Un développeur vient de prendre le contrôle de plus de 10 000 appareils DJI (dont 7 000 robots aspirateurs Romo - lien affilié) répartis dans 24 pays... en voulant juste piloter le sien avec une manette PS5.

Oui oui c'est un grand malade ^^.

À la base, Sammy Azdoufal, responsable IA chez Emerald Stay, voulait juste s'amuser avec son aspi alors il a d'abord essayé d'y connecter sa manette DualSense en Bluetooth, et puis il a fini par utiliser Claude Code pour décompiler l'appli mobile DJI (version Android) et reverse-engineerer les protocoles MQTT de DJI. Bien sûr, il lui fallait un token d'auth pour prouver qu'il était bien proprio du Romo et jusque-là, rien de méchant...

Sauf que le broker MQTT de DJI n'avait AUCUN contrôle d'accès au niveau des topics (c'est la chaîne de caractères qui sert d'adresse pour router les messages entre les publishers et les subscribers). Du coup, avec un seul token TLS, il voyait le trafic de tous les appareils en clair sur le broker cloud de DJI. Pas de brute force, pas d'exploit sophistiqué mais juste un pauvre token et un client MQTT.

Et hop, le voilà avec les flux vidéo des caméras embarquées, les micros, les plans 2D des maisons, les adresses IP et les numéros de série de milliers de machines. Un journaliste de The Verge lui a même filé son numéro de série, et depuis Barcelone, Azdoufal a pris le contrôle de son Romo, a pu voir qu'il était à 80% de batterie et en train de nettoyer le salon, pour finir par générer le plan de l'appart. Flippant hein ??

En gros, DJI avait un problème de validation de permissions côté backend. Ils l'ont patché début février sauf que... Azdoufal a trouvé une DEUXIÈME faille (un bypass du PIN caméra) qui serait toujours pas corrigée. Et c'est pas fini, le bonhomme aurait encore 2 autres vulnérabilités majeures sous le coude qu'il n'a pas divulguées publiquement et sur lesquelles DJI bosse activement pour les corriger. Cerise sur le gâteau, les batteries DJI Power étaient aussi accessibles via cette archi MQTT. Ce sont de grosses batteries portables qu'on garde chez soit pour avoir un peu de jus en cas de coupure de courant ou quand on est off the grid..

Attention par contre, si vous avez un Romo, vérifiez bien que le firmware est à jour. Vous vous en doutez, DJI a d'abord nié le problème avant de finalement patcher mais bon, moi aussi j'ai une caméra sur mon aspi robot et comme j'adore me balader en slip chez moi, je plains le hacker qui passera par là... Et je vous raconte pas quand on aura des robots humanoïdes comme ce qu'on a vu avec la faille des robots Unitree , tiens...

Source

WorldMonitor , c'est un dashboard open source qui agrège en temps réel à peu près TOUT ce qui se passe sur la planète. Géopolitique, conflits armés, marchés financiers, menaces cyber, catastrophes naturelles, trafic maritime... le tout sur une carte interactive avec 35 couches de données superposables !

Le truc, c'est que c'est pas juste un agrégateur de news. Là-dedans y'a 150+ flux RSS, du tracking de 220+ bases militaires, du suivi de vols militaires en direct via ADS-B, de la surveillance des câbles sous-marins, et même de la détection de feux de forêt par satellite via NASA FIRMS.

Ah et y'a aussi 8 flux vidéo live (Bloomberg, Al Jazeera, France24...), un index d'instabilité par pays calculé en temps réel et il y a même l'indice Pizza du Pentagone .

Rien que ça !

Côté IA, le dashboard génère des briefs de situation via un LLM et bon, le plus sympa c'est que ça peut tourner en local si vous le désirez (c'est compatible avec Ollama et LM Studio). ZÉRO donnée ne sort de votre machine, du coup, pour ceux qui font de l' OSINT ou qui veulent juste surveiller ce qui bouge dans le monde, c'est du lourd.

Perso j'ai choisi World pour mon test car l'angle géopolitique est dingue et y'a aussi une variante Tech et une Finance si les marchés c'est votre came. Attention par contre, faut pas être allergique à la surcharge d'infos ! Et sauf si vous avez un écran ultra-wide, ça peut vite devenir le bordel.

Je vous avoue que c'est pas le truc que je vais utiliser au quotidien parce que je suis plutôt à fuir l'actualité internationale et même nationale pour me recentrer uniquement sur moi et sur l'actualité tech que j'aime tant. Mais pour les accro à l'anxiété, je pense que vous allez kiffer.

Voilà, ce projet tourne en TypeScript + React avec deck.gl pour le globe 3D, c'est dispo en 16 langues et y'a même une app desktop via Tauri. Après franchement, faut voir si votre ordi tient le coup avec tous ces flux en temps réel...

Merci à François pour le partage !

AsteroidOS , c'est une distro Linux open source qui tourne... sur des montres connectées ! Oui oui, du manchot au poignet et l'idée en fait, c'est de virer WearOS et toute la télémétrie Google qui va avec, pour le remplacer par un OS libre sans tracking ou de compte à se créer.

Ce projet existe depuis 2015 et supporte aujourd'hui une trentaine de montres (LG Watch, Huawei Watch, TicWatch, Asus Zenwatch, Fossil Gen 4/5/6...). Vous flashez votre tocante connectée, et vous récupérez un OS avec agenda, météo, chronomètre, boussole, moniteur cardiaque, contrôle musical et même un petit jeu. Le tout en Qt/QML, avec des cadrans communautaires et un affichage permanent !

Côté vie privée , c'est même le JOUR ET LA NUIT avec WearOS donc pour ceux qui flippent que leur montre balance tout à Mountain View, c'est plutôt rassurant.

Pour la synchro avec votre téléphone, y'a également AsteroidOSSync sur F-Droid ou Gadgetbridge . Si vous hésitez, sachez que Gadgetbridge est plus maintenu et plus universel. Ça couvre l'essentiel et si vous avez les chocottes, un mode dual-boot permet de tester sans virer WearOS.

Attention par contre, c'est pas la fête du slip non plus car y'a pas de store d'apps (faut pousser les APK en ligne de commande via ADB), pas de réponse aux appels depuis le poignet, et les apps WearOS ne tournent évidemment pas dessus. A moins que votre montre soit dans la liste officielle, n'y pensez même pas ! Faut aimer bidouiller, en fait mais ça, je sais que vous adorez ^^.

Et grâce à cet OS, vous atteindrez peut-être les 48h d'autonomie annoncées sur le site. Après faut voir en vrai évidemment... mais pour une distro communautaire portée par des passionnés depuis 11 ANS quand même, c'est honnête.

Merci à l'ami Lorenper pour la découverte !

VYALO , c'est une app gratuite ( iOS et Android ) qui part d'un constat que tout le monde connaît... 9 résolutions sur 10 finissent à la poubelle. Vous savez de quoi je parle car on sort à peine du nouvel an et je pense que vous avez déjà abandonné le sport et la gentillesse sur les réseaux sociaux... Mais c'est normal car ces bonnes résolutions, on les fait dans son coin, sans personne pour nous secouer.

Heureusement celui qui va nous secouer pour nous aider à les tenir, c'est Nathan, dev solo de 22 ans en Haute-Savoie et fidèle lecteur de Korben.info qui eu une idée plutôt pas con : Vous faire surveiller par vos pôtes !!

En gros, vous posez vos objectifs ( sport , lecture, code, peu importe), vos amis voient si vous les validez ou pas grâce au système de suivi des jours consécutifs. La mise en route prend 3 clics, c'est pas la mer à boire et c'est 'achement mieux que les 45 rappels dans Calendrier.app que je m'inflige chaque lundi.

Y'a même des défis entre potes où le premier qui craque a perdu... l'enjeu, c'est vous qui le fixez donc ça peut être un resto, 50 pompes en story Instagram, un pari de 20 euros ou un bisou sur la bouche (pouah !)...etc. De quoi vous motiver !

Le VRAI morceau de son app, c'est surtout le mode Roast. Activez-le dans les réglages et l'app vous balancera des notifs hyper sarcastiques quand vous avez rien foutu de la journée. Genre "T'as encore rien fait aujourd'hui". Ça pique.

48 badges à débloquer, un feed social pour encourager (ou chambrer) ses potes, un mode focus avec sons d'ambiance , et des widgets sur l'écran d'accueil. Mon compte c'est @Korben si vous voulez venir me taquiner quand je fais pas mon sport de la journée...

Sauf si vous avez un groupe de potes ultra-motivés, le système d'accountability va tourner dans le vide. Donc faut des copains sérieux, en fait.

Pour un mec de 22 ans qui a TOUT fait seul (dev, design, marketing sur vyalo.app ) c'est pas mal du tout ! Bravo Nathan !

C'est fou ce qu'on peut faire avec trois bouts de ficelle et un peu de jugeote. Ou plutôt, avec 140 caractères de JavaScript et un élément . Si vous ne connaissez pas encore Dwitter , c'est le moment de sortir de votre grotte les amis... surtout si vous aimez les challenges et le code !

Le concept c'est que vous avez une fonction u(t) où t est le temps qui passe, et vous devez pondre un truc visuellement bluffant sans dépasser la taille d'un tweet (époque pré-Elon, le fameux 140 caractères). Et là, c'est la claque car les mecs qui participent à ce défi arrivent à caser des univers entiers, des forêts en parallaxe ou des simulations de colonies de fourmis dans un mouchoir de poche.

Et c'est du code pur jus, généré en temps réel par votre propre navigateur. J'ai d'ailleurs testé le fameux "Ants!" et on sent que KilledByAPixel (le boss final du site) a poussé l'optimisation dans ses derniers retranchements avec des astuces de sagouin comme eval(unescape(escape...)).

Dwitter, c'est né en 2016 lors de la demoparty Solskogen où son créateur lionleaf a d'ailleurs remporté la Wild Compo. Le projet est totalement open source (disponible sur GitHub pour les curieux) et la communauté est super active sur Discord.

En jetant un oeil au top de l'année sur la version Beta (beta.dwitter.net), on tombe sur des perles comme "Solar Orbit" qui vous colle un système planétaire en quelques octets :

Ou encore ce genre de forêts qui défile en parallaxe :

Le plus cool, c'est que tout est lisible et modifiable en direct. Vous voyez un truc qui vous plaît ? Hop, vous cliquez sur le code, vous changez une variable au pif et vous regardez le chaos s'installer. C'est l'école du partage version demoscene mais évitez quand même d'ouvrir 50 onglets en même temps si votre CPU date un peu, car certains shaders déguisés en JS peuvent être assez violents.

Bref, si vous avez 5 minutes à perdre (ou 2 heures, je vous connais), allez faire un tour sur le site. Ça vide la tête, ça pique un peu les yeux parfois, mais ça redonne foi en la créativité humaine !

Amusez-vous bien !

Si vous codez un peu avec des assistants IA, vous avez sûrement le même petit souci que moi chaque matin après mon premier café : Claude ou ChatGPT ? Lequel est le plus chaud aujourd'hui pour ce refactoring complexe ?

Hé bien j'ai trouvé un truc qui va mettre tout le monde d'accord.

Ça s'appelle Mysti et c'est une extension VS Code qui part d'un principe simple mais génial : Pourquoi se limiter à un seul cerveau quand on peut en avoir deux qui bossent ensemble ?

L'extension intègre ce qu'ils appellent le "Brainstorm Mode" où concrètement, vous sélectionnez deux modèles (par exemple Claude via claude-code et OpenAI via openai-codex) et vous les lancez sur votre problème.

On choisit son équipe de choc

Si vous activez le "Full Mode", c'est assez marrant à regarder puisque les deux IA vont discuter entre elles, débattre de la meilleure approche, critiquer les propositions de l'autre et finir par pondre une solution qui combine le meilleur des deux mondes. C'est un peu comme avoir deux seniors devs en pair programming derrière votre épaule (sans l'odeur de café froid et de dessous de bas ^^).

Ça discute sec entre les agents

Au-delà du brainstorming, Mysti propose aussi un système de Personas (16 au total). Vous pouvez alors demander à votre "équipe" IA d'adopter un rôle spécifique comme "Architecte" pour penser la structure globale ou "Security-Minded" pour auditer votre code. D'ailleurs, cette approche agentique rappelle un peu ce qu'on a vu émerger dans des outils comme Kilo Code .

L'IA propose un plan d'action avant de coder

Techniquement, attention car l'extension ne fait "que" piloter les outils CLI installés sur votre machine. Il faudra donc avoir installé et authentifié les CLI correspondants (@anthropic-ai/claude-code, @google/gemini-cli, etc.) pour que ça fonctionne. L'installation de l'extension elle-même passe par le Marketplace VS Code :

ext install DeepMyst.mysti

Perso, je trouve ça vraiment bien pour les tâches d'architecture, là où une seule IA a souvent tendance à foncer tête baissée. Avoir un "second avis" automatique, ça évite pas mal d'erreurs bêtes. Après si je devais lui trouver un défaut c'est que comme ça utilise vos propres clés API via les CLI, une session de débat intense peut vite consommer quelques tokens.

Je sais, vous vous en foutez parce que vous êtes blindé mais c'est à utiliser avec modération !