Le youtubeur Joe Lynch vient de faire jouer “ Olson ” de Boards of Canada sur un ordinateur de 1959. Pas un émulateur, hein mais le vrai PDP-1, celui qui est au Computer History Museum. 603 bytes de musique sur une bande perforée, et quatre ampoules sur le panneau de contrôle transformées en haut-parleurs… Le son est brut, lo-fi, presque primitif et je trouve ça magnifique.

Mais attendez, ce PDP-1 c’est pas juste un vieux tas de circuits et de câbles… C’est vraiment l’ordinateur qui a créé les hackers et je vais essayer de vous en raconter un peu l’histoire !

Le PDP-1 débarque au MIT en septembre 1961. Digital Equipment Corporation le vend alors 120 000 dollars en tant qu’outil de calcul scientifique. C’est très sérieux, très corporate, sauf que les étudiants du MIT s’en foutent du calcul scientifique.

Ils veulent jouer !

Steve Russell programme alors Spacewar! en 1962. C’est l’un des premiers jeu vidéo. Deux vaisseaux qui se tirent dessus autour d’une étoile et vous vous en doutez, c’est pas prévu dans le manuel. C’est un détournement de la machine… un hack.

Puis la même année, Peter Samson , un autre étudiant du MIT, remarque que les ampoules de statut du PDP-1 clignotent. On/off, on/off… Il se dit alors qu’en contrôlant la vitesse du clignotement, on peut générer des fréquences audio. Il code alors le Harmony Compiler et c’est comme ça que les quatre ampoules deviennent quatre voix musicales. C’est l’un des premier synthétiseur temps réel et polyphonique de l’histoire. Peter optimise même le système pour jouer du Bach.

C’est la naissance de la culture hacker, de l’idée que le matériel peut faire plus que ce pour quoi il a été conçu et vendu. Les limites sont là pour être contournées et ce n’est pas mal… c’est de l’exploration !

Le PDP-1 devient alors le terrain de jeu des premiers hackers du MIT. Ils codent la nuit, quand les profs sont partis et transforment cette machine de calcul en espace de créativité. Et cette étincelle de culture va créer tout ce qui suit. Unix en 1969, le Homebrew Computer Club dans les années 70, les premiers PC, l’open source, Linux…etc. A chaque fois, ce sont des étudiants qui ont décidé que les règles c’était optionnel.

Et 63 ans plus tard, Joe Lynch arrive, prend le code de Peter Samson écrit en 1962 et l’utilise pour faire jouer un morceau de 1998. Il perfore une bande papier, il la charge dans le PDP-1, les fameuses quatre ampoules s’allument et s’éteignent alors à des fréquences calculées pour l’occasion et c’est “Olson” qui sort des haut-parleurs.

Par mail, Orange informe certains de ses abonnés d'une augmentation de leur débit maximal. Les forfaits Livebox Zen Fibre, qui ne sont plus commercialisés, incluent désormais jusqu'à 2 Gbit/s en descendant.

Vous vous souvenez de ce samedi après-midi de 1995 où vous avez modifié CONFIG.SYS pour la première fois ? Les mains moites, le coeur qui bat, parce que si vous vous plantiez, Windows ne démarrait plus. L’écran bleu (le bon vieux bleu DOS hein, pas le blue screen of death), le curseur blanc qui clignote, et cette interface minimaliste où chaque caractère comptait. MS-DOS Edit.

Votre premier vrai pouvoir sur la machine !

Hé bien bonne nouvelle, Microsoft vient de le ressusciter pour de vrai, 30 ans après.

C’est fou ! L’équipe Windows Terminal annonce en effet qu’Edit est maintenant pré-installé dans Windows 11. Plus besoin de le télécharger donc… vous ouvrez votre terminal, vous tapez “edit”, et hop, vous y êtes.

230 kilo-octets seulement, comme à l’époque c’est chouette ! Et le truc marrant, c’est que Edit n’est pas juste un coup de comm nostalgique.

Non, Microsoft comble en réalité un vide qui dure depuis plus de 20 ans, car les versions 32-bit de Windows avaient MS-DOS Edit mais les versions 64-bit n’avaient rien ! Aucun éditeur en ligne de commande par défaut. Snif !

Ainsi, si vous vouliez modifier un fichier config en SSH, fallait forcement installer vim, nano, ou se débrouiller avec notepad.exe en mode graphique comme un sauvage.

Sauf que voilà, les terminaux reviennent en force ! Les devs passent leur vie dans WSL2, PowerShell est devenu cross-platform, et même les utilisateurs lambda doivent parfois mettre les mains dans un fichier texte via la ligne de commande. Finalement, après toutes ces années à vous prendre le chou avec “ouvrez un terminal” par ci, “lancez une commande” par là…etc., ça fait de moi un visionnaire ! ^^

Bon, bref, avoir un éditeur accessible et simple, qui ne nécessite pas un doctorat en raccourcis clavier vim, en 2025 ça a du sens ! D’ailleurs, MS-DOS Edit, dans les années 90, c’était la drogue douce qui menait aux drogues dures. On commençait par modifier AUTOEXEC.BAT pour optimiser notre RAM, parce qu’un jeu ne se lançait pas et deux ans plus tard on se retrouvait sous Linux à compiler un kernel à 3 heures du matin. Edit n’était pas juste un outil, c’était le Bifröst de la bidouille… le moment où on passait d’utilisateur à “celui qui comprend comment ça marche”.

Ce nouvel Edit garde donc cette philosophie avec son interface minimaliste, mais rassurez-vous sous le capot c’est du moderne. C’est écrit en Rust, c’est open-source sous licence MIT, et avec des keybindings inspirés de VS Code. Par exemple Ctrl+P pour switcher entre fichiers, Ctrl+F pour chercher… etc. Il supporte même la souris et l’unicode fonctionne.

Si ça vous dit de tester, vous pouvez l’installer via winget si vous n’êtes pas sur la dernière preview de Windows 11. Un simple “winget install Microsoft.Edit” et c’est réglé. Ensuite vous tapez “edit” dans votre terminal, ou “edit fichier.txt” pour ouvrir directement un document et voilà…

Vos enfants, ceux qui grandissent avec des interfaces tactiles, des assistants vocaux, et ChatGPT partout vont peut-être faire leurs premiers pas de bidouilleurs avec le même outil que nous à l’époque… Qui sait ?

Source

Dans un article publié le 29 septembre 2025 dans la revue PNAS, des scientifiques dévoilent des preuves chimiques datant de plusieurs millions d'années qui signeraient la présence d'éponges sur Terre bien avant le développement d'autres formes de vie complexes.

Nintendo poursuit un modérateur Reddit accusé d’avoir orchestré la diffusion massive de jeux piratés sur la Switch. Face au silence de l’intéressé, la branche américaine de l'entreprise demande un jugement par défaut et réclame jusqu’à 4,5 millions de dollars de dédommagement.

Si vous passez votre temps à demander à ChatGPT de réécrire vos emails professionnels ou à chercher le bon prompt pour analyser un tableau Excel, OpenAI va vous faciliter la vie ! En effet, ils ont mis en ligne l’ OpenAI Academy , une plateforme avec plus de 300 prompts prêts à l’emploi, classés par métier, et totalement gratuits. Comme ça fini de payer 29,99 euros à des influenceurs chelous pour télécharger leur nouveau “Ultimate Prompt Bundle” contenant trois prompts qui marchent et 47 variations inutiles.

Voilà, comme ça, au lieu de partir de zéro à chaque fois que vous voulez utiliser ChatGPT pour bosser, vous allez dans la section Prompt Packs et vous choisissez votre métier. Sales, ingénieur, RH, product manager, customer success, IT, manager, executive…etc. Ils ont même fait des packs pour le secteur public et l’éducation. Chaque pack contient ainsi des dizaines de prompts testés et structurés pour des cas d’usage concrets.

Par exemple, le pack Sales inclut des prompts pour faire de la veille concurrentielle, rédiger des cold emails, analyser vos données de prospection ou créer des visuels pour vos présentations. Le pack Engineering vous aide à générer des diagrammes d’architecture système, faire du benchmark d’outils, débugger du code ou rédiger de la documentation technique. Et le pack HR couvre tout ce qui va du recrutement à la rédaction de politiques internes en passant par l’analyse des données RH.

Ce qui est bien pensé, c’est que les prompts sont prêts à être copié-collé mais aussi assez génériques pour être adaptés. Vous prenez le prompt de base, vous remplacez les variables par vos infos, et ça roule. Pas besoin de passer trois heures à apprendre le prompt engineering ou à regarder des tutos YouTube de 45 minutes qui auraient pu tenir en 2 minutes.

Et dans leurs packs spécifiques pour le gouvernement, il y en a pour les leaders du secteur public avec des prompts pour rédiger des documents de politique publique ou analyser des budgets. Ainsi que des packs pour les équipes IT gouvernementales pour gérer les systèmes, la cybersécurité et le support technique avec des ressources limitées.

Du côté éducation, il y a des packs pour les étudiants , d’autres pour les enseignants , et même pour les administrateurs . Donc que vous soyez prof qui veut préparer un cours ou étudiant qui galère sur un projet, il y a des prompts prêts pour vous.

OpenAI a visiblement compris qu’il y avait un marché de la vente de prompts qui s’était développé ces derniers mois alors avec Academy, ils cassent ce marché en offrant gratuitement une bibliothèque qui couvre la plupart des besoins professionnels courants.

Bon, après c’est pas non plus magique car un prompt finalement, c’est juste un outil. Donc si vous ne savez pas ce que vous voulez obtenir ou si vous ne comprenez pas votre métier, ça ne va pas faire de miracles. Mais pour quelqu’un qui sait ce qu’il cherche et qui veut juste gagner du temps, c’est très pratique.

La plateforme OpenAI Academy propose aussi d’autres contenus comme des webinaires, des guides d’utilisation, des cas d’usage par secteur, si ça vous chauffe.

Voilà, j’ai trouvé ces packs de prompts très cools et je pense que ça vous fera gagner du temps.

Source : OpenAI Academy - Prompt Packs

Vous scrollez tranquillement r/rance à 2h du mat’ pour tuer le temps avant de dormir, vous lisez quelques posts, regardez des memes, rigolez sur un truc débile. Mais savez-vous que Reddit enregistre chaque post que vous lisez, chaque image que vous ouvrez, chaque seconde que vous passez sur chaque thread ? Et ça, ils le font même si vous n’avez pas de compte y compris si vous êtes en navigation privée.

Bienvenue dans le monde merveilleux du tracking obligatoire !

Heureusement, pour lutter contre ça, sans se priver de Reddit, il existe Redlib , un front-end alternatif open source, codé en Rust, qui va vous permettre de lire Reddit sans que Reddit ne sache que vous existiez. Pas d’inscription, pas de JavaScript, pas de pubs, pas de tracking. Vous remplacez juste “reddit.com” par “redlib.tiekoetter.com” dans l’URL et hop, vous avez le même contenu sans la surveillance.

D’ailleurs, petite histoire rapide pour comprendre pourquoi Redlib existe…

En 2023, Reddit a décidé de tuer toutes les apps tierces populaires comme Apollo ou BaconReader en rendant son API hors de prix. Le vrai objectif n’était pas de monétiser l’API, mais plutôt de forcer tout le monde à passer par leur app officielle bourrée de trackers et de pubs. À cette époque, il existait Libreddit, un projet similaire à Redlib qui permettait de lire Reddit en privé mais Reddit a commencé à imposer des rate limits agressifs qui ont tué Libreddit… Projet tragiquement décédé, fin de l’histoire…

Sauf que non. Un dev a décidé de ressusciter Libreddit sous un nouveau nom : Redlib. Et là, coup de génie technique, au lieu de se connecter normalement à l’API Reddit, Redlib utilise une technique appelée OAuth token spoofing.

En gros, Redlib se fait passer pour l’application officielle Android de Reddit. Il envoie les mêmes headers HTTP, utilise les mêmes tokens d’authentification, et imite le comportement de l’app officielle. Du coup, Reddit pense que c’est son app qui fait des requêtes, et laisse tout passer sans bloquer. Alors évidemment, la première question qui vous vient surement c’est : Est ce légal ??

Et bien comme pour toutes les bonnes choses de la vie, techniquement, on est dans une “zone grise”. Mais après éthiquement parlant, vous lisez du contenu public que les gens ont posté gratuitement sur une plateforme publique, donc j’imagine que pour le concepteur de Redlib, y’a pas mort d’homme.

Donc pour utiliser Redlib, vous avez donc cette instance publique redlib.tiekoetter.com qui vous permet de libérer n’importe quel lien Reddit. Mais pour les plus geeks d’entre vous, ceux qui sont à fond dans l’auto-hébergement parce qu’ils ont beaucoup de temps libre (lol), vous pouvez le mettre en place chez vous également avec Docker. Le repo GitHub explique tout, c’est assez rapide à mettre en place.

La différence avec l’expérience Reddit normale est d’ailleurs flagrante car sur reddit.com, vous êtes bombardé de popups “Install our app”, de bannières de cookies, de pubs…etc. Le site est lourd, lent, et essaie constamment de vous pousser vers l’app mobile alors qu’au contraire, sur Redlib, c’est du contenu pur et dur. Pas de JavaScript, pas de popups, juste les threads et les commentaires. Et c’est super rapide !! Même les images passent par le serveur Redlib, donc Reddit ne voit jamais votre IP quand vous chargez une photo.

Maintenant, faut quand même savoir que Reddit n’est pas content de cette situation. Ils essaient régulièrement de bloquer les instances Redlib en bannissant des adresses IP. C’est pour cela que certaines instances publiques rencontrent parfois des erreurs du style “Failed to parse page JSON data”, mais la communauté Redlib réagit en général très vite, change d’IP, ajuste les tokens OAuth, et le service repart.

Bref, je vous conseille de tester, surtout si vous en avez marre de vous faire harceler par des messages vous incitant à installer l’app mobile.

Reddit, c’est bien mais Reddit sans surveillance, c’est mieux !

Thermaltake dévoile le GR300 Racing Simulator Cockpit, un siège de simulation compatible Logitech, Fanatec et Thrustmaster.

Cet article Thermaltake lance le GR300 Racing Simulator : un cockpit de course accessible a été publié en premier par GinjFo.

Entre screenshots de bugs, memes de geeks et photos de vacances, on échange des tonnes d’images chaque jour, et à cause de nous, les data centers chauffent comme des radiateurs. Alors à chaque fois que vous compressez une image avant de l’envoyer, on peut se dire qu’on participe “un petit peu” à sauver la planète, non ?

C’est pour ça qu’aujourd’hui, je vous présente Caesium, un petit logiciel open source développé par @Lymphatus qui transforme vos images obèses en versions ultra légères, sans que personne ne remarque la différence. L’outil nous promet dans certains cas, des compressions allant jusqu’à 90% avec une qualité visuelle quasiment identique. Et le plus beau dans tout ça, c’est qu’on n’a même pas besoin d’envoyer nos photos à un GAFAM qui fera le boulot.

Tout d’abord, le développeur Caesium est en train de réécrire toute la partie compression (libcaesium) en Rust au lieu du C++ traditionnel et c’est intéressant, parce que Rust fait partie du trio de tête avec C et C++ en termes de performance énergétique, tout en apportant une sécurité mémoire supérieure. Et quand on sait que Caesium traite potentiellement des millions d’images par jour, l’amélioration de la sécurité et de la maintenance est cruciale.

De plus, une image compressée à 90% ne réduit pas seulement sa taille de stockage. D’après les analyses de compression WebP , elle peut diviser jusqu’à 6 fois la consommation énergétique nécessaire à son transfert sur le réseau, avec une réduction moyenne par 2 ou 3 pour les compressions qui conservent le même niveau de qualité. Multipliez ça par les milliards d’images échangées chaque jour, et vous comprenez pourquoi chaque compression compte.

Le truc génial avec Caesium, c’est qu’il existe sous trois formes. La version desktop classique pour Windows/Mac/Linux qui vous permet de traiter vos images en masse, prévisualisation en temps réel comprise.

La version ligne de commande CaesiumCLT pour les barbus qui veulent automatiser leurs compressions dans leurs scripts.

Et la petite dernière, la version web caesium.app qui tourne directement dans votre navigateur. Attention quand même, cette dernière limite à 10 images avec une taille maximale par fichier de 20 MB, mais pour un usage ponctuel, c’est parfait.

En plus, comme je vous le disais, Caesium fait tout en local. Vos photos restent chez vous, y’a pas de compte à créer, pas de limite mensuelle, pas de tracking. C’est efficace et moins cher que gratuit ^^.

Pour l’installer, c’est simple comme bonjour. Sur Mac ou Linux, un petit brew install caesiumclt pour la version ligne de commande, ou téléchargez directement l’installeur sur le site officiel pour la version graphique toute moche. Windows a droit à une version portable, pratique pour l’avoir sur une clé USB. Et si vous voulez juste tester, direction caesium.app dans votre navigateur.

L’utilisation reste ultra intuitive. Vous glissez vos images, vous réglez la qualité (80% par défaut, largement suffisant pour 99% des cas), et hop, Caesium optimise !

Et pour l’outil en ligne de commande, vous pouvez faire de la compression sans perte comme ceci :

# Compresser avec préservation des métadonnées
caesiumclt --lossless -e --keep-dates -o output/ image.jpg

# Compresser plusieurs images avec une qualité spécifique
caesiumclt -q 75 -o output/ image1.jpg image2.png image3.webp

# Compresser avec un suffixe pour éviter d'écraser les originaux
caesiumclt -q 85 --suffix _compressed --same-folder-as-input image.jpg

# Compresser avec un réglage de qualité
caesiumclt -q 80 -o output/ image.jpg

# Convertir les images au format WebP avec réglage de qualité
caesiumclt -q 85 --format webp -o output/ Pictures/*.jpg

# Redimensionner à une largeur spécifique (en conservant le ratio d'aspect)
caesiumclt --lossless --width 1920 -o output/ image.jpg

# Redimensionner à une hauteur spécifique (en conservant le ratio d'aspect)
caesiumclt -q 90 --height 1080 -o output/ image.jpg

On est en septembre, c’est la rentrée, donc c’est l’occasion pour nous tous, de nous inscrire à ces clubs d’activités qui vous permettent de nous occuper afin de ne pas sombrer dans la dépression. Je pense aux clubs de dessin, de foot, de théâtre, et pour les plus fifous d’entre vous, le club de poterie !

Parce que oui, faire des petits boudins en terre pour les empiler afin d’en faire des vases moches, c’est super rigolo ! En plus si vous savez les émailler, vous pouvez même les vendre une couille dans votre petite boutique artisanale ouverte uniquement de 14h à 16h uniquement les jeudis entre mars et juillet.

Mais vous savez ce qui serait encore plus cool ? Ce serait d’utiliser tout cette argile et ce four incroyable pour réaliser des circuits imprimés capables de faire tourner un Arduino… Hé ouais !

Patrícia J. Reis et Stefanie Wuschitz , deux hackeuses du collectif féministe viennois Mz* Baltazar’s Lab, ont en effet développé une technique pour fabriquer des PCB avec de l’argile ramassée en forêt et de la poudre d’argent recyclée à partir de déchets de bijouterie, tout ça cuit à 700°C au feu de bois.

Je me dis que peut-être que nos ancêtres faisaient déjà du hardware sans le savoir… bah oui, leurs tablettes d’argile étaient quand même les premiers supports de stockage de données de l’humanité. Et aujourd’hui, on boucle la boucle en revenant à ces techniques ancestrales pour créer l’électronique du futur post-apocalyptique qui nous attend…

Leur projet est en réalité parti d’un constat assez brutal, car dans nos smartphones et nos ordinateurs, on trouve beaucoup de minerais issus de conflits. Je pense par exemple au tantale qui vient essentiellement de la République Démocratique du Congo et du Rwanda , où 40 000 enfants travaillent illégalement dans les mines. Je pense aussi aux populations de gorilles des plaines orientales qui ont été décimées à cause de l’exploitation du coltan dans le parc national Kahuzi-Biega… etc., etc.

Alors face à ce désastre, les deux hackeuses ont décidé de tester cette alternative radicale. D’abord, elles sortent se balader dans leur forêt autrichienne avec une bouteille d’eau. Elles ramassent de la terre, y versent un peu d’eau, et si ça devient malléable entre les doigts, bingo, c’est de l’argile.

Ensuite, elles nettoient la terre avec une passoire de cuisine pour enlever les cailloux et les insectes, ajoutent 100ml d’eau par kilo de terre, et pétrissent comme pour faire du pain. Ensuite, pour les pistes conductrices, elles utilisent un genre de tampon imprimé en 3D qu’elles appliquent sur la tuile pour dessiner le circuit, ainsi que de la poudre d’argent récupérée dans des ateliers de bijouterie.

Elles peignent alors à la main les circuits sur l’argile avec un pinceau ultra-fin, comme des enluminures électroniques. C’est un processus lent, méditatif, aux antipodes de la production industrielle frénétique.

Et la forme hexagonale qu’elles ont choisie pour leurs PCB n’est pas anodine puisque c’est la forme optimale dans la nature : les alvéoles des abeilles, les cristaux de basalte, et même la structure du graphène. Elles voulaient en effet pouvoir assembler plusieurs circuits comme des tuiles, afin de créer des réseaux modulaires. Une super idée, mais qu’elles ont du abandonner à cause de la difficulté d’obtenir des bords parfaitement droits avec l’argile naturelle.

Le tutoriel qu’elles ont publié est une mine d’or, car elles y détaillent comment créer un tampon 3D pour imprimer le circuit dans l’argile (1,2mm de profondeur, en tenant compte du rétrécissement de 5% à la cuisson), comment programmer une puce ATmega328 récupérée sur un Arduino défectueux, et même comment souder les composants avec de la pâte à souder sans plomb qui respecte les standards du commerce équitable. Toutes les sources sont même sur Github.

La cuisson au feu de bois est surtout le moment magique. Elles creusent un trou dans leur jardin, construisent un lit de branches sèches pour poser les circuits, ajoutent une deuxième couche de branches fines par-dessus, et laissent le feu faire son œuvre pendant 20 minutes. Les circuits deviennent alors incandescents, puis elles les plongent directement dans l’eau froide. Si l’argile n’a pas de bulles d’air et a bien séché, il résiste au choc thermique.

Ensuite y’a plus qu’à souder les composants et le circuit final peut alors contrôler des capteurs capacitifs, des LEDs, des moteurs, exactement comme un Arduino classique. Elles ont même développé un code open source disponible sur GitHub pour gérer les entrées/sorties.

Alors, faire ses propres PCB avec de l’argile et des matériaux de récup, c’est peut-être utopique, mais face aux 50 millions de tonnes de déchets électroniques produits chaque année et aux ravages des minerais issus de conflit, c’est une jolie forme d’hacktivisme.

Voilà, donc la prochainement que vous aurez envie de vous mettre à la poterie, dites-vous que c’est peut-être plus que ça… Peut-être que vous êtes déjà en train de vous former à une technologie à la fois ancestrale et de pointe qui sera le futur de l’électronique.

Car après tout, entre une tablette d’argile sumérienne et un PCB en terre cuite, il n’y a que 4000 ans et quelques lignes de code Arduino…

A l’époque où je bossais encore pour de vrai dans une entreprise normale et que je n’étais pas encore super-blogueur-professionnel, PhishyURL est le genre de truc qui ne m’aurait pas forcement fait beaucoup rire… Mais le temps est passé et je me dis que si votre équipe informatique vous casse un peu les pieds, c’est peut être le moment de prendre votre (gentille) revanche en leur faisant un petit poisson d’avril en plein mois de septembre.

Hé oui car PhishyURL est un générateur d’URLs qui n’a pour seul but que de foutre les jetons à votre équipe informatique. L’idée c’est que vous entrez une URL parfaitement légitime, disons celle de la page d’accueil de votre boîte, et l’outil vous sort un lien qui ressemble à ce que Satan lui-même enverrait par mail après une nuit de beuverie avec des hackers russes.

Et au menu des thèmes disponibles, on trouve tout ce qui fait transpirer un responsable sécu : crypto douteuse, finance louche, phishing assumé, shopping suspect, casino en ligne, rencontres hot et même du contenu adulte. De quoi transformer n’importe quel lien vers les photos de vacances de mamie en quelque chose qui ressemble à une invitation directe vers les enfers numériques.

Une fois votre super URL générée, vous l’envoyez par mail à un collègue et le rythme cardiaque de quelques personnes va s’accélérer…

JE SAIS C’EST MAL ! Mais c’est drôle quand même ! Ça peut même servir pour faire vos épreuves de phishing et faire ensuite la morale à Michel de la compta qui clique sur tout ce qui peut lui permettre de voir des boobs.

Voilà, amusez-vous bien mais n’abusez pas des bonnes choses…

Comment ça NotPetya ???

Mais siiiii, cette saloperie de malware qui a paralysé la planète en 2017 et qui s’est révélée être en fait un programme destructeur déguisé en ransomware. Eh bien, tenez-vous bien : selon les équipes d’ESET , un petit nouveau vient d’arriver sur la scène, et il s’appelle HybridPetya. Et ce petit gars a appris des nouveaux tours que son grand-père NotPetya ne maîtrisait pas à l’époque.

Martin Smolár, le chercheur d’ESET qui a découvert cette petite merveille, explique que HybridPetya combine le pire des deux mondes : les capacités destructrices de NotPetya ET la récupération possible des données de Petya. Mais surtout, et c’est là que ça devient technique, ce truc est capable de contourner Secure Boot sur les systèmes UEFI.

Pour ceux qui auraient oublié l’enfer de 2017, je vous fais un petit rappel historique. Petya, c’était le ransomware “gentil” qui chiffrait vos données mais vous permettait théoriquement de les récupérer si vous payiez la rançon. NotPetya, son cousin maléfique, c’était le faux ransomware qui détruisait tout sur son passage. Cette saloperie a causé plus de 10 milliards de dollars de dégâts dans le monde, principalement en Ukraine où elle a été initialement déployée via une mise à jour piégée du logiciel de comptabilité M.E.Doc.

Maintenant, là où HybridPetya innove, c’est qu’il récupère le meilleur (ou le pire, selon le point de vue) des deux. Il peut détruire comme NotPetya, mais aussi permettre la récupération des données comme Petya. Une sorte de ransomware à géométrie variable, quoi.

Sauf que ce n’est pas le plus inquiétant…

Le truc vraiment flippant avec HybridPetya, c’est sa capacité à s’installer directement dans le firmware UEFI de votre machine. Pour les non-initiés, UEFI c’est le système qui s’occupe du démarrage de votre ordinateur, avant même que Windows ne se réveille. En gros, si un malware réussit à s’installer là-dedans, il survit à tout : formatage du disque dur, réinstallation complète du système, et même changement de disque dur. C’est un niveau persistance maximale.

Alors, comment il fait ça, ce HybridPetya ? Eh bien, il utilise deux méthodes d’attaque. La première, c’est l’installation directe de charges utiles malveillantes sur la partition système EFI. Une fois là-dedans, il chiffre la Master File Table (MFT) de votre système NTFS, ce qui rend tous vos fichiers complètement inaccessibles. Et surtout, il sait exploiter la vulnérabilité CVE-2024-7344 pour contourner Secure Boot.

Cette faille, découverte également par les équipes d’ESET, se trouve dans l’application Howyar Reloader UEFI. En gros, cette application, qui est normalement signée par Microsoft et donc considérée comme fiable, contient une vulnérabilité qui permet de charger du code non-signé pendant le processus de démarrage. C’est comme si vous donniez les clés de votre maison à quelqu’un en lui disant “tu peux faire rentrer qui tu veux, je te fais confiance”.

Après pas de panique les amis, car il faut préciser que pour l’instant, HybridPetya n’a été repéré que sur VirusTotal, la plateforme d’analyse de malwares. Aucune autre infection dans la nature n’a été détectée par les télémétries d’ESET. Il s’agit donc probablement d’un proof-of-concept développé par un chercheur en sécurité ou un groupe de hackers pour démontrer que c’était possible. Mais le fait que ça existe, ça veut surtout dire que d’autres peuvent s’en inspirer.

Toutefois, HybridPetya rejoint désormais un club très fermé car il est maintenant le quatrième malware connu capable de contourner UEFI Secure Boot, après BlackLotus (qui exploite CVE-2022-21894 ), Bootkitty (qui cible Linux), et le PoC Hyper-V Backdoor. Comme le souligne Martin Smolár : “Cela montre que les contournements de Secure Boot ne sont pas seulement possibles… ils deviennent plus courants et attractifs pour les chercheurs comme pour les attaquants”.

BlackLotus, pour rappel, c’était déjà du lourd. Découvert en 2023 , ce malware était vendu 5 000 dollars sur le dark web et était capable de tourner sur des systèmes Windows 11 entièrement à jour avec Secure Boot activé. Il pouvait désactiver BitLocker, HVCI, et Windows Defender, et installer des pilotes malveillants au niveau kernel. Du grand art, dans le mauvais sens du terme.

Maintenant concrètement, comment on se protège contre ce genre de menaces ? Parce que bon, c’est bien beau de faire peur aux gens, mais il faut aussi donner les solutions.

Et bien première chose, maintenez vos systèmes à jour. Microsoft a corrigé la vulnérabilité CVE-2024-7344 dans le Patch Tuesday de janvier 2025 donc si vous avez appliqué cette mise à jour ou une version ultérieure, vous êtes protégés contre HybridPetya. C’est la base, mais c’est crucial.

Deuxième chose, activez et configurez correctement UEFI Secure Boot. Même si des contournements existent, Secure Boot reste une barrière importante. Assurez-vous qu’il soit activé et que vos listes de révocation soient à jour. Microsoft révoque régulièrement les certificats compromis, et ces révocations sont normalement appliquées automatiquement sur Windows.

Troisième conseil, surveillez votre partition système EFI. Selon les recommandations de CISA , les équipes de sécurité devraient être capables d’auditer, gérer et mettre à jour les composants UEFI, et surveiller les logs d’activité UEFI pour détecter toute modification suspecte. Utilisez des solutions de sécurité capables de détecter les modifications au niveau UEFI… Certains antivirus modernes incluent des fonctionnalités de protection du firmware. Ce n’est pas infaillible, mais ça ajoute une couche de protection. En gros, il faut traiter ce firmware comme n’importe quel autre logiciel avec une surveillance et des mises à jour régulières.

Quatrième point, et c’est important, limitez les privilèges administrateur. Pour déployer HybridPetya, il faut des droits d’administrateur local sur Windows ou root sur Linux pour accéder à la partition système EFI. Moins il y a d’utilisateurs avec ces privilèges, mieux c’est.

Et puis, il y a les bonnes pratiques classiques qui restent valables telles que les sauvegardes régulières (et déconnectées !), la formation des utilisateurs, de la surveillance réseau, et une restriction des droits d’accès. Parce qu’au final, même le malware le plus sophistiqué a besoin d’un vecteur d’infection initial.

Quoiqu’il en soit, ces bootkits UEFI représentent une escalade significative dans la sophistication des malwares car ils opèrent à un niveau si bas qu’ils sont extrêmement difficiles à détecter et à supprimer pour les solutions de sécurité traditionnelles.

C’est intéressant également de noter que HybridPetya ne semble pas avoir les capacités de propagation réseau agressives du NotPetya original. Rappelez-vous, NotPetya utilisait l’exploit EternalBlue (développé initialement par la NSA) pour se propager de machine en machine sur les réseaux et c’est cette capacité de ver informatique qui avait permis à NotPetya de causer autant de dégâts en si peu de temps.

De son côté HybridPetya semble plus axé sur la persistance que sur la propagation massive. C’est probablement un choix tactique car plutôt que de faire du bruit et d’alerter tout le monde, mieux vaut s’installer discrètement et durablement sur les systèmes ciblés.

Depuis quelques années, les groupes APT (Advanced Persistent Threat) privilégient de plus en plus la furtivité et la persistance plutôt que l’impact immédiat visible, car un malware qui survit silencieusement pendant des mois ou des années peut collecter bien plus d’informations sensibles qu’un ransomware qui chiffre tout en quelques heures.

Bref, gardez vos systèmes à jour, surveillez vos logs, et surtout, ne sous-estimez jamais l’ingéniosité des types qui passent leurs journées à trouver des moyens créatifs de péter vos systèmes….

Pendant mes vacances, j’ai reçu un e-mail qui m’a donné quelques sueurs froides. L’expéditeur se présentait comme une société spécialisée dans la protection et la monétisation des droits d’image. Le message prenait la forme d’une mise en demeure pour « utilisation non autorisée d’une image protégée ». Sur le moment, difficile de savoir s’il s’agissait d’une tentative d’intimidation ou d’une véritable réclamation légitime. Mais une chose est certaine : ce type de message ne doit jamais être pris à la légère.

Copytrack, un service particulier

L’entreprise à l’origine de l’e-mail se nomme Copytrack. Si on jette un œil sur son site Web officiel, elle se décrit comme ceci :

Copytrack est un service qui vous aide à trouver et à réclamer vos images utilisées sans autorisation sur Internet. Téléchargez vos fichiers, signalez celles qui ont été volées, et laissez Copytrack se charger des poursuites judiciaires à votre place.

En clair, Copytrack propose aux photographes et agences de soumettre leurs visuels. L’outil se charge ensuite de scanner le Web à la recherche d’utilisations non autorisées, puis d’exiger une indemnisation. Le modèle économique est simple, l’entreprise se rémunère directement sur les sommes récupérées, à hauteur de 45 % (toujours selon le site officiel).

Ton menaçant

L’e-mail que j’ai reçu ne laisse pas de place au doute : le ton est direct, voire agressif. Je suis accusé d’« utilisation d’une image sans autorisation » et invité à régulariser ma situation sous peine de poursuites via leurs avocats partenaires. Le délai est extrêmement court, vous avez 10 jours pour vous défendre. Heureusement que je consulte mes e-mails pendant mes vacances…

Deux options sont proposées :

• Option 1 : achat d’une licence supplémentaire (valable un an, incluant l’utilisation passée et future) → 389,59 €
• Option 2 : indemnisation pour usage passé (suppression immédiate de l’image) → 350,00 €

Si vous décidez de payer, vous avez un petit délai supplémentaire (environ 20 jours)

Comment j’ai résolu la situation…

Heureusement, au milieu de ce message à la limite de l’intimidation, un paragraphe mentionne une alternative :

Si vous disposez d’une licence valide ou de toute autre justification légale pour utiliser ces images, veuillez nous en fournir la preuve.

C’était mon cas. L’image concernée avait bien été obtenue dans les règles et j’avais conservé la preuve. J’ai donc transmis plusieurs éléments (numéro de licence et capture d’écran) dès le lendemain.

Trois jours plus tard, je recevais une réponse beaucoup plus brève :

Nous avons examiné les informations fournies et avons décidé de clore la réclamation.

Fin de l’histoire.

En synthèse

Si vous recevez un e-mail de ce type, ne cédez ni à la panique ni à la tentation de payer immédiatement. Vérifiez vos droits, rassemblez vos preuves et répondez dans les délais. Dans mon cas, la situation s’est réglée rapidement grâce à une simple vérification de licence.

Ce genre d’e-mails peuvent sembler menaçants, mais ils reposent bien sur une base légale : la protection des droits d’auteur. De mon point de vue, si vous êtes dans votre bon droit, il ne faut pas ignorer ce genre de message et il vaut mieux répondre dans les délais. Vous pouvez ignorer ce genre de message, mais il y a de forte chance que vous receviez un recommandé par la suite. Si vous n’avez pas de licence valide, Copytrack peut exiger une indemnisation. À voir s’il n’est pas prudent de prendre un avocat…

Quelques conseils :

• Utilisez des banques d’images libres de droits fiables ;
• Vérifiez les conditions d’utilisation avant de publier une image ;
• Conservez toujours les factures le cas échéant ou certificats de licence ;
• Privilégiez vos propres créations visuelles…

Créer un système d’exploitation complet from scratch pour s’amuser, c’est le genre de projet un peu foufou qu’on ne voit plus tellement aujourd’hui. Pourtant SkiftOS existe !

SkiftOS c’est un OS écrit entièrement depuis zéro, et pas un n-ième fork de Linux ou d’une distribution BSD. Non, c’est un vrai OS avec son propre kernel, son interface graphique et même les bases d’un moteur de navigateur web.

J’ai découvert ce projet en me baladant sur les Top GitHub et ça m’a rappelé cette époque d’avant ma naissance où créer son OS était un genre de rite de passage pour tous les développeurs passionnés. Sauf qu’ici, on n’est plus dans les années 70 et le projet utilise du C++20 moderne avec une architecture microkernel très propre.

Et malgré son statut de projet “hobby”, il fonctionne réellement. Il tourne pour le moment sur du hardware x86_64 et l’équipe travaille sur le support RISC-V.

L’architecture modulaire du projet est d’ailleurs particulièrement bien pensée. Chaque module a son petit nom, c’est rigolo. Hjert gère le microkernel avec les fonctions essentielles telles que la gestion mémoire, l’ordonnancement et l’IPC (Inter-Process Communication). Karm fournit la bibliothèque C++ de base sans dépendre de la STL (Standard Template Library) . KarmUI propose un framework d’interface réactive. Hideo s’occupe du bureau et de l’environnement graphique. Et Vaev ambitionne de devenir un moteur de navigateur web complet.

Pour compiler tout ça, l’équipe a également développé CuteKit, leur propre système de build qui gère les dépendances et la cross-compilation. Bah oui, quand on réinvente un OS, autant réinventer aussi tous les outils pour le construire.

Cette approche “tout fait maison” rend en tout cas le projet fascinant d’un point de vue pédagogique. Car oui le code source est disponible sur GitHub donc si vous voulez comprendre comment fonctionne un OS moderne sans vous perdre dans les millions de lignes de code de Linux ou de Windows (pour les vieilles versions qui ont leakée), c’est une excellente opportunité pour apprendre. Pas besoin donc d’être Microsoft ou Apple pour développer un système d’exploitation fonctionnel.

Faut “juste” de la motivation, du temps, des compétences en C++ moderne, et surtout l’envie de construire quelque chose de différent.

Vous l’aurez compris, SkiftOS ne remplacera probablement jamais votre OS principal, c’est clair mais pour les développeurs curieux qui veulent comprendre les entrailles d’un système d’exploitation, ou pour ceux qui cherchent un projet open source technique sympa où contribuer, c’est une sacrée mine d’or.

Et qui sait, peut-être que dans quelques années on parlera de SkiftOS comme on parle aujourd’hui des débuts de Linux…

AlterEgo, c’est la réponse du MIT au fantasme de la télépathie et contrairement à Neuralink qui nécessite une chirurgie pour implanter des électrodes dans le cerveau, cette petite merveille se porte simplement autour des oreilles comme une prothèse auditive.

Le principe est assez malin. Au lieu de lire directement dans vos pensées (ce qui reste de la science-fiction pour le moment…), AlterEgo détecte les micro-mouvements de votre bouche, de votre visage et de vos cordes vocales quand vous “parlez” silencieusement. La conduction osseuse fait le reste, transformant ces signaux en mots compréhensibles par un ordinateur.

Arnav Kapur, le scientifique qui dirige le projet, parle d’une “percée révolutionnaire” qui donnerait “le pouvoir de la télépathie, mais uniquement pour les pensées que vous voulez partager”. Ouf, on est sauvé ! Cette précision est importante car contrairement aux interfaces cerveau-machine plus agressives, là vous gardez le contrôle total sur ce que vous communiquez.

Cette idée a germé en 2018 comme projet de recherche au MIT, mais cette année l’équipe a franchi le cap en créant une start-up. Leur dispositif affiche une précision de 90%, ce qui reste impressionnant pour une technologie non-invasive. Bien sûr, chaque utilisateur doit encore calibrer l’appareil et s’entraîner, mais c’est un détail technique… En tout cas, ce qui rend AlterEgo particulièrement intéressant, c’est son potentiel pour les personnes atteintes de troubles de la parole comme la sclérose en plaques. Imaginez pouvoir communiquer naturellement malgré les limitations physiques… Ça changerait la vie de pas mal de monde, non ?

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/alterego-telepathie-mit/alterego-telepathie-mit-1.mp4">lien vers la vidéo</a>.

Parfois, il m’arrive d’utiliser SwissTransfer à titre personnel, mais je n’en avais encore jamais parlé ici… à tort. En tant qu’adepte de l’auto-hébergement avec mon NAS, j’essaie habituellement de gérer mes besoins de partage de fichiers avec mes propres outils. Mais il faut reconnaître qu’il y a quelques limites dès qu’il s’agit d’envoyer ponctuellement de très gros volumes à des contacts externes : bande passante restreinte, accès au NAS limité ou disponibilité variable, etc. C’est précisément pour répondre à ces situations qu’Infomaniak propose ce service gratuit qui permet d’envoyer jusqu’à 50 Go en une seule fois, simplement et sans publicité…

Comment fonctionne SwissTransfer ?

SwissTransfer mise avant tout sur la simplicité d’utilisation de son service :

• jusqu’à 50 Go par envoi, sans inscription ni publicité ;
• partage par e-mail ou via un lien direct ;
• durée de validité modulable jusqu’à 30 jours, avec possibilité de personnaliser la date d’expiration ;
• nombre de téléchargements limité, jusqu’à 500 transferts par jour ;
• option de mot de passe pour sécuriser les fichiers.

L’expérience utilisateur est volontairement minimaliste : pas de compte à créer, pas de publicité, pas de fonctionnalités superflues. Franchement, c’est très appréciable

Confidentialité

Tous les fichiers sont stockés dans les centres de données d’Infomaniak, situés exclusivement en Suisse. À l’expiration définie par l’utilisateur, ils sont automatiquement supprimés. Contrairement à certains services extra-européens, les fichiers ne sont pas utilisés pour l’entraînement de modèles d’IA ni exploités à des fins publicitaires. L’exemple récent de WeTransfer, qui avait annoncé vouloir entraîner ses IA avec les fichiers déposés avant de faire machine arrière, illustre bien pourquoi la question de la confiance est centrale.

Points forts et limites

SwissTransfer présente plusieurs avantages : la possibilité d’envoyer gratuitement de très gros fichiers (jusqu’à 50 Go), l’absence de publicité, une interface simple et l’assurance que les données restent stockées en Suisse. En revanche, il faut garder en tête que le service se concentre uniquement sur le transfert. Il n’offre pas de stockage permanent ni d’outils collaboratifs. Pour l’archivage ou le travail en équipe, Infomaniak propose d’autres services payants

En synthèse

SwissTransfer s’est rapidement imposé comme une alternative à des services dominés par les géants américains. Simple, gratuit et transparent, le service permet de partager de gros fichiers en toute sécurité, sans conditions cachées.

Et vous, utilisez-vous un service pour envoyer de gros fichiers ? Si oui, lequel et pourquoi ?

Un membre présumé du groupe cybercriminel LockBit a été arrêté par les autorités françaises en juillet. Suspecté d'avoir participé à de nombreuses cyberattaques, dont certaines sur des infrastructures sensibles en France, le suspect a été arrêté en Ukraine après une enquête menée par l'unité nationale cyber (UNC).

Source