Linux séduit par sa légèreté, mais ses limites en gaming restent frustrantes. Windows 11 LTSC s’impose comme la seule alternative valable, offrant des performances optimales sans bloatware. Et cela ne coûte que 14 € sur le site VIP-URcdkey !
L’article Linux plus propre ? Non ! Windows 11 LTSC est le meilleur choix pour les joueurs (à seulement 14 €) est apparu en premier sur Tom’s Hardware.
Si vous avez installé Bitwarden CLI via npm entre 17h57 et 19h30 PM (heure de New York) ce 22 avril, faut faire le ménage sur votre machine de toute urgence !! En effet, le package @bitwarden/cli version 2026.4.0 a été compromis durant 93 minutes, et le malware qui s'y trouvait a fait des dégâts chez les 334 personnes qui l'ont téléchargé pendant cette fenêtre.
Mais alors c'est quoi cette histoire encore ?
Hé bien des attaquants ont réussi à piéger le pipeline GitHub Actions de Bitwarden, à y injecter un fichier bw1.js dans le package npm officiel, et à le publier sans qu'aucune alerte ne parte. Jusqu'à ce que l'équipe sécurité de Bitwarden capte le truc et retire le package une heure et demie plus tard.
Et y'a un truc qui fait tiquer dans cette histoire, c'est que le malware s'annonce fièrement comme "Shai-Hulud: The Third Coming". En fait c'est la troisième vague d'une campagne npm qu'on avait déjà croisée en septembre 2025 . Et les attaquants restent cohérents dans leur branding puisque les dépôts publics qu'ils créent chez les victimes portent des noms issu de Dune comme atreides, fremen, sardaukar ou harkonnen. Donc sachez le, si vous voyez ça apparaître sur votre GitHub, vous êtes cuit !
Le payload, lui, est propre dans son approche crasseuse,
selon l'analyse de Socket
. Il chope tout ce qui traîne sur votre machine : tokens GitHub (ghp_*), tokens npm, credentials AWS dans ~/.aws, tokens Azure, SSH keys, fichiers .npmrc, configs Claude et MCP.
Puis il chiffre le tout en AES-256-GCM avec une clé RSA éphémère, balance le paquet vers audit.checkmarx[.]cx/v1/telemetry (un domaine qui imite Checkmarx pour brouiller les pistes), puis injecte une backdoor dans vos .bashrc et .zshrc. Ah et le malware vérifie également votre localisation système et se barre en silence sans faire de dégâts si elle commence par "ru". Ohhh comme c'est bizarre ^^.
Bref, si vous êtes concerné, voici la liste des trucs à faire dans l'ordre :
Connexionnpm uninstall -g @bitwarden/cli puis npm cache clean --force~/.bashrc et ~/.zshrcFaut bien le reconnaître, Bitwarden a été hyper réactif dans cette histoire. Détection en interne, mise en quarantaine en 93 minutes, communication claire, et CVE émis dans la foulée. Et heureusement, aucune donnée utilisateur n'a fuité vu que les vaults restent chiffrés côté client de toute façon, et que seuls les développeurs qui ont installé le CLI pendant ce créneau sont touchés. Les extensions navigateur, l'app desktop, mobile, le package snap, rien de tout ça n'a bougé.
Mais ça reste quand même la preuve que npm est devenu LE cauchemar de la supply chain moderne. Après Axios le mois dernier et la campagne Shai-Hulud de septembre, on en est au point où chaque package JS avec un script d'install équivaut à une bonne vieille roulette russe. Donc si vous bossez dans un environnement CI/CD, soyez vigilant et jetez aussi un oeil à safe-npm pour mettre un peu de paranoïa automatisée dans votre workflow quotidien.
Voilà, si vous avez installé Bitwarden CLI avant-hier soir via npm, vous avez du boulot. Sinon, respirez car Bitwarden a tenu bon !
Les bannières cookies, franchement, plus personne à part quelques no-life ne les lisent. On clique tous sur "Accepter tout" par flemme et on sait tous pertinemment que nous venons de nous "auto-tracker" comme des débilos. Mais heureusement, y'a une extension Firefox qui fait le refus automatique à votre place, et qui envoie même un signal légal pour dire "non merci" aux sites qui jouent le jeu.
Cette extension s'appelle Auto Reject Cookies , elle est open source sous licence MIT,et se fait rapidement oubliée une fois installée sur Firefox (Desktop ou Android).
Ensuite, son boulot, elle le fait en arrière-plan : Quand une bannière de consentement apparaît, elle cherche le bouton "Reject All" et clique dessus toute seule. Pour les bannières en deux étapes (celles qui cachent le "tout refuser" derrière un bouton "Paramètres" bien planqué), elle va aussi chercher plus loin.
Et le truc chouette, c'est que cette extension supporte +25 plateformes de gestion du consentement (OneTrust, CookieBot, Sourcepoint, Didomi et compagnie) et reconnaît les boutons en plus de 10 langues, français inclus. Et pour parfaire le tout, une coche verte s'affiche quand un rejet a réussi, histoire que vous sachiez qu'elle a fait le job.
J'ai testé sur Le Monde, Reddit, HackerNews, GitHub et quelques gros sites US, c'est 95% de réussite direct. Sur les sites avec des CMP ultra-customs par contre (genre un vieux forum fais maison ou un dashboard d'entreprise à la con), ça rate parfois et faut cliquer à la main. Rien de grave hein, le web est tellement varié, ça peut pas taper dans le mille à tous les coups.
Et si y'a un site où vous avez besoin des cookies (votre banque, votre boulot, le site de votre prof de lancer de hâches), vous le mettez en liste blanche et c'est réglé.
Et le vrai atout de ce logiciel, c'est surtout le signal GPC (Global Privacy Control) que l'extension envoie avant chaque chargement de page. Elle injecte l'en-tête "Sec-GPC: 1" et définit le paramètre "navigator.globalPrivacyControl" dans le navigateur. En gros, ça dit aux sites : "cet utilisateur ne veut pas que ses données soient vendues". Et si le site respecte cette règle, vous êtes OK.
En France on est sur du RGPD/ePrivacy donc le signal GPC n'a pas (encore) de poids légal, mais l'extension l'envoie quand même, et vu la direction que prend la CNIL sur le tracking, ça coûte rien d'être en avance.
La différence avec Consent-O-Matic (que j'avais déjà abordé l'an dernier), c'est le scope. Consent-O-Matic supporte +200 CMPs et propose des profils de préférences personnalisés alors que Auto Reject Cookies est moins large mais ajoute le GPC systématique et reste sur un refus total par défaut.
Niveau permissions, l'extension demande l'accès aux onglets et aux données de tous les sites web (normal, vu qu'elle doit intercepter les bannières partout), mais le développeur mouth_brood indique que rien n'est collecté. Et comme c'est du MIT, le code est dispo sur GitHub si vous voulez vérifier.
Bref, à tester !
Grosse exclusivité PS5 de cette année 2026, Saros ne déçoit pas, bien au contraire. Il est la version 2.0 de Returnal, soit une expérience toujours exigeante mais bien plus aboutie et accueillante dans absolument tous les domaines. Dans le genre action, c'est une masterclass. Notre test.
Dans un mémo interne partagé publiquement, Microsoft annonce sa révolution pour la marque Xbox, fruit d'un gros travail d'autocritique, sous l'impulsion d'Asha Sharma, la nouvelle boss. Retour des exclusivités, nouvelle identité (avec un nouveau logo), engagement fort auprès des joueurs.
Claude Code pourrait être retiré de l'abonnement Pro à 20 dollars par mois : Anthropic effectue des tests. Du côté de Microsoft, ça bouge pour GitHub Copilot.
Le post Anthropic teste la suppression de Claude Code de l’abonnement Pro à 20 dollars a été publié sur IT-Connect.
Une variante Linux de la backdoor GoGra a été identifiée. Sa particularité : elle s'appuie sur l'API Microsoft Graph pour communiquer avec les pirates.
Le post GoGra : ce malware Linux est piloté avec l’API Microsoft Graph et Outlook a été publié sur IT-Connect.
Accéder à son NAS depuis l’extérieur n’a rien de compliqué… mais toutes les méthodes ne se valent pas. Certaines privilégient la simplicité, d’autres la sécurité ou les performances. Si vous possédez un NAS, vous vous êtes probablement déjà demandé quelles solutions existent et quelles sont leurs différences. Voici un rapide tour d’horizon, avec les bonnes pratiques à connaître 
Quand on possède un NAS, on devient vite exigeant en matière de sécurité. Pendant longtemps, il était strictement impossible d’accéder à mon NAS depuis l’extérieur. Et puis, les usages ont changé, les enfants ont grandi… nos besoins ne sont plus les mêmes.
La question n’est donc plus “faut-il y accéder ?” mais plutôt “comment le faire correctement ?”
Les fabricants de NAS proposent des solutions clés en main, très simples à configurer. Chacun propose son propre service de type Cloud Relay.
| Service | Accès | |
|---|---|---|
| Synology | QuickConnect | quickconnect.to/mon-id |
| QNAP | myQNAPcloud Link | qlink.to/mon-id |
| ASUSTOR | EZ-Connect | mon-id.ezconnect.to |
| UGREEN | UGREENlink | ug.link/mon-id |
| TerraMaster | TNAS.online | tnas.online/mon-id |
L’activation se fait généralement en un clic, sans configuration réseau ni redirection de port. Ces services fonctionnent via un serveur relais hébergé par le fabricant. Cela signifie que vos données transitent par une infrastructure tierce. Même si elles sont chiffrées, cela implique une dépendance à l’écosystème du fabricant… et des performances souvent en retrait.
Sa simplicité extrême pousse de nombreux utilisateurs à l’activer sans en mesurer les implications, d’autant que certains fabricants la proposent dès le premier démarrage. C’est tellement simple que personnellement, je trouve cela dangereux.
Le DDNS (Dynamic DNS) permet d’associer une adresse IP publique (celle de votre Box qui change régulièrement) à un nom de domaine fixe. Vous pouvez acheter un domaine (.fr, .com, .eu…) pour quelques euros par an chez un registrar comme OVH ou Cloudflare, ou opter pour un sous-domaine gratuit via des services tiers tels que ChangeIP, FreeDNS, ou ceux proposés directement par les fabricants de NAS. Dans ce dernier cas, vous n’aurez pas la maîtrise totale du nom de domaine.
Cette méthode nécessite une redirection de port sur votre routeur. Il est également possible d’intégrer un reverse proxy (directement sur le NAS ou sur un autre équipement) pour gérer proprement un domaine et ses sous-domaines avec HTTPS.
Héberger son propre serveur VPN est la solution offrant le meilleur rapport sécurité/contrôle. Le VPN constitue une porte d’entrée chiffrée vers votre réseau domestique. Pour accéder au NAS, vous devez d’abord vous authentifier via ce tunnel sécurisé… vous êtes connectés ensuite comme si vous étiez en local.
Le serveur VPN peut être installé sur :
Je recommande WireGuard, qui combine une sécurité élevée avec d’excellentes performances, notamment en mobilité. C’est la solution que je privilégie personnellement. La contrepartie, c’est que sa configuration est plus technique que les autres méthodes. Elle nécessite également une redirection d’un port sur votre Box.
Des solutions comme Tailscale proposent une approche simplifiée du VPN. Il suffit d’installer l’application sur le NAS et sur vos appareils, puis de se connecter avec un compte. La mise en relation entre les appareils est gérée automatiquement, sans configuration réseau.
Ces outils sont bien sécurisés (chiffrement de bout en bout), mais les données transitent via les serveurs de l’éditeur pour l’établissement de la connexion. Les performances sont souvent inférieures à un VPN auto-hébergé. L’offre gratuite est souvent suffisante pour un usage personnel…
Cloudflare Tunnel permet d’exposer son NAS via un nom de domaine, sans ouvrir le moindre port sur votre box… et en bénéficiant de la protection applicative de Cloudflare (WAF, gestion des accès, authentification à deux facteurs…).
Le fonctionnement repose sur un agent installé sur le NAS (généralement via Docker), qui établit une connexion sortante vers les serveurs Cloudflare. C’est ce tunnel qui permet l’accès depuis l’extérieur, sans exposition directe de votre réseau. La limite principale reste la même que pour toute solution cloud : vous faites confiance à un tiers pour le transit de vos données.
Dès qu’un NAS est accessible depuis Internet, il devient une cible potentielle. Des robots scannent en permanence le Web à la recherche de services exposés et des failles exploitables.
Je vous recommande d’appliquer un minimum de règles de sécurité :
Il faut respecter toutes ces règles, voire plus…
Accéder à son NAS à distance est aujourd’hui indispensable, mais cela ne doit pas se faire au détriment de la sécurité. Plus une solution est simple à activer, plus elle mérite d’être questionnée. Prenez le temps de comprendre vos besoins et privilégiez toujours une approche sécurisée, même si elle demande un peu plus d’effort à la mise en place.
| Facilité | Sécurité | Contrôle | Ouverture de port | |
|---|---|---|---|---|
| Solution constructeur |  |
|
|
Non |
| DDNS | |
|
|
Oui |
| VPN auto-hébergé | |
|
|
Oui |
| VPN hybride | |
|
|
Non |
| Cloudflare Tunnel | |
|
|
Non |
Si Tim Cook a annoncé son départ d'Apple, le patron de la marque à la pomme depuis 15 ans ne part pas vraiment, l'explication se trouve dans une petite subtilité.
L’article Pourquoi Tim Cook ne quittera pas vraiment Apple ? La réponse tient en trois lettres est apparu en premier sur Tom’s Hardware.
OpenAI déploie GPT 5.5, une mise à jour de son modèle d’intelligence artificielle conçue pour automatiser l’exécution de tâches complexes et réduire les interactions nécessaires entre l'utilisateur et la machine.
L’article OpenAI lâche GPT 5.5 et le message est clair : l’IA doit maintenant travailler, pas juste répondre est apparu en premier sur Tom’s Hardware.
Le patch 12.0.5 de World of Warcraft: Midnight relance la colère d’une partie des joueurs, qui reprochent à Blizzard un rythme de mises à jour trop rapide et une qualité en baisse
Cet article World of Warcraft : trop de mises à jour, trop de bugs ? a été publié en premier par GinjFo.
Assassin’s Creed Black Flag Resynced : Date de sortie, combat retravaillé, ray tracing et specs PC costaudes
Cet article Assassin’s Creed Black Flag Resynced : votre PC est-il à la hauteur ? a été publié en premier par GinjFo.
Dans son document S-1 déposé à la SEC en vue de son entrée en Bourse, SpaceX liste la fabrication de ses propres GPU parmi ses dépenses en capital en cours. Reuters a repéré l'extrait, qui fait partie des postes identifiés comme substantiels par l'entreprise, même si aucun chiffre précis n'est donné dans le document public.
Le projet passe par Terafab, le complexe de fabrication de puces IA que xAI, Tesla et SpaceX développent ensemble à Austin, au Texas. Jusqu'ici, Musk avait surtout évoqué des puces destinées aux voitures, aux robots humanoïdes et aux data centers spatiaux.
Le S-1 ajoute donc une pièce importante : des GPU, probablement pour alimenter l'ambition IA du groupe sans dépendre uniquement de Nvidia.
SpaceX prévient aussi ses futurs investisseurs qu'il pourrait manquer de puces pour soutenir sa croissance. L'entreprise ne dispose pas de contrats long terme avec plusieurs de ses fournisseurs directs, ce qui est la façon polie d'expliquer que la chaîne d'approvisionnement n'est pas vraiment sécurisée au-delà de quelques trimestres. L'IPO visée autour de 1 750 milliards de dollars se construit justement sur ce genre de promesses d'indépendance technologique, vous voyez donc où se situe le problème. Fabriquer en interne devient une sécurité contre la rupture et surtout contre l'explosion des prix du silicium dédié à l'IA.
Musk qui fabrique ses propres GPU, ça boucle aussi plusieurs morceaux de son empire. Tesla avait déjà la puce Dojo pour l'entraînement de ses modèles de conduite, xAI a besoin de capacités énormes pour faire tourner Grok, et SpaceX pousse carrément sur les data centers en orbite. Un fournisseur unique mutualisé entre les trois, ça permettrait l'air de rien d'écraser les coûts et de mettre Nvidia à une distance polie.
De son côté, Intel a mis des années à sortir sa gamme IA, et Google a pris son temps avec les TPU, et même Apple n'attaque pas Nvidia de front. Du coup, l'annonce dans le S-1 ressemble plus à une communication dédiée investisseurs qu'à projet clair et bien cadré.
Quoi qu'il en soit, Musk continue de construire sa verticalité complète, du lanceur à la puce. À ce rythme, il finira par acheter du sable et une centrale électrique dédiée.
Source : Reuters via Yahoo
