Je crois que si j'ai UNE console de cœur, celle qui a bercé mon enfance et qui a aiguisé mon goût pour les jeux vidéo, c'est la Megadrive. Un des titres qui m'avait énormément marqué, qu'on avait eu en bundle avec la console, 2 manettes et Sonic, c'est Streets of Rage... Et bien sûr ces deux excellentes suites !

Le 4ème volet, sorti 26 ans après le 3ème, était incroyable lui aussi (je recommande chaudement), car il respectait à 100% la formule et le gameplay d'origine, tout en apportant plein de petits trucs et en modernisant l'aspect technique. Un pari un peu fou mais relevé avec brio.

En suivant un peu l'actualité des différents studios ayant travaillé sur ce Streets of Rage 4, je suis tombé sur le dernier petit bijou créé par Dotemu et Guard Crush, avec Supamonks aux graphismes : Absolum.

Google et une société de cybersécurité, iVerify, ont découvert un puissant outil de piratage d'iPhone baptisé Coruna. Visiblement développé par le gouvernement américain, il a fuité et se retrouve aujourd'hui entre les mains d'espions russes et de cybercriminels chinois. Plus de 42 000 iPhone ont été piratés à cause de lui.

Comment ça marche ?

Coruna est un programme capable d'exploiter 23 failles de sécurité différentes dans iOS, le système d'exploitation de l'iPhone. Il suffit qu'un utilisateur visite un site web piégé pour que l'outil analyse automatiquement son téléphone (modèle, version du système, réglages de sécurité) et choisisse la bonne méthode pour en prendre le contrôle. C'est Google qui l'a repéré en premier, en février 2025, quand un vendeur de logiciels espions a tenté de pirater un iPhone pour le compte d'un gouvernement. De son côté, iVerify a analysé le code source et estime qu'il a été développé aux États-Unis. Plusieurs indices pointent dans cette direction : Rocky Cole, le patron d'iVerify, décrit un code "superbe" et "élégamment écrit", truffé de blagues internes en anglais américain dans les commentaires. Et surtout, le kit partage des éléments communs avec l'Opération Triangulation, une campagne de piratage d'iPhone que le spécialiste en cybersécurité Kaspersky avait attribuée aux services de renseignement américains en 2023.

Des espions russes aux arnaqueurs chinois

Le vrai problème, c'est que Coruna a fuité bien au-delà de ses créateurs. Google a retracé la circulation de l'outil sur plus d'un an. Il a d'abord été récupéré par un groupe d'espions russes, qui l'a utilisé pour piéger des sites web fréquentés par des Ukrainiens : les visiteurs qui s'y connectaient avec un iPhone se faisaient pirater sans le savoir. L'étape suivante est encore plus préoccupante : un groupe de cybercriminels chinois a mis la main sur l'outil complet et l'a utilisé pour créer de faux sites d'échange de cryptomonnaies. Résultat : plus de 42 000 iPhone compromis, un chiffre qualifié de "massif" par les chercheurs. Google parle même d'un "marché de seconde main" pour ce type d'outils, ce qui rappelle d’ailleurs la fuite en 2017 d'un outil similaire de la NSA, qui avait permis des cyberattaques mondiales comme WannaCry.

Votre iPhone est-il concerné ?

Apple a travaillé avec Google pour corriger les failles et les mises à jour sont disponibles. Tous les iPhone sous iOS 18 ou plus récent ne sont plus vulnérables, et Apple indique que 74 % des iPhone compatibles sont déjà à jour. Le mode Isolement (Lockdown Mode) et la navigation privée dans Safari bloquent aussi l'attaque. En fait, Coruna cible les versions d'iOS sorties avant décembre 2023, ce qui veut dire que si vous n'avez pas mis à jour votre iPhone depuis un moment, il est potentiellement exposé.

C’est quand même assez pénible qu’un outil d'espionnage lié à un état se retrouve dans une arnaque aux cryptos, ça montre bien que personne ne contrôle la prolifération de ces trucs. Et Coruna n'est probablement pas le seul à circuler comme ça. Bref, si vous avez un vieil iPhone pas à jour, vous pouvez vous inquiéter (ou juste le mettre à jour).

Sources : Wired , Google

Vous aimez les batteries externes ? Eh bien moi aussi. Et Ugreen a un modèle franchement intéressant si vous cherchez une batterie avec une grosse capacité. C'est la Nexode 20 000 mAh 165W , une batterie externe avec un câble USB-C rétractable intégré dans le châssis. Elle propose 100W sur un seul câble, 165W au total sur trois ports, un écran TFT pour tout contrôler et une recharge complète en moins de deux heures. Je la teste depuis quelques jours, et elle est validée.

Un câble rétractable, et c'est tout de suite plus simple

On a tous le même problème quand on part en vadrouille : on part léger et on finit avec une besace qui ressemble à un nid de serpents parce qu'on trimballe trois câbles différents pour ne pas tomber en rade entre deux TGV. Cette batterie, en plus d'être franchement jolie, a ce petit truc en plus, un câble USB-C rétractable de 70 cm intégré dans le châssis. Il permet de charger un ordinateur en USB-C à pleine balle, et bien sûr n'importe quel téléphone ou tablette. On tire, on branche, et on profite de 100W sur ce seul câble. Voir son ordinateur portable regagner des couleurs à toute vitesse dans un café sans prise murale, c'est quand même bien pratique.

165W au total

Côté puissance, la bête en a sous le capot. Avec 20 000 mAh, on est sur le bon compromis de la portabilité : assez pour redonner vie à un MacBook Air plus d'une fois, ou pour tenir un long week-end avec un smartphone haut de gamme sans approcher une prise. La batterie peut cracher jusqu'à 165W au total en saturant les trois sorties en même temps. Vous pouvez alimenter votre laptop en 100W tout en chargeant une tablette et un téléphone sans que la Nexode ne montre de signe de faiblesse ni de surchauffe excessive, le système Thermal Guard surveille la température en permanence. L'écran est un vrai plus par rapport aux habituelles diodes imprécises : il affiche le pourcentage restant, mais aussi le voltage et l'ampérage en temps réel pour chaque port. Voir la courbe s'adapter à chaque charge pour chaque appareil, c'est vraiment un gros plus, et ça permet de constater que le Power Delivery fait bien le job, mais aussi de vous donner une vraie idée de ce que consomme chacun de vos appareils.

Notez que même la recharge de la batterie elle-même a été optimisée. Avec un chargeur mural de 100W, la Nexode repasse de 0 à 100 % en moins de deux heures, et le flux est bidirectionnel. Rien de plus agaçant qu'une batterie haute capacité qui met une nuit entière à se régénérer, et sur ce point, c'est réglé. Le format colonne, un peu plus épais qu'une batterie plate classique, se glisse finalement bien dans les poches latérales des sacs à dos.

Bref, pour moi c'est validé, Ugreen signe un produit bien pensé. Le câble rétractable, ça semble tout bête comme ça, mais c'est vraiment pratique. On aurait aimé un format un peu plus compact, mais à ce niveau de puissance, difficile de faire des miracles. Si vous en avez marre de trimballer trois câbles dans votre sac, celle-ci devrait vous réconcilier avec les batteries externes.

Elle est disponible sur Amazon , et d'ailleurs elle est en promo aujourd'hui à 70 euros , ce qui me semble franchement très correct comme prix !

Article invité publié par Vincent Lautier .

82 314 dollars, c'est l'incroyable facture que s'est mangé un dev mexicain après 48 heures d'utilisation frauduleuse de sa clé API Gemini. Sa dépense habituelle était de 180 dollars par mois environ, j'imagine que ça lui a fait un peu mal aux fesses. Et c'est une bonne raison pour moi de vous inciter une nouvelle fois à bien sécuriser vos clés API !

Le gars bosse dans une petite startup et de ce que j'ai compris, quelqu'un a chopé ses credentials et s'est lâché sur Gemini 3 Pro pendant deux jours. La réponse de Google ? "Responsabilité partagée". En gros, eux sécurisent l'infra, et vous sécurisez vos clés. Si vous vous faites plumer, c'est votre problème !

Et c'est pas un cas isolé car les chercheurs de Truffle Security ont scanné le web et trouvé 2 863 clés Google API exposées en clair sur des sites publics. Toutes identifiables par le préfixe AIza.

Sauf que comme je vous l'expliquais dans un article précédent, ces clés, à la base, étaient conçues comme de simples identifiants de projet pour Maps et Firebase et la doc Google disait carrément qu'elles n'étaient pas secrètes ! Et quand l'API Gemini a été activée sur ces projets, hé bien ces clés sont devenues des clés d'authentification, sans que personne ne réalise ce changement de paradigme.

Mais bon, plutôt que de chialer comme des fragiles, voyons comment éviter de se retrouver dans cette situation ^^.

Scanner vos secrets existants

Avant tout, faut savoir si vous avez déjà des fuites. Deux outils open source font ça très bien.

TruffleHog scanne vos dépôts Git, vos fichiers, et même vos buckets S3 pour trouver des secrets qui traînent. L'install est simple :

brew install trufflehog
trufflehog git https://github.com/user/project --only-verified

grep -r "AIza" . --include="*.js" --include="*.py" --include="*.env"

brew install git-secrets
cd mon-projet
git secrets --install
git secrets --register-aws

git secrets --add 'AIza[0-9A-Za-z_-]{35}'
git secrets --add 'sk-proj-[0-9a-zA-Z]{48}'

gcloud services api-keys list
gcloud services api-keys create --display-name="gemini-prod-$(date +%Y%m)"
gcloud services api-keys delete ANCIENNE_CLE_ID

Des chercheurs en sécurité ont découvert deux failles dans Comet, le navigateur IA de Perplexity. Une simple invitation de calendrier piégée suffisait pour accéder aux fichiers locaux de la machine et prendre le contrôle d'un coffre-fort 1Password, le tout sans aucun clic de l'utilisateur.

Une invitation de calendrier, et c'est tout

L'attaque est d'une simplicité qui fait froid dans le dos. Les chercheurs de Zenity Labs, qui ont baptisé la faille « PleaseFix », ont montré qu'il suffisait d'envoyer une invitation de calendrier contenant des instructions malveillantes cachées. Quand l'utilisateur interagit avec cette invitation dans Comet, l'IA du navigateur exécute en toute décontraction les instructions, sans broncher. Pas besoin de cliquer sur un lien, pas besoin de télécharger quoi que ce soit : le simple fait de consulter l'événement suffisait. Le problème vient de ce qu'on appelle l'injection de prompt indirecte : l'IA ne fait pas la différence entre les instructions légitimes et le contenu malveillant planqué dans un calendrier.

Séparer la voix, la batterie ou la basse d'un morceau, ça relevait du rêve d'audiophile il y a encore quelques années. Fallait installer Python, se taper Spleeter, galérer avec les dépendances CUDA... bref, un super truc de barbu. Mais ça, c'était avant, les amis !

Demucs-rs , une réécriture en Rust du modèle HTDemucs v4 de Meta, tourne maintenant directement dans votre navigateur grâce au WebGPU. Batterie, basse, voix, tout le reste..., chaque élément se retrouve ainsi isolé dans son propre fichier WAV. Et y'a rien à installer, puisque tout se passe côté client, sur votre machine.

Pour vous en servir, vous pouvez aller sur la web app , vous glissez-déposez votre fichier MP3 (ou WAV, FLAC, OGG, M4A... ça bouffe à peu près tout), et vous patientez... Le premier lancement télécharge le modèle (~84 Mo pour le standard), donc prévoyez une connexion correcte.

L'interface de la web app - vous glissez votre fichier et c'est parti

Comptez alors quelques minutes selon la durée du morceau. En sortie, vous aurez alors plusieurs fichiers WAV séparés que vous pourrez écouter, jouer en solo ou télécharger individuellement.

Les pistes séparées, prêtes à écouter ou télécharger

Trois modèles sont dispos. Le mode 4 pistes suffit dans 90% des cas. Il y a aussi le modèle 6 stems, ou plutôt htdemucs_6s, qui est pas mal pour du rock ou du jazz. Et pour les obsessionnels de la qualité, y'a le fine-tuned à 333 Mo... mais prévoyez une pause café, parce que ça va être long de fou !

Voilà, comme ça, si vous voulez faire un karaoké maison, vous virez la voix et vous gardez l'instrumental. Ou si votre truc c'est de sampler une ligne de basse d'un vieux morceau de funk ou encore pratiquer la guitare en jouant par-dessus le morceau original sans la partie guitare, c'est entièrement possible !

D'ailleurs, si vous aviez testé Spleeter avec Ableton à l'époque, c'est le même principe mais en BEAUCOUP plus simple !!

Perso, le fait que ça tourne dans le navigateur, c'est top, sans parler du fait que vos morceaux restent sur votre disque.

Maintenant, si la version navigateur vous semble un peu longue, y'a le CLI natif qui exploite Metal sur Mac et Vulkan sur Linux/Windows. Pour l'installer, clonez le repo et lancez make cli (Rust requis) :

git clone https://github.com/nikhilunni/demucs-rs
cd demucs-rs && make cli

demucs song.mp3 # 4 pistes dans ./stems/
demucs -s vocals chanson.mp3 # juste la voix
demucs -m htdemucs_6s -s guitar solo.flac # isoler la guitare
demucs -m htdemucs_ft morceau.mp3 # qualité max

C'est la grosse actu du jour ! YggTorrent, le plus gros tracker torrent francophone, a fermé DÉFINITIVEMENT ses portes après une cyberattaque survenue le 3 mars 2026. Un site de piratage qui se fait... pirater. Oups !

Un hacker du nom de Gr0lum a revendiqué l'opération baptisée YGGLeak. D'après lui, il aurait exfiltré la base de données complète du site, soit environ 6,6 MILLIONS de comptes utilisateurs. Il s'agit d'emails, de mots de passe hashés en bcrypt, d'adresses IP, d'historiques de navigation... genre, le package complet. Donc pas exactement le genre de truc que vous voulez voir traîner dans la nature.

De leur côté, l'équipe d'Ygg a publié un long communiqué où ils se posent en victimes. Selon eux, un ancien admin viré aurait gardé des accès et orchestré le sabotage de l'intérieur. Ils parlent de "trahison" et jurent que les mots de passe étaient "hashés et salés" (en gros, pas en clair... mais bon, ça rassure moyen quand toute votre base est dans la nature).

Sauf que la version de Gr0lum raconte une toute autre histoire. Le hacker accuse la plateforme d'avoir stocké pas moins de 54 776 numéros de cartes bancaires (sans qu'on sache si c'est des numéros complets ou tronqués), d'avoir mis en place du tracking comportemental poussé et même du fingerprinting de wallets crypto via un script (Sci.js) qui détectait Phantom, MetaMask ou Trust Wallet sur les machines des visiteurs. On est donc carrément loooooiiiiin du petit tracker communautaire sur lequel vous téléchargiez vos ISO Linux ^^.

Et le dossier complet publié par Gr0lum va encore plus loin. Un module baptisé Security.php aurait collecté les données de cartes bancaires COMPLÈTES... numéro, CVV, date d'expiration, nom du porteur, le tout relayé via un processeur de paiement tiers. Plusieurs utilisateurs sur Reddit ont d'ailleurs signalé des prélèvements frauduleux après avoir payé sur le site. En bonus, Ygg utilisait un service de DDoS (stresscat.ru) pour matraquer des trackers concurrents comme la-cale.space et sharewood.tv.

D'ailleurs, faut remettre un peu de contexte. Le 21 décembre 2025, Ygg avait lancé son fameux "Mode Turbo" qui limitait les utilisateurs gratuits à 5 téléchargements par jour... sauf si vous passiez à la caisse (86 euros). Résultat, d'après les données exfiltrées, le chiffre d'affaires a carrément TRIPLÉ en janvier 2026 pour atteindre ~490 000 euros sur le seul mois. Sur l'ensemble, on parle de 5 à 8,5 millions d'euros de revenus, avec près de 250 000 commandes traitées. Du coup, pour un site soi-disant "bénévole", ça fait beaucoup, j'avoue.

Côté technique, le hack est un cas d'école. Gr0lum a trouvé un port SphinxQL (9306) exposé sans authentification sur un serveur de pré-production. De là, lecture de fichiers arbitraires, récupération d'un mot de passe admin en clair dans un fichier sysprep, puis rebond de serveur en serveur via SMB et SSH. Trois jours seulement et 19 Go de données exfiltrées. Contrôle total. Le serveur de pré-prod tournait sous Windows Server 2019 avec le pare-feu désactivé et Defender coupé. Du grand art !

Pour le blanchiment des revenus crypto, ça passait par Tornado Cash avec conversion en Monero via ChangeNOW... le combo parfait pour disparaître de la blockchain. L'équipe avait même acheté le domaine warezfr.com fin décembre 2025 et bossait sur un nouveau tracker baptisé RageTorrent. Ils voyaient loin.

Si vous aviez un compte sur Ygg, surtout si vous utilisiez le même email et le même mot de passe sur d'autres services (oui, on sait que c'est votre cas ^^), changez le ailleurs, car même avec du hash salé, sur 6,6 millions de comptes y'a forcément des mots de passe type "123456" qui vont tomber en quelques secondes. Vérifiez aussi sur Have I Been Pwned si votre adresse a fuité.

Ah et bonne nouvelle, y'a déjà un successeur. Un collectif nommé Utopeer a récupéré le catalogue et lancé ygg.gratis. Attention, aucune garantie de fiabilité là non plus, hein.... Comme d'hab, méfiance.

C'est un peu comme Bato.to en janvier dernier... les géants du piratage tombent les uns après les autres... après T411 en 2017, après Zone-Téléchargement, après Bato.to, c'est donc au tour d'Ygg de tirer sa révérence, sauf que cette fois, c'est pas la police qui a frappé, mais visiblement un de leurs propres utilisateur avec quelques compétences...

MilimoVideo, c'est un studio de production vidéo boosté à l'IA qui tourne entièrement en local sur votre ordi... pas de cloud, juste votre GPU qui mouline quoi...

Et contrairement à ce que vous pensez (je suis dans vos têtes !! lol), ce n'est pas un énième générateur prompt-to-video à la Sora . Non, il s'agit d'un vrai NLE ... ou plutôt un éditeur non-linéaire pour ceux qui découvre, avec une timeline multi-pistes, du trim au frame près et tout le toutim, sauf que derrière, y'a 4 modèles d'IA qui bossent ensemble main dans la main.

Du côté moteur, on retrouve donc LTX-2, un transformer dual-stream de 19 milliards de paramètres pour la génération vidéo. Text-to-video, image-to-video, interpolation de keyframes... c'est le package complet. Ensuite, pour les images, c'est Flux 2 Klein avec l'IP-Adapter qui maintient la cohérence visuelle de vos personnages d'un plan à l'autre, comme ça, finis les visages de vos acteurs qui changent toutes les 3 secondes.

Et y'a aussi SAM 3 pour la segmentation. Vous cliquez sur un objet dans la vidéo, hop, il le détecte et le suit alors automatiquement d'un bout à l'autre du clip. Et pour finir, Gemma 3 se charge d'améliorer vos prompts pour que les résultats soient plus "cinématiques".

Le truc cool, c'est surtout le système de "Story Elements" je trouve car avec ça, vous pouvez créer des personnages, des lieux, des objets, et vous les invoquez ensuite dans vos prompts avec un @Personnage. Du coup, le studio injecte les bonnes références visuelles pour garder une cohérence sur tout votre projet. Faut voir ça un peu comme des variables de code, mais pour du cinéma.

Et si vos plans dépassent 121 frames, le "Quantum Alignment" découpe la génération en morceaux et raccorde ces segments sans couture visible. Voilà comment les transitions entre bouts générés sont gérées proprement sans que vous ayez à lever le petit doigt. Magique hein ?

Pour voir ce que ça donne en pratique, voilà une démo qui montre le workflow complet :

Vous avez peut-être vu ça passer y'a pas longtemps, les scientifiques ne savent plus démêler le vrai du faux dans leurs propres publications. À NeurIPS 2025 , 100 citations hallucinées ont été retrouvées dans 51 papiers acceptés et à l' ICLR 2026, sur plus de 75 000 reviews analysées, 21% étaient entièrement générées par IA.

Bienvenue dans le monde du doute permanent !

Maintenant, si vous pensez que ça ne concerne que les chercheurs, détrompez-vous car de mon côté, ce que j'observe, c'est que les faux repos GitHub, c'est le même fléau côté tech, et surtout un vrai problème pour tous ceux qui relayent des projets open source comme moi.

Vous avez peut-être vu passer mon article d'hier sur WiFi DensePose , un projet à 25 000 étoiles sur Github qui promettait de détecter les postures humaines via le signal WiFi. Le code Python est détaillé, crédible en surface, il y a des tas d'issues ouvertes avec de vraies questions d'utilisateurs différents, des tas de pull requests parfaitement crédibles, une documentation hyper léchée... et le tout est adossé à un vrai papier de recherche de Carnegie Mellon .

Pour moi, ça avait l'air carrément sérieux ! Donc j'en ai fait un article.

Sauf qu'après coup, différentes personnes ont creusé plus profondément le code (Merci Nicolas), et ont trouvé des choses assez étranges partout dans le code. En fait, le truc générait des données aléatoires en se faisant passer pour du traitement de signal WiFi. C'est du vibe coding à l'état pur et quand des gens ont posé des questions dans les issues... ces dernières ont été vite supprimées. Faut dire que le piège était quasi parfait.

Et c'est tout le problème ! Car pour évaluer si un projet GitHub est légitime, je me base sur plusieurs signaux. Le code, les issues et les PRs, le nombre de stars, la reprise sur Reddit ou Hacker News, les commentaires, les articles dans la presse et quand je peux (et là c'était pas le cas car ça demande pas mal de matos que j'avais pas), je teste évidemment... Mais du coup, quand TOUS ces signaux sont fabriqués de toutes pièces, y'a plus aucun repère !

Parce que figurez-vous que les étoiles Github, ça s'achète (y'a des services entiers dédiés à ça), les issues se génèrent par IA, le code compile, les tests passent, le README est nickel, et le développeur a d'autres projets crédibles sur son profil. Vraiment tout est conçu pour que ça fasse parfaitement illusion.

Et comme ce sont souvent des projets émergents sur des technos de pointe, y'a pas grand monde qui a le matos ni le temps de vérifier par soi-même. Du coup, voilà comment moi et d'autres, on se retrouve à relayer des projets bidon sans le savoir. Et dire que j'étais à 2 doigts d'acheter le matos pour tenter l'aventure...

Les chercheurs se fient au peer review, aux citations, à la réputation du journal et moi c'est pareil avec les stars, les contributions, et le relai médiatique. Sauf que dans les deux cas, l'IA a rendu ces marqueurs de confiance complètement bidons. C'est pour ça que je fais ce parallèle car de mon point de vue, c'est le même combat.

Et le pire, c'est que c'est même pas du code malveillant. Y'a pas de backdoor, pas de malware planqué, pas de minage crypto en douce. C'est juste du code qui donne l'ILLUSION de fonctionner, ou plutôt, qui PRÉTEND fonctionner. Tout ça apparemment pour faire ce qu'on appelle du "portfolio padding"... c'est-à-dire gonfler son CV de développeur avec des faux projets open source à des milliers de stars pour impressionner les recruteurs.

Perso, j'avoue ça me dépasse.

Maintenant, comme c'est nouveau pour tout le monde, il va falloir apprendre à éviter de tomber dans le panneau. J'y ai réfléchi un peu et finalement, ça passe par une analyse plus approfondie du code et de l'historique du projet... On peut par exemple vérifier le git log parce qu'un projet à 25 000 étoiles et 3 commits en 2 semaines, c'est louche, donc méfiance. Et surtout, faut chercher des retours d'utilisation concrets et des issues techniques pointues. Après encore faut-il avoir des compétences techniques assez poussées (par exemple en traitement du signal) pour capter ce qui y est raconté... Pas simple hein ?

Faudrait peut-être que je me fasse un skill un peu poussé pour qu'une IA soit capable de faire ce taf chiant à ma place. Je vais y réfléchir.

Bref, on est tous dans la même galère, à devoir douter de tout ce qui brille sur GitHub et ailleurs et ça c'est bien emmerdant.

Savez-vous que Meta a vendu 7 millions de paires de Ray-Ban Meta l'an dernier ? Le succès commercial est dingue, mais une enquête du quotidien suédois SVD montre que des sous-traitants basés au Kenya visionnent certaines vidéos privées, enregistrées par les lunettes pour entraîner l'IA de Meta. La CNIL a ouvert une enquête.

7 millions de paires en un an

EssilorLuxottica a confirmé le chiffre : plus de 7 millions de lunettes connectées vendues en 2025. C'est trois fois plus que les 2 millions écoulés entre le lancement fin 2023 et début 2025. La gamme s'est élargie avec les Oakley Meta et un modèle haut de gamme à 800 dollars, le Ray-Ban Meta Display, qui ajoute un affichage tête haute. Le marché des lunettes connectées n'est clairement plus un sujet de niche, et Meta domine le segment.

Des sous-traitants qui voient tout ?

Selon l'enquête du quotidien suédois SVD, des milliers d'annotateurs de données basés au Kenya, employés par le sous-traitant Sama pour le compte de Meta, visionnent les vidéos captées par les Ray-Ban Meta pour entraîner ses modèles d'IA. Et ce qu'ils voient n'est pas toujours anodin. Les travailleurs rapportent être tombés sur des scènes de salle de bain, des moments intimes et des cartes bancaires filmées par les utilisateurs. Un employé raconte qu'un utilisateur portait ses lunettes pendant que son partenaire se trouvait dans la salle de bain. Les conditions d'utilisation de Meta précisent que les interactions avec l'IA peuvent être "examinées de façon automatique ou manuelle", mais on doute que les utilisateurs aient bien compris ce que "manuelle" veut dire dans ce contexte.

La CNIL et la LED qui ne sert à rien

Côté protection des personnes filmées, la situation n'est pas mieux. Les Ray-Ban Meta ont une petite LED blanche qui s'allume pendant l'enregistrement, censée prévenir les gens autour. Sauf que certaines bidouilles permettent de la masquer, et la CNIL l'a bien noté. L'autorité française a ouvert une enquête après une plainte et considère que l'intrusion dans la vie privée est "possiblement énorme". Des créateurs de contenu ont d'ailleurs utilisé ces lunettes pour filmer des passants à leur insu, la BBC ayant documenté le cas de pick-up artists filmant des femmes dans des lieux publics. Et puisque filmer dans un espace public reste légal en France, les victimes n'ont quasiment aucun recours. Des étudiants de Harvard ont aussi démontré qu'on pouvait coupler les lunettes à un système de reconnaissance faciale pour identifier des inconnus dans la rue et accéder à leurs données personnelles.

On ne va pas se mentir, j'adore mes Ray-Ban Meta que j'utilise quotidiennement, mais 7 millions de caméras portées sur le nez de gens qui se baladent partout, avec des vidéos qui finissent chez des sous-traitants au Kenya, c'est quand même un problème. La politique de confidentialité de Meta reste volontairement floue sur ce qui est collecté et sur qui regarde ces images. La petite LED de sécurité qui se neutralise facilement n'aide en rien.

Sources : Clubic , UCStrategies

Le Service national des impôts sud-coréen a publié par erreur les phrases de récupération de portefeuilles crypto saisis lors d'une opération contre la fraude fiscale. Résultat, un inconnu a siphonné l'équivalent de 4,8 millions de dollars en quelques heures. Les fonds ont finalement été restitués, mais l'affaire fait quand même pas mal jaser.

La photo de trop

Il y a quelques jours, le fisc sud-coréen annonçait avoir mené des perquisitions chez 124 contribuables soupçonnés de fraude fiscale, pour un butin total de 8,1 milliards de wons, soit environ 5,6 millions de dollars en espèces, montres et biens de luxe. Pour communiquer sur l'opération, l'agence a partagé des photos des saisies avec la presse. On y voyait des liasses de billets, des objets de valeur, et plusieurs portefeuilles Ledger posés bien en évidence sur une table.

Sauf que sur au moins deux d'entre eux, la seed phrase, cette suite de mots qui donne le contrôle total d'un portefeuille crypto, était parfaitement lisible. Un inconnu a repéré l'aubaine, déposé un peu d'Ethereum sur le wallet pour couvrir les frais de transaction, puis exécuté trois transferts pour vider les 4 millions de tokens Pre-Retogeum qui s'y trouvaient. Valeur estimée : 4,8 millions de dollars quand même.

Un vol pour rien

Une vingtaine d’heures plus tard, les tokens ont été renvoyés à leur portefeuille d'origine. Pourquoi ? Parce que le Pre-Retogeum est un token quasiment invendable. Le volume de transactions quotidien sur les plateformes décentralisées ne dépassait pas 332 dollars au moment des faits. Concrètement, le voleur s'est retrouvé avec des millions en poche, mais sans aucun acheteur potentiel en face. Et comme toutes les transactions sont enregistrées sur la blockchain, toute tentative de revente aurait été immédiatement grillée.

Pas une première

C'est le deuxième incident du genre en Corée du Sud. En 2021, la police de Séoul avait perdu 22 bitcoins, soit environ 1,5 million de dollars, après les avoir confiés à un prestataire externe. Le vice-Premier ministre a donc ordonné un examen en urgence de la façon dont les administrations gèrent les actifs numériques saisis. Le fisc a présenté ses excuses, expliquant avoir voulu "fournir une information plus vivante au public", et a promis de revoir ses procédures de A à Z. La police a quand même été chargée de retrouver l'auteur du vol.

Franchement, publier la seed phrase d'un portefeuille crypto dans un communiqué de presse, il fallait quand même oser. C'est la deuxième boulette crypto du gouvernement sud-coréen, et visiblement, la gestion des actifs numériques par les administrations publiques est un sujet complexe pour les autorités.

Sources : the register , coindesk

Si vous utilisez ExifTool sur macOS, j'ai une mauvaise nouvelle pour vous ! Une faille critique vient d'être découverte dans cet outil que tout le monde (moi y compris) utilise pour lire et modifier les métadonnées des fichiers et c'est pas joli joli.

Cette vulnérabilité, référencée en tant que CVE-2026-3102 , touche toutes les versions jusqu'à la 13.49 et c'est spécifique à macOS. Cela permet à un attaquant de planquer des commandes système dans les tags de métadonnées d'un fichier image et quand ExifTool traite le fichier avec le flag -n... les commandes s'exécutent directement sur votre machine.

L'exploitation est ridiculement simple et 2 étapes suffisent. On vous envoie une image qui a l'air parfaitement normale, vous la passez dans l'outil pour lire ses métadonnées, et l'injection de commande se déclenche. L'attaquant peut alors ensuite télécharger des payloads malveillants ou carrément se servir dans vos fichiers sensibles.

C'est l'équipe GReAT de Kaspersky qui a trouvé le problème. Bon après, la bonne nouvelle c'est que Phil Harvey, l'auteur du soft, a déjà sorti le correctif dans la version 13.50, et ça depuis le 7 février dernier... donc ça fait presque un mois que le patch est dispo.

Du coup, si vous avez des scripts qui traitent automatiquement des images avec ExifTool sur votre Mac, par exemple dans un pipeline de forensique ou d' analyse EXIF , vérifiez ILLICO la version installée (exiftool -ver pour checker). Comme la complexité d'exploitation est faible, n'importe quel script kiddie pourrait s'en servir, donc autant agir vite.

Pour mettre à jour, un petit brew upgrade exiftool et c'est réglé (sinon, le .pkg est dispo sur le site officiel ). Attention, pensez aussi à vos scripts automatisés qui lancent ExifTool en arrière-plan, car c'est souvent là que les vieilles versions trainent...

Allez, bonne soirée les amis !

Source

Je connaissais pas la chaine YouTube Branch Education, et je suis content d'être tombé là dessus parce qu'il ont eu une idée un peu dingue qui devrait vous plaire. En fait, ils ont démonté physiquement plus de 60 ordinateurs, consoles et smartphones, dessoudé les puces des cartes mères, pris des centaines de photos, et tout reconstruit en modèles 3D... ou plutôt, en reproductions ultra-détaillées. Et comme résultat, ils ont sorti une vidéo de 33 minutes qui retrace 80 ans d'évolution informatique... et vous allez voir, c'est plutôt classe.

En fait, quand je dis "modèles 3D", je vous parle pas de schémas vaguement animés... Non, chaque machine a été modélisée, de l'ENIAC de 1945 jusqu'à la Nintendo Switch et pour les plus récentes, comme je vous le disais, l'équipe a carrément dessoudé les composants pour voir l'intérieur des puces.

La vidéo utilise d'ailleurs une analogie bien trouvée pour visualiser la puissance de calcul : les briques LEGO. En fait, c'est tout bête... un calcul par seconde c'est une brique 2×4.

Du coup l'ENIAC et ses 5 000 opérations par seconde, ça donne un petit cube de rien du tout, la Super Nintendo et ses 1,8 million d'instructions c'est un cube qui remplit une pièce entière et le premier iPhone c'est un cube de la taille d'un immeuble de 2 étages. Quand aux cartes graphiques actuelles avec leurs téraflops... on sort carrément du cadre !

L'ENIAC

Si vous aimez les briques LEGO et l'informatique , vous allez être servis.

Le truc génial, c'est que la vidéo ne se contente pas de lister des ordis avec leurs specs. En fait, elle découpe l'Histoire de l'informatique en 8 "âges" distincts, chacun avec ses propres avancées. Et ce que vous voyez ici, c'est la première partie qui couvre les trois premiers : la "transistorisation" (adieu les 17 000 tubes à vide de l'ENIAC), le packaging des transistors avec IBM et les circuits intégrés, et l'arrivée des premiers processeurs.

Parce que l'évolution des ordinateurs, c'est PAS juste la loi de Moore. Entre la Super Nintendo et la Switch, y'a 26 ans d'écart et les transistors ont été multipliés par 80 000... Mais la puissance de calcul c'est par 1,4 MILLION qu'elle a été multipliée !!

La vidéo explique aussi comment les géants de chaque époque finissent par se faire dépasser... IBM contrôlait 70% du marché dans les années 60-70... Intel qui a raté le virage du mobile dans les années 2010...etc. Le piège, c'est qu'à chaque nouvel "âge", les règles changent et ceux qui ne s'adaptent pas se font bouffer.

Perso, je trouve le passage sur l'ENIAC assez ouf. 30 tonnes de machine, 17 000 tubes à vide, et quand l'un d'eux claquait (et ça arrivait souvent), fallait retrouver lequel dans une salle entière de racks. Les transistors étaient finalement plus fiables... sauf que quand y en avait un de mort, bonne chance aussi pour le trouver.

La vidéo est en anglais, mais les sous-titres traduits automatiquement en français sont dispo. D'autres épisodes couvriront les 5 âges suivants, jusqu'aux processeurs IA donc abonnez vous à leur chaine (j'ai pas d'actions en bourse chez eux...). Si vous êtes du genre nostalgique de la tech d'antan , vous allez adorer !

Clickout Media, une société de marketing, a racheté plusieurs sites de presse gaming (The Escapist, Videogamer, GamesHub) pour y virer les journalistes, les remplacer par des auteurs fictifs générés par IA et inonder les pages de contenus sur les casinos en ligne. Metacritic a dû retirer un test écrit par une IA.

Le rachat, puis le saccage

Clickout Media est une société assez discrète qui se présente comme une classique agence marketing. Depuis 2025, elle a racheté une série de sites spécialisés dans le jeu vidéo : GamesHub en Australie, Videogamer au Royaume-Uni, The Escapist, Esports Insider, et d'autres. À chaque fois, le schéma est identique. Les rédactions sont réduites, les budgets gelés, et les sites se retrouvent inondés de contenus sur les casinos, les paris sportifs et les cryptomonnaies. Pas génial donc.

La technique a un nom : le "parasitage SEO". On rachète un site avec une bonne réputation auprès de Google, et on exploite cette autorité pour faire remonter des pages de paris dans les résultats de recherche.

Des faux auteurs avec des fausses têtes

Le plus glauque dans l'histoire, c'est la création de faux journalistes. Videogamer publie des articles signés par "Brian Merrygold", présenté comme "analyste iGaming et paris sportifs", avec une photo de profil générée par IA. Le nom du fichier image d'un autre auteur, "Tanaka Haruto" sur GamesHub, contient littéralement "Gemini_Generated_Image". Un certain "Benny Carter" affiche un master de l'université d'Oxford dans un programme qui n'existe pas, ce que l'université a confirmé. Depuis février 2026, GamesHub ne publie plus que des articles écrits par ces profils fictifs. Pas très discret donc.

Un test IA sur Metacritic, et ça a pété

Le problème a été mis en avant massivement quand le test de Resident Evil Requiem signé "Brian Merrygold" est apparu sur Metacritic avec un 9/10. Les lecteurs ont vite repéré le style artificiel et le profil complètement bidon. Metacritic a d'ailleurs retiré la review et coupé les ponts avec Videogamer. Marc Doyle, cofondateur de Metacritic, a précisé de son côté que "plusieurs autres tests de Videogamer datant de 2026" avaient aussi été retirés du site.

Si on regarde du côté des journalistes, Cat Bussell, ex-rédactrice gaming de Videogamer, s'est vue proposer un poste d'"éditrice IA" sans aucun détail. Elle a refusé, qualifiant la démarche de "contraire à l'éthique". Lloyd Coombes, contributeur de The Escapist, a lui aussi confirmé son licenciement. Au total, une vingtaine de personnes ont perdu leur poste.

S'aider de l'IA pour rédiger des articles, pourquoi pas, nous sommes nombreux à utiliser l'IA comme un outil pour améliorer ou simplifier la rédaction de nos contenus, comme un graphiste qui utiliserait Photoshop. Mais éliminer l'humain dans le processus de rédaction, et remplacer leurs têtes par des photos générées par IA, c'est un peu spécial. A minima, autant assumer le truc à fond, et mettre des photos d'avatars de petits robots !

Sources : Aftermath , PressGazette

Envoyer un mot de passe par email en clair, on l'a tous fait au moins une fois dans notre vie (oui, oui vous aussi !!). C'est pourquoi ITYLOS propose une alternative radicale où vos messages s'autodétruisent après lecture afin que personne, pas même le serveur, ne puisse les lire.

Vous écrivez votre message sur itylos.com, vous choisissez une durée de vie (1h, 24h ou 7 jours), et youpla, vous récupérez un lien unique à envoyer. Et ensuite, une fois lu, le message est détruit ! Tout ça, sans compte à créer, sans app à installer... Vous ouvrez juste le site, vous collez votre texte et c'est parti.

Côté technique, c'est du lourd puisque le chiffrement se fait ENTIÈREMENT dans votre navigateur avec de l'AES-256-GCM, et la dérivation de clé passe par Argon2ID. Du coup, le serveur ne voit jamais votre message en clair... il ne fait que stocker un blob chiffré qu'il est incapable de déchiffrer. C'est du vrai zero-knowledge, mais ça reste bien sûr une webapp, donc si votre navigateur ne supporte pas la Web Crypto API (genre un vieux Firefox ESR), ça ne marchera pas.

Et le truc qui va plaire aux plus paranos d'entre vous, c'est le traffic padding où chaque requête est gonflée à 15 Ko de bruit aléatoire pour rendre l'analyse de taille de vos messages bien plus compliquée côté réseau. Oui, c'est un vrai vecteur d'attaque et oui, ils y ont pensé. D'ailleurs, les données ne touchent pas le disque selon eux puisque tout transite en RAM, ne laissant ainsi aucune trace. Bon, sauf si vous faites un copier-coller du message dans un fichier texte, là c'est de votre faute.

Le service tourne sur une infrastructure souveraine à Genève, en Suisse. Pas sur un VPS chez AWS ou Google Cloud, hein... et y'a aussi un warrant canary PGP, signé et mis à jour chaque mois. Comme ça, si le canari disparaît, vous saurez que quelqu'un est venu taper à la porte.

Et côté conformité, ITYLOS délivre même des certificats de destruction au format JSON (oui oui, un vrai fichier .json), dans l'esprit de l'article 17 du RGPD . Perso, c'est la première fois que je vois une messagerie éphémère aller aussi loin dans la traçabilité de l'effacement, donc chapeau !

L'histoire derrière Itylos est cool aussi d'ailleurs. Tout est parti quand le créateur a récupéré un disque dur d'occasion et s'est retrouvé avec la vie entière de l'ancien proprio dessus... photos, documents, tout le bazar. Ça l'a décidé à créer un outil où les données n'existent tout simplement pas assez longtemps pour fuiter.

Et en plus c'est gratuit, open source (le code est sur GitHub sous licence MIT), et si vous êtes du genre à chiffrer vos échanges (un peu comme les utilisateurs de Kloak ), ça vaut le coup d’œil !

Merci à Mehdi pour la découverte !

Vous avez des photos en résolution pourrie qui traînent sur votre Mac ?

Du genre, des souvenirs de 2003 de vous et votre ex, en 640x480 que vous n'osez même plus ouvrir tellement c'est pixelisé de fou ? Hé bien HiPixel va vous aider car c'est une app macOS gratuite qui les upscale grâce à l'IA... et comme vous allez le voir, le résultat est plutôt cool.

C'est donc une app native SwiftUI qui utilise les modèles d' Upscayl pour faire de l'upscaling x2, x4 ou carrément x8 sur vos images, sauf que contrairement à Upscayl qui tourne sous Electron (et qui bouffe de la RAM parce que c'est du Chrome déguisé), c'est du 100% natif macOS. Le GPU est exploité directement via Metal, que vous soyez sur Apple Silicon ou sur un bon vieil Intel et moi c'est ça que j'aime !

L'interface de HiPixel, sobre et efficace

Côté formats, ça gère le PNG, le JPG et le WEBP. Vous pouvez aussi choisir de garder le format d'origine et pour ceux qui veulent pousser le truc encore plus loin, y'a une option de double upscaling... ou plutôt deux passes successives pour un résultat encore plus détaillé. Après faut pas s'attendre à des miracles non plus sur une photo de 3 pixels non plus... On n'est pas dans la série Les Experts à zoomer à l'infini sur des détails compressés de caméra de surveillance ^^.

Le truc super sympa aussi je trouve, c'est son option de "folder monitoring". Vous sélectionnez un dossier et hop, dès qu'une image atterrit dedans, elle est traitée automatiquement. Idéal si vous avez un workflow de traitement d'images à automatiser. D'ailleurs, y'a aussi un URL Scheme (hipixel://?path=/chemin/vers/image) pour l'intégrer dans vos raccourcis Shortcuts ou vos scripts Automator. Vous vous en doutez je pense, mais ça ne marche pas pour la vidéo par contre, c'est images only.

Et pour les bidouilleurs fous, l'app propose le TTA (Test Time Augmentation) qui améliore la qualité en faisant tourner le modèle sous plusieurs angles avant de combiner les résultats, et la possibilité de choisir quel GPU utiliser. Perso, sur un MacBook Air c'est chiant, mais sur un Mac Pro, ça peut faire la diff !!

Et si vous connaissiez déjà Final2x qui fait à peu près le même taf en cross-platform, HiPixel se distingue par son intégration macOS native et son batch processing en drag-and-drop. Vous balancez vos fichiers dessus, ça mouline, et c'est plié !

L'app est open source (AGPL-3.0), GRATUITE, et tourne sous macOS 13 Ventura minimum.

Voilà, si vous cherchez à redonner un coup de neuf à vos vieilles photos sur Mac, c'est le genre de petit outil qui fera le job sans prise de chou.

Un grand merci à Lorenper pour la découverte !

La vie privée sur smartphone, on en parle beaucoup mais concrètement, on fait pas grand-chose. Trop galère de tout changer, trop de trucs liés à Google... Et puis un jour, y'a un mec, Gaël Duval (oui le papa de Mandrake Linux), qui a créé /e/OS en 2018 via la e Foundation . Un Android sans Google. Pour de vrai.

Concrètement e/OS, c'est un fork d'Android, open source et gratuit, qui vire TOUS les services Google. Pas de Play Services, pas de synchro avec Mountain View, rien. À la place, le système utilise microG, une réimplémentation libre des API Google. Du coup vos apps tournent normalement, mais sans que la moindre donnée parte chez Google. Attention quand même, certaines apps bancaires ou de streaming peuvent râler un peu sans les vrais Play Services... mais dans 95% des cas, ça passe à l'aise !

Côté apps, y'a l'App Lounge. C'est un store unifié qui mélange le catalogue F-Droid (100% open source) et les apps Android classiques. Le truc malin, c'est qu'il affiche un score de confidentialité pour chaque app... histoire de voir en un coup d'oeil lesquelles sont des mouchards. Comme ça, plus besoin de chercher pendant 3h.

Le score de confidentialité dans App Lounge... les mouchards sont grillés direct

Pour le tracking, Advanced Privacy bloque les trackers en arrière-plan, masque votre IP et peut même falsifier votre géolocalisation. Ajoutez à ça un bloqueur de pubs intégré au navigateur et le moteur de recherche Murena Find... bref, c'est une sacrée couche de protection par défaut.

Et là vous allez me dire "ouais mais ça marche sur 3 téléphones". Eh ben non bande de rageux ^^, car plus de 250 appareils sont compatibles. Des Pixel, des Samsung, des Xiaomi, des OnePlus, des Fairphone... La liste est looooongue. Et pour l'installation, y'a même un web installer qui fait tout depuis votre navigateur. Comme ça, pas besoin de bidouilles en ligne de commande pour les allergiques.

Par contre, attention ! Vérifiez bien que votre modèle est dans la liste avant de vous lancer, sauf si vous aimez les mauvaises surprises.

Et si vous voulez un smartphone déjà prêt, la boutique Murena en vend plusieurs. Le Fairphone 5 à 449€ pour ceux qui veulent du durable, le Fairphone 6 à 599€, et bientôt le HIROH à 999€ avec son kill switch matériel pour couper micro et caméra. Vous sortez le téléphone de sa boîte et vous êtes dégooglisés direct.

Les smartphones Murena, prêts à l'emploi sans Google

Côté cloud, Murena fournit 1 Go gratuit avec une adresse @murena.io, un service de mail et un coffre-fort chiffré (le Vault, basé sur CryptPad) tout ça hébergé en Europe. C'est pas des masses en stockage, mais pour du mail et des contacts c'est suffisant. D'ailleurs si vous cherchez des alternatives à Google Photos , y'a de quoi faire ici aussi.

Et pour ceux qui veulent aller encore plus loin sur la protection des données Android, le clavier Urik est un bon complément... parce que oui, votre clavier aussi peut balancer tout ce que vous tapez !

Si vous hésitez, sachez qu'une étude de 2021 des universités d'Édimbourg et de Trinity College Dublin a même confirmé que c'est l'une des ROM Android qui envoie le moins de données en arrière-plan. Pas "zéro" hein, faut pas rêver mais comparé à un Android stock... c'est le jour et la nuit.

Donc c'est pas parfait hein mais entre un Android qui balance tout à Google et un /e/OS qui fait le job sans moucharder... la question elle est vite répondue !

Obsidian vient de sortir son CLI officiel qui propose des dizaines de commandes, un mode interactif avec autocomplétion, et la possibilité de tout piloter depuis votre terminal. Grâce à ça, vous allez pouvoir créer des notes .md, chercher, gérer vos tâches... le tout sans quitter votre shell !

Disponible depuis la version 1.12, le CLI d'Obsidian transforme donc votre terminal en poste de pilotage pour vos coffres de notes. Concrètement, vous tapez obsidian suivi d'une commande, et ça interagit direct avec l'app qui tourne en arrière-plan via un socket local. Du coup, plus besoin de jongler entre les fenêtres... un petit obsidian create mon-fichier.md et c'est plié.

En fait, quand je dis que c'est complet, c'est pas pour faire joli. On peut créer des notes en .md, en ouvrir avec obsidian open, les déplacer, les supprimer. Vous pouvez aussi chercher avec obsidian search "mon texte", gérer les tâches, interagir avec les plugins... y'a même une commande obsidian daily pour ouvrir votre note du jour en une seconde. Si vous tenez un journal au quotidien, c'est royal !

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/obsidian-cli-piloter-notes-terminal/obsidian-cli-piloter-notes-terminal-1.mp4">lien vers la vidéo</a>.

Un développeur chinois a mis en ligne CyberStrikeAI, une plateforme open source qui combine IA générative et plus de 100 outils offensifs pour automatiser les cyberattaques. En parallèle, un pirate amateur russophone a compromis plus de 600 pare-feu FortiGate dans 55 pays avec l'aide de DeepSeek et Claude, le tout en à peine cinq semaines. Les hackers aussi ont visiblement droit à leur copilote.

Un arsenal offensif piloté par l'IA

CyberStrikeAI est l'œuvre d'un développeur chinois qui se fait appeler Ed1s0nZ. L'outil, écrit en Go et publié sur GitHub, intègre plus de 100 outils offensifs : nmap, Metasploit, hashcat, mimikatz et bien d'autres. Le tout est piloté par des modèles de langage comme GPT ou Claude, qui se chargent de planifier les attaques, analyser les résultats et adapter la stratégie au fil de l'attaque. Le développeur a des liens avec Knownsec 404, une équipe de recherche en sécurité rattachée au ministère de la Sécurité d'État chinois via la CNNVD.

600 pare-feu tombés en cinq semaines

L'autre affaire est tout aussi parlante. Entre le 11 janvier et le 18 février 2026, un pirate russophone a compromis plus de 600 pare-feu Fortinet FortiGate dans 55 pays. Amazon Threat Intelligence a repéré la campagne et découvert un serveur mal sécurisé contenant plus de 1 400 fichiers : identifiants volés, scripts d'exploitation, logs d'attaque. Le pirate utilisait un serveur MCP baptisé ARXON et un orchestrateur en Go appelé CHECKER2, les deux s'appuyant sur DeepSeek et Claude pour automatiser le travail. Le pirate n'a même pas eu besoin d'exploiter de faille logicielle : des mots de passe faibles et des ports de gestion ouverts sur Internet ont suffi.

L'IA compense le manque d'expérience

Le pirate derrière les FortiGate n'est pas un vétéran : ses erreurs de sécurité opérationnelle, comme un serveur ouvert à tous les vents, trahissent un manque d'expérience flagrant. Sauf que l'IA a compensé. Là où il aurait fallu des années de pratique pour mener une campagne de cette envergure, les modèles de langage ont comblé les lacunes. CrowdStrike a d'ailleurs noté une hausse de 89 % des attaques assistées par IA en 2025. Et avec des outils comme CyberStrikeAI qui mettent l'arsenal offensif à portée de n'importe qui, ça ne va pas s'arranger.

Franchement, on n'est plus dans la théorie. L'IA offensive est devenue accessible, et les dégâts sont bien réels. Le problème, c'est que les garde-fous des modèles de langage sont toujours une passoire, et que tout le monde fait semblant de ne pas le voir.

Sources : cyberinsider , thehackernews

Article édité le 4 mars. Merci à Nicolas.

π RuView: WiFi DensePose , c'est un projet GitHub qui affiche fièrement ses 25 800 stars et qui promet de transformer les ondes WiFi de votre box en détecteur de corps humains... à travers les murs. Rythme cardiaque, respiration, posture, tout y passe. Sur le papier, c'est dingue. Sauf que voilà, après vérification (merci Nicolas)... c'est du vent.

Le concept de base est pourtant bien réel. Votre routeur WiFi émet des ondes radio en permanence et quand ces ondes traversent ou rebondissent sur un corps humain, elles sont perturbées d'une façon mesurable. En analysant le CSI (Channel State Information, c'est-à-dire les données de chaque sous-porteuse du signal), on peut en déduire la position de 17 points du corps. C'est prouvé par les chercheurs de Carnegie Mellon et ça marche vraiment. Un peu comme la vision WiFi dont je vous parlais déjà ici .

Sauf que CE repo n'implémente rien de tout ça. Le parseur CSI génère des données aléatoires (np.random.rand() partout dans le code), les modèles de deep learning n'ont aucun poids entraîné, et le dashboard Docker sert des données simulées par défaut. Le seul utilisateur qui a branché du vrai matériel (un ESP32) a constaté que la démo affichait une figure immobile avec des mesures bidons . Pas exactement le "54 000 frames par seconde" annoncé...

Et les 25 800 stars ? Probablement gonflées artificiellement. Une issue accusant le dev de fake stars a été supprimée par le mainteneur , tout comme un audit technique complet qui détaillait chaque ligne de code bidon. Un commit de l'auteur est même titré "Make Python implementation real - remove random data generators"... aveu involontaire que le cœur du projet était du pipeau.

Bref, c'est ce qu'on appelle du "vibe coding" combiné à du "portfolio padding". On génère un beau repo avec de l'IA, une doc léchée, des tests qui passent (forcément, ils testent des nombres aléatoires...), on achète quelques milliers de stars à 1-2$ pièce et hop, un profil GitHub qui en jette pour décrocher des contrats. C'est pas dangereux (pas de malware, pas d'arnaque financière), mais c'est sacrément trompeur.

Côté vie privée, le vrai sujet reste entier. Voir à travers les murs via WiFi, c'est réel et prouvé par Carnegie Mellon. Quand de vrais outils fonctionnels arriveront (parce que ça viendra), ça va poser de sacrées questions...

Merci à Florian pour le lien et surtout à Nicolas pour le fact-check ! Si le sujet vous intéresse vraiment, allez lire le vrai papier de recherche de CMU ... et méfiez-vous des repos GitHub avec trop de stars et pas assez d'utilisateurs réels.