Voici un documentaire qui va vous faire tourner la tête. Ça s’appelle La vraie vie , et c’est une série ARTE réalisée par Ekiem Barbier et Guilhem Causse qui a embarqué le comédien Victor Assié dans une aventure complètement barrée. Le concept c’est de tourner un documentaire entièrement dans un jeu vidéo de simulation de vie.

Dans ce film, Victor découvre un serveur de jeu où les gens s’amusent volontairement à jouer les fonctionnaires, les policiers ou les garagistes dans une petite bourgade virtuelle qu’ils ont eux-mêmes construite. Victor doit alors se faire une place parmi ces joueurs, trouver du boulot, gagner de l’argent, respecter le code de la route.

Bref, refaire exactement ce qu’il fait déjà dans la vraie vie, mais avec son avatar 3D.

Les réalisateurs n’en sont pas à leur coup d’essai car en 2023, ils ont sorti Knit’s Island, un documentaire tourné dans DayZ qui a remporté le Prix du Jury et le Prix FIPRESCI au festival Visions du Réel en Suisse. Pour ce film, leurs avatars ont passé 963 heures dans ce monde post-apocalyptique à rencontrer des communautés de joueurs et à filmer leurs interactions. Le machinima , cette technique qui consiste à créer des films avec des moteurs 3D de jeux vidéo, existe depuis une trentaine d’années, mais Knit’s Island était le premier à tenter un format long pour le cinéma.

Barbier et Causse se connaissent depuis l’École des Beaux-Arts de Montpellier et en 2016, ils ont même formé un groupe de recherche qui questionne le rapport à la réalité dans les jeux vidéo en ligne. Leur premier film, Marlowe Drive en 2017, était déjà un documentaire exploratoire tourné dans GTA V Online.

Pour La vraie vie, ils ont donc choisi un serveur de jeu de rôle basé sur le moteur d’Arma 3. Contrairement aux serveurs GTA RP français sur FiveM qui simulent la vie urbaine avec des poursuites de police et du crime organisé, ce serveur mise tout sur l’absurde bureaucratique. Victor doit donc passer son permis de conduire, acheter un téléphone portable, trouver du travail. À un moment, il se fait même arrêter pour excès de vitesse et le policier lui fait tout un speech sur les dangers de sa conduite imprudente. Un autre fois, il essaie désespérément de faire un spectacle de théâtre mais personne ne veut l’écouter, alors il récite du texte au milieu de la route.

Vous vous souvenez de keys.lol qui permettait de parcourir toutes les clés privées Bitcoin et Ethereum possibles ? Ou de everyuuid.com qui listait tous les UUID existants ? Hé bien voici la dernière création dans cette noble lignée de l’exhaustivité : infohash.lol , le site qui énumère tous les liens magnet BitTorrent possibles, teste le nombre de peers, et récupère les métadonnées.

Je me suis dit que ça pourrait vous intéresser, parce que ce projet est aussi chouette qu’absurde…

Faut d’abord savoir qu’un infohash BitTorrent, c’est un identifiant unique pour un torrent, calculé à partir du contenu du fichier .torrent. Infohash.lol génère tous les infohash possibles et les affiche par pages de 32. Alors ça fait combien de pages au total ? Hé bien, tenez-vous bien :

**45 671 926 166 590 716 193 865 151 022 383 844 364 247 891 968 pages. **

De quoi péter un câble si on devait tout parcourir 1 par 1 !

Pour chaque infohash généré, le site interroge le DHT BitTorrent (la table de hachage distribuée qui permet de trouver des peers sans serveur centralisé) pour voir s’il existe des peers qui répondent. Et c’est là que ça devient rigolo car beaucoup d’infohash affichent un seul peer solitaire. Des fantômes du DL qui répondent à l’appel sans qu’on sache vraiment ce qu’ils conservent. Le site tente aussi de récupérer les métadonnées associées, mais comme l’explique son créateur, il n’y a aucune garantie qu’un infohash corresponde à un vrai torrent car pas mal de crawlers et d’indexeurs annoncent régulièrement des infohash aléatoires sur le réseau, créant un genre de bruit de fond cosmique.

Du coup, chercher un torrent spécifique sur infohash.lol, c’est exactement comme chercher une aiguille dans une planète constituée de foin. En fait, même pas une planète, plutôt un univers entier de foin, quoi…

Mais ce qui est génial avec ce projet (et tous les projets similaires), c’est qu’il ne crée ni n’indexe vraiment l’information. Il la révèle, plutôt car tous ces infohash existent déjà dans l’espace mathématique, quelque part entre 0 et 2^160. Le DHT BitTorrent est conçu pour être difficile à énumérer complètement. Même si une extension (BEP 51) a été créée pour permettre aux indexeurs de sampler les infohash stockés par les nœuds, elle reste très peu implémentée et bruteforcer tous les infohash reste techniquement impossible avec nos moyens actuels. Mais mathématiquement ? Ils sont tous là, qui attendent.

Ça me fait penser à la Bibliothèque de Babel de Borges , cette histoire où une bibliothèque infinie contient tous les livres possibles, donc tous les textes jamais écrits et tous ceux qui ne le seront jamais. Infohash.lol, c’est un peu la même chose appliquée au BitTorrent et quelque part dans ces 45 septillions de pages, il y a l’infohash du torrent de votre film préféré, mais aussi l’infohash d’un torrent qui n’existe pas encore et qui ne sera créé que dans 10 ans.

Maintenant c’est sympa à essayer, en vrai, ça ne sert à rien. Enfin si, à deux ou trois trucs. Le site propose par exemple des exemples concrets comme l’infohash de Ubuntu 24.04.3 (d160b8d8ea35a5b4e52837468fc8f03d55cef1f7) ou du court métrage libre Sintel (08ada5a7a6183aae1e09d831df6748d566095a10) histoire de voir que ce n’est pas du flan. Vous pouvez aussi naviguer vers la première page, la dernière page, ou une page aléatoire mais l’immense majorité des infohash ne correspondent à rien du tout… C’est juste du vide.

C’est donc exactement le même paradoxe que keys.lol où toutes les clés privées Bitcoin et Ethereum entre 1 et 2^256 sont générées à la volée, avec vérification automatique des balances. En vert si le wallet a des fonds, en jaune s’il a été utilisé mais est vide, en rouge s’il n’a jamais servi. Techniquement, votre clé privée Bitcoin est quelque part sur ce site. Mais la trouver est impossible car l’espace des clés possibles est si vaste que tous les habitants de l’univers entier pourrait la chercher pendant des milliards d’années sans tomber dessus. C’est pour ça que la cryptographie moderne fonctionne… pas grâce à des murs infranchissables, mais grâce à l’impossibilité statistique pure.

Même délire avec everyuuid.com qui contient plus de 5 septillions d’UUID v4 possibles. Le site ne les stocke pas tous (évidemment), mais utilise un mapping bijectif où chaque index correspond à exactement un UUID et vice-versa. C’est, si vous préférez, un projet satirique sur l’absurdité de vouloir tout énumérer.

Et ces trois projets ont pour point commun de prouver concrètement POURQUOI la sécurité informatique moderne fonctionne si bien. Keys.lol démontre que votre Bitcoin est protégé par l’entropie mieux qu’aucun coffre-fort physique et Infohash.lol montre que le DHT BitTorrent est sécurisé par son propre chaos. La sécurité est dans l’impossibilité statistique de trouver la bonne combinaison parmi des trillions de trillions de possibilités.

Et contrairement aux collections physiques (timbres, cartes Pokémon, dates Tinder…etc), ces sites créent des collections où TOUT existe déjà mais où posséder n’a aucun sens. Vous ne pouvez pas collectionner tous les UUID parce qu’ils existent tous simultanément dans une abstraction mathématique. C’est l’anti-collection ultime… Un genre de musée où toutes les œuvres sont exposées mais où personne ne viendra jamais toutes les voir.

Bref, comme je vous le disais en intro, infohash.lol est un projet parfaitement inutile et totalement absurde. Mais ça nous fait réaliser l’échelle “cosmique” de la cryptographie…

Source

Encore une histoire complétement dingue qui va faire zizir aux fans de LEGO !

En 2020, un Suédois de 21 ans a balancé à la télé qu’il allait construire une vraie voiture en LEGO s’il gagnait l’émission. Et 3 ans plus tard, David Gustafsson a tenu sa promesse et il roule maintenant dans une Volvo V70 entièrement faite de briques.

Le mec a utilisé 400 000 pièces LEGO pour construire une réplique grandeur nature de sa propre V70 ce qui représente 1,2 tonnes de plastique assemblées brique par brique. Et ce qui est fou c’est que c’est une voiture qui roule vraiment, avec portes qui s’ouvrent, des rétroviseurs électriques et même des phares qui suivent le mouvement du volant.

Comme je vous le disais en intro, David participait à LEGO Masters Suède avec son pote Rickard. Et pendant l’épisode 7, l’animateur Mauri leur demande ce qu’ils feraient avec tous les LEGO s’ils gagnaient. David, pour rigoler, balance qu’il construirait sa voiture en taille réelle. Sauf que quand ils ont gagné, il s’est dit “bon bah, j’ai promis, je le fais”.

Surtout que le prix de LEGO Masters Suède, c’est pas du cash comme partout ailleurs. Non, c’est un super crédit pour commander des pièces directement chez LEGO à prix coûtant. David s’est donc retrouvé avec 400 000 pièces à disposition. Et en décembre 2020, il commence alors le boulot…

2400 heures de travail plus tard, début 2024, la bête est terminée.

Après je me suis demandais comment ça pouvait tenir ce truc, parce que des LEGO, c’est pas vraiment prévu pour supporter le poids d’un adulte qui roule à 20 km/h. Et bien apparemment, David a triché un peu (heureusement) en intégrant 3 éléments non-LEGO que sont les roues, le moteur électrique et un châssis métallique. Tout le reste, des sièges au tableau de bord en passant par le volant et le sélecteur de vitesse, c’est du LEGO pur !

Le plus impressionnant c’est qu’il a réussi à reproduire les courbes complexes d’une V70 de troisième génération (2008-2016) avec des briques rectangulaires. Vous avez déjà essayé de faire un truc rond avec des LEGO ? C’est l’enfer alors une voiture entière avec ses galbes et ses arrières-train arrondis…

Les boutons de la clim fonctionnent, le sélecteur de vitesse fait “clic” quand on change de position, et les rétroviseurs latéraux pivotent. Incroyable !

On est en septembre, c’est la rentrée, donc c’est l’occasion pour nous tous, de nous inscrire à ces clubs d’activités qui vous permettent de nous occuper afin de ne pas sombrer dans la dépression. Je pense aux clubs de dessin, de foot, de théâtre, et pour les plus fifous d’entre vous, le club de poterie !

Parce que oui, faire des petits boudins en terre pour les empiler afin d’en faire des vases moches, c’est super rigolo ! En plus si vous savez les émailler, vous pouvez même les vendre une couille dans votre petite boutique artisanale ouverte uniquement de 14h à 16h uniquement les jeudis entre mars et juillet.

Mais vous savez ce qui serait encore plus cool ? Ce serait d’utiliser tout cette argile et ce four incroyable pour réaliser des circuits imprimés capables de faire tourner un Arduino… Hé ouais !

Patrícia J. Reis et Stefanie Wuschitz , deux hackeuses du collectif féministe viennois Mz* Baltazar’s Lab, ont en effet développé une technique pour fabriquer des PCB avec de l’argile ramassée en forêt et de la poudre d’argent recyclée à partir de déchets de bijouterie, tout ça cuit à 700°C au feu de bois.

Je me dis que peut-être que nos ancêtres faisaient déjà du hardware sans le savoir… bah oui, leurs tablettes d’argile étaient quand même les premiers supports de stockage de données de l’humanité. Et aujourd’hui, on boucle la boucle en revenant à ces techniques ancestrales pour créer l’électronique du futur post-apocalyptique qui nous attend…

Leur projet est en réalité parti d’un constat assez brutal, car dans nos smartphones et nos ordinateurs, on trouve beaucoup de minerais issus de conflits. Je pense par exemple au tantale qui vient essentiellement de la République Démocratique du Congo et du Rwanda , où 40 000 enfants travaillent illégalement dans les mines. Je pense aussi aux populations de gorilles des plaines orientales qui ont été décimées à cause de l’exploitation du coltan dans le parc national Kahuzi-Biega… etc., etc.

Alors face à ce désastre, les deux hackeuses ont décidé de tester cette alternative radicale. D’abord, elles sortent se balader dans leur forêt autrichienne avec une bouteille d’eau. Elles ramassent de la terre, y versent un peu d’eau, et si ça devient malléable entre les doigts, bingo, c’est de l’argile.

Ensuite, elles nettoient la terre avec une passoire de cuisine pour enlever les cailloux et les insectes, ajoutent 100ml d’eau par kilo de terre, et pétrissent comme pour faire du pain. Ensuite, pour les pistes conductrices, elles utilisent un genre de tampon imprimé en 3D qu’elles appliquent sur la tuile pour dessiner le circuit, ainsi que de la poudre d’argent récupérée dans des ateliers de bijouterie.

Elles peignent alors à la main les circuits sur l’argile avec un pinceau ultra-fin, comme des enluminures électroniques. C’est un processus lent, méditatif, aux antipodes de la production industrielle frénétique.

Et la forme hexagonale qu’elles ont choisie pour leurs PCB n’est pas anodine puisque c’est la forme optimale dans la nature : les alvéoles des abeilles, les cristaux de basalte, et même la structure du graphène. Elles voulaient en effet pouvoir assembler plusieurs circuits comme des tuiles, afin de créer des réseaux modulaires. Une super idée, mais qu’elles ont du abandonner à cause de la difficulté d’obtenir des bords parfaitement droits avec l’argile naturelle.

Le tutoriel qu’elles ont publié est une mine d’or, car elles y détaillent comment créer un tampon 3D pour imprimer le circuit dans l’argile (1,2mm de profondeur, en tenant compte du rétrécissement de 5% à la cuisson), comment programmer une puce ATmega328 récupérée sur un Arduino défectueux, et même comment souder les composants avec de la pâte à souder sans plomb qui respecte les standards du commerce équitable. Toutes les sources sont même sur Github.

La cuisson au feu de bois est surtout le moment magique. Elles creusent un trou dans leur jardin, construisent un lit de branches sèches pour poser les circuits, ajoutent une deuxième couche de branches fines par-dessus, et laissent le feu faire son œuvre pendant 20 minutes. Les circuits deviennent alors incandescents, puis elles les plongent directement dans l’eau froide. Si l’argile n’a pas de bulles d’air et a bien séché, il résiste au choc thermique.

Ensuite y’a plus qu’à souder les composants et le circuit final peut alors contrôler des capteurs capacitifs, des LEDs, des moteurs, exactement comme un Arduino classique. Elles ont même développé un code open source disponible sur GitHub pour gérer les entrées/sorties.

Alors, faire ses propres PCB avec de l’argile et des matériaux de récup, c’est peut-être utopique, mais face aux 50 millions de tonnes de déchets électroniques produits chaque année et aux ravages des minerais issus de conflit, c’est une jolie forme d’hacktivisme.

Voilà, donc la prochainement que vous aurez envie de vous mettre à la poterie, dites-vous que c’est peut-être plus que ça… Peut-être que vous êtes déjà en train de vous former à une technologie à la fois ancestrale et de pointe qui sera le futur de l’électronique.

Car après tout, entre une tablette d’argile sumérienne et un PCB en terre cuite, il n’y a que 4000 ans et quelques lignes de code Arduino…

Quand j’étais petit, y’avait une émission à la télé avec un dodo qui présentait. Je ne me souviens de rien d’autre mais j’étais fan de cet animal. C’était vraiment mon préféré quand j’étais enfant, alors quand j’ai découvert qu’il avait disparu depuis bien avant ma naissance, j’étais triste et j’ai vécu ça comme un vrai deuil.

Je crois que c’est à ce moment là que j’ai pris conscience que l’humain détruisait la nature, et à chaque fois que j’apprends qu’une espèce animale a totalement été rayée de la planète, ça me brise le cœur exactement de la même manière.

Alors imaginez ma surprise quand je suis tombé sur l’annonce de Colossal Biosciences qui vient de faire une percée majeure pour ressusciter ce gros “pigeon” disparu de l’île Maurice en 1681.

Y’a quelques jours, cette boîte de biotechnologie texane a annoncé qu’elle avait réussi à cultiver des cellules germinales primordiales (PGC pour les intimes) de pigeon commun. Ça ne vous dit rien ? Normal, mais c’est pourtant l’étape cruciale qui manquait pour pouvoir bricoler génétiquement les oiseaux.

Jusqu’ici, on savait seulement faire ça avec les poules et les oies mais le pigeon, c’est une grande étape ! Car il devient maintenant “possible” de prendre le pigeon de Nicobar (le cousin vivant le plus proche du dodo), de modifier ses gènes pour lui redonner les caractéristiques du dodo, et hop, on va pouvoir faire naître des “quasi-dodos” via des poules porteuses à qui on a injecté des cellules modifiées.

Pigeon de Nicobar

Beth Shapiro, la directrice scientifique de Colossal, explique que cette percée était l’étape bloquante . Ils ont testé plus de 300 recettes différentes avant de trouver la bonne combinaison de facteurs de croissance qui permettent aux cellules germinales de pigeon de survivre 60 jours en culture.

Mais alors, est ce qu’on va vraiment revoir des dodos se balader ? Pas si vite !! Je suis en expert en film Jurassic Park et ma grande expérience me permet d’affirmer tout d’abord, ce ne seront pas de “vrais” dodos mais des hybrides génétiquement modifiés qui leur ressembleront. Donc ce ne sera pas le même animal… Il n’aura pas forcement la même robustesse ni les mêmes instincts… On ne pourra donc rien apprendre du Dodo en l’observant.

Ensuite, le processus complet prendra encore 5 à 7 ans selon Ben Lamm, le CEO de Colossal. Et surtout, il faut faire deux générations… C’est à dire d’abord créer les parents modifiés séparément, puis les faire se reproduire pour obtenir un oiseau avec toutes les modifications.

En plus de ça, Colossal vient aussi d’annoncer 120 millions de dollars de financement supplémentaire , ce qui porte leur levée totale à 555 millions depuis 2021. Car ils ne font pas que le Dodo… Ils ont pour objectif de ressusciter aussi les mammouths laineux, les tigres de Tasmanie , loups terribles … C’est le catalogue de la dé-extinction, version XXL.

Évidemment, vous vous en doutez, ça fait débat. Les critiques disent qu’on ne peut pas vraiment “ressusciter” une espèce éteinte, mais juste créer un animal génétiquement modifié qui y ressemble. Scott MacDougall-Shackleton de l’Université Western Ontario rappelle aussi que les animaux, c’est bien plus qu’un simple assemblage de gènes. Le développement embryonnaire, les interactions avec l’environnement, tout ça ne peut pas être reproduit à l’identique.

Mais bon, même si ce ne sera jamais le dodo de mon émission télé d’enfance, l’idée qu’on puisse un jour voir un gros oiseau pataud qui lui ressemble se balader dans un parc, ça reste assez dingue. Et puis les techniques développées par Colossal pourraient servir à sauver des espèces d’oiseaux en voie de disparition, ce qui serait déjà pas mal.

Bref, dans quelques années, on aura peut-être des simili-dodos qui se promèneront en liberté dans nos jardins. En tout cas, si vous en croisez un jour, pensez à m’envoyer une photo… le petit Korben qui regardait son dodo préféré à la télé, vous remerciera !

Source

Ce weekend, j’ai découvert un truc complètement barré qui risque de vous faire repenser tout ce que vous savez sur le e-commerce. Ça s’appelle AnyCrap , et c’est littéralement une boutique en ligne qui vend… rien. Enfin si, elle vend des concepts de produits qui n’existent pas. Et c’est plus que brillant, vous allez voir !

L’idée est simple comme bonjour mais fallait y penser : Vous tapez n’importe quel nom de produit débile qui vous passe par la tête, genre des chaussettes téléportantes ou du café qui rend invisible, et le site vous génère instantanément une fiche produit complète avec description, caractéristiques et même des avis clients. Le tout propulsé par l’IA, évidemment.

Screenshot

Sur la page d’accueil, on vous promet de “trouver vos produits à travers les dimensions parallèles”. Marketing génial ou folie douce ? Les deux mon capitaine. Le slogan “Tomorrow’s products, available today (not actually available)” résume d’ailleurs parfaitement l’esprit de ce site… on est dans l’absurde assumé et ça fait du bien.

Ce qui me fascine, c’est que pendant que le marché de l’IA dans l’e-commerce atteint 6,63 milliards de dollars avec des assistants shopping ultra-sérieux, AnyCrap prend complètement le contre-pied. Au lieu d’optimiser les conversions et de tracker chaque pixel, ils ont créé un anti-marketplace où l’objectif n’est pas de vendre mais de faire rêver.

Cette anti-marketplace propose même des catégories comme “Weird Tech Stuff” et “Snacks From Outer Space” où chaque produit généré est unique, avec sa propre mythologie et ses caractéristiques loufoques. Techniquement, on est probablement sur un mix de ChatGPT pour les descriptions et peut-être DALL-E ou Midjourney pour les visuels et ce concept rejoint un peu d’ailleurs ce que propose Writecream avec son générateur de reviews fictives , sauf qu’ici c’est tout l’écosystème commercial qui est fictif.

La promesse de “livraison instantanée” de concepts m’a fait aussi marrer. En gros, vous commandez une idée et vous la recevez immédiatement dans votre cerveau. Zéro émission carbone, zéro déchet, 100% satisfaction garantie puisque vous n’avez rien acheté de tangible.

Dans un monde où on nous vend des NFT de singes à des millions et où le metaverse était censé révolutionner le shopping, AnyCrap a au moins le mérite d’être honnête sur sa proposition : on ne vous vend rien, mais on le fait avec classe.

Le site propose même une newsletter pour recevoir des produits fictifs chaque semaine. Maintenant, si on creuse un peu, AnyCrap pose surtout des questions intéressantes sur la nature même du commerce. Qu’est-ce qu’on achète vraiment quand on fait du shopping en ligne ? L’objet ou l’idée de l’objet ? Le produit ou la dopamine liée à l’acte d’achat ? En vendant littéralement du vent, AnyCrap révèle peut-être quelque chose de plus profond sur notre société de consommation…

Et pour les créatifs, c’est une mine d’or. Scénaristes en panne d’inspiration pour un objet magique ? Game designers cherchant des idées d’items ? Publicitaires voulant brainstormer sur des concepts produits ? AnyCrap devient un générateur d’idées déguisé en boutique.

Le plus beau dans tout ça c’est que le site accepte même les paiements (enfin, il y a un bouton pour soutenir le créateur). Donc techniquement, vous pouvez payer pour ne rien acheter…

Bref, c’est super fun ! Allez faire un tour sur AnyCrap.shop , inventez le produit le plus débile possible, et savourez l’absurdité. C’est gratuit, et ça va bien vous occuper en ce chouette lundi matin !

Vous savez quel est le problème avec les serveurs web mal configurés ? C’est qu’ils sont comme ces vieux greniers où on entasse tout et n’importe quoi en pensant que personne n’ira jamais fouiller. Sauf que sur Internet, il y a toujours quelqu’un pour venir mettre son nez dans vos affaires.

J’ai récemment découvert dans DirSearch et cet outil reste une valeur sûre. Pendant que tout le monde s’excite sur les dernières IA et les zero-days à 100k$, ce petit scanner Python continue tranquillement de faire le job depuis des années.

Le principe est simple comme bonjour. Vous lui donnez une URL et une wordlist, et il va tester méthodiquement tous les chemins possibles pour voir ce qui traîne. Des fichiers de backup oubliés, des répertoires d’admin planqués, des configs exposées… Le genre de trucs qui peuvent transformer une simple reconnaissance en jackpot pour un pentester.

Ce qui rend DirSearch efficace, c’est son approche multi-threadée. Là où un script basique va tester les chemins un par un comme un escargot sous Valium, lui peut balancer des centaines de requêtes simultanées. Le multithreading permet de tester des milliers d’entrées rapidement.

Mais attention, ce n’est pas qu’une histoire de vitesse brute. L’outil est assez malin pour gérer les redirections, les codes d’erreur personnalisés, et même les WAF qui essaient de vous bloquer. Il peut adapter ses requêtes, changer de User-Agent, utiliser des proxies… Bref, il sait se faire discret quand il faut.

Pour l’installer, rien de plus simple. Un petit pip install dirsearch et c’est parti. Ou alors vous clonez le repo GitHub si vous préférez avoir la version de développement. Dans les deux cas, c’est opérationnel en 30 secondes chrono.

L’utilisation basique ressemble à ça :

dirsearch -u https://target.com

L’outil va automatiquement utiliser sa wordlist par défaut et commencer à scanner. Mais évidemment, c’est en personnalisant les options qu’on obtient les meilleurs résultats.

Vous pouvez spécifier les extensions à tester avec -e php,asp,txt. Pratique quand vous savez que le serveur tourne sous une techno particulière. Le flag -r active la récursion pour explorer les sous-répertoires trouvés. Et avec --exclude-status 404,403, vous filtrez le bruit pour ne garder que les résultats intéressants.

025-09-12-dirsearch-scanner-web-paths-1.mp4" >}}

Un truc que j’aime bien, c’est la possibilité de sauvegarder les résultats dans différents formats. L’outil supporte plusieurs formats de sortie : JSON pour parser facilement, texte simple pour un rapport rapide, ou XML pour l’intégration dans d’autres outils.

Comparé à ses concurrents comme Gobuster (codé en Go) ou Dirb, DirSearch s’en sort bien avec sa gestion efficace des cas particuliers.

L’outil gère aussi les authentifications HTTP basiques, les cookies de session, les headers personnalisés… Tout ce qu’il faut pour scanner des applications web modernes qui demandent une authentification. Vous pouvez même lui passer un certificat client si le serveur l’exige.

Le projet est hébergé sur GitHub où vous pouvez contribuer ou signaler des bugs.

Bon par contre, comme tout outil de scanning, utilisez-le uniquement sur des systèmes que vous êtes autorisé à tester. Scanner le site de votre banque “pour voir”, c’est le meilleur moyen de vous attirer des ennuis. Et croyez-moi, expliquer à un juge que c’était “juste pour apprendre”, ça passe moyen.

Pour les pros du pentest, DirSearch s’intègre bien dans une méthodologie complète. Vous commencez par un scan de ports avec Nmap, vous identifiez les services web, et hop, DirSearch entre en jeu pour explorer l’arborescence. Combiné avec Burp Suite pour l’analyse approfondie des résultats intéressants, c’est redoutable.

Pas d’IA, pas de machine learning, pas de blockchain. C’est un outil classique de brute-force intelligent qui complète bien une méthodologie de test complète… et franchement, quand on voit le nombre de serveurs qui traînent encore des phpMyAdmin non protégés ou des .git exposés, on se dit que les basiques ont encore de beaux jours devant eux.

Source

Vous allez encore vous marrer et m’envoyer des emails outragés parce que je vais encore troller Microsoft. Oui je vous parle bien de cette entreprise valorisée à 3600 milliards de dollars qui vient de nous offrir un moment de pur génie marketing. Leur compte Surface officiel sur X a publié une photo promotionnelle de leur “ultimate research buddy”, le fameux Surface Pro.

Sauf que y’a un petit problème… L’écran montre iPadOS au lieu de Windows.

Hé oui Microsoft a fait la promotion de son produit phare en montrant le système d’exploitation de son concurrent direct, Apple. C’est comme si Coca-Cola faisait une pub en versant du Pepsi dans ses canettes.

L’image publiée à 17h pile vendredi dernier montrait donc une Surface Pro avec son stylet, accompagné du message : “Read, highlight, summarize, repeat, all on Surface Pro, the ultimate research buddy.” Sauf que sur l’écran, on pouvait clairement voir Word… avec la barre de statut d’iPadOS en haut et l’indicateur Home en bas. Un montage Photoshop tellement mal fait qu’on se demande s’ils ont pas utilisé Paint.

Internet n’a pas mis longtemps à réagir. Les moqueries ont fusé de partout. “Comment une entreprise valorisée à plusieurs milliers de milliards peut-elle faire une erreur pareille ?”, demande un utilisateur. Un autre a lâché le commentaire qui tue : “Même Microsoft n’arrive pas à se résoudre à utiliser Surface.” lol, j’adore !

Le plus beau dans tout ça ce sont les Community Notes de X qui ont dû intervenir pour fact-checker Microsoft. Bref, on touche le fond.

Cette mésaventure illustre en tout cas parfaitement l’état actuel de Microsoft sous le règne de Satya Nadella. Car le PDG est tellement obsédé par l’IA qu’il en oublie les produits grand public. J’en veux pour preuve sa dernière lettre aux actionnaires, où il a mentionné 152 fois l’IA, une seule fois Windows, et la Surface, zéro.

En plus, Microsoft a licencié des milliers d’employés cet été, fermé ses boutiques physiques, et apparemment aussi viré son équipe de réseaux sociaux car sinon, comment expliquer qu’un post aussi mal fichu soit resté en ligne pendant presque 24 heures ?

Le pire, c’est que ce n’est pas la première fois. Souvenez-vous quand Surface avait le contrat avec la NFL et que les commentateurs n’arrêtaient pas d’appeler les tablettes des “iPads”. En plus ils détestaient la Surface comme jamais, regardez ça :

Imaginez-vous devant votre webcam, en train de contracter méthodiquement vos zygomatiques pour essayer de reproduire le sourire le plus mécanique de l’histoire de la tech. Bienvenue sur SmileLikeZuck.com , probablement l’utilisation la plus absurde de la reconnaissance faciale que j’ai vue cette année.

Le concept est simple : vous activez votre webcam, le site vous montre une photo de Zuckerberg avec son fameux sourire robotique, et vous devez reproduire exactement la même expression faciale. Plus votre mimique se rapproche de celle du patron de Meta, plus votre score augmente. C’est débile, c’est addictif, et c’est exactement le genre de projet que j’adore !

Lidée de ce site serait née au Recurse Center, un endroit à New York décrit comme un endroit de “retraite” pour les développeurs. Le concepteur de ce projet voulait au départ créer un jeu plus générique où on imiterait n’importe quelle grimace, mais ça manquait de direction artistique…

Techniquement, tout repose sur MediaPipe de Google, une bibliothèque qui permet de faire du tracking facial directement dans le navigateur. Le développeur avoue que faire fonctionner MediaPipe avec React peut être un peu galère, mais le résultat vaut le coup. L’application analyse en temps réel les points clés de votre visage et les compare avec ceux de Zuckerberg sur la photo de référence.

Les expressions faciales de Zuckerberg et les votres sont alors analysées à partir des unités d’action faciale AU 6 (muscle qui relève les joues) et AU 12 (muscle qui tire les coins de la bouche). SmileLikeZuck transforme donc cette analyse scientifique en jeu absurde.

Alors, prêts à entraîner vos muscles faciaux pour atteindre le niveau de robotisation du sourire de Zuck ? Attention, c’est plus difficile qu’il n’y paraît.

Direction smilelikezuck.com pour tenter l’expérience et n’oubliez pas de cliquer sur Zuck+ à la fin, ça vous fera un petit bonus marrant quand vous relancerez une session.

Merci à Lilian pour cette découverte !

Parfois, l’histoire des entreprises tech tient à des détails complètement inattendus. Celle de Rogue Amoeba, l’éditeur d’Audio Hijack et autres outils audio pour Mac, en est l’exemple parfait puisqu’un simple bug de programmation a littéralement sauvé la boîte de la fermeture.

Tout commence avec une version d’essai très généreuse… Audio Hijack offrait en effet 15 jours complets d’utilisation illimitée. Et après cette période, l’app continuait de fonctionner mais rappelait à l’utilisateur de s’enregistrer au démarrage et se fermait automatiquement au bout de 15 minutes. Une approche classique mais qui ne donnait malheureusement pas les résultats espérés.

Du coup, les ventes étaient naze et Rogue Amoeba restait pour ses créateurs, un projet parallèle, sans perspective de devenir une vraie entreprise. Les fondateurs savaient qu’ils avaient un outil utile entre les mains, mais le marché ne semblait pas les suivre… Beaucoup auraient jeté l’éponge.

Puis est arrivée cette fameuse version 1.6 d’Audio Hijack. C’était une release qui n’avait rien d’extraordinaire sur le papier, mais qui allait tout changer. Car de façon complètement inattendue et sans explication apparente, les ventes ont décollé. D’abord à un niveau viable, puis se sont stabilisés à ce nouveau palier.

Au début, l’équipe n’y comprenait rien. Qu’est-ce qui pouvait expliquer cette remontée soudaine ? Et ils ont fini par identifier la cause : un bug. Un magnifique bug qui avait cassé le système de la version d’essai tel qu’il était prévu. Au lieu de 15 jours d’utilisation complète, la version 1.6 limitait directement le temps d’enregistrement dès le premier lancement.

Et cette “erreur” a eu un impact phénoménal sur l’entreprise car en raccourcissant drastiquement la période d’évaluation, cela poussait les utilisateurs à passer à l’acte d’achat beaucoup plus rapidement. Du coup, les ventes sont montées à un niveau où il valait enfin la peine de continuer à développer et améliorer Audio Hijack.

Et en moins d’un an, Rogue Amoeba est devenu un travail à temps plein pour ses trois fondateurs. Aujourd’hui, l’entreprise emploie une douzaine de personnes et propose toute une gamme d’outils audio reconnus sur Mac. Et sans ce bug fortuit, Paul Kafasis et ses associés auraient probablement abandonné leur aventure entrepreneuriale.

Bref, cette erreur de code a sauvé à la fois Audio Hijack et leur entreprise qui 23 ans plus tard, continue de prospérer ! C’est beau non ?

Source

L’autre jour, en fouillant dans les recoins du web, je suis tombé sur un site tout simple, ldial.org, qui cache derrière son interface minimaliste une démarche de curation absolument remarquable.

Adam Scott qui a créé ce site a décidé de recenser et de rendre accessible toutes les radios communautaires et indépendantes des États-Unis. Attention, je ne vous parle pas grosses stations commerciales qu’on entend partout, non, non. Je vous parle des vraies radios de quartier, celles qui diffusent depuis un garage transformé ou le sous-sol d’une université, celles qui passent de la musique que vous n’entendrez nulle part ailleurs.

Le créateur de ldial.org a donc transformé ce qui pourrait être une simple liste en véritable écosystème où chaque station est soigneusement sélectionnée, testée, vérifiée. Ce site est un genre de carte sonore des États-Unis, loin des radars des médias mainstream. C’est un site vivant qui contrairement aux annuaires statiques, évolue constamment. Adam, le curateur qui se cache derrière ce site continue d’apprendre, de découvrir de nouvelles stations, d’ajuster sa sélection.

C’est donc une exploration perpétuelle de la diversité radiophonique américaine qui offre un streaming 24/7, au travers une interface épurée et un accès direct aux flux. Pas d’inscription, pas de pub, pas de complications. Juste vous et des centaines d’heures de programmation authentique, depuis des stations qui diffusent parfois pour quelques centaines d’auditeurs locaux.

Et ce sont uniquement des pépites !!! Des stations universitaires qui programment de l’ambient expérimental à 3h du matin, des radios communautaires hispaniques qui mélangent cumbia et electronic, des collectifs autochtones qui préservent leurs langues ancestrales sur les ondes.

Chaque clic sur ldial.org vous transportera dans une bulle sonore différente. Une station de Nouvelle-Orléans vous fera découvrir du jazz local méconnu, une radio du Montana vous plongera dans la country indépendante, une station californienne vous embarquera dans l’underground hip-hop chicano. C’est un voyage musical à travers l’Amérique alternative.

Ce projet révèle aussi quelque chose de plus profond sur la résistance culturelle car ces radios communautaires maintiennent des espaces d’expression libre dans un paysage médiatique de plus en plus standardisé. Elles préservent des niches musicales, donnent la parole aux minorités, expérimentent sans contraintes commerciales, et je trouve ça hyper inspirant, car ce sont des préceptes qu’on peut appliquer également au web. Qu’il faut appliquer au web !

Bonne écoute à tous !