Les news de Korben

Régie des eaux US piratée - Le bluff iranien de Handala

Korben ✨ — Mon, 15 Jun 2026 12:30:36 +0200

Handala, un groupe de hackers liés à l'Iran, vient d'annoncer qu'il aurait pu couper l'eau de 2 millions de Californiens. Le groupe a en effet piraté California Water Service et balancé 5 Go de données pour le prouver.... Mais bon, peu importe ce qu'ils disent, la vérité c'est que non, il n'aurait pas pu.

Et c'est tout l'intérêt de cette histoire que je m'en vais vous conter....

Tout d'abord, quand on regarde ce qu'ils ont vraiment chopé, je vous avoue, on est trèèèèès loin du robinet. Leur point d'entrée, visiblement, c'est un serveur RTKBase, un outil open-source de correction GPS pour les équipes de terrain. Le truc traînait sur Internet, accessible en HTTP sur le port 10000, avec les identifiants admin et les mots de passe en clair. Comme à peu près tous les sites de l'administration française quoi... loool #troll # dataleakasaservice .

Et il tournait comme ça depuis plus de 780 heures d'affilée, soit plus d'un mois en libre accès. A partir de celui-ci, les attaquants ont alors pu sauter vers les systèmes de facturation, parce que rien ne séparait correctement le réseau GPS des données sensibles. Et ça leur a permis de récupérer les infos clients d'au moins 7 districts (Bakersfield, Chico, Salinas, Stockton, Visalia, San Mateo...) : noms, adresses, téléphones, numéros de compte, historiques de paiement.

Cela veut dire que ce qu'ils ont chopé en réalité, ce sont des fichiers clients, mais pas du tout un accès à une valve ou une pompe, ni même au moindre petit robinet qui goutte... snif...

Donc oui, grosse fuite de données perso, mais pas une seule ligne du système de traitement ou de distribution de l'eau n'a été touchée ! Pas de SCADA, pas d'automate, rien de ce qui pilote physiquement ce qui sort de votre robinet. Les analystes qui ont épluché les données sont très clairs là-dessus : Rien là dedans ne prouve que Handala peut couper l'eau d'une ville américaine. Le groupe n'a d'ailleurs aucun historique connu de sabotage de système de traitement d'eau. Le "j'aurais pu faire pire", c'est de l'intimidation et rien de plus...

Pour comprendre la différence, faut voir à quoi ressemble une vraie attaque sur une infra. Quand on pense sécurité et systèmes industriels, le premier truc qui vient à l'esprit, c'est en général le SCADA en place dans les usines, qu'on peut parfois croiser au détour d'un Shodan ou autre.

Une vraie attaque, c'est ça qu'elle vise. Je ne sais pas si vous vous souvenez, mais en décembre 2015, environ 230 000 Ukrainiens ont été plongés dans le noir à cause d'un malware qui ciblait directement les systèmes de contrôle électrique. Ou Stuxnet , qui a physiquement détruit un millier de centrifugeuses iraniennes. Ou Oldsmar en 2021, où quelqu'un a brièvement fait grimper le taux de soude dans l'eau potable d'une petite ville de Floride. Ça, c'est toucher l'OT, la partie qui commande les machines pour de vrai.

Désolé Handala.... lol

Maintenant, faut pas non plus les ranger au rayon des script kiddies parce qu' Handala, c'est en réalité la façade "hacktiviste" de Void Manticore, un groupe rattaché au renseignement iranien, avec notamment tout un arsenal de wipers maison pour effacer des disques.

Par exemple en mars dernier, ils ont lancé une attaque destructrice chez Stryker, un géant de l'équipement médical. Leur mode opératoire, c'est de voler les données d'abord, puis de revenir ensuite pour tout casser. D'ailleurs ils sont loin d'être les seuls puisque dès 2023, un autre groupe iranien, CyberAv3ngers, avait piraté 75 automates Unitronics dans des stations d'eau et d'autres infras aux États-Unis, au point que la CISA a dû tirer la sonnette d'alarme. En clair, des hackers iraniens qui s'en prennent aux stations d'eau américaines , c'est devenu la routine....

Bref, Handala n'a pas coupé l'eau mais le jour où un groupe avec un vrai accès SCADA débarquera, faudra pas venir dire qu'on n'était pas prévenus.

Source

RAMwavDroid - Et si on écoutait les malwares Android ?

Korben ✨ — Mon, 15 Jun 2026 12:15:10 +0200

Si vous faites un peu de reverse engineering sous Android, vous savez que les malwares modernes font absolument tout ce qu'ils peuvent pour planquer leurs mauvaises intentions, un peu comme vos parents toxiques... Code obfusqué, chargement dynamique, packing...etc, etc.

Mais c'était sans compter sur une équipe de chercheurs italiens menée par Giorgio Giacinto ont carrément changé de stratégie avec RAMwavDroid qui au lieu de désassembler le code , permet de le transformer en son et ensuite, laissent une IA l'écouter. Et cela permet d'obtenir un niveau de 98% de détection des malwares.

J'vous explique la sorcellerie de ce truc...

En effet, d'habitude, pour analyser une appli Android, on décompile l'APK et on récupère le code, notamment des fichiers smali, un équivalent lisible par un humain du code bas niveau Dalvik.

Mais avec leur RAMwavDroid, vous prenez le fichier, et chaque octet, qui vaut une valeur entre 0 et 255, devient directement une amplitude sonore. Pas de normalisation, ni de désassemblage mais simplement une forme d'onde, stockée dans un vrai fichier WAV ou MP3 + des réseaux de neurones qui apprennent à reconnaître la texture sonore d'un malware.

Le transformer utilisé, c'est Wav2Vec2, qui était même à la base entraîné sur de la voix humaine.

Comment RAMwavDroid transforme les octets d'une appli en forme d'onde

Mais alors pourquoi passer par le son ?

Hé bien parce que les antivirus classiques s'appuient sur le "sens" du programme, ses permissions, ses appels API, la structure de son code...etc. Or c'est exactement ça que les vrais malwares un peu filous brouillent pour passer entre les mailles. Alors que la texture brute des octets, elle, reste la même, peu importe l'habillage que son concepteur a donné à son malware.

Et ça, une oreille artificielle finit par le repérer.

Mais le vrai coup de génie c'est que plutôt que d'analyser le fichier au repos, RAMwavDroid lance l'appli dans un émulateur et prend un instantané de sa mémoire vive juste après le démarrage. Ça permet de parcourir les fichiers chargés en mémoire, les processus, et surtout le code que le packing a déjà déchiffré pour pouvoir s'exécuter. Cette analyse forensique de la mémoire fait alors grimper la précision de près de 94% en statique à jusqu'à 98% en dynamique.

Le spectrogramme d'une appli malveillante, vu comme un son

Sur un extrait de dataset de malwares utilisé pour leurs tests, composé de 600 applis (moitié saines moitié vérolées), RAMwavDroid tape jusqu'à 98% de bonnes réponses, avec dans sa meilleure configuration quasiment aucun faux positif.

Un faux positif, c'est quand il n'y a pas de malware, mais que l'antivirus clignote quand même en rouge, donc ça montre bien l'efficacité de leur technologie. On est au même niveau que VirusTotal qui fait bosser des dizaines de moteurs de détection en parallèle.

Bien sûr, c'est un résultat de laboratoire sur un échantillon limité d'apps, et le code source n'est pas encore disponible publiquement, donc on ne peut que les croire sur parole. Surtout que leur système fonctionne uniquement dans un émulateur (pour accéder à la RAM) et ça c'est un truc typique que les malwares sont capables de détecter... Donc bon, à voir...

En plus ce système se fait avoir par les applis bourrées de gros SDK légitimes qui noient également le signal, et par les malwares minimalistes trop simples pour faire du bruit. Bref, la robustesse face à l'obfuscation avancée, ce sera pour plus tard mais j'ai trouvé cette façon de faire plutôt originale.

Peut-être qu'à terme, les créateurs de malware mixeront leur binaire avec un MP3 de Jul ou Gims pour tromper ces futurs détecteurs audio ^^.

Source

Ironsmith - Décrivez votre app Mac et l'IA la forgera

Korben ✨ — Mon, 15 Jun 2026 11:39:55 +0200

Si vous êtes sous macOS, vous avez peut-être une petite app en tête, un truc tout bête que vous cherchez depuis des années sur Korben.info ou ailleurs sans jamais le trouver. Par exemple une app pour renommer des dossiers de captures par date et titre de fenêtre, ou pour splitter régulièrement des PDF page par page pour votre comptable qui n'a pas de molette sur sa souris, ou virer les paramètres de tracking des URL que vous copiez... Bref, tout un tas de petits usages qui ne valent pas forcément le coup d'installer une usine à gaz pour en bénéficier.

Heureusement, il existe un outil génial pour macOS qui est peut-être le "futur" de ce que sera le logiciel plus tard. Ça s'appelle Ironsmith , c'est signé Jade Westover, et ça permet à partir d'un prompt, de se fabriquer une app macos native correspondant à votre besoin précis.

Et quand je dis native, c'est native puisque chaque app qui sort de là, est codée en Swift + SwiftUI, ce qui permet de récupérer à la fois les sources et un vrai .app.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un lien vers la vidéo.

Ironsmith se loge dans la barre de menu de macOS et offre ainsi de quoi créer une nouvelle app, relancer les anciennes, éditer le code, ou restaurer une version précédente quand votre dernière idée a tout cassé.

Mais le meilleur se situe du côté de l'IA locale, pensée dès le départ. Ollama est supporté d'origine, et vous pouvez brancher n'importe quel endpoint compatible OpenAI , genre LM Studio ou llama.cpp avec le modèle de votre choix genre Gemma de Google ou Qwen d'Alibaba. Ah et il y a même Foundation Model planqué dans votre Mac via Apple Intelligence pour les trucs les plus basiques...

C'est peut-être à ce genre de truc que ressembleront tous les appstore dans le futur... Qui sait ? Chacun va pouvoir créer ses propres outils privés directement sur son ordi, sans avoir à payer quoi que ce soit, ou à passer par le cloud.

Vous pouvez aussi utiliser vos propres clés API OpenAI, Anthropic ou Gemini. Ou alors vous vous connectez à Ironsmith sans aucune clé, avec 10 crédits offerts pour tester. Avec un gros modèle genre GPT-5.5 ou Opus 4.8, on dépasse alors vite le simple gadget et on arrive à faire des apps étonnamment sophistiquées.

Un éditeur SVG natif sorti d'une simple description

Côté coulisses, le bouzin réclamera uniquement Xcode Command Line Tools qu'on installe avec un petit xcode-select --install. Et quand le code généré ne se compile pas du premier coup, l'app sait lire les erreurs du compilateur et tente alors de les réparer toute seule, d'abord avec des correctifs déterministes, puis en redemandant un diff au modèle. En gros, elle débugge sa propre merde avant de vous la mettre dans l'assiette. Miam !

Et niveau sécu, c'est assez carré même si je vous recommande TOUJOURS de relire le code avant de lancer des trucs random sur votre ordi. En tout cas, les dev ont bien pensé le truc en vous permettant de garder chaque app signée, sandboxée et lancée en "hardened runtime" par défaut, et autoriser explicitement l'accès à la caméra ou au micro.

Voilà, en fonction du modèle, vous n'aurez pas forcément les mêmes résultats. C'est assez expérimental, mais moi j'aime beaucoup voir ça parce que je me dis une fois encore, que c'est peut-être l'avenir. Permettre à tout un chacun de répondre à des besoins précis sans avoir besoin de mettre les mains dans le code ni de se battre avec des outils de dev, c'est chouette !

Voilà, si vous tournez sous macOS 26 et que vous avez une petite app en tête, vous pouvez télécharger le soft sur sa page GitHub ou sur le site, c'est gratuit et open source !

Pac-Hunt - Vengez enfin les fantômes de Pac-Man

Korben ✨ — Mon, 15 Jun 2026 09:37:05 +0200

Je ne sais pas si vous avez déjà joué à Pac-Man parce que c'est quand même un bon vieux jeu de boomer, mais si c'est le cas, vous avez peut-être déjà ressenti un peu de peine pour ces petits fantômes qui se font avaler tout cru par ce déglingot de Pac-Man.

Non ? Bah Garrit Franke, oui. Du coup il a codé pac-hunt, un petit jeu où vous incarnez ENFIN le fantôme qui traque le glouton jaune dans son labyrinthe, au lieu de vous faire bouffer bêtement.

C'est jouable directement depuis votre navigateur , sans rien installer. Vous déplacez votre fantôme avec les flèches de votre clavier ou les touches WASD, et votre boulot c'est de coincer ce "Gentil p'tit bonhomme" (vous l'avez ?) avant qu'il ne nettoie tout le labyrinthe de ses pastilles. Sauf que Garrit a gardé le pire souvenir de ses parties d'enfance, ce sale moment qui ruinait tout : Pac-Man gobe une super-pastille, et les rôles s'inversent !!! Hiiii tous aux abris, car pendant ces quelques secondes, c'est lui qui vous court après et c'est vous qui détalez.

Le tout tient dans un seul fichier HTML , sans le moindre framework, sous licence MIT et le glouton rond comme un ballon (vous l'avez ? lol oui j'aime le comique de répétition) n'est pas piloté au pif, puisqu'il a sa petite IA qui cherche les pastilles les plus proches et qui prend ses jambes à son cou dès que votre fantôme approche à moins de 7 cases. Et si vous le trouvez trop malin ou trop bête, les réglages de vitesse et de comportement sont dispo en haut du script, donc n'hésitez pas à bidouiller ça.

J'avoue que ça me donne des idées parce que des classiques à retourner comme une crêpe, y'en a un paquet. J'imagine par exemple un Mario où vous jouez le Goomba qui voulait juste traverser tranquillou le niveau pour aller faire ses courses au marché et qui se fait ratatiner le crâne par un gars amateur de champi en roues libres. On pourrait aussi jouer à un niveau de Donkey Kong où vous êtes le tonneau, avec comme seul objectif dans votre vie : rouler droit ! Et puis Space Invaders vu par l'alien du fond de la troupe qui regarde ses potes se faire dégommer rangée par rangée. Gloups !

Et Flappy Bird où vous êtes le tuyau, et vous ne faites rien... Juste vous attendez, et vous gagnez quand même ! lol... Et mon préféré, Pong où vous jouez la balle, qui rebondit d'un bord à l'autre sans fin, à vous poser de vraies questions sur le sens de la vie.

Voilà, si vous aimez le rétro-gaming autant que vous détestez prendre une douche, alors vous allez kiffer Pac-Hunt. Ça vous occupera durant cette loooongue semaine de bullshit job en attendant la mort (oui, je suis très positif en ce moment), et si l'envie vous prend de creuser le mythe, le vrai Pac-Man cache un bug bien connu des fans, et côté classiques recodés pour le navigateur, Pokémon en JavaScript vaut aussi le coup d'œil.

Bref, pac-hunt c'est 5 minutes de plaisir vengeur dans votre navigateur, et zéro install. Blinky compte sur vous les amis !

Source : Le blog de Garrit Franke

CrankGPT : l'IA à manivelle qui se mérite à la force des bras

Vincent Lautier — Sun, 14 Jun 2026 16:50:20 +0200

CrankGPT vous connaissez ? Elle fait tourner un assistant vocal complet, reconnaissance de la voix comprise, sans prise murale, sans batterie et sans serveur distant, et pour l'alimenter vous tournez une manivelle dont la résistance grimpe quand le modèle réfléchit.

Derrière, deux anciens de Google. Katrin Tomanek, informaticienne, et Alex Kauffmann, passé par le laboratoire ATAP, la division des projets un peu fous. Ils ont monté Squeez Labs ensemble.

Leur conviction tient en une phrase : des modèles d'IA minuscules, privés et spécialisés suffisent pour une bonne partie de nos usages, sans datacenter ni abonnement, à condition d'accepter du matériel modeste.

Le matériel en question ne paie vraiment pas de mine. Un Raspberry Pi 5 avec 8 Go de mémoire, ce petit ordinateur à 80 euros qu'on colle un peu partout. Un chargeur USB à manivelle de 20 watts, vendu comme matériel de survie. Et une carte de condensateurs maison qui garde 20 secondes de réserve, histoire que rien ne s'éteigne quand vos bras lâchent.

Côté logiciel, tout tourne sur le processeur du Pi, sans puce d'accélération. Moonshine transcrit votre voix. Piper répond avec la sienne. Entre les deux, un modèle de langage Liquid LFM2 de 1,2 milliard de paramètres, la même famille d'outils que ChatGPT en version lilliputienne, fabrique les réponses, et un Gemma 3 de Google s'occupe au passage de la traduction.

Le Linux embarqué, un DietPi taillé au plus court, démarre en 3 secondes. Il faut 30 secondes entre le premier tour de manivelle et la conversation. Ensuite, chaque réponse demande entre 0,8 et 2,9 secondes selon le modèle chargé.

Au repos, la machine tire 4 watts. 8 pendant la reconnaissance vocale. 15 quand le texte sort. Un cycliste entraîné tient 120 watts avec les jambes, et vous n'aurez que les biceps. Bon courage.

Le plus chouette : la résistance de la manivelle varie avec la charge de calcul, et quand l'IA réfléchit c'est physiquement plus dur à tourner. Kauffmann raconte qu'on sent littéralement l'inférence, ce moment où le modèle fabrique sa réponse. Le même résume d'ailleurs sa philosophie d'une formule : demander à Claude d'additionner deux nombres, c'est écraser une mouche avec une boule de démolition.

Squeez vise des usages très concrets. La reconnaissance vocale des personnes avec un accent prononcé. Une IA de jardinage ou de mécanique qui n'a quand même pas besoin d'un centre de données entier.

Le prototype coûte environ 300 dollars de matériel, contre 150 pour la toute première version. Les plans et schémas doivent être publiés prochainement, et l'agent vocal est déjà disponible sur GitHub si vous voulez bricoler le vôtre.

Si vous voulez mon avis, une IA qui fait transpirer à chaque question est le meilleur cours d'éducation énergétique jamais inventé.

Source : The Register

Des listes de cybercriminels à télécharger

Vincent Lautier — Sat, 13 Jun 2026 17:05:16 +0200

Si vous faites un peu de renseignements (OSINT) et que ce que vous cherchez, c'est des pseudos de cybercriminels, spmedia a un truc qui devrait vous plaire. Son repo GitHub Threat-Actor-Usernames-Scrape rassemble environ 773 000 pseudos uniques récupérés sur des forums de cybercriminels. C'est gratuit, en accès libre. Et ça peut vous faire gagner pas mal de temps si vous faites de l' OSINT .

Son délire, c'est de scraper les sections "Who's Online", les threads et les réponses de forums comme HackForums, DarkForums, BreachForums, XSS.pro, Dread, OGUsers et une vingtaine d'autres, ou de récupérer des extraits de fuites. L'intérêt de ce genre de truc, c'est de capter ces données pour ensuite les réutiliser dans vos propres projets. Ça vous permet par exemple de préparer un fichier texte propre par forum, qui est prêt à être ingéré dans un TIP (Threat Intelligence Platform) ou croisé avec vos données.

Au total, y'a environ 820 000 noms d'utilisateurs dans ce repo, dont ~46 000 en double. Les plus gros forums actifs sont Cracked.sh (~226 000 pseudos collectés), DarkForums.su (~75 000) et Altenen.is (~74 000). Côté forums morts, BreachForums.st domine avec ~57 000 entrées, devant la fuite Nulled (~42 000) et BreachForums.as (~39 000).

Il y a de quoi fouiller, quoi...

Spmedia a monté ce projet parce qu'il en avait marre des boîtes de threat intel qui facturent 5 à 6 chiffres par an pour accéder au même genre de données. On peut donc lui dire merci, même si ça ne remplace pas un vrai service CTI avec contexte et analyse. C'est juste des noms d'utilisateur sans autre enrichissement. Faudra donc croiser ça avec d'autres sources mais pour du pistage de pseudo ou une wordlist ciblée, ça peut aider.

Vous pouvez par exemple utiliser ces listes pour repérer un même pseudo sur plusieurs forums, constituer des wordlists ou simplement suivre quels sites ressortent après un takedown. Certains disparaissent, d'autres reviennent 48h plus tard sous un nouveau TLD (ambiance hydre de lerne, quoi).

Chaque fichier contient un pseudo par ligne et l'import dans un SIEM ou un script Python vous prendra 2 minutes. N'oubliez pas non plus qu'une bonne partie de ces comptes sont des kiddies ou des curieux, donc croisez toujours avec d'autres sources avant de pointer du doigt qui que ce soit...

Bref, si la chasse aux cybercriminels vous branche, vous pouvez récupérer les listes sur GitHub et voir ce que ça donne.

Amusez-vous bien !

Grasp - Et si votre code ne dépendait plus d'une boîte ?

Vincent Lautier — Sat, 13 Jun 2026 16:50:08 +0200

Grasp , c'est une alternative décentralisée à GitHub, signée DanConwayDev, le dev derrière ngit. Ça carbure à Nostr , le protocole décentralisé de fiatjaf, et l'idée avec ce truc, c'est que votre identité de dev, ce n'est plus un compte avec un email et un mot de passe, mais juste une paire de clés cryptographiques qui ne dépend de personne. Vous publiez votre code depuis le terminal, sans avoir à vous inscrire nulle part et pi c'est tout !

Vous me connaissez, j'adore fureter à la recherche de petits outils cools à partager avec vous, et niveau décentralisation, celui-là vaut le détour. Pour tester, ça se passe avec l'outil nak . Vous créez votre dépôt, vous le synchronisez, vous poussez comme ceci :

nak git init --owner <votre-clé-npub> --identifier mon-projet --name "Mon Super Projet" --description "Mon premier repo Grasp"
nak git sync
nak git push

Pour cloner le dépôt de quelqu'un d'autre, c'est nak git clone <npub-du-maintainer>/mon-projet, et pour lui envoyer un patch, nak git patch send HEAD^. Pas de fork ni de pull request à remplir dans une interface pour contribuer au code des autres... C'est beau non ?

Derrière, tout repose sur Nostr et sa spec NIP-34 qui transforme un dépôt, une issue ou un patch en messages signés que n'importe quel serveur peut relayer. Du coup chaque état de votre code est signé par votre clé, et comme ça, vos dépôts migrent d'un serveur à l'autre sans rien perdre. Impecc si vous ne faites pas confiance aux hébergeurs.

La vraie différence avec un Forgejo ou un Gitea que vous auto-hébergez, c'est donc que vous ne créez pas un compte sur chaque instance. Votre identité Nostr vous suit partout, une seule clé pour tous les serveurs ! À ne pas confondre par contre avec Radicle , qui fait du P2P local-first avec son propre protocole gossip et Git en natif (et pas sur IPFS, contrairement à ce qu'on lit souvent, le vrai GitHub-sur-IPFS ce serait plutôt GitLike ).

Grasp, lui, parie sur l'interopérabilité : plusieurs clients, plusieurs serveurs, un seul standard, et tout communique.

Et l'écosystème est déjà bien debout avec ngit-grasp comme serveur de référence, pyramid pour gérer une communauté, viewsource.win pour visualiser le code dans le navigateur, et gitworkshop.dev pour une interface complète façon GitHub.

Maintenant ce n'est pas non plus la solution miracle, car c'est encore un peu trop jeune à mon goût... Mais c'est à tester car le jour où l'un de ces frontends web deviendra vraiment carré et grand public, il pourrait bien venir taquiner GitHub, et ça, c'est plutôt une bonne nouvelle...

Save Stargate - Les fans se mobilisent contre Amazon

Korben ✨ — Sat, 13 Jun 2026 09:22:34 +0200

Si, comme moi, vous êtes un grand fan de la série Stargate , accrochez-vous bien parce que la Porte des Étoiles secoue plutôt pas mal ces derniers jours.

J'sais pas si vous saviez mais en novembre dernier, Amazon avait annoncé une nouvelle série, confiée à Martin Gero (un vétéran de la franchise). J'étais super content puisqu'en plus ça se présentait bien avec profond respect du lore, travail avec les showrunners des séries originales, séances d'écriture lancées durant 20 semaines, tournage prévu en Angleterre à la fin de l'année... Bref, ça partait plutôt pas mal !

Sauf que les execs qui avaient validé le projet chez Amazon sont partis entre-temps. Et une personne, arrivée en février, a tout simplement annulé le projet le 2 juin ! Motif invoqué : la série aurait séduit les fans existants mais pas assez le grand public. Ouiiiiiinnnnn !

Joseph Mallozzi, producteur exécutif et scénariste de SG-1, a confirmé la nouvelle sur X en expliquant que l'équipe était pourtant "ever mindful" de créer un show accessible aux nouveaux spectateurs.

Du coup les fans ne comptent pas se laisser faire. Un mouvement Save Stargate s'est mis en place avec pas mal d'actions : pétition sur Change.org, hashtag #SaveStargate sur les réseaux, un GoFundMe lancé par James Kerfoot pour faire voler une bannière publicitaire au-dessus des studios Amazon à L.A. (4 500 $ l'objectif initial, et si ça dépasse 8 000 $, ils envisagent un 2e vol au-dessus du Comic-Con en juillet). Y'a même des templates d'emails et de courrier papier pour écrire directement à Amazon MGM Studios.

Et les acteurs se mobilisent aussi. Michael Shanks (le Dr. Daniel Jackson dans SG-1), Rachel Luttrell (Teyla dans Atlantis), Peter Williams (Apophis)... tous ont pris la parole sur X pour demander aux fans de se manifester.

Bref, si vous avez un jour kiffé traverser la Porte des Étoiles depuis votre canapé, c'est le moment de faire du bruit. Signez la pétition, balancez le hashtag, partagez le site... chaque voix compte !

Merci à Sam00 pour le partage !

Source

Trump veut couper Claude Fable 5 pour les étrangers - Anthropic coupe tout

Vincent Lautier — Sat, 13 Jun 2026 07:46:32 +0200

Vendredi soir, vers 23h heure de Paris, Anthropic a reçu un courrier du gouvernement américain. Trois heures plus tard, ses deux modèles d'IA les plus avancés étaient hors ligne. Partout. Pour tout le monde.

Anthropic, c'est le concurrent direct d'OpenAI, la boîte derrière l'assistant Claude. Le 9 juin, elle lançait Claude Fable 5 et Claude Mythos 5, ses IA les plus puissantes à ce jour. Elles auront tenu trois jours.

Le déclencheur, c'est un jailbreak. Une entreprise cliente a réussi à contourner les garde-fous de Mythos, ces blocages censés empêcher l'IA de répondre aux demandes dangereuses. Quelqu'un a trouvé la faille, l'a fait remonter, et ça a fini sur le bureau du secrétaire au commerce Howard Lutnick.

Sa réponse : ranger ces deux modèles dans la case "contrôle des exportations", soit le même régime que les technologies militaires sensibles. Interdiction d'y donner accès à tout ressortissant étranger, où qu'il soit sur la planète, y compris les propres employés non-américains d'Anthropic.

Sauf qu'un service d'IA dans le cloud, ça ne demande pas votre passeport à l'inscription. Anthropic explique ne pas pouvoir trier ses utilisateurs par nationalité du jour au lendemain. Du coup, plutôt que de bricoler un filtre impossible, la boîte a tout coupé pour absolument tout le monde.

C'est là que ça pique. Un modèle utilisé par des centaines de millions de personnes peut s'éteindre en une nuit, sur un courrier reçu un vendredi à 17h, sans même que les motifs précis soient expliqués.

Anthropic conteste et parle d'un malentendu, tout en promettant de rétablir l'accès au plus vite. La boîte prévient surtout que si cette règle devenait la norme, plus aucune IA de pointe ne pourrait sortir aux États-Unis sans risquer le débranchement à la première faille trouvée.

Pour rappel, Fable 5 était la version grand public, déjà bridée sur la cybersécurité et, nouveauté, sur les risques d'armes biologiques ou chimiques. Mythos 5, lui, était la version sans muselière réservée aux entreprises, pensée pour repérer et exploiter des failles de sécurité à toute vitesse.

Anthropic l'avait d'ailleurs dévoilée en avril en annonçant dans la foulée qu'elle en limitait l'accès à quelques partenaires triés sur le volet. En France, Orange et le Crédit agricole étaient justement en discussion pour y goûter. À l'époque, certains accusaient déjà la boîte de faire du marketing de la peur en agitant la dangerosité de sa propre techno.

Le vrai enseignement est ailleurs. Quand votre outil tourne sur les serveurs de quelqu'un d'autre, l'interrupteur n'est jamais dans votre poche.

Source : Le Monde

AUR Arch Linux - 400 paquets vérolés, êtes-vous touché ?

Korben ✨ — Fri, 12 Jun 2026 17:54:08 +0200

MÀJ du 12 juin : quand j'ai publié cet article, on en était à 400 paquets vérolés. Sauf que le chiffre n'a pas arrêté de grimper dans la journée. Quelques heures plus tard on parlait de 900, puis en fin de journée la liste recensait déjà 1579 paquets touchés, et les devs d'Arch précisent eux-mêmes que cette liste contient "beaucoup, mais pas tous" les paquets concernés. Bref, le décompte bouge en permanence, et il a même été suivi d'une seconde vague d'attaque encore plus sophistiquée. Donc si vous voyez circuler 400, 1500 ou 2000, c'est juste que chacun a pris la photo à un instant différent. La bonne nouvelle, c'est que les développeurs d'Arch ont depuis supprimé tous les commits malveillants qu'ils ont identifiés et estiment l'incident sous contrôle.

Si vous tournez sous Arch Linux et que vous piochez vos paquets dans l'AUR, lâchez ce que vous faites 2 minutes et lisez mon article. Car plus de 400 paquets de l'Arch User Repository ont été vérolés ce 11 juin, et le truc qu'ils embarquent ne rigole pas du tout. En effet, des chercheurs de Sonatype ont repéré une campagne baptisée Atomic Arch où un seul attaquant a réussi à glisser un stealer (un voleur d'identifiants quoi) dans des centaines de paquets d'un coup.

Mais bonne nouvelle avant de paniquer quand même, les dépôts officiels d'Arch (core, extra, multilib) ne sont pas concernés. C'est l'AUR, et uniquement l'AUR.

Si vous avez installé ou mis à jour un paquet AUR ces derniers jours, vous devez donc vérifier si vous n'êtes pas infecté. Des noms comme alvr, gnome-randr-rust ou ipfs-desktop-bin font partie de la liste, et elle est sacrément longue. Le signe qui doit vous mettre la puce à l'oreille, c'est par exemple un paquet qui n'a rien à voir avec du JavaScript et qui se mettrait pourtant à lancer un npm install durant son installation.

Pour sortir la liste de tout ce qui vient de l'AUR sur votre machine, un petit pacman -Qm fera le job, et le forum de CachyOS propose également un script qui compare vos paquets à la liste des vérolés connus. Méfiez-vous quand même, car ce script repère juste les noms de paquets piégés, et ne vérifie pas l'intégrité de votre système. Un résultat propre veut dire qu'aucun paquet connu n'est installé chez vous, mais pas que vous êtes tiré d'affaire, alors on reste concentré.

Alors comment ce malware s'est retrouvé dans autant de paquets ?

Eh bien l'attaquant n'a même pas eu besoin de pirater quoi que ce soit puisque l'AUR permet à n'importe qui "d'adopter" les paquets orphelins, c'est-à-dire ceux que leur mainteneur d'origine a laissés tomber. Il a donc récupéré la propriété de centaines de ces paquets abandonnés via la procédure normale, puis modifié leur PKGBUILD pour qu'à l'installation, un hook télécharge en douce un paquet npm piégé du genre atomic-lockfile. Ce paquet déploie ensuite un binaire baptisé deps, et ce deps, c'est une vraie saloperie.

Parce que ce deps, comme je vous le disais, c'est un voleur d'identifiants mais vraiment taillé pour cibler les développeurs. Dans le dos de la victime, il récupère vos clés SSH privées, vos tokens GitHub, vos identifiants npm, Docker et Podman, vos tokens HashiCorp Vault, les cookies et mots de passe de vos navigateurs, vos sessions Slack, Discord ou Telegram, vos configs VPN et même tout votre historique de commandes shell. En clair, toutes les clés de votre vie de dev qui, une fois dans la nature, ouvrent grand la porte vers d'autres systèmes.

Et si vous avez lancé le paquet en root, il installe en prime un rootkit eBPF qui se planque carrément dans le noyau pour masquer ses processus. Le fonctionnement même de ce truc fait alors qu'il est quasi impossible de détecter à l'œil nu si on est infecté ou pas. On est sur la même logique que le ver Shai-Hulud planqué dans des paquets , sauf qu'ici l'échelle a pris une autre dimension.

Alors que faire pour se protéger ?

Eh bien si vous avez le moindre doute, partez du principe que la machine est compromise, surtout si le paquet a tourné avec les droits root. Et supprimer le paquet ne suffira pas car le rootkit, lui, reste planté.

Donc on fait comme d'hab, on régénère tous ses secrets, nouvelles clés SSH, révocation et régénération des tokens GitHub, npm, Docker et Vault, changement des mots de passe stockés dans le navigateur et compagnie... Et pour la suite, comme d'hab, faites attention à ce que vous installez et prenez l'habitude de lire les PKGBUILD avant de valider, parce qu'un script post-install qui fait autre chose qu'un simple echo, ça doit vous faire tiquer direct.

Quoi qu'il en soit, l'AUR n'a jamais été audité, c'est même l'un des principes du truc et tout le monde le sait... mais des centaines voire plus d'un millier de paquets piégés d'un coup avec un rootkit qui vise vos accès, ça change fortement l'échelle du problème.

Bref, vérifiez vos paquets et faites tourner vos secrets aussi bien que vous faites tourner les serviettes quand c'est le jour du beaujolais au taf !

Et un grand merci à Maximilien pour le lien !

Source

PulseLoop libère les bagues connectées à 7 dollars

Korben ✨ — Fri, 12 Jun 2026 17:43:40 +0200

7 dollars, c'est le prix d'une bague connectée chinoise sur AliExpress, et c'est surtout tout ce que Saksham Bhutani a payé pour se bricoler un coach santé privé. Son truc s'appelle PulseLoop , et c'est une app iPhone open source qui transforme ce gadget à deux balles en tracker de fréquence cardiaque, de sommeil et d'activité, sans abonnement ni cloud à la con.

Le principe, c'est de prendre une bague avec capteurs vendue trois fois rien (la même qui traîne sur AliExpress sous le nom de SMART_RING et en un peu plus cher sur Amazon ) et de la débrancher complètement de son app d'origine, la fameuse JRING. À la place, vous clonez le projet, vous compilez ça dans Xcode, et hop, votre iPhone causera alors directement à la bague en Bluetooth.

Fréquence cardiaque, nombre de pas, calories brûlées et kilomètres sont relevés par la bague, ainsi que le parcours par le GPS du téléphone (si vous avez votre smartphone avec le GPS actif dans la poche), et tout est agrégé et stocké en local sur le téléphone et nulle part ailleurs.

Côté sommeil, on peut grâce à ça, suivre jour après jour la qualité de la nuit qu'on vient de passer et ainsi essayer d'atteindre plus de régularité pour améliorer son score de sommeil. Pour ma part, ce genre de trackers d'activité ne sont jamais restés bien longtemps à mon poignet, mais j'avoue que bidouiller le sien change un peu la donne et me fait reconsidérer la chose.

Et là où ça devient du vrai boulot de bidouilleur, c'est que rien de tout ça n'était documenté. Saksham a donc sorti Wireshark et un dongle Nordic nRF52840 pour renifler les échanges Bluetooth de la bague, puis il a tout reconstruit. Résultat, un second repo qui documente le protocole de A à Z, avec une petite CLI Python où vous tapez des commandes du genre hr run 45 ou spo2 run 45 pour déclencher une mesure. Y'a même un mode selfie planqué dedans, vous serrez le poing et la bague déclenche la prise de photo sur le téléphone !

Le truc marrant (enfin, marrant... je me comprends), c'est ce qu'il a trouvé en chemin... Car OUI la bague balance tout en clair sur un service maison avec 0 chiffrement. ou signature. Vos battements de cœur transitent donc à poil sur le Bluetooth ! D'ailleurs, on a vu avec l'affaire Strava que ces données de tracking peuvent révéler bien plus que prévu, alors une bague à 7 balles qui cause sans aucune protection, ça craint un peu...

En tout cas, c'est ça qui a énervé Saksham au départ. Il avait acheté un Google Fitbit, il aimait l'idée, mais pas le reste. A 100 balles l'appareil + 10 balles de plus par mois d'abonnement, et une app bourrée d'IA à tous les étages, sans oublier ce flux continu de son rythme cardiaque, de son sommeil et de ses déplacements envoyé non-stop chez Google pour qu'ensuite ils les revendent... Ça commençait à faire un peu trop pour lui. Chez Whoop, Oura ou d'autres, c'est tout pareil, vos données SONT le produit.

C'est pour cela qu'avec PulseLoop il a décidé de casser ça...

Au-dessus, il a même collé un coach IA plutôt malin qui lit vos mesures en local et vous sort des trucs du style "ton rythme au repos a grimpé les trois nuits où tu as dormi moins de 6 heures". Il fait des graphiques, repère des tendances, retient vos objectifs. Après ce coach-là tourne sur l'API d'OpenAI avec VOTRE clé du coup dès que vous lui posez une question, vos données partent chez OpenAI et vous payez à l'usage. Mais bon, même sans ça, le reste de l'app marche très bien.

Après, faut pas rêver sur la qualité de l'appareil car une bague à 7 dollars c'est pas un capteur Oura... les capteurs valent ce qu'ils valent et le décodeur de sommeil est encore expérimental (il ne choppe même pas les phases REM pour l'instant). On est dans l'esprit d' AsteroidOS , sauf qu'ici on "libère" une bague plutôt qu'une montre.

Mais bon je me dis que les capteurs vont évoluer, ils vont en devenir de mieux en mieux et cet outil sous licence libre sera toujours là pour en reprendre le contrôle. Pour moi c'est un projet à suivre, même s'il est encore ultra jeune (et uniquement sur iPhone pour le moment).

Telegram Drive - Vos messages transformés en stockage cloud

Korben ✨ — Fri, 12 Jun 2026 17:16:27 +0200

Comme beaucoup d'âmes en peine, vous utilisez les messages enregistrés sur Telegram comme un gros dépotoir pour stocker tous vos fichiers en vrac ?

C'est pas con, mais pour retrouver un PDF précis ou streamer une vidéo là-dedans, c'est vite la galère... Mais no stress, aujourd'hui, on va voir comment s'en sortir.

L'idée c'est d'utiliser l'infrastructure de Telegram pour transformer votre compte en un espace de stockage personnel organisé. Et pour cela, il existe une application, développée en Tauri avec du Rust et du React, qui se nomme Telegram Drive et qui se connecte directement à votre compte et affiche une interface d'explorateur de fichiers classique. Vos canaux privés et vos messages enregistrés deviennent alors de simples dossiers et voilà comment Telegram devient enfin une alternative intéressante aux solutions de stockage en ligne traditionnelles.

Gardez cependant en tête qu'il s'agit d'une zone grise. En effet, l'utilisation de l'API de Telegram pour du stockage massif enfreint en théorie leurs conditions d'utilisation, et vous risquez de voir votre compte suspendu en cas d'abus.

Côté fonctionnalités, l'outil propose donc du drag-and-drop pour uploader vos fichiers, une grille capable de gérer des milliers d'éléments sans ramer, et de l'affichage de vignettes pour vos images.

Le truc sympa, c'est surtout la possibilité de streamer vos vidéos et vos fichiers audio directement depuis l'application sans les télécharger, ou encore de lire vos PDF grâce à un lecteur intégré. Notez que le système respecte la limite classique imposée par Telegram, à savoir 2 Go par fichier pour les comptes gratuits et jusqu'à 4 Go si vous êtes abonné Premium.

Maintenant, pour organiser vos dossiers, il vous faudra créer un canal privé pour chacun d'eux afin de structurer au mieux le bazar. Et pour les bidouilleurs qui aiment automatiser leurs flux de travail avec des scripts, l'outil propose même une API REST locale sécurisée.

Niveau réseau, l'application intègre des optimisations pour les connexions instables ou lentes, notamment un module spécifique pour régler la taille des blocs de transfert, sans oublier le support des proxys SOCKS5 et MTProto, donc ça fonctionnera au top, que vous soyez en 4G dans le métro ou sur un Wifi pourri.

Pour faire tourner le client sur votre ordi, le projet propose des exécutables pour Windows, macOS et Linux. Ah et y'a même une version pour Android. Maintenant, si vous préférez compiler les sources à la main, il faudra installer Rust avant de lancer la compilation via npm.

Ensuite, pour connecter l'application au réseau, il faudra récupérer vos propres identifiants API (API ID et API Hash) auprès de Telegram et ensuite, cette configuration restera stockée localement sur votre machine dans un bon vieux fichier config.json.

Perso, je trouve que détourner Telegram en espace de stockage personnel est une idée plutôt cool. L'avantage, c'est que vos données transitent directement de votre machine vers les serveurs de la messagerie, sans passer par un serveur tiers ou un conteneur Docker hébergé ailleurs. Mais après, c'est comme d'hab, ça ne vous appartiendra plus vraiment... Poutine va kiffer vos photos de vacances ^^

Mais le mieux pour se faire un avis reste de l'essayer, comme d'hab !

Merci à Camille Roux pour le lien !

Git 2.55 active Rust par défaut, et la fin du tout-C est déjà programmée

Vincent Lautier — Fri, 12 Jun 2026 14:44:19 +0200

Vingt et un ans après sa création par Linus Torvalds, Git amorce pour de bon son changement de langage. La première version de test de Git 2.55, publiée hier, active par défaut le code Rust dans le gestionnaire de versions le plus utilisé au monde, celui qui héberge l'historique d'à peu près tous les projets logiciels de la planète.

Jusqu'ici, il fallait réclamer explicitement le Rust au moment de compiler le logiciel, c'est-à-dire de le fabriquer à partir de son code source, via une option baptisée WITH_RUST ou via le système de build Meson. Git 2.55 inverse la logique : le Rust est désormais supposé présent, et c'est pour s'en passer qu'il faut lever la main, avec une nouvelle option NO_RUST.

Pour situer, Rust est un langage de programmation conçu pour éliminer toute une famille de bugs mémoire, ceux-là mêmes qui font le bonheur des pirates depuis quarante ans. Git, lui, est écrit en C depuis 2005, un langage qui laisse au développeur l'entière responsabilité de ne pas se tirer une balle dans le pied.

Le chantier ne date pas d'hier. L'an dernier, Patrick Steinhardt, un des mainteneurs du projet, proposait d'introduire Rust dans le cœur de Git et d'en faire à terme une dépendance obligatoire pour fabriquer l'outil.

Git 2.52 avait franchi le premier pas fin 2025 en convertissant un petit module, varint.c, chargé de décoder des entiers à taille variable. Du code volontairement modeste : l'idée était de roder la chaîne de compilation, pas de réécrire Git.

Avec la 2.55, le rythme change. L'équipe prépare d'ailleurs le portage de xdiff, le moteur qui calcule les différences entre deux versions d'un fichier, autrement dit le cœur du métier de Git.

Et le calendrier est déjà là : à partir de Git 3.0, Rust sera obligatoire, sans aucune possibilité de le désactiver. Aucune échappatoire. L'option NO_RUST de la 2.55 n'est donc qu'un sursis.

Pour vous, rien ne change : les binaires fournis par votre distribution Linux, par Apple ou par GitHub arrivent déjà compilés. Ce sont les empaqueteurs et les plateformes un peu spéciales qui vont devoir installer la chaîne d'outils Rust.

Sauf que voilà, tout le monde n'a pas un compilateur Rust sous la main. La proposition de Steinhardt avait déclenché de longs débats autour des plateformes exotiques, comme les serveurs NonStop de HPE ou certains vieux Unix, où Rust ne tourne tout simplement pas aujourd'hui. Le projet compte sur les progrès de gccrs, le support Rust en cours d'intégration dans GCC, le compilateur historique du monde libre, pour boucher ces trous avant l'échéance.

Le reste de la version est plus classique, avec des optimisations, des corrections de bugs et de petites améliorations sur différentes sous-commandes, détaillées dans l'annonce de Junio Hamano, le mainteneur en chef du projet.

Voir Git, monument du C, basculer sur Rust par défaut, c'est le signe le plus clair que le vieux langage perd du terrain.

Source : Phoronix

CorridorKey - Le détourage de fond vert par IA

Korben ✨ — Fri, 12 Jun 2026 09:40:53 +0200

Détourer un sujet filmé sur un fond vert, c'est le cauchemar classique du compositing. Entre les cheveux rebelles, le flou de mouvement et cette satanée frange verte sur les bords, on y passe vite des heures. Faut dire que la plupart des outils de détourage automatiques actuels c'est de la merde, puisqu'ils se contentent d'extraire des masques binaires un peu brutaux qui massacrent les détails fins.

Et c'est là qu'intervient CorridorKey , un outil dont le code est disponible sur GitHub et développé par Niko Pueringer de l'équipe Corridor Crew . Au lieu de bêtement découper la silhouette, ce réseau de neurones fait un travail de dé-mélange de couleurs (unmixing) hyper précis. Cela lui permet de reconstruire la couleur d'origine de chaque pixel en retirant le fond vert, tout en générant un canal alpha linéaire très propre... et c'est dingue parce que ça change tout en terme de qualité de rendu !

L'interface de EZ-CorridorKey après traitement

Pour les pros du VFX qui bossent sur Nuke, Resolve ou Fusion, l'outil gère nativement le format EXR en 16 et 32-bit linéaire. Ça conserve également toute la dynamique des couleurs pour l'intégration finale. Du coup, ça vaut le coup d'oeil si vous voulez intégrer ça proprement. D'ailleurs au passage, si vous cherchez un éditeur libre plus classique, jetez un oeil à Shotcut , je l'avais testé y'a pas longtemps et c'est vraiment cool.

Maintenant, attention avec CorridorKey car si traiter des images pour vos projets commerciaux est autorisé, la revente, les API payantes ou l'intégration logicielle ne marchent pas sans accord écrit préalable. Pour les repères de détourage (les alpha hints), je préfère BiRefNet car c'est plus léger mais autrement, le système s'appuie sur des modèles comme Generative Video Matting (GVM) ou VideoMaMa qui sont super quand même.

Côté matériel, Niko a développé le projet avec une NVIDIA RTX Pro 6000 de 96 Go de VRAM (en gros, une machine de guerre). Mais heureusement, la communauté qui a moins de sous a optimisé tout ça. Du coup, la version actuelle tourne aujourd'hui sur des GPU de 6 à 8 Go de VRAM, mais n'oubliez pas qu'il faut CUDA 12.8 sous Windows pour faire tourner le bouzin.

Comparaison de qualité de détourage

Les utilisateurs de Mac ne sont pas oubliés non plus puisque le soft tourne aussi sur les puces Apple Silicon M1+ grâce à la mémoire unifiée. L'installation est facilitée également par l'usage du gestionnaire de paquets uv, qui s'occupe d'installer Python, de créer l'environnement virtuel et de récupérer les dépendances sans que vous ayez à lever le petit doigt.

Et si la ligne de commande vous donne des boutons, il existe un fork fort sympathique baptisé EZ-CorridorKey . Ça ajoute une interface graphique simple, ce qui rend l'outil accessible aux artistes qui préfèrent cliquer sur des boutons. Et si vous aimez les effets analogiques, vous pouvez aussi le coupler avec ntsc-rs pour donner un look rétro à vos vidéos.

Bref, CorridorKey est un excellent moyen de tester la puissance de l'IA appliquée au détourage VFX pro sans se ruiner en logiciels propriétaires.

A vous de jouer maintenant !

DiffusionGemma : le nouveau modèle de Google écrit son texte d'un bloc, et 4 fois plus vite

Vincent Lautier — Fri, 12 Jun 2026 09:32:48 +0200

Plus de 1 000 tokens par seconde sur une seule carte H100, l'accélérateur que Nvidia vend aux centres de données, et environ 700 sur une RTX 5090, sa carte gaming haut de gamme. C'est le débit que Google DeepMind annonce pour DiffusionGemma, son nouveau modèle d'IA ouvert, à peu près quatre fois ce que produisent les modèles Gemma classiques de taille comparable.

Toute la différence se joue dans la façon de générer le texte. Les modèles de langage habituels sont autorégressifs : ils écrivent de gauche à droite, un token à la fois, le token étant le petit morceau de mot que manipule une IA. DiffusionGemma fait tout autrement.

Il travaille comme les générateurs d'images, qui partent d'un nuage de bruit et le débruitent petit à petit jusqu'à la photo demandée. Le modèle pose un canevas de 256 tokens fictifs, repasse dessus plusieurs fois pour affiner ses estimations, puis finalise le bloc entier d'un coup.

Sous le capot, on a un Mixture of Experts de 26 milliards de paramètres, une architecture où seule une petite partie du modèle se réveille à chaque calcul, 3,8 milliards ici. Du coup le tout tient dans 18 Go de mémoire vidéo en version compressée, soit une grosse carte graphique grand public.

L'intérêt en local, c'est que cette approche déplace le goulot d'étranglement de la bande passante mémoire, la vitesse à laquelle la carte lit ses propres données, vers le calcul pur. Dans le cloud, les serveurs mutualisent les requêtes de milliers d'utilisateurs et leurs puces tournent en permanence, alors que votre GPU à la maison passe le plus clair de son temps à attendre les données. La diffusion occupe ces cycles perdus.

Et puis il y a les tâches non linéaires, où l'ordre d'écriture ne suit pas l'ordre de lecture. Google a même affiné une version sur le Sudoku, un casse-tête réputé impossible pour les modèles classiques puisque chaque case dépend de cases pas encore écrites. DiffusionGemma, qui corrige son canevas en continu, atteint 80% de réussite en faisant tomber les étapes de calcul de 48 à 12.

Tout n'est pas rose pour autant. Dans une image, un pixel raté passe inaperçu. Un token mal prédit, lui, peut rendre un paragraphe entier incohérent et forcer à tout recommencer. Et pour une réponse de cinq mots, dégrossir un canevas complet gaspille du calcul. C'est d'ailleurs pour ça que les gros Gemini du cloud n'y passent pas.

Le modèle est expérimental, mais il sort sous licence Apache 2.0, la même que le reste de la famille Gemma 4, donc utilisable commercialement sans restriction. Les poids se téléchargent dès maintenant sur Hugging Face, la plateforme de référence des modèles ouverts, avec une optimisation menée main dans la main avec Nvidia. MLX, l'outil d'Apple pour faire tourner l'IA en local, est aussi de la partie, les Mac sont donc servis.

Si vous voulez mon avis, c'est sur ces modèles locaux que Google est le plus intéressant en ce moment, bien plus que sur Gemini.

Source : ARS Technica

SteelSeries Sonar - L'alternative gratuite à Voicemeeter

Korben ✨ — Fri, 12 Jun 2026 08:23:24 +0200

Si vous voulez mixer vos sources audio sous Windows sans y passer vos nuits en mode David Guetta, vous allez kiffer SteelSeries Sonar et enfin dire adieu à l'interface imbuvable de Voicemeeter et la configuration ultra-pénible d'Equalizer APO !

Ce logiciel de mixage virtuel, totalement gratuit, vient en effet se greffer directement sur le système Windows pour y créer des cartes son virtuelles indépendantes. Cela vous permet alors de piloter d'un coup de curseur le volume d'un jeu, de votre chat Discord, de vos musiques Spotify ou de votre navigateur. C'est super pratique pour baisser les copains qui hurlent sans couper le son du jeu lors de vos parties nocturnes.

Le système d'App Routing permet surtout d'assigner chaque application ouverte à un canal spécifique par un simple glisser-déposer. Plus besoin donc d'aller fouiller dans les paramètres enterrés de Windows que même Microsoft a oublié, pour dire que Spotify doit sortir sur le canal "média" et Discord sur le canal "chat". Tout se gère comme ça depuis l'interface centrale en quelques clics, c'est super agréable.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/steelseries-sonar-alternative-voicemeeter/steelseries-sonar-alternative-voicemeeter-1.mp4">lien vers la vidéo</a>.

Et le truc cool, c'est que ça ne demande aucun matériel de la marque (et heureusement !). N'importe quel casque USB, jack ou Bluetooth fonctionne nickel. Avec un casque lambda, ça tourne impeccable, même si par contre, c'est packagé dans la suite SteelSeries GG, qui pèse son poids et vous obligera à vous créer un compte. Hé oui, "on ne peut pas tout avoir dans la vie" comme aime à vous le rappeler constamment votre mèèère.

En interne, l'égaliseur paramétrique 10 bandes est un modèle du genre. Ce n'est pas juste un égaliseur classique car on peut ajuster précisément chaque fréquence et créer des profils très pointus. D'ailleurs, si vous cherchez à améliorer le rendu sonore global de votre matériel, c'est un excellent complément à des projets comme AutoEq pour peaufiner vos courbes. Y'a d'ailleurs plus de 200 presets de jeux pros qui sont dispos si vous voulez vous amuser.

Pour le micro, la fonction ClearCast AI nettoie aussi le signal à la volée, ce qui permet d'éliminer le souffle de vos ventilateurs, de votre gros nez ou le tapotage infernal sur votre clavier mécanique de hipster en manque d'affection. Le traitement consomme bien sûr un peu plus de ressources CPU si on le pousse à fond, mais c'est redoutable pour éviter de casser les oreilles des autres. On y trouve aussi une spatialisation audio en 360 degrés avec réglage de la distance pour ceux qui aiment.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/steelseries-sonar-alternative-voicemeeter/steelseries-sonar-alternative-voicemeeter-2.mp4">lien vers la vidéo</a>.

Bref, pour les joueurs et les créateurs qui veulent peaufiner leur setup de streaming Twitch sans investir dans des licences payantes ou du matériel physique coûteux, c'est une excellente surprise que nous offre la SteelSeries. C'est propre, bien complet et ça fait le taf !

Attention toutefois, le logiciel n'est disponible que pour Windows 10 et 11. Les utilisateurs sur macOS ou Linux devront passer leur chemin ou trouver d'autres alternatives. Vous pouvez télécharger l'application gratuitement en vous rendant sur le site officiel .

Beszel - Le monitoring de serveur simple et ultra-léger

Korben ✨ — Fri, 12 Jun 2026 07:39:50 +0200

Vous connaissez le duo Prometheus et Grafana ? C'est le grand classique pour surveiller ses serveurs, mais configurer tout ce bazar et le garder propre, c'est vite l'enfer. Alors pour ceux qui veulent juste garder un oeil sur leur homelab plutôt que de perdre le peu de cheveux qu'il leur reste à configurer Grafana durant des heures, j'ai trouvé pour vous Beszel .

Beszel est un outil de monitoring de serveurs ultra-léger et surtout super simple à mettre en place. Le projet est tout récent et développé en Go, ce qui permet d'avoir des binaires minuscules et une consommation de ressources ridicule

Donc si vous cherchez un outil de monitoring Linux self-hosted aussi simple à prendre en main que Kula dont je vous ai déjà parlé, ça vaut le coup d'aller jeter un oeil.

La mécanique de Beszel repose sur deux morceaux, à savoir le hub et l'agent. Le hub, c'est l'interface web construite au-dessus de PocketBase, qui sert de tableau de bord centralisé quant à l'agent, lui, il tourne discrètement sur chaque machine à surveiller et remonte les métriques au hub. "Discrètement", ça veut dire qu'il consomme à peine 10 à 15 Mo de RAM donc c'est parfait pour le faire tourner sur une vieille machine ou un tout petit Raspberry Pi sans que ça tousse-tousse !

Le truc vraiment cool aussi, c'est la gestion native des conteneurs Docker. Au lieu de simplement suivre l'état général comme avec un outil de suivi des processus classique (je pense à pstop par exemple), il liste chaque conteneur et affiche sa consommation individuelle en CPU, mémoire et réseau. Donc pour tous ceux qui auto-hébergent des dizaines de services, c'est un pur bonheur.

Côté métriques, y'a aussi tout ce qu'il faut pour ne rien louper. L'outil permet de suivre la consommation CPU, la mémoire (incluant le swap et le ZFS ARC), l'espace disque, les entrées/sorties réseau, la moyenne de charge et même la température des composants. En 15 secondes, tout s'affiche proprement.

Il gère aussi des trucs plus poussés comme la santé des disques via les données S.M.A.R.T., l'état de la batterie et même la consommation de vos cartes graphiques Nvidia, AMD ou Intel. Attention, pour le S.M.A.R.T. et le GPU par contre, il faudra que vous installiez les utilitaires système correspondants sur la machine hôte (smartmontools, nvidia-smi...) pour que l'agent puisse remonter les infos.

Et la configuration ? Hé bien c'est un simple fichier docker-compose.yml et voilà c'est plié !

Lors du premier lancement du hub, vous devrez vous créer un compte administrateur, puis cliquer sur "Ajouter un système", et l'interface vous génèrera une clé publique. Il suffira ensuite de filer cette clé à votre agent via sa variable d'environnement (dans son docker-compose.yml, par exemple) et les deux copains commenceront à causer. C'est pas plus compliqué que ça ! Même un notaire pourrait le faire ^^.

Le hub intègre également une gestion multi-utilisateur bien foutue puisque chaque utilisateur peut avoir accès à ses propres machines, tandis que l'administrateur peut décider de partager certains systèmes. Si vous voulez sécuriser le tout, l'outil supporte aussi de nombreux fournisseurs OAuth2 et OIDC comme Google, GitHub ou Keycloak, et vous pouvez même couper complètement la connexion par mot de passe.

Beszel s'occupe aussi des sauvegardes automatiques de vos données de surveillance, en local ou directement sur un stockage compatible S3. Et pour les alertes, pas de panique, car l'outil est compatible avec Shoutrrr . Cela vous permettra de configurer des notifications par Discord, Telegram, Teams ou mail si le CPU s'affole ou si un disque commence à saturer.

Par contre, si vous cherchez un outil d'analyse de logs complet ou de détection de bug réseau ultra-précis, laissez tomber car c'est pas la "mission de vie" de Beszel. Sauf si bien sûr, vous le couplez avec un autre outil. Après pour le reste, c'est parfait.

Vous pouvez tester la version v0.18.7 en vous rendant sur le site officiel .

eMule - Le grand retour de l'âne du P2P

Korben ✨ — Thu, 11 Jun 2026 18:24:52 +0200

eMule ? Sérieusement ?

Hé bien oui les amis, le célèbre mulet du P2P n'est pas encore mort de sa belle mort et en ce moment y'a un petit revival de cette bestiole du début des années 2000. C'est logique car les abonnements de streaming se fragmentent de plus en plus et coûtent un bras, les forums de torrents ferment les uns derrière les autres, alors c'est tout naturellement que certains dinosaures du partage de fichiers s'offrent un petit lifting.

Prenez aMule , le célèbre clone multiplateforme d'eMule. Hé bien le projet vient de sortir en version 3.0.0 après 5 ans de silence radio. Et c'est pas une petite mise à jour esthétique puisque les développeurs ont réécrit entre autres toute la gestion des entrées/sorties sur le disque pour sortir ça du thread principal. Résultat, sur un Mac Studio Apple Silicon, le débit de téléchargement P2P explose !

Côté Windows, le client d'origine bouge encore lui aussi, puisque la communauté maintient le navire avec des versions comme eMule 0.70b Community et prépare la suite avec la bêta 0.72a. Ces moutures corrigent la compatibilité avec Windows 11, intègrent TLS 1.3 pour l'interface d'administration et supportent l'architecture ARM64. J'ai testé, ça trace mais la vraie nouveauté qui va vous plaire les fans d'eMule, c'est Mularr .

Ce projet open-source qui s'installe via Docker permet de "supercharger" le mulet. Ça permet d'avoir une interface web responsive au look nostalgique très Windows XP (ou Windows 11 pour les p'tits jeunes), tout en proposant des APIs compatibles qBittorrent et des indexeurs Torznab. Du coup, vous pouvez connecter l'âne directement à vos outils d'automatisation comme Sonarr ou Radarr. Il gère même les notifications de fin de téléchargement via Telegram et s'intègre avec le VPN Gluetun. C'est la classe à Arras comme disent les ch'ti.

Je sens que j'ai touché votre corde sensible avec tout ça. Je vous rassure, à moi aussi parce j'ai commencé ce blog justement parce que j'étais à fond dans le milieu du P2P à l'époque.

Alors si vous voulez relancer la machine (les nostalgiques apprécieront également macMule ), quelques règles de sécurité s'imposent.

Tout d'abord, les listes de serveurs par défaut sont souvent blindées de mouchards et de faux serveurs malveillants qui vous balancent des contenus bourrés de virus. Pensez donc à nettoyer tout ça et à récupérer un fichier de serveurs server.met propre chez emule-security.org ou peerates.net . Activez aussi Kademlia, le fameux réseau décentralisé Kad, pour vous passer de serveurs centralisés. Ah et puis gaffe à Hadopi hein... lol, ça va, j'rigole !

Et même après tout ce temps, la règle d'or reste la même : ne lancez jamais un fichier suspect de 700 Mo qui prétend être un film mais se termine par une extension d'exécutable genre un bon vieux .exe ou .scr, hein ^^. Pensez aussi à configurer un IP filter (comme celui d'emule-security ) pour bloquer les serveurs hostiles et tout ira bien.

Voilà, si vous cherchiez des fichiers rares introuvables sur Torrent, c'est le moment de relancer l'âne car au pire, vous choperez de vieux fichiers nostalgiques et au mieux, vous monterez une Seedbox de l'espace.

Amusez-vous bien et bon courage avec votre Low-ID ^^.

ReactOS, le clone libre de Windows, fait enfin tourner Half-Life après trente ans de développement

Vincent Lautier — Thu, 11 Jun 2026 17:59:12 +0200

ReactOS, le système d'exploitation libre qui recopie Windows brique par brique, fait désormais tourner Half-Life ( et oui, décidément c'est la journée ! ), le jeu de tir que Valve a sorti en 1998 et qui a propulsé toute une génération de joueurs dans les couloirs du complexe de Black Mesa. Et là, fini l'écran-titre figé qui narguait les développeurs depuis des années. La partie démarre. On y joue.

Pour mesurer l'exploit, il faut savoir ce qu'est ReactOS, parce que ce n'est ni Linux, ni un émulateur, ni une surcouche posée par-dessus un vrai Windows. C'est une réécriture intégrale de Windows, repartie de la page blanche, sans une seule ligne du code source de Microsoft, dans le seul but de faire avaler les programmes .exe et les pilotes pensés pour Windows comme s'ils tournaient sur l'original.

Le terme exact, c'est la compatibilité binaire. Vous prenez un logiciel conçu pour Windows, vous le lancez, il s'exécute, point final. Le premier commit remonte à 1996, à l'époque sous le nom de FreeWin95, et le projet vient tout juste de souffler ses trente bougies.

Half-Life qui s'initialise sur ReactOS, ce n'est pas tout à fait neuf. Dès 2018, une vidéo montrait déjà la séquence d'entraînement, le fameux Hazard Course, jouable sur la version 0.4.8, en rendu logiciel, c'est-à-dire avec chaque image calculée par le processeur faute de carte graphique reconnue pour s'en occuper à sa place.

Sauf que voilà. Jusqu'ici ça toussait, ça plantait, ça s'affichait trois secondes avant de rendre l'âme. Cette fois, les développeurs montrent une vraie partie qui tient la distance, sur la dernière mouture 0.4.15 publiée il y a peu.

Et c'est là que le bât blesse. Trente ans. Le projet en est toujours à une version 0.4, un numéro qui hurle "ce n'est pas fini", pour faire enfin tourner un jeu qui affiche lui-même vingt-huit ans au compteur.

Réécrire Windows à l'identique sans en avoir la recette, c'est un travail de dingue où la moindre application un peu gourmande réclame des centaines de fonctions système reproduites au détail près, et Half-Life, avec son moteur GoldSrc qui va fouiller jusque dans les entrailles de la machine, fait précisément partie de ces logiciels qui ne pardonnent pas la moindre approximation.

L'année a quand même été dense pour l'équipe. ReactOS gère maintenant les puces ARM64, a musclé l'accélération 2D et 3D sur les cartes NVIDIA GTX, et lorgne le support de l'UEFI et de machines plus récentes. Reste un détail qui calme l'enthousiasme : tout ça respire surtout à l'aise dans une machine virtuelle, beaucoup moins sur un vrai PC posé sur le bureau.

Bref, personne ne va troquer son Windows contre ReactOS pour bosser demain matin. La cible est ailleurs : ressusciter de vieux logiciels et de vieux jeux sur un socle libre, gratuit, débarrassé de la laisse tenue par Microsoft.

En tout cas, trente ans pour lancer Half-Life, c'est pas rapide. Mais un Windows entièrement libre qui exécute un vrai jeu culte, ça force le respect.

Source : Phoronix

GreatXML - BitLocker contourné en quelques clics via WinRE

Korben ✨ — Thu, 11 Jun 2026 17:20:12 +0200

BitLocker, je le rappelle c'est quand même le truc censé protéger vos données en cas de vol de votre bécane. Sauf que voilà, la théorie et Redmond, ça fait parfois deux... Le chercheur en sécurité Chaotic Eclipse (déjà à l'origine de BlueHammer ) vient de balancer une nouvelle vulnérabilité zero-day baptisée GreatXML , qui réduit cette promesse en miettes.

Le truc tourne autour de la façon dont Windows Recovery Environment (WinRE) traite les fichiers de configuration lors du démarrage. Plus précisément, la faille exploite des résidus laissés par l'outil d'analyse hors ligne de Microsoft Defender.

Cela signifie que si vous avez déjà lancé un scan Defender Offline, votre machine conserve des artefacts sur la partition de récupération. C'est là que le piège se referme car en manipulant des fichiers XML de configuration (notamment unattend.xml) sur la partition de récupération, un attaquant peut forcer le système à ouvrir un terminal avec les privilèges SYSTEM lors du passage en mode WinRE. Le tout sans avoir besoin de se connecter à la session, bien sûr...

Le résultat ?

Un accès complet et sans restriction au volume protégé par BitLocker. Pas besoin de fer à souder ou de bidouiller la carte mère avec un Raspberry Pi comme pour d'autres exploits TPM, là c'est une simple faiblesse logique logicielle qui permet de tout déverrouiller.

Alors oui, l'attaque nécessite un accès physique à la machine (ou un autre accès permettant de modifier la partition de récupération). Mais comme le rôle même de BitLocker est de protéger un appareil volé physiquement, c'est une sacrée épine dans le pied des administrateurs système ! D'autant plus qu'aucun correctif officiel n'a encore été publié par Microsoft.

Cette divulgation publique intervient dans un contexte tendu puisque Chaotic Eclipse multiplie les dumps de zero-days Windows suite à un différend avec le programme de bug bounty MSRC de Microsoft. On a déjà eu le droit à YellowKey et RoguePlanet ces dernières semaines et y'a peu de chances que ça s'arrête.

Bref, c'est la guerre ouverte !

Maintenant, même s'il n'y a pas encore de recommandations officielles de Microsoft pour cette faille spécifique, quelques mesures de bon sens permettent de limiter la casse. D'abord, configurer un mot de passe UEFI pour bloquer le boot externe. Ensuite, activer le mode TPM + PIN pour BitLocker car sans ce code pré-boot, la clé de déchiffrement n'est pas libérée, même si l'attaquant arrive à faire pop son shell.

Et si vous voulez couper court à toute exploitation de ce type, il reste l'option de désactiver complètement WinRE via la commande reagentc /disable.

Bref, en attendant que Microsoft sorte un patch, vous savez ce qu'il vous reste à faire.

Source