Si comme moi, vous avez grandi avec Duke Nukem 3D, vous vous souvenez forcément de ces sprites 2D qui tournaient sur eux-mêmes quand vous faisiez le tour d’un ennemi. C’était l’époque, on faisait avec les moyens du bord… Un jour j’ai même tenté de passer entre les jambes d’un ennemi, mais en vain. Quel con ^^.

Hé bien vous allez kiffer car le moddeur Cheello vient de sortir un mod qui transforme tous ces sprites en modèles 3D voxelisés, et c’est magnifique.

Vous voyez cet emoji ? 😎󠄺󠄗󠅑󠅙󠄐󠅠󠅑󠅣󠄐󠅥󠅞󠄐󠅠󠅕󠅥󠄐󠅜󠅕󠄐󠅝󠅕󠅙󠅜󠅜󠅕󠅥󠅢󠅣󠄐󠅣󠅙󠅤󠅕󠄐󠅔󠅥󠄐󠅝󠅟󠅞󠅔󠅕󠄐󠄯 Hé bien, il contient peut-être un message secret que vous ne pouvez pas voir.

Non je ne suis pas devenu fou, c’est de la stéganographie Unicode et c’est le sujet de ma dernière vidéo.

L’idée c’est de planquer du texte invisible à l’intérieur de n’importe quel caractère grâce aux sélecteurs de variation Unicode. Ces petits caractères invisibles se glissent après un emoji et peuvent encoder un message complet. À l’oeil nu, vous voyez juste un smiley. Mais en réalité, y’a peut-être tout un paragraphe caché dedans.

Dans cette vidéo, je vous montre donc comment utiliser l’outil open source de Paul Butler pour encoder et décoder vos propres messages. On teste aussi si ChatGPT arrive à lire ces messages cachés et je vous explique les applications concrètes comme le watermarking de contenu ou l’envoi de messages discrets.

C’est une technique à la fois fun et utile à connaître, que ce soit pour protéger vos créations ou juste pour impressionner vos potes geeks.

J’ai tout expliqué en 13 minutes, accessible même si vous n’y connaissez rien en Unicode. Et un grand merci à mes soutiens sur Patreon sans qui rien ne serait possible !

Vous connaissez peut-être FUSE (Filesystem in Userspace), ce truc qui permet de créer des systèmes de fichiers custom sans toucher au noyau Linux. C’est grâce à lui notamment qu’on peut monter un Google Drive, un bucket S3 ou même un dossier distant via SSH comme un simple répertoire local.

Hé bien, Rohan Gupta a poussé ce concept jusqu’à l’absurde en créant LLMfuse, un système de fichiers où toutes les opérations sont gérées par un modèle de langage fine-tuné.

Ainsi, quand vous faites un ls, un chmod ou un cat sur ce filesystem, c’est un LLM qui répond et chaque opération FUSE devient une requête au modèle. Pour parvenir à ces fins, le développeur a entraîné un Qwen3-4B sur environ 15 000 paires prompt/completion générées à partir de simulations d’opérations filesystem. Le modèle a alors appris à lire le contenu des fichiers, modifier les métadonnées, et même à représenter l’arborescence complète en XML.

Bon, dit comme ça, ça ressemble à une expérience de savant fou un peu conne… Mais y’a un truc vraiment intéressant qui découle de tout ça. En effet, l’auteur a découvert que la combinaison du codage arithmétique avec son modèle fine-tuné permettait d’atteindre des taux de compression délirants. Sur un fichier texte classique, il obtient par exemple une compression 22 fois meilleure que gzip. Et pour une arborescence de fichiers représentée en XML, c’est environ 8 fois mieux que squashfs.

Alors comment c’est possible cette magie noire ? Bah ça remonte au théorème de Shannon de 1948 sur l’entropie où plus un modèle prédit bien les données, moins il faut de bits pour les encoder. Un LLM fine-tuné sur un type de données spécifique devient alors un compresseur hyper efficace pour ces données.

L’auteur est le premier à admettre que c’est une expérimentation, donc, pas de quoi vous emballer non plus… Après si vous souhaitez l’utiliser, vous avez besoin d’un GPU, que l’intégralité du système de fichiers tienne dans la fenêtre de contexte du modèle, et ça ne marche vraiment bien que sur des données textuelles. Pour vos vidéos 4K ou votre bibliothèque de jeux Steam, on repassera… snif…

D’ailleurs, le fait que lipsum.txt (le classique Lorem Ipsum) soit surreprésenté dans les données d’entraînement des LLM aide beaucoup à gonfler les chiffres de compression mais même sur d’autres types de textes “normaux” qui ressemblent à ce qu’on trouve sur Internet, les gains restent entre 5x et 20x par rapport à gzip.

Le code source est disponible sous licence MIT, avec notamment un utilitaire CLI appelé llmencode que vous pouvez tester en local si vous avez une bonne carte graphique sous la main.

Amusez-vous bien !

Source

Les chercheurs de Cato Networks viennent de publier leurs travaux sur une nouvelle technique d’attaque baptisée HashJack, et l’idée c’est d’exploiter les fragments d’URL, vous savez le petit # suivi d’un truc à la fin des adresses web, pour injecter des instructions malveillantes dans les assistants IA intégrés aux navigateurs.

En temps normal, tout ce qui se trouve après le # dans une URL ne quitte jamais votre navigateur et c’est utilisé pour naviguer vers une section précise d’une page web, et les serveurs web ne voient jamais cette partie. Du coup, les outils de sécurité réseau non plus. Et c’est justement là que ça devient vicieux…

Car les assistants IA comme Gemini dans Chrome, Copilot dans Edge ou Comet de Perplexity ont accès à l’intégralité de l’URL, fragment compris. Un attaquant peut donc crafter une URL d’apparence légitime avec des instructions cachées après le #, et quand vous demandez à votre assistant IA de vous aider avec cette page, il va gentiment exécuter les commandes planquées. Cato Networks décrit ça comme la première injection de prompt indirecte capable de transformer n’importe quel site légitime en vecteur d’attaque.

D’après les tests de l’équipe de Cato, les scénarios d’attaque possibles sont variés puisque ça va du phishing classique où l’assistant vous donne un faux numéro de téléphone à appeler, à l’exfiltration de données vers des serveurs contrôlés par l’attaquant. Y’a aussi la désinformation avec de fausses infos boursières ou médicales, ou encore des instructions détaillées pour installer des backdoors.

Bref, c’est le jackpot pour les attaquants.

Niveau compatibilité de l’attaque, les trois principaux touchés sont Gemini pour Chrome, Copilot pour Edge et Comet de Perplexity. Bonne nouvelle quand même, Claude pour Chrome et Atlas d’OpenAI ne sont pas vulnérables, puisqu’iils n’accèdent pas directement aux fragments d’URL.

Côté réponse des éditeurs, c’est un peu le grand écart puisque Perplexity a classé le problème comme critique et a appliqué un correctif, Microsoft a fait pareil pour Copilot fin octobre mais par contre, Google a décidé de classer ça comme un “comportement attendu” et a marqué le bug en “Won’t Fix”.

Argh !! Donc si vous utilisez Gemini dans Chrome, vous êtes toujours exposé les amis !

Après faut relativiser quand même car l’attaque nécessite plusieurs étapes d’interaction de la part de l’utilisateur. C’est pas juste cliquer sur un lien et hop vous êtes pwned. Il faut visiter la page vérolée ET demander à l’assistant IA d’interagir avec le contenu. Mais bon, vu que de plus en plus de gens utilisent ces assistants pour des tâches quotidiennes, le risque existe.

D’ailleurs, HashJack s’inscrit dans une tendance plus large. Brave a publié une étude montrant que l’injection de prompt indirecte est un défi systémique pour toute la catégorie des navigateurs boostés à l’IA et des techniques similaires ont été testées avec succès contre Atlas de ChatGPT et d’autres. Même le CISO d’OpenAI admet que, je cite “l’injection de prompt reste un problème de sécurité non résolu à la frontière de la recherche”.

Voilà, si vous utilisez un Navigateur IA, soyez vigilant sur les URLs bizarres qu’on vous envoie et si c’est Gemini dans Chrome, peut-être qu’il vaut mieux attendre que Google se décide à considérer ça comme un vrai problème de sécu… ces fous !

Source

Salut les boomers ! Je sais que vous jouez comme des pieds aux jeux vidéo, mais est-ce que vous avez déjà rêvé de jouer aux jeux vidéo avec vos pieds ?

Perso, moi, non. Mais Gustavo Bonzanini , un designer basé à Singapour, l’a quand même fait. Pour célébrer les 35 ans du lancement de la Super Nintendo au Japon, il a créé l’AIR SNES. C’est une paire de Nike Air Max 90 customisées avec une console SNES entièrement fonctionnelle intégrée dedans.

Le mec s’est dit “les collabs entre marques de sneakers et jeux vidéo c’est cool, mais ce serait pas encore plus cool si les chaussures qui ressemblent à des consoles étaient vraiment des consoles ?”.

Ah les artistes 🤪 !

Résultat, un Raspberry Pi Zero W qui tourne sous RetroPie, planqué dans la languette de la basket, et hop, ça va faire le tour du monde !

Niveau specs, on a donc une autonomie d’environ 30 minutes de jeu (oui c’est court, mais c’est une chaussure les gars), un port HDMI intégré pour brancher sur une télé, plus un petit convertisseur RCA pour les écrans vintage. Et côté manettes, ça supporte les pads SNES originaux mais aussi les kits 8BitDo pour du sans fil via le Bluetooth.

Parce que jouer avec des fils qui sortent de sa basket, c’est moyen pratique quand même. Et si vous vous demandiez, oui, c’est vraiment jouable. Le designer a montré des vidéos où il fait tourner Donkey Kong Country sur son pied. C’est clairement un projet artistique complètement barré, et pas un produit commercial viable et c’est exactement pour ça que c’est génial !

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/air-snes-super-nintendo-nike-air-max-raspberry-pi/air-snes-super-nintendo-nike-air-max-raspberry-pi-1.mp4">lien vers la vidéo</a>.

Je viens de tester Meshy et leur nouveau modèle Meshy 6 dispo en preview est très impressionnant ! Donc je ne pouvais pas passer à côté d’un petit article sur mon site. Pour vous faire un topo rapidos, c’est un générateur de modèles 3D par IA qui permet de créer des assets 3D à partir d’une image, d’une photo, d’un assemblage de plusieurs images ou simplement d’une description textuelle (un prompt quoi). Et le résultat est foufou !

Meshy 6 Preview a été lancé mi-octobre et c’est un bond qualitatif énorme par rapport à la version précédente. On parle de détails au niveau “sculptural”, avec des surfaces plus riches, des structures géométriques plus précises, des expressions plus réalistes pour les personnages. Pour les modèles hard-surface (objets mécaniques, architecture…), les bords sont également plus nets et les formes plus claires.

Concrètement vous uploadez une image ou vous tapez une description, et en quelques secondes vous avez un modèle 3D exploitable. Y’a aussi une fonction de texturing IA qui permet de coloriser vos modèles ou d’appliquer la texture de la photo que vous avez uploadée. C’est vraiment bien foutu et vous pouvez même générer des images multi-angles avant la conversion 3D pour un résultat plus précis, ou faire du batch processing pour créer jusqu’à 10 assets d’un coup.

Côté exports, tous les formats standards sont supportés : GLB, FBX, OBJ, STL, USDZ, BLEND… avec les PBR maps (Diffuse, Roughness, Metallic, Normal) pour une intégration directe dans vos outils de prod. Y’a même du rigging automatique et une bibliothèque de plus de 500 animations pour les personnages.

Maintenant le hic c’est qu’en mode gratuit (100 crédits/mois), vous pouvez générer des modèles mais pas les télécharger (en tout cas avec Meshy 6). C’est un peu frustrant mais si vous allez fouiller dans la console développeur de votre navigateur, vous pouvez facilement récupérer le fichier .glb qui est chargé pour la prévisualisation. Ensuite vous le convertissez en STL ou autre format si ça vous amuse. Je dis ça, je dis rien… ^^

Pour ceux qui veulent faire les choses proprement, y’a également un plan Pro à 20$/mois et un plan Studio à 60$/mois avec tous les exports débloqués. La boîte cartonne avec 15 millions de dollars de revenus annuels, 5 millions d’utilisateurs et plus de 40 millions de modèles générés. Ils sont clairement devenus la référence du marché 3D GenAI.

Bref, que ce soit pour du prototypage rapide, du jeu vidéo, de l’impression 3D ou juste pour vous amuser, Meshy 6 vaut vraiment le coup !

Encore merci à Bot_0x pour la découverte !

Vous vous souvenez de Garry’s Mod ? J’en ai parlé y’a loooongtemps !! C’est ce bac à sable complétement dingue où on pouvait faire absolument n’importe quoi avec le moteur Source de Valve.

Eh bien bonne nouvelle les amis, puisque Facepunch, le studio derrière Garry’s Mod (et aussi les créateurs de Rust), vient de frapper un grand coup en passant s&box en open source sous licence MIT.

S&box est une plateforme de création de jeux construite sur Source 2 (le moteur de Half-Life: Alyx et Counter-Strike 2) combiné avec .NET 10. Le truc, c’est que contrairement à Unity ou Unreal où vous créez votre jeu dans votre coin, s&box adopte un modèle plus proche de Roblox. Vous créez des “expériences” jouables directement via la plateforme, avec un launcher qui permet aux joueurs de découvrir et rejoindre les créations de la communauté.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/sbox-facepunch-garrys-mod-open-source-mit/sbox-facepunch-garrys-mod-open-source-mit-1.mp4">lien vers la vidéo</a>.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/sbox-facepunch-garrys-mod-open-source-mit/sbox-facepunch-garrys-mod-open-source-mit-2.mp4">lien vers la vidéo</a>.

Vous connaissez ces dessins où une seule ligne continue forme un visage ou un portrait ? Hé bien c’est exactement ce que fait Spiral Betty , un petit outil en ligne gratuit qui convertit n’importe quelle photo en spirale artistique.

Vous uploadez une image, vous la cadrez dans un cercle, et l’outil génère une spirale unique dont l’épaisseur varie pour reproduire les contrastes de votre photo. Ça fait donc une seule ligne qui part du centre et s’enroule jusqu’au bord, avec des variations d’épaisseur qui font apparaître votre image comme par magie.

L’idée est en fait inspirée d’une technique du 17ème siècle quand Claude Mellan , un peintre et graveur français, avait créé une œuvre célèbre appelée “ Sudarium of Saint Veronica ” représentant le visage du Christ avec une seule ligne en spirale partant de la pointe du nez. Spiral Betty démocratise donc cette technique et vous permet de faire pareil avec la tête de votre chat, votre tronche ou celle de belle-maman.

Pour que ça rende bien, faut quand même respecter quelques règles. L’image doit être simple avec un bon contraste, pas trop de détails fins, et idéalement un gros plan de visage (humain ou animal) qui rentre bien dans un cercle. Si vous balancez une photo de groupe ou un paysage chargé, le résultat sera illisible.

Une fois votre spirale générée, vous pouvez ajuster le nombre d’anneaux avec un curseur. Plus y’a de spirales, plus y’a de détails… mais aussi plus c’est fin à découper si vous voulez en faire quelque chose de physique. D’ailleurs, pas mal de gens utilisent ça avec des machines de découpe type Cricut pour faire des stickers en vinyle ou des décorations.

Et justement, ça ouvre des possibilités sympas niveau DIY car on peut imaginer découper ça au laser, l’imprimer en 3D en relief, en faire des dessous de verre, des cadres déco…etc. Le format SVG que génère l’outil se prête bien à ce genre de bidouilles.

Voilà, le site est gratuit et y’a aussi des apps mobiles si vous préférez faire ça sur votre téléphone.

Merci à Bot_0x pour l’info !

Marre de passer par WeTransfer ou Google Drive pour envoyer un fichier à quelqu’un ? Bah ouais, faut se créer des comptes, attendre que ça upload sur un serveur tiers, et puis est ce que vous savez ce qu’ils font réellement de vos données ?

Ça tombe bien alors car AltSendme est fait pour vous ! C’est un fork

C’est une application desktop open source (sous licence AGPL-3.0) qui permet d’envoyer des fichiers directement d’un ordi à un autre en peer-to-peer. Pas de serveur intermédiaire, pas de stockage cloud, pas de compte à avoir, vous déposez simple votre fichier sur l’app et celle-ci génère un code de partage (un “ticket”) que vous devez ensuite envoyer à votre destinataire par le moyen de votre choix (mail, SMS, chat, pigeon voyageur…), et le transfert se fait en direct !

Le truc cool avec AltSendme c’est que ça utilise, tout comme SendMe , la techno Iroh pour le networking P2P avec du QUIC + TLS 1.3 pour le chiffrement. Donc vos fichiers sont chiffrés de bout en bout et ne transitent jamais par un serveur tiers. Et si la connexion directe entre les deux machines n’est pas possible (becoz du NAT un peu capricieux), l’app fait du hole punching automatique et peut basculer sur un relais chiffré en fallback.

Côté performances, ça peut monter jusqu’à 4 Gbps en théorie ce qui est pas mal pour du P2P. Et si votre connexion saute en plein transfert, pas de panique les amis puisque les téléchargements peuvent reprendre là où ils en étaient.

L’application est dispo sur Windows, macOS et Linux et le code est sur GitHub . Y’a même une interopérabilité possible avec l’outil CLI sendme pour ceux qui préfèrent le terminal. Notez aussi que le dev accepte les dons via Buy Me a Coffee ou GitHub Sponsors si vous voulez soutenir le projet.

Bref, si vous cherchez une alternative à WeTransfer qui respecte votre vie privée et qui ne fait pas transiter vos fichiers par des vilains serveurs d’américains, AltSendme vaut le détour !

Merci à Lorenper pour la découverte !

Vous vous souvenez des vieux iPod touch ? Je dois encore en avoir un qui traine au fond d’un tiroir et malheureusement, l’iPod touch de 3ème génération, sorti en 2009, n’a jamais officiellement reçu iOS 6 puisqu’Apple a décidé de le laisser sur le bord de la route avec iOS 5.1.1. Snif c’est pas gentil ! Mais c’était sans compter sur NyanSatan , un dev qui vient de prouver que c’était parfaitement possible faire tourner iOS 6 dessus.

Le projet s’appelle SundanceInH2A et l’idée bien que tordue est géniale, vous allez voir. En effet, l’iPod touch 3 partage quasiment le même hardware que l’iPhone 3GS qui, lui, a eu droit à iOS 6 officiellement. C’est la même famille de puces (S5L89xx), une architecture proche et donc on peut se demander pourquoi Apple n’a pas voulu le support si c’était aussi similaire. Probablement une histoire de segmentation marketing, mais bon, bref, passons…

La manip c’est donc de prendre le firmware iOS 6 de l’iPhone 3GS et de le transplanter sur l’iPod touch 3. Mais ça implique de modifier pas mal de trucs : le DeviceTree (la carte d’identité matérielle du device), le kernelcache (le noyau + toutes ses extensions), le bootloader iBoot, et même des morceaux du système comme le dyld shared cache.

Le plus technique dans l’histoire, c’est la reconstruction du kernelcache car l’iPod touch 3 avait des builds internes d’iOS 6 avec un noyau compatible, mais les kexts (extensions kernel) n’étaient pas tous présents. Du coup, NyanSatan a dû utiliser un outil Apple non public appelé kcgen pour reconstruire tout ça proprement. Et pour installer ce firmware modifié sans que l’appareil refuse de démarrer, il a exploité une faille HFS+ dans le bootloader d’iOS 5, permettant un jailbreak untethered.

Cette restauration prend alors environ 5 minutes et vous vous retrouvez sur l’écran de configuration d’iOS 6. Bon après, faut pas s’attendre à des miracles niveau utilisation quotidienne car iOS 6 date quand même de 2012 ce qui fait que la plupart des services en ligne (y compris ceux d’Apple) ne fonctionnent plus. Mais pour les collectionneurs et les curieux de l’archéologie iOS, c’est un exploit technique sympa !

Si vous bidouiller un peu de machine learning et que vous avez la flemme de coder une interface web from scratch pour montrer vos jolis modèles, vous connaissez probablement Gradio , cette librairie Python qui permet de créer des démos interactives en quelques lignes de code.

Hé bien, excellente nouvelle, la version 6 vient de sortir et elle apporte pas mal de nouveautés intéressantes.

La grosse news de cette mise à jour , c’est d’abord la refonte complète de l’architecture avec le passage à Svelte 5 . Pour ceux qui s’en fichent du frontend, ça veut dire concrètement que vos apps seront plus légères et plus rapides à charger. L’équipe a aussi bossé sur l’optimisation des files d’attentes (quand y’a du monde sur votre démo), surtout pour les serveurs MCP (Model Context Protocol), donc si vous hébergez des trucs sur Hugging Face Spaces, vous devriez sentir la différence.

Côté fonctionnalités, y’a aussi quelques ajouts sympas comme le support natif des sous-titres pour les vidéos et l’audio, une nouvelle interface “MultimodalTextbox” améliorée pour le mobile (qui était franchement pas terrible avant), et pour ceux qui font des apps multipages, y’a maintenant un composant “Navbar” dédié à ça !

Le truc qui va plaire aux devs aussi, c’est qu’on peut désormais écrire des composants web personnalisés directement en HTML/JavaScript inline dans le code Python. Comme ça, plus besoin de sortir l’artillerie lourde avec des outils de build externes. Vous collez juste votre HTML, votre JS, et c’est parti mon kiki.

Par contre, attention si vous avez des projets existants… Y’a des changements qui vont casser des trucs. Par exemple, le format tuple dans le Chatbot a été supprimé, le composant Sketch est déprécié, et pas mal de paramètres ont bougé dans les composants graphiques natifs. L’équipe a quand même prévu un guide de migration avec des warnings de dépréciation pour vous aider à faire la transition.

A partir de maintenant, seule la branche 6.x sera maintenue, donc si vous êtes encore sur une vieille version, c’est le moment de migrer. La mise à jour se fait classiquement avec un

pip install --upgrade gradio

Notez que Gradio 6 nécessite Python 3.10 minimum et le support de Python 3.14 a été ajouté pour vous, les early adopters ^^.

Voilà, si vous faites du ML ou autre et que vous voulez montrer vos démos sans vous prendre la tête avec du React ou du Vue, Gradio reste une valeur sûre, et avec cette version 6 qui arrive, ce sera encore plus fluide et rapide !

Source

Le concept ici c’est de prendre la série animée trash de Trey Parker et Matt Stone et de la transformer en film d’époque grâce à l’IA. Ça commence donc de manière assez réaliste avec les personnages principaux en version live-action rétro avec une petite voix off à l’ancienne… puis ça part complètement en vrille quand on arrive à Mr. Garrison, Satan et Mr. Hankey (mon préféré).

Et pour ceux qui se demandent, le Super Panavision 70 c’était le format cinéma panoramique haute résolution utilisé pour les grandes productions hollywoodiennes dans les années 50-70 pour Ben-Hur, 2001 l’Odyssée de l’espace, ce genre de trucs épiques.

Vous voyez ces poignées de porte toutes lisses qui s’escamotent dans la carrosserie pour faire genre “je suis une voiture du futur” ? C’est ce qu’il y a sur les Tesla et sur les Ioniq 5 . Hé bien la Chine en a marre de ce design qui privilégie le look au détriment de la sécurité, et a décidé d’agir !

En effet, les régulateurs chinois planchent sur une interdiction pure et simple des poignées entièrement rétractables dès juillet 2027. L’idée c’est d’imposer un système de secours mécanique sur toutes les bagnoles, parce que oui, quand votre voiture électrique prend feu et que le système électronique tombe en rade… Bah bonne chance pour sortir mes petites merguez !

Le problème n’est pas nouveau, mais les drames s’accumulent. Plusieurs passagers de Tesla sont morts brûlés vifs après des accidents parce que les portes refusaient de s’ouvrir et en novembre 2024, cinq personnes sont décédées dans un Model S au Wisconsin après avoir percuté un arbre… Les témoins ont entendu leurs cris durant 5 minutes. Horrible ! Et dernièrement, en Californie, trois ados sont morts carbonisés dans un Cybertruck la veille de Thanksgiving. Les poignées électroniques avaient cramé avec le reste.

Heureusement, le NHTSA (le régulateur américain) a enfin ouvert les yeux et demande des comptes à Tesla avant le 10 décembre. L’enquête qui visait 174 000 Model Y s’étend maintenant à d’autres modèles, ce qui est parfaitement normal et rassurant vu qu’ils ont déjà recensé au moins 9 cas de personnes coincées à l’intérieur pendant que des passants tentaient de casser les vitres pour les sortir.

Et le pire dans cette technologie de poignées du tur-fu, c’est que le gain aérodynamique est ridicule. Selon les ingénieurs , une réduction de 0,01 du coefficient de traînée, ça économise à peine 0,6 kWh pour 100 km… Soit que dalle. En plus, le surpoids des moteurs et mécanismes (7-8 kg) annule quasiment ce maigre bénéfice. Voilà, tout ça pour pouvoir dire que sa caisse fait 0,23 au lieu de 0,24 de Cx (C’est le coefficient de traînée aérodynamique).

Franz von Holzhausen, le designer en chef de Tesla, a admis à Bloomberg qu’ils bossent sur un redesign pour rendre les poignées “plus intuitives pour les occupants en situation de panique”. Youpi !

La bonne nouvelle c’est que les poignées semi-rétractables resteraient autorisées en Chine , du moment qu’elles ont un backup mécanique. Volkswagen a toujours opté pour ce compromis, et Audi propose désormais un câble rouge de secours qui se déploie automatiquement en cas de crash. Comme quoi, c’était pas si compliqué.

Voilà… On n’est encore sûr de rien mais si la Chine passe cette loi, y’a de grandes chances que ça impacte les designs mondiaux… Pas le choix quand on veut vendre sur le plus gros marché automobile de la planète. Mais quoiqu’il en soit, je trouvais que c’était une bonne nouvelle pour la sécurité de tout le monde !

Source

Bon alors là on atteint un niveau de chelou assez exceptionnel. Des chercheurs ont eu l’idée d’utiliser des trompes de moustiques morts comme buses pour faire de l’impression 3D haute résolution. Et ils ont baptisé ça le “necroprinting”… gloups !

Le principe c’est que la trompe du moustique (le proboscis pour les intimes) est une structure naturelle incroyablement fine, optimisée par des millions d’années d’évolution pour pénétrer la peau et aspirer le sang. Niveau précision, c’est donc du costaud et cette buse biologique serait 100% plus fine que les meilleures buses fabriquées par l’homme.

Une grosse lacune de Signal sur iPhone c’est qu’il était impossible de sauvegarder proprement son historique de messages. Par exemple, si vous changiez de téléphone ou si vous deviez réinstaller l’app, pouf, tout disparaissait.

Hé bien maintenant c’est terminé puisqu’ils viennent de lancer les Secure Backups sur iOS avec la version 7.86.

Techniquement, rien de magique, c’est simplement une sauvegarde chiffrée de bout en bout de tous vos messages et médias, protégée par une clé de récupération de 64 caractères générée localement. Et comme cette clé n’est jamais partagée avec les serveurs de Signal, cela veut dire que personne (même pas Signal) ne peut lire ou restaurer vos données sans elle. Les fichiers médias sont même chiffrés deux fois et modifiés pour masquer leur taille. Bref, du costaud niveau sécu.

Maintenant côté pratique, y’a deux formules. La version gratuite vous permet de stocker jusqu’à 100 Mo de messages texte, plus les photos, vidéos et fichiers des 45 derniers jours. Et si ça vous suffit pas parce que vous êtes un salop de riche ^^, y’a une offre payante à 1,99$/mois qui débloque le stockage de tout votre historique de messages plus jusqu’à 100 Go de médias sans la limite des 45 jours.

C’est d’ailleurs la première fois que Signal propose un truc payant donc ça va encore whiner chez les radins, mais l’idée c’est de couvrir les coûts de stockage des gros fichiers médias sans passer par la pub ou la revente de données. Bref, c’est cohérent.

Maintenant, pour activer tout ça, c’est hyper simple ! Vous allez dans Réglages > Sauvegardes > Configurer > Activer les sauvegardes. Et voilà… L’app génèrera votre clé de récupération, vous choisissez votre formule, et c’est parti mon kiki.

Signal avait déjà lancé cette fonctionnalité sur Android en septembre dernier et pour la suite, ils prévoient d’étendre les sauvegardes sécurisées à l’application desktop et de permettre le transfert d’historique chiffré entre Android, iOS et desktop. Cool non ?

Bref, si vous utilisez Signal sur iPhone, mettez à jour et activez les sauvegardes parce que perdre des années de conversations et tous les contacts de votre cartel pour un changement de téléphone, c’est vraiment pas cool ^^.

Source

Vous vous souvenez de Chat Control ? Ce projet de règlement européen qui voulait scanner tous vos messages privés pour détecter des contenus pédocriminels ? J’en avais parlé à l’époque et je m’étais bien énervé dessus. Hé bien après plus de 3 ans de négociations, de votes ratés, de blocages par l’Allemagne , les Pays-Bas et l’Autriche… le Conseil de l’UE a enfin trouvé un accord.

Et devinez quoi ? Bah c’est du vent.

Le grand compromis trouvé ce 26 novembre c’est donc de rendre le scanning… (roulements de tambours)… volontaire ! Oui, oui, volontaire. Ainsi, au lieu d’obliger toutes les messageries à scanner vos conversations, on leur demande gentiment si elles veulent bien le faire et en parallèle, on prolonge indéfiniment l’exemption qui permet déjà aux plateformes de scanner volontairement sans violer les lois européennes sur la vie privée. Je rappelle quand même que exemption devait expirer en avril 2026… Hé bien là, elle devient permanente.

Alors oui, techniquement c’est moins pire que le projet initial, mais quand même 3 ans de réunions à se tripoter la nouille, à payer des salaires, à faire des notes de frais, à bailler aux corneilles et j’en passe, pour nous pondre un magnifique “Bon ben finalement on change rien, les entreprises font ce qu’elles veulent”, je trouve ça magistral !

Et le pire c’est que même ce compromis light fait tiquer les experts en vie privée car quelques jours avant l’accord, un groupe de scientifiques a envoyé une lettre ouverte prévenant que le texte “présente toujours des risques élevés pour la société” sans bénéfices clairs pour les enfants. Les associations de défense des droits numériques dénoncent en fait une ruse politique car le texte mentionne que seront bonnes “toutes les mesures appropriées d’atténuation des risques” ce qui est une formulation suffisamment vague pour permettre aux gouvernements de dire plus tard que le scanning est essentiel pour la sécurité.

D’ailleurs Signal avait prévenu que si le scanning devenait obligatoire, ils quitteraient le marché européen plutôt que de compromettre le chiffrement de leurs utilisateurs. Bon au final c’est pas arrivé, mais ça donne une idée de l’ambiance.

Voilà, maintenant le Conseil va négocier avec le Parlement européen et les trilogues (les négociations finales) sont prévus début 2026, donc on n’a pas fini d’en entendre parler.

Et voilà comment se passent 3 ans de cirque bureaucratique pour revenir au point de départ ^^.

Source

Bon, j’étais un petit peu occupé aujourd’hui parce que c’est mercredi et c’est le jour des enfants, mais je ne pouvais pas finir ma journée sans vous parler de cette histoire incroyable.

Si vous faites partie des gens qui utilisent des sites comme JSONFormatter ou CodeBeautify pour rendre votre JSON lisible ou reformater du code, et bien figurez-vous que des chercheurs en sécu viennent de découvrir que ces outils ont laissé fuiter des tonnes de données sensibles durant des années. Et quand je dis tonnes, c’est pas une figure de style puisque ce sont plus de 80 000 extraits de code contenant des credentials en clair qui ont fuité, soit plus de 5 Go de données.

En effet, les chercheurs de WatchTowr ont découvert que la fonction “Recent Links” de ces plateformes permettait d’accéder à tous les bouts de code collés par les utilisateurs. Les URLs suivaient un format prévisible, ce qui rendait le scraping automatique hyper fastoche pour n’importe qui, et c’est comme ça qu’on a découvert que JSONFormatter a exposé durant 5 ans de données les données de ses utilisateurs. Et du côté de CodeBeautify, ça a duré 1 an.

Les chercheurs ont mis la main sur des identifiants Active Directory, des identifiants de bases de données et services cloud, des clés privées de chiffrement, des tokens d’accès à des repos Git, des secrets de pipelines CI/CD, des clés de passerelles de paiement, des tokens API en pagaille, des enregistrements de sessions SSH, et même des données personnelles de type KYC. Bref, le jackpot pour un attaquant, quoi.

Et côté victimes, c’est un festival puisqu’on y retrouve des agences gouvernementales, des banques, des assurances, des boîtes d’aéronautique, des hôpitaux, des universités, des opérateurs télécom… et même une entreprise de cybersécurité. On a même retrouvé les credentials AWS d’une bourse internationale utilisés pour leur système Splunk, ainsi que des identifiants bancaires provenant de communications d’onboarding d’un MSSP (Managed Security Service Provider). C’est cocasse comme dirait Macron.

Et pour prouver que le problème était bien réel et exploitable, les chercheurs de WatchTowr ont utilisé un service appelé Canarytokens dont je vous ai déjà parlé. Ils ont implanté de faux identifiants AWS sur les plateformes et ont attendu de voir si quelqu’un y accédait…

Résultat, quelqu’un a tenté de les utiliser 48 heures après que les liens étaient censés avoir expiré, et 24 heures après leur suppression supposée. Les données restaient donc accessibles bien au-delà de ce que les utilisateurs pouvaient imaginer.

Et le pire dans tout ça c’est qu’au moment de la publication des articles, les liens “Recent Links” étaient toujours accessibles publiquement sur les deux plateformes. Bref, aucune correction n’a été déployée.

Donc, voilà, si vous avez utilisé ces outils par le passé et que vous y avez collé du code contenant des identifiants et autres clés API (même par inadvertance), c’est le moment de faire une petite rotation de vos secrets.

Et même si c’est une évidence, de manière générale, évitez de balancer du code sensible sur des outils en ligne dont vous ne maîtrisez pas la politique de conservation des données.

Source

Vous vous souvenez du mod Skyrim qui remplaçait tous les dragons par Thomas le petit train ? Et bien le créateur vient de remettre ça avec Morrowind !

Kevin “Trainwiz” Brock, c’est son nom, est le game designer à l’origine de ce cauchemar ferroviaire apparu en décembre 2013. À l’époque, un pote lui avait filé des modèles 3D de Thomas récupérés d’un jeu iPhone pourrave, et il s’était dit “tiens, et si je les collais sur les dragons de Skyrim”. Ensuite, le mod a cartonné avec plus de 70 000 téléchargements et presque 600 000 vues sur Nexus Mods et depuis, les mods Thomas ont envahi absolument tout ce qui bouge dans le jeu vidéo : Elden Ring, Resident Evil 2, Monster Hunter World, Hogwarts Legacy…

Sauf que Mattel, le géant du jouet qui possède la licence Thomas, n’a vraiment, mais alors vraiment pas rigolé. Un cabinet d’avocats basé en Macédoine (oui, en Macédoine, c’est chelou…) a envoyé à Trainwiz, des mises en demeure en 2019 avec comme seul reproche officiel qu’il aurait “diminué” la marque Thomas en le montrant exploser. Par contre, pas un mot sur le fait que Thomas massacrait violemment des villageois de Bordeciel, hein ^^. Non, ce sont juste les explosions qui posent problème.

Au final, YouTube a fini par refuser de supprimer les vidéos, invoquant la loi sur la parodie, mais le mod Fallout 4 a disparu des sites de mods grand public à cause de la pression juridique.

Et maintenant ?

Et bien le mec vient de sortir un mod qui remplace les cliff racers de Morrowind par Thomas. Ce sont ces bestioles volantes insupportables qui vous attaquent non-stop et qui ressemblent maintenant à des dizaines de petits trains bleus qui vous foncent dessus en faisant hurler leur sifflet…

Bref, c’est horrible et sur la page consacrée à son mod , Trainwiz écrit : “Je ferai ça, peu importe le nombre de menaces juridiques, de menaces réelles, de vans noirs avec le logo Mattel dessus, ou de têtes de Barbie décapitées qu’on m’envoie par la poste”. Puis il ajoute : “C’est parce que j’ai des problèmes avec l’autorité, particulièrement l’autorité qui repose sur l’intimidation. J’ai botté les culs de pas mal de brutes quand j’étais gamin.”

Il dit aussi : “Je ne considère fondamentalement pas les PDG de boîtes de jouets ou de médias comme des êtres humains.”

Ahaha, il est fun lui ! Mais alors ce qui me tue dans cette histoire, c’est l’absurdité totale de la réaction de Mattel. On parle quand même d’un mod gratuit, fait par un passionné, qui transforme un vieux jeu de 2002 en délire surréaliste. Je vous rassure, personne ne va se dire “oh tiens, Thomas le petit train est devenu violent, je ne vais plus acheter les jouets à mon gamin”. Là, on assiste encore à un magnifique effet Streisand en puissance, car plus ils le poursuivent, plus tout le monde en parle, plus les gens téléchargent le mod par curiosité…

Notez que Trainwiz, en dehors de ses aventures juridiques avec les fabricants de trains en plastique, développe également son propre RPG spatial appelé Underspace , donc si vous voulez lui donner de la force, vous savez ce qu’il vous reste à faire !

Source

Vous avez surement un vieux smartphone qui traîne au fond d’un tiroir, non ? Bah au lieu de le laisser pourrir ou de le balancer à la déchetterie, pourquoi ne pas en faire un vrai serveur web ?

Je sais ce que vous pensez… Ce mec est fou. Et pourtant, c’est exactement ce qu’a fait Louis Merlin avec son projet Far Computer . Son site tourne littéralement sur un Fairphone 2 posé dans un tiroir, avec PostmarketOS comme système d’exploitation. Le site affiche en temps réel les stats de la machine donc au moment où j’écris ces lignes, 5% de CPU, 280 Mo de RAM utilisés sur 1.8 Go disponibles… C’est presque de la puissance gâchée pour servir quelques pages statiques, mdr.

Ce projet s’inscrit dans cette mouvance du “sustainable computing” où l’idée c’est de donner une seconde vie aux appareils qu’on jette après 2-3 ans alors qu’ils ont encore plein de ressources à offrir. D’ailleurs, PostmarketOS est parfait pour ça puisque c’est une vraie distrib Linux basée sur Alpine, ultra légère, et qui supporte plus de 200 appareils différents, des vos vieux Nokia N900 aux tablettes en passant par les liseuses…

D’ailleurs le guide d’installation dispo sur far.computer/how-to est hyper bien fait si vous voulez vous lancer. En gros vous avez besoin d’un PC Linux (ou une VM), vous installez pmbootstrap, vous flashez le téléphone en mode bootloader, et hop, une fois PostmarketOS installé, vous vous connectez en SSH, vous configurez le WiFi avec nmcli, vous créez votre dossier /var/www/html/, vous lancez httpd et voilà. Votre vieux téléphone est devenu un serveur web.

Alors bien sûr, pour mon site avec son million de visiteurs uniques par mois, ça le ferait moyen et faudrait quand même coller un CDN devant pour encaisser la charge, mais pour un projet perso, un blog à faible trafic, une API interne ou juste pour le plaisir de dire aux inconnus dans la rue, “Hey bonjour, on ne se connait pas mais mon site tourne sur un téléphone”, c’est vraiment cool (et un peu creepy).

Certains vont même plus loin en montant des clusters Kubernetes avec plusieurs vieux smartphones . Quand on sait que ces machins ont souvent des specs supérieures à un Raspberry Pi et qu’ils consomment que dalle en électricité, je me dis qu’il y a vraiment un truc à explorer.

Point important à garder en tête quand même, évitez de laisser le téléphone branché en permanence sur le chargeur car les batteries n’aiment pas trop ça, et ça peut finir en feu de joie improvisé. Idéalement faut virer la batterie si c’est possible ou mettre en place une gestion de charge intelligente.

Le code source du projet Far Computer est dispo sous licence CC BY-NC-SA 4.0 donc vous pouvez vous en inspirer, le modifier, le partager… tant que c’est pas pour du commercial bien sûr et que vous gardez la même licence.

Voilà, vous savez ce qu’il vous reste à faire si vous avez des vieux smartphones qui prennent la poussière.

Vous vous souvenez de Remix OS, de Phoenix OS et de tous ces projets qui promettaient ENFIN de faire tourner Android sur votre PC comme un vrai OS desktop ? Ouais, moi aussi je m’en souviens… Et ce dont je me souviens surtout, c’est de comment ça s’est terminé… Des abandons, des problèmes de mise à jour, du licensing foireux avec Google. Bref, un vrai carnage…

Hé bien cette fois c’est Google lui-même qui se lance dans l’aventure avec un projet baptisé Aluminium OS. Et attention, ce n’est pas juste une rumeur de plus puisque Rick Osterloh, le grand patron de la division Devices de chez Google, a officiellement annoncé le projet en septembre dernier au Snapdragon Summit de Qualcomm. Comme les deux boîtes bossent ensemble sur cette nouvelle plateforme, on devrait logiquement voir débarquer des machines sous puces Snapdragon.

Côté naming, Google reste fidèle à sa convention maison avec un nom de métal en “-ium”, vous savez, comme Chromium pour Chrome… Sauf qu’ils ont choisi la version britannique “Aluminium” plutôt que “Aluminum” nord-américaine. Ça sera aussi plus simple à retenir pour nous les français.

Aluminium c’est donc la fusion tant attendue entre ChromeOS et Android afin d’avoir un seul OS unifié pour les laptops, les tablettes détachables et même les mini-PC style Chromebox. L’objectif affiché c’est de mieux concurrencer l’iPad sur le marché des tablettes, mais aussi taper sur la tête de Windows et macOS côté PC. Et contrairement à ce qu’on pourrait craindre, Google ne compte pas limiter ça aux machines d’entrée de gamme pourries puisqu’ils prévoient trois segments : AL Entry (le pas cher), AL Mass Premium (le milieu de gamme) et AL Premium pour jouer dans la cour des grands.

Le truc qui change vraiment par rapport aux Phoenix OS et autres projets communautaires, c’est surtout que Google veut intégrer son IA Gemini au cœur du système. Bon ok, tout le monde fait ça maintenant, mais au moins ça prouve que c’est un projet sérieux avec de vraies ressources derrière.

Maintenant, si vous êtes actuellement utilisateurs de Chromebook (force à vous ! ^^), pas de panique puisque les machines existantes continueront à recevoir leurs mises à jour jusqu’à leur fin de vie. Les plus récentes pourraient même avoir droit à une petite migration vers Aluminium OS si elles sont compatibles. D’ailleurs, si on en croit les rapports de bugs internes, Google teste actuellement ce système sur des cartes de dev équipées de puces MediaTek Kompanio 520 et Intel Alder Lake 12e gen, donc si votre Chromebook tourne avec l’un de ces chipsets, vous avez peut-être une chance…

En interne, les ingénieurs parlent même déjà de “ChromeOS Classic” pour désigner l’ancien système, ce qui laisse penser que Google pourrait simplement renommer Aluminium en ChromeOS une fois leur truc mature.

Bref, le lancement de ce nouvel OS Made in Google est prévu pour 2026 et sera probablement basé sur Android 17. À voir maintenant si ça décollera plus que ChromeOS…

Source