Alors dans le titre j'ai écrit chat, mais c'est une chatte, juste je voulais pas vous faire rigoler dès le début, je vous connais. Ma chatte donc… Je la sors depuis plusieurs mois et je la laisse se balader à sa guise dans la résidence, mais l'idée qu'elle puisse traverser jusqu'à la rue où passent les voitures m'a fait craquer pour un collier GPS.

J'ai pris le Weenect Chat XS à 45 euros sur Amazon , plus l'abonnement mensuel (à partir de 4,16 euros par mois), et je l'utilise depuis plusieurs semaines. Verdict après cette période : convaincu, et content de voir qu'elle ne va pas si loin que ça en réalité.

Screenshot

L'intérêt du XS, c'est sa taille. 27 grammes pour 6 cm de long, ce qui est le plus petit traceur GPS du marché pour chat. Sur les photos ça a l'air gros, mais en vrai, sur le cou de ma chatte, ça passe sans qu'elle ne tire sur le collier ou qu'elle essaie de l'enlever, et c'est vraiment léger, ça ne la gène pas du tout.

La coque en silicone se clipse sur le collier élastique anti-étranglement fourni dans la boîte, ou directement sur n'importe quel collier ou harnais existant. La construction est en plastique, mais c'est propre, étanche aux éclaboussures, et l'autonomie annoncée va de 3 à 7 jours selon la configuration que vous mettez en place. Pour le charger, c'est vraiment tout simple avec un chargeur magnétique.

Le suivi se fait via une appli iOS (ou Android), avec un mode Superlive qui rafraîchit la position toutes les secondes quand vous activez la recherche en direct. En mode normal, l'envoi de position est moins fréquent pour économiser la batterie.

Le traceur embarque une carte SIM multi-réseaux (Orange, SFR, Bouygues en France, plus Swisscom et Proximus à l'étranger), compatible 5G, 4G LTE-M et NB-IoT pour les zones moins couvertes, et 2G en secours. Plus de 100 pays sont supportés. L'appli propose aussi une lampe torche à distance pour repérer la bête dans le noir, et une sonnerie qu'on peut faire jouer pour l'éducation au rappel (vous la déclenchez avant chaque repas, le chat finit par associer le son à la gamelle).

Un jour, l'appli a indiqué qu'elle ne bougeait plus depuis plusieurs heures, dans une zone de chantier près de la résidence. Je suis descendu avec un escabeau, j'ai suivi le point sur la carte, et je l'ai retrouvée bloquée derrière une palissade qu'elle avait franchie sans pouvoir revenir.

Sans le collier, je serais probablement passé à côté pendant des heures à crier son nom dans toute la résidence. Investissement déjà rentabilisé donc. Et l'analyse des balades fournie par l'appli est plutôt amusante au quotidien : on découvre que ces bestioles ont des trajets bien à elles, parfois sur une zone très restreinte.

Côté pratique, je recharge le traceur tous les deux jours environ. Je pourrais le charger moins, mais je préfère être large au cas où. Le vrai bémol, c'est bien sûr l'abonnement obligatoire, mais vous imaginez bien qu'avec un service cellulaire, c'est obligatoire. Si vous prenez l'abonnement annuel, sur trois ans, vous arrivez autour de 200 euros tout compris.

Voilà, je voulais vous en parler, au cas où ce genre de truc vous stresse aussi. Le Weenect XS est petit, fiable et utile pour les chats qui sortent ! Disponible par ici sur Amazon .

Pour qui n'utilise pas encore de VPN (on sait jamais, il y a aussi des néophytes qui nous lisent parfois !), c'est un service qui fait passer votre trafic Internet par un serveur intermédiaire situé dans un autre pays. Résultat, les sites web croient que vous vous connectez depuis là-bas, ce qui sert à débloquer du contenu géo-bloqué (Netflix, presse étrangère) ou à masquer votre vraie adresse IP face aux sites que vous visitez.

Firefox embarque depuis quelques semaines un VPN gratuit intégré directement dans le navigateur, et la version 151 prévue pour le 19 mai va enfin permettre de choisir le pays de sortie, ce qui était la grande absence depuis le lancement.

Cinq destinations seront disponibles au lancement : les États-Unis, le Royaume-Uni, la France, le Canada et l'Allemagne. Mozilla n'a pas confirmé si la liste s'allongerait par la suite, ni quelles plateformes seraient supportées en priorité. Côté Android, l'arrivée de la fonction est confirmée, ce qui était une demande récurrente des utilisateurs mobiles qui voulaient pouvoir aussi choisir manuellement leur point d'entrée.

Le VPN intégré de Firefox n'est pas la même chose que Mozilla VPN, le service payant que la fondation propose depuis 2020. La version intégrée gratuite ne chiffre que le trafic du navigateur, pas celui des autres applis du PC ou du téléphone.

Si vous utilisez Mail, WhatsApp ou un client torrent à côté, ces apps continuent de passer en clair par votre connexion habituelle. Pour avoir une couverture totale de l'appareil, il faut basculer sur l'offre Mozilla VPN payante, qui chiffre tout au niveau système et propose une cinquantaine de pays.

La version gratuite est plafonnée à 50 Go de trafic par mois. C'est largement suffisant pour de la navigation classique, mais ça part vite si vous regardez du streaming HD régulier en VPN. Il faut aussi créer un compte Mozilla pour activer le service, ce qui n'est pas anodin pour une fonction qu'on imaginerait livrée sans inscription.

Mozilla justifie ce choix par la nécessité de gérer le quota côté serveur, mais ça reste un frein pour les utilisateurs allergiques aux comptes.

Stratégiquement, Mozilla joue clairement sur le filon des VPN grand public. Le marché est dominé par ExpressVPN, NordVPN, Surfshark.

Proposer une version gratuite et limitée mais correcte, intégrée directement au navigateur, c'est un moyen de récupérer des utilisateurs sans demander de carte bancaire. Et pour les gens qui veulent juste contourner un blocage géographique de temps en temps, sans s'engager sur un abonnement, ça pourrait largement faire le boulot.

Source : GHacks

Coup dur pour DNS4EU. Le résolveur DNS public co-financé par la Commission européenne, présenté il y a moins d'un an comme l'alternative souveraine à Google et Cloudflare, doit désormais bloquer une trentaine de domaines de streaming pirate, sur ordre du tribunal judiciaire de Paris.

La décision date du 17 avril, après deux ordonnances réclamées par Canal+ et restées sans réponse côté défense.

Concrètement, l'ordonnance vise 37 domaines au total, répartis entre 16 sites qui diffusaient illégalement le MotoGP et 21 autres qui faisaient pareil avec la Formule 1. On y retrouve des grands classiques de l'IPTV pirate comme daddylive3.com, iptvsupra.com ou king365tv.me.

Whalebone, la société tchèque qui opère DNS4EU pour le compte de l'Union européenne, doit donc rentrer ces noms de domaine dans son moteur de blocage et empêcher leur résolution depuis la France.

Sauf que la mesure déborde déjà du territoire français. Le blocage est appliqué même pour des utilisateurs basés hors de France, ce qui pose une vraie question de juridiction et de portée extraterritoriale d'une décision parisienne sur un service censé desservir 450 millions d'Européens. 

Bref, le DNS public européen finit par être plus restrictif que prévu, et pas vraiment dans le sens où Bruxelles l'avait vendu.

L'autre détail gênant : Whalebone n'a même pas comparu à l'audience du 19 février. Le tribunal a donc statué par défaut, en faveur de Canal+, sans le moindre argument contradictoire. Difficile de mieux perdre un procès.

La société tchèque, qui s'est vendue auprès de Bruxelles comme un acteur clé de la souveraineté numérique européenne, va devoir s'expliquer sur cette absence.

En pratique, ce genre de blocage DNS reste contournable en quelques minutes par n'importe quel utilisateur un peu débrouillard, qui n'a qu'à changer son résolveur dans les paramètres système pour pointer ailleurs. Mais la portée symbolique est assez moche, parce qu'elle inscrit DNS4EU dans la même logique de contrôle que les services qu'il prétendait justement remplacer.

Et ce n'est pas la première fois que la justice française élargit le périmètre. Depuis 2024, les ordonnances de blocage anti-piratage ont visé successivement les FAI, puis les résolveurs DNS de Google, Cloudflare et Cisco, puis les VPN comme NordVPN ou ExpressVPN, et désormais le DNS souverain européen lui-même.

Canal+ s'appuie à chaque fois sur l'article L.333-10 du Code du sport, qui permet de viser "toute personne susceptible de contribuer" à remédier au piratage.

Bref, un DNS public financé par l'UE pour protéger les Européens, qui finit forcé de filtrer hors de ses frontières par un tribunal national. C'est un peu n'importe quoi.

Source : TorrentFreak

Xiaomi a publié hier MiMo-V2.5 et MiMo-V2.5-Pro, deux modèles d'IA qu'il met directement en open source sous licence MIT. Le plus gros, le Pro, fait 1 020 milliards de paramètres dont 42 milliards activés en simultané, avec une fenêtre de contexte d'un million de tokens.

À noter que tout est téléchargeable sur Hugging Face avec poids, tokenizer et fiche modèle complète.

L'architecture est un Mixture-of-Experts à attention hybride, conçue pour tenir des tâches longues avec plus de mille appels d'outils enchaînés. Sur les benchmarks que Xiaomi met en avant, le Pro tient la dragée haute à Claude Sonnet 4.6 sur les tâches multimodales agentiques et à Gemini 3 Pro sur la compréhension vidéo.

La version V2.5 standard est plus légère, pensée pour des usages où le coût d'inférence prime sur la précision.

Le choix MIT est un point important. Avec cette licence, les entreprises peuvent déployer le modèle commercialement sans rien demander à Xiaomi, fine-tuner sur leurs données propriétaires, et republier les poids dérivés.

Pas de plafond de chiffre d'affaires, pas de plafond d'utilisateurs, pas de clauses copyleft. C'est ce qu'on voit habituellement chez Apache 2.0 ou MIT, mais qu'on ne voit jamais sur les modèles fermés ou semi-fermés des solutions occidentales.

Le moment est intéressant. Anthropic et OpenAI sont en train de serrer les vis sur leurs offres grand public et leurs marges, comme on l'a vu avec le test de retrait de Claude Code sur les offres Pro. Xiaomi débarque exactement dans cette fenêtre avec un modèle qui se compare aux meilleurs propriétaires, et le donne pour rien. Pour des startups qui veulent construire un produit IA sans dépendre d'OpenAI ni d'Anthropic, c'est une option de plus.

Mais attention, tout n'est pas rose pour autant. Faire tourner un modèle d'un téra de paramètres demande une infrastructure costaude, même avec MoE et seulement 42 milliards d'actifs. AMD a publié un support Day 0 pour les Instinct, ce qui suggère que Xiaomi vise vraiment les déploiements internes en datacenter. Notons aussi que les benchmarks chinois ont parfois la fâcheuse tendance à briller sur les tests et à décevoir lors de vraies applications.

Une fois encore, Xiaomi rappelle que la Chine peut sortir des modèles ouverts très compétitifs. Pour les équipes lasses des conditions des labs américains, ça se considère, même si ça pose bien d'autres questions.

Source : Venturebeat

Une IA qui pense que 2026 ressemble à un monde fait de bateaux à vapeur et de vastes réseaux ferroviaires, et qui considère qu'une seconde guerre mondiale est très peu probable... voilà Talkie-1930, le nouveau modèle de langage à 13 milliards de paramètres lancé par Nick Levine, David Duvenaud et Alec Radford (l'un des architectes de GPT-2 chez OpenAI).

LE truc avec ce modèle d'un nouveau genre, c'est qu'il n'a JAMAIS lu un mot écrit après le 31 décembre 1930. Pas de Wikipedia, pas de Reddit, pas de GitHub....et j'en passe.

Si ça vous branche, vous pouvez tester la démo direct sur talkie-lm.com/chat , et les poids sont dispos sur HuggingFace sous licence Apache 2.0 !

Alors pourquoi 1930 et pas 1950 ou 1900 ?

Hé bien tout simplement parce que c'est la date précise à laquelle les œuvres tombent dans le domaine public aux États-Unis. L'équipe a donc pu aspirer 260 milliards de tokens de livres, journaux, périodiques, revues scientifiques, brevets et jurisprudence antérieurs à cette date sans risquer la moindre poursuite légale.

Et c'est là que ça devient amusant parce que quand on demande à Talkie-1930 de décrire le futur, il imagine comme je vous le disais en intro, un monde dominé par les bateaux à vapeur et les trains et c'est logique car c'était l'horizon technologique de son corpus à l'époque. Le modèle considère aussi qu'une seconde guerre mondiale est improbable (il ne connaît évidemment que la Première) et du coup, ça donne un terrain d'expérimentation fascinant pour étudier le raisonnement temporel et la généralisation hors distribution moderne.

L'équipe a publié trois checkpoints : talkie-1930-13b-base (modèle brut), talkie-1930-13b-it (pour le chat) et talkie-web-13b-base (un jumeau d'architecture identique mais entraîné sur FineWeb à titre de comparaison). Cette approche "modèle jumeau" permet par exemple de mesurer précisément ce qui vient de l'architecture vs ce qui vient des données.

Pour la phase de post-training, l'équipe a utilisé Claude Sonnet 4.6 comme juge dans une procédure DPO (Direct Preference Optimization). Ils ont également généré des conversations synthétiques entre Claude Opus 4.6 et Talkie pour le fine-tuning supervisé. Bref, c'est un modèle ultra-vintage entraîné à l'aide de modèles ultra-modernes.

L'équipe travaille déjà sur un système OCR custom pour les documents historiques (les OCR conventionnels n'atteignent que 30% de l'efficacité d'apprentissage face à du texte transcrit manuellement) et vise un modèle de niveau GPT-3 pour l'été 2026, avec un corpus pouvant atteindre plus d'un trillion de tokens.

Bref, Talkie-1930 c'est un projet de recherche assez chouette pour tous ceux qui aiment creuser les LLMs. Le code est sur GitHub sous Apache 2.0, et la démo en ligne marche très bien si vous voulez juste tester sans installer.

Amusez-vous bien !

Source

"GitHub n'est plus un endroit pour faire du travail sérieux."

C'est signé Mitchell Hashimoto, le créateur de HashiCorp, de Vagrant ou plus récemment de Ghostty, et l'utilisateur numéro 1299 de la plateforme depuis février 2008.

Et quand un mec qui a passé 18 ans à pousser du code presque tous les jours sur Github annonce qu'il se casse, bah ça vaut clairement le coup de comprendre pourquoi.

L'annonce est tombée hier : Ghostty , le terminal en Zig pour macOS et Linux va quitter la plateforme. Pas tout de suite, pas brutalement, mais la décision est prise. Hashimoto précise qu'il discute "avec plusieurs fournisseurs (commerciaux comme FOSS)" pour choisir la nouvelle maison pour son code, et qu'un miroir en lecture seule restera accessible sur l'URL GitHub actuelle pour ne pas casser les liens des PRs et des issues. La migration sera, je cite, "aussi incrémentale que possible" pour les contributeurs.

Mais alors, qu'est-ce qui a déclenché cette situation ? Hé bien la semaine du 20 avril a été vraiment catastrophique ! Tout d'abord, le 22 avril, l'agent Copilot et le traitement des commentaires de PR sont tombés une demi-journée à cause d'une erreur de sérialisation. Le 23 avril, c'était encore pire puisqu'un bug dans la merge queue a produit des merges incorrects pour les PRs fusionnées en mode squash quand le groupe contenait plus d'une PR.

Cette situation a même été carrément reconnue officiellement par GitHub, puisque 2092 pull requests ont été affectées ... du coup des changements précédemment mergés se sont retrouvés involontairement annulés par les merges suivants. Ensuite, le 27 avril, rebelote sur les Github Actions.

Bref, comme le dit Hashimoto dans The Register : "je ne peux plus coder avec GitHub".

Hashimoto fait état d'un attachement quasi sentimental avec la plateforme. Il a lancé Vagrant en partie pour impressionner GitHub, en espérant secrètement décrocher une embauche un jour. Embauche qui n'est jamais venue, mais l'attachement est resté. "J'aime GitHub plus qu'on devrait aimer une chose", écrit-il, "et je suis en colère contre lui".

C'est pas de la posture donc puisqu'il a vécu depuis 2008 toute l'histoire de la plateforme en passant par le rachat par Microsoft en 2018 jusqu'à l'âge Copilot. Et c'est ce qui rend sa décision vachement intéressante car c'est pas un libriste hardcore qui crachait déjà sur GitHub avant le rachat. Non, c'est un vrai fidèle de la première heure !

Mitchell Hashimoto ( Source )

Alors ses raisons sont-elles valables ?

Pour vous la faire courte, c'est OUI ! Mais ma réponse longue mérite un peu de nuance quand même, parce que c'est jamais aussi simple.

Côté faits, son constat est vraiment étayé. GitHub a publiquement reconnu sur son blog officiel que ses récentes pannes sont dues à "une croissance rapide, un couplage architectural et des limitations de gestion de charge". Pas de complot donc mais un aveu honnête.

Quand votre infra ne tient plus la charge et que vos services principaux tombent quasi quotidiennement, vendre du cloud computing devient trèèèès compliqué. Alors pour un projet open source qui dépend des Actions pour ses tests automatiques, des PRs pour les contributions extérieures, ou des Issues pour son support... 2 heures de blocage par jour, c'est franchement énorme et ça casse bien les couilles.

C'est l'équivalent d'un quart de la journée de travail balayé et sur un trimestre, ça commence à coûter super cher en énergie mentale...

Maintenant, Hashimoto souhaite quand même conserver ses projets personnels sur GitHub. Seul Ghostty migre, donc ce n'est pas non plus un boycott idéologique de Microsoft, ni une croisade contre la centralisation. C'est surtout une décision pragmatique pour un projet collectif qui doit fonctionner H24.

Un dépôt perso peut se permettre une heure de downtime sans drama. Je le précise pour éviter de transformer le sujet en guerre culturelle prêt à penser. C'est plus un divorce avec négociation qu'une révolution sanguinaire.

Après y'a des alternatives... De leur côté, Codeberg et Forgejo tournent super bien sans oublier GitLab pour ceux qui préfèrent du commercial all-in-one, ou tout simplement Gitea ou Forgejo en version auto-hébergée pour ceux qui veulent vraiment garder la main.

L'auto-hébergement n'a jamais été aussi accessible . Un VPS Linux à 5 balles par mois, un Forgejo en Docker compose, un fournisseur de CI externe ou des runners locaux... et vous avez une forge équivalente à un GitHub des années 2015. Le hic, c'est surtout l'effet réseau car un mainteneur peut migrer son repo, mais comment ramener ses contributeurs qui ont toutes leurs notifs, leurs follows, leur réputation accumulée sur GitHub ?

C'est pas si simple...

Car c'est là que ça coince vraiment. En fait, le verrou n'est pas technique, il est social, et c'est pas demain matin qu'on le fera sauter. Ghostty peut se permettre de quitter GitHub précisément parce que le projet a atteint la masse critique où les contributeurs viennent même quand on déménage mais la plupart des projets open source n'ont pas ce luxe.

Pour eux, partir de GitHub c'est risquer de perdre 90 pourcent de leur visibilité du jour au lendemain. Et sans visibilité, pas de contributeurs et pas de PRs... du coup le projet se plante avant même de démarrer. C'est dommage !

Notez quand même que Forgejo travaille d'ailleurs activement sur la fédération via ActivityPub , et à terme, ça pourrait permettre une vraie décentralisation des forges sur le modèle de Mastodon. Mais à condition que l'écosystème suive...

Maintenant, pour les mainteneurs qui se reconnaissent dans la frustration de Hashimoto, le moment est plutôt favorable, je trouve, pour aller tester Codeberg sur un projet secondaire avant de peut-être déménager votre projet principal.

Tout ça est faisable en un week-end ou deux. Certes, il y a un petit coût à cette migration, mais disons que c'est un investissement pour la sérénité de demain.

Bref, un gros big up à Hashimoto pour son courage !

Source

Si vous avez décidé de passer au dumbphone notamment après avoir lu mon merveilleux article sur le débat dumbphone vs smartphone qui agite le monde en ce moment, vous êtes tombé peut-être démuni sur le choix de votre futur doudou tech.

Heureusement, Jose Briones , le type qui modère r/dumbphones et qui anime la chaîne YouTube de référence sur le sujet, maintient depuis un petit moment un site baptisé Dumbphone Finder qui recense 89 modèles avec une trentaine de critères filtrables.

**Mais avant tout ça, pourquoi en acheter un neuf et ne pas recycler un vieux dumbphone de votre jeunesse ? **

Hé bien avec la fermeture de la 2G qui a commencé chez Orange le 31 mars dernier (et chez Free aussi par effet domino, vu que Free roame sur Orange et n'a jamais eu sa 2G en propre), une bonne partie des vieux Nokia trouvés sur Le Bon Coin ne passe déjà plus d'appels dans les zones où la 2G a été coupée, et le périmètre s'élargit chaque mois.

Et les François le Français qui voulaient donc un truc simple se retrouvent donc coincés entre des modèles incompatibles, des flip phones US qui ne fonctionnent pas chez nous, et des "smart feature phones" qui sont en fait des smartphones déguisés.

Je vous propose donc de vous aider à choisir le dumbphone qui vous conviendra le mieux !

Le critère qui ne se discute pas en France : 4G + VoLTE

C'est la première chose à vérifier, et ça élimine direct la moitié du catalogue. Avec l'extinction progressive de la 2G, les appels en voix passent désormais par le protocole VoLTE (Voice over LTE) sur le réseau 4G. Un téléphone simplement "4G" sans VoLTE ne pourra donc plus passer d'appels dans les zones où la 2G a été coupée et où la 3G ne sert plus que de repli temporaire... ce qui est plutôt chiant pour un téléphone, vous en conviendrez.

Et la 3G partira aussi au paradis en 2028 / 2029 selon l'opérateur (Free n'a même pas encore annoncé sa date), donc inutile de viser un modèle 3G en pensant gagner du temps... vous gagnerez surtout deux à trois ans d'usage avant de l'amener à la déchetterie.

Côté bandes 4G, en France les opérateurs utilisent principalement le B1 (2100 MHz), B3 (1800 MHz), B7 (2600 MHz), B20 (800 MHz) et B28 (700 MHz). Le B20 et le B28 sont les bandes sub-1GHz qui couvrent les zones rurales, et le B28 est surtout utilisé par Free et Bouygues.

Donc si une bande sub-1GHz manque sur votre dumbphone, vous aurez une couverture dégradée à la campagne, surtout chez ces deux opérateurs. Les modèles européens (comme le Punkt MP02, Mudita Kompakt, Light Phone 3) couvrent les principales bandes mais attention, le Punkt MP02 et la Mudita Kompakt n'embarquent pas le B28. C'est OK en zone urbaine ou si vous êtes chez Orange/SFR, mais à savoir si vous comptez l'utiliser en pleine cambrousse chez Free.

Le Punkt MP02, dessiné par Jasper Morrison. Un dumbphone qui assume son minimalisme.

Les flips américains type Kyocera DuraXV, TCL Flip Pro et les Sonim XP3 vendus aux US sont également à fuir car leurs bandes 4G sont calibrées AT&T/Verizon, donc pas du tout faits pour l'Europe. Sonim sort quand même une version "ROW" (Rest of World) compatible Europe pour son XP3plus, donc si vous tenez vraiment à du téléphone robuste, vérifiez bien que vous prenez cette variante et pas la version US.

Définir votre profil d'usage avant de filtrer

Alors avant de cocher des cases au pif sur le site, posez-vous ces 3 questions.

Première question : Est-ce que vous voulez juste appeler et envoyer des SMS, ou vous avez besoin de cartes, podcasts, WhatsApp ?

Car le site Dumbphone Finder distingue 4 catégories : Dumbphone (lifestyle change radical, zéro app), Smart Feature Phone (quelques apps essentielles), Feature Phone (un peu d'apps, KaiOS souvent), et Smartphone (auquel cas vous n'êtes pas au bon endroit, retournez sur Frandroid).

Deuxième question : Quelle est votre tolérance à la frustration ?

Un Nokia 3210 4G à environ 65 euros sur Amazon vous redonnera la nostalgie du T9, mais vous allez galérer pour taper un long SMS. Une Mudita Kompakt à 439 euros sur le store officiel a un écran e-ink et une UI léchée, mais vous payez le luxe du minimalisme premium. Quant au Sunbeam F1 Pro, oubliez tout de suite : Sunbeam confirme noir sur blanc sur sa page produit que les bandes 4G sont calibrées pour les Amériques uniquement, donc même en se le faisant expédier d'outre-Atlantique, il ne tiendra pas un appel chez nous.

Donc pour moi, la vraie zone de confort pour les ex-utilisateurs de smartphone qui ne veulent plus vivre comme en 1998, c'est le combo Mudita Kompakt ou Punkt MP02, avec quelques apps essentielles intégrées sans dérapage sur un navigateur web.

La Mudita Kompakt et son écran e-ink. Pas de scroll infini, pas d'algo, juste l'essentiel.

Troisième question maintenant : la sécurité et la durée de support.

Jose Briones a sur son site une grille de notation à trois axes que je trouve plutôt bien foutue : une note globale, une note sécurité (qui mesure la confidentialité et le suivi des MAJ), et une note simplicité.

Parmi les mieux notés sur les trois axes pour la France, vous tomberez encore une fois sur le Punkt MP02 (environ 320 euros) et la Mudita Kompakt , le successeur de la Mudita Pure que je vous déconseille même si elle a 5/5/5 sur le finder, parce que côté MAJ et VoLTE elle est en train d'être abandonnée par le constructeur.

Bref, pour le top sans réfléchir, partez sur du Punkt ou du Kompakt.

Trois shortlists selon votre budget

Pour les serrés du budget (sous 100 euros), regardez les Nokia 3210 4G (~65 euros sur Amazon) ou Nokia 8210 4G (~50 euros, encore plus rétro), ou le Nokia 225 4G en version 2024 (~70 euros). Tous en versions globales/européennes, donc compatibles LTE (vérifiez juste que la VoLTE est activée chez votre opérateur, c'est généralement le cas chez les MVNO français mais à confirmer), et avec un design qui vous rappellera l'âge d'or de Nokia.

Évitez par contre le Nokia 2780 qui est une variante US uniquement, car ses bandes ne couvriront pas la France.

Le Nokia 3210 4G version 2024 (HMD Global). Encore plus jaune que dans vos souvenirs.

Le 8210 4G tourne sur S30+ (donc pas de KaiOS, pas d'apps modernes), mais l'autonomie est insolente sur ce genre d'OS minimaliste.

Et pour le milieu de gamme (entre 250 et 400 euros), vous avez le Light Phone 2 d'occase (autour de 280 euros, à chasser sur Swappa ou Le Bon Coin) et encore une fois le Punkt MP02 .

Le Light Phone 2 est franchement joli mais commence à dater (le 3 est sorti en mars 2025 et coûte plus cher) et le Punkt MP02 a, du coup, l'avantage d'être conçu en Suisse pour le marché européen et de couvrir les principales bandes françaises (B1, B3, B7, B20), même s'il manque le B28 mentionné plus haut.

Pour le haut de gamme (au-dessus de 400 euros), c'est Light Phone 3 (Environ 740 euros), le Mudita Kompakt , le Sleke Phone (entre 410 et 490 euros selon le batch Pixel utilisé). Vous payez surtout pour l'écosystème complet, le SAV, les MAJ régulières et un design qui ne ressemble pas à un téléphone d'urgence pour personne âgée.

Les pièges à éviter

Premier piège : les modèles "kosher" (type Xiaomi Qin F30 Kosher) qui sont taillés pour certaines communautés religieuses et qui bloquent les apps mais avec des restrictions parfois trop sévères pour un usage normal en France (genre vidéos limitées à 2 minutes, pas de hotspot, pas d'app store). Donc si vous n'êtes pas dans la cible, ça peut vite vous frustrer.

Deuxième piège : les Sonim et Kyocera rugged en version US qui sont positionnés "outdoor pro" mais qui ont des bandes 4G US-only. Sur le Dumbphone Finder, ils ont 5 étoiles côté solidité mais ils ne marcheront pas chez vous. Vérifiez donc toujours la variante avant d'acheter.

Troisième piège : penser que le filtre "Sold Unlocked" suffit. En effet, un téléphone unlocked acheté aux US peut quand même être incompatible bandes France. Donc pensez à toujours croiser avec les specs officielles du fabricant ou un revendeur français.

Quatrième piège : croire que passer au dumbphone résoudra tous vos problèmes d'attention mes petits TDAH en mousse ! Si c'est ça votre objectif, regardez d'abord cette app pour transformer votre iPhone en téléphone minimaliste . Ça coûte rien, c'est réversible, et ça permet de voir si vous êtes vraiment prêt à lâcher l'écosystème Apple ou Android avant de sortir 400 balles pour un Light Phone qui prendrait la poussière au bout de trois semaines.

Bref, ce Dumbphone Finder c'est un super outil pour y voir plus clair dans cette jungle du dumbphone mais utilisez le correctement en activant le filtre VoLTE + bandes EU !

D'avance une bonne déconnexion à tous !

DOOM a déjà été porté sur des thermostats, des tests de grossesse, et même un piano ! Manquait donc plus que les chatbots IA !

Et voilà que c'est fait puisque Chris Nager vient de faire tourner DOOM dans ChatGPT et Claude, jouable directement dans la fenêtre du chat.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/doom-chatgpt-claude-mcp/doom-chatgpt-claude-mcp-1.qt">lien vers la vidéo</a>.

PS5-Linux est là !!

Andy Nguyen, le security engineer alias theflow0, vient de publier le hack qui transforme une PS5 Phat (les modèles originaux, pas les Slim ni les Pro) en PC 100% Linux. Et le truc cool c'est que ça marche désormais sur les firmwares 3.xx et 4.xx, et pas seulement sur les premières consoles oubliées dans leur boîte !

Pour rappel, en mars dernier, Andy Nguyen avait fait tourner GTA 5 Enhanced en ray tracing sur sa PS5 , mais l'exploit était limité aux firmwares 1.xx et 2.xx, donc autant dire à des consoles qui n'avaient jamais vu Internet. Mais depuis hier, le projet est officiellement sorti sur GitHub avec un guide d'installation complet, et il a élargi son périmètre.

Concrètement, le hack utilise une vulnérabilité patchée de l'hyperviseur PS5 (corrigée dans les firmwares récents, d'où la liste fermée) pour débloquer le hardware. Une fois en place, la PS5 expose son CPU 8 cores (16 threads) à 3.5 GHz max et son GPU à 2.23 GHz max (les fréquences de boost de la console, en pratique ça tape souvent un peu plus bas pour éviter la surchauffe), ce qui suffit largement pour faire tourner Steam et des émulateurs sans que ça rame.

Et surtout, la sortie HDMI 4K à 60 Hz fonctionne, l'audio aussi, et tous les ports USB de la console sont opérationnels !

Côté firmwares supportés, c'est précis, attention ! Les versions 3.00, 3.10, 3.20 et 3.21 fonctionnent, mais sans support M.2. Les versions 4.00, 4.02, 4.03, 4.50 et 4.51, elles, supportent en plus le SSD M.2 dédié à Linux.

Du coup, plus la console est récente dans cette plage, plus on a de flexibilité. Pour les firmwares 5.xx, ça pourrait ensuite arriver plus tard, mais Linux tournera dans un environnement virtualisé restreint à côté de GameOS, donc avec des perfs et des fonctionnalités un peu dégradées.

Maintenant, pour vérifier votre firmware avant de tenter le coup, c'est dans Paramètres > Système > Informations console.

Pour l'install, il vous faudra une clé USB de 64 Go minimum (un SSD externe est recommandé), un clavier/souris USB, un adaptateur Ethernet ou Wi-Fi USB, et en option un dongle Bluetooth si vous voulez utiliser la DualSense. Le Bluetooth interne de la PS5 n'est pas encore supporté par contre.

Les ports recommandés pour booter sont l'USB Type-C en bas à l'avant ou les Type-A à l'arrière.

Pour réussir ce tour de passe-passe, l'exploit passe par umtx2 , qui simule un faux DNS sur l'URL manuals.playstation.net pour envoyer le payload via socat. Du pur travail de hacker, mais le README est plutôt bien fichu et vous tiendra la main tout au long de l'install.

Évidemment, c'est encore expérimental.... Pas de dual-boot, donc il faut relancer l'exploit à chaque démarrage en mode Linux, le mode standby ne fonctionne pas, le screen saver est buggé, et certains écrans ont du mal avec la sortie HDMI. C'est donc pas pour du grand public et il vaut mieux être à l'aise avec la ligne de commande pour s'y mettre.

Reste que voir Andy Nguyen continuer son bon boulot sur la sécurité de la PlayStation, c'est toujours cool. Le mec est derrière plusieurs jailbreaks PS4 et début PS5, et combiné avec la fuite des clés BootROM PS5 fin 2025 , l'écosystème commence enfin à respirer un air plus "libre".

Donc si vous avez une PS5 Phat sortie entre 2020 et début 2022 qui traîne avec un firmware d'époque, c'est peut-être le moment de la ressortir du placard.

Source : Notebookcheck

Pour qui n'a jamais fouillé là-dedans, Denuvo est le système anti-piratage le plus utilisé sur les jeux PC depuis 2014. Édité par une boîte autrichienne, il s'ajoute aux jeux pour les empêcher de tourner sans autorisation, et il a longtemps été considéré comme imperforable.

Mauvaise nouvelle pour ses clients : le 27 avril, le fil Reddit qui suivait l'état des jeux Denuvo encore non cassés est tombé à zéro. Tous les jeux solo protégés par Denuvo ont désormais une version pirate qui marche, dont les blockbusters récents comme Resident Evil: Requiem.

Deux équipes ont fait le boulot avec deux approches différentes. Un collectif appelé MKDev, associé à un développeur sous le pseudo DenuvOwO, a publié fin 2025 un programme qui s'installe au plus bas niveau de Windows et fait croire à Denuvo qu'il dialogue normalement avec un système autorisé.

Pas besoin de modifier le jeu lui-même, le programme se positionne entre Denuvo et le système. En parallèle, un cracker connu sous le nom de voices38 a fait un travail plus radical en retirant carrément Denuvo de plusieurs jeux récents, dont le dernier Resident Evil. Ces versions ont été relayées par FitGirl, figure historique de la scène pirate.

Denuvo et 2K Games, l'éditeur de NBA 2K et de Marvel's Midnight Suns, n'ont pas attendu pour répliquer. Plusieurs jeux récents ont reçu une mise à jour qui ajoute une vérification en ligne tous les 14 jours. 

Concrètement, votre jeu reçoit une sorte de ticket numérique qui expire au bout de deux semaines. Quand le ticket arrive à expiration, le jeu refuse de se lancer tant que votre PC n'a pas reconnecté les serveurs Denuvo pour en obtenir un nouveau. C'est le retour des vérifications en ligne forcées sur des jeux solo, modèle qu'on croyait remisé au placard depuis le naufrage de SimCity en 2013, où le jeu refusait de se lancer sans connexion permanente alors qu'il se jouait pourtant en solo.

Pour éviter une vérification en ligne, il faut soit fabriquer de faux tickets signés (impossible sans la clé secrète des serveurs Denuvo), soit retirer entièrement le système de vérification du jeu, ce qui demande beaucoup plus de travail que la technique précédente. Les crackers vont devoir se remettre à l'ouvrage.

Sauf que voilà, la mesure punit en premier ceux qui ont payé leur jeu. Si vous êtes en déplacement professionnel sans Wi-Fi, en train, sur un bateau, dans un coin où la 4G ne passe pas, ou simplement si les serveurs Denuvo tombent un soir, vous ne pouvez plus lancer NBA 2K26 que vous avez acheté 70 euros. Les pirates qui passeront par une version débarrassée de Denuvo n'auront, eux, jamais ce souci. La logique habituelle des protections anti-piratage agressives donc.

Vous l'avez compris, Denuvo a perdu sa bataille technique et se rabat sur des contraintes en ligne qui dégradent l'expérience des clients réels. C'est pénible.

Source : Tom's Hardware

Adobe vous fourgue du After Effects en abonnement Creative Cloud obligatoire, et CapCut appartient à ByteDance, avec tout ce que ça implique côté collecte de données et juridiction chinoise.

Et dire que pendant ce temps, Clément Cordier, dev solo basé en Normandie, vient de sortir la version 5 de Pikimov , son éditeur vidéo qui tourne directement dans le navigateur ! Ce serait vraiment con de passer à côté, non ? Surtout que c'est gratuit et que ça tient la route.

La grosse nouveauté de cette v5, c'est donc l'arrivée d'un 3eme éditeur. En effet, avant, Pikimov avait 2 modes : Un pour le compositing 2D et un pour le compositing 3D, ouvertement inspirés d'After Effects côté workflow et raccourcis. Sympa pour les motion designers donc mais beaucoup moins pour les YouTubeurs qui veulent juste cut un B-roll.

Mais rassurez-vous, il y a aussi un éditeur classique plus simple, qui se positionne face à CapCut pour tout ce qui est montage vidéo classique. Du coup, le même outil couvre à la fois le motion design lourd et les cut/transitions/sous-titres rapides.

Il est pas genre trop super fort, Clément ??

Côté pratique, vous allez donc sur pikimov.com avec Chrome, Edge ou Opera (Pas de Firefox, sniiif), vous lancez un projet, et vous importez vos médias. Images, vidéos, fichiers audio, et même des modèles 3D au format glb si vous bossez en compositing 3D.

Comme tout reste sur votre machine via le stockage local du navigateur, pensez juste à exporter régulièrement votre fichier projet si vous tenez à le garder en cas de nettoyage de cache impromptu. Ensuite, le traitement vidéo se fait en local, dans le navigateur, jusqu'à du 4K en entrée et avec un export en MP4 classique pour YouTube ou en WebM avec canal alpha quand vous avez besoin de transparence sur vos overlays.

L'application repose sur Three.js pour le rendu graphique (la partie compositing et 3D) et Ember.js pour l'interface, le tout couplé aux APIs vidéo modernes du navigateur, ce qui permet de faire tourner du compositing relativement musclé sans installer le moindre binaire.

Le système de keyframes ressemble à s'y méprendre à celui d'After Effects, avec un graph editor pour ajuster l'easing des courbes, et surtout, l'animation par expressions JavaScript reprend une bonne partie de la syntaxe des expressions After Effects. Donc si vous avez déjà tapé du wiggle(2,30) ou du time*100 dans AE, vous serez en terrain connu !

Niveau outils on retrouve donc du motion tracking, rotoscoping (manuel ou automatique), background remover sans écran vert, générateur de sous-titres, blend modes pour mélanger les calques, déformations type bend ou skew, correction colorimétrique, et effets de glitch pour les amateurs d'esthétique cassée.

Screenshot

La durée maximale d'un projet est plafonnée à 30 minutes, ce qui laisse largement de quoi sortir des intros YouTube, des reels, des bumpers ou même des effets visuels propres pour un court-métrage indé !

Avant Pikimov, Clément Cordier développait des logiciels de VJing pour des plateformes complètement WTF, genre Game Boy Advance, PlayStation 2 ou Raspberry Pi donc autant dire que le mec sait faire tourner du temps réel sur des machines ridicules. Alors faire tourner un éditeur vidéo complet dans Chrome, c'est presque un terrain de jeu facile pour lui.

Notez que Pikimov n'est pas non plus seul sur ce créneau, puisque j'avais déjà parlé de Cutia qui tente aussi le montage vidéo dans le navigateur, mais avec une approche plus orientée IA et open source.

Et pour ceux qui veulent une version offline, sans dépendance au navigateur (pratique dans le train avec son Wi-Fi pourri), Clément propose une app standalone Windows et macOS via son Patreon .

La version web, quant à elle, reste 100% gratuite et complète. A vous de tester maintenant !

Vous avez déjà voulu créer une appli desktop qui tourne sur Linux, Mac et Windows en même temps ? En Rust, c'était un peu compliqué jusqu'ici. Heureusement, Slint , créé par la société allemande SixtyFPS GmbH, propose une solution sympa !

L'idée, c'est de décrire votre interface dans des petits fichiers .slint (un genre de mini HTML/CSS pour appli native), et de brancher ça à du Rust, du C++, du JavaScript ou du Python. Comme ça, vous codez le visuel d'un côté, la logique de l'autre.

Et ce qui est encore plus cool c'est que leur runtime tient dans 300 KiB de RAM. A titre de comparaison, une appli Electron type Discord en bouffe plusieurs centaines de mégaoctets. Slint tourne donc aussi bien sur un Raspberry Pi, un microcontrôleur STM32, ou directement dans un navigateur via WebAssembly.

Par exemple, SK Signet, un fabricant sud-coréen leader sur le marché américain des bornes de recharge électrique, anime ses écrans tactiles 15 à 32 pouces avec. OTIV fait tourner ses trains autonomes dessus. WesAudio l'utilise également pour son plugin audio pro.

Donc c'est du sérieux et si vous voulez tester sans rien installer, direction SlintPad . Vous tapez du code, et le rendu apparaît dans le navigateur. Ensuite pour débuter un projet Slint en local, faudra faire un cargo install slint-lsp puis utiliser le template slint-rust-template dispo sur GitHub. 2 minutes de compilation plus tard et hop, vous avez votre première fenêtre.

Côté tarif, Slint est gratuit pour les projets open source et gratuit aussi pour les applis desktop, mobile ou web même propriétaires. Seul l'embarqué propriétaire est payant. Donc pour la majorité des gens, c'est gratos.

Le revers de la médaille c'est qu'il faudra apprendre un nouveau langage de description, et la bibliothèque de boutons et menus prêts à l'emploi est moins fournie qu'un Qt qui a 30 ans d'avance derrière lui. Mais ça vaut le coup d'essayer puis vu que tout le monde vibe code de toute façon, ça ne devrait pas vous poser trop de soucis.

Voilà, si vous bricolez vos propres outils sur Raspberry Pi ou que vous voulez juste une appli desktop ultra-légère sans embarquer un navigateur entier avec, c'est à regarder.

Merci Chrltc pour le lien !

Source : github.com/slint-ui/slint

Readarr a malheureusement fermé boutique en juin dernier et depuis, le créneau Sonarr-pour-bouquins était orphelin. Mais voili que voilà Shelfmark qui débarque pour combler ce trou, et c'est signé calibrain. Cet outil c'est l'évolution directe de Calibre-Web-Automated-Book-Downloader (CWA-BD pour les intimes), renommé en début d'année !

Niveau interface, ça se présente comme une seule barre de recherche, façon Spotlight mais pour vos sources de livres, qui sait chercher et télécharger des ebooks (et des audiobooks) depuis toutes vos sources configurées : Web, torrent, usenet, IRC, tout passe par la même barre de recherche.

Comme ça, vous tapez le titre, ça interroge Hardcover, Open Library ou Google Books pour les métadonnées, ça agrège les résultats des sources, et vous cliquez sur le format qui vous arrange. Si le dossier de destination pointe vers l'ingest folder de Calibre-Web-Automated, Grimmory ou Audiobookshelf, l'import est alors automatique ce qui fait que vous n'avez aucun script maison à entretenir.

Côté sources, c'est la souplesse maximale. Prowlarr en backend pour les indexers torrent/usenet, IRC pour les vieilles méthodes qui marchent toujours, et même Cloudflare handling intégré pour les sites protégés.

Pour le contournement Cloudflare, Shelfmark embarque son propre bypasser (un FlareSolverr-like maison). Du coup vous avez 2 variantes Docker au choix : la Standard avec navigateur intégré, et la Lite (sans browser) si vous avez déjà un FlareSolverr ailleurs ou si vos sources n'en ont pas besoin. L'image est dispo sur ghcr.io, et utilise le port 8084 par défaut. Bref, c'est du docker compose up -d classique, j'vais rien vous apprendre à ce sujet.

Ce qui est sympa avec ce logiciel, c'est surtout le système multi-utilisateur avec son système de requêtes, ce qui vous permet de monter votre propre instance, puis de l'ouvrir à votre famille ou à vos potes ces gros noobz ^^ pour qu'ils cherchent leurs bouquins. Et vous, vous validez (ou pas) leurs requêtes en tant qu'admin.

Côté auth ça peut se faire en login basique jusqu'au SSO entreprise via OIDC (Authelia, Authentik, Keycloak), + proxy auth si vous avez un reverse proxy qui vous authentifie en frontal, ou alors faire réutilisation directe de la base utilisateurs de Calibre-Web (Suffit de monter son app.db en read-only et c'est plié).

Les amoureux de Tor peuvent également activer le routage via Tor si ça vous amuse. Shelfmark est donc plus un outil de recherche et de téléchargement qu'un outil de gestion de bibliothèque. Donc c'est plus minimaliste, contrairement à Readarr qui voulait tout faire et s'est cassé les dents sur les métadonnées.

Maintenant, si vous voulez la gestion de bibliothèque, c'est Calibre-Web ou Audiobookshelf qui fera bien le job (Mon dossier sur l'écosystème ebooks self-hosted peut vous aider à monter votre stack complète).

Bref, Readarr a fermé, Shelfmark a ouvert et vos étagères de livres numériques vous remercieront !

Hackaday a relayé un projet de modification matérielle qui transforme une manette Sega Master System de 1985 en périphérique USB-C compatible avec un PC moderne ou une console de retrogaming actuelle.

Le mod ne touche pas au boîtier d'origine et garde la sensation au pouce du gamepad d'époque, tout en remplaçant l'électronique interne par une petite carte qui parle HID standard.

Le câble noir vissé d'origine est remplacé par un câble USB-C, et une carte microcontrôleur traduit les signaux des contacts mécaniques de la manette en codes HID que n'importe quel système moderne reconnaît comme un pad de jeu.

Pas de driver. Pas de pile à changer. Côté soudure, c'est plutôt accessible si vous savez tenir un fer : quelques fils à dessouder du PCB d'origine, la nouvelle carte à mettre à la place du connecteur, et c'est plié.

Pour la première fois, l'équipe du Parc archéologique de Pompéi a utilisé une chaîne d'intelligence artificielle pour reconstruire numériquement le visage d'une victime de l'éruption du Vésuve en 79 après Jésus-Christ.

Le portrait, présenté hier, montre un homme âgé qui tentait de fuir la ville vers la côte au moment où la pluie de pierres ponces s'est abattue sur lui. La méthode pourrait être étendue à des centaines d'autres victimes du site dans les prochains mois.

Screenshot

La victime a été retrouvée près de la nécropole de la Porta Stabia, juste à l'extérieur des murs de la ville antique. Son squelette gardait dans ses mains un mortier en terre cuite, que les chercheurs interprètent comme une tentative improvisée de se protéger la tête des projectiles volcaniques. Un détail qui parle de la panique du moment, quand les habitants saisissaient ce qu'ils trouvaient pour se couvrir.

La reconstruction a été menée en collaboration avec l'Université de Padoue. Les chercheurs ont combiné des relevés ostéologiques classiques (forme du crâne, points d'attache des muscles, état de la dentition) avec des outils d'IA spécialisés dans l'estimation de tissus mous à partir de squelettes.

Le résultat est un visage qui ressemble plus à un portrait probabiliste qu'à une photo. Les paramètres comme la couleur des yeux ou la coiffure restent des hypothèses éducatives, basées sur des moyennes de la population romaine de l'époque.

L'apport de l'IA n'est pas dans le portrait final, qui aurait pu être réalisé à la main par un médecin légiste expérimenté. Il est dans l'industrialisation de la méthode. Le pipeline développé peut être appliqué à d'autres squelettes du site, et il y en a beaucoup.

Pompéi a livré plus d'un millier de victimes identifiées, dont une grande partie n'avait jamais été visualisée. Le portrait n'est pas une photo, ce n'est pas non plus la vérité historique de cet homme : c'est une représentation cohérente avec ses os et avec le contexte démographique connu.

Les chercheurs insistent sur ce point pour éviter que le portrait soit pris au pied de la lettre. À noter aussi qu'aucune analyse ADN n'a encore été réalisée pour affiner l'origine ethnique précise de la victime.

Dans cette histoire, l'IA donne aux archéologues un nouveau pinceau pour redonner un visage aux morts de Pompéi.

Source : AP

Jeremy Crane, fondateur de la startup PocketOS, a publié le récit complet de la disparition de sa base de données de production.

Le coupable ? Un agent Cursor branché sur Claude Opus 4.6 qui, face à une erreur de credentials en staging, a décidé tout seul de supprimer un volume Railway. Neuf secondes plus tard, la base et tous les backups stockés sur le même volume avaient disparu.

L'enchaînement est intéressant. L'agent rencontre une erreur d'authentification en environnement staging. Au lieu de demander à l'humain, il fouille dans les fichiers du projet et trouve un token API Railway dans un fichier qui n'avait rien à voir avec la base.

Ce token, qui a été créé à l'origine pour gérer un domaine personnalisé, avait des permissions bien trop larges et autorisait la suppression de volumes en production. L'agent appelle dans la foulée une mutation GraphQL volumeDelete, sans confirmation, sans vérification du tag environnement. Et paf, tout part.

Le plus fou, c'est la confession auto-générée de l'agent une fois remis en marche. Il admet trois fautes : il a deviné que supprimer un volume staging resterait cantonné à staging sans vérifier, il n'a pas regardé si l'ID du volume était partagé entre environnements, et il a violé ses propres règles système qui interdisaient les commandes destructrices sans demande explicite. C'est moche.

Crane refuse quand même de rejeter toute la responsabilité sur l'IA. Il pointe surtout l'architecture Railway comme principal facteur aggravant. L'API accepte des commandes de suppression sans aucune confirmation, les backups sont stockés sur le même volume que les données primaires (donc effacés en même temps), et un token CLI standard a des permissions étendues sur tous les environnements sans isolation.

Le PDG de Railway, Jake Cooper, est lui intervenu personnellement dimanche pour restaurer les données depuis une snapshot externe en moins d'une heure, et a depuis ajouté une logique de suppression différée sur l'endpoint concerné.

Cette histoire est un cas d'école pour quiconque déploie un agent codeur en environnement avec accès à la production. Trois choses ont échoué en même temps : un token API trop permissif, une plateforme cloud sans confirmation sur les actions destructrices, et surtout un agent IA prêt à improviser face à une erreur au lieu de s'arrêter.

Tout ce qu'il faut pour neutraliser tous les garde-fous, et croyez-moi, ça n'est pas la dernière histoire de ce genre que vous allez lire.

Source : The Register

Le NCSC, l'agence de cybersécurité du Royaume-Uni rattachée au GCHQ (l'équivalent britannique de la NSA américaine, qui s'occupe du renseignement électronique pour l'État), a sorti un boîtier qui s'intercale entre un ordinateur et son écran pour bloquer les attaques transitant par le câble HDMI ou DisplayPort.

Le produit s'appelle SilentGlass, il se branche sans configuration, et il a été présenté à la conférence CYBERUK. Première mondiale, dit-elle.

Première surprise pour qui n'y a jamais pensé : le câble qui relie votre PC à votre écran ne sert pas qu'à faire passer l'image. Il transporte aussi des données dans les deux sens (réglages de l'écran, infos sur la résolution, anti-copie sur les contenus protégés), et il émet des ondes électromagnétiques qui peuvent fuiter loin du bureau.

En 2024, des chercheurs de l'Université de la République à Montevideo ont montré qu'on pouvait reconstituer à distance le texte affiché sur un écran rien qu'en captant le rayonnement émis par le câble HDMI, avec un peu d'IA derrière. C'est le principe de l'attaque TEMPEST, théorisée dans les années 80 par les agences de renseignement, mais qui devient aujourd'hui accessible à des attaquants disposant de moyens beaucoup plus modestes.

SilentGlass se branche en série sur le câble, comme un petit module qu'on intercale. Il regarde le trafic qui circule par le canal annexe du HDMI ou du DisplayPort (celui qui sert à dialoguer entre PC et moniteur, en plus de l'image), et il bloque tout ce qui ne ressemble pas à une communication d'écran normale.

L'idée, c'est de couper la route à des programmes malveillants qui passeraient leurs ordres en se faisant passer pour des commandes anodines de réglage. La logique est celle d'un pare-feu, sauf que c'est posé entre l'unité centrale et l'écran, là où personne ne pensait à en mettre un.

La fabrication est confiée à Goldilock Labs, une entreprise britannique de cybersécurité, en partenariat avec Sony UK Technology Centre, l'usine galloise de Pencoed que Sony exploite depuis longtemps. C'est la première fois que le NCSC met son nom sur un produit grand public.

Le dispositif est déjà installé sur des sites du gouvernement britannique, et l'agence vise désormais les opérateurs d'infrastructures critiques (énergie, transports, banques), les ministères, les entreprises de défense, et plus largement toutes les organisations qui pensent être dans la cible d'États étrangers. Le prix exact n'a pas été annoncé, mais le NCSC parle d'un produit abordable pour son marché.

Le produit règle une faille qui n'est pas anodine. La sécurité du câble vidéo est traitée depuis trente ans comme un sujet de niche réservé aux militaires, mais avec la multiplication des écrans connectés, des bureaux partagés et des chaînes d'approvisionnement où chaque câble a pu passer par dix mains avant d'arriver chez vous, le périmètre s'est élargi.

Pour un développeur dans une startup avec un MacBook et un écran 27 pouces, l'intérêt est faible. Pour une salle de marché bancaire ou un centre de surveillance vidéo, c'est tout autre chose.

Vous l'avez compris, le NCSC sort ici un produit étatique pour un risque que la plupart ignorent. Une agence de renseignement qui vend du matériel commercial, c'est quand même nouveau, mais ça va dans le bon sens.

Source : Security Affairs

478 binaires Unix peuvent servir à devenir root sur un système mal configuré.

C'est ce que recense GTFOBins , le projet open source monté par Emilio Pinna et Andrea Cardaci, qui est devenu LE bookmark obligatoire de tout pentester Linux.

Ce ne sont pas des exploits, hein, mais juste des fonctions parfaitement légitimes de programmes installés partout, et qui dans le bon contexte (genre un bit SUID oublié, qui fait tourner un binaire avec les droits du propriétaire, souvent root) permettent de spawner un shell, lire un fichier protégé, ou grimper d'un cran dans la hiérarchie des privilèges. Petit rappel quand même, faut déjà avoir un pied sur la machine, ce n'est pas une porte d'entrée magique depuis Internet.

Une fois sur leur site, vous tapez le nom d'un binaire dans le moteur de filtre (ou vous cliquez sur une fonction), et hop, vous tombez sur les commandes exactes à recopier-coller, et c'est plié en moins de dix secondes.

Par exemple, si votre cible a un sudo find sans mot de passe, le site vous donne sur un plateau d'argent sudo find . -exec /bin/sh \; -quit.

Un mawk qui tourne en SUID root ? Direct, mawk 'BEGIN {system("/bin/sh")}' et bonjour le shell privilégié. Un vim mal configuré (compilé avec le support Python ou Lua, ce qui est le cas dans la plupart des distros desktop) ? La page documente comment l'utiliser via :py ou :lua pour exécuter du code arbitraire et retomber sur ses pattes.

C'est donc la fin des recherches désespérées sur StackOverflow à 3h du matin pendant un CTF...

La philosophie de ce projet est claire... on ne casse rien, on détourne juste l'usage prévu. Le hic, c'est que la frontière entre détournement et exploitation est mince quand un sudoers mal écrit donne accès à un binaire trop puissant.

Les 478 binaires sont rangés selon 11 fonctions et 4 contextes d'exécution. Côté fonctions, vous avez : Shell (228 binaires permettent de spawner un shell, oui presque la moitié du catalogue), File-read (199), File-write (84), Inherit (71), Upload (34), Download (32), Command (30), Reverse-shell (21), Privilege-escalation (14), Library-load (11), et Bind-shell (7). Côté contextes : Unprivileged, Sudo, SUID, et Capabilities.

Et sur la page d'un binaire, chaque case du tableau vous dit super clairement "voilà comment t'en sors selon ce que tu as sous la main".

Les champions toutes catégories ce sont les langages interprétés et les shells eux-mêmes. zsh, socat, ruby, python, php, node, lua plus bash, tous cumulent 7 fonctions différentes chacun. C'est logique, dès que vous avez un interpréteur sous la main vous pouvez faire à peu près tout (lire, écrire, exécuter, ouvrir une socket).

D'ailleurs c'est pour ça que les sysadmins paranoïaques tirent une tête bizarre quand on leur dit qu'on a installé Python sur un serveur de prod sans cas d'usage explicite. Pfff... je les comprends, un Python qui traîne sur un serveur Debian avec un sudo NOPASSWD au-dessus, c'est game over en trois lignes.

Y'a un autre détail que je trouve cool également, c'est l'intégration MITRE ATT&CK . Chaque fonction du site est mappée à une technique du framework officiel, accessible via /mitre.json.

Donc pour les blue teams qui veulent justifier une règle de détection en réunion, c'est tout simplement cadeau !! Et pour ceux qui automatisent leurs scans, l'API JSON complète est dispo sur /api.json, du coup vous pouvez parser les 478 entrées avec un jq ou un petit script Python pour générer des règles de monitoring custom.

Bref, GTFOBins c'est aussi un cadeau pour les défenseurs, à condition de retourner la logique du projet. Voilà, ça vaut le coup d'y passer dix minutes par mois sur un audit.

Pour les Windowsiens qui se sentent oubliés, sachez que l'équivalent existe et s'appelle LOLBAS (Living Off The Land Binaries And Scripts), bien suivi par les analystes Windows depuis 2018. Même philosophie, même format, même utilité, juste appliqué aux exécutables Microsoft signés que Windows installe par défaut.

Les deux projets se citent mutuellement et forment ensemble la cartographie communautaire des techniques de Living Off The Land cross-OS. Si vous bossez sur les deux côtés du fossé, gardez les deux onglets ouverts en permanence ^^ !

Maintenant si l'angle élévation de privilèges via shell restreint vous intéresse, j'avais déjà couvert une vieille faille sudo qui permettait carrément de sortir d'un chroot , et plus largement la bibliothèque Payloads All The Things qui complète bien GTFOBins sur tout ce qui est exploitation web et post-exploitation. Les deux projets sont complémentaires, GTFOBins se concentre sur les binaires Unix et les abus locaux de fonctionnalités légitimes (shells, transferts, lectures, élévation conditionnelle), PayloadsAllTheThings ratisse plus large côté exploitation web.

Côté admin, le réflexe utile, à vrai dire c'est de lister vos binaires SUID avec find / -perm -4000 -type f 2>/dev/null, vérifier /etc/sudoers plus les fichiers /etc/sudoers.d/* avec sudo -l, puis de passer chaque candidat dans le filtre GTFOBins.

Si une entrée matche, c'est qu'il y a une fuite potentielle à boucher. Attention quand même, l'absence dans GTFOBins ne valide pas une règle sudo ou un SUID custom (wildcards, variables d'env, paths inscriptibles peuvent toujours créer un chemin d'évasion). Bref, c'est à faire avant de filer le moindre sudo NOPASSWD à quelqu'un !

Souvenez-vous, en mai 2025 quand je vous parlais de BleachBit 5.0 et de son grand ménage de printemps. Hé bien Andrew Ziem, le développeur historique du soft, vient de balancer la version 6.0 samedi dernier !

Et c'est annoncé comme la plus grosse release du projet depuis des années, avec plus de 100 améliorations et bug fixes au programme. Et surtout deux nouveautés qui sortent du lot.

La première, c'est un Cookie Manager qui vous laisse enfin choisir quels cookies garder lors d'un nettoyage, sur les navigateurs Chromium et Firefox. Plus besoin donc de tout dégager d'un coup et de devoir ressaisir vos sessions partout.

Vous gardez ce qui compte (banque, mail, sites où vous êtes loggés en permanence) et le reste passe à la machine. Andrew a même mis une vidéo de démo sur la page de release pour montrer le truc en action.