Les news de Korben

Refroidir à -84°C avec une imprimante 3D et de l'air comprimé

Vincent Lautier — Tue, 09 Jun 2026 09:48:42 +0200

Un youtubeur qui se fait appeler Hyperspace Pirate a fabriqué chez lui un cryogénérateur, c'est-à-dire une machine capable de produire du froid extrême, en imprimant lui-même la plupart des pièces en plastique.

Sur ses deux prototypes, il est descendu jusqu'à -84°C. Ce n'est pas un record, et il le sait très bien, mais réussir ça avec du matériel de garage a quand même de quoi surprendre.

La machine qu'il reproduit s'appelle un cryogénérateur Gifford-McMahon, du nom des deux ingénieurs qui ont mis au point le principe au début des années 1960. On en trouve aujourd'hui dans les appareils d'IRM des hôpitaux, où ils maintiennent des aimants surpuissants à des températures proches du zéro absolu, la limite physique en dessous de laquelle on ne peut plus descendre.

Le principe est moins compliqué qu'il n'en a l'air. Un piston coulisse dans un cylindre, et ce piston contient un régénérateur, une sorte d'éponge thermique qui emmagasine la chaleur d'un côté pour la relâcher de l'autre.

En faisant passer un gaz d'un bout à l'autre du cylindre, on obtient un côté chaud et un côté froid, et c'est évidemment ce côté froid qu'on cherche à exploiter.

Le plus astucieux dans ce montage, c'est le piston. Plutôt que de l'étancher avec des joints qui forceraient et finiraient par fuir, Hyperspace Pirate le déplace avec des aimants placés à l'extérieur du cylindre. Pas de joints, donc.

Pour voir ce qui se passe à l'intérieur, il a aussi monté un tube en acrylique transparent et utilisé de l'air comprimé tout bête comme gaz de travail. Pratique pour filmer, beaucoup moins pour la performance.

Et c'est justement là que ça coince. L'humidité contenue dans l'air de l'atelier gèle quand la température chute, et la glace finit par bloquer le piston en plein mouvement. Difficile de descendre bien bas quand votre machine se grippe toute seule.

Du coup, la suite, ce sera l'hélium. Ce gaz ne contient pas d'eau et ne gèle qu'à des températures bien plus basses, ce qui devrait régler le problème de blocage et faire tomber le thermomètre beaucoup plus loin. C'est d'ailleurs lui qu'utilisent les vrais cryogénérateurs industriels, qui descendent eux autour de -269°C.

Si vous voulez mon avis, le chiffre compte moins que la démonstration : prouver qu'un truc de labo tient dans un garage avec une imprimante 3D, c'est déjà une réussite.

Source : Hackaday

Music Decoy - Apple Music ne se lancera plus tout seul

Korben ✨ — Tue, 09 Jun 2026 09:25:31 +0200

Vous appuyez sur la touche ▶ Play de votre clavier pour mettre en pause une vidéo. Et c'est ce couillon d'Apple Music qui s'ouvre en grand alors que vous n'avez rien demandé. Ou alors vous branchez votre casque Bluetooth, et le revoilà qui débarque comme votre ex à votre anniversaire. Sachez que si ce truc vous rend dingue depuis des années (moi le premier), les Low-Tech Guys (Alin Panaitiu, le dev derrière Lunar) ont pondu Music Decoy , une petite app gratuite qui règle le problème une bonne fois pour toutes.

Et cette app minimaliste ne fait rien d'autre que tourner en arrière-plan en se faisant passer pour l'app Musique, avec le même identifiant interne, le fameux com.apple.Music. Comme ça, quand vous appuyez sur Play, macOS regarde, voit que "Musique" est déjà là, et ne lance rien. Rideau on ferme ! Pour l'installer, suffit de faire brew install --cask music-decoy en ligne de commande, ou de passer par le ZIP à télécharger si vous préférez cliquer cliquer cliquer...

Ensuite, vous lancez, et voilà, y'a même pas d'icône.

Maintenant pour comprendre pourquoi il faut en arriver là, sachez qu'un petit démon nommé rcd (Remote Control Daemon) gère les touches média sur votre Mac. À chaque pression sur la touche Play, il vérifie si une app joue déjà du son. Si oui, il lui envoie la commande. Si non... bah il ouvre Apple Music par défaut, parce qu'Apple a décidé que c'était ça que vous vouliez. Merci les gars !

Toute l'astuce de Music Decoy, c'est donc qu'il occupe le terrain. L'alternative la plus connue, noTunes , surveille le système et referme Musique dès qu'elle tente de s'ouvrir. Donc il doit tourner en permanence pour monter la garde. Music Decoy, lui, fait juste croire que Musique tourne déjà. Donc il n'y a rien à surveiller ni à refermer. C'est mieux je trouve... Et comme c'est open source , vous pouvez aller voir vous-même les quelques lignes qui suffisent à berner le système ^^.

Et si vous écoutez vraiment de la musique, mais sur Spotify par exemple, vous pouvez carrément rediriger la touche Play vers elle grâce à cette commande dans le Terminal :

defaults write com.lowtechguys.MusicDecoy mediaAppPath /Applications/Spotify.app

Et pour revenir en arrière en mode "Si tu reviens j'annule tout", un defaults delete com.lowtechguys.MusicDecoy mediaAppPath et basta.

Vous l'aurez compris, comme Music Decoy squatte l'identité d'Apple Music, vous ne pourrez plus lancer la vraie app Musique tant qu'il tourne. Et y'a certaines applications qui essaient de dialoguer avec Musique, comme VLC, qui risquent de tousser au passage. Donc si vous ouvrez Apple Music dix fois par jour, bah passez votre chemin les amigos.

Et pour le quitter, comme il n'a ni icône ni menu, il faudra passer par le Moniteur d'activité ou taper un petit killall 'Music Decoy' dans le Terminal comme tout bon barbu.e qui se respecte.

Après si installer cette app vous saoule, il vous reste la méthode bourrine, à savoir faire un launchctl unload -w /System/Library/LaunchAgents/com.apple.rcd.plist pour désactiver complètement rcd. Mais là vous flinguez le play/pause et toutes les commandes de lecture légitimes d'un coup.

Music Decoy fait donc plus dans la dentelle, et si vous l'ajoutez à vos ouvertures au démarrage, vous n'y penserez plus jamais. C'est dans la lignée de ces petits softs dont je vous parle souvent, qui réparent les oublis de macOS, comme Boring Notch pour l'encoche ou iFetch pour reprendre la main sur iCloud.

Bref, un petit soft qui fait pas grand chose mais qui le fait bien.

Un clone de DOOM en COBOL ça vous dit ?

Vincent Lautier — Mon, 08 Jun 2026 18:17:23 +0200

Un développeur connu sous le pseudonyme icitry s'est posé une question que personne de sensé ne formule jamais, peut-on coder un jeu de tir à la première personne en COBOL ? La réponse, contre toute attente, est oui, et le résultat est même tout à fait jouable.

Pour ceux que ce nom laisse de marbre, COBOL, pour Common Business Oriented Language, est un langage né en 1959 qui fait encore tourner aujourd'hui une partie des mainframes chargés de vos virements bancaires et de la paie. C'est l'outil de la gestion et des relevés de compte, à peu près l'inverse de ce qu'on imagine pour un jeu vidéo.

Le moteur du jeu repose sur le raycasting, cette technique qui a propulsé Wolfenstein 3D au début des années 90. Le programme projette une rangée de rayons depuis le point de vue du joueur, regarde où chacun vient percuter un mur, et en déduit colonne par colonne la hauteur à dessiner. De la fausse 3D reconstruite à partir d'un simple plan vu de dessus.

Le vrai casse-tête, c'est que COBOL n'embarque aucune bibliothèque graphique, pas la moindre fonction pour allumer un pixel ou ouvrir une fenêtre. La parade est astucieuse. Le programme calcule lui-même chaque image, en recrache les pixels bruts sur la sortie standard du terminal, puis laisse un petit utilitaire nommé ffplay récupérer ce flux pour l'afficher comme une vidéo animée.

Même esprit de débrouille pour les commandes. Le terminal bascule en mode brut afin d'intercepter chaque touche sans attendre que vous validiez, pendant que le programme lit en continu ce qui arrive sur son entrée standard.

Et le rendu ne se limite pas à trois murs gris qui clignotent. On y trouve des sprites, des ennemis qui se baladent et vous tirent dessus, et même des secteurs de hauteur variable qui rapprochent l'ensemble du DOOM de 1993 plutôt que de son aîné Wolfenstein.

Le code complet est publié sur GitHub sous licence Apache, libre à chacun d'aller en fouiller les coulisses. Un internaute a d'ailleurs relevé que GnuCOBOL, le compilateur libre utilisé ici, sait parfaitement appeler du code écrit en langage C, ce qui ouvrirait l'accès à tout son arsenal de bibliothèques.

Toute la démonstration sert à rappeler que COBOL est Turing-complet, c'est-à-dire capable en théorie de calculer exactement la même chose que n'importe quel langage moderne, et à le prouver sur le terrain le plus hostile qu'on puisse lui opposer.

Bref, c'est rigoureusement inutile, et c'est très exactement pour ça que c'est cool.

Source : Hackaday

Test du Leap Nova de chez Strong - Google TV pour réveiller votre vieille téloche

Vincent Lautier — Mon, 08 Jun 2026 18:00:07 +0200

- Contient des liens affiliés Amazon -

Mon problème de départ était tout bête, je voulais lancer GeForce Now, le service de Nvidia qui fait tourner des jeux à distance sans grosse machine, directement sur ma télé LG OLED de 2023. Sauf que cette télé, aussi incroyable soit-elle, ne fonctionne qu'en Wi-Fi 5, et c'était la catastrophe, l'image saccadait dès que l'application GeForce Now tournait dessus.

Screenshot

La solution est venue d'un petit boîtier que je teste depuis quelques jours, le STRONG LEAP NOVA , un stick Google TV 4K à peine plus gros qu'une clé USB qui se branche en HDMI derrière l'écran. Pour tout vous dire la marque me l'a envoyé, je l'ai reçu ce matin, et je me suis jeté dessus pour tester mon besoin (et un peu plus).

En passant par lui plutôt que par l'application intégrée au téléviseur, GeForce Now tourne parfaitement, sans la moindre saccade. J'ai appairé une manette Xbox en Bluetooth directement sur le boîtier, et l'ensemble est d'une stabilité irréprochable. Franchement bluffant.

Là où ce stick sort vraiment du lot sur le papier, c'est sa puce maison dédiée à l'intelligence artificielle, ce que les fabricants appellent un NPU, capable d'environ 4 000 milliards d'opérations par seconde. Son rôle consiste à agrandir en temps réel les vidéos en Full HD pour les rapprocher de la 4K de votre téléviseur.

Deux algorithmes baptisés AI Super Resolution 2 et AI Picture Quality analysent chaque image pour reconstituer les détails importants et retoucher textures, contrastes et couleurs, sans que vous ayez le moindre réglage à toucher. C'est précieux quand la source est en Full HD, ce qui arrive sans arrêt sur les formules de streaming de base ou les chaînes de replay.

Pour le reste, la fiche technique tient parfaitement la route pour un objet de 44 grammes qui tient dans la paume. On a droit à Android 14, au Wi-Fi 6, au Bluetooth 5.2 et à une prise HDMI 2.1b avec tout l'attirail qui plaira aux joueurs, du VRR à l'ALLM, plus la compatibilité Dolby Vision, HDR10+ et Dolby Atmos.

Côté usage classique, rien à redire non plus, les applications de streaming habituelles comme Netflix, Disney+ ou Prime répondent au doigt et à l'oeil, et Plex, le serveur perso dont je me sers pour lire toute ma collection de films, fonctionne nickel.

Le prix est très bon, puisque la LEAP NOVA s'affiche à 74,99 euros chez Boulanger, Cdiscount ou Conforama, avec une version strictement identique baptisée LEAP NOVA X, exclusive à Amazon , vendue 69,99 euros et même moins de 60 euros en ce moment en promotion . Dans la boîte, vous trouverez une télécommande à commande vocale, le câble et l'alimentation. Simple, efficace.

Bref, un stick qui fait parfaitement tourner GeForce Now sur ma vieille télé et embarque une vraie puce IA, c'est 100% validé.

Signal, DuckDuckGo et NordVPN menacent de quitter le Canada à cause d'une loi sur la surveillance

Vincent Lautier — Mon, 08 Jun 2026 17:08:03 +0200

Le Canada planche sur un projet de loi, le C-22, qui obligerait les services numériques à conserver pendant un an les métadonnées de leurs utilisateurs, c'est-à-dire pas le contenu de vos messages mais qui vous contactez, à quelle heure et depuis où vous le faites.

Plusieurs champions de la vie privée préviennent qu'ils plieront bagage plutôt que de s'y soumettre.

Signal, l'application de messagerie chiffrée que recommandent les défenseurs de la confidentialité, l'a dit noir sur blanc devant le comité de la sécurité publique de la Chambre des communes. Son vice-président Udbhav Tiwari n'a pas tourné autour du pot : "Si on nous force un jour à choisir entre trahir les gens qui comptent sur nous et quitter un marché, nous partirons."

DuckDuckGo, le moteur de recherche qui se vend, lui, sur le respect de la vie privée, a confirmé qu'il retirerait son service de VPN du Canada si le texte passe. Un VPN, pour rappel, c'est l'outil qui masque votre adresse et chiffre votre trafic pour qu'on ne puisse pas voir ce que vous faites en ligne.

NordVPN tient le même discours et parle d'étudier "toutes les options possibles, y compris réduire ou retirer notre présence". Windscribe, un autre fournisseur de VPN, va plus loin et menace carrément de déménager son siège et ses impôts ailleurs. Apple, Google et Meta sont aussi venus exprimer leurs réserves devant les députés. Ces projets de loi d'accès légal, qui visent à donner aux autorités un droit de regard sur les communications, reviennent régulièrement au Canada depuis plus de dix ans, et finissent à chaque fois par se cogner au même mur, le chiffrement.

Ce qui coince, c'est cette obligation de stocker un an de métadonnées et de bâtir des capacités d'accès pour que la police et le CSIS, le service de renseignement canadien, puissent venir piocher dedans pendant une enquête. Le ministre de la Sécurité publique pourrait même imposer ce genre de mécanisme à d'autres entreprises par un simple ordre, sans mandat d'un juge, avec pour seul garde-fou le feu vert d'un commissaire au renseignement.

Le problème, c'est qu'une métadonnée raconte déjà énormément. Pas besoin de lire vos messages pour savoir que vous appelez un cabinet d'avocats à 2h du matin trois jours d'affilée.

Et pour construire ces fameuses capacités d'accès, il faut souvent affaiblir le chiffrement, donc créer une porte dérobée. Une porte dérobée, c'est comme laisser une clé sous le paillasson en jurant que seul le gentil facteur la trouvera.

Le gouvernement essaie de calmer le jeu. Le ministre Gary Anandasangaree a promis des amendements précisant qu'on n'obligera personne à casser son chiffrement. Mais la rétention d'un an de métadonnées, elle, ne bouge pas.

Du coup, des boîtes dont le métier c'est justement de ne rien savoir de vous se retrouvent priées de tout retenir. Normal qu'elles préfèrent partir.

Source : Techspot

OpenAI ajoute un "mode confinement" à ChatGPT pour bloquer les injections de prompt

Vincent Lautier — Mon, 08 Jun 2026 11:45:29 +0200

ChatGPT a gagné un réglage qui ne plaira pas à tout le monde. Un "mode confinement", Lockdown Mode dans le texte, qui débranche volontairement une partie des fonctions de l'assistant pour réduire le risque de fuite de données vers l'extérieur.

L'ennemi, ici, porte un nom : l'injection de prompt. Le principe de cette attaque est plutôt vicieux, puisqu'un pirate planque des instructions dans une page web ou dans un document anodin, et qu'au moment où ChatGPT lit ce contenu pour vous répondre, il avale ces ordres cachés et les exécute sans que rien ne s'affiche à l'écran.

Ce qui inquiète OpenAI, c'est la suite. Une consigne dissimulée peut très bien ordonner à l'assistant d'aller récupérer vos informations sensibles, mots de passe ou documents personnels, avant de les renvoyer en douce vers un serveur que l'attaquant contrôle. On appelle ça l'exfiltration de données. C'est tout le scénario que le mode confinement cherche à rendre impossible, en bouclant les sorties plutôt qu'en filtrant les entrées.

Concrètement, il débranche à peu près tout ce qui relie ChatGPT au reste du web. La navigation en direct ? Coupée. Elle est ramenée au contenu déjà enregistré dans les serveurs d'OpenAI, ce qui fait qu'aucune requête ne file vers internet pendant que vous discutez.

Le ménage continue. Plus de récupération d'images depuis le web, plus de téléchargement de fichiers, plus de Deep Research, cet outil qui part compiler automatiquement des dizaines de sources, et plus d'Agent Mode, ce système qui laisse ChatGPT cliquer et agir tout seul sur des sites à votre place comme s'il était assis derrière votre clavier.

Vos propres fichiers, eux, passent toujours. Vous gardez la possibilité de téléverser images et documents à la main, et OpenAI précise que le mode ne touche ni à la mémoire de ChatGPT, ni au partage de conversations, ni à la façon dont vos échanges peuvent servir à entraîner les modèles maison.

L'activation est simple. Direction les réglages, rubrique sécurité, puis sécurité avancée, et vous basculez un interrupteur. C'est ouvert à tous les comptes personnels, y compris la version gratuite, ainsi qu'aux comptes ChatGPT Business en libre-service.

Sauf que voilà, OpenAI le précise clairement : ce mode n'est pas fait pour tout le monde. Il vise les gens et les boîtes qui manipulent des données sensibles et qui acceptent de sacrifier une partie du confort d'usage contre des garde-fous nettement plus serrés.

Et surtout, l'entreprise reconnaît la grosse limite du truc. Le mode confinement n'empêche en rien les injections de se glisser dans le contenu que ChatGPT analyse, il se contente de verrouiller les issues par lesquelles un pirate pourrait aspirer vos données une fois qu'il a pris la main. La faille de fond, elle, est toujours là.

Reconnaître publiquement qu'on pose une barrière sans régler le problème de fond, c'est honnête. Ça montre surtout que l'injection de prompt est un casse-tête que personne n'a encore su désamorcer.

Source : TechCrunch

Encore un zero-day chez Cisco, exploité en ce moment même et toujours sans correctif

Vincent Lautier — Mon, 08 Jun 2026 11:35:46 +0200

Le Catalyst SD-WAN Manager de Cisco, anciennement appelé vManage, c'est la salle de contrôle depuis laquelle une grande entreprise règle, surveille et met à jour à distance le réseau entier qui relie ses dizaines d'agences, usines ou boutiques entre elles, et c'est ce logiciel très sensible qui se retrouve aujourd'hui troué par une faille déjà exploitée dans la nature.

Le pire ? Aucun correctif.

Référencée CVE-2026-20245 et notée 7,8 sur 10 sur l'échelle CVSS, le barème qui classe la dangerosité des failles de zéro à dix, la vulnérabilité permet à un attaquant déjà titulaire d'un compte d'administrateur réseau, le profil baptisé netadmin chez Cisco, de téléverser un fichier piégé que le logiciel contrôle mal, puis d'exécuter ses propres commandes en root, c'est-à-dire avec les pleins pouvoirs sur la machine.

Et toutes les versions sont concernées.

Peu importe que la console tourne sur les serveurs de l'entreprise, dans les offres Cloud et Cloud-Pro hébergées par Cisco, ou dans la déclinaison FedRAMP réservée aux administrations américaines, le trou est exactement le même partout.

Il y a plus inquiétant, car dans plusieurs cas bien réels observés par Cisco, l'attaque ne s'est pas arrêtée à la console : elle a poussé une modification de configuration jusqu'aux routeurs et boîtiers installés dans chaque site distant, ce qui revient, quand on tient la salle de contrôle, à tenir d'un coup l'ensemble du réseau de la boîte.

Une nuance, quand même.

Il faut déjà être authentifié pour déclencher la faille, sauf que Cisco conseille du coup d'installer en priorité les correctifs sortis le 14 mai pour deux autres vulnérabilités, CVE-2026-20182 et CVE-2026-20127, dont l'enchaînement offre justement à un assaillant les fameux droits netadmin qui ouvrent ensuite la porte au reste.

En attendant un vrai patch, dont la date n'est pas connue, l'éditeur se contente de publier des indicateurs de compromission, en clair des traces à repérer dans les journaux du serveur pour savoir si on s'est déjà fait avoir.

Et ce n'est pas la première. C'est même la sixième faille SD-WAN exploitée chez Cisco depuis janvier, et le deuxième zero-day, une faille attaquée avant l'arrivée du moindre correctif, en à peine deux mois.

Bref, un accès root activement exploité sur un équipement aussi central, et toujours pas de rustine, ça commence à faire vraiment beaucoup.

Source : The Register

Mindwtr - Une app GTD libre qui tourne partout

Korben ✨ — Mon, 08 Jun 2026 09:41:35 +0200

Des apps de todo qui se réclament de la mouvance GTD , y'en a des centaines ! Mais des apps qui appliquent vraiment la méthode de David Allen de bout en bout, et qui en plus sont libres, locales, et qui tournent sur tous les OS, y'en a beaucoup moins.

Le développeur Dongdongbh en a sorti une nommée Mindwtr (prononcez "mind water", l'esprit clair comme l'eau... ^^), et je pense que ça va vous intéresser.

Alors comme d'hab, pour ceux qui débarquent (et ils sont légion, lol), l'idée de GTD c'est que votre cerveau est fait pour avoir des idées, mais pas fait pour les stocker. Donc le concept c'est de vider tout ce qui vous trotte dans la tête, de le trier, de l'organiser, et comme ça, vous saurez ensuite en permanence par quoi attaquer vos journées de ministre.

Capturer, clarifier, organiser, réviser, agir, ça se passe en 5 étapes, que Mindwtr suit à la lettre. Une tâche se note en moins de 2 secondes via un raccourci clavier ou l'icône système, même en pleine réunion. Ensuite une "inbox" vous permet de faire le tri (avec un coup de main d'une IA si vous voulez), puis tout s'organise en projets et contextes, une revue hebdo garde le système vivant, et enfin une vue Focus vous sort juste les prochaines actions selon l'endroit où vous êtes.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un lien vers la vidéo.

Et ça fonctionne sous Linux en Flatpak, AUR, dépôt APT et même RPM, Windows via Microsoft Store, Winget, Chocolatey ou Scoop, macOS sur l'App Store et Homebrew, iOS, Android sur le Play Store, F-Droid et IzzyOnDroid, plus une PWA web quand vous ne pouvez rien installer...

J'ai rarement vu un mec seul ratisser autant de surface niveau compatibilité.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/mindwtr-gtd-open-source-multiplateforme/mindwtr-gtd-open-source-multiplateforme-2.mp4">lien vers la vidéo</a>.

Mais LE truc qui compte vraiment, c'est que tout reste chez vous.

C'est local-first, sans compte obligatoire et pour synchroniser tout ce bazar entre vos machines vous y branchez ce que vous voulez : WebDAV, votre propre serveur, un simple fichier, Dropbox ou iCloud. Petit piège honnête quand même, la sync Dropbox n'existe que sur les builds non-libres et iCloud uniquement sur les appareils Apple. Et sur la version 100% libre de Flathub ou F-Droid, vous synchronisez en WebDAV, par fichier local ou via votre propre serveur.

Rien de bloquant, mais autant le savoir avant de migrer dessus.

Pour les bidouilleurs, vous allez voir, je vais vous parler maintenant de la partie que je préfère.

Car Mindwtr expose une API REST (sur 127.0.0.1, port 3456, avec token), une CLI pour ajouter, lister et compléter vos tâches depuis le terminal, et un serveur MCP.

Traduction : Vous balancez tout le bordel que vous avez dans la tête via un prompt (que vous pouvez dicter dans la joie grâce à VoxDrop ) à un agent type Claude Code et hop, vos tâches atterrissent dans l'inbox sans que vous touchiez la souris.

L'IA intégrée tourne ensuite en BYOK (Bring Your Own Key), donc c'est à vous d'amener votre clé API, compatible OpenAI, Gemini, Claude ou un modèle local , comme ça vous gardez la main sur le modèle ET sur la facture.

Pour migrer, sachez également que l'app avale vos exports Todoist, OmniFocus, le format DGT GTD et vos vaults Obsidian , et elle ressort tout en JSON si vous voulez ensuite migrer dans l'autre sens.

Bref, si vous voulez appliquer GTD au sérieux sans louer votre cerveau à Todoist ou TickTick, ça vaut le coup d'œil. Le code est sur github.com/dongdongbh/Mindwtr .

Merci Jean pour l'info !

FixMyCV - Faites relire votre CV par des recruteurs IA

Korben ✨ — Mon, 08 Jun 2026 09:08:51 +0200

Chercher un job dans l'IT en ce moment, faut le savoir, c'est rude. Vous balancez votre CV, et très souvent c'est un logiciel à la con qui passe dessus avant même le moindre humain, le décortique, le classe, et s'il le lit mal, bah vous finissez direct au fond de la pile. FixMyCV est un outil web gratuit signé Jordan Delorme, qui attaque le problème par l'autre bout en faisant relire votre CV par une brochette de recruteurs IA avant que vous l'envoyiez pour de vrai.

Vous déposez votre CV en PDF sur FixMyCV , vous collez éventuellement une fiche de poste, et hop, en moins de 2 minutes vous récupérez un paquet de retours concrets sur, par exemple, la lisibilité, l'impact de vos missions, la cohérence, l'orthographe et la compatibilité avec les fameux ATS, ces logiciels qui passent les candidatures à la moulinette avant le recruteur.

Et le truc bien fichu, c'est que vous choisissez les angles d'analyse au travers de différents personas, chacun lisant votre CV avec ses propres lunettes et vous renvoyant un retour écrit. On a par exemple le DSI qui traque la crédibilité technique et le CV washing, ces compétences que vous affichez sans rien pour les appuyer, genre "expert Kubernetes" sans le moindre projet derrière.

Il y a également le recruteur startup, lui, cherche votre GitHub, vos side-projects, votre débrouillardise, et les autres ne sont pas beaucoup plus tendres. Le RSSI regarde par exemple votre conscience du risque et votre approche des référentiels, l'expert cyber zoome sur votre pratique offensive et vos CTF, l'ESN jauge votre polyvalence et votre mobilité...etc.

En plus de ça, chaque analyse passe une batterie de contrôles automatiques. Filtre RH, orthographe et typo, lisibilité pour les robots ATS, cohérence chronologique, et même la qualité de vos lignes de mission au format STAR (situation, tâche, action, résultat). Il repère aussi vos facteurs de différenciation, genre un repo GitHub actif, une certif ou un projet réellement déployé. Bref, tous ces petits trucs qui font qu'on vous rappelle... ou pas !

Et puis le dernier angle à analyser c'est le mode design et lisibilité visuelle, qui contrôle la mise en page et repère les zones qu'un ATS pourrait mal interpréter.

Sachez quand même que pour celui-là, votre PDF part en image et n'est donc pas anonymisé, contrairement au reste. C'est écrit noir sur blanc sur le site, donc à vous de voir. Si c'est le CV que vous comptiez envoyer dans la nature de toute façon, pas de quoi paniquer j'imagine, mais autant le savoir.

Au-delà du CV, l'outil décortique aussi la fiche de poste, avec les must-haves réels planqués sous le jargon et un score de clarté. Il vous génère aussi une lettre de motivation sur-mesure exportable en Word, dans un style qui évite de sentir le ChatGPT (mais relisez quand même), et propose même une simulation d'entretien avec des questions ciblées et une évaluation de vos réponses face à votre CV.

Pas mal, hein, pour un truc gratuit !

Et côté données, c'est plutôt carré. Hors l'angle Design vu plus haut, vos infos sont anonymisées au maximum avant de partir vers les IA, rien n'est conservé, et le traitement se fait en France.

Cet outil tombe à pic en tout cas, parce que le marché junior IT est devenu une vraie falaise à gravir. Les offres se raréfient, l'IA grignote les tâches d'entrée, et entre vous et un humain il y a souvent un logiciel qui passe en premier. Alors piger ce que regarde un recruteur avant de cliquer sur Envoyer, ça change tout quand vous cherchez à décrocher un job .

Et contrairement aux générateurs de CV qui pondent tous le même template, FixMyCV ne réécrit pas votre CV à votre place. Il critique uniquement ce que vous avez déjà, comme le ferait un pote recruteur un peu cash. Ça vous évitera de claquer 50 balles dans un coach LinkedIn bidon.

Voilà, si vous galérez à décrocher un entretien dans l'IT, ou qu'un alternant autour de vous rame, FixMyCV vaut le détour. C'est gratuit, en français, et bien plus utile que les conseils bateau.

Merci Jordan !

Surface RTX Spark Dev Box - L'IA locale signée NVIDIA

Korben ✨ — Sun, 07 Jun 2026 21:52:56 +0200

Microsoft vient d'annoncer lors de son événement Build 2026 l'arrivée de sa Surface RTX Spark Dev Box, un petit boîtier qui se pose sur le bureau et qui fait tourner des modèles IA de 120 milliards de paramètres en local, sans rien envoyer dans le cloud.

Et bien sûr derrière le badge Surface, c'est NVIDIA qui se tape tout le boulot.

Dans cette boîte noire, vous avez donc la puce NVIDIA RTX Spark, qui rassemble un GPU Blackwell et un processeur Grace pour sortir environ 1 pétaflop de puissance IA et 128 Go de mémoire unifiée.

De quoi donc faire tourner un gros modèle avec une fenêtre de contexte d'un million de tokens, ou carrément affiner (fine-tuner) un modèle sans louer des GPU dans le cloud. Le tout dans un châssis en aluminium pensé pour servir de dissipateur, donc refroidi passivement. Et un malheur n'arrivant jamais seul (je plaisante ^^), Windows 11 Pro arrive préconfiguré dessus pour les devs, avec tous les outils qui vont bien déjà installés.

D'après le site de Microsoft, ce petit joujou sera donc dispo fin 2026, aux États-Unis d'abord.

Détails du châssis

Maintenant, le truc à bien capter, c'est que cette puce RTX Spark, c'est exactement la même famille que la DGX Spark , le mini-PC que NVIDIA vend depuis octobre dernier. Même architecture Grace Blackwell, même pétaflop, mêmes 128 Go unifiés.

Eh oui, Microsoft n'a pas conçu de puce maison pour cette box (ses puces Maia, c'est pour ses datacenters), mais a juste pris la plateforme d'NVIDIA et l'a habillée en Surface avec une image Windows maison. Ce qui n'est pas grave, hein, mais autant le savoir avant de croire à une révolution Microsoft.

Côté tarif, pas de chiffre officiel encore mais les estimations tournent autour de 3500 dollars. Pour vous donner une idée, la DGX Spark d'NVIDIA, sa cousine sous Linux, est passée de 3999 à 4699 dollars récemment, la faute à la flambée des prix de la mémoire. Donc, ce ne sera pas donné, mais vous vous en fichez parce que vous êtes probablement pété de thunes ^^.

Cela dit, même si c'est cher, l'idée de faire tourner un modèle costaud entièrement chez soi, ça reste sacrément séduisant. Vos données ne sortent jamais de la machine, y'a zéro facture d'API qui gonfle à chaque requête, et vous pouvez bidouiller un fine-tuning maison tranquillement. C'est une tendance qu'on voit monter depuis un petit moment maintenant avec par exemple des gens qui glissent un GPU de datacenter dans leur PC gaming juste pour s'affranchir du cloud ^^.

Après, vous n'avez pas besoin d'attendre cette box pour faire de l'IA locale. La DGX Spark existe déjà, un Mac avec assez de mémoire unifiée encaisse de gros modèles aussi, sans oublier qu'il y'a carrément moyen de remplacer l'API d'OpenAI par votre propre Mac . Sans parler des PC AMD Strix Halo...

Non, le vrai plus de Microsoft ici, c'est le combo refroidissement passif et image Windows dev clé en main, taillé pour le futur "Windows agentique" qu'ils nous préparent, et grâce auquel les agents IA tourneront en permanence sur nos machines pour taffer à notre place.

Bref, rien de dingue, c'est certain mais ça peut clairement dépanner ceux qui veulent un PC IA local sans avoir à bricoler. J'ai hâte de connaître le prix en tout cas !

Source

C0XMO - le botnet qui squatte vos vieux routeurs DD-WRT

Korben ✨ — Sun, 07 Jun 2026 18:38:49 +0200

Un vieux routeur DD-WRT qui prend la poussière et que vous n'avez pas mis à jour depuis des lustres, c'est pile poil ce que recherche C0XMO. C'est un nouveau botnet repéré par les chercheurs de Fortinet qui enrôle les machines via une faille de 2021 que beaucoup n'ont jamais bouchée. Et une fois dedans, il dégage les autres malwares déjà présents pour rester seul maître à bord.

La faille, c'est la CVE-2021-27137, un débordement de tampon planqué dans le service UPnP de DD-WRT. En clair, le composant qui gère les requêtes UPnP encaisse mal certains paquets envoyés sur le port UDP 1900, et ça suffit à un attaquant distant pour balancer son code sans même avoir besoin d'un mot de passe.

Bref, tout ça pour dire que toutes les builds antérieures au change set 45723 sont vulnérables, et les routeurs Buffalo livrés d'origine avec DD-WRT sont concernés aussi. Donc le réflexe immédiat si vous avez un de ces engins c'est de mettre à jour le firmware vers une build plus récente, et couper l'UPnP si vous ne vous en servez pas.

Cette faille a beau dater de 2021, elle reste grande ouverte sur tous les routeurs que personne n'a retouchés depuis, et je sais que des vieux routeurs flashés un week-end pour leur donner une seconde vie, vous êtes nombreux à en avoir. Par exemple mon bon vieux WRT54GL ressuscité qui fait point d'accès au fond du garage, ou encore la box recyclée en répéteur Wi-Fi... Tant qu'ils tournent sur un firmware figé, ce sont des cibles parfaites. C'est pile ce qu'un botnet adore à savoir du matériel branché en permanence, que plus personne ne surveille.

Ce qui rend C0XMO un peu particulier pour un dérivé de Gafgyt , c'est sa hargne à éliminer la concurrence. Car comme je vous le disais, une fois installé, il scanne les processus en cours pour repérer les clients d'autres botnets, supprime leurs binaires et démonte tout ce qui les fait persister : tâches cron, scripts d'init, services système, profils shell. En gros, c'est un squatteur qui change les serrures en s'installant. C'est pourquoi les chercheurs y voient un niveau de sophistication plus élevé que le Gafgyt habituel. Lui-même se réinstalle via une tâche cron toutes les 15 minutes, histoire de ne pas se faire déloger à son tour.

Et tout ça pour faire quoi me direz-vous ??

**Hé bien du DDoS, pardi !! **

C0XMO embarque 19 méthodes d'attaque, des classiques floods UDP, TCP, SYN et ICMP aux amplifications NTP et Memcached, jusqu'à des floods qui visent les serveurs vocaux Discord. Ça reste un dérivé de Gafgyt qui cogne plutôt dans les gigabits, mais c'est suffisant pour alimenter l'écosystème DDoS où les records se comptent maintenant en térabits par seconde . Et le botnet ne s'arrête d'ailleurs pas aux routeurs, puisqu'il vise aussi des DVR, des plateformes de gestion vidéo et des appareils Android, sur à peu près toutes les architectures qui existent (ARM, MIPS, PowerPC, SuperH, x86).

Ces failles UPnP qui transforment des appareils oubliés en chair à botnet, c'est une vieille histoire faut dire... Je me souviens de mon article d'il y a plus de 10 ans, où je vous parlais déjà de dizaines de millions d'appareils vulnérables à cause d'UPnP. Et comme le matériel, ne disparaît pas vraiment mais finit recyclé, revendu, ou planqué derrière un meuble en marche H24, c'est un vrai running gag.

Voilà, donc si vous avez du DD-WRT en service, prenez cinq minutes pour mettre à jour et couper l'UPnP si vous ne vous en servez pas et surtout, dites vous qu'un boîtier que vous ne touchez plus jamais, à un moment faut trancher : **soit vous le maintenez vraiment à jour, DD-WRT ou OpenWRT peu importe, soit c'est direction la poubelle (euh pardon la déchetterie). **

Le garder branché en mode mort-vivant, ni mis à jour, ni débranché, c'est le pire que vous pouvez faire... Un routeur qu'on a sauvé de la poubelle mérite quand même mieux que de finir zombie dans une armée de cybercriminels à faire du DDoS.

Source + Photo par Jonathan Zander , CC BY-SA 3.0

Zcash - Une IA déniche en 24h une faille vieille de 4 ans

Korben ✨ — Sun, 07 Jun 2026 18:02:40 +0200

Un chercheur en sécurité, Taylor Hornby, a lâché Claude Opus 4.8 sur le code de Zcash et 24 heures plus tard, le modèle lui a déniché une faille bien planquée là depuis 4 ans qui avait échappé aux auditeurs !

Et ce qu'elle permet de faire pique un peu (ouille ouille ^^) ! Car je vous rappelle que Zcash, c'est la cryptomonnaie taillée pour l'anonymat, où les transactions sont chiffrées et validées par des preuves mathématiques (le fameux "zero-knowledge" dont je vous ai déjà parlé). Sauf que dans son pool de confidentialité le plus récent, baptisé Orchard, une vérification censée s'assurer que les transactions étaient légitimes... ne vérifiait en fait rien du tout ! En clair, vous pouviez fabriquer du ZEC à partir de rien.

C'était une vraie planche à billets planquée dans le code, sauf que les faux billets étaient totalement impossibles à distinguer des vrais, et que le système les estampillait comme parfaitement authentiques.

Le plus dingue dans l'histoire, c'est que toute la faille tenait dans à peine deux lignes de code. Deux pauvres lignes, perdues quelque part dans le circuit cryptographique, qui laissaient passer de fausses valeurs sans broncher. Hornby a même écrit un exploit complet qui marchait pour de vrai, dans un environnement de test, histoire de prouver que ce n'était pas juste de la théorie sur un tableau blanc. Heureusement pour vous mes petits crypto-bro, l'équipe de Zcash a colmaté en urgence le 1er juin, et le cours du ZEC a dévissé de près de 40% dans la foulée.

Maintenant, le hic est ailleurs car Orchard est un pool privé, donc personne ne peut prouver mathématiquement si quelqu'un a exploité cette faille durant ces 4 dernières années. J'sais pas si vous saisissez le niveau d'ironie du truc mais LA confidentialité, c'est-à-dire l'argument de vente numéro un de Zcash, est exactement ce qui empêche aujourd'hui de savoir si les utilisateurs et investisseurs de cette crypto se sont fait pigeonner. L'équipe estime que c'est "peu probable", mais elle le dit elle-même : "Ne vous fiez pas à notre évaluation". Je vais traduire ça en français : "On n'en sait rien, et on ne le saura jamais". Oups !

Maintenant, ça ne veut pas dire que Zcash est mort ni que vos cryptos vont s'évaporer du jour au lendemain. Le trou est bouché, et l'équipe planche déjà sur un moyen de repérer une éventuelle fausse monnaie qui aurait été créée grâce à cette faille, mais faut savoir que ce genre de bugs planqués, il y en aura toujours.

Et ce qui est compliqué, c'est qu'on peut aujourd'hui les découvrir assez facilement et rapidement avec des modèles IA grand public. Et ce qui s'est passé avec Zcash n'est même pas un cas isolé puisque ces derniers mois, une IA a débusqué huit des neuf failles trouvées dans le serveur X.Org , et une autre a sorti du placard une faille vieille de 18 ans dans nginx .

Et bien sûr, Hornby ne compte pas s'arrêter à Zcash, puisqu'il a déjà annoncé qu'il menait le même genre d'analyse sur Monero, l'autre grosse crypto anonyme. Le XMR a perdu 10% rien qu'à l'annonce, par anticipation... lol.

Maintenant, si un modèle public déniche ça en 24h, je me demande vraiment ce que les modèles les plus costauds, ceux qui restent bien au chaud en privé, ont déjà trouvé sans que personne ne le sache ?

Bref, la faille sur Zcash est colmatée mais on a une fois de plus la preuve que "audité par des experts" ne pèse plus très lourd face à une IA un peu motivée.

Source

ntsc-rs - L'effet VHS open source qui simule le vrai signal

Korben ✨ — Sun, 07 Jun 2026 16:54:04 +0200

Les couleurs qui bavent, le grain qui grouille, et cette barre de "bruit" qui tremblote en bas de l'image... la VHS, c'est clairement toute une époque !! Le souci, c'est que recréer ce look proprement sur des vidéos, soit c'est galère à la main, soit ça passe par des plugins payants. Heureusement, ntsc-rs , signé valadaptive, fait ça gratuitement et en open source, et surtout il simule pour de vrai la chaîne du signal analogique.

Et le plus beau c'est que vous n'avez rien à installer pour tester. Une version tourne directement dans votre navigateur sur web.ntsc.rs , dans le même esprit que VidStudio pour le montage. Vous balancez une image ou une vidéo, vous poussez les curseurs, et hop, votre clip prend 30 ans dans la gueule ! Bref, commencez par là avant de télécharger quoi que ce soit, ça vous évitera d'installer un truc qui finira à la corbeille si le rendu ne vous plaît pas.

Faut savoir que la plupart des filtres vintage posent juste une texture de grain et deux scanlines par-dessus votre image alors que ntsc-rs, lui, reconstruit tout le chemin du signal. C'est à dire encodage composite, séparation luminance/chrominance, sous-échantillonnage de la couleur. En gros, il refait le sale boulot qu'une vraie télé analogique faisait pour amocher l'image.

Du coup vous retrouvez les vrais défauts, et pas une imitation. Par exemple le head switching, cette bande de bruit qui frétille en bas quand les têtes de lecture changent de piste, le tracking qui décroche, le bruit de chrominance, ces points de couleur qui bavent dans les zones sombres. Sans oublier le dot crawl, ces points qui grouillent le long des contours colorés. Bref, chaque artefact a ses propres réglages, et c'est à vous de bien les doser à la mano.

Après vous allez me dire : "Mais mon bon vieux Korben, ça sert à quoi ton truc de merde là ?"

Hé bien à filer ce cachet analogique à un clip musical, à une vidéo que vous voulez faire passer pour une bande des années 90, ou à fabriquer ces ambiances analog horror qui cartonnent en ce moment. Car j'sais pas si vous aviez remarqué, l'esthétique VHS est partout en ce moment, et jusqu'ici, la faire bien coûtait une couille en graphiste ou demandait un vrai magnétoscope et une carte d'acquisition.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/ntsc-rs-effet-vhs-analogique/ntsc-rs-effet-vhs-analogique-1.mp4">lien vers la vidéo</a>.

Et ntsc-rs se greffe à peu près partout. Y'a l'appli standalone, un plugin OpenFX qui marche dans DaVinci Resolve, Vegas, HitFilm ou Natron , le compositing open source, et un plugin After Effects et Premiere. Ce dernier, par contre, c'est Windows et Mac seulement, donc les amis linuxiens devront se rabattre sur le standalone ou l'OpenFX.

Avec ça, vous aurez le même effet dans tous vos softs de montage, quoi. C'est d'ailleurs le concurrent direct du plugin VHS de Red Giant Universe... sauf que Universe, lui, c'est dans les 200 dollars par an d'abonnement.

Et là, c'est gratuit ! Que du bonheur !

Après ntsc-rs n'est pas sorti de nulle part non plus. C'est le portage en Rust de ntscqt, qui descendait lui-même d'un vieux simulateur de signal composite. Valadaptive a tout réécrit en Rust multithreadé, et c'est ça qui lui permet de tourner quasiment en temps réel alors que d'habitude ce genre de simulation, c'est lent comme le cerveau d'un mec d'extrême droite ^^.

Deux trucs à savoir avant de foncer quand même : Sous Linux, faudra installer tous les paquets GStreamer sinon ça marchera pas correctement. Et l'auteur prévient lui-même que ce n'est pas un clone pixel-perfect de l'original, donc certains traitements rendront différemment et d'autres seront carrément nouveaux. Mais honnêtement, on s'en fiche, le rendu est superbe !

Bref, vous voulez un effet VHS open source qui simule le vrai signal, dispo partout, et gratuit, allez jouer avec dans le navigateur, ça ne coûte rien.

DOOM Retro - Le portage qui fait couler encore plus de sang

Korben ✨ — Sun, 07 Jun 2026 16:30:08 +0200

DOOM, vous connaissez forcément, sauf peut-être si vous avez moins de 13 ans, lol. Ce célèbre jeu de tir à la première personne (FPS) est un vrai classique des années 90 et même après toutes ces années, il continue d'être apprécié par les fans, notamment grâce aux portages sur les machines récentes .

Et parmi ces portages, DOOM Retro est sans doute le plus abouti que vous pourrez trouver sous Windows.

Sorti en décembre 2013 pour commémorer le 20ème anniversaire du jeu de John Carmack, DOOM Retro est en réalité un fork du portage Chocolate DOOM. Mais au fil des années, il s'est vraiment séparé du code initial en devenant un logiciel bien différent aujourd'hui. Avec son approche minimaliste, ce portage propose des fonctionnalités uniques qui le distinguent évidemment des autres portages bêtes et méchants.

DOOM Retro est conçu pour être joué en mode solo et prend en charge toutes les cartes et les mods compatibles avec le moteur d'origine (vanilla), les versions " limit removing ", BOOM, MBF et MBF21.

L'application est codée en C et dispo sous licence libre. Avec ses plus de 100 000 lignes de code, des versions compilées de DOOM Retro sont proposées pour Windows 32 et 64 bits. Et c'est toujours du Windows only : le code source peut bien être compilé et exécuté sous Linux et macOS, mais aucune version compilée n'est fournie pour ces plateformes donc si y'a des volontaires pour s'y casser les dents, ça m'intéresse toujours.

DOOM Retro embarque un lanceur de WAD intelligent, et c'est surtout côté rendu que les choses ont bien bougé depuis. Le moteur garde en effet le grain pixelisé et la palette d'origine façon vanilla, mais il met désormais le jeu à l'échelle sur n'importe quelle taille d'écran avec un vrai support du widescreen (fini le 4:3, vous pouvez enfin jouer en 16:9 voire en 21:9). Et depuis la version 6.0, cette mise à l'échelle passe par Direct3D 11 au lieu du vieux Direct3D 9, ce qui apporte un gain de performances assez net.

Un mode grand écran est également disponible à tout moment en appuyant sur la touche "+", avec le choix de deux affichages tête haute différents. Les modes fenêtré et plein écran sont également commutables à tout moment en appuyant sur ALT + ENTRÉE.

Et le projet est tout sauf à l'abandon puisque Brad Harding, le développeur derrière DOOM Retro, sort des mises à jour à un rythme quasi mensuel. On en est déjà à la version 6.1 publiée début juin alors forcément, le portage a pris un sacré coup de jeune depuis mes premiers tests.

Maintenant vous pouvez par exemple lever et baisser le regard à la souris grâce au freelook, un truc impensable sur le DOOM de 1993. Les Master Levels se chargent tout seuls, le moteur avale sans broncher SIGIL II (le second épisode signé John Romero en personne) et il gère le standard ID24 pour faire tourner les mods les plus récents.

L'automap a elle aussi été complètement repensée. Vous la déplacez à la souris en cliquant-glissant, vous personnalisez la couleur des secrets, vous zoomez en douceur... rien à voir avec la carte austère d'avant. Et si vous jouez à la manette, DOOM Retro reconnaît même la DualSense de la PS5, vibrations et pavé tactile compris pour balader la carte. Bref, on est vraiment loin du portage bête et méchant.

Une console discrète est également toujours dispo en appuyant sur la touche "~". Vous y verrez tous les messages et tous les paramètres qui peuvent être modifiés. Et bien sûr, le framerate est illimité et vous pouvez appliquer un flou de mouvement lorsque vous tournez rapidement.

DOOM Retro prend également en charge les fichiers MUS, MIDI, MP3, Ogg Vorbis, WAV, FLAC et MOD. Il dispose aussi de plusieurs effets de transparence / translucidité (ça se dit ce mot ?)...etc.

Bref, en jouant à DOOM Retro, vous renouerez avec le vous des années 90 sauf qu'il y aura encore plus de sang qui dégoulinera de partout, bande de psychopathes.

Même les corps des ennemis morts réagiront aux explosions de barils et aux dommages des projectiles en laissant des taches de sang partout sur le sol. Vous ressentirez également l'impact de chaque coup que vous recevrez avec des secousses d'écran assez réalistes.

Bref, vous l'aurez compris, DOOM Retro est un excellent portage pour les fondus du genre qui veulent retrouver l'expérience classique du jeu mais avec des améliorations modernes et des bugs en moins !

Si ça vous chauffe, c'est téléchargeable ici . (Et oui, il vous faudra les fichiers WAD d'origine du jeu, comme d'habitude)

Article initialement écrit le 14 avril 2023 et mis à jour le 7 juin 2026.

Age of Empires II est aussi conscient que votre ChatGPT

Korben ✨ — Sun, 07 Jun 2026 15:01:18 +0200

Vous connaissez ce refrain qu'on entend partout dans la presse, comme quoi ChatGPT ou Claude "comprendrait vraiment" ce que vous racontez, qu'il aurait une "morale", une "intention" , voire bientôt une conscience ?

Bah Adrian de Wynter, chercheur principal chez Microsoft, vient d'y répondre de la plus belle des manières en prouvant que si c'est le cas, alors Age of Empires II a lui aussi des attributs très humains.

Et c'est on ne peut plus sérieux (enfin... presque).

En effet, dans son papier de recherche il explique qu'il s'est monté un petit réseau de neurones à l'intérieur du bon vieux AoE2, et nous explique tranquillement que n'importe quel système posé sur un "substrat" assez puissant (comprenez : le "moteur" sur lequel ça tourne, peu importe lequel) peut afficher ce genre de propriétés. Ça marche donc avec le jeu de Microsoft, mais aussi les LEGO, ou carrément l'agglomération de Boston.

Son raisonnement c'est que quand un fanboy IA (ou un employé d'Anthropic, loool) affirme qu'un LLM "a" une morale ou "comprend" le langage sans dire précisément comment il le mesure, il ne décrit pas vraiment la machine mais projette tout simplement ses attentes sur elle. Car les expériences ont beau rester les mêmes d'un substrat à l'autre, leur interprétation, elle, change selon ce qui les produit. Du coup, déclarer que ces attributs humains existent dans l'absolu, sans critère mesurable, mène soit à un raisonnement circulaire, soit à une conclusion qui ne dit rien de très probant.

Mais attention, je vous vois venir les Anti-IA Bro ! Il ne dit pas que les LLM sont nuls... Non, non, il dit juste qu'on les mesure mal.

À la place, de Wynter propose donc de travailler à partir d'une "hypothèse nulle", qui est un grand classique de la démarche scientifique consistant à ne plus partir du principe que l'IA pense, mais au contraire, partir de l'inverse. De se dire en fait qu'elle n'a rien d'unique, et c'est ensuite à l'expérience de prouver le contraire avec des mesures explicites. C'est d'après lui précisément ce qui manque à la tonne de papiers qui crient à l'"émergence" dès qu'un modèle fait un truc inattendu.

Et le bonhomme sait de quoi il parle puisque c'est déjà lui qui avait fait jouer GPT-4 à Doom en 2024, en s'inquiétant au passage de la facilité avec laquelle on pouvait lui faire tirer sur tout ce qui bouge. C'est aussi lui qui a épluché plus de 2000 publications sur les LLM pour montrer le manque de rigueur du domaine. Et en bonus de tout cela, il a démontré également que Age of Empires II était Turing-complet , donc capable en théorie de faire tourner n'importe quel calcul. Des gens "codaient" déjà dans le jeu depuis des lustres, mais en avoir une preuve formelle aujourd'hui, c'est cool !

Mais bon après derrière la vanne, y'a surtout un vrai sujet qui est que de prêter des intentions humaines à une IA, ça pousse surtout les gens à trop faire confiance à un chatbot, à lui confier des trucs intimes, parfois à s'y attacher pour de bon. Alors mettre un réseau de neurones dernier cri et une bonne vieille partie d'AoE2 sur le même plan, c'est sûr que c'est vexant pour l'ego de l'IA et de ses ingénieurs, mais carrément plus sain pour le nôtre !

Bref, la prochaine fois qu'on vous vend une IA "qui comprend" ou que vous penserez que seul ChatGPT vous comprend vraiment, repensez aux petits paysans qui coupent du bois dans Age of Empires qui sont tout aussi conscients que votre IA préférée.

Il transforme un microcontrôleur à 8 euros en routeur WiFi-Ethernet, sans la moindre puce réseau

Vincent Lautier — Sun, 07 Jun 2026 11:59:26 +0200

Difficile de faire plus minimaliste comme routeur. Celui que vient de bricoler Matt Deeds tient sur un Raspberry Pi Pico 2W, ce microcontrôleur grand comme une clé USB que l'on trouve pour une poignée d'euros, et il assure pourtant le pont entre un réseau WiFi et une bonne vieille prise Ethernet.

Le WiFi, le Pico 2W le gère nativement grâce à sa puce sans fil intégrée, donc rien d'extraordinaire de ce côté-là. Toute la malice se niche dans la partie filaire.

Car pour parler Ethernet, un appareil a normalement besoin d'un composant spécialisé, du type W5500, un petit circuit qui prend en charge l'intégralité du protocole réseau sans solliciter le processeur. Matt Deeds, lui, s'en passe complètement.

À la place, il génère du 10BASE-T, la toute première norme d'Ethernet sur paire torsadée, celle qui faisait tourner les réseaux d'entreprise à 10 mégabits par seconde au milieu des années 90. Et il la produit entièrement en bit-bang.

Le bit-banging consiste à fabriquer un signal électrique à la main, en faisant commuter les broches du microcontrôleur des centaines de milliers de fois par seconde pour dessiner la forme d'onde attendue, là où un vrai contrôleur Ethernet ferait tout le travail seul dans son coin.

Résultat, il ne reste presque rien autour de la carte. Un petit transformateur de signal pour isoler la ligne, un connecteur réseau, et c'est à peu près tout.

Le code, lui, est écrit en Rust, le langage que l'industrie adore pour la sûreté de sa gestion mémoire, et il reprend en partie le code d'un projet antérieur dont il constitue un portage.

Il ne faut évidemment pas en attendre des miracles de débit. La réception plafonne autour de 100 ko par seconde, l'émission grimpe jusqu'à un mégaoctet par seconde, et cette asymétrie un brin cocasse rappelle qu'on reste sur une démonstration, pas sur un produit fini.

On est donc à des années-lumière de la box du salon. Mais ce n'est pas le but.

Le but, c'est de montrer qu'on peut arracher une fonction réseau complète à une puce qui coûte le prix d'un sandwich, avec quelques lignes de code et deux composants soudés à la va-vite. Le tout est publié sur GitHub , pour qui veut remettre le nez dans le cambouis.

Bref, ça ne détrônera jamais votre routeur, mais voir un microcontrôleur cracher de l'Ethernet à la seule force du logiciel, c'est franchement impressionnant.

Source : Hackaday

ESP32 Bit Pirate - Le Bus Pirate qui tient dans un Cardputer

Korben ✨ — Sun, 07 Jun 2026 09:38:56 +0200

Les Bus Pirate , si vous ne connaissez pas encore, ce sont des petites sondes que les bidouilleurs utilisent pour "parler" à des puces inconnues, lire une EEPROM ou dumper des firmwares. C'est assez spécifique comme matos, alors c'est pourquoi geo-tp a eu une autre idée, à savoir foutre l'équivalent d'un Bus Pirate dans un ESP32 pour en faire un Cardputer (contraction de "card" + "computer") de hacker.

Bus Pirate

Et voilà comme son bébé, nommé Bit Pirate transforme un ESP32, c'est à dire une carte à 30 balles en multitool de hacking matériel qui cause plus de 20 protocoles.

Grâce à ça, vous pouvez vous brancher sur n'importe quelle puce et lire / modifier ce qu'elle contient, sans dessouder tout l'appareil. Côté bus numériques, vous avez le I2C (scan, glitch, dump d'une EEPROM 24Cxx), le SPI pour lire une flash 25Q ou une carte SD, l'UART avec auto-détection du baudrate, le 1-Wire et le JTAG/SWD compatible OpenOCD.

Bref, en un seul firmware, il remplace une palanquée de petits outils dédiés.

Côté radio, c'est aussi beaucoup plus musclé, mais attention, tout ne sort pas d'une ESP32 nue. Le Wi-Fi (sniff, deauth), le Bluetooth (BLE HID, spoofing) et l'infrarouge tournent direct sur l'ESP32 mais le Sub-GHz, le RFID, le bus CAN d'une bagnole ou le dump d'une carte SIM nécessiteront des puces spécifiques en plus (un CC1101, un PN532, un transceiver, un peu de câblage...etc), ou une carte qui les embarque déjà comme la LILYGO T-Embed CC1101.

Forcément, j'imagine qu'en lisant ça, vous pensez au Flipper Zero mais c'est pas vraiment le même objet. Le Flipper, c'est un produit fini, boîtier, batterie, interface léchée, et lui aussi est open source d'ailleurs. Alors que le Bit Pirate, c'est plus brut, avec des fils qui dépassent, un firmware en plein chantier...etc... C'est plus un outil de bench pour bidouilleurs, qu'un gadget clé en main et surtout la vraie différence, c'est le prix et le fait que ça tourne sur du matériel tout ce qu'il y a de plus banal.

Ça marche donc sur un ESP32-S3 nu, mais le combo qui fait rêver c'est le M5 Cardputer , ce mini-ordinateur avec clavier vendu autour de 30 euros. Vous le flashez, et hop, vous avez un Bus Pirate autonome avec écran et clavier dans la poche !

A titre de comparaison, un Flipper Zero, c'est plutôt dans les 200 balles donc y'a pas photo. Et pour l'installer, pas besoin de toolchain, puisque geo-tp a mis en ligne un flasher web qui déploie le firmware depuis le navigateur en un clic, via Web Serial (oui, la même techno qui débarque enfin dans Firefox ).

Ensuite une fois que le firmware est en place sur votre matos, vous pilotez la bête de 3 façons : soit via un terminal série classique, soit une CLI web par Wi-Fi, ou en standalone sur le clavier du Cardputer.

Les trois disposent exactement des mêmes commandes et pour les petits feignants surproductifs TDAH que vous êtes, rassurez-vous ça se scripte, soit en bytecode façon Bus Pirate historique, soit en Python par-dessus le port série pour automatiser un dump de flash. Et notez qu'il sait aussi se faire passer pour un simple dongle USB-UART, un programmateur SPI ou un analyseur logique quand vous avez juste besoin de ça.

Le firmware Bit Pirate aura besoin d'au moins 8 Mo de flash, et attention à la tension, car l'ESP32 bosse en 3,3V sur ses broches, donc pour taquiner un bus en 5V il vous faudra une carte ou un module prévus pour, sinon vous cramerez la puce. Et selon le modèle que vous choisissez, vous n'aurez pas forcement le même nombre de broches GPIO donc le brochage demandera parfois un peu d'ajustement. Et niveau radio, sniffer le Wi-Fi du voisin ou rejouer un signal Sub-GHz dans la nature, c'est interdit sachez le !! Donc les mêmes précautions qu'avec un Flipper Zero s'appliquent.

C'est surtout pour tester votre propre matériel et apprendre, et pas pour faire le malin et finir en zonzon.

Bref, si le hacking matériel vous démange, sachez que Bit Pirate c'est open source, que le matos n'est pas cher et que ça s'installe facilement grâce au flasher web... Ce serait donc dommage de vous en priver...

Merci à Nicolas pour le lien !

Votre enceinte USB peut être piratée par un voisin

Vincent Lautier — Sat, 06 Jun 2026 20:26:02 +0200

Un chercheur en sécurité a réussi à prendre le contrôle d'un ordinateur en passant par une simple enceinte branchée en USB, à distance, et sans jamais s'approcher de la machine.

L'appareil en question est la Sound Blaster Katana V2X, une barre de son vendue autour de 280 euros par Creative Technologies, le fabricant singapourien d'accessoires audio bien connu des joueurs. Elle se branche aussi bien sur un PC, un Mac ou un Linux, en USB comme en Bluetooth. Je la connais d'ailleurs plutôt bien, puisque je l'ai testée sur Mac4ever .

Rasmus Moorats, un chercheur, est tombé sur la faille un peu par hasard. Il voulait juste écrire un petit logiciel Linux pour piloter son enceinte, et il a découvert un protocole maison de Creative qui permet d'envoyer des commandes à l'appareil, comme changer la couleur des LED ou régler l'égaliseur.

Sauf que voilà : son téléphone en Bluetooth a pu se connecter à l'enceinte, elle-même reliée à un PC en USB, sans aucune authentification et sans même avoir été appairé au préalable. Et parmi les commandes disponibles, il y en avait une intitulée "envoyer un nouveau micrologiciel à l'appareil".

Le micrologiciel, c'est le programme interne qui fait tourner l'enceinte. Normalement, un appareil refuse d'installer un programme qui n'est pas signé par son fabricant, un peu comme un coffre qui n'accepterait que la clé d'origine. Là, rien de tout ça : Moorats a pu remplacer le firmware officiel par le sien, sans la moindre vérification.

Sa première démonstration est assez simple, avec le mot "patched" affiché sur l'écran LED de l'enceinte. Puis il s'est demandé jusqu'où on pouvait pousser le bouchon.

Et la réponse fait un peu froid dans le dos. L'enceinte sait se présenter à l'ordinateur comme un périphérique d'interface humaine, la catégorie qui regroupe les claviers, les souris et les webcams. Moorats a modifié cette carte d'identité USB pour que l'enceinte se déclare aussi comme un clavier, puis lui a fait taper des touches toute seule.

En enchaînant le tout, il a pu, totalement à distance et par les airs, envoyer son firmware piégé à une enceinte qu'il n'avait jamais appairée, la faire redémarrer, puis lui faire taper une commande et l'exécuter sur le PC. Dans un vrai scénario d'attaque, ce serait l'ouverture du terminal de commandes de Windows et le collage d'une ligne malveillante.

Pire encore : un attaquant pourrait au passage désactiver la mise à jour du micrologiciel, ce qui rendrait son code impossible à effacer. Et le Bluetooth de l'enceinte reste allumé en permanence, même en veille, sans aucun moyen de le couper.

Il y a quand même une limite de taille. L'attaquant doit se trouver à portée Bluetooth de l'enceinte. On parle donc d'un voisin, d'un colocataire ou d'un bureau mitoyen, pas d'un pirate à l'autre bout du monde.

Moorats a prévenu Creative, sans réponse, puis a fait intervenir le CERT de Singapour, l'agence publique qui gère les alertes de sécurité. Le fabricant a fini par répondre que ses ingénieurs ne considèrent pas ce comportement comme une faille. Aucun correctif n'est donc prévu.

Le seul vrai garde-fou aujourd'hui, c'est un correctif publié par des bidouilleurs de la communauté. Quand un fabricant vous explique qu'un clavier fantôme piloté par le voisin n'est pas un problème, c'est quand même un peu gênant.

Source : ARS Technica

VoxDrop 1.1 - Le moteur vocal d'Apple est devenu mon préféré

Korben ✨ — Sat, 06 Jun 2026 20:08:48 +0200

VoxDrop , ma petite app de dictée vocale qui tourne 100% en local sur Mac, passe en version 1.1. Et le gros morceau de cette release, c'est le grand ménage que j'ai fait dans les moteurs de reconnaissance vocale.

Le nouveau venu, c'est donc le moteur d'Apple intégré à macOS 26. Il ne pèse rien à télécharger (0 Mo car il est carrément intégré au système), il gère une tonne de langues et il transcrit quasi en temps réel. Perso, c'est devenu mon préféré et je dicte avec tous les jours depuis des jours ! Seul hic, attention, faudra macOS 26, donc si vous êtes encore sous Sequoia, celui-là vous passera sous le nez.

Du coup j'ai viré Voxtral et Qwen, dont le gain n'était pas dingue, et j'ai mis du lourd à la place : Canary 1B de NVIDIA (le grand frère de Parakeet) et Cohere Transcribe. Ces deux-là squattent le haut du classement des meilleurs modèles de reconnaissance vocale, côté précision donc vous êtes servis !

Le principe, lui, ne bouge pas, vous appuyez sur votre raccourci (⌥+Espace par défaut), vous parlez, et hop, le texte arrive directement là où se trouve votre curseur. Et maintenant, VoxDrop sait aussi transcrire vos fichiers audio ET vidéo par simple glisser-déposer, sur la fenêtre ou sur l'icône dans la barre de menu et identifie même les locuteurs (qui parle, et quand) dans vos enregistrements.

Maintenant, oui, je sais, c'est un outil uniquement macOS parce que j'exploite au maximum les capacités de l'OS d'Apple (CoreML, MLX...etc) pour vous proposer l'expérience la plus rapide qui soit en termes de Speech To Text. Je pourrais porter VoxDrop sous Linux et Windows mais je ne ferais pas mieux que d'autres outils comme Murmure ou Handy qui font très bien le job sur ces OS.

J'ai codé cet outil parce que j'étais frustré par les autres apps que je trouvais peu réactives et là je m'en sers tous les jours, notamment pour dicter mes emails, mes articles et discuter avec Claude Code. C'est instantané et ça me fait gagner un temps de dingue !

VoxDrop peut aussi reformuler ou traduire votre texte en local toujours via Apple Intelligence, en plus du modèle de traduction maison déjà embarqué depuis la version précédente (TranslateGemma). Et j'ai rajouté tous les petits trucs qui changent la vie, comme la suppression automatique des "euh" et autres hésitations pour avoir un texte propre, et j'ai mis aussi le fonctionnement capot fermé du MacBook quand vous bossez sur un écran externe ainsi qu'un dictionnaire de substitutions qui corrige les variantes de vos termes, et un démarrage plus rapide grâce au préchargement du moteur.

Encore une fois, la perf sur cet outil c'est mon obsession.

J'ai aussi corrigé pas mal de bricoles que vous m'aviez remontées, l'espace parasite en début de phrase, le support des AirPods, les raccourcis clavier qui déconnaient et plein de petits gains de stabilité.

Comme pour la version précédente , VoxDrop reste réservé à mes abonnés Patreon. Alors pourquoi pas sur l'App Store ou en open source ? Parce que les deux, c'est un job à plein temps, c'est gérer des clients et du SAV d'un côté, des pull requests et des contributeurs de l'autre. J'ai pas le temps, et franchement pas l'envie.

Je code des outils pour moi depuis l'époque de RockXP, depuis le début des années 2000 et j'en ai profité l'année dernière pour mettre au point un système de licence Patreon maison que j'implémente dans tous mes outils. Comme ça, je développe ce qui me plaît quand je veux pour moi, et ceux qui me soutiennent y ont aussi accès directement, sans pub, ni intermédiaire. C'est un genre de bonus pour mes Patreons quoi...

D'ailleurs, VoxDrop n'est pas mon seul joujou du genre, y'a aussi Evapor8 qui efface le watermark des images générées par Gemini, sous la même licence. Mais ça, je vous en reparle très vite !

Bref, si vous êtes déjà sur mon Patreon , la 1.1 vous attend. Et sinon, vous savez quoi faire. 🙏

Ps : Je mets à jour le site de VoxDrop prochainement, et je vais aussi modifier le nom de l'app car depuis que je l'ai sortie en 2025, y'a eu des copycats qui sont arrivés avec le même nom donc je vais changer ça rapidement pour leur couper l'herbe sous le pied.

Test de ce chargeur 65W, avec sa taille ridicule qui n’a aucun sens

Vincent Lautier — Fri, 05 Jun 2026 17:17:53 +0200

- Contient des liens affiliés Amazon -

Tellement de produits UGREEN passent entre mes mains que c'en est devenu une blague. Plus j'en kiffe un, plus ils m'en envoient un autre. Et à chaque fois, je craque pareil. Mais là je dois avouer que sur celui-là je suis complètement en phase (mais vous le savez, j'adore les chargeurs ha ha).

Le petit dernier donc, c'est ce Nexode Air 65W , qui m'a eu avant même que je le branche. Juste en le sortant du carton. Il est minuscule.

À côté du chargeur Apple 30W, celui qu'on connaît tous, la comparaison fait mal. Non seulement le UGREEN est minuscule à côté, mais il crache deux fois plus de watts. Mon Belkin 45W ? Même encombrement, et lui plafonne 20W plus bas. Et quand je le pose près d'un vieux UGREEN 65W d'il y a deux ou trois ans, on voit bien les progrès sur ce genre de produits.

Screenshot

Le tour de magie porte un nom, vous le connaissez, c'est le GaN, pour nitrure de gallium, un matériau qui pique peu à peu la place du bon vieux silicium dans nos chargeurs et qui permet de faire tenir beaucoup de puissance dans un tout petit boîtier sans que ça chauffe comme un radiateur. UGREEN sert sa recette maison sous le nom de GaNInfinity, annonce un rendement dans les 93% et un format réduit de presque trois quarts face à un 65W d'ancienne école, et de toutes manières plus réduit que les chargeurs GaN d'il y a quelques années.

Dans la vraie vie, ces 65W encaissent tout. L'iPhone qui repart d'à plat aux deux tiers en une demi-heure. Le MacBook Air qui passe la moitié dans le même temps. Le MacBook Pro qui se recharge sans mal. Franchement rien à dire, et sans chauffe problématique.

Il parle au passage tous les dialectes de la charge rapide, du Power Delivery au PPS, garde un oeil sur sa température et dose le courant pour épargner les batteries. On ne le voit pas, on ne le sent pas, mais c'est ça, un bon chargeur.

Bonus appréciable, le câble USB-C de 100W est fourni dans la boîte, tressé, donné pour 10 000 pliages. C'est con mais ça se fait rare.

Du coup il a élu domicile dans ma pochette et n'en bouge plus. Je le préfère même au modèle 45W d'Anker et son petit écran , parce que sur un truc grand comme un briquet, l'écran, je ne vois pas forcément l'intérêt (même s'il est très chou).

Reste le prix. Autour de 35 euros, avec plein de choix de couleurs, et 28 euros en ce moment si vous pensez à cocher le coupon sur Amazon .

Bref, microscopique, costaud, à 28 balles. Pour qui voyage léger, c'est 100% validé !