Enorme nouvelle pour tous les amateurs de rétro-ingénierie et très mauvaise nouvelle pour Free ! Au 39C3 (le Chaos Communication Congress de cette année), un chercheur français du nom de Frédéric Hoguin (que je salue) a présenté un talk absolument dingue sur le hack de la Freebox HD. Et tenez-vous bien, l'une des failles utilisées se trouve dans... le port de Doom intégré à la box !

Pour la petite histoire, la Freebox HD c'est ce bon vieux boîtier décodeur que Free a sorti en 2006. Bientôt 20 ans au compteur et toujours maintenue jusqu'à fin 2025. Du coup, Frédéric s'est dit que ça ferait un super terrain de jeu pour du reverse engineering à l'ancienne. Et là, il a découvert deux failles 0-day qui permettent de prendre le contrôle total de la box.

Vous avez une imprimante 3D qui prend la poussière et un Steam Deck qui traîne sur le canapé ? Tom Patty vient de publier sur MakerWorld un projet qui va vous réconcilier avec les deux. L'idée c'est de transformer la console portable de Valve en mini borne d'arcade avec un vrai joystick et de vrais boutons, comme dans les salles de notre jeunesse (oui je suis vieux, je sais).

Le projet s'appelle Mini Arcade Steam Deck et c'est une version compacte d'un précédent design du même créateur. L'avantage de cette nouvelle mouture, c'est qu'elle ne nécessite ni moniteur externe ni haut-parleurs, du coup n'importe qui possédant déjà un Steam Deck peut se lancer. Bref, c'est du DIY accessible.

Le Mini Arcade Steam Deck dans toute sa splendeur ( Source )

Côté matos à prévoir en plus des pièces imprimées, il vous faudra une carte contrôleur Picade Max de chez Pimoroni, leur joystick arcade, 12 boutons d'arcade de la même marque, le faisceau de câblage V2 qui va avec, un câble USB-C et 4 petites vis M5 avec leurs écrous. Un hub USB-C optionnel permet de charger la console pendant les sessions de jeu, ce qui n'est pas du luxe vu l'autonomie de la bête.

L'impression prend environ 31 heures et demie sur 8 plaques différentes en 0.16mm de couche avec 15% de remplissage. Ça fait un sacré projet, mais le résultat a de la gueule ! L'assemblage se fait ensuite à la superglue en suivant les instructions fournies, avec des chevilles hexagonales pour bien aligner les pièces. Le design a été pensé pour le plateau d'impression d'une Bambu Lab P1S, mais d'après les retours de la communauté, ça passe aussi sur une A1 sans modification.

Le Steam Deck est facile d'accès

Et si l'idée de fabriquer votre propre borne d'arcade vous titille depuis un moment, c'est peut-être le projet idéal pour vous lancer. Pas besoin de savoir souder ou de se taper l'électronique complexe d'une borne complète, la carte Picade Max fait tout le boulot de conversion des entrées.

Le modèle est gratuit à télécharger sur MakerWorld et la communauté autour du projet est plutôt active. Y'a déjà des discussions sur l'ajout de trous d'aération dans une future V2 pour éviter que le Steam Deck ne chauffe trop pendant les longues sessions.

Ça fait envie n'est-ce pas ?

Merci à Lorenper pour l'info !

Vous connaissez ce moment relou où vous copiez un truc sur votre PC et vous vous retrouvez comme un idiot devant votre Mac parce que le presse-papier ne suit pas ? Hé bien y'a une solution open source qui règle ce problème, et elle s'appelle CrossPaste .

Vous installez l'app sur tous vos appareils (Windows, macOS, Linux) et hop, tout ce que vous copiez sur l'un se retrouve automatiquement disponible sur les autres. Du texte, des images, des URLs, du HTML, du RTF, des fichiers... Tout y passe. Et le truc cool c'est que ça fonctionne sur votre réseau local en mode "LAN-only serverless", donc vos données ne transitent pas par un serveur central quelque part dans le cloud de Donald Duck, euh Trump.

Car oui, la sécurité c'est pas en option avec CrossPaste. Toutes les données sont chiffrées de bout en bout avec un système de chiffrement asymétrique. Du coup, même si quelqu'un sniffe votre réseau local (votre voisin super haxxor par exemple), il ne verra que du charabia incompréhensible. Et comme y'a pas de serveur central, y'a rien à pirater côté infrastructure non plus.

L'interface est unifiée sur toutes les plateformes grâce à Compose Multiplatform (c'est du Kotlin sous le capot pour les curieux) et vous avez un historique de tout ce que vous avez copié, avec une gestion automatique du stockage pour pas que ça finisse par bouffer tout votre disque dur. Pratique pour retrouver ce lien que vous aviez copié y'a 3 jours et que vous avez oublié de sauvegarder quelque part...

Le projet est sous licence AGPL-3.0, donc c'est du vrai open source avec le code disponible sur GitHub. Si vous êtes du genre à vouloir bidouiller ou simplement vérifier qu'il n'y a pas de cochonneries planquées dedans, vous pouvez compiler vous-même. Y'a juste besoin de Gradle et d'un ./gradlew app:run pour compiler et lancer le tout.

Bref, si vous jonglez entre plusieurs machines au quotidien et que vous en avez marre de vous envoyer des trucs par email ou par Slack juste pour les avoir sur un autre ordi, CrossPaste ça va vous faire économiser pas mal de temps et d'énergie. Et en plus c'est gratuit \o/

Merci à Lorenper pour l'info !

Source

Vous savez ce qui est encore mieux qu'un bon film de super-héros ?

Une hacktiviste déguisée en Pink Ranger des Power Rangers qui supprime en direct des sites de nazis devant une salle comble de hackers en délire. Et ce moment de liesse s'est passé fin décembre au 39C3 , le Chaos Communication Congress à Hambourg. Mais avant d'en arriver là, il a fallu une sacrée investigation.

Tout commence avec WhiteDate, une sorte de Tinder pour suprémacistes blancs. À côté, deux autres sites du même acabit : WhiteChild (un truc glauque pour matcher des donneurs de sperme et d'ovules "de race pure") et WhiteDeal (une marketplace pour embaucher uniquement des racistes). Ça devait être sympa l'ambiance, n'empêche !

Les stats de WhiteDate parlent d'elles-mêmes puisque le site comptait environ 3600 profils aux USA, 600 en Allemagne, et la France, le Canada et le UK loin derrière. Et surtout 86% d'hommes. On imagine bien le niveau des conversations sur ce site de losers qui cherchent l'âme sœur aryenne dans un océan de testostérone frustrée.

Les trois sites étaient gérés par une certaine "Liff Heide". Un pseudo un peu trop allemand pour être vrai. Deux journalistes, Eva Hoffmann (investigatrice freelance) et Christian Fuchs (qui couvre l'extrême droite depuis 20 ans), ont mené l'enquête pour Die Zeit et ont fini par identifier la vraie personne : Christiane Haar, 57 ans, qui vit près de Kiel en Allemagne.

Et comment l'ont-ils trouvée ? Hé bien par l'enregistrement de la marque déposée "WhiteDeal" au registre du commerce allemand. Parce que oui, quand tu montes un réseau clandestin de nazis, tu n'oublies pas de déposer ta marque à l'INPI local.

Le souci du détail administratif, c'est toujours magique.

Le parcours de Christiane Haar est d'ailleurs assez dingue. Ancienne pianiste prodige, elle a vécu à Paris dans les années 2000 où elle a épousé un banquier... dont le père avait survécu à la Shoah. Oui, vous avez bien lu... Son ex-mari a raconté aux journalistes qu'elle s'était radicalisée après 2014, persuadée que l'attentat de Charlie Hebdo était une "opération false flag". La descente aux enfers conspirationniste classique. Et le brave homme a fini par divorcer "pour raisons politiques" après qu'elle ait pété un câble antisémite lors d'un dîner avec des amis.

Côté autorités allemandes, c'est la lose totale par contre. Le Verfassungsschutz (les services de renseignement intérieur) surveillait le dossier depuis 2019... sauf qu'ils ont passé des années à traquer la mauvaise personne. Il existe en effet une romancière qui s'appelle vraiment Liff Heide, et ces brillants enquêteurs ont confondu les deux femmes malgré des différences flagrantes : pas le même âge, pas la même couleur de cheveux, l'une vivait à Paris depuis des décennies, l'autre à Berlin. Résultat, la pauvre romancière a perdu son job dans une université berlinoise à cause de cette bourde monumentale.

C'est là qu'entre en scène Martha Root (un pseudo, évidemment), une hacktiviste qui a décidé de faire ce que les services de renseignement n'avaient pas réussi en six ans.

Pour infiltrer ces plateformes, elle a utilisé des chatbots IA (Llama et compagnie). Elle a créé un faux profil avec une photo générée par IA, et quand son compte a bugué à force de bidouiller les champs de texte, elle a contacté le support. Ces génies lui ont non seulement débloqué son compte, mais lui ont offert 3 mois de premium gratuit. Merci les gars.

Mais le meilleur c'est quand Martha a demandé à une connaisseuse plus calée qu'elle de jeter un œil. Cinq minutes plus tard (pour de vrai), sa pote lui envoie la faille. Il suffisait de taper WhiteDate.net/download-all-users dans la barre d'adresse. C'est tout. Pas d'injection SQL sophistiquée, pas d'exploit zero-day... juste une URL en clair dans l'API WordPress. La "race supérieure" a oublié de protéger son endpoint JSON.

Comme l'a dit Martha Root : "Avant de vouloir dominer le monde, apprenez déjà à sécuriser un WordPress". C'est drôle ^^.

Martha Root est donc montée sur scène au 39C3, déguisée en Pink Ranger, aux côtés des deux journalistes. Et au lieu de se contenter de slides PowerPoint bien sages, elle a décidé de passer à l'action : une suppression en direct des trois sites devant une salle en délire.

Les données récupérées (100 Go quand même) ont été transmises à DDoSecrets, le collectif qui a pris la relève de WikiLeaks pour ce genre de fuites. Ils ont baptisé ça "WhiteLeaks" et le partagent avec les journalistes et chercheurs vérifiés. Comme le faisait Anonymous à la grande époque, le hacktivisme continue de faire le ménage là où les autorités traînent des pieds.

L'admin des sites a réagi sur X en pleurnichant que c'était du "cyberterrorisme" et en promettant des représailles. Elle envoie même chaque mois un fax (oui, un fax) aux journalistes pour réclamer de la thune en dédommagement. Ah oui, parce que supprimer des sites de nazis, c'est du terrorisme, mais matcher des donneurs de sperme pour la pureté raciale, c'est juste un hobby sympa entre amis.

Pour couronner le tout, le site WhiteDate était développé par une boîte IT en Inde, avec la comptabilité gérée depuis Madagascar. L'internationale brune qui sous-traite à l'étranger, ça ne s'invente pas, les amis...

Bref, ce que Martha a trouvé en quelques jours, toute l'infrastructure de renseignement allemande n'a pas réussi à le faire en six ans.

Encore raté.

Source | Vidéo du talk au 39C3

Vous connaissez le concept de clé maître ? Hé bien Rasmus Moorats, un chercheur en sécurité estonien, vient d'en trouver une qui déverrouille l'intégralité du parc de scooters électriques Äike. Et vous vous en doutez, c'est pas vraiment ce que le fabricant avait prévu.

Le bougre a décidé de reverse-engineerer son propre deux-roues connecté après que la boîte ait fait faillite en 2025. Logique, quand le cloud menace de fermer, autant comprendre comment fonctionne sa bécane. Du coup il a décompilé l'app React Native, hooké les communications Bluetooth avec Frida, et là... surprise !

L'authentification entre l'app et l'engin utilise un système de challenge-response. Le scooter envoie un défi aléatoire, l'app le concatène avec une clé secrète, hash le tout en SHA-1, et renvoie le résultat. Simple et efficace. Sauf que la clé secrète en question, c'est FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF. Vingt octets de FF.

Vous l'aurez peut-être compris, c'est la valeur par défaut du SDK fourni par le fabricant du module IoT.

Bref, les devs d'Äike n'ont jamais personnalisé cette clé. Chaque scooter sorti d'usine embarque exactement la même. Du coup avec un script Python et la lib bleak, n'importe qui peut déverrouiller n'importe quel Äike qui passe dans la rue. Hop, on scanne, on répond au challenge avec la clé universelle, et on envoie les commandes : déverrouiller, activer le mode éco, ouvrir le compartiment batterie... tout y passe.

Le plus rigolo dans l'histoire c'est que la société sœur Tuul, qui fait de la location de trottinettes, n'a pas de Bluetooth sur ses engins ! Du coup elle n'est pas touchée. Comme quoi, parfois l'absence de fonctionnalité devient une feature de sécurité.

Évidemment, Rasmus a fait les choses proprement avec une disclosure responsable en septembre dernier. Le fabricant a alors confirmé que c'était bien leur faute, et pas celle du fournisseur du module. Mais bon, maintenant que la boîte a coulé, les correctifs risquent d'attendre looongtemps.

Source

Vous vous êtes déjà demandé ce que cache vraiment un site web ? Genre, au-delà de sa jolie façade ? Hé bien je vous présente Web-Check , un scanner OSINT qui va déshabiller n'importe quel domaine pour vous montrer tout ce qui se passe sous le capot.

Je vous ai déjà parlé d'OSINT.rocks qui centralise pas mal d'outils d'investigation. Et bien là, c'est un peu le même délire mais orienté analyse de sites web. Vous balancez une URL et hop, le projet vous ressort un rapport complet avec tout ce qu'il y a à savoir : certificat SSL, enregistrements DNS, en-têtes HTTP, géolocalisation du serveur, ports ouverts, stack technique utilisée... Bref, une vraie radio du site.

Ce qui est cool avec cette boîte à outils, c'est qu'elle ne se contente pas de gratter la surface puisque ça effectue plus de 30 types d'analyses différentes ! Vous voulez savoir si un site utilise un WAF (Web Application Firewall) ? Vérifier la configuration email (SPF, DKIM, DMARC) ? Voir l'historique du domaine via la Wayback Machine ? Tout est possible ! Et même les Core Web Vitals pour les obsédés de la performance !

Pour l'installer, c'est ultra simple. Si vous êtes team Docker (et vous devriez l'être), une seule commande suffit :

docker run -p 3000:3000 lissy93/web-check

Et vous avez votre instance perso qui tourne sur localhost:3000. Pas besoin de galérer avec des dépendances ou de configurer quoi que ce soit. Du coup, vous pouvez scanner vos propres sites sans que vos requêtes passent par un service tiers.

Pratique pour les paranos de la vie privée !

Le projet tourne sous TypeScript avec Astro en front, et tout le code est disponible sur GitHub sous licence MIT. Ça veut dire que vous pouvez le modifier, l'héberger où vous voulez, et même contribuer si le coeur vous en dit.

La partie détection de stack technique me plait beaucoup. C'est un peu comme ce que fait SSH-Audit pour les serveurs , sauf que l'outil identifie automatiquement les frameworks, CMS, bibliothèques JavaScript et autres composants utilisés par un site. Super utile donc pour les pentesters qui veulent mapper rapidement une cible, ou simplement pour les curieux qui se demandent "tiens, c'est quoi cette techno qu'ils utilisent ?".

Vous avez aussi une démo en ligne sur web-check.xyz si vous voulez tester avant d'installer quoi que ce soit. Mais bon, pour une utilisation régulière, je vous conseille vraiment l'instance locale. C'est plus rapide et vous gardez le contrôle sur vos données.

Voilà, si vous bossez dans la sécu, si vous êtes journaliste d'investigation, ou si vous êtes juste curieux de savoir ce que racontent les sites que vous visitez, ce scanner OSINT devrait rejoindre votre boîte à outils.

Allez jeter un œil, et vous me remercierez je pense !

– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –

Et bien écoutez, on va commencer par vous souhaiter la bonne année. Avec amour, gloire, argent, mais aussi santé. Et du coup je vais peut-être vous y aider, en vous évitant de prendre la voiture tout le temps pour aller bosser ou aller à la boulangerie.

On va donc parler mobilité douce avec un vélo électrique , vendu sur Amazon à prix franchement contenu, qui m'a franchement surpris. On a l'habitude de voir la marque Engwe sortir des "Fat Bikes" assez massifs, taillés pour rouler dans la neige ou le sable avec des pneus énormes. Mais avec ce modèle, le P20 , la marque propose quelque chose de très différent. C'est un vélo pliant, urbain, franchement mignon et surtout équipé d'une transmission par courroie. J'ai passé plusieurs semaines avec ce petit bolide pour voir s'il peut vraiment remplacer ma voiture ou les transports en commun au quotidien, et je dois dire que pour le prix, c'est une excellente surprise.

La première chose qui frappe dès le déballage, c'est le poids. Si vous avez déjà eu affaire aux tanks habituels du marché électrique, les 18,5 kg du P20 vont vous sembler franchement légers. C'est vraiment un vélo facile à manipuler, ce qui signifie qu'on peut enfin le monter dans l'appartement ou le glisser dans le coffre de la voiture sans risquer le tour de reins. Côté look, c'est très propre avec un cadre en alliage d'aluminium aux lignes angulaires et futuristes, des soudures lisses et une finition mat qui ne fait pas du tout "jouet". L'assemblage est d'ailleurs un jeu d'enfant, il faut juste enclencher les pédales, fixer le garde-boue et l'éclairage, et c'est parti.

Une fois en selle, l'expérience de conduite est étonnamment propre pour un vélo qui tourne autour des 1000 euros. Le gros point fort, c'est l'abandon de la chaîne classique au profit d'une courroie en carbone de marque JK. Fini le cambouis sur le bas de pantalon et l'entretien mega relou, c'est propre, silencieux et annoncé pour durer 33 000 km.

Couplé à un capteur de couple très réactif, le moteur arrière de 250W délivre une assistance fluide et naturelle. Contrairement aux capteurs de cadence basiques qui vous propulsent brutalement, ici le moteur amplifie votre effort instantanément. On a vraiment cette sensation agréable d'avoir des jambes bioniques ou un vent permanent dans le dos, ce qui rend le faufilement dans la circulation urbaine tout à fait agréable.

Il faut tout de même garder à l'esprit que le P20 est un "single-speed", c'est-à-dire qu'il n'a qu'une seule vitesse. Sur le plat et les faux-plats, c'est un régal absolu et le vélo est vif et nerveux. En revanche, si votre trajet implique des murs à plus de 15% de dénivelé, le petit moteur montrera quelques limites et il faudra accepter de pousser un peu. Maintenant je vous dis ça, je le teste sur les côtes de Clermont-Ferrand depuis plusieurs semaines, et c'est vraiment sans problème. Quoi qu'il en soit c'est un vélo optimisé pour rouler confortablement entre 20 et 25 km/h, ce qui est, soyons honnêtes, idéal pour les trajets de tous les jours.

Au quotidien, ce P20 se révèle donc être un compagnon très pratique. Le pliage se fait en trois étapes simples et prend moins de trente secondes, ce qui permet de le caser facilement au bureau ou dans un coffre de voiture standard. La batterie de 345Wh, discrètement intégrée derrière la tige de selle, est amovible pour la recharge. Si la marque promet jusqu'à 100 km d'autonomie, comptez plutôt sur 60 à 80km réels en utilisant une assistance confortable, selon votre poids, ce qui est largement suffisant pour la majorité des trajets. J'ai aussi beaucoup apprécié les bons freins qui assurent un freinage mordant même sous la pluie, et les clignotants intégrés aux haubans arrière, un petit détail sécurisant pour signaler ses intentions en ville.

Bref, selon moi le Engwe P20 est une réussite qui offre un rapport qualité-prix assez bluffant. Il vient chatouiller des concurrents bien plus onéreux, en proposant des technologies premium comme la courroie et le capteur de couple à un tarif accessible. Si vous cherchez un petit vélo nerveux, stylé et pratique pour tous pour vos trajets urbains, sans avoir à vendre un rein, c'est une option que je valide totalement. Et en plus il est sur Amazon, ce qui est bien pratique. Dispo à 1099 euros en cliquant ici !

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie "Gadgets Tech" , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Vous portez des verres progressifs mais le truc relou c'est que ça vous oblige à pencher la tête dans tous les sens pour lire le menu au resto ou regarder votre écran... Alors ça tombe bien puisqu'une startup finlandaise vient de trouver LA solution pour nous débarrasser de cette galère.

En effet, IXI (anciennement Pixieray) a développé des lunettes autofocus qui font la mise au point toutes seules en fonction de ce que vous regardez. Le concept existe depuis un moment dans les labos, mais ça a été suffisamment miniaturisé pour ne rajouter que quelques grammes à des montures qui ressemblent à de vraies lunettes, et pas à un casque de réalité virtuelle.

Le prototype IXI mis à nu, avec sa finition élégante. ( Source )

En fait, ça fonctionne avec des cristaux liquides intégrés dans les verres, et des capteurs infrarouges et des LEDs permettent de tracker vos yeux et de calculer à quelle distance se trouve ce que vous fixez. Du coup, les verres ajustent automatiquement leur correction en quelques millisecondes. Vous regardez votre téléphone ? Correction de près. Vous levez les yeux vers la route ? Correction de loin. Et tout ça sans avoir à bouger la tête.

Et l'équipe derrière ce projet, c'est pas des rigolos puisque ce sont des anciens de chez Nokia, Microsoft HoloLens et Varjo (les gars qui font les casques VR haut de gamme). Ils sont 75 employés et ont levé 36,5 millions de dollars, avec notamment Amazon dans les investisseurs via leur Alexa Fund. Ça vous donne donc une idée du potentiel que les gros du secteur voient dans cette techno.

Perso, ce qui me plaît dans ce concept, c'est qu'on élimine enfin les zones aveugles des verres progressifs. Ce sont ces endroits sur les côtés du verre où tout devient flou alors qu'avec les cristaux liquides, toute la surface du verre est utilisable. Et pour ceux qui flipperaient à l'idée de porter des lunettes high-tech au volant, IXI a prévu un mode failsafe qui fait que si le système plante, les verres se calent automatiquement sur la vision de loin. Pas bête.

Niveau fabrication, l'électronique sort des usines finlandaises et les montures sont finies à la main en Italie. Le prix n'est pas encore annoncé bien sûr mais ce sera pour les richous qui en ont marre de jongler avec deux ou trois paires de lunettes.

Les lunettes IXI, élégantes comme des lunettes classiques, oh yeah ! ( Source )

Le lancement est prévu dans l'année qui vient. En attendant, si vous voulez en savoir plus sur ces histoires de lunettes connectées et de vie privée, jetez un oeil à Ban-Rays , un projet open source qui fait l'inverse à savoir détecter les gens qui vous filment avec leurs Ray-Ban Meta.

Source

Pour une fois dans votre vie, soyez honnêtes !! Je le sais, vous le savez, PERSONNE ne lit les conditions d'utilisation. On clique sur "J'accepte" comme des automates, et on file nos données personnelles sans même savoir ce qu'on signe. Perso, la dernière fois que j'ai lu des CGU en entier, c'était... celles de hotmail.com en 1996.

Et c'est exactement pour ça que TermsTooLong existe. Ce site analyse et note les politiques de confidentialité et les termes de service de plus de 200 plateformes, de Mozilla à TikTok en passant par Discord et Blizzard. Du coup, au lieu de vous farcir 47 pages de jargon juridique, vous avez une note claire de A- à F.

Et les résultats sont assez révélateurs. Dans le camp des bons élèves, on retrouve Mozilla avec 8.8/10 (note A-), Signal au même niveau, et DuckDuckGo avec 8.5/10. Ces services collectent un minimum de données et sont plutôt transparents sur leur utilisation.

Et puis y'a les cancres. Ubisoft se tape un magnifique 1.8/10 (note F), Blizzard n'est pas loin avec 2.0/10, et TikTok récolte un joli 2.8/10. Si vous vous demandiez pourquoi ces services sont gratuits, vous avez maintenant une partie de la réponse.

Le truc cool, c'est la méthodologie car le site utilise une analyse assistée par IA pour décortiquer chaque document. Il cherche les clauses problématiques telles que la collecte excessive de données, le partage avec des tiers, l'absence de suppression sur demande, ce genre de joyeusetés. Le tout est ensuite vérifié et noté sur des critères précis par des humains.

Y'a même une fonction de comparaison côte à côte. Vous hésitez entre deux services de cloud ? Hop, vous comparez leurs politiques de confidentialité en un clic. Pratique pour faire des choix éclairés sans perdre trois heures à décrypter du juridique.

Voilà, si le sujet de la protection des données personnelles vous intéresse, ce site est une vraie mine d'or. Au moins maintenant, vous saurez exactement ce que vous acceptez quand vous cliquez sur ce fichu bouton.

Source

Vous le savez, les notifications sur Android c'est devenu n'importe quoi. Entre les promos, les rappels débiles et les alertes dont vous n'avez strictement rien à foutre, votre téléphone vibre plus qu'un marteau-piqueur ou que le jouet préféré de votre sœur. Et les options natives d'Android pour gérer tout ça ? Bof, c'est du tout ou rien.

Bref, c'est là qu'arrive DoNotNotify, un petit pare-feu pour vos alertes qui fait exactement ce que son nom indique.

Ça vous permet de créer des règles pour bloquer ce qui vous gonfle, et vous gardez ce qui compte vraiment. Vous pouvez ainsi filtrer par application, par mots-clés dans le contenu du message, ou même utiliser des expressions régulières pour les plus geeks d'entre vous. Du coup, fini les popups "Profitez de -20% !" toutes les 5 minutes pendant que vous essayez de vous concentrer sur vos orteils pour la méditation guidée.

Et le truc vraiment cool, c'est le système de whitelist/blacklist. Vous pouvez mettre une app en mode "je bloque tout sauf les messages urgents" ou au contraire "je garde tout sauf ce spam précis". Hop, vous configurez ça une fois et c'est réglé.

L'interface de création de règles - sobre et efficace

L'autre point qui m'a bien plu, c'est que l'app garde un historique de TOUTES vos alertes, y compris celles que vous avez bloquées. C'est super pratique si vous avez un doute et que vous voulez vérifier que vous n'avez pas loupé un truc important.

L'historique des notifications bloquées - rien ne vous échappe

Côté vie privée, c'est du béton. Tout se passe en local sur votre téléphone, zéro serveur externe, zéro tracking, zéro pub. L'app ne collecte aucune donnée personnelle, ce qui est plutôt rare pour une app gratuite et d'ailleurs, si le sujet vous intéresse, j'avais parlé d' Oversec pour chiffrer vos messages Android , c'est dans la même philosophie.

Pour l'installer, direction le Play Store ou tapez simplement "DoNotNotify" dans le champ de recherche. L'app pèse que dalle et ne bouffe pas de batterie en arrière-plan.

Seul bémol, les notifications "Live Update" d'Android ne peuvent pas être bloquées (c'est une limitation système) et l'app vous prévient avec une petite icône quand c'est le cas.

Voilà de quoi enfin retrouver un peu de sérénité sur votre smartphone !

Source

Si vous passez un temps de fou sur YouTube et que vous en avez marre de vous faire traiter comme un criminel par Google parce que vous utilisez un bloqueur de pubs, j'ai peut-être trouvé la parade.

En effet, depuis fin 2023, Google a déclaré la guerre aux utilisateurs d'adblockers . Et quand je dis guerre, c'est pas une figure de style. Ils ont commencé d'abord avec des popups "veuillez désactiver votre bloqueur", puis les vidéos qui refusent de démarrer, et maintenant le pompon : des ralentissements artificiels qui transforment votre expérience en torture. Voilà pourquoi Youtube devient "malade" dès qu'il détecte que vous ne voulez pas vous taper 3 pubs de 30 secondes pour regarder une vidéo de 2 minutes.

Et le pire, c'est que Firefox semble particulièrement visé (oui c'est le navigateur que j'utilise, alors je souffre plus que vous, OK ? ^^). Alors si vous voulez embrouiller les sites qui vous trackent , y'a des solutions, mais pour YouTube c'est une autre histoire. Vous utilisez simplement un navigateur qui respecte votre vie privée et hop, 5 secondes de lag avant chaque vidéo. Sympa les zamerloques de youteub !

LiteTube AdFree - l'extension qui contourne les restrictions YouTube

Heureusement, j'ai trouvé LiteTube, une extension Firefox et Chrome qui prend le problème à la racine. Au lieu de se battre contre les systèmes de détection de YouTube (une bataille perdue d'avance vu les moyens de Google), LiteTube passe par l'interface web mobile de YouTube (m.youtube.com). Et là, c'est le jour et la nuit.

L'astuce est simple mais efficace, l'interface mobile est beaucoup plus légère et contient moins de scripts anti-adblock que la version desktop. Du coup, plus de ralentissements, plus de popups qui vous culpabilisent, et surtout plus de vidéos qui mettent 10 plombes à charger.

Mais LiteTube ne se contente pas de régler le problème de lag. L'extension embarque aussi :

• SponsorBlock intégré : les passages sponsorisés dans les vidéos sont automatiquement zappés (merci la communauté)
• Lecture en arrière-plan : fermez l'onglet, la vidéo continue de jouer (genre c'est pas une feature basique qu'on devrait tous avoir ?)
• Forçage 4K : même si YouTube essaie de vous servir du 720p pour "économiser de la bande passante"
• Codec H.264 : pour ceux qui ont des soucis avec le VP9 sur certaines configs

Je l'ai testé et ça marche trop bien. Plus aucun lag artificiel, les pubs passent à la trappe, et j'ai même récupéré la lecture en arrière-plan que YouTube réserve normalement aux abonnés Premium. Bref, que du bon !

L'extension est développée par une petite équipe, et compte peu d'utilisateurs, ce qui fait qu'elle passe sous le radar de Google. Pour l'instant...

Google finira probablement par trouver un moyen de bloquer aussi cette extension ou de consolider sa version mobile mais en attendant, autant en profiter !

Pour installer LiteTube, rendez-vous sur la page de l'extension sur le site des addons Mozilla ou chez Google Chrome . C'est gratuit, open source , et ça prend 30 secondes !

Source

Vous bossez sur un projet et vous vous dites "Tiens, le site de [insérez ici une grosse boîte] a un design plutôt bien foutu, j'aimerais bien voir comment ils ont structuré leurs css".

Hé bien y'a un outil pour ça, et il s'appelle Dembrandt .

Dembrandt en action

En gros, c'est un petit outil en ligne de commande qui va analyser n'importe quelle URL et en extraire tout le design system : les couleurs (primaires, secondaires, variables CSS), la typographie (familles, tailles, graisses), les espacements, les bordures, les ombres et même les patterns de composants UI.

Le truc s'installe en une ligne avec npm (npm install -g dembrandt) et après vous avez juste à taper dembrandt stripe.com par exemple. En moins d'une seconde, l'outil va alors faire un rendu de la page avec Playwright, analyser le DOM, détecter les styles et vous ressort tout ça bien structuré avec des scores de confiance pour chaque couleur.

Ce que j'aime bien, c'est que ça exporte directement en JSON ou au format W3C Design Tokens si vous voulez l'utiliser avec Style Dictionary. Pratique pour alimenter votre propre design system ou pour documenter celui d'un client qui n'a jamais pris le temps de le faire... (il en faut)

Y'a aussi quelques options sympas comme --dark-mode pour extraire la palette sombre, --mobile pour simuler un viewport iPhone, ou --browser=firefox si le site que vous voulez analyser a des protections Cloudflare qui bloquent Chromium.

Bon, ça marche pas sur les sites qui utilisent Canvas ou WebGL pour le rendu, et faut pas s'attendre à des miracles sur les SPA qui chargent tout en async. Mais pour la majorité des sites, c'est vraiment efficace.

Le projet est open source sous licence MIT, donc vous pouvez l'auditer, le forker, le modifier comme bon vous semble. Et niveau légalité, analyser du HTML/CSS public pour de la veille concurrentielle ou de la documentation, c'est considéré comme du fair use dans la plupart des juridictions, donc vous êtes good !

Bref, si vous faites du design system, de l'audit UX ou juste de la veille sur ce que font les autres, c'est un outil à garder sous le coude.

Merci à Lorenper pour le partage !

Avec tous les abonnements gaming qui se multiplient et qui littéralement vident votre compte en banque, en voici un nouveau qui va encore plus vous plaire : GOG Patrons ! Sauf que cette fois, c'est pas pour accéder à un catalogue, c'est pour sauver des jeux de l'oubli.

Si vous êtes un amoureux du pixel qui a grandi avec Resident Evil, Diablo ou System Shock, vous allez comprendre l'enjeu. Il faut savoir que ces jeux mythiques ne tournent plus sur les machines modernes sans un sacré travail de restauration. Et c'est exactement ce que propose le GOG Preservation Program depuis des années : rendre les classiques jouables sur Windows 10/11 sans vous prendre la tête avec des émulateurs ou des patchs communautaires.

Le programme de soutien, c'est donc 5 dollars par mois. Pas grand-chose pour contribuer à la sauvegarde du patrimoine vidéoludique. En échange, vous avez accès à un Discord exclusif où vous pouvez voter sur les prochains jeux à restaurer, un badge qui s'affiche sur votre profil, et une reconnaissance publique dans les crédits des futurs projets de préservation.

Et ça marche puisque les chiffres c'est plus de 200 jeux classiques qui ont déjà été sauvés de l'obsolescence grâce à ce travail de fourmi. Resident Evil 1, 2 et 3, la trilogie originale Diablo, System Shock... Des titres qui auraient fini aux oubliettes de l'histoire du jeu vidéo sans cette équipe de passionnés.

Le truc, c'est que la préservation des jeux vidéo, c'est un enfer technique. Entre les systèmes d'exploitation obsolètes, les codes sources perdus à jamais et les licences expirées qu'il faut renégocier, chaque titre restauré est une petite victoire. GOG a d'ailleurs rejoint l'EFGAMP (la fédération européenne pour la préservation des jeux) pour structurer tout ça au niveau international.

Bref, si vous avez la nostalgie des jeux qui ont marqué votre jeunesse et que vous voulez qu'ils restent accessibles aux générations futures, devenir patron c'est une façon concrète de contribuer. Et si l'idée de soutenir des projets qui vous tiennent à cœur vous parle, j'ai aussi mon petit Patreon pour ceux qui veulent m'aider à continuer ce blog depuis plus de 20 ans maintenant.

De quoi verser une petite larme en retrouvant des sensations qu'on pensait à jamais disparues.

Source

Vous vous souvenez de mes explications sur comment Boston Dynamics comptait construire un cerveau pour Atlas ? Hé bien, ils viennent de trouver le partenaire parfait pour y arriver. Et pas n'importe lequel !

Annoncé au CES 2026 à Las Vegas lors de la présentation Hyundai, le fabricant de robots s'allie avec Google DeepMind pour intégrer les modèles fondationnels Gemini Robotics directement dans leurs humanoïdes. Du coup, Atlas va pouvoir percevoir son environnement, raisonner, utiliser des outils et même interagir avec des humains. Bref, passer du robot acrobate impressionnant au robot vraiment utile.

Atlas en pied, prêt à conquérir les usines ( Source )

L'idée, c'est de combiner le meilleur des deux mondes. D'un côté, vous avez l'intelligence athlétique de chez Boston Dynamics, ces années d'expertise à créer des machines capables de faire des saltos et de se relever après une gamelle. De l'autre, les modèles multimodaux de DeepMind qui comprennent le langage, la vision et peuvent générer des actions. Le mariage parfait entre le corps et l'esprit, en quelque sorte.

Alberto Rodriguez, le directeur du comportement robot chez Boston Dynamics (un ancien prof du MIT qui a lâché sa chaire pour rejoindre l'aventure), explique qu'ils avaient besoin d'un partenaire capable de développer des modèles fiables et scalables. Et Carolina Parada de DeepMind confirme que leurs modèles Gemini Robotics ont justement été conçus pour apporter l'IA dans le monde physique. Hop, le puzzle s'assemble.

Le regard d'Atlas, bientôt alimenté par Gemini

Mais ne vous attendez pas à voir un Atlas débarquer chez vous pour faire le ménage demain matin. Sniiiif... La cible, c'est l'industrie manufacturière, et plus précisément les usines du groupe Hyundai (qui possède Boston Dynamics, rappelons-le). Parce que même dans les chaînes de production les plus automatisées, il reste des dizaines de milliers de tâches manuelles impossibles à robotiser avec les méthodes traditionnelles. Le coût et le temps de développement sont juste délirants.

Avec un humanoïde doté d'un cerveau généraliste, on peut théoriquement lui apprendre une nouvelle tâche en une journée au lieu d'un an. C'est le même principe que ChatGPT, mais appliqué au monde physique et ça, c'est un vrai changement de paradigme.

La recherche conjointe démarre dans les prochains mois. Alors est-ce que ça va révolutionner les usines ? Peut-être. Est-ce que c'est le début d'une nouvelle ère pour la robotique humanoïde ? Moi j'y crois.

En tout cas, dans tout ce bordel ambiant autour des robots et de l'IA, cette alliance entre le hardware le plus avancé et le software le plus puissant a du sens. Et si vous voulez en savoir plus sur l'évolution d'Atlas ces dernières années , je vous avais déjà fait un petit récap.

Source

Après Blackwell, après les GPU qui chauffent comme des radiateurs nucléaires, après les promesses de révolution IA à chaque keynote, voici Rubin ! Et cette fois, NVIDIA ne se contente pas de balancer une nouvelle puce, mais lâchent carrément un modèle open source pour la conduite autonome.

Rubin, c'est donc la nouvelle architecture qui succède à Blackwell. Mais attention, on ne parle pas d'une simple évolution. C'est un système à 6 puces qui travaillent de concert : le GPU Rubin évidemment, mais aussi le CPU Vera avec ses 88 cœurs Olympus, le NVLink 6 qui balance du 3,6 To/s par GPU, et toute une armada de DPU et de switches réseau. Le tout crache 50 pétaflops en NVFP4 et divise par 10 le coût d'inférence par token par rapport à Blackwell. Pour entraîner des modèles MoE, vous aurez besoin de 4 fois moins de GPU. Pas mal pour faire baisser la facture électrique.

100 trillions de tokens, c'est assez incroyable comme chiffre ! Et si vous vous demandez ce que c'est, hé bien c'est le volume de données qu'OpenRouter vient d'analyser pour publier son rapport "State of AI" de décembre dernier. Et perso, je ne m'attendais vraiment pas à ces résultats.

OpenRouter, pour ceux qui ne connaissent pas, c'est un routeur de modèles IA qui permet d'accéder à tous les LLM du marché via une seule API. Du coup, ils ont une vue unique sur comment les gens utilisent vraiment ces outils. Pas ce qu'ils prétendent en faire sur LinkedIn (loool), mais ce qu'ils font vraiment avec.

Et là, première surprise : le roleplay représente 52% de l'usage des modèles open-source. Y'a plus de la moitié des tokens qui passent par DeepSeek, Qwen et compagnie servent à... jouer des rôles, à discuter avec des personnages fictifs, à faire du chat de base avec l'IA. Pas à coder, pas à bosser, pas à révolutionner l'humanité. Juste à s'amuser.

Du coup, ça relativise pas mal le discours ambiant sur l'IA qui va tous nous remplacer au boulot. Visiblement, pour l'instant, elle nous aide surtout à nous divertir.

Le roleplay domine largement l'usage des modèles open-source ( Source )

Deuxième claque : l'Asie est passée de 13% à 31% de l'usage mondial en un an. Singapour est maintenant le deuxième pays utilisateur après les États-Unis, devant l'Allemagne et la Chine. L'Europe, elle, stagne à 21%. Et l'Afrique ? 0,46%. Y'a encore du boulot niveau démocratisation...

L'Asie explose, l'Europe stagne, l'Afrique reste à la traîne ( Source )

Côté modèles, DeepSeek écrase tout le monde en volume avec 14,37 trillions de tokens. Qwen suit avec 5,59 trillions, puis Meta LLaMA. OpenAI ? Seulement 1,65 trillion. Mais attention, c'est du volume brut. Quand on regarde les usages pros, Claude écrase la programmation (60%+ du trafic code), pendant que DeepSeek se tape... le roleplay et le chat casual.

Le truc vraiment remarquable, c'est la montée des modèles capables de raisonner (genre o1). En janvier 2025, ils représentaient 0% mais aujourd'hui, ils sont à la tête de 50% des nouveaux usages. L'inférence multi-étapes, la délibération, la planification... Tout ça a explosé en moins d'un an. On est passés de chatbots basiques à des systèmes qui réfléchissent avant de répondre.

Les modèles raisonnants passent de 0% à 50%+ en un an ( Source )

Et les prompts ? Ils ont quadruplé de longueur. De 1 500 tokens en moyenne à plus de 6 000. Les gens sont devenus plus bavards avec leurs assistants numériques, ou alors ils ont compris qu'il fallait être plus précis pour obtenir de bons résultats.

Dernier point intéressant, le prix n'a quasiment aucun impact sur l'usage. Une baisse de 10% du prix ne génère que 0,5 à 0,7% d'usage supplémentaire. Les utilisateurs choisissent leurs modèles sur la qualité, pas sur le tarif. Bref, ce n'est pas encore un marché de commodité. La course à la meilleure performance continue.

Alors oui, l'étude a ses limites car c'est une seule plateforme, et pas l'ensemble du marché. Mais avec 100 trillions de tokens, c'est quand même un sacré échantillon. Et ça dit des choses sur notre rapport à ces outils qu'on ne peut pas ignorer, encore une fois.

Source

Bon, fallait s'y attendre. Le domaine annas-archive.org vient de tomber, placé en statut "serverHold" par le Public Interest Registry (PIR), l'organisme qui gère tous les domaines en .org. Du coup, si vous tapez l'adresse habituelle, vous tombez dans le vide.

Et là vous allez me dire : "Mais PIR, c'est pas les mêmes qui ont toujours refusé de suspendre thepiratebay.org ?" Hé bien si, exactement. Ce qui laisse penser qu'il y a probablement une décision de justice derrière tout ça, parce que PIR ne fait pas ce genre de chose de gaieté de coeur.

L'équipe d'Anna's Archive a réagi sur Reddit en mode "on est chill, on a l'habitude". Ils rappellent que ce genre de mésaventures arrive régulièrement aux bibliothèques "alternatives" et pointent vers leurs domaines alternatifs qui fonctionnent toujours : annas-archive.li, annas-archive.se, annas-archive.in et annas-archive.pm. Bref, business as usual.

Ce qui est marrant, c'est que l'équipe nie tout lien avec leur récent coup d'éclat : le backup de 300 To de Spotify qu'ils ont balancé en décembre 2025. Vous savez, les 256 millions de lignes de métadonnées et les 86 millions de fichiers audio qui ont fait trembler les majors ? Apparemment, ce n'est pas ça qui leur vaut cette suspension. Du moins selon eux.

Anna's Archive, pour ceux qui débarquent, c'est un méta-moteur de recherche créé en 2022 qui agrège les catalogues de plusieurs bibliothèques pirates (LibGen, Sci-Hub, Z-Library...). Le site fait déjà face à des poursuites, notamment pour avoir scrappé WorldCat , donc les ennuis juridiques ne sont pas vraiment une nouveauté pour eux.

Le jeu du chat et de la souris continue... Et comme toujours avec ce genre de projets, couper une tête ne sert pas à grand chose quand il y en a quatre autres qui poussent. Les gens qui veulent accéder au site trouveront toujours un chemin, et l'équipe recommande de checker leur page Wikipedia pour avoir la liste à jour des domaines actifs.

Source

Bon, si vous êtes un vieux de la vieille sous Linux, j'ai une nouvelle qui va vous faire verser une petite larme ! GNOME et Firefox envisagent tous les deux de désactiver la possibilité de coller avec le clic milieu par défaut. Vous savez, ce truc où vous sélectionnez du texte, puis un coup de clic molette et hop, c'est collé ailleurs sans passer par Ctrl+C/Ctrl+V.

Jordan Petridis, développeur chez GNOME, vient de soumettre une merge request pour désactiver cette fonctionnalité dans les paramètres par défaut. D'après lui ce serait un véritable désastre... Des mots forts pour une fonctionnalité que beaucoup adorent mais faut dire que le mec n'a pas tort car avec les trackpads modernes et les souris à molette cliquable un peu sensibles, on finit souvent par coller des trucs sans faire exprès.

Du coup, c'est quoi exactement ce "primary paste" ? Hé bien c'est une spécificité historique de X11, le système de fenêtrage qui fait tourner les bureaux Linux depuis des lustres. Quand vous sélectionnez du texte, il est automatiquement copié dans un buffer séparé (le "PRIMARY selection"), différent du presse-papier classique . Et le clic du milieu colle ce buffer directement. C'est comme avoir deux presse-papiers en parallèle, c'est pratique mais ça peut foutre le bordel si vous cliquez au mauvais moment.

Et Firefox n'est pas en reste puisqu'une révision chez Mozilla propose exactement la même chose à savoir désactiver le collage au clic molette par défaut. Les arguments sont similaires... surtout que les utilisateurs qui découvrent cette fonctionnalité par accident (coucou les Windowsiens) ne comprennent pas d'où sort le texte qui vient de s'afficher dans leur barre de recherche. Perso, j'avoue que ça m'est arrivé de coller des trucs gênants dans un chat parce que j'avais cliqué sur la molette sans faire gaffe ^^.

La bonne nouvelle, c'est que ça reste réactivable pour ceux qui y tiennent. Sous GNOME, il suffira de taper :

gsettings set org.gnome.desktop.interface gtk-enable-primary-paste true

Après les standards pour les APIs, après les standards pour le web, après les standards pour à peu près tout ce qui touche à l'informatique, voici... un standard pour les champignons !

Et non, je ne parle pas des champignons de Mario qui vous font grandir de partout (hi hi). Je parle de vrais champignons. Ceux qu'on cultive pour les manger. Bref, ceux qui représentent une industrie de 50 milliards de dollars qui gère encore ses données sur des feuilles Excel et des bouts de papier collés sur des bocaux.

Shiitake happens, comme on dit ^^.

Heureusement des champignonistes plus malin que les autres ont créé WOLS, pour WeMush Open Labeling Standard . L'idée c'est d'encoder toutes les infos de traçabilité de vos cultures fongiques directement dans un QR code. Origine du mycélium, substrat utilisé, dates d'inoculation, conditions de croissance... Hop, tout ça compressé dans un petit carré noir et blanc que vous pouvez scanner.

Le truc couvre 5 types de spécimens (de la culture mère jusqu'à la récolte), 4 stades de croissance, et propose 3 formats de QR différents selon vos besoins. Vous voulez juste un truc compact ? 500 octets. Vous voulez du JSON-LD pour faire le malin avec vos métadonnées ? 400 octets en mode embedded. Vous êtes parano et vous voulez chiffrer vos précieuses données de pleurotes ? AES-256-GCM, mon ami.

D'ailleurs, le projet est agnostique côté espèces : Que vous cultiviez du Lion's Mane (le champignon du hipster), du Shiitake (le classique), des pleurotes ou même du Reishi pour vos smoothies santé, le standard s'en fiche et encode tout pareil. De quoi faire pleurer de joie tous les myciculteurs de la planète. Ou les faire pleurote de joie, si vous préférez.

(Oui, je vous ai eu "champignoniste", c'est pas un vrai mot ^^)

Côté technique, c'est du sérieux malgré le sujet rigolo. Y'a des implémentations en JavaScript (@wemush/wols), en Python (wols), et même un conteneur Docker pour les feignasses qui veulent pas installer de dépendances. Le tout sous licence open source , donc vous pouvez forker ça et l'adapter à vos besoins sans vous prendre le cèpe. D'ailleurs si vous cherchez un nom pour votre propre projet open source , évitez les jeux de mots sur les champignons, c'est déjà pris.

Bref, si vous cultivez des champignons (légaux, hein les toxicos) et que vous en avez marre de noter vos infos sur des post-it qui finissent par moisir comme vos substrats ratés, ce standard pourrait bien être la truffe numérique que vous attendiez.