Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 9 juillet 2026Flux principal

Peut-on limiter El Niño en masquant le Soleil ? 

Par : Hugo Ruher
9 juillet 2026 à 13:50

Alors que le phénomène climatique El Niño menace de provoquer un dérèglement climatique inédit, certaines solutions de géo-ingénierie proposent de limiter son impact en cachant la lumière du Soleil. Mais est-ce vraiment envisageable ? Et souhaitable ?

Tecno, itel et Infinix cachent un mouchard système impossible à virer

Par : Korben ✨
9 juillet 2026 à 08:10

Si vous lisez ça depuis Abidjan, Dakar, Douala ou Kinshasa, y'a une chance sur deux que votre téléphone soit un Tecno, un Infinix ou un itel. Trois marques, mais un seul patron : Transsion, qui trône sur près de la moitié des smartphones vendus en Afrique.

Et si je vous parle de ça aujourd'hui, c'est parce qu'un chercheur en sécu, Buchodi, vient de décortiquer ce que ces appareils racontent dans votre dos et c'est pas joli, joli.

Son terrain de jeu, c'est un Tecno Spark 40 tout ce qu'il y a de banal. En rétro-ingénierant le firmware, il tombe sur un framework maison signé Transsion, baptisé Athena pour la collecte et oneID pour le pistage entre applis. On n'est pas sur une appli lambda que vous auriez installée, mais un truc costaud câblé au niveau du système, avec les pleins pouvoirs.

Et ce qu'il remonte, c'est du lourd ! Votre position GPS précise, les antennes-relais autour de vous, la consommation réseau appli par appli sur une soixantaine d'applis, quelle appli est affichée à l'écran en temps réel, et même quelle appli vient d'allumer la caméra (pas ce que filme la caméra, hein, juste le fait qu'une appli l'ait activée).

Ensuite, tout ça part vers des domaines en shalltry.com et transsion-os.com. Shalltry, c'est la branche logicielle de Transsion, et les serveurs tournent sur du cloud loué en Europe.

Donc c'est de la télémétrie++ qui part chez le fabricant, mais le gros souci, c'est qu'on ne peut rien désactiver ni désinstaller facilement. C'est vraiment une brique essentielle du téléphone reposant sur le SDK du constructeur. Ça prend racine dans l'application Réglages (pour les paramètres), l'interface système, et surtout dans un module assez discret nommé com.hoffnung qui est bardé de permissions flippantes comme lire le presse-papier en arrière-plan, connaître toutes les applis installées, forcer l'arrêt des autres.

Alors oui, c'est chiffré avec un bon vieux AES, sauf que ça ne sert pas à grand chose parce que la clé de déchiffrement est planquée dans le code de l'application elle-même. Autrement dit, quiconque met la main sur le fichier récupère la clé avec, et peut tout ouvrir. Le chiffrement n'est là que pour faire un peu de camouflage afin que vous ne puissiez pas voir facilement ce qui sort de votre poche. Mais ce n'est absolument pas de la confidentialité.

Et malheureusement, ça ne s'arrête pas à votre smartphone puisque ce même SDK se balade aussi dans des applications grand public très très populaires en Afrique comme Boomplay (100 millions de téléchargements et des poussières), StarTimes ou Orange Max it. Du coup, même avec un mobile d'un autre fabricant, vous pouvez trimballer ce mouchard sans le savoir.

Alors oui, c'est vrai, tous les smartphones font de la télémétrie. Google, Apple, Samsung, Xiaomi, tout le monde collecte des trucs, et des centaines d'applis passées au crible violaient déjà le RGPD début 2026. C'est déjà pas normal, mais ça peut normalement se désactiver assez facilement. Mais dans le cas de Transsion, c'est fait au niveau système, c'est totalement invisible et la destination est très opaque...

Puis surtout, ça concerne la moitié du continent !

Notez que ce n'est pas la première fois que les constructeurs chinois low cost se font choper puisqu' en 2016 déjà, une backdoor chinoise se planquait dans le firmware de smartphones low-cost et balançait contacts et SMS toutes les 72 heures. Plus récemment, il y a eu aussi un malware qui s'appelle Triada et qui a été préinstallé sur environ 53 000 Tecno W2 vendus en Éthiopie, au Ghana ou encore au Cameroun avec, s'il vous plaît, des abonnements souscrits totalement à l'insu de leur propriétaire.

C'était des composants différents à chaque fois, mais le motif se répète.

Alors que faire les amis ? Eh bien la bonne nouvelle, c'est qu'on peut quand même bloquer 2-3 trucs pour les empêcher de remonter des infos. Vu que tout transite par ces fameux domaines, il suffit de bloquer *.shalltry.com (et *.transsion-os.com tant qu'à faire) au niveau DNS.

Ça se fait facilement avec un NextDNS, un AdGuard ou un Pi-hole à la maison, ou directement sur le téléphone avec cette application qui s'appelle Personal DNS Filter , et comme ça, la télémétrie se retrouve isolée sans toucher au reste.

Par contre, ça ne sert à rien d'aller trifouiller les réglages du téléphone parce que ce n'est pas désactivable à partir de là. Désolé.

Source

À partir d’avant-hierFlux principal

SpaceX va tenter de corriger les défauts du Starship V3 lors d’un nouveau vol mi-juillet

Par : Hugo Ruher
8 juillet 2026 à 09:56

Le prochain test du Starship de SpaceX pourrait avoir lieu dès le 14 juillet 2026, quelques jours à peine après le dernier test statique au sol. Une étape majeure pour l'entreprise, désormais entrée en Bourse et scrutée d'encore plus près.

L’astéroïde Apophis va passer près de la Terre en 2029, voici pourquoi on commence déjà à s’y préparer

Par : Hugo Ruher
7 juillet 2026 à 21:05

L'astéroïde Apophis sera visible depuis la Terre en 2029. Un événement rare qui fait déjà l'objet d'études préparatoires, trois ans avant, afin que l'humanité puisse en profiter au maximum.

Le 6 juillet 2026, la Terre passe à l’aphélie : qu’est-ce que c’est ?

Par : Nelly Lesage
6 juillet 2026 à 18:15

Une fois par an, la Terre passe à l'aphélie. En 2026, cela tombe le lundi 6 juillet. Ce n'est pas un phénomène astronomique que l'on remarque dans le ciel. Alors, que signifie l'aphélie ? Cela se produit-il toujours à la même date tous les ans ?

D’où viennent ces étranges « boules de l’espace » découvertes sur une plage en Australie ?

Par : Hugo Ruher
6 juillet 2026 à 13:20

Sphère métallique retrouvée sur une plage en Australie

Des sphères métalliques retrouvées sur une plage australienne ont soulevé de nombreux questionnements ces derniers jours. Une explication a fini par être trouvée, et non, elle n'implique pas d'extraterrestres.

Vue par les satellites, la Méditerranée a battu ses records de température

Par : Hugo Ruher
3 juillet 2026 à 16:53

italie-alpes-europe-mediterranee

La dernière canicule a été difficile à supporter pour bon nombre d'entre nous, et la mer Méditerranée aussi a énormément souffert. Des données satellites montrent à quel point sa surface a largement dépassé la température habituelle durant le mois de juin.

La Nasa a eu trop confiance en Boeing : un rapport pointe le manque de tests sur la capsule Starliner

Par : Hugo Ruher
2 juillet 2026 à 13:55

Le rapport au sujet du désastre autour de la capsule Starliner est enfin sorti. L'inspection générale de la Nasa revient sur une suite de mauvaises décisions, en grande partie dues à la confiance trop importante accordée au constructeur sur la base de ses réalisations passées.

Amazon Leo est « prêt » à concurrencer Starlink : 396 satellites sont désormais en orbite

2 juillet 2026 à 13:15

Amazon Leo, la constellation de satellites du géant du web, compte désormais 396 satellites en orbite basse. De quoi, selon Amazon, lancer un service commercial cette année et concurrencer Starlink. Le problème est qu'Elon Musk dispose de plus de 10 000 satellites et en veut toujours plus : Amazon Leo a encore beaucoup de fusées à lancer.

Neuralink parvient à insérer son implant sans découper la membrane protectrice du cerveau

Par : Nelly Lesage
2 juillet 2026 à 12:30

Neuralink a annoncé avoir réussi à insérer un implant dans le cerveau d'un humain, sans abimer une structure protectrice, appelée la dure-mère. Le robot de la startup a inséré ses microfils directement à travers cette membrane.

Un ransomware dans le navigateur ? Suffit de demander à DeepSeek

Par : Korben ✨
2 juillet 2026 à 06:51

Dans la série "Qu'est-ce qu'on se marre avec les LLMs", des chercheurs en cybersécurité de Check Point ont tenté une expérience plutôt fun (enfin, je trouve ^^) : Demander à DeepSeek de leur coder un ransomware capable de tourner directement dans le navigateur.

Et bah croyez le ou non mais le machin l'a fait sans broncher ^^ Quand je repense à tout ce foin qu'on vient de vivre avec les américains avec Mythos et Fable 5 d'Anthropic, j'avoue je rigole quand je vois ça.

Alexey Bukhteyev et Pedro Drimel Neto, de l'équipe malware de Check Point, ont récupéré cet échantillon bricolé par l'IA, l'ont un peu peaufiné quand même, et se sont retrouvés avec une arme à 100% fonctionnelle capable de chiffrer tous vos documents depuis Chrome sans rien avoir à installer.

Le code malveillant s'appuie sur la File System Access API, une fonction qui permet à une page web de demander l'accès à un dossier de votre disque. La cible clique sur "autoriser" en pensant retoucher une image sur un site de "AI photo enhancer" bidon, et derrière la page parcourt le dossier ouvert, chiffre son contenu, et laisse une jolie demande de rançon et aucun moyen de récupérer les fichiers originaux.

Et surtout, DeepSeek a été au-delà de leurs attentes en proposant plein de fonctionnalités "cools" en plus à ce ransomware comme du vol de tokens Discord, de numéros de carte, de seed phrases crypto et de l'accès webcam. Mais en y regardant de plus près, les chercheurs ont remarqué que tout ceci avait été halluciné et ne fonctionnait pas vraiment. Le seul truc fonctionnel c'est le chiffrement du dossier qu'ils ont eux-même demandé et autorisé.

L'idée de faire un ransomware dans le navigateur n'est pas nouvelle et d'autres chercheurs l'avaient déjà théorisée à la conférence USENIX Security en 2023 sous le nom de RoB, ("Ransomware over Browsers") mais ce qui change vraiment ici, c'est que sans grandes compétences, n'importe qui peut le faire.

Et c'est là que DeepSeek se distingue de la concurrence. Le modèle refuse bien sûr la demande si vous écrivez le mot "ransomware". Mais les chercheurs sont des petits malins et ont simplement retiré les termes qui fâchent, remplaçant "ransomware" par une formulation plus neutre du style "outil de chiffrement de fichiers". Et voilà, DeepSeek v4 a recraché exactement la même fonctionnalité.

Ce garde-fou s'est vraiment comporté comme un simple filtre anti gros mots, c'est un peu ridicule, surtout que ce n'est pas la première fois que le modèle chinois se fait remarquer côté code douteux , ni la première fois que les IA open source montrent leur face sombre .

Pour vous protéger contre ce genre de ransomware, il faudra donc être très vigilant à l'avenir et vous demander pourquoi tel ou tel site vous demande un accès COMPLET à un dossier plutôt que simplement au fichier dont il a besoin. Et sur Android, ça va être encore plus sensible depuis que Chrome peut donner accès au dossier photos. Bref, dans le doute, refusez...

Source

Assemblage horizontal puis vertical : la nouvelle stratégie de Blue Origin face à SpaceX

Par : Hugo Ruher
1 juillet 2026 à 19:50

Le nouveau pas de tir de Blue Origin en construction.

Les opérations de reconstruction ont démarré à Cap Canaveral, un peu plus d'un mois après la spectaculaire explosion de la fusée New Glenn fin mai 2026. L'occasion pour l'entreprise de repartir sur de nouvelles bases, avec des méthodes qui changent de ce que propose son principal concurrent, SpaceX.

La Nasa s’engage à envoyer un ballon de football sur la Lune si les États-Unis remportent la Coupe du Monde

Par : Hugo Ruher
1 juillet 2026 à 13:25

Ballon officiel de la coupe du monde 2026

En pleine Coupe du Monde de football, la Nasa a fait une annonce étonnante. Elle s'engage à envoyer un ballon de foot jusqu'à la Lune en cas de victoire des États-Unis lors de la compétition. Plus loin qu'aucun ballon n'est jamais allé.

Allégez Nextcloud en virant les dossiers node_modules de l'index

Par : Korben ✨
30 juin 2026 à 13:18

Si vous avez déjà branché un stockage externe sur votre Nextcloud et regardé occ files:scan ramper en mode larve durant des plombes lors d'une indexation, vous connaissez le coupable.

C'est évidemment un dossier node_modules qui contient des dizaines de milliers de tout petits fichiers, qui se fait indexer dans la base de Nextcloud, faisant tout ramer jusqu'à l'infini (ou presque...).

Heureusement, Marc Palaus a repris le vieux plugin files_excludedirs (lancé à l'origine par Roeland Jago Douma, puis passé de fork en fork) et l'a remis d'aplomb pour Nextcloud 32 à 34. Le taf de ce plugin c'est tout simplement d'ordonner à Nextcloud d'ignorer purement et simplement les dossiers que vous lui indiquez.

Donc si vous lui donnez ce pattern, il esquivera tout ce qui correspond :

occ config:app:set files_excludedirs exclude \
--value '[".snapshot","node_modules","cache/*/tmp"]'

Un tableau JSON, un pattern par entrée, et vous pouvez glisser des wildcards comme cache/*/tmp pour taper plusieurs sous-dossiers d'un coup.

Ensuite, pour voir ce qui tourne, occ config:app:get files_excludedirs exclude. Ou si vous préférez cliquer, l'app propose aussi un menu Exclude Directories dans les réglages admin, avec un bouton Preview Changes pour voir ce que vous allez virer avant de valider.

Pour les fichiers qui n'ont pas encore été indexés, c'est nickel donc. Mais pour ceux qui sont déjà dans la base, cette exclusion les rendra inaccessibles mais ils seront toujours là à traîner dans les résultats de recherche.

Alors pour les dégager pour de bon, voici quelle ligne de commande vous devez lancer :

occ files_excludedirs:clean-cache --dry-run

J'ai mis un dry-run en paramètre, parce que ça permet de faire tourner ça à blanc sur quelques résultats, sans flinger la mauvaise arborescence. Mais une fois que vous êtes chaud patate et sûr de vous, vous devrez relancer la même commande sans le --dry-run.

Notez que si vous montez par exemple un partage genre "Shared/Holiday" directement à la racine d'un utilisateur, vos fichiers ont un chemin du style photo.jpg, et pas Shared/Holiday/photo.jpg. C'est le chemin complet qu'il faudra viser donc...

En tout cas, j'ai été surprise d'apprendre qu'exclure des dossiers du scan, c'est une demande qui traîne sur le tracker Nextcloud depuis l' issue #6888 publiée en 2017... Ça existait pourtant côté ownCloud. Dommage quoi.

Pour installer ce plugin, vous récupérez l'archive sur la page Releases, vous décompressez dans nextcloud/apps, vous activez depuis l'admin. Ou alors un petit git clone + un composer install pour la version source et le tour est joué !

Et si la lourdeur de Nextcloud vous gonfle plus globalement, il y a des alternatives plus légères comme OpenCloud .

Brain2Qwerty v2 : Meta dévoile une IA qui décode des phrases dans votre cerveau sans implant

30 juin 2026 à 11:28

Avec Brain2Qwerty v2, Meta affirme avoir franchi un cap dans le décodage de phrases à partir de signaux cérébraux, sans implant ni chirurgie. Une avancée importante pour les interfaces cerveau-machine, même s'il ne s'agit pas encore d'une IA capable de lire vos pensées.

❌
❌