Dans le monde animé de Disney Dreamlight Valley, l’artisanat ressemble parfois à la résolution d’une énigme enveloppée de mystère. Vous pourriez vous retrouver à fixer une quête vous demandant de créer un grand élixir, sans indices ni indications. À première vue, cela peut sembler accablant, mais ne vous inquiétez pas ; avec les bonnes connaissances, vous […]
Alors que la poussière retombe après une rencontre brutale, un visage familier réapparaît, révélant des couches de complexité dissimulées sous des couches de bravade. Daeron Targaryen, le frère porté sur la boisson d’Egg, affronte désormais son destin alors que la série se prépare pour son point culminant. Que révèle son parcours sur le réseau complexe […]
Dans un café bondé, j’ai surpris une conversation : une femme partageait ses difficultés à comprendre ses propres motivations, tandis qu’une amie lui offrait une bouée de sauvetage : l’introspection grâce à une IA. Ce moment résumait le parcours auquel beaucoup d’entre nous sont confrontés : la quête pour mieux se connaître. Nous effleurons souvent […]
Sorti il y a 74 ans, ce film d’action épique, aujourd’hui méconnu, offre une plongée captivante dans l’univers de la chevalerie. Il saura séduire les amateurs d’aventures médiévales et les passionnés de récits chevaleresques.
La deuxième extension de Diablo 4, intitulée Lord of Hatred, inclura non pas une mais deux classes. En plus du Paladin, on pourra incarner un Démoniste, une caste 100 % inédite. Et qui donne déjà très envie.
Au cœur de Disney Dreamlight Valley, une énigme se cache comme une ombre dans le jardin. Au milieu des murmures des fleurs et des quêtes, vous devez trouver un villageois dont le nom fleurit dans votre esprit comme le printemps lui-même. Mais soyez prudent : les questions les plus simples peuvent vous entraîner dans un […]
Samsung livre un Galaxy S25+ aux airs de déjà-vu, mais avec son lot d'améliorations. Outre un écran plus lumineux, le smartphone promet une autonomie accrue, bien aidée par un processeur Snapdragon 8 Elite peu gourmand, et de l'IA à tous les étages.Points fortsÉcran d'excellente facture.
Puissance du Snapdragon 8 Elite.
Excellente autonomie.
Exp...
Montre multisport par excellence chez Garmin, la Fenix monte encore un peu plus en gamme avec sa version 8. Elle intègre désormais un haut-parleur, un micro, un écran Amoled, un profondimètre et revoit son interface. De quoi ravir les sportifs de l'extrême et athlètes connectés.Points fortsDalle Amoled plus lumineuse et offrant plus d’informations qu...
Avec sa série de chargeurs et powerbanks Nexode, Ugreen vise la performance et la compacité. La batterie externe Nexode 25 000 mAh 145 W entend offrir le bon compromis entre haute capacité, rapidité et légèreté.Points fortsCharge rapide (entrée et sortie).
Écran de contrôle rapide.
Possibilité de charger trois appareils simultanément.
Points faiblesC...
Un tweet mystérieux clignote sur mon écran, laissant entrevoir un bouleversement majeur dans l’univers de Fortnite. Je peux presque entendre le souffle d’anticipation des gamers et des fans de la WWE alors que les murmures d’une collaboration avec Finn Balor résonnent sur les réseaux sociaux. À chaque impulsion, l’excitation grandit : pourrait-il s’agir de la […]
Apple synchronise les mises à jour de tous ses systèmes d'exploitation. iOS 26.3, macOS Tahoe 26.3, watchOS 26.3 et tvOS 26.3 sont sortis le même jour avec des nouveautés. Mais pour l’Apple Vision Pro, disette totale. Les notes de version pour les développeurs ne mentionnent qu'un seul correctif majeur : un bug de réactivité des boutons des manettes...
Imaginez le chaos alors que les vols d’évacuation médicale se précipitent pour être déroutés d’El Paso vers le Nouveau-Mexique, leurs missions perturbées par une fermeture inexpliquée de la FAA. Pendant dix jours tumultueux, le ciel au-dessus d’El Paso a été une zone d’exclusion aérienne, l’ordre initial étant enveloppé de confusion et de peur. Puis la […]
Dans l’immensité de l’espace, deux alliés improbables doivent trouver un terrain d’entente pour faire face à une menace existentielle imminente. Alors que Ryland Grace se réveille, désorienté et seul, il porte sur ses épaules le poids de la survie de l’humanité. Mais il n’est pas seul ; il est sur le point de forger un […]
C'est une mauvaise nouvelle pour les propriétaires de BMW. Le constructeur allemand vient d'annoncer un rappel massif touchant des centaines de milliers de véhicules dans le monde. En cause : un défaut du démarreur moteur susceptible de provoquer un incendie.
La dernière série télévisée de Marvel suscite un enthousiasme renouvelé autour de Spider-Man et ravive l’intérêt pour le prochain projet « Brand New Day », laissant entrevoir de nouvelles perspectives pour l’avenir du célèbre super-héros dans l’univers Marvel.
Une série emblématique de Cartoon Network s’apprête à faire son grand retour sur les écrans. Cette annonce suscite déjà l’enthousiasme des fans nostalgiques, impatients de retrouver l’univers animé qui a marqué leur enfance.
Notepad, c'est je crois LE truc le plus basique de Windows depuis 40 ans (avec winver.exe... lol). C'est un éditeur de texte tellement simple qu'il n'avait même pas de correcteur orthographique jusqu'en 2024. Sauf que Microsoft a décidé d'y coller de l'IA, et avec l'IA est arrivé le support du Markdown... et c'est ce parser Markdown tout neuf qui a ouvert une faille permettant d'exécuter du code à distance.
Mais lol.
Car oui mes amis, dans la foulée des fonctions IA (AI Rewrite, tout ça), le bloc-notes de Windows 11 sait maintenant interpréter le Markdown. Il gère désormais les fichiers .md, affiche les liens cliquables, le formatage...etc... et c'est là que ça coince !
En effet, la faille CVE-2026-20841 exploite une injection de commande via des liens malveillants dans un fichier Markdown. Vous ouvrez le fichier, vous cliquez sur le lien, et hop, exécution de code à distance sur votre bécane. Personne chez M$ n'avait pensé à filtrer les protocoles des URL. Résultat, un lien du type file:///C:/Windows/System32/cmd.exe ou ms-msdt:// s'exécute comme si de rien n'était.
C'est con, c'était si simple de limiter ça à http+s ... Bref, tout ça parce que maintenant ce machin a besoin d'aller sur Internet... Roooh
Cette faille fait partie du Patch Tuesday de février 2026, qui corrige au passage 58 vulnérabilités dont 6 zero-days déjà activement exploités. Microsoft classe celle de Notepad comme "Important" (pas "Critical"), parce qu'il faut quand même que vous cliquiez sur le lien piégé. Tu m'étonne John !
À noter que seul Windows 11 version 24H2 est concerné car sur Windows 10, le Notepad reste cette bonne vieille version offline qu'on connait sans Markdown ni IA... et du coup, pas de faille. Comme quoi, des fois être has been, ça a du bon ^^.
Rassurez-vous, ça n'empêchera pas Microsoft de continuer à injecter de l'IA dans TOUS ses outils Windows. Paint génère des images, Photos supprime les objets, l'Outil Capture retranscrit du texte... Bref, chaque app basique se transforme en usine à gaz connectée, avec la surface d'attaque qui va avec. (Je me demande quand la calculatrice aura besoin d'être connectée au net...)
Pour vous protéger, lancez donc Windows Update et installez le correctif de février. Si vous faites partie de ceux qui
bloquent les mises à jour
, c'est le moment de faire une exception et si vous êtes plutôt
team Notepad++
... bah désolé pour vous aussi ^^.
Vous connaissez tous
Kali Linux
,
Metasploit
et compagnie… Mais est-ce que vous avez déjà vu une IA faire un pentest toute seule ? Genre, VRAIMENT toute seule.
Shannon
, c'est un framework open source qui lâche un agent IA sur votre code, et qui enchaîne recon, analyse de vulns, et exploitation, tout ça sans intervention humaine.
En gros, vous lui filez une URL cible et l'accès à votre code source (faut que le repo soit accessible, c'est la base), et l'agent se débrouille. Il commence alors par analyser le code en statique… puis lance des attaques dynamiques sur l'app en live. Pour cela, il déploie plusieurs sous-agents spécialisés qui bossent en parallèle via Temporal, un moteur de workflow.
Un agent pour la reconnaissance, un pour chercher les injections SQL, un autre pour les XSS, un pour les SSRF, un pour les problèmes d'authentification… Bref, chacun fait son taf et tout remonte dans un rapport final au format JSON.
Le truc, c'est que Shannon ne se contente pas de scanner bêtement comme un Nessus ou un Burp. L'agent COMPREND votre code. Il lit les routes, les middlewares, les requêtes SQL, et il construit ses attaques en fonction. Du coup, il trouve des trucs que les scanners classiques loupent complètement, genre une injection NoSQL planquée dans un endpoint obscur ou un bypass d'auth via un cookie mal valide. Attention par contre, si votre app utilise un framework un peu exotique ou du code obfusqué, y'a des chances que l'agent passe à côté… comme tout scanner, hein.
Pour ceux qui se demandent combien coute un
test d'intrusion
classique, ça va de 3 000 € à plusieurs dizaines de milliers d'euros. Shannon, c'est open source et ça tourne sur Docker, par contre, faudra compter environ 50 dollars en tokens API Anthropic par run… c'est pas gratuit mais c'est quand même 60 fois moins cher qu'un audit humain.
Cote installation, c'est Docker + Docker Compose, un fichier .env avec votre cle API Anthropic (la variable ANTHROPIC_API_KEY, classique), et hop, un docker compose up pour lancer le tout. Le workflow complet prend entre 1 h et 1 h 30 selon la taille de votre base de code. Vous pouvez suivre la progression en temps réel via l'interface web Temporal sur localhost:8233. (perso, j'aime bien voir les agents bosser en parallèle, ça a un côté satisfaisant).
Et attention, Shannon exécute de VRAIES attaques. C'est mutatif. Ça veut dire que si l'agent trouve une injection SQL, il va l'exploiter pour de vrai pour prouver que ça marche. Du coup, on le lance sur du code à soi, en local ou sur un environnement de test. Mais jamais en prod. JAMAIS !!!
Bon, sauf si vous aimez vivre dangereusement et que votre boss est en vacances… ^^
Les agents d'exploitation (Auth, SSRF, XSS, AuthZ) en parallèle sur la timeline Temporal
Pour en avoir le cœur net, je l'ai lancé sur une app Node.js/Express maison avec 27 endpoints d'API. 2 heures de scan, 287 transitions d'état, 7 agents qui ont bossé en parallèle… et une facture Anthropic qui pique un peu. Parce que oui, chaque agent consomme des tokens Claude à chaque étape d'analyse et d'exploitation, et ça s'additionne vite. Comptez une cinquantaine de dollars pour un run complet. Bref, c'est pas gratuit de se faire hacker par une IA.
Cote résultats par contre, plutôt parlant. Zero injection SQL exploitable, les 23 paramètres utilisateur ont été tracés jusqu'aux requêtes et Shannon a confirmé que tout était paramétré correctement. Bien joué. Par contre, il a détecté 6 failles SSRF liées à des contournements IPv6, des XSS stockées via innerHTML sans aucun échappement dans le frontend, et surtout… ZERO authentification sur les 27 endpoints. Genre, n'importe qui peut purger ma base ou cramer vos crédits API Claude sans se connecter. Bon après, c'est un outil que je me suis dev, qui est un proto local, donc c'est pas exposé sur internet.
Le rapport final est plutôt bien foutu, je trouve. Pour chaque vuln trouvée, vous avez la sévérité CVSS (critique, haute, moyenne), le vecteur d'attaque utilisé, une preuve d'exploitation avec les payloads, et surtout des recommandations de correction. Shannon va jusqu'à vous montrer la ligne de code fautive, expliquer pourquoi le bypass fonctionne, et proposer le fix. Si vous utilisez déjà des outils comme
Sploitus
pour votre veille secu, Shannon c'est le complément parfait pour passer de la théorie à la pratique sur votre propre code.
Le projet est encore jeune, c'est vrai, mais l'approche est intéressante. Plutôt que d'automatiser bêtement des scans, on a donc un agent qui raisonne sur le code et adapte sa stratégie. Ça change des outils qui balancent des milliers de requêtes à l'aveugle et qui vous noient sous les faux positifs.
Alors après, je vous vois venir, vous allez me dire : est-ce que ça vaut un vrai pentester qui connait votre infra par cœur et qui sait où chercher les trucs tordus ?
Pas vraiment, mais pour un premier audit à moindre coût, ça fait le taf.
Connexion
Discord prépare la vérification d’âge avec scan facial ou pièce d’identité. L'annonce provoque un bond spectaculaire des recherches d’alternatives.
