Je suis presque sûr que quand vous devez convertir un document avec des infos sensibles dedans en un joli PDF, vous n’installez rien sur votre ordinateur et vous préférez l’uploader sur un service random de conversion qui va probablement analyser et pomper son contenu ?
Je me trompe ?
C’est vrai que c’est plus rapide de faire confiance aveuglément à des services qui nous demandent notre email, notre carte bleue et notre âme pour simplement fusionner deux PDFs, mais moi, perso, j’aime pas trop ça !
Et apparemment, je ne suis pas le seul puisque des étudiants ont créé LuxPDF une boite à outils grâce à laquelle vos fichiers ne quittent JAMAIS votre ordinateur. Tout se passe dans le navigateur, côté client, y’a pas de serveur, pas d’upload, pas de stockage louche. Comme ça, vos documents restent chez vous, et picétou !
L’histoire derrière ce projet, c’est donc celle de petits jeunes qui devaient constamment convertir des PDFs pour leurs devoirs et leurs projets. Sauf que ces PDFs contenaient leurs noms, des infos financières, des données perso… et les services existants leur demandaient systématiquement de se créer un compte, de payer un abonnement, et tout ça pour des fonctions basiques. Sur Hacker News, ils expliquent qu’ils en ont donc eu super marre de sacrifier leur vie privée juste pour convertir un simple fichier en PDF et que c’est pour ça qu’ils ont codé LuxPDF.
Niveau fonctionnalités, on a donc le droit à 16 outils différents : conversion PDF vers PNG/JPEG/TXT, fusion, division, compression, rotation, suppression de métadonnées (super important pour la vie privée !), retrait de mot de passe, extraction de pages spécifiques…
Bref, tout ce qu’on attend d’une boîte à outils PDF complète. Et contrairement aux concurrents comme ILovePDF ou SmallPDF qui limitent le nombre d’utilisations gratuites ou la taille des fichiers, ici c’est illimité. Votre navigateur est capable d’encaisser l’ouverture d’un PDF de 1000 pages ? Pas de problème alors, LuxPDF le traitera quasi instantanément.
Le projet est totalement open source donc vous pouvez l’installer chez vous ou utiliser le site de LuxPDF surtout que les développeurs sont transparents sur leur modèle économique : pas de pub, pas de tracking, juste des dons volontaires et des sponsors.
Donc voilà, si vous cherchez une alternative éthique aux mastodontes du PDF qui récupère vos données, LuxPDF mérite clairement le détour. C’est gratuit, open source, sans inscription, et vos documents ne quittent jamais votre machine !
Alors permettez moi de me moquer un peu de vous. Ça ne sera pas long.
“Bwaaaahahahahahah !”
Bon, ça fait du bien ! Merci à vous !
D’ailleurs, j’ai une bonne et une mauvaise nouvelle pour vous. La bonne, c’est que vous pouvez maintenant le déverrouiller avec un oignon. La mauvaise, c’est que n’importe qui d’autre peut le faire aussi.
Vous n’y comprenez rien ? Attendez, je vous explique comment tout cela est possible. En fait, la réponse se trouve dans une petite carte électronique Broadcom cachée dans votre laptop, baptisée la ControlVault3. Cette puce de sécurité, censée protéger vos mots de passe et données biométriques, est maintenant une jolie backdoor depuis que Talos y a découvert 5 vulnérabilités critiques affectant potentiellement 30 millions d’appareils.
Le plus inquiétant c’est que ces failles permettent d’installer des malwares qui survivent même à une réinstallation complète de Windows. Vous formatez tout, réinstallez Windows depuis zéro, et le malware est toujours là, bien au chaud dans le firmware.
Techniquement, ce sont donc 5 CVE avec des scores CVSS tous supérieurs à 8.0 (donc “critiques”). Les plus vicieuses sont CVE-2025-25050 (exécution de code arbitraire) et CVE-2025-24919 (désérialisation non sécurisée dans les API Windows). En gros, un attaquant peut prendre le contrôle total du firmware sans même avoir besoin de se connecter à Windows.
Ce scénario d’attaque physique est particulièrement créatif car selon Talos, un attaquant peut ouvrir physiquement le laptop, accéder à la carte USH (Unified Security Hub) via USB avec un connecteur personnalisé, et exploiter les vulnérabilités sans connaître le mot de passe Windows ni celui du chiffrement de disque. Une fois le firmware compromis, l’attaquant peut alors modifier le système pour accepter n’importe quelle empreinte digitale.
Et pour achever Dell, Talos a donc mis en ligne une vidéo où on les voit utiliser un doigt en plastique qui pour être perçu par le lecteur d’empreinte de l’ordinateur, est recouvert d’un oignon (une cébette plus exactement…).
Mais il n’y a pas que l’attaque physique puisqu’un utilisateur Windows non privilégié peut également exploiter la faille de désérialisation (CVE-2025-24919) pour injecter du code dans le firmware ControlVault via les API officielles. Et pas besoin d’être admin, ni d’avoir des outils sophistiqués. Une fois dedans, l’attaquant peut ensuite extraire les clés cryptographiques, installer du code persistant, et maintenir son accès même après un formatage complet.
Les modèles affectés sont principalement les séries Latitude et Precision de Dell, très populaires dans les entreprises, les administrations et même l’industrie de la cybersécurité. Dell a publié l’advisory DSA-2025-053 avec la liste complète des plus de 100 modèles concernés donc si vous avez un Dell ControlVault3 en version antérieure à 5.15.10.14 ou un ControlVault3+ antérieur à 6.2.26.36, vous êtes vulnérable.
Dell a commencé à déployer des correctifs depuis mars 2025, mais les mises à jour firmware arrivent d’abord sur le site de Dell, puis quelques semaines plus tard sur Windows Update. Donc si vous attendez que Windows Update fasse le job, vous n’êtes pas couché… Et surtout, vous restez vulnérable plus longtemps que les autres…
Pour vous protéger en attendant le patch, Talos recommande plusieurs mesures. D’abord, si vous n’utilisez pas le lecteur d’empreintes, le lecteur de cartes à puce ou le NFC, désactivez complètement ControlVault via le gestionnaire de périphériques Windows. Ensuite, activez la détection d’intrusion physique dans le BIOS (si disponible) et Windows Enhanced Sign-in Security (ESS) qui est capable de détecter un firmware ControlVault compromis.
Voilà… ControlVault était censé être une solution de sécurité basée sur le matériel pour protéger vos données sensibles et au lieu de ça, il est devenu le talon d’Achille de millions de laptops.
Et mangez des oignons car en plus de hacker des machines, c’est bon pour la santé !
OpenFoodFacts ? Ça vous parle ? Mais si, je suis sûr que ça vous dit quelque chose… Il s’agit d’une cette application qui permet de mieux comprendre ce qu’on mange. Et surtout, derrière cette interface minimaliste se cache un mouvement collaboratif massif et silencieux qui fait trembler l’industrie alimentaire.
Techniquement, OpenFoodFacts c’est un scanner de code-barres alimentaire gratuit qui vous donne instantanément la liste complète des ingrédients, l’impact carbone du produit, le Nutri-Score que vous connaissez tous ET le NOVA score que personne ne connait. Ce dernier, est crucial car la classification NOVA attribue une note de 1 à 4 selon le degré de transformation des aliments.
Comme vous pouvez le voir, le 4, c’est la zone rouge : les aliments ultra-transformés bourrés d’additifs, colorants, émulsifiants et autres joyeusetés chimiques.
Mais alors pourquoi c’est important ?
Et bien parce que selon une méta-analyse récente de l’École Johns Hopkins, les aliments ultra-transformés augmentent de 50% le risque de mortalité cardiovasculaire et de 48 à 53% les troubles anxieux. Je vous parle pas de petits bobos, hein, je vous parle là de votre espérance de vie. En France, selon France Assos Santé, ces aliments représentent 30 à 35% des calories consommées par les adultes et chez les moins de 18 ans, ça monte à 46%.
Donc si vous achetez des produits bruts et que vous faites la cuisine, vous vivrez plus longtemps (selon les études) que quelqu’un qui mange de la merde industrielle.
Maintenant, ce qui rend OpenFoodFacts unique par rapport aux autres apps du genre c’est d’abord, parce que c’est open source et totalement gratuit. Y’a pas de freemium en mousse, pas d’abonnement premium nuls… non, y’a rien. Et sa base de données dépasse maintenant les 4 millions de produits et est alimentée par plus de 170 000 contributeurs dans le monde. C’est littéralement le Wikipedia de l’alimentation.
D’ailleurs, Yuka qui cartonne avec 25 millions d’utilisateurs en France utilise la même base collaborative qu’OpenFoodFacts. La différence c’est que Yuka ajoute sa propre couche d’analyse et sa stratégie marketing, mais les données de base viennent du projet open source.
Des alternatives comme MyLabel, CodeCheck, ScanUp ou QuelProduit utilisent également cette base OpenFoodFacts. C’est vraiment ce projet français qui alimente tout l’écosystème des apps de nutrition en Europe. Et si le produit n’existe pas dans la base alors vous pouvez l’ajouter en prenant quelques photos. C’est surtout ce côté collaboratif qui fait sa force.
Et on peut même le configurer avec ses préférences alimentaires (vegan, sans gluten, allergies spécifiques…etc) et l’app vous alertera automatiquement si vous scannez un produit incompatible. Comme ça, fini de retourner les emballages dans tous les sens pour chercher la mention “peut contenir des traces de…”.
Au-delà de l’alimentation, le projet s’étend maintenant aux cosmétiques (Open Beauty Facts), à la nourriture pour animaux (Open Pet Food Facts) et même au tracking des prix avec Open Prices. Cette dernière fonctionnalité permet de détecter la shrinkflation, c’est à dire quand les produits rapetissent mais gardent le même prix.
Bref, c’est le genre d’outil que j’aurais aimé avoir il y a 20 ans, non pas pour devenir un parano de la bouffe, mais pour comprendre ce qu’on met dans notre assiette. Parce qu’au final, l**‘information c’est le pouvoir** et ça, les géants de l’agro alimentaire l’ont bien compris !
L’app est dispo sur tous les stores et même en version web si vous voulez tester avant. Votre corps vous remerciera, et vous vivrez plus longtemps pour lire Korben.info tous les jours !
Un grand merci à Guillaume pour m’avoir incité à me replonger dans ce super projet !
Quand un chef de police démissionne subitement, suivi par ses deux adjoints, sans même laisser un petit mot sur l’oreiller, c’est louche… Très louche. Et c’est pourtant c’est ce qui s’est passé à Calgary en avril dernier, soit 17 jours après qu’un commissaire à la vie privée ait forcé la divulgation de documents compromettants. Dans ces papiers on apprend comment la police locale a secrètement dépensé jusqu’à 100 000 dollars par an pour espionner les citoyens sur les réseaux sociaux, tout en jurant publiquement le contraire.
Il faut savoir que là bas, au Canadaaaa, la police utilise officiellement des logiciels de “reconnaissance d’images” commercialisés par les sociétés Meltwater et Talkwalker. Et non pas des logiciels de “reconnaissance faciale”. Ouf, c’est tout bon alors ?
Et bien non, car selon les documents obtenus par Drug Data Decoded, c’est exactement la même chose, mais comme d’hab avec un nom qui fait moins flipper. C’est un peu comme appeler un tank un “véhicule de transport blindé”. C’est techniquement correct, mais y’a “un peu” tromperie sur la marchandise…
Et, vous vous en doutez, cette distinction sémantique n’est pas anodine. En effet, techniquement, la reconnaissance d’images telle qu’elle est vendue par ces entreprises, c’est “la capacité d’un logiciel à reconnaître des lieux, objets, personnes, actions, animaux ou texte depuis une image ou vidéo”.
Oui, vous avez bien lu : “personnes”.
Ce genre d’outil est même capable de pouvoir identifier des célébrités et influenceurs dans les photos, donc on va arrêter de tortiller des fesses : Cette reconnaissance d’images, c’est de la reconnaissance faciale, mais avec un petit costume-cravate pour faire plus respectable.
Et vous savez combien d’agences canadiennes utilisent ces outils ?
Et bien d’après les documents, Meltwater qui fournit cette techno, compte parmi ses clients les polices d’Edmonton, Waterloo, Hamilton, Saskatoon, York, la Sûreté du Québec, la Police provinciale de l’Ontario, et même tous les ministères du gouvernement ontarien.
Mais voilà un sacré retournement de situation qu’on n’attendait pas… un jugement de mai 2025 en Alberta pourrait légitimer le scraping de données et l’entraînement d’IA sur des informations publiques. En effet, le juge a estimé que la définition de “publiquement disponible” était trop restrictive dans le contexte d’Internet et violait la liberté d’expression. Du coup, Clearview AI peut prétendre exercer sa liberté d’expression au travers de son service.
Ce qui m’énerve particulièrement dans toute cette histoire, c’est une fois encore l’hypocrisie. Car en 2020, après s’être fait prendre la main dans le sac, avec Clearview AI, la police de Calgary avait promis de ne jamais utiliser de reconnaissance faciale sur des images qu’ils ne contrôlaient pas.
Et voilà que 2 ans plus tard, ils signent des contrats avec Hootsuite, Meltwater et Talkwalker pour faire exactement ça. Comme on dit, les promesses n’engagent que ceux qui les croient…
Les documents obtenus par Drug Data Decoded montrent surtout qu’ils ont maintenu jusqu’à 100 comptes utilisateurs avec ces entreprises, dont 19 pour des activités “non-investigatives”, probablement pour surveiller ce qu’on dit d’eux sur Twitter (hey coucou les cousins ! 👋).
Voilà… Visiblement, la police au Canada est en roues libres complet avec sa petite surveillance de masse faite maison. C’est quand même assez bizarre dans une démocratie, vous ne trouvez pas ?
Un détail technique qui fait froid dans le dos c’est qu’à part Hootsuite, toutes ces entreprises sont américaines. Et comme vous le savez, sous le Cloud Act US, le gouvernement américain peut forcer ces sociétés à lui fournir l’accès à leurs bases de données. Autrement dit, vos photos Instagram analysées par la police de Calgary pourraient finir dans les serveurs de la NSA. Sympa pour la souveraineté des données canadiennes.
Notez que la police de Calgary a mis 15 mois pour fournir ces documents, après avoir “perdu” la demande initiale et ont même exigé 1 133 dollars pour finalement les rendre public avec de 2 semaines de retard par rapport à la date limite exigée par le commissaire à la vie privée.
Ils n’ont vraiment aucun respect des lois, ces gens là ^^. Surtout que pendant ce temps là, le sommet du G7 à pu se tenir tranquillement… sous surveillance, évidemment.
Ce qui ressort surtout de tout ça, c’est que c’est un système complètement dysfonctionnel où la police fait ce qu’elle veut en jouant sur les mots : “Reconnaissance d’images” au lieu de dire “reconnaissance faciale”, “information open-source” pour parler de vos posts Facebook, “activités non-investigatives” pour du stalking institutionnel. Faudrait quand même pas oublier que les commissaires à la vie privée ont décidé en 2021 que les posts sur les réseaux sociaux ne pouvaient pas être traités comme des données “publiquement disponibles” par les organismes publics. Mais apparemment, comme d’hab, personne n’a reçu le mémo…
Pire, en novembre 2021 toujours, l’UNESCO a adopté sa première norme mondiale sur l’éthique de l’IA, interdisant la surveillance de masse. Et ce qui est drôle, c’est que le Canada fait partie des 193 pays signataires… Je ne sais pas ce que dirait l’UNESCO s’ils apprenaient que Calgary dépense vos impôts pour vous espionner avec des outils qui violent tous ces principes.
Maintenant, pour ceux qui veulent vérifier si la police de Calgary détient des informations sur eux, Drug Data Decoded fournit un formulaire de demande d’accès à vos informations, que vous pouvez envoyer à la police. Et n’oubliez pas de croiser les doigts pour ne pas attendre 15 mois.
Bref, la surveillance policière au Canada c’est zéro transparence, zéro responsabilité, et des jeux de mots constants pour contourner les lois… Ça ne vous chatouille pas un peu les Canadiens ?
Vous savez ce qui m’a le plus questionné dans cette annonce d’OpenAI dont tout le monde parle ? Pas le fait qu’ils offrent ChatGPT Enterprise aux agences fédérales américaines pour 1 dollar. Non, c’est surtout que ça arrive pile poil au moment où la boîte négocie une valorisation à 500 milliards de dollars avec ses investisseurs.
Un dollar contre 500 milliards. Ça vous paraît logique comme calcul ?
À moi non plus.
La réalité, c’est qu’OpenAI vient de jouer l’un des coups les plus brillants de l’histoire de la tech et contrairement à ce qu’on pourrait croire, cette “générosité” n’a rien de charitable. C’est du business pur et dur, orchestré avec une précision chirurgicale. Parce que voyez-vous, OpenAI a déjà empoché un contrat de 200 millions de dollars avec le Département de la Défense en juin dernier. Ils ont alors lancé “OpenAI for Government” et obtenu l’approbation officielle de la GSA (General Services Administration) comme fournisseur agréé pour les agences fédérales. Cette offre à 1 dollar, c’est donc juste la cerise sur le gâteau.
L’astuce (selon moi), c’est qu’ils viennent de transformer le gouvernement américain en client captif. Des milliers de fonctionnaires qui vont s’habituer à utiliser ChatGPT au quotidien, qui vont intégrer l’outil dans leurs workflows, leurs processus, leurs habitudes. Et au bout d’un moment, quand OpenAI reviendra avec un tarif “normal”, croyez-vous que le gouvernement pourra s’en passer et revenir à l’age de pierre ?
C’est exactement la stratégie du dealer qui offre la première dose gratuite.
Mais le plus top moumoute dans toute cette histoire (et vous pouvez me traiter de parano), c’est l’accès aux données que ça leur offre. Parce qu’avec ChatGPT Gov qui permet aux agences d’y injecter des “informations sensibles non-publiques”, OpenAI va avoir une vision privilégiée sur les tendances, les projets, les préoccupations du gouvernement américain. Pas besoin d’espionner quand vos “clients” vous donnent volontairement accès à leurs réflexions stratégiques.
D’un point de vue investisseurs, c’est du caviar. Montrer qu’on a le gouvernement américain dans sa poche, c’est le genre d’argument qui fait monter les valorisations. Surtout quand on sait que les contrats publics, une fois établis, sont rarement remis en question et peuvent durer des décennies.
Au final, cette opération séduction va rapporter bien plus que les quelques millions “perdus” sur cette offre symbolique car entre les futurs contrats gouvernementaux, l’influence réglementaire et la crédibilité que ça apporte face aux investisseurs, ça parle déjà d’un retour sur investissement qui se chiffre en milliards.
OpenAI n’est pas votre ami. OpenAI devient naturellement l’extension technologique d’Oncle Sam et vous verrez, dans quelques années, quand on parlera de dépendance technologique, on citera cette manœuvre comme un cas d’école, j’en suis convaincu !
Vous savez quoi ? Il y a des jours où je me dis que Nintendo fait vraiment tout pour se faire détester. En effet, des speedrunners organisent un événement caritatif pour récolter des fonds pour Médecins Sans Frontières, et Nintendo débarque avec ses avocats pour leur dire “STOP, vous n’avez pas le droit !!! How dare you !?”.
C’est donc le 13 juin dernier que les organisateurs du RTA in Japan ont reçu un petit cadeau de Nintendo : un avertissement leur indiquant que toutes leurs diffusions précédentes constituaient une “utilisation non autorisée” de leurs jeux.
Du coup, pour l’édition été 2025 qui démarre le 9 août, les organisateurs ont préféré jeter l’éponge. Pas le temps de faire toutes les demandes, pas envie de se prendre la tête… résultat, zéro jeu Nintendo au programme. Et on parle du plus gros événement de speedrun du Japon, celui où Super Mario 64 cartonnait systématiquement en termes d’audience. Les speedrunners et les fans sont dépités, et on les comprend.
Les organisateurs du RTA in Japan restent évidemment diplomates et annoncent qu’ils vont désormais faire les demandes pour les prochains événements. Mais franchement, obliger une association caritative à remplir de la paperasse pour chaque jeu Mario ou Zelda qu’ils veulent speedrunner, c’est vraiment un move de connards. Cette entreprise étouffe sa propre communauté sous les procédures administratives, et je trouve ça vraiment moche.
Le pire dans tout ça c’est que Nintendo aurait pu simplement dire “ok, faites vos demandes à partir du prochain événement” au lieu de forcer l’annulation de tous leurs jeux pour cet été. Mais non, il fallait marquer le coup, montrer qui avait les plus grosses coui… euh carapaces. Et dire que pendant ce temps, Games Done Quick aux États-Unis continue de speedrunner des jeux Nintendo sans problème grâce aux exceptions de fair use du droit américain.
Comme quoi, le problème n’est pas le speedrun en lui-même, mais bien l’obsession maladive de Nintendo pour le contrôle de sa propriété intellectuelle.
Alors oui, Nintendo a légalement le droit de faire ça. Mais avoir le droit ne veut pas dire que c’est intelligent. Bloquer un événement caritatif qui met en valeur vos jeux et génère de l’engagement communautaire positif, c’est vraiment se tirer une balle dans le pied niveau relations publiques, je trouve.
Bref, les speedrunners continueront à jouer, les donations iront toujours à Médecins Sans Frontières, mais l’image de Nintendo vient d’en prendre encore un coup. Et ça, aucune autorisation ne pourra le réparer.
Vous avez une Ioniq 5 et vous utilisez déjà sunnypilot sur votre boitier Comma ?
Alors j’ai une bonne nouvelle pour vous, parce que la communauté vient de passer un cap monumental avec la branche hkg-angle-steering-2025. Si vous trouviez que votre volant tremblait comme un chihuahua nerveux à basse vitesse, et bien maintenant, vous savez que c’est de l’histoire ancienne.
Pour comprendre pourquoi c’est chouette, il faut saisir la différence entre le contrôle par couple (torque control) et le contrôle par angle (angle control). En gros c’est comme pousser quelqu’un dans la bonne direction (couple) ou lui dire exactement où poser ses pieds (angle). Le premier est approximatif et demande des ajustements constants, le second est chirurgical. C’est donc ce qui se passe avec cette mise à jour.
Jusqu’à présent, la plupart des véhicules sous openpilot et sunnypilot utilisaient le contrôle par couple. Le système envoyait des commandes de force au volant, un peu comme si un copilote invisible tournait le volant avec ses mains. Ça fonctionne, mais sur les Ioniq 5 et autres véhicules Hyundai / Kia récents équipés du système LFA2, ça créait ces fameux tremblements à basse vitesse. Les micro-oscillations du modèle de conduite étaient traduites trop rapidement en mouvements du volant.
DevTekVE, l’un des développeurs clés de cette branche, a donc planché sur l’implémentation du contrôle par angle spécifiquement pour les véhicules HKG (Hyundai-Kia-Genesis). Ainsi au lieu d’appliquer une force, le système dit maintenant directement au volant : “mets-toi à 15,3 degrés”. C’est d’une précision redoutable. Plus de tremblements, plus d’hésitations, juste une trajectoire fluide comme du beurre dans vos cheveux au mois d’août.
La communauté sunnypilot est particulièrement active sur ce sujet et sur leur Discord (qui compte plusieurs milliers de membres actifs) et les retours des premiers testeurs sont top ! Attention quand même car ce dont je vous parle là, c’est pas de la beta, c’est même pas de l’alpha, c’est totalement expérimental ! Donc je vous conseille vraiment d’attendre encore un peu avant de vous y mettre. Au moins d’attendre que cette branche soit mergée dans la version stable de sunnypilot et/ou openpilot.
Toutefois, cette avancée technique n’est pas qu’un simple confort. Elle représente un bond en avant pour la sécurité et la confiance dans le système car quand votre volant a la tremblote, vous avez tendance à reprendre le contrôle par réflexe. Avec l’angle steering, la conduite est tellement fluide que vous pouvez vraiment rester vigilant sans plus jamais être déconcentré par les mouvements de votre volant.
Le travail sur cette branche montre aussi la force de l’open source dans l’automobile dont je vous parlais la dernière fois. Pour les Ioniq 5 équipées du HDA2 (Highway Driving Assist 2), c’est donc particulièrement intéressant car le système peut gérer le contrôle latéral (direction) de manière bien plus précise, même si le contrôle longitudinal (accélération/freinage) reste encore géré par le système d’origine (excellent au demeurant) du véhicule dans la plupart des cas.
L’installation nécessite toujours un Comma 3X et le harnais adapté, mais pour ceux qui ont déjà fait le pas, la mise à jour vers cette branche est gratuite. Il suffit de changer l’URL d’installation vers la branche spécifique depuis l’interface du Comma.
Dans la vidéo ci-dessous, cette version n’utilise pas le contrôle par angle, mais c’est pour vous montrer ce que ça donne.
Voilà… on en n’est qu’au début car les développeurs travaillent déjà sur l’intégration de cette fonctionnalité pour d’autres modèles Hyundai et Kia. Les Genesis GV70, Kia EV6 et même les nouveaux modèles 2025 pourraient bientôt bénéficier de ces améliorations.
Voici aujourd’hui, l’histoire du groupe de hackers le plus mystérieux et le plus dévastateur de la décennie. Les Shadow Brokers. C’est le nom qu’ils se sont donné, probablement en référence au personnage de Mass Effect qui trafique de l’information au plus offrant, sauf qu’eux, ils n’ont pas volé n’importe quelle information, non. Ils ont réussi l’impossible : pirater la NSA, l’agence de renseignement la plus puissante du monde.
Entre août 2016 et juillet 2017, ils ont ainsi méthodiquement déversé sur Internet l’arsenal cyber secret de l’Amérique, déclenchant au passage WannaCry et NotPetya, des ransomwares qui ont causé des milliards de dollars de dégâts.
Et le pire c’est que personne ne sait vraiment qui ils sont.
C’est le 13 août 2016, une nuit d’été humide dans le Maryland. Pendant que l’Amérique débat de Clinton contre Trump, un événement sismique se déroule discrètement sur Internet. Un message bizarre, écrit dans un anglais tout pété presque ridiculement comique, vient d’apparaître sur GitHub et Pastebin. Au premier coup d’œil, ça ressemble à une blague, peut-être un troll cherchant l’attention, mais pour le petit cercle des experts en cybersécurité qui le lisent, c’est l’équivalent numérique d’une bombe atomique : la NSA vient d’être piratée.
Le message commence ainsi : “!!! Attention government sponsors of cyber warfare and those who profit from it !!!! How much you pay for enemies cyber weapons?” Les Shadow Brokers viennent de faire leur entrée sur la scène mondiale, et ils n’arrivent pas les mains vides. Ils prétendent avoir volé des cyberarmes à l’Equation Group, le nom de code donné par Kaspersky Lab au groupe de hackers d’élite de la NSA. Et pour prouver leurs dires, ils font quelque chose d’inédit : ils mettent une partie du butin en libre accès.
Les fichiers téléchargeables pèsent environ 300 mégaoctets ce qui n’est pas grand-chose en apparence, mais quand les chercheurs en sécurité commencent à analyser le contenu, leur sang se glace. C’est authentique. Des exploits zero-day, des payloads sophistiqués, des outils d’intrusion qui portent la signature indéniable de la NSA. EXTRABACON, un exploit contre les pare-feu Cisco ASA capable de prendre le contrôle à distance. EPICBANANA et JETPLOW, des backdoors pour différents systèmes. Des noms de code typiques de l’agence, cette obsession des fruits et des références loufoques que seuls les initiés connaissent.
Petite précision technique au passage, EXTRABACON exploite la CVE-2016-6366, une vulnérabilité zero-day dans le code SNMP des pare-feu Cisco qui permet l’exécution de code arbitraire sans authentification. EPICBANANA quand à lui, utilise la CVE-2016-6367, nécessite un accès SSH ou Telnet, mais permet ensuite une persistance totale. Et JETPLOW ? C’est tout simplement la version stéroïdée d’EPICBANANA, une backdoor firmware persistante que même un reboot ne peut pas virer.
Mais les Shadow Brokers ne s’arrêtent pas là en annonçant détenir bien plus : un fichier chiffré contenant “les meilleures cyberarmes” de la NSA, disponible au plus offrant. Le prix ? Un million de bitcoins, soit environ 568 millions de dollars à l’époque. Une somme astronomique qui suggère soit une méconnaissance totale du marché, soit un objectif autre que l’argent. “We auction best files to highest bidder. Auction files better than stuxnet,” promettent-ils avec leur anglais approximatif caractéristique.
Aujourd’hui, l’identité des Shadow Brokers reste encore l’un des plus grands mystères du monde cyber. Leur mauvais anglais suggère des locuteurs russes essayant de masquer leur origine. Des phrases comme “TheShadowBrokers is wanting that someone is deciding” ou “Is being like a global cyber arms race” sont grammaticalement douloureuses mais est-ce une tentative délibérée de brouiller les pistes ? Matt Suiche, expert en sécurité qui analyse leurs communications de près, pense que oui : “Le langage était probablement une tactique d’OpSec pour obscurcir les vraies identités des Shadow Brokers.”
Edward Snowden est évidemment l’un des premiers à réagir publiquement. Le 16 août 2016, il tweete : “Les preuves circonstancielles et la sagesse conventionnelle indiquent une responsabilité russe.” et pour lui, c’est un avertissement, une façon pour Moscou de dire à Washington : “Nous savons ce que vous faites, et nous pouvons le prouver.” Le timing est d’ailleurs suspect car on est 3 mois avant l’élection présidentielle américaine, juste après le hack du Parti Démocrate attribué à la Russie. Coïncidence ? C’est peu probable…
Mais d’autres théories émergent rapidement. James Bamford, journaliste spécialiste de la NSA, penche pour un insider, “possiblement quelqu’un assigné aux Tailored Access Operations hautement sensibles”. Puis en octobre 2016, le Washington Post révèle que Harold T. Martin III, un contracteur de Booz Allen Hamilton, est le suspect principal.
Alors là, prenez une grande inspiration avant de poursuivre votre lecture car l’histoire de Harold Martin, c’est du délire. Le mec travaille pour Booz Allen Hamilton (oui, la même boîte qu’Edward Snowden), est assigné à la NSA de 2012 à 2015, et bosse effectivement avec les Tailored Access Operations. Quand le FBI débarque chez lui en août 2016, ils découvrent… 50 téraoctets de données classifiées. C’est l’équivalent de millions de documents, qu’ils trouvent bien planqués dans sa baraque, mais aussi dans un abri de jardin non verrouillé, et même dans sa bagnole.
Le FBI pense alors tenir leur homme. Équipe SWAT, barrages routiers, porte défoncée au bélier, grenades flashbang… Ils sortent le grand jeu pour arrêter Martin, sauf que voilà, petit problème : les Shadow Brokers continuent à poster des messages cryptographiquement signés pendant que Martin croupit en taule. En 2019, il écope de neuf ans de prison, mais les procureurs confirment qu’aucune des données qu’il avait volées n’a été divulguée. L’identité des Shadow Brokers reste donc un mystère.
David Aitel, ancien de la NSA, résume parfaitement la situation telle qu’elle était en 2019 : “Je ne sais pas si quelqu’un sait, à part les Russes. Et on ne sait même pas si ce sont les Russes.” Matt Suiche, lui, a une théorie différente car pour lui, les Shadow Brokers sont des insiders américains mécontents, peut-être des contractuels du renseignement frustrés. Les indices c’est surtout leur connaissance intime de TAO, leurs références culturelles américaines, et leur timing politique…
Et le 31 octobre 2016, juste avant Halloween, les Shadow Brokers frappent à nouveau. Cette fois, ils publient une liste de serveurs prétendument compromis par l’Equation Group, accompagnée de références à sept outils jusqu’alors inconnus : DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK et STOICSURGEON. La communauté de la cybersécurité découvre alors l’ampleur de l’arsenal de la NSA. Chaque nom de code représente des années de développement, des millions de dollars investis, des capacités offensives soigneusement gardées secrètes.
L’enchère Bitcoin, pendant ce temps, est un échec total. Quelques plaisantins envoient des fractions de bitcoin (genre 0.001 BTC, les comiques), mais personne ne tente sérieusement d’atteindre le million demandé. Les Shadow Brokers semblent déçus mais pas surpris. En janvier 2017, ils changent alors de stratégie : “TheShadowBrokers is trying auction. Peoples no like auction, auction no work. Now TheShadowBrokers is trying direct sales.”
Du coup, ils créent une boutique en ligne sur le dark web, catégorisant leurs marchandises comme un vrai e-commerce du crime : “Exploits”, “Trojans”, “Payloads”. Les prix vont de 1 à 100 bitcoins selon la sophistication de l’outil. C’est surréaliste. Les cyberarmes les plus dangereuses de la planète sont en vente comme des t-shirts sur Amazon. Un exploit pour compromettre un serveur Linux ? 10 bitcoins. Un implant pour espionner les communications ? 50 bitcoins. Le menu est à la carte.
Mais le véritable tournant arrive le 8 avril 2017. Dans un post Medium intitulé “Don’t Forget Your Base”, les Shadow Brokers lâchent une bombe et révèlent le mot de passe pour déchiffrer le fichier mystérieux publié huit mois plus tôt : “CrDj”(;Va.*NdlnzB9M?@K2)#>deB7mN". Un mot de passe de 32 caractères qui va changer les choses.
Le timing est tout sauf innocent car le post fait explicitement référence à l’attaque de Trump contre une base aérienne syrienne le 7 avril, utilisée aussi par les forces russes. “Respectfully, what we do not agree with is abandoning ‘your base’, double dealing, saying one thing and doing another,” écrivent les Shadow Brokers. Le message est clair : vous nous avez trahis, voici les conséquences.
Et ce que contient ce fichier dépasse les pires cauchemars de la NSA. Des dizaines d’exploits zero-day, des payloads sophistiqués, des outils de surveillance massive, mais le plus dévastateur s’appelle EternalBlue. Il s’agit d’un exploit contre le protocole SMB de Windows qui permet de prendre le contrôle total d’une machine à distance. Microsoft a secrètement patché la vulnérabilité MS17-010 en mars 2017, un mois avant la révélation, suggérant que la NSA a prévenu l’entreprise mais des millions de systèmes restent vulnérables.
Et le 14 avril 2017, c’est l’apocalypse. Les Shadow Brokers publient leur dump le plus massif, baptisé “Lost in Translation”. FUZZBUNCH, une plateforme d’exploitation comparable à Metasploit mais développée par la NSA, un véritable framework pour charger des exploits sur les systèmes cibles. DARKPULSAR, ETERNALROMANCE, ETERNALSYNERGY, ETERNALCHAMPION… La liste semble interminable. Mais c’est ETERNALBLUE qui va entrer dans l’histoire.
Petite parenthèse technique quand même, DoublePulsar, c’est le complément parfait d’EternalBlue. Une backdoor kernel ultra-furtive qui ne crée aucun nouveau port, se cache dans les appels SMB non implémentés, et répond avec STATUS_NOT_IMPLEMENTED pour rester invisible. FUZZBUNCH quand à lui permet d’uploader des exécutables directement dans DoublePulsar via SMB. Bref, le combo mortel.
Les experts sont une nouvelle fois sous le choc. Nicholas Weaver écrit sur le blog Lawfare : “Ceci pourrait bien être le dump le plus dommageable contre la NSA à ce jour, et c’est sans aucun doute la révélation la plus désastreuse post-Snowden.” Jake Williams, fondateur de Rendition Security et ancien de la NSA, est encore plus direct : “C’est un putain de désastre.”
Les révélations incluent aussi la preuve que la NSA a compromis le système SWIFT, le réseau bancaire international. Les Shadow Brokers montrent ainsi que l’agence a infiltré EastNets, un bureau de service SWIFT gérant les transactions bancaires au Moyen-Orient et si c’est vrai, la NSA peut théoriquement surveiller, voire manipuler, les transferts financiers internationaux. Bref, les implications sont vertigineuses.
Moins d’un mois plus tard, le 12 mai 2017, le monde découvre alors le vrai prix de ces révélations. WannaCry, un ransomware utilisant EternalBlue (et DoublePulsar pour la persistance), se propage comme une traînée de poudre. En quelques heures, plus de 200 000 ordinateurs dans 150 pays sont infectés à une vitesse hallucinante de 10 000 machines par heure.
Et là, bonjour les dégâts ! Le National Health Service britannique ? Complètement paralysé soit 81 hôpitaux sur 236 touchés, 19 000 rendez-vous annulés, 1 100 admissions aux urgences en moins, des opérations reportées. Le coût pour le NHS ? 92 millions de livres sterling (20 millions en perte d’activité, 72 millions pour restaurer les systèmes). Des patients ne peuvent pas recevoir leurs traitements à temps, des services d’urgence doivent fonctionner à l’aveugle. Des IRM, des frigos pour stocker le sang, des équipements de bloc opératoire… 70 000 appareils touchés au total.
Mais WannaCry n’est que l’apéritif car le 27 juin 2017, NotPetya frappe, utilisant encore EternalBlue mais cette fois avec une particularité : ce n’est pas vraiment un ransomware. C’est une arme de destruction déguisée en ransomware. Même si vous payez, vos fichiers sont perdus pour toujours. L’adresse email pour récupérer la clé de déchiffrement est bloquée par le provider dans l’heure. C’est conçu pour détruire, pas pour extorquer.
NotPetya cause ainsi plus de 10 milliards de dollars de dégâts. Maersk, le géant du transport maritime danois subit 300 millions de pertes, 4 000 serveurs et 45 000 PC à reconstruire, 17 terminaux portuaires paralysés pendant des jours. FedEx via sa filiale TNT Express ? 300 à 400 millions. Merck Pharmaceuticals ? 870 millions de dollars après que 15 000 de leurs machines Windows sont détruites. En 90 secondes. Oui, c’est le temps qu’il a fallu pour mettre à genoux une des plus grandes entreprises pharmaceutiques du monde.
Et pendant ce chaos planétaire, les Shadow Brokers continuent leur étrange performance. En juin 2017, ils menacent de révéler l’identité d’un ancien employé de TAO qu’ils surnomment “Doctor”. “’Doctor’ person is writing ugly tweets to theshadowbrokers,” écrivent-ils. “TheShadowBrokers is thinking ‘doctor’ person is former EquationGroup developer who built many tools and hacked organization in China.”
La menace est sans précédent et révéler l’identité d’agents de renseignement et leurs opérations spécifiques, c’est franchir une nouvelle ligne rouge. Jake Williams avertit : “Publier ces données menacera la sécurité (et la liberté) d’anciens opérateurs de TAO voyageant à l’étranger.” Le “Doctor” en question, paniqué, finit par se doxxer lui-même le 29 juin pour “protéger les innocents”, niant être un employé de la NSA. Évidemment, personne ne le croit.
Les Shadow Brokers semblent avoir une vraie connaissance intime de TAO car ils connaissent les surnoms, les projets, les personnes… Dans un de leurs messages, ils prétendent même avoir fait partie du “Deep State” américain.
“TheShadowBrokers is being like the Oracle of the Matrix. TheShadowBrokers is not being the Architect,” écrivent-ils, dans une référence geek qui fait écho à leur nom emprunté à Mass Effect.
Leur dernier message public date de juillet 2017. Ils annoncent un service d’abonnement mensuel où pour 400 Zcash (une cryptomonnaie axée sur la confidentialité), vous pouvez devenir VIP et recevoir chaque mois de nouveaux exploits de la NSA. “Is being like wine of month club,” plaisantent-ils. “Each month peoples can be paying membership fee, then getting members only data dump each month.”
Puis, silence radio. Les Shadow Brokers disparaissent aussi mystérieusement qu’ils sont apparus. Ont-ils été arrêtés ? Ont-ils décidé qu’ils en en avaient fait assez ? Ont-ils été éliminés ? Personne ne le sait. Leur compte Twitter @shadowbrokerss reste muet, leur blog Medium n’est plus mis à jour et leur compte Steemit, pareil. Comme leur homonyme dans Mass Effect, ils s’évanouissent dans l’ombre.
Mais l’impact des Shadow Brokers sur la cybersécurité mondiale est difficile à surestimer car ils ont vraiment exposé la vulnérabilité fondamentale de l’accumulation d’armes cyber, qui peuvent être volées et retournées contre ceux qui les ont créées. Ils ont ainsi forcé un gros débat sur la responsabilité des agences de renseignement dans la découverte et la non-divulgation de vulnérabilités zero-day. D’ailleurs, combien de WannaCry et NotPetya dorment encore dans les serveurs de la NSA, de la DGSE, du FSB, du MSS chinois ?
Brad Smith, président de Microsoft, a même publié un plaidoyer passionné après WannaCry : “Les gouvernements du monde devraient traiter cette attaque comme un signal d’alarme. Un équivalent conventionnel de cet événement serait l’armée américaine se faisant voler des missiles Tomahawk.” Il appelle à une “Convention de Genève numérique” pour limiter la cyberguerre. 8 ans plus tard, on l’attend toujours. Comme d’habitude, les gouvernements s’en foutent.
Toutefois, les théories sur l’identité des Shadow Brokers continuent de proliférer. Insiders, hackers russe… Il y a même une théorie marginale mais fascinante qui suggère que c’est la NSA elle-même, brûlant des outils compromis de manière contrôlée pour éviter qu’ils ne soient utilisés contre eux.
En 2025, près d’une décennie après leur apparition, l’ombre des Shadow Brokers plane toujours. Les exploits qu’ils ont révélés circulent encore et des variantes d’EternalBlue sont toujours utilisées dans des attaques.
En tout cas, quand je vois qu’une nouvelle vulnérabilité zero-day a été patchée, je me demande toujours qui d’autre la connaissait avant et l’utilisait…
Vous vous souvenez de cette époque bénie où on soufflait dans les cartouches Game Boy pour les faire fonctionner ? Bon, ça ne servait pas à grand chose mais on le faisait quand même. C’était le bon vieux temps et aujourd’hui, je vous propose qu’on se replonge ensemble dans tout cela, grâce à un projet absolument fascinant.
Allison Parrish, une développeuse et poétesse (oui, ça existe !), vient de publier un guide technique monumental sur comment créer vos propres cartouches Game Boy avec un microcontrôleur RP2040.
Après plusieurs années de recherche acharnée, elle a non seulement réussi à créer sa propre cartouche bootleg fonctionnelle, mais elle partage absolument TOUT dans un article fleuve qui devrait ravir les fans de hardware rétro. Et quand je dis tout, c’est vraiment tout : du fonctionnement des bus de données aux memory bank controllers, en passant par les subtilités du chip select et les joies du bus contention (C’est quand deux puces essaient d’écrire sur le même bus, et que ça fait des étincelles, littéralement).
Ce qui rend ce projet particulièrement sympa, c’est l’utilisation du RP2040 (lien affilié), le microcontrôleur du Raspberry Pi. Allison exploite à fond ses fonctionnalités PIO (Programmable I/O) pour créer une interface parfaite avec le hardware vintage de la Game Boy. Les 8 machines d’état PIO agissent alors comme des mini co-processeurs dédiés aux opérations d’entrée/sortie, détectant automatiquement quand la cartouche doit transmettre ou recevoir des données.
Son guide commence par les bases.. qu’est-ce qu’un bus parallèle, comment fonctionne l’edge connector avec ses 32 broches dorées, puis monte progressivement en complexité. Vous apprendrez par exemple que la Game Boy utilise les pins A15, A14 et A13 de son bus d’adresse pour sélectionner intelligemment quel chip mémoire doit être actif. Smarty, non ? Ça évite que la ROM, la RAM interne et la RAM de cartouche ne se battent pour contrôler le bus de données.
Parlons également un peu des MBC (Memory Bank Controllers), ces petites puces magiques qui permettent aux jeux d’accéder à plus de 32KB de ROM. Allison se concentre sur le MBC5, capable de gérer jusqu’à 8MB de ROM et 128KB de RAM. Elle explique comment ces contrôleurs utilisent une technique de “bank switching” pour contourner les limitations d’adressage 16 bits de la Game Boy. C’est grâce à ça que des jeux comme Pokémon pouvaient avoir des mondes aussi vastes !
D’ailleurs, la preuve que ça fonctionne, c’est Sebastian Quilitz qui a sorti en août 2024 une cartouche commerciale basée sur le RP2040 qui utilise ces 12 canaux DMA et les 8 machines d’état PIO. Avec 16MB de flash, elle peut stocker plusieurs ROMs et propose même un bootloader pour choisir son jeu. La gestion des sauvegardes se fait via WebUSB (fini les piles bouton qui fuient après 20 ans) ! Par contre, attention à la consommation car le RP2040 overclocké pompe plus que les cartouches originales, ce qui peut poser problème avec les veilles alim des Game Boy d’origine.
Et Allison ne s’est pas arrêtée à la théorie puisqu’elle a créé des projets complètement barrés comme un thérémine optique Game Boy ! En connectant une photorésistance à sa cartouche custom via un breadboard, elle transforme la console en instrument de musique contrôlé par les mouvements de la main. Le RP2040 peut lire ET écrire sur le bus de données, ouvrant des possibilités créatives infinies.
Pour les aspects techniques pointus, le guide détaille des concepts comme le bus contention (quand deux composants essaient d’écrire simultanément sur le bus, créant un court-circuit comme je vous le disais un peu plus haut), la différence entre bus parallèle et série, ou encore pourquoi la Game Boy n’a pas vraiment d’OS mais juste un bootloader minuscule en ROM. Allison explique même pourquoi à l’époque, distribuer un jeu Game Boy revenait à distribuer du hardware car chaque cartouche contenait les puces mémoire nécessaires au fonctionnement du jeu.
Ce qui est génial avec ce projet, c’est qu’il utilise uniquement des composants disponibles dans le commerce. Pas besoin de cannibaliser de vieilles cartouches pour récupérer des puces introuvables ! Allison utilise de la vraie mémoire flash parallèle pour la ROM et de la vraie SRAM parallèle, ce qui évite les problèmes de timing qu’on peut avoir avec des solutions émulées.
Pour ceux qui veulent se lancer, tout est open source : les schémas PCB, le firmware, les exemples de code. Le design est pensé pour être “extrêmement hackable” selon les propres mots d’Allison. Vous pouvez même faire communiquer le Game Boy avec des périphériques modernes, ajouter des capteurs, créer des extensions hardware custom… Les possibilités sont vertigineuses.
Allison insiste aussi sur le fait que la Game Boy est une plateforme idéale pour le hacking hardware. Simple, bien documentée, pas de protection anti-copie, plus de 100 millions d’unités vendues, et une communauté toujours active qui sort encore des jeux en 2025. Sans compter les nombreux outils de développement modernes comme GBDK pour le C ou GB Studio pour la programmation visuelle.
Voilà, donc si vous êtes du genre à aimer comprendre comment les choses fonctionnent vraiment, ce guide est une mine d’or. Pour les plus motivés, les fichiers du projet ABC (Allison’s Bootleg Cart) sont disponibles sur son dépôt Git. Et si vous préférez acheter une cartouche toute faite, celle de Sebastian Quilitz est dispo sur Tindie et RetroReiz.
Prendre une console de 1989, la comprendre jusqu’au moindre transistor, et lui greffer un nouveau cerveau pour créer des trucs impossibles à l’époque… C’est quand même beau je trouve, non ?
Il y a plusieurs mois, j’ai pris une décision qui peut paraître contre-intuitive pour quelqu’un qui vit du web : j’ai arrêté de partager mes articles sur les réseaux sociaux. Facebook, Twitter, Bluesky, Mastodon… Terminé. Et vous savez quoi ? Je respire enfin.
Cette décision, elle ne s’est pas prise du jour au lendemain. Elle est le fruit d’une longue réflexion sur ce que je fais, pourquoi je le fais, et surtout pour qui je le fais. Quand j’écris, c’est d’abord pour vous, mes lecteurs. Ceux qui prennent le temps de venir sur Korben.info, qui parcourent les articles, qui lisent ce qui les intéresse et qui zappent le reste sans faire de drama. C’est aussi pour moi, parce qu’écrire c’est ma façon de partager, de transmettre, de rester connecté à cette passion qui m’anime depuis des années.
Mais voilà, les réseaux sociaux ont transformé tout ça en quelque chose de malsain. Bien sûr, partager sur ces plateformes apporte de la visibilité. Les chiffres grimpent, les metrics s’affolent, et on pourrait croire que c’est ça le succès. Sauf que cette audience, elle est pourrie. Oui, pourrie et je pèse mes mots.
Sur les réseaux, on se retrouve face à une foule coincée dans une espèce de surenchère permanente. Des petites communautés qui réclament du sang chaque jour, qui cherchent le drama, le clash, la polémique. Des gens dont l’ego surdimensionné a besoin d’être nourri en permanence par des likes, des RT, des réactions. Et puis il y a ce manque de temps chronique qui les oblige à réagir vite, trop vite. Ils lisent en diagonale quand ils lisent, mais la plupart du temps ils se contentent du titre et foncent tête baissée pour vomir leur bile.
Le résultat ce sont des insultes, des incompréhensions, de la bêtise crasse et toutes les formes de violence verbale imaginables. J’ai vu des articles de fond, des analyses qui m’avaient pris des heures à écrire et à peaufiner, se faire déchiqueter en deux secondes par des types qui n’avaient même pas cliqué sur le lien. Des jugements à l’emporte-pièce, des procès d’intention, des attaques personnelles basées sur rien.
C’est donner en pâture à des clébards hargneux quelque chose de construit, de réfléchi (ou pas, si j’ai mal dormi ^^), qui demande du temps pour être écrit et surtout pour être lu. Ces gens ne vous connaissent pas, ne vous lisent pas vraiment, mais ils pensent avoir cerné qui vous êtes en deux secondes. Ils se construisent une image mentale de vous à partir de leur univers intérieur complètement claqué et obscur, et hop, le jugement tombe. Définitif. Implacable. Et complètement à côté de la plaque.
J’ai longtemps cru que c’était le prix à payer pour toucher plus de monde. Que c’était normal, que ça faisait partie du jeu. Mais non. Ce n’est pas normal de subir chaque jour ces cyber-toxicos accros à leur klout et aux petites phrases assassines. Ces gens qui passent leur vie à scruter leurs notifications, à compter leurs followers, à mesurer leur influence.
Alors j’ai dit stop. J’ai arrêté de nourrir la bête. Plus de partage, plus de liens balancés dans l’arène. Fini.
Est-ce que ça me fait moins de trafic sur le site ? Oui, c’est indéniable. Les chiffres ont baissé. Mais vous savez quoi ? La qualité de mon lectorat s’est améliorée. Aujourd’hui, quand j’écris, c’est pour des gens qui savent lire. Des gens qui prennent le temps. Des gens qui comprennent la nuance, qui apprécient l’effort, qui aiment vraiment la tech et pas juste le drama qui l’entoure. Dans le même esprit, j’ai même retiré les pubs programmatiques en espérant un jour compter uniquement sur mon Patreon pour faire vivre ce site.
Ces lecteurs-là, ils viennent directement sur le site. Ils ont leurs habitudes, leurs marque-pages, leurs flux RSS (abonnez-vous !!) peut-être. Ils ne sont pas là par hasard parce qu’un algorithme leur a collé mon article sous le nez entre deux vidéos de chats et trois polémiques du jour. Ils sont là par choix, par intérêt authentique.
A ces gens là, je dis MERCI ! Et moi, j’écris mieux depuis. Sans cette épée de Damoclès au-dessus de la tête, sans me demander comment telle phrase va être détournée, comment tel paragraphe va être sorti de son contexte pour faire le buzz. J’écris librement, authentiquement, pour les bonnes raisons, comme avant.
Cette décision, c’est aussi un acte de résistance contre cette économie de l’attention qui nous bouffe tous. Cette course aux metrics qui transforme tout en contenu jetable, en fast-food intellectuel qu’on consomme et qu’on oublie dans la seconde. Mes articles ne sont pas des tweets de 280 caractères. Ce sont des analyses, des tests, des tutos, des découvertes qui méritent mieux que d’être jugées en deux secondes par quelqu’un qui a lu trois mots en scrollant.
Je ne dis pas que tous les gens sur les réseaux sociaux sont toxiques. Il y a évidemment des communautés formidables, des échanges enrichissants, des découvertes magnifiques. Mais le ratio signal/bruit est devenu insupportable. Pour un commentaire constructif, combien de haine gratuite ? Pour une vraie discussion, combien de trolls ? Et croyez moi, c’est la même merde sur Bluesky, Mastodon, X, Facebook…etc.
Bref, non merci. Je préfère mille fois avoir moins de lecteurs mais de vrais lecteurs. Des gens qui viennent pour le contenu, pas pour le spectacle. Des gens qui lisent vraiment, qui réfléchissent, qui parfois ne sont pas d’accord mais qui savent l’exprimer avec intelligence et respect (du genre qui savent m’envoyer un email pour discuter et exposer leurs arguments plutôt que de se faire mousser devant leur communauté de canards ^^).
Voilà, cette décision de retirer des réseaux sociaux mes articles, c’est finalement un retour aux sources. Un retour à ce pourquoi j’ai commencé ce blog il y a des années : partager ma passion, découvrir des trucs cool, analyser les tendances tech, et échanger avec des gens qui partagent ces centres d’intérêt.
Les réseaux sociaux ont leur utilité, je ne dis pas le contraire mais pour le contenu long, pour les articles de fond, pour tout ce qui demande un minimum d’attention et de réflexion, ils sont devenus toxiques. Ils ont transformé le débat en combat, la discussion en confrontation, l’échange en agression. Alors maintenant, mes articles attendent patiemment leurs lecteurs, ceux qui font l’effort de venir, ceux qui prennent le temps de lire, ceux qui apprécient le travail fourni même quand ils ne sont pas d’accord avec tout.
Donc si vous lisez ces lignes, c’est que vous faites partie de ces lecteurs qui comptent vraiment. Ceux qui ne sont pas arrivés ici par hasard mais par choix. Et c’est pour vous que je continuerai à écrire, loin du bruit et de la fureur des réseaux sociaux.
Ceci est un truc qui pourrait bien vous intéresser surtout si vous implémentez de la synthèse vocale dans vos projets… Kitten TTS, c’est son petit nom, est un modèle qui fait seulement 25MB et qui est capable de générer de la voix de qualité professionnelle sur n’importe quelle machine, même votre vieux Raspberry Pi qui prend la poussière dans un tiroir.
Le créateur, Divam Gupta de KittenML, l’a sorti hier, et avec ses 15 millions de paramètres (c’est rien du tout comparé aux monstres habituels), Kitten TTS arrive à produire 8 voix différentes (4 féminines et 4 masculines) toutes expressives et naturelles. Le tout sans GPU, juste avec votre bon vieux processeur. C’est mieux que de la magie noire.
Pour comprendre à quel point c’est cool, faut savoir que jusqu’à maintenant, si vous vouliez de la synthèse vocale correcte, vous aviez deux options. Soit vous utilisiez des services cloud comme ceux d’Amazon ou Google (bonjour la latence et les frais), soit vous installiez des modèles énormes qui demandaient une RTX 4090 pour tourner correctement. Piper TTS était déjà pas mal dans le genre léger, mais Kitten TTS est encore plus petit et plus expressif. On parle d’un RTF (Real-Time Factor) de 0.73, ce qui veut dire que ça génère l’audio plus vite que le temps réel.
Le truc vraiment bien, c’est que c’est sous licence Apache 2.0 donc vous pouvez l’utiliser commercialement sans payer un centime. Imaginez les possibilités ! Vous développez un jeu indé ? Boom, voix-off gratuite et de qualité. Vous voulez créer un assistant vocal pour votre domotique ? C’est parti, tout tourne en local sans envoyer vos données à Google. Vous bossez sur des outils d’accessibilité ? Kitten TTS peut s’intégrer directement dans NVDA ou d’autres lecteurs d’écran pour donner une voix naturelle aux malvoyants.
L’installation, c’est du pip install tout bête depuis les releases GitHub. Le repo KittenML/KittenTTS est déjà en train d’exploser avec la communauté qui commence à bidouiller dessus. Vous pouvez aussi récupérer le modèle sur Hugging Face si vous préférez. Et pour ceux qui veulent échanger, y’a même un Discord communautaire qui se monte.
fromkittenttsimportKittenTTSimportsoundfileassfprint("Loading KittenTTS model... Meow! 🐱")# This downloads the model from Hugging Face the first timem=KittenTTS("KittenML/kitten-tts-nano-0.1")text="Hello my name is Korben. Thank you for reading my blog."print(f"Generating audio for: '{text}'")# Generate the audio waveformaudio=m.generate(text)# Save the audio to a file at 24kHz sample rateoutput_file='hello_kitten.wav'sf.write(output_file,audio,24000)print(f"✅ Audio saved to {output_file}! Go listen to it!")
A lancer comme ceci :
python test_kitten.py
Et en quelques secondes, ça vous fera un joli MP3 que voici :
Vous vous en doutez, comme d’hab, pour le moment, c’est anglais uniquement mais les dev bossent sur d’autres langues, alors faudra patienter un peu. Et puis c’est encore en “developer preview”, donc y’a quelques artefacts audio par-ci par-là. Mais pour un modèle de 25MB qui tourne sur une patate, le résultat est bluffant.
Avec ce truc, tous vos objets connectés peuvent maintenant parler avec une voix naturelle, sans connexion internet, sans latence, et sans bouffer votre batterie. Votre frigo peut vous dire qu’il manque du lait avec la voix de Garou. Votre voiture peut vous guider avec une voix sympa au lieu du robot monotone “Ministère de l’Interieur” habituel. Et tout ça en local, donc pas de problème de vie privée.
La comparaison avec Piper TTS est intéressante car Piper reste plus mature avec un écosystème plus développé et plus de langues supportées, mais Kitten TTS a l’avantage d’être encore plus petit et plus expressif pour l’anglais. Pour un projet qui vient de sortir, c’est impressionnant. J’ai donc super hâte de voir débarquer des forks et des améliorations dans les semaines qui viennent.
Si vous voulez tester, le modèle est dispo, et la doc commence à être pas mal. Alors pour une fois qu’on a un outil d’IA vraiment accessible qui ne demande pas une ferme de serveurs pour tourner, faut en profiter. Et puis pouvoir dire “mon grille-pain m’a conseillé ce matin d’investir dans des actions Nvidia”, c’est quand même la classe.
Allez faire un tour sur le site du projet pour voir les démos et comprendre pourquoi ce petit modèle de 25MB est en train de faire trembler les géants du TTS.
L’avenir de la synthèse vocale, c’est peut-être bien un chaton qui tient dans votre poche.
Vous savez ce qui est pire que de se confier à un psy qui prend des notes ?
Bah c’est se confier à ChatGPT en pensant que c’est privé, évidemment !
Un chercheur du nom de Digital Digging vient de révéler que 50 000 conversations ChatGPT ont fuité sur Google, et le contenu est explosif. Un avocat qui demande comment virer une communauté indigène d’Amazonie, des dissidents arabes qui critiquent leur gouvernement, et des PDG qui balancent leurs secrets d’entreprise comme si c’était Snapchat.
Le truc complètement dingue, c’est que tout ça vient d’une petite checkbox innocente dans la fonction de partage de ChatGPT. Vous savez, c’est ce bouton “Share” que tout le monde utilise pour montrer ses prompts géniaux à ses potes. Sauf qu’il y avait une option “Make this chat discoverable” que personne ne lisait vraiment. Du coup Google a indexé toutes ces conversations, et n’importe qui pouvait tomber dessus en cherchant les bons mots-clés.
Digital Digging a ainsi analysé 512 de ces conversations publiques et a découvert que 20% contenaient des informations sensibles ou potentiellement compromettantes : Des victimes de violence domestique qui planifient leur fuite, des professionnels de santé qui partagent des protocoles de traitement détaillés (bonjour le secret médical), et même des utilisateurs qui décrivent des activités cyber-criminelles potentielles. Certains utilisateurs arabes ont partagé des critiques du gouvernement égyptien, ce qui pourrait littéralement leur coûter leur liberté.
L’exemple le plus choquant reste quand même cet avocat d’une compagnie énergétique qui demandait conseil pour négocier le déplacement d’une communauté indigène en Amazonie. Le mec demandait littéralement comment obtenir “le prix le plus bas possible dans les négociations”. Si ça c’est pas un scénario de méchant de James Bond, je sais pas ce que c’est. Et tout ça, accessible publiquement pendant des mois avant qu’OpenAI ne réagisse.
OpenAI a bien essayé de faire le ménage en urgence. Ils ont supprimé les URLs originales, ajouté des tags noindex et nofollow, et demandé à Google de tout désindexer. Gizmodo rapporte qu’ils ont tenté de retirer près de 50 000 conversations de l’index Google. Le CISO d’OpenAI a même qualifié ça d’"expérience de courte durée pour aider les gens à découvrir des conversations utiles". Lol.
Mais voilà le problème : Internet n’oublie jamais. Archive.org, la Wayback Machine, a sauvegardé plus de 110 000 de ces conversations avant qu’OpenAI ne puisse réagir. Et Digital Digging confirme qu’OpenAI n’a même pas demandé à Archive.org de supprimer ces archives. Mark Graham, le directeur de la Wayback Machine, a confirmé qu’aucune demande d’exclusion à grande échelle n’a été faite. Du coup, toutes ces confessions sont encore accessibles pour qui sait où chercher.
Ce qui ressort de cette affaire, c’est surtout que les gens traitent ChatGPT comme un confessionnal numérique. Ils partagent leurs secrets les plus sombres, leurs plans d’affaires confidentiels, leurs problèmes personnels, en pensant que c’est entre eux et la machine. Sauf que non. Dès que vous cliquez sur “Share”, vous créez potentiellement une trace permanente sur Internet. Et même si OpenAI supprime tout de son côté, des dizaines de services d’archivage ont déjà fait des copies.
OpenAI, la boîte qui nous sermonne constamment sur l’importance de l’IA “sûre et responsable”, vient donc de créer la plus grande base de données de confessions publiques de l’histoire de l’humanité. Ils ont littéralement transformé leur chatbot en piège à secrets, et maintenant des milliers de personnes découvrent que leurs conversations privées sont consultables par n’importe qui avec une connexion Internet.
Pour les victimes de cette fuite (qui je le rappelle on quand même cliqué sur “Share” donc bon…), les conséquences peuvent être dramatiques. On parle de personnes qui ont révélé des informations pouvant détruire leur carrière, leur mariage, voire les mettre en danger physique dans le cas des dissidents politiques.
Bref, traitez ChatGPT comme vous traiteriez Twitter ou Facebook. Si vous ne voulez pas que ça se retrouve sur la place publique, ne le partagez pas. Et surtout, SURTOUT, lisez les petites cases à cocher avant de cliquer sur “Partager” parce qu’entre “partager avec un ami” et “indexer sur Google pour l’éternité”, il n’y a qu’une checkbox de différence.
Comme d’hab sur Internet, rien n’est vraiment privé, et ce qui est mis en ligne le reste pour toujours. Même quand c’est censé être une conversation privée…
A tous ceux qui galèrent avec Suno et ses limitations à la con sachez qu’ElevenLabs vient de sortir son générateur de musique IA et après l’avoir testé, je peux vous dire que ça envoie du lourd. Bon, la voix française a encore quelques progrès à faire niveau prononciation, mais le rendu global est impressionnant.
L’histoire, c’est donc qu’ElevenLabs a lancé son générateur musical hier et contrairement à Suno et Udio qui sont dans la merde avec des procès pour violation de copyright, eux ils ont fait les choses proprement. Ils ont signé des accords avec Merlin Network et Kobalt Music Group, ce qui leur donne accès légal à des millions de titres pour entraîner leur IA. Du coup, pas de risque de se faire défoncer juridiquement quand on utilise leur outil pour des projets commerciaux.
Pour mon test, j’ai voulu voir ce que ça donnait avec un truc bien spécifique. J’ai demandé “un morceau de rap electro trap qui parle du site tech Korben.info”. Et là, surprise totale. Le beat était nickel, les transitions fluides, et même si la voix avait du mal avec certains mots français, le flow était meilleur que ce que j’ai pu obtenir avec Suno après des heures de tweaking. Le morceau fait presque 3 minutes, avec des variations dans le beat, des breaks bien placés, bref du travail de pro.
Ce qui m’a vraiment scotché, c’est surtout la qualité audio. Suno, c’est bien, mais on sent toujours ce côté un peu “cheap” dans le mix final. Les fans de Jul peuvent en témoigner ^^. Là, on a ElevenLabs qui sort du son qui pourrait passer en radio sans problème. Les basses sont profondes, les aigus cristallins, et surtout il n’y a pas ces artefacts audio chelous qu’on retrouve souvent avec les générateurs concurrents. Par contre, petit bémol, j’ai galéré comme un malade pour télécharger le morceau depuis Firefox. Heureusement, VideoDownloadHelper m’a sauvé la mise.
Voici ce que ça donne :
Niveau tarifs, ElevenLabs propose 7 niveaux d’abonnement : Free, Starter, Creator, Pro, Scale, Business et Enterprise. Attention par contre, avec les formules Free, Starter et Enterprise, interdiction de distribuer vos créations sur les plateformes de streaming. Pour ça, il faut minimum la formule Creator. Les prix exacts ne sont pas encore communiqués partout, mais vu la qualité, ça risque de faire mal à la concurrence.
Le truc vraiment malin qu’ils ont fait, c’est le système de contrôle. Vous pouvez préciser la durée exacte du morceau (“60 secondes” par exemple), ajouter vos propres paroles, définir quand les voix doivent commencer (“lyrics begin at 15 seconds”), ou même créer des parties instrumentales (“instrumental only after 1:45”). C’est ce niveau de contrôle qui manque cruellement chez Suno où on balance un prompt et on prie pour que ça sorte quelque chose de potable.
Pour éviter les emmerdes juridiques, ElevenLabs a également mis des garde-fous stricts. Impossible d’utiliser le nom d’un artiste, d’un titre de chanson ou d’un album dans vos prompts. Ça peut paraître contraignant, mais au final c’est ce qui leur permet de proposer un outil utilisable commercialement sans risquer de se retrouver au tribunal. Et entre nous, c’est pas plus mal parce que ça force à être créatif plutôt que de pomper bêtement sur du Drake ou du Daft Punk.
J’ai tenté un prompt un peu plus construit que le précédent et voici mon premier morceau rock :
La vraie force d’ElevenLabs, c’est donc leur partenariat avec SourceAudio qui leur donne accès à 14 millions de morceaux pré-autorisés pour l’entraînement de l’IA. Alors que Suno et Udio ont scrappé le web sans autorisation et se retrouvent avec les majors sur le dos, ElevenLabs peut dormir tranquille. D’ailleurs, 72% des entreprises du Fortune 500 utilisent déjà leurs outils de voix-off, donc niveau crédibilité, ils ont de l’avance.
Si vous voulez tester, allez sur elevenlabs.io/music et commencez avec la version gratuite pour voir.
Google vient de sortir un truc super sympa hier et personne n’en parle encore, alors je me mets au boulot. Cela s’appelle Gemini Storybooks, et ça va faire mal aux concurrents qui facturent 20 balles par mois pour faire la même chose. En gros, vous balancez une idée, quelques photos de vos vacances ou même les gribouillis de votre gosse, et paf, l’IA vous pond un livre illustré de 10 pages avec narration audio en moins de 2 minutes chrono.
Le truc vraiment cool avec ce nouveau joujou de Google, c’est qu’ils ont pensé à tout. Vous pouvez choisir parmi 8 styles d’illustration différents, du pixel art façon rétro gaming au style comics Marvel, en passant par de la pâte à modeler animée ou même du crochet. Et surtout c’est gratuit. Totalement gratuit.
Pour l’utiliser, vous ouvrez Gemini sur votre ordi ou votre téléphone, vous décrivez votre histoire en quelques phrases du genre “Crée-moi une histoire où mon fils combat des pirates de l’espace avec son doudou rhinocéros appelé Bayrou” et l’IA se met au boulot. L’interface se divise en deux colonnes façon Canvas, avec le chat à gauche et votre livre qui se construit page par page à droite.
Ce qui est cool c’est la possibilité d’uploader vos propres images pour personnaliser l’histoire. Comme ça, vous prenez les photos de vos dernières vacances en Bretagne, vous les balancez dans Gemini avec un prompt du style “Transforme nos vacances en quête épique pour trouver le trésor perdu de Merlin”, et hop, vous avez un livre unique que vos enfants vont adorer.
Côté technique, Google a mis le paquet puisqu’ils utilisent trois IA différentes qui bossent ensemble : Gemini pour générer le texte de l’histoire, probablement Veo 2 (leur nouveau modèle vidéo) pour créer les illustrations, et Gemini 2.5 Pro TTS pour la narration vocale. D’ailleurs pour la voix, vous pouvez choisir entre une voix grave façon Morgan Freeman ou plus aiguë style conte de fées. Le tout fonctionne dans plus de 45 langues, même si la narration audio n’est pas encore dispo partout. Les français peuvent dormir tranquilles, on a droit à la totale. Par contre, je trouve la voix un poil trop rapide à la lecture, c’est dommage…
Google débarque donc comme un éléphant dans un magasin de porcelaine sur ce marché. Des startups comme CreateBookAI ou Scarlett Panda se sont battues pendant des mois pour construire leur business model autour de la génération de livres pour enfants, et là Google arrive et dit “Tiens, c’est gratuit maintenant”. C’est violent et ça me rappelle la façon de faire d’Apple.
Mais pour les parents geeks qui galèrent à trouver des histoires du soir originales, c’est une vraie révolution. Plus besoin de relire pour la 150ème fois “Tchoupi va sur le pot” (même si c’est un classique indémodable). Vous pouvez créer une histoire sur mesure qui explique pourquoi il faut se brosser les dents en mettant en scène les animaux préférés de votre enfant. Ou expliquer le système solaire avec une aventure de son grand-père dans l’espace. Les possibilités sont infinies.
Les premiers retours parlent de quelques bugs visuels assez marrants, des personnages avec des membres en trop, des perspectives un peu wtf, ou des cohérences douteuses entre les pages. Mais honnêtement, ça fait partie du charme. Et puis Google va sûrement améliorer ça dans les prochaines semaines. Comme vous le savez, ils ont l’habitude de sortir des trucs en beta et de les peaufiner au fur et à mesure.
La vraie question maintenant, c’est de savoir ce que ça va donner pour l’industrie du livre jeunesse. Est-ce que les éditeurs traditionnels vont flipper ? Probablement. Est-ce que ça va tuer la créativité humaine ? Je n’y crois pas un seul instant. Pour moi c’est plutôt un outil de plus dans la boîte à outils des parents créatifs. Et puis entre nous, si ça peut éviter à certains parents de devoir inventer des histoires pourries à 22h quand ils sont crevés, c’est déjà une victoire.
Si vous voulez tester, c’est super simple. Allez sur gemini.google.com, connectez-vous avec votre compte Google, et cherchez l’option Storybook. Vous pourrez alors créer autant de livres que vous voulez, les partager via un lien public, les imprimer directement depuis votre navigateur, ou juste les écouter en mode podcast pendant que junior s’endort.
Ah et petit conseil d’ami, évitez de demander des histoires avec des célébrités ou des personnages sous copyright car l’IA refuse gentiment mais vous propose de créer des “personnages inspirés” à la place. “Henry Potier, l’apprenti boulanger magique”, c’est même mieux que le vrai Harry Potter je trouve.
Des chercheurs de l’Université du Zhejiang en Chine viennent de sortir un truc de malade. Ils ont construit Darwin Monkey, un ordinateur neuromorphique qui simule littéralement le cerveau d’un macaque. Et quand je dis simuler, je veux dire que le truc embarque quand même 2 milliards de neurones artificiels et plus de 100 milliards de synapses. C’est donc officiellement le plus grand ordinateur neuromorphique au monde !
Et ce qui est fou avec Darwin Monkey, c’est qu’il ne fonctionne pas comme un ordinateur classique puisqu’au lieu d’utiliser des valeurs continues comme les réseaux de neurones artificiels traditionnels, il utilise des réseaux de neurones à impulsions (SNN pour les intimes). En gros, ça envoie des impulsions électriques discrètes pour traiter et transmettre les données, exactement comme le font les vrais neurones dans votre cerveau. C’est donc beaucoup plus proche de la biologie et potentiellement bien plus économe en énergie.
Le système est équipé de 960 puces Darwin 3, c’est à dire des processeurs neuromorphiques de troisième génération développés début 2023 par le laboratoire et chaque puce peut gérer plus de 2,35 millions de neurones à impulsions et des centaines de millions de synapses. Le tout est organisé en 15 serveurs neuromorphiques en forme de lame. Et tout ça ne consomme que 2000 watts en fonctionnement normal. A titre de comparaison, votre grille-pain consomme à peu près la même chose !
Mais là où ça devient encore plus intéressant c’est que Darwin Monkey peut faire tourner le modèle DeepSeek, l’IA chinoise dont tout le monde parle en ce moment. Ça lui permet ainsi de faire du raisonnement logique, de générer du contenu et même de résoudre des problèmes mathématiques. C’est donc le premier ordinateur neuromorphique au monde qui combine des capacités de réflexion avancées avec la vision, l’audition, le langage et l’apprentissage. En fait, c’est comme si on avait mis un cerveau de singe dans une boîte et qu’on lui avait appris à coder.
Pour mettre ça en perspective, Intel a sorti son Hala Point en avril 2024 avec 1,15 milliard de neurones soit l’équivalent d’un cerveau de chouette. Darwin Monkey, lui, c’est presque le double. Et Sandia National Laboratory utilise déjà Hala Point pour de la recherche avancée allant du commercial à la défense en passant par la science fondamentale. Imaginez tout ce que les Chinois vont pouvoir faire avec leur bête de course.
Les chercheurs peuvent simuler également d’autres cerveaux entiers d’animaux, des vers Caenorhabditis elegans aux poissons-zèbres, en passant par les souris. Pour les neuroscientifiques, c’est donc une révolution car ils peuvent explorer les mécanismes du cerveau sans avoir besoin de faire autant d’expériences sur de vrais animaux. C’est donc à la fois plus éthique et plus pratique.
La Darwin Mouse en 2020 simulait “seulement” 120 millions de neurones et en cinq ans, ils ont multiplié le nombre de neurones par 16 et ont fait des percées majeures dans l’interconnectivité des puces, le développement d’OS neuromorphiques et les mécanismes d’apprentissage en ligne non supervisé. À ce rythme, on pourrait bientôt voir arriver une simulation complète d’un cerveau humain d’ici quelques années.
Pour l’IA, c’est potentiellement un game changer car au lieu de faire tourner des modèles qui consomment des quantités astronomiques d’énergie, on pourrait avoir des systèmes qui fonctionnent avec l’efficacité énergétique d’un cerveau biologique. Les chercheurs parlent même d’apporter des “avancées révolutionnaires à l’IA” avec leur mécanisme d’apprentissage en ligne non supervisé. Imaginez ChatGPT qui tourne avec la consommation d’une ampoule LED au lieu d’une centrale électrique et qui serait capable d’apprendre par lui-même.
Évidemment, tout ça soulève des questions tout aussi fascinantes sur la conscience, l’intelligence et ce qui nous rend humains. Car si on peut simuler parfaitement un cerveau de singe, qu’est-ce qui nous empêche de simuler un cerveau humain ? Et si on y arrive, est-ce que cette simulation serait consciente ?
Je vous laisse méditer là-dessus pendant que je vais faire dodo, parce que j’ai besoin d’un petit repos pour mon propre cerveau biologique qui doit encaisser cette nouvelle !
Vous saviez qu’Animal Crossing sur GameCube cache 21 jeux NES complets dans ses fichiers ? Perso, j’en avais AUCUNE IDÉE et visiblement, ce ne sont pas des versions au rabais ou de démos, mais bien des jeux complets ! Animal Crossing était vraiment un jeu en avance sur son temps et l’une des fonctionnalités les plus adorées des joueurs, c’était ces petits meubles NES que vous pouviez collectionner et qui lançaient de vrais jeux quand vous interagissiez avec.
Balloon Fight, Super Mario Bros, The Legend of Zelda, Punch-Out !!… Nintendo avait carrément inclus un émulateur NES complet et les ROMs sur le disque GameCube. Le truc fou, c’est que cet émulateur est souvent cité comme étant plus précis que celui de la NES Classic ou même celui de la Switch.
Selon les versions du jeu (Doubutsu no Mori, Animal Crossing, etc.), il ya entre 19 et 21 jeux disponibles. La version américaine par exemple en contient 19, et certains jeux comme Donkey Kong Jr. Math valent aujourd’hui 151 dollars en seconde main. D’autres comme Clu Clu Land D ou Gomoku Narabe Renju étaient également des exclusivités Famicom Disk System introuvables plus tard sur Nintendo Switch Online.
Mais bon, passons au vif du sujet. Comment extraire ces ROMs ?
Et bien le passionné Seth Larson a développé une méthode géniale qui exploite la compression Yaz0 utilisée par Nintendo. Cette compression, reconnaissable par son header “Yaz0” en ASCII, est utilisée partout dans les jeux Nintendo depuis les années 2000. The Wind Waker, Mario Kart Wii, Super Mario Sunshine… tous utilisent Yaz0 pour compresser leurs assets.
D’abord, il vous faut une copie de votre ISO Animal Crossing que vous pouvez extraire légalement avec CleanRip sur votre Wii ou avec le nouvel outil FlippyDrive qui permet de sauvegarder vos jeux GameCube directement depuis la console. Une fois que vous avez votre ISO, le script Python de Seth fera tout le boulot.
Comme je vous le disais, le script parcourt toute l’ISO à la recherche des headers “Yaz0”, décompresse chaque blob trouvé, puis cherche les signatures des ROMs NES (qui commencent par “NES\x1a”) ou Famicom Disk System (avec leur signature spécifique). Une fois trouvées, les ROMs sont extraites et comparées à une base de données de checksums MD5 pour identifier exactement quel jeu c’est.
Et hop, vous vous retrouvez avec tous les jeux NES dans votre dossier. Ces ROMs fonctionnent avec n’importe quel émulateur NES, par exemple sur PC, vous pouvez utiliser Pinky (un émulateur WASM qui tourne dans le navigateur), sur mobile je vous recommande Delta qui est aussi excellent.
Un petit détail technique sympa au passage, le jeu Clu Clu Land D est stocké au format .qd (QuickDisk). Il faudra donc le convertir en .fds pour l’utiliser avec un émulateur. Un script Python existe également sur le GitHub pour faire cette conversion facilement.
Ce qui est vraiment dingue dans cette histoire, c’est qu’après deux ans et demi de travail, la communauté a presque complètement décompilé cette version d’Animal Crossing. Ça ouvre la porte à des mods incroyables et ils ont même réussi à faire tourner Linux dans l’émulateur NES d’Animal Crossing en patchant la mémoire. Bon, ça tourne à 1/64ème de la vitesse normale, mais techniquement ça marche !
D’ailleurs, l’émulateur NES générique du jeu peut lire n’importe quelle ROM depuis la carte mémoire si elle est formatée correctement. Il cherche des fichiers avec la string “GAFE01” (le nom interne d’Animal Crossing) et le préfixe “DobutsunomoriPF”. Et un outil appelé ACNESCreator permet ensuite de créer ces fichiers .gci automatiquement pour charger vos propres ROMs.
Si vous cherchez d’autres méthodes légales pour récupérer des ROMs, consultez le RED Project sur GitHub, qui contient une documentation complète de méthodes d’extraction similaires depuis des collections officielles et autres mini-consoles. Parce que oui, extraire des ROMs de jeux que vous possédez légalement, c’est parfaitement légal pour un usage personnel.
Je trouve quand même que jouer à Wario’s Woods extrait de votre propre copie d’Animal Crossing sur votre iPhone avec Delta, ça a quand même quelque chose de magique. Maintenant, si vous avez une vieille copie d’Animal Crossing qui traîne, vous savez maintenant qu’elle vaut bien plus que ce que vous pensez !
OpenAI vient de lâcher dans la nature ses premiers modèles open-weight depuis GPT-2, et apparemment, c’est du lourd. Après 5 longues années à garder jalousement ses modèles bien au chaud derrière des API payantes, Sam Altman et sa bande balancent donc gpt-oss-120b et gpt-oss-20b, deux modèles que vous pouvez télécharger gratuitement sur Hugging Face et faire tourner chez vous.
Ils ont claqué des milliards de dollars en recherche pour créer ces modèles, et maintenant ils les offrent au monde entier sous licence Apache 2.0. C’est beau !
Pour ceux qui se demandent ce que ça change, un modèle open-weight c’est comme avoir accès au moteur d’une voiture avec le capot grand ouvert. Vous pouvez voir comment ça fonctionne, bidouiller les paramètres internes, et surtout, le faire tourner en local sans connexion internet. Greg Brockman, le cofondateur d’OpenAI, explique que c’est complémentaire à leurs services payants comme ChatGPT et l’avantage, c’est que vos données ne partent pas dans le cloud.
Les deux nouveaux modèles utilisent l’approche chain-of-thought qu’OpenAI a introduite avec son modèle o1 l’automne dernier. Cela veut dire que au lieu de balancer une réponse directe, l’IA passe par plusieurs étapes de raisonnement pour répondre à vos questions. Ces modèles text-only ne sont pas multimodaux (donc pas d’images ou de sons), mais ils peuvent naviguer sur le web, appeler d’autres modèles cloud pour certaines tâches, exécuter du code et même agir comme des agents IA autonomes.
Le plus petit des deux, gpt-oss-20b avec ses 21 milliards de paramètres (dont 3,6 milliards actifs), est suffisamment compact pour tourner sur une machine avec 16 Go de RAM. Le gros calibre, gpt-oss-120b avec ses 117 milliards de paramètres (5,1 milliards actifs), nécessite 80 Go de mémoire et tourne idéalement sur une seule GPU H100. Les deux supportent un contexte de 128 000 tokens, soit l’équivalent de 300-400 pages de roman que vous pouvez balancer d’un coup.
D’après les benchmarks, gpt-oss-120b atteint quasiment les performances d’OpenAI o4-mini sur les tâches de raisonnement, tandis que gpt-oss-20b s’approche d’o3-mini. Sur une RTX 5090, vous pouvez atteindre jusqu’à 256 tokens par seconde, ce qui est franchement impressionnant pour du local. Avec l’architecture Mixture-of-Experts (MoE) et la précision native MXFP4, ces modèles sont optimisés pour tourner efficacement même sur du matériel grand public.
Bon, passons aux choses sérieuses avec le tutoriel Ollama pour faire tourner tout ça chez vous.
Installation d’Ollama
D’abord, installez Ollama si ce n’est pas déjà fait. Sur macOS, ouvrez un terminal et tapez :
brew install ollama
Sur Linux, c’est encore plus simple :
curl -fsSL https://ollama.ai/install.sh | sh
Pour Windows, téléchargez directement l’installateur sur ollama.com et suivez les instructions.
Lancement du serveur Ollama
Une fois installé, démarrez le serveur Ollama :
ollama serve
Le serveur va se lancer sur le port 11434 par défaut. Laissez cette fenêtre de terminal ouverte.
Téléchargement et exécution des modèles gpt-oss
Dans un nouveau terminal, vous pouvez maintenant télécharger et lancer les modèles. Pour le modèle léger gpt-oss-20b (idéal si vous avez 16 Go de RAM minimum) :
ollama pull gpt-oss:20b
ollama run gpt-oss:20b
Pour le modèle plus costaud gpt-oss-120b (nécessite au moins 80 Go de RAM ou un bon GPU) :
ollama pull gpt-oss:120b
ollama run gpt-oss:120b
Configuration du niveau de raisonnement
Une fonctionnalité sympa de ces modèles, c’est que vous pouvez ajuster l’effort de raisonnement selon vos besoins. Dans Ollama, vous pouvez configurer ça avec :
ollama run gpt-oss:20b --reasoning low # Pour des réponses rapides
ollama run gpt-oss:20b --reasoning medium # Équilibré (par défaut)
ollama run gpt-oss:20b --reasoning high # Pour des analyses complexes
Utilisation avec Python
Si vous préférez intégrer ça dans vos scripts Python, installez le package officiel :
pip install ollama
Puis utilisez-le comme ceci :
import ollama
response = ollama.chat(model='gpt-oss:20b', messages=[
{
'role': 'user',
'content': 'Explique-moi la différence entre un modèle open-weight et open-source',
},
])
print(response['message']['content'])
Alternative avec Hugging Face CLI
Si vous voulez télécharger directement depuis Hugging Face pour plus de contrôle :
# Installation de Hugging Face CLIpipinstallhuggingface-hub# Téléchargement de gpt-oss-20bhuggingface-clidownloadopenai/gpt-oss-20b--include"original/*"--local-dirgpt-oss-20b/# Téléchargement de gpt-oss-120bhuggingface-clidownloadopenai/gpt-oss-120b--include"original/*"--local-dirgpt-oss-120b/
Optimisations pour cartes NVIDIA RTX
Si vous avez une carte NVIDIA RTX, vous pouvez bénéficier d’optimisations spécifiques car Ollama détecte automatiquement votre GPU et applique les optimisations. Donc pour vérifier que votre GPU est bien détectée :
nvidia-smi # Pour voir votre GPU
ollama list # Pour voir les modèles disponibles
Quelques commandes utiles
Pour lister tous les modèles installés :
ollama list
Pour supprimer un modèle si vous manquez d’espace :
ollama rm gpt-oss:120b
Pour voir les logs et débugger si ça plante :
ollama logs
Le fait qu’OpenAI ait attendu mars pour annoncer ces modèles puis les ait retardés pour des tests de sécurité supplémentaires montre qu’ils prennent le sujet au sérieux. Eric Wallace, chercheur en sécurité chez OpenAI, explique qu’ils ont même fine-tuné les modèles en interne sur des scénarios à risque pour mesurer jusqu’où un “bad actor” pourrait les pousser. Résultat, les modèles n’ont pas atteint un niveau de risque élevé selon leur framework de préparation.
Pour finir, OpenAI s’est associé avec Azure, vLLM, llama.cpp, LM Studio, AWS, Fireworks, Together AI et plein d’autres plateformes pour rendre ces modèles accessibles partout. Microsoft propose même AI Foundry Local sur Windows où vous pouvez juste taper foundry model run gpt-oss-20b dans un terminal pour commencer.
Voilà, vous avez tout ce qu’il faut pour jouer avec les nouveaux jouets d’OpenAI. C’est quand même fou de voir OpenAI revenir à ses racines open source après toutes ces années à s’enfermer. Avec la licence Apache 2.0, vous pouvez utiliser ces modèles commercialement, les redistribuer, et les intégrer dans vos propres projets.
Pour plus d’infos, consultez le dépôt GitHub officiel ou la page Ollama dédiée. Allez-y, téléchargez, testez, et surtout, amusez-vous bien avec ces nouveaux modèles. Le futur de l’IA locale commence maintenant, et il est entre vos mains.
Microsoft vient de lever le voile sur un truc assez cool : Project IRE !
C’est un agent IA qui analyse et détecte les malwares en parfait autonomie. Plus besoin d’un expert humain pour décortiquer chaque fichier suspect, c’est l’IA qui s’en charge et elle le fait plutôt bien avec 98% de précision et seulement 2% de faux positifs sur un dataset de drivers Windows.
C’est du lourd car au lieu de se contenter d’une simple analyse par signatures comme les antivirus classiques, Project IRE fait de la vraie reverse engineering. L’agent décompile le code, reconstruit le graphe de flux de contrôle (control flow graph pour les intimes), analyse chaque fonction et génère un rapport détaillé expliquant pourquoi le fichier est malveillant ou non.
Pour faire tout ça, Microsoft s’appuie sur Azure AI Foundry et des outils de reverse engineering bien connus comme angr et Ghidra. Le processus commence ainsi par un triage automatique pour identifier le type de fichier et sa structure. Ensuite, l’IA reconstruit comment le programme s’exécute, analyse chaque fonction avec des modèles de langage spécialisés et compile tout dans une “chaîne de preuves” (chain of evidence).
Cette transparence est cruciale car elle permet aux équipes de sécurité de vérifier le raisonnement de l’IA et comprendre comment elle est arrivée à ses conclusions. Et surtout, les tests en conditions réelles sont prometteurs car sur 4000 fichiers que les systèmes automatisés de Microsoft n’arrivaient pas à classifier, Project IRE a correctement identifié 89% des fichiers malveillants avec seulement 4% de faux positifs.
Le seul bémol c’est le taux de détection global qui n’est que de 26%, ce qui signifie que l’IA rate encore pas mal de malwares. Mais comme le soulignent les chercheurs, cette combinaison de haute précision et faible taux d’erreur montre un vrai potentiel pour un déploiement futur.
Mike Walker, Research Manager chez Microsoft, raconte que dans plusieurs cas où l’IA et l’humain n’étaient pas d’accord, c’est l’IA qui avait raison. Ça montre bien que les forces complémentaires de l’humain et de l’IA peuvent vraiment améliorer la protection. Pour valider ses trouvailles, Project IRE utilise un outil de validation qui vérifie les affirmations du rapport contre la chaîne de preuves.
Cet outil s’appuie sur des déclarations d’experts en reverse engineering de l’équipe Project IRE et en combinant ces preuves et son modèle interne, le système produit un rapport final et classe le fichier comme malveillant ou bénin. L’objectif à terme est ambitieux puisqu’il s’agit de détecter automatiquement de nouveaux malwares directement en mémoire, à grande échelle.
Ce serait vraiment cool d’identifier des menaces avancées (APT) sans qu’un humain ait besoin d’intervenir. D’ailleurs, Project IRE a déjà réussi à créer le premier cas de conviction pour un malware APT chez Microsoft, sans aide humaine.
Pour l’instant, ça reste un prototype qui sera intégré plus tard dans Microsoft Defender comme outil d’analyse binaire mais les implications sont déjà énormes car les malwares deviennent de plus en plus sophistiqués et nombreux, et avoir une IA capable de les analyser automatiquement pourrait changer pas mal la lutte contre ces saloperies.
Alors oui, on n’est pas encore au point où l’IA remplace complètement les experts en sécurité mais on s’en rapproche et vu la pénurie de talents en cybersécurité et l’explosion du nombre de menaces, c’est plutôt une bonne nouvelle.
Imaginez pouvoir scanner votre propre installation Odoo comme un hacker éthique pour y débusquer toutes les failles en quelques minutes. Et bien c’est exactement ce que fait OdooMap créé par Mohamed Karrab et dispo sur GitHub. Avec plus de 7 millions d’entreprises qui utilisent Odoo dans le monde, les failles de sécurité peuvent coûter très cher, donc c’est super de s’y intéresser un minimum.
Pour ceux qui ne connaissent pas, Odoo c’est cet ERP open source hyper populaire qui gère tout dans une entreprise : ventes, stocks, comptabilité, RH, site web, et j’en passe. Le problème, c’est que beaucoup d’installations Odoo sont mal configurées ou pas à jour, ce qui les rend vulnérables. Et quand on sait que cet ERP contient littéralement toutes les données sensibles d’une boîte, ça fait froid dans le dos.
C’est là qu’OdooMap entre en jeu. Mohamed Karrab a développé cet outil de reconnaissance et de test de sécurité spécialement pour Odoo. Et c’est du sérieux car l’outil fait tout : détection de version, énumération des bases de données, vérification des permissions CRUD (Create, Read, Update, Delete), extraction de données, et même du brute-force sur les logins et le master password.
Ce qui est vraiment bien pensé, c’est que OdooMap couvre toutes les phases d’un test de sécurité. D’abord la reconnaissance pour identifier la version d’Odoo et récupérer les métadonnées. Ensuite l’énumération pour lister les bases de données accessibles et les modèles exposés. Puis l’authentification et la vérification des permissions pour voir ce qu’un utilisateur peut vraiment faire. Et enfin l’extraction de données depuis des modèles spécifiques si vous avez les droits.
L’installation est super simple. Vous clonez le repo GitHub, vous installez avec pipx (ou pip si vous préférez), et c’est parti. Le développeur recommande d’utiliser pipx pour éviter de polluer votre système Python, ce qui est une bonne pratique :
Les fonctionnalités de brute-force sont particulièrement intéressantes. Par exemple, OdooMap peut tester des credentials par défaut, utiliser vos propres listes de mots de passe, ou même attaquer le master password de la base de données. C’est exactement le genre d’attaques que les vrais hackers utiliseraient, donc autant les tester vous-même avant eux.
Pour un scan de base, c’est aussi simple que :
odoomap -u https://example.com
Mais la vraie puissance se révèle quand vous commencez à combiner les options. Par exemple, pour authentifier et énumérer les modèles :
L’outil a également la capacité d’extraire des données depuis des modèles spécifiques. Si vous avez accès à res.users ou res.partner par exemple, vous pouvez dumper toutes les infos comme ceci :
D’après mes recherches, les vulnérabilités les plus courantes dans Odoo incluent les failles XSS (Cross-Site Scripting), les problèmes de contrôle d’accès, les IDOR (Insecure Direct Object References) et les SSRF (Server-Side Request Forgery). OdooMap permet donc de tester une bonne partie de ces vulnérabilités, notamment les problèmes d’accès et d’authentification.
Ce qui est intéressant aussi, c’est que l’outil peut faire du brute-force sur les noms de modèles internes. Odoo a des centaines de modèles, et parfois certains sont exposés alors qu’ils ne devraient pas l’être. OdooMap peut les découvrir automatiquement :
Bien sûr, comme tout outil de sécurité, OdooMap doit être utilisé de manière responsable. Mohamed Karrab le rappelle clairement : c’est fait pour des tests autorisés uniquement. Utiliser cet outil sans permission, c’est illégal et vous risquez de gros problèmes avec la police (et pas la Municipale, hein ^^) !! Mais si vous gérez une installation Odoo ou si vous êtes mandaté pour faire un audit, c’est un must-have.
L’outil est sous licence Apache 2.0, donc totalement open source et gratuit et le code est en Python 3.9+, donc accessible si vous voulez comprendre comment ça fonctionne ou l’adapter à vos besoins.
Pour aller plus loin dans la sécurisation d’Odoo, je vous conseille de jeter un œil à la page officielle de sécurité d’Odoo. Ils prennent la sécurité au sérieux et encouragent la divulgation responsable des vulnérabilités.
Pour ceux qui cherchent d’autres outils de pentest, il y a évidemment les classiques comme Metasploit, Burp Suite ou Nessus mais l’avantage d’OdooMap, c’est qu’il est spécialisé pour Odoo. Il connaît les spécificités de cet ERP et peut donc aller beaucoup plus loin qu’un scanner générique.
Pour finir, un grand bravo à Mohamed Karrab pour cet outil !
Connexion
