Bon, il est bientôt l'heure de la pause et vous avez bien mérité de faire travailler vos méninges sur autre chose que des lignes de code ou des tableurs Excel. Ça tombe bien, je viens de tomber sur un petit jeu web qui va vous rappeler des souvenirs... Vous vous souvenez de "Des Chiffres et des Lettres" ? Cette émission où Bertrand Renard alignait des calculs pendant que vous, gamin, vous demandiez pourquoi vos parents regardaient un truc aussi barbant ?

Hé bien Make 67 s'en inspire clairement, mais en version web décontractée et sans le stress du chrono qui défile à la télé.

On vous donne 4 nombres au hasard et vous devez combiner le tout avec les opérations de base (addition, soustraction, multiplication, division) pour obtenir... 67. Pourquoi 67 ? Aucune idée, mais c'est le charme du truc. Chaque nombre ne peut être utilisé qu'une seule fois, et petit détail qui a son importance, les calculs s'effectuent de gauche à droite, pas selon l'ordre mathématique classique. Du coup 2 + 3 × 4 ça donne 20, pas 14. Faut s'y faire, mais ça rajoute une petite couche de réflexion.

L'interface est minimaliste au possible avec 4 boutons pour les nombres, 4 pour les opérations, et hop vous construisez votre expression. Et si vous vous plantez, y'a un bouton Clear pour recommencer. Mais attention, vous ne pouvez l'utiliser que 3 fois max, après quoi le bouton Solve se débloque pour vous montrer la solution. Pas de jugement, on a tous des jours sans ^^.

Le petit plus sympa c'est quand vous trouvez la bonne combinaison. Votre téléphone peut vibrer (si compatible), des confettis apparaissent et y'a même un petit son de victoire. C'est con mais ça fait plaisir. Et pour les maniaques du détail, sachez que le jeu gère proprement les divisions en arrondissant à 6 décimales.

Perso je trouve ça parfait pour une pause de 5 minutes entre deux réunions ou pour décompresser en fin de journée.

Bref, si vous cherchez un truc pour occuper votre pause café, c'est cadeau .

Pour moi, 2024 a été l'année noire de nos données personnelles en France. Et 2025 n'a pas corrigé le tir, bien au contraire. L'année qui s'est écoulée a juste confirmé qu'on était entrés dans une espèce de routine du "demain ce sera pire". Y'a pas eu un secteur épargné, pas un organisme qui n'a pas été touché. Santé, télécom, grande distribution, services publics, fédérations sportives... C'est un festival du piratage qui s'est abattu sur l'Hexagone ces 2 dernières années.

Et SaxX, le hacker éthique que vous connaissez surement, vient de publier sur son LinkedIn un bilan édifiant : 48 organisations françaises piratées en un an. La liste fait froid dans le dos.

En réalité c'est même plus que ça, puisque ça a commencé dès février 2024 avec le piratage massif de Viamedis et Almerys, les deux opérateurs de tiers payant qui gèrent la quasi-totalité des remboursements santé en France. Plus de 33 millions de Français concernés, avec leurs noms, numéros de sécu, dates de naissance... Pas les données bancaires certes, mais suffisamment pour monter des arnaques à l'usurpation d'identité bien ficelées.

Un mois plus tard, en mars 2024, c'est France Travail qui tombait. L'ex-Pôle Emploi s'est fait siphonner les données de potentiellement 43 millions de personnes inscrites au cours des 20 dernières années. Le pire c'est que la direction avait été alertée sur des faiblesses de sécu avant l'attaque. Des suspects ont été arrêtés... et c'était des gamins. Des gamins qui ont quand même eu accès aux données de la moitié du pays.

Septembre 2024 a aussi été un carnage. Un seul pirate, sous le pseudo Horror404x, a réussi à compromettre Boulanger (jusqu'à 27 millions de "lignes" revendiquées), Cultura (entre 1,5 et 2,6 millions de comptes selon les sources), Truffaut (270 000 comptes), Grosbill, Cybertek, et même l'Assurance Retraite (des centaines de milliers de retraités). Comment ? Simplement en ciblant un prestataire commun lié aux systèmes de livraison. Un seul maillon faible, et c'est toute la chaîne qui cède.

Puis en octobre-novembre 2024, ce sont les opérateurs télécoms qui se sont fait dépouiller. Free d'abord, avec plus de 19 millions de clients touchés, dont plusieurs millions avec des IBAN dans la nature. Et là, on est dans le bingo complet avec identité + coordonnées + infos contractuelles + IBAN = terrain parfait pour les arnaques "faux conseiller", les prélèvements frauduleux, les ouvertures de comptes. Ces derniers risquent d'ailleurs une amende pouvant aller jusqu'à 48 millions d'euros . Puis SFR a suivi avec au moins deux épisodes : une première fuite autour de 50 000 clients à l'automne 2024, puis des millions revendiqués ensuite. N'oubliez pas, quand ça nie, quand ça minimise, quand ça traîne... ça laisse juste plus de temps aux escrocs.

Et autour de ces gros blocs, y'a eu surtout une pluie d'incidents plus petits : Auchan, Picard, Molotov, LDLC, Norauto, Meilleurtaux... Sans oublier Direct Assurance, Speedy, Point S. Bref, 2024, c'est l'année où on a compris que ça touchait TOUT LE MONDE.

Et puis 2025 arrive, et là, le grand délire. Le piratage de nos données n'est plus une exception... Ce n'est plus un accident... C'est une industrie.

Début 2025, on voit apparaitre à nouveau des attaques "système"... C'est à dire des fournisseurs, des prestataires, des outils utilisés partout qui se font poutrer. L'exemple parfait c'est Harvest (logiciels financiers) et, par ricochet, des clients de MAIF et BPCE. Même logique que ce qu'on a eu en 2024... On tape un intermédiaire, et ça permet de toucher une grappe entière dans un secteur donné. Puis sans surprise, au printemps 2025, ça tombe comme des mouches : Intersport, Autosur, Cerballiance, Indigo, Afflelou, Carrefour Mobile, Easy Cash, Hertz... Et derrière chaque nom, c'est toujours la même chanson : "pas de données bancaires" (ok), mais tout le reste suffit largement pour faire de la merde.

L'été 2025, on a eu droit à des cibles plus "haut niveau" : Sorbonne Université, CNFPT, des acteurs santé, et côté marques : Dior, Louis Vuitton, Cartier... Côté transport y'a eu Air France et côté télécom, Bouygues Telecom ! On n'est plus sur un site e-commerce qui s'est fait péter via un formulaire php mal sécurisé...non, on est sur du volume, des identifiants, des IBAN, des chaînes d'approvisionnement complètes...

Ensuite, à l'automne 2025, c'est la sphère "sport" et "administrations" qui se fonbt hacher menu : des fédérations en cascade (souvent via des outils mutualisés), France Travail qui ressort encore, la Fédération Française de Tir (via un prestataire), et des histoires d'ARS qui donnent des sueurs froides.

Et la fin 2025, c'est la cerise radioactive sur le gâteau puisqu'on a Pajemploi, HelloWork, Leroy Merlin, Mondial Relay, Colis Privé, Eurofiber, Weda, Resana, Médecin Direct, Cuisinella, La Poste (attaque qui met à l'arrêt des services au pire moment, je pense que vous en avez tous entendu parler), le Ministère de l'Intérieur, le Ministère des Sports, PornHub...

On termine donc l'année en beauté avec l'impression que tout le monde est une cible "normale". 9 personnes sur 10 en France ont été touchées d'après SaxX. C'est dingue quand même.

Et ce qui me fait bouillir de rage, c'est qu'on est coincés, putain.

Réfléchissez deux secondes... Vous cherchez un emploi ? Vous êtes OBLIGÉS de vous inscrire à France Travail et de leur filer votre vie entière. Vous voulez être remboursé de vos frais de santé ? Pas le choix, c'est Viamedis ou Almerys. Vous voulez un téléphone ? Free, SFR, Orange... Et votre numéro de sécu, votre IBAN, votre adresse. Vous voulez une retraite (loool) ? La CNAV veut tout savoir. Et si vous refusez de donner ces infos ? Vous êtes tout simplement hors-la-loi. Pas d'emploi, pas de remboursement santé, pas de téléphone, pas de retraite. Fin de partie.

Donc le deal c'est soit vous filez vos données personnelles à des organismes qui se feront pirater tôt ou tard, soit vous vivez en ermite dans une grotte en dehors de la société. Super choix 👍.

Et qu'est-ce qu'on a en échange de cette "confiance" forcée ?

On a des systèmes d'information qui ressemblent à des passoires, des prestataires sous-payés qui deviennent des portes d'entrée open bar pour les hackers, et des communications de crise qui arrivent des semaines après les faits. "Vos données bancaires ne sont pas concernées" nous rabache-t-on à chaque fois, comme si c'était une consolation alors que notre identité COMPLÈTE est en vente pour le prix d'un Happy Meal.

Et ce qui m'inquiète le plus, c'est l'effet cumulatif car chaque fuite isolée peut sembler "gérable" mais quand vous croisez les bases de Viamedis (numéro de sécu), France Travail (historique pro), un opérateur télécom (IBAN), un distributeur (habitudes de conso)... Vous obtenez un profil complet exploitable. Y'a 600 millions de comptes qui sont partis dans la nature rien que cette année... Donc de quoi monter des arnaques ultra-ciblées, des usurpations d'identité sophistiquées, voire du chantage.

Et dans certains cas, ça va encore plus loin... Regardez le piratage de la Fédération Française de Tir avec le gars qui s'est fait attaquer chez lui ...Et c'est pas le seul... Ça montre jusqte à quel point une fuite peut devenir un risque "hors écran". Quand on sais qui est licencié, où il habite, comment le joindre... on peut mettre en place très facilement du repérages, des pressions, du ciblage. Et là, j'vous parle de risque physique, pas juste de spam ou de démarchage au téléphone. Et ça sera la même violence avec leur future loi pour collecter toutes les datas des propriétaires de wallet crypto self-custody.

Bref, je sens ce malaise qui monte de plus en plus car on nous demande toujours plus d'infos. Pour ouvrir un compte, pour s'inscrire quelque part, pour accéder à un service... et vous comme moi, savons pertinemment que ces infos vont fuiter un jour. C'est pas "si", c'est "quand", perso, j'en ai ma claque... ça commence à bien faire.

Alors voilà ma vraie question, celle que nos chers élus devraient se poser : A-t-on vraiment besoin de collecter autant de données ?

Pourquoi France Travail a besoin de garder mes infos pendant 20 ans ? Pourquoi mon opérateur télécom doit connaître mon adresse postale exacte ? Pourquoi ma carte de fidélité Auchan doit être liée à mon identité complète ? Est-ce qu'on pourrait pas, je sais pas moi, minimiser un peu tout ça ?

Et surtout, est-ce qu'on pourrait pas trouver un système qui nous permettrait de prouver notre identité sans avoir à déballer notre vie entière ? Genre juste vérifier que oui, je suis majeur, que oui, j'habite en France, sans pour autant filer mon adresse, mon numéro de téléphone, ma photo, ma carte d'identité et la liste de tous mes comptes en banque. Ces technologies existent et y'a déjà des solutions de type zero-knowledge proof. Ça fait des années que je vous en parle, mais apparemment, c'est plus simple de continuer à empiler des bases de données géantes qui finiront toutes par être piratées.

On a une CNIL qui fait ce qu'elle peut avec les moyens du bord. On a une ANSSI qui alerte et recommande. Mais où est la vraie réflexion ? Où sont les députés et les ministres qui se posent la question de la minimisation des données ? Où est le débat sur les alternatives à ce système de merde où le citoyen est obligé de tout donner pour exister socialement ?

Parce que là, on nous demande de "rester vigilants face au phishing" (lol), de "vérifier nos comptes", de "changer nos mots de passe régulièrement"... Bref, de gérer les conséquences de leurs négligences. C'est un peu comme demander aux passagers du Titanic de vider l'eau avec des seaux pendant que le capitaine continue à foncer droit sur l'iceberg suivant.

Voilà, pour moi ce bilan 2024-2025, c'est pas juste une liste de chiffres. C'est le symptôme d'une société qui a numérisé jusqu'à l’écœurement nos vies en marche forcée sans jamais se poser les bonnes questions. On a foncé tête baissée dans la collecte massive de données "parce que c'est pratique, tkt", sans jamais se demander si on en avait vraiment besoin, et sans jamais investir sérieusement pour les protéger.

Alors à nos chers décideurs, j'ai envie de dire réveillez-vous bande de moules !! Car le prochain gros piratage, c'est pas dans 10 ans, hein, c'est dans les prochains mois. Et ce sera encore 30 ou 40 millions de Français qui verront leurs données dans la nature. Ça vous semble normal ? Moi non, et je mettrais ma main à couper que je suis pas le seul à en avoir ras-le-bol.

Merci à SaxX pour ce travail de compilation et d'alerte !

Bon, je vais essayer de poser les choses calmement, parce que ce que je vais vous raconter aujourd'hui, c'est peut-être le changement le plus profond qu'on ait vu sur le web depuis l'arrivée des moteurs de recherche. Et je pèse mes mots.

J'ai découvert via un post sur Linkedin de Laurent Bourrelly (merci !) que Google venait de lancer ce qu'ils appellent la « Vue Dynamique » dans Gemini.

Derrière ce nom un peu corporate se cache quelque chose de vertigineux. Au lieu de vous donner une réponse textuelle comme le fait ChatGPT ou Perplexity, Gemini génère maintenant des interfaces complètes, des mini-applications, des pages web interactives créées à la volée, spécialement pour votre question.

Vous demandez un comparatif de NAS ? Vous n'obtenez pas un texte avec des bullet points. Vous obtenez une interface avec des onglets, des sliders pour filtrer par prix, des cartes interactives avec les specs de chaque modèle.

Vous voulez un tutoriel pour installer Linux ? Vous n'aurez pas une liste d'étapes, mais un guide interactif avec des boutons, des cases à cocher pour suivre votre progression, peut-être même une galerie d'images générées pour illustrer chaque étape.

Et ça fonctionne incroyablement bien sur le web via gemini.google.com ! Pour l'instant c'est réservé aux comptes personnels, c'est encore un peu capricieux (ça apparaît, ça disparaît, Google teste), et ça peut prendre entre 30 et 90 secondes pour générer une réponse complexe. Mais le résultat est vraiment bluffant.

Ce que ça va changer...

Imaginez 2 secondes les usages de cette techno... Vous cherchez quel GPU acheter pour votre config gaming ? Au lieu de parcourir 15 sites de benchmarks, de comparer des tableaux sur Tom's Hardware et de croiser avec les prix sur LDLC, vous posez la question à Gemini et vous obtenez une application comparative générée instantanément. Même chose pour choisir un forfait mobile, comprendre les différences entre distributions Linux, trouver la meilleure recette de carbonara, ou planifier un voyage avec maps et itinéraires intégrés.

L'information brute, celle qu'on allait chercher sur des dizaines de sites, est maintenant synthétisée et présentée dans une interface sur-mesure. Plus besoin de naviguer de site en site, de supporter les popups de cookies, les pubs intrusives, les paywalls...etc. L'IA fait le boulot et vous livre le résultat dans un emballage propre. En quelques seconde, je me suis fait mon site d'actu tech perso...

Et voilà le problème.

La mort annoncée des sites d'information

Parce que si l'IA peut générer une meilleure expérience que nos sites web pour répondre à une question factuelle, pourquoi les gens iraient-ils encore sur nos sites ?

On connaissait déjà la menace des réponses IA dans les résultats Google. Vous savez, ces encarts qui répondent à votre question avant même que vous cliquiez sur un lien. Ça, c'était le premier coup de semonce. Mais la Vue Dynamique, c'est un autre niveau. Ce n'est plus juste une réponse qui s'intercale entre vous et l'internaute. C'est le remplacement pur et simple de l'expérience web traditionnelle.

Tous les sites qui vivent de l'information brute vont morfler. Les comparateurs de prix, les guides d'achat, les tutoriels techniques basiques, les FAQ, les sites de recettes... Tout ce qui peut être synthétisé, structuré et présenté de manière plus efficace par une IA va perdre sa raison d'être. Et croyez-moi, OpenAI ne va pas rester les bras croisés et Perplexity non plus. Dans quelques mois, ils auront tous leur version de cette techno. C'est inévitable.

Et demain, ce ne sera peut-être même plus des interfaces visuelles. Ce seront des assistants vocaux, des agents autonomes, des robots qui viendront chercher l'information sans jamais afficher une seule page web. L'information transitera directement de la source vers l'utilisateur, sans passer par la case « visite d'un site ».

Alors, c'est foutu ?

Hé bien... oui et non.

Oui, c'est foutu pour un certain type de contenu. L'information pure et dure, factuelle, sans valeur ajoutée éditoriale, va devenir une commodité. Quelque chose que l'IA génère gratuitement, instantanément, dans un format optimisé. Personne n'ira plus sur un site pour lire « comment formater un disque dur sous Windows » ou « comment nettoyer Windows 11 » quand Gemini lui construit un guide interactif personnalisé en 30 secondes.

Mais ce n'est pas foutu pour autant pour tout le monde. Et c'est là que ma réflexion devient plus personnelle...

Je pense que les sites qui vont survivre, et peut-être même prospérer, sont ceux qui apportent quelque chose que l'IA ne peut pas synthétiser. Une voix, une personnalité, un point de vue, une opinion, une analyse originale et le plaisir de lire quelqu'un. C'est peut-être la mort des sites conçus uniquement pour le SEO et du journalisme neutre et anonyme tel qu'on le pratique aujourd'hui et le grand retour des blogs à une voix ? Qui sait ?

Parce qu'au fond, pourquoi est-ce que vous me lisez ? Est-ce que c'est vraiment pour savoir comment installer Ollama ou pour connaître cette dernière faille de sécurité ? Ou est-ce que c'est aussi parce que vous aimez la manière dont je raconte les choses, les sujets que je choisis, le ton que j'emploie, les réflexions que je partage ? Si c'est juste pour l'info brute, alors oui, vous pourriez aller sur Gemini. Mais si c'est pour le reste, pour la relation qu'on a construite au fil des années, pour cette confiance qui s'est établie, alors aucune IA ne peut remplacer ça.

Les deux voies de survie

De mon point de vue, il y a désormais deux façons pour un créateur de contenu de survivre dans ce nouveau paysage.

La première, c'est de devenir fournisseur de données pour ces IA. Les bots vont continuer à crawler le web pour alimenter leurs modèles. Et ils auront besoin de données fraîches, de données originales, de données structurées. Les sites qui seront capables de produire cette matière première, et qui négocieront correctement avec les géants de l'IA pour être rémunérés, pourront peut-être s'en sortir. Mais attention, ça implique de repenser complètement la façon dont on structure son contenu, de le rendre lisible par les machines, d'accepter que ce qu'on produit sera digéré et régurgité par une IA. C'est un business model possible, mais c'est un sacré changement de paradigme.

La seconde voie, c'est de cultiver l'humain. De créer du contenu que les gens veulent lire pour le plaisir de lire, pas juste pour extraire une information. Des analyses, des opinions, des prises de position, du divertissement, de l'émotion. Un blog, une newsletter , un Patreon , des lives Twitch , une présence LinkedIn Korben ... Tout ce qui crée une relation directe avec les lecteurs. Parce que cette relation, l'IA ne peut pas la reproduire. Elle peut synthétiser mes articles, mais elle ne peut pas être moi.

Et moi dans tout ça ?

Je ne vais pas vous mentir, ça fait réfléchir. Ça fait même un peu flipper. Mais en même temps, je réalise que c'est exactement le virage que j'ai commencé à prendre ces dernières années, de manière un peu inconsciente, sans vraiment voir venir cette révolution technologique.

Je suis tout seul. Je n'ai pas d'employés. Je ne peux pas rivaliser avec les gros médias tech sur la quantité ou la rapidité (quoique... ^^). Par contre, j'ai toujours cherché à me différencier. Déjà par ma sélection de sujets, que la plupart du temps, on ne retrouve nulle part ailleurs, par ma manière de les aborder, par ma façon d'écrire, par ma façon de communiquer avec vous...

Et demain, cette différence va devenir encore plus importante. Parce que ce qui ne sera pas différent, ce qui sera de l'information générique, ça va disparaître dans le bruit des réponses IA. Seuls les contenus qui apportent quelque chose d'unique, une perspective qu'on ne trouve pas ailleurs, une voix reconnaissable, une relation authentique, auront leur place.

Est-ce que j'y arriverai ? Je ne sais pas. Est-ce que les autres y arriveront ? Je ne sais pas non plus. Mais je trouve le challenge passionnant. Et je me sens suffisamment conscient de ce qui se passe, suffisamment bien équipé techniquement (j'utilise l'IA tous les jours pour mon travail, et je structure déjà mon contenu pour qu'il soit digeste par les machines), pour essayer de prendre cette vague.

Pour conclure

Google vient de mettre un énorme coup de poing sur la table. La Vue Dynamique de Gemini, c'est pas juste une nouvelle feature sympa... C'est l'annonce d'un changement de paradigme. Le web tel qu'on le connaît, avec des humains qui naviguent de site en site pour collecter de l'information, ce web-là est en train de mourir.

Ce qui va rester, ce sont comme je vous le disais, d'un côté, des fournisseurs de données qui alimenteront les IA. De l'autre, des créateurs qui cultiveront une relation directe avec leur audience, qui apporteront de la valeur par leur voix, leur personnalité, leur point de vue. Mon pari, c'est qu'en tant que média / blog / site web, nous devrons être les 2 faces de cette même pièce pour ne pas disparaître.

Je suis assez serein parce que c'est ce que je fais depuis 20 ans, même si je ne n'appelle pas ça comme ça. Et parce que je crois fondamentalement qu'il y aura toujours des gens qui voudront lire quelqu'un, et pas juste lire "quelque chose".

On verra bien si j'ai raison. On verra bien si je me plante. Mais ça va être un sacré voyage, et je suis content de le faire avec vous... Car tant qu'il y aura des gens pour me lire (vous !), et tant que ça m'amusera de partager tout ça avec vous, je ne bougerai pas d'ici ^^

Vous êtes sous Windows et vous avez déjà rêvé de taper sudo comme les vrais bonhommes sous Linux ?

Alors votre vie va changer car c'est maintenant possible grâce à l'implémentation divine de Microsoft (attention, c'est pas un port de sudo Unix, c'est leur propre version...).

En effet, Microsoft a intégré la commande sudo dans Windows 11 (version 24H2) et contrairement à ce qu'on pourrait penser, c'est pas juste un gadget pour faire genre. Ça sert vraiment... Par contre, la fonctionnalité est désactivée par défaut. Mdrrr.

Pour l'activer, vous allez dans Paramètres, puis Système, puis « Pour les développeurs », et vous activez l'option sudo. Et hop, c'est prêt.

Ensuite, y'a trois modes d'exécution et c'est là que ça devient intéressant. Le mode « Nouvelle fenêtre » ouvre un terminal admin séparé après validation UAC. Le mode « Avec entrée désactivée » exécute tout dans la même fenêtre mais vous pouvez plus interagir avec le processus. Et le mode « Inline », le plus proche de l'expérience Linux, garde tout dans votre fenêtre actuelle avec interaction complète.

Alors concrètement, ça sert à quoi ?

Déjà pour winget ça permet d'installer des logiciels directement depuis votre terminal utilisateur. Un petit sudo winget install --id VideoLAN.VLC et c'est réglé. Pas besoin de fermer votre session, ouvrir PowerShell en admin, retaper vos commandes...

Ensuite pour le debug réseau, quand vous voulez savoir quel processus monopolise un port, un sudo netstat -ab vous donne les noms des processus. L'option -b nécessite des droits admin pour fonctionner, donc sans sudo vous ne verrez que les PID (avec -o). Relou non ?

Et mon préféré c'est pour éditer le fichier hosts. Vous savez, ce fichier planqué dans C:\Windows\System32\drivers\etc\ qu'on peut jamais modifier parce qu'il faut des droits admin ? Hé bien maintenant un sudo notepad %windir%\system32\drivers\etc\hosts et c'est parti. Fini les galères de « Exécuter en tant qu'administrateur » puis naviguer jusqu'au fichier.

Bon, y'a quand même une limite importante par rapport à Linux...

Sous Linux, sudo garde vos identifiants en cache pendant quelques minutes par défaut (configurable via sudoers), donc vous tapez le mot de passe une fois et ensuite c'est tranquille. Alors que sous Windows avec les réglages UAC standards, vous aurez une validation à chaque commande sudo. C'est un peu lourd mais c'est le prix de la sécurité façon Microsoft

Bref, c'est pas la révolution du siècle, mais c'est un petit confort bien appréciable au quotidien. Si vous passez régulièrement de Linux à Windows, vous allez enfin pouvoir garder vos réflexes sans avoir à vous adapter et si vous êtes pur Windowsien, vous découvrez peut-être une façon plus classe de gérer les droits admin que le clic droit « Exécuter en tant qu'administrateur » qu'on connaît tous.

Source

Vous aussi vous avez un dossier « Notes » qui ressemble à un cimetière d'idées ? Des fichiers texte avec des noms genre « truc_important.txt » ou « a_voir_plus_tard.md » que vous n'avez jamais revus depuis 2019 ? Hé bien j'ai ce qu'il vous faut pour enfin donner un sens à tout ce bordel !

Blinko c'est une app de prise de notes qui utilise l'IA pour vous aider à retrouver ce que vous avez noté, même quand vous avez complètement oublié les mots exacts que vous aviez utilisés. Le principe c'est du RAG (Retrieval-Augmented Generation), c'est-à-dire que l'IA va fouiller dans toutes vos notes et vous ressortir les infos pertinentes quand vous posez une question. Genre « c'était quoi ce truc que j'avais noté sur les serveurs NAS ? » et hop, l'IA vous retrouve tout.

curl -o install.sh https://raw.githubusercontent.com/blinko-space/blinko/main/install.sh && bash install.sh

Vous utilisez Word pour bosser et j'imagine que vous avez vu passer le fameux Copilot de Microsoft à 30 balles par mois pour les pros ? Ouais, ça pique un peu le porte-monnaie surtout quand on a déjà nos propres clés API OpenAI ou Gemini qui traînent et sur lesquelles on claque un smic tous les mois.

Hé bien Word GPT Plus c'est justement un add-in open source qui intègre l'IA directement dans Microsoft Word, et qui vous permet d'utiliser vos propres clés API au lieu de payer un énième abonnement. Avec ça, vous pouvez générer du texte, traduire, résumer, reformuler... le tout sans quitter votre document.

Mais le truc vraiment cool, c'est le mode Agent. Là, l'IA a accès à plein d'outils qui lui permettent de manipuler directement votre document Word. Genre insérer du texte, formater des paragraphes, créer des tableaux, gérer les signets, faire des rechercher-remplacer... Vous lui dites « formate tous les titres de section en Heading 2 » et hop, c'est fait. C'est pas juste un chatbot dans une sidebar, c'est carrément un assistant qui peut agir sur votre document.

Côté fournisseurs IA, vous avez le choix entre OpenAI (GPT-4, GPT-3.5, et même les modèles compatibles comme DeepSeek), Azure OpenAI si vous êtes en entreprise, Google Gemini, Groq pour les modèles Llama et Qwen, et même Ollama si vous voulez faire tourner vos LLM en local sans envoyer vos données quelque part. Et ça, c'est top pour ceux qui bossent sur des documents confidentiels.

Y'a aussi des Quick Actions bien pratiques genre traduction en plus de 40 langues, amélioration de texte, réécriture académique, résumé automatique, correction grammaticale... Bref, les classiques mais directement accessibles dans Word.

Pour l'installer, c'est hyper simple. Vous téléchargez le fichier manifest.xml depuis le repo GitHub, vous le mettez dans un dossier partagé sur votre machine, et vous l'ajoutez dans Word via Insertion > Mes compléments > Dossier partagé. Pas besoin de coder quoi que ce soit. Y'a aussi une option Docker pour ceux qui veulent l'héberger eux-mêmes ou le déployer sur un serveur.

Niveau vie privée, vos clés API et vos prompts perso sont stockés localement dans le navigateur intégré à l'add-in Word. Y'a pas de serveur intermédiaire qui récupère vos données, sauf si vous configurez vous-même un proxy. Vos documents restent ainsi bien au chaud chez vous.

Par contre, faut Word 2016 minimum, Word 2019, 2021 ou Microsoft 365 sur Windows. Et ça marche uniquement avec les fichiers .docx.

Bref, si vous voulez avoir ChatGPT ou Gemini directement dans Word sans vous ruiner avec un abonnement Copilot, c'est exactement ce qu'il vous faut. Et comme c'est open source sous licence MIT, vous pouvez auditer le code si vous êtes du genre méfiant.

Source

À l'époque de ma glorieuse jeunesse, je jouais à RoboCop sur NES et c'est vrai que je trouvais ça très cool ! Mais ce que je ne savais pas, c'est que la version arcade de Data East cachait un secret bien vicieux dans ses entrailles électroniques.

En 1988, Data East sort donc RoboCop en version arcade et comme tous les éditeurs de l'époque, ils avaient une peur bleue des bootleggers asiatiques qui clonaient les bornes à tour de bras. Du coup, ils ont eu une idée de génie : planquer une puce HuC6280 dans le hardware. Pour ceux qui ne connaissent pas, c'est le processeur du PC Engine, le cousin japonais de la TurboGrafx-16, sauf que là, elle ne sert absolument pas à faire tourner le jeu.

Non non, cette puce est là uniquement pour emmerder le monde.

Le truc pas con (enfin, pas con pour l'époque), c'est que Data East a externalisé une partie des calculs de collision sur ce processeur secondaire. Du coup, sans la puce HuC6280, le jeu démarre mais les hitboxes sont complètement pétées et les ennemis deviennent invincibles. Faut s'imaginer RoboCop qui tire dans le vide pendant que les méchants lui marchent dessus tranquillement... C'est pas méga vendeur pour une borne à 3000 dollars.

Le problème, c'est qu'en 2025, ces puces HuC6280 commencent à lâcher et quand ça arrive, votre borne RoboCop devient un très joli meuble de 150 kilos.

Et c'est là qu'un développeur du nom de djh0ffman entre en scène. Le bougre s'est dit qu'au lieu de chercher des puces de remplacement introuvables, il allait tout simplement virer cette protection. Mais pour ça, il fallait d'abord comprendre ce que faisait exactement cette fichue puce.

Bon, vous avez tous vu passer cette histoire des documents Epstein mal censurés, j'imagine ?

En effet, des journalistes ont réussi à récupérer une bonne partie des informations censées être masquées dans les fichiers judiciaires... ça peut impressionner mais n'allez pas croire que ce soit quelque chose de compliqué et ces techniques sont à la portée de n'importe qui.

C'est pourquoi aujourd'hui, j'vais pas vous parler du scandale (y'a assez de monde dessus), mais des techniques pour récupérer ce qui se cache derrière ces fameux rectangles noirs. Du pur OSINT appliqué au forensique documentaire.

Commençons par le plus basique et pourtant le plus courant : le bon vieux copier-coller. Ouais, je sais, ça paraît con dit comme ça, mais vous seriez surpris du nombre de documents "confidentiels" qui sont censurés en posant simplement un rectangle noir par-dessus le texte dans Word ou Adobe Acrobat. Le texte original pourtant est encore là, bien au chaud sous cette couche graphique. Il suffit donc de sélectionner la zone, un petit Ctrl+C, et hop, on colle dans un éditeur de texte. Boom, le texte "caché" apparaît en clair.

C'est d'ailleurs exactement ce qui s'est passé avec des documents du Pentagone en 2005, et plus récemment avec des fichiers judiciaires américains. Bizarrement, les gens confondent "masquer visuellement" et "supprimer", alors que c'est pas du tout la même chose ^^.

Pour vérifier si un PDF est vulnérable à cette technique, vous pouvez utiliser pdftotext (inclus dans poppler-utils sur Linux) :

pdftotext document_censure.pdf - | less

import fitz
doc = fitz.open("document.pdf")
for page in doc:
 print(page.get_text())

head -c [offset_avant_dernier_EOF] document.pdf > version_originale.pdf

qpdf --show-xref document.pdf
qpdf --json document.pdf | jq '.objects'

exiftool -a -u -g1 document.pdf

pdfinfo -meta document.pdf

exiftool -b -ThumbnailImage image_redactee.jpg > thumbnail.jpg

Vous utilisez Claude Code comme moi pour bosser plus vite sur vos projets de dev ? Hé bien j'espère que vous n'avez jamais eu la mauvaise surprise de voir l'agent lancer un petit rm -rf ~/ qui détruit tout votre répertoire home en 2 secondes. Parce que oui, ça arrive malheureusement, et plusieurs devs en ont fait les frais cette année...

Le problème c'est que les agents IA, aussi intelligents soient-ils, peuvent manquer de garde-fous sur ce qui est vraiment dangereux. Vous leur dites "nettoie le projet" et hop, ils interprètent ça un peu trop littéralement et une fois que c'est fait, y'a plus qu'à pleurer devant son terminal vide.

C'est pour ça qu'un développeur du nom de kenryu42 a créé Claude Code Safety Net qui est un plugin pour Claude Code qui agit comme un garde-fou mécanique. Son idée c'est de bloquer les commandes destructives AVANT qu'elles ne s'exécutent, et pas juste avec des règles bêtes genre "si la commande commence par rm -rf".

Le plugin est bien plus malin que ça puisqu'il fait une analyse sémantique des commandes. Il comprend la différence entre git checkout -b nouvelle-branche (qui est safe, ça crée juste une branche) et git checkout -- . qui lui va dégager tous vos changements non committés sur les fichiers suivis. Les deux commencent pareil, mais l'une vous sauve et l'autre vous ruine psychologiquement, vous forçant à vous réfugier dans la cocaïne et la prostitution.

Et c'est pareil pour les force push. Le plugin bloque git push --force qui peut écraser l'historique distant et rendre la récupération très difficile, mais il laisse passer git push --force-with-lease qui est la version plus sûre, car elle vérifie que la ref distante correspond à ce qu'on attend (même si ce n'est pas une garantie absolue).

Et le truc vraiment bien foutu, c'est qu'il détecte aussi les commandes planquées dans des wrappers shell. Vous savez, le genre de piège où quelqu'un écrit sh -c "rm -rf /" pour bypass les protections basiques. Le plugin parse récursivement et repère la commande dangereuse à l'intérieur. Il fait même la chasse aux one-liners Python, Ruby ou Node qui pourraient faire des dégâts.

Côté rm -rf, le comportement par défaut est plutôt permissif mais intelligent... les suppressions dans /tmp ou dans le dossier de travail courant sont autorisées parce que c'est souvent légitime, par contre, tenter de nuke votre home ou des dossiers système, c'est non négociable.

Et pour les paranos (comme moi), y'a un mode strict qu'on active avec SAFETY_NET_STRICT=1. Dans ce mode, toute commande non parseable est bloquée par défaut, et les rm -rf même dans le projet courant demandent validation. Mieux vaut prévenir que pleurer.

Si ça vous chauffe, l'installation se fait via le système de plugins de Claude Code avec deux commandes :

/plugin marketplace add kenryu42/cc-marketplace
/plugin install safety-net@cc-marketplace

Pour ceux qui auraient raté l'info, deux terroristes ont ouvert le feu le 14 décembre dernier, lors d'une célébration de Hanoukka à Bondi Beach (Sydney en Australie), tuant 15 personnes. Et dans les minutes qui ont suivi, X s'est transformé, comme à son habitude, en machine à désinformation...

Un homme d'affaires pakistanais portant le même nom que l'un des tireurs (Naveed Akram) s'est alors retrouvé accusé d'être l'auteur de l'attentat. Sa photo a été partagée des milliers de fois, il a reçu des menaces de mort et sa famille a même été harcelée. Sauf que ce gars n'avait strictement rien à voir avec l'attaque, mais partageait juste un nom de famille très courant avec le vrai coupable.

Mais ça, les abrutis de cette planète n'y ont même pas pensé. C'est dire s'ils sont cons...

Après vous allez me dire : « Ouais mais y'a les Community Notes pour corriger ça » sauf que ça marche pas de fou ces notes de la communauté. A titre d'exemple, selon le Center for Countering Digital Hate , 74% de la désinformation liée aux élections américaines de 2024 n'a JAMAIS reçu de note de la communauté. Et quand une note finit par arriver, il faut compter entre 7 et 75 heures selon les cas pour qu'elle soit diffusée.

Donc autant dire une éternité à l'échelle d'Internet...

Et comme si la situation n'était pas encore assez critique, d'après une étude du MIT, les fausses infos se propagent 6 fois plus vite que les vraies sur ces plateformes. Bref, on est foutu face à la connerie humaine.

Surtout que d'après Timothy Graham , chercheur en médias numériques à l'université QUT en Australie, il y a maintenant une économie autour de la désinformation, notamment sur X car leur système de monétisation paie les créateurs en fonction de l'engagement généré par les utilisateurs vérifiés. Ainsi, Plus vos posts font réagir, plus vous gagnez d'argent.

Et devinez quel type de contenu génère le plus d'engagement ?

Hé bien les trucs faux, les trucs scandaleux, les trucs qui font monter les tensions.

Y'a même eu une vidéo de feux d'artifice présentée comme des « célébrations arabes » après l'attentat qui n'était que pure invention. C'était en fait les feux d'artifice de Noël du Rotary Club local, programmés des mois à l'avance. Le truc a fait des millions de vues avant d'être démenti. Certains parmi vous ont peut-être mordu à l'hameçon de cette fake news d'ailleurs.

Pire encore, Grok, l'IA d'Elon Musk intégrée à X, a carrément inventé le nom du héros qui a désarmé l'un des tireurs. Quand les utilisateurs lui demandaient qui avait sauvé des vies, l'IA sortait « Edward Crabtree » de nulle part, un nom totalement fictif tiré d'un site web frauduleux créé le jour même de l'attentat.

Et pendant ce temps, le vrai héros de cette tragédie, Ahmed al-Ahmed, un Australien d'origine syrienne qui a risqué sa vie pour désarmer l'un des tireurs et protéger les victimes, était à peine mentionné. Plus de 2,6 millions de dollars ont été collectés pour lui depuis, mais il a fallu creuser fort pour trouver la vraie histoire pendant que les fake news monopolisaient l'attention.

Le problème c'est que le modèle économique de X encourage les comptes à poster vite et fort, sans vérification. Avoir 5 millions d'impressions et seulement 2000 abonnés, ça permet de monétiser. Et plus on génère de réactions, plus on palpe... Du coup, poster « BREAKING : le tireur identifié » avec une photo d'un random est rentable, même si c'est faux.

Surtout si c'est faux, en fait... Vous savez ce syndrome de "Les merdias mainstream nous cachent des choses, mais heureusement j'ai vu une vérité alternative sur X.com et c'est encore la faute aux zarabes, à l'Europe et aux élites judéo-maçonique-réptiliennes qui veulent manger nos enfants" qui frappe ce genre de personnes dont le cerveau est trop atrophié pour qu'ils puissent développer une réflexion qui leur est propre.

Après, je ne pense pas être naïf, car la désinformation a toujours existé, mais là on parle quand même d'un système de merde qui récompense financièrement ceux qui la propagent. C'est plus un bug, c'est une feature et quand un innocent se fait menacer de mort parce qu'un comploplo en slip dans sa cave a voulu faire du clic, ça me fout les nerfs.

Bref, tant que l'engagement restera la métrique reine et que les plateformes paieront au buzz plutôt qu'à la véracité des faits, on continuera à subir ce genre de dérives horribles...

Vous vous souvenez de ces robots chiens et humanoïdes Unitree qu'on voit partout sur les réseaux depuis quelques mois ? Hé bien des chercheurs en sécurité viennent de découvrir qu'on pouvait les pirater en moins d'une minute, sans même avoir besoin d'un accès internet. Et le pire, c'est que la faille est tellement débile qu'elle en devient presque comique.

Lors de la conférence GEEKCon à Shanghai, l'équipe de DARKNAVY a fait une démonstration qui fait froid dans le dos. L'expert Ku Shipei a pris le contrôle d'un robot humanoïde Unitree G1 (quand même 100 000 yuans, soit environ 14 000 balles) en utilisant uniquement des commandes vocales et une connexion Bluetooth. Après environ une minute de manipulation, l'indicateur lumineux sur la tête du robot est passé du bleu au rouge, il a alors cessé de répondre à son contrôleur officiel, puis sous les ordres de Ku, il s'est précipité vers un journaliste en balançant son poing.

Sympa l'ambiance.

En fait, le problème vient de la façon dont ces robots gèrent leur configuration Wi-Fi via Bluetooth Low Energy (BLE). Quand vous configurez le réseau sur un robot Unitree, il utilise le BLE pour recevoir le nom du réseau et le mot de passe, sauf que ce canal ne filtre absolument pas ce que vous lui envoyez. Vous pouvez donc injecter des commandes directement dans les champs SSID ou mot de passe avec le pattern « ;$(cmd);# », et hop, exécution de code en tant que root.

Et le truc encore plus dingue, c'est que tous les robots Unitree partagent la même clé AES codée en dur pour chiffrer les paquets de contrôle BLE, donc si vous avez cracké un G1, vous avez cracké tous les G1, H1, Go2 et B2 de la planète. Et là vous allez me dire : Et la sécurité du handshake ? Hé bien elle vérifie juste si la chaîne contient « unitree » comme secret. Bravo les gars ^^.

Du coup, la vulnérabilité devient wormable, c'est à dire qu'un robot infecté peut scanner les autres robots Unitree à portée Bluetooth et les compromettre automatiquement à son tour, créant ainsi un botnet de robots qui se propage sans intervention humaine. Imaginez ça dans un entrepôt avec 50 robots !! Le bordel que ça serait...

Moi ce qui m'inquiète avec ces robots, c'est l'architecture d'exfiltration de données car le G1 est équipé de caméras Intel RealSense D435i, de 4 microphones et de systèmes de positionnement qui peuvent capturer des réunions confidentielles, photographier des documents sensibles ou cartographier des locaux sécurisés. Et tout ça peut être streamé vers des serveurs externes sans que vous le sachiez surtout que la télémétrie est transmise en continu vers des serveurs en Chine... Vous voyez le tableau.

En avril 2025 déjà, des chercheurs avaient trouvé une backdoor non documentée dans le robot chien Go1 qui permettait un contrôle à distance via un tunnel réseau et l'accès aux caméras, donc c'est pas vraiment une surprise que les modèles plus récents aient des problèmes similaires, hein ?

J'imagine que certains d'entre vous bidouillent des robots avec Raspberry Pi ou Arduino, alors si vous voulez pas finir avec un robot qui part en freestyle, y'a quelques trucs à faire. Déjà, pour la config Wi-Fi via BLE, ne passez jamais le SSID et le mot de passe en clair mais utilisez un protocole de dérivation de clé comme ECDH pour établir un secret partagé. Et surtout validez et sanitisez toutes les entrées utilisateur avant de les balancer dans un shell.

Et puis changez les clés par défaut, car ça paraît con mais c'est le problème numéro un. Générez des clés uniques par appareil au premier boot ou lors de l'appairage. Vous pouvez stocker ça dans l'EEPROM de l'Arduino ou dans un fichier protégé sur le Pi.

Pensez aussi à isoler vos robots sur un réseau dédié... Si vous utilisez un Pi, créez un VLAN séparé et bloquez tout trafic sortant non autorisé avec iptables. Comme ça, même si un robot est compromis, il ne pourra pas exfiltrer de données ni attaquer d'autres machines.

Ah et désactivez aussi le Bluetooth quand vous n'en avez pas besoin ! Sur un Pi, ajoutez « dtoverlay=disable-bt » dans /boot/config.txt et sur Arduino, c'est encore plus simple, si vous utilisez pas le BLE, ne l'incluez pas dans votre projet.

Bref, ces robots sont de vrais chevaux de Troie ambulants. Ils ont des capteurs, des caméras, des micros, et maintenant ils peuvent être compromis par n'importe qui à portée de Bluetooth... Donc si vous bossez sur des projets robotiques, prenez le temps de sécuriser vos communications sans fil avant de vous retrouver avec un robot qui décide de vous tuer !! Et bookmarkez ce lien car c'est là où je mets toutes mes meilleures news robotiques !

Et si vous êtes encore en train de lire mes articles à cette heure-ci, je vous souhaite un excellent Noël !

Source

Vous vous souvenez du jeu Snake qu'on avait sur les vieux Nokia ?? Ça nous faisait perdre des heures à bouffer des pixels en évitant de se mordre la queue et moi perso, y'a rien qui m'énervait plus.

Et bien un développeur indé du nom de Dietzribi a décidé de le réinventer totalement façon trip sous acide dans un univers non-euclidien, et le résultat est complètement barré, vous allez voir !

Deep Snake c'est donc un Snake, mais en 3D avec des visuels néon psychédéliques qui pulsent au rythme de votre progression. Vous mangez des pommes, votre serpent grandit, et vous devez éviter les obstacles. Jusque là, c'est du classique sauf que, vous pouvez aller toujours plus profond dans le vide, littéralement, puisque l'espace se tord, se replie sur lui-même, et plus vous avancez, plus ça devient trippy.

Ce jeu a été créé en 48 heures lors de la GMTK Game Jam 2024 et le dev a tout fait tout seul, ce qui visiblement lui a plutôt bien réussi puisque le jeu cartonne sur Steam avec 96% d'avis positifs et une place dans le top 3 des tendances.

Côté gameplay, on est sur du mouvement fluide (pas de grille à l'ancienne), des arènes dynamiques avec des dangers qui pulsent et des palettes de couleurs qui changent en permanence, et même un système de bonus risque/récompense qui donne des capacités temporaires. Y'a aussi des leaderboards quotidiens et all-time pour les acharnés du high score, plus des achievements Steam et de la sauvegarde dans le cloud.

Le jeu tourne sur à peu près n'importe quoi (Intel HD 4000, 4 Go de RAM, 100 Mo de stockage), y'a même une version en ligne , supporte 13 langues dont le français, et surtout... il est totalement gratuit. Ça va faire plaisir aux radins !

Passer d'OpenGL à Metal, c'était visiblement pas une mince affaire pour l'équipe d'OBS. La techno d'Apple est sortie y'a 10 ans sous macOS mais ça leur a pris un peu de temps pour la migration... Et n'allez pas croire que je "juge"... Tout ce temps, c'est normal car c'est un soft multiplateforme, donc faut gérer trois écosystèmes en parallèle et ça, ça prend un temps fou.

Tous les effets visuels d'OBS ont dû être réécrits pour fonctionner avec Metal, le langage graphique d'Apple étant bien plus exigeant que celui de Windows et la preview peut parfois légèrement saccader à cause de macOS, mais le flux final reste impeccable.

Niveau performances, Metal fait aussi bien voire mieux qu'OpenGL dans les builds Release mais c'est surtout pour le débogage que ça change tout car les développeurs ont maintenant accès à des outils de diagnostic bien plus performants, ce qui devrait accélérer les corrections de bugs et les futures améliorations.

Pour l'activer (ouais on est chaud !!), c'est hyper simple. Vous allez dans les paramètres d'OBS 32.0, onglet Avancé, section Vidéo, et vous sélectionnez Metal dans le menu déroulant du renderer. Un petit redémarrage de l'appli et hop, vous êtes passé sur le nouveau moteur.

Ce qui est cool aussi avec cette version 32.0, c'est qu'elle inclut un gestionnaire de plugins et des améliorations pour les fonctionnalités NVIDIA RTX.

L'équipe OBS bosse aussi sur des backends Vulkan pour Linux et Direct3D 12 pour Windows, parce que les anciennes APIs comme OpenGL et D3D11 reçoivent de moins en moins de support des fabricants de GPU, donc si vous êtes sur Linux ou Windows, votre tour viendra aussi.

Voilà, après si ça bug, revenez sur OpenGL, mais y'a quand même de bonnes chances que ça tourne mieux qu'avant.

Source

Vous avez peut-être une caméra Tapo C200 qui tourne chez vous pour surveiller le chat, le bébé ou l'entrée. C'est mon cas et j'adore cette caméra mais j'ai une mauvaise nouvelle à vous annoncer... Le chercheur en sécurité Simone Margaritelli (alias evilsocket) vient de passer 150 jours à la disséquer et le résultat n'est pas glorieux pour TP-Link.

Alors déjà, commençons par le plus gros WTF qu'il a découvert... la clé privée HTTPS de la caméra, ce truc censé être ultra-secret qui permet de chiffrer les communications. Et bien elle est hardcodée dans le firmware. C'est donc la même clé pour TOUTES les caméras du même modèle. Du coup, n'importe qui peut faire un Man-in-the-Middle et intercepter ce que vous voyez sur votre caméra. Ah on se met bien déjà là, hein ? ^^

Et attendez, ça ne s'arrête pas là puisque Margaritelli a trouvé un bucket S3 chez Amazon, totalement ouvert au public, qui contient TOUS les firmwares de TOUS les produits TP-Link. C'est open bar, sans authentification, Noël avant l'heure pour les chercheurs en sécu... et les hackers.

En fouillant le firmware avec Ghidra et Claude (oui, l'IA a aidé au reverse engineering), le chercheur a découvert quatre failles critiques. La première, c'est un buffer overflow dans le parser SOAP XML utilisé par le protocole ONVIF. En gros, si vous envoyez un message trop long, la caméra plante. Pas besoin d'être authentifié pour ça, une requête HTTP suffit.

La deuxième faille est du même genre mais dans le header Content-Length. Envoyez 4294967295 (le max d'un entier 32 bits) et boum, integer overflow. Et la troisième, c'est la cerise sur le gâteau puisque l'endpoint connectAp reste accessible sans authentification même après le setup initial. Du coup, un attaquant peut forcer votre caméra à se connecter à son propre réseau WiFi malveillant et intercepter tout le flux vidéo. Vous ne vous y attendiez pas à celle-là, si ?

Et la quatrième faille, oubliée nulle part ailleurs c'est l'API scanApList qui balance la liste de tous les réseaux WiFi autour de la caméra, sans auth. Avec les BSSID récupérés et un outil comme apple_bssid_locator, on peut géolocaliser physiquement la caméra à quelques mètres près. Sur les 25 000 caméras exposées sur le net, ça fait froid dans le dos.

Le plus frustrant dans cette histoire, c'est que Margaritelli a signalé tout ça en juillet 2025 et TP-Link a demandé des rallonges de délai, encore et encore, durant plus de 150 jours. Et au final, les failles ont été corrigées mais pas de patch sur les pages publiques des CVE. Ah et petit détail rigolo, comme TP-Link est sa propre autorité de numérotation CVE, ils s'auto-évaluent sur leurs propres failles. Donc y'a pas de conflit d'intérêt du tout... ahem ahem...

Le chercheur estime qu'environ 25 000 de ces caméras sont exposées directement sur Internet donc si comme moi, vous en avez une, vérifiez que le firmware est bien à jour et surtout, ne l'exposez JAMAIS directement sur le net. Mettez-la derrière un VPN ou un réseau isolé.

Je trouve ça cool que Margaritelli ait utilisé de l'IA pour accélérer la phase de reverse engineering. Avec Claude Opus et Sonnet avec GhidraMCP, il a pu analyser le code assembleur et c'est comme ça que l'IA a identifié rapidement les fonctions vulnérables et expliqué le fonctionnement du code. Bref, l'IA comme outil de hacking, c'est assez ouf...

Voilà, donc si vous avez du matos TP-Link chez vous, gardez un œil sur les mises à jour et réfléchissez à deux fois avant de l'exposer sur le net. Et si vous aimez la lecture, l'analyse complète est dispo sur le blog d'evilsocket .

Beau boulot !

Vous vous souvenez du dossier Démarrage de Windows ?

C'était ce super dossier jaune dans lequel on balançait des raccourcis vers des .exe et hop, ça se lançait au boot. Hé bien figurez-vous que ça n'existe pas nativement sous macOS. Enfin, ça n'existait pas, parce qu'un dev a décidé de combler ce manque.

Ça s'appelle StartupFolder et c'est une petite app macOS qui crée un dossier "Startup" dans votre répertoire utilisateur. Tout ce que vous mettez dedans se lance alors automatiquement au démarrage de votre Mac : Apps, scripts, raccourcis, liens web... vous balancez tout ce qui vous chante et ça tourne !

Pour les apps, faut créer des alias (Command-Option-glisser), pour les scripts, vous les écrivez direct dans le dossier, pour les raccourcis Siri vous créez un fichier vide avec l'extension .shortcut, et pour les liens web, vous les glissez depuis la barre d'adresse de votre navigateur. Bref, c'est vraiment pas compliqué.

Et y'a quelques options sympas aussi. Par exemple, vous pouvez lancer les apps en mode caché pour qu'elles démarrent en arrière-plan sans vous sauter à la gueule. Y'a même une option "Force Hide" pour les apps récalcitrantes qui insistent pour s'afficher.

Et un autre truc cool, c'est le mode "Keep Alive". Avec cette option, si une app ou un script plante, StartupFolder le relancera automatiquement. Et pour éviter les boucles de crash infinies, y'a un système de détection qui arrête de relancer un truc qui plante en boucle.

Côté ressources, l'agent tourne en fond et consomme que dalle et comme d'hab, c'est open source sous licence GPL-3 , c'est codé en Swift, et c'est gratuit.

Voilà, si vous cherchez un moyen simple de gérer vos apps au démarrage sous macOS sans passer par les préférences système qui sont mal foutues, c'est ce qu'il vous faut.

Merci à Lorenper pour le partage !

Est ce que vous avez encore des CD de jeux PlayStation 1 qui traînent chez vous ? Ou allez, des ISOs que vous avez "légalement" rippées de vos propres disques à vous bien sûr ?

Hé bien vous allez pouvoir dépoussiérer tout ça grâce à cet émulateur qui propose une qualité visuelle que la PS1 n'aurait jamais pu vous offrir à l'époque.

Ça s'appelle DuckStation et c'est un émulateur PS1 qui mise sur la rapidité et la précision. Le projet a été conçu pour être aussi fidèle que possible à la console d'origine tout en restant assez léger pour tourner sur des machines pas forcément très musclées .

Le truc cool c'est que par défaut, sans bidouiller quoi que ce soit, la plupart des jeux tournent nickel ! Le dev a fait le choix de ne pas encourager les "hacks" qui cassent la compatibilité du coup vous lancez votre jeu et ça marche.

Mais si vous voulez pousser le truc, y'a quand même de quoi s'amuser. L'émulateur supporte l'upscaling pour afficher vos jeux en HD voire en 4K, le filtrage de textures pour lisser tout ça, et le PGXP pour corriger la précision géométrique qui faisait trembler les polygones sur la vraie PS1. Vous savez, ce "wobbling" dégueulasse quand la caméra bougeait ? Hé bien c'est fini.

Vous pensiez que les technologies de surveillance chinoises étaient 100% chinoises ? Hé bien pas du tout. Une enquête passionnante d'AP vient de révéler que le gouvernement chinois utilise massivement des logiciels américains pour traquer ses propres citoyens, y compris ceux qui ont fui aux États-Unis.

L'histoire de Li Chuanliang est assez flippante. Cet ancien fonctionnaire chinois était en convalescence d'un cancer sur une île coréenne quand il a reçu un appel urgent lui disant de ne surtout pas rentrer en Chine. Quelques jours plus tard, un inconnu le prend en photo dans un café. Terrorisé à l'idée que la Corée du Sud le renvoie chez lui, Li s'enfuit aux États-Unis avec un visa touristique et demande l'asile.

Mais même là-bas, à New York, en Californie, au fin fond du désert texan, le gouvernement chinois a continué à le traquer. Ses communications ont été surveillées, ses biens saisis, ses déplacements suivis dans des bases de données policières. Et le pire, c'est que plus de 40 de ses proches ont été identifiés et détenus, y compris sa fille enceinte. Comment est-ce qu'ils ont fait ? Hé bien via différente méthodes, donc une qui consiste à remonter toutes les interactions humaines jusqu'aux chauffeurs de taxi grâce à la reconnaissance faciale.

Et c'est là que ça devient vraiment dingue car la techno utilisée pour contrôler les fonctionnaires chinois à l'étranger depuis une décennie vient en grande partie de la Silicon Valley. Des boîtes comme IBM, Oracle et Microsoft ont vendu leurs logiciels au Bureau d'Investigation des Crimes Économiques chinois.

IBM a notamment vendu son logiciel de surveillance i2 à cette division et des emails qui ont fuité montrent que ce même logiciel a été copié par Landasoft, un ancien partenaire d'IBM, puis revendu aux commissions disciplinaires chinoises. Le truc incluait des fonctions comme la "gestion des personnes associées" et le tracking des réservations d'hôtel.

Et les chiffres donnent le vertige car rien que l'année dernière, cette techno a permis d'identifier et de "punir" près de 900 000 fonctionnaires en Chine, soit presque 5 fois plus qu'en 2012. Et à l'international, plus de 14 000 personnes, dont environ 3 000 fonctionnaires, ont été ramenées de force en Chine depuis plus de 120 pays via les opérations " Fox Hunt " et " Sky Net ".

IBM a bien précisé qu'ils ont revendu cette division en 2022 et qu'ils ont des "processus robustes" pour garantir une utilisation responsable mais bon, oausi c'est un peu tard les gars.

Maintenant, pour Li, l'avenir est incertain car l'administration Trump a gelé toutes les demandes d'asile. Du coup, s'il ne rentre pas en Chine, il risque un procès par contumace et s'il est condamné et expulsé, c'est la prison à vie qui l'attend.

Bref, la prochaine fois qu'on vous parle de surveillance chinoise, n'oubliez pas d'où viennent les outils.

Vous bossez toute la journée sur ChatGPT ou Claude et vous commencez à trouver ça un peu tristounet ? Youpi, y'a une extension Chrome qui va égayer tout ça avec des petits animaux virtuels qui se baladent sur votre interface comme quand on était en 1999.

Ça s'appelle GPTPets et c'est le genre de truc complètement inutile donc forcément indispensable comme disait Jérôme Bonaldi. Le principe c'est d'avoir un petit compagnon animé qui vit sa vie sur la barre de saisie de votre IA préférée, genre un chat qui fait la sieste, un chien qui remue la queue, un panda qui mange du bambou, une brigitte qui insulte ses paires... bref vous voyez le genre.