Personne ne s’en doutait, mais durant 3 ans, les communications entre la Terre et les sondes de la NASA étaient totalement vulnérables au piratage du moindre script kiddy ! Et personne n’était au courant évidemment, et aucun des multiples audits de code qui se sont succédé depuis 2022 n’avait mis à jour ce problème jusqu’à ce qu’une IA s’en mêle !

La faille découverte au bout de 4 jours d’analyse, se trouvait dans CryptoLib , une bibliothèque de chiffrement open source utilisée pour sécuriser les échanges entre les stations au sol et les satellites en orbite. Cette bibliothèque implémente le protocole SDLS-EP (Space Data Link Security Protocol - Extended Procedures) de la norme issue du CCSDS , qui est utilisé un peu partout dans le spatial, y compris pour des missions comme les rovers martiens ou le télescope James Webb.

Le souci donc c’est que ce code contenait une vulnérabilité d’injection de commande. En gros, des données non validées pouvaient être interpolées directement dans une commande shell et exécutées via system() sans aucune vérification. C’est le genre de faille basique qu’on apprend à éviter en première année de développement, sauf que là elle était planquée dans un code quand même bien critique…

C’est la startup AISLE , fondée par des anciens d’Anthropic, Avast et Rapid7, qui a été mandatée pour auditer le code et c’est comme ça que leur système de “cyber reasoning” basé sur l’IA s’est retrouvé à scanner la base de code. Résultat, une jolie faille débusquée par IA 3 ans après des dizaines d’audits et d’analyses humaines.

Bon, avant de paniquer sur une éventuelle chute de satellite en plein sur la tête de votre belle-mère, faut quand même nuancer un peu la chose… Pour exploiter cette faille, un attaquant aurait d’abord eu besoin d’un accès local au système, ce qui réduit significativement la surface d’attaque selon les chercheurs . Donc oui, j’ai abusé en intro avec mon histoire de script kiddy ^^ chè ! Mais quand même, on parle de satellites et de sondes spatiales qui valent des milliards de dollars donc si elle avait été exploitée, ça aurait fait mal à beaucoup de monde.

Et ce n’est pas la seule mauvaise nouvelle pour la sécurité spatiale cette année puisqu’en août dernier, 2 chercheurs allemands de VisionSpace Technologies, Milenko Starcik et Andrzej Olchawa, ont présenté, lors des confs Black Hat USA et DEF CON à Las Vegas, pas moins de 37 vulnérabilités découvertes dans l’écosystème spatial . Sans oublier Leon Juranic de ThreatLeap qui a trouvé diverses failles plus tôt dans l’année.

Le Core Flight System (cFS) de la NASA, ce framework open source déployé sur des missions comme le James Webb ou le lander lunaire Odysseus d’Intuitive Machines, contenait également 4 failles critiques. Deux bugs de déni de service, une Path Traversal, et une vulnérabilité d’exécution de code à distance (RCE). Milenko Starcik a déclaré avoir trouvé des vulnérabilités permettant par exemple de crasher tout le logiciel de bord avec un simple message distant non authentifié .

Lors d’une démo, ils ont montré qu’ils pouvaient envoyer une commande à un satellite pour activer ses propulseurs et modifier son orbite, sans que le changement de trajectoire apparaisse immédiatement sur l’écran du contrôleur au sol. Imaginez le bordel si quelqu’un faisait ça pour de vrai !!

CryptoLib elle-même était criblée de failles : 4 dans la version utilisée par la NASA, 7 dans le package standard dont 2 critiques. Et le système de contrôle de mission Yamcs développé par la société européenne Space Applications Services et utilisé notamment par Airbus présentait aussi 5 CVE permettant une prise de contrôle totale. Sans oublier OpenC3 Cosmos, un autre système utilisé pour les stations au sol, qui comptait à lui seul, 7 CVE incluant de l’exécution de code à distance.

Heureusement les amis, toutes ces horribles vulnérabilités ont été corrigées et la NASA prépare même une mise à jour majeure du cFS pour bientôt avec de meilleures fonctionnalités de sécurité, le support de l’IA et des capacités d’autonomie améliorées.

AISLE affirme que leur outil peut examiner systématiquement des bases de code entières , signaler des patterns suspects et fonctionner en continu à mesure que le code évolue, bref, pour du code critique comme celui des systèmes spatiaux, c’est le top !

Encore une victoire de l’IA ^^

Source

GITAI est une startup japonaise spécialisée dans la robotique spatiale qui vient de réaliser quelque chose de dingue, à savoir la construction autonome d’une tour de communication de 5 mètres de haut dans un désert reproduisant la surface lunaire.

Et tout ça sans intervention humaine, évidemment !

Leur système repose sur un rover lunaire et trois robots de type “Inchworm” (chenille en anglais). Chacun de ces robots a des bras équipés de pinces aux deux extrémités, ce qui lui permet de se déplacer un peu comme des chenilles arpenteuses et d’effectuer des tâches de construction diverses et variées. Dans la démo en vidéo ci-dessous, vous pouvez voir comment ils assemblent la tour, connectent l’antenne au sommet et branchent les câbles d’alimentation sans oublier de bien vérifier que le courant passe.

Vous pensiez encore que WhatsApp était secure grâce au chiffrement de bout en bout ?

Pauvres fous ^^ !

En fait, des chercheurs de l’Université de Vienne viennent (!!) de démontrer qu’on peut vous espionner à distance via Whatsapp sans que vous receviez la moindre notif.

L’attaque s’appelle “Careless Whisper” (oui, comme la chanson de George Michael) et elle exploite un truc tout bête : les accusés de réception, ces petits checks bleus qui vous indiquent qu’un message a été délivré puis vu…

Ainsi, en envoyant des messages spécialement conçus pour l’occasion, notamment des réactions à des messages qui n’existent pas, un attaquant peut déclencher des accusés de réception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui apparaît, mais de l’autre côté, votre stalker psychopathe mesure le temps que met votre téléphone à répondre.

Et en analysant ces temps de réponse, on peut savoir si votre écran est allumé ou éteint, si WhatsApp est ouvert au premier plan, quel système d’exploitation vous utilisez, combien d’appareils sont connectés à votre compte, et même déduire vos horaires de sommeil. Tout sans que vous ayez le moindre indice qu’on vous surveille, évidemment !

La recherche, disponible ici , a d’ailleurs reçu le Best Paper Award à la conférence RAID 2025. Les chercheurs ont testé sur WhatsApp et Signal, et les deux sont vulnérables. Mais sur WhatsApp, c’est le pire, car l’application autorise des payloads de réaction jusqu’à 1 Mo, ce qui permet de générer 13 Go de trafic par heure sur le téléphone de la victime, donc ça permet même de vider tranquillement sa batterie de 15 à 18% par heure sans qu’elle ne s’en rende compte.

Un développeur a même créé un outil open source pour tester la faille de manière responsable et en respectant la loi évidemment. Si vous voulez tester, faites-le uniquement sur votre matériel. L’interface de ce PoC permet de traquer en temps réel l’activité d’un numéro de téléphone. En dessous d’un certain seuil sur le délai de réponse, la personne est active, et au-dessus, elle dort ou son téléphone est en veille.

Les chercheurs ont bien sûr signalé la faille à Meta en septembre 2024, qui a “accusé réception” (lol), mais aucune correction n’a été apportée depuis. Et chez Signal ils n’ont pas répondu du tout.

Alors comment on fait pour se protéger de ça ? Et bien dans Whatsapp, il y’a une option qui se trouve dans Paramètres → Confidentialité et autoriser seulement “Mes Contacts” à voir ce qu’on partage, ce qui permet de limiter les accusés de réception à vos contacts uniquement. Ça ne règle pas tout, mais ça complique la tâche des inconnus qui voudraient vous traquer.

Voilà, une fois encore, même sur les apps avec du chiffrement de bout en bout qui protège le contenu des messages, ça ne fait pas tout, car il y a toujours des métadonnées qui peuvent être exploitées de manière frauduleuse, donc soyez vigilant :)

Vous en avez marre des services de partage de code tout pourris qui vous demandent de vous créer un compte, ou de lier votre GitHub, et qui ensuite vous bombarde de bannières pubs ?

Hé bien y’a une alternative plutôt cool qui va vous plaire.

Ça s’appelle pbnj (oui, comme le sandwich au beurre de cacahuète - Peanut Butter aNd Jelly), et c’est un pastebin auto-hébergé qui vous permet de partager du code en tout simplicité. Pas de prise de chou avec de la gestion de users ou ce genre de choses… Vous y balancez du code et vous récupérez une URL à envoyer à vos amis.

Le truc sympa, c’est que ça génère des URLs faciles à retenir au lieu des classiques suites de caractères aléatoires. Comme ça vous avez des trucs du genre “coucou-tu-veux-mon-blog” plutôt que “x7f9k2m8”. Bon ok c’est un peu plus long, mais au moins vous pouvez le retenir ou le donner par téléphone sans épeler chaque lettre. Vous pouvez tester ce que ça donne en cliquant ici .

Côté fonctionnalités, on a de quoi faire avec de la coloration syntaxique dans plus de 100 langages différents avec 12 thèmes . Y’a aussi un outil en ligne de commande qui s’installe via npm et qui permet de balancer un fichier en une commande comme ceci :

`pbnj monfichier.py`

`npm install -g @pbnjs/cli`

`pbnj --init`

J’sais pas si vous lisez des mangas de temps en temps mais si vous êtes à jour, vous avez peut-être envie de lire la suite, mais malheureusement, souvent c’est pas encore traduit en français. Alors vous 3 solutions… soit vous patientez, soit vous apprenez le japonais… Soit, soit…

Soit vous installez Koharu, un logiciel de traduction de mangas propulsé par IA. C’est hyper bien foutu puisque ça détecte automatiquement les bulles de dialogue, ça lit le texte japonais via OCR, ça efface proprement le texte original avec de l’inpainting, ça traduit le tout avec un modèle de langage aux petits oignons et ça replaque le texte traduit dans la bubulle.

Tout ça en quelques clics, évidemment, sinon ce serait pas drôle !

Le projet est développé par mayocream et c’est du 100% Rust avec une interface Tauri. Pour ceux qui ne connaissent pas, Tauri c’est un peu l’équivalent d’Electron mais en plus léger et plus performant. Le moteur d’inférence utilisé, c’est Candle de HuggingFace, ce qui permet de faire tourner des modèles IA localement sans avoir besoin d’envoyer vos data dans le cloud.

Côté modèles, Koharu embarque plusieurs outils spécialisés. Pour la vision par ordinateur, on a comic-text-detector pour repérer les bulles (avec le petit modèle custom de mayocream ), manga-ocr pour la reconnaissance de caractères et AnimeMangaInpainting pour effacer proprement le texte original. Pour la traduction, c’est vntl-llama3-8b-v2 ou Sakura-GalTransl-7B-v3.7 qui s’y collent et c’est sans galère puisque ces modèles se téléchargent automatiquement au premier lancement.

Et Koharu supporte évidemment l’accélération GPU donc si vous avez une carte NVIDIA, vous pouvez profiter de CUDA et pour les fans d’Apple Silicon avec un M1 à M5, Metal est également supporté. Bref, ça dépote et le logiciel gère aussi la mise en page verticale pour les langues CJK (Chinois, Japonais, Coréen), ce qui est plutôt indispensable quand on traduit des mangas.

Les sources sont dispo sur Github et y’a des binaires pour Windows et macOS directement sur la page des releases. Pour les autres plateformes, faudra compiler vous-même avec Rust et Bun.

Voilà, si vous rêvez de traduire ce manga obscur qui dort au fond d’un forum japonais, Koharu va vous plaire. Et un grand merci à Lorenper pour l’info !

Il y a quelques mois, je vous parlais de ma découverte du cadre photo numérique Pexar ( l’article est à lire ici ). J’adore tout ce produit : j’ai conservé mon exemplaire, ma sœur a désormais le sien dans sa maison, et l’ami Korben a également son exemplaire qui trône dans son salon. Je compte même en offrir de nouveaux à mes proches pour les fêtes. Et c’est parce que nous utilisons et apprécions réellement ce produit que nous avons décidé de mettre en jeu quatre exemplaires, fournis par Pexar, qui vous seront expédiés rapidement pour arriver chez vous avant Noël !

Pour rappel, la force du cadre photo Pexar , c’est son écran tactile de 11 pouces offrant une résolution 2K. Sa particularité est sa finition mate qui absorbe les reflets, et propose un rendu visuel très proche d’une véritable photographie papier, loin des écrans brillants habituels. Il s’intègre plutôt sobrement dans n’importe quel décor sans trop faire gadget technologique.

L’expérience utilisateur est portée par l’excellente application Frameo. L’installation est immédiate et permet d’inviter toute la famille à envoyer des photos ou vidéos à distance. Le transfert est quasi instantané, idéal pour le partage de souvenirs en direct. Avec 32 Go de mémoire interne (environ 40 000 photos) et une extensibilité jusqu’à 1 To via USB ou SD, le stockage est large, et ça n’est même pas un sujet. J’ai mis 800 photos sur le mien pour la petite histoire, et il m’arrive régulièrement d’en ajouter sur le cadre photo de ma soeur qui habite à 500km, et elle fait de même sur le mien !

Pour tenter de gagner l’un des quatre cadres, renseignez simplement votre e-mail dans le formulaire disponible ici avant ce dimanche soir minuit . Le tirage au sort aura lieu lundi matin et les gagnants seront contactés immédiatement pour l’envoi. E pour être très transparents avec vous : nous ne conservons aucun e-mail. Cette liste sert uniquement au tirage au sort et sera intégralement supprimée dès lundi matin, une fois le tirage au sort effectué. Bonne chance à tous ! ( et sinon ce cadre photo est disponible ici si vous ne voulez pas participer au concours !)

Mise à jour du 08/12 à 14h : le tirage au sort a été fait, et les mails partiront dans l’après-midi, surveillez votre boîte ! (surtout si vous vous appelez Damien, Yoann, Seb ou Aurélie :p)

Notez qu’on a aussi lancé un concours en même temps sur Mac4ever.com pour gagner 4 SSD, vous pouvez aussi aller participer là bas !

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie “Gadgets Tech” , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Vous en avez marre du duo Chrome/Safari ? Moi aussi. Alors quand j’ai entendu parler de Ladybird , ce navigateur web développé from scratch sans une seule ligne de code en provenance de Blink, WebKit ou Gecko, j’ai voulu tester la bête. Direction donc le terminal, pour une petite compilation sur mon Mac ARM !

Ladybird, c’est le projet fou d’ Andreas Kling , un ancien ingénieur WebKit chez Apple qui a décidé de créer son propre système d’exploitation ( SerenityOS ) pour se remettre d’une addiction. Code un OS entier comme thérapie, je trouve ça assez cool… Et dedans, il y avait un petit visualiseur HTML qui a fini par devenir un projet à part entière avec 8 développeurs full time et des sponsors comme Shopify, Cloudflare ou encore le co-fondateur de GitHub.

Le concept de Ladybird, c’est zéro code emprunté aux moteurs existants. Tout est écrit en C++ (avec une migration vers Swift prévue), du moteur de rendu LibWeb au moteur JavaScript. C’est donc actuellement le seul navigateur vraiment indépendant en développement actif. Et ça, dans un monde où même Firefox commence à faire un peu polémique sur son indépendance, ça fait du bien.

Mais parlons de mon test. J’ai cloné le repo, lancé la compilation sur mon ordi, et… ça compile. Déjà, c’est une victoire… Le navigateur se lance, affiche des pages, gère le CSS, fait tourner du JavaScript. Les bases sont là.

MAIS on est clairement en pré-alpha car ça rame pas mal et sur YouTube les vidéos refusent même de se lancer. C’est parfaitement normal car le navigateur ne supporte pas encore tous les codecs et APIs nécessaires pour le web moderne et l’alpha est prévue pour l’été 2026, avec une bêta en 2027 et une version stable en 2028. Donc on n’y est pas encore.

Mais c’est encourageant ! En octobre dernier, l’équipe a même fait passer 1,9 million de tests de conformité web (Web Platform Tests) et verdict, le pinch-to-zoom fonctionne sur Mac, le local storage est OK et même Windows commence à être supporté par la communauté.

L’autre truc cool, c’est leur business model. Comme y’a pas de deal avec un moteur de recherche par défaut qui vous piste ni de crypto-tokens chelou et pas de monétisation de données des utilisateurs, le projet se doit d’être financé uniquement par des dons et des sponsors corporate via une structure à but non lucratif. C’est cool et ça nous change de ce monde où Google paie des milliards à Apple pour être le moteur par défaut de Safari.

Donc mon verdict après mes tests, c’est qu’en l’état, Ladybird n’est pas utilisable au quotidien. Et c’est complètement normal vu le stade de développement. Ce n’est donc pas encore un Firefox-killer, mais un projet de recherche et développement qui pourrait, dans 3 ans, devenir une vraie alternative.

Voilà, donc en attendant, Firefox reste mon navigateur principal mais je garde un œil sur cette petite coccinelle parce qu’avoir un quatrième moteur de rendu vraiment indépendant sur le marché, sans les tentacules de Google, Apple ou des régies pub, c’est top !

Vous vous souvenez quand je vous avais parlé de la formation gratuite de Microsoft sur GitHub Copilot ? Hé bien ils remettent le couvert, mais cette fois c’est pour nous apprendre la science du Machine Learning from scratch ! Et c’est pas un petit tuto de 2h fait à l’arrache comme sur ma chaine Youtube… Non, c’est un bon gros programme complet en 12 semaines avec 26 leçons et tout ça dans la langue Gims.

Le repo s’appelle ML-For-Beginners et le truc cool c’est que Microsoft a choisi de se concentrer sur le Machine Learning “classique” avec Scikit-learn et pas du deep learning de richou qui demande des GPU à 3000 balles. Du coup c’est accessible à n’importe qui avec un laptop normal !

Leur programme couvre à peu près tout ce qu’il faut savoir pour débuter : Régression, classification, clustering, traitement du langage naturel, séries temporelles, et même un peu d’apprentissage par renforcement. Chaque leçon démarre par un quiz pour voir où vous en êtes, suivi de contenu avec des explications pas à pas, des challenges à faire, et un autre quiz de fin pour vérifier que vous avez bien tout capté.

Y’a même des “sketchnotes” (c’est à dire des résumés visuels) et des vidéos si vous êtes plus du genre à apprendre en regardant qu’en lisant . Et pour ceux qui préfèrent R à Python, y’a des versions alternatives des exercices en R Markdown .

La version française du README est dispo sur le repo et tout est traduit dans plus de 50 langues, du chinois à l’arabe en passant par le croate… Microsoft a automatisé la traduction via GitHub Actions, donc soyez souple d’esprit si vous croisez quelques phôtes…

L’approche pédagogique de cette formation est basée sur des projets concrets du genre prédire le prix des citrouilles, classifier des cuisines du monde (forcement, la française arrivera en premier ^^), analyser de la musique pour du clustering…etc. Bref, c’est un peu original !

Voilà si vous êtes en vacances ou en reconversion IA, pour commencer, il suffit de forker le repo et de le cloner sur votre machine.

Voilà, si vous avez toujours voulu comprendre comment fonctionne le Machine Learning sans vous taper des formules de maths pendant 6 mois ou vendre un rein pour un abonnement à un cours en ligne, c’est le bon moment je pense !

Merci Microsoft !

Une étude de Graphite vient de sortir et annonce que plus de la moitié des articles publiés sur Internet seraient désormais générés par IA. C’est fou non ?

Pour arriver à cette conclusion Graphite a analysé 65 000 URLs via Common Crawl et utilisé un détecteur d’IA et c’est comme ça qu’ils ont découvert que depuis novembre 2024, les articles IA auraient dépassé les articles humains en volume.

Alors en route vers l’apocalypse de l’écriture humaine ?

Bon déjà, première question qui me vient c’est : Comment est-ce qu’ils ont fait pour détecter ça ? Ouais parce qu’à ma connaissance, les outils de détection d’IA, comment dire… c’est de la grosse merde en barre. C’est encore moins fiable qu’un grand modèle de langage (LLM) pas fiable.

J’imagine que ce qu’ils détectent, ce sont les articles générés par IA de manière basique, donc le genre de contenu où quelqu’un a tapé un prompt vite fait et a publié le résultat sans même le relire ou un bot qui publie à la chaîne. Donc pas de travail sur le style, pas d’angle éditorial, pas de valeur ajoutée, bref, du bon gros contenu SEO produit à la chaîne pour remplir des pages et grappiller du trafic Google.

Du coup, si on suit ce raisonnement, ce que l’étude nous dit vraiment c’est que 50% du contenu web actuel, c’est de la merde. Et là, je me pose une question : est-ce que ça change vraiment quelque chose par rapport à avant ?

Bah ouais parce qu’avant l’IA, on avait déjà les fermes SEO, les articles écrits par des rédacteurs payés au lance-pierre qui se copient les uns les autres, les textes sans âme rédigés pour plaire à l’algorithme plutôt qu’aux lecteurs ou juste attirer le chaland pour engranger de la thune Adsense. De mon point de vue, le web était déjà rempli de contenu médiocre et l’IA n’a fait qu’industrialiser le processus.

Ce qui a changé donc, c’est la quantité. On produit plus de merde, plus vite, mais cette merde existait déjà.

Par contre, je ne suis pas d’accord avec la vision apocalyptique de certains. Un texte bien travaillé avec l’IA devient impossible à distinguer d’un texte humain et dans certains cas, il peut même être meilleur. C’est mon avis, mais c’est pas rare qu’un texte retravaillé à l’aide de l’IA soit plus complet, plus documenté, plus creusé, avec moins d’erreurs (si c’est bien fait évidemment). Un rédacteur web payé pour pondre 10 articles par jour n’a pas le temps d’aller au fond des choses alors qu’avec l’IA comme outil d’accompagnement, il peut rapidement explorer plusieurs angles d’un sujet, intégrer différentes perspectives, aller plus loin dans la recherche et l’analyse.

Et je parle bien de contenu informatif ici, pas de création littéraire ou artistique. Parce que là, effectivement, c’est pas ouf… Mais pour expliquer un concept technique, présenter un outil, vulgariser une actu…etc., l’IA peut être un sacré accélérateur de qualité si on sait s’en servir.

Je pense donc que le vrai problème, c’est la production bête et méchante qui consiste à générer du texte sans relecture, sans vérification, sans apport personnel… je trouve ça con et dangereux. Dangereux parce que les hallucinations existent et on peut vite se retrouver à propager de fausses infos. Et ce foutu style générique IA n’apporte rien au lecteur… Aucun plaisir quoi…

Puis quand on sait que y’en a déjà pas mal d’entre vous qui ne lisent plus les contenus, mais se les font résumer avec Claude ou ChatGPT, je me dis qu’on gagnerait du temps de processeur si les fermes SEO / IA publiaient directement des résumés IA et basta ^^.

L’étude de Graphite montre également que les contenus IA sont surtout des guides pratiques, des actus formatées, des descriptions de produits… Bref, du contenu utilitaire où l’originalité n’a jamais été le critère numéro un. Ce n’est donc pas une invasion de l’IA dans la création, mais plutôt une automatisation d’un contenu fast-actu jetable qui existait déjà par ailleurs.

Ce qui est précieux dans ce contexte, c’est justement le style, la patte d’un auteur, une voix reconnaissable. C’est le genre de truc qu’un rédacteur pressé n’a jamais eu le temps de développer et qu’une IA générique ne peut pas inventer. Encore une fois c’est mon point de vue, mais les bons “rédacteurs web” sont ceux qui ont une vraie identité éditoriale et qui savent se démarquer de ce foutu “ton journalistique” qui nous endort tous…

Voilà, au final, le rôle de l’auteur ou du créateur de contenu reste le même, IA ou pas IA… C’est simplement de faire en sorte que son contenu soit lu et pour ça, il faut que ce soit agréable à lire, que ça apporte quelque chose, que ça fasse grandir / réfléchir le lecteur ou que ça le divertisse également ! Bref, que l’outil soit un stylo, un clavier ou un LLM, l’objectif ne change pas.

Donc si vous êtes tenté d’utiliser une IA pour la production de votre contenu, par pitié, n’automatisez rien, continuez à relire, à mettre votre “patte”, à y insérer votre réflexion et surtout, travaillez bien vos prompts pour sortir du style par défaut.

Source

Vous connaissez le Spotify Wrapped qui vous rappelle chaque décembre que vous avez écouté “Africa” de Toto 847 fois ? Hé bien GitWrap fait pareil mais pour votre code sur GitHub. Et tout ça avec une interface qui sent bon le DOS et les moniteurs à phosphore vert.

Vous entrez votre nom d’utilisateur GitHub, et l’outil génère alors un récapitulatif de votre année de commits, de pull requests et de contributions diverses et variées. Le tout emballé dans une esthétique rétro qui ferait pleurer de nostalgie n’importe quel dev qui a connu l’époque où “git” n’existait pas encore et où on faisait des sauvegardes sur disquettes.

L’interface vous accueille avec un prompt style années 80… genre > Enter GitHub username to begin. On se croirait dans WarGames avant de lancer une partie de morpion thermonucléaire et il ne manque plus que la voix synthétique qui demande “Shall we play a game?” et c’est parfait.

Y’a aussi un leaderboard pour les compétitifs qui veulent comparer leur nombre de commits avec les autres. Parce que oui, apparemment certaines personnes ont besoin de savoir qu’elles ont codé plus que leur voisin de bureau. Chacun ses kinks.

A vous de tester maintenant pour savoir si vous avez bien bossé sur votre code cette année ou si vous n’avez rien branlé comme l’année dernière.

Et accessoirement vous pouvez même vous faire une jolie image pour frimer sur LinkedIn ! Ça prend 30 secondes et ça vous donnera une excuse pour procrastiner avant de retourner à ce bug que vous évitez depuis trois jours.

Source

WordPress, c’est bien. Mais WordPress qui injecte des scripts d’emojis, des styles Gutenberg, des shortlinks et 47 autres trucs dont vous n’avez pas besoin dans chaque page de votre site… c’est moins bien évidemment. Heureusement, Terence Eden, un dev qui en avait marre de voir son code source ressembler à un plat de spaghetti, a compilé une petite liste de tout ce qu’on peut virer .

Car WordPress a adopté une philosophie de type “Decisions, not options” (des décisions, pas des options) où en gros, au lieu de vous laisser choisir, ils décident pour vous de ce qui est bon pour vous. Un peu comme Macron ^^. Le problème c’est que leurs décisions incluent un tas de fonctionnalités dont la plupart des gens n’ont rien à faire 🥲.

Par exemple les emojis. J’sais pas si vous savez, mais WordPress charge un script de détection d’emojis et une feuille de style dédiée sur CHAQUE page de votre site. Pourquoi tant de haine ? Hé bien parce que si vous tapez :-) dans un article, WordPress veut le transformer en joli emoji. Sauf que si vous utilisez les vrais emojis Unicode (comme tout le monde en 2025), hé ce script ne sert à rien. Et il y a aussi le grand remplacement des emojis dans les flux RSS…. Bref, tout ça, ça dégage.

Ensuite y’a le formatage automatique avec wptexturize qui transforme vos guillemets droits en guillemets typographiques “comme ça”. Et mon préféré, capital_P_dangit qui remplace automatiquement “Wordpress” par “WordPress” avec le P majuscule. Oui, vous ne le saviez pas, mais WordPress corrige l’orthographe de son propre nom dans vos articles. Mais quelle bande de nazes ^^.

Gutenberg, l’éditeur de blocs que j’adore, injecte lui aussi ses styles globaux même si vous utilisez l’éditeur classique. Et c’est pareil pour les styles de la librairie de blocs et l’éditeur de widgets basé sur les blocs. Si vous êtes resté sur le Classic Editor comme beaucoup de gens, tout ça ne sert alors qu’à alourdir vos pages.

Côté métadonnées, WordPress ajoute aussi pleiiiiin de trucs dans le code de vos pages comme les shortlinks, le RSD (Real Simple Discovery, un truc d’il y a 20 ans), des liens vers les flux de commentaires, les liens JSON de l’API REST…

Aux chiottes toutes ces conneries !

Le script de Terence fait aussi sauter l’ajout automatique des tailles d’images (wp_img_tag_add_auto_sizes), les templates de pièces jointes, et les block hooks qui modifient votre contenu. L’idée c’est donc de reprendre le contrôle sur ce que WordPress génère, au lieu de le laisser décider tout seul.

Et grâce à son script, le site de Terence (sans Philippe) obtient d’excellents scores sur PageSpeed Insights , ce qui prouve que tout ce bloat n’est vraiment pas nécessaire. Son script PHP complet fait environ 190 lignes et il est dispo sur son GitLab , bien commenté pour que vous puissiez choisir ce que vous voulez garder ou virer.

Attention quand même, certaines de ces désactivations peuvent casser des fonctionnalités si vous les utilisez vraiment. Par exemple, si vous avez des plugins qui dépendent de l’API REST, la virer complètement serait une mauvaise idée. Même chose pour les blocks Gutenberg si vous utilisez cet éditeur. L’astuce c’est donc de tester chaque modification une par une et de voir ce qui se passe.

Amusez-vous bien et un grand merci à Terence !

Vous trouvez que Cities Skylines est trop facile ? Ou que SimCity vous laisse faire n’importe quoi sans trop de conséquences ?

Hé bien Microlandia va vous calmer sévère !

Car derrière ce petit city builder en voxel, se cache une simulation économique et sociale tellement réaliste que vos citoyens peuvent littéralement mourir si vous ne construisez pas assez d’hôpitaux. Bienvenue en France, euh non pardon, bienvenue à Microlandia !

Dans ce jeu, vous incarnez le maire, vous tracez des routes, vous définissez des zones résidentielles et commerciales, et vous gérez les taxes et le budget. C’est du très classique, sauf que derrière les graphismes tout mignons qui rappellent le SimCity original, y’a un moteur de simulation hyper brutal.

Dites donc, en ce moment, c’est la folie autour de Valve. D’ailleurs, en lisant mon article sur le Steam Frame , vous vous êtes peut-être demandé comment celui-ci allait réussir à faire tourner des jeux PC alors qu’il tourne sur un Snapdragon ARM ?

Hé bien la réponse s’appelle FEX , un émulateur que Valve finance en secret depuis 2018 soit en gros depuis le tout début du projet.

Pour ceux qui connaissent pas, FEX permet de faire tourner des applications x86 (32 et 64 bits) sur des processeurs ARM64 sous Linux. C’est un peu comme qemu-user ou box64, sauf que FEX utilise un recompilateur binaire avancé avec un IR custom qui génère du code plus optimisé qu’un JIT classique.

Concrètement, au lieu de traduire directement le code x86 en ARM64 (ce qui serait un bordel monstre vu les différences entre les deux architectures), FEX fait donc ça en deux temps :

1. x86 → IR : le code x86 est d’abord converti dans un langage intermédiaire simplifié, indépendant de toute architecture
2. IR → ARM64 : ensuite cet IR est traduit en code ARM64 natif

L’avantage c’est qu’on peut appliquer des optimisations sur l’IR (par exemple, éliminer du code mort, simplifier des opérations, réorganiser les instructions…etc) avant de générer le code final.

FEX supporte même AVX et AVX2, ce qui est quand même pas mal pour de l’émulation.

La vraie force de FEX, c’est sa capacité à rediriger les appels API vers les bibliothèques natives du système. Au lieu d’émuler OpenGL ou Vulkan (ce qui serait une catastrophe pour les performances), FEX balance directement les appels vers les versions ARM des bibliothèques. Selon Valve, on parle d’une perte de performances de seulement 10 à 20% sur certains aspects du code… et visiblement, ils arrivent à faire tourner Hades 2 en 1440p à 90 Hz sur le Steam Frame donc c’est pas dégueu.

Du coup, on a maintenant la vue d’ensemble de la stratégie Valve pour le gaming ARM : FEX pour émuler le x86 natif , Lepton pour les APK Android, et Proton pour les jeux Windows. Trois couches de compatibilité qui devraient permettre au Steam Frame de jouer à peu près tout ce qui existe. C’est la même stratégie que pour le Steam Deck, au final.

Le cache de code expérimental de FEX permet aussi de réduire les saccades en jeu, et y’a même une interface graphique (FEXConfig) pour configurer les paramètres par application. Parce que oui, selon les jeux, vous pouvez ajuster les réglages pour optimiser les perfs… genre désactiver l’émulation coûteuse du modèle mémoire si le jeu n’en a pas besoin.

Et comme d’hab avec eux, c’est open source et ça profite à tout le monde alors c’est cool !

Source

Chaque clic laisse une empreinte digitale indélébile. Chaque adresse IP devient le talon d’Achille d’une vie en ligne. Les sites, les publicitaires, les pirates et même les gouvernements la traquent pour dresser un portrait précis de vos habitudes, de vos achats et de vos déplacements virtuels. Bloquée sur une identité fixe, elle vous rend prévisible, ciblable, vulnérable aux pubs invasives ou aux restrictions géographiques. Surfshark VPN répond à ce piège avec un arsenal technique qui non seulement masque cette empreinte, mais la fait muter en permanence, transformant votre navigation en exercice d’évasion fiscale fluide et sécurisée.​

Au cœur de cette solution trône un réseau titanesque de plus de 4 500 serveurs RAM-only, déployés dans 100 pays. Dont les premiers exemplaires à 100 Gb/s testés à Amsterdam pour absorber les charges extrêmes du streaming 4K ou du gaming cloud. Ces machines, qui effacent toute donnée à chaque redémarrage, s’appuient sur un chiffrement AES-256 bits couplé à un hachage SHA512 et un échange de clés DHE-RSA 2048, via les protocoles WireGuard pour la vitesse fulgurante, OpenVPN pour la robustesse ou IKEv2 pour la mobilité. Résultat : des débits élevés constants, même sur fibre, sans jamais de fuites DNS, WebRTC ou IPv6. Le Kill Switch coupe instantanément tout trafic en cas de défaillance, tandis que le mode camouflage rend le contenu visionné avec le VPN indétectable par les FAI ou les pare-feux restrictifs.​

Les nouveautés : Multi IP et rotation d’IP améliorée

Les dernières nouveautés propulsent Surfshark dans une ligue à part. La fonction Multi IP, lancée il y a quelques jours (ça sent toujours le pain chaud), permet d’associer plusieurs adresses IP statiques à un même emplacement. Idéal pour les comptes multiples sur plateformes sensibles comme les réseaux sociaux ou les marketplaces, sans risquer de bannissement pour changement d’IP suspect. Parallèlement, l’amélioration de la rotation d’IP, en phase bêta depuis début 2025, opère un renouvellement automatique et discret de l’adresse toutes les quelques minutes, tout en maintenant la connexion active et l’emplacement fixe. Cette flexibilité brise les chaînes du tracking : les algorithmes publicitaires perdent le fil, les sites ne peuvent plus profiler précisément, et l’utilisateur gagne une invisibilité dynamique, parfaite pour le télétravail nomade ou les sessions prolongées sans alerte.​

Cette puissance s’étend à tous les usages quotidiens. Pour le streaming, tous les serveurs débloquent Netflix US/UK/Australie, Amazon Prime Video, Disney+ ou HBO sans contorsion. Grâce à une infrastructure Nexus optimisée P2P et IP statiques. Le Bypasser (split tunneling) exclut certaines apps locales du tunnel pour une réactivité maximale, tandis que le MultiHop double le chiffrement via deux serveurs distants pour les scénarios haute sécurité. Il contourne bien sûr les censures nationales et CleanWeb purge pubs, trackers et phishing en amont, allégeant la navigation. Sur mobile, l’invisibilité réseau local et la modification GPS protègent contre les scans Wi-Fi publics, avec des apps complètes sur Android/iOS très bien notées pour leur fluidité.​

Comparaison des innovations anti-tracking IP chez Surfshark

Cette grille illustre comment Surfshark aligne flexibilité et robustesse pour neutraliser le fléau du tracking IP, sans compromettre vitesse ou simplicité.​

En plus de sa politique no-log (auditée régulièrement par des organismes indépendants), Surfshark autorise des connexions simultanées illimitées sur tous appareils (PC, Mac, consoles, routeurs, TV, téléphones …). Avec toujours l’essai satisfait avec 30 jours remboursables. Face à l’omniprésence du pistage, le VPN ne se contente pas de cacher : il réinvente l’identité numérique dans un mouvement perpétuel, vous rendant plus fuyant qu’un saumon dans une mer d’huile.

Et du côté du tarif ? Il reste l’un des (si pas LE) plus intéressants en termes de rapport qualité/prix puisqu’il ne coûte que 64,48€ TTC pour 27 mois de couverture (2 ans + 3 mois offerts). Soit moins de 2.4€/mois. Un petit paiement et hop, toute la famille est tranquille jusqu’en … 2028 ! Et d’ici là, autant vous dire qu’on sera dans un autre monde, sans doute bien différent.

Profitez de l’offre du moment !

Vous vous rappelez de Proton , cette couche de compatibilité magique qui permet de jouer à des jeux Windows sur Linux ?

Hé bien Valve récidive avec Lepton, qui fait exactement la même chose… mais pour Android. Et devinez quoi, c’est basé sur Waydroid , ce projet open source qui permet de faire tourner Android dans un conteneur Linux.

L’idée derrière tout ça, c’est le Steam Frame , le fameux casque VR que Valve va sortir début 2026 et contrairement au Steam Deck qui utilise un processeur AMD x86, ce bidule tourne avec un Snapdragon 8 Gen 3 et 16 Go de RAM. Oui vous l’aurez compris, c’est de l’ARM !

Du coup, plutôt que de demander aux développeurs de porter leurs jeux un par un (ce qu’ils ne font jamais, on les connait ces branleurs ^^), Valve a décidé de supporter directement les APK Android. Ainsi, les devs qui ont déjà sorti leur jeu VR sur Meta Quest pourront donc le balancer sur Steam sans effort supplémentaire. C’est pas con, hein ? (à prononcer avec l’accent ch’ti). Et d’ailleurs, Walkabout Mini Golf sera le premier jeu Android officiel sur Steam. Si vous l’avez déjà acheté sur Steam, vous aurez donc accès à la version Android le jour du lancement du Steam Frame… pas besoin de repasser à la caisse et ça c’est cool !

Vous cherchez un vieux driver obscur de 2003, une démo technique jamais rééditée, ou ce vieux shareware DOS que personne n’a archivé ? Pas de souci, vous allez sur Google qui vous crache 3 liens morts et vous renvoie sur Reddit ou je ne sais où ailleurs… et vous abandonnez l’idée en vous disant que ça n’existe plus.

Mais sachez que pendant que vous galérez sur le web de surface, il existe tout un écosystème de réseaux zombies où les fichiers continuent de circuler comme si de rien n’était. eMule tourne toujours (oui), et des index FTP affichent carrément des milliards de fichiers encore dispo.

Bienvenue dans l’archéologie numérique pratique où aujourd’hui, on va apprendre à fouiller là où personne ne cherche plus. Et petit rappel utile, je vais vous parler ici uniquement de fichiers publics et légitimes (genre des drivers, des freewares, des docs, des archives de projets…etc), et pas de téléchargement illégal.

Mais avant de plonger dans ces réseaux, parlons un petit peu avant de sécurité parce que vous allez quand même télécharger des fichiers d’origines douteuses. Donc, utilisez une VM Linux légère (Ubuntu 22.04 LTS dans VirtualBox, ou une install minimal), avec un VPN avec kill-switch activé, un antivirus avec scan automatique, et un gestionnaire de téléchargement comme JDownloader2 avec des filtres activés.

Alors, pourquoi isoler sa machine AVANT de télécharger, me direz-vous ?

Hé bien parce qu’un fichier vérolé dans une VM, vous effacez la VM. Alors qu’un fichier vérolé sur votre machine principale, vous commencez à négocier avec votre week-end.

On commence donc par le web indexé étendu. Google indexe beaucoup de choses c’est vrai, mais pas tout (et pas partout). Et les opérateurs de recherche, c’est juste l’art de poser les bonnes contraintes : site:, guillemets, filetype:, intitle:… c’est documenté noir sur blanc chez Google donc je vous laisse lire tout ça , mais voici un exemple…

`site:vogonsdrivers.com "Voodoo3" driver`

ou

`site:catalog.update.microsoft.com "nom du périph"`

…pour tomber sur des pages que personne ne linke plus, mais qui existent encore. Et si vous voyez un “Index of /” sur un serveur, traitez ça comme un miroir public, mais surtout pas comme une invitation à aspirer tout le disque au risque de vous faire ban ou de voir le site se mettre en croix.

Bonus moteur de recherche rien que pour vous, Yandex peut parfois remonter des résultats différents (langues, régions, caches), mais oubliez le mythe “anti-DMCA magique” car Yandex retire aussi les liens qui vont vers du contenu sous copyright.

Voilà, utilisez plusieurs moteurs de recherche pour multiplier les angles de recherche. C’est un bon début.

Ensuite, Archive.org que vous connaissez tous, ne se limite pas aux vieilles versions de sites web. Le move le plus propre c’est de coller l’URL d’origine dans la Wayback Machine et vous remonterez le temps. Et si vous voulez jouer au chirurgien (URLs mortes, patterns, dates), il y a même une API CDX qui interroge l’index des captures, comme ça, un driver disparu en 2008 a peut-être été crawlé. Ou pas. Mais bon, ça prend 30 secondes à vérifier donc pourquoi se priver ?

Il restait aussi, c’est vrai, des dinosaures qui traînaient comme Uloz.to, longtemps cité comme “cimetière vivant”, mais qui malheureusement a annoncé la fin du partage public en 2023. En revanche, pour les vieux drivers et outils, vous avez des spots nettement plus propres tels que VOGONS Drivers (vintage hardware) et même le Microsoft Update Catalog pour des drivers connus.

Mais attention au piège des faux liens car sur certains vieux hébergeurs et pages louches, une grosse partie des résultats récents sont des redirections vers des sondages, des installateurs chelous ou des malwares. La règle c’est donc de privilégier les uploads anciens, de vérifier la taille du fichier, et de comparer avec une taille attendue. Par exemple, une ISO de 150 Ko, c’est un fake évident ! Et si un hash est disponible sur un forum, vérifiez-le (idéalement en SHA-256).

Bon, et maintenant on va passer à un truc vraiment puissant : l’archéologie FTP.

Mamont’s Open FTP Index et son moteur de recherche affichent plus de 4,29 milliards de fichiers listés. La plupart de ces serveurs ont été configurés dans les années 2000 et certains traînent encore en mode portes ouvertes du coup, on y trouve des sauvegardes de sites web morts, des miroirs de projets, des archives de docs, de vieilles photos et parfois des drivers perdus. C’est l’Internet Archive version anarchique et non-curée.

Vous pouvez par exemple chercher par extension (.zip, .rar, .7z), vous triez par date, et vous privilégiez les serveurs qui ressemblent à des miroirs publics (projets, universités, labos). Et si vous voulez un index avec stats visibles, y’a une alternative qui s’appelle NAPALM FTP Indexer et qui annonce environ 459 millions de fichiers répartis sur 1 437 serveurs FTP, avec une date d’update affichée.

Par contre, petit piège classique, y’a beaucoup de serveurs FTP publics qui bloquent l’accès web, mais acceptent les clients FTP. Donc si un index affiche un lien mort, essayez avec un client FTP en lecture seule (FileZilla, lftp…). Sur l’anonymous FTP, quand c’est activé. Le combo classique c’est user: anonymous (et parfois un mail en mot de passe, juste pour la forme). Et une fois encore, ce qui est accessible n’est pas toujours prévu pour être siphonné donc prenez uniquement ce dont vous avez besoin.

Et si vous cherchez des fichiers vraiment rares, on ne peut pas ignorer le P2P décentralisé. C’est vrai que tout le monde est passé au streaming, mais il reste une communauté silencieuse qui fait tourner eMule depuis 2004 et comme le réseau Kad (Kademlia) fonctionne sans serveur central côté recherche, ça change tout en termes de résilience. Aujourd’hui c’est plus niche, mais c’est justement là que des fichiers ultra-spécifiques survivent.

Si vous voulez rester clean, téléchargez eMule depuis la source officielle . Ah et sous Mac et Linux, y’a aMule aussi. Ça me rappelle tellement de souvenirs !

Bien sûr, les fichiers rares peuvent mettre des jours à arriver et contrairement à BitTorrent où vous voyez “50 seeders”, eMule affiche juste “En attente” donc télécharger un fichier rare demande de la patience. Laissez tourner, et vous verrez bien… c’est souvent la condition du succès.

BitTorrent avec BiglyBT , c’est l’évolution moderne de tout ça puisque ce client supporte DHT, et il a une intégration I2P et Tor via plugin. La fonctionnalité “Swarm Discoveries” sert également à découvrir des torrents.

Gnutella et Shareaza, par contre, c’est le réseau zombie. Très peu d’utilisateurs, mais certaines archives uniques n’existent que là donc si vous avez épuisé eMule et BitTorrent, tentez Shareaza en dernier recours.

Une technique un peu old-school mais qui marche encore (dans les cas légitimes) c’est également l’URL guessing. Donc littéralement deviner les URLs. Vous trouvez site.com/download/v1.0.zip, mais il vous faut la v0.9. Testez site.com/download/v0.9.zip, puis v1.1, v2.0. Beaucoup de projets laissent traîner des anciennes versions sans les lier publiquement.

Et pour finir, Usenet qui est payant c’est vrai, un peu complexe, mais parfois très efficace. Usenet existe depuis 1980 et fonctionne comme un système distribué de serveurs qui se répliquent des messages. Aujourd’hui, côté binaire, faudra passer par un provider (rétention, vitesse, complétion) comme Eweka ou Newshosting. Y’a aussi des indexeurs NZB pour chercher comme NZBgeek, ou NZBfinder.

Votre succès avec Usenet dépend de deux paramètres très terre-à-terre : la rétention (combien de temps c’est gardé) et la complétion (si toutes les pièces existent). Un fichier de 2010 peut être incomplet si des parties ont sauté alors si la complétion est basse, vous perdez votre temps. Par contre, si elle est haute, Usenet est un bulldozer.

Je le redis encore une fois, ne JAMAIS double-cliquer sur un .exe récupéré dans la nature. Vérifiez les signatures quand il y en a, comparez les hashes, et testez d’abord en VM isolée. Hé oui, VirusTotal peut aider, mais un upload n’est pas forcément privé donc évitez d’y envoyer des fichiers sensibles, et ne confondez pas 0 détection avec 0 risque.

Voilà, cet Internet profond dont je parle n’a rien à voir avec le dark web, Tor et tout ça… C’est simplement l’Internet d’avant Google qui continue de tourner en silence avec ses miroirs, ses archives, ses réseaux P2P sans tête, et ses serveurs oubliés. Tout ça fonctionne encore, mais personne ne les explore vraiment. Grâce à cet article, vous venez donc d’apprendre à fouiller ces cyber ruines où 99% des gens ne pensent jamais à chercher.

Pour aller plus loin dans l’archéologie numérique, j’ai compilé les sources qui m’ont aidé à préparer ce modeste guide : Lost Media Wiki Forum pour la communauté, Mamont et NAPALM FTP Indexer pour l’archéo FTP, Internet Archive + CDX API pour la Wayback, la doc eMule et Steiner et al. (IMC 2007) pour Kad, BiglyBT + Swarm Discoveries pour BitTorrent, VOGONS Drivers et Software Heritage pour la préservation propre.

Dessiner des schémas en ASCII art, c’est un peu le sport national des devs qui documentent leur code dans des fichiers texte. Sauf que jusqu’ici, soit on se tapait ça à la main caractère par caractère, soit on passait par des outils en ligne qui demandent de se créer un compte et gardent vos diagrammes sur leurs serveurs. Heureusement, Cascii règle le problème puisqu’il s’agit d’un éditeur graphique complet qui tient dans un seul fichier HTML !

Et comme Cascii est écrit en JavaScript pur, y’a aucune dépendance, aucun framework, aucun npm install…etc. Vous téléchargez juste le fichier HTML, vous l’ouvrez dans votre navigateur, et c’est parti mon kiki.

Et pour l’installer, une commande suffit :

curl https://cascii.app -o cascii.html && open cascii.html

Ahaha ouais c’est la commande curl la plus nulle de l’histoire des commandes curl mais ça vous montre que je n’abuse pas.

Côté fonctionnalités, on a donc tout ce qu’il faut pour dessiner des diagrammes propres. Des lignes libres, des lignes en escalier, des carrés, des cercles, des losanges, du texte, des tableaux. Un système de calques permet d’organiser les éléments et de les grouper. Le plus malin, je trouve, c’est les “jointures intelligentes” qui connectent automatiquement les formes entre elles… parce que dessiner des flèches qui arrivent pile au bon endroit à la main, c’est l’enfer. Même comme ça, je suis pas doué, cela dit…

Ne le jugez pas…

L’éditeur propose plusieurs charsets tels que ASCII classique ou Unicode pour ceux qui veulent des lignes plus jolies et il y a 3 styles de lignes (pointillées, solides fines, solides épaisses) ainsi que des flèches directionnelles. Côté thèmes, du sombre, du clair, ou un mode “console” pour les nostalgiques du terminal.

La sauvegarde se fait automatiquement dans le stockage local du navigateur, donc même si vous fermez l’onglet par erreur, votre travail n’est pas perdu et pour partager ou archiver, il y a un export en Base64 qui permet de tout récupérer plus tard. Si vous utilisez la version hébergée sur cascii.app, vous pouvez aussi générer des liens courts pour partager vos créations.

Le projet est sous licence Apache 2.0 et le code source est dispo sur GitHub et pour les raccourcis clavier, c’est du classique : Ctrl+Z pour annuler, Ctrl+C/V pour copier-coller, Ctrl+G pour grouper des éléments, Shift+Click pour la multi-sélection. L’historique est illimité donc vous pouvez revenir en arrière autant que vous voulez.

Voilà, si vous documentez du code, dessinez des architectures système ou avez juste besoin de faire un petit schéma rapide sans sortir l’artillerie lourde, Cascii fera le job !

Pendant que vous faisiez le plein à 1,80 € le litre, la Chine faisait pareil… mais à 36 000 kilomètres d’altitude. Les satellites Shijian-21 et Shijian-25 viennent en effet de se séparer après plusieurs mois de câlin orbital, marquant ce qui semble être le premier ravitaillement en carburant réussi en orbite géostationnaire. Une première mondiale dont Pékin n’a quasiment rien dit officiellement…

Cette belle histoire commence en janvier 2025 quand Shijian-25 décolle de Xichang à bord d’une Long March 3B. Sa mission officielle est la suivante “Vérification de technologies de ravitaillement et d’extension de vie des satellites”. Le 2 juillet, il s’amarre à son copain Shijian-21, un autre satellite lancé en 2021 qui avait déjà fait parler de lui en tractant un vieux satellite Beidou hors service vers un “cimetière orbital” en 2022. Cette manœuvre avait malheureusement vidé ses réservoirs… et c’est pile ce qu’il fallait pour tester le ravitaillement !

Les deux satellites sont restés accouplés pendant des mois, tellement proches qu’ils étaient impossibles à distinguer depuis le sol, puis le 29 novembre, a eu lieu leur séparation.

Entre temps, ils ont effectué ce qu’un ancien officiel du Space Command américain appelle “La plus grande manoeuvre jamais réalisée en orbite géostationnaire” c’est à dire un changement de vitesse de plus de 330 mètres par seconde. Quand on sait que chaque manœuvre en GEO coûte une fortune en carburant, ça donne une idée de la quantité de propergol transférée.

Oh mon Dieu une image générée par IA, quelle horreur, enfer et damnation ! 🤪

Et ce qui est ouf c’est que la Chine n’a rien communiqué à ce sujet. Aucune déclaration officielle n’a été faite depuis le lancement de Shijian-25 et les seules infos qu’on a viennent d’observations optiques et de tracking radar réalisés par des passionnés et des agences occidentales. Cette opacité met les Américains sur les nerfs, et ça aussi on le sait car pendant toute l’opération, deux satellites de surveillance US (USA 270 et USA 271) se sont positionnés de chaque côté des satellites chinois pour admirer le spectacle. Sympa l’ambiance !

Parce que oui, cette technologie a des applications militaires évidentes et l’orbite géostationnaire héberge les satellites de communication, de météo, d’observation… et surtout d’alerte antimissile. Alors pouvoir ravitailler un satellite signifie aussi pouvoir s’en approcher, le manipuler, voire le neutraliser.

Côté civil, c’est aussi une révolution potentielle puisqu’un satellite géostationnaire coûte des centaines de millions de dollars et sa durée de vie est souvent limitée par son carburant, pas par son électronique. Du coup, pouvoir le ravitailler permettrait d’étendre sa mission de plusieurs années, voire décennies. La Chine pourrait même développer un réseau de stations-service orbitales qui transformerait complètement l’économie spatiale.

Les États-Unis et d’autres pays travaillent sur des technologies similaires, mais la Chine vient donc de prendre une sacrée longueur d’avance. Et le fait qu’elle l’ait fait dans un silence quasi-total en dit long sur sa stratégie qui est de montrer ses capacités techniques sans les revendiquer, en laissant les autres spéculer…

Source

Google vient de publier son bulletin de sécurité de décembre 2025 et c’est pas joli joli. Au programme, 107 vulnérabilités corrigées dont deux 0-day activement exploités dans des attaques ciblées. Donc si vous avez un smartphone Android, allez vérifier vos mises à jour immédiatement !

Les deux failles qui posent problème s’appellent CVE-2025-48633 et CVE-2025-48572. La première permet de voler des informations sur votre appareil et la seconde offre une escalade de privilèges… autrement dit, un attaquant peut prendre le contrôle de votre téléphone. Et ces deux vulnérabilités touchent le Framework Android, c’est à dire le cœur du système et elles affectent les versions 13, 14, 15 et 16. Donc en gros, à peu près tout le monde.

Le CISA américain (l’agence de cybersécurité) a ajouté ces deux CVE à son catalogue des vulnérabilités activement exploitées. Et quand le CISA bouge son popotin, c’est que c’est du sérieux. Google parle d’exploitation “limitée et ciblée”, ce qui signifie probablement des attaques de type spyware contre des cibles spécifiques… journalistes, activistes, ce genre de profils, mais rien n’empêche ces failles de se démocratiser maintenant qu’elles sont publiques.

À côté de ces deux 0-day, le bulletin corrige aussi une faille critique (CVE-2025-48631) qui permet un déni de service à distance sans avoir besoin de privilèges particuliers. En clair, quelqu’un peut faire planter votre téléphone à distance. C’est toujours sympa à faire ^^.

Ensuite, le reste du bulletin, c’est 34 failles dans le Framework, 13 dans le composant System, plus une cinquantaine de vulnérabilités réparties entre le kernel, les GPU Arm Mali, et les composants MediaTek, Qualcomm et Unisoc. Quatre failles kernel critiques permettent une élévation de privilèges via pKVM et IOMMU… bref, c’est le festival !

Pour vérifier si vous avez le patch, allez dans Paramètres > À propos du téléphone > Version Android (ou Informations sur le logiciel selon les marques). Vous devez avoir au minimum le niveau de correctif du 1er décembre 2025. Si vous êtes en dessous, forcez la vérification des mises à jour ou attendez que votre constructeur daigne pousser le patch… ce qui peut prendre quelques jours à quelques semaines selon la marque.

Les Pixel ont déjà reçu la mise à jour et pour Samsung, OnePlus et les autres, ça dépend du modèle et de la région. Et les téléphones qui ne reçoivent plus de mises à jour de sécurité sont évidemment exposés indéfiniment à ces failles, sauf si vous les rootez pour y mettre un Android custom du genre LineageOS ou GrapheneOS (Il est à la mode celui là en ce moment.. ahahaha).

Source