Google et le CA/Browser Forum viennent d’annoncer la mise à mort de 11 méthodes de validation de domaine pour les certificats HTTPS. Bye bye les emails, les coups de fil, les fax (oui, y’en avait encore qui utilisaient ça) et le courrier postal pour valider les certificats car d’ici mars 2028, tout ça sera du passé.

Car quand vous demandez un certificat SSL/TLS pour votre site, l’autorité de certification doit vérifier que vous êtes bien le proprio du domaine. Historiquement, ça pouvait se faire via un email envoyé à l’adresse WHOIS, un coup de téléphone, ou même un courrier papier mais le problème, c’est que ces méthodes sont faciles à falsifier.

Des chercheurs en sécurité ont montré qu’il était possible de manipuler les données WHOIS ou d’intercepter les communications pour obtenir des certificats frauduleux et quand, malheureusement, un attaquant peut se faire passer pour le propriétaire légitime d’un domaine et obtenir un vrai certificat, ça ouvre la porte à des attaques man-in-the-middle bien méchantes.

Donc le CA/Browser Forum a voté le ballot SC-090 pour éliminer progressivement ces vieilles méthodes. Juin 2025 a vu la fin de la validation WHOIS par email, mars 2026 découragera l’utilisation des méthodes email en général, et mars 2028 ce sera le grand ménage final.

À la place, il faudra donc passer par des méthodes plus directes tels qu’un enregistrement DNS TXT avec une valeur aléatoire que l’autorité vérifiera, ou un fichier HTTP placé à un endroit précis de votre serveur. Ces méthodes permettent de prouver cryptographiquement que vous contrôlez bien le domaine, sans intermédiaire chelou.

Pour les utilisateurs lambda, ça ne change rien évidemment, vous continuerez à voir le petit cadenas dans votre navigateur. Mais pour les admins système et les responsables de sites, ça veut dire qu’il va falloir automatiser tout ça. Si vous utilisez encore des certificats validés par email, c’est donc le moment de migrer vers des outils comme ACME (le protocole derrière Let’s Encrypt).

Ce mouvement s’inscrit également dans une tendance plus large puisque le ballot SC-070 prévoit aussi de réduire la durée de validité des certificats pour les passer à 10 jours de réutilisation de la validation dès mars 2028, puis des certificats de 47 jours seulement en mars 2029. Donc autant dire que sans automatisation, ça va devenir ingérable.

Google pousse donc clairement l’écosystème vers plus de sécurité, quitte à forcer la main aux retardataires. Moins de maillons dans la chaîne, c’est moins d’opportunités pour les attaquants et je trouve que c’est plutôt une bonne nouvelle.

Source

Amazon vient d’annoncer un truc qui va faire plaisir à tous les lecteurs d’ebooks. A partir du 20 janvier 2026, les auteurs auto-édités pourront proposer leurs ebooks sans DRM en formats EPUB et PDF via la plateforme KDP (Kindle Direct Publishing). Vous pourrez enfin télécharger vos achats dans un format lisible ailleurs que sur Kindle et ça, ça fait plaisir parce que DeDRM ça commençait à bien faire ^^.

Toutefois, cette décision d’activer ou non le DRM reste entre les mains des auteurs et vu les réactions sur les forums KDP, beaucoup risquent de garder les verrous en place. Pour les titres déjà publiés, rien ne change automatiquement et les auteurs qui le souhaitent devront se connecter au portail KDP et modifier manuellement les paramètres de chaque livre s’ils veulent proposer les versions sans DRM. Et Amazon dans sa grande bonté, prévient que les modifications prendront jusqu’à 72 heures pour être effectives…

Donc si vous désactivez le DRM sur vos ouvrages, tous les acheteurs vérifiés pourront télécharger les fichiers EPUB et PDF. Et si vous réactivez le DRM plus tard, les nouveaux téléchargements dans ces formats seront bloqués. Rassurez-vous quand à vos royalties, elles restent identiques dans les deux cas.

Ce qui est dingue dans cette histoire, c’est qu’Amazon renforce en parallèle le DRM sur ses liseuses Kindle de 11e et 12e génération. Une mise à jour récente a en effet introduit un nouveau système de protection qui empêche les utilisateurs de sauvegarder leurs ebooks, sauf en jailbreakant l’appareil. Ils ont aussi supprimé la possibilité de télécharger et transférer des livres via USB.

Du coup, d’un côté Amazon ouvre une porte aux formats ouverts pour les auteurs indépendants, et de l’autre ils cadenassent encore plus leur écosystème Kindle pour les éditeurs traditionnels. La grande majorité des livres sur le Kindle Store restera donc protégée par DRM…

Bref, pour les lecteurs qui jonglent entre différentes plateformes (Apple Books, Google Play, Kobo et j’en passe), ça pourrait quand même faciliter les choses puisque vous pourrez importer vos achats KDP sans protection dans la liseuse de votre choix.

Mais encore faut-il que les auteurs jouent le jeu ? On verra bien !

Source

Vous vous souvenez de Revolt ? Cette alternative open source à Discord que je vous avais présentée et qui promettait de vous libérer des griffes des plateformes qui monétisent vos données ? Et bien accrochez-vous, parce que Revolt vient de se prendre un joli coup de bambou juridique. Le projet s’appelle maintenant Stoat, et ce n’est pas un choix marketing savamment orchestré.

Le 1er octobre dernier, l’équipe a reçu un cease & desist concernant l’utilisation du nom “Revolt”. Pas de détails sur qui a envoyé la lettre (pour éviter le shitstorm et ne pas plomber les négociations…), mais le message est clair : Changez de nom ou ça va mal se passer ! Et comme personne n’a envie de finir au tribunal pour une histoire de marque déposée, voilà comment Revolt est devenu Stoat du jour au lendemain.

Avant que vous ne paniquiez sachez que vos serveurs sont toujours là. Vos potes vous attendent, vos memes deep-fried n’ont pas disparu et la promesse de base reste intacte à savoir, proposer une plateforme de chat où vous êtes le personnage principal, et pas des actionnaires ou des executives en costard qui se demandent comment monétiser votre life.

Le stoat (la belette en français, animal natif d’Eurasie et d’Amérique du Nord), c’est pas juste un nom pris au hasard. C’est un petit animal rapide, malin, étonnamment puissant et impossible à ignorer. Un peu comme le projet lui-même qui est petit par la taille, mais avec des ambitions de géant. L’équipe promet d’ailleurs une mascotte officielle qui arrive bientôt (je vous laisse deviner ce que ce sera…).

Alors qu’est-ce qui change en vrai ? Le nom, le domaine stoat.chat au lieu de revolt.chat, le handle (@stoatchat), et les liens d’invitation serveur (stt.gg). Pour le reste, absolument rien n’a bougé. Vos identifiants fonctionnent exactement pareil. Vos communautés sont intactes et même l’équipe de développement est restée la même. Ils ont juste des cartes de visites plus classes ^^.

Le projet reste open source , auto-hébergeable et RGPD-copain ce qui veut dire que vous pouvez toujours héberger votre propre instance, contrôler vos données, et éviter le tracking invasif. C’est d’ailleurs tout ce qui fait l’intérêt de Stoat par rapport à Discord.

Voilà, si vous utilisiez déjà Revolt, vous n’avez rien à faire. Continuez comme avant, juste avec un nouveau nom à retenir. Et si vous cherchiez une alternative à Discord qui respecte votre vie privée, Stoat est toujours là, avec la même philosophie et les mêmes valeurs.

Source

Initialement publié le 19/10/2021, mis à jour le 11/12/2025

Si vous pensiez que LEGO se contentait de mouler du plastique comme dans les années 50, vous vous gourez car la marque danoise vient de franchir un cap historique en commercialisant sa toute première pièce fabriquée par impression 3D dans un set grand public.

Et il leur a fallu neuf ans de R&D pour y arriver !

La pièce en question se trouve dans le set Holiday Express Train (10361) de la gamme LEGO Icons, disponible depuis octobre. C’est une mini locomotive bleue avec des roues qui tournent et une petite cheminée qui monte et qui descend quand le train avance. Bref, un petit élément décoratif en apparence, mais qui représente un sacré tournant pour l’entreprise.

Alors pourquoi neuf ans de développement pour une pièce de quelques centimètres ? (qui a dit cmb ?). Parce que LEGO ne rigole pas avec la qualité, les amis ! L’équipe de Billund a dû construire un système de fabrication additive (c’est comme ça qu’on appelle les imprimantes 3D qui ajoutent les couches les unes au dessus des autres) capable de produire des pièces en masse avec le niveau de finition attendu par les fans. Ils utilisent pour cela une technologie de fusion de poudre polymère d’EOS, plus précisément une plateforme P 500 avec résolution Fine Detail, qui utilise un laser CO₂ ultra-fin pour créer des détails impossibles à obtenir avec le moulage par injection classique.

Cela permet d’avoir des mécanismes internes, des assemblages tarabiscotés, bref des trucs qu’un moule traditionnel ne pourrait jamais faire. L’impression 3D ouvre donc des possibilités que LEGO n’avait jamais eues.

Ronen Hadar, le responsable de la fabrication additive chez LEGO, compare ce moment à l’achat de la première machine à injection par les fondateurs dans les années 40. Un changement de paradigme donc et ça va s’accélérer puisque LEGO a déjà doublé la vitesse de production de ses machines et l’objectif pour eux, c’est que ces pièces imprimées en 3D deviennent “ennuyeusement normales” dans leur catalogue, et pas des curiosités de niche pour les collectionneurs.

Voilà, pour l’instant c’est une seule petite pièce dans un set de train de Noël mais si LEGO tient ses promesses, on pourrait voir débarquer des éléments de plus en plus complexes dans les années à venir… Des briques avec des mécanismes intégrés, des formes organiques, et des trucs qu’on n’imagine même pas encore.

Source

Ce matin, je vous parlais de ce mec qui s’est fait arrêter pour avoir effacé son téléphone devant les douaniers américains. Eh ben j’avais pas vu qu’il y avait encore mieux… L’administration Trump vient en effet de publier une proposition qui va vous faire halluciner… !!!!

Pour les ressortissants des 42 pays éligibles au programme ESTA (dont la FRANCE, l’Allemagne, le Royaume-Uni, le Japon…), il faudra bientôt fournir 5 ans d’historique de vos réseaux sociaux pour poser un pied sur le sol américain. Et c’est pas en option, non non non non… C’est une obligation. Le CBP (Customs and Border Protection) l’a annoncé dans le Federal Register hier (le 10 décembre).

Et attendez, c’est pas fini car en plus de vos posts Facebook, tweets et autres stories Instagram de ces 5 dernières années, ils veulent aussi récupérer toutes vos adresses email des 10 dernières années… vos numéros de téléphone (et ceux de votre famille)… les dates de naissance et lieux de résidence de vos proches… ainsi que vos données biométriques quand cela est faisable. Empreintes digitales, scan facial, scan de l’iris, et même votre ADN. On se croirait dans Bienvenue à Gattaca !

Officiellement, tout ça c’est pour “protéger les États-Unis des terroristes étrangers” suite à un décret de janvier 2025 sauf que le problème, comme l’explique un avocat spécialisé en immigration à The Register , c’est que les refus d’entrée ne seront plus basés sur des faits concrets… mais sur l’interprétation de vos opinions. Bref, si vous avez posté un truc qui plaît pas, c’est retour à la case départ. Donc autant vous dire que pour moi, c’est mort !

Et ce qui est marrant, c’est que ces politiques restrictives de connards ont coûté cette année aux États-Unis environ 30 milliards de dollars en perte économique pour le tourisme, et j’imagine que ça va augmenter… Les USA seraient l’un des seuls grand pays à voir ses revenus touristiques baisser. Des winners, j’vous dis !

La proposition est donc ouverte aux commentaires publics jusqu’au 9 février… On verra bien comment ça va se terminer et ce qui sera inscrit dans la loi.

De mon côté, ça fait 22 jours que j’ai décroché des réseaux sociaux et même si c’est dur, j’suis content. Déjà parce que ça fera moins de données à filer aux douaniers, y’aura moins de chiasse mentale qui ira se déverser dans mon cerveau et surtout moins de temps perdu à scroller… Bref, une meilleure santé mentale pour bibi.

Et un grand merci à l’administration américaine qui vient de me donner une raison supplémentaire de pas retourner aux États-Unis de sitôt. Dommage c’est un beau pays quand même.

Source

Discord a trouvé une solution radicale pour gérer son app de ses morts qui bouffe 4 Go de RAM sous Windows 11 (consommation ressentie : 4 millions de Go) : La redémarrer automatiquement quand elle dépasse ce seuil.

Les champions quoi ! Plutôt que de corriger les fuites mémoires, ils ont tout simplement décidé d’intégrer un auto-relaunch dans l’app en douce pour qu’elle se relance toutes les quelques heures.

Donc, si votre Discord a tourné pendant au moins 1 heure, que vous êtes inactif depuis 30 minutes (pas de souris/clavier), et que vous n’êtes pas en vocal ou en visio, l’app se redémarrera automatiquement dès qu’elle atteindra les 4 Go de conso mémoire.

Bien sûr Discord présente ça comme une solution temporaire pendant qu’ils bossent sur le vrai problème, mais je trouve ça marrant de normaliser ce bug en ajoutant une fonctionnalité qui le “contourne” bruyamment.

Le pire dans tout ça, c’est que le problème vient d’une connerie technique assez basique. L’app Discord utilise une bibliothèque appelée “systeminformation” qui appelle PowerShell avec des commandes comme Get-WmiObject Win32_logicaldisk juste pour récupérer des infos système basiques. Mais comme ils passent par Powershell plutôt que d’utiliser les API natives de Windows, ça bouffe de la RAM comme un gros porc.

Comme vous, je me demande pourquoi Discord ne refait pas son app avec un framework plus léger ? Hé bien c’est simple : ils sont coincés ! Parce Discord est bâti sur Electron, et Electron c’est un framework qui embarque un Chromium complet salade tomates oignons dans chaque application. Ça permet aux devs web de créer des apps desktop avec du JavaScript, du HTML et du CSS , mais le prix à payer c’est une app qui pèse 85 Mo à l’installation et bouffe 200-400 Mo de RAM au démarrage.

En théorie Electron permet de créer une app cross-platform facilement. C’est-à-dire d’avoir un seul code pour Windows, Mac et Linux. Mais dans les faits, Discord maintient quand même du code spécifique par plateforme pour les notifications, l’overlay gaming, les raccourcis système, etc. Bref, ils ont tous les inconvénients d’Electron (RAM, taille) sans vraiment profiter de l’avantage du “write once, run everywhere”.

C’est vrai que réécrire Discord en natif coûterait des millions. Faudrait refaire toute l’interface, toutes les fonctionnalités, tous les systèmes de plugins et de thèmes. Surtout que pendant ce temps, l’équipe actuelle continue d’ajouter des fonctionnalités sur leur usine à gaz, ce qui creuse encore plus la dette technique. C’est le sunk cost fallacy version logicielle… en gros, ils ont tellement investi dans Electron qu’ils ne peuvent plus reculer, même si repartir de zéro serait probablement moins coûteux sur le long terme.

Pourtant, des alternatives à Electron existent. Tauri est devenu le framework préféré des devs qui veulent de la performance … On est à 2-3 Mo d’installeur, 30-40 Mo de RAM au repos et il utilise Rust et le webview natif du système plutôt que d’embarquer Chromium. Les apps sont donc légères, rapides, et consomment 10 fois moins de ressources.

Y’a aussi Flutter, React Native Desktop, Qt… des frameworks qui produisent des apps vraiment natives avec des performances dignes de ce nom. Visual Studio Code démontre qu’Electron peut être performant si on l’optimise correctement, mais ça demande un boulot monstre et malheureusement, Discord n’a clairement pas envie de mettre les moyens.

Le vrai problème n’est donc pas technique, c’est économique, car pour 1 dev natif, y’a 8 devs web . Electron permet d’embaucher des devs JavaScript pas cher plutôt que des devs C++/Rust/Swift qui coûtent une blinde… donc, sacrifier la RAM des utilisateurs coûte moins cher que payer des ingénieurs système. Et comme les PC ont maintenant 16-32 Go de RAM, ils se disent que 4 Go pour du chat en ligne, c’est acceptable. Lol.

Bref, tout ça pour dire que Discord normalise le “patch-as-a-feature”, et j’imagine que demain Slack, Teams et tous les autres vont faire pareil. En attendant, jetez un œil à Ripcord et Stoat pour ceux qui veulent un truc mieux.

Source

Si vous me lisez depuis longtemps, vous connaissez forcement le principe des honeypots. Si ce n’est pas le cas, je vous explique. Les honeypots, ce sont ces faux serveurs qu’on laisse traîner pour attirer les pirates afin de mieux étudier leurs techniques. Eh les honey tokens, c’est pareil mais en version credentials. En gros, ce sont des fausses clés AWS, des identifiants SSH bidons, des accès base de données qui n’existent pas… que vous planquez dans votre infra, et si quelqu’un les utilise, vous savez immédiatement que vous avez un problème.

DeceptIQ Starter vient donc de sortir une version gratuite de son service et c’est un outil qu’on devrait tous garder sous le coude. Ça permet de générer des tokens piégés que vous disséminez dans vos repos Git, vos fichiers de config, vos pipelines CI/CD… Et puis vous attendez. Et si un petit malin exfiltre ces credentials et essaie de les utiliser, vous recevez alors une alerte instantanée avec l’IP source, le timestamp, et tout le contexte qu’il faut.

L’astuce, c’est que ça exploite un truc fondamental dans le comportement des attaquants. Quand ils tombent sur une clé AWS dans un repo, leur réflexe c’est de la tester. Ils voient un pattern familier, genre AKIA-quelque-chose, et hop, validation automatique. Sauf que cette fois, c’est eux qui se font piéger…

La version gratuite propose 4 types de tokens : clés AWS IAM (jusqu’à 10), clés AWS Bedrock pour les services IA (2 max), accès S3 (2), et clés SSH (20). C’est pas mal pour commencer et couvrir les cas d’usage les plus courants. Et les tokens pro débloquent des trucs plus exotiques comme les credentials Azure, les API keys CrowdStrike, ou les users MySQL/PostgreSQL.

L’avantage par rapport à un honeypot classique, c’est qu’il n’y a aucun faux positif possible. Si quelqu’un utilise une de ces credentials, c’est forcément suspect puisque normalement, personne ne devrait les utiliser.

Après un attaquant peut très bien pénétrer votre système sans jamais toucher à vos tokens piégés mais ça reste un excellent filet de sécurité supplémentaire. Et combiné avec vos autres outils de détection, ça peut faire la différence entre découvrir une intrusion en quelques minutes ou plusieurs mois après les faits.

Pour ceux qui veulent tester, c’est sur starter.deceptiq.com

En 2016, je vous parlais de Gogs , ce petit serveur Git auto-hébergé super léger qui s’installe en 10 secondes et c’est encore aujourd’hui une alternative sympa à GitHub pour ceux qui voulaient garder leur code chez eux. Mais attention, si vous l’utilisez, il va falloir agir vite parce que là, c’est la catastrophe.

Des chercheurs de Wiz viennent de découvrir que plus de 700 instances Gogs exposées sur Internet ont été compromises via une faille zero-day baptisée CVE-2025-8110. Et le pire, c’est que cette faille est activement exploitée depuis juillet 2025 et qu’il n’existe toujours pas de patch.

L’attaque est vicieuse car un attaquant n’a besoin que d’un compte utilisateur standard pour compromettre votre serveur. Il crée un dépôt, y ajoute un lien symbolique pointant vers un fichier sensible, puis utilise l’API PutContents pour écrire à travers ce lien et modifier le fichier .git/config. Ensuite, en bidouillant la directive sshCommand, il peut alors exécuter n’importe quelle commande sur votre serveur. Voilà, c’est plié !

Cette faille est en fait un contournement d’un ancien correctif (CVE-2024-55947). Les développeurs avaient patché le problème mais avaient oublié de gérer le cas des liens symboliques. Et ce n’est même pas la première fois que Gogs se retrouve dans cette situation puisqu’en juillet 2024, quatre failles critiques avaient été publiées (CVE-2024-39930, CVE-2024-39931, CVE-2024-39932, CVE-2024-39933), toutes avec des scores CVSS de 9.9 sur 10, et au final, les mainteneurs avaient tout simplement… cessé de répondre aux chercheurs. C’est moche !

Sur les 1400 instances Gogs exposées sur Internet identifiées par Wiz, plus de 700 ont donc été compromises. Les attaquants utilisent le framework C2 Supershell pour garder le contrôle des machines et les chercheurs soupçonnent des cybercriminels basés en Asie vu l’usage de cet outil très particulier.

Donc si vous avez un serveur Gogs qui tourne, voici ce qu’il faut faire immédiatement : Vous devez désactiver l’inscription ouverte si vous n’en avez pas besoin (c’est activé par défaut) et mettre votre instance derrière un VPN. Après pour savoir si vous êtes déjà compromis, cherchez des dépôts créés le 10 juillet avec des noms bizarres de 8 caractères.

Après à ce stade, je vous conseille de migrer vers Gitea , le fork de Gogs qui est activement (et mieux) maintenu et qui n’est pas affecté par ces failles. Gogs semble être devenu un projet abandonné niveau sécurité, et c’est vraiment dommage parce que le concept était génial.

Source

Vous pensiez que la fonctionnalité “Effacer toutes les données” de votre smartphone était là pour protéger votre vie privée ? Hé bien aux États-Unis, l’utiliser au mauvais moment peut désormais vous valoir des poursuites fédérales.

Bienvenue dans le pays de la liberté ! (lol)

Samuel Tunick, un activiste d’Atlanta, vient d’en faire les frais le 4 janvier dernier. Alors que les agents des douanes américaines (CBP) voulaient fouiller son Google Pixel, il a eu le réflexe de le wiper. Très mauvaise idée puisque le mec a été arrêté ce mois-ci par le FBI et le DHS, et fait maintenant face à des poursuites pour “destruction de preuves” et “obstruction à la saisie légale d’un bien par le gouvernement”.

Certes, il a fait preuve d’un gros manque de bon sens et l’acte d’accusation déclare que Tunick aurait “sciemment détruit le contenu numérique de son téléphone dans le but d’empêcher le gouvernement à prendre ledit bien sous sa garde”. Oui, effacer vos photos de vacances et vos conversations WhatsApp, c’est dorénavant privé l’Etat d’un bien potentiel.

D’ailleurs, on ne sait même pas pourquoi les douaniers voulaient fouiller son téléphone au départ mais la perquisition devait être effectuée par un officier du “Tactical Terrorism Response Team” (TTRT), une unité secrète du CBP que l’ACLU décrit comme des “équipes qui ciblent, détiennent, fouillent et interrogent des voyageurs innocents”.

Ces TTRT, c’est un truc de ouf ! Depuis leur création en 2015, ils opèrent dans des dizaines de points d’entrée américains et cette unité a détenu et interrogé plus de 600 000 voyageurs, dont un tiers de citoyens américains. Et ces agents peuvent cibler des gens sur la base de leurs “instincts”, sans qu’ils figurent sur une quelconque watchlist.

Car oui, le CBP considère que vos droits à la vie privée disparaissent à la frontière et leurs agents peuvent saisir et fouiller n’importe quel appareil électronique sans mandat ni motif raisonnable. Donc si vous refusez de donner votre mot de passe, ils peuvent confisquer votre téléphone pour analyse forensique. Et bien sûr, les citoyens américains ne peuvent pas être refoulés pour ça, mais les détenteurs de visa ou de green card et les touristes peuvent carrément se voir refuser l’entrée.

Comme d’hab, mes conseils pour voyager sont rasoirs mais faut partir avec un téléphone “propre” dédié aux voyages, stocker ses données sensibles dans le cloud (européen de préférence) plutôt que sur l’appareil, et surtout ne jamais, jamais effacer quoi que ce soit pendant une interaction avec les autorités. Ou alors faites comme moi et restez chez vous ^^. En tout cas, soyez pas con comme Tunick.

Ce dernier a d’ailleurs été libéré mais reste assigné à résidence dans le nord de la Géorgie en attendant son procès. Force à lui. M’enfin, sachez-le, le pays qui a inscrit le 4ème et le 5ème amendement dans sa Constitution considère que protéger sa vie privée équivaut à de l’obstruction.

Quelle belle évolution !

Source

Suite voire remake inattendu d’un petit jeu bizarrement culte sur GameCube, Kirby Air Riders arrive sur Switch 2 quelques mois à peine après l’incroyable Mario Kart World. On est en droit de se demander : pourquoi un deuxième jeu de course arcade ? Ça fait pas doublon ? Le talent de Masahiro Sakurai (créateur de Kirby, réalisateur du jeu mais aussi de Smash Bros, entre autre) saura-t-il faire la différence ? Prenez une gigantesque respiration, comme Kirby sait si bien le faire, et je vous explique tout ça. :)

Pour commencer : c’est un jeu de course, certes, mais TRÈS différent de tous les autres. Par exemple, on est sur des bolides qui peuvent planer dans les airs (ça a grave son importance) et ils avancent automatiquement. Pas besoin d’accélérer ! Pas besoin de grand-chose d’ailleurs, si on se prend un mur, on n’est pas beaucoup ralenti. Donc voilà au début on a l’impression de rien contrôler, ça va vite et il se passe plein de choses.

Le terme « digital nomad » évoque encore souvent l’image du freelance en van aménagé, connecté depuis une plage thaïlandaise ou un café berlinois. Pourtant, la réalité est bien plus large. Même cloué chez soi, on vit déjà comme un nomade numérique : les données voyagent entre appareils, comptes et serveurs distants, exposées à chaque clic sur un Wi-Fi domestique ou une appli tierce. Surfshark One transforme cette vulnérabilité en force, en offrant un arsenal complet pour chiffrer, fragmenter son identité et minimiser son empreinte. Le luxe ultime de disparaître à volonté, sans jamais quitter son fauteuil.[​

Cette suite ne se contente plus d’un VPN isolé. Elle assemble chiffrement, antivirus, outils d’anonymisation et surveillance proactive dans une interface unifiée, pensée pour ceux qui jonglent entre vie pro, perso et side projects sans jamais avoir le droit de baisser la garde. L’idée est simple : adopter la mentalité du voyageur perpétuel, où la sécurité n’est pas une option, mais une couche invisible qui vous suit partout.

Au cœur de l’ensemble trône le VPN Surfshark, avec ses serveurs RAM-only disséminés dans des dizaines de pays. Chacun d’eux utilise un chiffrement militaire AES-256 impénétrable, des protocoles comme WireGuard pour la vitesse ou OpenVPN pour la robustesse, et une connexion illimitée sur tous les appareils. Que l’on soit en télétravail sur un réseau d’entreprise ou en train de streamer une série géobloquée, le trafic passe dans un tunnel opaque, invisible pour le FAI ou les curieux. Ajoutez à cela le Kill Switch, qui coupe net toute fuite en cas de déconnexion, et le mode Camouflage qui masque même l’usage du VPN lui-même. Résultat : on navigue comme si l’on était ailleurs, sans alourdir sa bande passante ni se compliquer la vie.]( https://surfshark.com/fr/one )​ Et ça, en vrai nomade que vous êtes (bureau, frigo, bureau, toilettes … un vrai hometrotter), c’est bien pratique.

Mais le vrai game-changer pour le nomade sédentaire moderne réside dans la fragmentation de l’identité. L’Alternative ID génère des profils jetables avec nom fictif, adresse bidon, date de naissance inventée, alias mail redirigé vers la boîte réelle. Parfait pour s’inscrire à un service douteux, tester une newsletter ou commander sans laisser de traces permanentes. Si une fuite survient, on désactive l’alias en un clic, et le spam s’évapore. Couplé à Surfshark Search, un moteur sans tracking ni pub personnalisée, de quoi briser le cercle vicieux des profils marketing. On cherche, on trouve, sans nourrir les algorithmes qui nous recoupent d’un site à l’autre.

L’antivirus intégré complète le tableau en protégeant non seulement le navigateur, mais l’ensemble des flux entrants. Basé sur un moteur temps réel, il scanne fichiers, pièces jointes, périphériques USB et même la webcam contre les intrusions discrètes. Pas de paramétrage byzantin : on installe, on laisse tourner, et les malwares, ransomwares ou spywares sont neutralisés avant de faire des dégâts. Pour celui qui télécharge des outils pros ou gère des backups familiaux, c’est la tranquillité sans les alertes incessantes des suites traditionnelles.[​

Surfshark Alert ajoute la couche proactive. Ce système patrouille le dark web et les bases publiques pour détecter si un email, un numéro de carte ou un identifiant a fuité. Au lieu d’apprendre par un appel de votre banque que des achats frauduleux ont eu lieu, on reçoit une notification immédiate : « Votre alias X apparaît dans une brèche. » On change alors mot de passe, on cloisonne, on passe à autre chose. CleanWeb , de son côté, purge pubs, trackers et phishing en amont, accélérant la navigation tout en préservant la bande passante pour ce qui est essentiel.]( https://www.lesnumeriques.com/vpn/surfshark-one-detrone-les-geants-du-vpn-avec-son-antivirus-integre-n245109.html )​

Surfshark One intègre désormais un outil inédit pour traquer les arnaques par email, baptisé Email Scam Checker, qui s’appuie sur l’intelligence artificielle pour disséquer les messages suspects directement depuis l’extension Chrome et Gmail. Ce détecteur analyse en un clic le contenu manipulatoire, les informations d’expéditeur douteuses, les liens malveillants et les tactiques typiques des phishings comme ces faux mails de banque créés par IA pour imiter leur authenticité.

Lancé fin octobre 2025 face à l’explosion des 3,4 milliards de phishings quotidiens, il opère sur les serveurs contrôlés par Surfshark, effaçant les données immédiatement après scan pour préserver une confidentialité absolue. L’activation est enfantine : on télécharge l’extension, on active l’option dans les paramètres, puis on clique « Vérifier l’email » sur n’importe quel message Gmail ; le verdict tombe instantanément, protégeant ainsi contre malwares, faux sites et urgences fabriquées. Couplé aux connexions illimitées, cela étend la vigilance à toute la famille sans effort supplémentaire, transformant la boîte de réception en zone sécurisée où les escroqueries n’ont plus leur mot à dire.

Ce qui rend Surfshark One si adapté au quotidien immobile, c’est son universalité. Une seule interface gère tout : le PC fixe pour le boulot, le laptop Apple pour les quelques rares déplacements, le smartphone Android, la console des enfants ou la tablette iOS du chef cuistot. Pas de licences multiples ni de synchronisation manuelle. Même les fonctions avancées comme le split tunneling (qui route certaines apps via VPN et d’autres en direct) ou le MultiHop pour un double chiffrement s’activent sans effort. On passe d’un contexte à l’autre comme un nomade sans boussole, sans friction technique.​

En 2025, où chaque service aspire des données pour les revendre ou les exploiter, ce kit redéfinit la liberté numérique. On apparaît sur le Net pour consommer ce dont on a besoin (un abonnement, un essai, une recherche) puis on s’efface proprement. Pouf, plus là.

L’antivirus veille sur les fichiers locaux, Alert sur les fuites externes, Alternative ID sur les inscriptions futures. Le VPN assure que rien ne sort sans être chiffré. Même statique géographiquement, on vit comme si l’on pouvait plier bagage à tout moment, sans laisser derrière soi un sillage exploitable.

Cette approche n’impose aucune ascèse paranoïaque. Les outils s’intègrent au quotidien sans pop-ups ni jargon technique. Pour l’entrepreneur solo gérant clients et factures en ligne, le parent protégeant la famille connectée, ou l’amateur de Tech testant des outils sans risque, Surfshark One offre le calme d’une empreinte minimale. Le vrai luxe ? Reprendre le contrôle sans y penser, comme un nomade qui sait que sa tente se démonte en cinq minutes en cas de danger.

Et le meilleur dans l’histoire ? C’est son prix. Actuellement moins de 2,63€/mois TTC pour la suite de sécurité complète et pour un nombre illimité de machines (71€ TTC pour 2 ans + 3 mois offerts).

Surfshark One au meilleur prix !

Y’a un truc que j’adore avec Apple, c’est quand ils nous font des petits moves de génie en douce, sans que personne s’en rende compte. Et en voici un que John Gruber de Daring Fireball vient de débusquer.

Vous ne le savez peut-être pas mais la Russie vient de bloquer des tas de services comme Whatsapp, Snapchat ou encore FaceTime sur son territoire. Officiellement, c’est parce que le FSB (les services secrets russes) ne peut pas espionner les appels chiffrés de bout en bout.

Toutefois, bizarrement, iMessage continue de fonctionner là-bas.

Alors pourquoi ?

Hé bien parce qu’Apple a conçu iMessage de façon à ce qu’il soit techniquement impossible à bloquer sans casser toutes les notifications push de l’iPhone. Et ça, les amis, c’était apparemment prévu dès le départ, car quand Apple a lancé iMessage en 2011, les opérateurs télécom ne désiraient qu’une chose : LE BLOQUER !

Pensez donc, un service de messagerie gratuit qui allait tuer leur poule aux SMS d’or ! Sauf qu’Apple avait anticipé le coup et a fait en sorte qu’iMessage utilise le même canal que le service APNs (Apple Push Notification Service), c’est à dire celui qui gère TOUTES les notifications de TOUTES vos apps. Ainsi, si vous bloquez iMessage sur un réseau, vous bloquez aussi les notifs de Gmail, Twitter, WhatsApp, et absolument tout le reste. Et pour les opérateurs, c’était inacceptable commercialement car ils auraient perdu des millions de clients en plus de se prendre un procès au cul de la part d’Apple.

Et c’est exactement pour cette même raison que iMessage fonctionne encore aujourd’hui contre les régimes autoritaires. La Russie peut donc bloquer FaceTime parce que c’est un service séparé avec ses propres ports mais iMessage c’est tellement imbriqué dans l’infrastructure de base d’iOS que le bloquer reviendrait à rendre les iPhone à moitié inutilisables.

Et aucun pays ne peut se permettre ça, même pas la Chine.

Après, la Russie n’est pas tendre avec le reste des messageries. Facebook, Instagram, Twitter, Discord, LinkedIn , tous sont bloqués et YouTube est tellement ralenti qu’il est devenu inutilisable. WhatsApp et Telegram ont perdu les appels vocaux quand à Signal et Viber, ils sont bannis.

Et ce qui est malin dans le design d’Apple, c’est que tout passe par le port 5223 en TLS (ou le 443 en fallback) et les messages sont chiffrés de bout en bout avec des clés que même Apple ne possède pas. Donc le gouvernement russe peut regarder passer les paquets si ça l’amuse, il ne verra que du bruit. Et s’il veut filtrer ce bruit spécifiquement, il coupera aussi les notifs de toutes les apps russes.

Bref, Apple a construit un bouclier anti-censure directement dans l’architecture d’iOS, et personne ne s’en était rendu compte jusqu’à aujourd’hui. Bien joué !

Tous les détails sont sur Daring Fireball

J’sais pas si vous vous souvenez, mais le RSS c’était LA révolution du web dans les années 2000 et moi, je suis toujours un fan absolu de ce format ! Alors pendant que tout le monde se laisse gaver le cervelet par les algos de Twitter, Facebook et compagnie, moi je continue de suivre mes sources d’info préférées via RSS. Et je suis également l’un des derniers médias tech / blogs tech grand public à proposer un flux RSS complet avec tout dedans et pas un truc tronqué avec juste le titre et deux lignes pour vous forcer à cliquer.

Ceux qui me suivent encore via le flux RSS, vous êtes mes gars et filles sûr(e)s !

Mon problème vous l’aurez compris, c’est que la plupart des sites web ont abandonné leur flux RSS sans oublier que Twitter, Instagram, YouTube, TikTok… aucun de ces services ne propose de flux natif.

Heureusement, pour les furieux comme vous et moi, y’a RSSHub , un projet open source qui permet de générer des flux RSS pour à peu près n’importe quel site web.

RSSHub peut s’auto-héberger et permet de scraper les sites qui n’offrent pas de RSS pour ensuite générer des flux à la volée. Le projet supporte des centaines de sources différentes telles que YouTube, Twitter, Instagram, Telegram, Spotify, TikTok, Bilibili (vous connaissiez ?), et des tonnes d’autres plateformes chinoises et occidentales. En gros, si un site existe, y’a probablement une route RSSHub pour lui.

Pour l’utiliser, vous avez donc deux options. Soit vous utilisez une des instances publiques listées ici , soit vous déployez votre propre instance via Docker . La deuxième option est recommandée si vous voulez éviter les limitations de débit des instances publiques et garder vos abonnements privés, évidemment.

Et pour faciliter la découverte des flux disponibles, le même développeur (DIYgod) a créé RSSHub-Radar , une extension navigateur disponible pour Chrome, Firefox, Edge et Safari. Comme ça, quand vous visitez un site, elle vous montre automatiquement tous les flux RSS disponibles, qu’ils soient natifs ou générés par RSSHub. Super pratique donc pour ne plus jamais rater un flux caché.

D’ailleurs, en parlant de RSS, c’est impossible pour moi de ne pas mentionner Aaron Swartz , ce génie qui a contribué à créer le format RSS 1.0 alors qu’il n’avait que 14 ans en 2000. Ce mec a aussi co-fondé Reddit, co-créé Markdown (le format que vous utilisez sur GitHub, Discord et partout ailleurs), travaillé sur Creative Commons, et développé SecureDrop pour protéger les lanceurs d’alerte.

Sa vision d’un web ouvert et accessible à tous reste plus pertinente que jamais. Malheureusement, il nous a quittés en 2013 à seulement 26 ans, harcelé par la justice américaine pour avoir voulu libérer des articles scientifiques. Une perte immense pour le web libre.

Bref, RSSHub c’est le truc à installer si vous voulez arrêter de vous faire gaver par les algos. Pour moi, le RSS c’est encore aujourd’hui la meilleure façon de rester maître de sa veille et je trouve ça vraiment dommage que les gens aient “oublié” à quel point c’était génial…

Vous croulez sous les documents PDF, les images scannées et les paperasses diverses et variées qui traînent un peu partout sur votre serveur et sur votre disque dur ? Et bien y’a un projet open source qui pourrait bien vous simplifier la vie…

Ça s’appelle Readur , et c’est une plateforme de gestion documentaire plutôt moderne codé en Rust pour le backend et en TypeScript/React pour l’interface. Il combine une interface facile à prendre en main, je trouve, avec de l’OCR plutôt balèze qui va scanner tous vos documents pour en extraire le texte et le rendre cherchable.

Comme ça, vous balancez vos fichiers (PDF, images, fichiers texte, documents Office…) via un petit drag-and-drop des familles et Readur fait le reste !

Sous le capot, ça utilise Tesseract pour la reconnaissance de caractères, et gère même plusieurs langues simultanément avec détection automatique, donc pour ceux qui bossent avec des docs multilingues, c’est plutôt chouette…

Pour la recherche, ça repose sur une base PostgreSQL full-text avec plusieurs modes de recherche : simple, par phrase, fuzzy (recherche approximative), ou booléen, ce qui va vous permettre de retrouver n’importe quel bout de texte dans n’importe lequel de vos documents en quelques secondes.

Et si vous avez déjà vos fichiers stockés ailleurs, pas de stress puisque Readur peut se synchroniser avec WebDAV, des dossiers locaux ou du stockage S3. Il y a même un système de surveillance de dossiers qui détecte automatiquement les nouveaux fichiers et les intègre sans que vous ayez à lever le petit doigt. Pratique pour les feignasse comme moi.

Côté authentification, c’est du costaud avec JWT, bcrypt, et support OIDC/SSO pour ceux qui veulent l’intégrer dans leur infra existante et y’a aussi un système de rôles (Admin/User) et tout un tas d’étiquettes avec codes couleur pour organiser vos documents comme bon vous semble.

Pour l’installer, du Docker classique :

git clone https://github.com/readur/readur
cd readur
docker compose up --build -d

On ne va pas se mentir, le marché des batteries externes MagSafe est devenu une véritable jungle où chaque fabricant y va de sa petite brique en plastique qui chauffe autant qu’elle charge. C’est souvent la même rengaine : c’est pratique, mais c’est épais, ça vieillit mal et, soyons honnêtes, ce n’est pas toujours très rassurant d’avoir une chaufferette chimique plaquée contre son téléphone à 1200 balles.

C’est là que la KUXIU S2 entre en scène avec une promesse assez audacieuse : intégrer la technologie “Solid-State” ou état solide dans un format grand public. Sur le papier, c’est plus de sécurité, une meilleure densité énergétique et une durée de vie prolongée. J’en teste une depuis quelques semaines, et ma foi, c’est validé.

Le cœur du sujet ici, c’est évidemment cette fameuse technologie de batterie à état solide. Contrairement aux batteries Lithium-Ion classiques qui baignent dans un électrolyte liquide inflammable, la S2 utilise un électrolyte semi-solide sous forme de gel. Concrètement, cela change la donne en matière de sécurité car même percée par un clou, la batterie ne prend pas feu et ne dégage pas de fumée, là où une batterie classique nous gratifierait d’un dangereux feu d’artifice. Mais l’argument qui fera mouche chez ceux qui gardent leur matériel longtemps, c’est la durabilité. KUXIU annonce que cette batterie peut encaisser plus de 1000 cycles de charge tout en conservant 80 % de sa capacité initiale, ce qui représente une durée de vie environ deux à trois fois supérieure à celle des batteries externes traditionnelles qui fatiguent souvent après 300 ou 500 cycles.

Dès la prise en main, on sent qu’on n’est pas sur du gadget d’entrée de gamme. La marque a fait l’effort d’un châssis en alliage d’aluminium, le tout dans un format ultra-fin d’à peine 10 millimètres d’épaisseur pour un poids contenu de 145 grammes. C’est dense, c’est froid au toucher et ça respire vraiment la solidité. Côté intégration, elle s’aligne parfaitement au dos des modèles d’iPhone équipés de MagSafe, et elle fonctionnera aussi avec la plupart des Android équipés d’une coque aimantée, puisqu’elle est compatible Qi2.

Elle délivre donc une puissance de 15W pour les iPhone compatibles, permettant de passer de 0 à 42 % en une trentaine de minutes, ce qui est nettement plus rapide que les 7,5W des batteries magnétiques non certifiées. J’ai également noté une gestion thermique bien supérieure à la moyenne ; la technologie à état solide chauffe bien moins que ses concurrentes liquides, ce qui est rassurant pour la santé de la batterie de votre iPhone sur le long terme. Pour les plus pressés, le port USB-C est bidirectionnel et permet une charge filaire classique jusqu’à 20W, tout en autorisant le “pass-through” pour charger la batterie et le téléphone simultanément.

Au rayon des fonctionnalités bien pensées, j’apprécie particulièrement le mode “faible courant” activable par une double pression sur le bouton, idéal pour recharger des AirPods ou une montre connectée sans que la batterie ne se coupe inopinément. 

Bref, la KUXIU S2 est une excellente surprise qui justifie son tarif un peu plus élevé par une technologie réellement innovante. Si vous cherchez un accessoire jetable, passez votre chemin, mais si vous voulez une batterie durable, sécurisée et qui ne transforme pas votre poche en fournaise, c’est sans doute l’une des meilleures options actuelles. L’investissement initial est amorti par cette durée de vie doublée voire triplée, ce qui en fait paradoxalement un choix économique et écologique sur le long terme ! Elle est disponible ici, sur Amazon !

Pour info j’ai aussi testé la batterie 3-en-1 K1 Ultra de chez Kuxiu aussi, sur Mac4Ever.com !

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie “Gadgets Tech” , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Vous vous souvenez des cassettes audio ? Mais siiii, ces trucs de nous les vieux quand on était jeune (spoiler : je suis toujours jeune !). Il fallait même rembobiner avec un crayon quand le lecteur bouffait la bande !!

Hé bien des chercheurs chinois viennent de ressusciter ce format… mais version ADN. Et au lieu de stocker 90 minutes de musique, leur cassette peut théoriquement embarquer des quantités astronomiques de données.

L’équipe de Xingyu Jiang, ingénieur biomédical à la Southern University of Science and Technology de Shenzhen, a développé une bande pas comme les autres. Au lieu de la traditionnelle couche d’oxyde de fer, c’est de l’ADN synthétique qui est déposé sous forme de petits points microscopiques sur un film plastique flexible. Son prototype fait environ 5 mm de large sur 15 mètres de long et offre 545 400 emplacements adressables par kilomètre de bande. Côté capacité, on parle donc de 362 pétaoctets théoriques par kilomètre , mais en conditions réelles, l’équipe a stocké 74,7 Go par kilomètre pour le moment.

Bon, comment ça marche ce bazar ? Les données numériques sont converties en séquences ADN en utilisant les 4 bases nucléotidiques (A, T, C, G) à la place des 0 et des 1 habituels. La bande contient ces centaines de milliers d’emplacements adressables, et un système de lecture optique basé sur des codes-barres peut scanner jusqu’à 1570 partitions par seconde. C’est pas mal pour un truc basé sur des molécules biologiques.

Le vrai avantage de l’ADN comme support de stockage, c’est sa densité de ouf. Selon les chercheurs, l’ADN offre une densité théorique d’environ 455 exaoctets par gramme. Toutes les informations numériques mondiales pourraient tenir dans un volume ridiculement petit.

Et côté durabilité, c’est encore plus dingue, car là où vos disques durs claquent au bout de 1 à 10 ans et où les bandes magnétiques doivent être remplacées tous les 7 à 10 ans, l’ADN protégé par un revêtement métallo-organique (appelé ZIF) peut conserver les données pendant plus de 345 ans à température ambiante (c’est 20°C).

Et si vous le stockez dans un environnement froid comme les montagnes de Changbai en Chine, c’est parti pour 20 000 ans de stockage OKLM. Vos arrière-arrière-arrière-petits-enfants pourront encore récupérer vos TikTok de vacances et autres backups de dickpics.

Le système permet aussi de récupérer des fichiers sans détruire les données sources. Les chercheurs ont testé 10 cycles de récupération sur une même partition et les données restent intègres. Mieux encore, on peut supprimer et redéposer de nouveaux fichiers sur les mêmes emplacements, tout cela grâce à un algorithme de correction d’erreurs (Reed-Solomon) qui permet de conserver une bonne fiabilité des données malgré les manipulations.

Pour l’instant, la technologie reste quand même hyper leeeeeeente. En mode continu, les chercheurs atteignent un débit théorique de 2,3 fichiers par seconde, mais ça reste très loin des performances des bandes LTO actuelles, et au niveau coût, c’est pas jojo non plus, car la synthèse d’ADN reste très coûteuse, même si les prix baissent. Bref, y’a encore du boulot.

L’objectif des chercheurs est donc très clair. Il s’agit de créer un support de stockage durable pendant des siècles et indépendant de l’obsolescence des technologies actuelles. Car ouais, en 2025 retrouver un fichier sur une disquette, c’est quasi mission impossible alors qu’avec l’ADN, le format de lecture (le séquençage) continuera d’exister tant que la biologie moléculaire existera.

Tout ça pour dire que même si on n’est pas près de stocker nos bibliothèques Steam sur une cassette ADN, pour tout ce qui est archivage à très long terme de données “froides”, ça a énormément de potentiel.

Source : Science Advances

Personne ne s’en doutait, mais durant 3 ans, les communications entre la Terre et les sondes de la NASA étaient totalement vulnérables au piratage du moindre script kiddy ! Et personne n’était au courant évidemment, et aucun des multiples audits de code qui se sont succédé depuis 2022 n’avait mis à jour ce problème jusqu’à ce qu’une IA s’en mêle !

La faille découverte au bout de 4 jours d’analyse, se trouvait dans CryptoLib , une bibliothèque de chiffrement open source utilisée pour sécuriser les échanges entre les stations au sol et les satellites en orbite. Cette bibliothèque implémente le protocole SDLS-EP (Space Data Link Security Protocol - Extended Procedures) de la norme issue du CCSDS , qui est utilisé un peu partout dans le spatial, y compris pour des missions comme les rovers martiens ou le télescope James Webb.

Le souci donc c’est que ce code contenait une vulnérabilité d’injection de commande. En gros, des données non validées pouvaient être interpolées directement dans une commande shell et exécutées via system() sans aucune vérification. C’est le genre de faille basique qu’on apprend à éviter en première année de développement, sauf que là elle était planquée dans un code quand même bien critique…

C’est la startup AISLE , fondée par des anciens d’Anthropic, Avast et Rapid7, qui a été mandatée pour auditer le code et c’est comme ça que leur système de “cyber reasoning” basé sur l’IA s’est retrouvé à scanner la base de code. Résultat, une jolie faille débusquée par IA 3 ans après des dizaines d’audits et d’analyses humaines.

Bon, avant de paniquer sur une éventuelle chute de satellite en plein sur la tête de votre belle-mère, faut quand même nuancer un peu la chose… Pour exploiter cette faille, un attaquant aurait d’abord eu besoin d’un accès local au système, ce qui réduit significativement la surface d’attaque selon les chercheurs . Donc oui, j’ai abusé en intro avec mon histoire de script kiddy ^^ chè ! Mais quand même, on parle de satellites et de sondes spatiales qui valent des milliards de dollars donc si elle avait été exploitée, ça aurait fait mal à beaucoup de monde.

Et ce n’est pas la seule mauvaise nouvelle pour la sécurité spatiale cette année puisqu’en août dernier, 2 chercheurs allemands de VisionSpace Technologies, Milenko Starcik et Andrzej Olchawa, ont présenté, lors des confs Black Hat USA et DEF CON à Las Vegas, pas moins de 37 vulnérabilités découvertes dans l’écosystème spatial . Sans oublier Leon Juranic de ThreatLeap qui a trouvé diverses failles plus tôt dans l’année.

Le Core Flight System (cFS) de la NASA, ce framework open source déployé sur des missions comme le James Webb ou le lander lunaire Odysseus d’Intuitive Machines, contenait également 4 failles critiques. Deux bugs de déni de service, une Path Traversal, et une vulnérabilité d’exécution de code à distance (RCE). Milenko Starcik a déclaré avoir trouvé des vulnérabilités permettant par exemple de crasher tout le logiciel de bord avec un simple message distant non authentifié .

Lors d’une démo, ils ont montré qu’ils pouvaient envoyer une commande à un satellite pour activer ses propulseurs et modifier son orbite, sans que le changement de trajectoire apparaisse immédiatement sur l’écran du contrôleur au sol. Imaginez le bordel si quelqu’un faisait ça pour de vrai !!

CryptoLib elle-même était criblée de failles : 4 dans la version utilisée par la NASA, 7 dans le package standard dont 2 critiques. Et le système de contrôle de mission Yamcs développé par la société européenne Space Applications Services et utilisé notamment par Airbus présentait aussi 5 CVE permettant une prise de contrôle totale. Sans oublier OpenC3 Cosmos, un autre système utilisé pour les stations au sol, qui comptait à lui seul, 7 CVE incluant de l’exécution de code à distance.

Heureusement les amis, toutes ces horribles vulnérabilités ont été corrigées et la NASA prépare même une mise à jour majeure du cFS pour bientôt avec de meilleures fonctionnalités de sécurité, le support de l’IA et des capacités d’autonomie améliorées.

AISLE affirme que leur outil peut examiner systématiquement des bases de code entières , signaler des patterns suspects et fonctionner en continu à mesure que le code évolue, bref, pour du code critique comme celui des systèmes spatiaux, c’est le top !

Encore une victoire de l’IA ^^

Source

GITAI est une startup japonaise spécialisée dans la robotique spatiale qui vient de réaliser quelque chose de dingue, à savoir la construction autonome d’une tour de communication de 5 mètres de haut dans un désert reproduisant la surface lunaire.

Et tout ça sans intervention humaine, évidemment !

Leur système repose sur un rover lunaire et trois robots de type “Inchworm” (chenille en anglais). Chacun de ces robots a des bras équipés de pinces aux deux extrémités, ce qui lui permet de se déplacer un peu comme des chenilles arpenteuses et d’effectuer des tâches de construction diverses et variées. Dans la démo en vidéo ci-dessous, vous pouvez voir comment ils assemblent la tour, connectent l’antenne au sommet et branchent les câbles d’alimentation sans oublier de bien vérifier que le courant passe.

Vous pensiez encore que WhatsApp était secure grâce au chiffrement de bout en bout ?

Pauvres fous ^^ !

En fait, des chercheurs de l’Université de Vienne viennent (!!) de démontrer qu’on peut vous espionner à distance via Whatsapp sans que vous receviez la moindre notif.

L’attaque s’appelle “Careless Whisper” (oui, comme la chanson de George Michael) et elle exploite un truc tout bête : les accusés de réception, ces petits checks bleus qui vous indiquent qu’un message a été délivré puis vu…

Ainsi, en envoyant des messages spécialement conçus pour l’occasion, notamment des réactions à des messages qui n’existent pas, un attaquant peut déclencher des accusés de réception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui apparaît, mais de l’autre côté, votre stalker psychopathe mesure le temps que met votre téléphone à répondre.

Et en analysant ces temps de réponse, on peut savoir si votre écran est allumé ou éteint, si WhatsApp est ouvert au premier plan, quel système d’exploitation vous utilisez, combien d’appareils sont connectés à votre compte, et même déduire vos horaires de sommeil. Tout sans que vous ayez le moindre indice qu’on vous surveille, évidemment !

La recherche, disponible ici , a d’ailleurs reçu le Best Paper Award à la conférence RAID 2025. Les chercheurs ont testé sur WhatsApp et Signal, et les deux sont vulnérables. Mais sur WhatsApp, c’est le pire, car l’application autorise des payloads de réaction jusqu’à 1 Mo, ce qui permet de générer 13 Go de trafic par heure sur le téléphone de la victime, donc ça permet même de vider tranquillement sa batterie de 15 à 18% par heure sans qu’elle ne s’en rende compte.

Un développeur a même créé un outil open source pour tester la faille de manière responsable et en respectant la loi évidemment. Si vous voulez tester, faites-le uniquement sur votre matériel. L’interface de ce PoC permet de traquer en temps réel l’activité d’un numéro de téléphone. En dessous d’un certain seuil sur le délai de réponse, la personne est active, et au-dessus, elle dort ou son téléphone est en veille.

Les chercheurs ont bien sûr signalé la faille à Meta en septembre 2024, qui a “accusé réception” (lol), mais aucune correction n’a été apportée depuis. Et chez Signal ils n’ont pas répondu du tout.

Alors comment on fait pour se protéger de ça ? Et bien dans Whatsapp, il y’a une option qui se trouve dans Paramètres → Confidentialité et autoriser seulement “Mes Contacts” à voir ce qu’on partage, ce qui permet de limiter les accusés de réception à vos contacts uniquement. Ça ne règle pas tout, mais ça complique la tâche des inconnus qui voudraient vous traquer.

Voilà, une fois encore, même sur les apps avec du chiffrement de bout en bout qui protège le contenu des messages, ça ne fait pas tout, car il y a toujours des métadonnées qui peuvent être exploitées de manière frauduleuse, donc soyez vigilant :)