Il suffit parfois d’un simple scan nmap pour tomber sur une faille monumentale. Et c’est pile poil ce qui est arrivé à Félix Boulet, un chercheur en sécurité qui farfouillait dans le réseau privé de Docker et qui a découvert que l’API interne du Docker Engine traînait tranquillement à l’adresse http://192.168.65.7:2375/, sans aucune authentification. Oui, accessible depuis n’importe quel conteneur qui tourne sur votre machine.
Du coup, la CVE-2025-9074 qui en découle a reçu une note de 9.3 sur l’échelle CVSS, ce qui en fait une vulnérabilité critique. En fait, le problème, c’est que cette API exposée permet à un conteneur malveillant de communiquer directement avec le moteur Docker sans avoir besoin de monter le socket Docker. En gros, deux petites requêtes HTTP POST suffisent pour compromettre entièrement le système hôte. La première crée un conteneur privilégié avec le disque C: monté, et la seconde démarre ce conteneur malveillant…
Sous Windows, la situation est particulièrement préoccupante car le Docker Engine fonctionne via WSL2, ce qui signifie qu’un attaquant pourrait monter l’intégralité du système de fichiers en tant qu’administrateur. À partir de là, il pourrait lire n’importe quel fichier sensible et même remplacer une DLL système pour obtenir des privilèges administrateur complets sur l’hôte. Philippe Dugre, un autre chercheur, a confirmé qu’il pouvait créer des fichiers dans le répertoire home de l’utilisateur sous Windows, chose qu’il n’a pas réussi à faire sur macOS grâce aux protections supplémentaires du système d’Apple.
Ce qui rend cette vulnérabilité encore plus vicieuse, c’est que même la fonction Enhanced Container Isolation (ECI) de Docker ne la bloque pas. Cette protection censée isoler les conteneurs est complètement inefficace face à cette faille et les conteneurs peuvent toujours accéder à l’API et lancer d’autres conteneurs sans restriction. Ça la fout mal…
Sur macOS, l’impact est heureusement plus limité grâce aux mécanismes de sécurité intégrés. L’application Docker Desktop conserve une bonne couche d’isolation et demande la permission à l’utilisateur quand un conteneur tente de monter un répertoire utilisateur. Par défaut, l’application macOS n’a pas accès au reste du système de fichiers et ne s’exécute pas avec des privilèges administratifs, ce qui rend l’hôte beaucoup plus sûr que dans le cas de Windows.
Docker a rapidement réagi (youpi !) et publié la version 4.44.3 de Docker Desktop qui corrige cette vulnérabilité. Donc si vous utilisez Docker Desktop sur Windows ou macOS, installez cette mise à jour immédiatement. Aucune exploitation dans la nature n’a été signalée pour l’instant, mais avec une vulnérabilité aussi simple à exploiter et aux effets potentiellement dévastateur, mieux vaut ne pas traîner.
Pour info, Docker a également mentionné une autre vulnérabilité, la CVE-2025-23266, qui affectait le NVIDIA Container Toolkit en mode CDI jusqu’à la version 1.17.7 . Docker Desktop inclut maintenant la version 1.17.8 qui n’est pas touchée, mais les anciennes versions de Docker Desktop pourraient être affectées si le mode CDI était activement activé. C’est une raison de plus pour mettre à jour vers Docker Desktop 4.44 ou ultérieur.
En 1994, pendant que les autres mômes collectionnent les cartes Pokémon, un gamin de 13 ans fouille les poubelles derrière les magasins d’informatique. HD Moore ne cherche pas de la bouffe… il cherche des cartes mères cassées, des barrettes RAM défectueuses, et tout ce qui pourrait l’aider à construire SA machine. Chaque jour avant l’aube, il se tape 3 km à pied pour arriver à l’école primaire d’Austin, mais au lieu d’aller directement en cours, il se faufile par la fenêtre du labo informatique et en fin de journée, à la bibliothèque du quartier, il emprunte tous les livres et manuels techniques qu’il peut trouver pour comprendre comment fonctionnent vraiment ces machines.
20 ans plus tard, c’est ce même gamin va créer l’arme de destruction massive préférée des pentesters du monde entier. Vous allez voir, l’histoire est complètement dingue.
HD Moore, Harold David Moore de son vrai nom, naît à Honolulu en 1981. Mais contrairement à ce qu’on pourrait croire, il n’a pas grandi en surfant sur les plages hawaïennes. Sa famille déménage constamment** passant dans 13 États différents pendant les années 80**, avant de finalement poser ses valises à Austin, Texas, au début des années 90.
Et là, c’est le début d’une histoire qu’on pourrait qualifier de “la misère à la richesse” version geek. La famille Moore galère financièrement, et HD l’explique sans détour : “On était pauvres. On déménageait souvent, donc j’étais régulièrement dans un nouvel endroit sans ressources. Fouiller les poubelles, même pour la bouffe et les vêtements, c’était notre mode de vie.”
Mais au lieu de se contenter de survivre, le gamin transforme cette galère en opportunité. Il découvre les ordinateurs Apple II dans le labo informatique de son école primaire d’Austin et c’est le coup de foudre immédiat. Sauf que quand t’as pas les moyens de t’acheter un ordi, tu deviens créatif. HD commence donc à fouiller spécifiquement les poubelles des magasins d’informatique, parcourant Austin en bagnole pour récupérer des pièces détachées.
“Je cherchais des pièces d’ordinateur pour essayer de construire une machine parce que ça me donnait quelque chose avec quoi je pouvais jouer et que je pouvais contrôler. D’un point de vue émotionnel, ça me donnait un certain contrôle sur ma propre vie.”
Et le pari fonctionne ! En arrivant au lycée alternatif Gonzalo Garza, HD avait réussi à assembler un vrai 486-DX fonctionnel uniquement avec des composants de récupération. Son prof de maths et informatique, Christian Walker, se souvient encore de lui : “Je ne pouvais rien lui apprendre. La plupart du temps, les étudiants étaient à Gonzalo parce qu’ils avaient foiré leurs notes. Dans le cas de HD, c’était l’inverse. Il était trop intelligent et pas assez challengé par les autres écoles.”
Pendant que ses potes découvrent MTV et les Tamagotchis, HD Moore plonge alors dans l’univers des BBS (Bulletin Board Systems) et d’IRC. On est dans les années 90, Internet n’existe pas encore vraiment pour le grand public, mais ce gamin de 13-14 ans déchiffre déjà les mystères de l’informatique en mode autodidacte total. Et ses farces de l’époque donnent le ton : il se connecte aux tours radio d’Austin avec son modem pour faire clignoter les lumières, et sa connerie la plus épique, c’est quand il a temporairement coupé l’électricité de tout un magasin K-Mart du nord d’Austin juste pour faire une blague à un pote !
Walker découvre vite les talents de son élève et le recrute pour aider à gérer le réseau informatique de l’école. Et c’est là que ça devient dingue car certains jours, HD prend sa caisse et se tape la route jusqu’à Kelly Air Force Base à San Antonio pour faire du boulot de consultant en cybersécurité pour le Département de la Défense américain. Ils le payent même cash en petites coupures pour le garder “off the books” (hors des registres officiels). Il est un consultant fantôme qui audite les systèmes du DoD alors qu’il n’a même pas fini le lycée !
Cette expérience va être déterminante pour la suite. Moore bosse comme pentester dans une boîte, et il se rend compte d’un truc qui le frustre au plus haut point : trouver des vulnérabilités théoriques, c’est bien, mais il faut pouvoir les exploiter réellement pour prouver qu’elles sont dangereuses. Le problème c’est qu’à l’époque, le monde du hacking, c’était un peu le Far West… Chaque exploit était développé de son côté, aucune standardisation, et une galère monstre pour les utiliser. HD passait son temps à valider et nettoyer du code d’exploit pourri, et ça le gavait au plus haut point.
Été 2003. HD Moore, maintenant dans la vingtaine, a une idée qui va changer le game à jamais. Il imagine un framework unifié qui regrouperait tous les exploits connus dans une interface cohérente et pratique. Mais l’inspiration originale est d’ailleurs assez fun car au départ, Moore voulait créer un jeu réseau en mode texte (façon années 80) qui s’appellerait initialement “BFEG” (l’acronyme devrait parler à tous ceux qui ont joué à DOOM), puis “Overkill”. L’idée était que le réseau local serait représenté comme une grille et les machines actives apparaîtraient comme des points sur la carte. Un peu comme un Pac-Man version hacker, quoi. Mais très vite, l’aspect “jeu” passe au second plan et Moore réalise qu’il est en train de créer quelque chose de bien plus important : la boîte à outil ultime du pentesting.
Le nom du projet ? Metasploit.
Quand il montre son projet à son patron, la réaction est glaciale. “Tu veux mettre ce truc en open source ? Donner des armes aux cybercriminels ? T’es malade ?” Le patron refuse alors catégoriquement que HD utilise Metasploit au boulot. Certains clients menacent même de rompre leurs contrats si HD continue à publier des exploits sur leurs produits. Par exemple, un mec de chez Microsoft n’arrêtait pas d’appeler le CEO de la boîte de HD en disant qu’ils devaient l’empêcher de publier des exploits et le virer, sinon ils supprimeraient la licence de partenariat de l’entreprise. La pression était énorme sur ses collègues, son patron et le CEO pour qu’ils se débarrassent de lui.
HD admet lui-même qu’une partie de Metasploit a été créée “par dépit”, pour faire chier ses détracteurs, ses employeurs, tous ces gardiens de la cybersécurité qui le regardaient de haut. C’est quelque chose qu’il assume totalement ! Sa femme avait même créé un “get HD out of jail fund” au cas où ses activités lui causeraient des problèmes légaux.
Puis en octobre 2003, HD publie la première version publique de Metasploit, quelques jours avant ses 23 ans. Elle contient la bagatelle de… 11 exploits. Quand je pense qu’aujourd’hui Metasploit en contient plusieurs milliers, ça fait sourire, mais déjà, l’essentiel est là, à savoir une interface unifiée, des payloads modulaires, et surtout une philosophie claire.
Il présente alors officiellement son bébé à la conférence Hack-in-the-Box en Malaisie. Et là, c’est le début d’une collaboration épique ! Il rencontre un développeur qui va marquer l’histoire du projet : Spoonm. L’anecdote de leur première rencontre est mythique. Spoonm lui envoie un mail cash : “Your software sucks.” (Ton logiciel, c’est de la merde). La réponse de HD ? “OK, why don’t you rewrite it?” (OK, alors pourquoi tu ne le réécris pas ?). Et devine quoi ? Il l’a fait ! Moore avait compris un truc essentiel sur la communauté hacker comme il l’explique : “Dans la communauté d’exploits, il faut faire appel à l’ego. En faire un défi. C’est de ça qu’ils vivent.”
Cette Metasploit 2.0, sortie en avril 2004, c’est la révolution. 19 exploits, 27 payloads, et surtout une architecture modulaire qui permet de mixer et de matcher les composants. Spoonm devient un développeur lead du projet, et HD avait trouvé sa méthode à savoir pas d’attitude moralisatrice, juste du défi technique pur.
Un autre génie rejoint alors l’équipe peu après… Il s’agit de Matt Miller, alias “skape” et ce mec, c’est le Mozart du code d’exploitation. Développeur le jour, chercheur en sécurité la nuit, skape va créer Meterpreter, le payload ultime de Metasploit. C’est un agent qui s’installe en mémoire sur la machine compromise, invisible, persistant, avec des capacités de post-exploitation hallucinantes. Une simple commande, “hashdump”, et vous récupérez tous les mots de passe du système. Il contribue aussi à plein d’autres trucs comme l’injection VNC et de nombreuses autres avancées de payload. Cette collaboration va durer quelques années jusqu’à ce que skape soit recruté par Microsoft en 2008. C’est drôle quand on sait que Microsoft voulait faire virer HD ! Et fun fact, skape a aussi développé SEHOP, une technologie de mitigation qui a pratiquement tué les exploits basés sur SEH overflow.
Matt Miller
Puis en 2007, grosse décision, Metasploit est entièrement réécrit en Ruby. Un travail de titan de 18 mois de développement, et plus de 150 000 lignes de code à écrire from scratch. Metasploit 3.0 sort, et là, c’est plus un outil, c’est une plateforme complète. Interface au top, architecture modulaire, extensibilité infinie… Un pur bonheur pour tout pentester qui se respecte.
Mais HD Moore ne se contente pas de Metasploit car il continue d’innover en permanence. En 2006, il lance le “Month of Browser Bugs” (MoBB), une initiative où il sort une vulnérabilité de navigateur par jour pendant tout le mois de juillet. Les hacks publiés sont soigneusement choisis pour démontrer un concept sans révéler un chemin direct vers l’exécution de code à distance, mais ça fait quand même un tabac ! Il trouve des bugs dans Opera 9, Internet Explorer 6, Internet Explorer 7, et probablement Safari ou Konqueror. L’objectif c’est de forcer les éditeurs à patcher plus vite et sensibiliser le public aux failles de sécurité. Le concept fait tellement de bruit qu’il inspire toute une série d’initiatives similaires : Month of Apple Bugs, Month of PHP Bugs, Month of Kernel Bugs… Moore a littéralement créé un mouvement de disclosure coordonnée.
Mais son projet le plus fou, c’est en 2012 avec Critical.io. Ce projet scanne l’intégralité d’Internet pour identifier les machines vulnérables aux nouvelles failles. Et là, c’est le jackpot puisque Moore découvre une des vulnérabilités les plus critiques de l’histoire d’Internet, une faille UPnP (Universal Plug and Play) qui touche entre 40 et 50 millions d’appareils connectés. Pour vous donner une idée de l’ampleur du truc, avec un simple paquet UDP, on pouvait prendre le contrôle total de millions de routeurs, imprimantes, caméras IP et autres objets connectés. 81 millions d’adresses IP différentes ont répondu aux requêtes UPnP de Rapid7, touchant plus de 6900 produits différents de 1500 fournisseurs ! Une catastrophe potentielle que Moore révèle au grand jour, forçant les constructeurs à réagir en urgence.
2009, année charnière. Le 21 octobre, Rapid7 rachète Metasploit. La communauté open source est en panique totale. “C’est fini, ils vont tout fermer, transformer ça en produit commercial hors de prix !” Les forums s’enflamment, les développeurs menacent de forker le projet. La nouvelle tombe comme un coup de tonnerre, et les réactions sont mitigées. Certains hackers sont carrément pas contents, refusant de contribuer aux produits d’une boîte commerciale.
Mais HD, lui, voit les choses différemment : “C’est plus un buy-in qu’un sell-out”, dit-il. “Il s’agit de faire passer Metasploit au niveau supérieur avec une vraie entreprise et un vrai financement.” Et le pari est osé car HD et ses co-développeurs avaient toujours travaillé sur Metasploit après les heures de bureau, pendant les pauses déjeuner et les week-ends et là, pour la première fois, il peut bosser dessus à temps plein. “Je peux maintenant faire une fonctionnalité en une journée de travail, pas sur tout un week-end… Je suis excité de pouvoir travailler dessus à temps plein.”
HD devient Chief Security Officer puis Chief Research Officer chez Rapid7, mais il garde le contrôle architectural de son bébé jusqu’en 2016. Et là, surprise, non seulement Metasploit Framework reste open source et gratuit, mais Rapid7 investit massivement dedans. Rapid7 promet de financer 5 développeurs à temps plein pour travailler sur le projet et Moore insiste en disant que tout le logiciel développé par la nouvelle équipe restera libre et open source. “Rien de ce que les gens utilisent aujourd’hui ne va disparaître”, assure-t-il. Le pari est gagnant car avec les ressources de Rapid7, Metasploit explose littéralement. Les cycles de release passent de 9-12 mois à une release par semaine. L’équipe de développement passe de quelques bénévoles à une équipe dédiée de 5 chercheurs.
Et les chiffres parlent car au moment où Rapid7 acquiert le projet, ils n’avaient qu’environ 33 000 utilisateurs basés sur les stats subversion. Deux ans plus tard, post-Rapid7, ils étaient passés à 200 000 à 300 000 utilisateurs mensuels ! En 2009, il y avait un total de 17 personnes qui avaient contribué à Metasploit. En 2014, on est passé à environ 150 personnes qui ont contribué à Metasploit cette année-là, et sur les 400 contributeurs environ sur toute la vie de Metasploit, près de la moitié avaient commité quelque chose dans les 12 mois précédant 2014.
Il y a eu plus de commits dans les 12 premiers mois post-acquisition que dans les trois années précédentes !
L’écosystème Metasploit devient alors complètement dingue. Raphael Mudge crée Armitage en 2010, une interface graphique qui rend Metasploit accessible aux noobs du CLI puis plus tard, Mudge développe Cobalt Strike en 2012, qui deviendra l’outil de référence des red teams professionnelles. Les chiffres donnent le vertige. De 11 exploits en 2003, Metasploit passe alors à plus de 1500 exploits intégrés et 4000+ modules d’exploitation en 2025. Le framework contient maintenant plus de 6000 modules au total. Les payloads supportent PPC, MIPS et ARM, permettant de cibler les systèmes embarqués et l’IoT.
Armitage, l’interface graphique de Metasploit
En 2016, après 7 ans chez Rapid7, Moore décide alors qu’il est temps de passer à autre chose. Il quitte l’entreprise (tout en restant consultant pour Metasploit) et se lance dans une nouvelle aventure. En 2018, il crée Rumble Network Discovery, qui deviendra plus tard runZero.
Son constat c’est que même avec tous les outils de sécurité du monde, les entreprises se font encore pirater par des machines qu’elles ne connaissent pas. En effet, le problème fondamental, c’est qu’on ne peut pas sécuriser ce qu’on ne voit pas.
Super HD, toujours en train de résoudre les vrais problèmes que l’industrie préfère ignorer ! “C’est vraiment chouette de prendre l’approche que j’avais utilisée précédemment pour la découverte de réseaux externes et de l’appliquer ensuite au côté interne”, dit-il. “Nous pouvons le faire pour les entreprises derrière leur pare-feu et dans leurs réseaux internes et toutes leurs connexions cloud, VPN, et liens multisites et régionaux.”
runZero, c’est donc la réponse de Moore à ce défi. Et contrairement aux scanners de vulnérabilités classiques, son outil se concentre sur la découverte d’assets et la cartographie des réseaux. Sa philosophie sur ce projet c’est “zéro barrière pour le déploiement, zéro inconnu sur votre réseau”. Et visiblement, ça marche puisque runZero lève 5 millions de dollars en 2019, puis 15 millions supplémentaires en 2024. L’entreprise suit même les traces de Metasploit avec une reconnaissance Gartner comme “Customers’ Choice” dans la catégorie CAASM (Cyber Asset Attack Surface Management). Pas mal !!
En 2025, HD Moore reste une figure incontournable de la cybersécurité mondiale et continue de donner des conférences dans les plus gros événements du secteur tels que BSidesSF, RSA Conference, NorthSec. Son talk récent “A Pirate’s Guide to Snake Oil & Security” au NSEC a même fait sensation avec sa critique acerbe de l’industrie de la sécurité. Et son interview récente pour RSA 2025 sur “la mort et la renaissance du vulnerability management” montre qu’il n’a rien perdu de sa vision disruptive.
Bien avant HD Moore, le pentesting était réservé à une élite. Les outils commerciaux coûtaient une fortune (genre Core Impact à 30 000$ par an), les exploits publics étaient pourris, et partager ses connaissances était mal vu. Heureusement HD a tout pété et a démocratisé l’offensive security, légitimé la recherche en sécurité, et créé une communauté mondiale de chercheurs qui collaborent ouvertement.
Ses détracteurs diront qu’il a armé les cybercriminels et c’est vrai que Metasploit est utilisé par les méchants. Mais c’est aussi vrai que sans Metasploit, des milliers d’entreprises n’auraient jamais pu tester correctement leurs défenses, les pentesters indépendants n’auraient jamais pu concurrencer les grosses boîtes de sécu sans cet accès à des outils professionnels. Et quand on lui demande pourquoi il a créé Metasploit, HD répond simplement qu’il en avait marre de valider et nettoyer du code d’exploit pourri. Pas pour la gloire, pas pour l’argent (il a mis des années avant de gagner un centime avec Metasploit), mais juste pour résoudre un problème pratique qui l’emmerdait.
Vingt-deux ans après sa création, Metasploit continue d’évoluer. Les modules pour Kubernetes, les exploits pour le cloud AWS/Azure/GCP, les attaques contre l’IA et le machine learning… Le framework s’adapte constamment aux nouvelles menaces. Les releases hebdomadaires apportent régulièrement de nouveaux modules qui chaînent des vulnérabilités pour des attaques sophistiquées.
Et HD Moore ? Et bien à 44 ans, il continue de hacker, mais cette fois-ci c’est l’industrie de la cybersécurité elle-même qu’il essaie de disrupter avec runZero.
Bref la prochaine fois que vous lancerez msfconsole, pensez à ce gamin faisant les poubelles d’Austin qui a décidé un jour de faire évoluer le milieu du pentest…
Google c’est trop des dingos. Du jour au lendemain, ils transforme un écosystème entier juste parce que ça les fait marrer. Bon, j’abuse un peu, mais par exemple, hier, ils ont décider de s’attaquer à un problème épineux : Comment faire le ménage dans l’univers des apps Android sans pour autant tuer la poule aux oeufs d’or ?
Et leur solution ça va être d’exiger la vérification de l’identité des développeurs pour TOUTES les installations d’applications sur les appareils Android certifiés. Et quand je dis toutes, c’est vraiment toutes : Play Store, stores tiers, et même le fameux sideloading. Oui, je sais, ça vous stresse un peu, mais vous allez voir, c’est pour le bien de tout le monde.
Pour comprendre l’ampleur du changement, il faut savoir que jusqu’à présent, seuls les développeurs du Play Store devaient passer par cette vérification. Selon Android Authority, Google étend maintenant ce système à tous les canaux de distribution Android avec pour objectif de combattre les malwares et les arnaques financières qui pullulent dans l’écosystème.
Le processus de vérification lui-même ressemble à “un contrôle d’identité à l’aéroport”, selon Google. Il s’agit de confirmer l’identité du développeur sans pour autant examiner le contenu des applications. Notez qu’il y aurait 50 fois plus de malwares provenant du sideloading que du Play Store, donc c’est peut-être pas une si mauvaise idée.
Google a même prévu un système séparé pour les étudiants et les développeurs amateurs puisque ces derniers bénéficieront d’un processus de vérification allégé, différent de celui imposé aux développeurs commerciaux. C’est pas con, je trouve car ça évite d’écraser la créativité et l’apprentissage sous le poids des contraintes administratives. Donc normalement, vous pourrez toujours vous dev une app custom rien que pour vous sans que ce soit trop contraignant.
Cette mesure s’appliquera dès 2026, mais ça va se passer en plusieurs étapes. D’abord il va y avoir un programme d’accès anticipé en octobre 2025 pour les développeurs motivés, puis ensuite une ouverture complète du processus de vérification en mars 2026. Les premiers utilisateurs concernés seront au Brésil, en Indonésie, à Singapour et en Thaïlande dès septembre 2026, avant un déploiement final mondial en 2027.
Pour les développeurs déjà présents sur le Play Store, la transition devrait être relativement douce car la plupart remplissent probablement déjà les critères de vérification. La nouvelle Android Developer Console, spécialement conçue pour ceux qui ne distribuent que hors du Play Store, nécessitera les informations légales habituelles, un numéro D-U-N-S pour les organisations, et évidemment des frais de 25 dollars.
Google assure que leur but n’est pas de contrôler le contenu des applications, mais bien de s’assurer qu’on sache qui se cache derrière chaque app. D’ailleurs, les autorités gouvernementales des pays pilotes ont accueilli favorablement cette initiative, y voyant un moyen de protéger les utilisateurs tout en préservant l’ouverture d’Android.
Maintenant, reste à voir si l’écosystème suivra le mouvement ou si y’aura de la résistance…
Parfois, l’histoire des entreprises tech tient à des détails complètement inattendus. Celle de Rogue Amoeba, l’éditeur d’Audio Hijack et autres outils audio pour Mac, en est l’exemple parfait puisqu’un simple bug de programmation a littéralement sauvé la boîte de la fermeture.
Tout commence avec une version d’essai très généreuse… Audio Hijack offrait en effet 15 jours complets d’utilisation illimitée. Et après cette période, l’app continuait de fonctionner mais rappelait à l’utilisateur de s’enregistrer au démarrage et se fermait automatiquement au bout de 15 minutes. Une approche classique mais qui ne donnait malheureusement pas les résultats espérés.
Du coup, les ventes étaient naze et Rogue Amoeba restait pour ses créateurs, un projet parallèle, sans perspective de devenir une vraie entreprise. Les fondateurs savaient qu’ils avaient un outil utile entre les mains, mais le marché ne semblait pas les suivre… Beaucoup auraient jeté l’éponge.
Puis est arrivée cette fameuse version 1.6 d’Audio Hijack. C’était une release qui n’avait rien d’extraordinaire sur le papier, mais qui allait tout changer. Car de façon complètement inattendue et sans explication apparente, les ventes ont décollé. D’abord à un niveau viable, puis se sont stabilisés à ce nouveau palier.
Au début, l’équipe n’y comprenait rien. Qu’est-ce qui pouvait expliquer cette remontée soudaine ? Et ils ont fini par identifier la cause : un bug. Un magnifique bug qui avait cassé le système de la version d’essai tel qu’il était prévu. Au lieu de 15 jours d’utilisation complète, la version 1.6 limitait directement le temps d’enregistrement dès le premier lancement.
Et cette “erreur” a eu un impact phénoménal sur l’entreprise car en raccourcissant drastiquement la période d’évaluation, cela poussait les utilisateurs à passer à l’acte d’achat beaucoup plus rapidement. Du coup, les ventes sont montées à un niveau où il valait enfin la peine de continuer à développer et améliorer Audio Hijack.
Et en moins d’un an, Rogue Amoeba est devenu un travail à temps plein pour ses trois fondateurs. Aujourd’hui, l’entreprise emploie une douzaine de personnes et propose toute une gamme d’outils audio reconnus sur Mac. Et sans ce bug fortuit, Paul Kafasis et ses associés auraient probablement abandonné leur aventure entrepreneuriale.
Bref, cette erreur de code a sauvé à la fois Audio Hijack et leur entreprise qui 23 ans plus tard, continue de prospérer ! C’est beau non ?
Vous souvenez-vous de ces après-midi de votre jeunesse passées devant votre Mac à explorer des mondes pixellisés remplis de mystères et d’aventures ? Et bien les développeurs de ScummVM viennent de nous offrir un voyage dans le temps absolument dingue en ressuscitant tout un pan oublié de l’histoire du jeu vidéo.
En effet, l’équipe ScummVM a accompli un travail de titan à savoir reverse-engineerer complètement le moteur World Builder. Selon l’annonce officielle, ce sont donc plus de 160 jeux créés avec cet outil légendaire qui deviennent soudain jouables sur nos machines modernes.
World Builder, pour ceux qui n’ont pas connu cette époque, c’était un peu le GameMaker de l’époque du Mac classic. C’était un système de création de jeux d’aventure point-and-click qui a permis à des milliers de développeurs amateurs de concrétiser leurs idées les plus folles. Le truc génial, c’est que la plupart de ces créations étaient distribuées en freeware ou shareware, ce qui explique pourquoi ScummVM peut maintenant les proposer dans un gros pack téléchargeable.
Parmi les titres qui ressurgissent de ces limbes numériques, on trouve des perles comme “Ray’s Maze”, où le héros doit s’échapper d’un labyrinthe truffé de monstres et de pièges mortels. Il y a aussi “Radical Castle”, qui vous met dans la peau d’un écuyer chargé de récupérer un mystérieux “Oracle” pour éviter un châtiment fatal. Et puis “Enhanced Scepters”, qui a la particularité d’être le tout premier jeu commercial créé avec World Builder.
Comme d’hab, lobjectif de ScummVM reste le même depuis ses débuts c’est à dire préserver et rendre les jeux classiques accessibles à tous en permettant à ces titres anciens de tourner sur des plateformes contemporaines.
En tout cas, chapeau pour le travail accompli car reverse un moteur de jeu complet, même s’il est ancien, c’est déjà quelque chose, alors en plus s’attaquer à World Builder et parvenir à faire fonctionner plus de 160 titres différents, c’est carrément héroïque, car chaque jeu avait ses spécificités, ses petites bidouilles, ses façons particulières d’exploiter les capacités du moteur.
Si vous voulez tester, pour l’instant, il faudra utiliser une build de développement de ScummVM plutôt que la version stable pour profiter de cette nouveauté. L’équipe invite d’ailleurs les testeurs à remonter les bugs via leur système de tracking et à les contacter s’ils tombent sur des jeux ou des démos non reconnus.
Voilà, après les classiques LucasArts et Sierra, voici qu’un nouveau pan entier de la création amateur Mac refait surface. Y’a de quoi occuper nos soirées nostalgiques pour les mois à venir….
Plutôt que de créer des modèles spécialisés pour chaque domaine, les équipes de Google Research ont eu une idée beaucoup plus ambitieuse. Ils se sont demandé si un seul modèle pouvait prédire l’évolution de n’importe quelle série temporelle, qu’il s’agisse du cours du Bitcoin, de la consommation électrique d’une ville ou du trafic sur Korben.info ?
C’est donc ce qu’accomplit TimesFM, leur nouveau modèle de prévision temporelle et pour cela, ils ont entraîné TimesFM sur un corpus de 100 milliards de points temporels réels, en piochant dans des sources aussi variées que Google Trends ou encore les statistiques de pages vues de Wikipedia.
Le génie de cette approche réside dans le choix des données d’entraînement car les tendances de recherche Google et les consultations Wikipedia reflètent naturellement des patterns temporels qu’on retrouve dans beaucoup de séries de données réelles.
Techniquement, TimesFM adopte uniquement une architecture de type transformer décodeur, similaire aux grands modèles de langage qu’on connaît tous. Mais au lieu de traiter des mots, il découpe les séries temporelles en “patches”, c’est à dire des groupes de points temporels consécutifs qu’il traite comme des tokens. Cette astuce permet au modèle de prédire des horizons plus longs de façon plus efficace, avec moins d’étapes de génération.
La version disponible sur GitHub propose deux variantes : TimesFM 1.0 avec 200M de paramètres qui gère des contextes jusqu’à 512 points temporels, et TimesFM 2.0 avec 500M de paramètres qui étend ce contexte à 2048 points avec des performances jusqu’à 25% supérieures.
Ce qui m’impressionne le plus, c’est la capacité de généralisation du modèle car sans aucun entraînement spécifique sur les datasets de test, TimesFM arrive à rivaliser avec des modèles supervisés entraînés explicitement sur ces données. Il surpasse par exemple DeepAR et llmtime (une approche basée sur GPT-3) de plus de 25%, ce qui est pas mal pour un modèle qui découvre ces données pour la première fois.
L’intégration dans l’écosystème Google est également déjà en cours puisque Google Cloud a intégré TimesFM dans BigQuery ML, permettant aux utilisateurs de faire de la prévision via la fonction AI.FORECAST sans avoir besoin de créer et d’entraîner leurs propres modèles.
L’approche adoptée révèle aussi une philosophie intéressante chez Google Research car plutôt que de multiplier les modèles spécialisés, ils misent sur des modèles de fondation capables de généralisation. C’est la même logique qui a donné naissance aux LLM universels, mais appliquée maintenant au domaine temporel.
Pour les dev qui veulent tester, le modèle est disponible en open source sous licence Apache 2.0 et fonctionne avec numpy et pandas. Il faut juste prévoir au minimum 32GB de RAM, ce qui reste raisonnable pour un modèle de cette puissance.
J’sais pas ce que ça va donner à long terme, mais j’ai trouvé ça intéressant et TimesFM pourrait bien change la façon dont on aborde la prédiction dans des domaines aussi variés que la finance, la météorologie ou la gestion énergétique.
Bon, on va pas se mentir. Il y a des histoires dans le monde de la cybersécurité qui méritent d’être racontées, pas seulement pour leur importance technique, mais parce qu’elles incarnent l’esprit même du hacking à savoir cette volonté farouche de comprendre, de tester, de pousser les limites. Car l’histoire de Kali Linux, c’est avant tout l’histoire d’un homme mystérieux connu sous le pseudonyme de “muts”, d’une déesse hindoue de la destruction et de la renaissance, et d’une distribution Linux qui transforme radicalement le monde du pentesting.
Nous sommes en 2004. Facebook vient à peine de naître dans un dortoir de Harvard, YouTube n’existe pas encore, Korben.info vient à peine d’être lancé, et dans le monde de la sécurité informatique, les professionnels jonglent avec des dizaines de CD-ROM différents, chacun contenant un outil spécifique. C’est le bordel absolu ! Vous voulez scanner un réseau ? Un CD. Cracker un mot de passe ? Un autre CD. Faire du reverse engineering ? Encore un autre. Les pentesters trimballent littéralement des valises pleines de disques. C’est dans ce contexte chaotique qu’un personnage énigmatique émerge : Mati Aharoni.
Aharoni, c’est le genre de type qui préfère rester dans l’ombre. Intensément privé, il laisse son travail parler pour lui plutôt que sa personne. Mais son travail, justement, va parler très, très fort. Le 30 août 2004, sous le pseudonyme “muts”, il annonce une nouvelle distribution Linux appelée Whoppix. Le nom est un jeu de mots cool où il remplace le “Kn” de Knoppix par “Wh” pour “White Hat”, ces hackers bienveillants qui utilisent leurs compétences pour protéger plutôt que détruire.
Whoppix, c’est révolutionnaire pour l’époque. Un CD bootable qui contient TOUS les outils dont un pentester a besoin. Plus besoin de transporter une valise pleine de disques, tout tient dans votre poche ! Les scanners réseau, les crackeurs de mots de passe, les outils de reverse engineering… tout est là, prêt à l’emploi pour les pentesteurs. Et ça change tout.
Mais Aharoni ne s’arrête pas là. En 2005, il renomme Whoppix en WHAX et continue de l’améliorer. Pendant ce temps, de l’autre côté du monde numérique, un certain Max Moser développe sa propre distribution : Auditor Security Collection. Moser, c’est l’organisation incarnée. Sa distribution contient plus de 300 outils organisés dans une hiérarchie si intuitive que même un débutant peut s’y retrouver. C’est du travail d’orfèvre !
Le destin va alors se charger de réunir ces deux génies. En 2006, Aharoni et Moser réalisent qu’ils poursuivent le même rêve : créer LA distribution ultime pour les professionnels de la sécurité. Alors au lieu de se faire concurrence comme des idiots, ils décident de fusionner leurs projets. Le truc cool, c’est qu’ils combinent le meilleur des deux mondes qui est la puissance brute de WHAX et l’organisation méthodique d’Auditor.
Le 26 mai 2006, BackTrack voit le jour. BackTrack v1 sort avec des outils dans toutes les catégories imaginables : reverse engineering, forensique, stress testing, exploitation… C’est Noël pour les hackers ! La distribution devient instantanément culte dans la communauté. Pour l’époque, c’est du jamais vu.
C’est aussi à cette époque qu’entre en scène Devon Kearns, connu sous le pseudonyme “dookie200ca” (oui, le pseudo est chelou). Ensemble, avec Aharoni et Kearns, ils transforment BackTrack en quelque chose de plus grand qu’une simple distribution Linux pour fonder en 2007, Offensive Security, une entreprise qui va métamorphoser la formation en cybersécurité. La société est officiellement créé en 2008, mais l’aventure commence vraiment en 2006-2007 quand Mati et sa femme Iris lancent ce début d’affaire depuis leur salon.
Leur philosophie est simple mais radicale : “Try Harder”. Pas de QCM à la con, pas de théorie abstraite, juste de la pratique pure et dure. Vous voulez apprendre ? Vous vous battez avec de vraies machines, vous exploitez de vraies vulnérabilités, vous suez sang et eau. C’est brutal, mais c’est efficace. Cette mentalité va former des générations entières de pentesters.
BackTrack connaît un succès phénoménal. Les versions s’enchaînent… v1 à v3 basées sur Slackware, puis un virage majeur avec v4 et v5 qui passent sur Ubuntu. La dernière BackTrack 5 R3, sort ensuite en août 2012 et propose deux environnements de bureau (GNOME et KDE) pour les architectures 32 et 64 bits. La communauté grandit, les téléchargements explosent, BackTrack devient LA référence.
Mais voici où l’histoire devient vraiment fascinante. En 2013, Aharoni et son équipe prennent une décision audacieuse qui fait trembler toute la communauté : ils vont tout reconstruire from scratch. Pas une simple mise à jour, non. Une refonte complète, basée cette fois sur Debian plutôt qu’Ubuntu. Pourquoi ? Pour la stabilité légendaire de Debian, sa gestion des paquets supérieure, et surtout, pour implémenter un modèle de rolling release qui permet aux utilisateurs d’avoir toujours les derniers outils sans réinstaller le système. C’est un pari risqué, mais ils osent.
Le 13 mars 2013, lors de la conférence Black Hat Europe à Amsterdam, ils annoncent Kali Linux. Et là, le choix du nom est absolument génial. Kali est une déesse hindoue fascinante. Elle représente le temps, la destruction, mais aussi la renaissance. Son nom dérive du sanskrit “kāla” signifiant à la fois “temps” et “noir”. Elle est celle qui détruit pour permettre la création, qui met fin aux illusions pour révéler la vérité. Quelle métaphore parfaite pour une distribution destinée à détruire les failles de sécurité pour créer des systèmes plus sûrs !
La symbolique va même plus loin car la déesse Kali est souvent représentée debout sur Shiva, symbolisant l’équilibre entre l’énergie dynamique (Shakti) et la conscience immobile. C’est exactement ce qu’est Kali Linux : un équilibre parfait entre la puissance brute des outils d’attaque et la conscience éthique de leur utilisation. Même le logo de Kali, ce dragon stylisé, est devenu iconique dans le monde de la cybersécurité.
Le succès est immédiat et fulgurant. Kali Linux devient rapidement LA référence mondiale et les statistiques donnent le vertige : plus de 300 000 téléchargements par mois, plus de 600 outils de sécurité pré-installés et configurés. La distribution couvre absolument tout : reconnaissance, exploitation, forensique, reverse engineering, wireless attacks, web application testing… C’est du lourd !
Mais ce qui rend Kali vraiment spécial, c’est sa versatilité hallucinante. Vous voulez l’installer sur votre PC ? Pas de problème. Sur un Raspberry Pi pour faire du wardriving discret ? C’est possible. Dans le cloud AWS ou Azure pour des tests à grande échelle ? Facile. Sur votre smartphone Android via NetHunter ? Ça marche aussi !
Et là où ça devient complètement dingue, c’est que NetHunter permet même de transformer certaines smartwatches en outils de pentesting. La TicWatch Pro 3 peut maintenant capturer des handshakes WPA2 depuis votre poignet ! Vous imaginez ? Vous êtes à une conférence, l’air de rien avec votre montre, et vous capturez des handshakes WiFi. C’est du James Bond version 2025 !
L’impact culturel de Kali Linux dépasse largement le monde de la sécurité. La série Mr. Robot, acclamée pour son réalisme technique, montre régulièrement Elliot Alderson utiliser Kali Linux. Pour la première fois, Hollywood représente le hacking de manière authentique, avec de vraies commandes et de vrais outils. Sam Esmail, le créateur de la série, a engagé une équipe d’experts incluant Jeff Moss (fondateur de DEF CON et Black Hat) pour garantir l’authenticité. C’est la classe !
En 2023, Offensive Security lance un truc complètement fou : Kali Purple. Après des années à perfectionner les outils offensifs (red team), ils sortent une version dédiée aux équipes défensives (blue team). Kali Purple inclut plus de 100 outils défensifs comme Arkime, CyberChef, Elastic Security, TheHive, et Suricata. C’est un SOC-in-a-Box complet ! Les organisations peuvent maintenant former leurs analystes et conduire des exercices purple team où attaquants et défenseurs collaborent. C’est une révolution conceptuelle.
Parlons aussi des certifications, parce que là aussi, c’est du sérieux. L’OSCP (Offensive Security Certified Professional) est devenue le Saint Graal du pentesting. Contrairement aux autres certifications qui se contentent de QCM bidons, l’OSCP exige un examen pratique de 24 heures où les candidats doivent compromettre de vraies machines. C’est l’enfer ! Le taux d’échec est énorme, mais ceux qui réussissent sont immédiatement reconnus comme des experts.
Niveau tarifs en 2025, accrochez-vous : le cours PWK (Penetration Testing with Kali Linux) coûte entre 849$ et 5 499$ selon les options. Le package standard avec 1 an de lab et un essai à l’examen coûte 1 599$. Le package unlimited avec tentatives illimitées monte à 5 499$. C’est cher, mais l’investissement en vaut la peine car un OSCP gagne en moyenne 120 000$ par an aux États-Unis selon ZipRecruiter. Pas mal, non ?
En novembre 2024, Offensive Security introduit l’OSCP+, une version renouvelable de la certification qui doit être mise à jour tous les trois ans. C’est logique… la cybersécurité évolue tellement vite qu’une certification figée dans le temps n’a aucun sens. Et l’examen reste brutal : 23h45 de hack, puis 24h pour rédiger le rapport. Les candidats simulent une vraie intrusion sur un réseau privé VPN avec des machines vulnérables. C’est du réalisme pur.
L’évolution technique de Kali est également impressionnante. La version 2025.2 sortie en juillet apporte des améliorations majeures. Le menu Kali a été complètement réorganisé selon le framework MITRE ATT&CK, comme ça, au lieu d’avoir les outils rangés par catégorie technique (scanners, exploits, etc.), ils sont maintenant organisés selon les tactiques et techniques d’attaque réelles. Ça aide les pentesters à penser comme de vrais attaquants, en suivant la kill chain depuis la reconnaissance jusqu’à l’exfiltration.
GNOME 48 et KDE Plasma 6.3 sont également intégrés, avec des fonctionnalités sympas comme un indicateur VPN qui affiche votre IP directement dans la barre de statut. Plus besoin de taper “curl ifconfig.me” toutes les cinq minutes pour vérifier si votre VPN fonctionne ! Sur Raspberry Pi, le WiFi onboard supporte maintenant le mode monitor et l’injection de paquets grâce à Nexmon. C’est pratique pour les tests discrets.
Mais l’innovation la plus folle reste le CARsenal de NetHunter. Kali permet maintenant de faire du car hacking ! Le toolset inclut ICSim, un simulateur pour jouer avec le bus CAN sans avoir besoin de matériel physique. On peut littéralement hacker des voitures depuis Kali Linux. C’est le futur qui arrive à toute vitesse !
Pourtant, Kali Linux n’est pas sans controverse. Les Émirats Arabes Unis ont interdit Kali Linux en 2013, craignant son potentiel de mauvaise utilisation. Cette interdiction soulève le débat éternel : ce qui protège peut aussi attaquer. Un marteau peut construire une maison ou fracasser un crâne. C’est la responsabilité et l’éthique de l’utilisateur qui font la différence.
L’installation de Kali a beaucoup évolué. Sur Windows, grâce à WSL2, vous pouvez maintenant installer Kali directement depuis le Microsoft Store avec la commande wsl --install --distribution kali-linux. WSL2 utilise un vrai kernel Linux dans une VM Hyper-V, offrant des performances quasi-natives. C’est complètement fou de voir Microsoft embrasser Linux à ce point !
Pour les Mac M1/M2, VMware Fusion 13 ou UTM permettent de faire tourner Kali sur Apple Silicon. Il faut juste télécharger l’image ARM64 et non x86. UTM est particulièrement intéressant car il offre la virtualisation native plutôt que l’émulation, garantissant de meilleures performances. Apple et Linux qui cohabitent, qui l’eût cru ?
Les chiffres parlent d’eux-mêmes. Kali compte maintenant plus de 600 outils pré-installés, supporte plus de 99 appareils Android différents via NetHunter, et le dépôt GitLab contient plus de 230 kernels pour plus de 100 appareils. C’est devenu un écosystème complet, pas juste une distribution. Bref, avant il fallait être un expert Linux pour configurer ses outils. Maintenant, un débutant motivé peut démarrer Kali et commencer à apprendre immédiatement. Les outils sont pré-configurés, documentés, et la communauté est là pour aider. C’est une révolution dans l’éducation à la cybersécurité.
L’histoire personnelle de Mati Aharoni ajoute aussi une touche humaine à cette saga. Il se décrit lui-même comme “un accro de l’infosec en rémission, coureur passionné, plongeur, kiteboarder, et mari” et après plus de deux décennies dans la sécurité, il quitte Offensive Security et Kali Linux en 2019 pour se consacrer à d’autres projets. Aujourd’hui, il fait de la musique sur un Akai MPC et change des filtres à huile sur des générateurs électriques. Une retraite bien méritée pour quelqu’un qui a révolutionné une industrie entière !
Devon Kearns continue de porter le flambeau avec l’équipe d’Offensive Security. Jim O’Gorman a repris le rôle de leader du projet Kali après le départ d’Aharoni. Et Raphaël Hertzog, expert Debian français, reste le troisième pilier technique du projet. L’équipe continue d’innover et de pousser les limites.
Les vulnérabilités découvertes grâce à Kali sont innombrables. Des chercheurs ont trouvé des zero-days critiques dans toutes les grandes entreprises tech. Heartbleed, Shellshock, Spectre, Meltdown… Toutes ces vulnérabilités majeures ont été analysées et exploitées avec Kali. L’outil SQLMap intégré dans Kali a permis d’identifier des milliers d’injections SQL dans des sites majeurs.
Les outils les plus populaires de Kali forment également un arsenal redoutable. Nmap pour le scanning (le couteau suisse du réseau), Metasploit pour l’exploitation (la mitrailleuse lourde), Wireshark pour l’analyse réseau (le microscope), John the Ripper et Hashcat pour le cracking de mots de passe (les brise-coffres), Burp Suite pour les tests d’applications web (le scalpel chirurgical). Chaque outil a sa spécialité, et ensemble, ils forment une armée invincible.
Et surtout, la philosophie “Try Harder” d’Offensive Security est devenue un mantra dans la communauté. C’est plus qu’un slogan, c’est une approche de la vie. Face à un problème, ne cherchez pas la solution facile, creusez plus profond, comprenez vraiment. Cette mentalité a formé des générations de professionnels qui ne se contentent pas de suivre des procédures mais qui comprennent vraiment ce qu’ils font. Et avec l’explosion de l’IoT, des voitures connectées, et maintenant de l’IA, les surfaces d’attaque se multiplient, c’est pourquoi Kali évolue constamment pour couvrir ces nouveaux domaines.
Tant qu’il y aura des systèmes à sécuriser, des vulnérabilités à découvrir, des défenses à tester, Kali Linux sera là. Évoluant, s’adaptant, mais restant toujours fidèle à sa mission originale.
A vous maintenant de télécharger, installer et explorer Kali et contribuer à écrire les prochains chapitres de cette saga.
Je viens de tomber sur un truc complètement par hasard ce matin en faisant une recherche Google. L’AI Mode est enfin disponible en France !
Cette fonctionnalité dont tout le monde parle depuis des mois et qui était uniquement réservée aux États-Unis, à l’Inde et au Royaume-Uni vient visiblement de débarquer chez nous, même si Google n’a fait, je crois, aucune annonce officielle. Depuis mars 2025, Google testait cette fonctionnalité dans neuf pays européens (Autriche, Belgique, Allemagne, Irlande, Italie, Pologne, Portugal, Espagne et Suisse), mais la France était absente de la liste, probablement pour des raisons réglementaires, ce qui rend son arrivée soudaine d’autant plus surprenante.
Premier constat, faut lui parler en anglais pour la requête initiale, sinon il refuse catégoriquement de répondre. Autant dire qu’en France, comme on doit être une dizaine à parler l’anglais ^^, ça va être un gros frein à son adoption, mais j’ai trouvé l’astuce… Une fois qu’il a généré sa réponse en anglais à votre question en anglais, vous pouvez lui demander de traduire sa réponse en français et là, miracle, ça fonctionne parfaitement.
Maintenant, pour ceux qui ne connaissent pas encore, l’AI Mode, c’est la nouvelle interface de recherche de Google propulsée par Gemini 2.0, comme ça au lieu de vous servir la traditionnelle liste de liens bleus, Google génère directement une réponse complète et structurée à votre question. En gros, c’est un ChatGPT intégré directement dans votre moteur de recherche, ayant un accès à toutes les données du web en temps réel.
Maintenant, on n’a donc plus vraiment besoin de visiter les sites web puisque tout est résumé, condensé, expliqué directement dans l’interface de Google. C’est pratique pour l’utilisateur, c’est certain, mais c’est une catastrophe pour les éditeurs de contenus. Selon une étude récente, les résumés générés par l’IA entraînent une baisse de 34,5% des clics vers les sites web et certains parlent même d’une chute allant jusqu’à 69% pour les recherches d’actualités.
C’est donc tout le modèle économique du web qui est en train de s’effondrer et le pacte tacite qui liait Google aux créateurs de contenu depuis 20 ans, “donnez-nous votre contenu, on vous envoie du trafic”, est clairement rompu.
Google, de son côté, nie en bloc ces impacts négatifs car selon eux, l’IA permet aux utilisateurs de poser plus de questions et crée de nouvelles opportunités de connexion avec les sites web. Ils affirment même que les clics depuis les résultats enrichis par l’IA sont de “meilleure qualité” car les utilisateurs passent plus de temps sur les sites qu’ils visitent. Mais bon, quand on voit les chiffres, j’ai du mal à y croire.
A titre personnel, je suis détendu parce que comme le dit Google AI Mode lui-même, vous continuerez à venir en direct sur korben.info, pour toutes les raisons suivantes :
Mais pour les autres médias, je suis très inquiet quand à leur survie à long terme. A mon avis, il ne restera plus que les gros, biberonnés aux subventions et aux contrats avec Google. Et tous les autres, les petits, ce sera tchao…
Voilà… Après sur l’usage de l’outil, je l’ai trouvé moins bien que perplexity mais j’imagine que ça s’améliorera avec le temps.
Bon, on va pas se mentir. Il y a des objets qui marquent une époque. Le transistor, le micro-processeur, l’iPhone… Et puis il y a ces créations plus discrètes qui révolutionnent un domaine entier sans que le grand public s’en aperçoive. Le WiFi Pineapple fait clairement partie de cette catégorie d’ananas pas comme les autres ! Ce petit boîtier noir et jaune pas plus grand qu’un smartphone transforme radicalement notre perception de la sécurité WiFi. Il inspire Hollywood, donne naissance à toute une industrie de l’audit sans fil, et surtout, il révèle à quel point nos connexions quotidiennes sont vulnérables.
L’histoire commence au milieu des années 2000, quand Darren Kitchen, un jeune administrateur système aux cheveux longs et aux idées claires, se pose une question apparemment anodine : “Pourquoi nos appareils font-ils autant confiance aux réseaux WiFi ?” Simple, mais géniale. Cette interrogation va déclencher une révolution dans le monde de la cybersécurité.
Darren Kitchen, le fondateur de Hak5
Kitchen n’est pas né de la dernière pluie. Apparu sur Terre le 11 février 1983, ce gamin grandit avec un modem 1200 bauds entre les mains, explorant les BBS (Bulletin Board Systems) de l’époque pré-Internet. “J’ai trouvé du réconfort dans le cyberespace… J’y étais accepté”, raconte-t-il avec cette nostalgie caractéristique des premiers hackers. Ses premières créations ? Des boîtes de phone-phreaking artisanales et des e-zines pour groupes de hackers dans les années 90. Du pur underground ! Après une brève mais mémorable rencontre avec la compagnie de téléphone qui l’a “dissuadé” de poursuivre ses activités de phreaking (comprendre : ils lui ont fait suffisamment peur pour qu’il arrête ses conneries), il se concentre sur ses études et fait carrière dans l’administration système.
Mais la passion du hack sommeille toujours. Kitchen commence par écrire un dialer BBS en BASIC sur un PC-XT… Je vous laisse imaginer le niveau du geek. Un IBM PC-XT, pour ceux qui ne connaissent pas, c’est l’ancêtre du PC sorti en 1983 avec son processeur 8088 à 4,77 MHz et ses 640 Ko de RAM maximum. Autant dire qu’à l’époque, coder dessus relevait de l’exploit !
En 2005, il fonde Hak5, d’abord comme un vidéocast couvrant l’open source, l’infrastructure réseau et les tests de pénétration. Son objectif est noble : créer une communauté où tous les hackers ont leur place, inspiré par ce sentiment d’appartenance qu’il a ressenti dans les premiers espaces cyber. Et ça marche ! Depuis, Hak5 est devenu la série la plus longue sur YouTube dans ce domaine, touchant des centaines de millions de personnes dans le monde. En 2008, le show rejoint même Revision3, consolidant sa place dans le paysage médiatique tech.
La révélation du WiFi Pineapple naît d’une observation simple mais géniale. Nos appareils, smartphones, laptops, tablettes, sont programmés pour chercher constamment les réseaux WiFi qu’ils connaissent. Ils envoient en permanence des requêtes dans l’éther : “Es-tu le réseau de la maison ?” “Es-tu celui du bureau ?” “Es-tu Starbucks_WiFi ?” C’est le protocole de probe request, intégré dans la norme 802.11 depuis ses débuts.
Et Kitchen se dit : “Et si je leur répondais oui à tous ?” Bingo ! L’idée est brillante !
Car plutôt que d’essayer de casser le chiffrement WiFi, un processus long et complexe qui nécessite de capturer des handshakes et de faire du bruteforce, pourquoi ne pas faire croire aux appareils qu’ils se connectent à un réseau de confiance ? Ce principe du rogue access point (point d’accès pirate) existe déjà, mais Kitchen va le pousser dans ses retranchements avec une innovation cruciale : le PineAP.
PineAP, c’est l’âme du WiFi Pineapple. Ce système breveté écoute les requêtes des appareils et leur répond de manière convaincante. Mais Kitchen ne s’arrête pas là. Il développe tout un écosystème : une interface web intuitive accessible depuis n’importe quel navigateur, des modules extensibles permettant d’ajouter des fonctionnalités (captures de handshakes, attaques de déauthentification, portails captifs…), une gestion fine des attaques avec filtrage par MAC address et SSID. Le WiFi Pineapple n’est plus juste un outil technique, c’est une plateforme complète pour l’audit sans fil.
Les premières versions sont artisanales mais déjà redoutables. En 2008, Kitchen commercialise officiellement le premier WiFi Pineapple. Les Mark I, II et III représentent l’époque bénie où les hackers modifient leurs propres équipements. On achète un routeur Alfa AP121U pour quelques dizaines de dollars, on flashe le firmware Pineapple dessus via TFTP, et voilà ! Mais Kitchen voit plus grand. Il veut créer un produit fini, professionnel, qui ne nécessite aucune compétence technique particulière pour être déployé.
Le Mark IV marque alors un tournant. Fini le bricolage, place au professionnalisme ! Cette version, basée sur un processeur Atheros AR9331 à 400 MHz, est deux fois plus rapide que les précédentes. Elle intègre tout ce qu’il faut pour mener des attaques sérieuses : WiFi 802.11 b/g/n, plusieurs ports USB pour brancher des adaptateurs WiFi supplémentaires ou des clés 3G/4G, et surtout la possibilité de l’alimenter directement via Power over Ethernet (PoE). Plus besoin de se trimballer avec des batteries ! L’interface web évolue aussi avec le système Infusion permettant d’installer des modules tiers depuis un dépôt centralisé.
Le Mark IV, première version vraiment professionnelle
Mais c’est avec le Mark V en 2013 que la magie opère vraiment et les constructeurs de smartphones commencent à se méfier. iOS 8 et Android 6.0 développent des contre-mesures : randomisation des adresses MAC lors des probe requests, détection des points d’accès suspects, limitation du broadcast des SSID connus. Les appareils deviennent plus prudents, ils ne révèlent plus aussi facilement les réseaux qu’ils connaissent.
Qu’à cela ne tienne ! Kitchen et son équipe contre-attaquent avec de nouvelles techniques encore plus sournoises. Le Mark V embarque deux radios WiFi permettant de mener des attaques sur plusieurs canaux simultanément. Une radio écoute pendant que l’autre émet. Le système PineAP évolue avec de nouveaux modes : Beacon Response Mode qui répond sélectivement aux requêtes, Broadcast SSID Pool qui diffuse une liste de réseaux populaires, Targeted Portal qui crée des pages de phishing personnalisées. Tactique redoutable !
Le Mark V avec ses deux antennes pour les attaques multi-canaux
Petit détail qui tue : il n’y a jamais eu de Mark VI commercialisé. Kitchen a sauté directement au Mark VII pour des raisons que lui seul connaît. Certains spéculent sur un prototype raté, d’autres sur une superstition autour du chiffre 6. Le mystère reste entier !
Aujourd’hui, le Mark VII représente l’état de l’art absolu. Ce bijou de technologie embarque dans sa version de base tout ce dont rêvent les hackers : trois radios qui peuvent écouter et émettre simultanément (une dédiée au monitoring, une pour les attaques, une pour le management), le support des fréquences 2.4 et 5 GHz avec 802.11 a/b/g/n/ac, un processeur MediaTek MT7628 cadencé à 580 MHz avec 256 MB de RAM, et même un port USB-C pour suivre la modernité. C’est le couteau suisse ultime de l’audit WiFi !
Le Mark VII, l’état de l’art actuel avec ses trois radios
L’interface utilisateur, entièrement réécrite en Angular, offre un contrôle fin sur tous les aspects de l’audit. Les “Campagnes” automatisent les tests de pénétration et génèrent des rapports détaillés conformes aux standards de l’industrie. Le Cloud C2 permet une gestion à distance pour de la simulation de menaces persistantes avancées (APT). On peut contrôler une flotte entière de Pineapples depuis un dashboard centralisé !
L’interface moderne du Mark VII avec ses modules d’attaque
Les nouvelles attaques incluent la capture automatique de handshakes WPA/WPA2 avec hashcat intégré, l’amélioration des attaques de déauthentification ciblées, et même des attaques contre les réseaux WPA-Enterprise avec module RADIUS intégré. L’architecture logicielle est entièrement repensée avec un backend découplé et une API REST permettant aux développeurs d’écrire des modules dans leur langage de prédilection. Une bibliothèque Python officielle facilite l’intégration. Tout cela fait du Mark VII une plateforme mûre, stable et extensible.
L’histoire des attaques WiFi ressemble vraiment à une course aux armements permanente. Et le WiFi Pineapple s’adapte à chaque évolution comme un caméléon technologique.
Au début, il y avait le WEP (Wired Equivalent Privacy), censé protéger nos réseaux WiFi. Mais ce protocole était tellement mal conçu qu’en 2001, des chercheurs découvrent qu’on peut récupérer la clé en collectant environ 40 000 paquets. Avec les outils modernes comme aircrack-ng, n’importe quel script kiddie peut alors casser du WEP en quelques minutes. Puis arrive le WPA en 2003, puis le WPA2 en 2004, chacun promettant d’être LA solution définitive. Spoiler : ils ne l’étaient pas !
Le coup de grâce arrive en octobre 2017 avec l’attaque KRACK (Key Reinstallation Attack). Mathy Vanhoef, un chercheur belge de l’université de Louvain, découvre que même le WPA2 peut être cassé. La faille exploite la réinstallation de clés dans le four-way handshake, permettant de déchiffrer le trafic, injecter des paquets malveillants et même forcer des downgrades vers des protocoles plus faibles. Et le pire ? La faille est dans le standard WiFi lui-même, pas dans une implémentation particulière. Autrement dit, TOUS les appareils WiFi au monde sont vulnérables !
En mai 2021, Vanhoef enfonce le clou avec les FragAttacks (Fragmentation and Aggregation Attacks). Ces vulnérabilités, présentes depuis 1997 dans le WiFi, touchent TOUS les protocoles de sécurité WiFi, du vieux WEP au tout nouveau WPA3. Trois failles de conception fondamentales et plusieurs bugs d’implémentation permettent d’injecter des paquets arbitraires, d’intercepter le trafic et de contourner les pare-feu. Des bugs vieux de plus de 20 ans qui étaient passés inaperçus !
Le WiFi Pineapple intègre rapidement ces nouvelles attaques. Les modules KRACK et FragAttack sont disponibles quelques semaines après leur divulgation. Les attaques multi-canaux, développées depuis 2014, permettent de manipuler les trames chiffrées entre deux points légitimes. Les techniques Evil Twin exploitent les mécanismes de roaming, particulièrement le standard 802.11v (BSS Transition Management) qui permet de demander poliment aux appareils de se reconnecter à un autre point d’accès. “Poliment” étant un euphémisme pour “de force”, vous l’aurez compris.
Même WPA3, lancé en 2018 et censé résoudre les problèmes de ses prédécesseurs avec son protocole SAE (Simultaneous Authentication of Equals) et son chiffrement 192-bit en mode Enterprise, peine à s’imposer. L’adoption reste faible, quelques pourcents à l’échelle mondiale selon WiGLE, la base de données collaborative des réseaux WiFi. WPA2 règne toujours en maître avec plus de 70% des réseaux.
Mais l’histoire du WiFi Pineapple ne se limite pas à ses prouesses techniques. Elle raconte aussi comment un outil de niche devient un phénomène culturel.
Tout commence lors des conférences de hacking. DefCon 21 en 2013 : le WiFi Pineapple Mark V se vend à raison de 1,2 unités par minute le premier jour avant rupture de stock totale ! Un succès fou pour un gadget à 90 dollars. Les hackers font littéralement la queue devant le stand Hak5 pour mettre la main sur ce petit ananas jaune. Kitchen raconte qu’ils ont dû limiter les achats à deux unités par personne pour éviter que des revendeurs ne raflent tout le stock.
Les démonstrations spectaculaires se multiplient. DefCon 25 en 2017 : des chercheurs installent discrètement des Pineapples dans les couloirs du Caesars Palace. Ils diffusent des SSID alléchants comme “DEFCON_FreeWiFi”, “DEFCON_guest” et même “FBI_Surveillance_Van_42” (pour le lol). Les participants, pourtant experts en sécurité et censés savoir mieux, se connectent massivement aux faux réseaux. Certains entrent même leurs identifiants Gmail, Facebook et bancaires sur des pages de portail captif parfaitement imitées. L’arroseur arrosé, version cybersec ! Les chercheurs publient ensuite un “Wall of Sheep” anonymisé montrant le nombre effarant de credentials capturés.
Mais LA démonstration la plus spectaculaire reste celle de Mike Spicer en 2017. Ce chercheur en sécurité indépendant qui se fait appeler d4rkm4tter construit un monstre qu’il baptise le “WiFi Cactus”. L’engin est composé de 25 Pineapple Tetras (soit 50 radios au total !) montés sur une structure métallique elle-même fixée sur un sac à dos de randonnée militaire. Le tout pèse 14 kilos et ressemble à un cosplay de cyborg sorti tout droit de Ghost in the Shell.
Mike Spicer (d4rkm4tter) avec son impressionnant WiFi Cactus à DefCon
Son WiFi Cactus couvre TOUS les canaux WiFi simultanément avec une portée de 100 mètres et une autonomie de 2 heures. L’appareil est décoré de LEDs bleues et vertes qui clignotent en fonction de l’activité réseau, alimenté par une batterie LiPo de 30 ampères-heures, et contrôlé par un Intel NUC i7 avec deux switches Cisco Catalyst 2960 à 16 ports. Le système tourne sous Kali Linux avec une interface custom développée en Python. Il arrive à surveiller jusqu’à 14 000 appareils simultanément avant que le kernel Linux ne commence à avoir des ratés sous la charge !
L’objectif de Spicer est de mesurer le niveau réel d’attaques WiFi à DefCon. Résultat : les attaques de déauthentification pleuvent comme à Verdun. En moyenne, chaque appareil subit 23 tentatives de déauth par heure ! L’écosystème est plus hostile qu’une fosse aux lions affamés. “J’ai été époustoufflé par la réaction des gens face au Cactus”, raconte Spicer. “Partout où j’allais, les gens m’arrêtaient pour demander ce que c’était, prendre des photos, et certains voulaient même l’acheter !” Hak5 lui envoie finalement 40 Pineapples gratuits pour soutenir ses recherches.
L’anecdote la plus savoureuse reste celle de DefCon 22 en 2014. Un mystérieux hacker opérant sous le pseudo @IHuntPineapples découvre des script kiddies utilisant un WiFi Pineapple mal configuré pendant la conférence. Sa réaction est épique : il déploie un exploit zero-day contre l’appareil (une injection de commande dans le module Karma via une vulnérabilité d’authentification), prend le contrôle total du Pineapple, et remplace l’interface web par un message cinglant : “Mess with the best, die like the rest. Vous voulez jouer avec le WiFi de quelqu’un à Vegas dans une putain de conférence de hackers ? Qu’est-ce que vous attendiez ? Votre merde est complètement défoncée maintenant. Hack the planet!”, une référence directe au film culte “Hackers” de 1995.
Le message vengeur laissé par @IHuntPineapples sur un Pineapple compromis
@IHuntPineapples publie même les détails techniques de son exploit sur Twitter, révélant une faille d’injection de commande dans /components/system/karma/functions.php. Kitchen corrige la vulnérabilité dans les 48 heures avec le firmware 2.0.1. C’est ça, la beauté de DefCon : même les outils de hacking se font hacker !
Kitchen et Hak5 naviguent dans une zone grise éthique fascinante. D’un côté, ils créent des outils pouvant être utilisés de manière malveillante. De l’autre, ils éduquent la communauté sur les vulnérabilités réelles des réseaux sans fil. Cette dualité est assumée : depuis 2008, le WiFi Pineapple aide officiellement les pentesteurs, les équipes de sécurité des entreprises Fortune 500, les agences gouvernementales et même les forces de l’ordre comme plateforme de test sans fil. Le FBI et la NSA sont des clients réguliers, utilisant des versions modifiées pour leurs opérations.
La consécration arrive avec une série culte : Silicon Valley. Dans l’épisode “Hooli-Con” de la saison 4 (diffusé le 18 juin 2017), Richard Hendricks décide de planter des “pineapples” dans tout le salon technologique pour forcer le téléchargement de l’application Pied Piper sur les smartphones des visiteurs. Sa stratégie ? “L’adoption forcée par le marketing de guérilla agressif” ! Le plan est techniquement précis : ils exploitent le fait que l’app Hooli est requise pour utiliser le WiFi gratuit du salon, et injectent Pied Piper dans le processus d’installation.
Jared objecte avec sa sagesse habituelle : “En tant que victime d’une adoption forcée, je dois dire que c’est du malware, Richard !” Mais Richard, aveuglé par son ambition, rétorque : “C’est pour le bien commun !” Le plan échoue spectaculairement quand Richard, jaloux de voir son ex avec un nouveau copain, change le screensaver du gars en “Poop Fare” via le Pineapple. Cette action puérile alerte la sécurité qui lance un balayage avec des antennes directionnelles haute puissance. Ils localisent et retirent tous les Pineapples en quelques minutes.
Quand Richard se fait choper par la sécurité.
Kitchen, consultant technique sur l’épisode, confirme : “La représentation du Pineapple dans la série n’est pas si loin de la réalité. Les scénaristes ont vraiment fait leurs devoirs. La seule liberté qu’ils ont prise, c’est la vitesse d’installation de l’app. Dans la vraie vie, ça prendrait plus de temps.” Fun fact : les vrais WiFi Pineapples utilisés pendant le tournage ont été offerts à l’équipe technique de la série qui les utilise maintenant pour tester la sécurité de leurs propres réseaux !
Cette apparition télévisée propulse le WiFi Pineapple au-delà des cercles de hackers. Le grand public découvre soudainement l’existence de ces attaques WiFi sophistiquées. Les ventes explosent et Hak5 enregistre une augmentation de 400% des commandes dans les semaines suivant la diffusion. Mais plus important encore, la sensibilisation aux risques des réseaux sans fil publics augmente drastiquement. Les VPN deviennent mainstream, et “ne jamais se connecter au WiFi public” devient un conseil de sécurité basique.
Aujourd’hui, le WiFi Pineapple incarne ce paradoxe fascinant : un outil d’attaque qui améliore les défenses. Chaque nouvelle version force l’industrie à renforcer ses protections. C’est un jeu du chat et de la souris où tout le monde finit gagnant.
Et l’avenir du WiFi Pineapple s’écrit avec une évolution complètement dingue : le Pineapple Pager !
Dévoilé à la DefCon 33 en août 2025 pour les 20 ans de Hak5, ce petit appareil ressemble à un pager des années 90 mais cache une bête de course. Le design rétro n’est pas un hasard, c’est un hommage direct au film “Hackers” et à l’esthétique cyberpunk des années 90. L’appareil embarque le moteur PineAP 8e génération, complètement réécrit from scratch en Rust pour des performances 100 fois supérieures. Il supporte le WiFi 6 GHz (WiFi 6E), une première mondiale pour un outil de pentest portable ! Le tout dans un boîtier de 131 grammes qui se clipse sur votre ceinture.
Le plus fou c’est qu’il fonctionne de manière totalement autonome, sans ordinateur ! Plus besoin de trimballer son laptop puisque ce truc lance des attaques automatisées grâce à DuckyScript 3.0, le langage de scripting de Hak5. Il vibre même quand il détecte une cible, affiche les résultats sur son écran couleur haute résolution, et peut même envoyer des alertes sur votre téléphone via Bluetooth. La batterie de 2000 mAh offre jusqu’à 8 heures d’autonomie en mode passif, 2 heures en mode attaque aggressive.
Les fonctionnalités sont délirantes… support tri-bande (2.4, 5 et 6 GHz) avec deux radios indépendantes, intégration native de hashcat pour le cracking WPA on-device, mode “stealth” qui imite les patterns de trafic d’un smartphone normal, et même un mode “warwalking” qui cartographie automatiquement les réseaux pendant que vous vous baladez.
Kitchen prouve encore qu’il sait transformer la nostalgie en arme de destruction massive du WiFi. “Le Pager, c’est 20 ans d’expérience condensés dans la poche”, explique-t-il. “On voulait créer quelque chose qui capture l’essence du hacking des années 90 tout en étant à la pointe de la technologie moderne.” Mission accomplie.
Ce qui est fascinant avec le WiFi Pineapple, c’est qu’il nous force à repenser notre rapport à la technologie. Chaque fois que votre téléphone se connecte automatiquement à un réseau, chaque fois que vous cliquez sur “Se souvenir de ce réseau”, vous créez une vulnérabilité potentielle. Le Pineapple ne fait que révéler ce qui a toujours été là : notre confiance aveugle dans des protocoles conçus à une époque où la sécurité n’était pas la priorité.
Kitchen et son équipe continuent d’innover, toujours avec cette philosophie : “Know your network. Know your risks. Know your tools.” Ils ne vendent pas juste du matériel, ils vendent de la connaissance, de la prise de conscience. Et dans un monde où nos vies entières transitent par le WiFi, c’est peut-être le service le plus précieux qu’ils puissent rendre. Car comme toutjours, la meilleure défense, c’est de comprendre les attaques.
Dans un monde parfait, le WiFi Pineapple n’aurait pas besoin d’exister. Mais on ne vit pas dans un monde parfait. On vit dans un monde où la commodité prime souvent sur la sécurité, où les standards sont adoptés avant d’être vraiment testés, où les failles de 20 ans passent inaperçues. Et tant que ce sera le cas, on aura besoin de hackers comme Kitchen pour nous rappeler que la confiance aveugle en la technologie est le premier pas vers la catastrophe.
Vous avez déjà rêvé de faire tourner Word ou Photoshop sur Linux sans avoir l’impression d’utiliser une VM des années 90 ?? Moi oui et c’est pourquoi je suis heureux de vous annoncer qu’un développeur a transformé ce fantasme en réalité. Cela s’appelle WinApps et ça fait tourner Windows dans une machine virtuelle cachée et projette les applications directement sur votre bureau Linux. Comme ça votre Excel s’ouvre à côté de Firefox comme si de rien n’était…
Le principe est malin puisqu’au lieu de vous montrer tout le bureau Windows dans une fenêtre VirtualBox, WinApps utilise FreeRDP pour extraire uniquement l’application dont vous avez besoin. La VM tourne en arrière-plan avec Docker, Podman ou libvirt, et vous ne voyez que ce qui vous intéresse. Vous pouvez même faire un clic droit sur un fichier .docx dans Nautilus et l’ouvrir directement avec Word.
L’intégration est tellement poussée que vos collègues sous Windows vont se demander comment vous faites cette magie noire !!??
Car Wine, c’est bien pour les applications simples, mais dès qu’on parle de la suite Office complète ou d’Adobe Creative Cloud, ça devient vite la galère. WinApps contourne donc le problème en utilisant les vraies applications Windows, et pas du portage approximatif.
L’installation demande un peu de préparation. Il vous faut d’abord une ISO de Windows 10 ou 11 et une licence valide (oui, Microsoft veut quand même toucher ses royalties 😉). Ensuite, vous choisissez votre backend. Vous pouvez utiliser Docker et Podman qui automatisent l’installation de Windows, ou libvirt qui vous donnera plus de contrôle mais demandera aussi plus de configuration manuelle. Après je vous connais, vous êtes des Warriors 😙.
Dans tous les cas, c’est KVM qui fait le gros du travail côté performances, et croyez-moi, ça envoie du lourd.
Ce projet est né d’une frustration simple. Celle du créateur original, Fmstrat, qui en avait marre de jongler entre deux OS pour bosser. Mais depuis, la communauté a pris le relais avec ce fork actif sur winapps-org. Cette version communautaire ajoute régulièrement de nouvelles fonctionnalités, comme le widget de barre des tâches qui permet de gérer la VM Windows sans ouvrir un terminal.
Le niveau d’intégration est plutôt élevé vous verrez. Par exemple, votre dossier home Linux est accessible depuis Windows via \tsclient\home. Les liens Microsoft Office (genre ms-word://) s’ouvrent automatiquement dans la bonne application. Le système détecte même les applications installées dans Windows et crée les raccourcis correspondants sur votre bureau Linux. C’est transparent au point qu’on oublie qu’il y a une VM qui tourne.
Avec WinApps en mode “manuel”, on pourrait même avec un peu de bidouille, faire pointer l’outil vers un vrai PC Windows (en serveur RDP) sur votre réseau plutôt qu’une VM. Comme ça votre vieille tour Windows planquée dans un placard peut servir uniquement à faire tourner les apps Windows dont vous avez besoin, accessibles depuis votre laptop Linux. Les performances d’affichage seront alors limitées uniquement par votre réseau local. A tester quoi…
Le projet supporte une liste impressionnante d’applications : toute la suite Microsoft Office, Adobe Creative Cloud, les outils de développement Windows, et même l’explorateur de fichiers ou l’invite de commande. Certains ont réussi à faire tourner des jeux Steam, même si ce n’est clairement pas l’usage principal visé.
Pour les performances, comptez environ 4 Go de RAM dédiés à la VM Windows, plus ce dont vos applications ont besoin. Sur une machine moderne avec 16 Go de RAM, c’est largement gérable. Le CPU n’est sollicité que quand les applications Windows sont actives, et KVM fait un excellent travail de gestion des ressources.
L’aspect sécurité mérite également réflexion car vous faites tourner un Windows complet sur votre machine, avec tous les risques que ça implique. La VM est isolée certes, mais elle a accès à votre dossier home via RDP. Donc conseil d’ami si vous êtes parano (et vous devriez l’être), créez un utilisateur Linux dédié avec des permissions limitées pour WinApps, ce sera mieux.
Bref WinApps est un compromis, mais un compromis intelligent je trouve, surtout si vous en avez marre de redémarrer sous Windows juste pour modifier un PowerPoint vite fait.
Vous vous souvenez de l’effet Aero de Windows Vista ? Cette transparence vitreuse qui donnait l’impression que votre bureau était fait de verre dépoli ? Et bien un designer vient de ressortir ce concept du placard, mais avec une approche qui pourrait vraiment être le Windows du futur.
Hé oui car pendant que Microsoft préparerait réellement Windows 12 pour fin 2025 ou début 2026, avec des rumeurs de taskbar flottante façon macOS et d’icônes système en haut à droite, un designer repense complètement l’interface. Le coupable s’appelle Addy Visuals, aussi connu sous le nom de AR 4789, et ce n’est pas son premier rodéo. En effet, le type s’amuse depuis des années à réimaginer les OS de Microsoft, passant de Windows XP modernisé à des concepts de Windows 12 Mobile.
Et cette fois, il frappe fort avec Windows 12.2, qui est sa vision de la prochaine évolution de Windows. Notez cette obsession pour les thèmes rétro Windows 7. Car les plus jeunes, là, je sais pas si vous saviez mais à cette époque on pouvait vraiment personnaliser son bureau. Son concept propose donc un menu Démarrer qui fusionne le meilleur de Windows 10 et 11, mais aussi le retour des groupes d’applications qu’on a perdus et des widgets intégrés directement dedans.
Car le mec a compris un truc que Microsoft semble avoir oublié avec Windows 11 : les utilisateurs veulent du choix. Son concept propose des groupes d’applications qui reviennent (vous savez, cette fonctionnalité super pratique de Windows 10 qu’on a perdue), des widgets intégrés directement dans le menu Démarrer, et surtout, la possibilité de choisir entre une taskbar séparée ou étendue sur tout l’écran.
L’Explorateur de fichiers aussi a eu droit à son relooking. Mais ce qui m’a vraiment fait tiquer, c’est l’approche de Copilot. Au lieu de nous balancer l’IA dans la figure comme Microsoft le fait actuellement, Addy propose une intégration plus subtile, moins intrusive. Un Copilot qui est là quand on en a besoin, pas un assistant qui s’impose à chaque clic.
Bien sûr, tout ceci reste de l’ordre du fantasme visuel. Créer un OS fonctionnel, c’est pas juste faire du drag and drop d’éléments jolis et Microsoft doit gérer la compatibilité avec des millions d’applications, l’accessibilité, la sécurité, et j’en passe. Mais ces concepts servent quand même à montrer ce que les utilisateurs attendent vraiment. D’ailleurs, les vraies rumeurs sur Windows 12 sont tout aussi intéressantes puisque ça discute d’une architecture modulaire qui permettrait des mises à jour plus rapides et une meilleure sécurité en isolant les composants. Niveau hardware, préparez-vous aussi puisqu’il faudra 8 Go de RAM minimum et TPM 2.0 obligatoire. Les vieux PC vont encore grincer des dents.
Microsoft pourrait aussi intégrer un client de messagerie unifié, baptisé Windows Messenger, qui fusionnerait Teams et Skype. Et cerise sur le gâteau, la possibilité d’installer des APK Android directement, sans passer par l’Amazon Store. Si c’est vrai, ça changerait complètement la donne pour l’écosystème d’applications.
Bref, j’ai trouvé ce concept d’Addy Visuals plutôt magnifique avec ses effets de transparence et ses animations fluides et en attendant 2025 et les vraies annonces de Microsoft, ça nous permet de rêver un peu….
Vous cherchez le fond sonore parfait pour bosser tranquille ou pour décompresser après une journée de galère ? J’ai déniché un petit outil sympa qui va vous aider à vous créer votre bulle sonore quotidienne. Ça s’appelle Ambiphone, et c’est ce qu’on appelle un “générateur de paysages sonores”.
Et contrairement aux autres que vous avez probablement déjà testé, cet outil ne se contente pas de vous balancer des sons de pluie ou de vagues comme on en trouve partout. Non, Ambiphone va beaucoup plus loin en vous proposant de mixer de la musique ambiante, des sons de la nature, et attention, c’est là que ça devient vraiment original : des flux de radios de police en direct !
Comme ça, vous pouvez littéralement créer une ambiance cyberpunk dans votre salon en mélangeant des nappes synthétiques avec les communications radio de la police de New York.
L’interface est minimaliste, sans fioritures inutiles, ni pub… juste vous et vos curseurs de volume pour ajuster chaque élément sonore.
Ambiphone permet ainsi de créer des atmosphères vraiment uniques que vous pouvez ensuite conserver sous la forme d’un Mix à recharger plus tard.
J’ai testé plusieurs combinaisons et franchement, le résultat est cool. Un peu de musique Lo-Fi, quelques sons de forêt tropicale, et une touche de radio police de Baltimore pour l’exotisme, et vous vous retrouvez dans un univers sonore complètement décalé qui, bizarrement, aide vraiment à se concentrer.
C’est comme si mon cerveau, occupé à traiter ce fond sonore, laissait ma conscience totalement libre tel, un petit papillon courageux, se focaliser sur ma tâche en cours, à savoir vous faire des articles de ouf tous les jours (même fériés ^^)
Alors là, accrochez-vous bien parce que l’histoire de Troy Hunt, c’est un peu comme si Superman décidait de troquer sa cape contre un clavier et de sauver le monde depuis son bureau. Sauf qu’au lieu de voler et de porter des slips par-dessus son pantalon, il tape du code et sauve vos mots de passe compromis. Troy Hunt, c’est le mec qui a créé Have I Been Pwned, ce service gratuit qui vous dit si vos données traînent quelque part sur le dark web. Et croyez-moi, son parcours est complètement dingue !
La première fois que j’ai testé mon email sur son site, j’ai découvert avec horreur que mes données avaient fuité dans je-sais-plus-combien de hacks. Ce jour-là, j’ai réalisé l’ampleur du travail de ce type. Il a créé, à lui tout seul, un service qui aujourd’hui référence plus de 14,4 milliards de comptes compromis dans 845 fuites de données différentes. C’est presque deux fois la population mondiale ! Franchement, c’est du lourd.
Troy Hunt naît en Australie, et contrairement à ce qu’on pourrait penser, ce n’est pas un gamin des plages qui passe son temps à surfer. Non, lui, il préfère démonter des consoles de jeux “pour voir ce qui les fait marcher”. Le geek était déjà là ! Après des années d’itinérance familiale, Troy finit par s’installer sur la Gold Coast australienne, ce paradis ensoleillé où il vit toujours aujourd’hui avec sa femme Charlotte et leurs deux enfants.
La Gold Coast en Australie, où Troy vit depuis des années
Le truc dingue avec Troy, c’est qu’à l’université dans les années 90, il veut apprendre le développement web mais son école n’offre aucun cours sur Internet ! Imaginez un peu : le web explose, et les universités australiennes sont encore en mode “Internet ? C’est quoi ce truc ?” Alors Troy fait ce que font tous les vrais passionnés, il apprend tout seul. Et en 1995, alors que le web n’a que quelques années, il construit déjà des applications web professionnelles. Autodidacte niveau super chef !
Pendant ses premières années de carrière, Troy touche à tout. Finance, médias, santé… Il accumule l’expérience comme Mario collecte des pièces. Mais c’est en 2001 que sa vie prend un tournant décisif quand il décroche un job chez Pfizer à Sydney. Oui, Pfizer, le géant pharmaceutique !
Au début, c’est le rêve américain version australienne. Il code, il construit des systèmes, il gère des applications cliniques critiques. Il commence comme simple développeur, mais ses compétences le propulsent rapidement au poste d’architecte logiciel pour toute la région Asie-Pacifique. C’est énorme ! Il supervise des systèmes qui gèrent les essais cliniques, rapportent les effets indésirables, optimisent les opérations dans une quinzaine de pays. Le mec est responsable de l’infrastructure tech d’une des plus grosses boîtes pharma du monde pour toute une région géographique !
Mais voilà le hic… Au fur et à mesure que Troy grimpe les échelons, il s’éloigne de ce qu’il aime vraiment : coder. “Je ne faisais plus de code”, raconte-t-il avec amertume. “J’attendais des autres qu’ils le fassent, et je me sentais déconnecté.” Cette frustration grandit comme une démangeaison qu’on ne peut pas gratter. Il manage des gens au lieu de coder, passe ses journées en réunions au lieu de construire des trucs. Le syndrome classique du développeur devenu manager malgré lui !
Pour compenser, Troy lance des projets perso le soir et les weekends. Il crée son blog troyhunt.com, où il partage ses connaissances sur la sécurité web. En septembre 2011, il lance ASafaWeb (Automated Security Analyser for ASP.NET Websites), un outil précurseur qui analyse automatiquement la sécurité des sites ASP.NET. L’idée lui vient de son taf chez Pfizer : “Je passais un temps fou à tester des trucs basiques puis expliquer pourquoi c’était important aux développeurs.” ASafaWeb automatise tout ça. Génial ! L’outil tournera pendant 7 ans avant d’être mis à la retraite en novembre 2018.
En parallèle, Troy devient l’un des instructeurs stars de Pluralsight avec ses cours sur l’OWASP Top 10 et sa série culte “Hack Yourself First”. Son approche ? Apprendre aux développeurs à penser comme des hackers pour mieux se défendre. Plus de 32 000 personnes suivent ses cours, totalisant 78 000 heures de visionnage ! Pendant que ses collègues de Pfizer regardent Netflix, Troy construit méthodiquement sa réputation dans la cybersécurité. En 2011, il devient même Microsoft MVP (Most Valuable Professional), et sera nommé MVP de l’année la même année !
Les cours de Troy Hunt sur Pluralsight sont devenus cultes
Le vrai déclic arrive à l’automne 2013. Troy analyse les fuites de données qui se multiplient et remarque un schéma inquiétant : ce sont toujours les mêmes personnes qui se font pirater, souvent avec les mêmes mots de passe pourris. Les victimes n’ont aucune idée qu’elles sont exposées et continuent d’utiliser “password123” partout. C’est la catastrophe !
Et puis arrive le coup de grâce : la fuite Adobe du 3 octobre 2013. Au début, Adobe minimise… “Juste 3 millions de cartes compromises, rien de grave !” Puis ils passent à 38 millions. Mais quand Brian Krebs de KrebsOnSecurity creuse l’affaire, la réalité explose : 153 millions de comptes compromis ! Troy analyse les données et il est horrifié. Non seulement les mots de passe sont mal chiffrés (avec un chiffrement 3DES réversible au lieu d’un hash irréversible), mais Adobe a stocké les indices de mots de passe en clair ! Genre “nom de mon chien + année de naissance”. Les hackers ont tout. C’est un carnage absolu !
Troy réalise alors l’injustice fondamentale de la situation. Les criminels téléchargent des gigas de données volées sur des torrents et analysent tranquillement qui utilise quel mot de passe où. Mais Monsieur et Madame Tout-le-monde ? Ils n’ont aucun moyen de savoir s’ils ont été compromis. C’est complètement déséquilibré !
Alors le 4 décembre 2013, Troy lance Have I Been Pwned. Au début, c’est minuscule… juste 5 fuites indexées (Adobe, Stratfor, Gawker, Yahoo! Voices et Sony Pictures). Mais le concept est brillant dans sa simplicité. Tu entres ton email, le site te dit si tu as été pwned. Point. Pas de pub, pas d’inscription, pas de collecte de données supplémentaires. Juste un service gratuit pour aider les gens. “Je voulais que ce soit ultra simple et accessible pour bénéficier au maximum à la communauté”, explique-t-il.
L’interface originale de Have I Been Pwned en 2013
Le succès est immédiat et exponentiel. Les gens découvrent avec horreur que leurs données sont partout. Le site devient viral. En quelques semaines, les médias s’emparent du sujet. Troy ajoute fuite après fuite, breach après breach.
Ce qui est sympa également, c’est l’architecture technique. Troy utilise Windows Azure (maintenant Microsoft Azure) pour gérer une montée en charge astronomique. On parle de 150 000 visiteurs uniques par jour en temps normal, 10 millions lors des gros incidents. Les données sont stockées dans Azure Table Storage, une solution NoSQL qui permet de gérer des milliards d’enregistrements pour quelques dollars par mois. Les mots de passe compromis sont servis via Cloudflare avec un cache hit ratio de 99,9% sur 335 edge locations dans 125+ pays. L’API Pwned Passwords traite aujourd’hui plus de 13 milliards de requêtes par mois ! Et le plus fou ? Tout ça tourne pour moins de 300$ par mois. L’efficacité à l’état pur !
Pendant ce temps, chez Pfizer, Troy est de plus en plus malheureux. “Vers la fin, je redoutais d’aller au travail”, avoue-t-il. Se lever avec la boule au ventre, c’est le signe qu’il faut changer de job. En avril 2015, le destin frappe : Pfizer annonce que son poste est supprimé dans une restructuration. Licencié après 14 ans ! Mais au lieu de déprimer, Troy ressent… du soulagement ! “Je me sentais enfin libre de me concentrer sur HIBP et d’autres projets indépendants.”
Troy célébrant son “indépendance” après son licenciement de Pfizer
Se faire virer devient la meilleure chose qui lui soit arrivée ! Troy devient consultant indépendant et se lance à fond. Il donne des workshops dans le monde entier : banques centrales, gouvernements, entreprises du Fortune 500. Il fait des keynotes à Black Hat, DEF CON, NDC. Plus de 100 workshops et autant de conférences en quelques années. Le développeur frustré de Pfizer est devenu une rockstar mondiale de la cybersécurité !
Mais c’est Have I Been Pwned qui reste son bébé. En janvier 2019, Troy découvre “Collection #1”, une méga-fuite de 773 millions d’emails uniques et 21 millions de mots de passe uniques, totalisant 2,7 milliards de combinaisons email/password. C’est la plus grosse fuite jamais vue ! L’analyse révèle que c’est une compilation de plus de 2000 fuites précédentes, avec 140 millions de nouveaux emails jamais vus auparavant.
Aujourd’hui en 2025, HIBP a catalogué plus de 845 fuites et 14,4 milliards de comptes pwned. Le service est utilisé par 40 gouvernements dans le monde pour monitorer leurs domaines officiels. La Malaisie est même la première nation asiatique à l’adopter officiellement. Des agences comme le FBI, la CISA, le RCMP canadien et le NCA britannique collaborent activement avec Troy, lui fournissant des mots de passe compromis découverts lors de leurs enquêtes.
Le nouveau look de HIBP en 2025
Le truc génial avec Troy, c’est qu’il refuse de monétiser HIBP de façon agressive. Le service reste gratuit pour les particuliers. Il fait payer uniquement les entreprises qui veulent utiliser l’API pour vérifier en masse. Sa philosophie est claire : “Je ne stocke pas les mots de passe. Néant. Que dalle. Je n’en ai pas besoin et je ne veux pas de cette responsabilité. Tout ça, c’est pour sensibiliser à l’ampleur des fuites.”
Cette approche éthique lui vaut une reconnaissance mondiale. En novembre 2017, il témoigne devant le Congrès américain sur l’impact des fuites de données. En février 2022, il reçoit le prestigieux Mary Litynski Award du M3AAWG pour avoir rendu Internet plus sûr. Même le FBI lui a filé une médaille ! Pas mal pour un mec qui a appris le web tout seul !
Un aspect méconnu, c’est le rôle crucial de sa femme Charlotte. Elle a coordonné les conférences NDC (Norwegian Developers Conference) dans le monde entier de 2013 à 2021. Quand elle rejoint HIBP en 2021 comme Chief Operating Officer, elle gère tout ce qui n’est pas technique : onboarding des clients, tickets d’API, compta, taxes internationales…
Charlotte Hunt, la moitié opérationnelle du duo
“Charlotte est à la fois ma femme et la chef de toutes les opérations chez HIBP”, explique Troy avec affection. Sans elle, impossible de gérer un service utilisé par des millions de personnes. C’est le duo parfait !
Mais Troy n’est pas qu’un héros de la cybersécurité. En février 2017, il révèle les vulnérabilités critiques de CloudPets, des peluches connectées qui ont exposé 820 000 comptes et 2,2 millions de fichiers audio d’enfants parlant à leurs doudous. Les enregistrements étaient accessibles sans authentification sur des serveurs MongoDB mal configurés ! Son investigation force Spiral Toys à sécuriser d’urgence et sensibilise le monde aux dangers de l’IoT mal sécurisé.
Troy recevant les honneurs pour son travail
Un des aspects les plus impressionnants, c’est sa capacité à vulgariser. Sur son blog, il explique des concepts complexes avec une clarté cristalline. Ses articles sur Collection #1 ou l’analyse des mots de passe Adobe sont des masterclass de pédagogie. Il a créé toute une philosophie autour de la “culture de la sécurité” : “La sécurité doit être en tête des priorités pour TOUS les professionnels de la tech, pas juste l’équipe sécu.” Cette vision révolutionne la façon dont les entreprises abordent la cybersécurité.
Et même les experts se font avoir ! Dans un exemple d’humilité rafraîchissante, Troy a admis publiquement s’être fait avoir par un email de phishing sophistiqué. Cette transparence renforce encore sa crédibilité. Le mec assume ses erreurs, c’est ça qui est beau !
L’impact technique de HIBP est phénoménal. L’API Pwned Passwords utilise un modèle k-anonymity génial où au lieu d’envoyer votre mot de passe en clair, vous envoyez les 5 premiers caractères du hash SHA-1, le serveur répond avec tous les hashs correspondants (environ 400), et votre navigateur vérifie localement. Résultat, votre mot de passe n’est jamais transmis, même pas à Troy ! C’est de la privacy by design à l’état pur. Des géants comme 1Password, Firefox et Google Chrome intègrent maintenant cette API pour vérifier si vos mots de passe ont fuité.
Le plus fou dans tout ça c’est que Troy continue de développer HIBP avec passion. En 2025, il a ajouté le support des données de “stealer logs” (malwares qui volent les identifiants), intégrant 231 millions de mots de passe uniques supplémentaires. Il travaille avec le FBI et le NCA britannique qui lui fournissent régulièrement des données saisies lors d’opérations contre les cybercriminels.
Aujourd’hui, Troy vit toujours sur la Gold Coast, “la partie ensoleillée du pays ensoleillé !” comme il aime dire. Il continue de développer HIBP, donne des conférences dans le monde entier (quand il n’est pas en train de faire du jetski ou de piloter des voitures de sport sur circuit), et reste l’une des voix les plus respectées de la cybersécurité mondiale.
Ce qui est dingue avec Troy Hunt, c’est qu’il a transformé une frustration personnelle (ne plus coder chez Pfizer) en service public mondial. Il a créé quelque chose que même les gouvernements n’avaient pas pensé à faire. Et il l’a fait gratuitement, par pure passion pour la sécurité. Dans un monde où tout se monétise, où chaque startup cherche la licorne, Troy reste fidèle à ses principes : aider les gens à rester safe online.
Si ça c’est pas inspirant, franchement, je sais pas ce qui l’est ! Le mec a littéralement changé la façon dont le monde entier gère les fuites de données. Et il continue, breach après breach, à nous protéger de nos propres mauvaises habitudes de sécurité. Respect total.
Je me souviens de la première fois où j’ai entendu parler de The Grugq.
C’était en 2006, via un PDF qui expliquait aux hackers comment ne pas se faire choper par les flic. Puis un peu plus tard, en 2012, je l’ai redécouvert vie un article de Forbes qui racontait comment un mystérieux Sud-Africain basé à Bangkok gagnait plus d’un million de dollars par an en vendant des failles zero-day aux agences de renseignement.
Pas en exploitant lui-même les failles, non. Juste en servant d’intermédiaire entre les hackers qui les découvraient et les gouvernements prêts à payer des fortunes pour les acquérir. Il prenait à l’époque 15% de commission sur des ventes qui pouvaient atteindre 250 000 dollars pour un seul exploit iOS. Le calcul était vite fait.
The Grugq expert en sécurité informatique et OPSEC
Puis j’ai découvert que ce type était bien plus qu’un simple marchand d’armes numériques. C’était LE gourou de l’OPSEC, celui qui avait littéralement créé le domaine de l’anti-forensics. Celui qui répétait sans cesse “shut the fuck up” comme mantra ultime de survie. Voici donc aujourd’hui, l’histoire de Thaddeus Grugq, l’homme qui a appris au monde entier l’art de disparaître.
Thaddeus Grugq est né en Afrique du Sud, quelque part dans les années 70. Les détails exacts ? Mystère complet. Et c’est totalement voulu car The Grugq pratique ce qu’il prêche. La première règle de l’OPSEC, c’est de contrôler l’information sur soi-même. Pas d’année de naissance précise dans les bios officielles. Pas de ville natale. Pas de vrais noms de famille. Juste “The Grugq”, un pseudonyme qui est devenu une marque dans le monde de la sécurité.
Ce qu’on sait, c’est qu’il a grandi dans l’Afrique du Sud de l’apartheid. Un pays où la surveillance était omniprésente, où les communications étaient espionnées, et où la paranoïa était justifiée. Du coup, c’est dans ce contexte qu’il développe très jeune une fascination pour les systèmes, pour comprendre comment ils fonctionnent, et surtout, comment contourner leur sécurité. L’environnement idéal pour forger un futur expert en contre-surveillance !
En 1998, à peine sorti de l’adolescence, il débarque dans le monde de la sécurité informatique. L’industrie en est encore à ses balbutiements. Les grandes entreprises commencent tout juste à comprendre qu’Internet n’est pas qu’un gadget et que la sécurité, ce n’est pas optionnel. The Grugq trouve alors un job dans une Fortune 100. Laquelle ? Il ne le dira jamais. OPSEC, toujours.
Mais rapidement, la vie en entreprise l’ennuie. Les réunions interminables, les politiques internes, les limitations imposées par la hiérarchie… C’est pas pour lui. Il veut explorer, casser des choses, comprendre les limites des systèmes. Alors quand l’opportunité se présente de rejoindre @stake, l’une des boîtes de sécurité les plus prestigieuses de l’époque, il saute dessus. Et on peut dire que c’était le bon moment !
@stake, c’était le graal pour tout hacker qui se respectait. Fondée par des légendes issues de L0pht Heavy Industries (ces mecs qui avaient fait trembler le Congrès américain en 1998 en déclarant pouvoir “éteindre Internet en 30 minutes”), la boîte attirait les meilleurs talents. Ils faisaient du pentest pour les plus grandes entreprises, découvraient des vulnérabilités critiques, conseillaient les gouvernements. C’était l’élite de l’élite !
The Grugq s’y épanouit totalement. Il reverse tout ce qui lui tombe sous la main. Il développe des exploits. Il apprend des meilleurs du milieu. Mais surtout, il commence à s’intéresser à un domaine encore vierge : l’anti-forensics. Comment effacer ses traces numériques ? Comment rendre l’analyse post-mortem impossible ? Comment disparaître sans laisser de preuves ?
Son mentor chez @stake lui donne alors un conseil qui va changer sa vie : “If you know how to do anti-forensics, you probably don’t need anti-forensics.” En d’autres termes, si tu maîtrises l’art d’effacer tes traces, c’est que tu es déjà assez bon pour ne pas en laisser. C’est le début de sa philosophie de l’OPSEC préventive.
En 2002, The Grugq décide de partager ses connaissances avec la communauté. Il écrit un article pour Phrack, la bible underground du hacking. Le titre : “Defeating Forensic Analysis on Unix”. Dans cet article, il détaille méthodiquement comment compromettre les outils d’analyse forensique. Et c’est pas de la blague !
L’article présente une panoplie d’outils révolutionnaires : RuneFS pour cacher des données dans les bad blocks, The Defiler’s Toolkit avec ses composants Necrofile et Klismafile pour modifier directement le système de fichiers, KY FS pour stocker des données dans les répertoires, et Data Mule FS pour utiliser l’espace réservé des inodes. C’est de la technique de haut vol !
L’article fait l’effet d’une bombe atomique car pour la première fois, quelqu’un expose publiquement des techniques qui étaient jusqu’alors réservées aux agences de renseignement et aux criminels les plus pointus. The Grugq justifie sa démarche en expliquant que c’est pour “pousser l’industrie de la sécurité à développer des outils efficaces”. Il espère que “la prochaine génération d’outils d’investigation numérique donnera ainsi aux défenseurs quelque chose de fiable pour combattre efficacement les attaquants”.
Noble intention… Mais @stake ne voit pas les choses du même œil car pour eux, publier ces techniques dans Phrack, c’est donner des armes aux méchants. C’est irresponsable et surtout contraire à l’éthique de l’entreprise. The Grugq est viré. Forcé de démissionner, comme ils disent poliment. Bref, l’histoire classique du lanceur d’alerte qui se fait blacklister !
Le licenciement est un coup dur pour lui, mais également une libération totale. The Grugq devient alors consultant indépendant, et là, il découvre un marché en pleine explosion. Celui des vulnérabilités zero-day. Le timing est parfait !
En effet, début des années 2000, les gouvernements commencent à comprendre que les cyberarmes sont l’avenir de l’espionnage et du sabotage. Pas besoin d’envoyer des agents sur le terrain quand on peut compromettre un système à distance. Pas la peine de risquer des vies humaines quand un exploit bien placé peut faire le job. Le problème, c’est que les agences de renseignement ne sont pas forcément les meilleures pour trouver ces vulnérabilités. Elles ont des analystes brillants, mais pas forcément la créativité et la liberté des hackers indépendants. D’où l’idée d’acheter les exploits à ceux qui savent les trouver.
The Grugq voit alors l’opportunité et la saisit. Il a des contacts dans le milieu du hacking, il connaît les meilleurs chercheurs, ceux qui trouvent les bugs que personne d’autre ne voit. Et de l’autre côté, grâce à son passage chez @stake et ses activités de consultant, il a des contacts dans les agences gouvernementales. NSA, CIA, et leurs équivalents européens. C’est le middleman parfait !
Il devient alors broker. On dit aussi intermédiaire. Il est l’homme entre deux mondes qui ne peuvent pas se parler directement.
Comme ça, si un chercheur trouve une faille dans iOS, The Grugq sait à qui la vendre pour 250 000 dollars. Une agence cherche un exploit pour Android ? The Grugq sait qui peut le fournir pour 80 000 à 120 000 dollars. C’est du business !
Sa commission standard est de 15% donc par exemple sur une vente à 250 000 dollars, ça fait 37 500 dollars. Sans écrire une ligne de code. Sans prendre le risque de l’exploitation. Juste en mettant en relation les bonnes personnes. C’est rentable !
Mais The Grugq n’est pas qu’un simple intermédiaire. Il apporte aussi une vraie valeur ajoutée professionnelle. D’abord, il vérifie la qualité des exploits car pas question de vendre de la camelote à des clients qui paient des fortunes. Et ensuite, il garantit l’anonymat des deux parties. Le chercheur ne sait pas à qui il vend et l’acheteur ne sait pas d’où vient l’exploit. The Grugq est donc le seul à connaître les deux bouts de la chaîne.
C’est là que son expertise en OPSEC devient absolument cruciale car comment transférer des exploits qui valent des centaines de milliers de dollars sans laisser de traces ? Et comment recevoir des paiements sans que le fisc ou d’autres acteurs s’en mêlent ? Comment, même, communiquer avec des agences de renseignement sans se faire repérer par d’autres agences de renseignement ?
Une vraie prise de tête. Alors The Grugq développe tout un système sophistiqué. Communications chiffrées, bien sûr. Mais pas que. Il utilise des chains de proxies, des VPNs en cascade, des systèmes de dead drops numériques. Il change régulièrement d’identité, de méthodes de communication, de patterns de comportement. Un vrai fantôme numérique !
“Il est judicieux de migrer régulièrement l’infrastructure de communication et de changer régulièrement d’identité », expliquera-t-il plus tard. « Cela crée des silos d’informations compartimentés chronologiquement qui limitent l’impact d’une compromission.”
Et en quelques années, le business explose littéralement. 2010, 2011, 2012… Les prix des zero-days s’envolent. Ce qui se vendait 10 000 dollars en 2005 vaut maintenant 100 000. Un exploit iOS complet peut atteindre 250 000 dollars. Pour Windows, c’est 60 000 à 120 000. Et pour les navigateurs populaires (Chrome, Firefox, Safari), on parle de 80 000 dollars pour un RCE + sandbox escape. Le business est en feu et The Grugq est au milieu de tout ça. Il connaît les prix, les acheteurs, les vendeurs. Il sait quelle agence cherche quoi, quel chercheur a trouvé quoi. C’est une position de pouvoir incroyable. Et lucrative. Très, très lucrative.
En mars 2012, Forbes publie un article au sujet du marché des zero-days. Écrit par Andy Greenberg et intitulé “Shopping for Zero-Days: A Price List for Hacker’s Secret Software Exploits”, cet article expose pour la première fois publiquement ce marché secret. The Grugq y est cité, sous pseudonyme bien sûr. Et il révèle qu’il a pour projet de gagner plus d’un million de dollars cette année-là. Rien qu’en commissions. Le journaliste n’en croit pas ses oreilles. Un million de dollars pour mettre des gens en relation ?
Mais The Grugq hausse les épaules. C’est le marché, simple loi de l’offre et la demande. Surtout que les gouvernements ont des budgets illimités pour l’espionnage numérique. Par exemple, la NSA dépense 25,1 millions de dollars par an juste pour acheter des vulnérabilités selon les documents de Snowden. Ça représente entre 100 et 625 exploits par an, selon les prix du marché. Et c’est rien que la NSA !
Ajoutez à ça la CIA, le FBI, le Pentagone. Puis les Britanniques, les Français, les Allemands, les Israéliens. Tous veulent leur part du gâteau. Tous ont besoin d’exploits pour espionner, saboter, et protéger. Toutefois, The Grugq limite ses ventes aux agences américaines et européennes “pas uniquement pour des raisons éthiques, mais aussi parce qu’ils paient plus”. Pragmatique le garçon !
The Grugq estime le marché total à moins de 5 millions de dollars par an. D’autres parlent de 50 millions. Personne ne sait vraiment car c’est un marché opaque par nature, mais une chose est sûre…c’est hyper lucratif pour ceux qui savent naviguer dans ces eaux troubles.
Et surtout, même pendant cette période dorée de l’achat/revente, The Grugq ne se contente pas de faire du business. Il continue ses recherches, ses expérimentations et s’intéresse particulièrement à l’intersection entre le tradecraft traditionnel (les techniques d’espionnage classiques) et les compétences des hackers. Il dévore les manuels de la CIA déclassifiés, les mémoires d’anciens espions, les techniques du KGB et de la SOE (Special Operations Executive britannique). Il étudie comment les organisations clandestines opèrent depuis des siècles et surtout comment adapter toutes ces méthodes au monde numérique.
C’est de là que naît sa philosophie de l’OPSEC moderne. Pour lui, la sécurité opérationnelle n’est pas qu’une affaire technique. C’est avant tout une discipline mentale. Une façon de penser, de vivre, d’interagir avec le monde. Une philosophie de vie !
Sa règle numéro un, qu’il répétera ad nauseam dans toutes ses conférences : “Shut the fuck up.” Fermez-la. Ne parlez pas. Ne vous vantez pas. Ne partagez pas. C’est brutal, c’est direct, mais c’est efficace.
Car c’est là que 90% des gens échouent. Ils ne peuvent pas s’empêcher de parler. De tweeter. De se vanter. De laisser des indices. The Grugq a vu des dizaines de hackers brillants se faire prendre parce qu’ils n’ont pas su se taire.
Hé oui, l’ego, ça tue !
En parallèle de ses activités de broker, The Grugq commence aussi à enseigner. D’abord dans des conférences underground, puis dans les grands événements de sécurité. Black Hat, DefCon, CanSecWest, HITB… Il devient rapidement une star absolue du circuit et ses talks sont de véritables événements !
Pas de PowerPoints ennuyeux remplis de bullet points, The Grugq raconte des histoires captivantes. Il mélange technique et anecdotes, théorie et pratique. Il cite Sun Tzu et les manuels de la Special Operations Executive britannique. Il parle de hackers russes et d’espions de la Guerre Froide. Un storytelling incroyable qui captive !
Un de ses talks les plus célèbres est “OPSEC for Hackers” présenté à HITB 2012 où pendant une heure, il détaille comment les hackers se font prendre. Les erreurs classiques, les pièges à éviter. Il analyse des cas réels, décortique les échecs, explique ce qui aurait pu être fait différemment. Une vraie masterclass !
Et son message est clair comme du crystal : La technique ne suffit pas. Tu peux être le meilleur hacker du monde, si ton OPSEC est pourrie, tu finiras en prison.
“Donnez à un homme un 0day et il aura un accès pendant une journée, apprenez-lui à hameçonner et il aura un accès à vie.” De la sagesse hacker !
The Grugq développe comme ça toute une philosophie autour de l’OPSEC. Pour lui, c’est un art, pas une science, où chaque situation est unique. Les règles changent constamment. “Le cyberespace, c’est comme le calvinball. La seule règle, c’est qu’on ne joue jamais deux fois de la même manière.” Une jolie référence à Calvin & Hobbes qui fait mouche !
Il emprunte également beaucoup au monde du renseignement traditionnel. La compartimentation, par exemple, c’est à dire ne jamais mélanger les identités, ne jamais croiser les flux d’information, et créer de silos étanches qui limitent les dégâts en cas de compromission. En gros, du cloisonnement militaire appliqué au hacking !
Ou encore tout ce qui est désinformation. “Si vous voulez dissimuler quelque chose, ne faites pas jurer aux gens de garder le silence, racontez autant d’histoires alternatives que possible.” Une règle de la SOE britannique pendant la Seconde Guerre mondiale, toujours valable à l’ère numérique. Il fait du recyclage de techniques éprouvées qu’il adapte au monde moderne.
Il insiste particulièrement sur l’aspect humain. “On ne peut pas lutter contre un mème avec un exploit” car la technologie ne résout pas tout. Les failles les plus dangereuses sont souvent humaines et l’ingénierie sociale, la manipulation, la psychologie… C’est là que se gagnent les vraies batailles. L’humain, toujours l’humain !
Vers 2013, The Grugq sent alors que le vent tourne dans le business des exploits. Les prix deviennent complètement fous. La concurrence s’intensifie dangereusement. De nouvelles boîtes comme Vupen (qui deviendra Zerodium en 2015) ou Netragard entrent agressivement sur le marché. Les gouvernements commencent à acheter directement, sans passer par des intermédiaires. Le marché se professionnalise !
Plus important encore, l’éthique de tout ça commence sérieusement à le déranger. Ces exploits qu’il vend, ils servent à quoi exactement ? Espionner des dissidents ? Saboter des infrastructures ? Surveiller des journalistes ? The Grugq n’est pas naïf, il sait que ses clients ne sont pas des enfants de chœur, mais voir l’escalade, la militarisation du cyberespace, ça le fait réfléchir profondément.
Il décide alors de changer de cap radicalement. Exit la revente d’exploits et place à l’enseignement, la recherche, et le conseil. Il a assez d’argent pour vivre confortablement jusqu’à la fin de ses jours et il a prouvé ce qu’il avait à prouver. Maintenant, il veut transmettre. C’est, je trouve, une noble reconversion !
Il s’installe alors définitivement à Bangkok. Alors pourquoi Bangkok, me direz-vous ? Et bien “parce que c’est loin de tout”, dit-il en rigolant. Mais c’est plus profond que ça car Bangkok, c’est un hub international, connecté au monde entier mais en dehors des radars occidentaux. C’est facile d’y disparaître, d’y vivre anonymement… et puis, la bouffe est excellente et pas chère.
De Bangkok, The Grugq continue ses activités, mais autrement. Il donne des formations privées à des entreprises, des gouvernements (les gentils, précise-t-il avec ironie). Il écrit, beaucoup, notamment des articles, des guides, des analyses et devient le philosophe de l’OPSEC moderne, le Socrate de la sécurité opérationnelle !
Sa présence sur Twitter (@thegrugq) devient absolument culte. Chaque tweet est une leçon de vie. Parfois technique, parfois philosophique, toujours pertinent. Il commente l’actualité de la sécurité, analyse les échecs, dispense ses conseils. Le tout avec un humour noir bien caractéristique. C’est du contenu premium !
“Si un État-nation vous poursuit, vous allez passer un mauvais quart d’heure.” est un de ses tweets les plus célèbres, qui résume sa vision réaliste de la sécurité. Pas de faux espoirs. Pas de solutions miracles. Juste la vérité crue : contre certains adversaires, vous ne pouvez pas gagner. Point final.
Mais ça ne veut pas dire qu’il faut abandonner. Au contraire. The Grugq prêche la préparation, la discipline, la rigueur. “Pour bien maîtriser l’OPSEC, il faut intérioriser les changements de comportement nécessaires pour maintenir en permanence une posture de sécurité solide.” C’est un mode de vie, pas un hobby, je vous l’ai déjà dit !
Par exemple, en 2017, l’affaire Reality Winner éclate et devient un cas d’école parfait. Cette contractante de la NSA a leaké un document classifié au journal The Intercept. Elle est alors arrêtée quasi immédiatement.
Un cas d’école d’échec OPSEC que The Grugq va analyser dans son article Medium “Real Talk on Reality”. Car c’est un festival d’erreurs catastrophiques. Winner a par exemple imprimé le document depuis son poste de travail. Et comme les imprimantes laissent des micro-points invisibles qui permettent de tracer exactement quand et où un document a été imprimé, ça a été son erreur numéro 1. Surtout que c’était le seul document qu’elle avait imprimé ce mois-là !
Elle a ensuite accédé au document alors qu’elle n’avait aucune raison professionnelle de le faire. Dans une agence où tout est loggé en permanence, c’est un red flag immédiat. Erreur numéro 2, très grossière !
Mais attendez, c’est pas fini ! Elle avait déjà contacté The Intercept depuis son ordinateur professionnel. Alors quand l’enquête a commencé, son nom est ressorti immédiatement. Erreur numéro 3, fatale !
Et The Intercept ? Et bien ils ont envoyé une copie du document à la NSA pour vérifier son authenticité. Et avec les micro-points bien visibles. Ils ont littéralement donné à la NSA tout ce dont elle avait besoin pour identifier la source. Erreur numéro 4, 5, 6… La liste est longue !
The Grugq est sans pitié dans son analyse. “Mme Winner était condamnée, indépendamment des mesures prises par The Intercept pour protéger sa source qui, en réalité, étaient inexistantes.” Winner a violé toutes les règles de base de l’OPSEC. Elle a laissé des logs partout : Accès au document, impression, communications… Chaque action a créé une trace indélébile.
Mais il ne blâme pas que Winner car The Intercept a failli tragiquement à son devoir de protection des sources. Tout journaliste qui traite des documents sensibles devrait connaître les bases : micro-points, métadonnées, techniques de traçage. C’est de la négligence criminelle, selon lui.
“OPSEC is not a joke”, martèle-t-il. “Ce n’est pas facultatif. Ce n’est pas quelque chose que l’on fait quand on a le temps. C’est une discipline. Un mode de vie. Sinon, on finit comme Reality Winner : condamné à plusieurs décennies de prison pour avoir essayé de faire ce qui était juste, mais de la mauvaise manière.” Leçon douloureuse mais essentielle !
Au fil des ans, The Grugq devient une véritable institution dans le monde de la sécurité. “The most quoted man in infosec”, comme on l’appelle affectueusement. Pas une conférence sans qu’un speaker cite une de ses maximes. Pas un article sur l’OPSEC sans référence à ses enseignements. Une notoriété bien méritée !
Il publie régulièrement sur Medium, sur son blog, sur GitHub. Des guides pratiques, des analyses théoriques, des réflexions philosophiques… Et tout est disponible gratuitement. The Grugq ne vend pas ses connaissances OPSEC. Il les partage généreusement. C’est sa façon de rendre à la communauté.
Son blog “Hacker OPSEC” devient LA référence absolue. Des dizaines de pages détaillant chaque aspect de la sécurité opérationnelle. Comment choisir ses outils. Comment créer des identités. Comment communiquer. Comment disparaître. Mais surtout il met en garde car lire ne suffit absolument pas.
Il faut pratiquer, s’entraîner, développer les réflexes car l’OPSEC, c’est 10% de connaissances et 90% de discipline. Et la discipline, ça se travaille !
Ces dernières années, The Grugq s’est considérablement diversifié. Il dirige maintenant le Glasshouse Center, un think tank dédié aux cybermenaces émergentes et à la stratégie cyber. Il publie “The Grugq’s Newsletter”, une newsletter suivie par des dizaines de milliers d’abonnés. Il y commente l’actualité, analyse les tendances, partage ses réflexions sur l’évolution du paysage numérique.
Car le monde a radicalement changé depuis ses débuts dans les années 90. Les exploits zero-day se vendent maintenant des millions (Zerodium offre jusqu’à 2,5 millions pour certains exploits iOS). Les États-nations ont des armées entières de hackers. La surveillance est omniprésente. Mais les principes de base restent exactement les mêmes. Discipline. Compartimentation. Et surtout silence.
Car dans un monde où tout est enregistré, où chaque bit peut devenir une preuve, ce silence est littéralement d’or.
Aujourd’hui, The Grugq reste un mystère complet. Après plus de 25 ans dans le milieu, peu de gens connaissent son vrai visage. Encore moins ont son vrai numéro de téléphone. Il apparaît dans les conférences, donne ses talks brillants, puis disparaît. Comme un fantôme. Comme il l’a toujours fait. Comme il continuera de le faire.
C’est ça, le vrai OPSEC. Pas des outils fancy ou des techniques ultra-complexes. Juste cette discipline de rester dans l’ombre et de contrôler l’information sur soi-même. Il ne faut jamais baisser la garde même quand personne ne regarde.
Alors la prochaine fois que vous êtes tenté de tweeter ce truc super cool que vous venez de hacker, rappelez-vous The Grugq et de son mantra :
Toutes les nuits, en m’endormant, je me pose la question suivante : “Et si on pouvait créer un jeu vidéo juste en le décrivant ?”
Non, c’est faux, je m’endors en 30 secondes chrono comme une merde, épuisé par une journée à écrire sur ce site. Mais n’empêche, décrire un jeu vidéo et y jouer, bah figurez-vous que c’est maintenant possible avec Mirage 2.
DynamicsLab AI vient en effet de lancer ce qu’ils appellent un Generative World Engine, c’est à dire un modèle général qui vous permet de créer, jouer et transformer n’importe quel monde instantanément. Et ce n’est pas juste pour les jeux, mais pour n’importe quel monde interactif que votre imagination peut créer.
Ce qui est cool surtout c’est qu’on peut maintenant uploader nos propres images… un croquis, un concept art, une photo, même un dessin d’enfant aux crayons, et hop Mirage 2 les transforme en environnements jouables. Vous y décrivez ensuite ce que vous voulez voir apparaître comme une ruelle pour vous échapper, changer d’apparence, de décor… etc et le moteur intègre votre demande instantanément dans le jeu en cours.
C’est le futur des jeux en monde ouvert mes amis ! Et cerise sur le gâteau : vous pouvez partager vos mondes créés avec vos potes qui peuvent ensuite les explorer et y jouer.
Niveau contrôles, on peut basculer entre contrôle textuel, clavier et manette de façon fluide. Vous tapez par exemple “spawn une moto”, l’instant d’après vous la pilotez avec les touches directionnelles. Avec une latence d’environ 200ms et la possibilité de jouer pendant plus de 10 minutes d’affilée, c’est déjà impressionnant pour de la génération pure.
D’ailleurs, comparé à Genie 3 de DeepMind annoncé récemment, Mirage 2 a l’avantage d’être jouable maintenant… C’est pas juste une n-ième démo tech qu’on peut voir que sur YouTube.
Notez que l’équipe derrière DynamicsLab AI ce sont des anciens de Google, Nvidia, Amazon, SEGA, Apple et Microsoft et ils positionnent leur technologie comme un nouveau média où les jeux ne se téléchargent plus, mais s’imaginent, se promptent et se vivent….
Bien sûr, vous verrez en testant, c’est encore loin d’être parfait. Les virages à droite peuvent parfois bugger, les transitions rapides génèrent des variations visuelles bizarres, et le contrôle des personnages demande encore du travail. Mais quand on voit ce que ça donne aujourd’hui et qu’ils sont passés de Mirage 1 à Mirage 2 en seulement un mois, j’imagine facilement ce que ça va donner dans 2-3 ans.
On va peut-être passer d’un modèle où les développeurs créent des mondes fixes qu’on explore, à un système où chaque joueur co-crée son expérience en temps réel. Je sens que ça va encore faire grincer des dents mais les possibilités pour les plateformes créatives sont énormes car ça va permettre d’offrir un contenu personnalisé instantané, des formats infiniment rejouables, et surtout une barrière d’entrée à la création réduite à une simple idée.
Si ça vous chauffe de tester Mirage 2 directement dans votre navigateur, c’est par ici : demo.dynamicslab.ai
C’est quand même fou, l’obsession des développeurs et des bouffeurs de changelog comme moi pour les numéros de version. Tenez, par exemple, comma.ai vient de sortir une nouvelle version d’openpilot et au lieu de passer à la tant attendue version 1.0, ils nous font le coup du 0.9.9 → 0.10. Une jolie feinte qui montre qu’ils ont encore de l’ambition sous le capot avant de franchir ce cap symbolique du 1.0, avec un objectif clair côté équipe : faire passer le contrôle longitudinal end-to-end d’Experimental à Chill.
Ce que je retiens de cette nouvelle release, c’est surtout leur nouvelle architecture “Tomb Raider”. Ce n’est pas juste une amélioration incrémentale, c’est carrément une approche validée scientifiquement dans un papier de recherche publié sur arXiv qui prouve qu’on peut, de manière fiable, entraîner des systèmes de conduite autonome dans des simulateurs, sans avoir besoin de règles codées en dur. Ces simulateurs produisent artificiellement des situations de conduite comme on pourrait en enregistrer chaque jour avec une dashcam par exemple. Cela permet d’avoir une masse de données gigantesque afin de renforcer l’apprentissage des modèles.
Et comme ça, au lieu de faire comme Cruise ou Waymo qui claquent des milliards dans du matériel spécialisé et des cartes HD au LiDAR, comma.ai peut continuer de faire tourner son système sur un équivalent de smartphone.
Terminé le MPC (Model Predictive Control) traditionnel, place maintenant à un World Model qui prédit directement les trajectoires. Dans leur papier de recherche, ils expliquent avoir développé deux stratégies de simulation : la simulation reprojective qui utilise des cartes de profondeur pour recréer des scènes, et la simulation par World Model qui génère carrément des scénarios de conduite réalistes. Et surtout, le MPC est retiré en latéral dans les modes Chill et Experimental, et le longitudinal bascule aussi sur ce modèle en Experimental dès cette release. C’est pas rien !
Ici, en bleu vous pouvez voir le trajet pris par un humain. En vert, c’est la prédiction du trajet humain par le modèle précédent. Et en orange, vous avez la prédiction du trajet humain par le nouveau modèle de cette release. Ce qu’il faut retenir, c’est que le trajet orange est le meilleur car il part de la position actuelle de la voiture, pour converger vers le centre de la voie. Ça permet de garder le véhicule bien au centre de sa voie.
Pour l’entraînement de Tomb Raider, ils ont aussi mis en place un genre de goulot d’étranglement volontaire de l’information pour éviter que le système n’exploite les artefacts du simulateur. En gros, ils forcent le réseau de neurones à apprendre des vraies compétences de conduite plutôt que de tricher en exploitant les failles de la simulation. C’est un détail technique, certes, mais ça fait la différence entre un prototype de labo et un système actuellement déployé dans la vraie vie.
Pour ceux qui veulent creuser la partie scientifique, leur approche future-anchored world model permet de générer des scénarios de conduite réalistes en partant du futur puis en remontant vers le présent. C’est contre-intuitif, mais ça permet d’éviter les dérives accumulatives typiques des modèles génératifs. Ils ont même réussi à déployer ces politiques apprises en simulation directement dans openpilot, prouvant que le transfert sim-to-real fonctionne vraiment.
D’après les tableaux de l’étude, ce nouveau système atteint chez 500 utilisateurs environ 30 % de temps d’engagement et 52 % de distance parcourue sous assistance. C’est impressionnant et comme je vous l’expliquais dans cet article, Consumer Reports avait classé openpilot au-dessus de l’Autopilot de Tesla en 2020, mais aussi du Super Cruise de Cadillac et du Co-Pilot 360 de Ford, particulièrement sur l’engagement du conducteur et la facilité d’utilisation. Ce n’est pas pour rien.
Techniquement, la nouvelle version améliore aussi significativement la détection des véhicules à l’arrêt grâce au modèle Space Lab 2 comme vous pouvez le voir ici. La team a validé ça en conditions réelles et via une batterie de 25 scénarios CARLA pour les arrêts et redémarrages.
Ils ont aussi réduit le nombre de frames ignorées à basse vitesse de 78 % à 52 %, ce qui se traduit concrètement par une bien meilleure gestion des embouteillages et des situations de stop-and-go. Je vous rassure, la vidéo est accélérée, ça ne fait pas flipper comme ça en vrai.
Donc pour tous ceux qui ont déjà pesté contre leur régulateur adaptatif qui ne comprend rien aux bouchons et se tape de grosses accélérations pour rien, c’est une vraie avancée.
Autre détail qui change la sensation au volant c’est l’estimation en direct du délai latéral qui est désormais utilisée, ce qui affine la précision de la direction selon les modèles de voitures. Et côté pipeline d’entraînement, ils ont aussi validé l’usage d’images compressées pour coller au simulateur de Machine Learning. Par exemple, le modèle Vegan Filet-o-Fish est entraîné directement sur ces frames compressées, sans dégradation notable de la politique de conduite.
Ils ont également réécrit leur parser CAN en Python avec détection automatique de la fréquence des messages, économisant 700 lignes de code par véhicule supporté. Du coup, plus de 300 modèles de voitures sont maintenant officiellement supportés, incluant les Honda Accord, CR-V et Pilot 2023-25, ainsi que l’Acura MDX 2025, et c’est devenu beaucoup plus simple d’en ajouter de nouvelles.
Puis ils ont aussi mis à jour leur dataset commaCarSegments qui contient maintenant 3000 heures de données CAN provenant de leur flotte de 20 000 utilisateurs dans le monde. Même les constructeurs n’ont pas accès à ces données CAN de production, donc je vous laisse imaginer, ça vaut de l’or !
Côté usage au quotidien, deux petites nouveautés bien pratiques. Ils ont ajouté un outil de clipping pour partager des extraits vidéo de conduite dans le channel #driving-feedback de leur Discord, et l’option d’enregistrer l’audio de la dashcam, désactivée par défaut et maintenant activable en un tapotement de doigt.
Bref, comme d’hab avec comma, ils ne sont pas dans le marketing, ils sont dans l’amélioration continue et surtout ils livrent du concret !
N’oubliez pas quand même qu’openpilot reste un système d’aide à la conduite de niveau 2 donc le conducteur reste responsable, mains sur le volant et yeux sur la route.
Maintenant, comme je vous le disais en intro, leur objectif pour la vraie 1.0 c’est de faire passer le contrôle longitudinal end-to-end du mode Experimental au mode Chill, autrement dit le rendre suffisamment fiable pour être utilisé par défaut. On verra s’ils y parviennent mais je suis confiant.
Qui sait, ça passera peut-être par un upgrade du matériel à un moment avec un nouveau comma 4 ?
En tout cas, cette jolie version 0.10 n’est pas qu’une simple mise à jour. C’est vraiment, je trouve, la validation d’une approche totalement différente de la conduite autonome qui mise sur l’apprentissage end-to-end, des générateurs de data virtuelles pour l’entraînement et bien sûr tout ça en open source !
C’est beau non ? Les constructeurs automobiles feraient bien d’en prendre de la graine.
Si vous êtes dans le reverse engineering sur mobile et que vous ne connaissez pas encore Frida CodeShare, préparez-vous à découvrir votre nouveau terrain de jeu préféré les amis ! Faut imaginer un GitHub ultra spécialisé où les développeurs du monde entier déposent leurs meilleurs scripts Frida, prêts à être utilisés en une seule commande.
Comme ça, au lieu de réinventer la roue à chaque fois que vous voulez contourner un SSL pinning ou tracer des appels de méthodes, vous piochez directement dans une bibliothèque de scripts éprouvés.
Pour ceux qui découvrent, Frida est un toolkit d’instrumentation dynamique qui vous permet d’injecter du JavaScript dans n’importe quel processus, sans avoir besoin du code source. Ça fonctionne sur Windows, macOS, Linux, iOS, Android, et même FreeBSD. Le truc magique, c’est que Frida injecte QuickJS directement dans le processus cible, ce qui vous donne un accès total à la mémoire et la possibilité de hooker des fonctions natives.
Frida a la capacité à fonctionner dans trois modes différents : Injected (le plus courant), Embedded et Preloaded via le Frida Gadget. Sur Android, vous pouvez même l’utiliser sans être root en utilisant frida-gadget sur une app debuggable.
Pour iOS, l’histoire est un peu différente mais tout aussi cool car Frida supporte les modes jailed et jailbroken, avec évidemment plus de possibilités sur un appareil jailbreaké. Sur iOS 13 et plus récent, vous pouvez par exemple utiliser Frida en mode jailed avec des builds debuggables, ce qui ouvre la porte à l’analyse même sur des appareils non-jailbreakés.
Les bindings disponibles montrent aussi la versatilité de l’outil puisque vous pouvez l’utiliser depuis Node.js (npm), Python (PyPI), Swift, .NET, Qt/Qml, Go, ou directement via l’API C. Cette diversité permet à chaque développeur de travailler dans son environnement préféré.
Maintenant, ce qui rend CodeShare puissant, c’est en réalité son intégration native avec Frida. Pas besoin de télécharger manuellement les scripts, il suffit de lancer :
… et boom, vous interceptez le trafic HTTPS comme si de rien n’était.
Les scripts les plus populaires sur la plateforme sont tous les scripts de contournement SSL (un véritable cauchemar pour les développeurs qui pensent que leur certificate pinning est inviolable) mais aussi les scripts pour observer toutes les méthodes d’une classe spécifique, tracer les appels JNI, ou même désactiver la vérification TLS de Flutter, et j’en passe…
Pour les développeurs Android, l’écosystème est particulièrement riche. Le dépot frida-codeshare-scripts rassemble par exemple une collection impressionnante de scripts utiles, organisés par catégorie. Vous y trouvez par exemple des scripts pour dumper la mémoire avec Fridump (python3 fridump.py -U -o memory_dump <app-name>), tracer les accès au système de fichiers, ou même observer les communications réseau en temps réel.
D’autres outils complémentaires enrichissent encore plus l’écosystème. Je pense par exemple à Medusa, un excellent wrapper Frida avancé avec une base de données de scripts utiles exécutables par commande. Il y a aussi des interfaces web user-friendly qui rendent le filtrage et l’exécution de scripts beaucoup plus simple qu’en ligne de commande. Et frida-rust maintient des sessions persistantes avec les applications, augmentant la vitesse d’exécution de plusieurs fois par rapport aux méthodes traditionnelles.
Maintenant, si vous voulez commencer avec CodeShare, le plus simple est de cloner quelques repositories de référence comme hyugogirubato/Frida-CodeShare. Chaque script est dans son propre répertoire avec un README qui explique son utilisation. C’est parfait pour comprendre comment les scripts fonctionnent et les adapter à vos besoins spécifiques.
Bref, je trouve que cette histoire de CodeShare sont vraiment cool car ça démocratise le reverse engineering en plus de faire gagner du temps. Plus besoin d’être un expert en assembleur ARM pour analyser une app Android par exemple.
Alors moi ça m’a surpris, mais en ce moment, en première position des apps gratuites sur mobile (aux US), bien devant ChatGPT et Gmail, trône une petite app baptisée Focus Friend.
Il s’agit de l’œuvre de Hank Green, un YouTubeur connu pour ses vidéos éducatives et ses analyses pointues. Sauf que là, ce n’est pas de la science mais plutôt une app pour aider les gens comme moi à rester concentrés plus de 5 min.
Tout a commencé lors d’un dîner en janvier 2024 entre Hank Green et Bria Sullivan, développeuse derrière Honey B Games. Tous les deux cherchaient une alternative pour soutenir les créateurs sans passer par le merchandising classique et Sullivan a proposé une app type Pomodoro, et Green a alors imaginé le haricot tricoteur. Et un an et demi de développement plus tard, leur side project explose les compteurs de partout !
Alors comment un simple haricot qui fait du tricot peut-il battre l’IA la plus hypée de la planète ? La réponse se cache dans une approche psychologique qui exploite notre empathie naturelle.
Car dans Focus Friend, quand vous lancez un timer, votre petit haricot commence à tricoter tranquillou, et si vous touchez votre téléphone, il arrête son ouvrage et devient tout triste. C’est ma belle-sœur mais en haricot, quoi… Pas d’IA générative, pas de machine learning, juste un haricot animé qui veut finir ses chaussettes.
Ce qui rend Focus Friend efficace, c’est surtout son approche du “body doubling virtuel”. Pour ceux qui ne connaissent pas, le body doubling c’est une technique où la simple présence de quelqu’un qui travaille à côté de vous augmente votre productivité. Sauf qu’ici, votre collègue c’est un haricot virtuel. Et bizarrement, ça marche. Cette app est notamment bien adaptée pour les personnes avec un TDAH qui ont besoin de cette présence externe pour maintenir leur concentration.
Pour l’avoir essayé depuis peu, je trouve que la gamification qu’il ont mis en place est pensée différemment des apps de productivité classiques que j’ai pu tester auparavant. Car au lieu de vous bombarder de stats et de graphiques, Focus Friend mise sur l’accumulation simple. Plus vous restez concentré, plus votre haricot tricote de chaussettes. Et ensuite ces chaussettes virtuelles s’échangent contre du mobilier pour décorer la chambre de votre ami le péteux. Par exemple, un tapis basique demande environ trois sessions de 30 minutes. C’est lent, c’est progressif, et c’est exactement ce dont on a besoin. Y’a pas de gratification instantanée, mais plutôt une construction patiente qui reflète nos vrais progrès IRL et ça c’est cool.
Techniquement, c’est donc un Pomodoro classique (25 minutes de travail, 5 de pause), un peu de musique funky en arrière-plan, et une intégration avec Screen Time sur iOS pour bloquer les apps distrayantes. La version payante à 1,99$/mois débloques les écharpes (qui rapportent trois fois plus), des skins personnalisés incluant Hank et John Green eux-mêmes, et la possibilité de choisir quelles apps bloquer spécifiquement.
Pas de pubs, pas de tracking invasif, juste vous et votre haricot magique. Ça fonctionne carrément mieux que les méthodes punitives classiques. Par contre, si vous avez l’empathie d’une chaise ou d’un parpaing, ça ne fonctionnera pas sur vous.
Alors est ce que cette buzz app du moment va réussir à garder sa première place face aux mastodontes de l’IA ? Je ne pense as mais son succès montre qu’il y a un vrai besoin… On galère tous à maintenir une attention continue et ça fait chier. Alors si ce genre d’app peut nous aider, pourquoi pas essayer ?
Puis vous aurez une belle collection de chaussettes à force…
Vous pensiez que votre Roomba à 200 balles c’était déjà le futur ? Alors attendez de voir ce que fait le robot Figure 02 dans la vraie vie !!! Vous allez voir, il est plus doué que vous et moi :)
Brett Adcock, le fondateur de Figure AI, vient en effet de partager une vidéo qui a fait le tour du web. On y voit son robot humanoïde de 1,67 mètre et 70 kilos manipuler un panier à linge et charger tranquillou billou une machine à laver. Sa fille ajoute même un petit vêtement au panier pendant la démo, prouvant ainsi que la scène n’est pas entièrement pré-programmée.
Ça se passe chez lui, dans sa propre maison et pas dans un labo aseptisé avec des conditions parfaites, et c’est pour ça que ça marche et que pour une fois, on a envie d’y croire ! Ce robot fonctionne grâce à Helix, une IA maison que Figure AI décrit comme un “modèle généraliste vision-langage-action”.
Lors de sa dernière apparition, il ne pouvait contrôler que le haut du corps et déplacer des objets et là, y’a eu de gros progrès puisqu’on le voit faire des mouvements de plus en plus précis. Mais attention, rangez-moi tout de suite cette carte bleue bande de victimes du capitalisme car ces robots ne sont pas encore prêts pour une utilisation domestique généralisée. C’est une question de sécurité notamment car un robot de 70 kilos en métal et plastique, ça peut faire des dégâts si ça se plante ou si ça se rebelle comme dans le film iRobot.
D’ailleurs, Figure AI n’est pas seul sur ce créneau puisque le R2D3 d’OpenDroids, dévoilé au CES 2025, excelle aussi dans les tâches multiples et variées comme la vaisselle, le pliage de linge… etc. vous voyez l’idée. Prix estimé ? 60 000 dollars. Aïe. Je vais commencer à mettre un peu de blé de côté parce que le jour où il en vendent un qui peut tirer des troncs et creuser des trous, c’est sûr, je flambe le Livret A !!
On est en 2025, et le marché mondial des robots domestiques dépasse déjà les 20 milliards de dollars. Rien qu’en France, plus d’un foyer sur trois possède déjà au moins un robot domestique. J’imagine que ce sont principalement des robots aspirateurs, des robots de piscine et des robots tondeuse…
En tout cas, le cabinet Morgan Stanley pousse la projection un milliard de robots humanoïdes en service dans le monde en 2050. C’est fou, ça représente quand même un marché de 5 000 milliards de dollars. Je sais pas si c’est une bonne idée niveau écologie tout ça…
Mais revenons à notre petit Figure 02. La société, valorisée à 2,6 milliards de dollars après avoir levé 675 millions auprès de géants comme NVIDIA et Intel, prévoit des tests alpha dans de vraies maisons d’ici fin 2025. Brett Adcock, si tu me lis, JE SUIS VOLONTAIRE POUR LES BETA TESTS MON POTE !!!
De son côté, Boston Dynamics perfectionne également son Atlas dont je vous ai déjà parlé, 1X Technologies développe son Neo Gamma spécifiquement pour les tâches domestiques, et les Chinois d’Unitree proposent leurs G1 et H1 à partir de 13 000 euros. Tesla promet même un prix sous les 20 000 dollars pour son Optimus, mais bon, le marché pour les robots faisant des saluts nazis est un peu restreint depuis 1945.
Voilà, en tout cas, j’ai trouvé cette vidéo d’Adcock très cool car pour une fois, on voit un de ces robots dans la vie réelle, en train de faire un vrai truc et pas juste une démo dans un environnement contrôlé.
Connexion
