures. De plus, une étude comparative récente montre que le raisonnement mathématique est ce qui souffre le plus de ce genre d'abliteration, quel que soit l'outil utilisé.

Et surtout, y'a déjà des chercheurs qui bossent sur des défenses pour rendre les modèles résistants à ce genre d'attaque. Donc on verra bien, mais tant que c'est possible autant en profiter car des modèles sans bridage, ça permet notamment à des chercheurs d'étudier leurs propres failles, ou pour des usages du quotidien, de faire passer des demandes banales qui seraient bloquées (genre texte créatif, reverse engineering ou demande de conseils médicaux, ce genre de choses...)

Voilà, si vous bidouillez du LLM en local , allez voir ce projet car ça peut vous "ouvrir" quelques portes ^^.

J'sais pas si vous avez vu, mais sur les Motorola Razr 2026, l'app maison Smart Feed intercepte le lancement de l'application Amazon pour y glisser en soumsoum un petit code d'affiliation. Comme ça, à chaque fois que vous tapez sur l'icône Amazon, votre clic se met à rapporter une commission à un compte tiers. Vous ne payez pas un centime de plus rassurez-vous, c'est le principe de l'affiliation, mais il me semble que c'est pas très réglo de ne pas le dire. En plus je pense que ça va à l'encontre des CGU d'Amazon... Breeeef, y'a rien qui va dans cette histoire.

Le truc se déclenche donc uniquement quand vous ouvrez Amazon le menu des applications, et pas depuis un raccourci sur l'écran d'accueil. A ce moment là, pendant une fraction de seconde, Chrome clignote à l'écran, et votre téléphone passe par un site nommé kira-abboud.com, pour ensuite utiliser un lien qui repart vers l'app Amazon avec le code d'affiliation sramz-kff-008-20 comme si de rien n'était. Comme ça Amazon, pense que vous arrivez de ce lien affilié.

C'est tellement rapide que la plupart des gens ne verront jamais rien....

Sauf que kira-abboud.com renvoie vers une influenceuse mode, @kirasfashionfinds présente sur Instagram, et qui n'a aucun lien apparent avec Motorola. Pire, le code d'affiliation collé à votre session ne correspond même pas à ceux qu'elle a déjà publiés. Et voilà comment on se retrouve avec un téléphone vendu par une grosse marque qui détourne vos clics vers un compte tiers, sans la moindre explication.

Côté technique, les logs réseau pointent vers devicenative.com. C'est une régie qui place de la pub sur les smartphones via un SDK intégré aux launchers Android, avec une intégration Motorola documentée. En clair, le mécanisme qui pourrit votre app Amazon pointe vers un kit publicitaire préinstallé d'usine.

Reste à savoir maintenant si c'est un choix assumé de Motorola ou un SDK pub qui part en vrille, voire un hack... et pour l'instant, personne ne le sait.

L'expert en électronique connu sous le pseudo de Krauseler s'est mis en tête un truc que la plupart des ingénieurs auraient lâché au bout d'une semaine, à savoir fabriquer un vrai ordinateur qui tient dans le format exact d'une carte bancaire.

Et pas "à peu près la taille d'une carte" comme on dit tous pour un Raspberry Pi, non, non, la vraie norme ISO 7810, 85 mm sur 54, et surtout l'épaisseur, soit moins d'un millimètre. Sa Muxcard, il l'a sortie tout seul, chez lui, après des mois de bidouille, et le résultat est très impressionnant !

Alors déjà, "ordinateur", c'est lui-même qui le met entre guillemets. En réalité sous la fine couche de Kapton se cache un ESP32-C3, le microcontrôleur que tous les makers connaissent bien, avec du WiFi, du Bluetooth et une intégration Arduino aux petits oignons.

Donc pas de Windows ni de Linux là-dessus, ne rêvez pas, mais ça tourne sur du firmware maison flashé directement sur la puce, façon Arduino. C'est donc surtout ça qui fait râler les experts en expertise de Reddit, mais j'suis désolé, un machin qui calcule et exécute du code, ça reste un ordinateur. Et sinon, oui, avant que vous posiez la question, ça fait tourner DOOM... À 0,7 image par seconde, certes, mais ça tourne !

Mais le plus dingue, ce n'est pas d'avoir réussi à caser tous les composants car malgré ce qu'on pourrait croire, trouver des pièces assez fines, c'était la partie facile. Le vrai cauchemar, c'est la mécanique car à cette épaisseur, tout devient fragile. Le moindre pli, la moindre pression localisée, et paf, les soudures lâchent.

Krauseler a donc conçu des "îlots" rigides autour des puces et des zones de souplesse calculées ailleurs, pour que la carte plie sans jamais forcer sur les points sensibles.

Et la partie qui va parler aux bidouilleurs, c'est le circuit imprimé. Plutôt que d'attendre 3 semaines une commande de flexPCB chez un fabricant à l'autre bout du monde et de prier pour que ça marche, il a tout simplement gravé le sien à la maison.

Du ruban Kapton avec une feuille de cuivre laminée, une couche de photorésine, et une imprimante 3D détournée en machine de photolithographie pour insoler les pistes.... Ajoutez à cela le pochoir pour la pâte à souder, qu'il a fabriqué en empilant du film photorésine à usage unique, et voilà.

Si vous avez déjà tenté de fabriquer un circuit au marqueur , c'est le même principe, mais poussé à un niveau de dingue.

Le moment le plus douloureux, de ce que j'ai compris, ça a été le branchement de l'écran. Les connecteurs étaient trop épais, alors il a soudé chaque fil à la main en retenant sa respiration tellement c'est petit.

Maintenant, le point faible c'est la batterie. Un accu LiPo aussi fin, ça n'aime ni la chaleur, ni les chocs, ni qu'on s'assoie dessus avec le portefeuille dans la poche arrière. Une mini perforation et hop ça part en fumée, au sens propre.

Krauseler le reconnaît sans détour, et c'est sa plus grosse contrainte. Mais rassurez-vous, il bosse déjà sur des feuilles d'acier inox pour blinder l'accu contre la pression. Pas simple quand on sait que chaque solution crée un nouveau problème...

Bon, et qu'est-ce qu'on en fait au juste de cette Muxcard ?

Hé bien pour l'instant le proto affiche surtout des trucs sur son écran e-paper et joue les cartes de visite qui claquent. Mais pour moi, son potentiel qui fait rêver, ce serait d'imaginer qu'avec le NFC en lecture-écriture et l'ESP32, vous avez là de quoi bricoler un générateur de codes 2FA, un gestionnaire de mots de passe hors ligne, un portefeuille de QR codes pour vos billets de transport et autres, un portefeuille crypto, voire un petit outil de pentesting dans l'esprit du Flipper Zero .

Le tout dans un objet qui se glisse dans votre portefeuille sans que personne ne remarque la différence. En fait, le seul vrai frein, c'est qu'il faut savoir coder son propre firmware Arduino pour en tirer quoi que ce soit.

Maintenant, est-ce qu'on peut le refaire chez soi ?

Bien sûr, Krauseler a mis les schémas, le layout et un firmware d'exemple sur son GitHub mais attention quand même, c'est sous licence CC-BY-NC-SA, donc vous avez le droit de vous amuser à le reproduire mais pas de le vendre.

Maintenant, je pense que vous l'avez compris, reproduire ce truc relève de l'exploit. Il faut l'équipement de photolithographie, une soudure de précision de chirurgien, et surtout une batterie de moins d'un millimètre d'épaisseur que lui-même galère à sourcer. Et sur le coût total de tout ça, on n'a pas l'info ! Dommage, j'aurais bien aimé savoir combien ça coûte.

Bref, c'est moins un produit qu'une démonstration de force. Et c'est surtout une preuve de plus qu'un passionné seul peut encore repousser des limites que l'industrie jugerait pas assez rentable pour s'y coller...

Source

Riley Testut et Shane Gill viennent de sortir une bêta d' AltStore Classic (la 2.3b1 ), qui supprime enfin le besoin d'avoir un ordinateur pour sideloader des apps sur iPhone. AltStore, pour ceux qui débarquent, c'est la boutique alternative qui installe des apps qu'Apple ne veut pas sur son store, sans jailbreak et pour l'utiliser jusqu'ici, il fallait garder un Mac ou un PC allumé avec AltServer pour réinstaller vos apps tous les 7 jours.

Mais maintenant, une simple connexion Wi-Fi suffit !!

Pour s'en servir, vous allez dans les réglages d'AltStore Classic et vous renseignez l'URL d'un "serveur anisette" et hop, l'app se mettra à causer directement aux serveurs d'Apple pour signer et rafraîchir vos installations, sans passer par AltServer. Pour l'instant c'est réservé aux AltStore Patrons (les abonnés Patreon), avec un déploiement grand public prévu une fois la bêta stabilisée.

L'anisette, c'est la donnée d'authentification que les serveurs d'Apple exigent pour valider une demande de signature. Avant, AltServer la générait depuis votre ordinateur, d'où l'obligation de l'avoir sous la main. En déportant ça sur un serveur anisette distant, AltStore se débrouille maintenant tout seul depuis le téléphone.

C'est bien pensé ! Du coup le refresh hebdomadaire se fait en silence, et gérer le plafond de 3 apps imposé par Apple devient indolore même si cette limite des 3 apps reste...

SideStore , un fork open source d'AltStore, fait du sideloading sans ordinateur depuis un bon moment, en montant un VPN WireGuard local qui fait croire à l'iPhone qu'un ordi est branché, donc oui c'est vrai, AltStore Classic arrive un peu après la bataille mais avec une approche différente, ce serveur anisette plutôt que le VPN.

Mais ces serveurs anisette, faut bien que quelqu'un les fasse tourner et quand ils tombent, votre sideloading tombe avec.... Les habitués de SideStore connaissent bien la chanson. Vous pouvez bien sûr héberger le vôtre si vous êtes du genre à bidouiller, mais sinon vous dépendrez d'un serveur communautaire... et de sa bonne santé.

Tout cela permet de reprendre un peu la main sur un iPhone qu'Apple a tenu verrouillé à double tour depuis bien trop longtemps. C'est grâce à ça que pas mal de gens peuvent aujourd'hui installer des émulateurs à l'ancienne comme Provenance , ou que la pression a fini par pousser Apple à accepter les émulateurs rétro sur son propre store.

Bref, si vous êtes Patron AltStore et sous iOS 17.4 ou plus, vous pouvez tester dès maintenant. Sinon, encore un peu de patience...

Source

Aspyr et Crystal Dynamics lâchent en ce moment la trilogie Tomb Raider I-III Remastered gratuitement sur l'Epic Games Store , soit 0€ au lieu de 26,99€. Vous pouvez donc récupérer les trois premières aventures de Lara Croft, celles que Core Design a pondues entre 1996 et 1998, remasterisées comme il faut et les garder pour toujours, même quand il repassera payant.

Filez sur la page Epic, cliquez sur Obtenir, et hop, c'est réglé. Et ne traînez pas, parce que l'offre s'arrête le 28 mai et après ça, retour au prix fort.

Dans ce pack, vous avez donc les 3 jeux complets avec leurs extensions d'époque, Unfinished Business pour le premier, Golden Mask pour le deuxième et The Lost Artifact pour le troisième. L'intégrale, secrets et niveaux bonus inclus, ce qui n'était jamais arrivé sur des plateformes modernes jusqu'ici.

Micode vient de lâcher une enquête de presque 50 minutes que vous devriez vraiment regarder, et je la relaie parce qu'elle est d'intérêt public.

Avec son équipe, il a infiltré pendant des mois le réseau derrière ces appels qui vous harcèlent plusieurs fois par jour, ces numéros en 0162 que l'Arcep réserve au démarchage et que les escrocs détournent allègrement. Genre les faux remboursements de 170 € soi-disant liés à l'inflation ou aux chèques énergie.

Et spoiler, ce n'est pas une petite arnaque artisanale mais une véritable industrie de l'escroquerie !

Depuis quelques jours, les Kindle sortis en 2012 ou avant ont perdu l'accès à la boutique Amazon : plus d'achat, plus d'emprunt, plus de téléchargement, vous gardez bien sûr les bouquins déjà chargés sur l'appareil, mais c'est tout.

Alors est-ce qu'on chiale comme des petits fragiles victimes d'Amazon ??

Bah non parce que la communauté KindleModding documente depuis des années comment reprendre la main sur ces liseuses, et leur wiki tombe à pic !

Le principe, c'est de jailbreaker le Kindle pour y installer ce qu'Amazon ne veut pas voir en particulier ces 2 outils qui changent tout : KOReader d'abord, un lecteur libre qui avale l'EPUB, le PDF, le CBZ et à peu près tout le reste, et Mesquito, qui remplace carrément la boutique Kindle par un store communautaire. Et voilà comment votre vieille liseuse peut enfin lire les formats ouverts et charger des livres sans passer par la caisse d'Amazon.

Et côté compatibilité, c'est large ! WinterBreak par exemple couvre tous les Kindle en firmware 5.18.0 ou antérieur, soit l'écrasante majorité des modèles d'avant 2024. Les firmwares plus récents, de 5.18.1 à 5.18.5, passent eux par AdBreak. En gros, presque tous y passent, sauf le Kindle Scribe, encore trop verrouillé pour l'instant.

Et vous allez voir, KOReader, c'est le jour et la nuit face au lecteur d'origine. Typographie réglable au poil comme sur Korben.info ^^, dictionnaires perso, annotations de pro, et surtout zéro format imposé. Votre Kindle redevient grâce à ce hack, une vraie liseuse.

Et avec Mesquito, vous installez des apps tierces, vous virez enfin l'écran de pub des modèles Special Offers, vous sideloadez vos livres en USB, et vous coupez les mises à jour automatiques pour qu'Amazon n'aille pas tout re-verrouiller dans votre dos.

Après, même si le risque reste faible quand on suit le wiki à la lettre (il y a une section entière pour récupérer un Kindle dans les choux), faut quand même faire gaffe car un flash de firmware alternatif, c'est jamais anodin. Et bien sûr la garantie saute, mais franchement, sur une liseuse de 2012 elle est morte et enterrée depuis un bail, alors pourquoi se priver !

Dernier truc, un Kindle jailbreaké restera coincé avec le DRM des livres Amazon que vous avez déjà, et KOReader ne fera pas de miracle là-dessus. Donc vous devrez peut-être faire sauter les verrous de vos livres avant.

Et un petit conseil au passage, sur un vieux Kindle encore enregistré, évitez de le réinitialiser ou de le désenregistrer car après vous ne pourrez plus jamais le réenregistrer. Donc on bidouille tranquillou mais on ne fait pas de reset à l'aveugle en mode gros bourrin ^^.

Après le vrai sujet, je trouve, c'est que ce Kindle de 2012, il marche encore parfaitement. L'écran e-ink tient, la batterie tient, rien n'est cassé... Mais non, y'a Amazon qui décide de casser les couilles à distance en bloquant l'achat de livre dessus. En vrai c'était une location de liseuse alors ? On nous aurait menti ?

Amazon avait déjà retiré en février 2025 l'option de télécharger ses livres en USB, et même quand ils ont fini par autoriser l'EPUB sans DRM , c'était réservé aux auteurs indépendants. Bref, leur mouv de fond est limpide, c'est direction tout vers le verrou !

Alors plutôt que de racheter une liseuse neuve, autant réveiller celle qui dort dans un tiroir ou qui arrive en fin de vie à cause d'Amazon. Rendez-vous donc sur le wiki KindleModding qui explique la marche à suivre modèle par modèle, avec un Discord pour l'entraide.

Merci François pour le lien !

Bon, vous le savez, j'utilise mon site aussi comme un pense-bête. Et comme je viens de me racheter une nouvelle montre, j'en profite pour me faire mon petit mode d'emploi, rien qu'à moi. Donc je suis au regret de vous annoncer que cet article ne vous intéressera pas du tout ^^, sauf si vous avez la même montre évidemment...

Cette Casio F-91W coûte une vingtaine d'euros, elle est quasi increvable, et si j'ai choisi ce modèle, c'est parce que je voulais une montre pas chère et solide, rien d'autre. J'en ai rien à faire de compter mes pas ou de recevoir des notifs au poignet. Je sais qu'il y a des gens qui mettent carrément du Linux sur leur montre , grand bien leur fasse, mais perso, plutôt qu'une smartwatch à 300 balles qu'il faut recharger tous les jours, je préfère claquer mes sous dans ce machin et profiter de ses 7 ans d'autonomie (oui oui ^^).

Mais avant, petit rappel pour ceux qui débarquent. La F-91W, c'est Casio qui la sort en 1989, elle est dessinée par Ryūsuke Moriai , et depuis le modèle n'a quasiment pas bougé. C'est l'une des montres les plus vendues de la planète, dans les 100 millions d'exemplaires écoulés au fil des années. J'aime beaucoup son look digital rétro des années 90, elle ne pèse que 21 grammes (le poids de votre âme ^^), et comme je vous le disais, sa pile lithium CR2016 tiendra environ 7 ans soit le temps qu'une smartwatch rende l'âme 2 ou 3 fois. Et niveau précision annoncée, on est à ±30 secondes par mois.

Maintenant côté flotte, elle encaisse les éclaboussures et la pluie, mais c'est tout. Pas de douche avec, pas de piscine non plus donc attention !

Et niveau features de fou, elle fait juste l'heure, l'alarme et le chrono. Oui, je sais, vos influenceurs préférés déballent des Rolex à 15 000 € défiscalisées pour leurs stories insta et moi, je débarque avec ma Casio en plastique 1000 fois moins cher histoire de vous coller la honte !

Mais y'a un truc marrant que j'ai découvert en écrivant cet article c'est que Barack Obama portait déjà une F-91W bien avant d'entrer à la Maison-Blanche. Notez que Trump, lui, n'en aurait aucun usage, car il paraît qu'il ne sait même pas lire l'heure.

Mais alors maintenant le vrai morceau, LE truc pour lequel j'écris cet article incroyable c'est : Comment est-ce qu'on règle ce machin ?? Comme la F-91W tourne sur le module Casio 593 (le numéro est gravé au dos), et toute la logique de "programmation" passe par 3 boutons... Une fois que vous et moi aurons pigé comment utiliser ces 3 boutons, on saura tout faire (comme avec la barre de fer) et on pourra se concentrer sur comment utiliser ces foutus 3 coquillages.

Les 3 boutons et les 4 modes

Y'a donc 3 boutons sur la F-91W. En haut à gauche, le bouton (L), c'est l'éclairage. En bas à gauche, le bouton (C), c'est celui qui change de mode. Et à droite, le bouton (A), c'est celui qui ajuste les valeurs.

Je peux pas faire plus clair...

Et la montre a 4 affichages, et on passe de l'un à l'autre en appuyant sur (C) : l'heure normale, l'alarme quotidienne, le chrono, et le réglage heure/calendrier. Un appui sur (C) et on avance d'un cran, et au bout on revient à l'heure normale. Gardez ça en tête, parce que tout le reste en découle.

Régler l'heure et la date

Depuis l'affichage normal, appuyez 3 fois sur (C). Les secondes se mettent à clignoter, vous êtes en mode réglage.

À partir de là c'est toujours la même mécanique : (A) change la valeur qui clignote, et (L) passe au champ suivant. Ensuite, l'ordre est imposé par la montre, à savoir : secondes, heures, minutes, mois, date, puis jour de la semaine.

(A) remet les secondes à zéro, ce qui est pratique pour se caler pile sur un top horaire comme dans Parker Lewis. Ensuite, (L) pour passer aux heures, (A) pour les avancer, encore (L) pour les minutes, (A) pour les avancer...etc. Et hop, pareil pour le mois, la date et le jour. Et si une valeur est déjà bonne, vous la sautez en appuyant juste sur (L).

Et quand tout est réglé, un appui sur (C) et c'est validé.

Petit gain de temps aussi, si vous maintenez (A) plus de 2 secondes, les chiffres défilent en accéléré. Pas besoin donc de marteler le bouton 12 fois pour passer de janvier à décembre.

Passer en 24h (ou en 12h)

Celle-là, pas besoin d'entrer dans les réglages. Depuis l'affichage normal de l'heure, chaque appui sur (A) bascule entre le format 24h et le format 12h (avec le petit AM/PM), et vous voyez le changement direct à l'écran. Voilà, c'est tout.

Jack Bauer n'a qu'à bien se tenir !

Régler l'alarme

Hop, un appui sur (C) depuis l'heure normale vous met sur l'alarme quotidienne (l'écran affiche AL). Le principe est le même que pour l'heure : (L) pour passer des heures aux minutes, (A) pour faire avancer les chiffres. Un dernier (L) pour terminer.

L'alarme sonne ensuite durant 20 secondes pile à l'heure prévue, tous les jours. Pour la couper quand elle braille, suffit d'appuyer sur n'importe quel bouton. Et si vous voulez juste vérifier qu'elle marche bien, maintenez (A) enfoncé en mode alarme, ça déclenche le bip de test.

Le carillon horaire (un bip toutes les heures)

Ça c'est le fameux bip qui sonne à chaque heure pile même la nuit ^^. Sur la F-91W il est séparé de l'alarme, mais les deux se règlent au même endroit. En mode alarme, chaque appui sur (A) fait tourner 4 combinaisons : alarme + carillon, rien du tout, alarme seule, carillon seul.

Du coup vous appuyez sur (A) jusqu'à tomber sur le réglage qui vous arrange. Les petits indicateurs en haut de l'écran (une cloche pour le carillon, une icône d'onde pour l'alarme) vous disent ce qui est actif. Perso, le carillon je le coupe, ça rend dingue !

Le chronomètre

Pour le chrono, c'est 2 appuis sur (C) depuis l'heure normale et vous voilà sur le chrono (l'écran affiche ST, à zéro). Il monte jusqu'à 59 minutes 59,99 secondes, au centième de seconde.

Bon, moi je m'en sers pas, à part peut-être pour la cuisson des oeufs à la coque mais pour un chronométrage simple : (A) démarre, (A) arrête, (A) repart, et (L) remet à zéro une fois arrêté.

Pour un temps intermédiaire (un "split"), pendant que ça tourne vous appuyez sur (L), l'affichage se fige sur le temps de passage alors que le chrono continue de tourner derrière. Un nouvel appui sur (L) et il rattrape le temps réel. Ensuite c'est (A) pour arrêter, (L) pour remettre à zéro.

C'est simple la vie, non ?

L'éclairage

Le bouton (L) en haut à gauche allume la petite loupiote, dans n'importe quel mode, mais autant vous le dire tout de suite, c'est faiblard de fou, genre luciole en soins palliatifs. Dans le noir complet vous devinerez l'heure plus que vous ne la lisez mais bon ça dépanne. Bah ouais c'est une montre pas chère !

L'éclairage le plus nul de l'histoire des éclairages

Le piège du 29 février

Le seul vrai truc à retenir avec cette montre, c'est que son calendrier est réglé en usine sur 28 jours pour février, point. Hé oui, la montre ne gère pas les années bissextiles toute seule. Donc attention, tous les 4 ans (2028, 2032...), le 1er mars la date sera décalée d'un jour, et faudra repasser dans les réglages la corriger à la main, sinon vous risquez de louper des rendez-vous. C'est pas méchant, mais vous savez pourquoi.

Et si jamais vous appuyez n'importe comment et que l'écran affiche un truc bizarre, pas de panique, ses composants ne peuvent en aucun cas être endommagés du fait d'une mauvaise utilisation des boutons.

Voilà, si vous avez été jusqu'au bout de cet article, c'est peut-être parce qu'elle vous intéresse. Vous la trouverez donc sur Amazon pour pas cher mais attention, y'a plein de versions,

Pour bien comprendre ce que vous achetez, voici comment lire une référence Casio :

Notez qu'il y a pas mal de contrefaçons, donc je vous conseille de l'acheter sur la boutique Amazon de Casio. La vraie, la seule, l'originale old school, vendue en Europe c'est celle-là et puis c'est tout.

Et si vous avez déjà une F-91W, un moyen rapide de savoir si c'est une vraie ou une fausse, c'est de regarder tout ça :

1. Le test "CASIO" : vous maintenez 3 ou 4 sec le bouton en bas à droite et sur une vraie, le mot CASIO s'affichera en gros sur l'écran. Sur la plupart des fausses, y'aura soit rien, soit tous les segments s'allumeront (le fameux 88:88 88). Attention quand même les "super fakes" récents ont commencé à imiter ce truc, donc c'est plus suffisant.
2. Le fond du boîtier : sur une vraie, les inscriptions (593, CASIO, F-91W, STAINLESS STEEL BACK, WATER RESISTANT) sont gravées nettes et précises. Sur une fausse, c'est tamponné, mal aligné, parfois avec des fautes de typo ou la mauvaise police.
3. La boucle du bracelet : CASIO gravé sur la boucle d'une vraie. Sur une fausse, boucle nue ou marquage approximatif.
4. Le bracelet : un petit numéro (genre 472, 304,233) est moulé dans la résine.
5. L'écran de biais : la vraie reste lisible sous un angle prononcé. Les fausses utilisent un LCD bas de gamme avec un angle de vue catastrophique.
6. L'ancienne astuce du "u" : il y avait aussi un petit u imprimé sur le boîtier des vraies et sur les fausses, le u était souvent énorme. Mais Casio a depuis arrêté de le mettre, donc son absence n'est plus un vrai signe... Toutefois, un gros u, ça reste un drapeau rouge !

Bref, voilà ma F-91W bien décortiquée ! Comme ça, je saurai la régler sans la notice la prochaine fois... j'imagine que ce sera le 29 février 2028...

Depuis 2021, Apple colle une encoche en haut des écrans de MacBook et n'en fait à peu près rien. C'est juste une zone sombre pour cacher la caméra et qui mange la barre des menus.

Heureusement, l'équipe TheBoredTeam a décidé que ça suffisait et vient de sortir boring.notch , une app gratuite et open source qui transforme ce trou noir en un vrai centre de contrôle dynamique, dans l'esprit de la Dynamic Island de l'iPhone.

L'installation se fait avec Homebrew comme ceci :

brew install --cask TheBoredTeam/boring-notch/boring-notch

xattr -dr com.apple.quarantine /Applications/boringNotch.app

Vous supprimez une clé API Google qui a fuité , et l'interface vous confirme que c'est bien réglé, que la clé ne fonctionne plus. Alors vous commencez à vous détendre en vous disant que vous avez bien fait votre boulot.

BAH NAN !

Car vous ne le savez pas, mais cette clé va continuer de fonctionner encore durant 23 minutes. C'est en tout cas ce qu'ont mesuré les chercheurs d'Aikido Security en testant ce truc tout bête de révoquer une clé, puis de taper sur l'API en boucle pour voir quand ça s'arrêtait vraiment.

Et résultat des courses, une clé API classique survit en moyenne 16 minutes après sa suppression, et jusqu'à 23 minutes dans le pire des cas. Cela veut dire que pendant tout ce temps, un attaquant qui a récupéré votre clé peut continuer de l'utiliser peinard. Et vous n'avez aucun moyen de couper plus vite, ni même de savoir quand ça s'arrête pour de bon.

Ce sont les clés API de Schrödinger le bordel... Techniquement comme vous vous en doutez, c'est surtout une histoire de propagation car Google ne tue pas la clé d'un coup sur tous ses serveurs, mais l'info se diffuse petit à petit, et chaque serveur arrête de l'accepter à son rythme. Le souci, c'est que ce délai et largement suffisant par exemple pour vider un bucket pendant que vous pensez que le danger est écarté.

Le plus beau, c'est que Google sait parfaitement faire vite quand il veut puisque les clés de compte de service, elles, sont coupées en 5 secondes. et les clés Gemini récentes en 1 minute. Du coup, ces 16 minutes de moyenne sur les vieilles clés API n'ont rien d'une fatalité technique... c'est juste un choix ! Aikido a bien sûr remonté le problème, et Google a bizarrement classé le ticket en « won't fix », en expliquant que ce délai de propagation était une propriété connue du système, et pas une faille de sécurité.

Donc si vous gérez des clés Google en prod, partez du principe qu'une clé compromise reste exploitable une bonne demi-heure après sa révocation. Et surtout, mettez en place des plafonds de dépenses bien serrés sur votre projet parce que le vrai cauchemar, c'est moins l'accès que la facture qui débarque ensuite. On a déjà vu des devs se prendre des notes à cinq chiffres à cause d'une clé qui traîne, et des utilisateurs Google Cloud facturés par erreur .

Source : Aikido Security

niri , c'est un compositor Wayland écrit en Rust par Ivan Molodetskikh, et il a un drôle de kink qui est de ne jamais redimensionner vos fenêtres dans votre dos. Jamais !!

Ainsi, quand vous ouvrez une nouvelle appli, elle vient se coller à droite de la précédente sur une bande horizontale qui s'étend à l'infini. Pas de grille rigide, pas d'empilement façon Tetris, vous scrollez simplement vers la droite pour balader votre regard sur vos fenêtres, comme on fait défiler une pellicule photo.

On est vendredi, j'ai un mal de tête carabiné mais je me pose quand même devant l'ordi pour vous annoncer une bonne nouvelle ! Firefox 151 sur desktop vient enfin d'implémenter une fonctionnalité que Mozilla refusait catégoriquement de supporter depuis 6 ans : le support de l'API Web Serial.

Alors non, c'est pas un gros mot, hein, ça veut surtout dire qu'un site web ouvert avec Firefox peut maintenant lire et écrire directement sur du matériel que vous branchez en USB, genre un Arduino, un ESP32, une imprimante 3D, une clé crypto ou que sais-je encore, sans que vous ayez à installer le moindre logiciel ou pilote.

Le cas d'usage le plus parlant, c'est le flashage de microcontrôleurs. Avant, pour mettre un firmware sur un ESP32, il fallait installer esptool en Python, ou l'IDE Arduino, galérer avec les drivers série, choisir le bon port à la main. Maintenant des outils comme ESPHome ou Home Assistant font tout ça depuis un onglet, en quelques clics. Vous branchez la carte, le site demande l'autorisation d'accéder au port, et c'est réglé. Adafruit fait pareil pour installer CircuitPython sur ses cartes ESP32-S2.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/web-serial-firefox/web-serial-firefox-1.mp4">lien vers la vidéo</a>.