ImunifyAV, le scanner AV qui protège 56 millions de sites Linux, vient de se faire pwn par le malware qu’il essayait de détecter. Et c’est pas la première fois…

En effet, Patchstack vient de révéler une faille RCE critique dans ImunifyAV, qui je le rappelle est un scanner antivirus gratuit ultra répandu dans l’hébergement mutualisé. Le problème en fait c’est que AI-bolit, le composant qui déobfusque le code PHP malveillant pour l’analyser, utilise la fonction call_user_func_array sans vérifier les noms de fonctions qu’elle exécute.

Boooh ! Du coup, vous uploadez un fichier PHP malveillant spécialement conçu pour l’occasion par un attaquant, ImunifyAV le scanne pour voir si c’est un malware, le déobfusque pour comprendre ce qu’il fait, et hop, le code malveillant s’exécute avec les privilèges du scanner.

Game over.

Hé pour qu’un antimalware détecte un virus, il doit analyser son code mais si les cybercriminels obfusquent leur malware pour cacher le code, l’antimalware doit alors le déobfusquer avant d’analyser. Mais déobfusquer du code PHP, ça veut dire aussi l’exécuter partiellement pour voir ce qu’il fait vraiment… d’où cette RCE.

La faille affecte donc toutes les versions avant la 32.7.4.0 et le correctif apporte juste une fonctionnalité de whitelist de fonctions autorisées pendant la déobfuscation. Il était temps, même si maintenir une whitelist de fonctions safe, à terme c’est un cauchemar car y’a des centaines de fonctions dans PHP. Certaines sont safe seules mais dangereuses combinées et je pense que les cybercriminels trouveront toujours un moyen de contourner cette whitelist.

En tout cas, comme je le laissais entendre en intro, c’est pas la première fois qu’AI-bolit se fait avoir sur la déobfuscation. En 2021, Talos avait déjà trouvé une faille sur unserialize dans le même composant. C’est la même blague car pour analyser du code malveillant sérialisé, il faut le désérialiser. Et désérialiser du contenu malveillant sans validation, ça fait “pwn” !

Voilà, 2 fois en 4 ans sur le même composant, c’est pas ce que j’appelle un accident. C’est un problème structurel car détecter du malware sans l’exécuter, c’est quasi impossible avec du code dynamique. Les signatures statiques ça marche bien pour les virus classiques mais face à du PHP obfusqué qui se reconstruit à l’exécution, vous êtes obligé de lancer le code pour voir ce qu’il fait vraiment. Et là, on est forcement en zone grise…

Même si on exécute du code potentiellement malveillant dans un environnement censé être isolé, si celui-ci “fuit” ou si le code malveillant trouve un moyen de sortir de la sandbox, vous avez une RCE. Et comme ImunifyAV tourne avec les privilèges nécessaires pour scanner tous les fichiers d’un serveur mutualisé, si vous compromettez cet antivirus, vous avez potentiellement accès à tous les sites hébergés sur la machine.

Si vous voulez tester, voici le proof of concept :

<?php
$data = "test";

$payload = "\x73\x79\x73\x74\x65\x6d"("\x74\x6f\x75\x63\x68\x20\x2f\x74\x6d\x70\x2f\x6c\x33\x33\x74\x2e\x74\x78\x74\x20\x26\x26\x20\x65\x63\x68\x6f\x20\x22\x44\x45\x46\x2d\x33\x36\x37\x38\x39\x22\x20\x3e\x20\x2f\x74\x6d\x70\x2f\x6c\x33\x33\x74\x2e\x74\x78\x74");
eval("\x70\x61\x63\x6b"($payload));
?>

php ai-bolit.php -y -j poc.php

En 1971, un psychiatre américain a écrit un roman culte sur un mec qui prenait toutes ses décisions en lançant un dé… Carrière, mariage, déménagement, tout passait par les six faces du hasard. La BBC l’a classé parmi les 50 livres les plus influents du 20e siècle et en 45 ans, il a vendu plus de 2 millions d’exemplaires. Ce livre c’est L’Homme-Dé (lien affilié) ou en anglais, The Dice Man de Luke Rhinehart et il a fait des petits car aujourd’hui, des tas de gens ont adopté le “dice living”. Moi j’ai découvert ça y’a quelques années grâce notamment à ce documentaire sur M6 diffusé dans l’émission 66 Minutes où on voyait des français appliquer ce genre de principes à leur vie quotidienne.

Alors évidemment, vivre 100% en suivant l’ordre d’un dé, ça finit rarement bien. Le roman de Rhinehart explore autant cette liberté enivrante que les conséquences destructrices de ce mode de vie mais vous savez j’aime le concret alors j’ai cherché ce que la science pouvait dire là dessus. Et j’ai trouvé des chercheurs de l’Université de Chicago qui se sont posés la bonne question : Est-ce que le hasard rend vraiment plus heureux ?

Ces derniers ont fait une étude avec des milliers de gens qui devaient prendre une décision majeure via pile ou face, puis suivre ou pas le résultat. Et la conclusion, c’est que ceux qui ont fait un changement majeur décidé par le hasard étaient significativement plus heureux que ceux qui sont restés bloqué dans un statu quo.

En fait, le résultat de la pièce ou du dé, on s’en fout au final. Ce qui compte vraiment, c’est surtout votre réaction qui suit. Si vous êtes déçu que ça tombe sur “pile”, vous savez instantanément ce que vous vouliez vraiment. Le hasard devient un révélateur de vos préférences cachées, et pas un décideur.

Le psychologue Albert Bandura, une figure majeure de la psychologie cognitive, a même admis que toute sa carrière avait été façonnée par le hasard. Le choix d’un cours décidé par un horaire aléatoire, la rencontre de sa femme sur un parcours de golf par pur accident…etc. Le hasard a construit sa vie sans qu’il ait besoin de lancer le moindre dé.

Vivre selon le hasard, ça pose un problème pratique. Il faut lancer un dé 50 fois par jour pour savoir quel café commander, quelle série regarder, quel dessert choisir…etc… c’est épuisant. Et ridicule socialement, il faut bien le dire.

C’est pourquoi, Nishan Devaiah a résolu ça avec une bonne vieille app qui s’appelle Luck by Chance . C’est sans pub, sans tracking, et dedans, y’a plein d’outils pour vous permettre de déléguer vos micro-décisions quotidiennes au Dieu du hasard.

Dans cette app, vous avez donc un pile ou face classique, du lancer de dé standard ou personnalisé (vous définissez le nombre de faces), un générateur de nombres aléatoires avec plage min/max, un outil “Oui / Non / Peut-être” qui fera plaisir aux normands. Et également une roue personnalisable où vous entrez vos propres options, une Magic 8 Ball pour les questions existentielles, un sélecteur d’émojis et de couleurs. Et même un “Qui commence ?” pour les soirées jeux.

Y’a TROP DE TRUCS dedans, je peux pas tout vous détailler donc le mieux pour vous c’est de l’installer et de la tester ! Et puis ça vous sera utile, je pense, non pas pour les décisions qui vont façonner votre vie mais plutôt pour les petits trucs qui vous cassent les couilles, genre quel t-shirt choisir ou quoi manger ce soir. D’ailleurs, des études en psychologie cognitive ont montré qu’on a tous un quota quotidien de “bonnes décisions” limité. Plus vous prenez des décisions banales, moins vous avez de jus mental pour les décisions importantes !

C’est pour ça que Zuckerberg porte le même t-shirt noir tous les jours, c’est pour ça qu’Obama ne choisissait que des costumes bleus ou gris et c’est pour ça que Donald Trump utilise qu’une dizaine d’adjectifs. C’est moins dur de choisir comme ça !

Luck by Chance automatise donc ce principe. Vous externalisez vos décisions insignifiantes au hasard pour préserver votre énergie mentale pour ce qui compte, par exemple, me suivre en live sur Twitch ! Et surtout, en faisant ça, vous désactiverez votre biais de contrôle, ce qui vous forcera à essayer des trucs que vous n’auriez jamais choisis consciemment.

Je vous laisse deviner ma question…

Par exemple, si la roue magique vous dit “pizza hawaïenne” alors que vous détestez l’ananas sur la pizza, bah vous fermez votre gueule et vous testez comme le ferait un vrai adulte et en plus, vous vous rendrez compte que c’est vachement bon !

Maintenant, à vous de jouer ! Lancez l’appli, et faites un pile ou face pour savoir si vous devez ou non me soutenir sur Patreon !

Merci à Lorenper pour la découverte !

Un économiseur d’écran, je pense que tout le monde voit ce que c’est.

Bon c’était très utile à l’époque des vieux écrans CRT pour éviter qu’ils ne gardent une trace fantôme à cause d’une image statique, mais aujourd’hui sur nos écrans modernes c’est devenu complétement inutile. Toutefois on continue à les utiliser parce que c’est joli et sympa.

Et bien bash-screensavers c’est pareil. Ce projet transforme non pas votre écran, mais juste votre terminal en feu d’artifice ASCII, en matrice, ou en simulation de vie cellulaire. C’est tout aussi joli et sympa même si bien sûr faire tourner ces screensavers comme ça consomme probablement plus d’énergie CPU que de laisser votre terminal en pause avec du texte statique.

Bash-screensavers propose donc 11 thèmes différents … Il y a l’alpha qui affiche des pixels colorés aléatoires, le bouncing avec son “O” qui rebondit façon Pong, le classique matrix qui simule la pluie de code vert des films Wachowski, pipes qui génère un labyrinthe de tuyaux infini, fireworks qui lance des feux d’artifice ASCII, life qui implémente le jeu de la vie de Conway, rain pour une pluie apaisante, speaky qui parle de façon dramatique, stars qui affiche un champ d’étoiles scintillantes, tunnel qui vous fait voler dans un tunnel digital, et vibe pour tout ce qui est simulation de vibe coding.

L’installation est également hyper simple :

git clone https://github.com/attogram/bash-screensavers.git
cd bash-screensavers
./screensaver.sh

Un développeur qui s’ennuyait s’est dit qu’il allait se faire un petit side-projet histoire de s’occuper un peu. Rien de foufou, juste reproduire Screen Studio (30 balles par mois) dans un navigateur et en full gratos pour que tout le monde puisse en profiter !

Et je pense que le gars a créé quelque chose qui va forcement faire grincer pas mal de dents dans l’industrie du screen recording !

Screen Studio, pour ceux qui ne connaissent pas, c’est un peu la Rolls des outils d’enregistrement d’écran sous macOS. Des animations fluides, du zoom automatique, des effets 3D sympas, bref tout ce qu’il faut pour faire des vidéos de démo qui claquent la fesse molle de vos mamans et de vos papas. Le seul problème, c’est que ça coûte un cuy (c’est un rongeur ) et que c’est réservé aux utilisateurs Mac. Et ça, ça laisse quand même pas mal de monde sur le carreau.

Le créateur de Screen Now a donc eu l’idée de faire la même chose, mais gratuit, et utilisable directement dans le navigateur. Comme ça, pas d’installation, pas de compte à créer… Vous ouvrez Chrome (marche pas sous Firefox), vous allez sur le site, et vous lancez l’enregistrement de votre screencast.

La liste des fonctionnalités fait un peu peur parce qu’il y a beaucoup de choses mais vous allez voir c’est très cool. Y’a par exemple la possibilité de mettre votre vidéo d’écran en vue 3D avec perspective, rotation et contrôle d’angle, exactement comme avec les outils pros.

Y’a moyen aussi de mettre des animations d’entrée et de sortie personnalisables avec fade, slide et pop. Y’a aussi de l’upload de backgrounds personnalisés en PNG, JPG ou WebP (et une bonne liste de background proposés par l’outil). Du zoom amélioré avec timeline interactive, du Picture-in-Picture pour votre tête et des effets de flou sur l’arrière-plan de la caméra. La timeline pour le montage propose aussi de la duplication d’éléments.

Vous pouvez même capturer l’audio de votre système en même temps que votre micro, avec mixage automatique pour un son équilibré. Le cropping vidéo gère l’ajustement du ratio et les overlays texte sont entièrement personnalisables.

Le plus dingue, c’est que le projet a bénéficié d’optimisations techniques assez impressionnantes. Le rendering vidéo est maintenant 10 fois plus rapide qu’au début, le sync audio-vidéo a été corrigé pour éliminer 99% des problèmes de freezing à l’export et bien sûr, Screen Now est une PWA (Progressive Web Apps), ce qui signifie que vous pouvez l’installer comme une vraie application sur votre ordinateur tout en gardant les avantages du web.

L’auto-save fonctionne via le stockage du navigateur (local storage) et vous pouvez gérer plusieurs projets et exporter tout ça en MP4 ou GIF avec des réglages de qualité et résolution.

La forme de caméra peut être circulaire en plus des classiques rectangulaire et carrée et il y a des raccourcis clavier pour accélérer le workflow. Bref, tout ce qu’on attend d’un outil semi-pro.

Bref, si vous voulez vous lancer dans le screencast ou tout simplement enregistrer une démo rapide ou une explication dans le cadre d’un dépannage, l’outil est accessible sur screen.now .

Merci à Cg2i pour le partage de cette découverte.

Vous allez voir, l’histoire que je vais vous raconter cet aprem est à l’origine sympa mais a malheureusement a pris un tournant un peu moche avec un Effet Streisand à la clé… Tout commence en mars dernier quand Proven Industries publie une vidéo un peu provoc pour faire la promo de leurs cadenas ultra-sécurisés. Un follower commente alors “Faudrait montrer ça à @mcnallyofficial”. et sous ce message, Proven répond alors avec une confiance inébranlable : “McNally ? Il aime que les cadenas cheap, faciles à ouvrir.”

Mauvaise idée.

Car McNally, c’est pas juste un YouTuber qui fait des vidéos marrantes avec des cadenas. C’est un ancien sergent-chef de la Marine américaine qui a passé des années à étudier la sécurité physique. Le genre de gars qui ouvre votre serrure pendant que vous cherchez vos clés et quand une entreprise comme Proven le provoque publiquement, il ne peut pas laisser passer ça…

Alors le 3 avril, McNally publie sa réponse dans une vidéo titrée “$130 lock bypassed with a can”. 30 secondes chrono, des ciseaux, une canette vide, et hop ! Le cadenas Proven s’ouvre comme une boîte de conserve. Cette technique s’appelle le shim attack, et en gros, c’est une cale triangulaire qu’on insère dans le cadenas pour exploiter une vulnérabilité de conception assez classique.

Le youtubeur Joe Lynch vient de faire jouer “ Olson ” de Boards of Canada sur un ordinateur de 1959. Pas un émulateur, hein mais le vrai PDP-1, celui qui est au Computer History Museum. 603 bytes de musique sur une bande perforée, et quatre ampoules sur le panneau de contrôle transformées en haut-parleurs… Le son est brut, lo-fi, presque primitif et je trouve ça magnifique.

Mais attendez, ce PDP-1 c’est pas juste un vieux tas de circuits et de câbles… C’est vraiment l’ordinateur qui a créé les hackers et je vais essayer de vous en raconter un peu l’histoire !

Le PDP-1 débarque au MIT en septembre 1961. Digital Equipment Corporation le vend alors 120 000 dollars en tant qu’outil de calcul scientifique. C’est très sérieux, très corporate, sauf que les étudiants du MIT s’en foutent du calcul scientifique.

Ils veulent jouer !

Steve Russell programme alors Spacewar! en 1962. C’est l’un des premiers jeu vidéo. Deux vaisseaux qui se tirent dessus autour d’une étoile et vous vous en doutez, c’est pas prévu dans le manuel. C’est un détournement de la machine… un hack.

Puis la même année, Peter Samson , un autre étudiant du MIT, remarque que les ampoules de statut du PDP-1 clignotent. On/off, on/off… Il se dit alors qu’en contrôlant la vitesse du clignotement, on peut générer des fréquences audio. Il code alors le Harmony Compiler et c’est comme ça que les quatre ampoules deviennent quatre voix musicales. C’est l’un des premier synthétiseur temps réel et polyphonique de l’histoire. Peter optimise même le système pour jouer du Bach.

C’est la naissance de la culture hacker, de l’idée que le matériel peut faire plus que ce pour quoi il a été conçu et vendu. Les limites sont là pour être contournées et ce n’est pas mal… c’est de l’exploration !

Le PDP-1 devient alors le terrain de jeu des premiers hackers du MIT. Ils codent la nuit, quand les profs sont partis et transforment cette machine de calcul en espace de créativité. Et cette étincelle de culture va créer tout ce qui suit. Unix en 1969, le Homebrew Computer Club dans les années 70, les premiers PC, l’open source, Linux…etc. A chaque fois, ce sont des étudiants qui ont décidé que les règles c’était optionnel.

Et 63 ans plus tard, Joe Lynch arrive, prend le code de Peter Samson écrit en 1962 et l’utilise pour faire jouer un morceau de 1998. Il perfore une bande papier, il la charge dans le PDP-1, les fameuses quatre ampoules s’allument et s’éteignent alors à des fréquences calculées pour l’occasion et c’est “Olson” qui sort des haut-parleurs.

Vous vous souvenez de ce samedi après-midi de 1995 où vous avez modifié CONFIG.SYS pour la première fois ? Les mains moites, le coeur qui bat, parce que si vous vous plantiez, Windows ne démarrait plus. L’écran bleu (le bon vieux bleu DOS hein, pas le blue screen of death), le curseur blanc qui clignote, et cette interface minimaliste où chaque caractère comptait. MS-DOS Edit.

Votre premier vrai pouvoir sur la machine !

Hé bien bonne nouvelle, Microsoft vient de le ressusciter pour de vrai, 30 ans après.

C’est fou ! L’équipe Windows Terminal annonce en effet qu’Edit est maintenant pré-installé dans Windows 11. Plus besoin de le télécharger donc… vous ouvrez votre terminal, vous tapez “edit”, et hop, vous y êtes.

230 kilo-octets seulement, comme à l’époque c’est chouette ! Et le truc marrant, c’est que Edit n’est pas juste un coup de comm nostalgique.

Non, Microsoft comble en réalité un vide qui dure depuis plus de 20 ans, car les versions 32-bit de Windows avaient MS-DOS Edit mais les versions 64-bit n’avaient rien ! Aucun éditeur en ligne de commande par défaut. Snif !

Ainsi, si vous vouliez modifier un fichier config en SSH, fallait forcement installer vim, nano, ou se débrouiller avec notepad.exe en mode graphique comme un sauvage.

Sauf que voilà, les terminaux reviennent en force ! Les devs passent leur vie dans WSL2, PowerShell est devenu cross-platform, et même les utilisateurs lambda doivent parfois mettre les mains dans un fichier texte via la ligne de commande. Finalement, après toutes ces années à vous prendre le chou avec “ouvrez un terminal” par ci, “lancez une commande” par là…etc., ça fait de moi un visionnaire ! ^^

Bon, bref, avoir un éditeur accessible et simple, qui ne nécessite pas un doctorat en raccourcis clavier vim, en 2025 ça a du sens ! D’ailleurs, MS-DOS Edit, dans les années 90, c’était la drogue douce qui menait aux drogues dures. On commençait par modifier AUTOEXEC.BAT pour optimiser notre RAM, parce qu’un jeu ne se lançait pas et deux ans plus tard on se retrouvait sous Linux à compiler un kernel à 3 heures du matin. Edit n’était pas juste un outil, c’était le Bifröst de la bidouille… le moment où on passait d’utilisateur à “celui qui comprend comment ça marche”.

Ce nouvel Edit garde donc cette philosophie avec son interface minimaliste, mais rassurez-vous sous le capot c’est du moderne. C’est écrit en Rust, c’est open-source sous licence MIT, et avec des keybindings inspirés de VS Code. Par exemple Ctrl+P pour switcher entre fichiers, Ctrl+F pour chercher… etc. Il supporte même la souris et l’unicode fonctionne.

Si ça vous dit de tester, vous pouvez l’installer via winget si vous n’êtes pas sur la dernière preview de Windows 11. Un simple “winget install Microsoft.Edit” et c’est réglé. Ensuite vous tapez “edit” dans votre terminal, ou “edit fichier.txt” pour ouvrir directement un document et voilà…

Vos enfants, ceux qui grandissent avec des interfaces tactiles, des assistants vocaux, et ChatGPT partout vont peut-être faire leurs premiers pas de bidouilleurs avec le même outil que nous à l’époque… Qui sait ?

Source

Si vous passez votre temps à demander à ChatGPT de réécrire vos emails professionnels ou à chercher le bon prompt pour analyser un tableau Excel, OpenAI va vous faciliter la vie ! En effet, ils ont mis en ligne l’ OpenAI Academy , une plateforme avec plus de 300 prompts prêts à l’emploi, classés par métier, et totalement gratuits. Comme ça fini de payer 29,99 euros à des influenceurs chelous pour télécharger leur nouveau “Ultimate Prompt Bundle” contenant trois prompts qui marchent et 47 variations inutiles.

Voilà, comme ça, au lieu de partir de zéro à chaque fois que vous voulez utiliser ChatGPT pour bosser, vous allez dans la section Prompt Packs et vous choisissez votre métier. Sales, ingénieur, RH, product manager, customer success, IT, manager, executive…etc. Ils ont même fait des packs pour le secteur public et l’éducation. Chaque pack contient ainsi des dizaines de prompts testés et structurés pour des cas d’usage concrets.

Par exemple, le pack Sales inclut des prompts pour faire de la veille concurrentielle, rédiger des cold emails, analyser vos données de prospection ou créer des visuels pour vos présentations. Le pack Engineering vous aide à générer des diagrammes d’architecture système, faire du benchmark d’outils, débugger du code ou rédiger de la documentation technique. Et le pack HR couvre tout ce qui va du recrutement à la rédaction de politiques internes en passant par l’analyse des données RH.

Ce qui est bien pensé, c’est que les prompts sont prêts à être copié-collé mais aussi assez génériques pour être adaptés. Vous prenez le prompt de base, vous remplacez les variables par vos infos, et ça roule. Pas besoin de passer trois heures à apprendre le prompt engineering ou à regarder des tutos YouTube de 45 minutes qui auraient pu tenir en 2 minutes.

Et dans leurs packs spécifiques pour le gouvernement, il y en a pour les leaders du secteur public avec des prompts pour rédiger des documents de politique publique ou analyser des budgets. Ainsi que des packs pour les équipes IT gouvernementales pour gérer les systèmes, la cybersécurité et le support technique avec des ressources limitées.

Du côté éducation, il y a des packs pour les étudiants , d’autres pour les enseignants , et même pour les administrateurs . Donc que vous soyez prof qui veut préparer un cours ou étudiant qui galère sur un projet, il y a des prompts prêts pour vous.

OpenAI a visiblement compris qu’il y avait un marché de la vente de prompts qui s’était développé ces derniers mois alors avec Academy, ils cassent ce marché en offrant gratuitement une bibliothèque qui couvre la plupart des besoins professionnels courants.

Bon, après c’est pas non plus magique car un prompt finalement, c’est juste un outil. Donc si vous ne savez pas ce que vous voulez obtenir ou si vous ne comprenez pas votre métier, ça ne va pas faire de miracles. Mais pour quelqu’un qui sait ce qu’il cherche et qui veut juste gagner du temps, c’est très pratique.

La plateforme OpenAI Academy propose aussi d’autres contenus comme des webinaires, des guides d’utilisation, des cas d’usage par secteur, si ça vous chauffe.

Voilà, j’ai trouvé ces packs de prompts très cools et je pense que ça vous fera gagner du temps.

Source : OpenAI Academy - Prompt Packs

Vous scrollez tranquillement r/rance à 2h du mat’ pour tuer le temps avant de dormir, vous lisez quelques posts, regardez des memes, rigolez sur un truc débile. Mais savez-vous que Reddit enregistre chaque post que vous lisez, chaque image que vous ouvrez, chaque seconde que vous passez sur chaque thread ? Et ça, ils le font même si vous n’avez pas de compte y compris si vous êtes en navigation privée.

Bienvenue dans le monde merveilleux du tracking obligatoire !

Heureusement, pour lutter contre ça, sans se priver de Reddit, il existe Redlib , un front-end alternatif open source, codé en Rust, qui va vous permettre de lire Reddit sans que Reddit ne sache que vous existiez. Pas d’inscription, pas de JavaScript, pas de pubs, pas de tracking. Vous remplacez juste “reddit.com” par “redlib.tiekoetter.com” dans l’URL et hop, vous avez le même contenu sans la surveillance.

D’ailleurs, petite histoire rapide pour comprendre pourquoi Redlib existe…

En 2023, Reddit a décidé de tuer toutes les apps tierces populaires comme Apollo ou BaconReader en rendant son API hors de prix. Le vrai objectif n’était pas de monétiser l’API, mais plutôt de forcer tout le monde à passer par leur app officielle bourrée de trackers et de pubs. À cette époque, il existait Libreddit, un projet similaire à Redlib qui permettait de lire Reddit en privé mais Reddit a commencé à imposer des rate limits agressifs qui ont tué Libreddit… Projet tragiquement décédé, fin de l’histoire…

Sauf que non. Un dev a décidé de ressusciter Libreddit sous un nouveau nom : Redlib. Et là, coup de génie technique, au lieu de se connecter normalement à l’API Reddit, Redlib utilise une technique appelée OAuth token spoofing.

En gros, Redlib se fait passer pour l’application officielle Android de Reddit. Il envoie les mêmes headers HTTP, utilise les mêmes tokens d’authentification, et imite le comportement de l’app officielle. Du coup, Reddit pense que c’est son app qui fait des requêtes, et laisse tout passer sans bloquer. Alors évidemment, la première question qui vous vient surement c’est : Est ce légal ??

Et bien comme pour toutes les bonnes choses de la vie, techniquement, on est dans une “zone grise”. Mais après éthiquement parlant, vous lisez du contenu public que les gens ont posté gratuitement sur une plateforme publique, donc j’imagine que pour le concepteur de Redlib, y’a pas mort d’homme.

Donc pour utiliser Redlib, vous avez donc cette instance publique redlib.tiekoetter.com qui vous permet de libérer n’importe quel lien Reddit. Mais pour les plus geeks d’entre vous, ceux qui sont à fond dans l’auto-hébergement parce qu’ils ont beaucoup de temps libre (lol), vous pouvez le mettre en place chez vous également avec Docker. Le repo GitHub explique tout, c’est assez rapide à mettre en place.

La différence avec l’expérience Reddit normale est d’ailleurs flagrante car sur reddit.com, vous êtes bombardé de popups “Install our app”, de bannières de cookies, de pubs…etc. Le site est lourd, lent, et essaie constamment de vous pousser vers l’app mobile alors qu’au contraire, sur Redlib, c’est du contenu pur et dur. Pas de JavaScript, pas de popups, juste les threads et les commentaires. Et c’est super rapide !! Même les images passent par le serveur Redlib, donc Reddit ne voit jamais votre IP quand vous chargez une photo.

Maintenant, faut quand même savoir que Reddit n’est pas content de cette situation. Ils essaient régulièrement de bloquer les instances Redlib en bannissant des adresses IP. C’est pour cela que certaines instances publiques rencontrent parfois des erreurs du style “Failed to parse page JSON data”, mais la communauté Redlib réagit en général très vite, change d’IP, ajuste les tokens OAuth, et le service repart.

Bref, je vous conseille de tester, surtout si vous en avez marre de vous faire harceler par des messages vous incitant à installer l’app mobile.

Reddit, c’est bien mais Reddit sans surveillance, c’est mieux !

Entre screenshots de bugs, memes de geeks et photos de vacances, on échange des tonnes d’images chaque jour, et à cause de nous, les data centers chauffent comme des radiateurs. Alors à chaque fois que vous compressez une image avant de l’envoyer, on peut se dire qu’on participe “un petit peu” à sauver la planète, non ?

C’est pour ça qu’aujourd’hui, je vous présente Caesium, un petit logiciel open source développé par @Lymphatus qui transforme vos images obèses en versions ultra légères, sans que personne ne remarque la différence. L’outil nous promet dans certains cas, des compressions allant jusqu’à 90% avec une qualité visuelle quasiment identique. Et le plus beau dans tout ça, c’est qu’on n’a même pas besoin d’envoyer nos photos à un GAFAM qui fera le boulot.

Tout d’abord, le développeur Caesium est en train de réécrire toute la partie compression (libcaesium) en Rust au lieu du C++ traditionnel et c’est intéressant, parce que Rust fait partie du trio de tête avec C et C++ en termes de performance énergétique, tout en apportant une sécurité mémoire supérieure. Et quand on sait que Caesium traite potentiellement des millions d’images par jour, l’amélioration de la sécurité et de la maintenance est cruciale.

De plus, une image compressée à 90% ne réduit pas seulement sa taille de stockage. D’après les analyses de compression WebP , elle peut diviser jusqu’à 6 fois la consommation énergétique nécessaire à son transfert sur le réseau, avec une réduction moyenne par 2 ou 3 pour les compressions qui conservent le même niveau de qualité. Multipliez ça par les milliards d’images échangées chaque jour, et vous comprenez pourquoi chaque compression compte.

Le truc génial avec Caesium, c’est qu’il existe sous trois formes. La version desktop classique pour Windows/Mac/Linux qui vous permet de traiter vos images en masse, prévisualisation en temps réel comprise.

La version ligne de commande CaesiumCLT pour les barbus qui veulent automatiser leurs compressions dans leurs scripts.

Et la petite dernière, la version web caesium.app qui tourne directement dans votre navigateur. Attention quand même, cette dernière limite à 10 images avec une taille maximale par fichier de 20 MB, mais pour un usage ponctuel, c’est parfait.

En plus, comme je vous le disais, Caesium fait tout en local. Vos photos restent chez vous, y’a pas de compte à créer, pas de limite mensuelle, pas de tracking. C’est efficace et moins cher que gratuit ^^.

Pour l’installer, c’est simple comme bonjour. Sur Mac ou Linux, un petit brew install caesiumclt pour la version ligne de commande, ou téléchargez directement l’installeur sur le site officiel pour la version graphique toute moche. Windows a droit à une version portable, pratique pour l’avoir sur une clé USB. Et si vous voulez juste tester, direction caesium.app dans votre navigateur.

L’utilisation reste ultra intuitive. Vous glissez vos images, vous réglez la qualité (80% par défaut, largement suffisant pour 99% des cas), et hop, Caesium optimise !

Et pour l’outil en ligne de commande, vous pouvez faire de la compression sans perte comme ceci :

# Compresser avec préservation des métadonnées
caesiumclt --lossless -e --keep-dates -o output/ image.jpg

# Compresser plusieurs images avec une qualité spécifique
caesiumclt -q 75 -o output/ image1.jpg image2.png image3.webp

# Compresser avec un suffixe pour éviter d'écraser les originaux
caesiumclt -q 85 --suffix _compressed --same-folder-as-input image.jpg

# Compresser avec un réglage de qualité
caesiumclt -q 80 -o output/ image.jpg

# Convertir les images au format WebP avec réglage de qualité
caesiumclt -q 85 --format webp -o output/ Pictures/*.jpg

# Redimensionner à une largeur spécifique (en conservant le ratio d'aspect)
caesiumclt --lossless --width 1920 -o output/ image.jpg

# Redimensionner à une hauteur spécifique (en conservant le ratio d'aspect)
caesiumclt -q 90 --height 1080 -o output/ image.jpg

On est en septembre, c’est la rentrée, donc c’est l’occasion pour nous tous, de nous inscrire à ces clubs d’activités qui vous permettent de nous occuper afin de ne pas sombrer dans la dépression. Je pense aux clubs de dessin, de foot, de théâtre, et pour les plus fifous d’entre vous, le club de poterie !

Parce que oui, faire des petits boudins en terre pour les empiler afin d’en faire des vases moches, c’est super rigolo ! En plus si vous savez les émailler, vous pouvez même les vendre une couille dans votre petite boutique artisanale ouverte uniquement de 14h à 16h uniquement les jeudis entre mars et juillet.

Mais vous savez ce qui serait encore plus cool ? Ce serait d’utiliser tout cette argile et ce four incroyable pour réaliser des circuits imprimés capables de faire tourner un Arduino… Hé ouais !

Patrícia J. Reis et Stefanie Wuschitz , deux hackeuses du collectif féministe viennois Mz* Baltazar’s Lab, ont en effet développé une technique pour fabriquer des PCB avec de l’argile ramassée en forêt et de la poudre d’argent recyclée à partir de déchets de bijouterie, tout ça cuit à 700°C au feu de bois.

Je me dis que peut-être que nos ancêtres faisaient déjà du hardware sans le savoir… bah oui, leurs tablettes d’argile étaient quand même les premiers supports de stockage de données de l’humanité. Et aujourd’hui, on boucle la boucle en revenant à ces techniques ancestrales pour créer l’électronique du futur post-apocalyptique qui nous attend…

Leur projet est en réalité parti d’un constat assez brutal, car dans nos smartphones et nos ordinateurs, on trouve beaucoup de minerais issus de conflits. Je pense par exemple au tantale qui vient essentiellement de la République Démocratique du Congo et du Rwanda , où 40 000 enfants travaillent illégalement dans les mines. Je pense aussi aux populations de gorilles des plaines orientales qui ont été décimées à cause de l’exploitation du coltan dans le parc national Kahuzi-Biega… etc., etc.

Alors face à ce désastre, les deux hackeuses ont décidé de tester cette alternative radicale. D’abord, elles sortent se balader dans leur forêt autrichienne avec une bouteille d’eau. Elles ramassent de la terre, y versent un peu d’eau, et si ça devient malléable entre les doigts, bingo, c’est de l’argile.

Ensuite, elles nettoient la terre avec une passoire de cuisine pour enlever les cailloux et les insectes, ajoutent 100ml d’eau par kilo de terre, et pétrissent comme pour faire du pain. Ensuite, pour les pistes conductrices, elles utilisent un genre de tampon imprimé en 3D qu’elles appliquent sur la tuile pour dessiner le circuit, ainsi que de la poudre d’argent récupérée dans des ateliers de bijouterie.

Elles peignent alors à la main les circuits sur l’argile avec un pinceau ultra-fin, comme des enluminures électroniques. C’est un processus lent, méditatif, aux antipodes de la production industrielle frénétique.

Et la forme hexagonale qu’elles ont choisie pour leurs PCB n’est pas anodine puisque c’est la forme optimale dans la nature : les alvéoles des abeilles, les cristaux de basalte, et même la structure du graphène. Elles voulaient en effet pouvoir assembler plusieurs circuits comme des tuiles, afin de créer des réseaux modulaires. Une super idée, mais qu’elles ont du abandonner à cause de la difficulté d’obtenir des bords parfaitement droits avec l’argile naturelle.

Le tutoriel qu’elles ont publié est une mine d’or, car elles y détaillent comment créer un tampon 3D pour imprimer le circuit dans l’argile (1,2mm de profondeur, en tenant compte du rétrécissement de 5% à la cuisson), comment programmer une puce ATmega328 récupérée sur un Arduino défectueux, et même comment souder les composants avec de la pâte à souder sans plomb qui respecte les standards du commerce équitable. Toutes les sources sont même sur Github.

La cuisson au feu de bois est surtout le moment magique. Elles creusent un trou dans leur jardin, construisent un lit de branches sèches pour poser les circuits, ajoutent une deuxième couche de branches fines par-dessus, et laissent le feu faire son œuvre pendant 20 minutes. Les circuits deviennent alors incandescents, puis elles les plongent directement dans l’eau froide. Si l’argile n’a pas de bulles d’air et a bien séché, il résiste au choc thermique.

Ensuite y’a plus qu’à souder les composants et le circuit final peut alors contrôler des capteurs capacitifs, des LEDs, des moteurs, exactement comme un Arduino classique. Elles ont même développé un code open source disponible sur GitHub pour gérer les entrées/sorties.

Alors, faire ses propres PCB avec de l’argile et des matériaux de récup, c’est peut-être utopique, mais face aux 50 millions de tonnes de déchets électroniques produits chaque année et aux ravages des minerais issus de conflit, c’est une jolie forme d’hacktivisme.

Voilà, donc la prochainement que vous aurez envie de vous mettre à la poterie, dites-vous que c’est peut-être plus que ça… Peut-être que vous êtes déjà en train de vous former à une technologie à la fois ancestrale et de pointe qui sera le futur de l’électronique.

Car après tout, entre une tablette d’argile sumérienne et un PCB en terre cuite, il n’y a que 4000 ans et quelques lignes de code Arduino…

Pendant mes vacances, j’ai reçu un e-mail qui m’a donné quelques sueurs froides. L’expéditeur se présentait comme une société spécialisée dans la protection et la monétisation des droits d’image. Le message prenait la forme d’une mise en demeure pour « utilisation non autorisée d’une image protégée ». Sur le moment, difficile de savoir s’il s’agissait d’une tentative d’intimidation ou d’une véritable réclamation légitime. Mais une chose est certaine : ce type de message ne doit jamais être pris à la légère.

Copytrack, un service particulier

L’entreprise à l’origine de l’e-mail se nomme Copytrack. Si on jette un œil sur son site Web officiel, elle se décrit comme ceci :

Copytrack est un service qui vous aide à trouver et à réclamer vos images utilisées sans autorisation sur Internet. Téléchargez vos fichiers, signalez celles qui ont été volées, et laissez Copytrack se charger des poursuites judiciaires à votre place.

En clair, Copytrack propose aux photographes et agences de soumettre leurs visuels. L’outil se charge ensuite de scanner le Web à la recherche d’utilisations non autorisées, puis d’exiger une indemnisation. Le modèle économique est simple, l’entreprise se rémunère directement sur les sommes récupérées, à hauteur de 45 % (toujours selon le site officiel).

Ton menaçant

L’e-mail que j’ai reçu ne laisse pas de place au doute : le ton est direct, voire agressif. Je suis accusé d’« utilisation d’une image sans autorisation » et invité à régulariser ma situation sous peine de poursuites via leurs avocats partenaires. Le délai est extrêmement court, vous avez 10 jours pour vous défendre. Heureusement que je consulte mes e-mails pendant mes vacances…

Deux options sont proposées :

• Option 1 : achat d’une licence supplémentaire (valable un an, incluant l’utilisation passée et future) → 389,59 €
• Option 2 : indemnisation pour usage passé (suppression immédiate de l’image) → 350,00 €

Si vous décidez de payer, vous avez un petit délai supplémentaire (environ 20 jours)

Comment j’ai résolu la situation…

Heureusement, au milieu de ce message à la limite de l’intimidation, un paragraphe mentionne une alternative :

Si vous disposez d’une licence valide ou de toute autre justification légale pour utiliser ces images, veuillez nous en fournir la preuve.

C’était mon cas. L’image concernée avait bien été obtenue dans les règles et j’avais conservé la preuve. J’ai donc transmis plusieurs éléments (numéro de licence et capture d’écran) dès le lendemain.

Trois jours plus tard, je recevais une réponse beaucoup plus brève :

Nous avons examiné les informations fournies et avons décidé de clore la réclamation.

Fin de l’histoire.

En synthèse

Si vous recevez un e-mail de ce type, ne cédez ni à la panique ni à la tentation de payer immédiatement. Vérifiez vos droits, rassemblez vos preuves et répondez dans les délais. Dans mon cas, la situation s’est réglée rapidement grâce à une simple vérification de licence.

Ce genre d’e-mails peuvent sembler menaçants, mais ils reposent bien sur une base légale : la protection des droits d’auteur. De mon point de vue, si vous êtes dans votre bon droit, il ne faut pas ignorer ce genre de message et il vaut mieux répondre dans les délais. Vous pouvez ignorer ce genre de message, mais il y a de forte chance que vous receviez un recommandé par la suite. Si vous n’avez pas de licence valide, Copytrack peut exiger une indemnisation. À voir s’il n’est pas prudent de prendre un avocat…

Quelques conseils :

• Utilisez des banques d’images libres de droits fiables ;
• Vérifiez les conditions d’utilisation avant de publier une image ;
• Conservez toujours les factures le cas échéant ou certificats de licence ;
• Privilégiez vos propres créations visuelles…

Parfois, il m’arrive d’utiliser SwissTransfer à titre personnel, mais je n’en avais encore jamais parlé ici… à tort. En tant qu’adepte de l’auto-hébergement avec mon NAS, j’essaie habituellement de gérer mes besoins de partage de fichiers avec mes propres outils. Mais il faut reconnaître qu’il y a quelques limites dès qu’il s’agit d’envoyer ponctuellement de très gros volumes à des contacts externes : bande passante restreinte, accès au NAS limité ou disponibilité variable, etc. C’est précisément pour répondre à ces situations qu’Infomaniak propose ce service gratuit qui permet d’envoyer jusqu’à 50 Go en une seule fois, simplement et sans publicité…

Comment fonctionne SwissTransfer ?

SwissTransfer mise avant tout sur la simplicité d’utilisation de son service :

• jusqu’à 50 Go par envoi, sans inscription ni publicité ;
• partage par e-mail ou via un lien direct ;
• durée de validité modulable jusqu’à 30 jours, avec possibilité de personnaliser la date d’expiration ;
• nombre de téléchargements limité, jusqu’à 500 transferts par jour ;
• option de mot de passe pour sécuriser les fichiers.

L’expérience utilisateur est volontairement minimaliste : pas de compte à créer, pas de publicité, pas de fonctionnalités superflues. Franchement, c’est très appréciable

Confidentialité

Tous les fichiers sont stockés dans les centres de données d’Infomaniak, situés exclusivement en Suisse. À l’expiration définie par l’utilisateur, ils sont automatiquement supprimés. Contrairement à certains services extra-européens, les fichiers ne sont pas utilisés pour l’entraînement de modèles d’IA ni exploités à des fins publicitaires. L’exemple récent de WeTransfer, qui avait annoncé vouloir entraîner ses IA avec les fichiers déposés avant de faire machine arrière, illustre bien pourquoi la question de la confiance est centrale.

Points forts et limites

SwissTransfer présente plusieurs avantages : la possibilité d’envoyer gratuitement de très gros fichiers (jusqu’à 50 Go), l’absence de publicité, une interface simple et l’assurance que les données restent stockées en Suisse. En revanche, il faut garder en tête que le service se concentre uniquement sur le transfert. Il n’offre pas de stockage permanent ni d’outils collaboratifs. Pour l’archivage ou le travail en équipe, Infomaniak propose d’autres services payants

En synthèse

SwissTransfer s’est rapidement imposé comme une alternative à des services dominés par les géants américains. Simple, gratuit et transparent, le service permet de partager de gros fichiers en toute sécurité, sans conditions cachées.

Et vous, utilisez-vous un service pour envoyer de gros fichiers ? Si oui, lequel et pourquoi ?

Un membre présumé du groupe cybercriminel LockBit a été arrêté par les autorités françaises en juillet. Suspecté d'avoir participé à de nombreuses cyberattaques, dont certaines sur des infrastructures sensibles en France, le suspect a été arrêté en Ukraine après une enquête menée par l'unité nationale cyber (UNC).