Vous avez un homelab avec plein d’applications Docker et vous en avez marre que n’importe qui puisse accéder à votre Jellyfin ou votre Homer ? Vous cherchez une solution d’authentification mais vous trouvez que Authelia c’est trop compliqué pour vos besoins ? J’ai exactement ce qu’il vous faut : TinyAuth.

Créé par steveiliop56, TinyAuth c’est l’anti-bullshit de l’authentification. Pas de base de données, pas de dashboard à configurer pendant des heures, pas de fichiers YAML de 500 lignes. Juste des variables d’environnement et c’est parti. En 5 minutes, c’est plié.

Vous en avez marre de devoir implémenter un authentification sur chaque micro-service que vous déployez et vous cherchez une solution qui tient la charge sans faire fondre vos serveurs ? Ça tombe bien, voici un projet open source qui devrait vous intéresser : ProxyAuth.

Développé par vBlackOut, soutien Patreon de votre serviteur, ProxyAuth est une passerelle d’authentification écrit en Rust qui se place devant vos APIs backend pour gérer toute la partie auth. Et quand je dis qu’il gère, c’est pas pour rigoler puisqu’il est capable d’encaisser plus de 100 000 requêtes par seconde. Le concept de cet outil c’est qu’au lieu d’implémenter la gestion des tokens dans chaque service, vous mettez ProxyAuth devant et c’est lui qui fait le sale boulot. Vos services backend n’ont plus qu’à se concentrer sur leur job, sans se prendre la tête avec l’authentification.

Vous savez ce qui me rend dingue sur YouTube ces derniers temps ? Ce sont les traductions automatiques merdiques de Google… Vous cliquez sur une vidéo de l’un de vos youtubeurs anglophone préféré et PAF, YouTube vous balance un doublage français qui ne ressemble à rien, vignette et description comprises.

Et le pire dans tout ça, c’est qu’on ne peut même pas désactiver cette merde dans les paramètres. Nada, que dalle, rien. Google a donc décidé que vous alliez bouffer de la traduction automatique et vous alliez aimer ça. Sauf que non.

Vous le savez, j’adore les histoires de hackers qui trouvent des failles là où personne ne pense à regarder. Et celle que je vais vous raconter aujourd’hui est particulièrement savoureuse…

C’est l’histoire de Sharon Brizinov, un chercheur en sécurité qui a réussi à scanner TOUS les commits “oops” de GitHub depuis 2020 et à trouver pour 25 000 dollars de secrets. Ouais, 25 000 balles en scannant des trucs que les développeurs pensaient avoir supprimés…

Bon, on va pas se mentir, c’est la fournaise dehors. Depuis le 30 juin, on se tape la 50ème canicule nationale depuis 1947, avec des températures qui flirtent avec les 40°C dans le sud. Et pendant ce temps, vous êtes là, devant votre écran, à suer comme des porcs et à essayer de bosser alors que votre cerveau fond comme un Magnum abandonné sur le tableau de bord de votre Clio.

Alors ça, c’est ce qu’on appelle un coup de maître ! Cloudflare vient de lâcher une annonce qui va faire trembler tout l’écosystème de l’IA. Depuis le 1er juillet 2025, l’entreprise bloque par défaut tous les crawlers d’IA qui tentent d’aspirer le contenu des sites qu’elle protège. Il était temps que quelqu’un mette un bon coup de pied dans la fourmilière !

Ainsi, Cloudflare qui gère environ 20% du trafic internet mondial, vient de transformer le modèle “on prend tout et on verra après” en “tu veux scraper ? Tu payes d’abord !”. Matthew Prince, le CEO de Cloudflare, a lâché des chiffres qui font froid dans le dos : pour chaque visite qu’OpenAI renvoie vers un site, ses bots ont crawlé 1700 pages. Chez Anthropic, c’est encore pire : 73 000 crawls pour une visite. C’est du pillage en règle, ni plus ni moins.

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Vous savez ce qui est plus fort qu’un gouvernement qui veut lire vos emails ? Et bien c’est un petit gars de Brooklyn qui code des algorithmes dans son garage et les distribue gratuitement sur Internet.

Bruce Schneier a littéralement cassé le monopole gouvernemental sur la cryptographie forte, et la NSA ne s’en est toujours pas remise. D’ailleurs son histoire explique pourquoi vous pouvez aujourd’hui chiffrer vos données sans demander l’autorisation à qui que ce soit.

Vous connaissez Rust, ce langage de programmation dont tout le monde dit le plus grand bien ? Mais si, c’est celui qui est censé révolutionner la sécurité informatique grâce à sa gestion ultra-safe de la mémoire ?

Bah figurez-vous que les pirates informatiques l’ont aussi compris, et ils s’en servent maintenant pour créer des malwares encore plus vicieux…

Quand Mozilla a pondu Rust y’a quelques années, l’idée était géniale : créer un langage qui éliminerait enfin tous ces bugs de corruption mémoire qui pourrissent la vie des développeurs depuis des décennies. Fini les buffer overflows, les use-after-free et autres joyeusetés qui permettent aux pirates de prendre le contrôle de nos systèmes. En théorie, c’était parfait…

Vous savez ce qu’on fait avec des vieilles disquettes en 2025 ? Bah la plupart du temps, on les balance à la poubelle ou on les utilise comme dessous de verre. Mais Rob Smith, lui, il a eu une idée complètement barrée : il a transformé ses disquettes en jeu vidéo physique ! Et pas n’importe quel jeu puisqu’il s’agit d’un Jeu de la taupe (Whack-a-mole) où au lieu de taper sur des taupes, vous devez remettre des disquettes qui sautent littéralement de leur lecteur.

Salut la compagnie !

Alors que tout le monde se prépare à faire péter les saucisses merguez et à regarder les feux d’artifice, pCloud nous sort une promo qui va faire plus de bruit que tous les pétards du 14 juillet réunis. Le service de stockage cloud suisse (oui, celui qui respecte vraiment votre vie privée) débarque avec des offres complètement folles à savoir jusqu’à -70% sur leurs plans à vie, avec en prime le gestionnaire de mots de passe pCloud Pass Premium offert !

Vous n’en avez peut-être pas conscience, mais c’est le 2 novembre 1988, qu’Internet a perdu son innocence. Ce jour-là, un étudiant de Cornell a lâché dans la nature un programme qui allait mettre à genoux 10% du réseau mondial et changer à jamais notre perception de la sécurité informatique.

Son nom ? Robert Tappan Morris. Et son arme ? Un ver informatique qui porte aujourd’hui son nom.

Alors là, c’est le genre de nouvelle qui fait plaisir ! Canonical vient de rendre Multipass, leur gestionnaire de machines virtuelles Ubuntu, 100% open source. Fini les bouts propriétaires cachés, on peut maintenant fouiller dans absolument tout le code !

Bon, je sais que vous connaissez déjà Multipass. C’est cet outil génial qui vous pond une VM Ubuntu en une seule commande. Super pratique pour tester des trucs sans pourrir votre système principal, ou pour simuler des environnements cloud en local. Mais jusqu’à maintenant, il y avait un hic : une partie du code tournant sur Windows et macOS était encore propriétaire. Et ça, ça faisait grincer des dents dans la communauté.

L’histoire que je vais vous raconter ce matin frôle le ridicule absolu. Un touriste norvégien de 21 ans, Mads Mikkelsen (non, pas l’acteur), s’est fait refouler à la frontière américaine.

Son crime ? Avoir sur son téléphone un mème de JD Vance avec une tête d’œuf chauve. Je répète : UN MÈME D’UN MEC CHAUVE.

Un développeur du nom de Petr Beneš vient de partager une technique absolument brillante pour faire croire à une machine virtuelle qu’elle a un ventilateur CPU. Oui, un ventilo virtuel dans une VM.

Mais pourquoi diable faire ça, vous allez me dire ?

Eh bien figurez-vous que les créateurs de malwares sont devenus super malins ces dernières années. Pour éviter que leurs petites saloperies soient analysées par les chercheurs en sécurité, ils ont développé tout un tas de techniques pour détecter si leur code s’exécute dans une machine virtuelle.

Bon, accrochez-vous bien parce que ce que je vais vous raconter là, c’est du lourd. Des chercheurs britanniques viennent de lancer un projet complètement dingue : créer un génome humain à partir de rien. Genre vraiment à partir de zéro, molécule par molécule. Le truc s’appelle SynHG (Synthetic Human Genome Project) et ils viennent de recevoir 11,7 millions de dollars du Wellcome Trust pour démarrer.

Alors oui, je sais ce que vous pensez. On dirait le début d’un film de science-fiction qui finit mal. Et franchement, vous n’avez pas totalement tort de flipper un peu car jusqu’à maintenant, personne n’osait vraiment se lancer là-dedans à cause des risques évidents : bébés sur mesure, modifications génétiques hasardeuses pour les générations futures, tout ça tout ça.

J’ai une super nouvelle pour vous si vous êtes dev que vous vous intéressez à l’IA générative ! Microsoft vient de sortir une formation complète et gratuite sur son outil GitHub Copilot, et avec les nouvelles fonctionnalités qui débarquent en 2025, c’est le moment ou jamais de s’y mettre.

La formation “Mastering GitHub Copilot for AI Peer Programming” propose donc 10 heures de contenu (en anglais) réparti en plusieurs modules, du niveau débutant jusqu’aux fonctionnalités les plus avancées. Et le timing est parfait parce que GitHub Copilot vient de passer en mode agent, ce qui change complètement la donne. Ce n’est plus d’un simple outil d’autocomplétion mais d’un véritable collègue virtuel qui peut analyser votre base de code, proposer des modifications, exécuter des tests et même corriger ses propres erreurs.

Bon, accrochez-vous bien parce que l’histoire que je vais vous raconter aujourd’hui dépasse tout ce que vous avez vu dans les films de hackers. Imaginez Ocean’s Eleven rencontrant Ghost in the Shell dans un épisode de Black Mirror écrit par Tom Clancy. C’est exactement ce que représente le groupe Lazarus, l’équipe de cybercriminels nord-coréens qui transforme Internet en leur Squid Game personnel depuis plus de 15 ans.

Si les ransomwares étaient des films Marvel, REvil serait clairement du niveau de Thanos dans Avengers. Pas juste un méchant lambda qui veut dominer le monde, mais un stratège qui a construit un empire, recruté des sbires partout sur la planète, et qui a failli réussir à prendre en otage l’économie mondiale. Sauf que contrairement au MCU, cette histoire est bien réelle et s’est terminée par des arrestations spectaculaires. Du délire !

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Si vous pensiez que les pires trolls d’internet étaient sur Twitter, vous n’avez clairement jamais mis les pieds sur 4chan en 2003. C’est pourtant dans ce laboratoire du chaos numérique qu’est né l’un des collectifs les plus redoutables de la planète.

Qui aurait cru qu’un simple protocole d’anonymisation allait engendrer une hydre capable de faire trembler la Scientologie, les banques et même la Russie de Poutine ?