OpenAI vient de lâcher dans la nature ses premiers modèles open-weight depuis GPT-2, et apparemment, c’est du lourd. Après 5 longues années à garder jalousement ses modèles bien au chaud derrière des API payantes, Sam Altman et sa bande balancent donc gpt-oss-120b et gpt-oss-20b, deux modèles que vous pouvez télécharger gratuitement sur Hugging Face et faire tourner chez vous.

Ils ont claqué des milliards de dollars en recherche pour créer ces modèles, et maintenant ils les offrent au monde entier sous licence Apache 2.0. C’est beau !

Pour ceux qui se demandent ce que ça change, un modèle open-weight c’est comme avoir accès au moteur d’une voiture avec le capot grand ouvert. Vous pouvez voir comment ça fonctionne, bidouiller les paramètres internes, et surtout, le faire tourner en local sans connexion internet. Greg Brockman, le cofondateur d’OpenAI, explique que c’est complémentaire à leurs services payants comme ChatGPT et l’avantage, c’est que vos données ne partent pas dans le cloud.

Les deux nouveaux modèles utilisent l’approche chain-of-thought qu’OpenAI a introduite avec son modèle o1 l’automne dernier. Cela veut dire que au lieu de balancer une réponse directe, l’IA passe par plusieurs étapes de raisonnement pour répondre à vos questions. Ces modèles text-only ne sont pas multimodaux (donc pas d’images ou de sons), mais ils peuvent naviguer sur le web, appeler d’autres modèles cloud pour certaines tâches, exécuter du code et même agir comme des agents IA autonomes.

Le plus petit des deux, gpt-oss-20b avec ses 21 milliards de paramètres (dont 3,6 milliards actifs), est suffisamment compact pour tourner sur une machine avec 16 Go de RAM. Le gros calibre, gpt-oss-120b avec ses 117 milliards de paramètres (5,1 milliards actifs), nécessite 80 Go de mémoire et tourne idéalement sur une seule GPU H100. Les deux supportent un contexte de 128 000 tokens, soit l’équivalent de 300-400 pages de roman que vous pouvez balancer d’un coup.

D’après les benchmarks, gpt-oss-120b atteint quasiment les performances d’OpenAI o4-mini sur les tâches de raisonnement, tandis que gpt-oss-20b s’approche d’o3-mini. Sur une RTX 5090, vous pouvez atteindre jusqu’à 256 tokens par seconde, ce qui est franchement impressionnant pour du local. Avec l’architecture Mixture-of-Experts (MoE) et la précision native MXFP4, ces modèles sont optimisés pour tourner efficacement même sur du matériel grand public.

Bon, passons aux choses sérieuses avec le tutoriel Ollama pour faire tourner tout ça chez vous.

Installation d’Ollama

D’abord, installez Ollama si ce n’est pas déjà fait. Sur macOS, ouvrez un terminal et tapez :

brew install ollama

Sur Linux, c’est encore plus simple :

curl -fsSL https://ollama.ai/install.sh | sh

Pour Windows, téléchargez directement l’installateur sur ollama.com et suivez les instructions.

Lancement du serveur Ollama

Une fois installé, démarrez le serveur Ollama :

ollama serve

Le serveur va se lancer sur le port 11434 par défaut. Laissez cette fenêtre de terminal ouverte.

Téléchargement et exécution des modèles gpt-oss

Dans un nouveau terminal, vous pouvez maintenant télécharger et lancer les modèles. Pour le modèle léger gpt-oss-20b (idéal si vous avez 16 Go de RAM minimum) :

ollama pull gpt-oss:20b
ollama run gpt-oss:20b

Pour le modèle plus costaud gpt-oss-120b (nécessite au moins 80 Go de RAM ou un bon GPU) :

ollama pull gpt-oss:120b
ollama run gpt-oss:120b

Configuration du niveau de raisonnement

Une fonctionnalité sympa de ces modèles, c’est que vous pouvez ajuster l’effort de raisonnement selon vos besoins. Dans Ollama, vous pouvez configurer ça avec :

ollama run gpt-oss:20b --reasoning low # Pour des réponses rapides
ollama run gpt-oss:20b --reasoning medium # Équilibré (par défaut)
ollama run gpt-oss:20b --reasoning high # Pour des analyses complexes

Utilisation avec Python

Si vous préférez intégrer ça dans vos scripts Python, installez le package officiel :

pip install ollama

Puis utilisez-le comme ceci :

import ollama

response = ollama.chat(model='gpt-oss:20b', messages=[
{
'role': 'user',
'content': 'Explique-moi la différence entre un modèle open-weight et open-source',
},
])
print(response['message']['content'])

Alternative avec Hugging Face CLI

Si vous voulez télécharger directement depuis Hugging Face pour plus de contrôle :

# Installation de Hugging Face CLI
pip install huggingface-hub

# Téléchargement de gpt-oss-20b
huggingface-cli download openai/gpt-oss-20b --include "original/*" --local-dir gpt-oss-20b/

# Téléchargement de gpt-oss-120b
huggingface-cli download openai/gpt-oss-120b --include "original/*" --local-dir gpt-oss-120b/

Optimisations pour cartes NVIDIA RTX

Si vous avez une carte NVIDIA RTX, vous pouvez bénéficier d’optimisations spécifiques car Ollama détecte automatiquement votre GPU et applique les optimisations. Donc pour vérifier que votre GPU est bien détectée :

nvidia-smi # Pour voir votre GPU
ollama list # Pour voir les modèles disponibles

Quelques commandes utiles

Pour lister tous les modèles installés :

ollama list

Pour supprimer un modèle si vous manquez d’espace :

ollama rm gpt-oss:120b

Pour voir les logs et débugger si ça plante :

ollama logs

Le fait qu’OpenAI ait attendu mars pour annoncer ces modèles puis les ait retardés pour des tests de sécurité supplémentaires montre qu’ils prennent le sujet au sérieux. Eric Wallace, chercheur en sécurité chez OpenAI, explique qu’ils ont même fine-tuné les modèles en interne sur des scénarios à risque pour mesurer jusqu’où un “bad actor” pourrait les pousser. Résultat, les modèles n’ont pas atteint un niveau de risque élevé selon leur framework de préparation.

Pour finir, OpenAI s’est associé avec Azure, vLLM, llama.cpp, LM Studio, AWS, Fireworks, Together AI et plein d’autres plateformes pour rendre ces modèles accessibles partout. Microsoft propose même AI Foundry Local sur Windows où vous pouvez juste taper foundry model run gpt-oss-20b dans un terminal pour commencer.

Voilà, vous avez tout ce qu’il faut pour jouer avec les nouveaux jouets d’OpenAI. C’est quand même fou de voir OpenAI revenir à ses racines open source après toutes ces années à s’enfermer. Avec la licence Apache 2.0, vous pouvez utiliser ces modèles commercialement, les redistribuer, et les intégrer dans vos propres projets.

Pour plus d’infos, consultez le dépôt GitHub officiel ou la page Ollama dédiée. Allez-y, téléchargez, testez, et surtout, amusez-vous bien avec ces nouveaux modèles. Le futur de l’IA locale commence maintenant, et il est entre vos mains.

Imaginez pouvoir scanner votre propre installation Odoo comme un hacker éthique pour y débusquer toutes les failles en quelques minutes. Et bien c’est exactement ce que fait OdooMap créé par Mohamed Karrab et dispo sur GitHub. Avec plus de 7 millions d’entreprises qui utilisent Odoo dans le monde, les failles de sécurité peuvent coûter très cher, donc c’est super de s’y intéresser un minimum.

Pour ceux qui ne connaissent pas, Odoo c’est cet ERP open source hyper populaire qui gère tout dans une entreprise : ventes, stocks, comptabilité, RH, site web, et j’en passe. Le problème, c’est que beaucoup d’installations Odoo sont mal configurées ou pas à jour, ce qui les rend vulnérables. Et quand on sait que cet ERP contient littéralement toutes les données sensibles d’une boîte, ça fait froid dans le dos.

C’est là qu’OdooMap entre en jeu. Mohamed Karrab a développé cet outil de reconnaissance et de test de sécurité spécialement pour Odoo. Et c’est du sérieux car l’outil fait tout : détection de version, énumération des bases de données, vérification des permissions CRUD (Create, Read, Update, Delete), extraction de données, et même du brute-force sur les logins et le master password.

Ce qui est vraiment bien pensé, c’est que OdooMap couvre toutes les phases d’un test de sécurité. D’abord la reconnaissance pour identifier la version d’Odoo et récupérer les métadonnées. Ensuite l’énumération pour lister les bases de données accessibles et les modèles exposés. Puis l’authentification et la vérification des permissions pour voir ce qu’un utilisateur peut vraiment faire. Et enfin l’extraction de données depuis des modèles spécifiques si vous avez les droits.

L’installation est super simple. Vous clonez le repo GitHub, vous installez avec pipx (ou pip si vous préférez), et c’est parti. Le développeur recommande d’utiliser pipx pour éviter de polluer votre système Python, ce qui est une bonne pratique :

git clone https://github.com/MohamedKarrab/odoomap.git
cd odoomap
pipx ensurepath && pipx install .
odoomap -h

Les fonctionnalités de brute-force sont particulièrement intéressantes. Par exemple, OdooMap peut tester des credentials par défaut, utiliser vos propres listes de mots de passe, ou même attaquer le master password de la base de données. C’est exactement le genre d’attaques que les vrais hackers utiliseraient, donc autant les tester vous-même avant eux.

Pour un scan de base, c’est aussi simple que :

odoomap -u https://example.com

Mais la vraie puissance se révèle quand vous commencez à combiner les options. Par exemple, pour authentifier et énumérer les modèles :

odoomap -u https://example.com -D database_name -U admin -P pass -e -l 200 -o models.txt

Ou pour vérifier les permissions sur les modèles (ce qui peut révéler des problèmes de configuration critiques) :

odoomap -u https://example.com -D database_name -U [email protected] -P pass -e -p -l 10

L’outil a également la capacité d’extraire des données depuis des modèles spécifiques. Si vous avez accès à res.users ou res.partner par exemple, vous pouvez dumper toutes les infos comme ceci :

odoomap -u https://example.com -D database_name -U admin -P pass -d res.users,res.partner -o ./output.txt

D’après mes recherches, les vulnérabilités les plus courantes dans Odoo incluent les failles XSS (Cross-Site Scripting), les problèmes de contrôle d’accès, les IDOR (Insecure Direct Object References) et les SSRF (Server-Side Request Forgery). OdooMap permet donc de tester une bonne partie de ces vulnérabilités, notamment les problèmes d’accès et d’authentification.

Ce qui est intéressant aussi, c’est que l’outil peut faire du brute-force sur les noms de modèles internes. Odoo a des centaines de modèles, et parfois certains sont exposés alors qu’ils ne devraient pas l’être. OdooMap peut les découvrir automatiquement :

odoomap -u https://example.com -D database_name -U admin -P pass -e -B --model-file models.txt

Bien sûr, comme tout outil de sécurité, OdooMap doit être utilisé de manière responsable. Mohamed Karrab le rappelle clairement : c’est fait pour des tests autorisés uniquement. Utiliser cet outil sans permission, c’est illégal et vous risquez de gros problèmes avec la police (et pas la Municipale, hein ^^) !! Mais si vous gérez une installation Odoo ou si vous êtes mandaté pour faire un audit, c’est un must-have.

L’outil est sous licence Apache 2.0, donc totalement open source et gratuit et le code est en Python 3.9+, donc accessible si vous voulez comprendre comment ça fonctionne ou l’adapter à vos besoins.

Pour aller plus loin dans la sécurisation d’Odoo, je vous conseille de jeter un œil à la page officielle de sécurité d’Odoo. Ils prennent la sécurité au sérieux et encouragent la divulgation responsable des vulnérabilités.

Pour ceux qui cherchent d’autres outils de pentest, il y a évidemment les classiques comme Metasploit, Burp Suite ou Nessus mais l’avantage d’OdooMap, c’est qu’il est spécialisé pour Odoo. Il connaît les spécificités de cet ERP et peut donc aller beaucoup plus loin qu’un scanner générique.

Pour finir, un grand bravo à Mohamed Karrab pour cet outil !

Vous codez seul la nuit comme un petit lutin tout triste, paria de la société ? Et bien si je vous disais que vos collègues peuvent éditer vos fichiers en temps réel, directement dans votre Neovim ? Ce serait pas le feu ça ?

Ethersync vient de débarquer et c’est exactement ce qu’il propose à savoir transformer n’importe quel éditeur de texte en espace de collaboration instantané. Comme un Google Docs mais en local, peer-to-peer et chiffré.

Le projet a été présenté au FOSDEM 2025 par blinry, et la démo m’a scotché. En gros, vous tapez ethersync share dans votre terminal, un code apparaît du style “5-hamburger-endorse”, et de son côté, votre collègue tape ethersync join 5-hamburger-endorse et boom, vous éditez les mêmes fichiers en temps réel. Pas de serveur, pas de cloud, juste une connexion P2P chiffrée entre vos machines.

Ce qui rend Ethersync génial, c’est qu’il fonctionne avec VOTRE éditeur préféré. Neovim, VS Code, et bientôt Emacs et JetBrains grâce aux plugins communautaires en développement comme ça plus besoin de forcer tout le monde sur le même outil. Chacun garde ses habitudes, ses raccourcis, ses configurations. L’interopérabilité est totale !

Le secret technique derrière cette magie ce sont les CRDT (Conflict-free Replicated Data Types) via Automerge. En gros, c’est une structure de données qui permet à plusieurs personnes de modifier le même document sans créer de conflits. Chaque modification est enregistrée comme une opération, et l’algorithme sait comment les fusionner intelligemment. Même si vous travaillez hors ligne et que vous vous reconnectez plus tard, tout se synchronise nickel.

Mais Ethersync va plus loin qu’Etherpad ou Google Docs car il ne se contente pas d’un seul fichier mais synchronise des projets entiers ! Vous partagez un dossier, et tout ce qui s’y trouve devient collaboratif. Fichiers sources, documentation, configs… tout est synchronisé en temps réel ce qui en fait le complément parfait à Git pour la collaboration instantanée.

L’architecture est d’ailleurs brillante. Il y a un daemon qui tourne en arrière-plan et gère la synchronisation via Iroh (une bibliothèque Rust qui permet d’établir des connexions directes entre pairs via QUIC, avec du hole-punching et des relais de secours) ainsi que Magic Wormhole (que vous connaissez, pour l’établissement de connexion facile avec des codes courts).

Les éditeurs communiquent alors avec le daemon via un protocole JSON-RPC tout simple. Du coup, créer un nouveau plugin est relativement facile si vous voulez supporter votre éditeur exotique préféré.

Et surtout, niveau sécurité, c’est du solide. Comme, je vous le disais, toutes les connexions sont chiffrées de bout en bout, et y’a pas de serveur central qui pourrait être compromis. Comme ça, VOS données restent sur VOS machines et si même internet tombe parce que c’est la fin du monde, vous pourrez continuer à collaborer en local sur le même réseau.

Pour l’installer sous Linux/macOS, vous récupérez le binaire statique depuis GitHub, vous le mettez dans votre PATH, et c’est parti. Les utilisateurs d’Arch ont même un paquet AUR (yay -S ethersync-bin). Pour Android, ça marche dans Termux et pour les amateurs de Nix, il y a un flake officiel.

Ce projet est encore jeune et en développement actif mais l’équipe l’utilise au quotidien donc ça se bonifie avec le temps. D’ailleurs, la bonne nouvelle c’est que ça a été financé par NLNet via leur fonds NGI0 Core pour 2024, et par le Prototype Fund allemand pour 2025. Ça garantit comme ça un développement sérieux et en continu.

Bref, que ce soit pour du pair programming, mais aussi de la prise de notes collaborative, de la rédaction de documentation à plusieurs, de la sessions de debug en équipe…etc, ça devrait bien faire le taf et contrairement aux partages d’écran, chacun garde le contrôle de son environnement.

Si vous voulez tester, c’est le moment car le projet recherche des retours, des testeurs, et des contributeurs pour créer de nouveaux plugins. La documentation est claire, le code est propre et l’équipe est réactive !

De la collaboration fluide et instantanée, directement dans votre environnement de travail habituel, comme on aime !

Que demande le peuple ?

Le fait que la plupart des caméras IP qu’on achète sur Amazon ou AliExpress soient potentiellement truffées de backdoors, ça ne vous empêche pas de dormir ? Genre, vous installez une caméra pour surveiller votre maison et au final c’est vous qui êtes surveillé. Sympa, non ? Et bien sur Hackernews, j’ai découvert un projet qui va vous redonner le sourire : OpenIPC.

Il s’agit d’un firmware alternatif open source pour vos caméras IP. En gros, c’est un système d’exploitation créé par la communauté qui remplace le firmware pourri, opaque et souvent abandonné que les fabricants installent par défaut. Et le meilleur dans tout ça c’est que ça fonctionne sur une tonne de puces différentes : ARM, MIPS, et des processeurs de chez Hisilicon, Ingenic, Sigmastar, et j’en passe.

Ça permet de reprendre le contrôle total de vos streams comme ça plus de backdoors, plus de botnets, plus de malware de crypto-mining planqué dans votre caméra. C’est vous le seul maître à bord. Et vu le nombre de scandales qu’on a eus ces dernières années avec des caméras chinoises qui envoient des données on ne sait où, c’est plutôt rassurant.

Le projet utilise Buildroot pour construire sa distribution Linux et propose plusieurs streamers selon vos besoins : Majestic (le plus performant mais pas encore open source), Divinus (totalement open source), Mini ou Venc. Majestic, même s’il n’est pas encore ouvert, offre des performances de malade pour un large éventail de matériel. D’ailleurs, l’auteur cherche à l’open-sourcer dès qu’il aura sécurisé assez de fonds pour continuer le développement.

Ce qui est génial, c’est surtout que ce firmware supporte plein de fonctionnalités sympas comme le stockage cloud IPEYE externe, le streaming vers YouTube et Telegram, les proxys SOCKS5, la configuration de tunnels VPN… Bref, tout ce qu’il faut pour faire de votre caméra un vrai petit serveur multimédia sécurisé.

D’ailleurs, la communauté FPV est complètement fan du projet car des marques comme Runcam, Emax et Eachine ont déjà intégré le firmware dans leurs produits. Pour les pilotes de drones, c’est donc la révolution niveau transmission vidéo et les projets spécialisés fleurissent : caméras pour drones, casques de chantier, outils de surveillance, recherche médicale, pêche sous-marine… Les possibilités sont infinies.

Pour installer Openpic sur vos caméras, il y a deux méthodes principales. La première, c’est d’utiliser Coupler, un projet qui crée des images firmware installables via les mécanismes de mise à jour intégrés dans le firmware d’origine. Super pratique si vous ne voulez pas ouvrir votre caméra.

Et la deuxième méthode, c’est plus hardcore puisqu’il faut ouvrir la caméra, connecter un adaptateur UART sur le port série de debug, et flasher via TFTP. Ça demande de mettre les mains dans le cambouis, mais c’est pas si compliqué. Il faut juste identifier votre SoC (System on Chip), configurer un serveur TFTP, interrompre le bootloader au démarrage, et envoyer le nouveau firmware. Ahaha, je sais dit comme ça, ça fait peur, mais rassurez-vous, le projet fournit des guides détaillés pour chaque étape.

Un point important, avant de flasher, sauvegardez toujours votre firmware d’origine. On ne sait jamais, vous pourriez vouloir revenir en arrière (même si franchement, une fois qu’on a goûté à la liberté d’OpenIPC, difficile de faire marche arrière).

Le projet est distribué sous licence MIT, ce qui signifie que vous pouvez faire à peu près ce que vous voulez avec le code, même l’utiliser dans des projets commerciaux. La seule restriction, c’est l’usage militaire qui n’est pas autorisé.

Et niveau support matériel, c’est impressionnant puisque aujourd’hui, OpenIPC supporte des puces d’Ambarella, Anyka, Fullhan, Goke, GrainMedia, Ingenic, MStar, Novatek, SigmaStar, XiongMai… et la liste continue de s’allonger. Bref, si vous avez une vieille caméra qui traîne et qui n’est plus supportée par le fabricant, il y a de fortes chances qu’OpenIPC puisse lui donner une seconde vie.

Pour les développeurs, il y a même des outils sympas comme un Dashboard multi-plateforme (Linux/Mac/Windows) construit avec Avalonia UI qui permet de gérer et monitorer facilement vos caméras OpenIPC. C’est totalement pensé pour simplifier la vie des utilisateurs.

Voilà, donc au lieu de jeter votre vieille caméra chinoise, vous pouvez la revitaliser avec un firmware moderne et sécurisé. C’est bon pour votre portefeuille et pour la planète et qui sait, peut-être que ça poussera les fabricants traditionnels à être plus transparents sur leurs firmwares.

Le dépôt GitHub du projet est ici et si vous voulez approfondir, la documentation officielle est très complète et accessible même pour les débutants.

Vous connaissez les fortunes ? Mais siii, ce sont petites citations aléatoires qui s’affichent dans le terminal ! Eh bien figurez-vous que Debian a décidé de faire le grand ménage dans les versions “offensantes” de ces paquets. Et forcément, ça fait des vagues.

L’histoire a commencé avec deux bug reports (#1109166 et #1109167) déposés par Andrew M.A. Cater qui a tout simplement demandé la suppression pure et simple des paquets fortunes-es-off (la version espagnole) et fortunes-it-off (la version italienne), arguant que ces blagues n’avaient “aucune place dans Debian”. Et c’est là, que c’est parti en cacahuète.

D’un côté, il y a donc Agustin Martin qui maintient le paquet espagnol depuis des années et qui nous explique qu’il a déjà fait un sacré tri en virant les trucs vraiment violents, et que ce qui reste c’est de l’humour qui peut choquer certaines personnes “avec un seuil de tolérance bas”. Et de l’autre, Salvo Tomaselli qui gère la version italienne et qui n’était vraiment pas content qu’on lui demande de supprimer son paquet en pleine période de freeze.

Alors quand le contributeur NoisyCoil a analysé le contenu du paquet italien et y a trouvé des citations qui appellent explicitement à la violence contre les femmes, du genre, des trucs qui disent que les femmes devraient être battues régulièrement, c’était plus possible !

Là, on n’était clairement plus dans l’humour douteux mais dans quelque chose de beaucoup plus problématique.

Paul Gevers de l’équipe de release Debian a donc tranché en déclarant que “les versions offensantes des paquets fortune n’ont plus leur place dans Debian”. Une décision qui fait écho à ce qui s’était déjà passé avec la version anglaise fortunes-off, supprimée il y a déjà quelques années.

Ce qui est intéressant, je trouve, dans cette histoire, c’est de voir comment une communauté open source gère ce genre de tensions car d’un côté, vous avez cette “tradition” de la liberté totale, et de l’autre, la volonté de créer un environnement inclusif.

Mais bon, au final, Tomaselli a cédé et supprimé les paquets offensants notant avec une pointe d’ironie dans le changelog que c’était dû à des “bug reports bien synchronisés de l’équipe de release pendant la période de freeze”.

Alors est-ce qu’on doit tout accepter au nom de la liberté ? Ou est-ce qu’il y a des limites à ne pas franchir ?

Perso, je pense qu’entre une blague de mauvais goût et un appel à la violence contre les femmes, il y a quand même une sacrée différence. Mais bon visiblement, tout le monde n’est pas d’accord là-dessus… Certes les mentalités évoluent dans le bon sens, mais il y en a qui évoluent moins vite que les autres (voire qui sont encore bloqués dans les années 50…).

Bref, ce qui est sûr, c’est que tant que certains n’auront pas compris que discriminer des gens déjà fortement discriminés, ce n’est pas de l’humour mais de la violence, alors ce genre de débat continuera à agiter le monde du libre !

Source

Dans une étude publiée fin juillet 2025, les chercheurs de Sonatype annoncent avoir détecté une vaste campagne d’espionnage menée au sein des écosystèmes open source. Aux commandes : Lazarus, un groupe cybercriminel affilié à l’État nord-coréen, connu depuis plus d’une décennie pour des détournements spectaculaires de crypto-monnaies au profit du régime de Pyongyang.

Dans une étude publiée fin juillet 2025, les chercheurs de Sonatype annoncent avoir détecté une vaste campagne d’espionnage menée au sein des écosystèmes open source. Aux commandes : Lazarus, un groupe cybercriminel affilié à l’État nord-coréen, connu depuis plus d’une décennie pour des détournements spectaculaires de crypto-monnaies au profit du régime de Pyongyang.

C’est l’histoire d’un développeur polonais a quitté son job il y a plus d’un an pour créer un éditeur graphique et il s’est dit que ce serait cool de le donner gratuitement !

Krzysztof Krysiński et son équipe viennent de sortir PixiEditor 2, et c’est une claque monumentale. Fini l’époque où il fallait jongler entre Photoshop, Illustrator et Aseprite car cette petite équipe européenne a créé le premier véritable “éditeur 2D universel”.

Jusqu’à présent, PixiEditor était surtout connu comme un éditeur de pixel art sympa mais limité. Cette version 2.0 change complètement la donne puisque l’équipe a construit un pipeline de rendu raster/vectoriel ultra configurable qui s’adapte à n’importe quel workflow. Vous pouvez littéralement switcher entre trois modes de travail : Painting (pour le dessin classique), Pixel Art (avec des outils pixel-perfect) et Vector (pour les logos et illustrations scalables).

Mais parlons surtout du Node Graph, parce que c’est là que PixiEditor devient vraiment foufou. Grâce à ce truc, vous allez pouvoir créer des effets visuels complexes juste en connectant des boîtes entre elles. Chaque layer devient ainsi un node, et vous pouvez les combiner pour créer des trucs impossibles dans un éditeur classique. L’équipe a même réussi à créer un workspace de texturing 3D avec preview en temps réel. Je vous rappelle que c’est un éditeur 2D à la base !

Les animations ont également été ajoutées après des années de demandes et surtout PixiEditor ne s’est pas contenté du minimum. Vous avez le frame par frame classique pour vos sprites de jeu, mais aussi la possibilité d’animer vos nodes pour créer des effets procéduraux. Y’a aussi de l’export en GIF, MP4 ou spritesheet pour vos jeux… Toutefois, il manque encore les animations vectorielles avec keyframes, mais c’est prévu pour après cette mouture.

Pour les pixel artists, c’est aussi Noël car le mode Pixel Art propose un brush avec option pixel-perfect (plus de pixels baveux !), des outils de transformation qui préservent le style pixel (scale, rotate, skew sans antialiasing), et même un outil texte non-destructif qui reste pixel-perfect lui aussi. Les palettes sont gérées nativement avec import / export vers tous les formats populaires, s’il vous plait !

Il y beaucoup d’attention aux détails dans cette release. Les vecteurs supportent le high DPI natif, donc vos logos restent nets même sur un document basse résolution. Le système de preview permet d’avoir plusieurs viewports sur le même fichier ce qui est super pratique pour voir différentes sorties de votre node graph en simultané. Et cerise sur le gâteau, tout fonctionne offline, pas besoin de connexion internet.

Notez que l’équipe a créé Pixi Labs Sp. z o.o., une entité légale polonaise pour gérer le projet, mais pas de panique car PixiEditor reste libre et gratuit. Leur modèle économique est transparent et malin puisqu’ils maintiennent et développent PixiEditor gratuitement tout en vendant des extensions et assets optionnels.

Par exemple, le Founder’s Pack inclut des workspaces spécialisés (card builder pour créer des cartes de jeu, texturing 3D, animations réutilisables) et 21 palettes exclusives. C’est du win-win comme ça vous soutenez le développement et vous récupérez des outils sympas.

Niveau config, il vous faudra un GPU compatible Vulkan (la plupart des cartes récentes) et un système 64 bits. Et si votre machine est trop vieille, vous pouvez toujours utiliser PixiEditor 1.0 via Steam. Linux est même maintenant officiellement supporté, ce qui manquait cruellement à la v1. Les développeurs bossent dur pour supporter plus de configurations, mais désolé de vous le dire, le 32 bits c’est fini.

Son but initial était de construire un éditeur libre qui peut gérer TOUTE la 2D et la mission est accomplie… PixiEditor 2.0 n’est pas “encore un clone de Photoshop” mais plutôt une nouvelle vision de ce que devrait être un éditeur graphique moderne.

Si ça vous tente, c’est disponible sur Steam, le Microsoft Store, ou directement sur leur site. Le code source est sur GitHub si vous voulez contribuer ou compiler vous-même.

Et l’avenir s’annonce radieux avec une roadmap ambitieuse : version web, marketplace d’assets, CLI pour l’automatisation, format de fichier interactif, et surtout une API d’extensions avec store intégré façon Visual Studio Code.

Le but étant de permettre le développement d’extensions dans presque n’importe quel langage grâce aux composants WASI. Grâce à toutes ses fonctionnalités, PixiEditor a les épaules pour devenir LE standard de la création 2D libre. En attendant, c’est déjà un outil incroyablement puissant qui ridiculise pas mal de solutions payantes.

Source

Bon, on va être clair, créer des environnements 3D, c’est généralement l’enfer. Il faut des semaines de modélisation, de texturing, d’optimisation… Et bien Tencent vient de court-circuiter tout ça avec Hunyuan World Model, une IA qui génère des mondes 3D complets à partir d’un simple texte. Et c’est open source.

Le 26 juillet dernier, ils ont donc sorti Hunyuan World Model 1.0, leur premier modèle open source capable de générer des mondes 3D immersifs et interactifs. En gros, vous tapez “une forêt enchantée avec des champignons luminescents et un château en ruines”, et boom, vous avez votre environnement prêt à l’emploi. Ou à partir d’une simple photo, l’IA vous reconstruit la scène en 3D navigable.

D’ailleurs, la fonctionnalité qui m’a le plus intéressé, c’est la possibilité d’isoler et de manipuler individuellement chaque élément de la scène. Vous voyez une voiture dans votre monde généré ? Vous pouvez la sélectionner, la déplacer, la dupliquer ou la supprimer. Pareil pour les arbres, les bâtiments, le mobilier. Le ciel est même traité comme une source de lumière dynamique, ce qui donne un rendu ultra réaliste avec des ombres qui bougent selon l’heure du jour.

Et l’export, c’est que du bonheur. Les scènes générées peuvent être exportées en fichiers mesh compatibles avec tous les moteurs de jeu : Unity, Unreal Engine, Godot… Bref, Tencent a vraiment pensé aux développeurs en rendant leur outil compatible avec les pipelines graphiques standards, comme ça, plus besoin de passer par 36 conversions pour intégrer vos environnements dans votre projet.

Et les performances sont impressionnantes aussi. Dans leurs benchmarks, Hunyuan World Model surpasse tous les autres modèles open source en termes de qualité visuelle et de cohérence géométrique. L’équipe a comparé avec des méthodes de génération panoramique et de reconstruction 3D existantes, et leur modèle les bat sur tous les critères. C’est basé sur Flux mais ça peut facilement être adapté à d’autres modèles comme Stable Diffusion ou leur propre Hunyuan Image.

Par contre, faut pas s’emballer non plus. La version actuelle ne génère pas des mondes totalement explorables façon GTA ou Skyrim. Ce que vous obtenez, c’est plutôt des panoramas 3D interactifs. Vous pouvez regarder autour de vous à 360 degrés et naviguer un peu, mais les mouvements de caméra restent limités. Pour des déplacements plus poussés ou des séquences vidéo 3D cohérentes, il faudra utiliser leur add-on Voyager.

Le code est dispo sur GitHub et Hugging Face, avec toute la doc pour l’installer et le faire tourner et Tencent a même mis en ligne une démo interactive sur sceneTo3D (mais il faut un compte compatible Chine pour y accéder). Cette ouverture s’inscrit dans une stratégie plus large de Tencent qui a aussi libéré Hunyuan3D 2.0 pour la génération de modèles 3D texturés, HunyuanVideo pour la vidéo IA et leur modèle de langage Hunyuan-A13B.

Vous vous en doutez, à terme, ça va révolutionner plusieurs domaines. La création de contenu VR devient accessible à tous et y’aura bientôt plus besoin d’une équipe de modélisateurs 3D pour créer des environnements immersifs. Les game designers peuvent également prototyper des niveaux en quelques minutes au lieu de semaines. Les architectes peuvent visualiser des espaces à partir de simples descriptions. Même pour la formation et la simulation, les possibilités sont énormes.

Et ce qui est fou, c’est qu’on n’en est qu’au début. Dans quelques années on pourra probablement générer des mondes persistants, totalement explorables, avec une physique réaliste et des PNJ intelligents, juste en décrivant ce qu’on veut. Les métavers vont enfin pouvoir se peupler de contenus variés sans nécessiter des années de développement.

Bref, en attendant, si vous êtes développeur, artiste 3D ou simplement curieux, foncez tester Hunyuan World Model. C’est gratuit, c’est puissant, et ça donne un aperçu excitant du futur de la création 3D. À voir maintenant comment la communauté va s’emparer de cet outil pour créer des trucs complètement dingues.

Source

Je viens de tomber sur un truc qui va changer votre vie si vous galérez avec le streaming vidéo. Vous savez, quand votre caméra de surveillance parle en RTSP mais que votre navigateur ne comprend que le WebRTC… Ou quand vous voulez utiliser une caméra HomeKit sans avoir un seul produit Apple chez vous ? Bah voilà, j’ai trouvé y’a un remède miracle et ça s’appelle go2rtc.

C’est un projet open source développé par AlexxIT, qui fait office de traducteur universel pour tous vos flux vidéo. En gros, peu importe le protocole d’entrée ou de sortie que vous voulez utiliser, go2rtc s’en occupe. En plus, c’est léger, ça tourne sur un Raspberry Pi, et ça ne demande quasi aucune config.

Car oui, le streaming vidéo dans le monde de la domotique, c’est un peu le far west. Chaque fabricant y va de son petit protocole propriétaire, et au final on se retrouve avec :

• Des caméras qui ne discutent qu’en RTSP
• Des navigateurs qui ne comprennent que le WebRTC
• Des applis mobiles qui veulent du HLS
• Et HomeKit qui fait sa princesse avec son protocole à lui

Du coup, on passe notre temps à chercher des solutions de contournement, à installer 50 logiciels différents, et au final ça marche une fois sur deux avec une latence de malade.

C’est là que go2rtc entre en scène. Cet outil fait office de proxy universel pour vos flux vidéo. Il prend n’importe quelle source (RTSP, RTMP, HTTP, USB, HomeKit…) et la convertit à la volée dans le format que vous voulez (WebRTC, HLS, MJPEG, MSE/MP4…).

Le truc vraiment cool, c’est que c’est juste un binaire, sans aucune dépendances. Vous le téléchargez, vous le lancez, et boom, ça marche. Pas besoin d’installer Java, Python ou je ne sais quelle autre usine à gaz car c’est du Go compilé, donc c’est rapide et léger.

Voici ce que go2rtc peut faire pour vous :

• Conversion de protocoles : RTSP vers WebRTC, RTMP vers HLS, etc.
• Latence ultra-faible : 0.5 secondes avec WebRTC (contre plusieurs secondes habituellement)
• Support HomeKit : Utilisez vos caméras HomeKit sans produits Apple
• Audio bidirectionnel : Sur les caméras compatibles (Tapo, certaines Dahua, etc.)
• Transcodage à la volée : Via FFmpeg si nécessaire
• Multi-sources : Mixez plusieurs flux en un seul

Pour l’installation de go2rtc, c’est vraiment du gâteau :

Option 1 : Le binaire tout simple

Allez sur la page des releases GitHub, téléchargez le binaire pour votre OS (Windows, Linux, macOS, ARM…), et lancez-le. C’est tout.

# Linux/Mac
chmod +x go2rtc_linux_amd64
./go2rtc_linux_amd64
# Windows
go2rtc_win64.exe

Option 2 : Docker pour les pros

Si vous êtes team Docker, c’est encore plus simple :

services:
go2rtc:
image: alexxit/go2rtc:master-hardware
network_mode: host # important pour WebRTC et HomeKit
privileged: true # seulement si vous voulez le transcodage hardware
restart: unless-stopped

Option 3 : Add-on Home Assistant

Pour les utilisateurs de Home Assistant, il y a un add-on officiel. Ajoutez le repo https://github.com/AlexxIT/hassio-addons et installez go2rtc en deux clics.

Voilà pour l’install… Ensuite, la config de go2rtc tient dans un fichier YAML tout simple dont voici un exemple basique :

streams:
# Caméra salon avec RTSP
salon:
- rtsp://admin:[email protected]/stream1
# Caméra avec rotation de 90°
entree:
- ffmpeg:rtsp://admin:[email protected]/stream1#video=h264#rotate=90
# Caméra HomeKit (sans Apple !)
homekit_cam:
- homekit://AAAA-BBBB-CCCC-DDDD

Une fois configuré, vous accéderez alors à l’interface web sur http://localhost:1984/ et vous pourrez voir tous vos flux, les tester, et même générer des liens pour les intégrer ailleurs.

Voici quelques cas d’usages que j’ai trouvé cools :

• Vous avez une vieille caméra IP qui ne parle qu’en RTSP ? Pas de souci. go2rtc la convertit en WebRTC et hop, vous pouvez la voir directement dans votre navigateur avec une latence minimale.

• Sinon, vous pouvez utiliser des caméras HomeKit (comme l’Aqara G3) sans avoir un seul produit Apple. go2rtc fait le pont et vous permet de voir le flux dans n’importe quel navigateur ou application.

• Sur certaines caméras (TP-Link Tapo, certaines Dahua avec ONVIF Profile T), vous pouvez même avoir l’audio bidirectionnel. Pratique pour parler au livreur depuis votre canapé !

• Une source, plusieurs sorties. Votre caméra peut être vue en WebRTC sur votre navigateur, en RTSP sur votre NVR, et en HLS sur votre Apple TV. Tout ça en même temps.

Ce qui rend go2rtc vraiment génial, c’est l’attention aux détails :

• Interface web intégrée : Sur le port 1984, vous avez une interface pour tout gérer
• API complète : Pour intégrer go2rtc dans vos propres projets
• Support FFmpeg : Pour le transcodage quand nécessaire
• ngrok intégré : Pour accéder à vos caméras depuis l’extérieur
• Gestion des codecs intelligente : Négociation automatique des meilleurs codecs

Aussi, sur un Raspberry Pi 4, vous pouvez facilement gérer une dizaine de flux sans problème. La consommation CPU reste minimale tant que vous ne faites pas de transcodage.

Pour vous donner une idée :

• Simple proxy RTSP vers WebRTC : ~5% CPU sur un Pi 4
• Avec transcodage H265 vers H264 : ~40% CPU (mais utilisez le hardware si possible)
• Consommation RAM : environ 50MB par flux

Et surtout, go2rtc n’est pas juste un outil isolé. Non, non, il s’intègre parfaitement avec :

• Home Assistant : Via l’intégration WebRTC Camera
• Frigate : Pour l’enregistrement et la détection d’objets
• Scrypted : Comme source vidéo
• Node-RED : Pour l’automatisation

Bref, si vous voulez creuser le sujet, voici quelques ressources :

• Le GitHub officiel avec une doc complète
• Le wiki pour les configs avancées
• Les issues GitHub pour voir les problèmes connus

Et si vous êtes du genre bidouilleur, sachez que go2rtc expose une API complète donc vous pouvez donc l’intégrer dans vos propres projets, créer des interfaces custom, ou même contribuer au projet.

Allez, je vous laisse tester ça.

Vous en avez marre de jongler avec FileZilla ou de galérer avec les interfaces FTP préhistoriques ? Ça tombe bien car j’ai trouvé LA solution qui va vous simplifier la vie. Ça s’appelle FileGator, et c’est un gestionnaire de fichiers web open source qui permet de transformer n’importe quel serveur en plateforme de partage de fichiers moderne.

Le truc génial avec FileGator, c’est qu’il ne se contente pas de gérer vos fichiers locaux puisqu’il peut se connecter à Amazon S3, Dropbox, Azure Blob, Digital Ocean Spaces et plein d’autres services cloud grâce à Flysystem. Comme ça vous allez pouvoir gérer tous vos espaces de stockage depuis une seule interface web ! C’est cool non ?

L’interface construite avec Vue.js et Bulma, elle est plutôt propre et réactive et toutes les opérations de base sont là : copier, déplacer, renommer, éditer, créer, supprimer, prévisualiser, zipper, dézipper, télécharger et uploader. Il y a même un système d’upload, grâce à Resumable.js, qui vous permet d’uploader des fichiers énormes par chunks, avec une barre de progression, et même mettre en pause et reprendre plus tard. Comme ça, fini les uploads qui plantent après 2 heures !

La gestion multi-utilisateurs est aussi vraiment bien pensée. Vous pouvez créer des admins et des utilisateurs avec différents niveaux d’accès, des rôles personnalisés et des dossiers personnels. Parfait pour partager des documents avec votre équipe, donner accès à des étudiants pour qu’ils déposent leurs devoirs, ou permettre à des collaborateurs terrain d’uploader leurs rapports et photos. Les utilisateurs peuvent être stockés dans un simple fichier JSON, une base de données, ou même utiliser l’authentification WordPress si vous avez déjà un site.

Pour l’installation, c’est d’une simplicité déconcertante avec Docker. Une simple commande et hop, c’est parti :

docker run -p 8080:8080 -d filegator/filegator

Vous accédez ensuite à http://127.0.0.1:8080 et vous vous connectez avec admin/admin123. Si vous préférez une installation classique, il vous faut juste PHP, et vous pointez votre serveur web vers le dossier dist. Pas de base de données requise, tout est géré en fichiers ou via les adaptateurs de votre choix.

Y’a quand même quelques limitations à connaître… Les liens symboliques ne sont pas supportés (limitation de Flysystem), pas de gestion des propriétaires de fichiers (chown), et les performances peuvent se dégrader si vous avez vraiment beaucoup de fichiers dans un même dossier. Mais pour la plupart des usages, c’est largement suffisant.

Ce qui est cool aussi, c’est que le projet a une vraie histoire. À l’origine vendu sur CodeCanyon, il est devenu complètement open source et a été entièrement réécrit from scratch. La version 7 actuelle n’a plus rien à voir avec l’ancienne, et c’est tant mieux puisque le code est propre, bien testé, et l’architecture est extensible.

Pour les sessions, vous avez le choix : fichiers natifs, PDO, Redis, MongoDB, Memcached… Bref, ça s’adapte à votre infrastructure existante. Et si vous voulez contribuer ou personnaliser, le projet est sur GitHub avec une licence MIT, donc vous pouvez faire ce que vous voulez avec.

FileGator est donc parfait pour plein de cas d’usage : remplacer un vieux FTP, créer un cloud privé pour la famille, gérer un CDN avec plusieurs personnes, faire des sauvegardes cloud, ou simplement avoir un endroit centralisé pour gérer tous vos fichiers éparpillés sur différents services. Y’a même des gens qui l’utilisent pour des événements comme des mariages ou des remises de diplômes, où les invités peuvent uploader leurs photos.

Bref, si vous cherchez une alternative moderne au FTP qui ne vous coûtera pas un bras, FileGator est vraiment une excellente option. C’est gratuit, open source, activement maintenu, et ça fait le job avec classe.

Allez jeter un œil à la démo officielle pour vous faire une idée !

Et dire qu’en 2025, certains d’entre vous laissent encore traîner des API sans authentification avec des données sensibles dedans. Ça vous dirait pas de sécuriser un peu tout ça ?

Alors ça tombe bien car je viens de découvrir AutoSwagger, un outil gratuit développé par l’équipe d’Intruder qui scanne automatiquement les domaines à la recherche de documentation API exposée (du genre OpenAPI ou Swagger). Ensuite il parse tout ça pour générer une liste d’endpoints à tester et évidemment, il trouve des trucs de malade.

L’équipe d’Intruder a par exemple découvert des vulnérabilités assez dingues pendant leurs tests comme cette faille qui permettait à n’importe qui d’énumérer les infos des utilisateurs Active Directory sans authentification, un peu comme la CVE-2025-0589 trouvée récemment dans Octopus Deploy. Ils ont aussi déniché un endpoint ‘config’ qui exposait carrément les credentials et les clés API pour des datastores Microsoft Partner Program, avec en bonus les identifiants d’une base Redis contenant des données personnelles de partenaires. Sans oublier des enregistrements Salesforce avec des infos personnelles chez une grosse multinationale tech.

Et tout ça dans de grandes entreprises avec des équipes de sécurité bien matures. Selon le rapport Verizon 2025 sur les brèches de données, l’exploitation des vulnérabilités a augmenté de 34% en un an, et les droits et autorisations mal configurés restent parmi les failles les plus critiques.

Pour réussir ses analyses, AutoSwagger utilise trois méthodes pour découvrir les specs API. D’abord, si vous lui donnez une URL qui finit en .json, .yaml ou .yml, il va parser directement le fichier OpenAPI. Ensuite, il cherche les interfaces Swagger UI connues (comme /swagger-ui.html) et extrait les specs depuis le HTML ou le JavaScript. Et si ça ne marche toujours pas, il tente sa chance avec une liste d’endpoints par défaut comme /swagger.json ou /openapi.json.

Une fois qu’il a trouvé la documentation, AutoSwagger envoie des requêtes à chaque endpoint avec des paramètres valides tirés de la doc. Si au lieu de recevoir une erreur 401 ou 403 (non autorisé), il obtient une réponse valide, bingo ! Il a trouvé un endpoint non protégé.

Mais ce n’est pas tout. L’outil intègre Presidio pour identifier automatiquement les données personnelles comme les numéros de téléphone, les emails, les adresses et les noms. Il utilise aussi des regex pour détecter les tokens exposés, les clés API et autres artefacts de debug qui traînent. En gros, il fait tout le boulot qu’un pentester ferait manuellement, mais en quelques minutes.

Pour utiliser AutoSwagger, c’est super simple. Vous clonez le repo GitHub, vous installez les dépendances Python, et c’est parti :

git clone [email protected]:intruder-io/autoswagger.git
pip install -r requirements.txt
python3 autoswagger.py https://api.example.com -v

L’outil propose plein d’options intéressantes. Avec -risk, vous pouvez inclure les méthodes non-GET (POST, PUT, PATCH, DELETE) dans les tests. Le flag -all affiche tous les codes HTTP dans les résultats (pas seulement les 401/403). Et si vous voulez être vraiment méchant, -b ou --brute active le brute-forcing des valeurs de paramètres pour contourner certaines validations.

Vous pouvez aussi contrôler le débit avec -rate (30 requêtes par seconde par défaut) et obtenir les résultats en JSON avec -json. Le mode -product est particulièrement utile car il ne montre que les endpoints qui contiennent des données personnelles ou des secrets.

La plupart des failles découvertes sont encore super communes, même chez les gros et elles peuvent être exploitées avec très peu de compétences techniques. N’importe qui peut par exemple lancer AutoSwagger et potentiellement trouver des données sensibles.

Les experts en sécurité recommandent évidemment de ne jamais exposer la documentation de vos API sauf si c’est absolument nécessaire pour le business. C’est du bon sens, mais apparemment, beaucoup l’oublient car exposer votre doc Swagger, c’est comme donner le plan de votre maison à des cambrioleurs.

L’équipe d’Intruder précise que cette première version d’AutoSwagger n’est pas encore complète car il y a certains types de spécifications que l’outil ne gère pas encore. Mais c’est open source, donc n’hésitez pas à contribuer et ajouter vos propres regex de détection selon vos besoins.

Et pour ceux qui veulent tester leurs propres API, car c’est ça l’objectif de cet outil, voici quelques conseils. D’abord, utilisez toujours l’outil en mode verbose (-v) pour voir exactement ce qui se passe. Les logs sont stockés dans ~/.autoswagger/logs. Ensuite, commencez par des tests sans risque (GET uniquement) avant de passer aux méthodes plus dangereuses. Et surtout, testez uniquement vos propres API ou celles pour lesquelles vous avez une autorisation explicite, sinon vous irez en prison car c’est illégal.

Les résultats peuvent ensuite être interprétés assez facilement. Les endpoints qui retournent un code 200 sont ceux qui méritent votre attention, surtout s’ils sont marqués comme contenant des données personnelles ou des secrets. AutoSwagger fait une bonne partie du travail, mais une vérification manuelle reste indispensable. Utilisez alors curl, Postman ou Burp Suite pour confirmer vos découvertes.

L’outil affiche aussi des statistiques intéressantes avec -stats. Vous pouvez voir combien d’hôtes ont des specs valides, lesquels exposent des données personnelles, le nombre total de requêtes envoyées, le RPS moyen, et le pourcentage d’endpoints qui répondent avec des codes 2xx ou 4xx.

Au final, AutoSwagger est un super outil pour les équipes de sécurité qui veulent tester leurs API mais c’est aussi, je trouve, un rappel brutal que les bases de la sécurité API sont encore mal appliquées. Donc si vous développez des API, prenez le temps de vérifier que chaque endpoint nécessite une authentification appropriée. Et si possible, ne documentez publiquement que ce qui est absolument nécessaire !

D’ailleurs, grand merci à Lorenper qui m’a fait découvrir cet outil !

Saviez-vous qu’il existe un système de conduite autonome open source qui fonctionne sur des centaines de modèles de voitures, qui a parcouru 100 millions de miles avec ses utilisateurs et dont personne ne parle ?

OpenPilot, développé par Comma.ai, c’est le secret le mieux gardé de l’industrie automobile. C’est un logiciel libre créé par George Hotz, le génie qui avait jailbreaké l’iPhone à 17 ans, qui est capable de transformer votre voiture pourrie en K2000 à moindre coût.

Leur boitier, le Comma 3X, c’est trois caméras HDR, 128 GB de stockage, un GPS haute précision, et hop, votre caisse devient semi-autonome. Installation en quelques minutes, compatible avec plus de 300 modèles.

En avril 2024, un mec a même traversé les États-Unis avec une Prius 2017 équipée de ce truc : 43 heures, dont 98,4% passées en conduite autonome. Consumer Reports l’a même classé au-dessus de l’Autopilot Tesla en 2020. Et c’est open source, gratuit, modifiable, améliorable.

D’un côté on a une solution qui marche très bien, testée sur des millions de kilomètres, avec une communauté de dizaines de dev qui l’améliorent en permanence. Et de l’autre, on avait quand même Carlos Tavares (l’ancien PDG de Stellantis) qui chialait que c’est trop cher de développer des voitures électriques et autonomes. Bah fallait prendre OpenPilot, champion ! C’est gratuit !

Car pendant que nos constructeurs européens se touchent la nouille, les autres foncent. Waymo, la filiale d’Alphabet, c’est 200 000 courses par semaine sans conducteur à San Francisco, Phoenix, Los Angeles. Leurs Jaguar I-PACE modifiées ont déjà parcouru 32 millions de kilomètres. Une étude a même montré qu’il y avait 82% d’accidents en moins avec les vélos et 92% en moins avec les piétons pour Waymo comparé aux conducteurs humains.

Mercedes a quand même réussi à sortir le premier vrai Level 3 commercial. Cela s’appelle le Drive Pilot et ça permet légalement de regarder Netflix en conduisant à max 95 km/h en Allemagne, 60 aux USA, et ça coute 2500 dollars l’option. C’est bien, mais c’est réservé aux richous qui prennent des Classe S.

Peugeot ? Citroën ? Fiat ? Même pas la peine d’en parler. Leur “conduite autonome”, c’est un régulateur de vitesse adaptatif qui freine quand la voiture devant freine. C’était révolutionnaire en 2005.

Le plus triste c’est surtout Cariad, la filiale software de Volkswagen avec ses milliards investis, des retards permanents, un bordel sans nom. Ils ont viré le patron, restructuré trois fois, et toujours rien qui sort.

Et pendant ce temps, des hackers en tongs développent OpenPilot depuis leur canapé… Bref, voici ce que je pense : Si un constructeur adoptait OpenPilot demain, voilà ce qu’il gagnerait :

• Économies massives : Fini les centaines de millions en R&D. Le code est là, il marche, il est testé.
• Rapidité : Au lieu de 5 ans de développement, 6 mois d’intégration.
• Communauté : Des milliers de développeurs qui bossent gratos pour améliorer le système.
• Compatibilité : Déjà testé sur des centaines de modèles. L’adaptation est triviale.
• Innovation continue : Les mises à jour arrivent en permanence de la communauté.
• Transparence : Tout est auditable. Pas de boîte noire.

“Mais Korben, c’est pas si simple, la vie c’est beaucoup plus compliqué, tu es tellement idiot et naïf !”

Ah ouais ? Voyons voir :

• “On perd le contrôle” : Android c’est open source et ça empêche pas Samsung de faire des milliards. Vous prenez le code, vous l’adaptez, vous gardez vos modifs si vous voulez, et vous pouvez même contribuer.
• “C’est pas sûr” : 160 millions de km parcourus et surtout Consumer Reports qui le classe au-dessus de Tesla. Question suivante ?
• “L’image de marque” : Quelle image ? Celle du constructeur à la traîne qui propose rien face aux Chinois ?
• “Les assurances” : OpenPilot est Level 2, comme 99% des systèmes actuels. C’est la même responsabilité légale.
• “C’est compliqué à intégrer” : Plus compliqué que de développer from scratch ? Sérieusement ? Je pense pas…

Et le pompon pour moi, c’est la réglementation sur la conduite autonome. C’est l’ONU qui gère via l’UNECE et ils ont même autorisé le Level 3 jusqu’à 130 km/h sur autoroute avec leur Regulation R157. Super.

Sauf que chaque pays doit transposer ça dans sa réglementation et la France, bah sans surprise, toujours rien. On attend, on “étudie” et pendant ce temps, l’Allemagne autorise Mercedes, les USA testent la conduite autonome partout, et la Chine j’en parle même pas.

Le plus con c’est qu’OpenPilot c’est du Level 2, donc aucun problème réglementaire mais nos génies préfèrent attendre une hypothétique régulation Level 3 plutôt que de déployer ce qui marche déjà. N’oubliez pas que l’industrie chinoise prévoit 15 millions de voitures autonomes en 2025… et nous ? Bah on débat de la couleur des clignotants.

Bref, le paysage actuel de la voiture autonome, c’est Tesla qui a le lead commercial avec son marketing de ouf, Xiaomi qui devrait bientôt les dépasser et Waymo domine les robotaxis, sans oublier BYD qui démocratise à tour de bras.

Et au milieu de tout ça, OpenPilot est là. Disponible, gratuit, fonctionnel. C’est une solution miracle servie sur un plateau d’argent qui pourrait vraiment permettre aux constructeurs européens de rattraper leur retard. Mais bon, avec Stellantis qui préfère pleurer sur les coûts, Renault qui promet des trucs pour quand on sera déjà tous morts et Volkswagen qui préfère restructurer Cariad pour la énième fois plutôt que de délivrer du concret, on n’est pas sorti de l’auberge.

A croire que leur plan secret c’est d’attendre que les Chinois rachètent tout ou simplement de disparaître.

Voilà, la révolution de la conduite autonome, c’est MAINTENANT. Pas dans 5 ans, les gars ! Encore une fois, l’Europe va rater le coche, comme pour les smartphones. Comme pour les réseaux sociaux. Comme pour l’IA et j’en passe.

Bref, si vous conduisez toujours manuellement en 2025, c’est normal car les constructeurs aussi, visiblement.

Marre de Nextcloud qui rame comme un escargot asthmatique ? Vous cherchez une solution pour partager des fichiers sans vous prendre la tête avec des configs interminables ? Alors voici un truc vraiment cool qui devrait vous plaire : Copyparty.

Il s’agit d’un serveur de fichiers complet qui tient dans un seul fichier Python. Pas de dépendances obligatoires, pas de base de données MySQL qui fait des siennes, pas de 150 services Docker à orchestrer, vous téléchargez simplement copyparty-sfx.py, vous le lancez, et hop, vous avez un serveur de fichiers qui fonctionne.

C’est un outil qui gère les uploads resumables (vous pouvez mettre en pause et reprendre vos transferts), le WebDAV pour monter votre serveur comme un disque réseau, un serveur FTP intégré, et même du TFTP si vous êtes dans le rétro.

Et l’interface web est plutôt bien fichue. Vous avez un lecteur audio intégré qui transcode à la volée en MP3 ou Opus selon votre navigateur, un visualiseur de markdown, la génération de miniatures pour les images et vidéos, et même un éditeur de texte avec coloration syntaxique. Et le plus fou c’est que ça marche même sur Internet Explorer 6 !

Pour l’installation, sous Linux/Mac, vous faites :

wget https://github.com/9001/copyparty/releases/latest/download/copyparty-sfx.py
python3 copyparty-sfx.py

Et voilà, votre serveur tourne sur le port 3923. Par défaut, tout le monde a accès en lecture/écriture au dossier courant, donc pensez à configurer les permissions si vous ne voulez pas que votre beau-frère supprime votre collection de nudes.

Pour une config plus sérieuse, vous pouvez créer des volumes avec des permissions spécifiques. Par exemple :

python3 copyparty-sfx.py -v /mnt/musique:/music:r:rw,bob -a bob:motdepasse123

Ça partage votre dossier /mnt/musique sous l’URL /music, lisible par tous mais modifiable uniquement par l’utilisateur bob.

La fonctionnalité qui va vous faire tomber de votre chaise, c’est le “race the beam”. En gros, vous pouvez commencer à télécharger un fichier pendant qu’il est encore en cours d’upload. C’est du quasi peer-to-peer sans la complexité donc c’est parfait pour partager rapidement des gros fichiers avec des potes.

Et niveau performances, c’est plutôt honorable puisque le développeur annonce 8 Go/s en download et 1 Go/s en upload sur du bon matos. Et si vous voulez rendre votre serveur accessible depuis internet, vous pouvez utiliser Cloudflare Tunnel. C’est gratuit et ça marche nickel :

cloudflared tunnel --url http://127.0.0.1:3923

Cloudflare vous donnera une URL aléatoire que vous pouvez partager. Pensez juste à ajouter --xff-hdr cf-connecting-ip à copyparty pour qu’il détecte correctement les IPs des clients.

Pour les power users, copyparty c’est aussi :

• Un serveur SMB/CIFS (pour monter comme un partage Windows)
• La déduplication automatique des fichiers (avec des liens symboliques)
• L’indexation du contenu avec recherche par tags ID3
• Des hooks d’événements pour scripter des actions
• Un support complet de IPv6 et des sockets Unix
• Une API HTTP pour automatiser des trucs

Le projet est activement maintenu par un développeur qui se fait appeler “9001” (ou “ed”) sur GitHub et il y a même une démo en ligne si vous voulez tester avant d’installer.

Comparé à Nextcloud, c’est clairement moins complet en termes de fonctionnalités collaboratives car y’a pas de calendrier, pas de contacts, pas de suite office intégrée…etc mais si vous cherchez juste un moyen simple et efficace de partager des fichiers, copyparty fait le job sans vous prendre la tête.

Bref, si vous en avez marre des usines à gaz et que vous voulez juste un serveur de fichiers qui marche, copyparty mérite le détour.

Ce lundi matin, pendant que vous buvez votre café tiède en écoutant vos collègues évoquer leur future retraite imaginaire, sachez que des chercheurs singapouriens vient encore de repousser les frontières de l’IA avec HRM, un modèle qui résout des Sudoku impossibles sans même transpirer. Et il ne pèse que 27 Mo.

Je vous explique… La startup Sapient Intelligence vient de sortir le Hierarchical Reasoning Model (HRM), et c’est un véritable game-changer car avec seulement 27 millions de paramètres (c’est 6500 fois moins que GPT-3) cette petite bête arrive à battre les géants de l’IA sur des tâches de raisonnement complexe. Et le plus fort c’est qu’elle n’a besoin que de 1000 exemples pour apprendre, là où les autres en demandent des millions.

Le secret de cette prouesse, c’est une architecture directement inspirée de notre cerveau. Au lieu de faire comme les LLMs classiques qui génèrent du texte token par token en mode “je réfléchis à voix haute”, HRM fonctionne avec deux modules qui bossent ensemble : un module H (High-level) qui fait la planification stratégique lente, et un module L (Low-level) pour les calculs rapides et détaillés. En gros c’est un architecte qui dessine les plans et un maçon qui construit.

Et alors ça donne quoi dans la réalité ? Et bien sur des Sudoku niveau “extreme” où GPT-4 et Claude se cassent les dents avec un score de 0%, HRM affiche tranquillement un taux de réussite quasi parfait. Sur le benchmark ARC-AGI qui teste le raisonnement abstrait, il tape des scores de 40.3% contre 34.5% pour o3-mini d’OpenAI et 21.2% pour Claude 3.7 Sonnet. Pas mal donc pour un modèle qui tient sur une clé USB.

Mais le vrai kiff, c’est la vitesse d’exécution. Guan Wang, le CEO de Sapient Intelligence, parle d’un gain de performance de x100 par rapport aux approches chain-of-thought classiques. Pourquoi ? Et bien parce qu’au lieu de générer des pavés de texte pour expliquer chaque étape de raisonnement, HRM fait tout ça en interne, dans son “espace latent”. C’est ça la différence entre quelqu’un qui marmonne tout ce qu’il pense (le fou de la gare) et quelqu’un qui réfléchit dans sa tête avant de donner la réponse.

D’ailleurs, cette histoire de chain-of-thought, c’est un peu la “béquille” des LLMs actuels. Les chercheurs de Sapient ne mâchent pas leurs mots dans leur papier : en disant que “C’est une béquille, pas une solution satisfaisante. Ça repose sur des décompositions fragiles définies par l’humain où une seule erreur peut faire dérailler tout le processus de raisonnement.” Ouille…

Pour l’entraînement, c’est du grand art aussi. Il faut seulement 2 heures de GPU pour apprendre à résoudre des Sudoku niveau pro, et entre 50 et 200 heures pour le benchmark ARC-AGI. Comparez ça aux milliers d’heures nécessaires pour entraîner GPT-4, et vous comprenez pourquoi les entreprises commencent à s’intéresser sérieusement à cette approche.

L’équipe derrière ça sont des anciens de Google DeepMind, DeepSeek, Anthropic et xAI, accompagnés d’académiques de grandes universités. Ils ont même mis le code en open source sur GitHub, donc si vous voulez jouer avec, c’est cadeau.

Pour les applications concrètes, Wang voit grand : santé pour les diagnostics complexes, prévisions climatiques (ils annoncent 97% de précision sur les prévisions saisonnières), et robotique comme “cerveau décisionnel” embarqué. Parce que oui, avec sa taille réduite et sa faible consommation, HRM peut tourner sur des appareils edge sans problème.

Alors bien sûr, ne jetez pas ChatGPT ou Claude à la poubelle tout de suite car pour les tâches créatives et linguistiques, les LLMs restent imbattables. Mais pour tout ce qui demande du raisonnement pur et dur, c’est à dire optimisation logistique, diagnostic de systèmes complexes, planification…etc, HRM pourrait bien devenir le nouveau standard.

Ainsi, depuis des années, la course à l’IA c’était “qui aura le plus gros modèle” et là, Sapient nous montre qu’avec une architecture intelligente inspirée du cerveau, on peut faire mieux avec infiniment moins. Si vous suivez l’actualité des nouveaux modèles IA comme Llama 4, vous savez que l’industrie commence à explorer des architectures alternatives comme par exemple les Mixture of Experts pour optimiser les performances, donc peut-être que Meta ou d’autres intégreront HRM dans le futur à leurs nouveaux modèles.

Voilà, en attendant la prochaine révolution hebdomadaire de l’IA (Perso, je me régale !! Pas vous ??), vous pouvez déjà aller tester le code sur leur GitHub. Et qui sait, peut-être que dans quelques années, on se souviendra de ce moment comme du jour où l’IA a commencé à vraiment penser comme nous. Enfin, en mieux et en plus vite.

Source

Bon, Google va tuer goo.gl dans un mois et ce sont moins de 4 milliards de liens vont partir en fumée. Snif…

Vous le savez, ça fait des années que je dis qu’il ne faut JAMAIS utiliser ces services pour du long terme. J’ai même eu des discussions houleuses avec des internautes qui me trouvaient parano. “Mais nooooon, Google va pas fermer ça, tout le monde l’utilise !” Bah voilà, on y est. C’est d’ailleurs exactement pour ça que j’ai pris mon propre domaine kbn.im car au moins, je contrôle mes liens raccourcis.

Donc à partir du 25 août 2025, tous les liens créés avec le raccourcisseur de Google vont renvoyer une erreur 404. Cela représente 3,6 milliards de liens actifs répartis sur 3,2 millions de sites web. Des années d’archives, de QR codes, de campagnes marketing…etc… tout va disparaître d’un coup.

Alors pour comprendre comment on en est arrivé là, petit flashback…

Google avait fermé son service de raccourcissement d’URL en 2019. À l’époque, ils avaient cité des “changements dans la façon dont les gens trouvent du contenu sur internet” ce qui veut dire en langue Google que ça ne rapportait pas assez. Mais les liens existants ont continué à fonctionner, donc tout le monde s’est dit “ouf, on est sauvés”. Mais que nenni car depuis juillet 2024, Google affiche un message d’avertissement quand on clique sur un lien goo.gl. Genre “ce lien ne fonctionnera bientôt plus, bande de tocards”. Les gens ont bien sûr commencé à flipper, mais beaucoup se sont dit “bah on verra bien”. Et maintenant, c’est la sentence finale : extinction totale dans un mois.

Les raccourcisseurs d’URL, c’est vraiment la plaie du web moderne. D’abord, niveau sécurité, c’est une catastrophe. Par exemple, des chercheurs ont découvert que certaines URL raccourcies ne sont pas générées aléatoirement comme on pourrait le croire. Résultat ? On peut les deviner par force brute. Sur OneDrive, ils ont scanné 100 millions de liens courts et ont eu accès à 1,1 million de fichiers. Vos photos de vacances, vos factures, vos documents perso… tout ça accessible à n’importe qui avec un peu de patience. Sympa pour la confidentialité.

Et puis y’a le phishing. Quand vous cliquez sur un lien raccourci, vous ne savez pas où vous allez atterrir. C’est l’outil parfait pour les arnaqueurs. Sans compter que ces services peuvent être hackés. C’est arrivé à urlmin.com : un pirate a pris le contrôle du serveur et pouf, tous les liens raccourcis ont été détournés.

Du coup, qu’est-ce qu’on fait maintenant ? Et bien si vous avez des liens goo.gl, vous avez plusieurs options. Les alternatives classiques comme Bitly, TinyURL ou Rebrandly existent toujours. Mais franchement, vous allez refaire la même erreur ? Dans 5 ans, on aura le même problème quand l’un d’eux fermera boutique. Sinon, il y a aussi Shlink, une alternative moderne à YOURLS que j’aime bien.

L’avantage, c’est qu’avec ce genre d’outils, vous contrôlez tout. Les stats, les redirections, les personnalisations… Vous pouvez même faire des trucs marrants, genre des liens qui changent selon l’heure de la journée et surtout, si un jour vous arrêtez, vous pouvez toujours garder le domaine et faire des redirections manuelles pour les liens importants. Bref, un domaine court, ça coûte entre 10 et 50 euros par an selon l’extension. C’est le prix de quelques kebabs et franchement c’est rien comparé au bordel que ça évite.

En tout cas, Google, c’est le champion toutes catégories pour tuer ses services. Vous vous souvenez de Google Reader ? Google Wave ? Google+ ? Stadia ? Code Jam ? La liste est longue. Le site “Killed by Google” recense 297 produits morts. C’est leur spécialité… Ils lancent un truc, tout le monde devient accro, et paf ! “Désolé, ça correspond plus à notre stratégie”.

Bref, retenez cette leçon. Je sais que je radote avec mon “contrôlez vos données” mais là, on a la preuve en direct que moi et bien d’autres avons raison. Ne confiez jamais vos données critiques à un service que vous ne contrôlez pas. Que ce soit pour les raccourcisseurs d’URL, ou n’importe quoi d’autre. Le jour où le service ferme, vous êtes dans la merde. Prenez les devants, faites des backups et investissez dans votre propre infrastructure.

Un nom de domaine et un petit hébergement, c’est pas la mer à boire, et au moins vous dormez tranquille…

Source

Pendant que tout le monde s’excite sur le Web3 et les cryptos, un mouvement bien plus intéressant construit tranquillement le futur d’Internet depuis 2010. Et devinez quoi, y’a pas besoin de blockchain pour reprendre le contrôle de vos données.

Ce mouvement, c’est l’IndieWeb, et l’idée de base c’est de refaire du web comme dans les années 90 où au lieu de publier vos contenus sur Facebook, Twitter ou Instagram, vous les publiez d’abord sur VOTRE site, puis vous les partagez ailleurs si vous voulez.

Alors oui, je sais ce que vous allez me dire : “Mais c’est exactement ce que tu fais depuis des années avec ton site !”. Et vous avez raison, je pratique les principes de l’IndieWeb depuis le début car mon site, c’est mon espace à moi, où je contrôle tout, et où personne ne peut me censurer ou supprimer mes articles parce qu’un algorithme a décidé que ça ne collait pas avec la politique du moment. D’ailleurs, si vous fouillez dans mes archives, vous verrez que les articles qui datent de plus de 20 ans sont toujours accessibles.

L’IndieWeb repose donc sur 3 principes fondamentaux qui vont vous parler. D’abord, votre contenu vous appartient. Ça paraît con dit comme ça, mais quand vous publiez sur Facebook, légalement, ils peuvent faire ce qu’ils veulent avec. Ils peuvent le supprimer, le monétiser, l’utiliser pour entraîner leurs IA… Ensuite, vous êtes connecté. Grâce à des protocoles comme les Webmentions (l’équivalent moderne des trackbacks pour les vieux comme moi), votre site peut recevoir des réactions d’autres sites, créant un vrai réseau décentralisé. Et enfin, vous avez le contrôle total : design, format, longueur… Vous n’êtes plus limité par les 280 caractères de Twitter ou le format carré d’Instagram.

Le truc vraiment cool avec l’IndieWeb, c’est qu’ils ont pensé à tout. Ils ont par exemple créé le concept de POSSE : Publish on your Own Site, Syndicate Elsewhere. En gros, vous publiez sur votre site, puis des outils comme Bridgy vous permettent de partager automatiquement sur les réseaux sociaux. Et les réactions sur ces réseaux peuvent ensuite être rapatriées sur votre site. C’est le meilleur des deux mondes.

Et ce mouvement fait une distinction intéressante entre le “Big Web” et le “Small Web”. Le Big Web, c’est ce qu’on connaît tous : les GAFAM qui vous transforment en produit, qui surveillent vos moindres faits et gestes, qui décident de ce que vous devez voir. Aral Balkan, un des penseurs du mouvement, compare même ça à de “l’élevage industriel d’humains”. Glauque…

Et le Small Web, c’est l’opposé. C’est votre serveur, votre domaine, vos règles. Pas de concept “d’utilisateurs”, on parle de “personnes”. Chaque site est unique, reflète la personnalité de son propriétaire. Bref, c’est le retour du web créatif des années 90/2000, mais avec les technologies modernes.

Pour cela, l’IndieWeb utilise des technologies simples et éprouvées. Les microformats pour structurer vos données, les Webmentions pour les interactions, Micropub pour publier depuis n’importe quelle app… Tout est basé sur des standards ouverts que n’importe qui peut implémenter.

Ce qui est marrant, c’est que la communauté IndieWeb a une position assez cash sur le Web3. Pour eux, c’est juste du marketing pour faire passer la pilule blockchain et ils rappellent à qui veut bien les écouter que le web est DÉJÀ décentralisé par nature, et que si on a perdu cette décentralisation, c’est pas un problème technique mais socio-économique. Pas besoin donc de réinventer la roue avec des tokens et des smart contracts.

En 2025, le mouvement commence vraiment à prendre de l’ampleur notamment avec l’explosion du Fediverse (Mastodon, Pixelfed, etc.). De plus en plus de gens comprennent l’intérêt de posséder leurs données et des outils comme Bridgy Fed permettent maintenant à votre site IndieWeb de communiquer directement avec Mastodon via ActivityPub. D’ailleurs, Bridgy Fed vient tout juste de devenir une organisation à but non lucratif pour pérenniser le projet. Votre blog devient littéralement une instance Mastodon à lui tout seul !

Maintenant, c’est sûr que l’IndieWeb, c’est pas pour Grand-Mamie Ginette qui veut juste voir les photos de ses petits-enfants. Ça demande un minimum de compétences techniques comme avoir son domaine, installer un CMS ou coder son site, comprendre les bases du HTML… Mais pour tous ceux qui ont déjà ces compétences ou ceux qui veulent en apprendre de nouvelles, c’est vraiment la voie à suivre.

Pour ma part, avec Korben.info, si demain Twitter disparaît (pardon, X), tous mes articles seront toujours là. Par contre, je dois avouer que je n’ai pas encore implémenté les Webmentions ou la syndication automatique mais ce sera peut-être un projet pour mes prochaines vacances ? Là, je suis trop occupé à rédiger mes articles sur les hackers pour le moment, mais c’est hyper inspirant.

Bref, l’IndieWeb, c’est à mon sens un vrai mouvement de résistance du web. Pendant que les corporations essaient de tout centraliser, que les gouvernements veulent tout surveiller, et que les cryptobros veulent tout financiariser, l’IndieWeb propose simplement de revenir aux fondamentaux : un web de personnes qui partagent leurs passions sur leurs propres espaces.

Donc si vous voulez vous lancer, commencez simple. Prenez un nom de domaine, installez un WordPress ou un Ghost, et commencez à publier. Rejoignez les discussions sur IndieWeb.org, participez aux IndieWebCamps… Et surtout, amusez-vous ! Parce que c’est ça l’essence du web : créer, partager, s’exprimer librement.

Alors oui, on sera toujours loin du million d’utilisateurs de TikTok ou d’Insta, mais franchement, est-ce que c’est vraiment ça l’objectif ? Moi je préfère mille fois avoir mon petit espace sur le web où je fais ce que je veux plutôt que d’être un numéro de plus dans la ferme de données de Meta.

Alors, prêts à reprendre le contrôle de votre présence en ligne ?

Si vous avez toujours voulu fouiller le dark web sans y passer 3 heures à chercher dans le noir, j’ai déniché un outil Python qui fait le boulot pour vous : Darkdump.

Créé par Josh Schiavone, Darkdump est une interface OSINT (Open Source Intelligence) qui permet de mener des investigations sur le deep web. En gros, vous tapez un mot-clé, et l’outil va scraper les sites .onion correspondants pour en extraire des emails, des métadonnées, des mots-clés, des images, des liens vers les réseaux sociaux, et j’en passe.

Darkdump utilise Ahmia.fi (un moteur de recherche pour le dark web) pour trouver les sites .onion pertinents, puis il les scrape quand vous êtes connecté via Tor. Bref, c’est Google pour le dark web, en ligne de commande et avec des super-pouvoirs.

Pour l’installer, rien de plus simple :

git clone https://github.com/josh0xA/darkdump
cd darkdump
python3 -m pip install -r requirements.txt
python3 darkdump.py --help

Mais attention, avant de vous lancer, il faut configurer Tor correctement. Sur Linux ou Mac, installez Tor (sudo apt install tor ou brew install tor), puis éditez votre fichier /etc/tor/torrc pour ajouter :

ControlPort 9051
HashedControlPassword [VotreMotDePasseHashé]

Pour générer le hash du mot de passe, utilisez tor --hash-password "mon_mot_de_passe". Ensuite, démarrez le service Tor et vous êtes prêt à explorer les profondeurs du web.

Ce qui est cool avec Darkdump, c’est sa flexibilité. Vous pouvez l’utiliser de plusieurs façons. Voici quelques exemples données dans la doc officielle :

• Rechercher 10 liens et scraper chaque site : python3 darkdump.py -q "hacking" -a 10 --scrape --proxy
• Juste récupérer 25 liens sans scraper (pas besoin de Tor) : python3 darkdump.py -q "free movies" -a 25
• Chercher et télécharger les images : python3 darkdump.py -q "marketplaces" -a 15 --scrape --proxy -i

L’outil peut extraire pas mal de trucs intéressants comme des documents (PDF, DOC, XLS, PPT…), des adresses email, des métadonnées, et même des liens vers des profils de réseaux sociaux. C’est super pour les chercheurs en sécurité ou encore les journalistes d’investigation.

Maintenant, parlons un peu d’Ahmia.fi, le moteur qui fait tourner tout ça. Contrairement à ce qu’on pourrait croire, vous n’avez pas besoin de Tor pour accéder à l’interface d’Ahmia… vous pouvez y aller directement depuis votre navigateur normal. Par contre, pour visiter les sites .onion qu’il trouve, là il vous faudra Tor Browser.

Le moteur de recherche Ahmia

Ce qui est bien avec Ahmia, c’est qu’ils filtrent le contenu illégal comme ça c’est pas le far west total. Ils essaient tant bien que mal de garder ça propre et légal.

En 2025, Ahmia reste donc l’un des moteurs de recherche du dark web les plus fiables, aux côtés de Torch, DuckDuckGo (version Tor), Haystak et Not Evil. Chacun a ses spécificités, mais Ahmia reste le préféré pour sa politique de filtrage du contenu illégal.

Bon, évidemment, je dois faire mon speech de prévention et Josh Schiavone lui-même précise : Il n’est pas responsable de l’utilisation que vous faites de son outil. Ne l’utilisez donc pas pour naviguer sur des sites illégaux selon les lois de votre pays. C’est un outil pour la recherche légitime, l’OSINT, la cybersécurité, pas pour faire n’importe quoi.

D’ailleurs, petite anecdote, la v3 de Darkdump a été mise à jour récemment, et apparemment il y a même des forks qui commencent à apparaître avec des mises à jour complètes. La communauté OSINT est active sur ce projet, ce qui est bon signe pour sa pérennité. Voilà, donc pour ceux qui veulent aller plus loin dans l’OSINT sur le dark web, Darkdump n’est qu’un logiciel parmi d’autres et fait partie d’une boîte à outils plus large qui comprend des trucs comme OnionScan, TorBot, ou encore Dark Web OSINT Tools. Mais pour débuter, c’est vraiment l’un des plus simples et des plus efficaces.

Ça ne transformera pas le dark web en votre terrain de jeu, mais au moins vous verrez où vous mettez les pieds. Et dans un monde où l’information est de plus en plus fragmentée et cachée, c’est pratique, mais souvenez-vous, avec un grand pouvoir vient une grande responsabilité donc utilisez-le à bon escient !

A découvrir ici !

Déployez facilement Erugo sur votre propre serveur avec Docker, pour disposer d'une solution de transfert de fichiers open source et self-hosted.

The post Erugo : comment installer cette alternative à open source à WeTransfer ? first appeared on IT-Connect.