f Cet article fait partie de ma série spéciale hackers . Bonne lecture ! center >}}

Ce 14 octobre 2025, Lighthouse Reports a balancé une enquête mondiale qui fait actuellement trembler l’industrie de la surveillance. Pour cette enquête titanesque, ce sont 70 journalistes de 14 médias différents dont Le Monde, Der Spiegel et Mother Jones qui ont bossé pendant des mois sur le même dossier et celui-ci est explosif.

Leur sujet c’est First Wap, une boîte indonésienne qui a discrètement espionné au fil des années, plus de 14 000 numéros de téléphone dans 168 pays grâce à un logiciel baptisé Altamides. Leurs cibles sont des journalistes d’investigation, des activistes, des PDG, des célébrités, même la fondatrice de 23andMe. Et ils ont fait tout cela, en exploitant une faille vieille comme le monde dans les réseaux télécoms.

L’un des cofondateurs de First Wap est même français et s’appelle Pascal Lalanne. Il a crée cette boîte en 1999 à Jakarta avec Josef Fuchs, un Autrichien au destin hors du commun, mais avant de vous raconter comment ils ont construit cet empire de la surveillance, rembobinons un peu pour comprendre toute cette histoire depuis le début…

Direction 1984, l’année où Josef Fuchs, jeune ingénieur autrichien de Siemens fraîchement débarqué de son Tyrol natal, pose ses valises à Jakarta pour ce qui devait être une mission de trois mois. Il doit installer des systèmes de télécommunications pour le tout nouveau aéroport de Cengkareng. L’Indonésie représente son dernier contrat avec Siemens après huit ans de bons et loyaux services.

Sauf que Fuchs tombe amoureux du pays, de sa culture, et de ses possibilités infinies. En 1989, fidèle à ses racines européennes, il retourne en Allemagne de l’Est juste après la chute du Mur pour monter une boîte et une école. Le projet est un succès qui perdure encore aujourd’hui, mais l’appel de l’Asie reste plus fort.

Le 1er janvier 1995, Fuchs reçoit un fax décisif d’un ami indonésien : “La dérégulation est arrivée. Tu viens ?” Quatre jours plus tard, le 5 janvier, il embarque direction Jakarta. Cette fois, c’est pour bosser chez Telkomsel, l’un des plus gros opérateurs télécoms indonésiens qui émerge de cette nouvelle ère de libéralisation du marché.

Et c’est là, dans les entrailles de Telkomsel, que Fuchs comprend. Il passe ses journées à plonger dans les réseaux téléphoniques indonésiens et voit passer des millions de signaux de communication entre les opérateurs du monde entier. Tous transitent par le même protocole ancestral : SS7, pour Signalling System 7.

Développé par AT&T en 1975 et standardisé en 1980 , SS7 représente le système nerveux des télécommunications mondiales. Concrètement, quand vous appelez quelqu’un à l’étranger, c’est SS7 qui fait transiter l’appel d’un opérateur à l’autre. Quand vous recevez un SMS en vacances au bout du monde, c’est SS7 qui route le message. Le système est omniprésent, invisible, et surtout terriblement obsolète.

Le souci c’est que SS7 n’a jamais été conçu pour être sécurisé. À l’époque de sa création, seuls les opérateurs télécoms publics y avaient accès et on leur faisait une confiance aveugle. Donc pas de vérification d’identité forte, pas de chiffrement costaud, rien. Une confiance naïve qui date d’une ère où Internet n’existait pas encore.

Fuchs réalise le potentiel colossal de cette faiblesse structurelle et fonde en 1999 First Wap avec Pascal Lalanne, ce Français dont on ne sait presque rien encore aujourd’hui. L’association Fuchs-Lalanne est un duo Franco-Autrichien redoutable : l’un apporte l’expertise technique accumulée chez Siemens et Telkomsel, l’autre la vision business et les connexions en Asie du Sud-Est.

First Wap démarre initialement dans la messagerie électronique par SMS, un service qui cartonne en Asie où les téléphones portables se multiplient à une vitesse folle. Mais en 2000, la bulle Internet explose et tout le secteur tech vacille. Lalanne quitte alors le navire en 2004 , revend ses parts et disparaît ensuite complètement des radars. Depuis vingt ans, c’est silence radio total. Aujourd’hui, on sait juste qu’il s’est reconverti dans l’écologie et a dirigé un sanctuaire naturel à Lombok, en Indonésie. Un virage à 180 degrés.

Mais Fuchs, lui, continue. Et il a une idée qui va révolutionner le marché de la surveillance.

Début des années 2000, Fuchs et son équipe créent alors Altamides. Le nom signifie Advanced Location Tracking and Mobile Information and Deception System. L’idée c’est d’exploiter SS7 pour faire croire au réseau télécom que vous êtes un opérateur légitime. Cela permet de localiser n’importe quel téléphone en temps réel, d’intercepter des SMS, d’écouter des appels, et même de pirater WhatsApp (oui, je vous explique tout après).

Pas besoin d’infecter le téléphone de la victime comme avec Pegasus ou un logiciel espion complexe qui coûte des millions. Non, Altamides opère au niveau du réseau télécom lui-même , ce qui le rend plus discret, plus simple à déployer, et surtout ça fonctionne partout dans le monde sans exception.

Techniquement parlant, First Wap loue des Global Titles (des adresses réseau utilisées par le protocole SS7) auprès d’opérateurs complaisants, notamment Mobilkom Liechtenstein . Ces adresses leur permettent d’envoyer des requêtes de localisation qui semblent parfaitement légitimes aux yeux des réseaux télécoms mondiaux. Le système ne peut tout simplement pas faire la différence.

Pour vous la faire simple, si votre téléphone est allumé, Altamides peut vous trouver où que vous soyez sur la planète. Et vous ne vous en rendrez jamais compte. Aucune trace sur votre appareil, aucun signe d’infection, aucune batterie qui chauffe bizarrement… C’est l’outil d’espionnage parfait.

L’enquête de Lighthouse Reports permet de mettre la main sur 1,5 million d’enregistrements de tracking récupérés sur le dark web. On parle ici de plus de 14 000 numéros uniques espionnés dans 168 pays entre 2007 et 2014. Mais le vrai chiffre est probablement bien plus élevé puisque l’archive ne représente qu’une fraction de l’activité totale d’Al

Plus c’est violet, plus y’a de cibles. L’Indonésie, et le Nigeria sont particulièrement touchés

Et leur tableau de chasse est hallucinant…

Gianluigi Nuzzi, journaliste d’investigation italien spécialisé dans les affaires vaticanes, publie en mai 2012 son livre explosif “Sua Santità” (Sa Sainteté : Les papiers secrets de Benoît XVI). L’ouvrage révèle des documents confidentiels montrant corruption, luttes de pouvoir et opacité financière au cœur du Vatican. C’est le début du scandale “Vatileaks”.

Et quelques heures seulement après la sortie du bouquin, son téléphone se retrouve tracké par Altamides. Ainsi, pendant que la police vaticane recherche désespérément sa source, quelqu’un d’autre suit Nuzzi à la trace via son smartphone. Les requêtes Altamides tombent d’abord manuellement et irrégulièrement, puis deviennent automatiques à partir du 22 mai. Toutes les heures, à la minute près, soit près de 200 localisations en une semaine.

Le tracking montre Nuzzi à Milan près de son ancien appartement, sur l’autoroute en direction de Rome, dans le centre historique près de la fontaine de Trevi, à l’aéroport et chaque déplacement est méticuleusement consigné.

Quelqu’un voulait savoir s’il rencontrait sa source et où.

Le 23 mai 2012, cinq jours après le début de la surveillance, la gendarmerie vaticane arrête Paolo Gabriele, le majordome personnel du pape depuis 2006. L’homme de 46 ans avait un accès privilégié au bureau privé de Benoît XVI et utilisait le photocopieur du bureau partagé avec les deux secrétaires papaux pour copier documents et lettres confidentielles marquées “à détruire”. Il transmettait ensuite ces copies à Nuzzi lors de rencontres nocturnes dignes d’un thriller hollywoodien à base de longs trajets en voiture pour s’assurer qu’ils n’étaient pas suivis, avec des rencontres dans un appartement vide avec une seule chaise où attendait la source au nom de code “Maria”.

Le 24 mai, le lendemain de l’arrestation de Gabriele, le tracking de Nuzzi s’arrête net. Mission accomplie ? Les documents internes révèlent que la société britannique KCS Group, revendeur d’Altamides, avait présenté le système à des “gens du V.” (le Vatican) à Milan quelques jours avant l’arrestation. La présentation incluait les cartes de déplacement de Nuzzi en temps réel. Le Vatican n’a jamais répondu aux questions des journalistes sur cette affaire.

Paolo Gabriele sera condamné à 18 mois de détention pour vol aggravé. Il dira avoir agi pour dénoncer le “mal et la corruption” qu’il voyait autour du pape, manipulé par son entourage. Benoît XVI le graciera après quelques mois et Gabriele décédera en novembre 2020 à 54 ans d’une longue maladie.

Autre cible, Patrick Karegeya, ancien chef des renseignements extérieurs du Rwanda et bras droit de Paul Kagame, vit en exil forcé en Afrique du Sud depuis 2007. Après avoir aidé Kagame à prendre le pouvoir en 1994, il est tombé en disgrâce, emprisonné deux fois pour “insubordination”, et a fui pour échapper à un sort pire encore. Avec le Général Kayumba Nyamwasa (ancien chef d’état-major), il fonde le Rwanda National Congress, principal mouvement d’opposition en exil.

L’archive d’Altamides montre qu’en janvier 2012, le téléphone d’Emile Rutagengwa, chauffeur et garde du corps de Karegeya, est tracké à plusieurs reprises. En mai, c’est Rosette Nyamwasa, l’épouse du Général, qui devient une cible. Quelqu’un cartographie méthodiquement l’entourage des deux opposants.

Le soir du 31 décembre 2013, Karegeya a rendez-vous au luxueux hôtel Michelangelo Towers de Sandton, le quartier d’affaires huppé de Johannesburg, avec Apollo Kiririsi Gafaranga, un homme d’affaires rwandais qu’il connaît depuis l’époque où il dirigeait les services secrets. À 19h46, Karegeya envoie un dernier message rassurant à son neveu David Batenga. Tout va bien, il est avec Apollo.

Le 1er janvier 2014 vers 17h30, le personnel de l’hôtel découvre Karegeya étranglé dans la chambre 905, une serviette ensanglantée et une corde retrouvées dans le coffre-fort de la chambre. Apollo Kiririsi a disparu et a déjà pris un vol pour Kigali. La surveillance Altamides a précédé cet assassinat de 18 mois.

Dans les jours suivant le meurtre, des officiels rwandais se réjouissent publiquement. La ministre des Affaires étrangères Louise Mushikiwabo tweete : “Ce n’est pas comment tu commences qui compte, c’est comment tu finis. Cet homme s’est déclaré ennemi de mon gouvernement et de mon pays. Vous attendez de la pitié ?” Le ministre de la Défense James Kabarebe est encore plus brutal : “Quand tu choisis d’être un chien, tu meurs comme un chien.”

Kagame lui-même déclare publiquement quelques jours plus tard : “Toute personne encore en vie qui complote contre le Rwanda, qui qu’elle soit, paiera le prix. Les conséquences sont les conséquences.” En 2019, un juge sud africain révèle que “des liens étroits existent entre les suspects et le gouvernement rwandais actuel”. Mais aucun des suspects n’a jamais été arrêté et continuent de vivre tranquillement au

Vous savez, ce script bash de backup que vous avez écrit en 2018 et que vous n’osez plus toucher ? Celui avec les 150 lignes de mysqldump + tar + gzip + aws s3 cp qui marche à moitié et que vous relancez manuellement quand il plante ?

Hé bien vous allez pouvoir le foutre à la poubelle parce que maintenant y’a GoBackup !

GoBackup c’est un binaire codé en Go qui remplace tous vos scripts de backup maison d’un coup. MySQL, PostgreSQL, MongoDB, Redis, peu importe. Local, FTP, S3, Google Cloud, Azure, peu importe. Vous installez, vous configurez un fichier YAML, et c’est fini.

Ensuite, vous n’aurez plus jamais besoin de retoucher à tout ce bordel.

Avant GoBackup y’avait backup/backup, une gem Ruby qui faisait exactement ce job avec de la sauvegarde automatique, multi-bases, multi-destinations et c’était bien. Sauf que Ruby c’est lourd et les dépendances Ruby c’est l’enfer. Du coup le projet est mort tout doucement. Heureusement, huacnlee, un dev chinois, en a eu marre alors il a tout réécrit en Go. Zéro dépendance externe et un seul binaire compilé (installable aussi avec Brew pour ceux qui sont sous macOS).

Vous pouvez l’installer comme ceci (vérifiez le script) :

curl -sSL https://gobackup.github.io/install | sh

Ou via homebrew comme ceci :

brew install gobackup

Avec GoBackup, vous définissez vos bases de données, vos fichiers à archiver, vos destinations de stockage, votre planning, tout dans un fichier YAML propre et ensuite le binaire gère tout : Compression, chiffrement, upload, rotation des backups, notifications si ça échoue…etc. Bref, tout ce que vous faisiez à la main avec vos scripts pourris.

Et GoBackup est pas juste un CLI (Interface en ligne de commande). C’est un CLI + un daemon + une Web UI + un scheduler. Comme ça vous lancez “gobackup start” et ça tourne en background.

Le daemon surveille alors le planning défini dans votre config et lance les backups automatiquement. Et l’interface web vous permet de voir l’état des backups, les logs, les erreurs.

Avec GoBackup, vous remplacez littéralement 5 outils en un : votre script bash + cron + un monitoring pourri + un truc pour lire les logs + l’interface d’admin que vous avez jamais eu le temps de faire.

Votre config ressemble à ça :

models:
 mon_app:
 compress:
 type: tgz
 databases:
 mon_mysql:
 type: mysql
 host: localhost
 database: ma_base
 username: user
 password: $MYSQL_PASSWORD
 storages:
 mon_s3:
 type: s3
 bucket: mes-backups
 region: eu-west-1
 access_key_id: $AWS_KEY
 secret_access_key: $AWS_SECRET
 schedule:
 every: 1day
 at: "04:05"

Et c’est tout. Avec ce fichier, GoBackup dump votre base MySQL tous les jours à 4h05, compresse en .tar.gz, chiffre si vous voulez, et upload sur S3. Et si ça échoue vous recevez une notif. Et si ça marche vous avez les logs comme ça, pas besoin de surveiller, ni de débugger à 3h du matin parce que le backup a planté et que vous avez perdu 6 mois de données.

Notez quand même que GoBackup fait du backup classique, et pas du backup incrémental intelligent à la Restic ou à la Borg donc si vous avez 500 GB de données à backup tous les jours vous allez peut-être préférer un outil plus sophistiqué mais pour 90% des cas d’usage sysadmin standard, GoBackup suffira largement.

Votre script bash dégeu a eu une belle vie, il peut maintenant partir à la retraite.

Ce petit choc désagréable quand on touche une poignée de porte en hiver, ce crépitement énervant quand on enlève un pull, ou encore ce moment où nos cheveux se dressent tout seuls comme si on venait de toucher une bobine Tesla… Vous l’aurez compris, je déteste l’électricité statique !

Et pourtant, des chercheurs de l’université de Suzhou en Chine viennent de transformer ce phénomène naturel relou en un truc plutôt cool ! En effet, ils ont eu l’idée contre-intuitive de l’amplifier et de l’utiliser.

Et le résultat de leurs recherches, c’est la mise au point d’un tissu intelligent baptisé A-Textile qui transforme votre voix en commandes pour l’IA. Pas de microphone, pas de batterie mais juste du tissu et de l’électricité statique !

En effet, quand vous parlez, l’air vibre et ces vibrations font bouger légèrement les fibres du tissu. Et quand des fibres se frottent les unes aux autres, elles génèrent de minuscules charges électrostatiques. C’est ce qu’on appelle l’effet triboélectrique , c’est à dire le même phénomène qui vous mets une châtaigne en hiver quand vous ouvrez votre voiture.

Sauf qu’ici, au lieu de vous électrocuter bêtement, ces charges sont captées, amplifiées et transformées en signal électrique exploitable. Et ce signal, une IA le lit et le comprend avec une précision de 97,5% d’après l’équipe de Suzhou , et cela peu importe si l’environnement est bruyant ou pas.

Dans le futur, on pourra donc peut-être chuchoter un truc à son pull pour que la clim ou la lumière s’allume. Nos vêtements vont devenir une IHM de plus (Interface Homme Machine) et pour que ça marche, les scientifiques ont conçu une structure multicouche assez élégante. La surface du tissu est recouverte d’un composite fait de nanofleurs de sulfure d’étain en 3D (SnS2, pour les intimes) intégrées dans du caoutchouc de silicone. En dessous, il y a une couche de textile carbonisé à base de graphite qui accumule les charges.

Cette combinaison permet ainsi d’atteindre une tension de sortie de 21 volts et une sensibilité de 1,2 volt par pascal. Pour vous donner une idée, c’est plus puissant que le coup de jus que vous prenez en touchant une poignée de porte. Mais cette fois, c’est utile car le tissu est alors capable de capter les fréquences entre 80 et 900 Hz, ce qui couvre largement la voix humaine. Même un chuchotement ça passe et comme c’est flexible, lavable et qu’on peut le coudre dans une chemise, une veste ou un uniforme de travail, ça devient portable au quotidien.

Les chercheurs ont donc testé le truc dans des scénarios concrets. Ils ont connecté A-Textile à ChatGPT et posé des questions complexes genre “Quelle est la météo aujourd’hui ?” ou “C’est quoi le metaverse ?”. Ils ont même contrôlé des appareils domotiques (allumer/éteindre une lampe, un climatiseur) juste avec la voix et ont demandé à Google Maps de calculer un itinéraire. Ils ont même réussi à générer des recettes de cocktails.

Et tout ça sans toucher un smartphone ni porter d’écouteurs. Juste en parlant normalement à leurs fringues, un peu comme quand vous discutiez avec une chaussette enfilée sur votre main quand vous étiez petit.

Après en bon rabats joie, vous allez me dire : “Ouais mais on a déjà des assistants vocaux partout”. C’est vrai, sauf que là, c’est pas un objet de plus à acheter, à recharger, à synchroniser avec vos autres gadgets. C’est intégré dans ce que vous portez déjà, comme ça au lieu d’ajouter des couches de technologie, on en retire, on simplifie. L’interface disparaît et il ne reste plus que vous et vos vêtements qui comprennent ce que vous dites.

Je me demande si ça va fonctionner pour les gens qui passent leur journée en slip comme certains d’entre vous, mais en tout cas, ça ouvre des perspectives énormes notamment pour les personnes handicapées qui galèrent avec les interfaces tactiles ou vocales classiques. Ou encore pour les gens qui bossent dans des environnements dangereux où sortir un téléphone peut être risqué.

Puis pour ceux qui veulent juste arrêter de jongler entre quinze appareils différents pour faire un truc aussi simple que régler le chauffage ou allumer la TV c’est chouette non ?

Voilà, donc la prochaine fois que vous prendrez un coup de jus en enlevant votre pull, dites vous que bientôt ça vous permettra de commander un Uber Eats ou de lancer Netflix ^^

Source

L’apocalypse de l’informatique quantique, c’est un truc que les experts annoncent régulièrement depuis 30 ans. Et cette fois ça commence à se préciser car si j’en crois Gartner , c’est pour 2029 - 2034 !

C’est le “on verra ça la semaine prochaine” éternel de la sécurité informatique, sauf que pendant que tout le monde rigole nerveusement en se disant on a le temps, Signal, eux s’attaquent sérieusement au sujet. Et il viennent de publier un write-up technique assez long expliquant comment ils ont déjà régler le problème.

Actuellement, seulement 18% des entreprises du Fortune 500 ont des réseaux protégés contre les ordinateurs quantiques donc autant vous dire que pas grand monde n’est prêt. Heureusement, on va tous pouvoir s’inspirer de ce qu’a fait Signal qui a mis au point un nouveau système baptisé SPQR (Sparse Post Quantum Ratchet, que j’imagine être un jeu de mot avec le SPQR romain… ).

Le problème, c’est que la cryptographie post-quantique, c’est pas juste une mise à jour de sécurité comme les autres. Concrètement, les nouvelles clés cryptographiques résistantes aux ordinateurs quantiques (ML-KEM-768, pour les intimes) font 2 272 bytes alors que les anciennes clés ECDH ne sont que de 32 bytes. C’est donc 71 fois plus gros et donc nos échanges chiffrés vont consommer encore plus de bande passante.

Et ça, c’est juste la partie visible du problème car Signal, c’est pas WhatsApp qui peut se permettre de dire “tant pis, on a de la thune, on va juste consommer plus de bande passante”. Non, Signal lui doit fonctionner partout c’est à dire aussi bien sur les vieux téléphones, que sur les réseaux pourris, ou dans les pays où les gouvernements surveillent activement le trafic. Et tout ça en restant plus sécurisé que n’importe quel autre service. C’est pas évident donc…

En 2023, Signal avait déjà fait une première mise à jour post-quantique avec PQXDH . L’idée, c’était de sécuriser la phase d’initialisation des conversations (le fameux handshake) au travers d’une approche hybride. En gros, on garde l’ancienne méthode X25519 et on ajoute un Kyber-1024 par-dessus, comme ça, même si les ordinateurs quantiques cassent l’une des deux protections, l’autre tient encore.

C’est malin, mais bon, ça ne suffisait pas car le handshake, c’est juste le début pour initialiser la conversation. Alors Signal a mis au point un système appelé le “Double Ratchet” qui fait évoluer les clés de chiffrement en permanence. Ainsi, à chaque message envoyé ou reçu, hop, de nouvelles clés sont générées. C’est ce qui donne à Signal ses super-pouvoirs : la forward secrecy (en gros, ça veut dire que si on vous pirate aujourd’hui, on ne peut pas déchiffrer vos vieux messages) et la post-compromise security (si on vous pirate, vous récupérez automatiquement une connexion sécurisée après quelques échanges).

Ce Double Ratchet, c’était une merveille d’ingénierie, sauf que devinez quoi… il repose entièrement sur ECDH, qui sera totalement cassable par les ordinateurs quantiques d’ici quelques années.

Donc il a fallu tout repenser !

Signal a donc ajouté un troisième ratchet au système. Un Triple Ratchet, le SPQR, qui fonctionne en parallèle des deux autres et injecte régulièrement des secrets post-quantiques dans le mélange.

L’astuce géniale, c’est qu’ils utilisent des “erasure codes”. C’est un peu comme les codes de correction d’erreur sur les CD, mais pour reconstituer des clés cryptographiques manquantes. Hé oui parce que sur un réseau merdique (ou surveillé par un vilain méchant gouvernement), des paquets se perdent. Du coup, avec les erasure codes, même si vous loupez quelques messages, vous pouvez quand même reconstituer les clés.

Et pour régler le problème de la taille des clés (vous vous souvenez, l’explosion de la bande passante ?), ils ont parallélisé les échanges de clés comme ça au lieu d’envoyer une grosse clé à chaque message, ils en envoient plusieurs petites en parallèle, réparties sur plusieurs messages. Ainsi, l’impact sur la bande passante reste raisonnable.

Voilà, donc pour résumer Signal a réussi à ajouter une protection post-quantique complète, en maintenant la forward secrecy et la post-compromise security, tout en gérant les environnements asynchrones (quand les gens sont offline), les réseaux pourris et les adversaires actifs. Tout ça avec un impact minimal sur les perfs ! C’est beau non ?

Et le plus beau dans tout ça c’est que pour nous, les utilisateurs rien ne change ! Toute cette complexité technique est totalement invisible. D’ailleurs les entreprises françaises feraient bien de se mettre sur le sujet car le temps passe vite. L’ANSSI a même tiré la sonnette d’alarme et fixé des échéances précises pour que les entreprises se bougent. Les secteurs les plus à risque (banques, santé, infrastructures critiques…) sont en première ligne. En plus quand on sait que les cybercriminels (et la NSA et compagnie) stockent déjà des données chiffrées pour les déchiffrer plus tard avec des ordinateurs quantiques, l’excuse du “on verra plus tard” ne tient plus vraiment la route.

Signal a ouvert totalement son code et publié ses algos et autres formules donc chaque entreprise qui le souhaite peut aller s’en inspirer. Pour une ONG c’est impressionnant ce qu’ils ont réussi là et ça prouve encore une fois qu’en matière de sécurité, il n’y a pas de fatalité.

Juste des choix.

Source

Il y a des bugs qu’on corrige en urgence. Et puis il y a GPU.zip, cette faille que TOUS les fabricants de GPU connaissent depuis mars 2023 et que personne n’a jamais voulu fixer.

Et 2 ans et demi plus tard, des chercheurs viennent de prouver qu’elle permettait de voler nos codes 2FA sous Android en moins de 30 secondes !!

Et devinez quoi ?

Y’a toujours pas de patch !

L’histoire commence donc en septembre 2023. Des chercheurs de l’Université du Texas, Carnegie Mellon, et l’Université de Washington publient GPU.zip , une attaque par canal auxiliaire qui exploite la compression graphique hardware des GPU. Le principe c’est qu’en mesurant le temps de rendu de certaines opérations graphiques, on peut déduire la couleur des pixels affichés à l’écran. Pixel par pixel. Un peu comme prendre une capture d’écran, mais sans permission, bien sûr !

Tous les fabricants de GPU sont donc prévenu dès mars 2023. AMD, Apple, Arm, Intel, Nvidia, Qualcomm. Mais aucun patch n’a pointé le bout de son nez. La position officielle des fabricants de GPU étant que “C’est au software de gérer ça”.

Les navigateurs web colmatent alors la brèche en limitant les iframes cross-origin, mais la faille hardware elle-même n’est jamais corrigée. Trop coûteux. Trop compliqué. Pas leur problème…

Maintenant on fait avance rapide en octobre 2025. Une équipe de 7 chercheurs (UC Berkeley, Carnegie Mellon, Université de Washington) sort Pixnapping , une attaque qui ressuscite GPU.zip sur Android. Le papier sera d’ailleurs présenté à la 32nd ACM Conference on Computer and Communications Security qui a lieue cette semaine à Taipei. Alan Linghao Wang, Ricardo Paccagnella et leurs collègues on réalisé une démo où on voit une application Android malveillante voler des codes 2FA, des messages privés, ou n’importe quelle donnée affichée à l’écran, sans demander la moindre permission système.

Cette année, avec Nano Banana, ChatGPT, Sora, Seedream et j’en passe, on est quand même passé de “Je cherche une image sur le net” à “Tiens, et si je demandais à Google (ou un autre) de créer l’image que je cherche…”. Comme ça, on ne perd plus de temps à en regarder plein pour trouver la meilleure, et surtout on ne se pose plus la question de est-ce que c’est une image sous copyright ? Ou une image mise en ligne sur un site Creative Commons dont la licence libre sera retirée dans quelques années par un cabinet d’avocat véreux spécialisé dans le copyright trolling… et qui viendra ensuite vous réclamer du pognon .

Et tout ce délire de génération d’images ne risque pas de s’arranger, notamment avec Nano Banana (c’est le petit nom de Gemini 2.5 Flash Image, le modèle de génération d’images de Google) que Google vient d’intégrer dans certains de ses services. En effet, très bientôt vous allez pouvoir modifier, remixer, transformer des images directement depuis la recherche Google (AI Mode), Lens, ou directement vos photos !

Vous prenez une photo avec Lens, ensuite, hop, vous ajoutez un petit prompt texte, et l’IA transformera l’image selon vos désirs. Vous pouvez aussi chercher un truc dans Google Search, puis modifier visuellement le résultat à la volée si ça vous amuse.

Vous allez par exemple chercher un canapé bleu marine sur Google Images, tomber sur la photo de vos rêves sauf que le canapé est rouge brique et hop, l’application le passera en bleu marine directement dans les résultats de recherche. Vous pouvez même mixer deux images pour créer quelque chose de nouveau…

C’est chouette techniquement mais philosophiquement, c’est un délire car la frontière entre le réel et le généré va devenir encore plus floue. On va très vite perdre la notion de ce qui existe vraiment car chaque image pourra être un remix à la demande et au final personne ne saura plus ce qui vient d’un vrai appareil photo ou d’un algo.

C’est une nouvelle réalité qui arrive, où le faux et le vrai se mélangent, faisant disparaitre nos repères.

Au niveau de Google Photos, c’est encore plus inquiétant car on va pouvoir fusionner des images perso, créer des collages, ajouter des éléments de certaines photos dans d’autres photos…etc. On va donc pouvoir se créer des souvenirs qui n’ont jamais existé. Votre gamin n’était pas là pour la photo de famille ? Hop, on le rajoute. Un coucher de soleil moyen-bof sur une photo de vacances ? Hop, on le rend épique.

Nos enfants vont donc grandir avec des albums photo mi-réels mi-générés par IA et au bout de quelques années, plus personne ne se souviendra de si c’était vrai ou pas.

Bref, comme je le disais, technologiquement, c’est impressionnant mais on se demande quand même où se trouve la limite entre retouche créative et falsification de notre mémoire ?

J’en sais quelque chose, la mémoire humaine est déjà très fragile. Elle se réécrit à chaque souvenir et même à chaque évocation d’un souvenir…. Alors si en plus on lui file des photos modifiées pour coller à une réalité qu’on fantasme, j’imagine qu’on va tous finir par croire à des événements qui n’ont jamais eu lieu, surtout si ce sont des modifications subtiles, crédibles.

Bref, ces nouveautés liées à Nano Banana sont déployées uniquement aux États-Unis et en Inde pour le moment, ce qui vous laisse un peu de temps pour réfléchir à tout ça et vous préparer à sauter ou pas dans ce délire de réécriture de vos propres souvenirs.

A vous de voir !

Source

La commande sudo que tous les linuxiens connaissent a plus de 40 ans, tout autant d’années d’audits de sécurité, des millions de lignes de code scrutées par des milliers de développeurs au fil des ans et surtout des dizaines de CVE critiques corrigées.

Et pourtant on est jamais à l’abri d’une mauvaise surprise ! En effet, une fonctionnalité ajoutée récemment pour “améliorer” la sécurité a crée un trou béant. Baptisée CVE-2025-32463, cette une faille critique présente dans sudo est même déjà exploitée par des cybercriminels.

Alors qu’est ce qui se passe exactement ? Hé bien en 2023, les développeurs de sudo ajoutent une amélioration dans la version 1.9.14. L’option --chroot (qui permet d’isoler une commande dans une “prison” système) est améliorée pour mieux gérer le “command matching”. Ça part d’une bonne intention, comme toujours mais cela a débouché sur l’une des pires CVE de l’année.

Rich Mirch de Stratascale découvre alors le problème en juin 2025. Ainsi, quand sudo fait un chroot dans un répertoire contrôlé par l’utilisateur, il demande ensuite “qui es-tu ?” via NSS (Name Service Switch, le système qui résout les infos utilisateurs). Sauf que NSS lit ses fichiers de config… dans le chroot. Votre chroot, celui que vous contrôlez. Gloups !

Il suffit alors de placer un faux /etc/nsswitch.conf et une bibliothèque partagée malveillante dans votre répertoire. Sudo fait son petit chroot dedans, charge votre lib pour vérifier qui vous êtes… et hop votre code s’exécute en root. Ainsi, n’importe quel utilisateur local, sans droits sudo préexistants, peut devenir root. C’est con hein ?

C’est tout con à exploiter ! Et le score de cette faille est critique puisqu’on est sur un CVSS de 9.3 / 10. Et comme les PoC (proof of concept) sont disponibles sur Github dans plein de versions différentes (genre celle là ou celle là ), c’est la fête à l’exploitation sauvage !!

Le 29 septembre dernier, la CISA a même ajouté la CVE-2025-32463 au catalogue KEV (Known Exploited Vulnerabilities), ce qui confirme son exploitation dans la nature. Les agences fédérales américaines ont donc jusqu’au 20 octobre 2025 pour patcher.

Donc oui, c’est du sérieux.

Notez que le patch est disponible depuis le 30 juin 2025 . Sudo 1.9.17p1 corrige donc ce problème et la fonctionnalité --chroot est maintenant marquée comme “dépréciée”. Les développeurs ont compris que cette idée était bancale dès le départ.

Donc si vous êtes admin système et que vous n’avez pas encore mis à jour, c’est le moment, les amis !! Les versions vulnérables vont de sudo 1.9.14 à 1.9.17. Les versions antérieures (avant 1.9.14) ne sont pas touchées, car la fonctionnalité n’existait pas. Et les plus récentes (1.9.17p1+) sont patchées. Ouf !

Comme quoi, même le code le plus vénéré par les barbus peut se foirer sur une nouveauté. En tout cas, bien joué à Rich Mirch pour avoir trouvé ça ! Et sincèrement désolé pour les devs qui ont validé ce commit foireux en 2023, qui ont dû s’en vouloir un peu quand même ^^.

Source

– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –

Salut à tous chers amis geeks distraits ! Aujourd’hui, on va parler d’un objet qui a résolu un de mes plus gros problèmes du quotidien : la perte de mes lunettes. Je n’en porte que depuis quelques mois, et vu le prix que j’y ai mis, et la qualité de déplacements que je fais chaque semaines, les perdre était une angoisse constante. Mais genre vraiment.

Les semaines ont passé, et ce problème s’est amplifié. J’ai maintenant trois paires de lunettes essentielles : mes solaires (parce que le soleil, c’est mal), mes progressives (parce que l’âge, c’est mal aussi) et mes lunettes mi-distance le travail (parce que les écrans H24… bref, vous avez compris).

Trois paires, c’est trois fois plus de chances d’en égarer une. La panique, la perte de temps, le mini-infarctus quand on pense les avoir définitivement perdues sur une aire d’autoroute ou au MacDo à l’autre bout de la France. C’était mon lot quotidien. Jusqu’à ce que je tombe sur l’étui à lunettes connecté FindAll de Satechi . J’en ai acheté trois d’un coup, oui oui. Un pour chaque paire. Et après plusieurs mois d’utilisation intensive, le verdict est sans appel : je ne peux plus m’en passer.

C’est quoi ce truc ?

L’étui Satechi FindAll ressemble à un étui à lunettes classique, mais en plus élégant. Il est pliable, ce qui le rend ultra-plat quand il est vide, et se déplie pour former un prisme rigide qui protège parfaitement vos précieuses binocles. L’extérieur est en cuir vegan, l’intérieur en micro-suède pour ne pas rayer les verres, et la fermeture est magnétique. C’est propre, c’est sobre, ça respire la qualité.

Mais la magie n’est pas là. La magie, c’est que cet étui intègre une puce compatible avec le réseau « Localiser » (Find My) d’Apple. Exactement comme un AirTag, mais directement intégré à l’objet. Fini le bricolage avec un AirTag qui se balade dans l’étui et risque de rayer vos verres. Ici, la technologie est invisible. Et en plus, le truc se recharge en MagSafe, sur n’importe quel chargeur sans fil.

L’installation : 30 secondes chrono

Le jumelage est d’une simplicité enfantine, typique de l’écosystème Apple. Il suffit d’appuyer sur le petit bouton (très discret) de l’étui, d’ouvrir l’application « Localiser » sur son iPhone et de sélectionner « Ajouter un autre objet ». L’appareil est détecté quasi instantanément. Il ne reste plus qu’à lui donner un nom et un emoji pour finaliser la configuration. En moins d’une minute, votre étui est désormais traçable partout dans le monde.

Screenshot

À l’usage, c’est une révolution

Concrètement, cet étui change la donne au quotidien. La fonction que j’utilise le plus est sans conteste l’alerte d’oubli, qui met fin au fameux « Oups, j’ai oublié ». Si je pars d’un restaurant ou du bureau en laissant mon étui derrière moi, je reçois une notification sur mon iPhone avant même d’avoir atteint la porte. Il est aussi possible de faire sonner l’étui assez fort (90 dB) pour le repérer facilement. Enfin, si vous les oubliez vraiment quelque part en ville, le vaste réseau « Localiser » prend le relais, en signalant de manière anonyme et sécurisée la dernière position connue de l’étui sur une carte dès qu’un autre appareil Apple passe à proximité. J’utilise ces étuis depuis plusieurs mois, ça m’a été vraiment utile deux fois, à chaque fois j’avais oublié mes lunettes chez de la famille. Rien de grave donc, mais j’ai été rassuré tout de suite.

Autonomie et recharge ne sont pas un problème.

On pourrait craindre de devoir recharger un énième gadget toutes les semaines. Que nenni ! Satechi annonce une autonomie allant jusqu’à 8 mois. Après plusieurs mois d’utilisation, je n’ai toujours pas eu à les recharger. Enfin, c’est pas tout à fait exact. En réalité je n’en sais rien, car comme je peux les charger sur mes chargeurs MagSafe (aimantés ou non), je les pose de temps en temps, aléatoirement sur mon chargeur d’iPhone, et sans vraiment m’en préoccuper, je les recharge régulièrement, ça n’est même pas un sujet.

Le seul “reproche” qu’on pourrait lui faire est l’absence de la puce UWB (Ultra-Wideband) présente dans les AirTags d’Apple. Vous n’aurez donc pas la fonction « Localisation précise » avec la petite flèche qui vous guide au centimètre près. Mais honnêtement, pour un objet de cette taille, la sonnerie est bien plus efficace et l’absence de l’UWB ne m’a jamais manqué. Après bien sur, il faut que vos lunettes soient dans leurs étuis, mais c’est une habitude que j’ai pris tout de suite, dès qu’elles ne sont plus sur mon nez, je les pose dans leurs étuis, avec leur petite chiffonette s(au passage je vous recommande ces chiffonnettes là, elles sont incroyables).

Bret, indispensable pour les têtes en l’air

En ce moment elles souvent à moins de 40 euros, et même 33 euros au moment où j’écris ces lignes en cochant un coupon sur Amazon .  Cet étui n’est pas un simple gadget. C’est une assurance tranquillité. Le coût de remplacement d’une seule de mes paires de lunettes justifie à lui seul cet investissement.

Si vous portez des lunettes (de vue, de soleil, etc.) que vous êtes un peu distrait, foncez. C’est le genre de produit intelligent, bien pensé et qui répond à un vrai problème, et en plus c’est aussi un chouette cadeau à faire !

J’en profite pour vous informer que j’ai ouvert une petite page sur Amazon avec tous les produits que je recommande et utilise au quotidien, pensez à y faire un petit saut !

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie “Gadgets Tech” , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Le youtubeur Joe Lynch vient de faire jouer “ Olson ” de Boards of Canada sur un ordinateur de 1959. Pas un émulateur, hein mais le vrai PDP-1, celui qui est au Computer History Museum. 603 bytes de musique sur une bande perforée, et quatre ampoules sur le panneau de contrôle transformées en haut-parleurs… Le son est brut, lo-fi, presque primitif et je trouve ça magnifique.

Mais attendez, ce PDP-1 c’est pas juste un vieux tas de circuits et de câbles… C’est vraiment l’ordinateur qui a créé les hackers et je vais essayer de vous en raconter un peu l’histoire !

Le PDP-1 débarque au MIT en septembre 1961. Digital Equipment Corporation le vend alors 120 000 dollars en tant qu’outil de calcul scientifique. C’est très sérieux, très corporate, sauf que les étudiants du MIT s’en foutent du calcul scientifique.

Ils veulent jouer !

Steve Russell programme alors Spacewar! en 1962. C’est l’un des premiers jeu vidéo. Deux vaisseaux qui se tirent dessus autour d’une étoile et vous vous en doutez, c’est pas prévu dans le manuel. C’est un détournement de la machine… un hack.

Puis la même année, Peter Samson , un autre étudiant du MIT, remarque que les ampoules de statut du PDP-1 clignotent. On/off, on/off… Il se dit alors qu’en contrôlant la vitesse du clignotement, on peut générer des fréquences audio. Il code alors le Harmony Compiler et c’est comme ça que les quatre ampoules deviennent quatre voix musicales. C’est l’un des premier synthétiseur temps réel et polyphonique de l’histoire. Peter optimise même le système pour jouer du Bach.

C’est la naissance de la culture hacker, de l’idée que le matériel peut faire plus que ce pour quoi il a été conçu et vendu. Les limites sont là pour être contournées et ce n’est pas mal… c’est de l’exploration !

Le PDP-1 devient alors le terrain de jeu des premiers hackers du MIT. Ils codent la nuit, quand les profs sont partis et transforment cette machine de calcul en espace de créativité. Et cette étincelle de culture va créer tout ce qui suit. Unix en 1969, le Homebrew Computer Club dans les années 70, les premiers PC, l’open source, Linux…etc. A chaque fois, ce sont des étudiants qui ont décidé que les règles c’était optionnel.

Et 63 ans plus tard, Joe Lynch arrive, prend le code de Peter Samson écrit en 1962 et l’utilise pour faire jouer un morceau de 1998. Il perfore une bande papier, il la charge dans le PDP-1, les fameuses quatre ampoules s’allument et s’éteignent alors à des fréquences calculées pour l’occasion et c’est “Olson” qui sort des haut-parleurs.

Est-ce que vous êtes déjà demandé pourquoi les soldats blessés au combat ne réalisent pas immédiatement qu’ils pissent le sang ? Ou pourquoi votre mal de dos disparaît mystérieusement quand vous êtes en retard pour un truc important ?

Hé bien des chercheurs de l’ Université de Pennsylvanie viennent de trouver l’interrupteur neuronal responsable et c’est assez dingue comme découverte, vous allez voir !

L’équipe de J. Nicholas Betley a identifié un groupe de neurones dans le tronc cérébral qui agissent comme un bouton “Ne pas déranger” pour la douleur chronique. Ces neurones, qu’on appelle Y1R, se trouvent dans une zone appelée le noyau parabrachial latéral . Un nom compliqué pour un truc très basic… en gros, votre cerveau a un système de priorisation brutal : La survie d’abord, le confort après !

Vous payez 20 balles par mois pour que ChatGPT vous dise “bonjour” ? Vous attendez 5 secondes qu’une réponse revienne du cloud d’Anthropic ? Vous avez l’impression de louer votre intelligence artificielle comme vous louiez vos MP3 sur iTunes à la grande époque ?

Et bien j’ai une excellente nouvelle qui va vous plaire !! Il existe une extension de navigateur qui fait tourner de l’IA en local, sur votre machine, sans envoyer un seul octet dans le cloud. Ça s’appelle NativeMind et c’est du 100% local.

Vous installez l’extension sur Chrome, Firefox, Brave ou Edge, vous installez Ollama ou vous utilisez WebLLM directement dans le navigateur. Ensuite, vous téléchargez un modèle (DeepSeek, Qwen, Llama, ce que vous voulez) et c’est tout. Vous avez maintenant votre IA personnelle qui tourne sur votre laptop sans rien demander à personne, et accessible directement sur votre navigateur.

Le projet est open-source sous licence AGPL v3.0 et NativeMind supporte deux backends : Ollama, qui est recommandé si vous voulez de vraies performances et un contrôle total sur vos modèles ou WebLLM si vous voulez juste tester sans installer quoi que ce soit, directement dans le navigateur via WebAssembly.

Ollama c’est donc clairement la meilleure option. Vous lancez le serveur en local, il expose une API, et NativeMind s’y connecte. Vous pouvez faire tourner DeepSeek, qui est gratuit et open-source, et avoir des performances comparables à GPT-4, sans payer un centime de plus !

Vous pouvez ensuite lui demander de résumer n’importe quelle page web, de traduire un texte en gardant la mise en page intacte, d’analyser un PDF ou une image et même d’écrire pour vous !! Il est également capable de faire des tâches multi-étapes comme un agent le ferait.

Bref, tout ce que fait ChatGPT, mais sans que vos prompts partent sur les serveurs de Sam Altman.

Alors c’est moins immédiat que ChatGPT, je vous l’accorde et faut installer des trucs, mais une fois que c’est en place, vous êtes tranquille et surtout y’a pas de limite en terme de tokens ou de forfait… Puis vos données ne s’échappent pas.

Voilà, donc si vous voulez utiliser un peu d’IA pour comprendre des trucs sur des pages web, reformuler des mails que vous envoyez, générer des tweets à partir d’un contenu…etc, Nativemind est fait pour vous ! C’est largement suffisant pour des besoins d’IA classiques.

Rendez-vous sur le dépôt Github pour plus d’infos et sur le site officiel pour télécharger les extensions.

Si vous faites partie des anciens qui continuent à collectionner les liens sympa que vous trouvez sur le net, j’sais pas comment vous les gérez, mais j’ai peut-être un truc pour vous. Ça s’appelle Linkding (rien à voir avec le site rempli de teubés en costard qui parlent comme des IA nulles) et c’est un gestionnaire de bookmarks qu’on installe chez soi !

Hé oui, les champions de l’auto-hébergement, Linkding ne cherche pas à réinventer la roue… Il stocke juste vos liens, vos tags, vos notes en Markdown, et basta ! L’interface est sobre, lisible, et surtout elle ne vous balance pas des suggestions sponso à la con entre deux articles que vous vouliez lire plus tard.

Ce projet est open source sous licence MIT, et repose sur Django et SQLite. Donc c’est du solide ! SQLite pour la base de données, ça veut dire zéro configuration serveur et pas de grosse maintenance.

Vous installez le truc dans un container Docker, et ça tourne sur n’importe quoi. Ensuite, vous ajoutez un bookmark, et Linkding va automatiquement chercher le titre de la page, sa description, son icône, même une image de preview.

Autre truc cool prévu dans l’outil, c’est la possibilité de faire de l’archivage web car oui, Linkding peut créer des snapshots de chaque page que vous bookmarkez, soit en local sous forme de fichier HTML, soit via Internet Archive.

Parce que oui, il arrive parfois que les liens meurent dans d’atroces souffrances. Les sites ferment, les articles disparaissent, et dans 5 ans vous vous retrouvez avec une liste bourrée d’erreurs 404.

Alors que là, au moins, avec cet outil, vous avez une copie.

L’extension navigateur est aussi indispensable pour ajouter des bookmarks vite fait ! Elle est disponible pour Firefox et Chrome, et elle vous permet de les tagger à la volée, et même de chercher dans votre collection directement depuis la barre du navigateur. Ça ressemble un peu à ce qu’on avait avec Del.ici.ous à l’époque, en mieux.

Linkding gère aussi le multi-utilisateurs donc vous pouvez partager certains bookmarks avec d’autres personnes, ou les garder privés. C’est super pratique si vous l’installez pour toute la famille ou une petite équipe. Il y a même une API REST, donc si vous voulez automatiser des trucs ou créer vos propres outils autour, c’est possible !!

Y’a aussi une version PWA installable aussi donc vous pouvez l’ajouter à votre écran d’accueil sur mobile et l’utiliser comme une app native !

Une fois que vous y aurez goûté, difficile de revenir en arrière !

Pour tester, y’a une démo en ligne et l’installation prend moins de 10 minutes ! Ce serait dommage de s’en priver

Vous avez déjà passé plus de temps à configurer Sphinx qu’à coder votre projet Python ? Bienvenue au club !

Et oui, paradoxalement, parfois documenter son code devient plus compliqué que d’écrire le code… Vous voulez juste afficher vos docstrings joliment, mais avant ça il faut vous taper 200 pages de doc, choisir parmi 47 thèmes, configurer des dizaines d’extensions et comprendre la syntaxe reStructuredText. Breeeef, la flemme !

Heureusement, il existe une alternative qui va vous réconcilier avec la documentation : pdoc.

pdoc, c’est un outil de documentation Python qui ne nécessite pas de documentation. Vous tapez simple pdoc votre_module et c’est tout. Pas de fichier de config interminable, pas de choix existentiels entre différents builders, pas de migration depuis votre version de Sphinx de 2018 qui refuse de compiler.

Ça génère directement une belle doc à partir de votre code existant !!

Si vous avez déjà écrit des docstrings propres et utilisé les type annotations de Python, vous avez déjà fait 100% du boulot car pdoc se contente de prendre ce qui existe et de l’afficher élégamment. Pas de traduction, pas de réécriture, pas de fichiers .rst à maintenir en parallèle de votre code.

Votre code EST la documentation et ça c’est beau !

L’outil comprend les docstrings au format numpydoc et Google-style, fait des liens automatiques entre les identifiants, respecte votre variable __all__ et génère du HTML standalone que vous pouvez héberger n’importe où. Il y a même un serveur web intégré avec live reload pour développer votre doc en temps réel.

Pour mettre ça en place, faut installer pdoc avec

pip install pdoc

Puis vous lancez

pdoc ./votre_projet.py

ou

pdoc nom_de_votre_module

Et c’est tout !

Bien sûr si vous bossez sur un gros projet avec des besoins spécifiques, des guides utilisateurs complexes, des dizaines de pages de tutoriels et une doc multilingue, Sphinx reste le roi, mais pour la grande majorité des projets Python, ceux qui ont juste besoin d’une doc API claire et lisible, pdoc fait ça comme un chef, sans que vous ayez besoin d’un doctorat en outil de documentation.

Bref, si vous en avez marre de passer plus de temps sur votre documentation que sur votre code, pdoc mérite le détour car documenter son code devrait être aussi simple que de le coder, non ?

Pour tester pdoc, direction pdoc.dev ou directement le repo GitHub .

Vous vous souvenez de ce samedi après-midi de 1995 où vous avez modifié CONFIG.SYS pour la première fois ? Les mains moites, le coeur qui bat, parce que si vous vous plantiez, Windows ne démarrait plus. L’écran bleu (le bon vieux bleu DOS hein, pas le blue screen of death), le curseur blanc qui clignote, et cette interface minimaliste où chaque caractère comptait. MS-DOS Edit.

Votre premier vrai pouvoir sur la machine !

Hé bien bonne nouvelle, Microsoft vient de le ressusciter pour de vrai, 30 ans après.

C’est fou ! L’équipe Windows Terminal annonce en effet qu’Edit est maintenant pré-installé dans Windows 11. Plus besoin de le télécharger donc… vous ouvrez votre terminal, vous tapez “edit”, et hop, vous y êtes.

230 kilo-octets seulement, comme à l’époque c’est chouette ! Et le truc marrant, c’est que Edit n’est pas juste un coup de comm nostalgique.

Non, Microsoft comble en réalité un vide qui dure depuis plus de 20 ans, car les versions 32-bit de Windows avaient MS-DOS Edit mais les versions 64-bit n’avaient rien ! Aucun éditeur en ligne de commande par défaut. Snif !

Ainsi, si vous vouliez modifier un fichier config en SSH, fallait forcement installer vim, nano, ou se débrouiller avec notepad.exe en mode graphique comme un sauvage.

Sauf que voilà, les terminaux reviennent en force ! Les devs passent leur vie dans WSL2, PowerShell est devenu cross-platform, et même les utilisateurs lambda doivent parfois mettre les mains dans un fichier texte via la ligne de commande. Finalement, après toutes ces années à vous prendre le chou avec “ouvrez un terminal” par ci, “lancez une commande” par là…etc., ça fait de moi un visionnaire ! ^^

Bon, bref, avoir un éditeur accessible et simple, qui ne nécessite pas un doctorat en raccourcis clavier vim, en 2025 ça a du sens ! D’ailleurs, MS-DOS Edit, dans les années 90, c’était la drogue douce qui menait aux drogues dures. On commençait par modifier AUTOEXEC.BAT pour optimiser notre RAM, parce qu’un jeu ne se lançait pas et deux ans plus tard on se retrouvait sous Linux à compiler un kernel à 3 heures du matin. Edit n’était pas juste un outil, c’était le Bifröst de la bidouille… le moment où on passait d’utilisateur à “celui qui comprend comment ça marche”.

Ce nouvel Edit garde donc cette philosophie avec son interface minimaliste, mais rassurez-vous sous le capot c’est du moderne. C’est écrit en Rust, c’est open-source sous licence MIT, et avec des keybindings inspirés de VS Code. Par exemple Ctrl+P pour switcher entre fichiers, Ctrl+F pour chercher… etc. Il supporte même la souris et l’unicode fonctionne.

Si ça vous dit de tester, vous pouvez l’installer via winget si vous n’êtes pas sur la dernière preview de Windows 11. Un simple “winget install Microsoft.Edit” et c’est réglé. Ensuite vous tapez “edit” dans votre terminal, ou “edit fichier.txt” pour ouvrir directement un document et voilà…

Vos enfants, ceux qui grandissent avec des interfaces tactiles, des assistants vocaux, et ChatGPT partout vont peut-être faire leurs premiers pas de bidouilleurs avec le même outil que nous à l’époque… Qui sait ?

Source

On a tellement l’habitude de tout traduire avec Google ou DeepL qu’on en oublie un truc basique. Ces outils envoient absolument tout ce que vous voulez traduire sur leurs serveurs. Message privé, photo d’un document confidentiel, ou menu de restaurant dans une langue bizarre. Tout part chez eux et tout le monde trouve ça normal.

Enfin, je pense que vous, ça vous saoule ! Heureusement, il existe Firefox Translator , une app Android qui fait de la traduction 100% offline. Texte, images, détection automatique de langue, dictionnaire intégré, tout se passe sur votre appareil. Y’a zéro requête serveur !

Techniquement, Firefox Translator utilise les modèles de traduction Bergamot développés par Mozilla. C’est la même technologie qui tourne dans Firefox sur desktop depuis quelques années. Pour l’OCR sur les images, c’est Tesseract4Android qui bosse quand à la détection de langue, elle passe par CLD2, et le dictionnaire intégré vient de Wiktionary. En plus tout est open source (sous licence GPL-3.0).

Pour vous en servir, c’est fastoche. Vous installez Firefox Translator, puis vous téléchargez les packs de langue dont vous avez besoin. Et après, vous pouvez traduire autant que vous voulez, tout ce que vous voulez, mode avion activé ou pas. Plus de dépendance au réseau, plus de tracking, et plus de serveurs tiers qui analysent vos traductions pour améliorer leurs algos publicitaires.

C’est utile par exemple pour les voyage à l’étranger sans forfait data, les documents confidentiels à traduire sans les envoyer dans le cloud, les zones blanches réseau, les pays avec censure ou surveillance réseau un poil lourde, ou juste le principe de conserver vos données chez vous…

Après y’a des compromis à faire car les packs prennent de la place sur votre téléphone, et la qualité de traduction est probablement inférieure à celle des gros services qui entraînent leurs modèles sur des milliards de textes et le nombre de langues disponibles est plus limité mais pour 90% des usages quotidiens, ça suffit largement !

Firefox Translator est uniquement dispo sur F-Droid.

Y’a plein de problèmes avec les IA, mais y’en a un encore un peu trop sous-estimé par les vibe codeurs que vous êtes… Ce problème, c’est qu’on leur fait confiance comme à un collègue, on leur montre notre code, nos repos privés, nos petits secrets bien planqués dans les variables d’environnement…

Par exemple, quand vous passez en revue une pull request sur GitHub, vous faites quoi ? Vous lisez le code ligne par ligne, vous cherchez les bugs, les failles de sécu, les optimisations possibles. Mais les commentaires vous les lisez ? Au mieux on les survole, c’est vrai, car c’est de la comm’ entre devs, et pas du code exécutable.

Sauf pour Copilot Chat pour qui un commentaire c’est un texte comme un autre. Et selon Omer Mayraz , chercheur en sécurité chez Legit Security, c’est exactement ce qui en fait une zone de confiance aveugle parfaite pour une attaque.

Ce qu’a découvert Omer Mayraz c’est donc une vulnérabilité critique dans GitHub Copilot Chat avec un score CVSS de 9.6 sur 10. Cela consiste à planquer des instructions malveillantes dans des commentaires markdown invisibles comme ça, ces commentaires ne s’affichent pas dans l’interface web de GitHub, mais Copilot Chat les voit parfaitement et les traite comme des prompts légitimes.

Du coup, l’attaquant peut forcer Copilot à chercher des secrets dans vos repos privés, à extraire du code source confidentiel, voire à dénicher des descriptions de vulnérabilités zero-day non publiées. Tout ça sans que vous ne voyiez rien venir évidemment !

Voici une démo complète de l’attaque en vidéo :

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/camoleak-github-copilot-vulnerability-prompt-injection/camoleak-github-copilot-vulnerability-prompt-injection-1.mp4">lien vers la vidéo</a>.

Vous venez de claquer plusieurs milliers d’euros dans une solution antivirus dernier cri pour votre boîte car le commercial vous a convaincu avec du machine learning, de l’IA comportementale, du threat hunting prédictif et j’en passe…

Cool story ! Mais si je vous disais qu’un petit exécutable open source gratuit peut potentiellement passer à travers ? Ce programme s’appelle al-khaser et je vous assure qu’il va vous faire déchanter, car ce truc, c’est le détecteur de mensonges des solutions de cybersécurité.

Al-khaser est outil qui ne fait rien de méchant en soi… C’est ce qu’on appelle un PoC, un “proof of concept” avec de bonnes intentions car il rassemble dans un seul programme toutes les techniques que les vrais malwares utilisent pour se planquer tels que la détection de machines virtuelles, le contournement des débogueurs, l’échappement aux sandbox, et j’en passe.

Comme ça, si votre antivirus ne détecte pas al-khaser, il y a de bonnes chances qu’il rate aussi les vraies menaces qui utilisent les mêmes techniques.

Faut dire que les éditeurs d’antivirus et d’EDR adorent nous vendre leurs nouvelles fonctionnalités IA de fou alors que certaines de leurs solutions ne détectent même pas des techniques pourtant connues depuis longtemps.

Al-khaser met donc tout ça en lumière de façon assez brutale en enchaînant des dizaines de vérifications. Par exemple, il va regarder si votre processeur a vraiment le bon nombre de cœurs ou si c’est une simulation. Il va checker l’adresse MAC de votre carte réseau pour voir si elle correspond à un hyperviseur VMware ou VirtualBox. Il va mesurer le temps d’exécution de certaines opérations pour détecter si le système est accéléré artificiellement, comme dans une sandbox d’analyse. Il va même tester des API Windows classiques comme IsDebuggerPresent ou CheckRemoteDebuggerPresent pour voir si quelqu’un espionne son exécution.

Maintenant si vous voulez tester les protections anti-debug de votre système, vous tapez :

al-khaser.exe –check DEBUG –sleep 30

Oui si vous voulez voir si votre virtualisation VMware ou QEMU est bien masquée :

al-khaser.exe –check VMWARE –check QEMU

Bien sûr, ces techniques ne sortent pas de nulle part car elles sont documentées depuis des années notamment dans ce référentiel dont je vous déjà parlé .

Les équipes de pentest et les red teams adorent al-khaser car ça leur permet de montrer aux décideurs que leur gros investissement en cybersécurité n’est peut-être pas aussi solide qu’ils le pensaient. Vous lancez l’outil un vendredi après-midi dans un environnement de test, et vous voyez instantanément ce que votre EDR détecte ou pas.

Voilà, une fois encore, rassurez-vous, al-khaser ne fait rien de malveillant… Il ne vole pas de données, ne chiffre pas vos fichiers, ne lance pas de ransomware mais se contente juste de lever la main et de dire “hé ho, je suis là, regardez moi, je fais plein de des trucs louches !!”.

Bien sûr, ne lancez pas al-khaser sur n’importe quelle machine car c’est un outil de test qui doit rester dans un environnement contrôlé. Si vous le lancez sur le réseau de prod sans prévenir votre équipe sécu, vous allez déclencher des alertes partout et recevoir des appels pas très sympathiques. Et surtout, juridiquement, vous devez avoir l’autorisation du propriétaire de l’infrastructure, sinon, vous risquez de gros ennuis.

Ce projet est open source, écrit essentiellement en C++, et disponible sur GitHub . Y’a plus qu’à vous monter une VM isolée, récupérer al-khaser, et voir ce que ça donne.

Vous vous souvenez de FCKGW-RHQQ2-YXRKT-8TG6W-2B7Q8 ?

Si vous avez touché à un PC entre 2001 et 2005, y’a des chances que oui ! C’était LA clé magique qui activait Windows XP sans broncher, celle qui circulait sur tous les forums, qui était sur tous les CD gravés, et toutes les installations pirates de la planète ! Dave Plummer, le gars qui a créé le Gestionnaire des tâches et le système d’activation de produits Windows chez Microsoft, vient de raconter sur son compte X toute l’histoire et c’est un régal à lire !

Déjà, pour les djeuns qui n’ont pas connu cette époque bénie, je vais vous donner un peu de contexte… Windows XP est sorti en octobre 2001 avec un super système d’activation antipiratage. E n gros, vous installiez le système, vous tapiez votre clé produit, et normalement ça vérifiait que vous n’utilisiez pas la même clé sur 50 machines. Sauf que FCKGW, elle, passait partout…. Des installations illimitées, aucune vérification, aucun blocage. Bref, le saint Graal du piratage Windows.

Et pendant des années, personne ne savait vraiment d’où elle venait. Une fuite ? Un employé de Microsoft rebelle ? Un hack génial ? Hé bien selon Dave Plummer, la vérité est à la fois plus simple et plus embarrassante pour Microsoft. En fait, cette clé, c’était une VLK, c’est à dire une Volume License Key. Les VLK ce sont des clés qui étaient faites pour les grandes entreprises qui devaient installer Windows sur des centaines de machines sans se taper l’activation à chaque fois. Microsoft les whitelistait directement dans le code d’activation de l’OS pour qu’elles passent sans contrôle.

Le problème, ou plutôt le GROS FUCKING PROBLEME, c’est que FCKGW a fuité seulement 5 petites semaines AVANT la sortie officielle de Windows XP. Oups la boulette !

C’est le groupe warez devils0wn a mis la main dessus et l’a balancée dans la nature et comme elle était whitelistée, Microsoft ne pouvait pas la désactiver sans casser toutes les installations légitimes des entreprises qui l’utilisaient. Du coup, bah y’avait plus rien à faire et ils ont laissé comme ça…

Dave Plummer explique que ça a été l’un des plus gros échecs de sécurité de Microsoft… la clé a circulé pendant des années, installée sur des millions de machines à travers le monde. Vous alliez chez un pote pour “réparer son PC”, vous sortiez votre CD Windows XP gravé, vous tapiez la FCKGW, et hop, il avait une installation propre et activée. Pas besoin de crack ni de keygen douteux. C’était royal !

Le truc marrant, c’est que pas mal de monde connaissait cette clé par cœur. Perso, j’ai pas été loin non plus de savoir la réciter par cœur les yeux fermés, à force de la taper. FCKGW-RHQQ2-YXRKT-8TG6W-2B7Q8 est gravée dans la mémoire collective de toute une génération de bidouilleurs PC, au même titre que les codes de GTA ou que la mélodie du modem 56k.

Voilà pour cette jolie histoire… Aujourd’hui, Windows XP n’est plus supporté depuis 2014, et cette clé ne sert plus à rien et Microsoft s’en fout d’ailleurs probablement. Mais 20 ans plus tard, on s’en souvient encore et c’est devenu un fail légendaire de plus dans l’histoire de l’informatique !

Source

Vous faites du pentest, de la recherche en sécu ou vous êtes juste un curieux qui aime bidouiller des environnements de test ? Dans ce cas, il faut absolument que vous vous montiez un lab cybersécurité ! Mais c’est vai que c’est souvent la galère… Y’a Active Directory à configurer, des VMs Windows à déployer, des réseaux isolés à créer, tout ça manuellement… Ça prend des heures, voire des jours. Heureusement, Ludus règle le problème ! Vous décrivez ce que vous voulez dans un fichier YAML, vous tapez une commande, et hop, votre lab est prêt.

Ludus , c’est donc un système d’automatisation open-source qui tourne sur Proxmox. Vous définissez votre environnement de test (ce qu’ils appellent un “range”) dans un fichier de config, et Ludus s’occupe de tout déployer. Active Directory, machines Windows avec Office et Chocolatey, réseaux isolés, firewall rules personnalisées, DNS interne… Tout ce qu’il faut pour un lab de red team, blue team ou purple team.

Le truc cool, c’est que Ludus utilise Packer et Ansible en arrière-plan. Les templates sont construits à partir d’ISOs vérifiées, et tout est déployé de manière reproductible. Comme ça si vous voulez 255 VLANs, pas de souci. Si vous avez besoin de règles firewall custom ou de définir rôles Ansible pour configurer vos machines, c’est fastoche. Bref, Ludus vous laisse faire du high-level en YAML tout en gérant la complexité technique pour vous.

L’isolation est également bien pensée. Vous pouvez couper vos VMs d’internet, prendre des snapshots avant de leur autoriser l’accès, et ne whitelister que les domaines ou IPs spécifiques dont vous avez besoin. Du coup, pas de télémétrie qui fuit, pas de mises à jour Windows qui cassent votre environnement de test. Vous contrôlez tout !

Pour l’accès, Ludus intègre un serveur WireGuard ce qui vous permettra de vous connecter depuis n’importe où via SSH, RDP, VNC ou KasmVNC. Pratique si vous voulez accéder à votre lab depuis l’extérieur sans exposer vos machines de test sur internet.

Techniquement, ça tourne uniquement sur Debian 12/13 avec Proxmox 8/9. Il vous faudra au minimum 32GB de RAM par range (environnement de test), 200GB de stockage initial plus 50GB par range supplémentaire, et un CPU x86_64 avec un score Passmark au-dessus de 6000. C’est des specs correctes, mais pas non plus délirant si vous montez un serveur dédié pour ça.

Après une fois que c’est en place, le workflow pour les utilisateurs est assez simple. Vous récupérez une clé API et une config WireGuard auprès de l’admin du serveur Ludus, vous installez le client Ludus, vous importez votre VPN, et vous pouvez gérer votre range via la ligne de commande.

Le projet est sous licence AGPLv3, donc full open-source et comme d’hab, le code est sur GitHub . C’est en train de devenir un outil de référence dans la communauté sécu pour qui veut des environnements de test reproductibles.

Bref, si vous en avez marre de passer des heures à configurer vos labs à la main, pensez à Ludus ! Un fichier YAML, une commande vite fait, et votre infrastructure de test est toute prête ! Après, vous pouvez toujours aller bidouiller manuellement dans Proxmox si besoin, Ludus ne vous en empêchera pas, mais pour le gros du boulot chiant, il automatisera tout.

Ah et la documentation est ici !

Peut-être que vous le connaissez déjà, mais si ce n’est pas le cas, sachez qu’il existe un site qui tracke méticuleusement toutes les apocalypses ratées ! Et actuellement et le compteur affiche fièrement 201 échecs et 0 succès. Ouf, tant mieux ! Ce site c’est le Doomsday Scoreboard de March1 Studios, et c’est un peu le panneau “X jours sans accident” des usines, mais inversé puisqu’ici on célèbre le fait que les prophètes se plantent avec la régularité d’un métronome cassé.

La dernière en date c’est l’apocalypse du 23 septembre 2025. Joshua Mhlakela, un pasteur sud-africain, avait posté des vidéos expliquant que le “Rapture” (le retour de Jésus) allait se produire ce jour-là. Les vidéos sont devenues virales sur TikTok sous le hashtag #RaptureTok, parce que bien sûr, même l’apocalypse a besoin d’influenceurs maintenant et y’a même des gens qui ont quitté leur job pour se préparer ou fait des tutos à la con du genre “5 conseils pour survivre au Rapture”.

Autant vous dire que le réveil normal du 24 septembre a dû être chelou et plein de mauvaise foi.

Mais le vrai champion toutes catégories de ces apocalypses, c’est Harold Camping. Lui il a fait 12 prédictions ratées. C’est plus que le nombre de Fast and Furious ^^ et sa prédiction la plus célèbre, sortie en mai 2011, il l’a financée avec des millions de dollars en publicité : 5000 panneaux d’affichage, 20 camping-cars sillonnant les États-Unis. Il avait calculé que c’était exactement 7000 ans après le déluge biblique, donc forcément, ça devait matcher.

Puis le 22 mai, après sa prédiction ratée, il s’est déclaré complètement débousolé ! Imaginez, vous claquez des millions pour annoncer la fin du monde, et le lendemain vous devez sortir les poubelles. Du coup pour sauver la face, il a dit “Ah non en fait c’était spirituel, la vraie c’est en octobre”. Je vous rassure, ça a foiré aussi en octobre et toutes les fois d’après.

William Miller, lui aussi c’est un autre roi du pivot stratégique. En 1843, il prédit la fin du monde devant 100 000 personnes mais bien sûr, ça a foiré “Pardon les gars, j’ai refait les calculs, c’est octobre 1844”. Et le 22 octobre 1844, toujours rien. Le résultat de ce double échec s’appelle même la Grande Déception , et honnêtement, le nom est bien trouvé. Mais Miller ne s’est pas découragé : il a juste dit que ça s’était passé au paradis, donc vous n’avez rien vu. C’est d’ailleurs de là qu’est née l’Église Adventiste.

Niveau récupération de fail, chapeau ! On dirait ces gens bizarres sur les réseaux sociaux qui repoussent chaque mois depuis 2020, leur prédiction de tous ces millions de morts provoqués à cause d’un vaccin Covid qui devait normalement joncher nos rues. Ahahaha qu’est ce qu’on se marre ^^.

Les Témoins de Jéhovah ont aussi leur propre série de ratés : 1914, 1915, 1918, 1920, 1925, 1941, 1975, 1994. La prédiction de 1925 était d’ailleurs annoncée comme plus certaine que celle de 1914 selon les Écritures. Résultat ? Entre 1925 et 1928, ils ont perdu 80% de leurs membres, déçus. La réponse officielle a été que ça avait aidé à séparer les fidèles des autres. Ça c’est du marketing de crise de champions !

En 2012 (vous vous souvenez de cette apocalypse là ?), un sondage dans 20 pays montrait que 14% des gens pensaient que le monde finirait de leur vivant. Aux États-Unis, c’était même plus de 20%. Et en 2022, 39% des Américains croyaient vivre la fin des temps. Autrement dit, 4 personnes sur 10 parient sur un cheval qui a perdu ses 201 dernières courses. Les paris sportifs sont moins risqués…

Le calendrier Maya de 2012, c’était peut-être d’ailleurs la plus grosse en termes de couverture médiatique. La fin du Grand Cycle du calendrier Maya a été interprétée comme la fin du monde avec des films catastrophe, des documentaires alarmistes, des ventes de bunkers qui explosent…etc. Puis le jour J, le 22 décembre 2012, réveil normal, café normal, métro normal. Hé oui, les Mayas n’avaient jamais dit que c’était la fin, juste que leur calendrier recommençait un nouveau cycle. Mais bon, ça fait moins de clics.

On a un peu le même truc en ce moment avec la comète 3I/ATLAS. Je vois dans Google News des tas de médias merdiques nous expliquer une fois que c’est un vaisseau alien qui ralenti pour venir nous achever, et une autre fois que le machin nous arrive droit dessus pour nous atomiser…

Et dire qu’il suffit d’aller lire 2/3 articles sérieux sur le sujet pour capter qu’on ne risque rien. Le machin va juste passer, on va lui faire coucou et on ne le reverra jamais… Breeeef, la connerie et la peur n’a pas de limites malheureusement.

Et le site Doomsday Scoreboard ne se contente pas uniquement d’archiver les échecs. Il liste aussi les apocalypses en attente. En ce moment y’a 8 prédictions pour 2025-2026. Donc 8 nouvelles chances de voir le compteur passer à 209 apocalypses ratées. Ce que j’aime bien avec ce site en tout cas, c’est qu’il transforme des annonces plutôt déprimantes en performance artistique.

Le compteur qui tourne, le total des échecs qui s’incrémente, les liens vers les sources Wikipedia pour chaque prédiction…etc. C’est à la fois un joli devoir de mémoire et une bonne blague ! En tout cas, pour le moment, c’est le seul domaine où l’humanité affiche un taux de fiabilité de 100% !

Voilà… Maintenant, rendez-vous dans 249 jours pour savoir si l’apocalypse aura lieue ou si vous devrez quand même aller bosser le lendemain.

Merci à Lilian pour le lien !