La faille CVE-2026-28950 impacte les iPhone et les iPad : le FBI en a fait usage dernièrement pour récupérer des messages Signal via les notifications.
Le post Le FBI exploitait un bug de l’iPhone pour lire les messages Signal supprimés a été publié sur IT-Connect.
Une action collective vient d'être déposée contre Nintendo of America, accusant la société de vouloir récupérer deux fois le montant des taxes désormais annulées.
L’article Avez-vous acheté une Switch en 2025 ? Nintendo vous doit peut-être de l’argent ! est apparu en premier sur Tom’s Hardware.
Avec un super projet de simulateur, mais aussi une nouvelle direction artistique, un nouveau logo et le soutien du CNC :
Je vous partage cette vidéo car j'ai beaucoup aimé l'intro, l'histoire, les effets, les couleurs, les références... une belle évolution pour les 2 frangins. Espérons que ce projet ne soit effectivement pas le dernier.
Vous n'aimez pas le RSS : abonnez-vous par email
Article original écrit par Mr Xhark publié sur Blogmotion le 23/04/2026 |
Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons
Utiliser une conversation WhatsApp pour partager un mot de passe à un pote, c'est un peu comme écrire son code de carte bleue au marker dans des chiottes publics. Sauf que les messages, eux, restent des années dans l'historique car y'a personne qui viendra nettoyer ça. Heureusement, Nullroom vient régler ce genre de bricole en mode radical, avec un chat P2P chiffré qui s'autodétruit au bout d'un quart d'heure, sans avoir à vous créer de compte et sans laisser de trace côté serveur.
Alors comment ça fonctionne ? Hé bien vous cliquez sur "CREATE SECURE ROOM", un lien apparaît, vous le balancez à votre correspondant par le canal de votre choix (Signal, SMS, pigeon voyageur...etc), et hop, une session chiffrée s'ouvre entre vos deux navigateurs. Vous pouvez alors discuter, échanger éventuellement des fichier (jusqu'à 16 Mo max en beta), et après 15 minutes, la room s'évaporera. Purement et simplement et aucun serveur n'aura vu passer vos échanges (mis à par quelques bouts de métadonnées pour établir la connexion).
Sous le capot, y'a un truc crypto assez chouette qui est une clé de chiffrement AES-GCM 256 bits, générée côté client via l'API Web Crypto du navigateur, qui vit dans le fragment de l'URL (c'est la partie qui vient après le #). Et comme les navigateurs n'envoient JAMAIS ce fragment au serveur, vu que c'est un standard HTTP, vous êtes tranquille.
Et voilà comment votre clé de session n'existe que chez vous et chez votre correspondant. Le serveur de Nullroom ne la voit pas, même pas une microseconde. C'est le même trick que celui qu'utilise PrivateBin pour les snippets chiffrés, mais appliqué à du chat en direct.
Le flux de données, lui, passe en direct d'un navigateur à l'autre via WebRTC et le serveur ne sert comme je vous le disais plus haut, qu'à la poignée de main initiale.
Ensuite, les messages et les fichiers circulent en peer-to-peer, relayés via les serveurs TURN de Cloudflare quand votre NAT coince. Donc au pire, Cloudflare voit passer du trafic 100% chiffré, et pas le contenu en clair. Les logs serveur sont également désactivés sur les chemins des rooms, et les UUIDs de sessions vivent dans un Redis totalement volatile qui est nettoyé au bout de ces fameuses 15 minutes.
Niveau limites, une room c'est deux personnes max donc si vous cherchiez un remplaçant à Signal ou à Briar, ce n'est pas le bon outil. C'est juste une messagerie pour un échange ponctuel entre 2 personnes.
Et l'équipe ou l'entreprise derrière n'est pas affichée côté site (pas de mentions légales, pas de juridiction précisée), donc attention ! Ça reste du "faites-vous votre opinion" mais comme le code est open source (licence MIT) sur GitHub vous pouvez quand même l'analyser et monter votre propre infra Nullroom.
Pour le quotidien, c'est un service qui est bien foutu, que ce soit pour un mot de passe à filer à un collègue en télétravail, un lien temporaire à partager pendant une réu, une confidence à un pote qui n'a rien à faire dans les archives iMessage, ou encore un numéro de compte à transmettre vite fait avant que l'autre ne parte en vacances... Tous ces cas d'usage existent et la friction est quasi nulle donc c'est plutôt une bonne approche je trouve.
Voilà, si vous voulez tester le concept d'une conversation qui n'aura jamais eu lieu, filez sur nullroom.io.
L'informatique quantique n'est plus un sujet de science-fiction (mais ça, vous le savez, je vous bassine avec ça depuis des années maintenant). Mais les progrès récents laissent penser que des machines capables de casser certains chiffrements actuels pourraient émerger dans les 10 à 15 prochaines années (voir 5 selon les plus optimistes). Ce n'est pas pour demain matin, mais en sécurité, attendre que la menace soit là pour agir, c'est déjà avoir perdu.
Surfshark a commencé à déployer une protection post-quantique sur son infrastructure WireGuard. Pas en mode "feature marketing", plutôt comme une évolution technique nécessaire. Qu'est-ce que ça change pour vous et pourquoi c'est une bonne nouvelle même si vous n'êtes pas cryptographe ?
Pour comprendre l'enjeu, il faut revenir deux minutes sur le fonctionnement du chiffrement moderne. La plupart des protocoles de sécurité actuels, comme RSA ou ECC, reposent sur des problèmes mathématiques difficiles à résoudre pour un ordinateur classique. Factoriser de très grands nombres, par exemple.
Un ordinateur quantique suffisamment puissant pourrait résoudre ces problèmes beaucoup plus rapidement, rendant obsolètes les méthodes de chiffrement actuelles. C'est ce qu'on appelle la menace "harvest now, decrypt later" ou des acteurs malveillants peuvent déjà intercepter et stocker des données chiffrées aujourd'hui, en attendant de pouvoir les déchiffrer demain quand la technologie quantique sera mature.
Le chiffrement post-quantique désigne donc une nouvelle génération d'algorithmes conçus pour résister à la fois aux attaques classiques et quantiques. Ces algorithmes reposent sur des problèmes mathématiques différents, comme les réseaux euclidiens ou les codes correcteurs d'erreurs, qui restent difficiles même pour un ordinateur quantique.
L'enjeu n'est pas immédiat pour l'utilisateur moyen comme vous et moi. Mais pour des données sensibles qui doivent rester confidentielles pendant des années, la transition doit commencer maintenant.
Un angle souvent négligé dans le débat post-quantique c'est son l'articulation avec l'intelligence artificielle. L'IA générative accélère déjà la découverte de vulnérabilités, la génération de code malveillant adaptatif, ou la personnalisation d'attaques. Combinée à terme avec des capacités de calcul quantique, elle pourrait permettre d'identifier plus rapidement les faiblesses d'implémentation, même dans des algorithmes théoriquement résistants.
Autrement dit, la menace n'est pas seulement "l'ordinateur quantique casse tout". C'est plutôt "l'IA optimise l'attaque, le quantique accélère l'exécution". Les deux technologies se renforcent mutuellement.
C'est pour cette raison que les fournisseurs de sécurité sérieux anticipent. Pas par alarmisme, mais par pragmatisme parce que migrer vers du post-quantique ça prend du temps. Il faut tester la compatibilité, valider les performances, former les équipes, etc. Mieux vaut commencer maintenant que dans l'urgence (l'urgence c'est pour sa déclaration d'impôts chaque année et c'est déjà bien suffisant).
Surfshark a annoncé le déploiement d'une protection post-quantique sur son implémentation de WireGuard. Voici ce qu'il faut retenir :
La solution repose sur une approche hybride. Le tunnel VPN utilise à la fois un algorithme classique (X25519) et un algorithme post-quantique (Kyber-768). Comme ça, même si l'un des deux venait à être compromis, l'autre maintient la confidentialité. C'est une stratégie de défense en profondeur appliquée au chiffrement lui-même.
Cette protection est déjà disponible sur macOS, Linux et Android, avec un déploiement progressif sur les autres plateformes. L'activation se fait côté serveur, sans intervention requise de l'utilisateur. Si votre client supporte la fonctionnalité, elle s'applique automatiquement.
Surfshark précise que cette implémentation suit les recommandations du NIST et de la communauté cryptographique internationale. Les algorithmes sélectionnés ont été soumis à un processus d'évaluation public, et leur intégration a fait l'objet de tests de performance pour éviter de dégrader l'expérience utilisateur.
Enfin, l'éditeur indique que cette évolution s'inscrit dans une feuille de route plus large qui comprend déjà des audits réguliers, les mises à jour des protocoles et la veille cryptographique active. Le post-quantique n'est pas un argument commercial isolé, mais une pièce d'une stratégie technique cohérente.
Le déploiement du post-quantique chez Surfshark est une bonne nouvelle, mais cela ne règle pas tous les problèmes de sécurité. D'abord, la protection ne concerne que le tunnel VPN. Elle ne protège pas contre le fingerprinting navigateur, les fuites DNS mal configurées, ou les compromissions de compte par phishing. Un VPN post-quantique ne compense pas une hygiène numérique défaillante.
Ensuite, la transition est progressive. Tous les serveurs ne sont pas encore équipés, et tous les clients ne supportent pas la fonctionnalité. Si vous avez besoin de cette protection pour un usage professionnel sensible, vérifiez la compatibilité de votre configuration avant de compter dessus (dans les paramètres de l'app, allez dans Paramètres VPN > Protocole et sélectionnez Wireguard).
Et enfin, le post-quantique reste un domaine en évolution. Les algorithmes sélectionnés aujourd'hui pourraient être révisés demain à la lumière de nouvelles recherches. La veille technique reste indispensable, même pour les fournisseurs les plus sérieux.
Ce qui me convainc dans l'approche de Surfshark, c'est le timing et la méthode. Le timing d'abord. Agir maintenant, alors que la menace quantique n'est pas encore immédiate pour la majorité des utilisateurs c'est plutôt bien vu. C'est exactement ce qu'on attend d'un fournisseur de sécurité, anticiper plutôt que réagir. Parce que réagir c'est déjà être en retard.
La méthode se passe sous forme d'implémentation hybride, progressive, basée sur des standards ouverts et validés par la communauté. Pas de solution maison non auditée, pas de promesse "quantum-proof" absolue. Juste une évolution technique raisonnée. Le chiffrement post-quantique n'est pas une fonctionnalité que vous verrez au quotidien. Elle travaille en arrière-plan, sans notification, sans badge "activé". Mais c'est précisément ce genre d'évolution discrète qui fait la différence entre un service qui suit les bonnes pratiques et un service qui les définit.
Est-ce que cela justifie à lui seul de choisir Surfshark ? Probablement pas. Mais si vous cherchez un VPN qui intègre une réflexion long terme sur la cryptographie, sans sacrifier la simplicité d'usage, c'est un argument supplémentaire en sa faveur. Si vous hésitez à franchir le pas, sachez que l'éditeur fait partie des premiers à déployer ce type de protection à grande échelle.
Surfshark fête son anniversaire, et comme souvent avec les bons plans du web, c'est vous qui touchez le vrai cadeau ! Le forfait Starter tombe à 1,78 €/mois sur 2 ans + 3 mois offerts (57,67 € pour 27 mois, soit 2,13 €/mois TTC). La promo est valable du 20 avril au 11 mai. À ce tarif-là, difficile de trouver une excuse pour continuer à laisser son trafic traîner en clair sur Internet.
Note : ce lien est affilié. Cela ne change rien pour vous, mais cela me permet de continuer à produire ce type de contenu sans dépendre de la publicité intrusive.
Flipbook est un navigateur web génératif où aucune page n'existe avant que vous ne la demandiez. Pas de HTML, pas de boutons, pas de liens... A la place, vous tapez simplement un mot ou un sujet dans la barre de recherche (ou vous uploadez une image), et hop, ça vous pond une image en direct façon "infographie" qui explique ce sujet.
Ensuite, vous cliquez n'importe où sur cette image, et une nouvelle image apparaît qui creuse ce que vous venez de cliquer. En gros, faut imaginer Wikipedia mais avec aucun article pré-écrit puisque chaque page est dessinée par une IA pendant que vous patientez. C'est un genre d'Infinite Wiki en version 100% visuelle !
La page que Flipbook m'a sortie quand j'ai tapé mon nom. Tout ce que vous voyez est une seule image générée par le modèle, y compris le texte.
Perso, j'ai juste tapé mon pseudonyme ce matin pour tester et comme résultat, j'ai obtenu une page intitulée "Korben: The French Tech Influence", avec mon vrai nom Manuel Dorne, le lancement de korben.info noté en 2004, RemixJobs cité et même cette citation : "A cornerstone of the French-speaking web for over two decades" écrit en bas.
Ne vous inquiétez pas pour mes chevilles, c'est pas moi qui le dit mais l'IA qui a chopé ces infos très précises et pour la majorité exacte. Le système de Flipbook fait une vraie recherche web agentique, et pas juste de l'hallucination pure à partir de son modèle. Les créateurs l'expliquent d'ailleurs dans leur FAQ.
Ensuite, il suffit de cliquer sur des éléments de l'image pour qu'une nouvelle image soit générée avec d'autres informations plus précises selon ce sur quoi vous avez cliqué.
Mais le détail qui tue, c'est que TOUT le texte affiché à l'écran est rendu par le modèle d'image lui-même ! Aucune superposition HTML, aucun overlay texte. Les titres, les labels, les légendes, les flèches... tout est dessiné pixel par pixel au moment de la génération, comme si Photoshop crachait une infographie complète à chaque requête.
Le hic c'est que parfois ça bug (le modèle écrit un mot au mauvais endroit, ou fait une petite faute de frappe), mais c'est le choix assumé de l'équipe, qui ne souhaite aucune couche de rendu HTML classique. Sous le capot en fait, y'a LTX Studio (le modèle vidéo de Lightricks) qui anime les transitions en stream vidéo live, et Modal Labs pour l'infra GPU serverless qui encaisse la charge.
Après comme d'hab avec ce genre d'outils c'est que les hallucinations factuelles sont invisibles pour l'utilisateur, puisqu'il n'y a pas de source citée, ni de lien à cliquer pour vérifier.
Et Zain Shah, l'un des créateurs, l'admet lui-même dans son thread de lancement sur X, Flipbook est aujourd'hui limité aux explications visuelles. Donc pas forcément adapté pour du vrai mode interactif (coder, réserver un truc, stocker de la data). Il faudra donc attendre que les modèles d'image et de vidéo deviennent plus rapides, plus précis, et surtout capables de conserver leur état pour assurer une cohérence dans le contenu (texte et images).
Bref, ça vaut le coup de tester , tapez votre nom ou votre animal préféré et voyez ce qui en sort !
pgAdmin, l'outil "officiel" pour administrer vos bases PostgreSQL, c'est le type d'interface qu'on n'a pas vraiment envie d'ouvrir un lundi matin ! C'est lent, c'est cheum de ouf en mode figé dans les années 2000 et ça rame sérieusement dès qu'on tente un export un peu costaud. Alors oui je sais, DBeaver, c'est plus joli, mais faut se coltiner Java et un workspace qui traîne au démarrage.
Du coup quand bbDump est passé sur mon radar, j'ai eu envie de creuser un peu. C'est un gestionnaire PostgreSQL moderne, en Electron + Vue + TypeScript, signé par Poups, un dev indé français. L'outil reprend tout ce que vous faites habituellement en CLI (pg_dump, pg_restore, coups d'œil aux tables, schéma de la DB) et met ça dans une interface vraiment propre.
Le dashboard bbDump, tout de suite plus respirable que pgAdmin
Côté fonctionnalités classiques, vous avez ce qu'on attend d'un client PostgreSQL correct. Gestion multi-bases organisée par projet, backups avec liste, restauration, filtre par base, tailles et dates. De leur côté, les tâches planifiées via expressions cron sont configurables par base, et il y a même une visionneuse de logs en temps réel qui trace chaque opération pg_dump.
Ajoutez à ça un navigateur de tables avec édition inline (avec support complet des types), un constructeur de requêtes SQL visuel en plus de l'éditeur brut, l'export CSV, et un diagramme entité-relation interactif via Vue Flow pour visualiser les tables et les clés étrangères. Grâce à bbDump, plus besoin d'aller chercher un outil externe pour comprendre une base héritée d'un projet qui traîne !!
Le schema visualizer en mode ERD interactif, pratique pour décortiquer une base héritée
Mais le vrai twist, c'est l'intégration du MCP (Model Context Protocol) puisque bbDump expose 31 outils MCP aux agents IA, ce qui veut dire que votre Claude d'amour ou votre LLM peut interroger la DB, regarder un schéma, tester une requête. Et comme les mutations passent par un système de confirmation, pas de DROP TABLE à l'insu de votre plein gré !
Je vous avais déjà parlé de cette approche avec Ghidra MCP côté reverse engineering et BrowserWing côté automatisation navigateur. bbDump rejoint donc la famille côté backend de données.
Autre détail sympa, le dev a pensé à la sécurité puisque les backups sont chiffrés en AES-256-GCM, donc si vous synchronisez vos dumps sur un cloud random, pas de panique sur les données sensibles. Sur macOS, y'a même une mini-app menu bar pour accéder aux bases et aux connexions proxy sans ouvrir l'app complète.
Côté installation, c'est facile :
Connexioncurl -fsSL https://poups.dev/bbdump.sh | bash
sur macOS et Linux (qui reste en beta). Bien sûr, si balancer un script dans bash direct vous fait tiquer (normal), vous pouvez aussi chopper le DMG ou l'AppImage en release sur GitHub et inspecter avant. Le code est sous licence MIT, avec une doc dédiée et une page Ko-fi si vous voulez soutenir le projet. Par contre, rien pour Windows pour l'instant.
Le projet est encore tout jeune puisque sorti fin mars de cette année donc si vous cherchez un outil ultra-stable pour une prod critique, attendez un peu. Mais pour vos projets perso, votre dev local, ou juste pour arrêter de râler sur pgAdmin, ça vaut clairement le coup d'œil.
Bref, un dev français de talent qui se lance en indé sur un créneau pourri d'outils vieillots, avec une vision cohérente et une intégration MCP propre, moi j'aime bien. Je pense que Poups mérite d'être soutenu sur ce coup-là, d'où mon article !
Bon, les amis, si vous utilisez Tor Browser pour faire du sérieux, faut que vous sachiez un truc. Le bouton "New Identity", censé vous donner une nouvelle identité vierge à chaque clic... bah il laissait filer, jusqu'à il y a peu de temps, un identifiant stable tant que Firefox tournait.
Deux chercheurs de Fingerprint ont en effet trouvé comment une fonction toute bête du navigateur se transformait en empreinte unique de votre browser, partagée entre tous les sites que vous visitiez.
Il faut donc dès à présent faire la mise à jour vers Firefox 150 ou l'ESR 140.10.0 (la version long-terme utilisée par Tor Browser), ainsi que la dernière version de Tor Browser qui récupère le patch. Si vous voulez en savoir plus, la CVE c'est CVE-2026-6770 , classé comme sévérité modérée par Mozilla.
Le truc marche en vase clos mais traverse les murs.
Mais avant, IndexedDB c'est quoi ?
En gros c'est une mini-base de données que les sites web peuvent créer dans votre navigateur, pour stocker des trucs en local (du cache, des données offline, l'état d'une app web). Chaque site peut y ranger plusieurs bases nommées, et une petite fonction JavaScript indexedDB.databases() permet au site de demander la liste de ses bases.
Rien de foufou sur le papier. Sauf que dans Firefox en navigation privée, le navigateur renomme en coulisse chaque base avec un identifiant aléatoire (UUID), et range tout ça dans une seule grosse table interne. Et le gros problème, c'est que cette table est partagée entre tous les sites ouverts, et pas cloisonnée site par site.
Et là, ça devient croustillant puisque quand un site redemande la liste de ses bases, Firefox la renvoie sans la trier, dans un ordre qui dépend de la structure interne de cette table partagée. Du coup, deux sites totalement différents qui créent chacun seize bases dans le même ordre récupèrent exactement la même suite en retour. Pas l'ordre de création donc mais une permutation bizarre, genre g,c,p,a,l,f,n,d,j,b,o,h,e,m,i,k.
Je vous passe les détails mais ça fait dans les 17 000 milliards de combinaisons possibles. Donc largement de quoi distinguer votre navigateur parmi des millions, comme une empreinte digitale qui colle au doigt !
Et ce qui pique vraiment c'est que cet identifiant survit à la fermeture de toutes vos fenêtres privées. Tant que le process Firefox tourne en arrière-plan, l'ID reste. Un site peut donc vous reconnaître après que vous ayez fermé vos onglets privés, rouvert une session pensée comme neuve, et revisité le site. Pour le user, c'est une session fraîche alors que pour le serveur c'est clairement le même navigateur qu'il y a dix minutes.
Côté Tor Browser c'est pire puisque le bouton "New Identity" a pour mission explicite de couper tout lien avec ce que vous faisiez avant. Il ferme les onglets, efface l'historique, vide les cookies, tire de nouveaux circuits Tor. La promesse officielle, c'est "empêcher votre activité future d'être liée à ce qui précède".
Sauf que cette fameuse table interne, elle, ne bouge pas. Le New Identity reset donc tout sauf ce qu'il ignore. C'est comme changer de fringues dans le même ascenseur... en gardant le même parfum. Techniquement vous êtes différent, mais reconnaissable en deux secondes. Bref, c'est assez grave car un site capable d'exploiter la faille peut lier votre session avant-New-Identity à votre session après-New-Identity.
Tant qu'on n'a pas redémarré Firefox complètement, l'ID persiste.
Les chercheurs disent avoir fait une divulgation responsable, directement à Mozilla et au Tor Project avant publication donc c'est nickel, et les deux équipes ont poussé les patches avant de communiquer sur quoi que ce soit. Donc les utilisateurs à jour sont tout simplement protégés contre cette faille précise.
Après si vous êtes du genre parano, pensez à redémarrer complètement votre Tor Browser entre deux sessions vraiment sensibles. Ça coupe le process Firefox, ça vide cette fameuse table, et ça évite ce genre de surprise pour d'autres leaks similaires qu'on n'aurait pas encore trouvés.
A bon entendeur, salut !!
[Deal du Jour] Sorti en septembre dernier, l’iPhone Air est le nouveau pari d’Apple : un smartphone ultra-fin qui vient remplacer le traditionnel modèle Plus. Si son design unique vous plaît, c’est le moment de craquer.
Meta déploie aux États-Unis un nouvel outil interne capable d’enregistrer les clics, mouvements de souris et frappes au clavier de ses salariés pour entraîner ses modèles d’intelligence artificielle. Cette initiative s’inscrit dans une stratégie plus large visant à automatiser davantage le travail en interne grâce à des agents d’IA.
Il s'appelait « HexDex » sur les forums du dark web, et son nom est devenu familier des équipes de sécurité informatique françaises au fil des mois. Lundi 20 avril 2026, ce hacker de 21 ans a été interpellé en Vendée par la Brigade de lutte contre la cybercriminalité (BL2C), alors qu'il s'apprêtait à publier de nouvelles données volées.
Pearl Abyss a déployé un nouveau gros patch pour Crimson Desert. Au menu : ajout de modes de difficulté et de nouvelles possibilités de personnalisation pour les contrôles.
Quelques mois après le final plein d'émotions de Stranger Things, la série horrifique la plus populaire des années 2010, les frères Duffer et Netflix nous invitent à revenir à Hawkins pour un nouveau shoot de nostalgie… animée ! Prêts pour de nouvelles aventures Demogorgonesques ?
Il s'appelait « HexDex » sur les forums du dark web, et son nom est devenu familier des équipes de sécurité informatique françaises au fil des mois. Lundi 20 avril 2026, ce hacker de 21 ans a été interpellé en Vendée par la Brigade de lutte contre la cybercriminalité (BL2C), alors qu'il s'apprêtait à publier de nouvelles données volées.
