Un tweet mystérieux clignote sur mon écran, laissant entrevoir un bouleversement majeur dans l’univers de Fortnite. Je peux presque entendre le souffle d’anticipation des gamers et des fans de la WWE alors que les murmures d’une collaboration avec Finn Balor résonnent sur les réseaux sociaux. À chaque impulsion, l’excitation grandit : pourrait-il s’agir de la […]
Apple synchronise les mises à jour de tous ses systèmes d'exploitation. iOS 26.3, macOS Tahoe 26.3, watchOS 26.3 et tvOS 26.3 sont sortis le même jour avec des nouveautés. Mais pour l’Apple Vision Pro, disette totale. Les notes de version pour les développeurs ne mentionnent qu'un seul correctif majeur : un bug de réactivité des boutons des manettes...
Imaginez le chaos alors que les vols d’évacuation médicale se précipitent pour être déroutés d’El Paso vers le Nouveau-Mexique, leurs missions perturbées par une fermeture inexpliquée de la FAA. Pendant dix jours tumultueux, le ciel au-dessus d’El Paso a été une zone d’exclusion aérienne, l’ordre initial étant enveloppé de confusion et de peur. Puis la […]
Dans l’immensité de l’espace, deux alliés improbables doivent trouver un terrain d’entente pour faire face à une menace existentielle imminente. Alors que Ryland Grace se réveille, désorienté et seul, il porte sur ses épaules le poids de la survie de l’humanité. Mais il n’est pas seul ; il est sur le point de forger un […]
C'est une mauvaise nouvelle pour les propriétaires de BMW. Le constructeur allemand vient d'annoncer un rappel massif touchant des centaines de milliers de véhicules dans le monde. En cause : un défaut du démarreur moteur susceptible de provoquer un incendie.
La dernière série télévisée de Marvel suscite un enthousiasme renouvelé autour de Spider-Man et ravive l’intérêt pour le prochain projet « Brand New Day », laissant entrevoir de nouvelles perspectives pour l’avenir du célèbre super-héros dans l’univers Marvel.
Une série emblématique de Cartoon Network s’apprête à faire son grand retour sur les écrans. Cette annonce suscite déjà l’enthousiasme des fans nostalgiques, impatients de retrouver l’univers animé qui a marqué leur enfance.
Notepad, c'est je crois LE truc le plus basique de Windows depuis 40 ans (avec winver.exe... lol). C'est un éditeur de texte tellement simple qu'il n'avait même pas de correcteur orthographique jusqu'en 2024. Sauf que Microsoft a décidé d'y coller de l'IA, et avec l'IA est arrivé le support du Markdown... et c'est ce parser Markdown tout neuf qui a ouvert une faille permettant d'exécuter du code à distance.
Mais lol.
Car oui mes amis, dans la foulée des fonctions IA (AI Rewrite, tout ça), le bloc-notes de Windows 11 sait maintenant interpréter le Markdown. Il gère désormais les fichiers .md, affiche les liens cliquables, le formatage...etc... et c'est là que ça coince !
En effet, la faille CVE-2026-20841 exploite une injection de commande via des liens malveillants dans un fichier Markdown. Vous ouvrez le fichier, vous cliquez sur le lien, et hop, exécution de code à distance sur votre bécane. Personne chez M$ n'avait pensé à filtrer les protocoles des URL. Résultat, un lien du type file:///C:/Windows/System32/cmd.exe ou ms-msdt:// s'exécute comme si de rien n'était.
C'est con, c'était si simple de limiter ça à http+s ... Bref, tout ça parce que maintenant ce machin a besoin d'aller sur Internet... Roooh
Cette faille fait partie du Patch Tuesday de février 2026, qui corrige au passage 58 vulnérabilités dont 6 zero-days déjà activement exploités. Microsoft classe celle de Notepad comme "Important" (pas "Critical"), parce qu'il faut quand même que vous cliquiez sur le lien piégé. Tu m'étonne John !
À noter que seul Windows 11 version 24H2 est concerné car sur Windows 10, le Notepad reste cette bonne vieille version offline qu'on connait sans Markdown ni IA... et du coup, pas de faille. Comme quoi, des fois être has been, ça a du bon ^^.
Rassurez-vous, ça n'empêchera pas Microsoft de continuer à injecter de l'IA dans TOUS ses outils Windows. Paint génère des images, Photos supprime les objets, l'Outil Capture retranscrit du texte... Bref, chaque app basique se transforme en usine à gaz connectée, avec la surface d'attaque qui va avec. (Je me demande quand la calculatrice aura besoin d'être connectée au net...)
Pour vous protéger, lancez donc Windows Update et installez le correctif de février. Si vous faites partie de ceux qui
bloquent les mises à jour
, c'est le moment de faire une exception et si vous êtes plutôt
team Notepad++
... bah désolé pour vous aussi ^^.
Vous connaissez tous
Kali Linux
,
Metasploit
et compagnie… Mais est-ce que vous avez déjà vu une IA faire un pentest toute seule ? Genre, VRAIMENT toute seule.
Shannon
, c'est un framework open source qui lâche un agent IA sur votre code, et qui enchaîne recon, analyse de vulns, et exploitation, tout ça sans intervention humaine.
En gros, vous lui filez une URL cible et l'accès à votre code source (faut que le repo soit accessible, c'est la base), et l'agent se débrouille. Il commence alors par analyser le code en statique… puis lance des attaques dynamiques sur l'app en live. Pour cela, il déploie plusieurs sous-agents spécialisés qui bossent en parallèle via Temporal, un moteur de workflow.
Un agent pour la reconnaissance, un pour chercher les injections SQL, un autre pour les XSS, un pour les SSRF, un pour les problèmes d'authentification… Bref, chacun fait son taf et tout remonte dans un rapport final au format JSON.
Le truc, c'est que Shannon ne se contente pas de scanner bêtement comme un Nessus ou un Burp. L'agent COMPREND votre code. Il lit les routes, les middlewares, les requêtes SQL, et il construit ses attaques en fonction. Du coup, il trouve des trucs que les scanners classiques loupent complètement, genre une injection NoSQL planquée dans un endpoint obscur ou un bypass d'auth via un cookie mal valide. Attention par contre, si votre app utilise un framework un peu exotique ou du code obfusqué, y'a des chances que l'agent passe à côté… comme tout scanner, hein.
Pour ceux qui se demandent combien coute un
test d'intrusion
classique, ça va de 3 000 € à plusieurs dizaines de milliers d'euros. Shannon, c'est open source et ça tourne sur Docker, par contre, faudra compter environ 50 dollars en tokens API Anthropic par run… c'est pas gratuit mais c'est quand même 60 fois moins cher qu'un audit humain.
Cote installation, c'est Docker + Docker Compose, un fichier .env avec votre cle API Anthropic (la variable ANTHROPIC_API_KEY, classique), et hop, un docker compose up pour lancer le tout. Le workflow complet prend entre 1 h et 1 h 30 selon la taille de votre base de code. Vous pouvez suivre la progression en temps réel via l'interface web Temporal sur localhost:8233. (perso, j'aime bien voir les agents bosser en parallèle, ça a un côté satisfaisant).
Et attention, Shannon exécute de VRAIES attaques. C'est mutatif. Ça veut dire que si l'agent trouve une injection SQL, il va l'exploiter pour de vrai pour prouver que ça marche. Du coup, on le lance sur du code à soi, en local ou sur un environnement de test. Mais jamais en prod. JAMAIS !!!
Bon, sauf si vous aimez vivre dangereusement et que votre boss est en vacances… ^^
Les agents d'exploitation (Auth, SSRF, XSS, AuthZ) en parallèle sur la timeline Temporal
Pour en avoir le cœur net, je l'ai lancé sur une app Node.js/Express maison avec 27 endpoints d'API. 2 heures de scan, 287 transitions d'état, 7 agents qui ont bossé en parallèle… et une facture Anthropic qui pique un peu. Parce que oui, chaque agent consomme des tokens Claude à chaque étape d'analyse et d'exploitation, et ça s'additionne vite. Comptez une cinquantaine de dollars pour un run complet. Bref, c'est pas gratuit de se faire hacker par une IA.
Cote résultats par contre, plutôt parlant. Zero injection SQL exploitable, les 23 paramètres utilisateur ont été tracés jusqu'aux requêtes et Shannon a confirmé que tout était paramétré correctement. Bien joué. Par contre, il a détecté 6 failles SSRF liées à des contournements IPv6, des XSS stockées via innerHTML sans aucun échappement dans le frontend, et surtout… ZERO authentification sur les 27 endpoints. Genre, n'importe qui peut purger ma base ou cramer vos crédits API Claude sans se connecter. Bon après, c'est un outil que je me suis dev, qui est un proto local, donc c'est pas exposé sur internet.
Le rapport final est plutôt bien foutu, je trouve. Pour chaque vuln trouvée, vous avez la sévérité CVSS (critique, haute, moyenne), le vecteur d'attaque utilisé, une preuve d'exploitation avec les payloads, et surtout des recommandations de correction. Shannon va jusqu'à vous montrer la ligne de code fautive, expliquer pourquoi le bypass fonctionne, et proposer le fix. Si vous utilisez déjà des outils comme
Sploitus
pour votre veille secu, Shannon c'est le complément parfait pour passer de la théorie à la pratique sur votre propre code.
Le projet est encore jeune, c'est vrai, mais l'approche est intéressante. Plutôt que d'automatiser bêtement des scans, on a donc un agent qui raisonne sur le code et adapte sa stratégie. Ça change des outils qui balancent des milliers de requêtes à l'aveugle et qui vous noient sous les faux positifs.
Alors après, je vous vois venir, vous allez me dire : est-ce que ça vaut un vrai pentester qui connait votre infra par cœur et qui sait où chercher les trucs tordus ?
Pas vraiment, mais pour un premier audit à moindre coût, ça fait le taf.
Les algorithmes de recommandation, vous connaissez bien je pense... YouTube, TikTok, Instagram... ces trucs qui vous gardent scotché à l'écran durant des heures en aspirant toutes vos données au passage. Hé bien un dev de bon goût a décidé de prouver qu'on pouvait faire la même chose sans machine learning et sans collecter la moindre info perso.
Son arme secrète ? Les 270 000 articles de Simple Wikipedia.
Xikipedia
, c'est un pseudo réseau social qui vous balance des articles de Simple Wikipedia sous forme de feed, exactement comme votre fil TikTok préféré. Sauf que derrière, y'a pas de ferme de serveurs qui analyse votre comportement mais juste un petit algorithme local en JS qui tourne dans votre navigateur.
En gros, le système fonctionne avec un scoring par catégorie côté client, stocké en localStorage. Vous scrollez un article sans le lire ? Moins 5 points pour cette catégorie. Vous likez ? Plus 50 points, avec un bonus qui augmente si vous n'avez pas liké depuis longtemps (genre un mécanisme anti-binge plutôt malin). Vous cliquez sur l'article complet ? 75 points. Sur une image ? 100 points !!
Et c'est comme ça qu'au bout de quelques minutes de scroll, le feed commence à comprendre vos centres d'intérêt et vous propose des trucs de plus en plus pertinents. J'ai testé en likant 3-4 articles sur l'astronomie... au début je pensais que ça serait du random total, mais au bout de 5 minutes j'avais quasiment que des trucs sur l'espace et la physique. Plutôt efficace pour un algo sans IA.
D'ailleurs, le truc qui est assez cool c'est la répartition des contenus. 40% de sélection pondérée par vos scores, 42% du contenu le mieux noté, et 18% complètement aléatoire. Ce dernier bout de hasard, c'est ce qui évite de s'enfermer dans une bulle de filtre (prends-en de la graine, YouTube !!).
La page d'accueil avec ses catégories - sobre mais efficace
Le tout tourne en PWA, c'est-à-dire que ça s'installe comme une app sur votre téléphone ou votre ordi et ça fonctionne même hors ligne après le premier chargement. Les ~34 Mo de données compressées de
Simple Wikipedia
sont stockées localement via IndexedDB dans votre navigateur. Vous pouvez créer plusieurs profils (pratique si vous partagez un appareil), consulter vos stats d'engagement perso, et même basculer entre thème clair et sombre.
Petit bémol quand même si vous êtes sur iPhone, y'a des restrictions mémoire imposées par Apple sur Safari qui peuvent poser problème avec les ~34 Mo de données. Attention aussi, le premier chargement prend un moment vu qu'il faut tout télécharger d'un coup... sauf si vous êtes en 4G pourrie, là ça peut carrément planter en plein milieu. Et pas moyen de reprendre, faut tout relancer. Prévoyez donc du Wi-Fi.
Pour ceux qui se demandent à quoi ça sert concrètement... c'est juste un moyen sympa de tomber sur des sujets que vous n'auriez jamais cherchés, le tout sans que personne ne sache que vous avez passé 45 minutes à lire des articles sur les pieuvres géantes du Pacifique.
Voilà, j'aurais pas parié dessus au départ... mais après avoir scrollé une bonne demi-heure, je dois avouer que c'est plutôt malin comme approche.
Le gestionnaire de tâches de Windows, c'est un peu le minimum syndical quand il faut comprendre pourquoi votre PC rame. Sauf que pour creuser vraiment, autant essayer de trouver une aiguille dans une botte de DLL.
Mais heureusement, il y a des alternatives !
AppControl
est l'une d'entre elles. C'est un gestionnaire de tâches gratuit pour Windows qui va beaucoup plus loin que le truc de base parce qu'il garde un historique de l'utilisation : CPU, RAM, GPU et même de la température de vos composants (jusqu’à 3 jours en arrière). Vous pouvez ainsi remonter dans le temps pour comprendre ce qui a fait chauffer votre machine à 3 h du mat' (cherchez pas, c'est Chrome ^^).
Concrètement, vous avez des graphiques en temps réel pour chaque processus, avec la conso mémoire, le pourcentage CPU, l'utilisation disque… et tout ça reste stocké. C'est une vraie dashcam pour votre PC. Votre machine a ramé hier à 14 h pendant la visio Teams ? Vous remontez la timeline et hop, coupable identifié. En fait, c'est super pratique pour les sessions de debug à rallonge ou quand un process fantôme bouffe vos 16 Go de RAM dans votre dos. Attention par contre, ça ne marche pas sur les processus système protégés par Windows… sauf si vous lancez le bouzin en admin.
Le soft surveille aussi l'accès de vos applications à la webcam, au micro et à la localisation GPS. Comme ça, vous voyez une alerte dès qu'un programme tente d'y accéder sans prévenir. Pratique quand on sait que certaines apps adorent activer la cam en douce. D'ailleurs, vous pouvez carrément bloquer des applications ou les désactiver si elles abusent.
L'interface est plutôt clean, avec un look qui rappelle un dashboard de monitoring serveur. Sauf que c'est pas open source… c'est gratuit mais propriétaire, développé par Jon Hundley qui est membre de l'Intel Partner Alliance. Le setup fait 14 Mo, ça tourne sur Windows 10 et 11, et niveau install c'est l'affaire de 30 secondes. Attention quand même, c'est de la version beta, donc ça casse pas tout, mais ça peut buguer.
Alors que la poussière retombe dans l’étendue désolée d’Arc Raiders, vous vous retrouvez penché sur un conteneur, le cœur battant. Au moment où vous vous apprêtez à l’ouvrir, un crépitement statique soudain éclate à proximité. S’agira-t-il d’un butin ou d’une embuscade ? Dans le monde d’Arc Raiders, chaque expédition est pleine de suspense, armée d’armes et […]
Montre multisport par excellence chez Garmin, la Fenix monte encore un peu plus en gamme avec sa version 8. Elle intègre désormais un haut-parleur, un micro, un écran Amoled, un profondimètre et revoit son interface. De quoi ravir les sportifs de l'extrême et athlètes connectés.Points fortsDalle Amoled plus lumineuse et offrant plus d’informations qu...
Alors que le soleil se couche sur Disney Dreamlight Valley, vous vous retrouvez à fixer une liste de tâches qui ressemblent plus à des énigmes qu’à des missions. Une quête particulière vous demande de vendre des légumes verts, mais les objets qui correspondent à cette description ne sont pas aussi simples qu’il n’y paraît. Juste […]
Seulement quelques instants après le début de l’opération, le chirurgien hésita, pris d’un vertige d’incertitude. Le système d’IA, censé améliorer la précision, rapportait incorrectement l’emplacement des instruments cruciaux. La panique monta alors que la réalisation s’installait : une technologie conçue pour sauver des vies pouvait mener à une catastrophe. L’IA Remodele la Chirurgie, Mais Pas […]
Vous y êtes, l’adrénaline qui coule dans vos veines, prêt à rejoindre votre escouade dans Arc Raiders. Soudain, l’écran affiche une erreur : ARMR0002. Ce moment d’anticipation s’évapore en frustration alors que vous luttez avec le monde chaotique des Raiders et des ennemis ARC, incapable de passer à l’action. Vous n’êtes pas le seul dans […]
Après un teasing il y a quelques heures, Google annonce Android 17. La bêta, qui devait être disponible aujourd’hui mais qui arrivera finalement un peu plus tard, donne le coup d’envoi d’un cycle qui vise la stabilité dès mars 2026. La version finale devrait arriver en juin. Les …
Telegram s’est imposé comme une messagerie versatile, axée sur la rapidité et la confidentialité, utilisée par des communautés et des médias. Son format « channel ...
Après plus d’un an sans nouvelles, le prochain film Ghostbusters produit par Netflix avance enfin. Ce récent développement constitue une étape rassurante pour les fans qui attendaient avec impatience des informations sur ce projet très attendu.
Connexion
