À l'époque de ma glorieuse jeunesse, je jouais à RoboCop sur NES et c'est vrai que je trouvais ça très cool ! Mais ce que je ne savais pas, c'est que la version arcade de Data East cachait un secret bien vicieux dans ses entrailles électroniques.

En 1988, Data East sort donc RoboCop en versio arcade et comme tous les éditeurs de l'époque, ils avaient une peur bleue des bootleggers asiatiques qui clonaient les bornes à tour de bras. Du coup, ils ont eu une idée de génie : planquer une puce HuC6280 dans le hardware. Pour ceux qui ne connaissent pas, c'est le processeur du PC Engine, le cousin japonais de la TurboGrafx-16, sauf que là, elle ne sert absolument pas à faire tourner le jeu.

Non non, cette puce est là uniquement pour emmerder le monde.

Le truc pas con (enfin, pas con pour l'époque), c'est que Data East a externalisé une partie des calculs de collision sur ce processeur secondaire. Du coup, sans la puce HuC6280, le jeu démarre mais les hitboxes sont complètement pétées et les ennemis deviennent invincibles. Faut s'imaginer RoboCop qui tire dans le vide pendant que les méchants lui marchent dessus tranquillement... C'est pas méga vendeur pour une borne à 3000 dollars.

Le problème, c'est qu'en 2025, ces puces HuC6280 commencent à lâcher et quand ça arrive, votre borne RoboCop devient un très joli meuble de 150 kilos.

Et c'est là qu'un développeur du nom de djh0ffman entre en scène. Le bougre s'est dit qu'au lieu de chercher des puces de remplacement introuvables, il allait tout simplement virer cette protection. Mais pour ça, il fallait d'abord comprendre ce que faisait exactement cette fichue puce.

Bon, vous avez tous vu passer cette histoire des documents Epstein mal censurés, j'imagine ?

En effet, des journalistes ont réussi à récupérer une bonne partie des informations censées être masquées dans les fichiers judiciaires... ça peut impressionner mais n'allez pas croire que ce soit quelque chose de compliqué et ces techniques sont à la portée de n'importe qui.

C'est pourquoi aujourd'hui, j'vais pas vous parler du scandale (y'a assez de monde dessus), mais des techniques pour récupérer ce qui se cache derrière ces fameux rectangles noirs. Du pur OSINT appliqué au forensique documentaire.

Commençons par le plus basique et pourtant le plus courant : le bon vieux copier-coller. Ouais, je sais, ça paraît con dit comme ça, mais vous seriez surpris du nombre de documents "confidentiels" qui sont censurés en posant simplement un rectangle noir par-dessus le texte dans Word ou Adobe Acrobat. Le texte original pourtant est encore là, bien au chaud sous cette couche graphique. Il suffit donc de sélectionner la zone, un petit Ctrl+C, et hop, on colle dans un éditeur de texte. Boom, le texte "caché" apparaît en clair.

C'est d'ailleurs exactement ce qui s'est passé avec des documents du Pentagone en 2005, et plus récemment avec des fichiers judiciaires américains. Bizarrement, les gens confondent "masquer visuellement" et "supprimer", alors que c'est pas du tout la même chose ^^.

Pour vérifier si un PDF est vulnérable à cette technique, vous pouvez utiliser pdftotext (inclus dans poppler-utils sur Linux) :

pdftotext document_censure.pdf - | less

import fitz
doc = fitz.open("document.pdf")
for page in doc:
 print(page.get_text())

head -c [offset_avant_dernier_EOF] document.pdf > version_originale.pdf

qpdf --show-xref document.pdf
qpdf --json document.pdf | jq '.objects'

exiftool -a -u -g1 document.pdf

pdfinfo -meta document.pdf

exiftool -b -ThumbnailImage image_redactee.jpg > thumbnail.jpg

Vous utilisez Claude Code comme moi pour bosser plus vite sur vos projets de dev ? Hé bien j'espère que vous n'avez jamais eu la mauvaise surprise de voir l'agent lancer un petit rm -rf ~/ qui détruit tout votre répertoire home en 2 secondes. Parce que oui, ça arrive malheureusement, et plusieurs devs en ont fait les frais cette année...

Le problème c'est que les agents IA, aussi intelligents soient-ils, peuvent manquer de garde-fous sur ce qui est vraiment dangereux. Vous leur dites "nettoie le projet" et hop, ils interprètent ça un peu trop littéralement et une fois que c'est fait, y'a plus qu'à pleurer devant son terminal vide.

C'est pour ça qu'un développeur du nom de kenryu42 a créé Claude Code Safety Net qui est un plugin pour Claude Code qui agit comme un garde-fou mécanique. Son idée c'est de bloquer les commandes destructives AVANT qu'elles ne s'exécutent, et pas juste avec des règles bêtes genre "si la commande commence par rm -rf".

Le plugin est bien plus malin que ça puisqu'il fait une analyse sémantique des commandes. Il comprend la différence entre git checkout -b nouvelle-branche (qui est safe, ça crée juste une branche) et git checkout -- . qui lui va dégager tous vos changements non committés sur les fichiers suivis. Les deux commencent pareil, mais l'une vous sauve et l'autre vous ruine psychologiquement, vous forçant à vous réfugier dans la cocaïne et la prostitution.

Et c'est pareil pour les force push. Le plugin bloque git push --force qui peut écraser l'historique distant et rendre la récupération très difficile, mais il laisse passer git push --force-with-lease qui est la version plus sûre, car elle vérifie que la ref distante correspond à ce qu'on attend (même si ce n'est pas une garantie absolue).

Et le truc vraiment bien foutu, c'est qu'il détecte aussi les commandes planquées dans des wrappers shell. Vous savez, le genre de piège où quelqu'un écrit sh -c "rm -rf /" pour bypass les protections basiques. Le plugin parse récursivement et repère la commande dangereuse à l'intérieur. Il fait même la chasse aux one-liners Python, Ruby ou Node qui pourraient faire des dégâts.

Côté rm -rf, le comportement par défaut est plutôt permissif mais intelligent... les suppressions dans /tmp ou dans le dossier de travail courant sont autorisées parce que c'est souvent légitime, par contre, tenter de nuke votre home ou des dossiers système, c'est non négociable.

Et pour les paranos (comme moi), y'a un mode strict qu'on active avec SAFETY_NET_STRICT=1. Dans ce mode, toute commande non parseable est bloquée par défaut, et les rm -rf même dans le projet courant demandent validation. Mieux vaut prévenir que pleurer.

Si ça vous chauffe, l'installation se fait via le système de plugins de Claude Code avec deux commandes :

/plugin marketplace add kenryu42/cc-marketplace
/plugin install safety-net@cc-marketplace

Pour ceux qui auraient raté l'info, deux terroristes ont ouvert le feu le 14 décembre dernier, lors d'une célébration de Hanoukka à Bondi Beach (Sydney en Australie), tuant 15 personnes. Et dans les minutes qui ont suivi, X s'est transformé, comme à son habitude, en machine à désinformation...

Un homme d'affaires pakistanais portant le même nom que l'un des tireurs (Naveed Akram) s'est alors retrouvé accusé d'être l'auteur de l'attentat. Sa photo a été partagée des milliers de fois, il a reçu des menaces de mort et sa famille a même été harcelée. Sauf que ce gars n'avait strictement rien à voir avec l'attaque, mais partageait juste un nom de famille très courant avec le vrai coupable.

Mais ça, les abrutis de cette planète n'y ont même pas pensé. C'est dire s'ils sont cons...

Après vous allez me dire : « Ouais mais y'a les Community Notes pour corriger ça » sauf que ça marche pas de fou ces notes de la communauté. A titre d'exemple, selon le Center for Countering Digital Hate , 74% de la désinformation liée aux élections américaines de 2024 n'a JAMAIS reçu de note de la communauté. Et quand une note finit par arriver, il faut compter entre 7 et 75 heures selon les cas pour qu'elle soit diffusée.

Donc autant dire une éternité à l'échelle d'Internet...

Et comme si la situation n'était pas encore assez critique, d'après une étude du MIT, les fausses infos se propagent 6 fois plus vite que les vraies sur ces plateformes. Bref, on est foutu face à la connerie humaine.

Surtout que d'après Timothy Graham , chercheur en médias numériques à l'université QUT en Australie, il y a maintenant une économie autour de la désinformation, notamment sur X car leur système de monétisation paie les créateurs en fonction de l'engagement généré par les utilisateurs vérifiés. Ainsi, Plus vos posts font réagir, plus vous gagnez d'argent.

Et devinez quel type de contenu génère le plus d'engagement ?

Hé bien les trucs faux, les trucs scandaleux, les trucs qui font monter les tensions.

Y'a même eu une vidéo de feux d'artifice présentée comme des « célébrations arabes » après l'attentat qui n'était que pure invention. C'était en fait les feux d'artifice de Noël du Rotary Club local, programmés des mois à l'avance. Le truc a fait des millions de vues avant d'être démenti. Certains parmi vous ont peut-être mordu à l'hameçon de cette fake news d'ailleurs.

Pire encore, Grok, l'IA d'Elon Musk intégrée à X, a carrément inventé le nom du héros qui a désarmé l'un des tireurs. Quand les utilisateurs lui demandaient qui avait sauvé des vies, l'IA sortait « Edward Crabtree » de nulle part, un nom totalement fictif tiré d'un site web frauduleux créé le jour même de l'attentat.

Et pendant ce temps, le vrai héros de cette tragédie, Ahmed al-Ahmed, un Australien d'origine syrienne qui a risqué sa vie pour désarmer l'un des tireurs et protéger les victimes, était à peine mentionné. Plus de 2,6 millions de dollars ont été collectés pour lui depuis, mais il a fallu creuser fort pour trouver la vraie histoire pendant que les fake news monopolisaient l'attention.

Le problème c'est que le modèle économique de X encourage les comptes à poster vite et fort, sans vérification. Avoir 5 millions d'impressions et seulement 2000 abonnés, ça permet de monétiser. Et plus on génère de réactions, plus on palpe... Du coup, poster « BREAKING : le tireur identifié » avec une photo d'un random est rentable, même si c'est faux.

Surtout si c'est faux, en fait... Vous savez ce syndrome de "Les merdias mainstream nous cachent des choses, mais heureusement j'ai vu une vérité alternative sur X.com et c'est encore la faute aux zarabes, à l'Europe et aux élites judéo-maçonique-réptiliennes qui veulent manger nos enfants" qui frappe ce genre de personnes dont le cerveau est trop atrophié pour qu'ils puissent développer une réflexion qui leur est propre.

Après, je ne pense pas être naïf, car la désinformation a toujours existé, mais là on parle quand même d'un système de merde qui récompense financièrement ceux qui la propagent. C'est plus un bug, c'est une feature et quand un innocent se fait menacer de mort parce qu'un comploplo en slip dans sa cave a voulu faire du clic, ça me fout les nerfs.

Bref, tant que l'engagement restera la métrique reine et que les plateformes paieront au buzz plutôt qu'à la véracité des faits, on continuera à subir ce genre de dérives horribles...

Vous vous souvenez de ces robots chiens et humanoïdes Unitree qu'on voit partout sur les réseaux depuis quelques mois ? Hé bien des chercheurs en sécurité viennent de découvrir qu'on pouvait les pirater en moins d'une minute, sans même avoir besoin d'un accès internet. Et le pire, c'est que la faille est tellement débile qu'elle en devient presque comique.

Lors de la conférence GEEKCon à Shanghai, l'équipe de DARKNAVY a fait une démonstration qui fait froid dans le dos. L'expert Ku Shipei a pris le contrôle d'un robot humanoïde Unitree G1 (quand même 100 000 yuans, soit environ 14 000 balles) en utilisant uniquement des commandes vocales et une connexion Bluetooth. Après environ une minute de manipulation, l'indicateur lumineux sur la tête du robot est passé du bleu au rouge, il a alors cessé de répondre à son contrôleur officiel, puis sous les ordres de Ku, il s'est précipité vers un journaliste en balançant son poing.

Sympa l'ambiance.

En fait, le problème vient de la façon dont ces robots gèrent leur configuration Wi-Fi via Bluetooth Low Energy (BLE). Quand vous configurez le réseau sur un robot Unitree, il utilise le BLE pour recevoir le nom du réseau et le mot de passe, sauf que ce canal ne filtre absolument pas ce que vous lui envoyez. Vous pouvez donc injecter des commandes directement dans les champs SSID ou mot de passe avec le pattern « ;$(cmd);# », et hop, exécution de code en tant que root.

Et le truc encore plus dingue, c'est que tous les robots Unitree partagent la même clé AES codée en dur pour chiffrer les paquets de contrôle BLE, donc si vous avez cracké un G1, vous avez cracké tous les G1, H1, Go2 et B2 de la planète. Et là vous allez me dire : Et la sécurité du handshake ? Hé bien elle vérifie juste si la chaîne contient « unitree » comme secret. Bravo les gars ^^.

Du coup, la vulnérabilité devient wormable, c'est à dire qu'un robot infecté peut scanner les autres robots Unitree à portée Bluetooth et les compromettre automatiquement à son tour, créant ainsi un botnet de robots qui se propage sans intervention humaine. Imaginez ça dans un entrepôt avec 50 robots !! Le bordel que ça serait...

Moi ce qui m'inquiète avec ces robots, c'est l'architecture d'exfiltration de données car le G1 est équipé de caméras Intel RealSense D435i, de 4 microphones et de systèmes de positionnement qui peuvent capturer des réunions confidentielles, photographier des documents sensibles ou cartographier des locaux sécurisés. Et tout ça peut être streamé vers des serveurs externes sans que vous le sachiez surtout que la télémétrie est transmise en continu vers des serveurs en Chine... Vous voyez le tableau.

En avril 2025 déjà, des chercheurs avaient trouvé une backdoor non documentée dans le robot chien Go1 qui permettait un contrôle à distance via un tunnel réseau et l'accès aux caméras, donc c'est pas vraiment une surprise que les modèles plus récents aient des problèmes similaires, hein ?

J'imagine que certains d'entre vous bidouillent des robots avec Raspberry Pi ou Arduino, alors si vous voulez pas finir avec un robot qui part en freestyle, y'a quelques trucs à faire. Déjà, pour la config Wi-Fi via BLE, ne passez jamais le SSID et le mot de passe en clair mais utilisez un protocole de dérivation de clé comme ECDH pour établir un secret partagé. Et surtout validez et sanitisez toutes les entrées utilisateur avant de les balancer dans un shell.

Et puis changez les clés par défaut, car ça paraît con mais c'est le problème numéro un. Générez des clés uniques par appareil au premier boot ou lors de l'appairage. Vous pouvez stocker ça dans l'EEPROM de l'Arduino ou dans un fichier protégé sur le Pi.

Pensez aussi à isoler vos robots sur un réseau dédié... Si vous utilisez un Pi, créez un VLAN séparé et bloquez tout trafic sortant non autorisé avec iptables. Comme ça, même si un robot est compromis, il ne pourra pas exfiltrer de données ni attaquer d'autres machines.

Ah et désactivez aussi le Bluetooth quand vous n'en avez pas besoin ! Sur un Pi, ajoutez « dtoverlay=disable-bt » dans /boot/config.txt et sur Arduino, c'est encore plus simple, si vous utilisez pas le BLE, ne l'incluez pas dans votre projet.

Bref, ces robots sont de vrais chevaux de Troie ambulants. Ils ont des capteurs, des caméras, des micros, et maintenant ils peuvent être compromis par n'importe qui à portée de Bluetooth... Donc si vous bossez sur des projets robotiques, prenez le temps de sécuriser vos communications sans fil avant de vous retrouver avec un robot qui décide de vous tuer !! Et bookmarkez ce lien car c'est là où je mets toutes mes meilleures news robotiques !

Et si vous êtes encore en train de lire mes articles à cette heure-ci, je vous souhaite un excellent Noël !

Source

Vous vous souvenez du jeu Snake qu'on avait sur les vieux Nokia ?? Ça nous faisait perdre des heures à bouffer des pixels en évitant de se mordre la queue et moi perso, y'a rien qui m'énervait plus.

Et bien un développeur indé du nom de Dietzribi a décidé de le réinventer totalement façon trip sous acide dans un univers non-euclidien, et le résultat est complètement barré, vous allez voir !

Deep Snake c'est donc un Snake, mais en 3D avec des visuels néon psychédéliques qui pulsent au rythme de votre progression. Vous mangez des pommes, votre serpent grandit, et vous devez éviter les obstacles. Jusque là, c'est du classique sauf que, vous pouvez aller toujours plus profond dans le vide, littéralement, puisque l'espace se tord, se replie sur lui-même, et plus vous avancez, plus ça devient trippy.

Ce jeu a été créé en 48 heures lors de la GMTK Game Jam 2024 et le dev a tout fait tout seul, ce qui visiblement lui a plutôt bien réussi puisque le jeu cartonne sur Steam avec 96% d'avis positifs et une place dans le top 3 des tendances.

Côté gameplay, on est sur du mouvement fluide (pas de grille à l'ancienne), des arènes dynamiques avec des dangers qui pulsent et des palettes de couleurs qui changent en permanence, et même un système de bonus risque/récompense qui donne des capacités temporaires. Y'a aussi des leaderboards quotidiens et all-time pour les acharnés du high score, plus des achievements Steam et de la sauvegarde dans le cloud.

Le jeu tourne sur à peu près n'importe quoi (Intel HD 4000, 4 Go de RAM, 100 Mo de stockage), y'a même une version en ligne , supporte 13 langues dont le français, et surtout... il est totalement gratuit. Ça va faire plaisir aux radins !

Passer d'OpenGL à Metal, c'était visiblement pas une mince affaire pour l'équipe d'OBS. La techno d'Apple est sortie y'a 10 ans sous macOS mais ça leur a pris un peu de temps pour la migration... Et n'allez pas croire que je "juge"... Tout ce temps, c'est normal car c'est un soft multiplateforme, donc faut gérer trois écosystèmes en parallèle et ça, ça prend un temps fou.

Tous les effets visuels d'OBS ont dû être réécrits pour fonctionner avec Metal, le langage graphique d'Apple étant bien plus exigeant que celui de Windows et la preview peut parfois légèrement saccader à cause de macOS, mais le flux final reste impeccable.

Niveau performances, Metal fait aussi bien voire mieux qu'OpenGL dans les builds Release mais c'est surtout pour le débogage que ça change tout car les développeurs ont maintenant accès à des outils de diagnostic bien plus performants, ce qui devrait accélérer les corrections de bugs et les futures améliorations.

Pour l'activer (ouais on est chaud !!), c'est hyper simple. Vous allez dans les paramètres d'OBS 32.0, onglet Avancé, section Vidéo, et vous sélectionnez Metal dans le menu déroulant du renderer. Un petit redémarrage de l'appli et hop, vous êtes passé sur le nouveau moteur.

Ce qui est cool aussi avec cette version 32.0, c'est qu'elle inclut un gestionnaire de plugins et des améliorations pour les fonctionnalités NVIDIA RTX.

L'équipe OBS bosse aussi sur des backends Vulkan pour Linux et Direct3D 12 pour Windows, parce que les anciennes APIs comme OpenGL et D3D11 reçoivent de moins en moins de support des fabricants de GPU, donc si vous êtes sur Linux ou Windows, votre tour viendra aussi.

Voilà, après si ça bug, revenez sur OpenGL, mais y'a quand même de bonnes chances que ça tourne mieux qu'avant.

Source

Vous avez peut-être une caméra Tapo C200 qui tourne chez vous pour surveiller le chat, le bébé ou l'entrée. C'est mon cas et j'adore cette caméra mais j'ai une mauvaise nouvelle à vous annoncer... Le chercheur en sécurité Simone Margaritelli (alias evilsocket) vient de passer 150 jours à la disséquer et le résultat n'est pas glorieux pour TP-Link.

Alors déjà, commençons par le plus gros WTF qu'il a découvert... la clé privée HTTPS de la caméra, ce truc censé être ultra-secret qui permet de chiffrer les communications. Et bien elle est hardcodée dans le firmware. C'est donc la même clé pour TOUTES les caméras du même modèle. Du coup, n'importe qui peut faire un Man-in-the-Middle et intercepter ce que vous voyez sur votre caméra. Ah on se met bien déjà là, hein ? ^^

Et attendez, ça ne s'arrête pas là puisque Margaritelli a trouvé un bucket S3 chez Amazon, totalement ouvert au public, qui contient TOUS les firmwares de TOUS les produits TP-Link. C'est open bar, sans authentification, Noël avant l'heure pour les chercheurs en sécu... et les hackers.

En fouillant le firmware avec Ghidra et Claude (oui, l'IA a aidé au reverse engineering), le chercheur a découvert quatre failles critiques. La première, c'est un buffer overflow dans le parser SOAP XML utilisé par le protocole ONVIF. En gros, si vous envoyez un message trop long, la caméra plante. Pas besoin d'être authentifié pour ça, une requête HTTP suffit.

La deuxième faille est du même genre mais dans le header Content-Length. Envoyez 4294967295 (le max d'un entier 32 bits) et boum, integer overflow. Et la troisième, c'est la cerise sur le gâteau puisque l'endpoint connectAp reste accessible sans authentification même après le setup initial. Du coup, un attaquant peut forcer votre caméra à se connecter à son propre réseau WiFi malveillant et intercepter tout le flux vidéo. Vous ne vous y attendiez pas à celle-là, si ?

Et la quatrième faille, oubliée nulle part ailleurs c'est l'API scanApList qui balance la liste de tous les réseaux WiFi autour de la caméra, sans auth. Avec les BSSID récupérés et un outil comme apple_bssid_locator, on peut géolocaliser physiquement la caméra à quelques mètres près. Sur les 25 000 caméras exposées sur le net, ça fait froid dans le dos.

Le plus frustrant dans cette histoire, c'est que Margaritelli a signalé tout ça en juillet 2025 et TP-Link a demandé des rallonges de délai, encore et encore, durant plus de 150 jours. Et au final, les failles ont été corrigées mais pas de patch sur les pages publiques des CVE. Ah et petit détail rigolo, comme TP-Link est sa propre autorité de numérotation CVE, ils s'auto-évaluent sur leurs propres failles. Donc y'a pas de conflit d'intérêt du tout... ahem ahem...

Le chercheur estime qu'environ 25 000 de ces caméras sont exposées directement sur Internet donc si comme moi, vous en avez une, vérifiez que le firmware est bien à jour et surtout, ne l'exposez JAMAIS directement sur le net. Mettez-la derrière un VPN ou un réseau isolé.

Je trouve ça cool que Margaritelli ait utilisé de l'IA pour accélérer la phase de reverse engineering. Avec Claude Opus et Sonnet avec GhidraMCP, il a pu analyser le code assembleur et c'est comme ça que l'IA a identifié rapidement les fonctions vulnérables et expliqué le fonctionnement du code. Bref, l'IA comme outil de hacking, c'est assez ouf...

Voilà, donc si vous avez du matos TP-Link chez vous, gardez un œil sur les mises à jour et réfléchissez à deux fois avant de l'exposer sur le net. Et si vous aimez la lecture, l'analyse complète est dispo sur le blog d'evilsocket .

Beau boulot !

Vous vous souvenez du dossier Démarrage de Windows ?

C'était ce super dossier jaune dans lequel on balançait des raccourcis vers des .exe et hop, ça se lançait au boot. Hé bien figurez-vous que ça n'existe pas nativement sous macOS. Enfin, ça n'existait pas, parce qu'un dev a décidé de combler ce manque.

Ça s'appelle StartupFolder et c'est une petite app macOS qui crée un dossier "Startup" dans votre répertoire utilisateur. Tout ce que vous mettez dedans se lance alors automatiquement au démarrage de votre Mac : Apps, scripts, raccourcis, liens web... vous balancez tout ce qui vous chante et ça tourne !

Pour les apps, faut créer des alias (Command-Option-glisser), pour les scripts, vous les écrivez direct dans le dossier, pour les raccourcis Siri vous créez un fichier vide avec l'extension .shortcut, et pour les liens web, vous les glissez depuis la barre d'adresse de votre navigateur. Bref, c'est vraiment pas compliqué.

Et y'a quelques options sympas aussi. Par exemple, vous pouvez lancer les apps en mode caché pour qu'elles démarrent en arrière-plan sans vous sauter à la gueule. Y'a même une option "Force Hide" pour les apps récalcitrantes qui insistent pour s'afficher.

Et un autre truc cool, c'est le mode "Keep Alive". Avec cette option, si une app ou un script plante, StartupFolder le relancera automatiquement. Et pour éviter les boucles de crash infinies, y'a un système de détection qui arrête de relancer un truc qui plante en boucle.

Côté ressources, l'agent tourne en fond et consomme que dalle et comme d'hab, c'est open source sous licence GPL-3 , c'est codé en Swift, et c'est gratuit.

Voilà, si vous cherchez un moyen simple de gérer vos apps au démarrage sous macOS sans passer par les préférences système qui sont mal foutues, c'est ce qu'il vous faut.

Merci à Lorenper pour le partage !

Est ce que vous avez encore des CD de jeux PlayStation 1 qui traînent chez vous ? Ou allez, des ISOs que vous avez "légalement" rippées de vos propres disques à vous bien sûr ?

Hé bien vous allez pouvoir dépoussiérer tout ça grâce à cet émulateur qui propose une qualité visuelle que la PS1 n'aurait jamais pu vous offrir à l'époque.

Ça s'appelle DuckStation et c'est un émulateur PS1 qui mise sur la rapidité et la précision. Le projet a été conçu pour être aussi fidèle que possible à la console d'origine tout en restant assez léger pour tourner sur des machines pas forcément très musclées .

Le truc cool c'est que par défaut, sans bidouiller quoi que ce soit, la plupart des jeux tournent nickel ! Le dev a fait le choix de ne pas encourager les "hacks" qui cassent la compatibilité du coup vous lancez votre jeu et ça marche.

Mais si vous voulez pousser le truc, y'a quand même de quoi s'amuser. L'émulateur supporte l'upscaling pour afficher vos jeux en HD voire en 4K, le filtrage de textures pour lisser tout ça, et le PGXP pour corriger la précision géométrique qui faisait trembler les polygones sur la vraie PS1. Vous savez, ce "wobbling" dégueulasse quand la caméra bougeait ? Hé bien c'est fini.

Vous pensiez que les technologies de surveillance chinoises étaient 100% chinoises ? Hé bien pas du tout. Une enquête passionnante d'AP vient de révéler que le gouvernement chinois utilise massivement des logiciels américains pour traquer ses propres citoyens, y compris ceux qui ont fui aux États-Unis.

L'histoire de Li Chuanliang est assez flippante. Cet ancien fonctionnaire chinois était en convalescence d'un cancer sur une île coréenne quand il a reçu un appel urgent lui disant de ne surtout pas rentrer en Chine. Quelques jours plus tard, un inconnu le prend en photo dans un café. Terrorisé à l'idée que la Corée du Sud le renvoie chez lui, Li s'enfuit aux États-Unis avec un visa touristique et demande l'asile.

Mais même là-bas, à New York, en Californie, au fin fond du désert texan, le gouvernement chinois a continué à le traquer. Ses communications ont été surveillées, ses biens saisis, ses déplacements suivis dans des bases de données policières. Et le pire, c'est que plus de 40 de ses proches ont été identifiés et détenus, y compris sa fille enceinte. Comment est-ce qu'ils ont fait ? Hé bien via différente méthodes, donc une qui consiste à remonter toutes les interactions humaines jusqu'aux chauffeurs de taxi grâce à la reconnaissance faciale.

Et c'est là que ça devient vraiment dingue car la techno utilisée pour contrôler les fonctionnaires chinois à l'étranger depuis une décennie vient en grande partie de la Silicon Valley. Des boîtes comme IBM, Oracle et Microsoft ont vendu leurs logiciels au Bureau d'Investigation des Crimes Économiques chinois.

IBM a notamment vendu son logiciel de surveillance i2 à cette division et des emails qui ont fuité montrent que ce même logiciel a été copié par Landasoft, un ancien partenaire d'IBM, puis revendu aux commissions disciplinaires chinoises. Le truc incluait des fonctions comme la "gestion des personnes associées" et le tracking des réservations d'hôtel.

Et les chiffres donnent le vertige car rien que l'année dernière, cette techno a permis d'identifier et de "punir" près de 900 000 fonctionnaires en Chine, soit presque 5 fois plus qu'en 2012. Et à l'international, plus de 14 000 personnes, dont environ 3 000 fonctionnaires, ont été ramenées de force en Chine depuis plus de 120 pays via les opérations " Fox Hunt " et " Sky Net ".

IBM a bien précisé qu'ils ont revendu cette division en 2022 et qu'ils ont des "processus robustes" pour garantir une utilisation responsable mais bon, oausi c'est un peu tard les gars.

Maintenant, pour Li, l'avenir est incertain car l'administration Trump a gelé toutes les demandes d'asile. Du coup, s'il ne rentre pas en Chine, il risque un procès par contumace et s'il est condamné et expulsé, c'est la prison à vie qui l'attend.

Bref, la prochaine fois qu'on vous parle de surveillance chinoise, n'oubliez pas d'où viennent les outils.

Vous bossez toute la journée sur ChatGPT ou Claude et vous commencez à trouver ça un peu tristounet ? Youpi, y'a une extension Chrome qui va égayer tout ça avec des petits animaux virtuels qui se baladent sur votre interface comme quand on était en 1999.

Ça s'appelle GPTPets et c'est le genre de truc complètement inutile donc forcément indispensable comme disait Jérôme Bonaldi. Le principe c'est d'avoir un petit compagnon animé qui vit sa vie sur la barre de saisie de votre IA préférée, genre un chat qui fait la sieste, un chien qui remue la queue, un panda qui mange du bambou, une brigitte qui insulte ses paires... bref vous voyez le genre.

Vous avez déjà essayé de faire du traitement vidéo dans le navigateur

Bienvenue en enfer ! Et dire que pendant 20 ans, la seule solution viable c’était de compiler FFmpeg en WebAssembly, attendre 10 secondes que 40 Mo de code se chargent, puis regarder votre RAM fondre comme neige au soleil.

Heureusement, MediaBunny débarque et compte bien changer les choses !

En effet, cette bibliothèque TypeScript vous permet de lire, écrire et convertir des fichiers vidéo et audio directement dans le navigateur. MP4, WebM, MKV, MP3, WAV, Ogg, FLAC, vous nommez simplement le format, et MediaBunny le gère. Et la bibliothèque ne pèse que 5 Ko en version minifiée. Ça semble peu mais en fait, au lieu d’essayer de porter un outil desktop vers le web, Vanilagy (le créateur) a construit MediaBunny from scratch pour exploiter ce que le navigateur savait déjà faire.

La clé, c’est donc l’API WebCodecs qui existe depuis Chrome 94 sorti en 2021, mais que presque personne n’utilise. Cette API donne accès direct à Javascript à l’accélération matérielle de votre GPU pour encoder et décoder la vidéo que ce soit du H.264, H.265, VP8, VP9 et tout ça en temps réel. Et MediaBunny se branche dessus et vous donne une interface propre pour manipuler vos médias.

Vous voulez extraire les métadonnées d’une vidéo MP4, convertir un WebM en MP4 ou encore extraire une piste audio d’une vidéo ? En 3 lignes de code c’est plié, et tout ça en local dans votre navigateur.

MediaBunny supporte plus de 25 codecs vidéo, audio et sous-titres. H.264, H.265, VP8, VP9, AV1 pour la vidéo. AAC, Opus, Vorbis, MP3, FLAC pour l’audio. WebVTT pour les sous-titres…etc.

Et l’outil étant pensé avec un design modulaire qui permet de faire du tree-shaking , vous pouvez embarquer uniquement le code dont vous avez besoin, ce qui allège encore plus le bouzin. MediaBunny est d’aillerus l’évolution technique de deux projets du même auteur : mp4-muxer et webm-muxer. Ces bibliothèques faisaient déjà du bon boulot pour écrire des vidéos MP4 et WebM côté client, mais MediaBunny va beaucoup plus loin en supportant la lecture, l’écriture et la conversion pour tous les formats courants.

Si ça vous chauffe, pour installer MediaBunny, c’est du classique :

npm install mediabunny

const input = new Input({
 source: new UrlSource('./bigbuckbunny.mp4'),
 formats: ALL_FORMATS, // .mp4, .webm, .wav, ...
});

const duration = await input.computeDuration();

const videoTrack = await input.getPrimaryVideoTrack();
const { displayWidth, displayHeight, rotation } = videoTrack;

const audioTrack = await input.getPrimaryAudioTrack();
const { sampleRate, numberOfChannels } = audioTrack;

// Get the frame halfway through the video
const sink = new VideoSampleSink(videoTrack);
const frame = await sink.getSample(duration / 2);

// Loop over all frames of the video
for await (const frame of sink.samples()) {
 // ...
}

Vous vous souvenez de mon test du Deco BE65-5G avec son modem 5G intégré ? Hé bien, TP-Link m'a envoyé un autre joujou à tester, et cette fois c'est le pack de trois Deco BE68 , aussi connu sous le nom BE14000. Et je vais être honnête avec vous, ce truc a résolu un problème que je traînais depuis des mois à savoir une petite zone morte dans ma salle à manger où le Wi-Fi ramait comme un escargot asthmatique.

Pour ceux qui découvrent la gamme Deco, c'est le système mesh de TP-Link qui permet de couvrir toute une baraque avec un seul réseau Wi-Fi. Vous posez plusieurs bornes dans la maison, elles communiquent entre elles, et vous avez du réseau partout sans avoir à jongler entre différents SSID. Le BE68, c'est donc la version Wi-Fi 7 tri-bande qui promet jusqu'à 14 Gbps de débit combiné. C'est complètement délirant sur le papier, et évidemment personne n'atteindra jamais ça dans la vraie vie, mais ça donne une idée de la puissance du bouzin.

Côté specs, on a 8 647 Mbps sur la bande 6 GHz, 4 324 Mbps sur le 5 GHz, et 688 Mbps sur le 2.4 GHz. Chaque borne est équipée d'un port 10 Gbps (oui, 10 Gbps sur chaque noeud, pas juste sur le principal), d'un port 2.5 Gbps, d'un port Gigabit et d'un USB 3.0. 10 Gbps sur chaque satellite, c'est d'ailleurs l'un des gros avantages de ce modèle.

L'installation, comme d'hab avec les Deco, c'est d'une simplicité enfantine. On lance l'app sur le smartphone, on scanne le QR code, on attend que ça se configure, et c'est fini. J'ai posé une borne dans mon local technique (branchée sur ma box fibre), une dans le salon, et une dans la salle à manger, le tout en moins de 15 minutes, sans avoir à toucher une ligne de configuration. Pour les bidouilleurs qui veulent accéder aux réglages via un navigateur web, par contre, c'est toujours mort puisque tout passe par l'app mobile, ce qui peut frustrer les barbus que nous sommes ❤️.

Mais parlons de ce qui m'intéressait vraiment avec ces routeurs, à savoir ma fameuse salle à manger maudite. C'est une pièce avec des murs épais, coincée entre deux autres pièces, et jusqu'ici aucun de mes routeurs n'arrivait à y envoyer un signal correct.

Avec le pack de trois BE68, le problème a disparu puisque j'ai maintenant du 400-500 Mbps stable dans cette pièce, sans déconnexion. La différence, c'est le Wi-Fi 7 et son MLO (Multi-Link Operation) qui permet à chaque appareil de se connecter simultanément sur plusieurs bandes.

D'ailleurs, le backhaul combiné filaire + sans fil, c'est vraiment le game changer de ce modèle puisque grâce à la techno maison de TP-Link, les Deco BE68 peuvent utiliser à la fois le câble Ethernet et le Wi-Fi pour communiquer entre eux simultanément. Du coup, même si vous ne câblez qu'une partie de vos satellites, le système optimise automatiquement les flux.

Le pack de trois couvre dans les 700-750 m² et peut gérer jusqu'à 200 appareils simultanément. Chez moi, avec la cinquantaine de bidules connectés (ampoules, caméras, smartphones, ordis, consoles, aspirateur robot, et j'en passe), ça ne bronche pas et le système AI-Driven Mesh gère intelligemment les transitions quand on se balade dans la maison. Comme ça, j'ai pas les micro-coupures quand je passe d'une pièce à l'autre avec mon ordi portable.

Et côté tarif, on est sur du 800-900 euros pour le pack de 3. C'est pas donné, c'est clair mais quand on compare aux autres systèmes mesh Wi-Fi 7 du marché, c'est plutôt compétitif. Et avec du 10 Gbps sur chaque nœud, vous êtes tranquille pour les dix prochaines années niveau évolutivité réseau.

Les fonctions de sécurité HomeShield sont bien sûr toujours là : antivirus intégré, contrôle parental, QoS pour prioriser le gaming ou le streaming, support VPN client (OpenVPN, WireGuard), et la possibilité de créer un réseau IoT séparé en WPA3. Du classique TP-Link, bien foutu et suffisant pour 90% des usages sans avoir à payer l'abonnement Pro.