Il y a quelque chose de profondément ancré dans notre psyché collective concernant l’écran bleu de la mort, le fameux BSOD ! Cette teinte de bleu si particulière, ce code d’erreur cryptique, ce QR code mystérieux apparu dans les dernières versions de Windows… Pour certains, c’est un traumatisme. Pour d’autres, c’est devenu un art. BSoDMaker appartient clairement à cette seconde catégorie.
L’idée de transformer le symbole ultime de la frustration informatique en outil créatif est géniale, car combien de fois avez-vous vu ce fameux écran bleu apparaître au pire moment possible ? Alors si au lieu de le subir, vous pouviez le créer, le personnaliser, le transformer en œuvre d’art numérique ou en super blague ?
BSoDMaker vous permet exactement de faire ça. Vous cliquez sur n’importe quel texte de l’écran pour le modifier, comme ça vous pouvez le message d’erreur classique par votre propre texte humoristique. Ou alors changer le stop code en quelque chose de plus créatif. Et même le QR code est personnalisable, ce qui ouvre des possibilités infinies ^^.
Le plus beau dans tout ça, c’est que l’outil génère une image JPG en Full HD que vous pouvez ensuite télécharger directement pour en faire un fond d’écran surprise pour le PC d’un collègue, l’intégrer à un support de formation pour expliquer les erreurs Windows sans faire crasher de vraies machines, ou même l’utiliser comme création artistique pour illustrer un article sur les bugs chelous.
Il existe bien sûr plusieurs générateurs de BSOD, mais BSoDMaker est full web et hyper simple à utiliser. C’est juste une page web. Y’a aussi des sites comme FakeBSOD.com qui proposent des approches différentes avec détection automatique de l’OS, mais BSoDMaker mise sur la personnalisation totale.
Le mode plein écran est également redoutable pour les pranks. Vous laissez l’onglet ouvert en fullscreen sur un PC, vous cachez la barre des tâches, et y’a plus qu’à observe la panique s’installer. A utiliser bien sûr avec parcimonie et bienveillance (NOOOON !! SANS PITIÉ !!).
Voilà, je trouve que ce truc est une forme d’humour tech qui reconnaît nos traumas collectifs tout en les transformant en quelque chose de fun et ludique.
Je me souviens bien du feeling de ces après midi collé devant la NES et plus tard la SNES… C’était une époque où je notais des cheat codes sur des bouts de papiers, et où je testais les Trucs & Astuces du magazine Club Nintendo…
Et si j’évoque cet age d’or aujourd’hui, c’est parce que RetroAssembly vient de créer quelque chose qui va encore plus faire vibrer votre corde nostalgique tout en résolvant tous ces petits tracas du passé.
RetroAssembly, c’est ce qu’on appelle une station de retrogaming personnelle qui tient dans un onglet de navigateur. Pas d’installation, pas de configuration compliquée, juste votre collection de jeux rétro accessible depuis n’importe quel appareil. Vous verrez qu’après avoir testé cette plateforme, vous aurez l’impression d’avoir retrouvé votre chambre de jeune gamer…
Le principe c’est d’y uploader vos ROMs (celles que vous possédez légalement bien sûr), et RetroAssembly s’occupe du reste. La plateforme reconnaît automatiquement vos jeux, récupère les jaquettes originales, et organise tout ça dans une interface qui respire bon le rétro sans tomber dans le kitsch. Plus de 20 systèmes sont supportés, de l’Atari 2600 à la Game Boy Advance, en passant par la Neo Geo Pocket et même la Virtual Boy (oui, cette console que Nintendo préfère oublier).
Y’a même une synchro cloud intégrée, comme ça, vous pouvez commencer une partie de Super Metroid sur votre PC au bureau (pendant la pause déjeuner évidemment), et vous la reprenez exactement où vous l’aviez laissée sur votre tablette le soir. Plus besoin de refaire trois fois le même niveau parce que vous avez changé d’appareil et pour les perfectionnistes, la fonction rewind est disponible sur certains émulateurs comme ça en appuyant sur la touche R, vous remonterez le temps comme Marty McFly, pour corriger cette erreur stupide qui vous a fait perdre votre dernière vie.
La technologie d’émulation sur les navigateurs web a considérablement évolué ces dernières années et RetroAssembly, propulsé par Nostalgist.js, une bibliothèque JavaScript qui fait des miracles en matière d’émulation, en est la preuve vivante. Je regrette juste ce “bug” où quand on lance un jeu, y’a une demande pour activer la webcam… De ce que j’ai compris, quand RetroArch est compilé en Emscripten (pour sa version web), il continue quand même d’initialiser ses capacités audio, et doit donc vérifier la disponibilité du microphone. Et cela déclenche alors automatiquement la demande de permission webcam dans Firefox, même si le jeu n’utilise pas cette fonctionnalité.
Notez que l’interface supporte aussi bien le clavier que les manettes, avec une navigation spatiale qui permet de se passer complètement de la souris. Et pour ceux qui jouent sur mobile ou qui veulent retrouver les sensations tactiles d’antan, un contrôleur virtuel apparaît même à l’écran. Faudrait que je le teste avec une vraie manette mais au clavier, parfois c’est pas fou et je galère un peu à mettre ma pièce de Tetris dans la bonne position.
Ah et truc cool, y’a aussi la possibilité d’ajouter des shaders visuels rétro pour recréer l’effet scanlines des vieux téléviseurs cathodiques.
Dans le même esprit que mon test de GAM.ONL, ce type de plateforme full web c’est vraiment l’avenir du retrogaming accessible à tous et RetroAssembly va même encore plus loin en vous permettant de l’auto-héberger via un Docker pour ceux qui veulent garder un contrôle total sur leur collection.
Maintenant, pour essayer RetroAssembly, deux options s’offrent à vous. Soit vous optez pour la version hébergée sur retroassembly.com (recommandée pour commencer) ou vous partez sur l’auto-hébergement si vous êtes du genre à préférer garder vos data et mettre les mains dans le cambouis. Dans les deux cas, le projet étant en phase de développement actif, attendez-vous à voir régulièrement de nouvelles fonctionnalités apparaître !
Voilàc’est, je trouve une belle façon de continuer à jouer, depuis n’importe où, à tous ces vieux jeu sans devoir racheter des dizaines de consoles et de centaines de cartouches (ah si, les cartouches on a dit qu’il fallait les posséder pour les ROMs originales, c’est vrai… ^^).
Vous cliquez sur ce qui semble être un bouton parfaitement normal sur un site web tout à fait normal… Sauf qu’en réalité, vous venez de donner accès à tous ce qui est stocké dans votre gestionnaire de mots de passe. C’est exactement ce que permet une nouvelle technique de clickjacking découverte par le chercheur Marek Tóth et qui affecte potentiellement 40 millions d’utilisateurs dans le monde.
Si vous utilisez 1Password, Bitwarden, LastPass, Enpass, iCloud Passwords ou LogMeOnce, mauvaise nouvelle : ils sont tous vulnérables. En fait, sur les 11 gestionnaires de mots de passe testés, tous présentaient cette faille. Certains ont déjà patché (Dashlane, Keeper, NordPass, ProtonPass et RoboForm), mais pour les autres, c’est toujours open bar pour les hackers.
Selon l’analyse de Marek Tóth, les attaquants exploitent la façon dont les extensions de navigateur injectent leurs éléments dans les pages web. Ils créent une couche invisible par-dessus les boutons du gestionnaire de mots de passe et quand vous pensez cliquer sur un élément tout à fait innocent de la page, vous activez en réalité l’auto-remplissage (autofill) de votre gestionnaire.
Un seul clic suffit. Les pirates peuvent alors récupérer vos identifiants de connexion, vos codes de double authentification, vos numéros de carte bancaire avec le code de sécurité, et même dans certains cas, détourner vos passkeys. Le tout sans que vous ne vous rendiez compte de quoi que ce soit.
Voici une démo avec le piège :
Vous n’avez rien vu ?
Alors regardez cette vidéo maintenant :
D’après BleepingComputer, les réactions des entreprises concernées sont… décevantes. 1Password a classé le rapport comme “hors périmètre”. LastPass l’a marqué comme “informatif”, ce qui en langage corporate signifie “on s’en fout”. LogMeOnce n’a même pas répondu aux chercheurs. Seul Bitwarden affirme avoir corrigé le problème dans la version 2025.8.0, mais les tests montrent que ce n’est pas totalement le cas.
Ce qui est vraiment dommage, c’est que cette vulnérabilité était évitable. Les gestionnaires remplissent automatiquement les identifiants non seulement sur le domaine principal, mais aussi sur tous les sous-domaines donc si un pirate trouve une faille XSS sur n’importe quel sous-domaine d’un site, il peut voler tous vos identifiants stockés pour ce site.
Socket, une entreprise de cybersécurité, a vérifié les résultats et confirme l’ampleur du problème. Les chercheurs ont découvert que 6 gestionnaires sur 9 pouvaient divulguer les détails de carte bancaire, 8 sur 10 les informations personnelles, et 10 sur 11 les identifiants de connexion.
Alors comment se protéger ? Première chose, désactivez l’autofill. Oui, c’est chiant, mais c’est le seul moyen efficace pour le moment. Utilisez le copier-coller pour vos mots de passe. Et sur les navigateurs basés sur Chromium (Chrome, Edge, Brave), configurez l’accès aux sites de vos extensions sur “Au clic” plutôt qu’automatique. Ça vous donne le contrôle sur quand l’extension peut interagir avec la page.
Pour les plus paranos (et on ne peut pas vous en vouloir), activez les demandes de confirmation avant chaque remplissage automatique si votre gestionnaire le permet. C’est une friction supplémentaire, mais au moins vous verrez quand quelque chose tente d’accéder à vos données.
Le plus con dans cette histoire c’est que les gestionnaires de mots de passe sont censés nous protéger, mais cette vulnérabilité transforme notre bouclier en talon d’Achille. Les développeurs veulent rendre leurs outils faciles à utiliser, ce qui est louable mais chaque raccourci pris est une porte potentielle pour les attaquants. Et quand les entreprises ignorent les rapports de sécurité parce qu’elles les jugent “hors périmètre”, ce sont les utilisateurs qui risquent gros…
Bref, attendant que tous les gestionnaires corrigent cette faille, restez vigilants. Un clic de trop et c’est toute votre vie qui peut basculer.
Vous avez déjà eu besoin d’éditer rapidement un fichier audio mais vous n’aviez pas Audacity sous la main ? Ou vous êtes sur un ordinateur où vous ne pouvez pas installer de logiciel ? Alors Wavacity va vous sauver la mise ! (Oui, je sais que vous avez lu Wawacity… lol. Et vous allez voir, ce sera comme ça jusqu’à la fin de cet article… ^^)
Wavacity est tout simplement un portage web d’Audacity qui tourne directement dans votre navigateur. Pas d’install, pas de téléchargement, vous ouvrez le site et vous éditez votre audio, et c’est tout !
Pour vous proposer cette merveille, les développeurs ont porté Audacity en WebAssembly, une technologie qui permet de faire tourner du code natif dans le navigateur. Du coup, ça permet de retrouver l’interface familière d’Audacity avec ses outils de découpage, de collage, d’effets et tout le toutim, mais dans un onglet de navigateur.
Il vous faudra évidemment un navigateur moderne qui supporte cette technologie. Chrome et Firefox sur desktop feront parfaitement l’affaire… Par contre, Safari c’est moins sûr selon les développeurs.
L’interface ressemble trait pour trait à Audacity, ce qui est rassurant si vous connaissez déjà le logiciel. Vous pouvez importer vos fichiers audio, les découper, appliquer des effets, réduire le bruit, faire du multi-pistes… Bref, tout ce qu’on attend d’un éditeur audio digne de ce nom.
Après y’a quand même quelques limitations par rapport à la version desktop d’Audacity. Vous ne pourrez pas par exemple installer des plugins VST ou d’autres extensions externes, ce qui me semble assez logique. Mais pour de l’édition de base et même avancée, ça fait largement le boulot.
Bref, c’est top quand un pote vous demande de lui couper un extrait audio et que vous n’avez pas envie de télécharger et installer Audacity juste pour ça. Ou quand vous êtes sur un ordi public, ou en déplacement, ou dans un environnement où vous n’avez pas de droits administrateur pour installer des outils.
Wavacity rejoint ainsi la famille grandissante des éditeurs audio web comme AudioMass que j’avais déjà testé. Chacun a ses avantages et ses inconvénients, donc à vous de voir lequel vous préférez. Moi perso, je suis plus Ableton Live, même si c’est pas sur le web. Les habitudes, que voulez-vous…
Le projet est open source sous licence GNU GPL v2, comme Audacity, et disponible sur GitHub. Les développeurs précisent bien qu’ils ne sont ni affiliés ni soutenus par l’équipe d’Audacity. C’est un projet indépendant.
Pour un outil de dépannage ou pour des éditions rapides, c’est exactement ce qu’il nous fallait. Et qui sait, les outils portables accessibles en ligne dans le navigateur, c’est peut-être l’avenir ?
Bon, si vous utilisez Plex Media Server pour organiser vos films, séries et musiques, il faut que vous sachiez un truc important : une vulnérabilité vient d’être découverte et heureusement corrigée. Et c’est du sérieux, donc vous allez lire cet article et ensuite filer mettre à jour votre Plex !
La vulnérabilité touche les versions 1.41.7.x à 1.42.0.x du Media Server donc si vous êtes sur une de ces versions, il faudra passer à la 1.42.1.10060 ou plus récente maintenant !! Pas demain, hein ! Maintenant.
Plex reste discret sur les détails techniques de cette faille, pas de CVE attribué pour l’instant, pas d’explications détaillées sur ce qui pouvait être exploité. Mais leur communication parle d’elle-même etont même averti directement leurs utilisateurs par email, ce qui est assez rare. Généralement, ils se contentent des notes de version.
Le bug a été signalée via leur programme de bug bounty, ce qui a permis à Plex de corriger le problème avant qu’il ne soit exploité dans la nature et pour mettre à jour, c’est simple comme bonjour. Soit vous passez par l’interface d’administration de votre serveur, soit vous téléchargez la dernière version sur le site officiel de Plex.
C’est pourquoi le message de Plex est important : maintenez vos serveurs à jour car dans un environnement où nos bibliothèques multimédia sont souvent accessibles depuis l’extérieur, une faille de sécurité peut rapidement devenir problématique.
Mieux vaut être en sécurité que désolé, mes amis ! Pensez-y !
Ce que j’apprécie le plus dans tout ce qui est recherches en physique quantique, ce n’est pas la physique complexe ou les qubits intriqués. Non, c’est la créativité déployée par les chercheurs pour faire croire que leurs machines peuvent factoriser n’importe quoi, alors qu’en réalité, elles peinent à traiter des nombres plus complexes que 35.
Les chercheurs Peter Gutmann et Stephan Neuhaus viennent en effet de balancer un pavé dans la mare avec leur papier qui démontre méthodiquement comment toute la communauté quantique “cuisine les chiffres” depuis des années. Et leur conclusion est sans appel : On ne peut faire confiance à aucun des benchmarks de factorisation quantique publiés à ce jour.
La technique la plus répandue consiste à électionner des “nombres pièges” délibérément conçus pour être factorisés facilement. C’est la même chose qu’un magicien qui prétend deviner votre carte alors qu’il a truqué tout le jeu.
Les chercheurs choisissent des nombres dont la structure mathématique garantit une factorisation triviale, comme ça, au lieu d’utiliser des nombres aléatoirement générés comme dans la vraie cryptographie, ils fabriquent des valeurs où les facteurs premiers ne diffèrent que de quelques bits. Du coup, il suffit d’une recherche basique pour trouver la solution, sans avoir besoin d’un ordinateur quantique. Un VIC-20, un abaque (c’est un boulier) ou même un chien bien dressé y arriveraient selon les auteurs.
Et quand leurs nombres ne sont pas suffisamment faciles, ils utilisent du préprocessing massif sur ordinateur classique pour faire la majeure partie du boulot avant même que la machine quantique entre en jeu. On dirait certains d’entre vous qui postent sur Instagram leur dernier marathon alors qu’ils l’ont juste rejoint au kilomètre 41…
Bruce Schneier, qui a relayé cette recherche, enfonce également le clou avec sa métaphore habituelle du “Les défis techniques pour construire un ordinateur quantique utile, c’est dur. Mais est-ce que c’est dur comme “poser un homme sur la Lune” ou dur comme “poser un homme sur le Soleil” ? Les deux sont difficiles, mais pas du tout dans la même catégorie de faisabilité”.
Cette manipulation généralisée révèle un problème plus profond dans l’écosystème de la recherche quantique, car quand la pression pour publier rencontre des milliards d’investissements en jeu, la tentation devient énorme de présenter des résultats flatteurs plutôt que honnêtes. Surtout que les chercheurs savent pertinemment qu’aucun reviewer ne va vérifier la vraie complexité des nombres utilisés.
L’ironie, c’est que ces manipulations sont devenues tellement systématiques qu’elles constituent désormais la norme plutôt que l’exception. Personne n’a jamais factorisé un nombre qui n’était pas soit soigneusement préparé, soit largement préprocessé par un ordinateur classique. C’est de l’illusionnisme scientifique !
Donc peut-être qu’avant de promettre de casser tous les chiffrements actuels, les chercheurs en quantiques devraient déjà prouver qu’ils peuvent factoriser proprement un nombre à trois chiffres choisi au hasard…
L’autre jour, en fouillant dans les recoins du web, je suis tombé sur un site tout simple, ldial.org, qui cache derrière son interface minimaliste une démarche de curation absolument remarquable.
Adam Scott qui a créé ce site a décidé de recenser et de rendre accessible toutes les radios communautaires et indépendantes des États-Unis. Attention, je ne vous parle pas grosses stations commerciales qu’on entend partout, non, non. Je vous parle des vraies radios de quartier, celles qui diffusent depuis un garage transformé ou le sous-sol d’une université, celles qui passent de la musique que vous n’entendrez nulle part ailleurs.
Le créateur de ldial.org a donc transformé ce qui pourrait être une simple liste en véritable écosystème où chaque station est soigneusement sélectionnée, testée, vérifiée. Ce site est un genre de carte sonore des États-Unis, loin des radars des médias mainstream. C’est un site vivant qui contrairement aux annuaires statiques, évolue constamment. Adam, le curateur qui se cache derrière ce site continue d’apprendre, de découvrir de nouvelles stations, d’ajuster sa sélection.
C’est donc une exploration perpétuelle de la diversité radiophonique américaine qui offre un streaming 24/7, au travers une interface épurée et un accès direct aux flux. Pas d’inscription, pas de pub, pas de complications. Juste vous et des centaines d’heures de programmation authentique, depuis des stations qui diffusent parfois pour quelques centaines d’auditeurs locaux.
Et ce sont uniquement des pépites !!! Des stations universitaires qui programment de l’ambient expérimental à 3h du matin, des radios communautaires hispaniques qui mélangent cumbia et electronic, des collectifs autochtones qui préservent leurs langues ancestrales sur les ondes.
Chaque clic sur ldial.org vous transportera dans une bulle sonore différente. Une station de Nouvelle-Orléans vous fera découvrir du jazz local méconnu, une radio du Montana vous plongera dans la country indépendante, une station californienne vous embarquera dans l’underground hip-hop chicano. C’est un voyage musical à travers l’Amérique alternative.
Ce projet révèle aussi quelque chose de plus profond sur la résistance culturelle car ces radios communautaires maintiennent des espaces d’expression libre dans un paysage médiatique de plus en plus standardisé. Elles préservent des niches musicales, donnent la parole aux minorités, expérimentent sans contraintes commerciales, et je trouve ça hyper inspirant, car ce sont des préceptes qu’on peut appliquer également au web. Qu’il faut appliquer au web !
Hier soir, j’ai découvert un outil qui m’aurait évité des dizaines de commits “fix CI”, “fix CI again”, “please work this time” sur GitHub. J’sais pas si vous aussi vous connaissez cette galère ? Vous modifiez votre workflow GitHub Actions, vous poussez, ça plante, vous corrigez, vous repoussez, ça replante… Bref, votre historique Git ressemble à un journal de débugging en temps réel.
Et heureusement, wrkflw vient mettre fin à ce cauchemar.
Ce petit outil codé en Rust vous permet en fait de valider et d’exécuter vos GitHub Actions directement sur votre machine, sans avoir besoin de pusher quoi que ce soit. L’outil vient d’être annoncé sur le forum Rust et ça va bien aider tout le monde je pense.
Grâce à lui, au lieu de tester vos workflows dans le cloud GitHub (et potentiellement faire planter votre CI/CD devant toute l’équipe… La te-hon…), vous les exécutez localement. Wrkflw parse alors votre fichier YAML, résout les dépendances entre jobs, et lance tout ça soit dans Docker/Podman pour matcher l’environnement GitHub, soit en mode émulation si vous n’avez pas de runtime container sous la main.
Ce qui rend wrkflw vraiment pratique, c’est son interface TUI (Terminal User Interface) qui vous permet de visualiser l’exécution en temps réel. Un simple wrkflw tui et vous avez un dashboard interactif où vous pouvez suivre vos jobs, voir les logs, et comprendre ce qui foire sans avoir à jongler entre 15 onglets GitHub.
L’installation se fait en deux secondes si vous avez Rust :
cargo install wrkflw
Le package est aussi dispo sur crates.io et une fois installé, vous pouvez valider un workflow avec la commande :
wrkflw validate .github/workflows/rust.yml
ou le lancer directement avec
wrkflw run .github/workflows/ci.yml
L’outil détectera automatiquement tous vos workflows et les chargera dans l’interface.
Ce qui est fort avec wrkflow, c’est surtout le support quasi-complet des fonctionnalités de GitHub Actions. Les Matrix builds ? Ça passe ! Les Container actions ? Bah ouais, pas de problème ! Tout ce qui est JavaScript actions ? Check ! Même chose pour les Composite actions et les workflows réutilisables et même les fichiers d’environnement GitHub sont supportés. Bon, il y a quelques limitations évidemment. Vous ne pouvez pas par exemple mettre de secrets GitHub (ce qui est logique), et y’a pas de support Windows/macOS runners, ni pas d’upload/download d’artifacts. Mais pour 90% des cas d’usage, c’est largement suffisant.
Wrkflw s’inscrit dans une tendance plus large d’outils qui cherchent à remplacer Make et ses Makefiles cryptiques. Je pense par exemple à Task (Taskfile) qui est un autre exemple populaire, écrit en Go avec une syntaxe YAML plus moderne ou encore à Act, un autre outil open source qui fait à peu près pareil. Les développeurs cherchent clairement des alternatives plus lisibles et maintenables et wrkflw va encore plus loin en se spécialisant sur GitHub Actions.
Le mode Docker/Podman de wrkflw permet par exemple de créer des containers qui matchent au plus près l’environnement des runners GitHub. Et si jamais vous interrompez l’exécution avec Ctrl+C, pas de panique, puisque l’outil nettoie automatiquement tous les containers créés. Comme ça, y’aura plus de containers zombies qui traînent après vos tests.
Et pour tous ceux qui bossent en mode émulation sécurisée (sans Docker), wrkflw exécute les actions dans un environnement sandboxé. C’est moins fidèle à l’environnement GitHub mais au moins ça permet de tester rapidement sans avoir besoin d’installer Docker. Pratique sur des machines de dev légères ou des environnements restrictifs.
Le workflow de test devient donc le suivant : 1/ Vous modifiez votre YAML. 2/ Vous lancez wrkflw run . 3/ Vus voyez immédiatement si ça marche. 4/ Vous corrigez si besoin. 5/ Et c’est seulement ensuite que vous poussez sur GitHub. Plus de commits de debug, plus de CI cassée, plus de collègues qui râlent parce que la pipeline est tout rouge ^^.
L’outil est encore jeune bien sûr mais déjà très prometteur. Les prochaines versions devraient ajouter le support des secrets locaux, une meilleure intégration avec GitLab CI, et peut-être même le support des runners Windows/macOS.
Bref, si vous gérez des workflows GitHub Actions complexes, wrkflw va rapidement devenir indispensable à votre life.
Ça a échappé à pas mal de monde, mais en sortant Firefox 142, Mozilla vient de réussir un coup de maître en matière d’architecture logicielle. Car pendant que tous les autres navigateurs se ruent sur l’IA dans le cloud, l’équipe Mozilla a pris le pari inverse. Ils ont développé un système qui fait tourner des modèles de langage directement sur votre machine via l’API wllama et transformer.js.
Concrètement, cela veut dire que vos extensions Firefox peuvent maintenant utiliser des LLM locaux sans jamais envoyer vos données sur des serveurs externes.
Et cette approche sans concession de Mozilla a l’avantage de résoudre un problème que personne n’avait anticipé : la latence des aperçus de liens. Vous faites un clic long sur un lien (ou vous maintenez la touche MAJ enfoncée en passant votre souris), et bam !
Firefox vous montre non seulement un aperçu visuel de la page, mais peut aussi générer des points clés grâce à l’IA… Et tout ça sans jamais quitter votre navigateur et à la vitesse de l’éclair. Cette fonctionnalité nécessite plus de 3 Go de RAM libre, mais quand je vois le résultat, je pense que ça les vaut.
Pour les groupes d’onglets, Mozilla a également introduit une fonction géniale qui permet de garder un onglet actif visible même quand le groupe est réduit. Ça paraît anecdotique, mais techniquement, c’est un casse-tête d’interface utilisateur qu’ils ont résolu avec élégance. L’onglet que vous consultez au moment de réduire le groupe reste affiché.
Côté sécurité, ils ont aussi implémenté CRLite, un système qui stocke localement toutes les révocations de certificats comme ça, au lieu de vérifier en ligne si un certificat est valide (ce qui prend du temps et expose vos habitudes de navigation), Firefox maintient une base locale de 300 Ko qui se met à jour quotidiennement. Du coup, plus de délais, plus de fuites de données vers des tiers, et une sécurité renforcée.
Les États-Unis bénéficient également d’une nouveauté sympathique. Il s’agit des recommandations d’articles sur la page Nouvel onglet qui sont maintenant organisées par thèmes (Sport, Cuisine, Divertissement). Vous pouvez donc suivre les sujets qui vous intéressent et bannir ceux qui vous agacent. Simple, pratique mais ça ne vaut pas cette extension !
Mozilla a également renforcé la protection contre le pistage avec un système d’exceptions plus flexible. Le mode ETP-Strict peut maintenant faire des exceptions granulaires, c’est à dire les fonctionnalités de base d’un côté, et les fonctions de confort de l’autre. Vous gardez ainsi la protection essentielle tout en déboquant les fonctionnalités qui vous importent.
Au final, cette version révèle une stratégie Mozilla particulièrement cohérente… De l’IA locale pour préserver la vie privée, des fonctionnalités de productivité pensées pour un usage réel, et une sécurité renforcée sans compromis sur les performances. Et bien sûr, tout ceci reste activable / désactivable selon vos besoins. En tout cas, ces choix techniques nous donnent un aperçu fascinant de ce que Mozilla prépare pour l’avenir du web.
L’Unit 8200, c’est comme si vous aviez pris les meilleurs hackers de la planète, que vous les aviez mis en uniforme israélien, et que vous leur aviez donné non pas carte blanche, mais des moyens SIGINT d’élite. Dans la littérature spécialisée, l’unité est souvent comparée à la NSA (à une autre échelle, quand même). Et ce n’est pas de la fiction puisque cette unité ultra-secrète a largement été associée à l’opération Stuxnet (une coopération USA–Israël selon les enquêtes, jamais confirmée officiellement), et a vu passer des profils qui fonderont des boîtes comme Waze, Check Point, Palo Alto Networks et d’autres licornes tech.
C’est un genre d’école où on vous apprend à pirater des gouvernements étrangers à 18 ans, et où votre prof pourrait être le futur CEO d’une startup à plusieurs milliards. Voilà, c’est exactement ça, l’Unit 8200. Une machine à fabriquer des génies qui oscillent entre James Bond et Mark Zuckerberg. Et le plus dingue dans tout ça c’est que tout a commencé en 1952 avec du matos de récup’ et une poignée de matheux dans des baraquements pourris à Jaffa. Aujourd’hui, c’est l’une des plus grandes unités de Tsahal, avec plusieurs milliers de soldats.
L’histoire démarre donc après la création d’Israël en 1948. Le pays est entouré d’ennemis, les frontières sont poreuses, et les menaces pleuvent. Les dirigeants comprennent vite qu’ils ne survivront pas qu’avec des tanks et des avions. Il leur faut du renseignement, du genre de celui qui permet de savoir ce que l’adversaire va faire, parfois avant lui.
A l’époque, l’Unit 8200 s’appelle la « 2e Unité du Service de Renseignement », puis la « 515e ». Pas très sexy, on est d’accord. En 1954, l’unité déménage à Glilot, au nord de Tel-Aviv, et prend son envol. Le nom « 8200 » arrivera plus tard, pour des raisons d’organisation interne plus que de poésie.
Ce qui rend l’Unit 8200 unique, c’est son approche. Israël n’a pas le luxe de la quantité et doit donc faire mieux avec moins. L’unité mise sur la qualité et repère très tôt des profils brillants (dès le lycée) via des programmes dédiés tels que Magshimim côté extra-scolaire, et, plus tard, des filières comme Mamram ou Talpiot pour les très, très forts.
Le système de recrutement est une master class de détection de talents. A 16 ans, si vous cartonnez en maths/infos, vous recevez une lettre pour passer des tests qui mêlent logique, crypto, prog et psycho. Les meilleurs suivent des programmes spéciaux après les cours… et, à 18 ans, quand les potes partent à l’infanterie, eux intègrent l’Unit 8200.
L’écusson de l’Unité 8200
Mais ce n’est pas la planque. Le service dure au moins trois ans. On y apprend ce qu’aucune fac ne peut enseigner. Et l’ambiance est un mix de startup et de base militaire. Hiérarchies plates, itération rapide, droit à l’essai. Un caporal de 19 ans peut proposer une idée qui change la stratégie nationale. Impensable ailleurs, normal ici.
Les capacités de cette unité sont impressionnantes. Dans le désert du Néguev, à la base d’Urim (près de Beer-Sheva), se trouve l’une des plus grandes stations d’écoute au monde, dédiée à l’interception de communications sur une vaste zone (Moyen-Orient, mais pas que). Et selon des reportages, des moyens d’écoute existeraient aussi à l’étranger (postes dans des ambassades, accès à certaines dorsales de communication).
Base d’écoute d’Urim
Et ils ne se contentent pas d’écouter depuis Israël puisque l’IAF dispose d’avions Gulfstream G550 bardés de capteurs (Nachshon Shavit/Eitam) pour l’interception électronique. Bref, du SIGINT et de l’ELINT en vol, au-sol, et dans les réseaux.
Un analyste militaire britannique résume la réputation de l’unité : « probablement l’une des meilleures agences de renseignement technique au monde, au niveau de la NSA, à l’échelle près ». C’est l’intensité et la focalisation qui marquent.
Leur passion vient d’une réalité simple. Pour Israël, le renseignement n’est pas un luxe, c’est une question de survie. Chaque interception peut sauver des vies. Chaque code cassé peut déjouer un attentat.
L’opération qui fait entrer l’unité dans la légende c’est Stuxnet. En 2006, l’Iran enrichit de l’uranium à Natanz. Scénarios militaires classiques : tous mauvais. D’où une idée folle : saboter sans tirer. C’est l’opération « Olympic Games », largement attribuée à une coopération NSA–Unit 8200 selon des sources américaines, mais jamais confirmée officiellement. Pourquoi 8200 était clé ? Parce que côté israélien, ils disposaient d’un savoir intime du terrain (installations, processus, fournisseurs…).
Stuxnet n’est pas un « simple virus » : c’est une arme binaire qui s’insère par clé USB, se propage discrètement, puis, une fois sur place, manipule des automates Siemens S7-300 et les centrifugeuses IR-1 (dérivées du design P-1 d’A.Q. Khan). Leur coup de génie ? Moduler la vitesse des rotors tout en leurrant les capteurs avec de la fausse télémétrie, ce qui use et casse les machines sans alerter immédiatement les opérateurs.
Les automates S7-300
Bilan ? L’attaque a endommagé environ 1000 centrifugeuses selon les estimations de Natanz et retardé le programme iranien pendant un moment, avant que le code, à cause d’un bug, ne s’échappe dans la nature en 2010. Et officiellement, personne n’a jamais signé l’opération.
Au-delà du sabotage hollywoodien, le quotidien de 8200, c’est la surveillance. Et là, on touche à du sensible. En 2014, 43 vétérans publient une lettre ouverte dénonçant des usages intrusifs contre des Palestiniens (collecte d’infos intimes, potentiel chantage). Le gouvernement dément, d’autres membres de l’unité signent une contre-lettre défendant des « normes éthiques élevées ». Le débat éthique est resté ouvert depuis.
Concrètement, l’unité a aussi contribué, selon les autorités israéliennes et australiennes, à déjouer des attaques (ex. en 2017, un vol Etihad visé par un complot inspiré par l’EI : des interceptions israéliennes auraient permis l’arrestation des suspects en Australie).
Plus récemment, place à l’IA. En 2023-2024, des enquêtes de presse décrivent un algorithme de ciblage surnommé « Lavender » pour identifier des opérateurs du Hamas à Gaza. L’IDF conteste l’existence d’un système autonome qui « identifie des terroristes » et affirme que les décisions restent humaines. Là encore, tensions entre efficacité opérationnelle et éthique, avec un coût humain catastrophique, avec des milliers de civils palestiniens tués, qui interroge fondamentalement l’usage de ces technologies
Stuxnet a des « cousins » : Duqu et Flame, des outils d’espionnage avancés découverts au début des années 2010, capables de captures d’écran, d’enregistrements audio, d’exfiltration de documents, etc. Leur attribution fluctue selon les rapports, mais leur sophistication a marqué un avant/après.
La collaboration internationale est centrale puisque depuis des années, Israël coopère avec des partenaires (NSA, GCHQ) dans un cadre de partage de renseignement. Et le stress interne, lui, est bien réel car à 19 ans, savoir que ton erreur peut coûter des vies, ça use. Les burn-out existent. Et la frontière entre sécurité et vie privée reste une ligne fine.
Côté civil, l’Unit 8200 est une machine à entrepreneurs. Après le service, beaucoup créent ou rejoignent des boîtes cyber majeures. Check Point, Palo Alto Networks, Waze, CyberArk, Imperva, NSO, etc. Autour de ce réseau, des structures comme Team8 (fondée par d’anciens commandants) financent et incubent des projets. Les anciens s’entraident, ouvrent des portes, et ça se voit dans l’écosystème israélien qui pèse environ 10% du marché mondial de la cybersécurité.
Le bâtiment Check Point à Tel-Aviv
Et puis arrive Pegasus. NSO Group, fondée par des vétérans, a développé un spyware classé comme matériel de défense soumis à licence d’exportation en Israël. Utilisé officiellement contre le crime et le terrorisme, il s’est aussi retrouvé au cœur de scandales (journalistes, militants, chefs d’État ciblés), avec des suites judiciaires et diplomatiques. Exemple parfait du dilemme où une techno défensive peut devenir outil d’oppression si elle dérape.
Au final, l’Unit 8200 a façonné l’image d’Israël comme « Startup Nation ». Un mix de nécessité stratégique, de service militaire qui capte les meilleurs talents, et d’une culture d’innovation très directe. D’autres pays tentent de cloner la recette (Corée du Sud, Singapour, France avec le Commandement cyber…), mais l’alchimie locale reste particulière.
Et l’avenir ? Entre quantique, IA générative, neurotech et guerre de l’information, tout s’accélère. L’unité investit, expérimente, et sera forcément discutée. Parce que derrière les lignes de code, ce sont des vies. Et c’est là que doit rester notre boussole.
Alors la prochaine fois que vous évitez un bouchon avec Waze, que votre boîte est protégée par un firewall, ou que vous lisez sur une cyber-attaque sophistiquée, ayez une pensée pour l’Unit 8200… et pour les questions éthiques qu’elle pose.
Cet article, écrit dans le cadre d’une série sur les hackers, ne peut ignorer le contexte actuel. Alors que ces lignes sont écrites, plus de 61 000 Palestiniens ont été tués à Gaza selon l’ONU, dont une majorité de civils. Les technologies décrites ici sont aujourd’hui mobilisées dans un conflit qui accusations de génocide devant la Cour internationale de Justice et de crimes de guerre devant la Cour pénale internationale.
Regarder Star Wars en version Despecialized ou le premier Jurassic Park sur un écran géant dans mon salon, c’est un peu retrouver son âme d’enfant. Et c’est exactement ce que j’ai fait ces dernières semaines avec le XGIMI Aura 2 que j’ai reçu en test.
Le truc qui m’a le plus impressionné avec ce projecteur ultra courte focale (UST - Ultra Short Throw), c’est qu’il suffit de le poser à environ 17 / 18 cm du mur pour obtenir une image de 100 pouces (2,54 m de diagonale). Plus besoin de câbles qui traînent partout, plus de projo pendu au plafond qui fait peur aux invités… Ça me change de mon ancien. Là, on le pose sur le meuble TV, et basta. (Bon, j’avoue, j’ai pas encore acheté le meuble TV…).
Un petit détail dont on parle rarement quand même avec ce genre de projo, c’est que comme la lumière arrive de façon rasante, la texture du mur se voit et ça donne un petit grain. Je fixais dessus au début, puis on s’y fait. Donc si vous êtes perfectionnistes, une toile ALR spéciale UST (type Fresnel) ou une peinture très lisse règle ce “problème” et améliorera aussi le contraste en lumière ambiante.
Côté image, le Aura 2 exploite la techno Dual Light 2.0 (hybride LED + laser) pour sortir 2300 lumens ISO et ainsi couvrir 99 % du DCI-P3. En clair, ça donne des couleurs bien pétantes et suffisamment de pêche pour regarder en journée (rideaux tirés, c’est mieux quand même). La puce 0,47” DMD affiche l’image 4K via wobulation, ce qui n’est pas du vrai 4K natif, mais honnêtement, à l’usage, on ne voit pas la différence. Et la plage de taille conseillée par XGIMI s’étends de 90 à 150”, le mieux étant 100/120”.
Autre bonne surprise dans ce projo, c’est la prise en charge de Dolby Vision, HDR10, HLG et mode IMAX Enhanced, comme ça le contraste dynamique annoncé grimpe à 1 000 000:1. Maintenant, dans la vraie vie, on n’atteint pas les noirs d’une OLED, mais pour un UST, ça fait le job.
Dessus, c’est Android TV 11.0 (pas Google TV). J’ai trouvé l’interface plutôt fluide**, par contre, pas de Netflix natif** (question de certification) alors il faudra passer par un boîtier externe (Apple TV, Chromecast/Google TV, Fire TV…) ou bidouiller. Disney+ est dispo selon les régions et versions, mais pour avoir toutes les plateformes, le plus simple reste comme je vous le disais d’y adjoindre un petit streamer HDMI.
Un gros point fort de ce projo c’est une barre Harman Kardon 60 W intégrée (4 x 15 W) avec Dolby Atmos, DTS-HD et DTS Virtual:X. Pour Netflix & chill (ou L’Amour est dans le pré), c’est largement suffisant. Après si vous voulez aller plus loin, il y a une sortie HDMI eARC pour brancher un ampli ou une barre externe.
Notez que la barre blanche que vous voyez devant le projo, c’est ma barre de son, et elle n’est pas livrée avec…
En mode Jeu, j’ai une latence autour de 20 ms, ce qui est très bon pour un projecteur. Mon astuce, c’est de désactivez l’auto keystone pour profiter du plus faible input lag. Pas de VRR ni 120 Hz en 4K, donc on reste sur du 60 Hz pour les consoles. Je me suis fait quelques parties de Mario Kart sur la Switch 2, là dessus, c’était quand même pas mal.
Niveau connectique, on peut y mettre 3 x HDMI (dont 1 eARC), 3 x USB, Ethernet, optique, jack 3,5 mm. Y’a également du Wi-Fi 6, Bluetooth 5.2, Chromecast intégré, 3D (Frame Packing & Side-by-Side). Le tout avec un capot motorisé qui protège l’optique, un Art Mode pour afficher des œuvres quand on n’utilise pas le projo, et l’ISA 5.0 (autofocus, auto-keystone continu, correction de planéité du mur, adaptation à la couleur du mur, alignement auto avec l’écran, etc.).
Bien sûr, ce n’est pas “portable” puisque ce projecteur mesue 51 cm de large, 27 cm de profondeur, 14,4 cm de haut pour environ 9 kg. Et le bruit mesuré est ≤ 32 dB à 1 m (c’est donc discret par rapport à mon vieux BenQ qui soufflait plus qu’une documentaliste de collège). Et pour la conso, on est autour de 180 W en usage.
Maintenant, le tarif officiel en Europe est de 2 899 €. C’est cher mais face à lui y’a le Hisense PX3-Pro (tri-laser, Dolby Vision, Google TV avec Netflix) qu’on voit souvent entre 2 499–2 999 €, le Samsung The Premiere 9 (tri-laser) autour de 5 999 €, et le Formovie Theater Premium (Google TV + Netflix natif, DV, ALPD RGB+) annoncé à 2 999 €.
Niveau recul donc, le XGIMI est très bien placé avec un ratio 0,177:1 (100” à 17,8 cm), ce qui est plus court que pas mal de concurrents. Bref, j’ai bien aimé l’installation ultra simple, et surtout la qualité d’image et le son 60 W très propre. Le fait aussi que ça se coupe quand on approche sa grosse tête au dessus, c’est une excellente sécurité pour ne pas se prendre un coup de laser dans l’œil.
Par contre, dommage pour Netflix et j’ai trouvé aussi que la télécommande n’était pas hyper lisible dans le noir, ce qui peut être vite relou.
Bref, après plusieurs semaines d’utilisation, je suis conquis par ce XGIMI Aura 2. Donc si vous avez le budget et que vous voulez un UST plug-and-play qui envoie une vraie image de cinéma sans transformer le salon en salle machine avec des câbles partout, foncez.
Vous vous souvenez de cette époque où partir en voyage signifiait acheter une carte SIM locale dans une boutique douteuse à l’aéroport ? Aujourd’hui, si on sort d’Europe, on active une eSIM en deux clics depuis son canapé et hop, on a internet à l’étranger. C’est pratique, non ? Sauf que voilà, une étude menée par des chercheurs de Northeastern University vient de révéler un truc assez hallucinant : Vos données personnelles pourraient bien faire le tour du monde sans que vous le sachiez.
Par exemple, si vous êtes à Rome en train de poster votre photo de pizza sur Instagram, vous pensez surement que vos données passent par un opérateur italien, puis rentrent directement chez vous. Je le croyais aussi alors qu’en réalité, elles pourraient faire un petit détour par Hong Kong, transiter par Singapour, et revenir par la Chine avant d’arriver à destination. Sympa le petit voyage organisé pour vos données perso, vous ne trouvez pas ?
Les chercheurs ont donc testé 25 fournisseurs d’eSIM et le constat est sans appel. Prenez Holafly par exemple, une entreprise basée en Irlande. Vous achetez leur eSIM en pensant avoir affaire à une société européenne, soumise au RGPD et tout le tralala. Sauf que dans les faits, vos connexions passent par le réseau de China Mobile. L’adresse IP qu’ils ont obtenue lors de leurs tests (223.118.51.96 pour les curieux) était directement allouée à China Mobile International Limited à Hong Kong.
En gros, les profils eSIM établissent silencieusement des connexions vers des serveurs à Singapour et récupèrent des SMS depuis des numéros hongkongais, le tout sans que vous en ayez la moindre idée. Mais attendez, ça devient encore plus rigolo puisque pour devenir revendeur d’eSIM, il suffit d’avoir une adresse email valide et un moyen de paiement. Y’a pas de vérification approfondie, pas de contrôle de sécurité du coup, n’importe qui peut se lancer dans le business. Et une fois revendeur, on a accès à des données ultra-sensibles comme les numéros IMSI (l’identifiant unique de votre carte SIM), la localisation des appareils avec une précision de 800 mètres, et même la possibilité d’envoyer des SMS directement aux utilisateurs.
Alors comment on fait pour protéger sa vie privée quand on voyage ? Et bien l’utilisation d’un VPN reste la meilleure solution (lien affilié), surtout si vous utilisez des réseaux WiFi publics. En effet, le VPN va chiffrer votre connexion et empêcher que vos données soient interceptées, peu importe par quel pays elles transitent. Certains fournisseurs comme Saily, créé par l’équipe derrière NordVPN, proposent même des eSIM avec VPN intégré. C’est un peu la ceinture et les bretelles de la sécurité.
Ce qui est vraiment problématique je trouve, c’est le manque total de transparence car quand vous achetez une eSIM, personne ne vous dit “au fait, vos données vont passer par la Chine”. Et chaque pays a ses propres lois sur la protection des données… En Chine du coup, les autorités peuvent légalement accéder à toutes les données qui transitent par leurs infrastructures. Vous voyez le problème ?
C’est pourquoi les chercheurs recommandent la mise en place d’un cadre réglementaire plus strict, avec une obligation de transparence pour les fournisseurs d’eSIM. Ils devraient par exemple au minimum indiquer clairement par quels pays vos données vont transiter. En attendant, leur méthodologie de recherche complète sera bientôt publiée sur GitHub pour que d’autres puissent reproduire et étendre leurs travaux.
Au final, les eSIM restent super pratiques pour voyager, mais faut être conscient des risques…
Félicitations ! Si vous avez installé la mise à jour KB5063878 de Windows 11, vous venez de débloquer la fonctionnalité cachée “Roulette Russe du stockage”. Et oui, Microsoft innove encore en transformant votre précieux SSD en disque de Schrodinger, sur lequel vos données existent et n’existent pas en même temps… Enfin, jusqu’à ce que vous tentiez de les copier.
Allez, je vous spoile, en vrai, elles n’existent déjà plus.
En effet, la mise à jour d’août 2025 censée, je cite, “corriger les problèmes de performance des jeux” a décidé que la meilleure façon d’améliorer les perfs était de supprimer complètement votre disque. C’est du génie car plus de SSD, ça veut dire plus de problèmes de performance !
Le bug est magnifique puisque dès que vous copiez 50 GB de données, hop, votre SSD disparaît comme David Copperfield en aurait rêvé. Sur 21 disques testés, 12 sont devenus invisibles selon les tests réalisés par la communauté. Un Western Digital SA510 de 2TB, a carrément décidé de prendre sa retraite anticipée. Même après un redémarrage, il refuse de revenir. C’est beau !
Phison, le fabricant de contrôleurs touché, a publié un communiqué digne d’un sketch des Monty Python : “Nous sommes conscients des effets à l’échelle de l’industrie”. Traduction : “On savait pas que Microsoft pouvait casser du hardware avec du software, mais visiblement si”. Bref, ils “travaillent avec leurs partenaires” probablement en train de chercher qui va payer la facture.
Les SSD DRAM-less avec contrôleur Phison sont donc les plus vulnérables. Pour ceux qui ne connaissent pas, DRAM-less signifie “sans mémoire cache” et WindowsForum confirme que le problème se déclenche quand l’utilisation du contrôleur dépasse 60%. Autrement dit, même si vous utilisez votre SSD normalement, il meurt. C’est la définition même du “It’s not a bug, it’s a feature”.
Et la cerise sur le gâteau c’est quand Microsoft Support indique que l’update peut aussi se gaufrer avec une jolie erreur 0x80240069 sur WSUS. Bref, même quand elle n’arrive pas à s’installer, elle trouve un moyen de casser les pieds. Maintenant, pour les “chanceux” (non) qui ont déjà installé cette bombe à retardement, les recommandations officielles sont à se pisser dessus de rire puisqu’ils conseillent d’éviter les transferts de plus de 50 GB ou de faire des sauvegardes régulières sur un disque non affecté. Bon, déjà faire des sauvegardes, ça peut fonctionner uniquement si elle font moins de 50 GB… Et si y’a toujours un SSD vivant pour faire le backup…
Le plus fun dans tout ça, c’est que cette mise à jour a été classée sécurité critique. “Critique”, tu m’étonnes… Microsoft a tellement bien sécurisé le système qu’on ne peut même plus plus accéder à nos fichiers. En attendant un correctif (prévu pour 2026 si on a de la chance ^^), votre meilleure option est de revenir à Windows 10. Ou mieux, Linux. Au moins, quand quelque chose plante, c’est de votre faute, et pas celle d’une multinationale qui teste ses patchs en production…
Ce serait quand même bien relou de devoir montrer sa carte d’identité à un flic à chaque fois qu’on veut regarder une vidéo sur le net, non ? Ce serait absurde, vous ne trouvez pas ? Et bien c’est pourtant ce qui se passe de plus en plus sur le web car entre le Royaume-Uni et son Online Safety Act, la Floride, le Tennessee, la Caroline du Sud et même l’Europe avec ses nouvelles régulations, on nous demande maintenant de scanner nos papiers d’identité ou de prendre un selfie pour accéder à certains sites. Heureusement, NextDNS vient de sortir l’artillerie lourde contre cette dérive.
Il y a quelques jours donc, NextDNS a lancé une nouvelle fonctionnalité qui fait déjà beaucoup parler d’elle à savoir le contournement automatique des vérifications d’âge par DNS. Le principe c’est qu’au lieu de balancer vos papiers d’identité à des sites dont vous ne savez rien, NextDNS intercepte vos requêtes DNS et les fait passer par des serveurs proxy situés dans des pays où ces vérifications débiles n’existent pas. C’est plus subtil qu’un VPN qui reroute tout votre trafic car ça se passe uniquement au niveau DNS.
La position de NextDNS est claire : “Donner vos papiers gouvernementaux à des sites random est un énorme risque pour la vie privée”. Difficile de leur donner tort. On parle quand même de sites qui vous demandent votre carte d’identité, votre permis de conduire, parfois même un selfie avec le document en main. Tout ça stocké on ne sait où, protégé on ne sait comment. Bref, un paradis pour les hackers et les usurpateurs d’identité.
Selon les premiers retours des utilisateurs, ça ne marche bien mais pas partout. Par exemple, Twitter (pardon, X) et Reddit résistent encore à la technique. YouTube aussi, mais c’est logique car pour les vidéos avec restriction d’âge, ils demandent une connexion à votre compte Google, ce qui empêche complètement l’astuce DNS.
NextDNS précise bien que les utilisateurs qui activent cette fonction reconnaissent avoir l’âge légal pour accéder au contenu. C’est leur façon de se couvrir juridiquement. Techniquement, contourner ces vérifications n’est pas illégal dans la plupart des pays, mais ça peut violer les conditions d’utilisation des plateformes donc si vous vous faites prendre, votre compte pourrait être suspendu définitivement.
Le problème en fait, c’est que ces lois censées protéger les mineurs créent un risque énorme pour la vie privée de tous les adultes. Avant, surfer sur Internet était anonyme par défaut et maintenant, on vous demande de vous identifier formellement pour accéder à du contenu parfaitement légal.
D’autres solutions existent bien sûr. Les VPN restent une option, même si c’est plus lourd et plus cher qu’une simple configuration DNS. Certains utilisent aussi des DNS privés alternatifs, mais l’approche de NextDNS a l’avantage d’être gratuite, simple et relativement efficace pour la majorité des cas.
NextDNS travaille apparemment à étendre la compatibilité avec plus de sites et en attendant, c’est déjà un bon pied de nez à cette surveillance généralisée qui s’installe petit à petit sur le web…
Xcode 15 sur un iPhone XS Max, ça vous dirait ? Non, je ne vous parle pas d’une app Remote Desktop ou d’un streaming depuis votre Mac. Je parle bien de macOS 13.4 qui tourne nativement sur un iPhone, avec le Dock, le Control Center et même le Finder. Le tout grâce à une bidouille absolument folle qu’un développeur a réussi à mettre au point.
Le responsable de cette prouesse technique, c’est Duy Tran (khanhduytran0), un dev qui a réussi l’impossible à savoir faire tourner le WindowServer de macOS (le processus qui gère toute l’interface graphique) sur un iPhone XS Max jailbreaké sous iOS 16.5. Bon, avant que vous sortiez votre iPhone pour tenter le coup, sachez que c’est extrêmement technique et que ça nécessite un jailbreak… ce qui n’est pas disponible sur les derniers modèles et versions d’iOS.
Ce qui est marrant dans toute cette histoire, c’est la méthode employée. Au départ, Tran a voulu utiliser les drivers GPU M1 d’Apple pour avoir l’accélération matérielle, mais son iPhone plantait en boucle. Pas découragé pour autant, il a trouvé une approche beaucoup plus maline qui est d’utiliser le système de streaming Metal du simulateur iOS via XPC. En gros, au lieu de faire tourner le GPU en natif, il a fait transiter les commandes graphiques par un protocole de communication inter-processus. C’est astucieux !
D’ailleurs, cette approche n’est pas sans rappeler ce que fait UTM SE pour iOS, une version spéciale de l’émulateur UTM qui utilise un interpréteur au lieu de la compilation JIT pour contourner les restrictions d’iOS. Sauf qu’ici, on ne parle pas d’émulation mais bien d’exécution native du code macOS. La différence ce sont bien sûr les performances et le fait que le système tourne directement sur le kernel Darwin partagé entre iOS et macOS.
Pour comprendre pourquoi c’est possible, il faut savoir que macOS et iOS partagent le même kernel XNU, un noyau hybride qui combine des éléments de Mach et de FreeBSD. C’est ce qui permet théoriquement de faire tourner du code macOS sur iOS, même si Apple a évidemment mis des barrières pour empêcher ça. Mais avec un jailbreak et beaucoup de patches manuels, ces barrières peuvent être contournées.
Le projet montre d’ailleurs que le jailbreak permet bien plus que de simples customisations visuelles. Ici, on parle de transformer complètement l’usage d’un appareil iOS. Par exemple, avoir un iPad Pro M4 qui ferait tourner macOS de manière native avec tous les drivers GPU optimisés… Ce serait le rêve pour beaucoup d’utilisateurs qui attendent depuis des années qu’Apple fasse converger ses systèmes.
Actuellement, le système a ses limites car le contrôle se fait via VNC (donc clavier et souris à distance), il y a des bugs graphiques à cause des limitations du simulateur Metal, et surtout, ça nécessite, comme je vous le disais, un appareil jailbreaké. Mais selon Tran, la solution fonctionnerait particulièrement bien sur les iPad avec puce M, qui ont les mêmes drivers GPU natifs que les Mac.
Ce qui est intéressant aussi, c’est qu’Apple travaille justement sur le durcissement de son kernel XNU avec un système appelé “exclaves” qui isole des ressources critiques du kernel principal. C’est une nouvelle version de l’architecture de sécurité qui rendrait ce genre de bidouille encore plus difficile à l’avenir puisque les exclaves créent des domaines isolés qui protègent des fonctions clés même si le kernel est compromis.
Pour les curieux, Tran a publié son repository GitHub avec tous les patches nécessaires, mais attention, c’est vraiment pour les experts. Il faut patcher manuellement de nombreux composants système, gérer les problèmes de mémoire partagée entre processus, et contourner les restrictions de chargement des bundles XPC. Donc pas vraiment le genre de truc qu’on fait en suivant un tuto YouTube de 5 minutes. Et ne comptez pas sur moi pour vous faire ça en vidéo… lol.
Cela prouve qu’Apple pourrait techniquement faire tourner macOS sur iPad sans trop d’efforts. Les bases techniques sont là, le hardware en est capable, et visiblement même un iPhone peut gérer l’interface de macOS. Mais alors pourquoi Apple ne le fait pas ? Probablement pour des raisons de positionnement produit et de revenus car un iPad qui ferait tourner macOS cannibaliserait les ventes de MacBook.
En attendant qu’Apple se décide (ou pas), des projets comme celui-ci montrent que la communauté du jailbreak continue d’explorer les limites de ce qui est techniquement possible avec le matériel Apple. Et voir Xcode tourner sur un iPhone, même si c’est juste pour la beauté du geste, c’est quand même assez impressionnant.
Voilà, donc si vous avez un vieil iPhone jailbreaké qui traîne et que vous aimez les défis techniques, pourquoi ne pas tenter l’expérience ? Au pire, vous aurez une bonne histoire à raconter. Au mieux, vous pourrez dire que vous faites du développement iOS… sur iOS.
Vous savez ce qui m’a toujours ennuyé avec git blame ? C’est qu’à chaque refactoring, chaque reformatage de code, chaque déplacement de fichier, tous les noms disparaissent pour être remplacés par celui de la personne qui a fait ces modifications. Du coup, impossible de savoir qui a vraiment écrit le code original. Heureusement, un développeur nommé Sinclair Target vient de sortir un outil qui résout ce problème.
git-who (c’est son nom) fait donc exactement ce que git blame aurait dû faire depuis le début à savoir analyser qui a vraiment contribué à votre codebase, et pas juste qui a touché les lignes en dernier. Au lieu de se contenter d’une analyse ligne par ligne comme git blame, git-who analyse les patterns de contribution sur des fichiers entiers, des dossiers, voire des composants complets.
L’installation est simple comme bonjour. Si vous êtes sur Mac avec Homebrew, un petit brew install git-who et c’est réglé. Pour les autres, vous pouvez passer par Go avec go install github.com/sinclairtarget/git-who@latest ou compiler depuis les sources si vous aimez les défis. Docker est aussi supporté pour ceux qui préfèrent…
Ce qui rend git-who vraiment intéressant, c’est ses trois modes d’analyse. Le mode table (par défaut) vous donne un tableau récapitulatif des contributions par auteur, triable par nombre de commits, lignes de code, fichiers touchés ou date de modification. C’est pratique pour identifier rapidement qui sont les principaux contributeurs d’un projet. Le mode tree affiche l’arborescence du projet avec le contributeur principal annoté pour chaque fichier et dossier. Et le mode hist génère une timeline de l’activité des commits avec le top contributeur par période.
Pour vous donner une idée concrète, Sinclair Target a fait une démo sur le projet Vim pour analyser les patterns de maintenance après le décès de Bram Moolenaar. L’outil a permis d’identifier rapidement qui avait pris le relais sur différentes parties du code. C’est quelque chose qu’il aurait été impossible à voir clairement avec un git blame classique.
La différence fondamentale donc avec git blame, c’est que git-who “comprend” le contexte. Si quelqu’un déplace un fichier ou fait un reformatage massif, git blame lui attribuera toutes les lignes alors git-who, lui, va chercher plus loin dans l’historique pour identifier les véritables auteurs du code. Il respecte même les fichiers .mailmap pour consolider les identités multiples d’un même développeur et prend en compte le fichier .git-blame-ignore-revs pour ignorer certains commits de maintenance.
Pour utiliser git-who, il suffit de faire un git who à la racine de votre projet afin d’obtenir l’analyse de base. Vous pouvez filtrer par chemin avec git who Parser/ pour analyser seulement un dossier spécifique. Le tri est customisable avec des options comme -l pour trier par lignes de code ou -m pour la date de dernière modification. Et pour une vue historique entre deux versions, git who hist v3.10.9..v3.11.9 fait le job.
Bien sûr, git-who n’est pas le seul dans sa catégorie. GitLens pour VS Code reste l’extension la plus populaire, offrant une intégration visuelle directement dans l’éditeur. Git Quick Stats est aussi une autre alternative en ligne de commande qui propose des statistiques détaillées sur les repositories. Mais aucun ne va aussi loin que git-who dans l’analyse de la véritable propriété du code.
Qui maintient réellement cette partie critique du code ? Quelle équipe a le plus contribué à ce module ? Comment les contributions ont évolué au fil du temps ? Git-who vous aide à répondre à ces questions essentielles sur la gestion de votre projet, les audits de code ou simplement pour comprendre l’histoire d’un projet open source.
Bref, j’ai trouvé ça cool… Et qui sait, peut-être qu’un jour git-who sera intégré directement dans Git ?
Connaissez-vous l’histoire du premier véritable virus mondial de l’ère Internet ? En fait c’est pas juste une histoire de code à la base, mais plutôt celle d’un étudiant philippin de 24 ans complètement fauché qui voulait juste surfer gratos sur le web… pour finir par mettre totalement à genoux le Pentagone, la CIA, le Parlement britannique et 45 millions d’ordinateurs à travers le monde.
Et tout ça avec un simple email qui disait “Je t’aime”.
On est le 4 mai 2000 à minuit, heure de Manille, Onel de Guzman lance son virus ILOVEYOU depuis son petit appartement du quartier de Pandacan. Il referme son ordinateur portable, sort boire des coups avec des potes et se réveille le lendemain avec la gueule de bois du siècle et la police à sa porte. Entre temps, son “bébé” a infecté Ford, AT&T, Microsoft, le Pentagone, et a fait trembler Wall Street. Son serveur censé récupérer les mots de passe volés a même complètement cramé sous l’afflux de données. Son plan génial pour démocratiser Internet est parti en fumée.
Son histoire commence donc dans les années 90. Dans son pays, Internet coûte une fortune, facturé à la minute en dial-up et pour un étudiant de l’AMA Computer College de Makati, comme Onel de Guzman, c’est totalement hors de prix. Le gamin est brillant en programmation mais n’a pas un rond. Il passe ses journées à apprendre le code, mais le soir, impossible de se connecter pour approfondir. Et cette frustration devient une obsession ! L’accès à Internet devrait être un droit, pas un privilège de riches.
Du coup, en février 2000, de Guzman présente sa thèse de fin d’études. Le titre ne fait pas dans la dentelle : “E-mail Password Sender Trojan”. L’objectif est clair comme de l’eau de roche… Il s’agit de créer un programme pour voler les identifiants Internet et permettre aux pauvres de surfer gratos. Dans son mémoire, il écrit carrément : “Le but de ce programme est d’obtenir les mots de passe Windows et de voler et récupérer les comptes Internet de l’ordinateur de la victime.”
La réaction de ses profs est immédiate et sans appel. Dans les marges du document, l’un d’eux gribouille : “Nous ne formons pas des cambrioleurs” et “C’est illégal !”. Sa thèse est rejetée. Même le doyen pète un câble. Comment un étudiant peut-il proposer du vol comme projet de fin d’études ?
Mais de Guzman ne capte pas ces retours car pour lui, partager des mots de passe Internet, c’est comme partager un bouquin ou un CD. Les “victimes” ne perdent rien puisqu’elles peuvent toujours se connecter… C’est juste du partage de ressources, non ? Bref, pour lui, ses profs sont des vieux cons qui ne pigent rien à la révolution numérique. Le mec abandonne alors ses études et rejoint GRAMMERSoft, un groupe underground d’étudiants qui vendent des devoirs tout faits à d’autres étudiants et squattent les labos informatiques de l’AMA College pour développer leurs trucs.
L’équipe de GRAMMERSoft
C’est là que de Guzman commence à coder son virus. Il reprend les idées de sa thèse rejetée et les améliore. Le concept c’est de créer un ver qui se propage par email en exploitant la curiosité humaine. Car franchement, qui pourrait résister à un message qui dit “Je t’aime” ? Le virus utilise Visual Basic Script, un langage simple mais puissant intégré à Windows et même si de Guzman n’est pas un génie du code (son script est même plutôt basique avec environ 300 lignes), il comprend parfaitement la psychologie humaine et les failles de Windows.
Son programme fait plusieurs trucs une fois activé. D’abord, il parcourt le disque dur et écrase certains types de fichiers. Les images JPEG sont remplacées par des copies du virus renommées avec l’extension .vbs. Les fichiers JavaScript, CSS, documents Word et j’en passe, subissent le même sort. Mais curieusement, les MP3 sont juste cachés, pas détruits… peut-être que de Guzman aimait trop la musique pour les bousiller. Le virus s’installe ensuite dans le système avec le nom MSKERNEL32.VBS et modifie la page d’accueil d’Internet Explorer pour télécharger un trojan voleur de mots de passe.
Mais le vrai génie du virus, c’est sa propagation car il s’envoie automatiquement à tous les contacts du carnet d’adresses Outlook de la victime. Le message a ainsi l’air de venir d’un ami ou d’un collègue, ce qui augmente drastiquement les chances qu’il soit ouvert. Le fichier joint s’appelle “LOVE-LETTER-FOR-YOU.TXT.vbs”. Sauf que Windows, dans sa grande sagesse, cache par défaut l’extension .vbs. Les utilisateurs voient alors juste “LOVE-LETTER-FOR-YOU.TXT” et pensent que c’est un simple fichier texte inoffensif.
Dans le code, on trouve des références à “spyder” et “Barok”. Barok est un logiciel de vol de mots de passe populaire dans l’underground philippin et “Spyder” est le pseudo que de Guzman utilise parfois, même si Reonel Ramones, son pote de GRAMMERSoft, l’utilise aussi. Le message dans le code dit : “Barok… e.mail.passwords.sender.Trojan-by spyder”. Les mots de passe volés devaient ensuite être envoyés à des comptes email chez Access Net, un FAI philippin. L’idée de de Guzman c’était de les redistribuer gratuitement à ceux qui pouvaient pas se payer Internet.
Sauf que de Guzman n’a jamais anticipé ce qui allait se passer. Il pensait infecter quelques centaines, peut-être quelques milliers d’ordinateurs aux Philippines. Récupérer assez de mots de passe pour lui et ses potes. Il avait initialement codé une restriction géographique pour limiter le virus à Manille, puis par curiosité, il l’enlève juste avant de lancer son bébé. Grosse erreur.
Le code de ILOVEYOU
Le virus commence alors sa propagation en Asie. Hong Kong se fait toucher en premier, car les bureaux ouvrent tôt là-bas. De là, ça se répand en Chine, au Japon, en Corée du Sud et chaque personne qui ouvre la pièce jointe infecte instantanément tous ses contacts. La croissance est exponentielle, complètement folle et en 10 jours, 45 millions de machines seront touchées.
Quand l’Europe se réveille, c’est déjà l’apocalypse. Les serveurs de messagerie saturent. BMW et Siemens en Allemagne déconnectent leurs systèmes. L’Oréal et BNP Paribas en France sont touchés. La BBC rapporte que le Parlement britannique ferme complètement son système de messagerie. Le virus modifie même la page d’accueil des navigateurs pour télécharger WIN-BUGSFIX.exe, un trojan supplémentaire.
Le virus arrive enfin aux États-Unis alors que la côte Est commence sa journée. À 6h45, les techniciens de Fort Bragg reçoivent des alertes puis le réseau de l’armée américaine avec ses 50 000 utilisateurs est touché. Le Pentagone prend alors une décision radicale à savoir couper complètement son système de messagerie. La CIA fait pareil. Le FBI, la Réserve fédérale… tous déconnectent. Du jamais vu. Ford Motor Company ferme son réseau email. Microsoft, ironie du sort, créateur du système d’exploitation vulnérable, doit aussi se déconnecter. Et Wall Street tremble.
Et les médias s’emballent… CNN, BBC, tous couvrent l’événement en direct. Pour la première fois, un virus informatique fait la une des JT. “Si vous recevez un email avec pour objet ILOVEYOU, ne l’ouvrez pas !” répètent les présentateurs. Les estimations des dégâts commencent à tomber. On parle de millions, puis de milliards. Le coût final sera estimé entre 5 et 15 milliards de dollars, en comptant les pertes de productivité et les fichiers détruits. Plus de 25 variantes du virus apparaissent alors rapidement, chacune causant différents types de dégâts.
Pendant ce temps à Manille, de Guzman cuve sa cuite monumentale. Il n’a aucune idée du chaos mondial qu’il vient de déclencher. C’est sa mère qui l’alerte : la police est à la porte. Les agents du National Bureau of Investigation ont des mandats… De Guzman panique et demande à sa famille de détruire tous ses ordinateurs.
Mais comment les autorités l’ont trouvé si vite ? Et bien Sky Internet, un FAI philippin, a reçu des plaintes de clients européens dès les premières heures. Darwin Bawasanta, un employé, analyse les logs et identifie des numéros de téléphone suspects. L’un mène en premier lieu à l’appartement de Reonel Ramones, arrêté le 8 mai. Là bas, les enquêteurs trouvent des disquettes avec des noms incluant Michael Buen et Onel de Guzman. Buen, 23 ans, avait écrit une thèse acceptée sur la duplication de fichiers. Les enquêteurs soupçonnent alors que ILOVEYOU combine leurs travaux… Puis rapidement, tous les indices pointent vers de Guzman.
Et le 11 mai 2000, de Guzman se présente à une conférence de presse. Lunettes de soleil, visage caché derrière un mouchoir. Il refuse de répondre. Son avocat parle : “Mon client n’avait pas l’intention de causer des dommages. Il voulait seulement démontrer les failles de sécurité.” La défense classique des hackers…
Onel de Guzman durant sa conférence de presse
Mais voilà le plus dingue : il n’y aura aucune poursuite. Pourquoi ? Et bien parce qu’en 2000, les Philippines n’ont aucune loi contre la création de virus informatiques. Écrire un malware n’est tout simplement pas illégal et le procureur est obligé d’abandonner toutes les charges. De Guzman et Ramones sont libérés.
Face au tollé international, le gouvernement philippin vote en urgence la Republic Act No. 8792 en juillet 2000, l’E-Commerce Law qui criminalise enfin les virus mais comme la Constitution interdit les lois rétroactives. Grâce à sa bonne étoile, de Guzman s’en sort totalement libre et après sa conférence de presse, il disparaît. Il devient alors un fantôme… Certains disent qu’il a quitté le pays, d’autres qu’il vit sous une fausse identité.
Jusqu’à ce que Geoff White le retrouve en 2019 pour son livre “Crime Dot Com”. De Guzman a maintenant 44 ans et répare des téléphones pour vivre. “Je ne voulais pas que ça arrive comme ça”, confie-t-il. “Je voulais juste avoir accès à Internet sans payer. Je ne pensais pas que ça deviendrait mondial.” Il lui raconte alors cette fameuse nuit : “J’ai bu, beaucoup bu. Je me suis réveillé avec une gueule de bois terrible et la police à ma porte.”
Le plus drôle c’est que de Guzman n’a jamais pu exploiter son virus car le serveur censé collecter les mots de passe a crashé immédiatement. “Le virus était trop efficace”, explique-t-il. “Il s’est propagé trop vite. Tout s’est effondré.” Des millions de mots de passe envoyés pour rien. ILOVEYOU est devenu un pur agent du chaos, détruisant des fichiers sans remplir sa fonction première.
De Guzman regrette tout cela profondément. “Parfois je vois ma photo sur Internet. Je suis quelqu’un de timide, je ne veux pas de cette attention. Si je pouvais revenir en arrière, je ne le ferais pas. J’étais jeune et stupide. Je pensais changer le monde, démocratiser Internet. J’ai juste causé de la souffrance.”
Onel de Guzman en 2019
L’impact d’ILOVEYOU a été colossal. Microsoft a dû repenser complètement la sécurité d’Outlook et Windows, et l’option de cacher les extensions, qui a permis au virus de tromper tant de gens, a été modifiée. Suite à cela, les entreprises ont investi massivement dans l’antivirus et la formation et le “social engineering” est devenu central dans la cybersécurité. Les gouvernements ont même adopté des lois contre le cybercrime. L’Europe a harmonisé sa législation, les États-Unis ont renforcé le Computer Fraud and Abuse Act.
Mais le plus grand changement est culturel car avant ILOVEYOU, les virus étaient un problème de geeks. Aujourd’hui, “Ne cliquez pas sur les pièces jointes suspectes” est devenu un mantra universel.
En 2012, le Smithsonian Institution a classé ILOVEYOU parmi les dix virus les plus virulents de l’histoire. C’est le seul à avoir touché 10% d’Internet en 24 heures, une performance jamais égalée.
Bref, que ce soit dans le monde numérique comme dans la vraie vie, il faut se méfier des déclarations d’amour un peu trop faciles. Surtout avec une extension .vbs.
C’est toujours marrant de voir des outils ultra populaires mettre des années à intégrer une fonctionnalité que tout le monde bricole depuis une éternité. Et aujourd’hui, c’est au tour de NGINX qui vient enfin de franchir le pas avec l’intégration native du protocole ACME !
Pour ceux qui ne seraient pas familiers avec cet acronyme, ACME (Automated Certificate Management Environment) c’est le protocole magique qui permet d’automatiser toute la gestion des certificats SSL/TLS. Développé à l’origine par l’Internet Security Research Group pour Let’s Encrypt, c’est donc lui qui vous évite de devoir renouveler manuellement vos certificats tous les 90 jours comme un moine copiste du Moyen Âge.
Le truc vraiment cool, c’est que NGINX a décidé de faire les choses en grand car plutôt que de bricoler une solution rapide, ils ont carrément développé un nouveau module baptisé ngx_http_acme_module qui s’appuie sur leur SDK Rust. Hé oui y’a du Rust dans NGINX ! Cette approche leur permet ainsi d’avoir un module dynamique disponible aussi bien pour la version open source que pour leur solution commerciale NGINX Plus.
Du coup, fini les scripts à la con avec Certbot qui tournent en cron et qui plantent au pire moment. Maintenant, vous configurez tout directement dans votre fichier NGINX comme ceci :
Simple, efficace, intégré, plus besoin de jongler entre différents outils, car tout se passe dans la configuration NGINX. Ensuite, les certificats se renouvellent automatiquement, s’installent tout seuls, et vous pouvez enfin dormir tranquille.
Mais attention, selon les discussions sur LWN.net, tout n’est pas rose au pays des bisounours… La communauté a quelques réserves, et pas des moindres. Leur plus gros point de friction c’est que NGINX a décidé de lancer cette première version avec uniquement le support du challenge HTTP-01. Pour les non-initiés, ça veut dire que votre serveur doit être accessible publiquement sur le port 80 pour prouver qu’il contrôle bien le domaine.
Les développeurs frustrés pointent aussi du doigt l’absence du challenge DNS-01. Et je trouve qu’ils ont raison d’être énervés car sans DNS-01, impossible de générer des certificats wildcard (*.example.com), et impossible de sécuriser des services internes qui ne sont pas exposés sur Internet. Donc pour tous ceux qui ont des homelabs ou des infrastructures privées, c’est relou.
Surtout que Caddy, le concurrent direct de NGINX, gère ça depuis des années sans problème. Bref, l’équipe NGINX promet que les challenges TLS-ALPN et DNS-01 arriveront dans le futur, mais pour l’instant, c’est motus et bouche cousue sur les délais.
Pour ceux qui veulent tester, sachez que le code est disponible sur GitHub et des packages précompilés sont déjà disponibles. La documentation officielle explique également bien le processus d’installation et de configuration. Notez que le module utilise une zone de mémoire partagée pour coordonner les renouvellements entre les différents workers NGINX, ce qui est plutôt malin pour éviter les conflits.
Au niveau technique, le workflow est assez classique… vous configurez votre serveur ACME (Let’s Encrypt ou autre), vous allouez la mémoire partagée nécessaire, vous configurez les challenges, et le module s’occupe du reste. Les variables $acme_certificate et $acme_certificate_key sont automatiquement remplies avec les chemins vers vos certificats.
Tout ceci permet de réduire également la surface d’attaque car vous n’avez plus besoin d’avoir Certbot et toutes ses dépendances Python qui traînent sur votre serveur ou plus de scripts externes qui doivent recharger NGINX. Tout est natif, et donc c’est forcément plus sécurisé.
Perso, je trouve que c’est un pas dans la bonne direction, même si l’implémentation actuelle est limitée. Et le faut qu’ils aient codé ça en Rust montre bien que NGINX prend au sérieux la modernisation de sa base de code. Du coup, pour ceux qui ont des besoins simples avec des domaines publics, foncez tester cette nouveauté. Plus d’excuses pour avoir des certificats expirés !
Si vous êtes du genre à passer votre vie en SSH sur des serveurs distants comme moi, alors voici un petit outil bien sympa qui va peut-être changer votre façon de bosser. Cela s’appelle sshrc et au début, j’ai cru à une énième tentative de réinventer la roue, mais en fait non. Ce truc est vraiment cool car quand vous vous connectez en SSH, il copie automatiquement votre configuration locale dans un dossier temporaire sur le serveur distant. Comme ça, vous retrouvez instantanément vos alias bash, vos raccourcis vim, votre prompt avec ses jolies couleurs…etc. Tout ce qui fait que vous vous sentez chez vous… mais sur votre serveur.
Le truc vraiment cool, c’est que ça ne pollue pas le serveur car tout est stocké dans /tmp dans un dossier propre à votre session. Si d’autres utilisateurs se connectent (même avec sshrc), ils auront leurs propres configs et pas les vôtres.
Pour l’installer, rien de plus simple. Sous macOS avec Homebrew :
Pour les autres systèmes, vous pouvez récupérer le script directement depuis le repo GitHub.
Une fois installé, créez un fichier ~/.sshrc avec vos configs préférées. Par exemple, vous pouvez mettre vos alias les plus utiles, quelques fonctions bash, et même des variables d’environnement spécifiques.
Ensuite, au lieu de taper ssh user@server, vous faites sshrc user@server et c’est tout. Derrière, l’outil fait sa magie noire en compressant vos configurations, en les envoyant sur le serveur, puis en les décompressant dans /tmp, et en sourçant le tout automatiquement. Vous pouvez même avoir des configurations différentes selon les serveurs en créant des fichiers comme ~/.sshrc.d/servername.
Pour les fans de vim, il y a une astuce sympa. Ajoutez cette ligne dans votre ~/.sshrc :
Et placez votre .vimrc dans ~/.sshrc.d/. Comme ça, vim utilisera votre config perso même sur le serveur distant.
Attention quand même, il y a une limite. Si votre dossier ~/.sshrc.d fait plus de 64KB, certains serveurs peuvent bloquer la connexion. C’est pour ça qu’une alternative existe : SSHdot. Cette variante n’a pas de limite de taille et fonctionne exactement pareil. C’est pratique si vous avez une config vim bien chargée avec plein de plugins.
D’ailleurs, pour ceux qui préfèrent une approche différente, il y a aussi la méthode git. Vous mettez tous vos dotfiles dans un repo, et vous configurez vos serveurs pour pull automatiquement à la connexion. C’est plus lourd à mettre en place mais ça scale mieux si vous gérez beaucoup de machines.
Un dernier truc sympa, sshrc fonctionne aussi avec tmux. Vous pouvez donc configurer tmux pour qu’il utilise vos raccourcis habituels même sur le serveur distant. Il suffit d’ajouter votre .tmux.conf dans ~/.sshrc.d et de définir un alias dans ~/.sshrc qui pointe vers cette config.
Au final, sshrc vous n’en aviez pas besoin, mais maintenant que vous savez qu’il existe, c’est un incontournable ! Bref, si vous en avez marre de retrouver un environnement spartiate à chaque connexion SSH, essayez-le, ça prend 2 minutes à installer et ça change vraiment la donne niveau confort de travail.
Connexion
