C’est quand même fou, l’obsession des développeurs et des bouffeurs de changelog comme moi pour les numéros de version. Tenez, par exemple, comma.ai vient de sortir une nouvelle version d’openpilot et au lieu de passer à la tant attendue version 1.0, ils nous font le coup du 0.9.9 → 0.10. Une jolie feinte qui montre qu’ils ont encore de l’ambition sous le capot avant de franchir ce cap symbolique du 1.0, avec un objectif clair côté équipe : faire passer le contrôle longitudinal end-to-end d’Experimental à Chill.
Ce que je retiens de cette nouvelle release, c’est surtout leur nouvelle architecture “Tomb Raider”. Ce n’est pas juste une amélioration incrémentale, c’est carrément une approche validée scientifiquement dans un papier de recherche publié sur arXiv qui prouve qu’on peut, de manière fiable, entraîner des systèmes de conduite autonome dans des simulateurs, sans avoir besoin de règles codées en dur. Ces simulateurs produisent artificiellement des situations de conduite comme on pourrait en enregistrer chaque jour avec une dashcam par exemple. Cela permet d’avoir une masse de données gigantesque afin de renforcer l’apprentissage des modèles.
Et comme ça, au lieu de faire comme Cruise ou Waymo qui claquent des milliards dans du matériel spécialisé et des cartes HD au LiDAR, comma.ai peut continuer de faire tourner son système sur un équivalent de smartphone.
Terminé le MPC (Model Predictive Control) traditionnel, place maintenant à un World Model qui prédit directement les trajectoires. Dans leur papier de recherche, ils expliquent avoir développé deux stratégies de simulation : la simulation reprojective qui utilise des cartes de profondeur pour recréer des scènes, et la simulation par World Model qui génère carrément des scénarios de conduite réalistes. Et surtout, le MPC est retiré en latéral dans les modes Chill et Experimental, et le longitudinal bascule aussi sur ce modèle en Experimental dès cette release. C’est pas rien !
Ici, en bleu vous pouvez voir le trajet pris par un humain. En vert, c’est la prédiction du trajet humain par le modèle précédent. Et en orange, vous avez la prédiction du trajet humain par le nouveau modèle de cette release. Ce qu’il faut retenir, c’est que le trajet orange est le meilleur car il part de la position actuelle de la voiture, pour converger vers le centre de la voie. Ça permet de garder le véhicule bien au centre de sa voie.
Pour l’entraînement de Tomb Raider, ils ont aussi mis en place un genre de goulot d’étranglement volontaire de l’information pour éviter que le système n’exploite les artefacts du simulateur. En gros, ils forcent le réseau de neurones à apprendre des vraies compétences de conduite plutôt que de tricher en exploitant les failles de la simulation. C’est un détail technique, certes, mais ça fait la différence entre un prototype de labo et un système actuellement déployé dans la vraie vie.
Pour ceux qui veulent creuser la partie scientifique, leur approche future-anchored world model permet de générer des scénarios de conduite réalistes en partant du futur puis en remontant vers le présent. C’est contre-intuitif, mais ça permet d’éviter les dérives accumulatives typiques des modèles génératifs. Ils ont même réussi à déployer ces politiques apprises en simulation directement dans openpilot, prouvant que le transfert sim-to-real fonctionne vraiment.
D’après les tableaux de l’étude, ce nouveau système atteint chez 500 utilisateurs environ 30 % de temps d’engagement et 52 % de distance parcourue sous assistance. C’est impressionnant et comme je vous l’expliquais dans cet article, Consumer Reports avait classé openpilot au-dessus de l’Autopilot de Tesla en 2020, mais aussi du Super Cruise de Cadillac et du Co-Pilot 360 de Ford, particulièrement sur l’engagement du conducteur et la facilité d’utilisation. Ce n’est pas pour rien.
Techniquement, la nouvelle version améliore aussi significativement la détection des véhicules à l’arrêt grâce au modèle Space Lab 2 comme vous pouvez le voir ici. La team a validé ça en conditions réelles et via une batterie de 25 scénarios CARLA pour les arrêts et redémarrages.
Ils ont aussi réduit le nombre de frames ignorées à basse vitesse de 78 % à 52 %, ce qui se traduit concrètement par une bien meilleure gestion des embouteillages et des situations de stop-and-go. Je vous rassure, la vidéo est accélérée, ça ne fait pas flipper comme ça en vrai.
Donc pour tous ceux qui ont déjà pesté contre leur régulateur adaptatif qui ne comprend rien aux bouchons et se tape de grosses accélérations pour rien, c’est une vraie avancée.
Autre détail qui change la sensation au volant c’est l’estimation en direct du délai latéral qui est désormais utilisée, ce qui affine la précision de la direction selon les modèles de voitures. Et côté pipeline d’entraînement, ils ont aussi validé l’usage d’images compressées pour coller au simulateur de Machine Learning. Par exemple, le modèle Vegan Filet-o-Fish est entraîné directement sur ces frames compressées, sans dégradation notable de la politique de conduite.
Ils ont également réécrit leur parser CAN en Python avec détection automatique de la fréquence des messages, économisant 700 lignes de code par véhicule supporté. Du coup, plus de 300 modèles de voitures sont maintenant officiellement supportés, incluant les Honda Accord, CR-V et Pilot 2023-25, ainsi que l’Acura MDX 2025, et c’est devenu beaucoup plus simple d’en ajouter de nouvelles.
Puis ils ont aussi mis à jour leur dataset commaCarSegments qui contient maintenant 3000 heures de données CAN provenant de leur flotte de 20 000 utilisateurs dans le monde. Même les constructeurs n’ont pas accès à ces données CAN de production, donc je vous laisse imaginer, ça vaut de l’or !
Côté usage au quotidien, deux petites nouveautés bien pratiques. Ils ont ajouté un outil de clipping pour partager des extraits vidéo de conduite dans le channel #driving-feedback de leur Discord, et l’option d’enregistrer l’audio de la dashcam, désactivée par défaut et maintenant activable en un tapotement de doigt.
Bref, comme d’hab avec comma, ils ne sont pas dans le marketing, ils sont dans l’amélioration continue et surtout ils livrent du concret !
N’oubliez pas quand même qu’openpilot reste un système d’aide à la conduite de niveau 2 donc le conducteur reste responsable, mains sur le volant et yeux sur la route.
Maintenant, comme je vous le disais en intro, leur objectif pour la vraie 1.0 c’est de faire passer le contrôle longitudinal end-to-end du mode Experimental au mode Chill, autrement dit le rendre suffisamment fiable pour être utilisé par défaut. On verra s’ils y parviennent mais je suis confiant.
Qui sait, ça passera peut-être par un upgrade du matériel à un moment avec un nouveau comma 4 ?
En tout cas, cette jolie version 0.10 n’est pas qu’une simple mise à jour. C’est vraiment, je trouve, la validation d’une approche totalement différente de la conduite autonome qui mise sur l’apprentissage end-to-end, des générateurs de data virtuelles pour l’entraînement et bien sûr tout ça en open source !
C’est beau non ? Les constructeurs automobiles feraient bien d’en prendre de la graine.
Si vous êtes dans le reverse engineering sur mobile et que vous ne connaissez pas encore Frida CodeShare, préparez-vous à découvrir votre nouveau terrain de jeu préféré les amis ! Faut imaginer un GitHub ultra spécialisé où les développeurs du monde entier déposent leurs meilleurs scripts Frida, prêts à être utilisés en une seule commande.
Comme ça, au lieu de réinventer la roue à chaque fois que vous voulez contourner un SSL pinning ou tracer des appels de méthodes, vous piochez directement dans une bibliothèque de scripts éprouvés.
Pour ceux qui découvrent, Frida est un toolkit d’instrumentation dynamique qui vous permet d’injecter du JavaScript dans n’importe quel processus, sans avoir besoin du code source. Ça fonctionne sur Windows, macOS, Linux, iOS, Android, et même FreeBSD. Le truc magique, c’est que Frida injecte QuickJS directement dans le processus cible, ce qui vous donne un accès total à la mémoire et la possibilité de hooker des fonctions natives.
Frida a la capacité à fonctionner dans trois modes différents : Injected (le plus courant), Embedded et Preloaded via le Frida Gadget. Sur Android, vous pouvez même l’utiliser sans être root en utilisant frida-gadget sur une app debuggable.
Pour iOS, l’histoire est un peu différente mais tout aussi cool car Frida supporte les modes jailed et jailbroken, avec évidemment plus de possibilités sur un appareil jailbreaké. Sur iOS 13 et plus récent, vous pouvez par exemple utiliser Frida en mode jailed avec des builds debuggables, ce qui ouvre la porte à l’analyse même sur des appareils non-jailbreakés.
Les bindings disponibles montrent aussi la versatilité de l’outil puisque vous pouvez l’utiliser depuis Node.js (npm), Python (PyPI), Swift, .NET, Qt/Qml, Go, ou directement via l’API C. Cette diversité permet à chaque développeur de travailler dans son environnement préféré.
Maintenant, ce qui rend CodeShare puissant, c’est en réalité son intégration native avec Frida. Pas besoin de télécharger manuellement les scripts, il suffit de lancer :
… et boom, vous interceptez le trafic HTTPS comme si de rien n’était.
Les scripts les plus populaires sur la plateforme sont tous les scripts de contournement SSL (un véritable cauchemar pour les développeurs qui pensent que leur certificate pinning est inviolable) mais aussi les scripts pour observer toutes les méthodes d’une classe spécifique, tracer les appels JNI, ou même désactiver la vérification TLS de Flutter, et j’en passe…
Pour les développeurs Android, l’écosystème est particulièrement riche. Le dépot frida-codeshare-scripts rassemble par exemple une collection impressionnante de scripts utiles, organisés par catégorie. Vous y trouvez par exemple des scripts pour dumper la mémoire avec Fridump (python3 fridump.py -U -o memory_dump <app-name>), tracer les accès au système de fichiers, ou même observer les communications réseau en temps réel.
D’autres outils complémentaires enrichissent encore plus l’écosystème. Je pense par exemple à Medusa, un excellent wrapper Frida avancé avec une base de données de scripts utiles exécutables par commande. Il y a aussi des interfaces web user-friendly qui rendent le filtrage et l’exécution de scripts beaucoup plus simple qu’en ligne de commande. Et frida-rust maintient des sessions persistantes avec les applications, augmentant la vitesse d’exécution de plusieurs fois par rapport aux méthodes traditionnelles.
Maintenant, si vous voulez commencer avec CodeShare, le plus simple est de cloner quelques repositories de référence comme hyugogirubato/Frida-CodeShare. Chaque script est dans son propre répertoire avec un README qui explique son utilisation. C’est parfait pour comprendre comment les scripts fonctionnent et les adapter à vos besoins spécifiques.
Bref, je trouve que cette histoire de CodeShare sont vraiment cool car ça démocratise le reverse engineering en plus de faire gagner du temps. Plus besoin d’être un expert en assembleur ARM pour analyser une app Android par exemple.
Alors moi ça m’a surpris, mais en ce moment, en première position des apps gratuites sur mobile (aux US), bien devant ChatGPT et Gmail, trône une petite app baptisée Focus Friend.
Il s’agit de l’œuvre de Hank Green, un YouTubeur connu pour ses vidéos éducatives et ses analyses pointues. Sauf que là, ce n’est pas de la science mais plutôt une app pour aider les gens comme moi à rester concentrés plus de 5 min.
Tout a commencé lors d’un dîner en janvier 2024 entre Hank Green et Bria Sullivan, développeuse derrière Honey B Games. Tous les deux cherchaient une alternative pour soutenir les créateurs sans passer par le merchandising classique et Sullivan a proposé une app type Pomodoro, et Green a alors imaginé le haricot tricoteur. Et un an et demi de développement plus tard, leur side project explose les compteurs de partout !
Alors comment un simple haricot qui fait du tricot peut-il battre l’IA la plus hypée de la planète ? La réponse se cache dans une approche psychologique qui exploite notre empathie naturelle.
Car dans Focus Friend, quand vous lancez un timer, votre petit haricot commence à tricoter tranquillou, et si vous touchez votre téléphone, il arrête son ouvrage et devient tout triste. C’est ma belle-sœur mais en haricot, quoi… Pas d’IA générative, pas de machine learning, juste un haricot animé qui veut finir ses chaussettes.
Ce qui rend Focus Friend efficace, c’est surtout son approche du “body doubling virtuel”. Pour ceux qui ne connaissent pas, le body doubling c’est une technique où la simple présence de quelqu’un qui travaille à côté de vous augmente votre productivité. Sauf qu’ici, votre collègue c’est un haricot virtuel. Et bizarrement, ça marche. Cette app est notamment bien adaptée pour les personnes avec un TDAH qui ont besoin de cette présence externe pour maintenir leur concentration.
Pour l’avoir essayé depuis peu, je trouve que la gamification qu’il ont mis en place est pensée différemment des apps de productivité classiques que j’ai pu tester auparavant. Car au lieu de vous bombarder de stats et de graphiques, Focus Friend mise sur l’accumulation simple. Plus vous restez concentré, plus votre haricot tricote de chaussettes. Et ensuite ces chaussettes virtuelles s’échangent contre du mobilier pour décorer la chambre de votre ami le péteux. Par exemple, un tapis basique demande environ trois sessions de 30 minutes. C’est lent, c’est progressif, et c’est exactement ce dont on a besoin. Y’a pas de gratification instantanée, mais plutôt une construction patiente qui reflète nos vrais progrès IRL et ça c’est cool.
Techniquement, c’est donc un Pomodoro classique (25 minutes de travail, 5 de pause), un peu de musique funky en arrière-plan, et une intégration avec Screen Time sur iOS pour bloquer les apps distrayantes. La version payante à 1,99$/mois débloques les écharpes (qui rapportent trois fois plus), des skins personnalisés incluant Hank et John Green eux-mêmes, et la possibilité de choisir quelles apps bloquer spécifiquement.
Pas de pubs, pas de tracking invasif, juste vous et votre haricot magique. Ça fonctionne carrément mieux que les méthodes punitives classiques. Par contre, si vous avez l’empathie d’une chaise ou d’un parpaing, ça ne fonctionnera pas sur vous.
Alors est ce que cette buzz app du moment va réussir à garder sa première place face aux mastodontes de l’IA ? Je ne pense as mais son succès montre qu’il y a un vrai besoin… On galère tous à maintenir une attention continue et ça fait chier. Alors si ce genre d’app peut nous aider, pourquoi pas essayer ?
Puis vous aurez une belle collection de chaussettes à force…
Vous pensiez que votre Roomba à 200 balles c’était déjà le futur ? Alors attendez de voir ce que fait le robot Figure 02 dans la vraie vie !!! Vous allez voir, il est plus doué que vous et moi :)
Brett Adcock, le fondateur de Figure AI, vient en effet de partager une vidéo qui a fait le tour du web. On y voit son robot humanoïde de 1,67 mètre et 70 kilos manipuler un panier à linge et charger tranquillou billou une machine à laver. Sa fille ajoute même un petit vêtement au panier pendant la démo, prouvant ainsi que la scène n’est pas entièrement pré-programmée.
Ça se passe chez lui, dans sa propre maison et pas dans un labo aseptisé avec des conditions parfaites, et c’est pour ça que ça marche et que pour une fois, on a envie d’y croire ! Ce robot fonctionne grâce à Helix, une IA maison que Figure AI décrit comme un “modèle généraliste vision-langage-action”.
Lors de sa dernière apparition, il ne pouvait contrôler que le haut du corps et déplacer des objets et là, y’a eu de gros progrès puisqu’on le voit faire des mouvements de plus en plus précis. Mais attention, rangez-moi tout de suite cette carte bleue bande de victimes du capitalisme car ces robots ne sont pas encore prêts pour une utilisation domestique généralisée. C’est une question de sécurité notamment car un robot de 70 kilos en métal et plastique, ça peut faire des dégâts si ça se plante ou si ça se rebelle comme dans le film iRobot.
D’ailleurs, Figure AI n’est pas seul sur ce créneau puisque le R2D3 d’OpenDroids, dévoilé au CES 2025, excelle aussi dans les tâches multiples et variées comme la vaisselle, le pliage de linge… etc. vous voyez l’idée. Prix estimé ? 60 000 dollars. Aïe. Je vais commencer à mettre un peu de blé de côté parce que le jour où il en vendent un qui peut tirer des troncs et creuser des trous, c’est sûr, je flambe le Livret A !!
On est en 2025, et le marché mondial des robots domestiques dépasse déjà les 20 milliards de dollars. Rien qu’en France, plus d’un foyer sur trois possède déjà au moins un robot domestique. J’imagine que ce sont principalement des robots aspirateurs, des robots de piscine et des robots tondeuse…
En tout cas, le cabinet Morgan Stanley pousse la projection un milliard de robots humanoïdes en service dans le monde en 2050. C’est fou, ça représente quand même un marché de 5 000 milliards de dollars. Je sais pas si c’est une bonne idée niveau écologie tout ça…
Mais revenons à notre petit Figure 02. La société, valorisée à 2,6 milliards de dollars après avoir levé 675 millions auprès de géants comme NVIDIA et Intel, prévoit des tests alpha dans de vraies maisons d’ici fin 2025. Brett Adcock, si tu me lis, JE SUIS VOLONTAIRE POUR LES BETA TESTS MON POTE !!!
De son côté, Boston Dynamics perfectionne également son Atlas dont je vous ai déjà parlé, 1X Technologies développe son Neo Gamma spécifiquement pour les tâches domestiques, et les Chinois d’Unitree proposent leurs G1 et H1 à partir de 13 000 euros. Tesla promet même un prix sous les 20 000 dollars pour son Optimus, mais bon, le marché pour les robots faisant des saluts nazis est un peu restreint depuis 1945.
Voilà, en tout cas, j’ai trouvé cette vidéo d’Adcock très cool car pour une fois, on voit un de ces robots dans la vie réelle, en train de faire un vrai truc et pas juste une démo dans un environnement contrôlé.
Si vous planifiez un voyage aux États-Unis, vous savez surement déjà que vos téléphones et ordinateurs peuvent être fouillés par les douanes américaines. Sauf que depuis quelques jours, les chiffres relatifs à ces fouilles sont sortis. Entre avril et juin 2025, le CBP (Customs and Border Protection) a inspecté 14 899 appareils électroniques, ce qui est un record qui dépasse de 16,7% le précédent pic de début 2022.
Pour les non-citoyens américains, c’est simple, refuser de donner son mot de passe peut signifier un refus d’entrée sur le territoire. Tous les voyageurs étrangers, même avec un visa valide, peuvent ainsi être refoulés en un claquement de doigt. Par contre, les citoyens américains ne peuvent pas être empêchés d’entrer dans leur pays, mais leurs appareils peuvent être confisqués durant des semaines, voire des mois.
Perso, j’attendrais que Trump parte et que les américains se détendent un peu du slip avant de remettre les pieds là bas. D’ailleurs le tourisme s’est bien cassé la gueule à cause de Donald. C’est dommage quand même..
Le 5e Amendement protège les droits des américains de ne pas révéler verbalement leur mot de passe, mais les tribunaux permettent souvent aux agents de vous contraindre à déverrouiller votre téléphone avec votre empreinte ou votre visage. D’où l’astuce répandue qui consiste à désactiver Face ID et Touch ID avant d’arriver à la frontière.
Les experts en sécurité recommandent plusieurs stratégies. J’avais moi-même fait un article sur le sujet il y a quelques temps. En gros, faut utiliser un téléphone de voyage avec données minimales, mais pas trop épuré pour éviter les soupçons. Transférer temporairement photos et fichiers sensibles vers le cloud, puis les supprimer localement. Et bien sûr désinstaller les réseaux sociaux avant le voyage. Perso, d’ordinaire, j’opte pour un achat de smartphone pas cher qui me servira juste pour le quotidien là bas. C’est un peu relou mais bon, après une fois la frontière passée, il est toujours possible de réinstaller d’autres app ou d’aller voir ses emails via un VPN.
Une nuance importante de tout ce bordel, c’est surtout que depuis 2017, la politique du CBP interdit officiellement l’accès aux données stockées dans le cloud. Les agents ne peuvent fouiller que ce qui est physiquement présent sur l’appareil. Emails, messages et posts sur serveurs distants restent donc théoriquement protégés, mais si vous gardez des copies locales de ça sur votre appareil, c’est mort.
Et pour les journalistes et les avocats, la protection reste floue… En effet, le CBP mentionne des “limitations” pour tout ce qui est informations professionnelles protégées, mais sans détailler lesquelles ni comment elles s’appliquent concrètement. Donc méfiance les amis, car Oncle Sam est très curieux en ce moment…
Le bidouilleurs et leur capacité à détourner littéralement n’importe quoi pour y faire tourner DOOM, perso j’adore ! Et là, Aaron Christophel vient de franchir un nouveau cap en transformant une station de charge Anker Prime (lien affilié) en console de jeu. Oui, vous allez pouvoir joueur sur votre chargeur entre deux sessions de recharge.
L’histoire commence par une découverte intéressante… En bon hacker, Christophel analyse la station Anker Prime qu’il vient d’acheter et réalise que le hardware embarqué est bien plus costaud que prévu. Sous le capot, on trouve un ESP32-C3 pour le Bluetooth, mais surtout un microcontrôleur ARM Synwit SWM341RET7 cadencé à 150 MHz, accompagné de 16 Mo de flash et 8 Mo de RAM. Pour un simple chargeur, c’est du luxe !
Et puis il y a l’écran ! Et quel écran puisqu’il fait 200×480 pixels. C’est pas énorme, c’est vrai mais LARGEMENT suffisant pour afficher les couloirs de la base Martienne et les affreux démons pixelisés. Et le meilleur dans tout ça c’est qu’A’aucune modification hardware n’est nécessaire. Christophel a simplement chargé son code et hop, DOOM tourne.
Mais comment on joue sur un chargeur, me direz-vous ? Eh bien, c’est tout l’art de cette prouesse. Pour cela, le développeur utilise la molette rotative de la station comme contrôleur principal. On pousse pour avancer, on tourne pour se diriger, et on appuie pour tirer. C’est pas le summum de l’ergonomie, mais ça fonctionne ! Les contrôles sont surprenamment jouables, même si naviguer dans les niveaux demande un certain temps d’adaptation.
Techniquement, le jeu tourne de manière fluide, mais Christophel a dû faire quelques compromis. Le mode plein écran s’avère trop gourmand pour le processeur, et globalement l’expérience reste “un peu bancale” selon ses propres mots. Mais franchement, quand on voit DOOM tourner sur une station de charge, on va pas chipoter sur la fluidité.
Bref, un appareil de plus dans la longue liste des portages de DOOM sur des bidoules improbables. Christophel n’en est d’ailleurs pas à son coup d’essai puisqu’il avait déjà fait tourner le jeu sur une brosse à dents électrique. Entre les calculatrices, les réfrigérateurs connectés, les PDF et maintenant les chargeurs, on se demande s’il existe encore un appareil électronique incapable de faire tourner ce chef-d’œuvre de 1993.
Et ce qu’on découvre aussi c’est que cette station Anker n’est pas qu’un bête chargeur… c’est un petit ordinateur déguisé, avec suffisamment de ressources pour faire tourner des applications complexes. Christophel l’explique d’ailleurs très bien sur Mastodon : “Le MCU interne SWM34S est juste excellent ! 8 Mo de RAM + 16 Mo de flash directement mappés en mémoire, ça déchire.”
Alors si un simple chargeur peut faire tourner DOOM, qu’est-ce qui nous empêche d’imaginer des fonctionnalités plus poussées ? Par exemple, un chargeur qui affiche vos mails, votre météo, qui sert de hub domotique ? Ou qui se fait infecter par un virus dont l’objectif est de le faire exploser ?
Une fois encore, la seule limite des hackers c’est l’imagination. Et visiblement, Aaron Christophel n’en manque pas. Maintenant, reste à savoir quel sera le prochain appareil à rejoindre la grande famille des supports DOOM ???
Le 27 juin 2017, vers 10h30 du matin, j’étais tranquillement en train de prendre mon café quand j’ai vu les premières alertes sur Twitter.
Des entreprises ukrainiennes signalaient des attaques de malwares massives. Au début, j’ai pensé “encore un ransomware, rien de nouveau sous le soleil” puis au bout de quelques heures, j’ai compris qu’on était face à quelque chose de totalement différent. Ce n’était pas un ransomware. C’était une arme de destruction qui allait coûter plus de 10 milliards de dollars à l’économie mondiale.
Et le plus fou dans tout ça c’est que ce malware ne réclamait que 300 dollars de rançon. Une misère comparée aux dégâts. Mais c’est justement là que résidait le piège : NotPetya n’était pas fait pour gagner de l’argent. Il était fait pour détruire.
Voici donc aujourd’hui l’histoire de la cyberattaque la plus dévastatrice de tous les temps, et comment un serveur situé au Ghana a miraculeusement sauvé l’une des plus grandes entreprises du monde.
Pour comprendre NotPetya, il faut d’abord comprendre le contexte. Et entre nous, c’est pas joli joli. Depuis 2014, l’Ukraine et la Russie sont en conflit. Pas seulement sur le terrain avec l’annexion de la Crimée et la guerre dans le Donbass, mais aussi dans le cyberespace. Les hackers russes, et plus particulièrement un groupe appelé Sandworm (on y reviendra), mènent une guerre d’usure numérique contre l’Ukraine.
En décembre 2015, a lieu la première frappe majeure : BlackEnergy. Ce malware coupe l’électricité à 230 000 Ukrainiens en plein hiver. C’est la première fois dans l’histoire qu’une cyberattaque réussit à éteindre un réseau électrique. Les hackers ont pris le contrôle des systèmes SCADA, ouvert les disjoncteurs à distance, et même effacé les systèmes pour empêcher un redémarrage rapide. Bon gros niveau déjà !
Un an plus tard, en décembre 2016, rebelote. Cette fois avec un malware encore plus sophistiqué : Industroyer (aussi appelé CrashOverride). Une sous-station électrique au nord de Kiev est touchée. L’attaque est plus limitée mais le message est clair : on peut vous plonger dans le noir quand on veut. Et le pire, c’est que d’après les experts qui l’ont étudié, Industroyer était conçu pour détruire physiquement l’équipement électrique, pas juste l’éteindre.
Ces attaques, c’est l’œuvre du groupe Sandworm, aussi connu sous le nom d’APT44. Ces mecs, c’est l’élite du hacking russe, rattachés à l’unité 74455 du GRU, le renseignement militaire. Leur nom vient du roman de science-fiction “Dune” de Frank Herbert car dans le livre, les vers des sables sont des créatures énormes qui vivent sous le désert et peuvent surgir n’importe où pour dévorer leur proie. Exactement comme ce groupe de hackers. Un peu chelou comme référence, mais efficace !
Sandworm, ce ne sont donc pas des script kiddies qui glandouillent dans leur garage. Ces types ont développé certains des malwares les plus sophistiqués jamais vus, ils sont patients, méthodiques, et surtout, ils ont les moyens d’un État derrière eux. Et leur mission numéro 1, c’est de déstabiliser l’Ukraine par tous les moyens numériques possibles. Du coup, ils ne vont pas se gêner.
Mais en 2017, ils vont passer à la vitesse supérieure. Leur nouvelle cible c’est l’économie ukrainienne dans son ensemble et pour ça, ils vont infecter un logiciel que tout le monde utilise déjà. Une sacrée idée !
Voici, voilà M.E.Doc. Si vous faites du business en Ukraine, vous connaissez forcément M.E.Doc. C’est LE logiciel de comptabilité et de déclaration fiscale du pays. Développé par une petite entreprise familiale appelée Linkos Group (anciennement Intellect Service, créée en 1990), il est utilisé par environ 80% des entreprises ukrainiennes. C’est simple, sans M.E.Doc, vous ne pouvez pas payer vos impôts en Ukraine. C’est un peu l’équivalent ukrainien de TurboTax, mais en version obligatoire pour tout le monde.
La société derrière M.E.Doc, c’est l’histoire typique d’une PME qui a réussi. Créée par la famille Linnik, dirigée aujourd’hui par Olesya Linnik qui a repris l’affaire familiale, elle emploie une poignée de développeurs et domine son marché de niche. Le problème c’est que la sécurité informatique, c’est pas vraiment leur priorité. Et ça, ça craint…
M.E.Doc.
…. car les hackers de Sandworm l’ont bien compris. Pourquoi attaquer des milliers d’entreprises individuellement quand on peut toutes les infecter d’un coup via leur point commun ? C’est exactement ce qu’ils vont faire.
Les experts estiment que Sandworm a compromis les serveurs de M.E.Doc dès avril 2017, peut-être même avant. Pendant des semaines, voire des mois, ils ont eu un accès total aux serveurs de mise à jour du logiciel, attendant le bon moment pour frapper.
Et ils vont prendre tout leur temps.
Le 18 mai 2017, premier test… ils distribuent le ransomware XData via une mise à jour M.E.Doc. L’attaque est limitée mais elle fonctionne. Les hackers savent maintenant qu’ils peuvent weaponiser le système de mise à jour. Bref, la voie royale est ouverte.
Mais XData, c’était juste l’échauffement. Pour le plat principal, ils préparent quelque chose de beaucoup plus destructeur. Ils prennent le code de Petya, un ransomware qui existe depuis 2016, et le modifient complètement. Le nouveau malware ressemble à Petya, mais c’est un loup déguisé en mouton. Une sacrée transformation !
Le 27 juin 2017, c’est le jour J. Pourquoi cette date ? Ce n’est pas un hasard car le 28 juin, c’est le Jour de la Constitution en Ukraine, un jour férié. Beaucoup d’entreprises ferment pour un long week-end et les hackers savent que les équipes IT seront réduites, les réactions plus lentes. Du coup, c’est un timing parfait pour foutre encore plus de bordel.
À 10h30 du matin, heure de Kiev, une mise à jour M.E.Doc est poussée. Elle contient NotPetya et en quelques secondes, le malware commence à se répandre. Et là, c’est l’apocalypse numérique qui commence et je n’exagère pas.
NotPetya est une merveille d’ingénierie malveillante. D’abord, il utilise EternalBlue, le même exploit de la NSA qui avait permis à WannaCry de se propager un mois plus tôt. Si votre Windows n’est pas patché avec MS17-010 (et beaucoup ne le sont pas), NotPetya peut alors sauter d’une machine à l’autre sans aucune interaction humaine. Ça se répand automatiquement…
Mais les créateurs de NotPetya ont appris de WannaCry. Ils savent que beaucoup ont maintenant installé le patch MS17-010, alors ils ajoutent une deuxième méthode de propagation encore plus redoutable : Mimikatz. Cet outil extrait les mots de passe depuis la mémoire Windows et une fois qu’il a des identifiants valides, NotPetya utilise PsExec et WMI, des outils d’administration Windows totalement légitimes, pour se propager latéralement. C’est diabolique !
D’ailleurs, le génie maléfique de NotPetya, c’est qu’il se fait passer pour un ransomware. L’écran affiche un message typique : “Vos fichiers ont été chiffrés, payez 300$ en Bitcoin pour récupérer vos données.” et y’a même une adresse email de contact : [email protected]. Tout semble normal pour un ransomware classique. Mais c’est du pipeau total !!
NotPetya ne chiffre pas vraiment vos fichiers de manière récupérable. Il détruit le Master Boot Record (MBR) de votre disque dur, puis chiffre la Master File Table (MFT). En gros, il rend votre ordinateur complètement inutilisable. Même si vous payez, vos données sont perdues pour toujours. C’est pas un ransomware, c’est un wiper déguisé.
Pire encore, le système de paiement est complètement bidon. L’adresse email est rapidement suspendue par Posteo, ce qui fait que même si vous vouliez payer, vous ne pourriez pas. C’est là qu’on comprend que NotPetya n’est pas un ransomware. C’est un destructeur pur et dur, déguisé en ransomware pour tromper son monde.
Mais revenons un peu à l’Ukraine qui est frappée de plein fouet. En quelques minutes, c’est le chaos total. Le métro de Kiev s’arrête, les distributeurs de billets ne fonctionnent plus. L’aéroport de Boryspil, le plus grand du pays, doit passer aux opérations manuelles. Les employés écrivent les informations de vol sur des tableaux blancs. C’est du délire !
Oschadbank, l’une des plus grandes banques d’Ukraine, voit alors son réseau entier s’effondrer en 45 secondes. 45 secondes ! Le temps de prendre une gorgée de café et tout est détruit. Les employés regardent, impuissants, leurs écrans afficher le faux message de rançon. C’est terrifiant.
Les ministères, les médias, les entreprises d’énergie, tout le monde est touché. C’est comme si quelqu’un avait appuyé sur un interrupteur géant et éteint l’infrastructure tech du pays. Les chaînes de télévision passent en mode urgence, diffusant depuis des studios de fortune. Même la centrale de Tchernobyl perd ses systèmes de monitoring des radiations !
Mais NotPetya ne s’arrête pas aux frontières ukrainiennes car le malware se propage via les connexions VPN des multinationales. Ainsi, si votre filiale ukrainienne est infectée et connectée au réseau global, c’est fini. NotPetya déferle sur vos systèmes comme un tsunami numérique.
Et c’est exactement ce qui arrive à Maersk, le géant danois du transport qui a une petite présence en Ukraine. Un tout petit bureau à Odessa avec une poignée d’employés. L’un d’eux a M.E.Doc installé pour gérer la comptabilité locale. Ça représente une seule machine. Un seul point d’entrée. Mais c’est suffisant pour foutre en l’air l’une des plus grandes entreprises au monde.
À Copenhague, au siège de Maersk, les premiers signes apparaissent vers midi. Des employés voient des messages étranges : “Réparation du système de fichiers sur C:”. Puis les ordinateurs commencent à s’éteindre… Un par un, puis par dizaines, puis par centaines. L’infection se propage à la vitesse de la lumière.
Un employé de l’IT raconte : “On a vu l’infection se propager en temps réel sur nos écrans de monitoring. C’était comme regarder un feu de forêt numérique. On essayait de couper les connexions, d’isoler les segments, mais c’était trop rapide. En une heure, tout était foutu
Maersk, c’est pas n’importe quelle entreprise. C’est le plus grand armateur du monde. Ils gèrent 76 ports, plus de 800 navires, et transportent environ 20% du commerce maritime mondial. Quand Maersk s’arrête, c’est une partie significative du commerce mondial qui s’arrête. Rien que ça !
Les terminaux portuaires de Maersk dans le monde entier tombent les uns après les autres. Los Angeles, Rotterdam, Mumbai… Les grues s’arrêtent, les camions font la queue, les conteneurs s’empilent. Un porte-conteneurs arrive en moyenne toutes les 15 minutes dans un port Maersk. Chaque navire transporte 10 000 à 20 000 conteneurs. Faites le calcul… il faut traiter un conteneur toutes les 6 centièmes de seconde. Sans ordinateurs, c’est totalement impossible.
À Rotterdam, le plus grand port d’Europe, les opérateurs regardent, impuissants, leurs écrans devenir noirs. Les systèmes qui dirigent les grues automatisées, qui trackent les conteneurs, qui gèrent les douanes, tout est mort. Des milliers de camions commencent à former des files interminables. C’est le chaos logistique total.
Mais Maersk a un problème encore plus grave. NotPetya n’a pas seulement détruit leurs ordinateurs de bureau. Il a annihilé leur infrastructure IT centrale. Les 150 contrôleurs de domaine Active Directory de Maersk, répartis dans le monde entier, sont tous détruits. Simultanément. Du jamais vu !
Pour les non-techniciens, imaginez Active Directory comme l’annuaire téléphonique géant de l’entreprise. Il gère qui peut se connecter, qui a accès à quoi, comment les ordinateurs se parlent entre eux. Sans Active Directory, votre réseau d’entreprise n’existe plus. C’est comme si on avait détruit tous les panneaux de signalisation, toutes les cartes, tous les GPS d’un pays en même temps.
Le pire c’est que ces contrôleurs de domaine de Maersk étaient configurés pour se synchroniser entre eux. En théorie, c’est une bonne idée car si l’un tombe, les autres prennent le relais. Mais en pratique, ça signifie que quand NotPetya en infecte un, il les infecte tous. La redondance censée protéger l’entreprise devient alors le vecteur de sa destruction.
Et c’est là qu’intervient le miracle du Ghana. Dans le chaos de la reconstruction, les équipes IT de Maersk font l’inventaire des dégâts. 4 000 serveurs détruits. 45 000 PC inutilisables. 150 contrôleurs de domaine annihilés. Ils cherchent désespérément une sauvegarde, n’importe quoi pour reconstruire.
Et puis, quelqu’un mentionne le Ghana. Maersk a des bureaux à Accra, la capitale. Par un coup de chance incroyable, ce bureau avait subi une panne de courant le matin du 27 juin. Le contrôleur de domaine local présent là bas était offline quand NotPetya a frappé. C’est une simple panne d’électricité qui sauve une entreprise de 60 milliards de dollars !
Un employé se souvient : “Quand on a réalisé ce qu’on avait, c’était comme trouver le Saint Graal. Un contrôleur de domaine intact. Le seul sur 150. Notre ticket de retour à la vie.” Franchement, on peut dire qu’ils ont eu du bol !
Mais le serveur est au Ghana, et les données doivent être rappatriées au Royaume-Uni, plus exactement au QG IT de Maersk à Maidenhead. Commence alors une course contre la montre digne d’un film d’action.
Le responsable de Maersk en Afrique de l’Ouest, basé au Ghana, prend personnellement le disque dur du serveur. Mais problème ! Il n’y a pas de vol direct Ghana-Londres. Il doit d’abord voler vers Lagos, au Nigeria et de là, il prend un vol pour Londres, puis un taxi jusqu’à Maidenhead. Une véritable course de relais avec plusieurs centaines de gigaoctets de données critiques dans un bagage à main.
Pendant ce temps, à Maidenhead, c’est l’état de guerre. Maersk a mobilisé des centaines d’employés et fait appel à Deloitte pour la reconstruction. Ils ont commandé des milliers de nouveaux ordinateurs. Les fournisseurs sont en rupture de stock tellement la demande est massive. Apple, Dell, HP… tout le monde mobilise ses stocks.
L’ambiance est surréaliste. Des développeurs dorment sous leur bureau. La cantine est ouverte 24/7. Des équipes entières sont mobilisées juste pour déballer et configurer les nouveaux PC. C’est la plus grande opération de récupération IT de l’histoire. Et on peut dire qu’ils y mettent les moyens !
Alors quand le disque dur du Ghana arrive enfin, c’est l’euphorie !! Les équipes peuvent commencer à reconstruire leur Active Directory. Mais c’est juste le début. Il faut réinstaller 45 000 PC, 4 000 serveurs, reconfigurer des milliers d’applications. Un travail de titan !
Pendant 10 jours, Maersk opère en mode complètement dégradé. Les employés utilisent WhatsApp sur leurs téléphones personnels pour communiquer. Les opérations portuaires se font avec papier et crayon. Des employés en Inde reçoivent des appels de collègues européens qui dictent des commandes par téléphone. C’est du bricolage.
Et dans les ports, c’est un chaos créatif car à certains endroits, on ressort des vieux ordinateurs des années 90 qui ne peuvent pas être infectés par NotPetya. Ailleurs, on installe des versions piratées de Windows sur des machines personnelles. Tout est bon pour faire bouger les conteneurs. C’est la nécessité qui commande !
Le coût pour Maersk ? Entre 250 et 300 millions de dollars. Mais ils ont eu de la chance car sans le serveur du Ghana, ça aurait pu être bien pire. Certains experts estiment qu’une reconstruction complète depuis zéro aurait pris des mois et coûté des milliards. Bref, merci la panne de courant ghanéenne !
Bon, Maersk n’est pas la seule victime de poids. Merck, le géant pharmaceutique américain, est également frappé de plein fouet. NotPetya détruit leurs systèmes de production, de recherche, de vente. Des usines qui produisent des vaccins vitaux doivent s’arrêter. Pas terrible pour la santé publique…
Merck aussi avait une filiale en Ukraine qui utilisait M.E.Doc. Une petite opération locale qui devient la porte d’entrée pour une catastrophe globale. Les dégâts sont estimés à 870 millions de dollars. On n’est pas loin du milliard et Merck doit jeter des lots entiers de vaccins parce que les systèmes de contrôle qualité sont détruits. Impossible de garantir que les vaccins ont été produits selon les normes sans les données informatiques. Des patients dans le monde entier subissent des retards pour leurs traitements. L’impact humain de cette cyberattaque est énorme.
FedEx aussi morfle sévère via sa filiale TNT Express. Les systèmes de TNT sont tellement détruits et certaines données ne seront jamais récupérées. Des colis sont perdus, les clients sont furieux et FedEx annonce 400 millions de dollars de pertes. Ça fait cher le paquet !
Le PDG de FedEx déclare lors d’une conférence : “On pensait que TNT était bien protégée. Ils avaient des sauvegardes, des plans de récupération. Mais NotPetya a tout détruit, y compris les sauvegardes. C’était comme si une bombe nucléaire avait explosé dans nos systèmes.” Ça résume bien la situation…
Mondelez, le fabricant des biscuits Oreo et du chocolat Cadbury, perd également 188 millions. Leurs lignes de production s’arrêtent, les commandes ne peuvent plus être traitées. Dans certaines usines, on revient aux bons de commande papier des années 80. Retour vers le futur, version cauchemar !
Saint-Gobain, le géant français des matériaux de construction, lui aussi encaisse 384 millions de pertes. Leur PDG raconte : “On a dû couper notre réseau mondial en morceaux pour empêcher la propagation. C’était comme amputer des membres pour sauver le corps.” Métaphore pas très joyeuse, un peu gore, mais très parlante.
Au total, les experts estiment les dégâts de NotPetya à plus de 10 milliards de dollars. Dix. Milliards. Pour un malware distribué via un obscur logiciel de comptabilité ukrainien. C’est la démonstration terrifiante de l’interconnexion de notre économie mondiale. Vous connaissez l’effet papillon ? Eh bien là, c’est l’effet tsunami !
Mais alors qui est derrière NotPetya ? Et bien comme je vous le disais, les indices pointent tous vers la Russie. Le timing (juste avant un jour férié ukrainien), la méthode (via un logiciel spécifiquement ukrainien), les victimes (principalement l’Ukraine), tout colle. C’est du travail de pro, avec un petit côté amateur dans les dégâts collatéraux.
En février 2018, les États-Unis et le Royaume-Uni accusent alors officiellement la Russie. Plus précisément, ils pointent du doigt le GRU et notre vieille connaissance, le groupe Sandworm. La même unité 74455 qui avait attaqué le réseau électrique ukrainien. Des incorrigibles récidivistes, ces gens-là !
Et le 19 octobre 2020, le département de Justice américain va plus loin. Il inculpe six officiers du GRU pour NotPetya et d’autres cyberattaques. Parmi eux : Yuriy Andrienko, Sergey Detistov, Pavel Frolov, Anatoliy Kovalev, Artem Ochichenko et Petr Pliskin. Le département d’État offre même 10 millions de dollars de récompense pour des infos sur ces gars.
Ces noms ne vous disent probablement rien, mais pour les experts en cybersécurité, c’est du lourd car ce sont les cerveaux derrière certaines des cyberattaques les plus dévastatrices de la décennie : BlackEnergy, Industroyer, NotPetya, Olympic Destroyer… Une belle collection ! Bien sûr, ils sont en Russie, intouchables, mais au moins, on a des noms sur les visages du chaos.
L’accusation révèle alors des détails fascinants. Les hackers ont utilisé des comptes mail ProtonMail pour coordonner l’attaque. Ils ont loué des serveurs avec des bitcoins volés. Ils ont même fait des erreurs opérationnelles, comme utiliser la même infrastructure pour différentes attaques, ce qui a permis de les relier. Hé oui, personne n’est parfait, même les hackers d’élite !
Mais revenons à M.E.Doc. Après l’attaque, les autorités ukrainiennes débarquent dans les bureaux de Linkos Group et ce qu’ils y trouvent est affligeant. Les serveurs n’ont pas été mis à jour depuis au moins 4 ans et les patches de sécurité sont inexistants. La police ukrainienne est furieuse. Le chef de la cyberpolice, Serhiy Demedyuk, déclare même : “Ils savaient que leur système était compromis mais n’ont rien fait. Si c’est confirmé, il y aura des poursuites.” La négligence de cette petite entreprise familiale a coûté des milliards à l’économie mondiale. Une responsabilité un peu lourde à porter…
Les propriétaires de M.E.Doc, la famille Linnik, sont dans le déni total. Olesya Linnik, la directrice, insiste : “Notre logiciel n’est pas infecté. Nous l’avons vérifié 100 fois.” et même face aux preuves accablantes, ils refusent d’accepter leur responsabilité. Du déni de niveau professionnel !
Sergei Linnik et sa Olesya Linnik
Finalement, sous la pression, ils finissent par admettre que leurs serveurs ont été compromis dès avril 2017, mais le mal est fait et surtout la confiance est brisée. De nombreuses entreprises ukrainiennes cherchent des alternatives, mais c’est compliqué car M.E.Doc est tellement intégré au système fiscal ukrainien qu’il est presque impossible de s’en passer.
Avec. NotPetya, c’est la première fois qu’une cyberattaque cause des dommages collatéraux massifs à l’échelle mondiale. Les Russes visaient l’Ukraine, mais ont touché le monde entier. Totalement incontrôlable surtout que les implications sont énormes. Si un logiciel de comptabilité ukrainien peut paralyser des géants mondiaux, qu’est-ce qui empêche d’autres acteurs de faire pareil ? Combien d’autres M.E.Doc sont en sommeil, attendant d’être exploités ?
Suite à NotPetya, la réponse de l’industrie a été mitigée. Certaines entreprises ont renforcé leur sécurité, segmenté leurs réseaux, amélioré leurs sauvegardes. D’autres ont juste croisé les doigts en espérant ne pas être les prochaines. C’est de l’Autruche-Sec : la tête dans le sable et on verra bien…
L’affaire des assurances est aussi particulièrement intéressante car beaucoup de victimes de NotPetya avaient des cyber-assurances. Mais les assureurs ont invoqué la clause d’exclusion des “actes de guerre” avec comme argument que NotPetya était une attaque d’État, donc pas couverte. Ceux là, ils ne veulent jamais payer et après ils s’étonnent que tout le monde les détestent. Bref…
Merck a dû se battre pendant des années devant les tribunaux et en 2022, ils ont finalement gagné car le juge a estimé que la clause d’exclusion ne s’appliquait pas aux cyberattaques. C’est un précédent majeur qui redéfinit ce qu’est un acte de guerre au 21e siècle. Il fallait y penser ! Et Mondelez a eu moins de chance car leur assureur, Zurich, a refusé de payer en invoquant la même clause. L’affaire est toujours en cours avec des milliards de dollars sont en jeu. À suivre…
Pour l’Ukraine, NotPetya est une blessure qui ne guérit pas facilement. Mais les Ukrainiens sont résilients et ils ont appris de leurs erreurs. Depuis NotPetya, l’Ukraine est devenue un véritable laboratoire de la cyberguerre. Ils ont renforcé leurs défenses, créé de nouvelles unités cyber, développé une expertise unique. Ainsi, quand la Russie a lancé son invasion totale en 2022, l’Ukraine était mieux préparée sur le front numérique.
Sandworm, de son côté, n’a pas chômé. Ils sont derrière la plupart des cyberattaques majeures contre l’Ukraine depuis 2022 : Industroyer2, HermeticWiper, et d’autres joyeusetés, mais ils n’ont jamais réussi à reproduire l’impact de NotPetya. Les défenses se sont améliorées, les entreprises sont plus prudentes. Tout le monde apprend de ses erreurs !
Je pense qu’avec NotPetya, les hackers ont probablement été surpris par leur propre succès. Ils voulaient s’attaquer à l’Ukraine, et pas paralyser Maersk ou Merck… mais une fois lâché, leur bébé était totalement incontrôlable. C’est le problème avec les armes numériques… elles ne s’arrêtent pas à la frontière, surtout que le vent numérique, c’est pas facile à prévoir !
Les experts estiment que NotPetya a infecté plus de 300 000 ordinateurs dans 150 pays et aujourd’hui, ce malware reste une référence dans le monde de la cybersécurité. C’est le “plus jamais ça” de l’industrie. Quoiqu’il en soit, cette histoire du serveur du Ghana reste ma préférée, car dans toute cette sophistication technologique, c’est une simple panne de courant qui a permis de sauver Maersk.
On a construit des systèmes d’une complexité inimaginable, interconnectés à l’échelle planétaire, on pensait les contrôler, mais NotPetya a montré notre vulnérabilité fondamentale. Alors la prochaine fois que vous avez la flemme de faire une mise à jour, n’oubliez pas NotPetya.
Il y a quelque chose de profondément ancré dans notre psyché collective concernant l’écran bleu de la mort, le fameux BSOD ! Cette teinte de bleu si particulière, ce code d’erreur cryptique, ce QR code mystérieux apparu dans les dernières versions de Windows… Pour certains, c’est un traumatisme. Pour d’autres, c’est devenu un art. BSoDMaker appartient clairement à cette seconde catégorie.
L’idée de transformer le symbole ultime de la frustration informatique en outil créatif est géniale, car combien de fois avez-vous vu ce fameux écran bleu apparaître au pire moment possible ? Alors si au lieu de le subir, vous pouviez le créer, le personnaliser, le transformer en œuvre d’art numérique ou en super blague ?
BSoDMaker vous permet exactement de faire ça. Vous cliquez sur n’importe quel texte de l’écran pour le modifier, comme ça vous pouvez le message d’erreur classique par votre propre texte humoristique. Ou alors changer le stop code en quelque chose de plus créatif. Et même le QR code est personnalisable, ce qui ouvre des possibilités infinies ^^.
Le plus beau dans tout ça, c’est que l’outil génère une image JPG en Full HD que vous pouvez ensuite télécharger directement pour en faire un fond d’écran surprise pour le PC d’un collègue, l’intégrer à un support de formation pour expliquer les erreurs Windows sans faire crasher de vraies machines, ou même l’utiliser comme création artistique pour illustrer un article sur les bugs chelous.
Il existe bien sûr plusieurs générateurs de BSOD, mais BSoDMaker est full web et hyper simple à utiliser. C’est juste une page web. Y’a aussi des sites comme FakeBSOD.com qui proposent des approches différentes avec détection automatique de l’OS, mais BSoDMaker mise sur la personnalisation totale.
Le mode plein écran est également redoutable pour les pranks. Vous laissez l’onglet ouvert en fullscreen sur un PC, vous cachez la barre des tâches, et y’a plus qu’à observe la panique s’installer. A utiliser bien sûr avec parcimonie et bienveillance (NOOOON !! SANS PITIÉ !!).
Voilà, je trouve que ce truc est une forme d’humour tech qui reconnaît nos traumas collectifs tout en les transformant en quelque chose de fun et ludique.
Je me souviens bien du feeling de ces après midi collé devant la NES et plus tard la SNES… C’était une époque où je notais des cheat codes sur des bouts de papiers, et où je testais les Trucs & Astuces du magazine Club Nintendo…
Et si j’évoque cet age d’or aujourd’hui, c’est parce que RetroAssembly vient de créer quelque chose qui va encore plus faire vibrer votre corde nostalgique tout en résolvant tous ces petits tracas du passé.
RetroAssembly, c’est ce qu’on appelle une station de retrogaming personnelle qui tient dans un onglet de navigateur. Pas d’installation, pas de configuration compliquée, juste votre collection de jeux rétro accessible depuis n’importe quel appareil. Vous verrez qu’après avoir testé cette plateforme, vous aurez l’impression d’avoir retrouvé votre chambre de jeune gamer…
Le principe c’est d’y uploader vos ROMs (celles que vous possédez légalement bien sûr), et RetroAssembly s’occupe du reste. La plateforme reconnaît automatiquement vos jeux, récupère les jaquettes originales, et organise tout ça dans une interface qui respire bon le rétro sans tomber dans le kitsch. Plus de 20 systèmes sont supportés, de l’Atari 2600 à la Game Boy Advance, en passant par la Neo Geo Pocket et même la Virtual Boy (oui, cette console que Nintendo préfère oublier).
Y’a même une synchro cloud intégrée, comme ça, vous pouvez commencer une partie de Super Metroid sur votre PC au bureau (pendant la pause déjeuner évidemment), et vous la reprenez exactement où vous l’aviez laissée sur votre tablette le soir. Plus besoin de refaire trois fois le même niveau parce que vous avez changé d’appareil et pour les perfectionnistes, la fonction rewind est disponible sur certains émulateurs comme ça en appuyant sur la touche R, vous remonterez le temps comme Marty McFly, pour corriger cette erreur stupide qui vous a fait perdre votre dernière vie.
La technologie d’émulation sur les navigateurs web a considérablement évolué ces dernières années et RetroAssembly, propulsé par Nostalgist.js, une bibliothèque JavaScript qui fait des miracles en matière d’émulation, en est la preuve vivante. Je regrette juste ce “bug” où quand on lance un jeu, y’a une demande pour activer la webcam… De ce que j’ai compris, quand RetroArch est compilé en Emscripten (pour sa version web), il continue quand même d’initialiser ses capacités audio, et doit donc vérifier la disponibilité du microphone. Et cela déclenche alors automatiquement la demande de permission webcam dans Firefox, même si le jeu n’utilise pas cette fonctionnalité.
Notez que l’interface supporte aussi bien le clavier que les manettes, avec une navigation spatiale qui permet de se passer complètement de la souris. Et pour ceux qui jouent sur mobile ou qui veulent retrouver les sensations tactiles d’antan, un contrôleur virtuel apparaît même à l’écran. Faudrait que je le teste avec une vraie manette mais au clavier, parfois c’est pas fou et je galère un peu à mettre ma pièce de Tetris dans la bonne position.
Ah et truc cool, y’a aussi la possibilité d’ajouter des shaders visuels rétro pour recréer l’effet scanlines des vieux téléviseurs cathodiques.
Dans le même esprit que mon test de GAM.ONL, ce type de plateforme full web c’est vraiment l’avenir du retrogaming accessible à tous et RetroAssembly va même encore plus loin en vous permettant de l’auto-héberger via un Docker pour ceux qui veulent garder un contrôle total sur leur collection.
Maintenant, pour essayer RetroAssembly, deux options s’offrent à vous. Soit vous optez pour la version hébergée sur retroassembly.com (recommandée pour commencer) ou vous partez sur l’auto-hébergement si vous êtes du genre à préférer garder vos data et mettre les mains dans le cambouis. Dans les deux cas, le projet étant en phase de développement actif, attendez-vous à voir régulièrement de nouvelles fonctionnalités apparaître !
Voilàc’est, je trouve une belle façon de continuer à jouer, depuis n’importe où, à tous ces vieux jeu sans devoir racheter des dizaines de consoles et de centaines de cartouches (ah si, les cartouches on a dit qu’il fallait les posséder pour les ROMs originales, c’est vrai… ^^).
Vous cliquez sur ce qui semble être un bouton parfaitement normal sur un site web tout à fait normal… Sauf qu’en réalité, vous venez de donner accès à tous ce qui est stocké dans votre gestionnaire de mots de passe. C’est exactement ce que permet une nouvelle technique de clickjacking découverte par le chercheur Marek Tóth et qui affecte potentiellement 40 millions d’utilisateurs dans le monde.
Si vous utilisez 1Password, Bitwarden, LastPass, Enpass, iCloud Passwords ou LogMeOnce, mauvaise nouvelle : ils sont tous vulnérables. En fait, sur les 11 gestionnaires de mots de passe testés, tous présentaient cette faille. Certains ont déjà patché (Dashlane, Keeper, NordPass, ProtonPass et RoboForm), mais pour les autres, c’est toujours open bar pour les hackers.
Selon l’analyse de Marek Tóth, les attaquants exploitent la façon dont les extensions de navigateur injectent leurs éléments dans les pages web. Ils créent une couche invisible par-dessus les boutons du gestionnaire de mots de passe et quand vous pensez cliquer sur un élément tout à fait innocent de la page, vous activez en réalité l’auto-remplissage (autofill) de votre gestionnaire.
Un seul clic suffit. Les pirates peuvent alors récupérer vos identifiants de connexion, vos codes de double authentification, vos numéros de carte bancaire avec le code de sécurité, et même dans certains cas, détourner vos passkeys. Le tout sans que vous ne vous rendiez compte de quoi que ce soit.
Voici une démo avec le piège :
Vous n’avez rien vu ?
Alors regardez cette vidéo maintenant :
D’après BleepingComputer, les réactions des entreprises concernées sont… décevantes. 1Password a classé le rapport comme “hors périmètre”. LastPass l’a marqué comme “informatif”, ce qui en langage corporate signifie “on s’en fout”. LogMeOnce n’a même pas répondu aux chercheurs. Seul Bitwarden affirme avoir corrigé le problème dans la version 2025.8.0, mais les tests montrent que ce n’est pas totalement le cas.
Ce qui est vraiment dommage, c’est que cette vulnérabilité était évitable. Les gestionnaires remplissent automatiquement les identifiants non seulement sur le domaine principal, mais aussi sur tous les sous-domaines donc si un pirate trouve une faille XSS sur n’importe quel sous-domaine d’un site, il peut voler tous vos identifiants stockés pour ce site.
Socket, une entreprise de cybersécurité, a vérifié les résultats et confirme l’ampleur du problème. Les chercheurs ont découvert que 6 gestionnaires sur 9 pouvaient divulguer les détails de carte bancaire, 8 sur 10 les informations personnelles, et 10 sur 11 les identifiants de connexion.
Alors comment se protéger ? Première chose, désactivez l’autofill. Oui, c’est chiant, mais c’est le seul moyen efficace pour le moment. Utilisez le copier-coller pour vos mots de passe. Et sur les navigateurs basés sur Chromium (Chrome, Edge, Brave), configurez l’accès aux sites de vos extensions sur “Au clic” plutôt qu’automatique. Ça vous donne le contrôle sur quand l’extension peut interagir avec la page.
Pour les plus paranos (et on ne peut pas vous en vouloir), activez les demandes de confirmation avant chaque remplissage automatique si votre gestionnaire le permet. C’est une friction supplémentaire, mais au moins vous verrez quand quelque chose tente d’accéder à vos données.
Le plus con dans cette histoire c’est que les gestionnaires de mots de passe sont censés nous protéger, mais cette vulnérabilité transforme notre bouclier en talon d’Achille. Les développeurs veulent rendre leurs outils faciles à utiliser, ce qui est louable mais chaque raccourci pris est une porte potentielle pour les attaquants. Et quand les entreprises ignorent les rapports de sécurité parce qu’elles les jugent “hors périmètre”, ce sont les utilisateurs qui risquent gros…
Bref, attendant que tous les gestionnaires corrigent cette faille, restez vigilants. Un clic de trop et c’est toute votre vie qui peut basculer.
Vous avez déjà eu besoin d’éditer rapidement un fichier audio mais vous n’aviez pas Audacity sous la main ? Ou vous êtes sur un ordinateur où vous ne pouvez pas installer de logiciel ? Alors Wavacity va vous sauver la mise ! (Oui, je sais que vous avez lu Wawacity… lol. Et vous allez voir, ce sera comme ça jusqu’à la fin de cet article… ^^)
Wavacity est tout simplement un portage web d’Audacity qui tourne directement dans votre navigateur. Pas d’install, pas de téléchargement, vous ouvrez le site et vous éditez votre audio, et c’est tout !
Pour vous proposer cette merveille, les développeurs ont porté Audacity en WebAssembly, une technologie qui permet de faire tourner du code natif dans le navigateur. Du coup, ça permet de retrouver l’interface familière d’Audacity avec ses outils de découpage, de collage, d’effets et tout le toutim, mais dans un onglet de navigateur.
Il vous faudra évidemment un navigateur moderne qui supporte cette technologie. Chrome et Firefox sur desktop feront parfaitement l’affaire… Par contre, Safari c’est moins sûr selon les développeurs.
L’interface ressemble trait pour trait à Audacity, ce qui est rassurant si vous connaissez déjà le logiciel. Vous pouvez importer vos fichiers audio, les découper, appliquer des effets, réduire le bruit, faire du multi-pistes… Bref, tout ce qu’on attend d’un éditeur audio digne de ce nom.
Après y’a quand même quelques limitations par rapport à la version desktop d’Audacity. Vous ne pourrez pas par exemple installer des plugins VST ou d’autres extensions externes, ce qui me semble assez logique. Mais pour de l’édition de base et même avancée, ça fait largement le boulot.
Bref, c’est top quand un pote vous demande de lui couper un extrait audio et que vous n’avez pas envie de télécharger et installer Audacity juste pour ça. Ou quand vous êtes sur un ordi public, ou en déplacement, ou dans un environnement où vous n’avez pas de droits administrateur pour installer des outils.
Wavacity rejoint ainsi la famille grandissante des éditeurs audio web comme AudioMass que j’avais déjà testé. Chacun a ses avantages et ses inconvénients, donc à vous de voir lequel vous préférez. Moi perso, je suis plus Ableton Live, même si c’est pas sur le web. Les habitudes, que voulez-vous…
Le projet est open source sous licence GNU GPL v2, comme Audacity, et disponible sur GitHub. Les développeurs précisent bien qu’ils ne sont ni affiliés ni soutenus par l’équipe d’Audacity. C’est un projet indépendant.
Pour un outil de dépannage ou pour des éditions rapides, c’est exactement ce qu’il nous fallait. Et qui sait, les outils portables accessibles en ligne dans le navigateur, c’est peut-être l’avenir ?
Bon, si vous utilisez Plex Media Server pour organiser vos films, séries et musiques, il faut que vous sachiez un truc important : une vulnérabilité vient d’être découverte et heureusement corrigée. Et c’est du sérieux, donc vous allez lire cet article et ensuite filer mettre à jour votre Plex !
La vulnérabilité touche les versions 1.41.7.x à 1.42.0.x du Media Server donc si vous êtes sur une de ces versions, il faudra passer à la 1.42.1.10060 ou plus récente maintenant !! Pas demain, hein ! Maintenant.
Plex reste discret sur les détails techniques de cette faille, pas de CVE attribué pour l’instant, pas d’explications détaillées sur ce qui pouvait être exploité. Mais leur communication parle d’elle-même etont même averti directement leurs utilisateurs par email, ce qui est assez rare. Généralement, ils se contentent des notes de version.
Le bug a été signalée via leur programme de bug bounty, ce qui a permis à Plex de corriger le problème avant qu’il ne soit exploité dans la nature et pour mettre à jour, c’est simple comme bonjour. Soit vous passez par l’interface d’administration de votre serveur, soit vous téléchargez la dernière version sur le site officiel de Plex.
C’est pourquoi le message de Plex est important : maintenez vos serveurs à jour car dans un environnement où nos bibliothèques multimédia sont souvent accessibles depuis l’extérieur, une faille de sécurité peut rapidement devenir problématique.
Mieux vaut être en sécurité que désolé, mes amis ! Pensez-y !
Ce que j’apprécie le plus dans tout ce qui est recherches en physique quantique, ce n’est pas la physique complexe ou les qubits intriqués. Non, c’est parfois la créativité déployée par certains chercheurs pour présenter leurs résultats de factorisation sous le meilleur jour possible, alors qu’en réalité, les machines quantiques actuelles peinent encore à traiter des nombres complexes de manière pratique.
Les chercheurs Peter Gutmann et Stephan Neuhaus viennent en effet de balancer un pavé dans la mare avec leur papier qui démontre méthodiquement comment une partie significative des benchmarks de factorisation quantique “cuisine les chiffres” depuis des années. Et leur conclusion est inquiétante : Une grande partie des benchmarks de factorisation quantique publiés utilisent des méthodes discutables qui surestiment les capacités réelles.
La technique la plus répandue dans ces cas problématiques consiste à sélectionner des “nombres pièges” délibérément conçus pour être factorisés facilement. C’est la même chose qu’un magicien qui prétend deviner votre carte alors qu’il a truqué tout le jeu.
Ces chercheurs choisissent des nombres dont la structure mathématique garantit une factorisation triviale. Au lieu d’utiliser des nombres aléatoirement générés comme dans la vraie cryptographie, ils fabriquent des valeurs où les facteurs premiers ne diffèrent que de quelques bits. Du coup, il suffit d’une recherche basique pour trouver la solution, sans avoir besoin d’un ordinateur quantique. Un VIC-20, un abaque (c’est un boulier) ou même un chien bien dressé y arriveraient selon les auteurs.
Et quand leurs nombres ne sont pas suffisamment faciles, ils utilisent du préprocessing massif sur ordinateur classique pour faire la majeure partie du boulot avant même que la machine quantique entre en jeu. On dirait certains d’entre vous qui postent sur Instagram leur dernier marathon alors qu’ils l’ont juste rejoint au kilomètre 41…
Il faut toutefois reconnaître que des travaux plus rigoureux existent. Certains chercheurs ont réussi à factoriser des nombres sans préparation particulière, notamment via des approches comme le quantum annealing avec des embeddings modulaires. Mais ces cas restent minoritaires et les nombres traités demeurent modestes.
Bruce Schneier, qui a relayé cette recherche, enfonce également le clou avec sa métaphore habituelle du “Les défis techniques pour construire un ordinateur quantique utile, c’est dur. Mais est-ce que c’est dur comme “poser un homme sur la Lune” ou dur comme “poser un homme sur le Soleil” ? Les deux sont difficiles, mais pas du tout dans la même catégorie de faisabilité”.
Cette manipulation dans certains benchmarks révèle un problème plus profond à savoir que quand la pression pour publier rencontre des milliards d’investissements en jeu, la tentation devient énorme de présenter des résultats flatteurs plutôt que honnêtes. Le problème, c’est que certains reviewers ne vérifient pas systématiquement la vraie complexité des nombres utilisés, même si d’autres le font consciencieusement (comme le montre d’ailleurs la page Wikipedia sur le sujet qui documente ces vérifications).
Il est important de comprendre que l’algorithme de Shor lui-même n’est pas en cause. Il démontre théoriquement qu’on peut factoriser en temps polynomial (O(log N)) au lieu d’une complexité exponentielle, ce qui est révolutionnaire sur le papier. Le problème, c’est l’écart entre cette promesse théorique et les réalisations expérimentales actuelles, écart que certains chercheurs tentent de masquer avec ces benchmarks discutables.
L’ironie, c’est que ce sont souvent les médias et les départements marketing, plus que les chercheurs sérieux eux-mêmes, qui promettent de “casser RSA demain”. Aucun chercheur raisonnable ne prétend aujourd’hui pouvoir briser les chiffrements actuels avec les machines quantiques existantes. Mais ces nuances se perdent dans la course au sensationnalisme et aux financements.
Donc peut-être qu’avant que les médias ne promettent une destruction de la cryptographie, il serait bon de communiquer plus honnêtement sur l’état réel de la recherche : prometteuse sur le long terme, mais encore très expérimentale et limitée aujourd’hui. Et surtout, cesser ces pratiques de benchmarking douteux qui ne font que nuire à la crédibilité du domaine.
Un grand merci à David pour l’info, et à Kim pour ses précisions constructives qui m’ont permis d’affiner cet article.
L’autre jour, en fouillant dans les recoins du web, je suis tombé sur un site tout simple, ldial.org, qui cache derrière son interface minimaliste une démarche de curation absolument remarquable.
Adam Scott qui a créé ce site a décidé de recenser et de rendre accessible toutes les radios communautaires et indépendantes des États-Unis. Attention, je ne vous parle pas grosses stations commerciales qu’on entend partout, non, non. Je vous parle des vraies radios de quartier, celles qui diffusent depuis un garage transformé ou le sous-sol d’une université, celles qui passent de la musique que vous n’entendrez nulle part ailleurs.
Le créateur de ldial.org a donc transformé ce qui pourrait être une simple liste en véritable écosystème où chaque station est soigneusement sélectionnée, testée, vérifiée. Ce site est un genre de carte sonore des États-Unis, loin des radars des médias mainstream. C’est un site vivant qui contrairement aux annuaires statiques, évolue constamment. Adam, le curateur qui se cache derrière ce site continue d’apprendre, de découvrir de nouvelles stations, d’ajuster sa sélection.
C’est donc une exploration perpétuelle de la diversité radiophonique américaine qui offre un streaming 24/7, au travers une interface épurée et un accès direct aux flux. Pas d’inscription, pas de pub, pas de complications. Juste vous et des centaines d’heures de programmation authentique, depuis des stations qui diffusent parfois pour quelques centaines d’auditeurs locaux.
Et ce sont uniquement des pépites !!! Des stations universitaires qui programment de l’ambient expérimental à 3h du matin, des radios communautaires hispaniques qui mélangent cumbia et electronic, des collectifs autochtones qui préservent leurs langues ancestrales sur les ondes.
Chaque clic sur ldial.org vous transportera dans une bulle sonore différente. Une station de Nouvelle-Orléans vous fera découvrir du jazz local méconnu, une radio du Montana vous plongera dans la country indépendante, une station californienne vous embarquera dans l’underground hip-hop chicano. C’est un voyage musical à travers l’Amérique alternative.
Ce projet révèle aussi quelque chose de plus profond sur la résistance culturelle car ces radios communautaires maintiennent des espaces d’expression libre dans un paysage médiatique de plus en plus standardisé. Elles préservent des niches musicales, donnent la parole aux minorités, expérimentent sans contraintes commerciales, et je trouve ça hyper inspirant, car ce sont des préceptes qu’on peut appliquer également au web. Qu’il faut appliquer au web !
Hier soir, j’ai découvert un outil qui m’aurait évité des dizaines de commits “fix CI”, “fix CI again”, “please work this time” sur GitHub. J’sais pas si vous aussi vous connaissez cette galère ? Vous modifiez votre workflow GitHub Actions, vous poussez, ça plante, vous corrigez, vous repoussez, ça replante… Bref, votre historique Git ressemble à un journal de débugging en temps réel.
Et heureusement, wrkflw vient mettre fin à ce cauchemar.
Ce petit outil codé en Rust vous permet en fait de valider et d’exécuter vos GitHub Actions directement sur votre machine, sans avoir besoin de pusher quoi que ce soit. L’outil vient d’être annoncé sur le forum Rust et ça va bien aider tout le monde je pense.
Grâce à lui, au lieu de tester vos workflows dans le cloud GitHub (et potentiellement faire planter votre CI/CD devant toute l’équipe… La te-hon…), vous les exécutez localement. Wrkflw parse alors votre fichier YAML, résout les dépendances entre jobs, et lance tout ça soit dans Docker/Podman pour matcher l’environnement GitHub, soit en mode émulation si vous n’avez pas de runtime container sous la main.
Ce qui rend wrkflw vraiment pratique, c’est son interface TUI (Terminal User Interface) qui vous permet de visualiser l’exécution en temps réel. Un simple wrkflw tui et vous avez un dashboard interactif où vous pouvez suivre vos jobs, voir les logs, et comprendre ce qui foire sans avoir à jongler entre 15 onglets GitHub.
L’installation se fait en deux secondes si vous avez Rust :
cargo install wrkflw
Le package est aussi dispo sur crates.io et une fois installé, vous pouvez valider un workflow avec la commande :
wrkflw validate .github/workflows/rust.yml
ou le lancer directement avec
wrkflw run .github/workflows/ci.yml
L’outil détectera automatiquement tous vos workflows et les chargera dans l’interface.
Ce qui est fort avec wrkflow, c’est surtout le support quasi-complet des fonctionnalités de GitHub Actions. Les Matrix builds ? Ça passe ! Les Container actions ? Bah ouais, pas de problème ! Tout ce qui est JavaScript actions ? Check ! Même chose pour les Composite actions et les workflows réutilisables et même les fichiers d’environnement GitHub sont supportés. Bon, il y a quelques limitations évidemment. Vous ne pouvez pas par exemple mettre de secrets GitHub (ce qui est logique), et y’a pas de support Windows/macOS runners, ni pas d’upload/download d’artifacts. Mais pour 90% des cas d’usage, c’est largement suffisant.
Wrkflw s’inscrit dans une tendance plus large d’outils qui cherchent à remplacer Make et ses Makefiles cryptiques. Je pense par exemple à Task (Taskfile) qui est un autre exemple populaire, écrit en Go avec une syntaxe YAML plus moderne ou encore à Act, un autre outil open source qui fait à peu près pareil. Les développeurs cherchent clairement des alternatives plus lisibles et maintenables et wrkflw va encore plus loin en se spécialisant sur GitHub Actions.
Le mode Docker/Podman de wrkflw permet par exemple de créer des containers qui matchent au plus près l’environnement des runners GitHub. Et si jamais vous interrompez l’exécution avec Ctrl+C, pas de panique, puisque l’outil nettoie automatiquement tous les containers créés. Comme ça, y’aura plus de containers zombies qui traînent après vos tests.
Et pour tous ceux qui bossent en mode émulation sécurisée (sans Docker), wrkflw exécute les actions dans un environnement sandboxé. C’est moins fidèle à l’environnement GitHub mais au moins ça permet de tester rapidement sans avoir besoin d’installer Docker. Pratique sur des machines de dev légères ou des environnements restrictifs.
Le workflow de test devient donc le suivant : 1/ Vous modifiez votre YAML. 2/ Vous lancez wrkflw run . 3/ Vus voyez immédiatement si ça marche. 4/ Vous corrigez si besoin. 5/ Et c’est seulement ensuite que vous poussez sur GitHub. Plus de commits de debug, plus de CI cassée, plus de collègues qui râlent parce que la pipeline est tout rouge ^^.
L’outil est encore jeune bien sûr mais déjà très prometteur. Les prochaines versions devraient ajouter le support des secrets locaux, une meilleure intégration avec GitLab CI, et peut-être même le support des runners Windows/macOS.
Bref, si vous gérez des workflows GitHub Actions complexes, wrkflw va rapidement devenir indispensable à votre life.
Ça a échappé à pas mal de monde, mais en sortant Firefox 142, Mozilla vient de réussir un coup de maître en matière d’architecture logicielle. Car pendant que tous les autres navigateurs se ruent sur l’IA dans le cloud, l’équipe Mozilla a pris le pari inverse. Ils ont développé un système qui fait tourner des modèles de langage directement sur votre machine via l’API wllama et transformer.js.
Concrètement, cela veut dire que vos extensions Firefox peuvent maintenant utiliser des LLM locaux sans jamais envoyer vos données sur des serveurs externes.
Et cette approche sans concession de Mozilla a l’avantage de résoudre un problème que personne n’avait anticipé : la latence des aperçus de liens. Vous faites un clic long sur un lien (ou vous maintenez la touche MAJ enfoncée en passant votre souris), et bam !
Firefox vous montre non seulement un aperçu visuel de la page, mais peut aussi générer des points clés grâce à l’IA… Et tout ça sans jamais quitter votre navigateur et à la vitesse de l’éclair. Cette fonctionnalité nécessite plus de 3 Go de RAM libre, mais quand je vois le résultat, je pense que ça les vaut.
Pour les groupes d’onglets, Mozilla a également introduit une fonction géniale qui permet de garder un onglet actif visible même quand le groupe est réduit. Ça paraît anecdotique, mais techniquement, c’est un casse-tête d’interface utilisateur qu’ils ont résolu avec élégance. L’onglet que vous consultez au moment de réduire le groupe reste affiché.
Côté sécurité, ils ont aussi implémenté CRLite, un système qui stocke localement toutes les révocations de certificats comme ça, au lieu de vérifier en ligne si un certificat est valide (ce qui prend du temps et expose vos habitudes de navigation), Firefox maintient une base locale de 300 Ko qui se met à jour quotidiennement. Du coup, plus de délais, plus de fuites de données vers des tiers, et une sécurité renforcée.
Les États-Unis bénéficient également d’une nouveauté sympathique. Il s’agit des recommandations d’articles sur la page Nouvel onglet qui sont maintenant organisées par thèmes (Sport, Cuisine, Divertissement). Vous pouvez donc suivre les sujets qui vous intéressent et bannir ceux qui vous agacent. Simple, pratique mais ça ne vaut pas cette extension !
Mozilla a également renforcé la protection contre le pistage avec un système d’exceptions plus flexible. Le mode ETP-Strict peut maintenant faire des exceptions granulaires, c’est à dire les fonctionnalités de base d’un côté, et les fonctions de confort de l’autre. Vous gardez ainsi la protection essentielle tout en déboquant les fonctionnalités qui vous importent.
Au final, cette version révèle une stratégie Mozilla particulièrement cohérente… De l’IA locale pour préserver la vie privée, des fonctionnalités de productivité pensées pour un usage réel, et une sécurité renforcée sans compromis sur les performances. Et bien sûr, tout ceci reste activable / désactivable selon vos besoins. En tout cas, ces choix techniques nous donnent un aperçu fascinant de ce que Mozilla prépare pour l’avenir du web.
L’Unit 8200, c’est comme si vous aviez pris les meilleurs hackers de la planète, que vous les aviez mis en uniforme israélien, et que vous leur aviez donné non pas carte blanche, mais des moyens SIGINT d’élite. Dans la littérature spécialisée, l’unité est souvent comparée à la NSA (à une autre échelle, quand même). Et ce n’est pas de la fiction puisque cette unité ultra-secrète a largement été associée à l’opération Stuxnet (une coopération USA–Israël selon les enquêtes, jamais confirmée officiellement), et a vu passer des profils qui fonderont des boîtes comme Waze, Check Point, Palo Alto Networks et d’autres licornes tech.
C’est un genre d’école où on vous apprend à pirater des gouvernements étrangers à 18 ans, et où votre prof pourrait être le futur CEO d’une startup à plusieurs milliards. Voilà, c’est exactement ça, l’Unit 8200. Une machine à fabriquer des génies qui oscillent entre James Bond et Mark Zuckerberg. Et le plus dingue dans tout ça c’est que tout a commencé en 1952 avec du matos de récup’ et une poignée de matheux dans des baraquements pourris à Jaffa. Aujourd’hui, c’est l’une des plus grandes unités de Tsahal, avec plusieurs milliers de soldats.
L’histoire démarre donc après la création d’Israël en 1948. Le pays est entouré d’ennemis, les frontières sont poreuses, et les menaces pleuvent. Les dirigeants comprennent vite qu’ils ne survivront pas qu’avec des tanks et des avions. Il leur faut du renseignement, du genre de celui qui permet de savoir ce que l’adversaire va faire, parfois avant lui.
A l’époque, l’Unit 8200 s’appelle la « 2e Unité du Service de Renseignement », puis la « 515e ». Pas très sexy, on est d’accord. En 1954, l’unité déménage à Glilot, au nord de Tel-Aviv, et prend son envol. Le nom « 8200 » arrivera plus tard, pour des raisons d’organisation interne plus que de poésie.
Ce qui rend l’Unit 8200 unique, c’est son approche. Israël n’a pas le luxe de la quantité et doit donc faire mieux avec moins. L’unité mise sur la qualité et repère très tôt des profils brillants (dès le lycée) via des programmes dédiés tels que Magshimim côté extra-scolaire, et, plus tard, des filières comme Mamram ou Talpiot pour les très, très forts.
Le système de recrutement est une master class de détection de talents. A 16 ans, si vous cartonnez en maths/infos, vous recevez une lettre pour passer des tests qui mêlent logique, crypto, prog et psycho. Les meilleurs suivent des programmes spéciaux après les cours… et, à 18 ans, quand les potes partent à l’infanterie, eux intègrent l’Unit 8200.
L’écusson de l’Unité 8200
Mais ce n’est pas la planque. Le service dure au moins trois ans. On y apprend ce qu’aucune fac ne peut enseigner. Et l’ambiance est un mix de startup et de base militaire. Hiérarchies plates, itération rapide, droit à l’essai. Un caporal de 19 ans peut proposer une idée qui change la stratégie nationale. Impensable ailleurs, normal ici.
Les capacités de cette unité sont impressionnantes. Dans le désert du Néguev, à la base d’Urim (près de Beer-Sheva), se trouve l’une des plus grandes stations d’écoute au monde, dédiée à l’interception de communications sur une vaste zone (Moyen-Orient, mais pas que). Et selon des reportages, des moyens d’écoute existeraient aussi à l’étranger (postes dans des ambassades, accès à certaines dorsales de communication).
Base d’écoute d’Urim
Et ils ne se contentent pas d’écouter depuis Israël puisque l’IAF dispose d’avions Gulfstream G550 bardés de capteurs (Nachshon Shavit/Eitam) pour l’interception électronique. Bref, du SIGINT et de l’ELINT en vol, au-sol, et dans les réseaux.
Un analyste militaire britannique résume la réputation de l’unité : « probablement l’une des meilleures agences de renseignement technique au monde, au niveau de la NSA, à l’échelle près ». C’est l’intensité et la focalisation qui marquent.
Leur passion vient d’une réalité simple. Pour Israël, le renseignement n’est pas un luxe, c’est une question de survie. Chaque interception peut sauver des vies. Chaque code cassé peut déjouer un attentat.
L’opération qui fait entrer l’unité dans la légende c’est Stuxnet. En 2006, l’Iran enrichit de l’uranium à Natanz. Scénarios militaires classiques : tous mauvais. D’où une idée folle : saboter sans tirer. C’est l’opération « Olympic Games », largement attribuée à une coopération NSA–Unit 8200 selon des sources américaines, mais jamais confirmée officiellement. Pourquoi 8200 était clé ? Parce que côté israélien, ils disposaient d’un savoir intime du terrain (installations, processus, fournisseurs…).
Stuxnet n’est pas un « simple virus » : c’est une arme binaire qui s’insère par clé USB, se propage discrètement, puis, une fois sur place, manipule des automates Siemens S7-300 et les centrifugeuses IR-1 (dérivées du design P-1 d’A.Q. Khan). Leur coup de génie ? Moduler la vitesse des rotors tout en leurrant les capteurs avec de la fausse télémétrie, ce qui use et casse les machines sans alerter immédiatement les opérateurs.
Les automates S7-300
Bilan ? L’attaque a endommagé environ 1000 centrifugeuses selon les estimations de Natanz et retardé le programme iranien pendant un moment, avant que le code, à cause d’un bug, ne s’échappe dans la nature en 2010. Et officiellement, personne n’a jamais signé l’opération.
Au-delà du sabotage hollywoodien, le quotidien de 8200, c’est la surveillance. Et là, on touche à du sensible. En 2014, 43 vétérans publient une lettre ouverte dénonçant des usages intrusifs contre des Palestiniens (collecte d’infos intimes, potentiel chantage). Le gouvernement dément, d’autres membres de l’unité signent une contre-lettre défendant des « normes éthiques élevées ». Le débat éthique est resté ouvert depuis.
Concrètement, l’unité a aussi contribué, selon les autorités israéliennes et australiennes, à déjouer des attaques (ex. en 2017, un vol Etihad visé par un complot inspiré par l’EI : des interceptions israéliennes auraient permis l’arrestation des suspects en Australie).
Plus récemment, place à l’IA. En 2023-2024, des enquêtes de presse décrivent un algorithme de ciblage surnommé « Lavender » pour identifier des opérateurs du Hamas à Gaza. L’IDF conteste l’existence d’un système autonome qui « identifie des terroristes » et affirme que les décisions restent humaines. Là encore, tensions entre efficacité opérationnelle et éthique, avec un coût humain catastrophique, avec des milliers de civils palestiniens tués, qui interroge fondamentalement l’usage de ces technologies
Stuxnet a des « cousins » : Duqu et Flame, des outils d’espionnage avancés découverts au début des années 2010, capables de captures d’écran, d’enregistrements audio, d’exfiltration de documents, etc. Leur attribution fluctue selon les rapports, mais leur sophistication a marqué un avant/après.
La collaboration internationale est centrale puisque depuis des années, Israël coopère avec des partenaires (NSA, GCHQ) dans un cadre de partage de renseignement. Et le stress interne, lui, est bien réel car à 19 ans, savoir que ton erreur peut coûter des vies, ça use. Les burn-out existent. Et la frontière entre sécurité et vie privée reste une ligne fine.
Côté civil, l’Unit 8200 est une machine à entrepreneurs. Après le service, beaucoup créent ou rejoignent des boîtes cyber majeures. Check Point, Palo Alto Networks, Waze, CyberArk, Imperva, NSO, etc. Autour de ce réseau, des structures comme Team8 (fondée par d’anciens commandants) financent et incubent des projets. Les anciens s’entraident, ouvrent des portes, et ça se voit dans l’écosystème israélien qui pèse environ 10% du marché mondial de la cybersécurité.
Le bâtiment Check Point à Tel-Aviv
Et puis arrive Pegasus. NSO Group, fondée par des vétérans, a développé un spyware classé comme matériel de défense soumis à licence d’exportation en Israël. Utilisé officiellement contre le crime et le terrorisme, il s’est aussi retrouvé au cœur de scandales (journalistes, militants, chefs d’État ciblés), avec des suites judiciaires et diplomatiques. Exemple parfait du dilemme où une techno défensive peut devenir outil d’oppression si elle dérape.
Au final, l’Unit 8200 a façonné l’image d’Israël comme « Startup Nation ». Un mix de nécessité stratégique, de service militaire qui capte les meilleurs talents, et d’une culture d’innovation très directe. D’autres pays tentent de cloner la recette (Corée du Sud, Singapour, France avec le Commandement cyber…), mais l’alchimie locale reste particulière.
Et l’avenir ? Entre quantique, IA générative, neurotech et guerre de l’information, tout s’accélère. L’unité investit, expérimente, et sera forcément discutée. Parce que derrière les lignes de code, ce sont des vies. Et c’est là que doit rester notre boussole.
Alors la prochaine fois que vous évitez un bouchon avec Waze, que votre boîte est protégée par un firewall, ou que vous lisez sur une cyber-attaque sophistiquée, ayez une pensée pour l’Unit 8200… et pour les questions éthiques qu’elle pose.
Cet article, écrit dans le cadre d’une série sur les hackers, ne peut ignorer le contexte actuel. Alors que ces lignes sont écrites, plus de 61 000 Palestiniens ont été tués à Gaza selon l’ONU, dont une majorité de civils. Les technologies décrites ici sont aujourd’hui mobilisées dans un conflit qui accusations de génocide devant la Cour internationale de Justice et de crimes de guerre devant la Cour pénale internationale.
Regarder Star Wars en version Despecialized ou le premier Jurassic Park sur un écran géant dans mon salon, c’est un peu retrouver son âme d’enfant. Et c’est exactement ce que j’ai fait ces dernières semaines avec le XGIMI Aura 2 que j’ai reçu en test.
Le truc qui m’a le plus impressionné avec ce projecteur ultra courte focale (UST - Ultra Short Throw), c’est qu’il suffit de le poser à environ 17 / 18 cm du mur pour obtenir une image de 100 pouces (2,54 m de diagonale). Plus besoin de câbles qui traînent partout, plus de projo pendu au plafond qui fait peur aux invités… Ça me change de mon ancien. Là, on le pose sur le meuble TV, et basta. (Bon, j’avoue, j’ai pas encore acheté le meuble TV…).
Un petit détail dont on parle rarement quand même avec ce genre de projo, c’est que comme la lumière arrive de façon rasante, la texture du mur se voit et ça donne un petit grain. Je fixais dessus au début, puis on s’y fait. Donc si vous êtes perfectionnistes, une toile ALR spéciale UST (type Fresnel) ou une peinture très lisse règle ce “problème” et améliorera aussi le contraste en lumière ambiante.
Côté image, le Aura 2 exploite la techno Dual Light 2.0 (hybride LED + laser) pour sortir 2300 lumens ISO et ainsi couvrir 99 % du DCI-P3. En clair, ça donne des couleurs bien pétantes et suffisamment de pêche pour regarder en journée (rideaux tirés, c’est mieux quand même). La puce 0,47” DMD affiche l’image 4K via wobulation, ce qui n’est pas du vrai 4K natif, mais honnêtement, à l’usage, on ne voit pas la différence. Et la plage de taille conseillée par XGIMI s’étends de 90 à 150”, le mieux étant 100/120”.
Autre bonne surprise dans ce projo, c’est la prise en charge de Dolby Vision, HDR10, HLG et mode IMAX Enhanced, comme ça le contraste dynamique annoncé grimpe à 1 000 000:1. Maintenant, dans la vraie vie, on n’atteint pas les noirs d’une OLED, mais pour un UST, ça fait le job.
Dessus, c’est Android TV 11.0 (pas Google TV). J’ai trouvé l’interface plutôt fluide**, par contre, pas de Netflix natif** (question de certification) alors il faudra passer par un boîtier externe (Apple TV, Chromecast/Google TV, Fire TV…) ou bidouiller. Disney+ est dispo selon les régions et versions, mais pour avoir toutes les plateformes, le plus simple reste comme je vous le disais d’y adjoindre un petit streamer HDMI.
Un gros point fort de ce projo c’est une barre Harman Kardon 60 W intégrée (4 x 15 W) avec Dolby Atmos, DTS-HD et DTS Virtual:X. Pour Netflix & chill (ou L’Amour est dans le pré), c’est largement suffisant. Après si vous voulez aller plus loin, il y a une sortie HDMI eARC pour brancher un ampli ou une barre externe.
Notez que la barre blanche que vous voyez devant le projo, c’est ma barre de son, et elle n’est pas livrée avec…
En mode Jeu, j’ai une latence autour de 20 ms, ce qui est très bon pour un projecteur. Mon astuce, c’est de désactivez l’auto keystone pour profiter du plus faible input lag. Pas de VRR ni 120 Hz en 4K, donc on reste sur du 60 Hz pour les consoles. Je me suis fait quelques parties de Mario Kart sur la Switch 2, là dessus, c’était quand même pas mal.
Niveau connectique, on peut y mettre 3 x HDMI (dont 1 eARC), 3 x USB, Ethernet, optique, jack 3,5 mm. Y’a également du Wi-Fi 6, Bluetooth 5.2, Chromecast intégré, 3D (Frame Packing & Side-by-Side). Le tout avec un capot motorisé qui protège l’optique, un Art Mode pour afficher des œuvres quand on n’utilise pas le projo, et l’ISA 5.0 (autofocus, auto-keystone continu, correction de planéité du mur, adaptation à la couleur du mur, alignement auto avec l’écran, etc.).
Bien sûr, ce n’est pas “portable” puisque ce projecteur mesue 51 cm de large, 27 cm de profondeur, 14,4 cm de haut pour environ 9 kg. Et le bruit mesuré est ≤ 32 dB à 1 m (c’est donc discret par rapport à mon vieux BenQ qui soufflait plus qu’une documentaliste de collège). Et pour la conso, on est autour de 180 W en usage.
Maintenant, le tarif officiel en Europe est de 2 899 €. C’est cher mais face à lui y’a le Hisense PX3-Pro (tri-laser, Dolby Vision, Google TV avec Netflix) qu’on voit souvent entre 2 499–2 999 €, le Samsung The Premiere 9 (tri-laser) autour de 5 999 €, et le Formovie Theater Premium (Google TV + Netflix natif, DV, ALPD RGB+) annoncé à 2 999 €.
Niveau recul donc, le XGIMI est très bien placé avec un ratio 0,177:1 (100” à 17,8 cm), ce qui est plus court que pas mal de concurrents. Bref, j’ai bien aimé l’installation ultra simple, et surtout la qualité d’image et le son 60 W très propre. Le fait aussi que ça se coupe quand on approche sa grosse tête au dessus, c’est une excellente sécurité pour ne pas se prendre un coup de laser dans l’œil.
Par contre, dommage pour Netflix et j’ai trouvé aussi que la télécommande n’était pas hyper lisible dans le noir, ce qui peut être vite relou.
Bref, après plusieurs semaines d’utilisation, je suis conquis par ce XGIMI Aura 2. Donc si vous avez le budget et que vous voulez un UST plug-and-play qui envoie une vraie image de cinéma sans transformer le salon en salle machine avec des câbles partout, foncez.
Vous vous souvenez de cette époque où partir en voyage signifiait acheter une carte SIM locale dans une boutique douteuse à l’aéroport ? Aujourd’hui, si on sort d’Europe, on active une eSIM en deux clics depuis son canapé et hop, on a internet à l’étranger. C’est pratique, non ? Sauf que voilà, une étude menée par des chercheurs de Northeastern University vient de révéler un truc assez hallucinant : Vos données personnelles pourraient bien faire le tour du monde sans que vous le sachiez.
Par exemple, si vous êtes à Rome en train de poster votre photo de pizza sur Instagram, vous pensez surement que vos données passent par un opérateur italien, puis rentrent directement chez vous. Je le croyais aussi alors qu’en réalité, elles pourraient faire un petit détour par Hong Kong, transiter par Singapour, et revenir par la Chine avant d’arriver à destination. Sympa le petit voyage organisé pour vos données perso, vous ne trouvez pas ?
Les chercheurs ont donc testé 25 fournisseurs d’eSIM et le constat est sans appel. Prenez Holafly par exemple, une entreprise basée en Irlande. Vous achetez leur eSIM en pensant avoir affaire à une société européenne, soumise au RGPD et tout le tralala. Sauf que dans les faits, vos connexions passent par le réseau de China Mobile. L’adresse IP qu’ils ont obtenue lors de leurs tests (223.118.51.96 pour les curieux) était directement allouée à China Mobile International Limited à Hong Kong.
En gros, les profils eSIM établissent silencieusement des connexions vers des serveurs à Singapour et récupèrent des SMS depuis des numéros hongkongais, le tout sans que vous en ayez la moindre idée. Mais attendez, ça devient encore plus rigolo puisque pour devenir revendeur d’eSIM, il suffit d’avoir une adresse email valide et un moyen de paiement. Y’a pas de vérification approfondie, pas de contrôle de sécurité du coup, n’importe qui peut se lancer dans le business. Et une fois revendeur, on a accès à des données ultra-sensibles comme les numéros IMSI (l’identifiant unique de votre carte SIM), la localisation des appareils avec une précision de 800 mètres, et même la possibilité d’envoyer des SMS directement aux utilisateurs.
Alors comment on fait pour protéger sa vie privée quand on voyage ? Et bien l’utilisation d’un VPN reste la meilleure solution (lien affilié), surtout si vous utilisez des réseaux WiFi publics. En effet, le VPN va chiffrer votre connexion et empêcher que vos données soient interceptées, peu importe par quel pays elles transitent. Certains fournisseurs comme Saily, créé par l’équipe derrière NordVPN, proposent même des eSIM avec VPN intégré. C’est un peu la ceinture et les bretelles de la sécurité.
Ce qui est vraiment problématique je trouve, c’est le manque total de transparence car quand vous achetez une eSIM, personne ne vous dit “au fait, vos données vont passer par la Chine”. Et chaque pays a ses propres lois sur la protection des données… En Chine du coup, les autorités peuvent légalement accéder à toutes les données qui transitent par leurs infrastructures. Vous voyez le problème ?
C’est pourquoi les chercheurs recommandent la mise en place d’un cadre réglementaire plus strict, avec une obligation de transparence pour les fournisseurs d’eSIM. Ils devraient par exemple au minimum indiquer clairement par quels pays vos données vont transiter. En attendant, leur méthodologie de recherche complète sera bientôt publiée sur GitHub pour que d’autres puissent reproduire et étendre leurs travaux.
Au final, les eSIM restent super pratiques pour voyager, mais faut être conscient des risques…
Connexion
