Le bidouilleurs et leur capacité à détourner littéralement n’importe quoi pour y faire tourner DOOM, perso j’adore ! Et là, Aaron Christophel vient de franchir un nouveau cap en transformant une station de charge Anker Prime (lien affilié) en console de jeu. Oui, vous allez pouvoir joueur sur votre chargeur entre deux sessions de recharge.
L’histoire commence par une découverte intéressante… En bon hacker, Christophel analyse la station Anker Prime qu’il vient d’acheter et réalise que le hardware embarqué est bien plus costaud que prévu. Sous le capot, on trouve un ESP32-C3 pour le Bluetooth, mais surtout un microcontrôleur ARM Synwit SWM341RET7 cadencé à 150 MHz, accompagné de 16 Mo de flash et 8 Mo de RAM. Pour un simple chargeur, c’est du luxe !
Et puis il y a l’écran ! Et quel écran puisqu’il fait 200×480 pixels. C’est pas énorme, c’est vrai mais LARGEMENT suffisant pour afficher les couloirs de la base Martienne et les affreux démons pixelisés. Et le meilleur dans tout ça c’est qu’A’aucune modification hardware n’est nécessaire. Christophel a simplement chargé son code et hop, DOOM tourne.
Mais comment on joue sur un chargeur, me direz-vous ? Eh bien, c’est tout l’art de cette prouesse. Pour cela, le développeur utilise la molette rotative de la station comme contrôleur principal. On pousse pour avancer, on tourne pour se diriger, et on appuie pour tirer. C’est pas le summum de l’ergonomie, mais ça fonctionne ! Les contrôles sont surprenamment jouables, même si naviguer dans les niveaux demande un certain temps d’adaptation.
Techniquement, le jeu tourne de manière fluide, mais Christophel a dû faire quelques compromis. Le mode plein écran s’avère trop gourmand pour le processeur, et globalement l’expérience reste “un peu bancale” selon ses propres mots. Mais franchement, quand on voit DOOM tourner sur une station de charge, on va pas chipoter sur la fluidité.
Bref, un appareil de plus dans la longue liste des portages de DOOM sur des bidoules improbables. Christophel n’en est d’ailleurs pas à son coup d’essai puisqu’il avait déjà fait tourner le jeu sur une brosse à dents électrique. Entre les calculatrices, les réfrigérateurs connectés, les PDF et maintenant les chargeurs, on se demande s’il existe encore un appareil électronique incapable de faire tourner ce chef-d’œuvre de 1993.
Et ce qu’on découvre aussi c’est que cette station Anker n’est pas qu’un bête chargeur… c’est un petit ordinateur déguisé, avec suffisamment de ressources pour faire tourner des applications complexes. Christophel l’explique d’ailleurs très bien sur Mastodon : “Le MCU interne SWM34S est juste excellent ! 8 Mo de RAM + 16 Mo de flash directement mappés en mémoire, ça déchire.”
Alors si un simple chargeur peut faire tourner DOOM, qu’est-ce qui nous empêche d’imaginer des fonctionnalités plus poussées ? Par exemple, un chargeur qui affiche vos mails, votre météo, qui sert de hub domotique ? Ou qui se fait infecter par un virus dont l’objectif est de le faire exploser ?
Une fois encore, la seule limite des hackers c’est l’imagination. Et visiblement, Aaron Christophel n’en manque pas. Maintenant, reste à savoir quel sera le prochain appareil à rejoindre la grande famille des supports DOOM ???
Il y a des moments où on tombe sur une approche si simple et efficace qu’on se demande pourquoi on n’y avait pas pensé avant. C’est exactement ce que j’ai ressenti en découvrant la technique d’Armin Ronacher pour donner à Claude Code le contrôle total d’une session de debugging.
Le principe c’est de combiner GNU Screen, ce vieux multiplexeur de terminal que certains considèrent comme dépassé, avec LLDB, le debugger de LLVM, pour créer un environnement où Claude peut littéralement piloter votre terminal comme s’il était assis devant votre clavier.
Comme ça, au lieu d’implémenter des serveurs MCP complexes ou des intégrations cheloues, Ronacher s’appuie sur des outils qui existent depuis des décennies. GNU Screen permet de multiplexer un terminal physique entre plusieurs processus, créant des sessions persistantes qui survivent aux déconnexions SSH. C’est cette persistance qui devient la clé de voûte du système.
Dans sa démonstration vidéo, Ronacher montre donc comment il configure Claude Code pour automatiser complètement une session de debugging. Le secret tient dans quelques lignes ajoutées au fichier CLAUDE.md : “définir un nom de session Screen spécifique pour le debugging, utiliser la syntaxe “dollar string” pour envoyer des commandes, et fermer proprement la session une fois terminé”.
Claude peut alors créer la session, lancer LLDB, identifier un bug de type segfault, le corriger, recompiler le code et vérifier que tout fonctionne. Le tout sans intervention humaine.
Comme le souligne Ronacher dans ses recommandations, Claude Code excelle quand on lui donne accès à des outils bien documentés qu’il connaît déjà. Screen et LLDB font partie de ces outils sur lesquels il existe une montagne de documentation et d’exemples donc Claude peut les manipuler avec aisance. En tout cas, beaucoup plus que moi, c’est certain !
Mais au-delà du debugging, cette technique ouvre des perspectives fascinantes pour l’automatisation. On pourrait imaginer un Claude gérant vos sessions tmux pour orchestrer des déploiements multi-serveurs, surveillant des logs en temps réel via Screen pour détecter des anomalies, ou même maintenant des connexions SSH persistantes vers des serveurs pour des interventions d’urgence. J’avoue c’est toujours prendre un risque donc à éviter sur de la prod, mais c’est très cool quand même.
Si vous faites du DevOps, vous pourriez configurer Claude pour qu’il lance automatiquement des sessions Screen lors de debugging de containers Docker, maintienne des tunnels SSH persistants pour du debugging à distance de Kubernetes, ou même gère des sessions de monitoring avec des dashboards textuels comme htop ou glances. La combinaison de la persistance de Screen et de l’intelligence de Claude crée un assistant capable de gérer des workflows complexes de manière autonome.
C’est vrai que Screen est souvent considéré comme obsolète face à tmux, mais dans ce cas précis, sa simplicité devient un avantage car Claude a probablement plus de données d’entraînement sur Screen, qui existe depuis 1987, que sur des alternatives plus modernes. Donc c’est smooooth pour lui…
Un autre cas d’usage intéressant serait la gestion de sessions de développement complexes durant lesquelles Claude pourrait maintenir plusieurs fenêtres Screen avec différents environnements : une pour les tests, une pour le serveur de développement, une pour les logs, et naviguer entre elles selon les besoins. Vous pourriez ainsi demander à Claude de lancer les tests et de vous montrer les logs en cas d’échec, et il orchestrerait tout via Screen.
Pour les équipes, cette technique pourrait vraiment renforcer le pair programming à distance…. Vous partagez une session Screen avec Claude et un collègue simultanément et Claude pourrait vous assister en temps réel, suggérer des corrections, exécuter des commandes de diagnostic, pendant que vous discutez de l’architecture avec votre collègue avec un petit kawa. C’est comme avoir un 3e collègue expert toujours dispo.
Pas besoin d’API, de webhooks, ou de services cloud… Juste des outils Unix standard que tout développeur a déjà sur sa machine et un bon prompt et hop ça fait des chocapics (ou plus de bugs…^^) !
Bref, parfois les solutions les plus belles sont aussi les plus simples. Pas besoin de réinventer la roue…
Pourquoi prendre des vacances d’été et glander sur une plage, alors qu’on pourrait pondre projet open source qui résout un vrai problème ?
Adrien Revel a fait exactement ça avec Microfolio, et le plus rigolo c’est qu’il s’est fait assister par Claude Code pour développer son bébé. Une fois installé, vous lui balancez vos fichiers dans des dossiers, vous ajoutez du Markdown pour les descriptions, et paf, vous avez un portfolio statique qui a la classe.
Pas de base de données qui rame, pas de CMS à maintenir, pas de plugins WordPress qui vous lâchent au pire moment. Juste des fichiers, du contenu, et un site qui booste.
Microfolio tourne sur SvelteKit 2, l’un des générateurs de sites statiques les plus utilisés, couplé à Tailwind CSS 4. Pour ceux qui ne suivent pas l’actu dev, SvelteKit est un framework qui compile votre code en vanilla JavaScript ultra-optimisé. Du coup, les sites chargent à la vitesse de l’éclair même sur une connexion 3G pourrie.
Maintenant, l’installation, c’est du velours. Par exemple, sous macOS, une ligne de Homebrew et c’est parti :
brew install aker-dev/tap/microfolio
microfolio new mon-portfolio
cd mon-portfolio
microfolio dev
Pour les autres OS, un bon vieux clone Git et pnpm font l’affaire. Le projet est pensé pour les designers, architectes, photographes, bref tous les créatifs qui veulent montrer leur travail sans se prendre la tête avec du code.
La démo en ligne montre déjà ce que ça donne à savoir une interface épurée, une navigation fluide entre les projets, une vue carte pour les projets géolocalisés (pratique pour les architectes), et un système de tags pour filtrer le contenu. Le tout responsive évidemment, c’est la base aujourd’hui.
Moi j’en ai fait un site de chat pour rigoler…
Pour le déploiement, GitHub Pages est supporté d’office avec possibilité de mettre un domaine custom. Adrien cherche également des beta-testeurs pour peaufiner le projet avant de sortir la v1.0 à la rentrée. Donc si vous avez un portfolio à refaire ou si vous voulez juste tester un outil moderne, c’est le moment.
Bref, du bon “file-based CMS” comme on les aime. Comme ça, au lieu de stocker vos contenus dans une base de données qui peut foirer, tout est dans des fichiers que vous pouvez versionner avec Git. Vous gardez le contrôle total sur vos données, vous pouvez tout éditer offline, et surtout vous n’êtes pas prisonnier d’un système.
Puis ce combo SvelteKit + Tailwind CSS est vraiment pertinent, je trouve. SvelteKit permet de générer des sites statiques en automatique, ce qui veut dire que votre site est servi en HTML statique pour le SEO, puis devient interactif côté client. C’est le meilleur des deux mondes.
Pour les devs qui veulent contribuer, le code est sur GitHub sous licence MIT. Le projet utilise les dernières versions de tout (SvelteKit 2, Tailwind CSS 4, Node.js 20+), donc c’est aussi l’occasion de jouer avec les dernières technos du moment.
Moi, j’adore quand quelqu’un fabrique un truc juste parce qu’il en a envie, sans business plan, sans pitch deck, sans lever de fonds. Juste un dev, son clavier, et l’envie de créer.
Et bien c’est exactement ce qui s’est passé avec MkEditor, et ça fait du bien !
Le créateur de MkEditor (qui se décrit lui-même comme “un peu timide pour partager ses créations”) a passé plusieurs années à maintenir cet éditeur Markdown qui respecte les specs CommonMark.
Pourquoi ?
Et bien pas pour concurrencer Obsidian ou Typora. Pas pour devenir la prochaine licorne de la tech. Non, non, juste parce qu’il voulait comprendre comment VSCode fonctionnait en détail. Et ce qu’il nous a pondu, c’est un éditeur qui utilise Monaco Editor de Microsoft, le même moteur qui fait tourner VSCode.
Alors oui, on va me dire “mais Korben, il existe déjà 50 éditeurs Markdown”. C’est vrai et ces éditeurs ont su se rendre incontournables pour les développeurs et les équipes. Obsidian cartonne avec son graph view, Typora fait toujours rêver avec son rendu en temps réel. Mais MkEditor a quelque chose de différent : Il ne cherche pas à révolutionner quoi que ce soit. Il fait juste très bien ce qu’il fait.
L’outil embarque des fonctionnalités plutôt sympas. D’abord, vous avez un split screen redimensionnable avec synchronisation du scroll entre l’éditeur et la preview. Ensuite, des raccourcis clavier personnalisables pour formater votre texte ou insérer des blocs de code. Et il y a même de l’autocomplétion pour les langages dans les code blocks, exactement comme dans VSCode.
Ce qui est bien pensé aussi, c’est l’export HTML. Vous pouvez comme ça générer du HTML brut ou une version stylée avec Bootstrap et FontAwesome directement injectés dans le <head>. Pratique quand vous voulez partager un document qui a de la gueule sans vous prendre la tête avec le CSS. Les paramètres sont configurables soit via l’interface, soit directement dans un fichier settings.json pour les puristes du terminal.
Le truc cool aussi, c’est qu’il y a la palette de commandes de VSCode. Vous tapez Ctrl+Shift+P (ou Cmd+Shift+P sur Mac) et boom, vous avez accès à toutes les commandes. Pour ceux qui vivent dans VSCode, c’est comme retrouver ses pantoufles.
Et si vous ne voulez pas installer l’application desktop (disponible en Electron pour Windows, Linux et macOS), vous pouvez tester directement la version web en cliquant ici. Pas de compte à créer, pas de données à fournir, vous arrivez et vous écrivez. C’est chouette non, à une époque où chaque app veut votre mail, votre 06 et votre groupe sanguin.
Le développeur l’avoue lui-même dans son post… il a créé MkEditor juste parce qu’il en avait envie, sans cas d’usage particulier, juste pour le plaisir de construire quelque chose. C’est cette philosophie qui résume tout ce que j’aime dans l’open source.
Le projet est donc sur GitHub si vous voulez contribuer ou juste jeter un œil au code. Le dev accepte les feedbacks et les rapports de bugs, toujours avec cette modestie qui caractérise les vrais artisans du code.
Alors non, MkEditor ne va pas détrôner les géants du Markdown et il ne va pas lever 10 millions (enfin, quoique, on ne sait jamais dans la vie…). Il n’aura peut-être même pas sa propre conférence annuelle, mais il existe, il fonctionne bien, et il est gratuit.
Vous êtes tranquillement garé au supermarché, et pendant que vous faites vos courses, quelqu’un avec un Flipper Zero capture discrètement le signal de votre clé de bagnole. Dans certains cas extrêmes, votre clé pourrait effectivement devenir inutile, mais la plupart du temps, c’est plus subtil et presque plus inquiétant puisque l’attaquant pourrait revenir ouvrir votre voiture plus tard, tandis que votre clé continue de fonctionner tout à fait normalement.
Cette nuance, personne ne la fait et pourtant elle change tout dans la compréhension de cette faille.
L’histoire commence donc avec un firmware mystérieux qui circule dans les cercles underground du Flipper Zero. Vendu jusqu’à 1000 dollars, ce firmware exploite une vulnérabilité découverte par des chercheurs et la transforme en arme redoutablement efficace. Les youtubeurs Talking Sasquatch et 0dayCTF ont publié des démonstrations qui ont fait l’effet d’une bombe dans la communauté et c’est d’ailleurs comme ça que je l’ai découvert.
Mais revenons aux bases. Les codes tournants (rolling codes), c’est une technologie censée protéger nos voitures depuis les années 90. À chaque pression sur votre télécommande, un nouveau code unique est généré. Impossible à copier, disaient-ils. Jusqu’à ce que des chercheurs trouvent LA faille.
En 2015, on a donc vu débouler RollJam, une attaque complexe qui nécessitait de brouiller le signal tout en l’enregistrant. Techniquement possible, mais franchement galère sur le terrain. Puis en 2022, tout a changé avec l’attaque RollBack présentée à la Black Hat. Cette fois, plus besoin de brouillage. Il suffit de capturer quelques signaux (parfois deux, parfois cinq selon les modèles) et de les rejouer dans le bon ordre pour “rembobiner” l’état du récepteur.
Le plus sournois, c’est que dans la majorité des cas documentés par la recherche, votre télécommande continue de fonctionner. L’attaquant exploite en effet le mécanisme de resynchronisation pour ramener le système à un état antérieur où des codes déjà utilisés redeviennent valides. C’est ce qu’on appelle une attaque “time-agnostic” cqr elle peut être réutilisée n’importe quand après la capture initiale.
Attention toutefois aux généralisations car contrairement à ce qu’on lit partout, une seule capture ne suffit pas toujours. La CVE-2022-37305 publiée pour certains modèles Honda documente par exemple la nécessité de capturer cinq signaux consécutifs. Les détails varient énormément selon les marques, modèles, années et puces utilisées.
Parlons maintenant des véhicules concernés. SAN cite une liste incluant Chrysler, Dodge, Fiat, Ford, Hyundai, Jeep, Kia, Mitsubishi et Subaru. Mais attention, ce n’est pas une liste officielle. Les chercheurs derrière RollBack indiquent qu’environ 70% des modèles asiatiques testés présentaient une vulnérabilité, tandis que certains systèmes (notamment plusieurs Toyota avec des transpondeurs Texas Instruments) se sont montrés plutôt résistants.
Il existe quand même des cas où la clé devient réellement inutile, mais c’est l’exception plutôt que la règle. Un chercheur indépendant a documenté comment certains modèles Subaru 2004-2011 pouvaient voir leur compteur poussé si loin que la clé originale se désynchronisait définitivement. Mais c’est un cas particulier d’implémentation mal conçue, et pas la norme.
L’histoire derrière ce firmware est également fascinante je trouve car elle implique un développeur controversé (surnommé “Mr. Silly Pants” par la communauté), créateur original du firmware Unleashed, qui après un séjour en prison a voulu récupérer son projet que MMX avait fait grandir en son absence. Face à son refus, il a alors créé son propre firmware avec ces fameuses fonctionnalités de rolling code et tenté de le monétiser. C’est là qu’interviennent Rocket God et les Pirates Plunder Crew qui ont réussi à cracker la protection par numéro de série mise en place sur le firmware et commencé à faire circuler le code dans des cercles restreints de hackers et chercheurs en sécurité.
Alors, comment fonctionne cette attaque ?
Déjà, il faut savoir que les systèmes RKE (Remote Keyless Entry) utilisent un compteur couplé à une clé secrète. Le récepteur tolère ainsi une “fenêtre” de resynchronisation, soit environ 16 codes pour l’exécution immédiate et jusqu’à 32 000 pour la resynchronisation en double opération selon les datasheets HCS320 et HCS500. C’est fait pour rattraper les appuis manqués quand vous êtes trop loin de la voiture.
RollBack exploite intelligemment ce mécanisme en rejouant des trames valides dans le bon ordre pour forcer une resynchronisation vers un état antérieur. Dans certains cas avec les anciens systèmes KeeLoq, si la clé constructeur a fuité (ce qui est d’ailleurs arrivé via des attaques documentées dès 2008 par Biham et al. et Courtois/Kasper), alors oui, une seule capture peut suffire pour dériver les prochaines trames.
Ce fameux firmware de Mr. Silly Pant, reste entouré de mystère. Code non publié, méthodologie non documentée, résultats non reproductibles publiquement. Les vidéos montrent un Flipper qui écoute une ou plusieurs trames et émule ensuite toutes les fonctions de la télécommande. C’est impressionnant, mais la littérature scientifique sur RollBack reste pour l’instant la meilleure base technique vérifiable.
Alors, comment se protéger ?
Vos options restent limitées. On peut utiliser le verrouillage interne du véhicule quand possible, éviter les appuis multiples loin de la voiture, ranger sa clé dans une pochette qui bloque les ondes (ça limite les captures opportunistes), et surtout désactiver le Keyless “mains libres” si votre modèle le permet (même si c’est surtout efficace contre les attaques de relais, pas forcément contre RollBack).
La vraie solution nécessiterait en fait des mises à jour de l’ECU et de la clé (irréalistes à grande échelle) ou une refonte complète avec des protocoles modernes basés sur des timestamps ou de l’authentification multifacteur. Les constructeurs sont donc dans une impasse car un rappel massif serait économiquement catastrophique, et ces systèmes hardware ne peuvent pas être patchés comme un logiciel.
Maintenant pour les passionnés qui veulent explorer le Flipper Zero légalement, trois firmwares customs publics dominent : Unleashed qui reste la référence stable, Momentum qui a repris le flambeau d’Xtreme avec des fonctionnalités plutôt riches, et RogueMaster qui offre le plus d’options mais avec une stabilité qui se discute…. Le comparatif Awesome Flipper vous détaillera toutes leurs différences.
Cette affaire révèle surtout les tensions croissantes dans la communauté Flipper Zero, entre la recherche éthique et la monétisation agressive. Elle rappelle surtout que comme d’habitude, la sécurité par l’obscurité a ses limites. Ces codes tournants semblaient invulnérables jusqu’à ce qu’on trouve comment exploiter leur mécanisme de resynchronisation.
Le Flipper Zero n’est d’ailleurs pas le seul coupable. D’autres dispositifs SDR peuvent théoriquement réaliser la même attaque mais le Flipper a démocratisé ces techniques, les rendant accessibles à tous. Heureusement, de nouveaux systèmes de sécurité émergeront bientôt, j’en suis sûr, probablement basés sur des protocoles plus robustes mais comme vous le savez chaque protection finit par tomber. C’est juste une question de temps, de motivation et d’ingéniosité.
Maintenant, si vous croisez quelqu’un qui traine avec un Flipper Zero dans un parking, pas de panique et inutile de lui casser la gueule, car la majorité de la communauté reste éthique. Donc peu de chance que ce soit un voleur de voiture. Mais restez quand même vigilant, on ne sait jamais…
OpenAI has just released its first open-weight models, gpt-oss:20 and gpt-oss:120, enabling you to run these surprisingly powerful models locally, which benefits security and privacy. I downloaded gpt-oss:20 and tested it on my laptop using Ollama and within VS Code with GitHub Copilot. To my surprise, the 20 billion parameter model gpt-oss:20 responded to my prompt.
Vous codez seul la nuit comme un petit lutin tout triste, paria de la société ? Et bien si je vous disais que vos collègues peuvent éditer vos fichiers en temps réel, directement dans votre Neovim ? Ce serait pas le feu ça ?
Ethersync vient de débarquer et c’est exactement ce qu’il propose à savoir transformer n’importe quel éditeur de texte en espace de collaboration instantané. Comme un Google Docs mais en local, peer-to-peer et chiffré.
Le projet a été présenté au FOSDEM 2025 par blinry, et la démo m’a scotché. En gros, vous tapez ethersync share dans votre terminal, un code apparaît du style “5-hamburger-endorse”, et de son côté, votre collègue tape ethersync join 5-hamburger-endorse et boom, vous éditez les mêmes fichiers en temps réel. Pas de serveur, pas de cloud, juste une connexion P2P chiffrée entre vos machines.
Ce qui rend Ethersync génial, c’est qu’il fonctionne avec VOTRE éditeur préféré. Neovim, VS Code, et bientôt Emacs et JetBrains grâce aux plugins communautaires en développement comme ça plus besoin de forcer tout le monde sur le même outil. Chacun garde ses habitudes, ses raccourcis, ses configurations. L’interopérabilité est totale !
Le secret technique derrière cette magie ce sont les CRDT (Conflict-free Replicated Data Types) via Automerge. En gros, c’est une structure de données qui permet à plusieurs personnes de modifier le même document sans créer de conflits. Chaque modification est enregistrée comme une opération, et l’algorithme sait comment les fusionner intelligemment. Même si vous travaillez hors ligne et que vous vous reconnectez plus tard, tout se synchronise nickel.
Mais Ethersync va plus loin qu’Etherpad ou Google Docs car il ne se contente pas d’un seul fichier mais synchronise des projets entiers ! Vous partagez un dossier, et tout ce qui s’y trouve devient collaboratif. Fichiers sources, documentation, configs… tout est synchronisé en temps réel ce qui en fait le complément parfait à Git pour la collaboration instantanée.
L’architecture est d’ailleurs brillante. Il y a un daemon qui tourne en arrière-plan et gère la synchronisation via Iroh (une bibliothèque Rust qui permet d’établir des connexions directes entre pairs via QUIC, avec du hole-punching et des relais de secours) ainsi que Magic Wormhole (que vous connaissez, pour l’établissement de connexion facile avec des codes courts).
Les éditeurs communiquent alors avec le daemon via un protocole JSON-RPC tout simple. Du coup, créer un nouveau plugin est relativement facile si vous voulez supporter votre éditeur exotique préféré.
Et surtout, niveau sécurité, c’est du solide. Comme, je vous le disais, toutes les connexions sont chiffrées de bout en bout, et y’a pas de serveur central qui pourrait être compromis. Comme ça, VOS données restent sur VOS machines et si même internet tombe parce que c’est la fin du monde, vous pourrez continuer à collaborer en local sur le même réseau.
Pour l’installer sous Linux/macOS, vous récupérez le binaire statique depuis GitHub, vous le mettez dans votre PATH, et c’est parti. Les utilisateurs d’Arch ont même un paquet AUR (yay -S ethersync-bin). Pour Android, ça marche dans Termux et pour les amateurs de Nix, il y a un flake officiel.
Ce projet est encore jeune et en développement actif mais l’équipe l’utilise au quotidien donc ça se bonifie avec le temps. D’ailleurs, la bonne nouvelle c’est que ça a été financé par NLNet via leur fonds NGI0 Core pour 2024, et par le Prototype Fund allemand pour 2025. Ça garantit comme ça un développement sérieux et en continu.
Bref, que ce soit pour du pair programming, mais aussi de la prise de notes collaborative, de la rédaction de documentation à plusieurs, de la sessions de debug en équipe…etc, ça devrait bien faire le taf et contrairement aux partages d’écran, chacun garde le contrôle de son environnement.
Si vous voulez tester, c’est le moment car le projet recherche des retours, des testeurs, et des contributeurs pour créer de nouveaux plugins. La documentation est claire, le code est propre et l’équipe est réactive !
De la collaboration fluide et instantanée, directement dans votre environnement de travail habituel, comme on aime !
Dans un communiqué publié le 31 juillet, le FBI met en garde contre un nouveau type d'arnaque particulièrement vicieux. Le mode opératoire repose sur deux arnaques déjà en vogue : le « brushing scam » et le « quishing ».
Voici un truc qui va faire plaisir à tous ceux qui ont des idées d’apps mais qui ne savent pas coder. Ça s’appelle Opal, et c’est le nouveau joujou de Google Labs qui vous permet de créer des mini-applications IA juste en décrivant ce que vous voulez en langage naturel. Plus besoin de se prendre la tête avec du JavaScript ou du Python, vous dites ce dont vous rêvez et hop, l’outil construit votre app avec un joli workflow visuel.
Le concept est vraiment malin. Vous tapez quelque chose comme “Je veux une app qui génère des descriptions de produits et ensuite crée des vidéos promotionnelles basées sur ces descriptions”, et Opal va créer automatiquement toute la logique sous forme de workflow visuel. Vous voyez exactement comment les différentes étapes s’enchaînent, avec les entrées, les sorties, et les appels aux modèles IA de Google (Pro 2.5 pour la logique, Imagen pour les images, AudioLM pour l’audio).
Ce qui est cool, c’est que vous pouvez modifier votre app de deux façons. Soit vous continuez à discuter avec Opal en langage naturel (par exemple, “Ajoute une étape qui traduit le texte en espagnol”), soit vous cliquez directement sur les blocs du workflow visuel pour modifier les prompts et les paramètres. C’est du pur “vibe-coding”, un terme popularisé par Andrej Karpathy d’OpenAI qui désigne cette nouvelle façon de coder en décrivant plutôt qu’en écrivant du code. D’ailleurs, petite anecdote, cette version de mon site sur lequel vous êtes actuellement a été entièrement vibe codée par mes soins :).
Pour l’instant, Opal est en bêta publique mais uniquement aux États-Unis. Google joue la carte de la prudence avec ce lancement expérimental, mais ils ont déjà mis en place une galerie de templates pour vous aider à démarrer. Vous pouvez prendre un template existant et le remixer selon vos besoins, ou partir de zéro avec votre propre idée.
Surtout que la concurrence est rude dans ce domaine. Amazon a sorti Kiro qui mise sur la documentation automatique et la maintenabilité du code généré. Microsoft s’est allié avec Replit pour intégrer leur IDE no-code dans Azure. Mais Google a un avantage : l’intégration native avec tous leurs modèles IA et la simplicité de partage façon Google Docs. Ensuite, une fois votre mini-app créée, vous cliquez sur un bouton et vous avez un lien à partager. Les autres utilisateurs peuvent alors l’utiliser directement avec leur compte Google.
Avec ce truc, vous pouvez créer des outils de productivité personnalisés pour votre boulot, prototyper rapidement des idées d’apps IA, ou même faire des démos fonctionnelles pour convaincre des investisseurs. C’est pas encore adapté pour créer des apps commerciales à grande échelle, mais pour du prototypage rapide ou des outils internes, c’est parfait.
Ali Modarres, Bill Byrne et Paul Lewis, l’équipe derrière Opal chez Google, expliquent que l’objectif est vraiment de démocratiser la création d’apps IA. Plus besoin d’être développeur pour transformer une idée en application fonctionnelle. C’est un peu comme si on passait de l’époque où il fallait connaître le HTML pour faire un site web à l’époque de Wix ou Squarespace.
C’est, je trouve, une évolution naturelle et nécessaire car on a des modèles IA super puissants, mais ils restent inaccessibles pour la plupart des gens qui ne savent pas coder. Avec des outils comme Opal, n’importe qui peut maintenant créer des workflows complexes qui enchaînent plusieurs IA pour résoudre des problèmes spécifiques. Le seul bémol pour nous en France, vous l’aurez compris, c’est qu’il faut attendre que Google lance Opal en dehors des États-Unis, mais vu la vitesse à laquelle ces outils évoluent, ça ne devrait pas tarder.
snif…
Un grand merci à Lorenper qui m’a fait découvrir cet outil !
Vous savez ce petit carré noir et blanc que vous scannez sans réfléchir au resto ou sur un parking ? Bah il pourrait bien vider votre compte en banque. Le “quishing”, c’est la nouvelle arnaque qui cartonne et en France, on n’est pas épargnés. Cette forme de phishing par QR code s’inscrit dans une tendance inquiétante car les attaques de phishing ont augmenté de 58% en 2023 dans l’Hexagone.
Le pire, c’est qu’on a tous pris l’habitude de scanner ces trucs les yeux fermés. Pendant la pandémie, c’était même devenu le réflexe : menu du resto, paiement sans contact, infos au musée… Les QR codes étaient partout et on trouvait ça pratique. Sauf que maintenant, les escrocs ont flairé le bon plan. En France, 50 000 particuliers et professionnels ont déjà demandé de l’aide à Cybermalveillance.gouv.fr pour des attaques de phishing, et le quishing représente une part croissante de ces arnaques.
D’après une étude de KeepNet Labs, le quishing a augmenté de 25% cette année au niveau mondial et représente maintenant 26% de tous les liens malveillants. En France, 32% des URL de phishing signalées reposent sur des innovations récentes, QR codes compris. L’hameçonnage donc est devenu la menace numéro 1 pour les particuliers et les collectivités, et la seconde pour les entreprises françaises.
Les techniques des cybercriminels qui mettent ça en place sont variées mais toujours basées sur l’urgence et la confiance. Le coup classique, c’est l’autocollant collé sur un parcmètre ou une borne de recharge. Vous pensez payer votre stationnement, mais en fait vous filez vos infos bancaires à des malfrats. Dans le Loiret récemment, des hackers ont remplacé le QR code d’une borne de recharge électrique. Les utilisateurs pensaient recharger leur Tesla, mais ils rechargeaient surtout le compte des arnaqueurs.
La Federal Trade Commission américaine a aussi lancé l’alerte sur une nouvelle variante de colis non sollicités avec un QR code “pour identifier l’expéditeur”. Cette technique arrive maintenant en France, profitant du boom des achats en ligne.
En France, le smishing (phishing par SMS utilisant souvent des QR codes) connaît une hausse fulgurante depuis 2020. Les arnaques exploitent souvent :
Comme je vous le disais, tout ce qui est fausses livraisons de colis avec QR codes pour “tracer votre envoi”
Les notifications de réseaux sociaux frauduleuses
Les messages d’autorités (impôts, CAF, Ameli) avec QR codes urgents
Les faux RH d’entreprise demandant de scanner pour “mettre à jour vos informations”
Les cybercriminels adorent jouer sur l’urgence artificielle. Genre, vous recevez un faux PV avec un QR code pour payer l’amende rapidement et éviter des frais supplémentaires. Ou alors c’est votre banque qui vous demande de scanner d’urgence pour “débloquer votre compte”. À chaque fois, c’est la panique qui vous fait agir sans réfléchir. En France, le phishing représente 38% des demandes d’assistance cyber, preuve que cette technique fonctionne terriblement bien.
Ce qui rend le quishing particulièrement dangereux, c’est qu’il contourne les protections classiques. Les filtres anti-spam d’entreprise voient juste une image, et pas de lien suspect. Et souvent, vous scannez ça avec votre téléphone perso qui n’a pas les mêmes protections que votre PC de bureau. Les autorités françaises alertent sur cette progression rapide du quishing, qui profite de l’explosion de l’usage des QR codes depuis la pandémie.
Déjà, la base : ne scannez jamais un QR code qui vient de nulle part. Si c’est sur un autocollant mal collé ou qui semble rajouté après coup, fuyez. Vérifiez toujours l’URL qui s’affiche après le scan. Si ça commence par “http://” au lieu de “https://”, c’est louche. Si l’adresse c’est “app1e.com” au lieu de “apple.com”, c’est de l’arnaque !
Pour les parkings et bornes de recharge, utilisez toujours l’application officielle plutôt que de scanner. C’est moins rapide mais beaucoup plus sûr. Et activez l’authentification à deux facteurs partout où c’est possible. Comme ça, même si les arnaqueurs récupèrent vos identifiants, ils ne pourront pas accéder à vos comptes.
Et surveillez vos relevés bancaires comme le lait sur le feu. Le guide complet de Hoxhunt recommande aussi d’utiliser des apps de scan avec vérification de sécurité intégrée. Certaines analysent l’URL avant de l’ouvrir et vous alertent si c’est suspect.
D’ailleurs, voici un super outil à tester pour savoir si vous êtes assez bête pour encore vous faire avoir avec cette arnaque alors que vous venez de lire cet article:
Le quishing, c’est donc vraiment l’arnaque du moment. Simple, efficace et difficile à détecter. Avec une hausse de 58% des attaques de phishing en France et des QR codes frauduleux qui se multiplient, il est crucial de rester vigilant. Maintenant que vous savez comment ça marche et que vous connaissez l’ampleur du phénomène en France, vous avez toutes les cartes en main pour ne pas tomber dans le panneau.
VS Code version 1.102 introduced several useful new features in GitHub Copilot. Command allow/deny lists let you specify which commands the Copilot agent can execute without asking for permission. The resubmit feature enables you to edit a previous request and resubmit the prompt. Additionally, the new VS Code version includes various updates for managing MCP servers, including a curated catalog of MCP servers.
The number of GitHub Copilot concepts continues to grow, and their similar names can easily confuse. This post offers an overview of all the concepts, along with a link to find more information. The main confusion stems from the Copilot tools on GitHub.com and GitHub Copilot in VS Code. Although there is some overlap, keeping these two areas separate is essential.
Microsoft Azure MCP Server allows AI agents like VS Code GitHub Copilot in Agent Mode to communicate with your Azure resources through natural language prompts. Azure MCP Server supports services such as Storage, Cosmos DB, Key Vault, and Logs.
The MCP catalog in Docker Desktop has been available for a couple of weeks now. However, MCP support only works properly in the just-released Docker Desktop 4.42. The Docker Desktop MCP server catalog significantly simplifies installing MCP servers for any MCP client. I tested it with Gordon (Docker Desktop chatbot), Anthropic Claude Desktop, and VS Code GitHub Copilot on macOS, but the process should be identical on Windows.
The leader in coding models has rolled out Claude Code to the public. Anthropic's terminal-based AI coding assistant automates editing, testing, and managing git workflows using natural language commands. Although you cannot install Claude Code as a VS Code extension via the marketplace, its integration into the open-source IDE is straightforward, and the user experience closely resembles GitHub Copilot, Cline, or Roo Code. My review of the preview version was somewhat critical because I dislike coding in the terminal. However, Claude Code now integrates well with VS Code and JetBrains, so I changed my original verdict.
The relatively new VS Code technical terms chat participants, chat variables, and slash commands can be accessed with the prefixes @, #, and / in GitHub Copilot. This post explains the differences and gives usage examples.
Connexion
