A l’époque où je bossais encore pour de vrai dans une entreprise normale et que je n’étais pas encore super-blogueur-professionnel, PhishyURL est le genre de truc qui ne m’aurait pas forcement fait beaucoup rire… Mais le temps est passé et je me dis que si votre équipe informatique vous casse un peu les pieds, c’est peut être le moment de prendre votre (gentille) revanche en leur faisant un petit poisson d’avril en plein mois de septembre.

Hé oui car PhishyURL est un générateur d’URLs qui n’a pour seul but que de foutre les jetons à votre équipe informatique. L’idée c’est que vous entrez une URL parfaitement légitime, disons celle de la page d’accueil de votre boîte, et l’outil vous sort un lien qui ressemble à ce que Satan lui-même enverrait par mail après une nuit de beuverie avec des hackers russes.

Et au menu des thèmes disponibles, on trouve tout ce qui fait transpirer un responsable sécu : crypto douteuse, finance louche, phishing assumé, shopping suspect, casino en ligne, rencontres hot et même du contenu adulte. De quoi transformer n’importe quel lien vers les photos de vacances de mamie en quelque chose qui ressemble à une invitation directe vers les enfers numériques.

Une fois votre super URL générée, vous l’envoyez par mail à un collègue et le rythme cardiaque de quelques personnes va s’accélérer…

JE SAIS C’EST MAL ! Mais c’est drôle quand même ! Ça peut même servir pour faire vos épreuves de phishing et faire ensuite la morale à Michel de la compta qui clique sur tout ce qui peut lui permettre de voir des boobs.

Voilà, amusez-vous bien mais n’abusez pas des bonnes choses…

Vous en avez marre de jongler entre différents clients VPN selon vos appareils ?

Alors ça tombe bien puisque je viens de tomber sur TailGuard , un projet open source qui est une application Docker, mise au point par un certain Juho Vähä-Herttua qui sert de passerelle entre WireGuard et Tailscale .

Si vous n’avez jamais entendu parler de ces deux technologies, laissez-moi vous faire un petit récap rapide… WireGuard, c’est LE protocole VPN moderne ultra-rapide dans le vent, et Tailscale, c’est LA solution mesh VPN qui fait un carton en ce moment.

Et le truc chouette avec TailGuard, c’est qu’il résout ce casse-tête des appareils qui ne peuvent pas faire tourner Tailscale nativement. Vous savez, ces vieux routeurs, ces IoT un peu bizarres ou ces environnements restreints où installer un client VPN moderne c’est plus compliqué que d’avoir un Premier Ministre décent. Mais avec TailGuard, vous créez ainsi un pont entre votre infrastructure WireGuard existante et le réseau mesh de Tailscale. Pas besoin de tout refaire de zéro, c’est plutôt bien pensé.

Alors, comment ça marche ?

Et bien en gros, vous avez un serveur WireGuard qui tourne quelque part, avec ses configurations et ses clés et TailGuard, lui, vient se greffer dessus via Docker et expose automatiquement vos sous-réseaux WireGuard sur Tailscale. Du coup, tous vos appareils Tailscale peuvent accéder à vos ressources WireGuard, et inversement. C’est du routage bidirectionnel automatique, avec support IPv4 et IPv6.

Pour l’installation, c’est un jeu d’enfant. Vous téléchargez votre config WireGuard client, vous la sauvegardez en wg0.conf, vous créez un réseau IPv6 Docker et vous lancez le container avec les bons volumes.

docker network create --ipv6 ip6net
docker run -it \
 -v ./wg0.conf:/etc/wireguard/wg0.conf -v ./state:/tailguard/state \
 --cap-add NET_ADMIN --device /dev/net/tun \
 --sysctl net.ipv4.ip_forward=1 --sysctl net.ipv6.conf.all.forwarding=1 \
 --sysctl net.ipv4.conf.all.src_valid_mark=1 \
 --network ip6net -p 41641:41641/udp \
 --name tailguard juhovh/tailguard:latest

En ce moment, tout le monde s’extasie sur le grand retour des blogs et j’ai vraiment envie de leur dire : “Mais hé je ne suis jamais parti bande de nazes !”

Faut dire que j’étais déjà là avant que le mot “blog” existe, quand on appelait ça des sites perso et qu’on codait notre HTML à la main dans Notepad (je suis un menteur, j’utilisais Dreamweaver). Et voilà, je suis toujours là, 28 ans plus tard (oui j’ai lancé mon premier site perso en 1997), pendant que les plateformes et les médias naissent et meurent autour de moi comme des petites fleurs délicates.

Le truc, c’est que je suis un peu maudit dans cette histoire. Ni vraiment blog, ni vraiment média. Je suis comme un ornithorynque du web, une cyber-anomalie qui perturbe vos envies de classifications. J’suis pas assez institutionnel pour bénéficier des avantages fiscaux de la presse et j’suis trop imposant pour être un simple blog perso. Alors je suis quoi au final ? Bah je pense que je suis ce que j’ai toujours été… Un webmaster quoi… Un mec avec son site web sur lequel il met ce qu’il veut, quand il veut, comme il veut. En totale liberté !

Et c’est exactement ça que les gens redécouvrent aujourd’hui. La liberté. Cette putain de liberté qu’on a perdue en allant tous s’entasser dans les jardins clos de Facebook, Twitter et autres conneries. Alors maintenant que X est devenu un champ de bataille toxique et que Blusky est en train de suivre le même chemin, je vois de plus en plus de monde réaliser enfin ce qu’on a sacrifié.

Et le ooh.directory l’a bien compris. Il s’agit d’un annuaire web qui recense au moment où j’écris ces lignes, 2351 blogs actifs sur tous les sujets possibles. Son créateur l’a lancé pour prouver que “nobody blogs anymore” est une connerie monumentale. Car des blogs personnels, il y en a des tonnes. Par exemple, des gens comme Anil Dash avec son “ blog about making culture ”, Aaron Parecki qui a co-fondé l’IndieWebCamp, ou Andy Baio avec Waxy.org que j’aime beaucoup. Tous ces gens qui continuent à écrire, à partager, à créer sur LEUR petite parcelle de web.

Alors pourquoi c’est mieux d’avoir son site que d’être sur X ou Bluesky ? C’est simple. Sur votre blog, vous êtes chez vous. Pas d’algo qui décide si votre contenu mérite d’être vu. Pas de modération aléatoire qui vous suspend parce que vous avez dit “merde”. Pas de limite à 280 ou même 300 caractères. Si vous voulez écrire 35000 mots sur l’histoire des cartes graphiques, let’s go pépito ! Et si vous voulez partager votre recette de cookies de Noël entre 2 posts sur Rust, c’est tout à fait possible !

Puis c’est pas le même public. Sur les blogs, c’est un public de gens qui viennent vous lire pour le plaisir, pour apprendre des choses, se marrer ou juste confronter leurs points de vue, et pousser la réflexion sur certains sujets. Sur les plateformes de micro blogging comme X ou Bluesky, c’est pas la même ambiance. Là-bas c’est majoritairement n’importe qui, qui dit n’importe quoi en 2 secondes chrono, condamnant, critiquant, détruisant, jugeant, sans même lire au delà du titre, le texte que vous avez pris le temps de rédiger avec tout votre cœur.

L’ IndieWeb dont je vous ai parlé il y a peu porte d’ailleurs ce message depuis 15 ans maintenant. Leur principe c’est d’être propriétaire de votre domaine, de publier d’abord sur votre propre site (ce qu’on appelle POSSE ), et d’être propriétaire de votre contenu. Ce n’est donc pas juste du blogging, c’est une philosophie, une résistance contre la corporatisation du web .

Sur les réseaux sociaux, vous construisez votre maison sur le terrain de quelqu’un d’autre et un jour, le propriétaire décidera de changer les règles, de monétiser votre contenu, de favoriser certains contenus au détriment du votre, ou carrément de fermer votre boutique. Et voilà, des années de contenu, de connexions, de communauté qui disparaissent. Ça s’est vu avec Google+, avec Vine, et ça se verra encore. Les Youtubeurs, vous connaissez aussi très bien ça.

Mon site à moi a survécu à Friendster, MySpace, Digg (qui revient bientôt d’ailleurs), StumbleUpon, Google Reader (RIP), et il survivra probablement à X et Bluesky (oui, je sais c’est décentralisé, mais je ne pense pas que vous ayez pris le temps de l’héberger chez vous… Donc vous squattez encore la prairie de quelqu’un d’autre qui a probablement un sacré complexe de dieu ).

Voilà, je trouve que ce qui est génial avec cette renaissance des blogs, c’est qu’elle s’accompagne d’outils modernes. Le RSS n’est pas mort (malgré ce que Google a essayé de faire), les webmentions permettent des interactions entre sites, les générateurs de sites statiques comme celui que j’utilise rendent la publication super simple. Et des initiatives comme ooh.directory facilitent carrément la découverte de nouveaux blogs.

Bref, avoir votre propre espace sur le Net, pensez-y ! C’est quelque de chose de très agréable, je vous assure. C’est ça la vraie liberté du web, celle de publier ce qu’on veut, quand on veut, sans filtre, sans intermédiaire, sans bullshit (coucou les clones en cravate de LinkedIn)

Et puis si vous cherchez de l’inspiration, allez faire un tour sur ooh.directory . Vous y trouverez des centaines de blogs actifs, des gens passionnés qui écrivent sur tout et n’importe quoi. C’est ça, le vrai web. Pas les threads toxiques de X, pas les algorithmes opaques de Meta… mais les vraies gens qui partagent leurs passions sur leurs propres espaces.

Et un grand merci à Lilian de m’avoir envoyé ce lien !

Si comme moi, vous payez rubis sur l’ongle Google Cloud ou Cloudflare pour héberger vos services parfaitement légaux, et bien sachez que pendant que vous respectiez scrupuleusement leurs conditions d’utilisation tordues, une opération de phishing monumentale utilisait tranquillement leurs infrastructures pour cloner des sites du Fortune 500. Ça a duré trois ans sans que personne ne soit inquiété et cela malgré 265 signalements publics…

Ce sont les chercheurs de Deep Specter Research qui ont découvert un empire du phishing qui ferait passer les arnaqueurs nigérians pour des amateurs. Je vous parle de 48 000 hosts virtuels répartis sur plus de 80 clusters, tous bien au chaud sur l’infrastructure premium de Google Cloud à Hong Kong et à Taiwan. Le tout géré évidemment comme une vraie plateforme phishing-as-a-service, avec sept évolutions techniques majeures sur la période.

Les criminels utilisaient HTTrack Website Copier , un vieiiiil outil parfaitement légal de scraping web, pour créer des clones parfait au pixel près de +200 grandes entreprises. Lockheed Martin, le géant de la défense américaine , s’est notamment retrouvé avec un jumeau malveillant hébergé sur le domaine militaryfighterjet.com. C’est un site qui parlait initialement d’avions de chasse et qui s’est transformé en casino en ligne tout en servant de façade pour du phishing ciblé.

La technique était redoutablement efficace. Les attaquants récupéraient des domaines expirés qui appartenaient à des organisations légitimes. Ces domaines gardaient ainsi leur réputation, leurs backlinks, parfois même leurs communautés sur les réseaux sociaux.

Et pour éviter la détection, le système de cloaking analysait en temps réel les headers HTTP, les user agents et la géolocalisation IP. Donc si vous étiez un bot de Google ou un chercheur en sécurité, vous voyiez un site normal. Mais si vous étiez une vraie victime potentielle, c’était bienvenue dans la matrice. Cette technique sophistiquée a permis aux sites malveillants de maintenir d’excellents rankings SEO tout en servant leur contenu frauduleux aux bonnes personnes.

L’infrastructure comptait 86 adresses IP physiques côté Google Cloud, mais le réseau virtuel était bien plus vaste avec 44 000 adresses IP virtuelles chez Google et 4 000 chez d’autres hébergeurs. En mars 2025, l’opération a d’ailleurs atteint son pic avec 33 890 observations actives selon les données de Deep Specter. Sur l’année 2025 seule, on comptait 2 791 hosts avec 56 075 observations au total.

Mais voilà le scandale dans le scandale… malgré 265 détections publiques par des chercheurs et des outils de threat intelligence, ni Google ni Cloudflare n’ont suspendu les comptes concernés. Les signalements incluaient des domaines malveillants, des adresses IP compromises et des certificats SSL frauduleux.

Mais aucune réponse des géants du cloud… Rien. Nada. Que dalle.

Cette passivité a fait passer ces entreprises, de, je cite “neutral intermediaries” en “de facto enablers of illicit activity”. Traduction, au lieu d’être des hébergeurs neutres, ils sont de par leur inaction, devenus des complices.

Les conséquences pour les entreprises clonées sont également désastreuses car au-delà des pertes de trafic organique qui se traduisent directement en manque à gagner, elles font face à des risques légaux majeurs. Violations potentielles du RGPD si des données européennes sont compromises, problèmes DMCA pour le contenu copié, scrutin de la FTC américaine, obligations de divulgation SEC… Sans compter les frais juridiques pour tenter de faire fermer ces clones.

Visiblement, il y a des problèmes de gouvernance majeurs chez les géants du cloud… Les providers ont les moyens techniques de détecter ces abus, mais apparemment, tant que les factures sont payées, la motivation pour agir reste limitée…

Les chercheurs appellent donc Google, Cloudflare et les marques affectées à renforcer leurs mécanismes de détection, fermer les boucles de monitoring et appliquer des politiques strictes de résiliation de comptes.

Je suis pas sûr que le message passe mais bon, après ça les expose à des risques juridiques, alors ils seront peut-être plus sérieux la prochaine fois…

Source

Comme tous les jours, vous êtes sur YouTube, très concentré en plein marathon de vidéos sur les élections ou les conflits géopolitiques, et SOUDAIN, l’algorithme décide de vous offrir une pause. Mais pas une simple pause publicitaire, non. Une pause thérapeutique ! Vous vous retrouvez alors devant une compilation de chiens qui sautent et se gamellent ou un best-of de foirages en skateboard.

C’est une étude menée par l’Université de l’Arkansas qui a analysé pas moins de 685 842 vidéos courtes. Les chercheurs se sont ainsi concentrés sur trois thèmes politiques : les élections de 2024 à Taiwan, le conflit en mer de Chine méridionale et une catégorie générale de contenus politiques. Et vous savez quoi ? Il semblerait que YouTube Shorts guide activement les utilisateurs du contenu politique vers des vidéos de divertissement.

En gros, l’algorithme joue le rôle de baby-sitter numérique et décide que vous avez eu votre dose de sérieux pour la journée.

Pour réalisé cette étude, les chercheurs ont collecté 2 800 vidéos et testé trois scénarios de visionnage : 3 secondes (le scroll rapide), 15 secondes (l’intérêt modéré), et le visionnage complet (vous êtes vraiment accro). Ensuite, ils ont utilisé GPT-4o d’OpenAI pour classer les titres et les transcriptions par sujet, pertinence et ton émotionnel. L’IA qui analyse l’IA qui nous manipule… On vit vraiment dans le futur, les amis.

Mais pourquoi YouTube fait ça ? Les chercheurs pensent que ce n’est pas de la censure intentionnelle. Non, c’est plus basique que ça… En fait, ça augmente l’engagement et ça rapporte plus d’argent car une personne qui regarde des vidéos de chatons reste plus longtemps sur la plateforme qu’une personne déprimée par les actualités politiques. Et donc plus vous restez, plus YouTube gagne de pognon.

Récemment, YouTube a assoupli ses politiques de modération, doublant carrément le seuil de contenu problématique autorisé avant suppression. Auparavant, un quart de contenu douteux suffisait pour dégager une vidéo mais maintenant, il en faut la moitié. YouTube cherche donc un équilibre où il y aurait plus de tolérance pour le contenu politique controversé, mais avec un système de “décompression” par le divertissement.

D’un autre côté, les recherches de UC Davis montrent un aspect plus sombre de la plateforme. Leurs “sock puppets” (100 000 comptes automatisés créés pour l’étude) ont regardé près de 10 millions de vidéos. Et ce qu’il en ressort c’est que l’algorithme peut créer un “effet de boucle” où les utilisateurs se retrouvent piégés dans du contenu de plus en plus extrême. Mais du coup, il semblerait que YouTube ait trouvé la solution en cassant la boucle avec des vidéos de pandas qui éternuent.

Voilà, alors pendant que certains s’inquiètent de la radicalisation politique sur les réseaux sociaux, YouTube a apparemment décidé de jouer les psychologues amateurs, proposant automatiquement du contenu humoristique aux utilisateurs qui consomment beaucoup de vidéos politiques. C’est mignon, non ?

Alors est-ce que YouTube a vraiment le droit de décider de quand nous avons eu assez de politique ? Est-ce que c’est de la manipulation bienveillante, du bon vieux paternalisme algorithmique ? Et surtout, est-ce que ça marche vraiment ?

Je passe très peu de temps à regarder des vidéos sur Youtube, donc je peux pas trop vous dire… Surtout que les news déprimantes ET les best-of de chutes spectaculaires ou de chaton mignon, c’est pas des trucs que je regarde…

Maintenant, peut-être que YouTube a raison… Peut-être qu’on a tous besoin qu’un algo nous rappelle de faire une pause dans tout ce contenu stressant de merde et de regarder quelque chose de plus léger… un peu d’humour forcé, ça ne peut pas faire de mal. Faudrait que Twitter et BlueSky fasse la même, parce que quand je vois la quantité de grincheux là bas, je me dis qu’ils ont aussi besoin de se marrer un peu de temps en temps, les pauvres… ^^

Bref, la prochaine fois que YouTube vous propose une vidéo compilation de conneries après votre marathon d’analyses politiques, vous saurez que ce n’est pas un hasard. C’est l’algorithme qui prend soin de votre santé mentale pour que vous restiez encore plus longtemps pour voir encore plus de pubs !!

Source

Vous avez déjà vu ces README GitHub avec du texte qui s’écrit tout seul comme si quelqu’un tapait en temps réel ? Hé bien voilà ce qu’il vous faut pour faire pareil sur votre propre site. Ça s’appelle TypingSVG , ça a été créé par un certain whiteSHADOW1234 et c’est donc un générateur d’animations SVG qui transforme n’importe quel texte en animation de frappe dynamique. Et surtout c’est complètement gratuit et ça tourne directement dans votre navigateur.

Le truc sympa avec TypingSVG, c’est qu’il ne se contente pas de faire défiler bêtement du texte. Non non, c’est un vrai système complet avec support multi-lignes, gestion des emojis 😎🚀, et même la possibilité de personnaliser la vitesse de suppression du texte. Parce que oui, l’outil simule aussi l’effacement, comme si quelqu’un revenait en arrière pour corriger une faute de frappe…

L’interface web est dispo sur typingsvg.vercel.app . Vous tapez votre texte, vous réglez quelques paramètres (police, taille, couleur, vitesse d’animation), et hop, vous avez un aperçu en temps réel de votre animation. Pas besoin d’installer quoi que ce soit, pas de compte à créer, juste vous et votre créativité.

Pour les dev, c’est du pain béni car vous pouvez intégrer ces animations directement dans vos README GitHub, vos portfolios, ou même vos sites web. Le générateur vous donne ainsi plusieurs formats d’export : une URL directe, du Markdown pour GitHub, ou du HTML pur pour vos pages web. Et comme c’est du SVG, ça reste léger et ça scale parfaitement sur tous les écrans.

Au niveau de la personnalisation, vous avez le choix entre plusieurs styles de curseur (droit, souligné, bloc, ou même invisible si vous préférez). La police Monaco par défaut donne un côté terminal très classe, mais vous pouvez changer pour n’importe quelle police web. L’espacement des lettres est ajustable, vous pouvez centrer le texte horizontalement et verticalement, et même ajouter une bordure autour de votre SVG si l’envie vous prend.

Le code derrière tout ça, c’est du Next.js avec TypeScript et Tailwind CSS ce qui fait que c’est moderne et maintenable et whiteSHADOW1234 a fait un sacré boulot pour que l’API soit simple à utiliser. Un simple appel à /api/svg avec les bons paramètres et vous récupérez votre animation. Par exemple, pour un “Hello, World!” qui clignote, il suffit d’ajouter ?text=Hello,+World! à l’URL.

Et pour ceux qui veulent aller plus loin, vous pouvez même déployer votre propre instance sur Vercel. Un bouton “Deploy to Vercel” est disponible sur le repo GitHub, et en quelques clics vous avez votre propre générateur personnel. Pratique si vous voulez des fonctionnalités custom ou si vous préférez garder le contrôle total sur vos animations.

Bref, pas de fioritures inutiles mais juste ce qu’il faut pour créer des animations de texte qui claquent, que ce soit pour pimper votre profil GitHub, ajouter un peu de dynamisme à votre site, ou juste pour le fun !

Vous vous souvenez de l’époque où on pouvait consulter Twitter sans avoir de compte ? Ah, c’était le bon temps mais depuis qu’ Elon Musk a instauré son login wall “temporaire” en juillet 2023 , impossible de jeter un œil à un profil ou un thread sans passer par la case inscription.

Alors oui je sais, les réseaux sociaux avec Twitter en tête (pardon X), c’est devenu de la merde. L’effet de foule stupide & agressive y est devenu légion et c’est pourquoi j’ai arrêté d’y aller et de partager mes articles sur ces plateformes via mon compte @Korben . Mais faut reconnaître que sur certains comptes bien spécifiques qui se comptent sur les doigts d’une main, c’est quand même sympa pour la veille. Petite parenthèse, c’est d’ailleurs super dommage que ces gens qui font ce travail de veille la filent gratos à Elon Musk plutôt que de se faire un vrai site web, une newsletter ou un flux RSS. Bref, quelque chose qui leur appartient vraiment.

Heureusement, des développeurs malins ont créé des solutions pour contourner ce mur de connexion forcée. TwitterViewer en fait partie et c’est plutôt efficace. Le principe est simple puisque c’est un proxy qui se connecte à votre place et vous retransmet le contenu public des profils X. Vous entrez un nom d’utilisateur, et hop, vous avez accès à ses tweets, ses médias, et aux infos du profil, le tout de manière 100% anonyme.

Ça reste plus rapide que de créer un compte jetable à chaque fois qu’on veut vérifier un truc et le service se présente comme respectueux de la vie privée. Votre IP reste cachée, vos données de navigation ne sont pas collectées, et vous n’alimentez pas les algorithmes de X avec votre comportement.

Un compte bien vide… ^^

Mais TwitterViewer n’est pas seul sur ce créneau. Je pense par exemple à Nitter , une alternative open source historique déclarée morte en février 2024 qui a finalement ressuscité miraculeusement le 6 février dernier. Cette solution reste la plus complète si vous cherchez une interface épurée sans JavaScript ni trackers.

Il y a aussi Tweet Binder qui permet de suivre des hashtags et mots-clés sans compte, ce qui est pratique pour surveiller les tendances. Twillot propose également des extensions Chrome et des apps mobiles pour iOS et Android. Et si vous êtes vraiment désespéré, Google reste votre ami : tapez “site:x.com” suivi du nom d’utilisateur qui vous intéresse et vous aurez accès aux tweets indexés.

Musk avait quand même vendu son login wall comme une mesure d’urgence contre les scrapers de données mais au final, ces scrapers ont trouvé d’autres moyens d’accéder aux données, tandis que les utilisateurs lambda, eux, sont toujours bloqués. Même les développeurs tiers ont été éjectés avec l’augmentation délirante des prix de l’API, et maintenant on se retrouve avec un écosystème parallèle d’outils pour simplement consulter du contenu public.

Je trouve que TwitterViewer et ses alternatives représentent une sorte de résistance face à ce renfermement progressif des plateformes sociales. Et surtout, pourquoi est ce qu’on devrait se créer un compte sur ce site de nazⁱe juste pour lire un fois ou deux des tweets publics ?