Shai, c’est un collègue développeur qui ne dort jamais, qui ne râle jamais quand vous lui demandez de déboguer votre code à 3h du matin, et qui vit littéralement dans votre terminal. C’est un outil qui s’inscrit dans la même lignée que Codex ou Claude Code et qui est 100% français puisque proposé par OVHcloud.

Terminé donc les outils qui nécessitent des interfaces graphiques lourdes ou des plugins IDE complexes puisqu’ici, tout se passe dans le terminal.

L’installation tient en une seule ligne :

curl -fsSL https://raw.githubusercontent.com/ovh/shai/main/install.sh | sh

Et en quelques secondes, vous avez un assistant IA fonctionnel, prêt à vous épauler dans vos tâches quotidiennes. Pas de configuration complexe, pas de dépendances infernales à gérer. Bien sûr, comme pour tout script téléchargé, pensez à vérifier le contenu avant exécution.

Vous l’aurez compris, SHAI ne se contente pas d’être un simple chatbot qui répond à vos questions. Il peut véritablement prendre le contrôle et exécuter des commandes, créer des fichiers, déboguer votre code, et même automatiser des workflows complets. Vous pouvez lui demander de créer un site web complet, de convertir des fichiers d’un format à l’autre, ou de corriger cette commande shell que vous n’arrivez jamais à mémoriser correctement.

La philosophie “written in Rust with love” inscrite dans le code du projet n’est pas non plus qu’une simple formule marketing car le choix de Rust garantit des performances exceptionnelles et une sécurité mémoire à toute épreuve. Avec 99,2% du code en Rust, les développeurs d’OVHcloud ont clairement misé sur la robustesse et la rapidité d’exécution. Je tiens quand même à dire qu’au cours de mes tests, j’ai quand même eu quelques plantages de l’application. Mais elle est encore jeune, donc j’espère que ça va s’améliorer.

Ce qui distingue vraiment SHAI des autres assistants IA, c’est sa capacité à fonctionner en mode “headless”. Vous pouvez simplement lui envoyer des prompts via un pipe Unix : echo "crée-moi un hello world en Python" | shai. Et rien que cette fonctionnalité ouvre des possibilités infinies pour l’automatisation et l’intégration dans des pipelines CI/CD existants.

Plus impressionnant encore, le mode “shell assistant” transforme SHAI en véritable garde du corps de votre terminal. Une fois activé, chaque fois qu’une commande échoue, SHAI intervient automatiquement pour vous proposer une correction. Plus besoin de chercher sur Stack Overflow pourquoi votre commande tar ne fonctionne pas comme prévu.

Pour réussir tout ça, il utilise par défaut Qwen3-32B mais rassurez vous, y’a moyen de changer de provider. L’aspect multi-provider est donc crucial et heureusement SHAI n’est pas verrouillé sur un seul modèle d’IA. Vous pouvez donc configurer différents providers selon vos besoins, vos préférences ou vos contraintes de confidentialité. Mais par défaut, OVHcloud propose un accès anonyme (avec limitation de débit) pour que tout le monde puisse tester l’outil sans engagement. Perso, j’ai éclaté la limité au bout de quelques minutes d’utilisation. Snif.

Lors de mes tests, j’ai aussi constaté que les commandes qu’on appelle normalement avec le “/” n’ont pas fonctionné chez moi et concernant le thème de l’interface de Shai, en fonction des couleurs de votre terminal, ça peut vite être illisible. C’est dommage mais j’imagine que ça va se bonifier avec le temps…

Voilà, avec Shai , OVHcloud mise clairement sur cette approche minimaliste mais puissante pour séduire les développeurs qui veulent de l’IA sans les complications habituelles et surtout qui tourne sur le sol français, dans le respect de vos données personnelles.

Je leur souhaite plein de succès !

Source

Vous savez quel est le problème avec les serveurs web mal configurés ? C’est qu’ils sont comme ces vieux greniers où on entasse tout et n’importe quoi en pensant que personne n’ira jamais fouiller. Sauf que sur Internet, il y a toujours quelqu’un pour venir mettre son nez dans vos affaires.

J’ai récemment découvert dans DirSearch et cet outil reste une valeur sûre. Pendant que tout le monde s’excite sur les dernières IA et les zero-days à 100k$, ce petit scanner Python continue tranquillement de faire le job depuis des années.

Le principe est simple comme bonjour. Vous lui donnez une URL et une wordlist, et il va tester méthodiquement tous les chemins possibles pour voir ce qui traîne. Des fichiers de backup oubliés, des répertoires d’admin planqués, des configs exposées… Le genre de trucs qui peuvent transformer une simple reconnaissance en jackpot pour un pentester.

Ce qui rend DirSearch efficace, c’est son approche multi-threadée. Là où un script basique va tester les chemins un par un comme un escargot sous Valium, lui peut balancer des centaines de requêtes simultanées. Le multithreading permet de tester des milliers d’entrées rapidement.

Mais attention, ce n’est pas qu’une histoire de vitesse brute. L’outil est assez malin pour gérer les redirections, les codes d’erreur personnalisés, et même les WAF qui essaient de vous bloquer. Il peut adapter ses requêtes, changer de User-Agent, utiliser des proxies… Bref, il sait se faire discret quand il faut.

Pour l’installer, rien de plus simple. Un petit pip install dirsearch et c’est parti. Ou alors vous clonez le repo GitHub si vous préférez avoir la version de développement. Dans les deux cas, c’est opérationnel en 30 secondes chrono.

L’utilisation basique ressemble à ça :

dirsearch -u https://target.com

L’outil va automatiquement utiliser sa wordlist par défaut et commencer à scanner. Mais évidemment, c’est en personnalisant les options qu’on obtient les meilleurs résultats.

Vous pouvez spécifier les extensions à tester avec -e php,asp,txt. Pratique quand vous savez que le serveur tourne sous une techno particulière. Le flag -r active la récursion pour explorer les sous-répertoires trouvés. Et avec --exclude-status 404,403, vous filtrez le bruit pour ne garder que les résultats intéressants.

Un truc que j’aime bien, c’est la possibilité de sauvegarder les résultats dans différents formats. L’outil supporte plusieurs formats de sortie : JSON pour parser facilement, texte simple pour un rapport rapide, ou XML pour l’intégration dans d’autres outils.

Comparé à ses concurrents comme Gobuster (codé en Go) ou Dirb, DirSearch s’en sort bien avec sa gestion efficace des cas particuliers.

L’outil gère aussi les authentifications HTTP basiques, les cookies de session, les headers personnalisés… Tout ce qu’il faut pour scanner des applications web modernes qui demandent une authentification. Vous pouvez même lui passer un certificat client si le serveur l’exige.

Le projet est hébergé sur GitHub où vous pouvez contribuer ou signaler des bugs.

Bon par contre, comme tout outil de scanning, utilisez-le uniquement sur des systèmes que vous êtes autorisé à tester. Scanner le site de votre banque “pour voir”, c’est le meilleur moyen de vous attirer des ennuis. Et croyez-moi, expliquer à un juge que c’était “juste pour apprendre”, ça passe moyen.

Pour les pros du pentest, DirSearch s’intègre bien dans une méthodologie complète. Vous commencez par un scan de ports avec Nmap, vous identifiez les services web, et hop, DirSearch entre en jeu pour explorer l’arborescence. Combiné avec Burp Suite pour l’analyse approfondie des résultats intéressants, c’est redoutable.

Pas d’IA, pas de machine learning, pas de blockchain. C’est un outil classique de brute-force intelligent qui complète bien une méthodologie de test complète… et franchement, quand on voit le nombre de serveurs qui traînent encore des phpMyAdmin non protégés ou des .git exposés, on se dit que les basiques ont encore de beaux jours devant eux.

Source

Voici une info qui risque de faire grincer des dents chez Boston Dynamics et Tesla (ou pas ^^). Un doctorant de Berkeley, du nom de Haochen Shi, a décidé de partager généreusement avec le monde entier les plans d’un robot humanoïde fonctionnel pour seulement 4300 dollars de base. Oui, le prix d’une Nintendo Switch pour un robot bipède capable d’apprendre par lui-même.

Notre petit prodige s’appelle ToddlerBot , il mesure 33 centimètres de haut et possède 17 degrés de liberté. Pour vous donner une idée, c’est largement suffisant pour qu’il puisse marcher, manipuler des objets avec ses bras et effectuer des tâches complexes. Le tout avec des pièces imprimées en 3D et des servomoteurs qu’on trouve sur AliExpress.

Et notre ami Shi n’a pas juste mis en ligne un énième projet de robotique universitaire. Non, le gars a carrément publié l’intégralité du projet en open source sur GitHub sous licence MIT. Les fichiers CAD, le code Python, les schémas électroniques, tout y est. Vous pouvez donc littéralement cloner le repo et commencer à imprimer votre robot ce soir.

Côté hardware, l’architecture repose sur un Jetson Nano ou un Raspberry Pi selon votre budget. Les servomoteurs pour les jambes offrent un couple respectable pour cette échelle, pendant que les bras utilisent des modèles plus légers. Au final, le coût de base est de 4300 $, mais peut varier selon où vous achetez vos composants et les options que vous choisissez.

Mais attendez, le hardware n’est que la moitié de l’histoire. Du côté software, ToddlerBot intègre un système de téléopération complet qui permet de le contrôler à distance pour collecter des données d’entraînement. Cette approche de collecte de données est cruciale pour l’apprentissage par renforcement.

D’ailleurs, par rapport aux autres projets de robots humanoïdes low-cost, ToddlerBot se démarque par sa simplicité d’assemblage. Là où des projets comme Poppy nécessitent des compétences avancées en électronique, ToddlerBot peut être monté relativement facilement avec des outils basiques.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/toddlerbot-robot-humanoide-250-ridiculise-geants/toddlerbot-robot-humanoide-250-ridiculise-geants-1.mp4">lien vers la vidéo</a>.

Un dénommé SSShooter, développeur de son état, a concocté un projet open source qui pourrait bien vous aider pour mieux apprendre n’importe quel sujet, à l’aide de cartes mentales. Baptisé Ebook to Mindmap , son outil transforme vos EPUB et PDF en cartes mentales interactives, le tout propulsé grâce à l’intelligence artificielle.

Cela permet de ne plus vous cogner 300 pages d’un traité sur le machine learning tout en griffonnant des notes sur un coin de nappe. Là vous glissez votre fichier dans l’outil et voilà ! Vous obtenez une carte mentale structurée regroupant tous les concepts clés, les relations entre les idées et l’architecture globale du bouquin.

Ce qui est plutôt cool avec cet outil, c’est qu’il ne se contente pas de vous balancer un résumé basique. Le projet utilise Google Gemini ou GPT d’OpenAI pour analyser intelligemment le contenu. Il détermine automatiquement la structure des chapitres, ignore les préfaces et tables des matières inutiles et vous propose trois modes de traitement différents selon vos besoins.

Que vous ayez besoin d’un simple résumé textuel parce que vous êtes pressé, d’une mindmap par chapitre pour une analyse détaillée, ou d’une carte mentale globale du livre entier, c’est vous qui choisissez. Et tout ça avec un système de cache intelligent qui vous épargne de re-traiter les mêmes bouquins encore et encore.

Pour l’installation, rien de compliqué si vous avez Node.js 18+ sur votre machine. Un petit git clone, un pnpm install et hop, vous êtes lancé. Vous configurez votre clé API (Google Gemini ou OpenAI), vous uploadez votre ebook et vous laissez l’outil faire son travail. Y’a même une démo accessible ici en ligne pour tester sans installer.

Mais comme le code est open source, vous gardez le contrôle sur le processus. Vous pouvez ainsi définir la profondeur des sous-chapitres à analyser, choisir le type de livre (technique, fiction, business…) et même ajuster les paramètres avancés selon vos besoins spécifiques.

Pour les étudiants qui doivent se farcir des pavés de 800 pages sur la thermodynamique quantique, ou pour les professionnels qui veulent extraire rapidement l’essence d’un livre business sans y passer le weekend, c’est parfait. Et pour les curieux qui accumulent les ebooks mais n’ont jamais le temps de tous les lire en détail, c’est la solution miracle.

Le seul bémol que je vois, c’est qu’il faut quand même une clé API pour faire tourner l’IA. Mais bon, avec les tarifs actuels de Google Gemini, ça reste largement abordable pour un usage personnel. Et puis si vous êtes développeur, rien ne vous empêche de forker le projet et d’y intégrer votre propre modèle d’IA local comme je l’ai fait pour LocalSite .

Un fichier JSON qui met en danger des milliers de développeurs. Voilà en gros le pitch du jour, et franchement, il y a de quoi s’inquiéter un peu.

Vous connaissez Cursor ? C’est ce nouvel éditeur de code qui fait le buzz avec son IA intégrée, GPT-5 et Claude sous le capot. Et bien selon Oasis Security , cet outil de plus en plus populaire dans la communauté des développeurs, a une faille d’importance. En effet, l’équipe de développement a décidé de désactiver par défaut une fonction de sécurité cruciale de Visual Studio Code qui est le Workspace Trust.

Pourquoi ? Bah parce que ça gênait le fonctionnement de leur précieuse IA !

Alors qu’est-ce que ça change ce Workspace Trust ? Eh bien, imaginez que vous ouvrez tranquillement un projet GitHub pour jeter un œil au code. Pas pour l’exécuter, juste pour regarder. Avec VS Code de base, aucun souci, le Workspace Trust vous protège mais avec Cursor, c’est open bar pour les hackers.

Car il suffit qu’un petit malin glisse un fichier .vscode/tasks.json dans son repository avec la bonne configuration, et boom. Dès que vous ouvrez le dossier, le code s’exécute automatiquement sur votre machine avec "runOn": "folderOpen". Sans votre accord bien sûr. Sans même que vous vous en rendiez compte.

Les chercheurs d’Oasis Security ont créé une démo pour prouver le danger . Leur fichier tasks.json envoie discrètement le nom d’utilisateur de la victime vers un serveur externe. Sympa comme proof of concept, mais imaginez les dégâts avec du vrai code malveillant.

Avec ce genre de manip, un attaquant pourrait faire du vol de tokens d’authentification, de clés API planquées dans vos variables d’environnement, une modification silencieuse de vos fichiers de code, un connexion à un serveur de commande et contrôle… etc. Bref, le kit complet du cybercriminel moderne et vu que beaucoup de développeurs bossent sur des projets sensibles, ça peut vite devenir une porte d’entrée pour des attaques sur la chaîne d’approvisionnement logicielle.

Le truc énervant, c’est quand Oasis Security a alerté l’équipe de Cursor… leur réponse a été… comment dire… rafraîchissante car selon les chercheurs, l’équipe de Cursor a reconnu le problème mais a refusé de réactiver le Workspace Trust par défaut. Plus diplomatiquement, ils ont expliqué que cette fonction de sécurité casserait les fonctionnalités IA pour lesquelles les gens utilisent leur produit.

Leur conseil pour ceux qui s’inquiètent c’est donc d’ activer manuellement le Workspace Trust dans les paramètres ou d’utiliser un autre éditeur pour ouvrir les projets douteux. Autrement dit, démerdez-vous.

Pour activer cette protection vous-même, il faut donc aller dans les settings et modifier security.workspace.trust.enabled en le passant à true. Vous pouvez aussi complètement désactiver l’exécution automatique des tâches avec task.allowAutomaticTasks: "off".

Plusieurs experts en sécurité recommandent maintenant d’ouvrir les repositories inconnus uniquement dans des environnements isolés, genre machine virtuelle ou conteneur jetable. Pas très pratique pour du code review rapide.

En tout cas, je me souviens que ce n’est pas la première fois que Cursor fait parler de lui niveau sécurité. Récemment, deux autres vulnérabilités ont été découvertes : MCPoison (CVE-2025-54136) et CurXecute (CVE-2025-54135). Bref, visiblement, la sécurité n’est pas leur priorité numéro un.

Et pour détecter si vous êtes victime de cette faille, cherchez les fichiers .vscode/tasks.json contenant "runOn": "folderOpen" dans vos projets. Surveillez aussi les shells lancés par votre IDE et les connexions réseau inhabituelles juste après l’ouverture d’un projet.

A vous de décider maintenant… jusqu’où êtes-vous prêt à sacrifier votre sécurité pour un peu plus de confort ? Parce que là, on parle quand même d’exécution de code arbitraire sans consentement…

Vous êtes un warrior ! Normal, vous utilisez Linux depuis des années. Et vous aimez beaucoup toutes vos petites commandes du quotidien, ls, cat, base64… Vous le savez, tout ça fonctionne avec du bon vieux code C aussi vénérable que solide. Du code robuste, certes, mais qui pourrait bien se faire dépasser par plus moderne. Hé oui, parce qu’une bande de développeurs a décidé de refaire tout uutils Coreutils en Rust, et en prime, leurs nouvelles versions sont largement plus rapides que les originales.

Les benchmarks parlent d’eux-mêmes : l’utilitaire base64 mouline maintenant en 3,146 secondes là où GNU Coreutils prend 4,901 secondes. La version Rust est donc clairement plus rapide, mais le plus fou, c’est que la version précédente de Rust Coreutils mettait encore 5,998 secondes. En gros, ils ont pratiquement doublé la vitesse entre leurs deux versions mineures.

Alors comment ils ont fait ça ? Et bien en intégrant la bibliothèque base64-simd qui exploite les instructions SIMD des processeurs modernes. Pour faire simple, au lieu de traiter les données octet par octet comme un escargot asthmatique, le nouveau code traite plusieurs octets en parallèle, comme un guépard qui serait abonné à la chaine de Tibo Inshape. SSE4.1, AVX2, AVX-512 pour les processeurs Intel et AMD, et ARM NEON pour les puces ARM comme les Apple Silicon… ce sont toutes ces architectures qui profitent de l’accélération.

D’ailleurs, ce n’est pas qu’une histoire de performance brute. Ubuntu prévoit d’intégrer ces outils Rust dans sa version 25.10. Et Canonical ne fait pas ça pour suivre la mode du Rust… Non, ils voient un vrai intérêt qui est la sécurité mémoire garantie par Rust. Cela élimine toute une catégorie de bugs qui hantent le code C depuis des décennies, à savoir les buffer overflows, les use-after-free…etc, tout ce folklore de développeur devient impossible avec Rust.

Et Sylvestre Ledru , le développeur principal du projet uutils, n’a pas juste optimisé base64. Par exemple, la commande tr qui était 9,8 fois plus lente que GNU dans les anciennes versions est maintenant 1,58 fois plus rapide par rapport à sa propre version précédente !

Bon après, je vais faire plaisir aux grincheux qui n’aiment pas le changment, oui, tout n’est pas rose non plus. Sur les 600 tests de la suite GNU, Rust Coreutils n’en passe que 500 environ. Il reste donc un peu de boulot pour avoir une compatibilité parfaite. Mais avec l’attention que le projet reçoit en ce moment et le soutien d’Ubuntu, ça devrait s’améliorer rapidement.

Ça fait plaisir de voir ce bon vieux code C qui fait tourner nos systèmes depuis des millénaires est en train d’être challengé par du Rust. Et non pas parce que c’est à la mode, mais parce que dans certains cas, c’est objectivement meilleur : plus rapide, plus sûr, plus maintenable.

Pour les dev parmi vous qui veulent tester, la nouvelle release 0.2.2 est disponible sur GitHub . Et pour ceux qui se demandent si c’est vraiment utile d’optimiser des commandes qui s’exécutent en quelques secondes, rappelez-vous que ces outils sont appelés des milliers de fois par jour dans des scripts, des pipelines CI/CD, des conteneurs Docker… Chaque milliseconde gagnée, c’est donc un gros paquet d’énergie économisée et du temps machine libéré !

Alors, prêts à voir vos vieilles commandes Linux carburer au Rust ?

Source

Vous savez où se cache votre dossier %APPDATA% ? Parce qu’il semblerait que les équipes de Bitdefender aient mis au jour une petite pépite chinoise baptisée EggStreme (jeu de mots !!!) qui s’y terre et qui n’a rien de très comestible !

Tout commence aux Philippines, où une entreprise militaire se retrouve dans la ligne de mire de ce malware, ce qui vu l’ambiance tendue qui règne actuellement en mer de Chine méridionale, n’est probablement pas un pur hasard. Les chercheurs ont en effet mis la main sur un framework d’espionnage si élaboré qu’il ne laisse quasiment aucune trace sur le disque dur car tout se déroule dans la RAM.

Ce qui donne des sueurs froides avec EggStreme, c’est sa technique d’infiltration, connue sous le nom de DLL sideloading. En clair, les assaillants glissent un fichier Windows légitime (WinMail.exe) dans le dossier %APPDATA%\Microsoft\Windows\Windows Mail\ avec une DLL malveillante (mscorsvc.dll). Windows, le pauvre miskine, charge alors le tout sans broncher, persuadé qu’il a affaire à du bon vieux code Microsoft. Bien installé, le malware reste ensuite chargé uniquement en mémoire grâce à des techniques de chargement réflectif, ce qui évite toute écriture sur le disque.

Et une fois lancé, c’est la débandade. Le premier composant, EggStremeFuel, prépare le terrain en collectant des infos sur votre système et ouvre une backdoor via cmd.exe. Puis débarque EggStremeLoader qui va dénicher des payloads chiffrés planqués dans un fichier ielowutil.exe.mui. Ces payloads sont ensuite injectés directement dans des processus système légitimes comme winlogon.exe ou explorer.exe.

Mais le clou du spectacle, c’est EggStremeAgent, le cœur du dispositif. Ce backdoor dispose de 58 commandes différentes qui permettent aux attaquants de faire absolument tout ce qu’ils veulent : reconnaissance réseau, vol de données, captures d’écran, exécution de code arbitraire, et même injection dans le processus LSASS (celui qui gère vos mots de passe Windows).

Et ce n’est pas tout car les développeurs ont ajouté EggStremeKeylogger, un keylogger qui s’injecte dans explorer.exe et enregistre tout à savoir vos frappes clavier, le contenu du presse-papier, les fenêtres actives, même les fichiers que vous copiez-collez. Tout est alors stocké dans un fichier thumbcache.dat chiffré en RC4, histoire de passer inaperçu.

Pour communiquer avec le serveur de commande et contrôle, les pirates utilisent également gRPC avec mTLS. Ils ont même leur propre autorité de certification pour générer des certificats uniques pour chaque machine compromise. Et la configuration de ce beau bébé est stockée dans un fichier Vault.dat chiffré, et chaque victime reçoit un identifiant unique.

Ce qui étonne vraiment les chercheurs, c’est la cohérence de l’ensemble car tous les composants utilisent les mêmes techniques : DLL sideloading, chiffrement RC4/XOR, exécution exclusivement en mémoire. Ça sent la team de développeurs bien rodée avec des process industriels, et pas des amateurs qui bricolent dans leur garage.

Et comme si cela ne suffisait pas, ils ont même prévu un plan B avec EggStremeWizard, un backdoor de secours allégé qui maintient l’accès même si le module principal se fait dégager. Et pour se balader tranquillement dans les réseaux segmentés, ils utilisent également Stowaway , un outil proxy écrit en Go qui permet de contourner les restrictions réseau.

Malheureusement, pour contrer de ce genre de saloperies, les antivirus classiques sont complètement largués. Il faut du monitoring comportemental avancé, des solutions EDR/XDR capables de surveiller la mémoire des processus, et surtout bloquer l’usage non autorisé des utilitaires système Windows (les fameux LOLBins). Seules ces solutions plus avancées peuvent détecter les comportements anormaux en mémoire et les techniques d’injection de processus que ce malware utilise.

Bitdefender a publié tous les indicateurs de compromission sur leur repo GitHub et si vous bossez dans une organisation sensible en Asie-Pacifique, je vous conseille vivement d’y jeter un œil et de vérifier vos systèmes.

Je pense qu’on a encore affaire ici à une jolie affaire d’espionnage étatique. Faut dire que ces groupes APT chinois développent des outils d’une sophistication toujours aussi hallucinante, et comme d’hab leurs cibles privilégiées sont des organisations militaires et gouvernementales des pays voisins du leur.

Bref, la prochaine fois que Windows vous demande une autorisation pour un truc bizarre, réfléchissez-y à deux fois parce qu’entre un simple WinMail.exe des familles et une infrastructure d’espionnage complète, la frontière est devenue sacrément mince.

Source

Vous savez comme moi que parfois les failles de sécurité les plus dangereuses sont aussi les plus simples. Imaginez-vous un instant, déjouer complètement Windows Defender, le garde du corps intégré de Microsoft, avec juste… un lien symbolique.

Oui, un simple raccourci Windows créé avec la commande mklink , et paf, c’est la protection antivirus qui part en fumée. Et bien c’est exactement ce qu’a déniché un chercheur en sécurité russe connu sous le pseudo de Two Seven One Three .

L’astuce ici, c’est que l’attaque joue avec la manière dont Windows Defender gère ses propres mises à jour. Je vous explique… Vous voyez ce dossier C:\ProgramData\Microsoft\Windows Defender\Platform où l’antivirus range ses exécutables ? Eh bien, chaque mise à jour génère un nouveau sous-dossier avec un numéro de version, genre 4.18.24090.11-0. Et au démarrage, Defender se lance à la recherche de la version la plus fraîche pour s’exécuter.

C’est là que ça devient croustillant car le chercheur a découvert qu’avec des droits administrateur, n’importe qui peut créer un nouveau dossier dans Platform. Microsoft a bien sûr pensé à empêcher l’écriture de fichiers malveillants dans ce répertoire critique, mais la création de nouveaux dossiers reste possible. C’est cette faille apparemment mineure qui devient alors une porte d’entrée majeure.

Voici comment l’attaque se déroule : vous créez un lien symbolique avec un nom de version qui semble plus récent, disons 5.18.25070.5-0. Ce lien dirige vers un dossier que vous contrôlez de A à Z, par exemple C:\TMP\AV.

La commande est un jeu d’enfant :

mklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25070.5-0" "C:\TMP\AV"

Avez-vous déjà passé des heures sur After Effects pour créer une simple animation de 30 secondes qui explique un concept. Entre nous, c’est un cauchemar. Jongler avec les keyframes, les courbes de bézier et 150 calques qui se battent en duel pour savoir lequel doit apparaître en premier, c’est bien relou et on finit par perdre plus de temps à se battre avec le logiciel qu’à créer du contenu.

Vous voyez de quoi je parle, non ?

Mais voilà, j’ai testé un truc qui s’appelle StoryMotion et qui permet de créer des animations façon tableau blanc aussi facilement que vous faites des slides PowerPoint. Pas de compétences professionnelles requises, pas de formation de 3 mois sur YouTube. Juste vous, vos idées, et un outil qui sait que votre temps est précieux.

L’idée de StoryMotion est venue à son créateur, Chun Rapeepat, après avoir utilisé Excalidraw et Keynote pendant des années pour créer des visuels pour ses articles de blogs techniques. Quand il a voulu passer à la vidéo, il s’est retrouvé à passer des heures interminables sur des logiciels complexes pour obtenir un résultat qu’il aurait pu dessiner à la main en 5 minutes.

Pour ceux qui ne connaissent pas, Excalidraw c’est un outil de dessin collaboratif open source qui a conquis le cœur des développeurs et créateurs tech, et qui permet de dessiner vos schémas, diagrammes ou illustrations directement sur un espèce de tableau blanc.

En septembre de l’année dernière, une mission d’apparence impossible s’est achevée avec succès ! Tous les 54 jeux iPod classic / nano équipés de la molette cliquable (Click Wheel) ont été sauvés de l’extinction numérique par une équipe de développeurs passionnés . Le dernier rescapé, Real Soccer 2009, a même rejoint récemment cette arche de Noé numérique après des mois d’efforts acharnés.

L’histoire commence en réalité il y a près de deux décennies. En 2006, Apple lance les premiers jeux pour iPod via l’iTunes Store. 9 titres débarquent d’abord : Bejeweled, Cubis 2, Mahjong, Mini Golf, Pac-Man, Tetris, Texas Hold ‘Em, Vortex et Zuma.

Mais voilà le drame. Apple stoppe la vente de l’iPod équipé de cette molette en 2011, supprimant les jeux de l’iTunes Store. Les propriétaires ne peuvent plus re-télécharger leurs achats et pire encore, le système DRM Fairplay d’Apple lie chaque jeu à la fois au compte iTunes ET à l’ordinateur qui l’a téléchargé. Un double verrouillage insurmontable et à 4,99 $ pièce, ça représente quand même 270 $ pour la collection complète des jeux. Les boules.

Mais c’est là qu’intervient Olsro, développeur français à qui la communauté des fans d’iPod doit cette prouesse. Avec l’aide de Quix, un autre passionné, ils découvrent une faille dans le système de protection d’Apple. Ainsi en créant une machine virtuelle QEMU, ils parviennent à autoriser et synchroniser les jeux sur n’importe quel iPod compatible.

La VM stocke alors les clés de déchiffrement et peut fonctionner entièrement hors ligne et cela garantit que les jeux resteront accessibles “pour l’éternité”, même si Apple décide de fermer définitivement ses serveurs d’authentification.

La quête du dernier jeu, Real Soccer 2009, a même tourné au cauchemar technique. Disques durs défaillants, corruption de données, échecs répétés mais la persévérance a payé et le saint Graal a finalement rejoint la collection.

Ce projet de préservation des jeux **iPod **fonctionne avec les iPod Nano 3G à 5G et les iPod Classic 5G à 7G, ce qui couvre l’essentiel du parc iPod capable de faire tourner ces jeux.

AlterEgo, c’est la réponse du MIT au fantasme de la télépathie et contrairement à Neuralink qui nécessite une chirurgie pour implanter des électrodes dans le cerveau, cette petite merveille se porte simplement autour des oreilles comme une prothèse auditive.

Le principe est assez malin. Au lieu de lire directement dans vos pensées (ce qui reste de la science-fiction pour le moment…), AlterEgo détecte les micro-mouvements de votre bouche, de votre visage et de vos cordes vocales quand vous “parlez” silencieusement. La conduction osseuse fait le reste, transformant ces signaux en mots compréhensibles par un ordinateur.

Arnav Kapur, le scientifique qui dirige le projet, parle d’une “percée révolutionnaire” qui donnerait “le pouvoir de la télépathie, mais uniquement pour les pensées que vous voulez partager”. Ouf, on est sauvé ! Cette précision est importante car contrairement aux interfaces cerveau-machine plus agressives, là vous gardez le contrôle total sur ce que vous communiquez.

Cette idée a germé en 2018 comme projet de recherche au MIT, mais cette année l’équipe a franchi le cap en créant une start-up. Leur dispositif affiche une précision de 90%, ce qui reste impressionnant pour une technologie non-invasive. Bien sûr, chaque utilisateur doit encore calibrer l’appareil et s’entraîner, mais c’est un détail technique… En tout cas, ce qui rend AlterEgo particulièrement intéressant, c’est son potentiel pour les personnes atteintes de troubles de la parole comme la sclérose en plaques. Imaginez pouvoir communiquer naturellement malgré les limitations physiques… Ça changerait la vie de pas mal de monde, non ?

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/alterego-telepathie-mit/alterego-telepathie-mit-1.mp4">lien vers la vidéo</a>.

Vous en avez marre de jongler entre différents clients VPN selon vos appareils ?

Alors ça tombe bien puisque je viens de tomber sur TailGuard , un projet open source qui est une application Docker, mise au point par un certain Juho Vähä-Herttua qui sert de passerelle entre WireGuard et Tailscale .

Si vous n’avez jamais entendu parler de ces deux technologies, laissez-moi vous faire un petit récap rapide… WireGuard, c’est LE protocole VPN moderne ultra-rapide dans le vent, et Tailscale, c’est LA solution mesh VPN qui fait un carton en ce moment.

Et le truc chouette avec TailGuard, c’est qu’il résout ce casse-tête des appareils qui ne peuvent pas faire tourner Tailscale nativement. Vous savez, ces vieux routeurs, ces IoT un peu bizarres ou ces environnements restreints où installer un client VPN moderne c’est plus compliqué que d’avoir un Premier Ministre décent. Mais avec TailGuard, vous créez ainsi un pont entre votre infrastructure WireGuard existante et le réseau mesh de Tailscale. Pas besoin de tout refaire de zéro, c’est plutôt bien pensé.

Alors, comment ça marche ?

Et bien en gros, vous avez un serveur WireGuard qui tourne quelque part, avec ses configurations et ses clés et TailGuard, lui, vient se greffer dessus via Docker et expose automatiquement vos sous-réseaux WireGuard sur Tailscale. Du coup, tous vos appareils Tailscale peuvent accéder à vos ressources WireGuard, et inversement. C’est du routage bidirectionnel automatique, avec support IPv4 et IPv6.

Pour l’installation, c’est un jeu d’enfant. Vous téléchargez votre config WireGuard client, vous la sauvegardez en wg0.conf, vous créez un réseau IPv6 Docker et vous lancez le container avec les bons volumes.

docker network create --ipv6 ip6net
docker run -it \
 -v ./wg0.conf:/etc/wireguard/wg0.conf -v ./state:/tailguard/state \
 --cap-add NET_ADMIN --device /dev/net/tun \
 --sysctl net.ipv4.ip_forward=1 --sysctl net.ipv6.conf.all.forwarding=1 \
 --sysctl net.ipv4.conf.all.src_valid_mark=1 \
 --network ip6net -p 41641:41641/udp \
 --name tailguard juhovh/tailguard:latest

Depuis que j’ai découvert OSGameClones, je kiffe chercher et retrouver certains de mes jeux d’enfance en version open source et bien sûr gratuite !

Car oui, le projet OSGameClones c’est un peu la caverne d’Ali Baba pour tous ceux qui ont grandi avec une manette dans les mains (ou un clavier pour ma part). Le site répertorie méticuleusement tous les remakes, clones et réimplémentations open source de jeux commerciaux, et le meilleur c’est que la plupart sont jouables sur des machines modernes, y compris Linux et même votre Steam Deck.

Vous y retrouvez donc des pépites comme OpenRCT2 pour RollerCoaster Tycoon 2, qui non seulement fait tourner le jeu original mais ajoute le support des hautes résolutions et du multijoueur. Ou encore OpenMW qui réimplémente complètement le moteur de Morrowind avec des graphismes améliorés. Sans oublier CorsixTH pour Theme Hospital, qui fonctionne maintenant sur n’importe quel OS moderne.

Le projet est hébergé sur GitHub , et est activement maintenu. Tout est organisé dans des fichiers YAML structurés qui catégorisent les jeux par langages de programmation (50+ langages différents !), genres (30+ catégories), et même par thèmes comme fantasy ou sci-fi.

Ce qui est vraiment cool je trouve, c’est surtout la distinction que fait le site entre les différents types de projets. Un “remake” c’est quand l’exécutable et parfois les assets sont recréés en open source. Un “clone” c’est un jeu très similaire ou inspiré par l’original. Et parfois on trouve même des “projets officiels” où les créateurs originaux ont libéré le code source eux-mêmes.

D’ailleurs, pour les fans de jeux de stratégie, vous avez OpenXcom qui réimplémente UFO: Enemy Unknown et X-COM: Terror From the Deep. Pour les amateurs d’action, DevilutionX fait revivre Diablo sur pratiquement n’importe quelle plateforme. Et si vous êtes plutôt RPG, Daggerfall Unity a recréé tout Daggerfall dans le moteur Unity avec des mods et des améliorations graphiques de malade.

Tous ces projets sont utiles pour les joueurs ayant des machines peu puissantes ou pour ceux qui veulent faire tourner leurs classiques préférés sous Linux. C’est aussi top pour la préservation du patrimoine JV, vu que beaucoup de ces vieux jeux ne fonctionnent de toute façon plus sur les systèmes modernes.

Un autre aspect sympa, c’est que comme tout est open source, n’importe qui peut contribuer à améliorer ces jeux. Vous pouvez donc corriger des bugs qui existaient dans l’original, ajouter de nouvelles fonctionnalités, ou même porter le jeu sur de nouvelles plateformes.

Et pour ceux qui veulent explorer d’autres ressources similaires, il existe aussi Awesome Game Remakes sur GitHub, qui est une liste maintenue activement de remakes open source ainsi que cette page de SensCritique qui recense des remakes open source vraiment chouettes, même si la plupart nécessitent les données du jeu original pour fonctionner.

Puis quand on voit des projets comme Julius pour Caesar III, fheroes2 pour Heroes of Might and Magic II, ou OpenTTD pour Transport Tycoon Deluxe, je le dit que la communauté open source fait un boulot incroyable pour préserver et améliorer ces classiques. Ces développeurs permettent à toute une génération de redécouvrir ces jeux mythiques sans avoir à galérer avec DOSBox ou des émulateurs.

Le plus impressionnant reste peut-être re3 et ses dérivés qui ont reverse-engineered GTA III et Vice City, même si Rockstar n’a pas vraiment apprécié l’initiative et l’a fait disparaitre. Ou OpenJK qui maintient et améliore Jedi Academy et Jedi Outcast pour la communauté Star Wars.

Voilà et si vous cherchez par où commencer, le site propose des tags “complete” et “playable” pour identifier rapidement les projets les plus aboutis. Vous pouvez aussi filtrer par langage de programmation si vous voulez contribuer à un projet dans votre langage de prédilection.

Bref, OSGameClones c’est la ressource ultime pour tous les nostalgiques du gaming qui veulent revivre leurs souvenirs d’enfance tout en profitant des bénéfices du monde de l’open source !

Ce serait quand même bien quand on réinstalle Linux from scratch pour la énième fois, qu’il y ait un moyen rapide de résinstaller tous nos outils préférés sans avoir à se retaper toutes les commandes d’installation une par une.

Et bien, si vous avez le même rêve que moi, vous allez adore Nixite , un petit outil qui va faire plaisir aux linuxiens.

Le principe est simple. Vous cochez les logiciels que vous voulez installer sur une interface web , et Nixite vous génère un script bash prêt à l’emploi. Ce script gère automatiquement l’installation de tous vos programmes, que vous soyez sur Ubuntu ou Arch Linux.

Ce qui est vraiment cool, c’est que Nixite ne se contente pas d’enchaîner bêtement des commandes apt ou pacman. L’outil choisit intelligemment la meilleure méthode d’installation pour chaque logiciel. Si un programme est mieux maintenu sur Flatpak, il utilisera Flatpak. Si c’est un snap qui est plus à jour, il partira sur snap. Et pour les cas particuliers, il peut même exécuter des commandes bash personnalisées.

L’interface web propose déjà une belle collection de logiciels organisés par catégories : navigateurs web, outils de communication, développement, gaming, productivité… Vous avez Discord, Zoom, VS Code, Steam, GIMP, VLC et des dizaines d’autres. En gros, tout ce dont vous avez besoin pour transformer une installation Linux toute fraîche en un système fonctionnel pour votre boulot.

Chaque logiciel est défini dans un simple fichier TOML dans le dépôt GitHub et vous pouvez spécifier des instructions communes pour toutes les distributions ou des commandes spécifiques pour Ubuntu et Arch. Par exemple :

install_system = "firefox" # Utilisera apt sur Ubuntu, pacman sur Arch

[ubuntu]
install_system = "firefox-esr" # Version spécifique pour Ubuntu

[arch]
install_system = "firefox-developer-edition" # Version pour Arch

20 ans plus tard, les vieilles consoles continuent de nous surprendre… La preuve avec ce hack complètement barré qui transforme une GameCube de 2001 en client pour nos IA modernes.

Josh Fonseca a en effet réussi l’exploit de connecter ChatGPT à Animal Crossing via l’émulateur Dolphin. Pas de mod de la cartouche, pas de modification du code original, mais juste du bon vieux Python qui lit et écrit dans la RAM émulée pendant que le jeu tourne.

Hé oui, le mec n’a même pas touché une seule ligne du code original du jeu. Il a “simplement” identifié les adresses mémoire où le jeu stocke les dialogues (0x81298360 pour les curieux) et remplacé le texte à la volée. L’émulateur Dolphin pense faire tourner les dialogues d’origine, mais en fait il affiche du contenu généré par une IA qui tourne sur un serveur cloud.

Techniquement, c’est malin comme approche puisque la GameCube n’a que 24 MB de RAM et un processeur PowerPC à 485 MHz. Il lui est donc impossible de faire tourner un LLM dessus. Du coup il a créé une sorte de pont mémoire entre l’émulateur et le LLM. Son script Python surveille cette adresse en mémoire via le processus Dolphin, récupère le contexte du dialogue, l’envoie à l’IA, et réinjecte la réponse dans la mémoire émulée.

Ce qui complique vraiment les choses, c’est qu’Animal Crossing n’utilise pas du texte brut pour ses dialogues. Le jeu a son propre langage de contrôle avec des codes pour les pauses, les émotions, les effets sonores. Un peu comme du HTML mais version Nintendo 2001, ce qui fait qu’il a fallu créer deux IA : une première qui génère le dialogue créatif (le “Writer AI”) et une autre qui ajoute tous les codes techniques (le “Director AI”).

Voici un extrait :

# A small sample of the control codes I had to encode/decode
CONTROL_CODES = {
 0x00: "<End Conversation>",
 0x03: "<Pause [{:02X}]>", # e.g., <Pause [0A]> for a short pause
 0x05: "<Color Line [{:06X}]>", # e.g., <Color Line [FF0000]> for red
 0x09: "<NPC Expression [Cat:{:02X}] [{}]>", # Trigger an emotion
 0x59: "<Play Sound Effect [{}]>", # e.g., <Play Sound Effect [Happy]>
 0x1A: "<Player Name>",
 0x1C: "<Catchphrase>",
}

# The magic byte that signals a command is coming
PREFIX_BYTE = 0x7F

Je trouve ça cool comme projet car les joueurs rêvent depuis longtemps de dialogues plus variés dans Animal Crossing. En effet, si comme moi, vous n’êtes pas pro-gamer sur Animal Crossing, vous ignorez surement que Nintendo limite les villageois à 8 types de personnalité, ce qui rend les conversations hyper répétitives après quelques heures de jeu.

Avec ce hack, les villageois peuvent donc maintenant discuter de l’actualité mondiale, critiquer Tom Nook sur ses pratiques immobilières douteuses, ou même avoir des conversations philosophiques sur le sens de la vie dans votre village virtuel. Le mod est sur Github pour ceux qui veulent tester sur émulateur.

Notez que la communauté de décompilation d’Animal Crossing a joué un rôle crucial dans ce projet car sans leur travail pour convertir le code PowerPC en C lisible, identifier ces adresses mémoire spécifiques aurait été un cauchemar. C’est grâce donc à eux que le développeur a pu comprendre comment le jeu gère ses dialogues en interne.

Bref, je trouve ça assez marrant qu’une console vielle de +20 ans capable de fonctionner totalement offline (car à l’époque Nintendo était allergique à Internet), soit finalement indirectement “connectée” (via l’émulateur) pour utiliser ce qui se fait de plus hype en ce moment, à savoir l’IA (les LLMs plus exactement).

Comme je vous le disais, pour l’instant, ce hack fonctionne sur la version GameCube originale du jeu via l’émulateur Dolphin. L’auteur mentionne qu’une adaptation sur du vrai matériel serait possible avec le Broadband Adapter officiel, mais nécessiterait beaucoup plus de travail. Les versions ultérieures sorties sur DS, Wii ou Switch utiliseraient une architecture mémoire différente, mais techniquement, rien n’empêche d’adopter une approche similaire.

Comme quoi, avec un peu d’ingéniosité, on peut moderniser n’importe quel jeu rétro !

Hier, vous vous êtes peut-être retrouvé avec un mail de Plex commençant par “Nous avons détecté une activité inhabituelle sur votre compte”. Pas de panique, vous n’êtes pas seul car en effet, ce lundi 8 septembre, les 17 millions d’utilisateurs actifs de Plex ont eu le même réveil douloureux.

Plex, si vous ne connaissez pas encore, c’est un super outil qui permet de gérer votre bibliothèque média personnelle et d’accéder à du contenu gratuit. Malheureusement, il y a quelques jours, leurs serveurs ont été à nouveau compromis (la précédente c’était en 2022) et le pirate a réussi à se faufiler et à accéder à une base de données contenant des informations d’authentification.

Dans cette nouvelle attaque, les données exposées incluent donc les adresses email, les noms d’utilisateur et les mots de passe hashés. Plex se veut rassurant et précise que les mots de passe étaient “sécurisés par hachage, conformément aux meilleures pratiques” ce qui est plutôt cool sur le papier, mais qui n’empêche pas que vos données perso soient maintenant entre de mauvaises mains.

Heureusement, nos informations de paiement n’ont pas été compromises car Plex ne stocke pas les données de cartes bancaires sur ses serveurs, ce qui limite les dégâts financiers directs pour les utilisateurs mais du coup, face à cette situation, Plex impose une réinitialisation obligatoire des mots de passe pour tous ses utilisateurs.

Vous devez donc vous rendre sur https://plex.tv/reset pour créer un nouveau mot de passe. L’entreprise recommande vivement d’activer l’option “Déconnecter les appareils connectés après le changement de mot de passe” ce qui signifie que vous devrez ensuite vous reconnecter sur tous vos appareils, y compris votre Plex Media Server. C’est super relou mais c’est un petit prix à payer pour la sécurité.

Et pour ceux qui utilisent la connexion unique (SSO), Plex conseille de se déconnecter de toutes les sessions actives via https://plex.tv/security , puis si vous ne l’avez pas encore fait, c’est vraiment le moment d’activer l’authentification double facteurs.

En tout cas, pour l’instant, on a eu aucuns détails techniques sur la méthode utilisée par le pirate pour récupérer toutes ces données. Plex affirme avoir “corrigé la méthode d’intrusion” mais refuse de partager plus d’informations, du coup, on ne connait pas vraiment l’ampleur du problème et si d’autres services similaires sont vulnérables.

Notez que Plex ne vous demandera jamais votre mot de passe ou vos informations de paiement par email donc si vous recevez ce genre de demande, c’est du phishing. Et si vous utilisez le même mot de passe Plex sur d’autres services (ce qu’il ne faut jamais faire, morbleu !), changez-le partout immédiatement !

Voilà, après cette seconde fuite en trois ans je commence à me poser des questions sur la façon dont ils gèrent leur sécurité. Faut pas oublier qu’il y a plein de gens qui utilisent Plex pour y mettre également leurs vidéos perso, donc je vous laisse imaginer le drame si demain, des cybercriminels pouvaient accéder aux bibliothèques médias des utilisateurs.

Bon courage à tous !

Source

Saviez-vous qu’il y a plus de 3,7 millions de fausses étoiles qui polluent GitHub , et que 16% des repos étaient déjà touchés fin 2024. C’est pour cela que DataDog a sorti GHBuster , un outil qui détecte justement les comptes et repos GitHub suspects grâce à des algos heuristiques bien senties.

Le principe c’est qu’au lieu de chercher bêtement des patterns, GHBuster analyse plusieurs comportements louches en même temps. Genre, il repère quand un repo a plein d’étoiles venant de comptes créés le même jour et check aussi d’autres trucs sympas comme les commits avec des emails non liés au profil GitHub (pratique pour repérer les acteurs malveillants qui utilisent plusieurs comptes bidons). Il trouve aussi les utilisateurs qui n’ont que des forks de repos supprimés, ou ceux dont tous les commits viennent d’emails non vérifiés.

L’installation est super simple pour ceux qui veulent tester :

uv pip install "git+https://github.com/DataDog/ghbuster.git"
export GITHUB_TOKEN=votre_token_github
ghbuster

Je viens de tomber sur une pépite qui va faire chavirer le cœur des nostalgiques du Commodore 64 !

Le site Games That Weren’t a déniché un prototype jouable d’Indiana Jones and the Last Crusade ! Mais attention, ce n’est pas un prototype officiel de l’époque. Il s’agit d’une conversion fan-made de la version aventure point-and-click propulsée par le moteur SCUMM que les adeptes du C64 n’ont jamais eu la chance d’essayer à l’époque.

Mais avant de vous en dire plus, je vous emmène avec moi en 1989. Lucasfilm Games sort 2 jeux Indiana Jones. D’un côté, il y a le jeu d’action / plateforme qui a bel et bien débarqué sur C64. Et de l’autre, le jeu d’aventure graphique qui tourne grâce au fameux moteur SCUMM (oui, celui de Monkey Island, pour les connaisseurs). Mais voilà, coup dur pour les fans du C64 c’est que cette version aventure ne s’est jamais frayé un chemin jusqu’à leur machine chérie. Elle est malheureusement restée l’exclusivité des ordinateurs 16 bits.

Et en 2012, un certain Thorsten Harth, alias “Brick Bambi”, développeur allemand audacieux de son état, se dit : “Et si je portais ce jeu SCUMM sur Commodore 64 ?” Un défi de taille quand on mesure les limitations techniques de la bécane 8 bits face à ses homologues 16 bits. Le bonhomme s’est acharné pendant plusieurs années sur cette conversion homebrew, jonglant entre graphiques bitmap et caractères pour optimiser la mémoire. Il avait même réservé 4K de RAM juste pour le son (de $A000 à $AFFF pour les experts).

D’ailleurs, côté musique, Joachim Wijnhoven avait été recruté en 2016 pour s’occuper de la bande-son. Thorsten lui avait commandé la “Raiders March” pour l’écran titre et de fin, mais aussi toute une série de thèmes spécifiques : la musique de la carte, de Venise, des catacombes, du château Brunwald, la marche d’Hitler, le piano d’Henry, la salle du Graal… Un travail de titan ! Roland Hermans, une autre recrure devait même s’occuper des effets sonores comme les coups frappés dans la bibliothèque, la cascade ou les étagères qui tombent. Le jeu devait alors alterner entre musique et effets sonores… Hé oui, pas les deux en même temps, question de limitations techniques.

J’sais pas vous, mais moi quand je vois Claude Code ou Cursor pondre du code avec des injections SQL grosses comme des maisons, j’ai envie de pleurer. Le pire, c’est que ces assistants IA sont incapables de vérifier si leur code est bien sécurisé. La plupart du temps ils pissent de la ligne, mais ils ne voient rien en. ce qui concerne d’éventuelles failles.

Du coup la bonne nouvelle, c’est l’arrivée de cet outil génial pour résoudre ce problème : TheAuditor . En gros, c’est une plateforme SAST (Static Application Security Testing) pensée dès le départ pour fonctionner avec les assistants IA.

L’idée c’est qu’au lieu d’avoir une IA qui code dans le vide, TheAuditor lui donne des yeux pour voir ce qu’elle fait vraiment. L’outil analyse le code, trouve les failles de sécurité (il détecte le Top 10 de l’OWASP, les injections, les problèmes d’authentifications…etc), et génère des rapports optimisés pour que l’IA puisse ensuite les comprendre et corriger ses erreurs toute seule.

Et surtout, ça fonctionne avec N’IMPORTE QUEL assistant IA. Pas besoin d’intégration spéciale, pas de SDK, rien. Vous demandez juste à votre IA de lancer aud full (ou vous le lancez vous-même) et elle lit les résultats dans .pf/readthis/. Que vous utilisiez Claude, Cursor, Codex, Windsurf ou Copilot, ça marche pareil.

L’installation est super simple. Vous clonez le repo dans ton dossier d’outils (pas dans votre projet !), vous faites un

pip install -e .

et c’est parti.

Ensuite dans votre projet, vous lancez :

aud setup-claude --target .

puis vous l’initialisez avec :

aud init

et enfin :

aud full

pour avoir votre audit complet.

TheAuditor fait tourner 14 phases d’analyse en parallèle. Ça va de la détection des frameworks (Django, Flask, React…) à l’analyse des dépendances, en passant par le suivi du flux de données pour identifier les points d’injection. Il génère même des graphiques de dépendances avec Graphviz pour visualiser l’architecture de ton code.

Un truc “marrant” que le créateur mentionne dans son projet, c’est que son outil déclenche les antivirus ! Donc c’est pas la peine de m’écrire pour me dire que votre antivirus random à la période d’essai expirée a détecté un grave danger et que vous êtes vachement déçu parce que Korben.info c’est devenu de la merde, et que vous allez portez plainte parce qu’à cause de moi, y’a un virus dans votre imprimante maintenant et ce genre de conneries ^^. C’est normal en fait parce que l’outil doit détailler les vulnérabilités qu’il trouve dans la documentation. Et pour l’antivirus, écrire des patterns de vulnérabilités détectées, c’est suspect. Mais bon, c’est le prix à payer pour avoir un vrai scanner de sécurité.

Le workflow maintenant avec ce truc, ça consiste donc à demander une fonctionnalité à votre assistant IA. Lui, en bonne victime, il la code, puis lance TheAuditor automatiquement, lit ensuite le rapport, corrige les problèmes de sécurité, relance TheAuditor pour vérifier que tout est OK, et ainsi de suite jusqu’à ce que ce soit clean. Comme ça plus besoin de toucher au terminal, l’IA gère tout.

Pour les refactorings, c’est également du bonheur puisque l’outil détecte automatiquement les migrations incomplètes, les incompatibilités d’API entre frontend et backend, les changements de modèles de données mal propagés. Vous pouvez même définir vos propres règles de corrélation dans /correlations/rules/.

Voilà, si vous en avez marre que vos assistants IA génèrent du code troué et que vous voulez dormir tranquille, TheAuditor pourrait bien devenir votre meilleur pote.