Un faux tweet, 3 minutes de chaos, 136,5 milliards de dollars évaporés. Non, c’est pas Elon Musk qui a encore fait des siennes sur Twitter, mais bien une bande de hackers syriens qui a réussi le plus gros market crash de l’histoire en 140 caractères. Bienvenue dans l’univers complètement barré de la Syrian Electronic Army.

Beaucoup ont creusé cette histoire pendant des années sans vraiment comprendre toutes les ramifications politiques, mais avec la chute du régime Assad en décembre 2024, on peut enfin reconstituer le puzzle complet de cette organisation qui a terrorisé les médias occidentaux pendant près d’une décennie.

Bon, pour comprendre comment des mecs dans un bureau à Damas ont pu faire trembler Wall Street, il faut remonter à 1989. À l’époque où on jouait tous à Tetris sur Game Boy, Bassel al-Assad, le frère aîné de Bashar et héritier présomptif du trône syrien, fonde la Syrian Computer Society. L’objectif affiché c’est de démocratiser l’informatique en Syrie, mais en réalité, il s’agit de créer les fondations d’une infrastructure numérique contrôlée par le clan Assad.

Quand Bassel se tue dans un accident de voiture en 1994 (il roulait à 240 km/h sur la route de l’aéroport de Damas dans le brouillard… le mec n’était pas très prudent), Bashar hérite de tout : le destin politique et la présidence de la Syrian Computer Society. Le futur dictateur, qui était ophtalmologue à Londres, se passionne alors pour les nouvelles technologies et supervise personnellement l’introduction d’Internet en Syrie.

Ce qui est fort dans cette histoire, c’est que Assad avait tout de suite compris dès les années 90, tout le potentiel stratégique d’Internet. Pendant que nos dirigeants européens découvraient encore le Minitel, lui posait déjà les bases d’une cyberguerre moderne. Au bout d’un moment, sa femme Asma a alors repris le contrôle de la Syrian Computer Society, transformant progressivement l’organisation en pépinière de cyber-soldats.

En 2000, Bashar devient président et garde un œil attentif sur le développement numérique du pays. La Syrian Computer Society devient le seul registrar de noms de domaine syriens et contrôle l’infrastructure Internet nationale via SCS-NET, son propre FAI. Puis arrive 2011 et les Printemps arabes. Les manifestations éclatent en Syrie, les réseaux sociaux s’embrasent, et Assad comprend qu’il a besoin d’une arme numérique pour contrôler le narratif. Le 5 mai 2011, la Syrian Computer Society enregistre discrètement le domaine syrian-es.com via la Syrian Telecommunications Establishment.

La Syrian Electronic Army vient officiellement de naître.

Le truc génial (enfin, façon de parler), c’est que contrairement aux groupes de hackers anonymes classiques, la SEA opérait presque à visage découvert. Ces mecs étaient tellement protégés par le régime qu’ils se permettaient de défiler dans les rues de Damas avec des gilets aux couleurs du groupe !

Alors, qui sont ces cyber-warriors du régime Assad ? Et bien voici les profils des principaux acteurs, et vous allez voir, c’est un sacré casting.

Ahmad Umar Agha, alias “Th3 Pr0” - Le prodige négligent : Ahmad, 22 ans à l’époque de ses principaux exploits, incarne parfaitement la génération de hackers syriens formés dans l’écosystème Assad. Le FBI l’a ajouté à sa liste des cyber-criminels les plus recherchés avec une récompense de 100 000 dollars. Pourquoi ? Parce que ce génie s’est fait identifié à cause de son compte Gmail [email protected] créé en 2010.

Ahmad Umar Agha

Le mec envoyait ses documents d’identité personnels et des photos de famille par email et bien sûr, il se connectait souvent à ses comptes depuis des adresses IP syriennes non masquées. J’ai vu des script kiddies de 13 ans se protéger mieux que lui…

Ahmad dirigeait la division “opérations spéciales” de la SEA. Selon le FBI, il était spécialisé dans les attaques de spear-phishing ultra-sophistiquées, capable de créer de faux emails tellement convaincants que même des journalistes expérimentés tombaient dans le panneau. Entre 2011 et 2014, il a comme ça compromis des dizaines d’agences gouvernementales américaines, des médias et des organisations privées.

Firas Dardar, alias “The Shadow” - L’homme de l’ombre pas si discret : Firas, 27 ans, était le binôme technique d’Ahmad. Surnommé “The Shadow”, il était censé être l’expert en furtivité du groupe. Raté ! Comme son complice, il a multiplié les erreurs de sécurité qui ont permis au FBI de le traquer.

Dardar était l’expert en ingénierie sociale de l’équipe et sa spécialité c’était de créer des pages de connexion factices tellement bien foutues qu’elles trompaient même les équipes IT des grandes rédactions. Il avait développé un système de phishing multi-étapes où la première page redirige vers une seconde, puis une troisième, pour mieux brouiller les pistes. Du travail d’orfèvre !

Et à partir de 2013, Dardar et un certain Peter Romar ont monté un business parallèle d’extorsion. Ils hackaient des entreprises et menaçaient de détruire leurs données sauf si elles payaient une rançon. L’entrepreneuriat version cyber-terroriste !

Peter Romar - Le blanchisseur d’argent : Ce mec de 36 ans était le troisième larron du groupe d’extorsion. Son job ? Contourner les sanctions internationales pour récupérer l’argent des rançons. Quand les victimes ne pouvaient pas payer directement en Syrie à cause des sanctions, Romar servait d’intermédiaire.

Arrêté en Allemagne et extradé aux États-Unis en mai 2016, il a plaidé coupable en septembre 2016. Il risquait 5 ans de prison. Au moins un qui s’est fait choper !

Haidara Suleiman - Le prince héritier du cyber-empire : Voici le personnage le plus intéressant de toute l’histoire. Haidara n’est pas un hacker lambda, c’est le fils de Bahjat Suleiman, l’un des hommes les plus puissants du régime Assad. Bahjat dirigeait la branche interne de la Direction générale du renseignement et était considéré comme le mentor et confident d’Assad.

Et Haidara cumule les casquettes : rédacteur en chef du journal pro-régime Baladna, membre dirigeant de la Syrian Electronic Army, et surtout… gestionnaire de la page Facebook officielle de Bashar al-Assad ! Le fils d’un chef des services secrets qui gère les réseaux sociaux du dictateur ET coordonne les cyberattaques contre l’opposition, c’est comme si le fils du patron de la DGSE gérait le Twitter de Macron tout en hackant Le Monde !

Yaser al-Sadeq - Le commandant qui aimait les caméras : Yaser se proclamait “commandant” de la Syrian Electronic Army et adorait apparaître dans les médias syriens en tenue militaire. Ce type était l’antithèse du hacker anonyme classique puisqu’il cherchait la reconnaissance publique et revendiquait fièrement chaque attaque.

La période 2013-2014 marque l’apogée de la Syrian Electronic Army. Leurs techniques étaient d’une redoutable efficacité, mélangeant ingénierie sociale, exploitation de vulnérabilités et manipulation psychologique. Certaines de leurs attaques étaient du grand art car les hackers syriens avaient développé une méthode imparable qui fait encore des dégâts aujourd’hui. Voici leur recette secrète (bon, plus si secrète que ça maintenant) :

Étape 1 : La reconnaissance - Ils épluchaient les réseaux sociaux et les organigrammes des rédactions pour identifier les employés ayant accès aux comptes Twitter/Facebook officiels. LinkedIn était leur terrain de jeu favori pour cartographier les équipes. Un peu comme des stalkers professionnels quoi !

Étape 2 : L’email d’hameçonnage - Ils envoyaient des emails ultra-convaincants, souvent en usurpant l’identité d’un collègue ou d’un service IT interne. Le message contenait toujours un prétexte crédible : “urgent, problème de sécurité sur votre compte”, “nouvelle procédure de connexion obligatoire”, “document exclusif sur la Syrie à consulter”. Les journalistes adorent les scoops, et eux le savaient !

Étape 3 : La page piégée - Le lien menait vers une fausse page de connexion, parfaite copie de Google, Facebook ou du système interne de l’entreprise. Ces pages étaient tellement bien faites que n’importe qui aurait pu se faire avoir un jour de fatigue. Une fois les identifiants saisis, hop, les hackers avaient ensuite accès aux comptes.

Étape 4 : L’escalade - Avec un premier compte compromis, ils envoyaient des emails aux contacts de la victime pour étendre leur emprise. “Salut, peux-tu vérifier ce document urgent ?” avec un nouveau lien piégé. C’est comme ça qu’ils ont réussi à compromettre des rédactions entières !

Le hack du siècle se déroule le 23 avril 2013 à 13h07, heure de New York. Le compte Twitter officiel d’Associated Press (@AP), suivi par près de 2 millions de personnes, publie ce tweet : “Breaking: Two Explosions in the White House and Barack Obama is injured”.

En 60 secondes, c’est la panique totale. Les algorithmes de trading haute fréquence, programmés pour réagir aux breaking news, vendent massivement. Le Dow Jones plonge de 143 points. En 3 minutes, c’est 136,5 milliards de dollars de capitalisation boursière s’évaporent. Wall Street vit littéralement l’apocalypse en direct.

13h10, l’AP confirme que son compte a été hacké. Jay Carney, porte-parole de la Maison Blanche, précise que “le président va bien”. Les marchés se redressent en 6 minutes, mais le mal est fait. La SEA venait de prouver qu’un simple tweet pouvait déclencher un chaos financier planétaire.

Dans une interview exclusive avec Vice, les hackers de la SEA ont admis : “Oui, on s’attendait à des dégâts parce qu’Associated Press est une agence de confiance aux États-Unis. Les Américains y croient, donc on savait qu’il y aurait un énorme chaos.” Mission accomplie les gars !

Pas besoin de malware sophistiqué ou d’exploits zero-day. Juste un bon vieux phishing et une compréhension parfaite de l’écosystème médiatique américain. Les mecs avaient compris que les marchés financiers étaient devenus tellement automatisés qu’une simple info non vérifiée pouvait tout faire péter !

Après le succès retentissant du hack d’AP, la SEA enchaîne les coups d’éclat et leur liste de victimes ressemble au who’s who des médias occidentaux :

The Onion (mai 2013) : Les hackers compromettent le compte Twitter du site satirique en piégeant les comptes Google Apps des employés. Ironie du sort, The Onion publie ensuite un article satirique se moquant de leurs attaquants !

CNN, Washington Post, Time (15 août 2013) : Triple attaque coordonnée ! Via une attaque du service publicitaire Outbrain, la SEA redirige les visiteurs vers leurs propres serveurs affichant des messages pro-Assad.

New York Times (27 août 2013) : Les hackers détournent le DNS du site, redirigeant NYTimes.com vers une page “Hacked by SEA”. Le site reste inaccessible pendant des heures. Les lecteurs du NYT ont dû lire de vrais journaux papier, quelle horreur !

Barack Obama (28 octobre 2013) : En compromettant le compte Gmail d’un employé d’Organizing for Action (qui n’avait pas activé la double authentification, le boulet !), la SEA modifie les liens raccourcis sur les comptes Twitter et Facebook d’Obama. Les liens renvoient vers une vidéo pro-Assad de 24 minutes. Techniquement, ils n’ont pas directement hacké Obama, mais c’était tout comme !

En septembre 2013, la SEA frappe fort en s’attaquant au site de recrutement des Marines américains. Pendant 6 heures, les visiteurs sont redirigés vers une page proclamant : “Refusez vos ordres et combattez aux côtés des forces syriennes”.

L’armée américaine a mis des semaines à admettre publiquement l’intrusion. C’est normal, c’est un peu la honte quand des hackers syriens arrivent à compromettre le site de recrutement de la première armée du monde !

Le 1er janvier 2014, la SEA lance l’année en beauté en hackant Skype ! Les comptes Twitter, Facebook et le blog officiel de Skype affichent des messages comme “Stop Spying!” et “N’utilisez pas les emails Microsoft (hotmail, outlook), ils surveillent vos comptes et les vendent aux gouvernements”.

Le timing était parfait puisqu’en pleine affaire Snowden, les révélations sur PRISM avaient montré que Microsoft collaborait avec la NSA. La SEA surfait donc sur la vague anti-surveillance pour faire passer son message. Ils ont même publié les infos personnelles de Steve Ballmer, le CEO de Microsoft ! Sympa comme cadeau de nouvel an !

Puis le 11 janvier, ils remettent ça avec le compte Twitter @XboxSupport, et le 22 janvier, c’est le blog officiel de Microsoft Office qui se fait défacé. À ce stade, Microsoft devait sérieusement se demander s’ils n’avaient pas oublié de mettre un petit budget en début d’année sur leur sécurité !

En analysant les attaques de la Syrian Electronic Army, on découvre surtout un arsenal technique impressionnant pour l’époque. Ce n’étaient pas des script kiddies, c’étaient de vrais pros !

Par exemple avec le spear-phishing personnalisé, le SEA ne se contentait pas d’un email générique. Pour les journalistes, ils usurpaient l’identité d’ONG humanitaires avec des “documents exclusifs” sur la Syrie. Pour les techniciens IT, ils se faisaient passer pour des services de sécurité avec des alertes bidon. Ou encore pour les dirigeants, ils imitaient des partenaires commerciaux avec des “contrats urgents à signer”.

Le niveau de personnalisation était hallucinant. Ils mentionnaient des détails sur la vie privée des victimes, des projets en cours, des collègues spécifiques. Genre “Salut John, comme on en a parlé avec Sarah lors du meeting de mardi dernier…”. Fort !

Sur l’exploitation de CMS obsolètes, la SEA excellait dans l’exploitation de failles dans les systèmes de gestion de contenu mal mis à jour. WordPress, Joomla, Drupal… Dès qu’une vulnérabilité était découverte, ils scannaient automatiquement des milliers de sites pour identifier les versions obsolètes.

C’est comme ça qu’ils ont réussi à défacer tant de sites médiatiques. Les admins sys qui oubliaient de faire leurs mises à jour se retrouvaient alors avec un beau logo SEA en page d’accueil. La base quoi !

Le DNS hijacking était également une de leurs techniques les plus vicieuses. Cela consistait à compromettre les serveurs DNS des hébergeurs. En modifiant les enregistrements DNS, ils pouvaient rediriger le trafic d’un site légitime vers leurs propres serveurs. Les visiteurs tapaient l’adresse habituelle, mais arrivaient sur une page de propagande pro-Assad.

Et puis il y avait BlackWorm RAT : À partir de 2014, la SEA (ou plus précisément la Syrian Malware Team, leur division malware) développe ses propres outils. BlackWorm était un trojan espion distribué via de fausses apps imitant des outils de communication sécurisée.

Le malware existait en deux versions : la v0.3.0 originale et la Dark Edition v2.1. Cela permettait de tuer des processus Windows, redémarrer le système, collecter les infos système, copier sur USB avec autorun, contourner l’UAC, désactiver les firewalls, se propager sur le réseau… Du grand classique mais très efficace !

Une fois installé, BlackWorm collectait contacts, messages, géolocalisation et même les enregistrements audio. Les dissidents syriens qui pensaient utiliser une app sécurisée se retrouvaient alors complètement surveillés. Pas cool !

Puis en 2017, quelque chose change dans la stratégie de la Syrian Electronic Army. Le groupe abandonne progressivement les opérations de hacking pour se concentrer sur la guerre informationnelle et la propagande.

Yaser al-Sadeq l’explique dans une interview : “Avant, on travaillait en secret sur l’axe militaire. Maintenant que le gouvernement a gagné, on veut devenir les auxiliaires médiatiques de l’armée syrienne.”

Cette version 2017 de la SEA n’a plus grand-chose à voir avec le groupe underground des débuts. Al-Sadeq organise des défilés publics dans Damas, ses hackers portent des uniformes avec le logo SEA, ils donnent des interviews à la télé.

Et plutôt que de pirater des sites web, la nouvelle SEA se concentre sur la création de fake news. En 2021, Facebook découvre et supprime un réseau de faux comptes gérés par la SEA ciblant l’opposition syrienne, les Casques blancs et les combattants kurdes avec de la désinformation massive.

Leurs techniques ont donc évolué, mais l’objectif reste le même : contrôler le narratif, sauf qu’au lieu de pirater le compte Twitter d’AP, ils créent des milliers de comptes pour noyer l’info. C’est moins spectaculaire, mais tout aussi efficace !

Puis le 8 décembre 2024, c’est la fin. Le régime Assad s’effondre face à l’offensive des rebelles menés par Hayat Tahrir al-Sham et Bashar fuit vers la Russie avec sa famille, mettant fin à plus de 50 ans de dictature familiale. Avec la chute du régime, la Syrian Electronic Army perd sa raison d’être, Yaser al-Sadeq et ses troupes disparaissent dans la nature, Haidara Suleiman s’exile probablement avec papa et Ahmad Agha et Firas Dardar restent introuvables et sont encore aujourd’hui sur la liste des plus recherchés du FBI avec 100 000 dollars de récompense sur leur tête.

Cette organisation qui se vantait de maîtriser l’information n’a pas vu venir la chute de son propre camp et leurs talents en cyber-guerre n’ont pas suffi à sauver Assad. C’est le karma !

Tchao !

L’attaque contre AP reste LE cas d’école sur la fragilité des marchés face aux fake news et depuis, plusieurs incidents similaires ont eu lieu, la preuve que les gens n’apprennent pas vite et que les algos de trading sont toujours aussi cons.

En ciblant les médias occidentaux, la SEA a normalisé l’idée que l’info était un champ de bataille et aujourd’hui, que ce soit l’Ukraine, Gaza, Taiwan… partout, la guerre de l’info fait rage.

Bref, la Syrie c’est peut-être pas la Silicon Valley, mais ses hackers ont réussi à faire crasher Wall Street donc ça remet un peu les pendules à l’heure sur la prétendue supériorité technologique occidentale !

Sources : U.S. Department of Justice - Syrian Electronic Army Charges, Washington Post - AP Hack Market Crash, NPR - Syrian Electronic Army Overview, Wikipedia - Syrian Electronic Army, Washington Post - SEA Profile, The Hacker News - Skype Hack, Vice - SEA Interview

La Switch 2 refuse de fonctionner au-dessus de 35°C. Et c’est une mauvaise nouvelle pour 2 milliards d’humains qui vivent dans des zones où c’est la température normale. Voici donc Nintendo invente la console géo-discriminante.

Hé oui, ces derniers vient de confirmer officiellement sur Twitter que leur nouvelle Switch 2 a un petit souci avec la chaleur. Et quand je dis petit, c’est un euphémisme. La console ne doit pas être utilisée dans des environnements dépassant 35°C (95°F) sous peine de dysfonctionnement. Ah, et en dessous de 5°C non plus. En gros, si vous n’habitez pas dans un climat tempéré avec la clim’, oubliez.

Le tweet du service client Nintendo Japon du 1er août 2025 précise que “Utiliser la Nintendo Switch ou la Nintendo Switch 2 dans un environnement chaud peut faire monter la température de la console. Cela peut causer des dysfonctionnements, donc utilisez-la dans un endroit entre 5 et 35°C.” Ils ajoutent même, avec une pointe d’ironie involontaire que “Récemment, la température dépasse 35°C plusieurs jours de suite. Faites attention quand vous l’utilisez dehors.”

Ce qui me tue, c’est que ce n’est pas une découverte. En effet, début juillet 2025, des utilisateurs rapportaient déjà que leur Switch 2 surchauffait grave. Les ventilateurs tournaient à fond, la console crashait en mode portable comme en mode dock, et certains disaient même qu’elle devenait trop chaude pour la tenir. Et ce n’était pas qu’avec le gros Cyberpunk 2077. Non, non, même Splatoon ou Pokémon faisaient surchauffer la bête.

Le Moyen-Orient, le Sahara, l’Asie du Sud… des zones où les températures dépassent régulièrement 35°C. Sans clim’, pas de Switch 2. Nintendo vient littéralement de dire à des milliards de personnes : “Notre console n’est pas pour vous.”. Car le hardware de la Switch 2 a beau être une upgrade majeure par rapport à l’originale, elle reste sous-motorisée comparée aux consoles portables modernes comme le GPD Win 5ou l’Ayaneo Next 2. Nintendo mise donc sur ses exclusivités pour vendre, mais veut aussi attirer plus de jeux AAA. Du coup, le hardware est poussé dans ses retranchements par des titres mal optimisés.

Par exemple, la Turquie connaît régulièrement des températures dépassant 40°C en été. L’Inde, le Pakistan, une bonne partie de l’Afrique et de l’Amérique du Sud aussi. Même en France, on tape régulièrement dans les 35-40°C l’été maintenant. Nintendo suggère donc de “placer la console dans un endroit bien ventilé” et “d’éviter la lumière directe du soleil”.

Les recommandations de Nintendo pour éviter la surchauffe sont du niveau “avez-vous essayé de l’éteindre et de la rallumer ?” du genre, utilisez-la sur des surfaces dures et plates (pas sur le lit), ne bloquez pas les aérations, placer la console dans un endroit bien ventilé, limitez le temps de jeu quand il fait chaud, évitez la lumière directe du soleil…etc. Merci Captain Obvious !

En gros, achetez une console à 400 balles pour jouer 30 minutes avant qu’elle ne fonde. Quand je pense à ma vieille Game Boy de 1989 qui survivait à des étés caniculaires sans broncher. La DS et la 3DS aussi. Mais la Switch 2, console “next-gen” de 2025, fond comme un esquimau dès qu’il fait un peu chaud. Du coup, c’est quoi la prochaine étape ? Une console qui ne marche que les jours de pluie ?

Bref, avec le réchauffement climatique qui s’accélère, de plus en plus de régions vont connaître des températures extrêmes. C’est donc un fail monumental en termes d’ingénierie thermique… Ouin.

Source

Les centrales solaires font du télétravail la nuit car au lieu de roupiller comme nous tous maintenant elles cherchent des astéroïdes. C’est ce qu’a mis en place un scientifique fou des Sandia Labs qui a ainsi transformé 218 miroirs héliostats en télescope géant pour traquer les cailloux spatiaux quand le soleil se couche.

John Sandusky, chercheur aux Sandia National Laboratories, en avait marre de voir les héliostats se tourner les pouces après le coucher du soleil. Ces miroirs géants de 37 mètres carrés qui concentrent la lumière solaire sur une tour de 61 mètres pour produire 6 mégawatts thermiques le jour, bah la nuit ils font rien. Zéro. Nada. C’est donc un gâchis monumental pour une installation qui a coûté des millions.

Alors il s’est dit : et si on leur trouvait un petit boulot ? Genre chasseur d’astéroïdes ? Pas con le mec.

Le principe est assez dingue, vous allez voir… Au National Solar Thermal Test Facility d’Albuquerque au Nouveau-Mexique, Sandusky a reprogrammé un des 218 héliostats pour qu’il suive les étoiles comme un télescope. Sauf qu’au lieu de capturer des images, il mesure les variations de lumière avec une précision au femtowatt près. C’est un millionième de milliardième de watt, autant dire trois fois rien.

“On collecte un million de watts de lumière solaire le jour”, explique Sandusky. “Et la nuit, on veut collecter un femtowatt de lumière réfléchie par les astéroïdes.” Le rapport c’est un pour un million de milliards. C’est comme passer d’un concert de Metallica à entendre une fourmi péter.

Pour cela, l’héliostat oscille d’avant en arrière toutes les minutes en suivant le ciel étoilé et si un astéroïde passe dans le champ de vision, il crée une perturbation dans le spectre de fréquences lumineuses. Bien sûr, pas de jolies photos avec des traînées comme dans les télescopes classiques, mais une signature dans les données qui trahit sa présence, sa vitesse et sa trajectoire.

Évidemment, le système ATLAS de la NASA (Asteroid Terrestrial-impact Last Alert System) fait déjà un boulot remarquable avec ses quatre télescopes qui scannent le ciel complet toutes les 24 heures et depuis sa création, ATLAS a découvert plus de 700 astéroïdes proches de la Terre et 66 comètes. Il a même détecté les deux seuls astéroïdes qui sont tombé sur Terre ces dernières années : 2019 MO et 2018 LA.

Mais les télescopes coûtent cher et il n’y en a pas assez alors que les centrales solaires, elles, sont déjà là. Aux États-Unis, en Espagne, au Maroc, en Chine, en France… Des milliers d’héliostats qui pourraient faire double usage.

Le plus fou c’est que cette technologie pourrait aussi servir pour surveiller l’espace cislunaire, c’est à dire la zone entre la Terre et la Lune car les orbites près de la Lune sont difficiles à suivre depuis le sol et des objets (vaisseaux, ovnis, satellites, rayons laser de la mort ^^…etc) pourraient s’y cacher discrètement. Avec un réseau d’héliostats comme celui-ci transformés en sentinelles nocturnes, plus moyen de jouer à cache-cache.

Mais pour l’instant, vous vous en doutez, c’est de la recherche fondamentale et maintenant, Sandusky cherche des financements pour passer à l’échelle supérieure.

“On veut passer d’un héliostat à plusieurs et démontrer qu’on peut aider à trouver des objets proches de la Terre. […] On veut aussi prouver qu’on peut détecter des astéroïdes encore plus petits.”

En février 2025, ATLAS a d’ailleurs fait une découverte historique : l’astéroïde 2024 YR4, gros comme un immeuble de 20 étages, qui pourrait percuter la Terre en décembre 2032. Cette collision reste possible même si les probabilités sont faibles mais ce genre de menace justifie qu’on utilise toutes les ressources disponibles pour surveiller le ciel.

L’idée de Sandusky, c’est donc du recyclage intelligent car plutôt que de construire de nouveaux télescopes de plus en plus gros, on utilise l’infrastructure existante de ces centrales solaires qui la nuit ne font rien. Elles deviendraient ainsi nos vigies de l’espace, gratuitement ou presque car un héliostat qui traque les astéroïdes la nuit et produit de l’électricité le jour, c’est deux fois plus rentable.

Et si ça marche bien, on pourrait voir fleurir des réseaux de surveillance spatiale low-cost où chaque centrale solaire deviendrait un maillon de la défense planétaire. Les astéroïdes tueurs n’auront qu’à bien se tenir !!

Source

Ces dernières années, la dissonance cognitive frappe fort car tenez-vous bien, j’ai découvert qu’il existait des anti-IA qui militaient activement entre deux épisodes piratés de Dr Who. Hé oui, c’est le paradoxe moral de notre époque, à savoir défendre les droits d’auteur tout en ayant 2 To de films illégaux sur son disque dur.

D’un côté, il y a donc une indignation face aux IA génératives qui s’entraînent sur des œuvres protégées et de l’autre, la normalisation totale du piratage de contenus.

Les deux pratiques utilisent le travail des autres sans permission, mais bizarrement, une seule déclenche l’outrage moral. Ce que j’aimerai aborder dans cet article c’est donc cette dissonance cognitive / ce malaise mental qui se produit quand nos actions contredisent nos valeurs. Les psychologues qui étudient le piratage ont même identifié des “techniques de neutralisation” qu’on utilise pour justifier nos contradictions du genre : “C’est pas pareil”, “Les studios sont riches”, “Je paierais si c’était moins cher”… Ça vous rappelle quelque chose, non ^^ ?

Les deux pratiques posent des questions éthiques légitimes car comme je vous l’expliquais dans mon précédent article, l’IA générative utilise des millions d’œuvres pour créer du contenu qui peut directement concurrencer les artistes originaux. Mais le piratage prive aussi les créateurs de revenus directs. Dans les deux cas, on profite du travail des autres sans compensation.

Mais il y a quand même des nuances importantes car l’IA transforme, recrée, et elle produit quelque chose de nouveau (même si c’est discutable), et le piratage, c’est de la consommation pure. L’un est légal dans certains contextes (le fair use reste quand même assez flou), et l’autre est clairement illégal partout. L’un démocratise la création, l’autre ne fait que redistribuer l’existant.

La vraie hypocrisie, c’est donc de prétendre qu’on défend les artistes tout en piratant leur travail. Ainsi, si vous téléchargez illégalement la dernière série de Netflix tout en critiquant Midjourney, vous faites partie du problème que vous dénoncez.

L’impact économique est évidemment débattu car certains argumentent que les deux pratiques affaiblissent l’économie créative mais d’autres (dont je fais partie) soutiennent que le piratage a paradoxalement forcé l’innovation, créant finalement plus de valeur. L’IA générative pourrait avoir un effet similaire, destructeur à court terme mais potentiellement transformateur à long terme. On verra bien.

Bref, pour certains, le piratage est un acte de résistance contre les monopoles du divertissement, tandis que d’autres voient l’IA comme un accès à tous à la création. Et bien sûr, les deux camps utilisent des justifications morales pour des actes reconnus comme ambigus. C’est humain c’est sûr, mais c’est incohérent. Ainsi, ces mêmes personnes qui s’insurgent contre le “vol” de styles artistiques par l’IA n’ont visiblement aucun problème à “voler” une série entière, un album MP3 ou installer un crack pour la suite Adobe. Comme si le support changeait la moralité de l’acte. Un dataset d’images scrapées, c’est mal, mais un disque dur plein de films piratés, c’est la normalité.

Bref, on défend la propriété intellectuelle quand ça nous arrange (l’IA menace mon job) et on l’ignore quand ça nous gêne (j’ai pas envie de payer Disney+). C’est quand même une position intenable intellectuellement, vous ne trouvez pas ? Et cela, les entreprises qui font de l’IA l’ont bien compris et surfent sur cette hypocrisie généralisée : “Vous piratez bien des livres et des films, alors pourquoi pas nous ?”

Bien sûr, ce n’est pas dit explicitement, mais le message est là, et si on est honnête, l’argument n’est pas totalement faux.

Donc la solution, ce serait déjà de reconnaître nos contradictions. Si vous militez pour les droits des créateurs, soyez cohérents et payez pour le contenu que vous consommez. Et si vous piratez, assumez que vous participez aussi totalement à l’érosion du système que vous prétendez défendre contre l’IA. Après si vous achetez tout ce que vous regardez en séries, films, livres, logiciels, musique ET qu’en plus, vous militez contre l’IA, vous êtes cohérent avec vous-même et dans ce cas bravo les amigos !

Et si vous n’en avez rien à foutre de la propriété intellectuelle, que vous téléchargez illégalement tout ce qui bouge, vous pouvez continuer à attaquer l’IA sur la thématique des emplois détruits ou de l’écologie mais concernant le respect du travail des artistes, vous n’avez jamais été crédibles.

Bref, je pense qu’on devrait repenser totalement notre approche de la propriété intellectuelle car visiblement, le modèle actuel ne fonctionne plus, que ce soit pour l’IA ou le piratage. Mais bon, tant qu’on restera dans le déni de nos propres contradictions, on n’avancera pas. Donc, avant de poster votre prochain tweet indigné sur l’IA générative, regardez votre historique de téléchargements et si vous trouvez ne serait-ce qu’un fichier piraté, prenez quand même 2 min pour réfléchir à votre position morale. Vous verrez, c’est un exercice fascinant ^^.

Au final, on est tous des pirates d’une manière ou d’une autre… La différence, c’est juste le niveau d’honnêteté qu’on a avec nous-mêmes. Alors, prêts à regarder vos contradictions en face ? Ou vous préférez retourner sur YGG en attendant que ChatGPT écrive le prochain épisode de votre série préférée ?

Image

Voici quelque chose que beaucoup ignorent chez o2switch : la possibilité de faire tourner des applications NodeJS, Python et Ruby ! Eh oui, c’est pas que du WordPress et du PHP chez eux, on peut faire du développement moderne aussi.

Je vous vois venir avec vos “mais o2switch c’est un hébergeur mutualisé, on peut pas faire tourner du Node dessus”. Bah si ! Et c’est même super simple à mettre en place et quand j’ai découvert ça, j’ai halluciné.

Commençons par NodeJS. Vous savez, ce truc qui permet de faire du JavaScript côté serveur et de créer des applications web ultra réactives. Chez o2switch, vous avez un outil dédié dans cPanel qui s’appelle “Setup Node.js App”. Vous cliquez dessus, vous choisissez votre version de Node (ils ont toutes les versions récentes), vous indiquez où sont vos fichiers, et boom, c’est parti.

Ce qui est vraiment cool, c’est que vous pouvez faire tourner plusieurs applications Node en même temps, chacune sur son propre port ou son propre chemin d’URL. Genre vous pouvez avoir votre site principal en WordPress et une API en Node qui tourne sur monsite.com/api. C’est flexible comme tout !

Pour Python, c’est le même délire. L’interface s’appelle “Setup Python App” et ça fonctionne avec WSGI. Vous choisissez votre version de Python (de la 2.7 à la dernière 3.x), vous pointez vers votre fichier d’entrée, et c’est parti. Parfait pour faire tourner du Django, du Flask ou n’importe quel framework Python moderne.

Ruby aussi est de la partie avec “Setup Ruby App”. Bon, je vais être honnête, l’interface est un poil plus austère pour Ruby, mais ça fait le job. Si vous êtes fan de Ruby on Rails ou Sinatra, vous pouvez tout à fait les faire tourner sur o2switch.

Mais attendez, le meilleur dans tout ça ? C’est que c’est inclus dans toutes les offres ! Que vous soyez sur l’offre Grow à 7 € HT par mois, sur la Cloud à 4,25 € HT/mois la première année ou sur la Pro à 6,25 € HT/mois la première année également, vous avez accès à ces fonctionnalités. Pas de supplément, pas d’option à 50 balles, c’est dedans !

D’ailleurs, petit aparté sur Softaculous. Vous connaissez ? C’est l’installateur automatique d’applications qu’ils ont intégré. En plus de WordPress (même si pour ça je vous conseille plutôt WP Tiger, leur outil maison), vous pouvez installer en un clic des tonnes d’applications : Matomo pour vos stats RGPD-friendly, TinyTinyRSS pour votre agrégateur de flux, des outils de ticketing comme osTicket, et j’en passe.

Le truc vraiment pratique avec tout ça, c’est que ça reste de l’hébergement infogéré. Vous n’avez pas à vous soucier des mises à jour système, de la sécurité du serveur ou de la configuration Apache. o2switch gère tout ça en coulisses pendant que vous, vous vous concentrez sur votre code.

Pour ceux qui aiment automatiser, vous avez aussi les tâches cron. Vous pouvez programmer des scripts qui se lancent à intervalles réguliers, que ce soit du PHP, du shell, du Python… Parfait pour vos scripts de maintenance, vos sauvegardes custom ou la régénération de votre site statique.

Ah et pour les devs, il y a même la possibilité de créer des dépôts Git directement dans cPanel. Plus besoin de passer par FTP pour déployer, vous pouvez cloner votre repo et travailler directement sur le serveur. C’est pas du CI/CD automatisé, mais pour un hébergement mutualisé, c’est déjà énorme.

Et notez que leur support technique est au courant de toutes ces fonctionnalités. Comme ça, si vous galérez avec votre config Node ou Python, n’hésitez pas à les contacter. Ils sont en France, ils parlent français, et connaissent leur sujet sur le bout des doigts ! Et puis il y a Tigrou, leur chatbot intégré dans cPanel. Quand vous êtes sur la page de config Node ou Python, il détecte où vous êtes et vous propose directement la documentation adaptée. C’est con mais c’est super pratique quand on débute.

Franchement, pour le prix, je ne connais pas d’autre hébergeur qui propose autant de flexibilité technique. On est loin du simple hébergement PHP de papa. Avec les lunes pour isoler vos projets, les outils de performance, et maintenant le support de tous ces langages modernes, o2switch c’est devenu une vraie plateforme de développement.

Alors oui, on n’est pas sur du VPS où vous avez un contrôle total. Mais est-ce que vous avez vraiment envie de passer vos soirées à configurer Nginx et à patcher votre serveur ? Moi pas. Je préfère coder et laisser o2switch s’occuper de l’infra.

Si vous voulez tester, foncez. Avec leur garantie satisfait ou remboursé de 30 jours et la migration gratuite, vous ne risquez rien. Et avec le code KORBEN10, c’est vraiment le moment de sauter le pas !

Il est 2h du mat’, je tombe sur keygenmusic.tk et BAM, flashback direct dans les années 90 / 2000. Car oui, forcement, comme moi, vous vous souvenez de ces petites mélodies 8-bit qui accompagnaient les cracks de logiciels, non ? Et bien ce site les stream toutes, gratuitement, directement dans votre navigateur. C’est Mikhailo Onikiienko, un développeur ukrainien basé à Kiev, qui maintient cette perle depuis 2015.

Le truc, c’est que keygenmusic.tk n’est pas juste un player audio basique… c’est de mon point de vue, un véritable monument à la culture de la demoscene et du tracker musical. Le site lit nativement les formats .mod, .xm, .s3m et .it directement dans votre navigateur comme ça, plus besoin de télécharger WinAmp ou ModPlug Tracker comme en 1998.

Depuis 2015, Mikhailo peaufine son bébé avec des fonctionnalités qui font plaisir comme le support des touches média pour play/pause/next/prev, la recherche par titre de module, un système de favoris, des liens directs vers les morceaux, et même un visualiseur de spectre. Le garçon ne chôme pas !

Pour ceux qui ne connaissent pas ce pan de la culture tech, les musiques de keygen sont nées de la convergence entre la scène du cracking et la demoscene dans les années 90. Les groupes de crackers voulaient montrer leur talent technique, et quoi de mieux qu’une intro musicale péchue composée note par note dans un tracker ? D’ailleurs, ces morceaux devaient être ultra légers (quelques Ko max) pour ne pas alourdir les keygens distribués à l’époque du 56k.

Le site utilise chiptune2.js de deskjet, une bibliothèque JavaScript qui fait tourner libopenmpt dans le navigateur ce qui permet d’obtenir un son authentique qui vous ramènera direct à l’époque où on attendait 3 heures pour télécharger Photoshop 7 sur eMule. Ces mélodies répétitives mais addictives, ces basslines qui tapent, ces arpèges impossibles… raaaah, tout y est et j’adore !

Chaque morceau conserve ses métadonnées originales : nom du groupe, message du cracker, année… C’est un véritable musée numérique de la culture underground des années 90-2000. Des groupes mythiques comme Fairlight, Razor 1911, Paradox… leurs signatures sonores sont toutes là. Ces compositions ont influencé toute une génération d’artistes électroniques et aujourd’hui, on retrouve l’esthétique chiptune partout : dans les jeux indés, les films, et même dans la musique mainstream.

Le projet est hébergé sur GitHub et Mikhailo a vraiment soigné les détails pour que l’expérience soit fluide sur tous les navigateurs modernes. Y’a même des extensions pour Chrome, Firefox et Opera pour avoir ces petits sons toujours sous la main.

Bref, pour les nostalgiques de la demoscene comme moi, c’est Noël ! Ces musiques racontent l’histoire d’internet, du piratage, et de la culture geek des débuts et sont techniquement impressionnantes ! Foncez vite découvrir ça en cliquant ici !

J’avoue que je n’ai rien suivi de tout ça parce que pas le temps, mais comme d’hab, on va nous la faire à l’envers et on ne pourra pas y faire grand chose. Ce projet baptisé Chat Control c’est l’Europe qui veut scanner TOUS nos messages WhatsApp, Signal et Telegram dès octobre 2025. La France, l’Allemagne et 17 autres pays soutiennent ce délire totalitaire et voici comment ils comptent casser le chiffrement de bout en bout.

Tout d’abord, le Danemark a remis ça sur la table dès le premier jour de sa présidence de l’UE, le 1er juillet dernier. C’est fou quand on sait que toute l’opposition danoise est contre ce projet et que leurs propres cryptographes ont déclaré que “Chat Control va saper toute l’idée du chiffrement de bout en bout”. Ce projet qui était mort et enterré plusieurs fois revient encore plus agressif et cette fois, ils veulent forcer toutes les messageries à scanner automatiquement chaque message, photo et vidéo que vous envoyez. Même chiffré de bout en bout.

Le principe est vicieux et stupide car au lieu de casser directement le chiffrement (ce qui serait trop voyant), ils veulent imposer le “client-side scanning”. En gros, un mouchard installé sur votre téléphone qui analyse tout ce que vous tapez AVANT que ça soit chiffré, un peu comme si la Poste venait lire toutes vos lettres dans votre salon avant que vous ne les mettiez dans l’enveloppe.

Patrick Breyer, ancien eurodéputé du Parti Pirate allemand, balance les chiffres… D’après lui, au moins 19 pays sur 27 soutiennent maintenant ce projet selon les données du Parti Pirate européen. La France qui était contre a retourné sa veste (comme c’est étonnant…), l’Allemagne hésite encore car le nouveau gouvernement n’a pas encore pris position mais personne ne se fait d’illusion, et surtout, la Belgique, la Hongrie, la Suède, l’Italie, l’Espagne… tous sont pour.

Le prétexte officiel comme d’hab, c’est de lutter contre la pédocriminalité (CSAM - Child Sexual Abuse Material). Noble cause, certes mais encore une fois, l’exécution est catastrophique. Comme les plateformes devront scanner TOUS les messages de TOUS les utilisateurs pour détecter du contenu illégal, y’a pas de mandat, pas de suspicion, mais juste une surveillance généralisée permanente.

Techniquement, c’est également une catastrophe annoncée car les systèmes de détection automatique sont notoirement mauvais. Apple avait tenté un truc similaire en 2021 et avait dû reculer face au tollé. Les faux positifs sont légion : photos de famille à la plage, discussions médicales, échanges entre ados… Tout peut être mal interprété par un algorithme. Les juristes du Conseil de l’UE eux-mêmes ont critiqué le projet dans un rapport interne révélé en mars 2025. Ils parlent de mesure “disproportionnée” qui viole la Charte européenne des droits fondamentaux et la Cour européenne des droits de l’homme a déjà statué en 2023 contre l’affaiblissement du chiffrement.

Le plus absurde c’est que les vrais criminels n’utilisent pas WhatsApp. Ils ont leurs propres outils, leurs propres réseaux, du coup cette surveillance touchera uniquement monsieur et madame tout-le-monde. Et pendant ce temps, les pédocriminels continueront tranquillement leurs saloperies sur le dark web ou avec des solutions maison.

Le Danemark veut faire passer le texte avant le 14 octobre 2025 et si l’Allemagne bascule du côté obscur, c’est plié. La majorité qualifiée sera atteinte et on aura tous un espion gouvernemental dans la poche. Et les implications vont bien au-delà de la simple vie privée car si une backdoor existe pour scanner les messages, elle peut être exploitée par des hackers, par des gouvernements étrangers, par des entreprises malveillantes…etc. Ce truc c’est ouvrir la boîte de Pandore de la surveillance.

Les associations de défense des libertés numériques sont sur le coup et tirent la sonnette d’alarme. La Quadrature du Net, l’EFF, Privacy International… tous dénoncent une dérive autoritaire sans précédent dans une démocratie. Même les développeurs de Signal ont prévenu : si Chat Control passe, ils pourraient quitter l’Europe.

La vérification d’âge obligatoire est aussi dans le package… Terminé l’anonymat, il faudra prouver qui vous êtes pour utiliser une messagerie. Vos données personnelles seront ainsi liées à chaque message. C’est vraiment le rêve humide préféré de tous les régimes autoritaires.

Après si Chat Control passe, il faudra migrer vers des solutions vraiment décentralisées comme Matrix, Briar, et des trucs qui échappent encore au contrôle étatique mais ce sera pas forcement très user-friendly pour tout le monde. Surtout que les États-Unis, l’Australie, le Canada… tous regardent cette loi avec des étoiles dans les yeux pour faire pareil chez eux.

Bref, on n’est plus dans 1984 d’Orwell, on est carrément au-delà.

Source

C’est l’histoire d’un développeur polonais a quitté son job il y a plus d’un an pour créer un éditeur graphique et il s’est dit que ce serait cool de le donner gratuitement !

Krzysztof Krysiński et son équipe viennent de sortir PixiEditor 2, et c’est une claque monumentale. Fini l’époque où il fallait jongler entre Photoshop, Illustrator et Aseprite car cette petite équipe européenne a créé le premier véritable “éditeur 2D universel”.

Jusqu’à présent, PixiEditor était surtout connu comme un éditeur de pixel art sympa mais limité. Cette version 2.0 change complètement la donne puisque l’équipe a construit un pipeline de rendu raster/vectoriel ultra configurable qui s’adapte à n’importe quel workflow. Vous pouvez littéralement switcher entre trois modes de travail : Painting (pour le dessin classique), Pixel Art (avec des outils pixel-perfect) et Vector (pour les logos et illustrations scalables).

Mais parlons surtout du Node Graph, parce que c’est là que PixiEditor devient vraiment foufou. Grâce à ce truc, vous allez pouvoir créer des effets visuels complexes juste en connectant des boîtes entre elles. Chaque layer devient ainsi un node, et vous pouvez les combiner pour créer des trucs impossibles dans un éditeur classique. L’équipe a même réussi à créer un workspace de texturing 3D avec preview en temps réel. Je vous rappelle que c’est un éditeur 2D à la base !

Les animations ont également été ajoutées après des années de demandes et surtout PixiEditor ne s’est pas contenté du minimum. Vous avez le frame par frame classique pour vos sprites de jeu, mais aussi la possibilité d’animer vos nodes pour créer des effets procéduraux. Y’a aussi de l’export en GIF, MP4 ou spritesheet pour vos jeux… Toutefois, il manque encore les animations vectorielles avec keyframes, mais c’est prévu pour après cette mouture.

Pour les pixel artists, c’est aussi Noël car le mode Pixel Art propose un brush avec option pixel-perfect (plus de pixels baveux !), des outils de transformation qui préservent le style pixel (scale, rotate, skew sans antialiasing), et même un outil texte non-destructif qui reste pixel-perfect lui aussi. Les palettes sont gérées nativement avec import / export vers tous les formats populaires, s’il vous plait !

Il y beaucoup d’attention aux détails dans cette release. Les vecteurs supportent le high DPI natif, donc vos logos restent nets même sur un document basse résolution. Le système de preview permet d’avoir plusieurs viewports sur le même fichier ce qui est super pratique pour voir différentes sorties de votre node graph en simultané. Et cerise sur le gâteau, tout fonctionne offline, pas besoin de connexion internet.

Notez que l’équipe a créé Pixi Labs Sp. z o.o., une entité légale polonaise pour gérer le projet, mais pas de panique car PixiEditor reste libre et gratuit. Leur modèle économique est transparent et malin puisqu’ils maintiennent et développent PixiEditor gratuitement tout en vendant des extensions et assets optionnels.

Par exemple, le Founder’s Pack inclut des workspaces spécialisés (card builder pour créer des cartes de jeu, texturing 3D, animations réutilisables) et 21 palettes exclusives. C’est du win-win comme ça vous soutenez le développement et vous récupérez des outils sympas.

Niveau config, il vous faudra un GPU compatible Vulkan (la plupart des cartes récentes) et un système 64 bits. Et si votre machine est trop vieille, vous pouvez toujours utiliser PixiEditor 1.0 via Steam. Linux est même maintenant officiellement supporté, ce qui manquait cruellement à la v1. Les développeurs bossent dur pour supporter plus de configurations, mais désolé de vous le dire, le 32 bits c’est fini.

Son but initial était de construire un éditeur libre qui peut gérer TOUTE la 2D et la mission est accomplie… PixiEditor 2.0 n’est pas “encore un clone de Photoshop” mais plutôt une nouvelle vision de ce que devrait être un éditeur graphique moderne.

Si ça vous tente, c’est disponible sur Steam, le Microsoft Store, ou directement sur leur site. Le code source est sur GitHub si vous voulez contribuer ou compiler vous-même.

Et l’avenir s’annonce radieux avec une roadmap ambitieuse : version web, marketplace d’assets, CLI pour l’automatisation, format de fichier interactif, et surtout une API d’extensions avec store intégré façon Visual Studio Code.

Le but étant de permettre le développement d’extensions dans presque n’importe quel langage grâce aux composants WASI. Grâce à toutes ses fonctionnalités, PixiEditor a les épaules pour devenir LE standard de la création 2D libre. En attendant, c’est déjà un outil incroyablement puissant qui ridiculise pas mal de solutions payantes.

Source

Je suis un grand utilisateur d’Apple Notes et régulièrement, je me dis que ce serait quand même cool d’en avoir un petit backup sur mon NAS pour au cas où le jour où Apple décide de tout supprimer. J’y ai des années de réflexions, d’idées, de projets…etc et les voir s’envoler me foutrait un peu le cafard !

Alors aujourd’hui, j’ai enfin trouvé 5 min pour me pencher sur cette problématique et je suis tombé sur Exporter, une petite app Mac qui exporte l’ensemble de vos notes Apple en fichiers Markdown. Et ça m’a enlevé un stress parmi ma liste de mes autres 456 986 stress que j’ai dans mon cerveau dérangé.

Car le problème avec Apple Notes, c’est qu’on s’y habitue trop bien. L’app est fluide, synchronisée entre tous vos appareils, et on finit par y stocker toute sa vie numérique. Alors que se passe-t-il si votre compte iCloud bug ? Si Apple décide de changer certaines choses ? Ou si vous voulez migrer vers une autre app ? Et bien je vais vous le dire… Vous l’avez dans le cul et vous vous retrouvez coincé avec vos données enfermées dans l’écosystème Apple.

Surtout que les statistiques font froid dans le dos… 93% des entreprises qui perdent leurs données pendant plus de 10 jours font faillite dans l’année. Et bien pour vos notes personnelles, c’est pareil. Une fois perdues, impossible de les récupérer et contrairement aux photos ou documents qui traînent souvent dans plusieurs endroits, vos notes n’existent généralement que dans une seule app.

C’est là qu’Exporter entre en scène. Cette petite app développée par Chintan Ghate fait exactement ce que son nom indique : elle exporte toutes vos notes Apple vers des formats standards comme Markdown ou HTML. En quelques clics, vous transformez vos notes propriétaires en fichiers lisibles par n’importe quelle app de prise de notes.

Pour vous en servir, une fois installé, vous lancez Exporter, vous sélectionnez le format de sortie (Markdown ou HTML), vous choisissez le dossier de destination, et hop. L’app récupère automatiquement toutes vos notes, préserve la structure de dossiers, garde les dates de création et modification, et exporte même les pièces jointes. JPEG, PNG, GIF, TIFF, BMP, PDF, DOCX, MP4, fichiers audio… tout y passe.

Ce qui me plaît surtout dans cette app, c’est qu’elle fonctionne en local. Ainsi, vos données ne transitent jamais par internet et passent directement de l’app Notes vers vos fichiers sur le disque dur. Comme ça, pas de stress du “Est-ce que mes notes privées vont se retrouver sur un serveur quelconque ?”. Tout reste sur votre Mac.

Surtout que l’export en Markdown, c’est le format magique. Lisible par les humains, compatible avec une flopée d’apps modernes : Obsidian, Bear, Standard Notes, Craft, Joplin, NotePlan, Agenda… Bref, vous avez l’embarras du choix. Et si demain vous voulez changer encore d’app, vos fichiers Markdown vous suivront partout.

La version de base exporte tout, et il y a la possibilité, si vous payez un petite quelque chose, de filtrer l’export par notebook si vous ne voulez pas tout récupérer d’un coup.

Par contre, attention aux limitations… Exporter ne gère pas les sous-dossiers, donc si vous avez une hiérarchie complexe dans Notes, il faudra la recréer manuellement dans votre nouvelle app. Les hyperliens ne sont pas exportés non plus. Ce ne sont pas des bugs, juste des limites du format Apple Notes lui-même.

Et surtout n’oubliez pas que le vrai piège, c’est de se dire “je le ferai plus tard”. Donc si vous êtes comme moi, que vous vivez dans Apple Notes et que l’idée de tout perdre vous angoisse, Exporter est votre bouée de sauvetage ! Ça vous libère de votre prison dorée, et comme ça vos notes deviennent portables, sauvegardables, migrables, et vous dormirez mieux la nuit (ou pas).

Aujourd’hui mes amis, voici l’histoire du plus vieux groupe de hackers encore en activité. 41 ans d’existence, c’est pas rien quand même. Alors oui, le Cult of the Dead Cow, ça peut faire peur comme nom, mais derrière cette appellation qui fleure bon le metal des années 80, y’a une bande de petits génies qui ont inventé l’hacktivisme moderne. Du coup, on va causer de vaches mortes, de hackers texans, et de comment ces quelques geeks ont changé le monde depuis un abattoir pourri.

Le culte de la vache morte version ASCII

Je vais prendre un exemple concret pour que vous compreniez bien l’ampleur du truc. Juin 1984, Lubbock, Texas. Pendant qu’on découvrait les Transformers et qu’on se battait pour avoir une NES, six gamins se retrouvent dans un abattoir désaffecté appelé Farm Pac. L’endroit pue la mort, les mouches font la java, des carcasses de vaches pourries traînent partout. C’est dans cette ambiance digne d’un film de Tobe Hooper que naît le Cult of the Dead Cow.

Le cerveau derrière tout ça ? Kevin Wheeler, 14 ans à peine, qui se fait appeler Grandmaster Ratte’ (avec l’accent aigu, s’il vous plaît car le mec avait déjà le sens du spectacle). Né en avril 1970, Wheeler avait déjà monté son propre BBS et passait ses nuits à explorer les systèmes téléphoniques. Avec lui, il y avait Bill Brown alias Franken Gibe, un mec surnommé Sid Vicious (rien à voir avec les Sex Pistols), et trois autres opérateurs de BBS locaux dont les noms se sont perdus dans les brumes du temps.

Grandmaster Ratte'

Wheeler deviendra par la suite « l’Imperial Wizard of ExXxtasy » du groupe. Oui, avec trois X, parce que pourquoi pas. Le mec avait une personnalité complexe, flamboyant et théâtral en public, mais terriblement reclus dans la vraie vie. Le genre de type qui fait le show sur scène mais qui disparaît dès que les projecteurs s’éteignent. Un vrai paradoxe ambulant.

Pour les plus jeunes qui lisent ça, laissez-moi vous expliquer ce qu’était un BBS. C’était l’ancêtre d’Internet… vous composiez un numéro de téléphone avec votre modem 2400 bauds (oui, 2400 bauds, pas 2400 Mbps), et après 3 minutes de bruits de robot qui agonise, vous vous connectiez sur le serveur d’un passionné. Télécharger un fichier de 1 Mo prenait 6 heures et votre mère vous engueulait parce que la ligne était occupée et qu’elle attendait un appel de tante Germaine. C’était ça, l’informatique des années 80 !

Le truc marquant avec ces gars du cDc (c’est leur petit nom, prononcez “see-dee-see”), c’est qu’ils ont compris très tôt que la technologie n’était pas neutre. Alors que la plupart des hackers de l’époque s’amusaient à craquer WordPerfect pour l’avoir gratos ou à explorer des systèmes VAX par pure curiosité, eux ils avaient une vision. C’était nouveau pour l’époque où Reagan était président et où tout le monde pensait que l’informatique c’était juste pour faire des tableaux Excel.

Dans les années 80, le groupe s’organise alors autour d’un réseau de BBS affiliés. C’était comme une franchise underground où chaque BBS avait sa spécialité. Les noms étaient complètement barrés : “Demon Roach Underground” (géré par un certain Swamp Rat), “The Works”, “Face of the Beyond”, “TacoLand” (où officiait un certain Beto O’Rourke, mais on y reviendra)…

Petit fun fact en passant, ce sont eux qui ont inventé le terme “31337” pour désigner quelqu’un de doué. Aujourd’hui on dit “il gère” ou “c’est un crack”, mais à l’époque, être “31337” c’était le summum. Ce nombre fait référence à “ELEET” (élite) écrit en caractères ASCII, et le port 31337 deviendra plus tard celui utilisé par Back Orifice. Hé oui, ces mecs avaient le sens du détail !

Aussi, les “t-files” du cDc, c’était quelque chose. Un mélange entre Vice Magazine, 2600, et les délires d’un ado sous acide. Et ils publiaient de tout : des guides techniques pour hacker, des manifestes anarchistes, des parodies religieuses comme le “Book of Cow” (une parodie biblique de 1100 mots), et même de la fiction bizarre. Leur article le plus controversé ? “Sex with Satan” de 1988, qui leur a valu d’être traités de “bunch of sickos” par Geraldo Rivera en direct à la télé nationale en 1994. Mdr !

Le site du cDc

En décembre 1990, un membre du groupe va alors dépoussiérer les conférences hacker. Jesse Dryden (pseudo : Drunkfux ou dFx), crée HoHoCon dans un motel miteux près de l’aéroport de Houston. Le mec avait un pedigree de ouf, fils de Spencer Dryden, le batteur de Jefferson Airplane (celui qui a joué à Woodstock !), et petit-neveu de Charlie Chaplin himself. Ses potes le comparaient aux Merry Pranksters de Ken Kesey, sauf qu’au lieu de distribuer de l’acide, il distribuait des exploits zero-day.

HoHoCon était révolutionnaire parce que Dryden a eu les couilles d’inviter tout le monde : hackers, journalistes et même les flics ! Imaginez la tension… d’un côté des mecs recherchés par le FBI, de l’autre des agents fédéraux, et au milieu Dryden qui fait le médiateur avec son charisme légendaire. Il organisera comme ça 5 éditions au total, créant un modèle pour toutes les conférences de sécurité modernes.

Mais le vrai game changer arrive en 1996. Un membre surnommé Omega (Misha Kubecka de son vrai nom) envoie un email interne avec un mot qu’il vient d’inventer : “hacktivism”. La fusion entre “hacking” et “activism”. Dans son email, il écrivait : “We are hacktivists. We hack for a cause.” Simple, direct, efficace !

Cette même année, le groupe crée sa “Ninja Strike Force”. Le nom fait sourire aujourd’hui (c’était les années 90, tout le monde voulait être un ninja), mais l’idée était novatrice. Il s’agissait de créer une équipe dédiée aux actions concrètes pour défendre leurs idées. Parmi les membres : RaD Man (fondateur d’ACiD Productions), Mark Hinge (The Syndicate Of London), et d’autres légendes de la scène. Notez qu’après le 11 septembre, certains membres sont partis bosser pour le gouvernement et ça a créé des tensions, mais ça c’est une autre histoire…

Back Orifice - Simple mais terriblement efficace

Le 1er août 1998, c’est l’apocalypse. À la DEF CON 6 à Las Vegas, dans une salle bondée du Plaza Hotel, le cDc présente Back Orifice. Créé par Sir Dystic (Josh Buchbinder), c’est un outil de prise de contrôle à distance pour Windows qui fait tout péter. Le nom est un jeu de mots génial sur “BackOffice” de Microsoft.

L’outil utilisait le port 31337 (vous avez la référence maintenant), pesait seulement 124 Ko, et permettait de prendre le contrôle total d’un PC Windows 95/98. Microsoft panique, CNN en parle en boucle, et le gouvernement comprend que ces hackers texans ne rigolent plus. Le plus ouf pour l’époque c’est qu’ils l’ont distribué gratuitement avec le code source complet et 50 pages de doc ! J’avoue qu’à l’époque je l’ai beaucoup utilisé principalement pour m’amuser sans jamais rien détruire ni voler. Juste faire des blagues façon « Ton PC est hanté ». C’était illégal bien sûr mais c’était tellement grisant.

L’année suivante, le 10 juillet 1999, ils remettent ça avec Back Orifice 2000 (BO2k) à la DEF CON 7. Cette fois c’est DilDog (Christien Rioux) qui mène le développement. Compatible avec Windows NT/2000/XP, chiffrement 3DES, système de plugins, capacité de changer de PID pour éviter la détection… Du grand art ! DilDog avait bossé comme un malade pendant des mois et le résultat était bluffant.

Mais ils ne s’arrêtent pas là et le cDc sort toute une panoplie d’outils : NBName (DoS sur NetBIOS), SMBRelay (pour voler les hashes NTLM), Camera/Shy (rebaptisé Peek-a-Booty pour contourner la censure en Chine et Iran). Et chaque outil incluait une doc technique qui expliquait comment s’en protéger. La classe totale !

Et en 1997, coup de génie avec les “Hong Kong Blondes”, un groupe fictif de hackers dissidents chinois inventé de toutes pièces. L’histoire était si bien ficelée que des médias internationaux ont publié des articles sur ce groupe qui n’existait pas ! Du pur cDc : action directe + désinformation créative + humour décalé = message politique qui passe.

Les membres du cDc à la DEFCON 1999

En 1999, s’en suit la création d’Hacktivismo, branche dédiée aux droits humains. Menée par Oxblood Ruffin (Laird Brown), musicien classique canadien et “Ministre des Affaires étrangères” autoproclamé du cDc. Leur mission est de développer des outils pour les dissidents et les journalistes sous régimes oppresseurs. Plus question de hacker pour le fun, maintenant c’est du militantisme pur jus.

Parlons maintenant des destins incroyables des membres. Mudge (Peiter Zatko), diplômé de Berklee en musique, auteur du légendaire L0phtCrack, finit par briefer Bill Clinton en personne sur la sécurité Internet en février 2000. Et le mec enchaîne : @stake, BBN, DARPA (où il lance Cyber Fast Track), Google, puis head of security chez Twitter en 2020.

Mudge - Peiter Zatko

En 2022, gros plot twist, Mudge devient whistleblower et balance Twitter dans une plainte de 84 pages, révélant les failles béantes de sécurité juste avant le rachat par Musk. Son témoignage devant le Congrès en septembre 2022 était du pur Mudge : technique, précis, implacable. Et en 2024, retour à la DARPA comme CIO. De hacker à conseiller gouvernemental à lanceur d’alerte, quelle trajectoire !

Mais le plus fou, c’est Beto O’Rourke. Si si, l’ancien congressman du Texas qui s’est présenté à la présidentielle 2020 ! Il était membre du cDc ado sous le pseudo “Psychedelic Warlord” (tiré d’une chanson de Hawkwind). Il gérait le BBS “TacoLand” et a même écrit des t-files, dont “The Song of the Cow” en 1988.

Beto O’Rourke quand il était actif dans cDc (lors d’une DEFCON)

Le truc génial c’est que O’Rourke militait déjà pour plus de femmes dans le groupe et grâce à lui, des hackeuses comme Lady Carolin (Carrie Campbell) les ont rejoint. Quand Reuters a sorti l’info sur son passé en 2019, les républicains ont crié au cyber-terroriste. O’Rourke a assumé : “C’était formateur, j’ai appris l’importance de la liberté d’expression.” Respect !

Les membres du cDc ont protégé son secret pendant 30 ans et cela même quand des journalistes fouinaient, ou que cela aurait pu leur apporter de la notoriété. Respect la famille, comme on dit. Une fois dedans, t’es protégé à vie. C’est beau non ?

D’autres parcours de ouf c’est aussi Chris Wysopal (Weld Pond) qui co-fonde Veracode, vendue 950 millions en 2017. Count Zero (John Lester) qui devient ponte chez Linden Lab (Second Life). Ou encore Window Snyder (proche du milieu) qui devient CSO d’Intel puis d’Apple. Leur influence est partout.

Dans les années 2000, le cDc se fait alors plus discret. Normal, les membres ont grandi, fondé des boîtes, rejoint le corporate ou le gouvernemental. Mais Hacktivismo continue : Six/Four System (2003, un proxy anti-censure dont le nom est une référence à Tiananmen), ScatterChat (2006, une messagerie chiffrée), campagne Goolag (2006) contre la complicité de Google avec la censure chinoise.

Et en août 2023, surprise totale : le cDc revient avec Veilid (prononcez “vay-lid”) à la DEF CON 31. Présenté par Katelyn “medus4” Bowden (membre depuis 2020, ex-CEO de BADASS) et DilDog. 3-4 ans de dev secret pour créer un logiciel qui fait “comme si Tor et IPFS avaient eu un bébé”.

Veilid - Le futur d’Internet selon le cDc

Veilid c’est donc leur réponse aux GAFAM : un framework pour créer des apps sans collecter AUCUNE donnée. Tout est chiffré, décentralisé, P2P, résistant à la NSA. Pas de nœuds de sortie comme Tor, des clés 256-bit et c’est développé en Rust. Et ça tourne sur tout : Linux, macOS, Windows, Android, iOS, et même le navigateur via WebAssembly !

Une fondation gère le truc et lance un premier projet : VeilidChat, une messagerie ultra-sécurisée. Après 40 ans à critiquer les failles, ils proposent enfin leur vision d’Internet : privé par design, résistant à la censure, hors de portée des gouvernements et autres corporations.

Ce qui est fou avec le cDc, c’est la continuité. Ces mecs ont 50-60 ans pour les plus vieux, mais ils continuent le combat en nous prouvant 41 ans après l’abattoir texan, que la surveillance de masse n’est pas une fatalité. J’ai un grand respect pour l’ensemble de leur œuvre.

Et le groupe continue de recruter. Admission par cooptation, faut avoir fait ses preuves et partager les valeurs et une fois dedans, on est membre à vie. Ils ont des réunions annuelles secrètes où anciens et nouveaux se retrouvent pour échanger, planifier, et sûrement boire des bières en se rappelant le bon vieux temps.

Ce que je remarque surtout c’est que l’héritage du cDc est partout. Chaque fois qu’Anonymous lance une op, qu’un dev chiffre par défaut, qu’un journaliste utilise SecureDrop, qu’un dissident utilise Signal, c’est l’esprit cDc qui survit. L’hacktivisme qu’ils ont inventé en 1996 est maintenant devenu mainstream. Il n’y a qu’à voir les actions contre la Russie depuis 2022 !

Leur leçon surtout c’est que le hacking ce n’est pas juste de la technique. C’est une posture éthique où chaque ligne de code est un acte politique. Et 41 ans plus tard, cette guerre fait rage plus que jamais… IA, metaverse, crypto, surveillance biométrique, 5G… on est en plein dedans et leur message n’a pas pris une ride : la technologie peut être un outil de libération, et il suffit de quelques personnes déterminées pour changer le monde. Ou comme ils disaient : “Bovine Freedom Through Digital Anarchy”. La liberté bovine par l’anarchie numérique. 🐄

Bref, vu comment ça part avec les IA qui aspirent tout, les gouvernements qui scannent nos messages “pour protéger les enfants”, et les GAFAM qui construisent leur dystopie, on a intérêt à écouter les vaches mortes. HACK THE PLANET!

Sources : Washington Post - The Cult of the Dead Cow has resurrection planned, Reuters - Beto O’Rourke’s secret membership, Site officiel cDc, Projet Veilid, Wired - The Cult of the Dead Cow Is Back, Wikipedia - Cult of the Dead Cow, CyberScoop - How cDc invented hacktivism, The Register - Veilid project

Bon, on dirait que le MIT vient de transformer une scène de science-fiction en réalité. En effet, ces derniers ont créé un panneau de la taille d’une fenêtre qui transforme l’air du désert en eau potable. Pas besoin d’électricité, pas de filtres, juste de l’air et un peu de soleil, et ça marche même dans la Vallée de la Mort, l’endroit le plus sec d’Amérique du Nord.

Le dispositif ressemble à un panneau noir vertical encadré de verre, un peu comme une fenêtre high-tech. Mais derrière cette apparence simple se cache une technologie fascinante, un hydrogel qui imite l’art de l’origami. Ce matériau forme de petites structures en dôme qui ressemblent à du papier bulle noir. Quand l’hydrogel absorbe la vapeur d’eau de l’air, ces dômes gonflent. Quand l’eau s’évapore pour être collectée, ils se rétractent dans un mouvement gracieux digne d’un pliage japonais.

L’équipe du professeur Xuanhe Zhao a publié ses résultats dans Nature Water le 11 juin dernier. Ils ont testé leur invention pendant une semaine complète en novembre 2023 dans la Vallée de la Mort, en Californie. Même avec une humidité relative de seulement 21%, le dispositif a réussi à produire entre 57 et 161,5 millilitres d’eau potable par jour. Pour vous donner une idée, c’est environ deux tiers d’un verre d’eau extrait de l’air le plus sec d’Amérique du Nord.

La nuit, quand l’humidité est au maximum dans le désert (ce qui reste très faible), l’hydrogel absorbe la vapeur d’eau grâce aux sels de lithium qu’il contient. Le jour, le soleil chauffe le panneau et fait évaporer l’eau capturée. Cette vapeur se condense ensuite sur les parois en verre refroidies et s’écoule dans un tube de collecte. De l’eau pure, prête à boire.

Ce qui rend cette invention particulièrement astucieuse, c’est la résolution d’un problème majeur de technologies similaires : la contamination par le sel. Normalement, les sels de lithium utilisés pour absorber l’humidité se retrouvent dans l’eau collectée, la rendant impropre à la consommation. L’équipe du MIT a ajouté du glycérol dans leur hydrogel, un composé qui stabilise le sel et l’empêche de s’échapper. Résultat, leur eau contient moins de 0,06 ppm de lithium, bien en dessous du seuil de sécurité établi par l’US Geological Survey.

La structure en dômes n’est pas qu’esthétique car elle augmente considérablement la surface d’absorption par rapport à une feuille plate. Plus de surface = plus de vapeur capturée = plus d’eau produite. Et contrairement aux matériaux MOF (Metal-Organic Frameworks) qui dominent actuellement ce secteur, l’hydrogel du MIT n’a pas de pores à l’échelle nanométrique qui pourraient laisser passer les contaminants.

L’avantage énorme de ce système, c’est qu’il fonctionne de manière complètement passive. Pas de panneaux solaires, pas de batteries, pas de raccordement électrique. Juste le cycle naturel jour/nuit et la chaleur du soleil. Dans un monde où 2,2 milliards de personnes n’ont pas accès à l’eau potable et où 46 millions d’Américains vivent dans l’insécurité hydrique, cette approche pourrait être déterminante.

L’équipe imagine déjà des déploiements à plus grande échelle. Plusieurs panneaux disposés en parallèle pourraient alimenter un foyer entier en eau potable, même dans les environnements les plus arides. Et contrairement aux systèmes de désalinisation ou aux puits, cette technologie peut fonctionner n’importe où, du moment qu’il y a de l’air.

Evidemment, 160 millilitres par jour, c’est encore loin des besoins d’une famille. Mais c’est un prototype d’un demi-mètre carré testé dans des conditions extrêmes. Les chercheurs travaillent déjà sur une deuxième génération de matériau avec des propriétés améliorées et un design multi-panneaux. Ils estiment qu’un petit réseau de ces dispositifs pourrait subvenir aux besoins en eau potable d’un ménage.

Avec le changement climatique qui aggrave les sécheresses et la désertification, des technologies comme celle-ci pourraient littéralement sauver des vies. Et le fait qu’elle ne nécessite aucune infrastructure électrique la rend accessible aux régions les plus reculées de la planète.

Chang Liu, l’auteur principal de l’étude et aujourd’hui professeur assistant à l’Université nationale de Singapour, voit déjà plus loin : “C’est juste une preuve de concept, et il y a beaucoup de choses qu’on peut optimiser. Par exemple, on pourrait avoir un design multi-panneaux. Et on travaille sur une nouvelle génération du matériau pour améliorer encore ses propriétés intrinsèques.”

Bref, cette innovation du MIT pourrait bien marquer le début d’une nouvelle ère dans l’accès à l’eau potable. Transformer l’air en eau, c’était de la science-fiction il y a encore quelques années et aujourd’hui, c’est une réalité testée et validée dans le désert le plus hostile d’Amérique.

Et demain ? Peut-être dans votre jardin.

Source : MIT News

Bon, la Belgique vient de péter un câble et de bloquer Internet Archive, Z-Library, LibGen et tous les sites qui osent prêter des livres gratuitement.

Le 15 juillet dernier, le tribunal de commerce de Bruxelles a pondu une ordonnance de blocage qui ferait pâlir les régimes autoritaires. Dans leur viseur : Anna’s Archive, Library Genesis, OceanofPDF, Z-Library et… tenez-vous bien… l’Open Library d’Internet Archive. Oui, ce projet créé par le regretté Aaron Swartz et Brewster Kahle, qui permet d’emprunter des livres numériques comme dans une vraie bibliothèque.

Le plus fou dans cette histoire, c’est que la décision a été prise ex parte, c’est-à-dire sans même entendre Internet Archive. Les éditeurs belges ont prétendu ne pas savoir qui gérait le site (alors que c’est une organisation américaine reconnue d’utilité publique) et hop, le juge a validé. Plus de 1500 œuvres de Dupuis, 5000 de Casterman… et apparemment ça justifie de bloquer l’accès à des millions de livres du domaine public.

Mais attendez, le délire ne s’arrête pas là. L’ordonnance ne se contente pas de demander aux FAI belges de bloquer ces sites. Non non, ils ont vu grand ! Google doit retirer les résultats de recherche, désactiver les pubs Google Ads, virer les apps du Play Store ET bloquer les requêtes DNS. Microsoft doit faire pareil avec Bing. Cloudflare, Amazon Web Services, GoDaddy, tous doivent couper l’hébergement ou suspendre les noms de domaine.

La liste des FAI concernés est hallucinante : Telenet, Proximus, Orange Belgium, Voo… et même Starlink d’Elon Musk ! PayPal Europe, Alipay, Cash App, tous doivent suspendre les paiements vers ces sites. C’est la première fois qu’on voit un ordre de blocage aussi large et agressif en Europe.

Alors comment on fait pour accéder à ces trésors de connaissance malgré la censure ? D’abord, allez faire un tour sur open-slum.org, le Shadow Library Uptime Monitor. C’est un dashboard qui vérifie en temps réel si Anna’s Archive, Sci-Hub, Z-Library et LibGen sont accessibles. Super pratique pour savoir si c’est votre connexion qui déconne ou si le site est vraiment down.

Pour contourner les blocages, ensuite vous avez plusieurs options. La plus simple c’est changer vos DNS. Au lieu d’utiliser ceux de votre FAI, passez sur 80.67.169.12 et 80.67.169.40 (FDN) ou 91.239.100.100 et 89.233.43.71 (Uncensored DNS) par exemple. Dans vos paramètres réseau, trouvez votre connexion, allez dans les propriétés IP et modifiez manuellement les serveurs DNS. Ça marche dans 90% des cas pour les blocages basiques.

Si votre FAI est plus vicieux et bloque le port 53 (celui du DNS classique), passez au DNS over HTTPS (DoH). Firefox et Chrome le supportent nativement. Dans Firefox : Paramètres > Général > Paramètres réseau > Activer le DNS via HTTPS. Choisissez Cloudflare ou un autre provider. Vos requêtes DNS seront chiffrées et passeront par le port HTTPS, impossible à bloquer sans couper tout internet.

L’option VPN reste la plus efficace et la plus simple pour l’utilisateur moyen. NordVPN (lien affilié) a des serveurs obfusqués qui masquent même le fait que vous utilisez un VPN, particulièrement utile face aux blocages DPI (Deep Packet Inspection). ExpressVPN, CyberGhost fonctionnent aussi bien depuis la Belgique. Connectez-vous à un serveur dans un pays voisin et vous retrouvez un internet libre. Bonus, le VPN a ses propres serveurs DNS, donc double protection contre les blocages.

Pour les plus paranos (ou les plus libres, c’est selon), y’a aussi Tor. Téléchargez le Tor Browser Bundle, décompressez, lancez, et vous contournez toute forme de censure. C’est plus lent qu’un VPN mais c’est gratuit et quasi impossible à bloquer. L’extension Tor Snowflake pour Chrome/Firefox peut aussi aider en transformant votre navigateur en proxy.

Un truc marrant c’est que pour l’instant, Open Library n’apparaît même pas sur la liste noire officielle du gouvernement belge. Seuls les domaines des quatre autres “sites pirates” y sont. Internet Archive a confirmé qu’ils n’ont remarqué aucune perturbation de leurs services. C’est le bordel typique d’une décision de justice bâclée.

Encore une fois, cette affaire montre à quel point la situation devient absurde. Des juges qui ne comprennent rien à internet ordonnent des blocages massifs sans entendre la défense. Des entreprises américaines légitimes se retrouvent assimilées à des sites pirates. Et pendant ce temps, les vrais pirates ont déjà 15 miroirs et changent de domaine toutes les semaines.

Le plus triste, c’est qu’Internet Archive fait un travail d’utilité publique en préservant le patrimoine numérique de l’humanité. Leur Open Library prête UN exemplaire numérique par livre physique possédé, exactement comme une bibliothèque normale, mais pour les éditeurs belges, apparemment, même ça c’est trop.

Heureusement, internet contourne la censure comme de l’eau autour d’un rocher et avec open-slum.org pour surveiller la disponibilité des bibliothèques libres et les techniques de contournement que je vous ai données, vous pouvez continuer à accéder au savoir. Dans un monde où la censure se démocratise, investir dans un VPN fiable n’est plus un luxe mais une nécessité pour préserver votre liberté d’accès à l’information.

Parce que la connaissance doit rester libre, peu importe ce qu’en pensent les ayants droit belges.

Source : TorrentFreak

Bon, on va être clair, créer des environnements 3D, c’est généralement l’enfer. Il faut des semaines de modélisation, de texturing, d’optimisation… Et bien Tencent vient de court-circuiter tout ça avec Hunyuan World Model, une IA qui génère des mondes 3D complets à partir d’un simple texte. Et c’est open source.

Le 26 juillet dernier, ils ont donc sorti Hunyuan World Model 1.0, leur premier modèle open source capable de générer des mondes 3D immersifs et interactifs. En gros, vous tapez “une forêt enchantée avec des champignons luminescents et un château en ruines”, et boom, vous avez votre environnement prêt à l’emploi. Ou à partir d’une simple photo, l’IA vous reconstruit la scène en 3D navigable.

D’ailleurs, la fonctionnalité qui m’a le plus intéressé, c’est la possibilité d’isoler et de manipuler individuellement chaque élément de la scène. Vous voyez une voiture dans votre monde généré ? Vous pouvez la sélectionner, la déplacer, la dupliquer ou la supprimer. Pareil pour les arbres, les bâtiments, le mobilier. Le ciel est même traité comme une source de lumière dynamique, ce qui donne un rendu ultra réaliste avec des ombres qui bougent selon l’heure du jour.

Et l’export, c’est que du bonheur. Les scènes générées peuvent être exportées en fichiers mesh compatibles avec tous les moteurs de jeu : Unity, Unreal Engine, Godot… Bref, Tencent a vraiment pensé aux développeurs en rendant leur outil compatible avec les pipelines graphiques standards, comme ça, plus besoin de passer par 36 conversions pour intégrer vos environnements dans votre projet.

Et les performances sont impressionnantes aussi. Dans leurs benchmarks, Hunyuan World Model surpasse tous les autres modèles open source en termes de qualité visuelle et de cohérence géométrique. L’équipe a comparé avec des méthodes de génération panoramique et de reconstruction 3D existantes, et leur modèle les bat sur tous les critères. C’est basé sur Flux mais ça peut facilement être adapté à d’autres modèles comme Stable Diffusion ou leur propre Hunyuan Image.

Par contre, faut pas s’emballer non plus. La version actuelle ne génère pas des mondes totalement explorables façon GTA ou Skyrim. Ce que vous obtenez, c’est plutôt des panoramas 3D interactifs. Vous pouvez regarder autour de vous à 360 degrés et naviguer un peu, mais les mouvements de caméra restent limités. Pour des déplacements plus poussés ou des séquences vidéo 3D cohérentes, il faudra utiliser leur add-on Voyager.

Le code est dispo sur GitHub et Hugging Face, avec toute la doc pour l’installer et le faire tourner et Tencent a même mis en ligne une démo interactive sur sceneTo3D (mais il faut un compte compatible Chine pour y accéder). Cette ouverture s’inscrit dans une stratégie plus large de Tencent qui a aussi libéré Hunyuan3D 2.0 pour la génération de modèles 3D texturés, HunyuanVideo pour la vidéo IA et leur modèle de langage Hunyuan-A13B.

Vous vous en doutez, à terme, ça va révolutionner plusieurs domaines. La création de contenu VR devient accessible à tous et y’aura bientôt plus besoin d’une équipe de modélisateurs 3D pour créer des environnements immersifs. Les game designers peuvent également prototyper des niveaux en quelques minutes au lieu de semaines. Les architectes peuvent visualiser des espaces à partir de simples descriptions. Même pour la formation et la simulation, les possibilités sont énormes.

Et ce qui est fou, c’est qu’on n’en est qu’au début. Dans quelques années on pourra probablement générer des mondes persistants, totalement explorables, avec une physique réaliste et des PNJ intelligents, juste en décrivant ce qu’on veut. Les métavers vont enfin pouvoir se peupler de contenus variés sans nécessiter des années de développement.

Bref, en attendant, si vous êtes développeur, artiste 3D ou simplement curieux, foncez tester Hunyuan World Model. C’est gratuit, c’est puissant, et ça donne un aperçu excitant du futur de la création 3D. À voir maintenant comment la communauté va s’emparer de cet outil pour créer des trucs complètement dingues.

Source

Vous ne le savez peut-être pas, mais un seul SMS invisible pourrait transformer votre iPhone ou Galaxy en brique inutile. Des chercheurs viennent de découvrir comment et franchement, ça fait froid dans le dos.

Imaginez… vous êtes tranquillement en train de scroller sur votre téléphone quand soudain, plus rien. Plus de réseau, plus d’appels, plus de data. Votre smartphone devient aussi utile qu’un presse-papier hors de prix. Et bien c’est exactement ce que des chercheurs du KAIST (Korea Advanced Institute of Science and Technology) ont réussi à faire avec un seul paquet de données malveillant. Ils appellent ça le “packet of death”, et ce n’est pas pour rien.

L’équipe du professeur Yongdae Kim a développé un outil baptisé LLFuzz (Lower Layer Fuzzer) pour tester la sécurité des couches basses des modems de smartphones. Et ce qu’ils ont trouvé, c’est une faille béante dans l’architecture même de nos téléphones. Le problème ? Les couches inférieures du protocole de communication (RLC, MAC, PDCP, PHY pour les intimes) ne sont ni chiffrées ni authentifiées. En gros, n’importe qui avec le bon équipement peut envoyer des signaux arbitraires à votre téléphone.

Pour démontrer la gravité du problème, les chercheurs ont fait une démo qui donne des sueurs froides. Avec un simple ordinateur portable et un dispositif SDR (Software Defined Radio) à quelques centaines d’euros, ils ont généré un paquet MAC malformé et l’ont envoyé vers des smartphones commerciaux. Résultat, un crash instantané du modem. Game over.

Le plus inquiétant, c’est l’ampleur des dégâts car l’équipe a testé 15 smartphones de grandes marques : Apple, Samsung, Google, Xiaomi. Bilan : 9 vulnérabilités découvertes, dont 7 ont reçu des numéros CVE officiels. Chez Qualcomm, c’est plus de 90 chipsets qui sont touchés. MediaTek ? 80 chipsets dans le viseur. Samsung et Apple ne sont pas épargnés non plus.

Il faut comprendre que le modem de votre smartphone, c’est un peu comme le moteur de votre voiture. Il gère toutes les communications cellulaires : appels, SMS, data. Quand il reçoit un paquet malformé qu’il ne sait pas gérer, il plante. Et quand le modem plante, votre téléphone perd toute capacité de communication. Vous pouvez toujours jouer à Candy Crush en local, mais c’est à peu près tout.

Ce qui rend cette attaque particulièrement vicieuse, c’est qu’elle peut être lancée à distance. Pas besoin d’avoir accès physique au téléphone. Un attaquant dans la même cellule réseau (quelques kilomètres de rayon) peut théoriquement paralyser tous les smartphones vulnérables d’un coup. Imaginez ça dans un stade, un centre commercial ou un quartier d’affaires.

Les chercheurs ont identifié plusieurs types de bugs. Par exemple, le bug B2 chez Qualcomm se déclenche quand le baseband reçoit un message RAR (Random Access Response) contenant uniquement des en-têtes sans charge utile. Le bug B4 chez MediaTek ? Une valeur zéro dans le champ de longueur d’un sous-en-tête MAC, et boom. C’est d’une simplicité déconcertante.

Le plus ironique dans tout ça, c’est que ces vulnérabilités existent parce que les fabricants ont fait confiance aux spécifications 3GPP sans vraiment tester les cas limites. Genre “que se passe-t-il si on envoie un paquet de 1 octet alors qu’on en attend minimum 6 ?”.

Réponse : ça plante.

Heureusement, les fabricants ont été prévenus et des patchs sont en cours de déploiement. Qualcomm a déjà corrigé CVE-2025-21477 et CVE-2024-23385. MediaTek a patché CVE-2024-20076, CVE-2024-20077 et CVE-2025-20659. Mais combien de smartphones dans la nature ne recevront jamais ces mises à jour ? On connaît tous la réponse.

Et l’équipe ne s’est pas arrêtée à la 4G. Ils ont aussi testé la 5G et trouvé deux nouvelles vulnérabilités en seulement deux semaines. Autant dire que le problème est loin d’être résolu. D’ailleurs, ils prévoient de publier LLFuzz en open source pour que d’autres chercheurs puissent continuer le travail.

En attendant que tout soit patché (si jamais ça l’est complètement), que pouvez-vous faire ? Et bien pas grand-chose malheureusement. Installer les mises à jour dès qu’elles sont disponibles, évidemment, mais au-delà de ça, on est tous à la merci de cette vulnérabilité….

Bref, plus c’est sophistiqué, plus il y a de chances qu’un petit bug quelque part fasse tout s’écrouler. Sympa, non ?

Source : TechXplore

Je viens de tomber sur un truc qui va changer votre vie si vous galérez avec le streaming vidéo. Vous savez, quand votre caméra de surveillance parle en RTSP mais que votre navigateur ne comprend que le WebRTC… Ou quand vous voulez utiliser une caméra HomeKit sans avoir un seul produit Apple chez vous ? Bah voilà, j’ai trouvé y’a un remède miracle et ça s’appelle go2rtc.

C’est un projet open source développé par AlexxIT, qui fait office de traducteur universel pour tous vos flux vidéo. En gros, peu importe le protocole d’entrée ou de sortie que vous voulez utiliser, go2rtc s’en occupe. En plus, c’est léger, ça tourne sur un Raspberry Pi, et ça ne demande quasi aucune config.

Car oui, le streaming vidéo dans le monde de la domotique, c’est un peu le far west. Chaque fabricant y va de son petit protocole propriétaire, et au final on se retrouve avec :

• Des caméras qui ne discutent qu’en RTSP
• Des navigateurs qui ne comprennent que le WebRTC
• Des applis mobiles qui veulent du HLS
• Et HomeKit qui fait sa princesse avec son protocole à lui

Du coup, on passe notre temps à chercher des solutions de contournement, à installer 50 logiciels différents, et au final ça marche une fois sur deux avec une latence de malade.

C’est là que go2rtc entre en scène. Cet outil fait office de proxy universel pour vos flux vidéo. Il prend n’importe quelle source (RTSP, RTMP, HTTP, USB, HomeKit…) et la convertit à la volée dans le format que vous voulez (WebRTC, HLS, MJPEG, MSE/MP4…).

Le truc vraiment cool, c’est que c’est juste un binaire, sans aucune dépendances. Vous le téléchargez, vous le lancez, et boom, ça marche. Pas besoin d’installer Java, Python ou je ne sais quelle autre usine à gaz car c’est du Go compilé, donc c’est rapide et léger.

Voici ce que go2rtc peut faire pour vous :

• Conversion de protocoles : RTSP vers WebRTC, RTMP vers HLS, etc.
• Latence ultra-faible : 0.5 secondes avec WebRTC (contre plusieurs secondes habituellement)
• Support HomeKit : Utilisez vos caméras HomeKit sans produits Apple
• Audio bidirectionnel : Sur les caméras compatibles (Tapo, certaines Dahua, etc.)
• Transcodage à la volée : Via FFmpeg si nécessaire
• Multi-sources : Mixez plusieurs flux en un seul

Pour l’installation de go2rtc, c’est vraiment du gâteau :

Option 1 : Le binaire tout simple

Allez sur la page des releases GitHub, téléchargez le binaire pour votre OS (Windows, Linux, macOS, ARM…), et lancez-le. C’est tout.

# Linux/Mac
chmod +x go2rtc_linux_amd64
./go2rtc_linux_amd64
# Windows
go2rtc_win64.exe

Option 2 : Docker pour les pros

Si vous êtes team Docker, c’est encore plus simple :

services:
go2rtc:
image: alexxit/go2rtc:master-hardware
network_mode: host # important pour WebRTC et HomeKit
privileged: true # seulement si vous voulez le transcodage hardware
restart: unless-stopped

Option 3 : Add-on Home Assistant

Pour les utilisateurs de Home Assistant, il y a un add-on officiel. Ajoutez le repo https://github.com/AlexxIT/hassio-addons et installez go2rtc en deux clics.

Voilà pour l’install… Ensuite, la config de go2rtc tient dans un fichier YAML tout simple dont voici un exemple basique :

streams:
# Caméra salon avec RTSP
salon:
- rtsp://admin:[email protected]/stream1
# Caméra avec rotation de 90°
entree:
- ffmpeg:rtsp://admin:[email protected]/stream1#video=h264#rotate=90
# Caméra HomeKit (sans Apple !)
homekit_cam:
- homekit://AAAA-BBBB-CCCC-DDDD

Une fois configuré, vous accéderez alors à l’interface web sur http://localhost:1984/ et vous pourrez voir tous vos flux, les tester, et même générer des liens pour les intégrer ailleurs.

Voici quelques cas d’usages que j’ai trouvé cools :

• Vous avez une vieille caméra IP qui ne parle qu’en RTSP ? Pas de souci. go2rtc la convertit en WebRTC et hop, vous pouvez la voir directement dans votre navigateur avec une latence minimale.

• Sinon, vous pouvez utiliser des caméras HomeKit (comme l’Aqara G3) sans avoir un seul produit Apple. go2rtc fait le pont et vous permet de voir le flux dans n’importe quel navigateur ou application.

• Sur certaines caméras (TP-Link Tapo, certaines Dahua avec ONVIF Profile T), vous pouvez même avoir l’audio bidirectionnel. Pratique pour parler au livreur depuis votre canapé !

• Une source, plusieurs sorties. Votre caméra peut être vue en WebRTC sur votre navigateur, en RTSP sur votre NVR, et en HLS sur votre Apple TV. Tout ça en même temps.

Ce qui rend go2rtc vraiment génial, c’est l’attention aux détails :

• Interface web intégrée : Sur le port 1984, vous avez une interface pour tout gérer
• API complète : Pour intégrer go2rtc dans vos propres projets
• Support FFmpeg : Pour le transcodage quand nécessaire
• ngrok intégré : Pour accéder à vos caméras depuis l’extérieur
• Gestion des codecs intelligente : Négociation automatique des meilleurs codecs

Aussi, sur un Raspberry Pi 4, vous pouvez facilement gérer une dizaine de flux sans problème. La consommation CPU reste minimale tant que vous ne faites pas de transcodage.

Pour vous donner une idée :

• Simple proxy RTSP vers WebRTC : ~5% CPU sur un Pi 4
• Avec transcodage H265 vers H264 : ~40% CPU (mais utilisez le hardware si possible)
• Consommation RAM : environ 50MB par flux

Et surtout, go2rtc n’est pas juste un outil isolé. Non, non, il s’intègre parfaitement avec :

• Home Assistant : Via l’intégration WebRTC Camera
• Frigate : Pour l’enregistrement et la détection d’objets
• Scrypted : Comme source vidéo
• Node-RED : Pour l’automatisation

Bref, si vous voulez creuser le sujet, voici quelques ressources :

• Le GitHub officiel avec une doc complète
• Le wiki pour les configs avancées
• Les issues GitHub pour voir les problèmes connus

Et si vous êtes du genre bidouilleur, sachez que go2rtc expose une API complète donc vous pouvez donc l’intégrer dans vos propres projets, créer des interfaces custom, ou même contribuer au projet.

Allez, je vous laisse tester ça.

GOG vient de lâcher une bombe, à savoir 13 jeux gratuits pour vous ce weekend pour protester contre la censure. Mais attention, pas n’importe quels jeux, et pas pour n’importe quelle raison.

Alors voilà le topo, depuis quelques semaines, Visa et Mastercard jouent les censeurs moraux du gaming. Suite à une campagne menée par Collective Shout, une organisation conservatrice anti-porno, les deux géants du paiement ont commencé à faire pression sur les plateformes de distribution. Résultat, Steam a dû virer des centaines de jeux de son catalogue, et Itch.io s’est vu obligé de supprimer plus de 20 000 jeux marqués NSFW. Oui, vingt mille !! C’est fou !

Face à ce délire dystopique où des entreprises de paiement décident de ce que vous avez le droit d’acheter avec VOTRE argent, GOG a décidé de réagir. Et pas à moitié puisque la plateforme de CD Projekt a lancé l’opération FreedomToBuy.games avec un message clair : “La censure décide silencieusement quels jeux vous pouvez acheter. Nous ripostons.”

Le bundle gratuit comprend 13 jeux, et la sélection est… disons… explicite. Postal 2 ouvre le bal (le classique du mauvais goût assumé), suivi de HuniePop (le match-3 coquin qui a fait scandale à sa sortie), Agony (survival horror avec beaucoup de seins), et une dizaine d’autres titres pour adultes comme Being a DIK, Treasure of Nadia ou House Party. Bref, tout ce que Visa ne veut pas que vous achetiez.

Ce qui est génial dans cette histoire, c’est que GOG ne fait pas ça pour promouvoir le porno dans les jeux vidéo. Non, c’est plutôt une question de principe car si on laisse les plateformes de paiement décider aujourd’hui de ça, qu’est-ce qui les empêchera demain de bloquer des jeux politiques ? Des histoires LGBTQ+ ? Des jeux qui critiquent le capitalisme ? C’est la pente glissante classique, et GOG a raison de tirer la sonnette d’alarme.

D’ailleurs, le mouvement prend de l’ampleur puisqu’une pétition sur Change.org a déjà récolté plus de 220 000 signatures. L’International Game Developers Association (IGDA) a également publié un communiqué demandant “des règles claires, des avertissements équitables et le droit de faire appel”. Même les développeurs indépendants se mobilisent en contactant directement Visa et Mastercard.

Pour récupérer les jeux, c’est simple comme bonjour. Direction items.gog.com/freedomtobuy, vous cliquez sur “Claim Games” et vous récupérez le code FREEDOMTOBUYGAMES. Ensuite, vous l’entrez sur GOG et hop, les 13 jeux sont à vous pour toujours. Pas de DRM, pas de conneries, juste les fichiers d’installation que vous pouvez garder sur votre disque dur.

Petite précision importante, c’est un bundle, donc vous prenez tout ou rien. Si vous vouliez juste Postal 2 pour revivre vos délires d’ado edgy, vous vous retrouverez quand même avec 12 jeux de boobs dans votre bibliothèque. Mais bon, GOG permet de masquer les jeux de votre liste, donc pas de panique si maman passe derrière.

Les réactions sur Reddit sont d’ailleurs hilarantes. Entre ceux qui découvrent qu’ils viennent de récupérer 12 porn games sans le vouloir, et ceux qui philosophent sur le fait que GOG est plus généreux avec les jeux porno qu’avec les AAA, l’ambiance est à la rigolade.

Mais au-delà des blagues, c’est un vrai débat de société qui se joue car est ce que c’est normal que des entreprises privées puissent dicter ce qu’on a le droit d’acheter légalement ? Ces jeux sont autorisés par la loi, créés par des développeurs adultes, achetés par des joueurs majeurs donc de quel droit Visa décide que c’est mal ?

GOG prend donc position avec cette déclaration : “En tant que plateforme d’archivage dédiée à la protection de l’histoire du jeu vidéo, nous croyons que si un jeu est légal et créé de manière responsable, les joueurs devraient pouvoir en profiter aujourd’hui, et dans des décennies.”

L’offre est valable jusqu’au 4 août 2025 à 11h29 heure française et après, retour aux prix normaux et vous pourrez chialé d’avoir raté l’occasion. Donc, même si vous n’avez aucune intention de jouer à “Helping the Hotties” ou “Sapphire Safari” maintenant, récupérez le bundle, car c’est gratuit, c’est sans DRM, et c’est votre façon de dire aux processeurs de paiement qu’ils ne sont pas la police de la morale. Puis votre “moi” du futur quand il sera à la retraite en mode papi lubrique, sera bien content d’y jouer.

Alors oui, GOG aurait pu offrir The Witcher 3 ou Cyberpunk 2077 mais l’impact n’aurait pas été le même. Là, je trouve qu’ils frappent exactement là où ça fait mal en offrant gratuitement ce que d’autres veulent interdire. C’est du génie marketing doublé d’un vrai message politique et en plus, vous avez Postal 2 gratos, alors que demande le peuple ?

Si vous êtes du genre à penser que les hackers sont tous des génies de l’informatique avec des configs de malade, j’ai une histoire qui va vous faire changer d’avis : Celle de Marcel Lazăr Lehel, alias Guccifer. Ce nom ne vous dit peut-être rien, mais ce chauffeur de taxi roumain au chômage a littéralement changé le cours de l’histoire politique américaine.

Sans lui, on n’aurait jamais su qu’Hillary Clinton utilisait un serveur mail privé et il n’y aurait donc pas eu de “scandale des emails” qui lui a probablement coûté l’élection présidentielle de 2016. Et tout ça avec un équipement qui ferait rire un gamin de 12 ans aujourd’hui.

Marcel Lazăr Lehel naît le 23 novembre 1971 dans un petit village roumain près d’Arad, en Transylvanie. Pas exactement le berceau qu’on imaginerait pour celui qui allait devenir l’un des hackers les plus influents de l’histoire moderne. D’origine roumaine et hongroise, Marcel grandit dans la petite commune de Sâmbăteni, un bled perdu dans la campagne de l’ouest d’Arad. Le genre d’endroit où, selon ses propres mots, “tout le monde passe à toute vitesse, personne ne s’arrête jamais”. Ambiance garantie.

À l’époque, la Roumanie sort tout juste de l’ère Ceaușescu. Le pays se débat avec la transition post-communiste, l’économie est en miettes, et les opportunités d’emploi se comptent sur les doigts d’une main. Pour un gamin comme Marcel, pas très sociable et qui a du mal à s’intégrer, l’avenir semble plutôt bouché. “Je ne sortais presque jamais”, racontera-t-il plus tard. Un vrai geek avant l’heure, sauf qu’il n’avait même pas d’ordinateur.

Marcel et sa femme Gabriela ne dépasseront jamais le niveau lycée et ils enchaînent les petits boulots : usines, magasins, emplois précaires. Avant son arrestation en 2014, Marcel était au chômage depuis plus d’un an. Avant ça, il avait été chauffeur de taxi et vendeur de peinture. Jamais un seul job en rapport avec l’informatique. Y’a de quoi se poser des questions non ? Le mec qui va faire trembler le gouvernement américain n’avait jamais touché un clavier de sa vie professionnelle.

Marcel Lazăr Lehel alias Guccifer

Mais Marcel a quelque chose que beaucoup n’ont pas : il est polyglotte. Il parle couramment roumain, hongrois et anglais. Il lit énormément, il a l’esprit vif, mais socialement, c’est un inadapté total. Un type intelligent coincé dans un environnement qui ne lui offre aucune perspective. Un mélange explosif !

Vers 2010, Marcel découvre l’informatique. Il a déjà 39 ans et c’est pas vraiment l’âge où on devient hacker d’habitude. Et c’est pas dans une école d’ingénieurs ou lors d’un stage en entreprise qu’il fait ses premières armes. Non, tout seul, par ennui et par curiosité. Il n’a qu’un vieux PC de bureau NEC tout pourri et un Samsung à clapet. Pas de formation, pas de mentor, juste Internet et sa débrouillardise. Il apprend alors les bases en autodidacte, comme on apprend à bricoler dans son garage, sauf que lui, au lieu de réparer des mobylettes, il va démonter la sécurité informatique mondiale.

Sa première incursion dans le hacking est presque accidentelle. En fin 2010, par pure curiosité et ennui, il commence à farfouiller dans les comptes de célébrités roumaines. Et là, surprise, c’est ridiculement facile. Pas besoin d’être un génie en cryptographie ou de connaître des failles zero-day. Il suffit de chercher des infos sur ses cibles sur les réseaux sociaux, et deviner les réponses aux questions de sécurité. “J’utilisais Wikipedia et des listes de noms d’animaux populaires”, expliquera-t-il. Du social engineering niveau débutant, mais ça marche.

En 2011, sous le pseudonyme “Micul Fum” (Petite Fumée), il hacke les comptes email et Facebook de plusieurs célébrités roumaines : acteurs, footballeurs, présentateurs TV. Il va même jusqu’à pirater George Maior, le patron des services secrets roumains. Pas mal pour un amateur ! Et il publie leurs correspondances privées sur Internet, sans vraiment de but précis à part la notoriété. Pour la petite histoire, le nom “Micul Fum” vient des livres de Carlos Castaneda et fait référence à une drogue psychédélique.

Marcel habitude un village près d’Arad en Roumanie

Les autorités roumaines ne mettent pas longtemps à remonter jusqu’à lui et en 2011, il est arrêté et condamné à trois ans de prison avec sursis. Vous vous dites alos qu’il a eu de la chance ? Que ça aurait dû le calmer ? Et bien PAS DU TOUT ! Cette première expérience ne fait que l’encourager. Il a découvert qu’avec un peu de patience et de malice, on peut accéder aux secrets des puissants et Marcel a du temps à revendre. Chômeur, vous vous souvenez ?

En 2012, Marcel change de vitesse. Fini les petites célébrités roumaines. Il se forge une nouvelle identité : Guccifer, un mélange de “Gucci” et “Lucifer”. “Le style de Gucci et la lumière de Lucifer”, explique-t-il. Toujours aussi mégalo, mais maintenant il vise l’élite mondiale. Et c’est là où c’est fun.

Sa première cible américaine est Dorothy Bush Koch, la sœur de George W. Bush. En février 2013, il hacke son compte AOL (oui, AOL existait encore) et balance sur Internet des photos privées de la famille Bush. Il découvre aussi des autoportraits peints par George W. Bush lui-même. Des tableaux où l’ancien président se représente sous la douche, de dos, vulnérable. L’ancien leader du monde libre qui joue les artistes torturés dans son temps libre, c’était surréaliste.

Bush racontera plus tard : “J’étais agacé. C’est une intrusion dans ma vie privée.” Pauvre petit chou…. Mais le vrai coup de maître arrive le 20 mars 2013. Marcel réussit à pirater le compte email de Sidney Blumenthal, ancien conseiller de Bill Clinton et ami proche d’Hillary. Pour ça, il a d’abord hacké Corina Crețu, une politicienne roumaine qui correspondait avec lui. La question de sécurité de Crețu ? Le nom de la rue où elle avait grandi. Marcel l’a trouvé en 30 secondes sur Google. Et là, c’est jackpot total !

Il découvre alors des memos privés que Blumenthal envoie à Hillary Clinton sur sa boîte mail personnelle : [email protected]. Ces emails traitent de l’attaque de Benghazi du 11 septembre 2012 et d’autres sujets libyens ultra-sensibles. Marcel les publie en ligne, et BOUM ! C’est la première fois que le public découvre qu’Hillary Clinton utilise un serveur mail privé pour ses communications officielles en tant que Secrétaire d’État. Le scandale qui va empoisonner sa campagne présidentielle de 2016 vient de naître.

Vous imaginez ? Un chauffeur de taxi au chômage dans un bled roumain vient de déclencher l’un des plus gros scandales politiques de la décennie américaine. Sans le savoir, sans même le vouloir vraiment. Il cherchait juste à faire parler de lui. “J’avais l’habitude de lire ses memos pendant six ou sept heures, puis j’allais faire du jardinage”, racontera-t-il plus tard avec un détachement déconcertant.

La méthode de Marcel est d’une simplicité désarmante. Il n’utilise aucun exploit sophistiqué, aucun malware, aucune technique de social engineering avancée. Sa stratégie c’est de googler ses cibles, éplucher leurs profils sur les réseaux sociaux, et deviner les réponses aux questions de sécurité. Date de naissance ? Sur Facebook. Nom de jeune fille de la mère ? Dans un vieil article de journal. Animal de compagnie ? Sur Instagram. C’est con mais ça marche.

Pour hacker Colin Powell, par exemple, Marcel a passé six mois à essayer différentes combinaisons. Six mois ! Le mot de passe était basé sur le nom de famille de la grand-mère de Powell. Il a d’abord visé Corina Crețu pour avoir accès à leurs échanges et une fois dans son compte, il a eu accès à des années de correspondance entre Powell et d’autres pontes américains : George Tenet (ex-patron de la CIA), Richard Armitage, John Negroponte. Des infos financières personnelles, des discussions stratégiques, tout y était.

Marcel cible aussi la sénatrice Lisa Murkowski, des membres de la famille Rockefeller, des anciens agents du FBI et des Services Secrets, le frère de Barbara Bush, le journaliste sportif Jim Nantz, et même Patricia Legere, ancienne Miss Maine. Il hacke aussi Tina Brown (une journaliste célèbre), Candace Bushnell (créatrice de Sex and the City) et Jeffrey Tambor (acteur). Un portfolio de victimes complètement hétéroclite, comme s’il choisissait au hasard en fonction de ses humeurs. Au total, plus de 100 victimes.

Mais Marcel n’est pas qu’un simple pirate informatique. C’est aussi un conspirationniste de première. Dans ses communications avec les médias, il balance des théories farfelues sur les Illuminati, le 11 septembre, la mort de Lady Diana, et même une supposée attaque nucléaire prévue à Chicago en 2015. Pour lui, le monde est dirigé par une cabale secrète, et ses hackings sont un moyen de révéler la vérité au grand jour. Il décrit même Hillary Clinton comme “une des grandes prêtresses d’un groupe satanique caché aux yeux du monde”. Rien que ça.

Le 22 janvier 2014, à 6h du matin, la police roumaine débarque chez Marcel à Sâmbăteni. Il a alors 42 ans, il est au chômage, et sa petite vie de hacker touche à sa fin. L’agence roumaine DIICOT (Direction d’enquête des infractions de criminalité organisée et terrorisme) l’arrête dans sa maison familiale. Finies les journées à siroter du café en hackant l’élite mondiale depuis son salon.

Un détail poignant, quand les flics arrivent, Marcel détruit son disque dur à coups de hache dans le jardin. Sa femme Gabriela garde encore aujourd’hui le clavier de son ordinateur. Les lettres étaient tellement usées qu’elle les avait réécrites avec son vernis à ongles orange. Ce clavier, c’est donc tout ce qui reste de l’empire numérique de Guccifer.

En 2014, un tribunal roumain le condamne à quatre ans de prison pour avoir accédé aux comptes email de personnalités publiques “dans le but d’obtenir des données confidentielles” et pendant ce temps, les États-Unis préparent leur riposte. Et ils ne sont pas contents du tout.

Le 12 juin 2014, un grand jury fédéral américain inculpe Marcel de neuf chefs d’accusation. Trois pour fraude électronique, trois pour accès non autorisé à des ordinateurs protégés, et un pour chacun des délits suivants : vol d’identité aggravé, cyberharcèlement et entrave à la justice. Les Américains le veulent, et ils sont déterminés à l’avoir.

Pendant qu’il purge sa peine en Roumanie, Marcel continue à faire parler de lui. En mars 2015, depuis sa cellule de la prison d’Arad, il accorde une interview exclusive à Pando Daily. Et là, il lâche ses meilleures punchlines notamment sur sa routine quotidienne. Il explique tranquillement par exemple comment il alternait entre espionnage de haut niveau et jardinage. Le mec vivait sa meilleure vie de retraité tout en déstabilisant la politique mondiale.

Marcel était obsédé par les Illuminati et les théories du complot

Cette déclaration montre surtout l’état d’esprit du personnage car pour lui, pirater les communications de la future candidate démocrate à la présidentielle, c’était juste un passe-temps entre deux corvées domestiques. Rien de plus banal. “Je ne piratais pas Hillary Clinton, je piratais Illuminati”, précise-t-il. Logique imparable.

En avril 2016, c’est alors le moment que Marcel redoutait : il est extradé vers les États-Unis pour y être jugé. Il y reste temporairement et retourne dans son pays pour finir sa peine Roumaine. Puis en novembre 2018, il est ré-extradé, cette fois pour purger sa peine américaine. Fini le système pénitentiaire roumain relativement clément, direction les prisons fédérales américaines. Il atterrit en Virginie pour faire face à la justice américaine.

Mais Marcel, fidèle à lui-même, ne peut pas s’empêcher d’en rajouter. En mai 2016, un mois après son extradition, il déclare à Fox News qu’il a non seulement hacké les emails d’Hillary via Sidney Blumenthal, mais qu’il a aussi piraté directement son serveur privé. “C’était facile… facile pour moi, pour tout le monde”, affirme-t-il. “Le serveur était comme une orchidée ouverte sur Internet.”

Le problème c’est que Marcel ne fournit aucune preuve de ces allégations. Les enquêteurs américains fouillent, cherchent, analysent, mais ne trouvent aucune trace d’une intrusion directe sur le serveur d’Hillary. Plus tard, lors d’une audition au Congrès, le directeur du FBI James Comey révélera que Guccifer a admis avoir menti sur cette prétendue intrusion. Marcel reconnaîtra lui-même : “J’ai menti un peu…”

Alors pourquoi mentir ? Peut-être pour négocier sa peine, peut-être par mégalomanie, ou peut-être juste pour continuer à faire parler de lui ? Marcel a toujours eu un rapport compliqué avec la vérité et la réalité. Dans sa tête, il menait une croisade contre les forces du mal alors que dans la vraie vie, il était juste un branleur avec trop de temps libre.

En mai 2016, Marcel Lehel Lazăr plaide alors coupable devant un juge fédéral d’Alexandria, en Virginie, pour vol d’identité et accès non autorisé à des ordinateurs protégés. Il évite ainsi un procès qui aurait pu lui coûter beaucoup plus cher.

Et le 1er septembre 2016, verdict : 52 mois de prison fédérale. Quatre ans et quatre mois pour avoir bouleversé la politique américaine depuis son vieux PC. Quand on y pense, c’est dérisoire comparé à l’impact de ses actions car sans lui, Hillary Clinton aurait peut-être été présidente ? Qui sait ?

Marcel purge alors sa peine à la Federal Correctional Institution Schuylkill en Pennsylvanie (niveau de sécurité moyen), puis dans une prison de sécurité minimale. Et là, c’est le calvaire. “Un endroit terrible”, décrira-t-il plus tard à propos du FCI Schuylkill. Il prétend avoir été régulièrement privé de soins médicaux et dit avoir perdu beaucoup de ses dents pendant ses quatre années d’incarcération. C’est le système pénitentiaire américain, version hard.

Pendant ce temps, sa famille souffre aussi. Sa fille Alexandra est harcelée à l’école. “Les enfants lui demandent pourquoi son papa est en prison”, raconte un proche. Et sa femme Gabriela doit gérer seule le quotidien. C’est la rançon de la gloire pour la famille Lehel.

En août 2021, après plus de quatre ans derrière les barreaux américains, Marcel Lazăr Lehel sort enfin de prison. Il a 51 ans, il est cassé physiquement et mentalement, mais il est libre. Direction Arad, sa ville natale en Transylvanie.

Et en janvier 2023, pour la première fois depuis sa libération, Marcel accepte de parler. Dans une série d’interviews téléphoniques avec The Intercept, il se livre sur sa nouvelle vie et sur l’étrange héritage qu’il a laissé derrière lui.

“C’est comme une expérience de sortie de corps, comme si ce mec Guccifer était quelqu’un d’autre”, confie-t-il. “En ce moment, ayant ce temps libre, j’essaie juste de comprendre ce que cet autre moi faisait y’a 10 ans.” Cette phrase résume bien l’état d’esprit de Marcel aujourd’hui. Il semble sincèrement déconnecté de son persona de hacker, comme s’il avait du mal à croire que c’est bien lui qui a fait tout ça.

“Je ne me sens pas à l’aise en parlant de moi”, avoue-t-il à son interlocuteur. Sur l’impact de ses actions, Marcel reste également modeste… enfin, presque. “J’étais inspiré par le nom, au moins”, dit-il, “parce que tout mon projet Guccifer était, après tout, un échec.” Mais quand le journaliste évoque son influence sur le hacking moderne, sa modestie glisse légèrement. Il dit : “Je suis sûr, à ma façon humble, que j’ai été quelqu’un qui ouvre de nouvelles routes.”

Et il n’a pas tort car Guccifer a prouvé qu’on n’a pas besoin d’être un génie en informatique pour faire tomber les puissants. Sa méthode artisanale (Google, patience, et déduction logique) a inspiré toute une génération de hackers amateurs. “C’est pas de la programmation informatique”, précise-t-il, “je ne sais pas programmer. C’est avoir l’intuition de pouvoir deviner.”

Marcel vit aujourd’hui une existence discrète à Arad et refuse d’entrer dans les détails de sa vie actuelle, probablement par peur de représailles ou simplement par lassitude. L’homme qui a fait trembler Washington préfère maintenant l’anonymat et il cherche encore du travail, surtout qu’avec son CV, c’est pas gagné.

Mais l’histoire de Guccifer ne s’arrête pas là. Son nom a inspiré d’autres hackers, notamment le mystérieux “Guccifer 2.0” qui a piraté le Parti démocrate américain en 2016… Mais ça c’est une autre histoire que je vous raconterai bientôt.

En tout cas, Marcel n’a jamais vraiment compris l’ampleur de ce qu’il avait déclenché. Pour lui, pirater Sidney Blumenthal était juste un hack de plus dans sa collection et il ne savait pas qu’il était en train de révéler les secrets les mieux gardés de la politique américaine. Il avait même trouvé une archive de 30 GB avec des documents confidentiels sur la Palestine, mais il s’en foutait. C’est Hillary qui l’intéressait.

Bref, la prochaine fois que vous vous connecterez à votre boite mail et que vous répondrez à une question de sécurité, ou que vous partagerez des infos personnelles sur les réseaux sociaux, pensez à Marcel, surtout si votre question de sécurité c’est le nom de votre premier animal de compagnie et que vous avez posté 50 photos de Médor sur Instagram…

Sources : Wikipedia - Guccifer, US Department of Justice - Romanian Hacker “Guccifer” Sentenced, The Intercept - Guccifer Interview (2023), Pando Daily - Exclusive Interview with Guccifer (2015), NBC News - Guccifer Pleads Guilty

C’est la guerre froide de l’IA car Anthropic vient de couper l’accès de son API Claude à OpenAI, accusant le créateur de ChatGPT d’avoir violé ses conditions d’utilisation pour développer GPT-5. On assiste là, à un vrai clash entre titans de l’IA, j’vous raconte !

Mardi dernier, Anthropic a tout simplement débranché OpenAI de son API Claude. La raison ? Les équipes techniques d’OpenAI auraient utilisé Claude Code, l’outil de programmation star d’Anthropic, pour préparer le lancement de GPT-5.

Et ça, c’est strictement interdit par les conditions d’utilisation. Christopher Nulty, porte-parole d’Anthropic, n’y est pas allé par quatre chemins : “Claude Code est devenu l’outil de référence pour les développeurs partout dans le monde, donc ce n’était pas surprenant d’apprendre que les équipes techniques d’OpenAI utilisaient aussi nos outils de programmation avant le lancement de GPT-5. Malheureusement, c’est une violation directe de nos conditions de service.”

Concrètement, les conditions commerciales d’Anthropic interdisent d’utiliser leur service pour “construire un produit ou service concurrent, y compris pour entraîner des modèles d’IA concurrents” ou pour “faire de l’ingénierie inverse ou dupliquer” leurs services.

OpenAI aurait ainsi intégré Claude dans ses outils internes via l’accès développeur (API) au lieu d’utiliser l’interface de chat classique et ce qui est vraiment croustillant, c’est la manière dont OpenAI utilisait Claude car d’après des sources proches du dossier, ils menaient des tests pour évaluer les capacités de Claude en programmation et écriture créative, comparant les résultats avec leurs propres modèles et ils vérifiaient aussi comment Claude répondait aux prompts sensibles touchant à la sécurité. En gros, ils benchmarkaient Claude pour améliorer leurs propres IA.

Hannah Wong, responsable de la communication d’OpenAI, a réagi avec un brin d’amertume : “C’est une pratique standard dans l’industrie d’évaluer d’autres systèmes d’IA pour benchmarker les progrès et améliorer la sécurité. Bien que nous respections la décision d’Anthropic de couper notre accès API, c’est décevant sachant que notre API reste disponible pour eux.”

Anthropic affirme qu’ils continueront à donner accès à OpenAI pour les benchmarks et évaluations de sécurité “comme c’est la pratique standard dans l’industrie”. Mais ils n’ont pas précisé comment cette restriction actuelle affecterait ce travail.

Bien sûr, cette pratique de couper l’accès API aux concurrents n’est pas nouvelle dans la tech. Facebook l’avait fait avec Vine de Twitter (ce qui avait déclenché des accusations de comportement anticoncurrentiel), et le mois dernier, Salesforce a restreint l’accès de certains concurrents aux données via l’API Slack. D’ailleurs, ce n’est même pas la première fois qu’Anthropic fait ça car le mois dernier, ils ont restreint l’accès direct de la startup de programmation IA Windsurf à leurs modèles, après des rumeurs d’acquisition par OpenAI (qui n’ont finalement pas abouti).

Jared Kaplan, directeur scientifique d’Anthropic, avait alors déclaré à TechCrunch : “Je pense que ce serait bizarre pour nous de vendre Claude à OpenAI.”

Le timing de cette révocation est particulièrement intéressant car un jour avant de couper l’accès d’OpenAI, Anthropic a annoncé de nouvelles limites de taux sur Claude Code, citant une utilisation explosive et, dans certains cas, des violations de leurs conditions de service.

Il faut quand même dire que Claude Code s’est imposé comme l’outil de référence pour le développement, surpassant GitHub Copilot ou Cursor. Il permet de voir tous les fichiers d’un projet, comprendre comment ils fonctionnent ensemble, modifier les bases de code, exécuter des tests et même faire des commits sur GitHub de manière autonome. Et, c’est mon avis, la qualité du code produit ou du texte produit surpasse de loin celui de ChatGPT. Donc, moi ça ne m’étonne pas que les dev d’OpenAI tente de reproduire la magie des modèles de Claude.

Et avec GPT-5 “Lobster” (oui, c’est son nom de code) qui se profile à l’horizon et qui promet d’être meilleur en programmation, la bataille entre Anthropic et OpenAI ne fait que commencer. En tout cas, nous les développeurs et autres utilisateurs de ces services, nous sommes les grands gagnants de cette compétition acharnée car ça s’améliore en permanence pour nos usages.

Source : Wired

J’ai reçu ce matin un email de Mozilla qui tire la sonnette d’alarme !! Une vague de phishing cible actuellement les développeurs Firefox, donc si vous avez reçu un email vous demandant de “mettre à jour votre compte Add-ons”, méfiance !

En effet, Mozilla vient de détecter une campagne de phishing assez vicieuse qui s’en prend spécifiquement aux développeurs d’extensions Firefox. Les pirates envoient des emails frauduleux en se faisant passer pour Mozilla, avec un message du style “Votre compte Mozilla Add-ons nécessite une mise à jour pour continuer à accéder aux fonctionnalités développeur”.

Sauf que non, Mozilla n’a jamais envoyé ce genre d’email et ce qui est vicieux dans cette histoire, c’est que les attaquants changent régulièrement leur message pour contourner les avertissements. Donc voilà, même si Mozilla prévient sur un type de message, il faut rester vigilant car le suivant pourrait être différent.

Pour vous protéger, Mozilla recommande plusieurs trucs assez basiques mais efficaces. Déjà, ne cliquez sur aucun lien dans les emails suspects. Ensuite, vérifiez toujours que l’expéditeur utilise bien un domaine Mozilla officiel qui est firefox.com, mozilla.org, mozilla.com ou leurs sous-domaines. Pas de mozilla-addons.net ou autres variantes bizarres !

Un autre point important aussi, vérifiez que l’email passe bien les contrôles SPF, DKIM et DMARC. Ces protocoles permettent de valider l’authenticité de l’expéditeur. Heureusement, la plupart des clients mail modernes affichent ces infos quelque part dans les détails du message.

Et surtout, règle d’or, ne saisissez jamais vos identifiants Mozilla ailleurs que sur mozilla.org ou firefox.com. Si un lien dans un email vous tente fortement, tapez manuellement l’URL dans votre navigateur ou un moteur de recherche plutôt que de cliquer. Ça évite les redirections malveillantes.

Cette campagne de phishing arrive dans un contexte où la sécurité des extensions Firefox est déjà sous tension car en juillet, plus de 40 extensions malveillantes ont été découvertes sur le store Firefox. Ces fausses extensions se faisaient passer pour des wallets crypto populaires (Coinbase, MetaMask, Trust Wallet…) et volaient les secrets des utilisateurs.

Les pirates utilisaient même des centaines de faux avis 5 étoiles pour paraître légitimes, c’est pourquoi dace à ces menaces, Mozilla a développé un système de détection précoce pour bloquer les extensions frauduleuses avant qu’elles ne deviennent populaires. Mais bon, ça reste un jeu du chat et de la souris avec les attaquants.

Cette nouvelle attaque montre bien que les développeurs sont des cibles de choix pour les pirates car avec un compte développeur compromis, les attaquants peuvent potentiellement publier des mises à jour malveillantes d’extensions légitimes et toucher des milliers d’utilisateurs. Raison de plus donc pour rester parano sur la sécurité de vos comptes !

Alors si comme moi, vous êtes développeur d’extensions Firefox, restez sur vos gardes car la prudence reste votre meilleure défense contre ces attaques de phishing de plus en plus sophistiquées.