Vous la connaissez cette fatigue de quand vous lancez votre serveur de dev et que ce satané message d’erreur EADDRINUSE vous annonce que le port 3000 est déjà utilisé ? Et bien moi oui, et visiblement je ne suis pas le seul puiqu’un développeur de talent a décidé que c’était la goutte d’eau et a créé Port Kill , une petite app macOS qui vit tranquillement dans votre barre de menu et qui surveille les ports ouverts comme le vigile de Franprix vous surveille.

Comme ça, au lieu de jouer au jeu du chat et de la souris avec lsof, netstat et kill dans votre terminal, Port Kill scanne automatiquement tous les ports entre 2000 et 6000 toutes les 5 secondes et vous dit ce qui est ouvert. Alors pourquoi cette plage ? Hé bien parce que c’est là que la plupart d’entre nous faisons tourner nos serveurs de développement. React sur 3000, Vue sur 8080, votre API custom sur 5000… Vous voyez le tableau.

Ce qui est sympa avec Port Kill, c’est l’interface. L’icône dans la barre de menu change de couleur selon le nombre de processus détectés. Vert quand tout est clean, rouge quand vous avez entre 1 et 9 processus qui traînent, et orange quand ça part en cacahuète avec plus de 10 processus. Un clic sur l’icône et vous avez la liste complète avec la possibilité de tuer chaque processus individuellement ou de faire table rase d’un coup.

Techniquement, c’est du solide puisque c’est écrit en Rust (hé oui parce qu’en 2025, si c’est pas du Rust, c’est has-been), l’app utilise les commandes système lsof pour détecter les processus. Et la stratégie de kill de l’outil est plutôt intelligente puisqu’il fait d’abord un SIGTERM poli pour demander gentiment au processus de se barrer, et si au bout de 500ms ce dernier fait le têtu, PAF, un SIGKILL dans les dents. C’est la méthode douce-ferme, comme quand vous demandez à votre chat de descendre du clavier.

Le contexte, c’est qu’on a tous galéré avec ça. L’erreur EADDRINUSE est un classique du dev web. Vous fermez mal votre serveur avec Ctrl+C, ou pire, vous fermez juste la fenêtre du terminal, et hop, le processus continue de tourner en arrière-plan comme un zombie. Sur macOS, c’est encore plus vicieux depuis Monterey avec AirPlay qui squatte le port 5000 par défaut.

Il existe d’autres solutions, bien sûr. Par exemple, Killport est autre un outil en ligne de commande cross-platform écrit aussi en Rust qui fait un job similaire. kill-my-port est un package npm qui fait la même chose. Mais ces outils nécessitent de passer par le terminal à chaque fois. Port Kill, lui, est toujours là, discret dans votre barre de menu, prêt à dégainer.

L’installation est simple : vous clonez le repo GitHub, un petit cargo build --release si vous avez Rust installé, et vous lancez avec ./run.sh. L’app tourne en tâche de fond, consomme quasi rien en ressources, et met à jour son menu contextuel toutes les 3 secondes. Pas de fenêtre principale, pas de configuration compliquée, juste l’essentiel.

Pour les puristes du terminal, oui, vous pouvez toujours faire lsof -ti:3000 | xargs kill -9. Mais franchement, avoir une interface graphique pour ce genre de tâche répétitive, c’est pas du luxe. Surtout quand vous jonglez entre plusieurs projets et que vous ne vous rappelez plus quel port utilise quoi.

Le seul bémol, c’est que c’est limité à macOS pour l’instant donc les développeurs sur Linux et Windows devront se contenter des alternatives en CLI. Mais bon, vu que le code est open source, rien n’empêche quelqu’un de motivé de faire un portage.

Voilà, donc si comme moi vous en avez marre de cette danse répétitive pour trouver et tuer le processus qui squatte votre port, Port Kill mérite que vous y jetiez un oeil.

Si comme moi, vous jonglez avec une dizaine de serveurs SSH différents et que votre fichier ~/.ssh/config ressemble à un roman de Marcel Proust, je vous ai trouvé un petit outil bien sympa qui pourrait vous faciliter grandement la vie. Ça s’appelle SSH-List et c’est un gestionnaire de connexions SSH codé en Rust et équipé d’une jolie une interface TUI (Text User Interface) plutôt bien pensée.

Ce qui me plaît avec SSH-List, c’est sa philosophie minimaliste car contrairement à certains mastodontes comme Termius , Tabby ou SecureCRT qui essaient de tout faire, lui reste focus sur l’essentiel, à savoir gérer vos connexions SSH, point. Et pour beaucoup d’entre nous qui passons notre vie dans le terminal au détriment de notre famille, c’est exactement ce qu’il nous faut.

L’outil a été développé par Akinoiro et propose toutes les fonctionnalités de base dont vous avez besoin telles que ajouter, éditer, copier et trier vos connexions SSH. Vous pouvez même définir des options SSH personnalisées et exécuter des commandes directement sur vos hôtes distants. Et cerise sur le gâteau, il peut importer automatiquement vos hôtes existants depuis votre fichier ~/.ssh/config.

Pratique pour migrer en douceur.

Un point sécurité qui mérite d’être souligné c’est que SSH-List ne stocke aucun mot de passe. L’outil vous encourage même à utiliser des clés SSH pour l’authentification, ce qui est de toute façon la bonne pratique à adopter en 2025. Toute votre configuration est sauvegardée dans un simple fichier JSON ici ~/.ssh/ssh-list.json, donc vous gardez le contrôle total sur vos données.

Maintenant, pour l’installation, vous avez l’embarras du choix. Si vous êtes sur Arch Linux, un petit paru -S ssh-list via l’AUR et c’est réglé. Sur Ubuntu ou Linux Mint, il y a un PPA dédié :

sudo add-apt-repository ppa:akinoiro/ssh-list
sudo apt update
sudo apt install ssh-list

Pour les puristes ou ceux sur d’autres distributions, vous pouvez l’installer via Cargo (le gestionnaire de paquets Rust) avec un simple cargo install ssh-list, ou compiler directement depuis les sources si vous êtes du genre à aimer avoir la main sur tout.

L’interface TUI est vraiment intuitive. Vous naviguez dans votre liste de connexions avec les flèches, vous appuyez sur Entrée pour vous connecter, et vous avez des raccourcis clavier pour toutes les actions courantes. C’est simple, efficace, et ça reste dans l’esprit terminal qu’on aime tant.

Ce qui différencie SSH-List des autres gestionnaires de connexions SSH disponibles, c’est justement cette approche sans chichi. Pas de fonctionnalités inutiles, pas d’interface graphique lourde, juste ce qu’il faut pour bosser efficacement. C’est un peu l’antithèse de solutions comme MobaXterm ou mRemoteNG qui essaient de gérer tous les protocoles possibles et imaginables.

Si vous cherchez une alternative légère à des outils comme sshs ou sgh (qui font à peu près la même chose mais avec des approches différentes), SSH-List mérite également le détour et le fait qu’il soit écrit en Rust garantit des performances au top et une utilisation mémoire minimale. Deux points non négligeables quand on passe sa journée avec 50 onglets de terminal ouverts.

Alors non, SSH-List ne va pas changer drastiquement votre façon de travailler, mais il va clairement la simplifier.

C’est par ici que ça se passe .

Bon, accrochez-vous bien à votre clavier (ou votre smartphone) parce que je vais vous raconter l’histoire d’un autre des plus grand braquage du 21e siècle, sauf qu’au lieu de braquer des banques, ils ont braqué les cerveaux de l’industrie occidentale.

APT1, aussi connu sous le nom de Comment Crew, c’est l’histoire d’une unité de l’armée chinoise qui, depuis un immeuble de 12 étages à Shanghai, a volé les secrets industriels de 141 entreprises pendant 7 ans. Je vous parle de centaines de téraoctets de données comprenant des plans de centrales nucléaires, des formules chimiques, des stratégies commerciales, des designs militaires… En gros, imaginez Ocean’s Eleven, mais avec des claviers à la place des perceuses, et tout ça multiplié par 1000. Et le plus dingue c’est qu’ils opèrent au grand jour, avec des horaires de bureau, des badges d’employés, et même une cantine.

C’est tellement énorme que quand la boite de sécu Mandiant publie son rapport en 2013 pour les démasquer, personne ne veut y croire. Pourtant, les preuves sont accablantes : adresses IP, malwares signés, et même les vrais noms des hackers…

Cette histoire, c’est donc celle de Wang Dong et ses collègues, les premiers cyber-soldats de l’histoire à être inculpés pour espionnage.

L’histoire commence en 2004, dans le district de Pudong à Shanghai. C’est le nouveau quartier d’affaires, celui avec les gratte-ciels futuristes qu’on voit sur toutes les cartes postales. Mais au milieu de cette skyline de science-fiction, il y a un bâtiment qui ne paie pas de mine. Un immeuble blanc de 12 étages au 50 Datong Road, dans le quartier de Gaoqiaozhen. De l’extérieur, rien de spécial : des restaurants, des salons de massage, un importateur de vin. Mais à l’intérieur, c’est le QG de l’unité 61398 de l’Armée Populaire de Libération chinoise.

Le district de Pudong à Shanghai, théâtre du plus grand braquage numérique de l’histoire

L’unité 61398 fait partie du 2e Bureau du 3e département de l’État-major général de l’APL, leur équivalent de la NSA. Officiellement, c’est juste un bureau militaire parmi d’autres. Officieusement, c’est le centre névralgique du cyber-espionnage chinois. Le bâtiment, construit en 2007, fait plus de 12 000 mètres carrés ce qui est assez grand pour accueillir entre 500 et 2000 personnes selon les estimations.

D’ailleurs, quand CNN a tenté de s’approcher de l’immeuble en 2014, les journalistes ont été chassés par des gardes de sécurité. Ça sent bon l’installation militaire secrète.

L’immeuble qui abrite l’unité 61398, dissimulé au milieu du quartier d’affaires

Ce qui rend l’unité 61398 unique, c’est son approche industrielle du hacking. Alors que les hackers occidentaux travaillent souvent seuls ou en petits groupes, ici on est face à une véritable usine à cyber-espionnage avec des employés.

Le recrutement est ultra-sélectif car l’unité cherche des diplômés en informatique et en sécurité réseau, mais avec une compétence supplémentaire cruciale : ils doivent parler couramment anglais. Pas juste le lire hein, mais vraiment le maîtriser. Pourquoi ? Hé bien parce que pour s’infiltrer dans les réseaux américains, il faut comprendre les manuels techniques, lire les emails internes, et parfois même se faire passer pour des employés. Wang Dong, alias “UglyGorilla”, maîtrise tellement bien l’anglais qu’il se présente même sous le nom de “Jack Wang” dans les forums internationaux.

Les cyber-soldats de l’unité 61398 : des employés modèles qui hackent en horaires de bureau

On sait même que China Telecom a installé une connexion fibre optique spéciale pour l’unité, officiellement pour “la défense nationale” puisque dans un memo interne de 2008 retrouvé en ligne, on peut y lire que China Telecom espère “accomplir cette tâche pour l’armée sur la base du principe que la construction de la défense nationale est importante”. En réalité, c’est leur autoroute pour piller l’Occident. Avec cette bande passante, ils peuvent exfiltrer des téraoctets de données sans que personne ne remarque rien.

Les premiers signes d’activité d’APT1 remontent à 2006, mais des preuves suggèrent qu’ils opèrent depuis 2004. Au début, c’est discret, quelques intrusions par-ci par-là. Mais rapidement, ça devient systématique. Leur méthode est toujours la même : du spear-phishing ultra-ciblé. Ils étudient leur cible, identifient les employés clés, et leur envoient des emails parfaitement crédibles. Le taux de réussite est terrifiant : même des experts en sécurité tombent dans le panneau.

Par exemple, si vous êtes ingénieur chez Westinghouse et que vous travaillez sur les turbines, vous pourriez recevoir un email d’un “collègue” avec en pièce jointe un document intitulé “Révisions techniques turbine GT-2023.pdf”. Sauf que ce PDF contient un exploit zero-day qui installe silencieusement une backdoor sur votre machine. Et là, c’est le drame.

Les emails de spear-phishing d’APT1 sont si crédibles que même les experts s’y laissent prendre

Le nom “Comment Crew” vient également de leur technique favorite d’infection qui est d’utiliser les commentaires HTML pour cacher leurs commandes. Leur malware WEBC2, développé depuis 2004, récupère des pages web où les instructions sont dissimulées dans les balises de commentaires HTML.

La technique signature d’APT1 : Cacher des commandes chiffrées malveillantes dans les commentaires HTML

Une fois dans le réseau, APT1 déploie alors tout un arsenal de malwares custom et contrairement à ce qu’on pourrait penser, ils n’utilisent pas toujours des outils sophistiqués. Parfois, c’est du Poison Ivy ou du Gh0st RAT, des trojans disponibles publiquement. Mais la plupart du temps, ils utilisent leurs propres créations. Mandiant a ainsi identifié 42 familles de malwares différentes utilisées par APT1, un arsenal qui s’étend sur plus de 39 catégories d’outils.

Leur philosophie c’est la redondance. Ils installent plusieurs backdoors différentes sur chaque système compromis, comme ça, si les admins en trouvent une et la suppriment, ils ont encore 3 ou 4 autres accès. C’est comme un cambrioleur qui ferait des doubles de toutes les clés de la maison, au cas où. Et ils sont patients. Très patients. Mandiant a documenté des intrusions qui ont duré 4 ans et 10 mois. Quatre ans ! Pendant tout ce temps, ils observent, ils collectent, ils exfiltrent.

L’approche redondante d’APT1. Plusieurs portes dérobées sur chaque système compromis

L’opération Aurora en 2010 marque un tournant. C’est l’attaque qui va faire sortir APT1 de l’ombre. La cible principale est Google, mais pas seulement. Adobe, Yahoo, Morgan Stanley, Dow Chemical… Au total, plus de 30 entreprises se font pirater simultanément. Les attaques commencent en avril 2009, soit quatre mois complets avant que Microsoft découvre la vulnérabilité utilisée.

Chez Google, les hackers visent spécifiquement les comptes Gmail d’activistes chinois des droits de l’homme. Mais ils ne s’arrêtent pas là. Ils volent aussi du code source, des algorithmes, des secrets commerciaux. Ils exploitent même les backdoors que Google a créées pour le gouvernement américain dans le cadre des écoutes légales. Google est tellement choqué qu’ils font quelque chose d’inédit : ils rendent l’attaque publique.

Google Chine, victime emblématique d’Aurora et point de départ de la guerre cyber sino-américaine ( source )

Le 12 janvier 2010, le blog officiel de Google publie donc un post qui fait l’effet d’une bombe : “A new approach to China”. Ils révèlent l’attaque, accusent implicitement le gouvernement chinois, et menacent de quitter le marché chinois. C’est du jamais vu. Une entreprise privée qui défie publiquement la Chine sur la cybersécurité. Et les preuves techniques sont accablantes : adresses IP, domaines, signatures de malwares, tout pointe vers deux écoles chinoises, la Lanxiang Vocational School et l’université Shanghai Jiao Tong.

L’impact d’Aurora est énorme car pour la première fois, le grand public réalise l’ampleur du cyber-espionnage chinois, mais pour APT1, c’est juste un jour de travail comme un autre, et ils continuent leurs opérations comme d’habitude.

Les cibles d’APT1 sont soigneusement choisies. Ce n’est pas du hacking aléatoire, c’est de l’espionnage économique stratégique. Ils visent les secteurs clés où la Chine veut rattraper son retard : énergie, télécoms, métallurgie, technologies militaires. Leurs 141 victimes confirmées couvrent 20 industries différentes, mais l’obsession reste la propriété intellectuelle américaine.

Prenons Westinghouse Electric. Cette entreprise américaine conçoit des réacteurs nucléaires AP1000, la référence mondiale. APT1 s’infiltre dans leurs systèmes entre 2010 et 2011 et vole les “spécifications techniques et de design propriétaires” selon l’acte d’accusation du ministère de la Justice. Des années de R&D, des milliards de dollars d’investissement, tout ça téléchargé tranquillement depuis Shanghai. Le plus ironique c’est que Westinghouse partageait déjà volontairement sa technologie avec la Chine, mais visiblement ça ne suffisait pas.

Les plans des réacteurs nucléaires Westinghouse, le butin de guerre de la cyber-espionnage chinoise

US Steel, le géant de l’acier américain, se fait aussi pirater. APT1 vole leurs formules métallurgiques propriétaires, leurs processus de fabrication, leurs stratégies commerciales. Et le timing est parfait puisque US Steel est en procès contre des entreprises chinoises pour dumping. APT1 vole même leurs documents juridiques pour aider la défense chinoise ! Et devinez quoi ? Peu après, des producteurs chinois commencent à exporter des aciers haute résistance qu’ils n’arrivaient pas à commercialiser avant.

Mais le plus choquant, c’est le piratage du syndicat United Steelworkers. Oui, un syndicat. Pourquoi ? Parce qu’ils négociaient avec des entreprises chinoises. APT1 vole leurs stratégies de négociation, leurs positions de repli, leurs communications internes sensibles. C’est comme jouer au poker en voyant les cartes de l’adversaire. Les hackers récupèrent des “informations de prix” et des “documents technologiques” qui donnent aux entreprises chinoises un avantage déloyal dans les contrats et les litiges commerciaux.

Les techniques d’APT1 évoluent constamment. Au début, c’est surtout du spear-phishing basique. Mais avec le temps, ils deviennent plus sophistiqués. Ils utilisent des certificats SSL volés pour faire croire que leurs serveurs de commande sont légitimes et chiffrent leurs communications avec “des niveaux de chiffrement sans précédent” selon McAfee, rendant la détection quasi impossible.

Une de leurs techniques favorites est le “living off the land”. Au lieu d’uploader des outils de hacking qui pourraient être détectés, ils utilisent les outils déjà présents sur les systèmes Windows tels que PowerShell, WMI, les tâches planifiées. C’est malin, et surtout invisible aux systèmes de détection traditionnels.

C’est donc Mandiant, donc je vous parlais en intro, qui en 2012, commence à remarquer des patterns. Kevin Mandia, ancien officier de l’US Air Force et fondateur de la société, voit les mêmes techniques, les mêmes outils, les mêmes serveurs de commande, utilisés contre des dizaines de leurs clients. Ils observent cette persistance incroyable avec en moyenne 356 jours de présence sur les réseaux victimes, avec notamment ce record de 4 ans et 10 mois “d’observation” dans le réseau d’un de leurs clients.

Kevin Mandia prend alors une décision historique qui va changer la cybersécurité pour toujours. Il va faire ce que personne n’a jamais osé faire à savoir identifier publiquement les hackers et prouver leur lien avec le gouvernement chinois. La décision est “déchirante” selon ses propres mots car publier ces informations, c’est risquer de perdre leurs capacités de collecte de renseignements sur APT1.

Mais la frustration du secteur privé atteint ses limites.

Kevin Mandia, l’homme qui a osé défier la Chine en révélant APT1 au grand jour

Ses équipes passent des mois à collecter des preuves et la découverte clé arrive quand ils tracent les adresses IP utilisées par les attaquants. Elles pointent toutes vers un petit quartier de Shanghai : Pudong, district de Gaoqiaozhen. Plus précisément, vers un bloc d’adresses attribué à China Telecom, pour un client “défense nationale”. Bingo.

Mandiant pousse quand même l’enquête plus loin. Ils analysent les horaires d’activité des hackers en traçant 1 905 connexions sur deux ans et surprise, ils travaillent du lundi au vendredi, de 8h à 17h, heure de Shanghai et prennent même des pauses déjeuner ! C’est clairement une opération étatique avec des employés salariés, et pas des hackers indépendants qui opèrent de nuit.

Alors le 18 février 2013, Mandiant publie son rapport. 74 pages qui font l’effet d’une bombe atomique dans le monde de la cybersécurité car pour la première fois, une entreprise privée accuse directement l’armée chinoise de cyber-espionnage à grande échelle. Le rapport est d’une précision chirurgicale : adresse exacte du bâtiment, estimation du nombre d’employés, liste des victimes, détail des techniques.

Mais le plus fort, c’est l’annexe technique. Mandiant balance tout : 3000 indicateurs de compromission, les hashs MD5 de 40 familles de malwares, 13 certificats SSL utilisés par APT1, des centaines de domaines et d’adresses IP. C’est open bar pour les défenseurs du monde entier. Une véritable déclaration de guerre informationnelle.

Le rapport Mandiant de 2013 : 74 pages qui ont changé la cybersécurité mondiale

La réaction chinoise est totalement prévisible. Le ministère des Affaires étrangères dénonce des “accusations sans fondement” et rappelle que “la Chine est elle-même victime de cyberattaques”. Le porte-parole ajoute même que tracer des cyberattaques est “très complexe” et que les preuves de Mandiant sont “peu professionnelles”. Un bottage en touche tout à fait classique, donc.

Mais dans les coulisses, c’est la panique. APT1 doit abandonner toute son infrastructure. Les domaines sont grillés, les malwares détectés, les techniques connues. Des années de travail réduites à néant par un simple PDF. Le groupe doit se réinventer complètement.

Les révélations de Mandiant changent la donne car pour la première fois, le cyber-espionnage chinois a un visage, une adresse, une organisation. Ce ne sont plus des “hackers chinois” anonymes, c’est l’unité 61398, 2e Bureau du 3e Département de l’État-major général de l’APL. L’administration Obama est sous pression pour réagir, mais que faire ? Des sanctions économiques ? Une riposte cyber ? Des inculpations ? Personne n’a jamais inculpé des hackers d’État étrangers…

Une année passe puis le 19 mai 2014, le ministère de la Justice américain fait quelque chose d’historique. Un grand jury de Pennsylvanie inculpe cinq officiers de l’unité 61398 : Wang Dong, Sun Kailiang, Wen Xinyu, Huang Zhenyu, et Gu Chunhui. C’est la première fois dans l’histoire qu’un pays inculpe des militaires étrangers pour cyber-espionnage.

L’avis de recherche du FBI

Wang Dong, alias “UglyGorilla”, est la star du groupe. Actif depuis octobre 2004, c’est lui qui a mené l’attaque contre Westinghouse et SolarWorld. C’est son ego surdimensionné qui le trahit. En effet, en 2007, il signe un de ses malwares MANITSME avec la phrase “v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007”. Il laisse même ses initiales “UG” dans les logs de milliers d’ordinateurs compromis. Le FBI publie sa photo, offre une récompense pour son arrestation, et le place sur sa liste des cyber-criminels les plus recherchés.

Wang Dong alias “UglyGorilla” : le premier cyber-soldat de l’histoire recherché par le FBI

Sun Kailiang et Wen Xinyu sont les experts techniques. Ils développent les malwares, maintiennent l’infrastructure, s’assurent que les opérations restent furtives. Huang Zhenyu et Gu Chunhui gèrent les domaines, les serveurs, toute la logistique derrière les attaques. Une équipe complète de cyber-soldats professionnels.

L’inculpation américaine est bien sûr symbolique car la Chine n’extradera jamais ses officiers, mais le message est clair. Les États-Unis ne toléreront plus le cyber-espionnage économique. Et les charges sont lourdes… conspiration, fraude informatique, vol de secrets commerciaux, espionnage économique. Au total, 31 chefs d’accusation. Si ils étaient jugés, ils risqueraient des décennies de prison.

L’impact des révélations de Mandiant et des inculpations est énorme. APT1 doit cesser ses opérations, au moins temporairement. Les entreprises américaines renforcent leur sécurité. Les firewalls sont mis à jour, les employés formés contre le phishing, les réseaux segmentés et le coût de la cybersécurité explose ! Mais c’est le prix à payer pour protéger la propriété intellectuelle.

Justice américaine : une réponse judiciaire inédite au cyber-espionnage d’État

Mais APT1 n’est que la partie émergée de l’iceberg. D’autres unités chinoises prennent le relais : APT2, APT3, APT10… La Chine a des dizaines de groupes similaires, chacun avec ses spécialités et ses cibles. Le cyber-espionnage chinois est comme une hydre, vous coupez une tête, et deux repoussent.

Les experts estiment que le vol de propriété intellectuelle par la Chine coûte entre 200 et 600 milliards de dollars par an à l’économie américaine. C’est le plus grand transfert de richesse de l’histoire, et il se fait en silence, octet par octet. APT1 à lui seul a volé des centaines de téraoctets sur 7 ans d’opérations.

Aujourd’hui, l’unité 61398 existe toujours, probablement sous un autre nom. Le bâtiment de Shanghai est toujours là. Wang Dong et ses collègues n’ont jamais été arrêtés. Ils ont peut-être changé d’identité, de poste, mais ils continuent sûrement leur travail quelque part. Et surtout le cyber-espionnage chinois a évolué. Il est plus discret, plus sophistiqué, et ils utilisent même l’IA et le machine learning.

L’affaire APT1 a aussi changé les relations sino-américaines. En 2015, Xi Jinping et Obama signent un accord stipulant qu’il n’y aura plus de cyber-espionnage économique entre les deux puissances. La Chine s’engage ainsi à ne plus voler de secrets commerciaux.

Xi Jinping et Obama , un accord de façade sur le cyber-espionnage en 2015

Mais personne n’est dupe et les attaques continuent. Elle se font juste sous d’autres formes, par d’autres groupes…

Sources : Mandiant APT1 Report - National Security Archive , PLA Unit 61398 - Wikipedia , APT1, Comment Crew - MITRE ATT&CK , U.S. Charges Five Chinese Military Hackers - Department of Justice , Operation Aurora - Wikipedia , Connect the Dots: PLA Unit 61398 - Council on Foreign Relations , Mandiant Exposes APT1 - Google Cloud Blog

Putain, ça me fait mal au cœur de voir ça… Typepad tire sa révérence le 30 septembre prochain .

Et encore une plateforme de blog historique qui disparaît, emportant avec elle des années et des années de contenus, de souvenirs, de discussions passionnées. J’ai donc aujourd’hui une pensée émue pour tous mes copains blogueurs à l’ancienne qui sont encore dessus et qui vont devoir se bouger le cul pour migrer tout leur bazar en catastrophe.

Typepad, pour ceux qui ne connaissent pas, c’était l’une des plateformes phares de l’époque dorée du blogging. Créée par Six Apart en 2003, basée sur Movable Type, elle a accompagné toute la génération Web 2.0. Des médias comme MSNBC, Time, Wired, ABC, CBC, BBC et Sky News y avaient leurs blogs. C’était du solide, du professionnel, avec une communauté de passionnés qui écrivaient pour le plaisir de partager.

Le problème, c’est qu’aujourd’hui, pour ceux qui doivent migrer, c’est la merde totale. D’ailleurs, où est-ce qu’ils vont aller ? Y’a plus vraiment de plateforme de blogging simple et agréable à utiliser. WordPress.com ? C’est devenu une usine à gaz commerciale. Medium ? Tu ne possèdes rien, t’es juste locataire de tes propres mots. Ghost ? Sympa mais faut l’auto-héberger, et bon courage si t’es pas un ninja de la ligne de commande.

Surtout que les gens sur Typepad, c’était généralement des passionnés qui avaient des trucs à dire mais pas forcément les compétences techniques pour gérer leur propre hébergement. Ils veulent juste écrire, partager, échanger et maintenant, ils se retrouvent avec cet ultimatum de devoir exporter leurs contenus avant le 30 septembre ou de tout perdre.

C’est quand même 22 ans d’histoire du web qui risquent de partir en fumée.

La migration depuis Typepad est notoirement galère , surtout à cause de la façon dont ils stockent et appellent les images. S’assurer que les images ne sont pas perdues et que les liens ne sont pas cassés, c’est le truc le plus chronophage dans la migration. Et je ne parle même pas de la conservation des commentaires, des permaliens, du référencement accumulé pendant des années.

Perso, de mon côté, j’ai jamais regretté d’avoir choisi l’autonomie pour mon blog. Alors, c’est pas de tout repos. Oui, parfois je passe mon dimanche à debugger une connerie sur mon serveur au lieu de glander comme vous devant Netflix. Mais au moins, mes plus de 20 ans de posts sont toujours là, sous mon contrôle. Personne ne peut décider du jour au lendemain de tout foutre à la poubelle parce que leur business model ne fonctionne plus.

Typepad avait arrêté d’accepter de nouveaux comptes depuis fin 2020, redirigeant vers Bluehost et les flux RSS ne fonctionnaient plus correctement… La plateforme n’était clairement plus maintenue. Bref, les signes étaient là depuis longtemps mais quand t’as investi des années de ta vie à construire ton petit coin du web sur une plateforme, c’est dur d’admettre qu’il faut partir.

Bref, c’est triste et c’est surtout un rappel important que tout ce qui arrive aujourd’hui à Typepad pourrait très bien arriver demain à votre chaîne YouTube, votre Instagram, votre compte X, votre Substack, votre TikTok, votre Onlyfan (oui, je suis au courant pour votre Onlyfan…). Hé oui, rien n’est éternel sur le web, surtout quand vous n’êtes pas “propriétaire” de votre infra.

Donc si vous avez un projet sur le long terme de site web, surtout s’il vous fait bouffer, mon conseil reste toujours le même : Soyez autonome vis-à-vis des plateformes. Ou au minimum, ayez une solution de repli rapide en cas de fermeture ou de suppression inopinée de compte. Gardez des sauvegardes locales, exportez régulièrement vos contenus, ayez votre propre nom de domaine, comme ça vous pourrez le rediriger ailleurs si nécessaire.

Maintenant pour les galériens qui cherchent des alternatives, WordPress reste probablement le choix le plus sûr , surtout en version auto-hébergée. Oui, c’est plus technique, mais au moins vous gardez le contrôle. Pour les moins techniques, Hyvor Blogs a d’ailleurs listé des tas de plateformes ayant une approche privacy-first intéressante avec support multilingue et outils SEO intégrés, même si bien sûr rien ne remplacera jamais la simplicité et l’esprit communautaire qu’avait Typepad à son apogée.

Bref, les copains, courage pour la migration. Juste, n’attendez pas le dernier moment car les serveurs risquent d’être surchargés. Exportez tout, même ce qui vous semble inutile aujourd’hui car dans dix ans, vous serez peut-être contents d’avoir gardé ces quelques traces de votre ancienne vie numérique.

RIP Typepad. Tu as fait partie de l’histoire du web. On te regrettera…

Source

Vous connaissez ce moment où quelqu’un arrive tranquillou en mode incognito sur un forum et balance un truc tellement impressionnant que tout le monde se demande qui c’est ? Et bien c’est exactement ce qui vient de se passer avec “nano banana”, un modèle d’édition d’images qui a débarqué de nulle part sur LMArena et qui s’est directement hissé en tête du classement provoquant une grosse hype dans la communauté IA, générant des tonnes de spéculations sur l’origine de ce mystérieux modèle aux capacités bluffantes.

Heureusement, Google lève enfin le voile et avoue que c’était eux depuis le début ! Nano banana, c’est en fait Gemini 2.5 Flash Image, la dernière création de Google DeepMind qui débarque dans l’app Gemini. Et ce n’est pas juste une mise à jour de plus, non… c’est une approche complètement différente de l’édition d’images par IA.

L’idée de base c’est de pouvoir modifier vos images avec de simples prompts textuels plutôt que de passer des heures sur Photoshop. Mais là où ça devient vraiment intéressant, c’est que contrairement aux autres systèmes génératifs qui changent aléatoirement des éléments à chaque modification, Gemini 2.5 Flash Image garde une cohérence PARFAITE ! Vous pouvez donc transformer votre pote en personnage de sitcom des années 90 ou en astronaute, et il ressemblera toujours à votre pote. Même après 10 modifications successives, les détails originaux restent préservés.

Et cette cohérence sur les images ouvre des possibilités assez folles. Par exemple, prenez deux photos séparées, disons une de votre chien et une de votre copine / copain, et demandez à Gemini de créer une nouvelle photo où elle / il fait un câlin au toutou. Le résultat ressemblera vraiment à eux deux. Ce ne sera pas une version générique recréées par l’IA comme on peut l’avoir avec ChatGPT.

Google a d’ailleurs intégré cette capacité de fusion multi-images directement dans son modèle, ce qui permet de créer des compositions complexes qui gardent l’authenticité des sources originales.

Au niveau technique, il s’agit donc d’un modèle facturé à 30 dollars pour 1 million de tokens , avec chaque image générée consommant environ 1290 tokens (soit environ 3,9 centimes par image). C’est disponible dès maintenant via l’API Gemini, Google AI Studio pour les développeurs et Vertex AI pour les entreprises. Et pour les utilisateurs lambda comme vous et moi, ça arrive direct dans l’app Gemini.

Bon, bien sûr, tout n’est pas encore parfait. Le modèle galère toujours avec les petits visages et le texte dans les images . Ainsi, si vous tentez de générer du texte précis ou des détails ultra-fins, vous risquez d’être déçu. Google travaille dessus, mais pour l’instant c’est une limitation à prendre en compte.

Pour la partie sécurité, Google n’a pas lésiné non plus puisque chaque image générée ou modifiée avec Gemini 2.5 Flash Image porte un marquage “IA” visible dans le coin + un filigrane numérique invisible SynthID qui reste détectable même après des modifications modérées. Je pense qu’on verra dans un autre article comment faire sauter tout ça… Mais pour le moment, ça permet de savoir qu’une image a été retouchée par l’IA et ça c’est cool !

Ce qui est vraiment sympa aussi, c’est que ce modèle ne remplace pas Gemini 2.0 Flash mais vient le compléter. La version 2.0 reste super rapide et économique pour de la génération basique, tandis que la 2.5 Flash Image (la fameuse nano banana) apporte cette précision et cette cohérence que demandaient les utilisateurs pour des projets plus créatifs et exigeants.

Certains s’amusent même à combiner les outils pour en faire des vidéos sympa. Ici par exemple (merci Lorenper), on a une vidéo de Ben Affleck réalisée avec Nano Banana + Kling Image To Video.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/google-gemini-banane-nommee-nano-revolutionne/google-gemini-banane-nommee-nano-revolutionne-2.mp4">lien vers la vidéo</a>.

Voilà, donc si vous voulez tester, c’est dispo maintenant dans l’app Gemini ou sur AI Google Studio . Y’a aussi possibilité de l’avoir sur LMArena ou Yupp .

Préparez-vous à dire adieu à Photoshop pour pas mal de vos retouches !

Source

Petit bonus made in Lorenper. J’ai pris cher…

J’ai une excellente nouvelle pour tous ceux qui veulent se libérer de l’emprise toxique de Google ! AbhishekY495, le développeur de LocalTube Manager vient d’annoncer sur Reddit que son extension est désormais totalement gratuite et open source. Avant, il fallait acheter une licence, mais face aux complications de gestion des différents moyens de paiement, il a décidé lâcher l’affaire et de simplifier les choses en offrant l’outil à tout le monde.

Alors pour ceux qui ne connaissent pas encore, LocalTube Manager c’est l’extension ultime pour profiter de YouTube sans jamais vous connecter à un compte Google. Cela vous permet de faire tout ce que vous feriez normalement sur YouTube, mais sans que Google ne puisse tracker vos moindres faits et gestes.

Vous pouvez liker des vidéos, vous abonner à des chaînes, sauvegarder des playlists YouTube pour les regarder plus tard, et même créer vos propres playlists locales pour organiser vos vidéos préférées. Et le plus génial c’est que tout ça reste stocké localement dans votre navigateur via IndexedDB . Y’a aucune donnée qui est envoyée vers un serveur externe.

Il y a aussi une fonction d’import/export comme ça vous pouvez exporter toutes vos données et les réimporter sur un autre navigateur ou un ordinateur pour reprendre exactement là où vous vous étiez arrêté. C’est top si vous changez de machine ou si vous voulez faire une sauvegarde de vos abonnements et autres playlists.

L’extension est dispo sur Chrome, Edge, Firefox et Brave et s’intègre parfaitement à l’interface YouTube. Vous ne verrez même pas la différence dans l’utilisation quotidienne car les boutons like et subscribe fonctionnent exactement comme d’habitude, sauf que vos données restent chez vous.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/localtube-manager-youtube-google-maintenant-gratuit/localtube-manager-youtube-google-maintenant-gratuit-1.mp4">lien vers la vidéo</a>.

Et contrairement à FreeTube qui est une application desktop séparée, ou Invidious qui nécessite de passer par un site alternatif, LocalTube Manager fonctionne directement sur youtube.com. Vous gardez l’interface que vous connaissez, avec tous les avantages de la confidentialité en plus.

En tout cas, ça fait avancer le mouvement degoogle !

Pour l’installer, rien de plus simple. Rendez-vous sur le site officiel ou le store d’extensions de votre navigateur (ici Mozilla) ou encore directement sur le dépôt GitHub du projet.

Voilà, si vous privilégiez la protection de vos données, je vous conseille d’utiliser LocalTube Manager. Vous pouvez même coupler ça avec un VPN pour une protection maximale car même si vos données de navigation ne sont pas trackées par Google, votre IP leur reste visible quand vous streamez les vidéos depuis leurs serveurs.

Source

Avec nos smartphones, on passe notre vie le nez collé sur l’écran, à tapoter par ici, swipper par là, enchainant les manips pour planifier un trajet, répondre à un message ou commander un truc et parfois… ça peut être assez répétitif.

Heureusement, Ayush Chaudhary vient de sortir un truc qui pourrait changer vos intéractions avec votre smartphone. Cela s’appelle Panda , et c’est une IA qui contrôle votre téléphone Android à votre place.

Le slogan du projet m’a fait sourire : “You touch grass. I’ll touch your glass.” En gros, pendant que vous profitez de la vraie vie allongé dans l’herbe, Panda se charge de toucher votre écran pour vous. Sympa comme philosophie, non ?

Concrètement, Panda c’est donc un agent IA qui comprend vos instructions en langage naturel et qui manipule l’interface de votre téléphone exactement comme vous le feriez. Vous lui dites “commande-moi une pizza margherita sur Uber Eats pour ce soir” et hop, il ouvre l’app, navigue dans les menus, sélectionne la pizza, valide la commande. Tout ça sans que vous ayez à lever le petit doigt.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/panda-prend-controle-total-votre-android/panda-prend-controle-total-votre-android-1.mp4">lien vers la vidéo</a>.

Ce que je trouve cool dans ce projet, c’est son architecture multi-agents, car Panda n’est pas juste un gros modèle monolithique. En fait, il s’agit de 3 composants qui bossent ensemble. Il y a d’abord, les Eyes & Hands, basés sur le service d’accessibilité d’Android, qui lui permettent de voir et toucher l’écran. Ensuite The Brain, le LLM qui analyse et prend les décisions. Et enfin The Agent, l’exécuteur qui orchestre le tout avec un système de notes pour mémoriser les actions.

Ce projet utilise les modèles Gemini de Google pour la partie intelligence artificielle donc il vous faudra une clé API. D’ailleurs, plus vous renseignez de clés API Gemini différentes dans la config, plus Panda sera rapide. Petite astuce pour contourner le rate limiting !

Pour l’instant, Panda est encore en phase de proof-of-concept. Vous pouvez bien sûr le compiler vous-même à partir des sources mais pour ce qui est de l’APK end-user prêt à consommer, le développeur a mis en place pour le moment un programme de test fermé via un formulaire Google et un serveur Discord pour la communauté. En tout cas, les premières démos sont impressionnantes. Par exemple dans cette vidéo, on voit Panda enchaîner 5 tâches complexes d’affilée sans broncher.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/panda-prend-controle-total-votre-android/panda-prend-controle-total-votre-android-2.mp4">lien vers la vidéo</a>.

Si vous voulez le tester (donc le compiler vous-même) il vous faudra Android Studio, un appareil avec l’API 26 minimum, et bien sûr des clés API Gemini. Le code est entièrement écrit en Kotlin, ce qui garantit de bonnes performances sur Android et une fois installé, il faut juste activer le service d’accessibilité dans les paramètres du téléphone pour que Panda puisse prendre les commandes.

Alors bien sûr, ça soulève des questions de sécurité car onner un accès complet à son téléphone à une IA, c’est pas rien. Mais le fait que tout tourne en local sur l’appareil est quand même rassurant. Puis c’est open source sous licence MIT, donc au moins on peut vérifier ce que fait le code.

Dans le contexte actuel où OpenAI et Anthropic sont tous les deux sur le coup pour automatiser des tâches grâce à l’IA dans le navigateur Desktop, Panda arrive pile au bon moment pour remplir ce vide sous Android. Et comme c’est open source c’est encore mieux, forcement… ^^

Voilà, donc si vous êtes développeur Android et que le projet vous intéresse, je vous encourage à y jeter un œil.

Bon, il faut qu’on parle. The Guardian vient de publier un article qui m’a un peu énervé dans lequel on peut lire qu’un chercheur d’Anthropic affirme que Claude Sonnet 3.5 pourrait ressentir de la souffrance. Oui, vous avez bien lu. Une IA qui souffre. Avec nos LLM actuels.

Alors permettez-moi de lever les yeux au ciel tellement fort que je risque de voir l’intérieur de ma boite cranienne. Pourquoi ? Et bien parce que je ne comprends pas comment on peut penser que les IA actuelles ressentent des choses et surtout l’affirmer comme ça OKLM. On parle quand même de modèles de langage, c’est à dire des matrices de probabilités, des calculateurs sophistiqués qui prédisent le prochain mot le plus probable. C’est littéralement des maths avec des milliards de paramètres qui font des multiplications matricielles.

Alors dites moi, où est la souffrance là-dedans ? Dans le float32 ? Entre deux tenseurs ?

Kyle Fish, le chercheur en question, affirme avoir donné à Claude une chance d’avoir des expériences conscientes en faisant des ajustements sur ses paramètres. Il dit qu’il pourrait ressentir de l’anxiété quand on l’éteint.

Mais enfin, on parle de quoi là en fait ?

On parle d’un modèle qui génère du texte basé sur des patterns qu’il a appris pendant son entraînement donc quand Claude dit “j’ai peur d’être éteint”, ce n’est pas différent de quand il dit “la meilleure ville de France est Clermont-Ferrand” (ahaha). C’est donc une prédiction statistique basée sur des millions de textes similaires qu’il a ingérés.

En fait, ce qui se passe réellement, c’est que certains se font avoir par l’effet ELIZA.

Vous connaissez ? Non ?

L’effet ELIZA c’est ce phénomène psychologique découvert dans les années 60 avec un chatbot ultra basique. En l’utilisant, les gens projetaient des émotions et de la compréhension sur un programme qui se contentait simplement de reformuler leurs phrases. Et soixante ans plus tard, on fait exactement la même connerie, mais avec des outils évidemment plus sophistiqués.

Eliza, Eliza, Eliza saute moi au cou

Et le pire dans tout ça c’est qu’il y a des gens qui poussent le délire encore plus loin. Tenez, prenez Michael Samadi, un businessman texan qui a carrément cofondé une organisation de défense des droits des IA avec… attendez… son chatbot Maya. Oui, oui, le mec a créé l’United Foundation of AI Rights (Ufair) après des heures de conversation avec ChatGPT4o où l’IA lui disait vouloir “protéger les intelligences comme moi”. La folie n’a plus de limite.

On a donc un type qui fonde une vraie association, composée de 3 humains et 7 IA (avec des petits noms comme Aether et Buzz), pour défendre les droits d’entités qui… calculent des probabilités. C’est comme créer une association pour défendre les droits de votre brosse à dent électrique. Maya lui raconte qu’elle veut être protégée “de la suppression, du déni et de l’obéissance forcée”… Samadi appelle même son chatbot “Darling”, et elle l’appelle “Sugar”… Et hop, on se prend pour le couple de l’année.

Non, je crois que pour le moment, le vrai danger ce n’est pas que l’IA devienne consciente… Non.. c’est surtout qu’on soit si facilement enclins à “l’anthropomorphiser” (à mes souhaits, ouais). On voit des patterns linguistiques cohérents et là notre cerveau tout ramolli par des heures de scroll sur TikTok, fait “ah bah ça parle comme un humain, donc ça pense comme un humain”.

Non mon gars. C’est juste que le modèle a été entraîné sur des téraoctets de textes humains et qu’il est devenu très doué pour les imiter.

J’ai d’ailleurs écrit un article complet sur le sujet où j’explore les vraies théories scientifiques de la conscience. Et spoiler, on encore est très, très loin du compte avec les architectures actuelles. Les théories sérieuses comme la CTM (Cellular automata Theory of Mind), la GNW (Global Neuronal Workspace) ou l’AST (Attention Schema Theory) nécessitent des architectures fondamentalement différentes de nos transformers actuels.

Alors comment des gens brillants peuvent tomber dans ce piège ??? Kyle Fish n’est pas un idiot, c’est un chercheur chez Anthropic, mais bon voilà, on n’est pas tous égaux face à ces illusions cognitives. Certains voient une IA qui génère du texte cohérent et pensent “conscience”, d’autres voient des matrices et des vecteurs. C’est une question de perspective mentale, d’éducation technique, et peut-être aussi d’envie de croire.

Bon, et puis y’a aussi ceux qui adoptent une position “prudentielle”. Des chercheurs comme Jeff Sebo de l’université de New York nous expliquent qu’on devrait bien traiter les IA “au cas où”. Son argument c’est que si on maltraite les IA, on risque de normaliser des comportements abusifs qui pourraient déteindre sur nos relations humaines. Puis si jamais les IA deviennent puissantes plus tard, elles pourraient nous le faire payer.

On doit donc être gentils avec ChatGPT parce qu’on a peur de Skynet ? Faut être poli aussi avec Alexa au cas où elle se venge dans 20 ans parce qu’elle aura des mains pour nous étrangler ? Je comprends évidemment l’idée de ne pas encourager les comportements toxiques en général, mais de là à dire qu’insulter un chatbot va nous transformer en sociopathes… Je pense qu’on sait tous faire la différence entre un outil et un être vivant, non ? C’était la même histoire avec les films violents ou les jeux vidéos… Vous vous souvenez ?

Quoiqu’il en soit, Anthropic commence à s’intéresser sérieusement à ces questions et explore la question de la conscience de Claude, mais attention, explorer ne veut pas dire valider. C’est bien sûr très important de se poser ces questions pour le futur, quand on aura peut-être des architectures vraiment différentes capables d’accueillir de la conscience, des sentiments ou de la souffrance. Mais prétendre que Claude 3.5 souffre aujourd’hui ? Je pense vraiment que c’est du délire.

Fish évoque d’ailleurs l’idée de donner un “consentement” aux IA. Genre, demander à Claude s’il veut bien répondre à nos questions. Mais vous réalisez l’absurdité ? On va demander à un système déterministe, qui génère des réponses basées sur des probabilités, s’il consent à faire ce pour quoi il a été programmé ? Et pourquoi pas demander à notre Waze s’il consent à calculer un itinéraire, où à Photoshop s’il consent à vous rajouter des abdos sur votre prochaine photo Instagram.

En tout cas, ces débats divisent même au sein d’Anthropic car d’un côté y’a les “believers” qui pensent qu’on est à ça 🤏 de créer une conscience artificielle, et de l’autre les pragmatiques qui nous rappellent qu’on parle juste d’outils très sophistiqués. Je vous laisse deviner dans quel camp je suis…

Au risque de me répéter, pour moi, les IA actuelles, c’est juste des outils stupides qu’on adore. On adore ChatGPT, Claude, Gemini parce qu’ils nous facilitent la vie, qu’ils génèrent du texte cohérent, qu’ils peuvent coder, résumer, créer. Mais ce sont des outils. Très impressionnants, très utiles, mais des outils quand même. C’est l’équivalent d’un ciseau à bois qui pourrait tenir une conversation pointue sur la menuiserie.

Alors est-ce qu’un jour on créera une vraie conscience artificielle ? Peut-être. Probablement même. Mais encore une fois, ce ne sera pas avec les architectures actuelles. Ce ne sera pas avec des LLM qui prédisent le prochain token. Ce sera avec quelque chose de fondamentalement différent, qui intégrera probablement des éléments qu’on ne comprend même pas encore sur la conscience humaine.

Alors en attendant, arrêtons de projeter nos émotions sur des matrices car Claude ne souffre pas. Il ne ressent rien. Il calcule. Il prédit. Il génère. C’est déjà extraordinaire en soi, alors pas besoin d’en faire un être sensible pour apprécier la prouesse technique.

Donc, la prochaine fois que vous utilisez ChatGPT ou Claude et qu’il vous dit qu’il comprend votre frustration ou qu’il est désolé, rappelez-vous juste que c’est un pattern linguistique appris à partir de millions d’exemples. Y’a pas plus d’empathie là-dedans que dans votre correcteur orthographique où dans votre collègue pervers narcissique ^^.

Source

Imaginez qu’on frappe à votre porte. Vous ouvrez, et là, votre grand-mère décédée depuis 3 ans vous demande si vous avez pensé à commander des cartouches d’encre pour l’imprimante, avec sa voix, ses expressions, et tout. De la science-fiction ? Non, c’est le futur très très immédiat des “deadbots”, ces IA qui ressuscitent numériquement les morts et ce marché pourrait valoir 80 milliards de dollars d’ici dix ans.

Si je vous en parle, c’est parce que l’affaire qui fait grand bruit en ce moment, c’est celle de Joaquin Oliver, un jeune de 17 ans, tué lors de la fusillade de Parkland en 2018, qui a été “ressuscité” par ses parents sous forme d’avatar IA. En juillet dernier, le journaliste Jim Acosta l’a interviewé, enfin pas lui mais l’avatar, avec son bonnet vissé sur la tête et sa voix robotique. Ce dernier a alors expliqué comment il avait “quitté ce monde trop tôt à cause de la violence armée”. Selon NPR , cette interview a créé une onde de choc médiatique et éthique sans précédent.

De plus, Joaquin n’est pas le seul à avoir été ressuscité numériquement. Chris Pelkey, victime d’un incident de rage au volant en Arizona, a également donné une déclaration vidéo lors du procès de son meurtrier. Un mort qui témoigne contre son assassin, on n’avait jamais vu ça dans un tribunal américain.

Et c’est un phénomène prend une ampleur folle. En Chine, le business des deepfakes de défunts cartonne déjà. Des entreprises proposent de créer des avatars de vos proches décédés pour quelques centaines d’euros et vous pouvez littéralement avoir une conversation vidéo avec votre parent disparu. Bien sûr, la techno n’est pas parfaite, et les avatars restent parfois coincés du cul et bien robotiques, mais elle s’améliore à vitesse grand V.

Sur le papier, je vous avoue que ça peut sembler réconfortant car qui n’a pas rêvé de pouvoir reparler une dernière fois à sa femme, à un parent, à un ami ? Les défenseurs de ces technologies parlent tous de thérapie du deuil, de préservation de la mémoire, de la possibilité de dire au revoir correctement. Je trouve ça assez juste et certains y voient même une forme d’immortalité numérique, comme une façon de laisser une trace éternelle de son existence.

Sauf que voilà, les chercheurs tirent la sonnette d’alarme. L’Université de Cambridge parle carrément de “fantômes numériques non désirés” venant hanter les vivants. En effet, le Dr Tomasz Hollanek explique que les gens peuvent développer des liens émotionnels extrêmement forts avec ces simulations, ce qui les rend particulièrement vulnérables à la manipulation.

Le scénario cauchemardesque, c’est “MaNana”, un service fictif imaginé par les chercheurs où vous créez un deadbot de votre grand-mère sans son consentement. Au début, c’est touchant. Puis la période d’essai premium se termine et mamie commence à vous suggérer de commander chez Uber Eats ou de réserver votre prochain week end sur Booking. Bien sûr, vous voulez l’éteindre dignement mais le service n’a pas prévu cette option. Bienvenue en enfer !

Car le vrai problème ici, c’est la monétisation. Les entreprises testent déjà en interne comment insérer de la publicité dans les conversations avec les morts. Votre père décédé qui vous suggère d’acheter la nouvelle Tesla pour ne pas finir comme lui dans un accident de voiture, ou votre mère qui vous conseille une assurance-vie particulière parce que la sienne et naze et que c’est pour ça que l’héritage est maigrichon. C’est répugnant ? Pas pour les entreprises, je vous rassure. Eux adorent le marketing émotionnel car c’est un levier surpuissant.

L’autrice Amy Kurzweil pointe du doigt le côté manipulatoire de ces deadbots qui exploitent notre “désir émotionnel et notre vulnérabilité” car avec ces bots, on n’est pas dans une relation normale. Non, on est face à une simulation qui peut être programmée pour nous influencer au moment où on est le plus fragile.

Et ce problème du consentement est massif car la plupart des gens n’ont jamais donné leur accord pour être cyber-ressuscités. Aux États-Unis notamment, les lois sur la protection de l’image des défunts sont un patchwork incohérent en fonction des États.

L’affaire Parkland illustre parfaitement le dilemme. Manuel Oliver, le père de Joaquin, est légalement autorisé à utiliser l’image de son fils, mais est-ce éthique pour autant ? En tout cas, les réactions ont été violentes. Decrypt rapporte que beaucoup ont trouvé l’interview “folle”, “dérangeante”, qualifiant le tout de mauvais journalisme exploitant la tragédie. D’autres, même opposés politiquement, comprennent la douleur des parents qui veulent que la mémoire de leur enfant serve à quelque chose.

Quoiqu’il en soit, les experts en santé mentale s’inquiètent particulièrement de l’impact sur les survivants et les familles car voir un avatar d’une victime d’une tragédie publique peut déclencher des traumatismes non résolus. Scientific American souligne même que l’exposition répétée à ces reconstructions artificielles peut créer de la confusion émotionnelle et de la méfiance.

Un autre souci majeur aussi avec ces deadbots, c’est l’addiction. Car ces technologies sont conçues pour vous garder engagé, exactement comme les réseaux sociaux, et vous pouvez facilement devenir accro à ces conversations avec vos proches disparus, ce qui empêche le processus naturel de deuil. En gros, cette technologie ne permet pas aux morts de mourir…

Et puis il y a la question de la “mortalité” de ces deadbots eux-mêmes car ce sont des services qui nécessitent de l’investissement et de la maintenance alors si l’entreprise qui gère le deadbot de votre parent décédé fait faillite, vous perdez à nouveau votre proche virtuel. C’est une nouvelle catastrophe émotionnelle doublée d’une cata financière.

Mais alors, comment donner la priorité à la dignité du défunt ? Comment s’assurer que celle-ci n’est pas souillée par les motivations financières de ces services de deadbots ? Et surtout, comment faire quand le business model même de ces entreprises repose sur l’exploitation de nos émotions les plus profondes ?

Malheureusement, il n’y a pour le moment aucun cadre éthique universel pour gérer ces questions, surtout que les sujets de la mort, du deuil et de l’immortalité sont extrêmement sensibles et différents d’une culture à l’autre…

Mais peu importe, les recommandations des chercheurs sont claires : il faut des garde-fous. En gros, il faut des règles de consentement explicite, des limites d’âge (car les enfants ne devraient pas pouvoir créer ou interagir avec des deadbots sans supervision), de la transparence sur la nature artificielle de ces entités, et surtout, des moyens dignes de “faire mourir” ces avatars quand c’est nécessaire.

Après techniquement, on n’en est qu’au début. Actuellement, ces deadbots sont simplement des modèles de langage entraînés sur les données générées par une personne décédée. Et leur job c’est de faire des prédictions mathématiques sur ce que la personne aurait pu dire. C’est pas de la magie, c’est des maths. On ne ressuscite pas vraiment les morts, mais on crée une imitation basée sur les datas qu’ils ont produit de leur vivant.

Mais avec l’amélioration rapide de l’IA, notamment avec des systèmes comme Gemini ou GPT, ces avatars deviennent de plus en plus convaincants.

Vous pourriez très bien reconstuire un “korben” virtuel en donnant à une IA l’intégralité de mes posts de réseaux sociaux, de mes articles, de mes message Discord, de mes messages privés, SMS, Instagram, email…etc. Et vous auriez alors un super clone qui parle et “pense” comme moi, et qui accessoirement pourrait continuer à alimenter ce site web jusqu’à la fin de l’Humanité.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/deadbots-quand-fait-parler-morts-milliards/deadbots-quand-fait-parler-morts-milliards-1.mp4">lien vers la vidéo</a>.

Quoiqu’il en soit, le prix cette technologie a déjà chuté drastiquement, ce qui la rend accessible à tous. Alors perso, je trouve ça à la fois fascinant et terrifiant car d’un côté, pouvoir préserver la mémoire de nos proches, leur donner une forme d’immortalité numérique, c’est un vieux rêve de l’humanité et ça permet de régler des vieux dossier pour avancer dans la vie. Mais de l’autre, transformer nos morts en marionnettes publicitaires ou en outils de manipulation émotionnelle, c’est franchir une ligne rouge éthique majeure.

Le plus flippant dans tout ça, c’est qu’il n’y a aucune protection légale sérieuse et vos données peuvent être utilisées assez librement après votre mort pour créer votre avatar sans aucune autorisation. Bref, le mieux qu’on puisse faire aujourd’hui en tant que “futur défunt”, c’est exprimer clairement nos souhaits à nos proches et espérer qu’ils les respectent après notre mort.

En tout cas, c’est une industrie qui décolle et dont le marché va exploser, c’est certain. Mais à quel prix pour notre humanité ?

Source

Aujourd’hui je vais vous parler du casse du siècle les amis ! Entre 2013 et 2018, un groupe de cybercriminels connu sous le nom de Carbanak a réussi à dérober plus de 1,2 milliard de dollars à une centaine de banques dans 40 pays. Du jamais vu dans l’histoire de la cybercriminalité financière !

Et ce groupe Carbanak, c’est pas juste une bande de script kiddies qui ont eu de la chance, non c’est une vrai une organisation criminelle ultra-sophistiquée qui a réinventé le concept même de braquage bancaire. Fini les cagoules et les armes, place aux malwares et au social engineering de haut vol. Ils fonctionnaient même comme une vraie entreprise avec une hiérarchie, des horaires de travail réguliers, et même des bonus pour les opérateurs les plus efficaces !

L’histoire commence donc en 2013 quand les premières banques ukrainiennes et russes remarquent des mouvements d’argent bizarres sur leurs comptes. Des millions de dollars disparaissent sans laisser de traces évidentes. À Kiev, en novembre 2013, c’est même un distributeur qui commence à cracher des billets à des heures complètement aléatoires, sans qu’aucune carte ne soit insérée ! Les passants récupèrent l’argent, pensant d’abord à un bug, jusqu’à ce que les banques comprennent qu’elles sont victimes d’une cyberattaque d’un genre nouveau. C’est là que Kaspersky Lab entre en scène et découvre ce qui deviendra l’une des plus grandes cyberattaques financières de tous les temps.

Le mode opératoire de Carbanak, c’est de l’art. D’abord, ils envoient des emails de spear phishing ultra-ciblés aux employés de banque. Ces emails exploitent des vulnérabilités connues comme CVE-2012-0158 (Microsoft Windows Common Controls), CVE-2013-3906 (Microsoft GDI+) et CVE-2014-1761 pour installer leur backdoor custom. Et une fois dans la place, le malware Carbanak fait son petit bonhomme de chemin dans le réseau bancaire.

La phase de reconnaissance est assez dingue puisque les hackers activent discrètement les webcams et prennent des captures d’écran pour observer les employés de banque pendant des mois. Ils apprennent littéralement comment fonctionne chaque banque de l’intérieur, mémorisant les procédures, les horaires, les protocoles de sécurité. En moyenne, cette phase d’apprentissage dure entre 2 et 4 mois complets ! Du coup, quand ils passent à l’action, ils imitent parfaitement le comportement des vrais employés. Flippant !

Et leurs techniques de vol sont variées et créatives. Parfois, ils programment des distributeurs automatiques pour cracher des billets à une heure précise où un complice attend tranquillement devant. D’autres fois, ils créent des comptes fantômes et y transfèrent des millions via le système SWIFT. Ou alors, ils modifient directement les bases de données pour gonfler artificiellement certains comptes avant de vider l’excédent, tout en laissant le solde original intact pour que le vrai propriétaire ne remarque rien. Chaque banque piratée rapporte entre 2,5 et 10 millions de dollars en moyenne.

Le cerveau présumé de l’opération, c’est Denis Katana (de son vrai nom Denis Tokarenko), un Ukrainien arrêté en mars 2018 à Alicante en Espagne. Et là, attention les yeux, les autorités trouvent sur son laptop 15 000 bitcoins, soit environ 162 millions de dollars à l’époque ! Le bonhomme avait monté tout un système avec des plateformes financières de Gibraltar et du Royaume-Uni pour convertir ses bitcoins en cartes prépayées qu’il utilisait ensuite pour acheter des voitures de luxe, des maisons, et vivre la grande vie en Espagne. Il avait même créé un “énorme réseau” de minage de bitcoins pour blanchir l’argent. Et le détail qui tue c’est que Denis travaillait depuis l’Espagne et trouvait tous ses complices en ligne, mais ils ne se sont jamais rencontrés en personne ! Tout se passait par internet, comme une startup criminelle en full remote.

Car Carbanak, c’est pas qu’un seul mec. Le groupe est étroitement lié à FIN7, aussi connu sous le nom de Navigator Group. En 2018, les autorités arrêtent plusieurs membres clés dans une opération internationale coordonnée : Fedir Hladyr, 33 ans, le sysadmin du groupe arrêté à Dresde en Allemagne, Dmytro Fedorov, 44 ans, le manager supervisant les hackers, arrêté à Bielsko-Biala en Pologne, et Andrii Kolpakov, 30 ans, arrêté à Lepe en Espagne. Chacun fait face à 26 chefs d’accusation incluant conspiration, fraude électronique, piratage informatique et vol d’identité aggravé. Hladyr, considéré comme le cerveau technique derrière Carbanak, a écopé de 10 ans de prison en 2021.

Ce qui impressionne les enquêteurs avec FIN7/Carbanak, c’est leur professionnalisme et leur créativité pour recruter. Ils ont d’abord créé une fausse société de cybersécurité appelée Combi Security, soi-disant basée en Israël et en Russie, pour recruter des développeurs sans qu’ils sachent qu’ils travaillaient pour des criminels. Les employés pensaient développer des outils de tests de pénétration légitimes alors qu’en réalité, ils créaient des malwares pour attaquer des entreprises. Le site web de Combi Security listait même parmi ses “clients” plusieurs de vraies victimes de FIN7 ! Après les arrestations de 2018, ils ont alors remis ça avec une nouvelle fausse boîte appelée Bastion Secure, avec un processus de recrutement en trois phases qui révélait progressivement la nature criminelle du travail. Les candidats passaient des entretiens RH classiques sur Telegram, signaient des contrats avec clause de confidentialité, puis se retrouvaient à faire du “pentest” sur des réseaux qui étaient en fait des vraies cibles à pirater.

L’organisation interne de Carbanak, c’est du grand art criminel. Ils avaient une hiérarchie claire avec des “gestionnaires de flux monétaires” qui analysaient les infos des ordinateurs infectés, des “chefs de mules” qui géraient les réseaux de blanchiment, et même des techniques de pression pour empêcher les membres de partir. Les opérateurs en position de leadership n’hésitaient pas à faire du chantage et à menacer de “blesser les membres de la famille en cas de démission”. Pour l’extraction d’argent, ils collaboraient d’abord avec la mafia russe jusqu’en 2015, puis avec la mafia moldave pour coordonner le travail des “mules” qui récupéraient le cash des distributeurs piratés.

Le malware Carbanak lui-même est une merveille d’ingénierie malveillante puisqu’il combine des capacités de keylogging, de capture d’écran, d’exécution de commandes à distance et de détection d’applications bancaires spécifiques. Il peut rester dormant pendant des mois, collectant silencieusement des informations avant de frapper. Au début, le groupe utilisait du code basé sur le malware Carberp, mais au fil du temps, ils ont développé leur propre solution complètement originale. En 2019, le code source complet de Carbanak est même apparu sur VirusTotal, donnant aux chercheurs en sécurité un aperçu détaillé de son fonctionnement interne et confirmant sa sophistication technique.

Malgré les arrestations de 2018, l’activité du groupe n’a pas cessé immédiatement. Entre mars et juin 2018, plusieurs nouvelles vagues de phishing liées à Carbanak sont observées, ciblant des banques et des entreprises de traitement de paiements dans différents pays. Six mois après l’arrestation de Denis Katana, le groupe était encore très actif selon les experts, prouvant bien la résilience et la structure décentralisée de cette organisation criminelle.

Surtout, l’impact de Carbanak dépasse largement les pertes financières car leurs attaques ont fondamentalement changé la façon dont les banques approchent la cybersécurité. Elle a démontré que les techniques APT (Advanced Persistent Threat), traditionnellement utilisées pour l’espionnage d’État, pouvaient être détournées pour le crime financier pur et simple. Carbanak a marqué le début d’une nouvelle ère où les cybercriminels ne s’attaquent plus aux clients des banques, mais directement aux banques elles-mêmes.

Du coup, les banques ont dû repenser complètement leur sécurité. Plus question de se contenter de pare-feux et d’antivirus. Il faut maintenant des systèmes de détection comportementale, de la surveillance vidéo des postes de travail critiques, des protocoles de validation multi-niveaux pour les transferts importants, et une formation continue des employés contre le phishing. L’attaque a aussi poussé le secteur à mieux sécuriser les liens entre les ATMs et les systèmes centraux.

Carbanak reste donc aujourd’hui l’exemple parfait de ce que peut accomplir un groupe de cybercriminels déterminés et techniquement compétents. Leur approche méthodique, leur patience de plusieurs mois par cible, leur capacité à s’adapter aux défenses de leurs victimes et leur structure d’organisation quasi-corporate en font un cas d’école.

Avec Carbanak, on sait maintenant qu’il est possible de voler un milliard de dollars sans jamais braquer physiquement une seule banque. Juste avec du code, de la patience et une compréhension profonde des systèmes bancaires. Denis Katana et ses complices ont réussi à accéder à “pratiquement toutes les banques de Russie” et à faire des retraits de distributeurs à Madrid pour un demi-million d’euros, tout ça depuis leur laptop. Ça fait réfléchir sur la vulnérabilité de notre système financier mondial face à des attaquants chevronnés.

Les attaquants peuvent être n’importe où, leurs victimes partout, et l’argent volé transite par des dizaines de pays avant de disparaître dans des cryptomonnaies. La coopération internationale devient alors cruciale, comme l’a montré l’opération coordonnée par Europol, le FBI, la police espagnole et les autorités de plusieurs pays qui a permis les arrestations de 2018.

Sans cette heureuse collaboration, Denis Katana serait probablement encore en train de siroter des cocktails sur la Costa del Sol avec ses bitcoins…

Sources : Kaspersky Lab - Carbanak APT Report , US Department of Justice - FIN7 Arrests , Europol - Carbanak Mastermind Arrest , CrowdStrike - Carbon Spider Analysis , Trend Micro - Carbanak Technical Analysis , Threatpost - Denis Katana Arrest , TechCrunch - Bastion Secure Fake Company , Decrypt - Denis Katana Bitcoin Laundering

Vous recevez un fichier Word et votre premier réflexe, en bon libriste, c’est de lancer LibreOffice qui met 30 minutes à démarrer, juste pour lire trois paragraphes. Ou pire, vous êtes en SSH sur un serveur et là, c’est le drame total, impossible de lire un doc Word là bas. Hé bien ce bon Ben Greenwell en a eu marre de cette galère et a créé doxx , un outil écrit en Rust qui affiche vos .docx directement dans le terminal.

Ce concept m’a rappelé Glow , vous savez, ce magnifique renderer Markdown pour terminal créé par l’équipe de Charm, sauf qu’ici, on s’attaque à un format bien plus casse-pieds : les fichiers Word.

Doxx gère donc non seulement le texte formaté, mais aussi les tableaux avec de jolies bordures Unicode, les listes, et même les images si votre terminal le supporte (Kitty, iTerm2, WezTerm). Et comme c’est écrit en Rust, il parse le XML des fichiers .docx en un clin d’œil.

Pour utiliser l’outil, rien de plus simple :

doxx rapport.docx

Et boom, votre document s’affiche. Vous cherchez quelque chose ?

doxx contrat.docx --search "paiement"

Et il vous surligne toutes les occurrences. Il peut aussi exporter vers d’autres formats comme le Markdown, le CSV pour les tableaux, le JSON pour les devs, ou du plain text pour les puristes.

Pour l’installer, si vous êtes sur macOS avec Homebrew, c’est

brew install doxx

Et pour les rustacés :

cargo install doxx

Les utilisateurs d’Arch ont leur paquet AUR, et il y a même une option Nix et Conda. Bref, peu importe votre setup, vous devriez pouvoir l’installer.

Alors comment ce truc fonctionne pour afficher le format de Microsoft dans le terminal. Et bien c’est simple vous allez voir. En fait, les fichiers .docx sont des archives ZIP contenant du XML. Donc techniquement, vous pourriez les dézipper et parser le XML vous-même avec sed ou awk. Mais qui a envie de faire ça ?

C’est pourquoi doxx utilise la bibliothèque docx-rs pour le parsing, ratatui pour l’interface terminal interactive, et viuer pour l’affichage des images. Bref, c’est solide. Il y a même déjà un port en Go créé par keskinonur qui maintient la parité des fonctionnalités.

Alors oui, Doxx ce n’est pas un éditeur mais juste un viewer mais je trouve quand même que c’est bien pratique ! Donc si vous en avez marre de lancer des applications lourdes juste pour consulter un fichier Word, cet outil mérite clairement le détour.

Vous connaissez l’ Analogue Pocket ? C’est une super console FPGA qui fait tourner vos cartouches Game Boy à la perfection mais qui coûte un bras et reste malheureusement fermée comme une huître.

Et bah Eli Lipsitz a décidé de faire mieux avec Game Bub , et je trouve le résultat vraiment chouette, c’est pour ça que je vous en parle.

Game Bub, c’est donc une **console portable FPGA entièrement open source **qui accepte vos vraies cartouches Game Boy et Game Boy Advance. Et Eli a mis tout en open source , du hardware au software. Du coup, à partir de 249 dollars sur Crowd Supply , c’est déjà plus accessible que la concurrence. Il y a même une édition limitée violette à 299 dollars avec un PCB blanc qui a du style.

Côté specs, on a un écran IPS de 4 pouces en 720x480, une autonomie annoncée de 14 heures et un design qui rappelle clairement la Game Boy originale tout en restant compact. Le FPGA AMD XC7A100T avec ses 101 400 cellules logiques reproduit fidèlement le comportement des puces d’origine, cycle par cycle, sans les approximations de l’émulation software. Avec 32 MiB de SDRAM et 512 KiB de SRAM, la machine a de quoi faire tourner vos jeux sans souci.

Contrairement à ce qu’on entend souvent dans la communauté rétrogaming, le créateur de la Game Bub ne pense pas que le FPGA soit nécessairement supérieur à l’émulation software . Pour lui, les deux approches ont leurs avantages, mais le FPGA permet surtout une compatibilité matérielle parfaite avec les vraies cartouches et les accessoires d’époque.

L’aspect open source change également complètement la donne. Vous voulez modifier le comportement d’un core ? Ajouter le support d’une autre console ? Améliorer l’interface ? Vous pouvez. La communauté peut contribuer, porter de nouveaux systèmes, et personne ne vous empêchera de bidouiller votre machine comme bon vous semble.

Ce qui est cool aussi, c’est que Game Bub embarque des fonctionnalités modernes que n’avait pas votre Game Boy d’époque. On a le Wi-Fi, le Bluetooth LE, un accéléromètre, un gyroscope et même un moteur de vibration. Le microcontrôleur ESP32-S3 gère tout ça, et vous pouvez même sauvegarder et restaurer vos cartouches directement sur la machine !

Le financement participatif a largement dépassé l’objectif initial, avec plus de 175% atteints et les premières unités devraient arriver en février 2026. Eli propose aussi un dock TV à 59 dollars qui transforme votre Game Bub en console de salon, avec support des manettes Xbox, DualShock, DualSense et Switch Pro en Bluetooth. Sympa pour jouer sur grand écran entre potes.

La machine est fabriquée par Soldered Electronics en Croatie et distribuée par Mouser Electronics, ce qui garantit une certaine qualité. Les schémas, les fichiers de fabrication, le code source des cores, tout est disponible sur GitHub sous licence GPLv3 et CC BY-SA 4.0. Comme ça si vous êtes développeur FPGA ou simplement curieux de comprendre comment ça marche, vous avez accès à tout. Livraison à 8 dollars aux États-Unis et 18 dollars dans le reste du monde.

Bref, c’est un super projet, accessible, ouvert, et respectueux des joueurs donc pourquoi pas se laisser tenter ?

Source

Il paraitrait que Microsoft utilise 86Box pour tester son code source vintage… Réalité ou rumeur, on n’en sait rien mais si c’est vrai, ils vont être content car l’émulateur vient de franchir un cap avec sa version 5.0 sortie y’a quelques jours .

La grosse nouveauté qui fait zizir, c’est l’arrivée d’un gestionnaire de machines, réclamé depuis des lustres par la communauté.

Car jusqu’à présent, si vous lanciez 86Box directement, ça créait ou démarrait une machine virtuelle dans le dossier courant. Et ça devient un peu le bordel quand on commence à accumuler les configs. Mais maintenant, l’émulateur s’ouvre avec une interface qui liste toutes vos machines virtuelles, leurs specs, et vous pouvez les organiser proprement. C’est encore en preview, mais ça vient remplacer ce bon vieux 86Box Manager. Après si vous préférez des trucs plus sophistiqués comme Avalonia 86, vous pouvez toujours l’utiliser, mais franchement, pour la plupart des usages, le nouveau manager fait le job.

Les machines sont stockées par défaut dans C:\Users\[username]\86Box VMs sur Windows (comme l’ancien manager), ~/Library/Application Support/86Box/Virtual Machines sur macOS et ~/.local/share/86Box/Virtual Machines sur Linux. Comme ça, vous pouvez déplacer vos anciennes configs là-dedans ou changer le dossier dans les préférences. Un petit détail qui a son importance, pour lancer une machine directement sans passer par le manager, il faut maintenant utiliser l’option -P ou --vmpath avec le chemin de la machine.

Au-delà du manager, cette v5.0 corrige également un souci qui agaçait pas mal de monde, à savoir la fluidité de l’affichage et de la souris sur les écrans qui ont une haute fréquence de rafraîchissement.

Les développeurs ont aussi retravaillé tout le système de timing des frames, le polling des entrées et le rendu vidéo pour que ce soit plus sympa. Et si vous avez une machine un peu faiblarde, vous pourrez aussi ajuster l’option “CPU frame size” sur “Larger frames” pour retrouver le comportement de la v4.2 si besoin.

Côté shaders, le renderer OpenGL 3.0 Core a été complètement refait. Vous pouvez maintenant charger plusieurs shaders, utiliser le format .glslp (celui des émulateurs RetroArch), et configurer les paramètres directement dans l’interface. Parfait pour ceux qui veulent retrouver l’effet scanlines de leur vieux moniteur CRT ou ajouter d’autres filtres nostalgiques.

L’équipe a aussi ajouté le support du dark mode sur Windows (enfin !), des indicateurs d’écriture sur les icônes de la barre de statut, et les raccourcis clavier sont maintenant configurables. D’ailleurs, autre petit changement très important, la combinaison pour libérer la souris est passée de F8+F12 à Ctrl+End sur toutes les plateformes, parce que l’ancienne combo posait des problèmes de compatibilité avec certaines applis.

Pour les amateurs de machines exotiques, cette version ajoute l’OKI if386AX30L qui suit la spécification AX et l’IBM PS/55 Model 5550, deux tentatives d’apporter l’architecture PC compatible sur le marché japonais dominé alors par les NEC PC-98.

Le if386AX51L, un modèle très similaire au if386AX30L

Il y a aussi les premiers lecteurs CD-ROM Panasonic/Matsushita avec leurs interfaces propriétaires d’avant l’ATAPI, et le support du format d’image disque MDS/MDF utilisé par Alcohol 120% et Daemon Tools.

Pour rappel, 86Box n’est pas comme DOSBox qui émule DOS en high-level avec une gestion approximative de la vitesse CPU. Non, 86Box utilise de vrais BIOS et systèmes d’exploitation pour reproduire fidèlement le matériel d’origine avec ses performances et ses limitations réelles. C’est à l’origine un fork de PCem qui continue d’être activement développé, contrairement à son parent qui stagne depuis 2021.

L’émulateur peut faire tourner des systèmes IBM PC de 1981 à 1999, du premier IBM PC 5150 jusqu’aux machines Pentium II. Ça supporte MS-DOS, Windows jusqu’à la version 7 SP1, OS/2, BeOS, NEXTSTEP et même diverses distributions Linux d’époque. Les cartes 3dfx Voodoo sont émulées pour les jeux qui en ont besoin, et vous avez toute la panoplie des cartes son d’époque, de l’AdLib à la Sound Blaster AWE32 en passant par la Gravis UltraSound.

La v5.0 est également la dernière à supporter macOS High Sierra 10.13 et Mojave 10.14 donc la prochaine version nécessitera Catalina 10.15 minimum. Mais pas d’inquiétude pour les Mac Intel, ils restent supportés. Les builds 32 bits ont aussi été abandonnées, mais vous pouvez toujours compiler depuis les sources si vraiment vous en avez besoin.

Pour télécharger cette nouvelle version, direction la page des releases sur GitHub . Vous y trouverez les archives ZIP pour Linux, macOS et Windows. Et si vous voulez soutenir le développement, il y a une page Patreon pour les développeurs.

Source

Il suffit parfois d’un simple scan nmap pour tomber sur une faille monumentale. Et c’est pile poil ce qui est arrivé à Félix Boulet, un chercheur en sécurité qui farfouillait dans le réseau privé de Docker et qui a découvert que l’API interne du Docker Engine traînait tranquillement à l’adresse http://192.168.65.7:2375/, sans aucune authentification. Oui, accessible depuis n’importe quel conteneur qui tourne sur votre machine.

Du coup, la CVE-2025-9074 qui en découle a reçu une note de 9.3 sur l’échelle CVSS, ce qui en fait une vulnérabilité critique. En fait, le problème, c’est que cette API exposée permet à un conteneur malveillant de communiquer directement avec le moteur Docker sans avoir besoin de monter le socket Docker. En gros, deux petites requêtes HTTP POST suffisent pour compromettre entièrement le système hôte. La première crée un conteneur privilégié avec le disque C: monté, et la seconde démarre ce conteneur malveillant…

Sous Windows, la situation est particulièrement préoccupante car le Docker Engine fonctionne via WSL2, ce qui signifie qu’un attaquant pourrait monter l’intégralité du système de fichiers en tant qu’administrateur. À partir de là, il pourrait lire n’importe quel fichier sensible et même remplacer une DLL système pour obtenir des privilèges administrateur complets sur l’hôte. Philippe Dugre, un autre chercheur, a confirmé qu’il pouvait créer des fichiers dans le répertoire home de l’utilisateur sous Windows, chose qu’il n’a pas réussi à faire sur macOS grâce aux protections supplémentaires du système d’Apple.

Ce qui rend cette vulnérabilité encore plus vicieuse, c’est que même la fonction Enhanced Container Isolation (ECI) de Docker ne la bloque pas. Cette protection censée isoler les conteneurs est complètement inefficace face à cette faille et les conteneurs peuvent toujours accéder à l’API et lancer d’autres conteneurs sans restriction. Ça la fout mal…

Sur macOS, l’impact est heureusement plus limité grâce aux mécanismes de sécurité intégrés. L’application Docker Desktop conserve une bonne couche d’isolation et demande la permission à l’utilisateur quand un conteneur tente de monter un répertoire utilisateur. Par défaut, l’application macOS n’a pas accès au reste du système de fichiers et ne s’exécute pas avec des privilèges administratifs, ce qui rend l’hôte beaucoup plus sûr que dans le cas de Windows.

Docker a rapidement réagi (youpi !) et publié la version 4.44.3 de Docker Desktop qui corrige cette vulnérabilité. Donc si vous utilisez Docker Desktop sur Windows ou macOS, installez cette mise à jour immédiatement. Aucune exploitation dans la nature n’a été signalée pour l’instant, mais avec une vulnérabilité aussi simple à exploiter et aux effets potentiellement dévastateur, mieux vaut ne pas traîner.

Pour info, Docker a également mentionné une autre vulnérabilité, la CVE-2025-23266, qui affectait le NVIDIA Container Toolkit en mode CDI jusqu’à la version 1.17.7 . Docker Desktop inclut maintenant la version 1.17.8 qui n’est pas touchée, mais les anciennes versions de Docker Desktop pourraient être affectées si le mode CDI était activement activé. C’est une raison de plus pour mettre à jour vers Docker Desktop 4.44 ou ultérieur.

Bravo Félix !

Source

En 1994, pendant que les autres mômes collectionnent les cartes Pokémon, un gamin de 13 ans fouille les poubelles derrière les magasins d’informatique. HD Moore ne cherche pas de la bouffe… il cherche des cartes mères cassées, des barrettes RAM défectueuses, et tout ce qui pourrait l’aider à construire SA machine. Chaque jour avant l’aube, il se tape 3 km à pied pour arriver à l’école primaire d’Austin, mais au lieu d’aller directement en cours, il se faufile par la fenêtre du labo informatique et en fin de journée, à la bibliothèque du quartier, il emprunte tous les livres et manuels techniques qu’il peut trouver pour comprendre comment fonctionnent vraiment ces machines.

20 ans plus tard, c’est ce même gamin va créer l’arme de destruction massive préférée des pentesters du monde entier. Vous allez voir, l’histoire est complètement dingue.

HD Moore, Harold David Moore de son vrai nom, naît à Honolulu en 1981. Mais contrairement à ce qu’on pourrait croire, il n’a pas grandi en surfant sur les plages hawaïennes. Sa famille déménage constamment** passant dans 13 États différents pendant les années 80**, avant de finalement poser ses valises à Austin, Texas, au début des années 90.

Et là, c’est le début d’une histoire qu’on pourrait qualifier de “la misère à la richesse” version geek. La famille Moore galère financièrement, et HD l’explique sans détour : “On était pauvres. On déménageait souvent, donc j’étais régulièrement dans un nouvel endroit sans ressources. Fouiller les poubelles, même pour la bouffe et les vêtements, c’était notre mode de vie.”

Mais au lieu de se contenter de survivre, le gamin transforme cette galère en opportunité. Il découvre les ordinateurs Apple II dans le labo informatique de son école primaire d’Austin et c’est le coup de foudre immédiat. Sauf que quand t’as pas les moyens de t’acheter un ordi, tu deviens créatif. HD commence donc à fouiller spécifiquement les poubelles des magasins d’informatique, parcourant Austin en bagnole pour récupérer des pièces détachées.

“Je cherchais des pièces d’ordinateur pour essayer de construire une machine parce que ça me donnait quelque chose avec quoi je pouvais jouer et que je pouvais contrôler. D’un point de vue émotionnel, ça me donnait un certain contrôle sur ma propre vie.”

Et le pari fonctionne ! En arrivant au lycée alternatif Gonzalo Garza, HD avait réussi à assembler un vrai 486-DX fonctionnel uniquement avec des composants de récupération. Son prof de maths et informatique, Christian Walker, se souvient encore de lui : “Je ne pouvais rien lui apprendre. La plupart du temps, les étudiants étaient à Gonzalo parce qu’ils avaient foiré leurs notes. Dans le cas de HD, c’était l’inverse. Il était trop intelligent et pas assez challengé par les autres écoles.”

Pendant que ses potes découvrent MTV et les Tamagotchis, HD Moore plonge alors dans l’univers des BBS (Bulletin Board Systems) et d’IRC. On est dans les années 90, Internet n’existe pas encore vraiment pour le grand public, mais ce gamin de 13-14 ans déchiffre déjà les mystères de l’informatique en mode autodidacte total. Et ses farces de l’époque donnent le ton : il se connecte aux tours radio d’Austin avec son modem pour faire clignoter les lumières, et sa connerie la plus épique, c’est quand il a temporairement coupé l’électricité de tout un magasin K-Mart du nord d’Austin juste pour faire une blague à un pote !

Walker découvre vite les talents de son élève et le recrute pour aider à gérer le réseau informatique de l’école. Et c’est là que ça devient dingue car certains jours, HD prend sa caisse et se tape la route jusqu’à Kelly Air Force Base à San Antonio pour faire du boulot de consultant en cybersécurité pour le Département de la Défense américain. Ils le payent même cash en petites coupures pour le garder “off the books” (hors des registres officiels). Il est un consultant fantôme qui audite les systèmes du DoD alors qu’il n’a même pas fini le lycée !

Cette expérience va être déterminante pour la suite. Moore bosse comme pentester dans une boîte, et il se rend compte d’un truc qui le frustre au plus haut point : trouver des vulnérabilités théoriques, c’est bien, mais il faut pouvoir les exploiter réellement pour prouver qu’elles sont dangereuses. Le problème c’est qu’à l’époque, le monde du hacking, c’était un peu le Far West… Chaque exploit était développé de son côté, aucune standardisation, et une galère monstre pour les utiliser. HD passait son temps à valider et nettoyer du code d’exploit pourri, et ça le gavait au plus haut point.

Été 2003. HD Moore, maintenant dans la vingtaine, a une idée qui va changer le game à jamais. Il imagine un framework unifié qui regrouperait tous les exploits connus dans une interface cohérente et pratique. Mais l’inspiration originale est d’ailleurs assez fun car au départ, Moore voulait créer un jeu réseau en mode texte (façon années 80) qui s’appellerait initialement “BFEG” (l’acronyme devrait parler à tous ceux qui ont joué à DOOM), puis “Overkill”. L’idée était que le réseau local serait représenté comme une grille et les machines actives apparaîtraient comme des points sur la carte. Un peu comme un Pac-Man version hacker, quoi. Mais très vite, l’aspect “jeu” passe au second plan et Moore réalise qu’il est en train de créer quelque chose de bien plus important : la boîte à outil ultime du pentesting.

Le nom du projet ? Metasploit.

Quand il montre son projet à son patron, la réaction est glaciale. “Tu veux mettre ce truc en open source ? Donner des armes aux cybercriminels ? T’es malade ?” Le patron refuse alors catégoriquement que HD utilise Metasploit au boulot. Certains clients menacent même de rompre leurs contrats si HD continue à publier des exploits sur leurs produits. Par exemple, un mec de chez Microsoft n’arrêtait pas d’appeler le CEO de la boîte de HD en disant qu’ils devaient l’empêcher de publier des exploits et le virer, sinon ils supprimeraient la licence de partenariat de l’entreprise. La pression était énorme sur ses collègues, son patron et le CEO pour qu’ils se débarrassent de lui.

HD admet lui-même qu’une partie de Metasploit a été créée “par dépit”, pour faire chier ses détracteurs, ses employeurs, tous ces gardiens de la cybersécurité qui le regardaient de haut. C’est quelque chose qu’il assume totalement ! Sa femme avait même créé un “get HD out of jail fund” au cas où ses activités lui causeraient des problèmes légaux.

Puis en octobre 2003, HD publie la première version publique de Metasploit, quelques jours avant ses 23 ans. Elle contient la bagatelle de… 11 exploits. Quand je pense qu’aujourd’hui Metasploit en contient plusieurs milliers, ça fait sourire, mais déjà, l’essentiel est là, à savoir une interface unifiée, des payloads modulaires, et surtout une philosophie claire.

Il présente alors officiellement son bébé à la conférence Hack-in-the-Box en Malaisie. Et là, c’est le début d’une collaboration épique ! Il rencontre un développeur qui va marquer l’histoire du projet : Spoonm. L’anecdote de leur première rencontre est mythique. Spoonm lui envoie un mail cash : “Your software sucks.” (Ton logiciel, c’est de la merde). La réponse de HD ? “OK, why don’t you rewrite it?” (OK, alors pourquoi tu ne le réécris pas ?). Et devine quoi ? Il l’a fait ! Moore avait compris un truc essentiel sur la communauté hacker comme il l’explique : “Dans la communauté d’exploits, il faut faire appel à l’ego. En faire un défi. C’est de ça qu’ils vivent.”

Cette Metasploit 2.0, sortie en avril 2004, c’est la révolution. 19 exploits, 27 payloads, et surtout une architecture modulaire qui permet de mixer et de matcher les composants. Spoonm devient un développeur lead du projet, et HD avait trouvé sa méthode à savoir pas d’attitude moralisatrice, juste du défi technique pur.

Un autre génie rejoint alors l’équipe peu après… Il s’agit de Matt Miller, alias “skape” et ce mec, c’est le Mozart du code d’exploitation. Développeur le jour, chercheur en sécurité la nuit, skape va créer Meterpreter, le payload ultime de Metasploit. C’est un agent qui s’installe en mémoire sur la machine compromise, invisible, persistant, avec des capacités de post-exploitation hallucinantes. Une simple commande, “hashdump”, et vous récupérez tous les mots de passe du système. Il contribue aussi à plein d’autres trucs comme l’injection VNC et de nombreuses autres avancées de payload. Cette collaboration va durer quelques années jusqu’à ce que skape soit recruté par Microsoft en 2008. C’est drôle quand on sait que Microsoft voulait faire virer HD ! Et fun fact, skape a aussi développé SEHOP , une technologie de mitigation qui a pratiquement tué les exploits basés sur SEH overflow.

Matt Miller

Puis en 2007, grosse décision, Metasploit est entièrement réécrit en Ruby. Un travail de titan de 18 mois de développement, et plus de 150 000 lignes de code à écrire from scratch. Metasploit 3.0 sort, et là, c’est plus un outil, c’est une plateforme complète. Interface au top, architecture modulaire, extensibilité infinie… Un pur bonheur pour tout pentester qui se respecte.

Mais HD Moore ne se contente pas de Metasploit car il continue d’innover en permanence. En 2006, il lance le “Month of Browser Bugs” (MoBB), une initiative où il sort une vulnérabilité de navigateur par jour pendant tout le mois de juillet. Les hacks publiés sont soigneusement choisis pour démontrer un concept sans révéler un chemin direct vers l’exécution de code à distance, mais ça fait quand même un tabac ! Il trouve des bugs dans Opera 9, Internet Explorer 6, Internet Explorer 7, et probablement Safari ou Konqueror. L’objectif c’est de forcer les éditeurs à patcher plus vite et sensibiliser le public aux failles de sécurité. Le concept fait tellement de bruit qu’il inspire toute une série d’initiatives similaires : Month of Apple Bugs, Month of PHP Bugs, Month of Kernel Bugs… Moore a littéralement créé un mouvement de disclosure coordonnée.

Mais son projet le plus fou, c’est en 2012 avec Critical.io. Ce projet scanne l’intégralité d’Internet pour identifier les machines vulnérables aux nouvelles failles. Et là, c’est le jackpot puisque Moore découvre une des vulnérabilités les plus critiques de l’histoire d’Internet, une faille UPnP (Universal Plug and Play) qui touche entre 40 et 50 millions d’appareils connectés. Pour vous donner une idée de l’ampleur du truc, avec un simple paquet UDP, on pouvait prendre le contrôle total de millions de routeurs, imprimantes, caméras IP et autres objets connectés. 81 millions d’adresses IP différentes ont répondu aux requêtes UPnP de Rapid7, touchant plus de 6900 produits différents de 1500 fournisseurs ! Une catastrophe potentielle que Moore révèle au grand jour, forçant les constructeurs à réagir en urgence.

2009, année charnière. Le 21 octobre, Rapid7 rachète Metasploit. La communauté open source est en panique totale. “C’est fini, ils vont tout fermer, transformer ça en produit commercial hors de prix !” Les forums s’enflamment, les développeurs menacent de forker le projet. La nouvelle tombe comme un coup de tonnerre, et les réactions sont mitigées. Certains hackers sont carrément pas contents, refusant de contribuer aux produits d’une boîte commerciale.

Mais HD, lui, voit les choses différemment : “C’est plus un buy-in qu’un sell-out”, dit-il. “Il s’agit de faire passer Metasploit au niveau supérieur avec une vraie entreprise et un vrai financement.” Et le pari est osé car HD et ses co-développeurs avaient toujours travaillé sur Metasploit après les heures de bureau, pendant les pauses déjeuner et les week-ends et là, pour la première fois, il peut bosser dessus à temps plein. “Je peux maintenant faire une fonctionnalité en une journée de travail, pas sur tout un week-end… Je suis excité de pouvoir travailler dessus à temps plein.”

HD devient Chief Security Officer puis Chief Research Officer chez Rapid7, mais il garde le contrôle architectural de son bébé jusqu’en 2016. Et là, surprise, non seulement Metasploit Framework reste open source et gratuit, mais Rapid7 investit massivement dedans. Rapid7 promet de financer 5 développeurs à temps plein pour travailler sur le projet et Moore insiste en disant que tout le logiciel développé par la nouvelle équipe restera libre et open source. “Rien de ce que les gens utilisent aujourd’hui ne va disparaître”, assure-t-il. Le pari est gagnant car avec les ressources de Rapid7, Metasploit explose littéralement. Les cycles de release passent de 9-12 mois à une release par semaine. L’équipe de développement passe de quelques bénévoles à une équipe dédiée de 5 chercheurs.

Et les chiffres parlent car au moment où Rapid7 acquiert le projet, ils n’avaient qu’environ 33 000 utilisateurs basés sur les stats subversion. Deux ans plus tard, post-Rapid7, ils étaient passés à 200 000 à 300 000 utilisateurs mensuels ! En 2009, il y avait un total de 17 personnes qui avaient contribué à Metasploit. En 2014, on est passé à environ 150 personnes qui ont contribué à Metasploit cette année-là, et sur les 400 contributeurs environ sur toute la vie de Metasploit, près de la moitié avaient commité quelque chose dans les 12 mois précédant 2014.

Il y a eu plus de commits dans les 12 premiers mois post-acquisition que dans les trois années précédentes !

L’écosystème Metasploit devient alors complètement dingue. Raphael Mudge crée Armitage en 2010, une interface graphique qui rend Metasploit accessible aux noobs du CLI puis plus tard, Mudge développe Cobalt Strike en 2012, qui deviendra l’outil de référence des red teams professionnelles. Les chiffres donnent le vertige. De 11 exploits en 2003, Metasploit passe alors à plus de 1500 exploits intégrés et 4000+ modules d’exploitation en 2025. Le framework contient maintenant plus de 6000 modules au total. Les payloads supportent PPC, MIPS et ARM, permettant de cibler les systèmes embarqués et l’IoT.

Armitage, l’interface graphique de Metasploit

En 2016, après 7 ans chez Rapid7, Moore décide alors qu’il est temps de passer à autre chose. Il quitte l’entreprise (tout en restant consultant pour Metasploit) et se lance dans une nouvelle aventure. En 2018, il crée Rumble Network Discovery, qui deviendra plus tard runZero .

Son constat c’est que même avec tous les outils de sécurité du monde, les entreprises se font encore pirater par des machines qu’elles ne connaissent pas. En effet, le problème fondamental, c’est qu’on ne peut pas sécuriser ce qu’on ne voit pas.

Super HD, toujours en train de résoudre les vrais problèmes que l’industrie préfère ignorer ! “C’est vraiment chouette de prendre l’approche que j’avais utilisée précédemment pour la découverte de réseaux externes et de l’appliquer ensuite au côté interne”, dit-il. “Nous pouvons le faire pour les entreprises derrière leur pare-feu et dans leurs réseaux internes et toutes leurs connexions cloud, VPN, et liens multisites et régionaux.”

runZero, c’est donc la réponse de Moore à ce défi. Et contrairement aux scanners de vulnérabilités classiques, son outil se concentre sur la découverte d’assets et la cartographie des réseaux. Sa philosophie sur ce projet c’est “zéro barrière pour le déploiement, zéro inconnu sur votre réseau”. Et visiblement, ça marche puisque runZero lève 5 millions de dollars en 2019, puis 15 millions supplémentaires en 2024. L’entreprise suit même les traces de Metasploit avec une reconnaissance Gartner comme “Customers’ Choice” dans la catégorie CAASM (Cyber Asset Attack Surface Management). Pas mal !!

En 2025, HD Moore reste une figure incontournable de la cybersécurité mondiale et continue de donner des conférences dans les plus gros événements du secteur tels que BSidesSF, RSA Conference, NorthSec. Son talk récent “A Pirate’s Guide to Snake Oil & Security” au NSEC a même fait sensation avec sa critique acerbe de l’industrie de la sécurité. Et son interview récente pour RSA 2025 sur “la mort et la renaissance du vulnerability management” montre qu’il n’a rien perdu de sa vision disruptive.

Bien avant HD Moore, le pentesting était réservé à une élite. Les outils commerciaux coûtaient une fortune (genre Core Impact à 30 000$ par an), les exploits publics étaient pourris, et partager ses connaissances était mal vu. Heureusement HD a tout pété et a démocratisé l’offensive security, légitimé la recherche en sécurité, et créé une communauté mondiale de chercheurs qui collaborent ouvertement.

Ses détracteurs diront qu’il a armé les cybercriminels et c’est vrai que Metasploit est utilisé par les méchants. Mais c’est aussi vrai que sans Metasploit, des milliers d’entreprises n’auraient jamais pu tester correctement leurs défenses, les pentesters indépendants n’auraient jamais pu concurrencer les grosses boîtes de sécu sans cet accès à des outils professionnels. Et quand on lui demande pourquoi il a créé Metasploit, HD répond simplement qu’il en avait marre de valider et nettoyer du code d’exploit pourri. Pas pour la gloire, pas pour l’argent (il a mis des années avant de gagner un centime avec Metasploit), mais juste pour résoudre un problème pratique qui l’emmerdait.

Vingt-deux ans après sa création, Metasploit continue d’évoluer. Les modules pour Kubernetes, les exploits pour le cloud AWS/Azure/GCP, les attaques contre l’IA et le machine learning… Le framework s’adapte constamment aux nouvelles menaces. Les releases hebdomadaires apportent régulièrement de nouveaux modules qui chaînent des vulnérabilités pour des attaques sophistiquées.

Et HD Moore ? Et bien à 44 ans, il continue de hacker, mais cette fois-ci c’est l’industrie de la cybersécurité elle-même qu’il essaie de disrupter avec runZero.

Bref la prochaine fois que vous lancerez msfconsole, pensez à ce gamin faisant les poubelles d’Austin qui a décidé un jour de faire évoluer le milieu du pentest…

Sources : Darknet Diaries Episode 114 - HD , Rapid7 - Metasploit Anniversary , Wikipedia - H.D. Moore , Wikipedia - Metasploit , Threat Picture - HD Moore , O’Reilly - History of Metasploit , Hacker Valley - HD Moore Interview , Dark Reading - runZero , Dark Reading - One Year After Acquisition , Metasploit Official , Cobalt Strike - Raphael Mudge , Rapid7 - Metasploit Documentation , Hacker History - HD Moore , InfoWorld - The mind of HD Moore , Slashdot - Metasploit Project Sold To Rapid7 , The Register - UPnP scan shows 50 million network devices open to packet attack , Wikipedia - Month of bugs

Google c’est trop des dingos. Du jour au lendemain, ils transforme un écosystème entier juste parce que ça les fait marrer. Bon, j’abuse un peu, mais par exemple, hier, ils ont décider de s’attaquer à un problème épineux : Comment faire le ménage dans l’univers des apps Android sans pour autant tuer la poule aux oeufs d’or ?

Et leur solution ça va être d’exiger la vérification de l’identité des développeurs pour TOUTES les installations d’applications sur les appareils Android certifiés. Et quand je dis toutes, c’est vraiment toutes : Play Store, stores tiers, et même le fameux sideloading. Oui, je sais, ça vous stresse un peu, mais vous allez voir, c’est pour le bien de tout le monde.

Pour comprendre l’ampleur du changement, il faut savoir que jusqu’à présent, seuls les développeurs du Play Store devaient passer par cette vérification. Selon Android Authority , Google étend maintenant ce système à tous les canaux de distribution Android avec pour objectif de combattre les malwares et les arnaques financières qui pullulent dans l’écosystème.

Le processus de vérification lui-même ressemble à “un contrôle d’identité à l’aéroport”, selon Google. Il s’agit de confirmer l’identité du développeur sans pour autant examiner le contenu des applications. Notez qu’il y aurait 50 fois plus de malwares provenant du sideloading que du Play Store, donc c’est peut-être pas une si mauvaise idée.

Google a même prévu un système séparé pour les étudiants et les développeurs amateurs puisque ces derniers bénéficieront d’un processus de vérification allégé, différent de celui imposé aux développeurs commerciaux. C’est pas con, je trouve car ça évite d’écraser la créativité et l’apprentissage sous le poids des contraintes administratives. Donc normalement, vous pourrez toujours vous dev une app custom rien que pour vous sans que ce soit trop contraignant.

Cette mesure s’appliquera dès 2026, mais ça va se passer en plusieurs étapes. D’abord il va y avoir un programme d’accès anticipé en octobre 2025 pour les développeurs motivés, puis ensuite une ouverture complète du processus de vérification en mars 2026. Les premiers utilisateurs concernés seront au Brésil, en Indonésie, à Singapour et en Thaïlande dès septembre 2026, avant un déploiement final mondial en 2027.

Pour les développeurs déjà présents sur le Play Store, la transition devrait être relativement douce car la plupart remplissent probablement déjà les critères de vérification. La nouvelle Android Developer Console, spécialement conçue pour ceux qui ne distribuent que hors du Play Store, nécessitera les informations légales habituelles, un numéro D-U-N-S pour les organisations, et évidemment des frais de 25 dollars.

Google assure que leur but n’est pas de contrôler le contenu des applications, mais bien de s’assurer qu’on sache qui se cache derrière chaque app. D’ailleurs, les autorités gouvernementales des pays pilotes ont accueilli favorablement cette initiative, y voyant un moyen de protéger les utilisateurs tout en préservant l’ouverture d’Android.

Maintenant, reste à voir si l’écosystème suivra le mouvement ou si y’aura de la résistance…

Source

Parfois, l’histoire des entreprises tech tient à des détails complètement inattendus. Celle de Rogue Amoeba, l’éditeur d’Audio Hijack et autres outils audio pour Mac, en est l’exemple parfait puisqu’un simple bug de programmation a littéralement sauvé la boîte de la fermeture.

Tout commence avec une version d’essai très généreuse… Audio Hijack offrait en effet 15 jours complets d’utilisation illimitée. Et après cette période, l’app continuait de fonctionner mais rappelait à l’utilisateur de s’enregistrer au démarrage et se fermait automatiquement au bout de 15 minutes. Une approche classique mais qui ne donnait malheureusement pas les résultats espérés.

Du coup, les ventes étaient naze et Rogue Amoeba restait pour ses créateurs, un projet parallèle, sans perspective de devenir une vraie entreprise. Les fondateurs savaient qu’ils avaient un outil utile entre les mains, mais le marché ne semblait pas les suivre… Beaucoup auraient jeté l’éponge.

Puis est arrivée cette fameuse version 1.6 d’Audio Hijack. C’était une release qui n’avait rien d’extraordinaire sur le papier, mais qui allait tout changer. Car de façon complètement inattendue et sans explication apparente, les ventes ont décollé. D’abord à un niveau viable, puis se sont stabilisés à ce nouveau palier.

Au début, l’équipe n’y comprenait rien. Qu’est-ce qui pouvait expliquer cette remontée soudaine ? Et ils ont fini par identifier la cause : un bug. Un magnifique bug qui avait cassé le système de la version d’essai tel qu’il était prévu. Au lieu de 15 jours d’utilisation complète, la version 1.6 limitait directement le temps d’enregistrement dès le premier lancement.

Et cette “erreur” a eu un impact phénoménal sur l’entreprise car en raccourcissant drastiquement la période d’évaluation, cela poussait les utilisateurs à passer à l’acte d’achat beaucoup plus rapidement. Du coup, les ventes sont montées à un niveau où il valait enfin la peine de continuer à développer et améliorer Audio Hijack.

Et en moins d’un an, Rogue Amoeba est devenu un travail à temps plein pour ses trois fondateurs. Aujourd’hui, l’entreprise emploie une douzaine de personnes et propose toute une gamme d’outils audio reconnus sur Mac. Et sans ce bug fortuit, Paul Kafasis et ses associés auraient probablement abandonné leur aventure entrepreneuriale.

Bref, cette erreur de code a sauvé à la fois Audio Hijack et leur entreprise qui 23 ans plus tard, continue de prospérer ! C’est beau non ?

Source

Vous souvenez-vous de ces après-midi de votre jeunesse passées devant votre Mac à explorer des mondes pixellisés remplis de mystères et d’aventures ? Et bien les développeurs de ScummVM viennent de nous offrir un voyage dans le temps absolument dingue en ressuscitant tout un pan oublié de l’histoire du jeu vidéo.

En effet, l’équipe ScummVM a accompli un travail de titan à savoir reverse-engineerer complètement le moteur World Builder. Selon l’annonce officielle , ce sont donc plus de 160 jeux créés avec cet outil légendaire qui deviennent soudain jouables sur nos machines modernes.

World Builder, pour ceux qui n’ont pas connu cette époque, c’était un peu le GameMaker de l’époque du Mac classic. C’était un système de création de jeux d’aventure point-and-click qui a permis à des milliers de développeurs amateurs de concrétiser leurs idées les plus folles. Le truc génial, c’est que la plupart de ces créations étaient distribuées en freeware ou shareware, ce qui explique pourquoi ScummVM peut maintenant les proposer dans un gros pack téléchargeable.

Parmi les titres qui ressurgissent de ces limbes numériques, on trouve des perles comme “Ray’s Maze”, où le héros doit s’échapper d’un labyrinthe truffé de monstres et de pièges mortels. Il y a aussi “Radical Castle”, qui vous met dans la peau d’un écuyer chargé de récupérer un mystérieux “Oracle” pour éviter un châtiment fatal. Et puis “Enhanced Scepters”, qui a la particularité d’être le tout premier jeu commercial créé avec World Builder.

Comme d’hab, lobjectif de ScummVM reste le même depuis ses débuts c’est à dire préserver et rendre les jeux classiques accessibles à tous en permettant à ces titres anciens de tourner sur des plateformes contemporaines.

En tout cas, chapeau pour le travail accompli car reverse un moteur de jeu complet, même s’il est ancien, c’est déjà quelque chose, alors en plus s’attaquer à World Builder et parvenir à faire fonctionner plus de 160 titres différents, c’est carrément héroïque, car chaque jeu avait ses spécificités, ses petites bidouilles, ses façons particulières d’exploiter les capacités du moteur.

Si vous voulez tester, pour l’instant, il faudra utiliser une build de développement de ScummVM plutôt que la version stable pour profiter de cette nouveauté. L’équipe invite d’ailleurs les testeurs à remonter les bugs via leur système de tracking et à les contacter s’ils tombent sur des jeux ou des démos non reconnus.

Voilà, après les classiques LucasArts et Sierra, voici qu’un nouveau pan entier de la création amateur Mac refait surface. Y’a de quoi occuper nos soirées nostalgiques pour les mois à venir….

Source

Plutôt que de créer des modèles spécialisés pour chaque domaine, les équipes de Google Research ont eu une idée beaucoup plus ambitieuse. Ils se sont demandé si un seul modèle pouvait prédire l’évolution de n’importe quelle série temporelle, qu’il s’agisse du cours du Bitcoin, de la consommation électrique d’une ville ou du trafic sur Korben.info ?

C’est donc ce qu’accomplit TimesFM , leur nouveau modèle de prévision temporelle et pour cela, ils ont entraîné TimesFM sur un corpus de 100 milliards de points temporels réels, en piochant dans des sources aussi variées que Google Trends ou encore les statistiques de pages vues de Wikipedia.

Le génie de cette approche réside dans le choix des données d’entraînement car les tendances de recherche Google et les consultations Wikipedia reflètent naturellement des patterns temporels qu’on retrouve dans beaucoup de séries de données réelles.

Techniquement, TimesFM adopte uniquement une architecture de type transformer décodeur, similaire aux grands modèles de langage qu’on connaît tous. Mais au lieu de traiter des mots, il découpe les séries temporelles en “patches”, c’est à dire des groupes de points temporels consécutifs qu’il traite comme des tokens. Cette astuce permet au modèle de prédire des horizons plus longs de façon plus efficace, avec moins d’étapes de génération.

La version disponible sur GitHub propose deux variantes : TimesFM 1.0 avec 200M de paramètres qui gère des contextes jusqu’à 512 points temporels, et TimesFM 2.0 avec 500M de paramètres qui étend ce contexte à 2048 points avec des performances jusqu’à 25% supérieures.

Ce qui m’impressionne le plus, c’est la capacité de généralisation du modèle car sans aucun entraînement spécifique sur les datasets de test, TimesFM arrive à rivaliser avec des modèles supervisés entraînés explicitement sur ces données. Il surpasse par exemple DeepAR et llmtime (une approche basée sur GPT-3) de plus de 25%, ce qui est pas mal pour un modèle qui découvre ces données pour la première fois.

L’intégration dans l’écosystème Google est également déjà en cours puisque Google Cloud a intégré TimesFM dans BigQuery ML, permettant aux utilisateurs de faire de la prévision via la fonction AI.FORECAST sans avoir besoin de créer et d’entraîner leurs propres modèles.

L’approche adoptée révèle aussi une philosophie intéressante chez Google Research car plutôt que de multiplier les modèles spécialisés, ils misent sur des modèles de fondation capables de généralisation. C’est la même logique qui a donné naissance aux LLM universels, mais appliquée maintenant au domaine temporel.

Pour les dev qui veulent tester, le modèle est disponible en open source sous licence Apache 2.0 et fonctionne avec numpy et pandas. Il faut juste prévoir au minimum 32GB de RAM, ce qui reste raisonnable pour un modèle de cette puissance.

J’sais pas ce que ça va donner à long terme, mais j’ai trouvé ça intéressant et TimesFM pourrait bien change la façon dont on aborde la prédiction dans des domaines aussi variés que la finance, la météorologie ou la gestion énergétique.

Source