Vous avez des dossiers sensibles que vous aimeriez chiffrer avant de les balancer sur un cloud ou un disque externe ? Ça tombe bien, je vous ai trouvé un petit outil en Rust qui va vous plaire.
Obsidenc, c'est son nom, est un utilitaire de chiffrement que son créateur qualifie de "paranoid-grade". Et après avoir jeté un œil au code source, je peux vous dire que c'est pas du marketing puisque ce truc archive votre répertoire en TAR et le chiffre avec XChaCha20-Poly1305, un
algorithme AEAD
moderne qui assure à la fois la confidentialité et l'intégrité de vos données.
Côté dérivation de clé, ça utilise Argon2id conforme à la RFC 9106. Pour les non-initiés, Argon2id c'est l'algo qui a gagné le Password Hashing Competition et qui est spécifiquement conçu pour résister aux attaques par GPU et circuits spécialisés (ASIC). L'outil adapte automatiquement les paramètres à votre machine en utilisant 85% de votre RAM disponible (entre 512 Mo minimum et 2 Go maximum) afin de rendre le brute-force astronomiquement coûteux. Et si vous avez moins de RAM dispo, il compense en augmentant le nombre d'itérations.
C'est du code Rust bien propre qui utilise les bibliothèques cryptographiques RustCrypto (bien auditées par la communauté) et le code implémente des bonnes pratiques de sécurité comme le memory locking (mlock sur Unix, VirtualLock sur Windows) pour éviter que vos clés se retrouvent dans le swap, et le
zeroize
pour effacer la mémoire sensible après utilisation.
Vous compilez ça avec cargo build --release, puis pour chiffrer un dossier :
Le mot de passe doit faire minimum 20 caractères (pas de négociation possible, déso pas déso) et vous devez le confirmer deux fois. Vous pouvez aussi ajouter un fichier de clé en plus du mot de passe pour du 2FA old-school.
L'outil a aussi quelques protections défensives sympas. Par exemple, il refuse les symlinks (vecteur d'attaque classique), limite le nombre de fichiers à 1 million et la longueur des chemins à 4096 caractères pour éviter les zip bombs. Sur les systèmes Unix, il vérifie même que votre fichier de clé n'est pas lisible par tout le monde (chmod 600 obligatoire).
Cet outil part du principe qu'un attaquant peut avoir accès à votre fichier chiffré et dispose de temps illimité pour tenter de le casser, du coup, tout est conçu pour rendre l'attaque offline la plus douloureuse possible.
Bref, si vous cherchez un moyen de sauvegarder vos dossiers sensibles de manière vraiment sécurisée avant de les balancer sur un cloud ou un disque externe,
obsidenc
fait le taf et en plus c'est open source (MIT/Apache 2.0) !
Vous croulez sous les documents PDF, les images scannées et les paperasses diverses et variées qui traînent un peu partout sur votre serveur et sur votre disque dur ? Et bien y’a un projet open source qui pourrait bien vous simplifier la vie…
Ça s’appelle
Readur
, et c’est une plateforme de gestion documentaire plutôt moderne codé en Rust pour le backend et en TypeScript/React pour l’interface. Il combine une interface facile à prendre en main, je trouve, avec de l’OCR plutôt balèze qui va scanner tous vos documents pour en extraire le texte et le rendre cherchable.
Comme ça, vous balancez vos fichiers (PDF, images, fichiers texte, documents Office…) via un petit drag-and-drop des familles et Readur fait le reste !
Sous le capot, ça utilise Tesseract pour la reconnaissance de caractères, et gère même plusieurs langues simultanément avec détection automatique, donc pour ceux qui bossent avec des docs multilingues, c’est plutôt chouette…
Pour la recherche, ça repose sur une base PostgreSQL full-text avec plusieurs modes de recherche : simple, par phrase, fuzzy (recherche approximative), ou booléen, ce qui va vous permettre de retrouver n’importe quel bout de texte dans n’importe lequel de vos documents en quelques secondes.
Et si vous avez déjà vos fichiers stockés ailleurs, pas de stress puisque Readur peut se synchroniser avec WebDAV, des dossiers locaux ou du stockage S3. Il y a même un système de surveillance de dossiers qui détecte automatiquement les nouveaux fichiers et les intègre sans que vous ayez à lever le petit doigt. Pratique pour les feignasse comme moi.
Côté authentification, c’est du costaud avec JWT, bcrypt, et support OIDC/SSO pour ceux qui veulent l’intégrer dans leur infra existante et y’a aussi un système de rôles (Admin/User) et tout un tas d’étiquettes avec codes couleur pour organiser vos documents comme bon vous semble.
Pour l’installer, du Docker classique :
git clone https://github.com/readur/readur
cd readur
docker compose up --build -d
Et hop, l’interface est accessible sur localhost:8000. Pour le mot de passe, dans la doc, il est écrit que c’est admin / readur2024 mais c’est faux. Le mot de passe est généré en random au lancement du conteneur Docker. Faut juste regarder dans les logs de Docker et vous pourrez le changer après coup.
Niveau config minimale, comptez 2 cœurs CPU, 2 Go de RAM et 10 Go de stockage donc ça peut le faire sur un NAS ou un petit PC. Et pour de la prod sérieuse avec plein de documents, visez plutôt 4 cœurs ou plus , +4 Go de RAM et un bon SSD de minimum 50 Go.
Voilà, si vous cherchez une alternative auto-hébergeable à
Paperless-ngx
ou
Papermerge
avec une stack moderne en Rust, Readur mérite clairement le coup d’œil.
Le risque interne a toujours représenté un défi pour les organisations. Sa définition a évolué au fil du temps mais sa réalité est la même. Historiquement, le terme « interne » désignait une personne physiquement présente dans l’entreprise : un employé présent au bureau ou un prestataire sur site.
Cette représentation a changé. Les utilisateurs sont désormais dispersés entre le bureau, la maison et d’autres espaces de télétravail, les données résident souvent dans le cloud, et le périmètre traditionnel s’est volatilisé. Aujourd’hui, toute personne ayant accès à cet environnement de confiance est, par définition, un interne.
Ainsi, une question se pose : si un terminal est compromis par un malware avec un accès de type commande-et-contrôle, s’agit-il d’une attaque interne ? Si l’on se réfère à la seule question de l’accès aux données, l’adversaire détient désormais les mêmes privilèges qu’un interne légitime.
Le défi de la détection
Le véritable défi réside dans le fait que les acteurs malveillants sont devenus extrêmement habiles à exploiter ce paysage en mutation. Une fois qu’ils parviennent à compromettre une identité ou un terminal, que ce soit par hameçonnage, en utilisant un malware ou en obtenant des identifiants volés, ils héritent effectivement des permissions et privilèges d’un utilisateur légitime.
À partir de ce moment-là, leurs actions, déplacements et schémas d’accès deviennent presque indiscernables de ceux du personnel de confiance de l’organisation. Plus ces adversaires s’approchent des systèmes critiques et des données sensibles, plus il devient difficile pour les mesures de sécurité traditionnelles de les distinguer des véritables employés ou opérateurs systèmes.
Lorsqu’un attaquant a pénétré dans les systèmes d’une organisation, il devient pratiquement indétectable, semblable aux personnes chargées de gérer et sécuriser ces systèmes. Cet attaquant devient alors un administrateur systèmes.
Cette approche furtive autrement appelée “exploitation des ressources locales” (Living Off The Land, LOTL) s’explique par le fait que les attaquants évitent délibérément de se faire remarquer en utilisant des outils, identifiants et processus déjà présents et approuvés dans l’environnement, plutôt que d’introduire des logiciels suspects ou des comportements inhabituels. Ils restent sous les radars, se fondent parfaitement dans les activités légitimes des utilisateurs, et imitent les opérations quotidiennes de manière à passer inaperçus.
Leur fonctionnement est alors comparable au fait d’entrer dans une entreprise vêtu d’un costume, avec assurance, en adoptant les manières et les routines des employés. Personne ne remet votre présence en question, car vous donnez l’impression d’appartenir à l’organisation et vous agissez en accord avec les habitudes établies.
Cette capacité à se fondre dans la masse représente un défi majeur pour la détection, rendant l’analyse comportementale et la surveillance continue plus cruciales que jamais.
Une défense efficace est imprévisible
Pour détecter ces attaquants, les organisations doivent se concentrer sur le comportement plutôt que sur l’identité seule. Il convient alors d’observer et d’identifier les écarts par rapport au comportement normal. Qu’il s’agisse d’un acte malveillant ou d’un compte compromis, les schémas comportementaux sont souvent similaires lorsque l’objectif est d’accéder à des ressources de grande valeur et à des données sensibles. En mettant en place des pièges pour détecter une activité inhabituelle, les équipes informatiques peuvent intercepter les menaces internes avant qu’elles ne dégénèrent en incidents majeurs.
Cependant, les pièges à eux seuls ne suffisent pas à garantir une résilience totale. Le Zero Trust reste l’élément crucial de toute stratégie de défense. Cette approche repose sur le principe que la confiance ne peut être ni statique ni implicite : elle doit être continuellement évaluée. Une authentification forte, des terminaux d’entreprise sécurisés et une surveillance continue ont rendu plus difficile la compromission des systèmes par les attaquants. Pourtant, les décideurs en matière de sécurité doivent aller plus loin en adoptant ce que l’on appelle la confiance négative (Negative Trust).
La confiance négative introduit une tromperie contrôlée et de l’imprévisibilité dans les systèmes afin de perturber les attaquants. Cette approche est efficace car la prévisibilité constitue un risque que beaucoup d’organisations négligent. Les entreprises fonctionnent souvent de manière trop standardisée, ce qui facilite le cheminement et les méthodes des adversaires. En rendant les systèmes imprévisibles, en introduisant de la variabilité et en ajoutant du bruit contrôlé dans l’environnement, il devient plus difficile pour les attaquants de se déplacer et plus facile pour les défenseurs de détecter leur présence.
En effet, lorsque les données sont chiffrées, l’entropie augmente et les données semblent aléatoires. Les adversaires détestent l’entropie. À l’intérieur d’un environnement, la prévisibilité produit le même effet. Plus les systèmes sont prévisibles, plus il est facile pour les attaquants de se déplacer sans être détectés. La confiance négative ajoute du bruit, augmente l’entropie et rend l’environnement imprévisible, forçant ainsi les attaquants à tomber dans des leurres.
Perspectives
À mesure que les adversaires utilisent des sites de confiance pour se dissimuler à la vue de tous, ils se connectent plutôt que de « pirater » leur accès aux organisations. Chaque attaque commence désormais à ressembler à une attaque interne, que l’utilisateur soit réellement employé ou non.
C’est pourquoi chaque menace doit être traitée comme une menace interne. Pour ce faire, il faut réduire les vecteurs d’attaque en suivant les principes du Zero Trust, puis en ajoutant du bruit par le biais de la confiance négative. C’est là, la voie à suivre.
Les organisations doivent nettement améliorer leur capacité à détecter les comportements malveillants, surtout à une époque où les adversaires sont prêts à payer des employés pour qu’ils divulguent des données ou remettent simplement des cookies d’authentification issus de leurs navigateurs. Alors que l’accès est le nouveau périmètre, le comportement de chaque utilisateur est le seul véritable indicateur de confiance.
*Tony Fergusson est CISO en résidence chez Zscaler
J’sais pas si vous lisez des mangas de temps en temps mais si vous êtes à jour, vous avez peut-être envie de lire la suite, mais malheureusement, souvent c’est pas encore traduit en français. Alors vous 3 solutions… soit vous patientez, soit vous apprenez le japonais… Soit, soit…
Soit vous installez Koharu, un logiciel de traduction de mangas propulsé par IA. C’est hyper bien foutu puisque ça détecte automatiquement les bulles de dialogue, ça lit le texte japonais via OCR, ça efface proprement le texte original avec de l’inpainting, ça traduit le tout avec un modèle de langage aux petits oignons et ça replaque le texte traduit dans la bubulle.
Tout ça en quelques clics, évidemment, sinon ce serait pas drôle !
Le projet est développé par
mayocream
et c’est du 100% Rust avec une interface Tauri. Pour ceux qui ne connaissent pas,
Tauri
c’est un peu l’équivalent d’Electron mais en plus léger et plus performant. Le moteur d’inférence utilisé, c’est
Candle
de HuggingFace, ce qui permet de faire tourner des modèles IA localement sans avoir besoin d’envoyer vos data dans le cloud.
Côté modèles, Koharu embarque plusieurs outils spécialisés. Pour la vision par ordinateur, on a
comic-text-detector
pour repérer les bulles (avec
le petit modèle custom de mayocream
),
manga-ocr
pour la reconnaissance de caractères et
AnimeMangaInpainting
pour effacer proprement le texte original. Pour la traduction, c’est vntl-llama3-8b-v2 ou Sakura-GalTransl-7B-v3.7 qui s’y collent et c’est sans galère puisque ces modèles se téléchargent automatiquement au premier lancement.
Et Koharu supporte évidemment l’accélération GPU donc si vous avez une carte NVIDIA, vous pouvez profiter de CUDA et pour les fans d’Apple Silicon avec un M1 à M5, Metal est également supporté. Bref, ça dépote et le logiciel gère aussi la mise en page verticale pour les langues CJK (Chinois, Japonais, Coréen), ce qui est plutôt indispensable quand on traduit des mangas.
Les sources sont dispo sur
Github
et y’a des binaires pour Windows et macOS directement sur la page des releases. Pour les autres plateformes, faudra compiler vous-même avec Rust et Bun.
Voilà, si vous rêvez de traduire ce manga obscur qui dort au fond d’un forum japonais, Koharu va vous plaire. Et un grand merci à Lorenper pour l’info !
Marre de passer par WeTransfer ou Google Drive pour envoyer un fichier à quelqu’un ? Bah ouais, faut se créer des comptes, attendre que ça upload sur un serveur tiers, et puis est ce que vous savez ce qu’ils font réellement de vos données ?
Ça tombe bien alors car
AltSendme
est fait pour vous ! C’est un fork
C’est une application desktop open source (sous licence AGPL-3.0) qui permet d’envoyer des fichiers directement d’un ordi à un autre en peer-to-peer. Pas de serveur intermédiaire, pas de stockage cloud, pas de compte à avoir, vous déposez simple votre fichier sur l’app et celle-ci génère un code de partage (un “ticket”) que vous devez ensuite envoyer à votre destinataire par le moyen de votre choix (mail, SMS, chat, pigeon voyageur…), et le transfert se fait en direct !
Le truc cool avec AltSendme c’est que ça utilise,
tout comme SendMe
, la techno
Iroh
pour le networking P2P avec du QUIC + TLS 1.3 pour le chiffrement. Donc vos fichiers sont chiffrés de bout en bout et ne transitent jamais par un serveur tiers. Et si la connexion directe entre les deux machines n’est pas possible (becoz du NAT un peu capricieux), l’app fait du hole punching automatique et peut basculer sur un relais chiffré en fallback.
Côté performances, ça peut monter jusqu’à 4 Gbps en théorie ce qui est pas mal pour du P2P. Et si votre connexion saute en plein transfert, pas de panique les amis puisque les téléchargements peuvent reprendre là où ils en étaient.
L’application est dispo sur Windows, macOS et Linux et le code est sur
GitHub
. Y’a même une interopérabilité possible avec l’outil CLI sendme pour ceux qui préfèrent le terminal. Notez aussi que le dev accepte les dons via Buy Me a Coffee ou GitHub Sponsors si vous voulez soutenir le projet.
Bref, si vous cherchez une alternative à WeTransfer qui respecte votre vie privée et qui ne fait pas transiter vos fichiers par des vilains serveurs d’américains, AltSendme vaut le détour !
Depuis quelques années, dès qu’un outil open source devient un peu vieux ou bancal, un dev Rust débarque et dit “Attendez mes petits poulets, je vais vous refaire ça au propre”. Ça a commencé avec les outils système comme
ripgrep
qui a remplacé grep, puis
fd
qui a ringardisé find, et maintenant ça arrive dans l’impression 3D.
Hé oui,
MicroCAD
est la preuve que même OpenSCAD, ce vénérable langage de modélisation paramétrique qui existe depuis 2010, n’échappe pas à cette mode de réécriture systématique en Rust.
OpenSCAD, tout le monde le connaît dans le monde des makers et de l’impression 3D car c’est un super IDE / langage qui permet de programmer ses modèles 3D plutôt que de les dessiner à la souris dans Blender. Vous écrivez quelques lignes de code pour générer un engrenage, une brique de Lego, ou n’importe quelle forme géométrique complexe, et en théorie, c’est génial, sauf qu’en pratique, la syntaxe a vachement vieilli, les performances sur les gros modèles sont bofs, et l’écosystème est un peu figé dans la pâté.
Bref, OpenSCAD a 15 ans maintenant, et ça se sent. (Un peu comme moi et mes 21 ans de Korben… Snif la poussière ^^)
C’est pourquoi une équipe de développeurs allemands a décidé de tout reprendre de zéro. Le projet s’appelle µcad (prononcez ça microcad), et c’est la même philosophie qu’OpenSCAD, mais avec une syntaxe moderne inspirée de Rust, avec évidemment de meilleures performances, et une architecture plus solide. Vous pouvez donc toujours composer des formes basiques pour créer des géométries complexes, faire des opérations booléennes, et exporter vos modèles en .STL pour l’impression 3D ou en SVG pour la découpe laser.
L’installation est hyper simple si vous avez Rust sur votre machine :
`cargo install microcad`
Ensuite vous lancez
`microcadexport./examples/bricks/brick.µcad`
et vous avez votre fichier STL prêt à imprimer.
Les
exemples sur leur site
incluent un spirographe, des briques Lego, et des engrenages donc rien de révolutionnaire, mais c’est le hello world de la modélisation 3D.
MicroCAD est soutenu par le
Prototype Fund
, un programme qui finance 25 à 30 projets open source tous les six mois. C’est un fond géré par l’Open Knowledge Foundation Deutschland et financé par le ministère fédéral de l’Éducation et de la Recherche allemand. C’est donc une vision stratégique à long terme de la souveraineté numérique de l’Allemagne par l’open source.
Voilà, pendant qu’en France on subventionne des licornes et des startups qui font des apps de livraison, l’Allemagne finance tranquillement son infrastructure logicielle open source. Ils préfèrent bâtir des fondations solides plutôt que de balancer des paillettes au visage de tout le monde.
Le projet vient de sortir en
version alpha 0.2.14
, juste à temps pour leur DemoDay. A tester d’urgence donc et on verra à terme si MicroCAD arrive à remplacer OpenSCAD dans le cœur des makers (le fameux Makœur ^^).
This collection of examples discussing the question of the intrinsic security characteristics of programming languages. Through illustrations and discussions, it advocates for a different vision of well-known mechanisms and is intended to provide some food for thoughts regarding languages and development tools, as well as recommendations regarding the education of developers or evaluators for secure software.
Si vous avez déjà utilisé
Everything
sous Windows, vous savez à quel point c’est relou de ne pas avoir d’équivalent sur Mac. Spotlight c’est bien gentil, mais pour faire une recherche de fichiers précise avec des filtres avancés, c’est pas vraiment ça.
Heureusement, y’a
Cardinal
qui vient combler ce vide !
Cardinal c’est donc un outil de recherche de fichiers ultra-rapide pour macOS qui reprend la même syntaxe de recherche que ce qu’on retrouve dans Everything. Vous tapez vos critères, et pouf, les résultats apparaissent instantanément. Ce projet est développé par un certain Donough Liu, codé en Rust avec Tauri pour l’interface, et distribué, évidemment, sous licence MIT.
Alors qu’est-ce qu’on peut faire avec ?
Bah déjà, la syntaxe de recherche est hyper puissante. L’espace sert d’opérateur AND, donc si vous tapez “brouillon rapport” vous obtenez tous les fichiers qui contiennent les deux mots. Vous pouvez aussi filtrer par extension avec “*.pdf briefing*” pour ne voir que les PDF, ou par taille avec “.zip size:>100MB” pour trouver les grosses archives zip.
Y’a aussi le filtre “infolder:” pour limiter la recherche à un dossier spécifique. Et si vous voulez exclure certains types de fichiers ou utiliser des regex, c’est possible aussi. Bref, y’a tout ce qui manque cruellement à Spotlight.
Et les raccourcis clavier sont bien pensés, je trouve. Cmd+Shift+Space pour afficher Cardinal depuis n’importe où (comme vous le faites avec Spotlight), Espace pour prévisualiser le fichier sélectionné avec Quick Look, Cmd+R pour afficher vos trouvailles dans le Finder, Cmd+C pour copier le chemin. Que du classique !
Pour l’installer, téléchargez le .dmg depuis les
releases GitHub
et installez le. L’app supporte aussi plusieurs langues grâce à un bouton dans la barre de statut, ce qui est top si vous préférez une interface en français.
Le seul truc à garder en tête, c’est que Cardinal doit indexer vos fichiers pour être rapide, donc la première indexation peut prendre un peu de temps selon la taille de votre disque, mais ensuite c’est instantané !
La 12ᵉ édition de Kernel Recipes s’est tenue à Paris du 22 au 24 septembre 2025, et comme chaque année, l’événement a rassemblé un bel échantillon de la communauté du noyau Linux : développeurs, mainteneurs, testeurs, contributeurs, et passionnés venus échanger autour du projet du noyau.
Trois jours intenses de présentations, de discussions informelles, de caféine et de partages d’expériences — bref, un cru encore une fois très riche. Les sujets ont couvert un large spectre : du développement des sous-systèmes du noyau à la maintenance, en passant par la sécurité ou la performance. Cette année encore quelques interventions concernant l'impact de BPF et la place grandissante de Rust dans le projet.
Les slides et enregistrements vidéo de toutes les présentations sont désormais en ligne !
Nous tenons à remercier l'ensemble des speakers qui encore une fois ont fait de cette 12e édition une réussite : Maira CANAL, Dorinda BASSEY , Matthew WILCOX, Melissa WEN, Andrea RIGHI, Greg KH, Thomas Schwinge, Thara Gopinath, SJ Park, Roman Gushchin, Leonardo Brás, Song Liu, Julia LAWALL, Boris Brezillon, Thomas Weissschuh, Indu Bhagat, Alice Ryhl, Vlastimil Babka, Lorenzo Stoakes.
Un remerciement tout particulier à Paul McKenney notre parrain cette année qui a fournit un travail énorme pour nous aider à boucler cette édition.
Un grand merci également au talent de Frank Tizzoni qui avec ses dessins est devenu incontournable à la conférence. Merci à Anisse Astier pour son live blog et sa capacité incroyable à retranscrire l'essentiel de cette conférence.
Chapeau bas à Erwan Velu pour ses lancers de micro, ses photos et son aide à l'organisation, et à Jean-Christophe Huwette pour nous permettre de proposer tous les ans un live stream impeccable et des vidéos pour tout le monde.
Enfin un grand merci à nos sponsors sans lesquels nous ne pourrions pas proposer depuis 12 ans cet événement à Paris, un événement qui reste abordable, convivial : Meta, AMD, Libre Computer, Collabora, Haproxy, Igalia, Jumptrading, Linux Foundation, Criteo R&D, Cyberzen, ANSSI, Linux Pratique.
Bonjour les gens ! Me revoilà (une fois de plus, ça n’en finit plus …) après plusieurs années d’arrêt de blogging pour tout un tas de raisons, autant personnelles que professionnelles (j’y reviendrai peut-être un de ces jours). Et histoire de bien re-commencer, rien de mieux qu’un article dithyrambique (on aime bien en général, vu […]
Le procès antitrust adtech contre Google oppose la demande de cession d’AdX à des engagements de conduite, enjeu crucial pour l’équilibre publicitaire en ligne.
En 2022, le format JPEG-XL (JXL) a fait naitre beaucoup d’espoirs sur Internet : un taux de compression et une qualité très supérieurs à tout ce qui existe dans nos navigateurs web, plus une rétro-compatibilité avec JPEG. Les décodeurs sont arrivés dans Chromium, Firefox et Safari, on était tout excité, et puis… Google supprime le décodeur. Mozilla le cantonne à la version développeurs, derrière une option. Apple le… tiens non, Apple le garde et le porte même sur iOS.
Pendant que ça hurle et tempête Mozilla s’explique : l’implémentation actuelle c’est 100 000 lignes de C++ probablement dangereuses, tandis que du Rust plus compact serait avantageux.
Célébrons la rentrée 2025, les développeurs du labo Google (principal sponsor de JXL) nous proposent de tester une première version habillée de rouille ! Ne déshabillez pas la source trop vite, appréciez les préliminaires lents, c’est une fragile version 0.1.1.
Connexion
