Fin de journée, c’est presque le week end et en plus les vacances scolaires sont là ! Mais je ne pouvais pas finir ma journée sans vous parler de Vault. Vault c’est une application Electron pour Mac, Windows et Linux qui vous permet de sauvegarder vos liens, vos notes et vos images à 100% en local sur votre machine.

Vous installez l’app, vous créez un ou plusieurs “coffres” (des dossiers qui organisent votre contenu), et vous commencez à sauvegarder tout ce qui vous intéresse. L’app extrait automatiquement les métadonnées des liens que vous lui donnez, le temps de lecture estimé, les infos produit si c’est une page e-commerce, et comme ça, tout reste bien organisé dans votre interface.

Question flippante, hein ?

Vous postez des stories Instagram, vous faites des snaps, des TikToks, en bon nazi vous likez des tweets, vous répondez à des emails pro…etc. Votre vie numérique ronronne comme un chat sous coke mais si demain, tout ça s’arrêtait…? A votre avis, Combien de temps avant que quelqu’un ne toque à votre porte pour vérifier que vous allez bien ?

Un jour ? Deux jours ? Une semaine ?

On est tous hyperconnectés 24/7 mais personne ne surveille vraiment notre silence et vos 500 meilleurs amis de Facebook ne prendront jamais la peine de signaler votre disparition.

C’est de ce constat un peu morbide qu’est né Wellness Ping, un projet open source développé par micr0 et hébergé sur GitHub qui fonctionne comme ceci : Vous vous inscrivez dessus, et vous recevez un email régulier pour confirmer que vous allez bien. Si vous ne répondez pas, vos contacts d’urgence sont alors automatiquement alertés.

C’est ce qu’on appelle un dead man’s switch, le joujou préféré des cons de terroristes qui se font exploser dans les films des années 80. En gros, tant que vous confirmez votre présence, tout va bien mais si le silence se prolonge, l’alarme se déclenche.

Vous pouvez l’auto-héberger vous-même ou utiliser directement le site wellness-p.ing (C’est gratuit). Vous choisissez alors la fréquence des pings, soit quotidien ou hebdomadaire, selon votre niveau de paranoïa ou de solitude et quand vous recevez l’email, vous cliquez sur un lien ou vous répondez “PONG” et c’est tout. Pas de dashboard compliqué, pas de machins de gamification débiles…

Et si vous ne répondez pas parce que vous êtes coincé au chiottes depuis 3 jours, le système vous envoie un rappel. Si vous ne répondez toujours pas, il attend encore un peu. Et si le silence persiste, vos contacts d’urgence reçoivent alors automatiquement une alerte.

C’est clairement fait pour activistes, les journalistes, les chercheurs, et les gens qui vivent seuls. Bref, tous ceux dont la vie pourrait basculer sans que personne ne s’en rende compte immédiatement. Je pense pas exemple à tous ceux qui bossent en remote et qui n’ont pas de collègues pour remarquer leur absence.

Au Japon, il y a un mot pour ça d’ailleurs. Ils disent kodokushi pour “Mort solitaire” car là bas, des milliers de personnes par an meurent seules chez elles, et on ne les découvre que des jours ou des semaines plus tard. C’est d’ailleurs souvent parce que les voisins sentent que ça schlingue ou parce que le courrier s’entasse sous la porte. Je sais, c’est gore mais c’est la triste réalité.

Avec Wellness Ping on inverse donc la logique… Au lieu d’attendre que quelqu’un remarque votre absence, vous créez un système proactif où vous choisissez les contacts, vous qui décidez de la fréquence et comme ça, si un jour vous ne pouvez plus répondre, le filet de sécurité se déploie automatiquement.

Côté technique, le projet est développé en Go donc c’est léger, rapide, et la démo tourne sur un serveur en Suède parce que ce pays a une législation stricte sur les données personnelles.

Bref, c’est Wellness Ping, c’est une idée simple mais qui protège alors pensez-y !

Vous savez, ce script bash de backup que vous avez écrit en 2018 et que vous n’osez plus toucher ? Celui avec les 150 lignes de mysqldump + tar + gzip + aws s3 cp qui marche à moitié et que vous relancez manuellement quand il plante ?

Hé bien vous allez pouvoir le foutre à la poubelle parce que maintenant y’a GoBackup !

GoBackup c’est un binaire codé en Go qui remplace tous vos scripts de backup maison d’un coup. MySQL, PostgreSQL, MongoDB, Redis, peu importe. Local, FTP, S3, Google Cloud, Azure, peu importe. Vous installez, vous configurez un fichier YAML, et c’est fini.

Ensuite, vous n’aurez plus jamais besoin de retoucher à tout ce bordel.

Avant GoBackup y’avait backup/backup, une gem Ruby qui faisait exactement ce job avec de la sauvegarde automatique, multi-bases, multi-destinations et c’était bien. Sauf que Ruby c’est lourd et les dépendances Ruby c’est l’enfer. Du coup le projet est mort tout doucement. Heureusement, huacnlee, un dev chinois, en a eu marre alors il a tout réécrit en Go. Zéro dépendance externe et un seul binaire compilé (installable aussi avec Brew pour ceux qui sont sous macOS).

Vous pouvez l’installer comme ceci (vérifiez le script) :

curl -sSL https://gobackup.github.io/install | sh

Ou via homebrew comme ceci :

brew install gobackup

Avec GoBackup, vous définissez vos bases de données, vos fichiers à archiver, vos destinations de stockage, votre planning, tout dans un fichier YAML propre et ensuite le binaire gère tout : Compression, chiffrement, upload, rotation des backups, notifications si ça échoue…etc. Bref, tout ce que vous faisiez à la main avec vos scripts pourris.

Et GoBackup est pas juste un CLI (Interface en ligne de commande). C’est un CLI + un daemon + une Web UI + un scheduler. Comme ça vous lancez “gobackup start” et ça tourne en background.

Le daemon surveille alors le planning défini dans votre config et lance les backups automatiquement. Et l’interface web vous permet de voir l’état des backups, les logs, les erreurs.

Avec GoBackup, vous remplacez littéralement 5 outils en un : votre script bash + cron + un monitoring pourri + un truc pour lire les logs + l’interface d’admin que vous avez jamais eu le temps de faire.

Votre config ressemble à ça :

models:
 mon_app:
 compress:
 type: tgz
 databases:
 mon_mysql:
 type: mysql
 host: localhost
 database: ma_base
 username: user
 password: $MYSQL_PASSWORD
 storages:
 mon_s3:
 type: s3
 bucket: mes-backups
 region: eu-west-1
 access_key_id: $AWS_KEY
 secret_access_key: $AWS_SECRET
 schedule:
 every: 1day
 at: "04:05"

Et c’est tout. Avec ce fichier, GoBackup dump votre base MySQL tous les jours à 4h05, compresse en .tar.gz, chiffre si vous voulez, et upload sur S3. Et si ça échoue vous recevez une notif. Et si ça marche vous avez les logs comme ça, pas besoin de surveiller, ni de débugger à 3h du matin parce que le backup a planté et que vous avez perdu 6 mois de données.

Notez quand même que GoBackup fait du backup classique, et pas du backup incrémental intelligent à la Restic ou à la Borg donc si vous avez 500 GB de données à backup tous les jours vous allez peut-être préférer un outil plus sophistiqué mais pour 90% des cas d’usage sysadmin standard, GoBackup suffira largement.

Votre script bash dégeu a eu une belle vie, il peut maintenant partir à la retraite.

Vous payez 20 balles par mois pour que ChatGPT vous dise “bonjour” ? Vous attendez 5 secondes qu’une réponse revienne du cloud d’Anthropic ? Vous avez l’impression de louer votre intelligence artificielle comme vous louiez vos MP3 sur iTunes à la grande époque ?

Et bien j’ai une excellente nouvelle qui va vous plaire !! Il existe une extension de navigateur qui fait tourner de l’IA en local, sur votre machine, sans envoyer un seul octet dans le cloud. Ça s’appelle NativeMind et c’est du 100% local.

Vous installez l’extension sur Chrome, Firefox, Brave ou Edge, vous installez Ollama ou vous utilisez WebLLM directement dans le navigateur. Ensuite, vous téléchargez un modèle (DeepSeek, Qwen, Llama, ce que vous voulez) et c’est tout. Vous avez maintenant votre IA personnelle qui tourne sur votre laptop sans rien demander à personne, et accessible directement sur votre navigateur.

Le projet est open-source sous licence AGPL v3.0 et NativeMind supporte deux backends : Ollama, qui est recommandé si vous voulez de vraies performances et un contrôle total sur vos modèles ou WebLLM si vous voulez juste tester sans installer quoi que ce soit, directement dans le navigateur via WebAssembly.

Ollama c’est donc clairement la meilleure option. Vous lancez le serveur en local, il expose une API, et NativeMind s’y connecte. Vous pouvez faire tourner DeepSeek, qui est gratuit et open-source, et avoir des performances comparables à GPT-4, sans payer un centime de plus !

Vous pouvez ensuite lui demander de résumer n’importe quelle page web, de traduire un texte en gardant la mise en page intacte, d’analyser un PDF ou une image et même d’écrire pour vous !! Il est également capable de faire des tâches multi-étapes comme un agent le ferait.

Bref, tout ce que fait ChatGPT, mais sans que vos prompts partent sur les serveurs de Sam Altman.

Alors c’est moins immédiat que ChatGPT, je vous l’accorde et faut installer des trucs, mais une fois que c’est en place, vous êtes tranquille et surtout y’a pas de limite en terme de tokens ou de forfait… Puis vos données ne s’échappent pas.

Voilà, donc si vous voulez utiliser un peu d’IA pour comprendre des trucs sur des pages web, reformuler des mails que vous envoyez, générer des tweets à partir d’un contenu…etc, Nativemind est fait pour vous ! C’est largement suffisant pour des besoins d’IA classiques.

Rendez-vous sur le dépôt Github pour plus d’infos et sur le site officiel pour télécharger les extensions.

Si vous faites partie des anciens qui continuent à collectionner les liens sympa que vous trouvez sur le net, j’sais pas comment vous les gérez, mais j’ai peut-être un truc pour vous. Ça s’appelle Linkding (rien à voir avec le site rempli de teubés en costard qui parlent comme des IA nulles) et c’est un gestionnaire de bookmarks qu’on installe chez soi !

Hé oui, les champions de l’auto-hébergement, Linkding ne cherche pas à réinventer la roue… Il stocke juste vos liens, vos tags, vos notes en Markdown, et basta ! L’interface est sobre, lisible, et surtout elle ne vous balance pas des suggestions sponso à la con entre deux articles que vous vouliez lire plus tard.

Ce projet est open source sous licence MIT, et repose sur Django et SQLite. Donc c’est du solide ! SQLite pour la base de données, ça veut dire zéro configuration serveur et pas de grosse maintenance.

Vous installez le truc dans un container Docker, et ça tourne sur n’importe quoi. Ensuite, vous ajoutez un bookmark, et Linkding va automatiquement chercher le titre de la page, sa description, son icône, même une image de preview.

Autre truc cool prévu dans l’outil, c’est la possibilité de faire de l’archivage web car oui, Linkding peut créer des snapshots de chaque page que vous bookmarkez, soit en local sous forme de fichier HTML, soit via Internet Archive.

Parce que oui, il arrive parfois que les liens meurent dans d’atroces souffrances. Les sites ferment, les articles disparaissent, et dans 5 ans vous vous retrouvez avec une liste bourrée d’erreurs 404.

Alors que là, au moins, avec cet outil, vous avez une copie.

L’extension navigateur est aussi indispensable pour ajouter des bookmarks vite fait ! Elle est disponible pour Firefox et Chrome, et elle vous permet de les tagger à la volée, et même de chercher dans votre collection directement depuis la barre du navigateur. Ça ressemble un peu à ce qu’on avait avec Del.ici.ous à l’époque, en mieux.

Linkding gère aussi le multi-utilisateurs donc vous pouvez partager certains bookmarks avec d’autres personnes, ou les garder privés. C’est super pratique si vous l’installez pour toute la famille ou une petite équipe. Il y a même une API REST, donc si vous voulez automatiser des trucs ou créer vos propres outils autour, c’est possible !!

Y’a aussi une version PWA installable aussi donc vous pouvez l’ajouter à votre écran d’accueil sur mobile et l’utiliser comme une app native !

Une fois que vous y aurez goûté, difficile de revenir en arrière !

Pour tester, y’a une démo en ligne et l’installation prend moins de 10 minutes ! Ce serait dommage de s’en priver

Vous vous souvenez de ce samedi après-midi de 1995 où vous avez modifié CONFIG.SYS pour la première fois ? Les mains moites, le coeur qui bat, parce que si vous vous plantiez, Windows ne démarrait plus. L’écran bleu (le bon vieux bleu DOS hein, pas le blue screen of death), le curseur blanc qui clignote, et cette interface minimaliste où chaque caractère comptait. MS-DOS Edit.

Votre premier vrai pouvoir sur la machine !

Hé bien bonne nouvelle, Microsoft vient de le ressusciter pour de vrai, 30 ans après.

C’est fou ! L’équipe Windows Terminal annonce en effet qu’Edit est maintenant pré-installé dans Windows 11. Plus besoin de le télécharger donc… vous ouvrez votre terminal, vous tapez “edit”, et hop, vous y êtes.

230 kilo-octets seulement, comme à l’époque c’est chouette ! Et le truc marrant, c’est que Edit n’est pas juste un coup de comm nostalgique.

Non, Microsoft comble en réalité un vide qui dure depuis plus de 20 ans, car les versions 32-bit de Windows avaient MS-DOS Edit mais les versions 64-bit n’avaient rien ! Aucun éditeur en ligne de commande par défaut. Snif !

Ainsi, si vous vouliez modifier un fichier config en SSH, fallait forcement installer vim, nano, ou se débrouiller avec notepad.exe en mode graphique comme un sauvage.

Sauf que voilà, les terminaux reviennent en force ! Les devs passent leur vie dans WSL2, PowerShell est devenu cross-platform, et même les utilisateurs lambda doivent parfois mettre les mains dans un fichier texte via la ligne de commande. Finalement, après toutes ces années à vous prendre le chou avec “ouvrez un terminal” par ci, “lancez une commande” par là…etc., ça fait de moi un visionnaire ! ^^

Bon, bref, avoir un éditeur accessible et simple, qui ne nécessite pas un doctorat en raccourcis clavier vim, en 2025 ça a du sens ! D’ailleurs, MS-DOS Edit, dans les années 90, c’était la drogue douce qui menait aux drogues dures. On commençait par modifier AUTOEXEC.BAT pour optimiser notre RAM, parce qu’un jeu ne se lançait pas et deux ans plus tard on se retrouvait sous Linux à compiler un kernel à 3 heures du matin. Edit n’était pas juste un outil, c’était le Bifröst de la bidouille… le moment où on passait d’utilisateur à “celui qui comprend comment ça marche”.

Ce nouvel Edit garde donc cette philosophie avec son interface minimaliste, mais rassurez-vous sous le capot c’est du moderne. C’est écrit en Rust, c’est open-source sous licence MIT, et avec des keybindings inspirés de VS Code. Par exemple Ctrl+P pour switcher entre fichiers, Ctrl+F pour chercher… etc. Il supporte même la souris et l’unicode fonctionne.

Si ça vous dit de tester, vous pouvez l’installer via winget si vous n’êtes pas sur la dernière preview de Windows 11. Un simple “winget install Microsoft.Edit” et c’est réglé. Ensuite vous tapez “edit” dans votre terminal, ou “edit fichier.txt” pour ouvrir directement un document et voilà…

Vos enfants, ceux qui grandissent avec des interfaces tactiles, des assistants vocaux, et ChatGPT partout vont peut-être faire leurs premiers pas de bidouilleurs avec le même outil que nous à l’époque… Qui sait ?

Source

Un ingénieur amateur passionné par la technologie et l’innovation a mis au point un moteur Stirling révolutionnaire. Ce dispositif, imprimé en 3D et proposé en open source, repose sur le principe de la thermoacoustique et permet de produire de l’électricité à domicile.

L’article Un moteur Stirling thermoacoustique imprimé en 3D pour produire de l’électricité à la maison est apparu en premier sur NeozOne.

Vous venez de claquer plusieurs milliers d’euros dans une solution antivirus dernier cri pour votre boîte car le commercial vous a convaincu avec du machine learning, de l’IA comportementale, du threat hunting prédictif et j’en passe…

Cool story ! Mais si je vous disais qu’un petit exécutable open source gratuit peut potentiellement passer à travers ? Ce programme s’appelle al-khaser et je vous assure qu’il va vous faire déchanter, car ce truc, c’est le détecteur de mensonges des solutions de cybersécurité.

Al-khaser est outil qui ne fait rien de méchant en soi… C’est ce qu’on appelle un PoC, un “proof of concept” avec de bonnes intentions car il rassemble dans un seul programme toutes les techniques que les vrais malwares utilisent pour se planquer tels que la détection de machines virtuelles, le contournement des débogueurs, l’échappement aux sandbox, et j’en passe.

Comme ça, si votre antivirus ne détecte pas al-khaser, il y a de bonnes chances qu’il rate aussi les vraies menaces qui utilisent les mêmes techniques.

Faut dire que les éditeurs d’antivirus et d’EDR adorent nous vendre leurs nouvelles fonctionnalités IA de fou alors que certaines de leurs solutions ne détectent même pas des techniques pourtant connues depuis longtemps.

Al-khaser met donc tout ça en lumière de façon assez brutale en enchaînant des dizaines de vérifications. Par exemple, il va regarder si votre processeur a vraiment le bon nombre de cœurs ou si c’est une simulation. Il va checker l’adresse MAC de votre carte réseau pour voir si elle correspond à un hyperviseur VMware ou VirtualBox. Il va mesurer le temps d’exécution de certaines opérations pour détecter si le système est accéléré artificiellement, comme dans une sandbox d’analyse. Il va même tester des API Windows classiques comme IsDebuggerPresent ou CheckRemoteDebuggerPresent pour voir si quelqu’un espionne son exécution.

Maintenant si vous voulez tester les protections anti-debug de votre système, vous tapez :

al-khaser.exe –check DEBUG –sleep 30

Oui si vous voulez voir si votre virtualisation VMware ou QEMU est bien masquée :

al-khaser.exe –check VMWARE –check QEMU

Bien sûr, ces techniques ne sortent pas de nulle part car elles sont documentées depuis des années notamment dans ce référentiel dont je vous déjà parlé .

Les équipes de pentest et les red teams adorent al-khaser car ça leur permet de montrer aux décideurs que leur gros investissement en cybersécurité n’est peut-être pas aussi solide qu’ils le pensaient. Vous lancez l’outil un vendredi après-midi dans un environnement de test, et vous voyez instantanément ce que votre EDR détecte ou pas.

Voilà, une fois encore, rassurez-vous, al-khaser ne fait rien de malveillant… Il ne vole pas de données, ne chiffre pas vos fichiers, ne lance pas de ransomware mais se contente juste de lever la main et de dire “hé ho, je suis là, regardez moi, je fais plein de des trucs louches !!”.

Bien sûr, ne lancez pas al-khaser sur n’importe quelle machine car c’est un outil de test qui doit rester dans un environnement contrôlé. Si vous le lancez sur le réseau de prod sans prévenir votre équipe sécu, vous allez déclencher des alertes partout et recevoir des appels pas très sympathiques. Et surtout, juridiquement, vous devez avoir l’autorisation du propriétaire de l’infrastructure, sinon, vous risquez de gros ennuis.

Ce projet est open source, écrit essentiellement en C++, et disponible sur GitHub . Y’a plus qu’à vous monter une VM isolée, récupérer al-khaser, et voir ce que ça donne.

Vous faites du pentest, de la recherche en sécu ou vous êtes juste un curieux qui aime bidouiller des environnements de test ? Dans ce cas, il faut absolument que vous vous montiez un lab cybersécurité ! Mais c’est vai que c’est souvent la galère… Y’a Active Directory à configurer, des VMs Windows à déployer, des réseaux isolés à créer, tout ça manuellement… Ça prend des heures, voire des jours. Heureusement, Ludus règle le problème ! Vous décrivez ce que vous voulez dans un fichier YAML, vous tapez une commande, et hop, votre lab est prêt.

Ludus , c’est donc un système d’automatisation open-source qui tourne sur Proxmox. Vous définissez votre environnement de test (ce qu’ils appellent un “range”) dans un fichier de config, et Ludus s’occupe de tout déployer. Active Directory, machines Windows avec Office et Chocolatey, réseaux isolés, firewall rules personnalisées, DNS interne… Tout ce qu’il faut pour un lab de red team, blue team ou purple team.

Le truc cool, c’est que Ludus utilise Packer et Ansible en arrière-plan. Les templates sont construits à partir d’ISOs vérifiées, et tout est déployé de manière reproductible. Comme ça si vous voulez 255 VLANs, pas de souci. Si vous avez besoin de règles firewall custom ou de définir rôles Ansible pour configurer vos machines, c’est fastoche. Bref, Ludus vous laisse faire du high-level en YAML tout en gérant la complexité technique pour vous.

L’isolation est également bien pensée. Vous pouvez couper vos VMs d’internet, prendre des snapshots avant de leur autoriser l’accès, et ne whitelister que les domaines ou IPs spécifiques dont vous avez besoin. Du coup, pas de télémétrie qui fuit, pas de mises à jour Windows qui cassent votre environnement de test. Vous contrôlez tout !

Pour l’accès, Ludus intègre un serveur WireGuard ce qui vous permettra de vous connecter depuis n’importe où via SSH, RDP, VNC ou KasmVNC. Pratique si vous voulez accéder à votre lab depuis l’extérieur sans exposer vos machines de test sur internet.

Techniquement, ça tourne uniquement sur Debian 12/13 avec Proxmox 8/9. Il vous faudra au minimum 32GB de RAM par range (environnement de test), 200GB de stockage initial plus 50GB par range supplémentaire, et un CPU x86_64 avec un score Passmark au-dessus de 6000. C’est des specs correctes, mais pas non plus délirant si vous montez un serveur dédié pour ça.

Après une fois que c’est en place, le workflow pour les utilisateurs est assez simple. Vous récupérez une clé API et une config WireGuard auprès de l’admin du serveur Ludus, vous installez le client Ludus, vous importez votre VPN, et vous pouvez gérer votre range via la ligne de commande.

Le projet est sous licence AGPLv3, donc full open-source et comme d’hab, le code est sur GitHub . C’est en train de devenir un outil de référence dans la communauté sécu pour qui veut des environnements de test reproductibles.

Bref, si vous en avez marre de passer des heures à configurer vos labs à la main, pensez à Ludus ! Un fichier YAML, une commande vite fait, et votre infrastructure de test est toute prête ! Après, vous pouvez toujours aller bidouiller manuellement dans Proxmox si besoin, Ludus ne vous en empêchera pas, mais pour le gros du boulot chiant, il automatisera tout.

Ah et la documentation est ici !

Vous connaissez ces outils qui promettent de créer des apps web juste en discutant avec une IA ? Genre Lovable, v0, Bolt, Replit…etc. C’est magique, sauf que tout tourne dans le cloud, vos données passent par leurs serveurs et vous êtes du coup enfermés dans leur écosystème.

Hé bien Dyad fait la même chose, mais un peu différemment puisque tout tourne en local sur votre machine. En plus c’est open-source et c’est gratuit.

Guillaume, fidèle lecteur de Korben.info depuis un looong moment, s’était bricolé un script bash pour gérer ses connexions SSH. Vous savez, c’est le genre de script qu’on améliore petit à petit, puis qu’on finit par ne plus oser toucher de peur de tout casser. C’est pratique, mais pour reprendre les mots de Guillaume dans le mail qu’il m’a écrit, c’est pas très “élégant”.

Puis il est tombé sur deux articles que j’avais écrits : un sur ssh-list , un sur ggh qui sont deux outils sympas pour gérer les connexions SSH depuis le terminal. Mais de son point de vue, incomplets. Et là, il a eu un déclic : “Et si je combinais les deux, en ajoutant ce qui me manque ?”

Et un mois plus tard, SSHM était né . On est loin du script du départ puisqu’il a codé un véritable outil en Go avec Bubble Tea , dans une interface TUI moderne, avec un support complet du ~/.ssh/config, une organisation par tags, un historique des connexions, et même du port forwarding avec mémoire. Bref un truc super abouti.

Puis environ 1 mois après la sortie de la première version, Guillaume a continué à implémenter pas mal de nouveautés : gestion interactive des hôtes SSH, recherche intelligente multi-mots, indicateurs de statut en temps réel, support ProxyJump, directives Include gérées correctement, personnalisation des raccourcis clavier, compatible Linux/macOS/Windows. Le tout dans un binaire unique sans dépendances.

Faut vraiment que vous testiez car c’est c’est chouette. Je trouve que SSHM a dépassé largement ses inspirations. Par exemple, ssh-list organise vos serveurs en groupes alors que SSHM utilise des tags. Ça permet de marquer un serveur “prod” + “web” + “urgent” et du coup c’est beaucoup plus flexible que de ranger ça dans des dossiers statiques.

ggh fait également du session recall. Cela veut dire qu’il se souvient de vos dernières connexions SSH et vous permet de les relancer rapidement. Et bien SSHM fait ça AUSSI, mais en plus il gère toute votre config SSH : Ajout, édition, suppression d’hôtes, directement depuis l’interface TUI. En vrai, Guillaume n’a pas copié-collé les idées de ces outils mais a repensé totalement l’organisation même de la gestion SSH.

Prenez le port forwarding. Combien de fois vous avez perdu vos notes sur vos tunnels SSH ? Hé bien SSHM lui se souvient de vos dernières configs de tunnels locaux, distants, SOCKS…etc. Si vous forwardez toujours le port 3306 de votre base MySQL de dev, SSHM retiendra les paramètres. Ça fait gagner grave de temps car vous n’avez plus à vous rappeler de la syntaxe “ssh -L 3306:localhost:3306 user@serve” à chaque fois. C’est un petit détail qui prouve bien que cet outil a été créé par quelqu’un qui UTILISE vraiment SSH au quotidien, et pas juste pour faire un script vite fait.

L’interface TUI est plutôt fluide, avec des raccourcis clavier configurables et vous pouvez même désactiver ESC si vous êtes un puriste vim qui déteste les touches d’échappement. Les indicateurs de connectivité SSH s’affichent en couleur en temps réel (vous voyez d’un coup d’œil quels serveurs répondent) et il y a une superbe recherche (un filtre en réalité) par nom et par tags, qui supporte plusieurs mots. Et si vous préférez scripter, SSHM fonctionne aussi en CLI pur. Par exemple, “sshm connect prod-web-01” dans un script bash, et ça marchera en gardant l’historique des connexions.

Un autre point technique important pour les admins qui ont des configs SSH complexes : SSHM gère correctement les directives Include . Hé oui, beaucoup d’outils cassent quand vous avez un ~/.ssh/config qui include des fichiers séparés comme ~/ssh/work et ~/ssh/perso. SSHM est capable non seulement de les lire mais aussi de les éditer correctement.

Concernant l’installation c’est ultra-simple. Sur macOS, Homebrew fait le job. Sur Unix/Linux, il suffit d’un script d’une ligne. Enfin, sous Windows, y’a un script PowerShell. Ou alors vous pouvez télécharger direct le binaire depuis les releases GitHub .

Homebrew pour macOS :

brew install Gu1llaum-3/sshm/sshm

Unix/Linux/macOS :

curl -sSL https://raw.githubusercontent.com/Gu1llaum-3/sshm/main/install/unix.sh | bash

Windows (PowerShell):

irm https://raw.githubusercontent.com/Gu1llaum-3/sshm/main/install/windows.ps1 | iex

Bref, Guillaume a plutôt bien géré son truc je trouve ! Comme quoi, la barrière entre “bidouille perso” et “outil communautaire reconnu” n’a jamais été aussi basse. Avec un bon framework comme Bubble Tea, une idée claire sur ce qui manque aux outils existants, et un ou deux mois de travail sérieux, et hop, on fait un miracle !

Voilà, donc si vous gérez plusieurs serveurs SSH au quotidien, SSHM vaut vraiment le coup d’œil. Un grand merci à Guillaume pour le partage, c’est trop cool !

La firme américaine Qualcomm a annoncé ce mardi 7 octobre l’acquisition de la célèbre plateforme open source Arduino, plateforme utilisée dans le monde entier pour le prototypage électronique et les projets « makers ». Bien que le montant de la transaction n’ait pas été divulgué, Qualcomm assure qu’Arduino conservera son …

Lire la suite

Aimez KultureGeek sur Facebook, et suivez-nous sur Twitter

N'oubliez pas de télécharger notre Application gratuite iAddict pour iPhone et iPad (lien App Store)

L’article Qualcomm rachète Arduino pour apporter l’ « Edge AI » à une nouvelle communauté de développeurs est apparu en premier sur KultureGeek.

Je sais pas si vous avez vu ça hier mais Google DeepMind vient de sortir CodeMender , un agent IA qui repère et corrige automatiquement les failles de sécurité dans votre code. L’outil analyse les vulnérabilités, génère les patches, vérifie qu’ils cassent rien, et soumet le tout aux mainteneurs de projets open source.

D’après leurs premiers retours, en 6 mois, CodeMender a déjà upstreamé 72 correctifs de sécurité sur des projets qui comptent jusqu’à 4,5 millions de lignes de code.

Pour bien comprendre comment ça fonctionne, CodeMender fonctionne sur deux modes. Il y a le mode réactif qui patche instantanément les nouvelles vulnérabilités découvertes, avec de l’analyse de programme avancée et un système multi-agents qui évalue la correction sous tous les angles. Et le mode proactif qui réécrit le code existant pour utiliser des structures de données et des APIs plus sécurisées, en appliquant par exemple des annotations de compilateur comme -fbounds-safety qui ajoutent des vérifications de limites automatiques.

L’outil s’appuie sur Gemini Deep Think , l’un des modèles de raisonnement avancé de Google et CodeMender combine plusieurs techniques d’analyse : static analysis pour repérer les patterns suspects dans le code source, dynamic analysis pour observer le comportement à l’exécution, fuzzing pour balancer des inputs aléatoires et voir ce qui casse, differential testing pour comparer le code modifié avec l’original, et des solveurs SMT pour vérifier formellement certaines propriétés du code.

Le truc intéressant avec CodeMender, c’est le process de validation. L’agent utilise ce qu’ils appellent un “LLM judge” qui vérifie que le patch proposé ne casse pas les fonctionnalités existantes. Le système compare l’original et la version modifiée, détecte les différences, et valide que le changement corrige bien la vulnérabilité sans y introduire des régressions. Et si un problème est détecté, CodeMender s’auto-corrige et retente sa chance.

Vous connaissez le job de payment engineer ? Ce métier n’existait même pas il y a 3 ans et aujourd’hui, les paiements en ligne sont devenus tellement complexes qu’il existe carrément une nouvelle catégorie de développeurs… Et au centre de cette petite révolution, il y a Hyperswitch , un projet open source qui est en train de servir de base à toute une génération de spécialistes des paiements.

Sorti en 2022, Hyperswitch est une plateforme d’orchestration de paiements écrite en Rust. Le pitch marketing vous dira que c’est le “Linux des paiements”, un outil modulaire, flexible, open source, mais dans les faits, ça permet surtout de connecter votre boutique en ligne à +50 processeurs de paiement différents via une seule API… Stripe, Adyen, PayPal, tout ce que vous voulez.

Le projet est développé par Juspay, une boîte indienne qui gère déjà les paiements de 400 entreprises et traite 175 millions de transactions par jour et quand ils ont décidé d’open-sourcer leur infrastructure, ils ont vraiment tapé dans le mille ! Rien que le dépôt GitHub affiche maintenant plus de 36 000 étoiles, ce qui est assez dingue pour un outil d’infrastructure B2B.

Et cela arrive au bon moment parce que les paiements en ligne sont devenus un cauchemar technique. Entre les différents processeurs, les méthodes de paiement locales (UPI en Inde, WeChat Pay en Chine, Bancontact en Belgique), les réglementations qui changent, les taux d’autorisation qui varient selon les pays, les frais cachés qui s’accumulent et les webhooks qui plantent au pire moment, il faut vraiment être un spécialiste pour s’y retrouver.

C’est un peu ce qui s’est passé avec le terme DevOps il y a 10 ans. J’sais pas si vous vous souvenez, mais au début c’était juste un buzzword. Puis Docker et Kubernetes sont arrivés, la complexité a explosé, et boom, aujourd’hui tout le monde cherche des ingés DevOps. Même délire avec les “data engineers” quand les boîtes ont commencé à avoir des pétaoctets de données à gérer.

Hé bien les paiements suivent la même trajectoire. Vous ne pouvez plus juste intégrer Stripe et oublier le problème. Si vous faites du volume, vous devez optimiser vos coûts (car les frais peuvent varier de 1 à 3% selon le processeur), améliorer vos taux d’autorisation (parfois 5 à 10 points de différence entre processeurs), gérer le retry intelligent quand une carte est refusée, faire de la réconciliation automatique…etc.

Bref, vous avez besoin d’un spécialiste.

Et c’est exactement ce que fait Hyperswitch qui indirectement forme des ingénieurs en paiement, car quand vous passez 6 mois à bidouiller Hyperswitch , à comprendre comment fonctionne le routing intelligent ou la réconciliation automatique, vous devenez au bout d’un moment spécialiste des paiements.

C’est un peu le même coup qu’a fait Red Hat avec Linux, ou HashiCorp avec Terraform. Vous créez une communauté de gens qui connaissent votre outil à fond, et les membres de cette communauté deviennent ensuite vos meilleurs ambassadeurs et des experts d’un domaine qui recrute à tour de bras. Hyperswitch surfe donc sur cette vague en proposant son outil en self hosting pour l’auto-hébergement ou du managé qu’ils gèrent pour vous. Et c’est clairement un business model qui a fait ses preuves.

Bref, si vous êtes développeur et que vous cherchez une niche où vous spécialiser, les paiements c’est visiblement un secteur qui monte. Et comme Hyperswitch est open source, vous pouvez vous former gratuitement en installant leur stack. Au pire, vous aurez appris quelques trucs utiles et au mieux, vous découvrirez un nouveau métier…

En octobre 2016, un développeur suisse connu sous le pseudo swisskyrepo a commencé à compiler ses notes de pentester dans un dépôt GitHub. Rien de révolutionnaire au départ, juste un mec qui en avait marre de chercher la même injection SQL pour la 50ème fois dans ses notes. Mais ce qui est cool c’est qu’au fur et à mesure des années, il a structuré ça proprement avec une section par type de vulnérabilité, des README clairs, des fichiers Intruder pour Burp Suite, des exemples concrets…etc.

Ça s’appelle Payloads All The Things, et c’est accessible ici .

Ce qui était donc au départ un simple carnet de notes personnel est devenu THE référence mondiale en cybersécurité offensive avec des centaines de contributeurs qui ajoutent quotidiennement de nouvelles techniques. C’est devenu la pierre de Rosette (pas la charcuterie, renseignez-vous !! lol) de la sécurité offensive, celle qu’on cite dans tous les cours de certification OSCP, celle qu’on consulte pendant les CTF, celle qu’on recommande aux débutants…

Avant PayloadsAllTheThings, le savoir en cybersécurité offensive était soit verrouillé dans des formations hors de prix à 5 000 boules, soit éparpillé dans des recoins obscurs du web, soit jalousement gardé par des pentesters qui pètent plus haut que leur cul… Des pêt-testeurs quoi…

SwisskyRepo a d’ailleurs fait un choix radical qui est tout mettre en open source, sous licence MIT, accessible à tous. Et le contenu, c’est du lourd !

On y trouve tout ce dont un pentester peut avoir besoin : SQL Injection avec toutes les variantes possibles (MySQL, PostgreSQL, Oracle, MSSQL…), XSS avec les bypasses de filtres, SSRF avec les techniques d’exfiltration, Command Injection, OAuth Misconfiguration, GraphQL Injection, File Inclusion, Authentication Bypasses, API Key Leaks…etc… La liste est hallucinante.

Chaque section est structurée comme un cookbook technique avec le contexte de la vulnérabilité, les payloads classés par type, les bypasses pour contourner les protections, des exemples concrets, et les références vers les CVE ou les articles de recherche.

Par exemple, si vous voulez exploiter un serveur Redis mal configuré, il y a une section pour ça. Si vous voulez comprendre comment contourner un WAF, pareil ! Et si vous cherchez à pivoter dans un réseau interne après avoir compromis une machine, tout est documenté en anglais sur ce site.

Mais swisskyrepo ne s’est pas arrêté là. Son projet a muté en écosystème puisqu’il a aussi créé InternalAllTheThings , un wiki dédié au pentesting interne et aux attaques Active Directory (Certificate Services, Enumeration, Group Policies, Kerberos attacks, Hash manipulation, Roasting techniques…).

Et également HardwareAllTheThings , le même genre de wiki mais sur la sécurité hardware et IoT : JTAG, SWD, UART pour les interfaces de debug, firmware dumping et reverse engineering, Arduino, Raspberry Pi, Flipper Zero pour les gadgets, Bluetooth, CAN, WiFi, RFID/NFC pour les protocoles, SDR et GSM pour la radio, fault injection pour les attaques par canal auxiliaire…

Bref, tout ce qu’il faut savoir pour hacker des objets connectés, des cartes à puce ou des systèmes embarqués.

Du coup, avec cette famille complète de “AllTheThings”, on couvre toute la surface d’attaque moderne, le web, l’infra interne et le hardware. Un pentest complet peut donc se faire avec ces trois ressources comme base de connaissance. Chouette non ?

Bien, sûr c’est à utiliser dans un cadre légal, sinon, vous irez en prison ! C’est pas un forum de script kiddies qui échangent des zero-days volés, c’est une vraie bibliothèque technique pour les professionnels et les étudiants en cybersécurité.

Grâce à ça, un étudiant motivé peut devenir compétent en sécurité offensive en quelques mois juste avec des ressources gratuites : PayloadsAllTheThings pour les techniques, TryHackMe ou HackTheBox pour la pratique, les blogs de chercheurs pour les analyses approfondies, les conférences enregistrées (DEF CON, Black Hat) pour rester à jour.

Le savoir se libère, n’en déplaise aux relous ! Moi je trouve que c’est cool, car ça vulgarise les connaissances, ça les mets à la portée de tous et c’est tant mieux.

Donc un grand merci à SwisskyRepo d’avoir lancé ce projet !

Vous en avez marre de WhatsApp, Telegram ou Discord qui lisent vos messages, stockent vos données et décident de qui peut parler à qui ? Ça tombe bien car il existe une alternative radicale qui vient de sortir en version 1.0.

Ça s’appelle Xeres , et contrairement à tout ce que vous utilisez aujourd’hui, ça ne passe par aucun serveur. Que dalle.

Il s’agit d’un vrai réseau Friend-to-Friend, c’est à dire que vous ne vous connectez qu’aux gens que vous connaissez vraiment. Pas de serveur central qui pourrait tomber, être saisi par le FBI ou décider de vendre vos conversations à des annonceurs. Juste vous et vos potes, en direct, chiffrés de bout en bout avec du PGP v4 et du RSA 3072 bits. Votre IP est uniquement visible par vos amis directs, et si vous voulez parler à un ami de votre ami, ça passe par des tunnels anonymes.

Le truc, c’est que Xeres est compatible avec Retroshare , ce vieux de la vieille du P2P décentralisé qui existe depuis des années. Donc si vous avez des potes qui utilisent déjà Retroshare 0.6.6 ou plus récent, vous pouvez vous connecter à eux sans problème. C’est un peu comme si Signal et BitTorrent avaient eu un enfant qui aurait grandi dans les années 90 en écoutant du punk et en lisant des manifestes crypto-anarchistes.

Mais alors comment ça marche techniquement, me direz-vous ? Et bien c’est simple. Vous installez Xeres sur votre machine (Windows, Linux, macOS, ou même Android), vous générez votre identité cryptographique, et vous échangez vos certificats avec vos amis. Pas de login, pas de mot de passe à retenir, pas de numéro de téléphone à fournir. Juste un échange de clés comme au bon vieux temps.

Une fois connecté, vous avez alors accès à tout un tas de services décentralisés. Du chat bien sûr, mais aussi des salons de discussion, des forums, du partage de fichiers, et même la possibilité de discuter avec des gens que vous ne connaissez pas directement via les fameux tunnels anonymes dont je vous parlais. C’est votre propre petit bout d’Internet privé avec vos amis, quoi.

Cette nouvelle release qui vient de sortir apporte pas mal d’améliorations . Meilleures perf avec Java, support macOS restauré, stickers dans les chats, alias de discussion, et même un système de mise à jour automatique sous Windows. Les versions précédentes avaient déjà ajouté un client Android pour se connecter à distance à votre instance qui tourne chez vous, du support pour les architectures ARM sous Linux, et plein d’autres trucs sympas.

D’ailleurs, parlons un peu de cette histoire de Friend-to-Friend (F2F) vs P2P classique. Dans un réseau P2P normal, tout le monde connaît l’IP de tout le monde. Pratique pour partager des fichiers, mais niveau anonymat et vie privée, c’est moyen. Dans un réseau F2F , vous ne voyez que vos contacts directs, et le reste du réseau vous est invisible. Ça limite un peu la portée, mais ça renforce énormément la sécurité et l’anonymat.

Xeres va même plus loin en supportant les transports via Tor et I2P en mode client. Donc si vous voulez vraiment rester anonyme, vous pouvez faire passer toutes vos connexions par ces réseaux. Ainsi vos amis directs ne verront même pas votre vraie IP. Oui, c’est pour les paranos, mais c’est top !

Maintenant pour l’installer, rendez-vous sur la page de téléchargement et choisissez la version qui correspond à votre système. Il y a des installeurs pour Windows, des paquets .deb pour Ubuntu, des images DMG pour macOS (Intel et Apple Silicon), et même une image Docker si vous voulez faire tourner ça sur un serveur en mode headless.

Toutes les releases sont signées avec une clé PGP, donc vous pouvez vérifier que personne n’a trafiqué le fichier que vous téléchargez. Donc prenez 30 secondes pour vérifier la signature, ça vaut le coup pour un logiciel de communication chiffré.

Et une fois installé, vous verrez, l’interface est plutôt moderne avec plusieurs thèmes au choix. Rien à voir avec les vieilles interfaces des logiciels P2P des années 2000. C’est propre, c’est réactif, et ça utilise JavaFX pour l’accélération matérielle. Oui, c’est du Java moderne qui ne fait pas ramer votre machine.

Le projet est disponible en open source sur GitHub sous licence GPL-3.0.

Bref, l’idée derrière Xeres, c’est de promouvoir la liberté d’expression en créant une alternative aux plateformes centralisées qui peuvent censurer, surveiller ou tout simplement disparaître du jour au lendemain. C’est un peu radical, mais vu l’état actuel de la centralisation du web, c’est pas plus mal d’avoir ce genre d’alternative.

Vous trouverez toute la documentation sur le site officiel , avec des guides de démarrage, des explications sur l’architecture, et des options de ligne de commande pour ceux qui veulent pousser le truc plus loin. Il y a même un mode client/serveur pour que votre instance tourne en permanence chez vous et que vous puissiez vous y connecter depuis votre téléphone Android.

Sympa non ?

Vous savez ce moment où vous regardez votre historique Git et vous vous demandez qui est le débile qui a écrit ce code dégueulasse ?

Ah bah ouais, c’était vous il y a 3 mois ^^. Eh bien GitType a trouvé la meilleure des thérapies qui est de vous faire retaper tout ça, lettre par lettre, comme une punition de primaire version développeur, totalement gamifiée avec des points, un chrono, et la possibilité de mesurer à quel point vos doigts sont devenus flasques depuis que Copilot fait tout le boulot à votre place.

Le tagline du projet, c’est “Show your AI who’s boss: just you, your keyboard, and your coding sins”. Et c’est pas une blague, c’est un manifeste car pendant que Copilot, ChatGPT, Claude Code et compagnie écrivent du code à notre place, GitType vous fait faire exactement l’inverse… il vous force à retaper du code pour redevenir bon !

Et contrairement aux tests de frappes classiques comme Ttyper ou tt qui vous font taper du texte générique, GitType utilise du VRAI code source. Votre code, celui de vos repos préférés, ou des repos trending de GitHub. Comme ça, vous ne vous entraînez pas sur du “ the quick brown fox jumps over the lazy dog ” à la con, mais sur vos propres merdes spaghettico-syntaxiques en Rust, TypeScript, Python ou Go.

Le jeu vous propose plusieurs modes. Y’a le mode Normal pour vous échauffer tranquillement, le Time Attack quand vous voulez vous mettre la pression, et des niveaux de difficulté de Easy à Zen pour ceux qui veulent méditer en tapant du code. Le tout avec un tracking en temps réel de votre WPM (words per minute) et de votre précision. Comme ça, plus vous progressez, plus vous montez dans le ranking avec des titres de développeur qui évoluent.

GitType supporte plus de 15 langages de programmation et propose plus de 15 thèmes visuels en mode Dark ou Light, avec possibilité de personnaliser le vôtre. L’installation est simple…

curl -sSL https://raw.githubusercontent.com/unhappychoice/gittype/main/install.sh | bash

Mais siiii, celui où on cliquait sur un lien et hop, la page s’affichait. Sans popup de cookies, sans overlay “Abonnez-vous à notre newsletter”, sans ce message agaçant “Désactivez votre bloqueur de pub pour continuer” ou “Abonnez-vous pour lire cet article”. Bref, l’époque bénie où internet était juste… internet.

Le RGPD devait nous sauver de la surveillance mais le résultat c’est qu’on passe notre vie à cliquer sur des bouton “Tout refuser” ou à chercher le bouton caché derrière 47 onglets de paramètres. L’enfer est pavé de bonnes intentions réglementaires, il parait… Mais heureusement, des extensions comme PopUpOFF existent pour réparer ce que cette loi a cassé.

Ce que fait cette extension pour Chrome et Firefox, c’est virer les popups, les overlays, les bannières de cookies et toutes ces merdes qui transforment la navigation en parcours du combattant. RomanistHere, le dev derrière le projet, a créé ça tout seul dans son coin et son extension est dispo en open-source sur GitHub .

PopUpOFF propose donc 3 modes de blocage : agressif, modéré et délicat. Le mode agressif, c’est le rouleau compresseur… il dégomme tout ce qui bouge. C’est super pratique quand vous êtes pressé.

Le mode modéré quant à lui fait le tri entre les popups légitimes (genre, celles de votre banque) et les overlays parasites. Et le mode délicat, lui, intervient uniquement quand vous le décidez manuellement.

Ainsi, vous gardez le contrôle total, ce qui change des extensions qui décident de tout ça à votre place.

• Téléchargez PopUpOFF sur Mozilla Add-ons
• Téléchargez PopUpOFF sur Chrome Web Store
• Et le repo GitHub PopUpOFF est ici

Alors bien sûr, tout n’est pas parfait et l’extension peut parfois rater des overlays invisibles ou péter l’affichage de certains sites, notamment les PWA (Progressive Web Apps), mais pour 90% des cas d’usage, ça fait le job impeccable.

À l’opposé des mastodontes type Ghostery ou uBlock Origin (qui sont excellents, ne me faites pas dire ce que je n’ai pas dit…), RomanistHere a misé sur le minimalisme radical. Pas de filtres à mettre à jour toutes les semaines, pas de liste de 50 000 domaines à bloquer, pas de consommation RAM de malade. Non, c’est juste un script intelligent qui détecte les patterns d’overlays et les neutralise.

Notez qu’en bonus, l’extension peut parfois débloquer du contenu payant sur certains sites qui utilisent des overlays pour bloquer la lecture. Ce n’est pas son objectif principal, mais vu que beaucoup de paywalls reposent sur des overlays CSS basiques, bah… PopUpOFF les vire aussi. Je dis pas que vous devriez l’utiliser pour contourner les abonnements (soutenez vos médias préférés, toussa toussa), mais sachez que techniquement, ça peut arriver.

À noter que PopUpOFF n’est pas seul sur ce créneau. Il y a aussi “ I Don’t Care About Cookies ” (racheté par Avast, ce qui a refroidi pas mal de gens), ou encore la fonction “ Never-Consent ” de Ghostery qui auto-rejette les cookies via les CMP (Consent Management Platforms). Ces alternatives ont chacune leurs forces, mais PopUpOFF reste le champion du rapport efficacité/poids.

Bref, si vous en avez marre de perdre 15 secondes par page à fermer des popups de merde, PopUpOFF mérite clairement sa place dans votre navigateur. C’est léger, c’est open-source, c’est gratuit, et ça fait exactement ce qu’on lui demande…