Les news de Korben

Ce kit de phishing ouvre les comptes Microsoft 365 sans voler le mot de passe

Vincent Lautier — Fri, 22 May 2026 15:55:25 +0200

Voler un mot de passe ? C'est presque devenu accessoire. Le FBI a lancé une alerte sur Kali365, un kit de piratage qui s'introduit dans les comptes Microsoft 365 d'une entreprise sans jamais avoir besoin du mot de passe, ni du fameux code de la double authentification.

La protection que beaucoup imaginent solide ne sert plus à grand-chose ici. Hélas.

Kali365 n'est pas un virus classique. C'est ce qu'on appelle un kit de phishing en location : un service clé en main, vendu un peu comme un abonnement à un logiciel, sauf qu'il sert à pirater. Repéré depuis avril et distribué via la messagerie Telegram, il permet à n'importe quel apprenti pirate de lancer une campagne sans compétences techniques particulières. Le kit fournit les emails piégés rédigés par une IA, des modèles de campagne tout prêts, et même un tableau de bord pour suivre ses victimes en temps réel, la totale donc.

Cette méthode porte un nom, le device code phishing, et elle est redoutable de simplicité. La victime reçoit un email qui imite un service de partage de documents, avec un petit code et une consigne : aller sur une page Microsoft pour rentrer le code. Sauf que cette page-là est la vraie page de Microsoft, du coup zéro méfiance.

Rien à signaler du côté de l'antivirus, rien de suspect dans l'adresse du site. La personne entre le code en toute confiance. Et là, sans s'en rendre compte, elle vient d'autoriser l'appareil du pirate à se connecter à son compte.

À partir de là, l'attaquant récupère un jeton d'accès, ce que le jargon appelle un token OAuth. C'est un laissez-passer numérique : une fois qu'on l'a, plus besoin du mot de passe ni d'un nouveau code pour entrer.

Avec ce jeton, le pirate conserve un accès continu à la boîte mail Outlook, à la messagerie Teams et au stockage OneDrive de sa victime. Et comme il n'a jamais touché au mot de passe, le réinitialiser en urgence ne bloque même pas l'intrus.

Le procédé n'a rien de marginal. Sur des campagnes de ce genre, des chercheurs en sécurité ont compté des centaines de comptes piégés chaque jour, avec une nette préférence pour les profils liés à la paie et à la comptabilité, là où l'argent circule le plus.

Le FBI conseille aux entreprises de carrément désactiver ce mode de connexion par code dans les réglages d'administration de Microsoft. Encore faut-il que les services informatiques prennent le temps de s'en occuper.

Source : The Register

Arnaque téléphonique - Micode infiltre le réseau d'escrocs

Korben ✨ — Fri, 22 May 2026 15:19:44 +0200

Micode vient de lâcher une enquête de presque 50 minutes que vous devriez vraiment regarder, et je la relaie parce qu'elle est d'intérêt public.

Avec son équipe, il a infiltré pendant des mois le réseau derrière ces appels qui vous harcèlent plusieurs fois par jour, ces numéros en 0162 que l'Arcep réserve au démarchage et que les escrocs détournent allègrement. Genre les faux remboursements de 170 € soi-disant liés à l'inflation ou aux chèques énergie.

Et spoiler, ce n'est pas une petite arnaque artisanale mais une véritable industrie de l'escroquerie !

Et le piège est bien rodé. On vous promet un remboursement, on vous balade durant 30 minutes au téléphone, et on vous fait "cliquer 3 fois pour confirmer" sur un PDF. Sauf que ce que vous signez, c'est un mandat de prélèvement bien planqué et hop, vous voilà engagé à 18 € par mois durant un an pour une assistance plomberie dont vous n'avez rien à foutre.

Car donner votre IBAN ne suffit pas à vous prélever. Ce qui les autorise vraiment, c'est le mandat, donc encore une fois, on ne signe rien au téléphone. Jamais !

Et là où ça défonce, c'est la mécanique décrite par l'enquête de Micode. Des sociétés-écrans jetables (la fameuse "compagnie des assurances"), des centres d'appel au Maroc, et tout en haut une famille française, les frères Sitbon, qui auraient empoché des dizaines de millions d'euros en dix ans. Le système marche comme l'explique Micode, comme des fusibles. Une boîte crame sur internet, hop, on en remonte une neuve. L'enquête montre même des enregistrements audio recoupés au montage pour transformer une grand-mère qui refuse 10 fois en cliente parfaitement consentante. Perso, ça me débecte !

Et les intéressés contestent, parlent de "brebis galeuses" et de centres d'appel indépendants. Ils agitent aussi la menace judiciaire, genre "en cas d'insinuation diffamatoire, Anavi ne manquera pas d'agir en justice". Bref, l'arme classique des procédures-bâillon pour faire taire. Et comme la DGCCRF croule sous 300 000 signalements par an, votre prélèvement de 20 €, lui, il passe loin derrière.

Du coup, la seule vraie protection, c'est vous les amis ! Si y'a de l'argent gratuit au téléphone, vous raccrochez. Si on vous fout la pression, vous raccrochez. Puis vous pouvez aussi bloquer les démarcheurs avec une app comme Saracroche , et n'oubliez pas de surveiller vos prélèvements.

Et au moindre doute vous signalez sur SignalConso . De toute façon, vos coordonnées circulent déjà un peu partout, donc faut que vous soyez prêt à gérer ce genre de conneries. Pour ma part, je ne décroche plus mon téléphone, comme ça je suis tranquille ^^

Bref, regardez cette vidéo si c'est pas encore fait, et parlez-en autour de vous, surtout aux plus âgés. Ça évitera peut-être à quelqu'un de signer un truc qu'il n'a jamais voulu.

L'enquête de Micode (YouTube)

Amazon lâche les vieux Kindle - Comment reprendre la main ?

Korben ✨ — Fri, 22 May 2026 15:10:52 +0200

Depuis quelques jours, les Kindle sortis en 2012 ou avant ont perdu l'accès à la boutique Amazon : plus d'achat, plus d'emprunt, plus de téléchargement, vous gardez bien sûr les bouquins déjà chargés sur l'appareil, mais c'est tout.

Alors est ce qu'on chiale comme des petits fragiles victimes d'Amazon ??

Bah non parce que la communauté KindleModding documente depuis des années comment reprendre la main sur ces liseuses, et leur wiki tombe à pic !

Le principe, c'est de jailbreaker le Kindle pour y installer ce qu'Amazon ne veut pas voir en particulier ces 2 outils qui changent tout : KOReader d'abord, un lecteur libre qui avale l'EPUB, le PDF, le CBZ et à peu près tout le reste, et Mesquito, qui remplace carrément la boutique Kindle par un store communautaire. Et voilà comment votre vieille liseuse peut enfin lire les formats ouverts et charger des livres sans passer par la caisse d'Amazon.

Et côté compatibilité, c'est large ! WinterBreak par exemple couvre tous les Kindle en firmware 5.18.0 ou antérieur, soit l'écrasante majorité des modèles d'avant 2024. Les firmwares plus récents, de 5.18.1 à 5.18.5, passent eux par AdBreak. En gros, presque tous y passent, sauf le Kindle Scribe, encore trop verrouillé pour l'instant.

Et vous allez voir, KOReader, c'est le jour et la nuit face au lecteur d'origine. Typographie réglable au poil comme sur Korben.info ^^, dictionnaires perso, annotations de pro, et surtout zéro format imposé. Votre Kindle redevient grâce à ce hack, une vraie liseuse.

Et avec Mesquito, vous installez des apps tierces, vous virez enfin l'écran de pub des modèles Special Offers, vous sideloadez vos livres en USB, et vous coupez les mises à jour automatiques pour qu'Amazon n'aille pas tout re-verrouiller dans votre dos.

Après, même si le risque reste faible quand on suit le wiki à la lettre (il y a une section entière pour récupérer un Kindle dans les choux), faut quand même faire gaffe car un flash de firmware alternatif, c'est jamais anodin. Et bien sûr la garantie saute, mais franchement, sur une liseuse de 2012 elle est morte et enterrée depuis un bail, alors pourquoi se priver !

Dernier truc, un Kindle jailbreaké restera coincé avec le DRM des livres Amazon que vous avez déjà, et KOReader ne fera pas de miracle là-dessus. Donc vous devrez peut-être faire sauter les verrous de vos livres avant.

Et un petit conseil au passage, sur un vieux Kindle encore enregistré, évitez de le réinitialiser ou de le désenregistrer car après vous ne pourrez plus jamais le réenregistrer. Donc on bidouille tranquillou mais on ne fait pas de reset à l'aveugle en mode gros bourrin ^^.

Après le vrai sujet, je trouve, c'est que ce Kindle de 2012, il marche encore parfaitement. L'écran e-ink tient, la batterie tient, rien n'est cassé... Mais non, y'a Amazon qui décide de casser les couilles à distance en bloquant l'achat de livre dessus. En vrai c'était une location de liseuse alors ? On nous aurait menti ?

Amazon avait déjà retiré en février 2025 l'option de télécharger ses livres en USB, et même quand ils ont fini par autoriser l'EPUB sans DRM , c'était réservé aux auteurs indépendants. Bref, leur mouv de fond est limpide, c'est direction tout vers le verrou !

Alors plutôt que de racheter une liseuse neuve, autant réveiller celle qui dort dans un tiroir ou qui arrive en fin de vie à cause d'Amazon. Rendez-vous donc sur le wiki KindleModding qui explique la marche à suivre modèle par modèle, avec un Discord pour l'entraide.

Merci François pour le lien !

Fabriquer un circuit imprimé sans aucun logiciel, juste avec un marqueur

Vincent Lautier — Fri, 22 May 2026 13:18:27 +0200

Un bricoleur connu sous le pseudo ALTco a fabriqué un circuit imprimé sans toucher au moindre logiciel. Pas de conception sur ordinateur, pas de commande envoyée à une usine. Juste un marqueur, une plaque de cuivre et un bain chimique. Rien d'autre.

La méthode date d'avant l'informatique, et elle fonctionne toujours aussi bien.

Le circuit imprimé, c'est cette plaque qu'on trouve dans absolument tous les appareils électroniques : sur sa surface courent de fines pistes de cuivre qui relient les composants entre eux.

Aujourd'hui, on les dessine sur un logiciel spécialisé, le logiciel EDA (conception électronique assistée par ordinateur), avant de transmettre le fichier à un fabricant qui se charge du reste. ALTco a tout simplement zappé cette étape.

Sa méthode tient en quelques gestes. Il part d'une plaque de cuivre brut, qu'il nettoie soigneusement pour que l'encre accroche bien. Puis il dessine directement les pistes du circuit à la main, au marqueur permanent.

La plaque part ensuite tremper plusieurs minutes dans un bain de perchlorure de fer, un produit chimique qui ronge le cuivre. Le marqueur, lui, protège le cuivre qu'il recouvre, et tout le reste finit dissous. Il ne reste plus qu'à rincer à l'eau puis à l'alcool pour effacer le marqueur, et le circuit apparaît.

Avant d'arriver à ce résultat propre, ALTco a pas mal tâtonné. Il a testé différents marqueurs et peintures censés résister à la gravure, et même des produits gravants faits maison, avant de revenir au perchlorure de fer, le grand classique du genre.

Le circuit qui sort de tout ça n'est pas un gadget de démonstration : c'est un petit contrôleur de ventilateur, qui pilotera un absorbeur de fumée pour ses séances de soudure.

On peut se demander pourquoi s'embêter avec ça, alors qu'une plaque propre coûte quelques euros chez un fabricant.

Pour une petite carte unique, faite chez soi en une après-midi, ça évite d'attendre une livraison et de passer par une commande minimum par exemple. Et puis il y a le plaisir de fabriquer soi-même, du début à la fin.

Le plus étonnant arrive à la fin. Un tracé fait main peut être électriquement meilleur qu'un tracé parfait. Les pistes dessinées au marqueur forment des courbes douces, là où un logiciel génère souvent des angles bien nets. Or ces angles renvoient une partie du signal électrique vers l'arrière, un peu comme un écho qui rebondit.

Les courbes, elles, laissent le signal filer sans accroc. Sur des circuits rapides, ça change vraiment quelque chose.

Bref, une méthode lente, salissante et imprécise. Mais voir un circuit naître d'un marqueur et d'un bac de liquide, c'est quand même autre chose qu'un produit expédié en usine.

Source : Huckster.io

Casio F-91W - Comment régler et utiliser la montre culte ?

Korben ✨ — Fri, 22 May 2026 13:05:59 +0200

Cet article contient des liens affiliés

Bon, vous le savez, j'utilise mon site aussi comme un pense-bête. Et comme je viens de me racheter une nouvelle montre, j'en profite pour me faire mon petit mode d'emploi, rien qu'à moi. Donc je suis au regret de vous annoncer que cet article ne vous intéressera pas du tout ^^, sauf si vous avez la même montre évidemment...

Cette Casio F-91W coûte une vingtaine d'euros, elle est quasi increvable, et si j'ai choisi ce modèle, c'est parce que je voulais une montre pas chère et solide, rien d'autre. J'en ai rien à faire de compter mes pas ou de recevoir des notifs au poignet. Je sais qu'il y a des gens qui mettent carrément du Linux sur leur montre , grand bien leur fasse, mais perso, plutôt qu'une smartwatch à 300 balles qu'il faut recharger tous les jours, je préfère claquer mes sous dans ce machin et profiter de ses 7 ans d'autonomie (oui oui ^^).

Mais avant, petit rappel pour ceux qui débarquent. La F-91W, c'est Casio qui la sort en 1989, elle est dessinée par Ryūsuke Moriai , et depuis le modèle n'a quasiment pas bougé. C'est l'une des montres les plus vendues de la planète, dans les 100 millions d'exemplaires écoulés au fil des années. J'aime beaucoup son look digital rétro des années 90, elle ne pèse que 21 grammes (le poids de votre âme ^^), et comme je vous le disais, sa pile lithium CR2016 tiendra environ 7 ans soit le temps qu'une smartwatch rende l'âme 2 ou 3 fois. Et niveau précision annoncée, on est à ±30 secondes par mois.

Maintenant côté flotte, elle encaisse les éclaboussures et la pluie, mais c'est tout. Pas de douche avec, pas de piscine non plus donc attention !

Et niveau features de fou, elle fait juste l'heure, l'alarme et le chrono. Oui, je sais, vos influenceurs préférés déballent des Rolex à 15 000 € défiscalisées pour leurs stories insta et moi, je débarque avec ma Casio en plastique 1000 fois moins cher histoire de vous coller la honte !

Mais y'a un truc marrant que j'ai découvert en écrivant cet article c'est que Barack Obama portait déjà une F-91W bien avant d'entrer à la Maison-Blanche. Notez que Trump, lui, n'en aurait aucun usage, car il paraît qu'il ne sait même pas lire l'heure.

Mais alors maintenant le vrai morceau, LE truc pour lequel j'écris cet article incroyable c'est : Comment est-ce qu'on règle ce machin ?? Comme la F-91W tourne sur le module Casio 593 (le numéro est gravé au dos), et toute la logique de "programmation" passe par 3 boutons... Une fois que vous et moi auront pigé comment utiliser ces 3 boutons, on saura tout faire (comme avec la barre de fer) et on pourra se concentrer sur comment utiliser ces foutus 3 coquillages.

Les 3 boutons et les 4 modes

Y'a donc 3 boutons sur la F-91W. En haut à gauche, le bouton (L), c'est l'éclairage. En bas à gauche, le bouton (C), c'est celui qui change de mode. Et à droite, le bouton (A), c'est celui qui ajuste les valeurs.

Je peux pas faire plus clair...

Et la montre a 4 affichages, et on passe de l'un à l'autre en appuyant sur (C) : l'heure normale, l'alarme quotidienne, le chrono, et le réglage heure/calendrier. Un appui sur (C) et on avance d'un cran, et au bout on revient à l'heure normale. Gardez ça en tête, parce que tout le reste en découle.

Régler l'heure et la date

Depuis l'affichage normal, appuyez 3 fois sur (C). Les secondes se mettent à clignoter, vous êtes en mode réglage.

À partir de là c'est toujours la même mécanique : (A) change la valeur qui clignote, et (L) passe au champ suivant. Ensuite, l'ordre est imposé par la montre, à savoir : secondes, heures, minutes, mois, date, puis jour de la semaine.

(A) remet les secondes à zéro, ce qui est pratique pour se caler pile sur un top horaire comme dans Parker Lewis. Ensuite, (L) pour passer aux heures, (A) pour les avancer, encore (L) pour les minutes, (A) pour les avancer...etc. Et hop, pareil pour le mois, la date et le jour. Et si une valeurs est déjà bonne, vous la sautez en appuyant juste sur (L).

Et quand tout est réglé, un appui sur (C) et c'est validé.

Petit gain de temps aussi, si vous maintenez (A) plus de 2 secondes, les chiffres défilent en accéléré. Pas besoin donc de marteler le bouton 12 fois pour passer de janvier à décembre.

Passer en 24h (ou en 12h)

Celle-là, pas besoin d'entrer dans les réglages. Depuis l'affichage normal de l'heure, chaque appui sur (A) bascule entre le format 24h et le format 12h (avec le petit AM/PM), et vous voyez le changement direct à l'écran. Voilà, c'est tout.

Jack Bauer n'a qu'à bien se tenir !

Régler l'alarme

Hop, un appui sur (C) depuis l'heure normale vous met sur l'alarme quotidienne (l'écran affiche AL). Le principe est le même que pour l'heure : (L) pour passer des heures aux minutes, (A) pour faire avancer les chiffres. Un dernier (L) pour terminer.

L'alarme sonne ensuite durant 20 secondes pile à l'heure prévue, tous les jours. Pour la couper quand elle braille, suffit d'appuyer sur n'importe quel bouton. Et si vous voulez juste vérifier qu'elle marche bien, maintenez (A) enfoncé en mode alarme, ça déclenche le bip de test.

Le carillon horaire (un bip toutes les heures)

Ça c'est le fameux bip qui sonne à chaque heure pile même la nuit ^^. Sur la F-91W il est séparé de l'alarme, mais les deux se règlent au même endroit. En mode alarme, chaque appui sur (A) fait tourner 4 combinaisons : alarme + carillon, rien du tout, alarme seule, carillon seul.

Du coup vous appuyez sur (A) jusqu'à tomber sur le réglage qui vous arrange. Les petits indicateurs en haut de l'écran (une cloche pour le carillon, une icône d'onde pour l'alarme) vous disent ce qui est actif. Perso, le carillon je le coupe, ça rend dingue !

Le chronomètre

Pour le chrono, c'est 2 appuis sur (C) depuis l'heure normale et vous voilà sur le chrono (l'écran affiche ST, à zéro). Il monte jusqu'à 59 minutes 59,99 secondes, au centième de seconde.

Bon, moi je m'en sers pas, à part peut-être pour la cuisson des oeufs à la coque mais pour un chronométrage simple : (A) démarre, (A) arrête, (A) repart, et (L) remet à zéro une fois arrêté.

Pour un temps intermédiaire (un "split"), pendant que ça tourne vous appuyez sur (L), l'affichage se fige sur le temps de passage alors que le chrono continue de tourner derrière. Un nouvel appui sur (L) et il rattrape le temps réel. Ensuite c'est (A) pour arrêter, (L) pour remettre à zéro.

C'est simple la vie, non ?

L'éclairage

Le bouton (L) en haut à gauche allume la petite loupiote, dans n'importe quel mode, mais autant vous le dire tout de suite, c'est faiblard de fou, genre luciole en soins palliatifs. Dans le noir complet vous devinerez l'heure plus que vous ne la lisez mais bon ça dépanne. Bah ouais c'est une montre pas chère !

L'éclairage le plus nul de l'histoire des éclairages

Le piège du 29 février

Le seul vrai truc à retenir avec cette montre, c'est que son calendrier est réglé en usine sur 28 jours pour février, point. Hé oui, la montre ne gère pas les années bissextiles toute seule. Donc attention, tous les 4 ans (2028, 2032...), le 1er mars la date sera décalée d'un jour, et faudra repasser dans les réglages la corriger à la main, sinon vous risquez de louper des rendez-vous. C'est pas méchant, mais vous savez pourquoi.

Et si jamais vous appuyez n'importe comment et que l'écran affiche un truc bizarre, pas de panique, ses composants ne peuvent en aucun cas être endommagés du fait d'une mauvaise utilisation des boutons.

Voilà, si vous avez été jusqu'au bout de cet article, c'est peut-être parce qu'elle vous intéresse. Vous la trouverez donc sur Amazon pour pas cher mais attention, y'a plein de version,

Pour bien comprendre ce que vous achetez, voici comment lire une référence Casio :

Notez qu'il y a pas mal de contrefaçons, donc je vous conseille de l'acheter sur la boutique Amazon de Casio. La vraie, la seule, l'originale old school, vendue en Europe c'est celle-là et puis c'est tout.

Et si vous avez déjà une F-91W, un moyen rapide de savoir si c'est une vraie ou une fausse, c'est de regarder tout ça :

Le test "CASIO" : vous maintenez 3 ou 4 sec le bouton en bas à droite et sur une vraie, le mot CASIO s'affichera en gros sur l'écran. Sur la plupart des fausses, y'aura soit rien, soit tous les segments s'allumeront (le fameux 88:88 88). Attention quand même les "super fakes" récents ont commencé à imiter ce truc, donc c'est plus suffisant.
Le fond du boîtier : sur une vraie, les inscriptions (593, CASIO, F-91W, STAINLESS STEEL BACK, WATER RESISTANT) sont gravées nettes et précises. Sur une fausse, c'est tamponné, mal aligné, parfois avec des fautes de typo ou la mauvaise police.
La boucle du bracelet : CASIO gravé sur la boucle d'une vraie. Sur une fausse, boucle nue ou marquage approximatif.
Le bracelet : un petit numéro (genre 472, 304,233) est moulé dans la résine.
L'écran de biais : la vraie reste lisible sous un angle prononcé. Les fausses utilisent un LCD bas de gamme avec un angle de vue catastrophique.
L'ancienne astuce du "u" : il y avait aussi un petit u imprimé sur le boîtier des vraies et sur les fausses, le u était souvent énorme. Mais Casio a depuis arrêté de le mettre, donc son absence n'est plus un vrai signe... Toutefois, un gros u, ça reste un drapeau rouge !

Bref, voilà ma F-91W bien décortiquée ! Comme ça, je saurais la régler sans la notice la prochaine fois... j'imagine que ce sera le 29 février 2028...

Il a recréé la veste à écran de Cyberpunk 2077

Vincent Lautier — Fri, 22 May 2026 13:02:46 +0200

Dans le jeu Cyberpunk 2077, un des vêtements qui marquent l'environnement visuel, c'est cette veste avec un petit écran intégré dans le col, qui diffuse des images en boucle.

Un objet purement décoratif du jeu, le genre de détail qui pose l'ambiance futuriste sans qu'on puisse vraiment l'avoir. Sauf qu'un bidouilleur connu sous le pseudo Zibartas a décidé qu'il en voulait une, pour de vrai. Il l'a fabriquée. Et le résultat colle de très près au modèle vu dans le jeu.

Il y a d'abord quatre écrans OLED flexibles, c'est-à-dire des dalles capables de se courber légèrement, contrairement à un écran de smartphone classique qui est rigide. Chacune a un format allongé, façon téléphone, et coûte autour de 300 dollars pièce.

Faites le calcul : rien que pour les écrans, la facture grimpe à 1200 dollars. Autant dire que ce n'est pas le genre de bricolage qu'on lance un dimanche après-midi sans réfléchir.

Pour faire tourner tout ça, Zibartas a glissé deux Raspberry Pi 4, ces mini-ordinateurs de la taille d'une carte bancaire qu'on retrouve dans une bonne partie des projets de bidouille électronique. Un Pi gère une paire d'écrans, le second s'occupe de l'autre paire.

Le problème, c'est de garder les quatre dalles synchronisées pour que la vidéo défile partout en même temps, sans décalage. La solution choisie est simple : les deux Raspberry Pi communiquent entre eux via leurs broches GPIO, ces petites pattes de connexion qui servent normalement à brancher des composants, histoire de se mettre d'accord sur le tempo. Le Pi 4, pourtant un modèle plus ancien, a été choisi volontairement car il permet une astuce technique précise pour diffuser une vidéo bien fluide sur deux écrans à la fois.

Pour les couture, la veste n'a pas été achetée puis modifiée : elle a été cousue entièrement de zéro pour ce projet. Le vrai défi, c'était de loger les écrans dans le grand col sans qu'ils se cassent au moindre mouvement. Zibartas a donc imprimé en 3D une structure rigide pour les caler et les protéger. Détail un peu rigolo : une fois installés, les écrans flexibles ne plient quasiment plus. Leur souplesse aura surtout servi pendant le montage, pour les manipuler sans les briser.

Le projet laisse quand même une question de côté : l'autonomie. Deux Raspberry Pi et quatre écrans OLED, ça consomme, et il faut donc trimballer une batterie quelque part sur soi. Tenir une soirée entière avec la veste allumée risque d'être un peu tendax. Pour une démo ou une convention cosplay, par contre, c'est carrément rigolo.

Source : Hackaday

Ce petit gadget DIY vous prédit l'avenir quand vous le secouez

Vincent Lautier — Fri, 22 May 2026 10:44:14 +0200

Le maker connu sous le pseudo gokux a fabriqué un objet aussi inutile que mignon : un fortune cookie électronique. Vous le secouez, et il affiche une prédiction sur son petit écran. Voilà, c'est tout. Et c'est très bien comme ça.

Sous le capot, c'est un condensé de composants accessibles. Le cerveau, c'est un Seeed Xiao ESP32-S3 Plus, un microcontrôleur minuscule, autrement dit une puce programmable qui fait tourner le tout.

L'affichage passe par un écran e-paper, le même type d'écran que sur une liseuse, qui ne consomme du courant que pour changer d'image. Pour détecter quand vous secouez l'objet, gokux a ajouté un accéléromètre MPU-6050, le capteur de mouvement qu'on trouve dans les manettes et les téléphones.

Et une petite batterie Li-Po alimente l'ensemble. Rien d'introuvable, tout se commande en ligne pour une poignée d'euros.

Le bon point, c'est que tout est embarqué. Le gadget stocke plus de 3 000 prédictions et fonctionne entièrement hors ligne, donc pas besoin de connexion, pas de serveur, pas d'appli.

Votre oracle de poche marche même au fond d'une cave. L'écran e-paper apporte un vrai plus ici : une fois la prédiction affichée, elle reste lisible même batterie vide, comme une vraie page de papier. Et gokux n'a pas oublié de glisser deux modes bonus, accessibles via les boutons sur le côté : un lanceur de dés et un tirage à pile ou face. De quoi régler vos petits dilemmes du quotidien sans même sortir le téléphone.

Le projet est entièrement documenté sur Instructables , vous y trouvez la liste des pièces, le câblage, les fichiers à imprimer en 3D, le code et même les instructions pour ajouter vos propres prédictions. Comptez quelques dizaines d'euros de composants et une soirée de montage, pas plus. C'est le projet idéal à offrir, ou à bricoler avec un ado curieux d'électronique.

Et comme le code est ouvert, rien ne vous empêche de remplacer les 3 000 messages d'origine par vos propres blagues, citations ou vannes pour vos collègues. C'est exactement le genre de projet parfait pour débuter, assez simple pour ne pas décourager, assez complet pour apprendre à manipuler un ESP32 et un écran e-paper en même temps.

Bref, ça ne sert objectivement à rien, et c'est précisément pour ça qu'on a envie d'en monter un.

Source : Hackaday

Boring Notch - L'encoche du MacBook devient enfin utile !

Korben ✨ — Fri, 22 May 2026 09:58:58 +0200

Depuis 2021, Apple colle une encoche en haut des écrans de MacBook et n'en fait à peu près rien. C'est juste une zone sombre pour cacher la caméra et qui mange la barre des menus.

Heureusement, l'équipe TheBoredTeam a décidé que ça suffisait et vient de sortir boring.notch , une app gratuite et open source qui transforme ce trou noir en un vrai centre de contrôle dynamique, dans l'esprit de la Dynamic Island de l'iPhone.

L'installation se fait avec Homebrew comme ceci :

brew install --cask TheBoredTeam/boring-notch/boring-notch

Et ensuite, suffit de poser le curseur sur l'encoche, elle se déploie, et vous tombez sur les contrôles de votre musique avec un visualiseur animé, une zone où glisser-déposer vos fichiers, un affichage pour le volume et luminosité entièrement refait, l'indicateur de batterie et même votre prochain rendez-vous Tinder dans votre agenda.

La zone pour les fichiers est la fonction que je trouve la plus pratique car vous balancez un fichier et il reste là, accessible, à tout moment. Vous pouvez alors le ré-attraper depuis n'importe quelle fenêtre, façon presse-papier physique. La fonctionnalité est inspirée du projet DropNotch et reprend même un comportement type AirDrop. C'est pratique par exemple pour trimballer un screenshot d'une app à l'autre sans le perdre dans tout le bazar que vous avez sur votre Bureau (mon Bureau ressemblant à un champ de bataille, je valide).

L'app joue donc dans la même cour que NotchNook, l'app d'encoche la plus connue sauf que NotchNook, ça coute 25 dollars de licence ou 3 dollars par mois en abonnement. Boring Notch, lui, est gratuit et sous licence libre.

Notez que l'équipe n'a pas encore de compte développeur Apple, du coup, au premier lancement, macOS va gueuler que l'app vient d'un développeur non identifié. Si vous passez par Homebrew, le souci est réglé automatiquement mais sinon, après avoir déposé l'app dans Applications, une seule commande dans le Terminal lèvera le blocage de Gatekeeper.

xattr -dr com.apple.quarantine /Applications/boringNotch.app

Vous pouvez aussi passer par Sentinel si vous n'êtes pas à l'aise avec le terminal.

Dans le genre petit utilitaire macOS qu'on installe et qu'on ne lâche plus, ça rejoint des trucs comme Lolgato pour dompter ses Elgato ou DeskPad et son écran virtuel. Et le projet ne compte pas s'arrêter là puisque la roadmap annonce l'intégration des rappels, une fonction miroir pour vérifier sa tête en visio, le contrôle gestuel personnalisable, des widgets d'écran verrouillé, la météo et carrément un système d'extensions. Bref, cette encoche qui rime avec moche pourrait devenir un hub central du Mac à l'avenir.

Et il est également très probable qu'Apple s'empare de l'idée pour da prochaine release majeure de macOS, qui sait ?

Les clés API Google encore en vie même après leur suppression

Korben ✨ — Fri, 22 May 2026 09:43:33 +0200

Vous supprimez une clé API Google qui a fuité , et l'interface vous confirme que c'est bien réglé, que la clé ne fonctionne plus. Alors vous commencez à vous détendre en vous disant que vous avez bien fait votre boulot.

BAH NAN !

Car vous ne le savez pas, mais cette clé va continuer de fonctionner encore durant 23 minutes. C'est en tout cas ce qu'ont mesuré les chercheurs d'Aikido Security en testant ce truc tout bête de révoquer une clé, puis de taper sur l'API en boucle pour voir quand ça s'arrêtait vraiment.

Et résultat des courses, une clé API classique survit en moyenne 16 minutes après sa suppression, et jusqu'à 23 minutes dans le pire des cas. Cela veut dire que pendant tout ce temps, un attaquant qui a récupéré votre clé peut continuer de l'utiliser peinard. Et vous n'avez aucun moyen de couper plus vite, ni même de savoir quand ça s'arrête pour de bon.

Ce sont les clés API de Schrödinger le bordel... Techniquement comme vous vous en doutez, c'est surtout une histoire de propagation car Google ne tue pas la clé d'un coup sur tous ses serveurs, mais l'info se diffuse petit à petit, et chaque serveur arrête de l'accepter à son rythme. Le souci, c'est que ce délai et largement suffisant par exemple pour vider un bucket pendant que vous pensez que le danger est écarté.

Le plus beau, c'est que Google sait parfaitement faire vite quand il veut puisque les clés de compte de service, elles, sont coupées en 5 secondes. et les clés Gemini récentes en 1 minute. Du coup, ces 16 minutes de moyenne sur les vieilles clés API n'ont rien d'une fatalité technique... c'est juste un choix ! Aikido a bien sûr remonté le problème, et Google a bizarrement classé le ticket en « won't fix », en expliquant que ce délai de propagation était une propriété connue du système, et pas une faille de sécurité.

Donc si vous gérez des clés Google en prod, partez du principe qu'une clé compromise reste exploitable une bonne demi-heure après sa révocation. Et surtout, mettez en place des plafonds de dépenses bien serrés sur votre projet parce que le vrai cauchemar, c'est moins l'accès que la facture qui débarque ensuite. On a déjà vu des devs se prendre des notes à cinq chiffres à cause d'une clé qui traîne, et des utilisateurs Google Cloud facturés par erreur .

Source : Aikido Security

Une console rétro "Lenovo" à 72 dollars, bourrée de ROMs Nintendo piratées

Vincent Lautier — Fri, 22 May 2026 09:25:33 +0200

Une console de jeu portable estampillée Lenovo est apparue sur AliExpress à environ 72 dollars, et elle a un détail embarrassant : elle est livrée avec des milliers de jeux Nintendo piratés préinstallés. Le genre de produit qu'on prendrait pour une contrefaçon. Sauf que non.

Interrogé sur cette G02, Lenovo a confirmé que la console est bien officielle. C'est ce qu'on appelle un produit en marque blanche : Lenovo n'a pas conçu l'appareil, mais a accordé une licence d'utilisation de son nom à un fabricant tiers, via un accord régional réservé au marché chinois.

La G02 ne fait pas partie du catalogue mondial de Lenovo, mais elle porte bel et bien son logo, en toute légalité côté marque. C'est un modèle courant : une marque connue loue son nom, un fabricant local s'occupe du reste.

Le problème, c'est ce qu'il y a dedans. La console démarre avec le branding Lenovo, puis donne accès à des milliers de ROMs, ces copies de jeux rétro, en grande majorité des titres Nintendo.

Et là, plus de zone grise : il est hautement improbable que ces jeux soient sous licence. Nintendo est sans doute l'éditeur le plus féroce de l'industrie quand il s'agit de défendre sa propriété intellectuelle, et la firme a déjà fait fermer des dizaines de projets d'émulation à coups d'avocats.

Pour l'acheteur, l'affaire est presque trop belle : une machine de rétrogaming à 72 dollars, le logo d'un géant de l'informatique, et une ludothèque entière offerte. Sauf que cette ludothèque, personne ne l'a payée aux ayants droit.

Et la console continue de se vendre tranquillement sur AliExpress, accessible aux acheteurs chinois comme au reste du monde.

Du coup, Lenovo se retrouve dans une position franchement inconfortable. Son nom, validé par un contrat officiel, s'affiche sur un appareil qui distribue du jeu piraté à l'échelle industrielle. C'est précisément le risque du modèle de la marque blanche : vous touchez une redevance pour prêter votre logo, mais vous ne contrôlez pas toujours ce que le partenaire met dans la boîte.

Quelque part en Asie, un service juridique doit déjà transpirer.

Source : Tom's Hardware

niri - Le compositor Wayland qui scrolle vos fenêtres à l'infini

Korben ✨ — Fri, 22 May 2026 09:07:38 +0200

niri , c'est un compositor Wayland écrit en Rust par Ivan Molodetskikh, et il a un drôle de kink qui est de ne jamais redimensionner vos fenêtres dans votre dos. Jamais !!

Ainsi, quand vous ouvrez une nouvelle appli, elle vient se coller à droite de la précédente sur une bande horizontale qui s'étend à l'infini. Pas de grille rigide, pas d'empilement façon Tetris, vous scrollez simplement vers la droite pour balader votre regard sur vos fenêtres, comme on fait défiler une pellicule photo.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un lien vers la vidéo.

Ce concept vient de PaperWM, une extension GNOME que pas mal de gens vénèrent sauf que Molodetskikh a préféré tout réécrire de zéro en Rust car PaperWM galérait fort à isoler les espaces de travail par écran. Grâce à ça, maintenant chaque écran a sa propre bande de fenêtres, totalement indépendante des autres.

Pour l'installer, y'a des paquets pour la plupart des distros (Fedora, Arch, NixOS), ou vous compilez avec cargo si vous aimez vivre dangereusement. Comptez 10 minutes de mise en place pour un truc fonctionnel et comme niri est juste un compositor, il vous faudra aussi une barre et un lanceur par-dessus, genre DankMaterialShell ou Noctalia.

Avec niri, Les espaces de travail s'empilent verticalement à la GNOME, y'a une vue d'ensemble qui dézoome pour voir tout votre bazar d'un coup, des fenêtres flottantes, le scaling fractionnaire au pixel près, et même les gestes sur le touchpad. Puis la config se recharge à chaud, donc vous bidouillez votre fichier comme vous voulez, sans avoir à relancer quoi que ce soit.

Et contrairement à pas mal de compositors Wayland qui font la gueule dès qu'ils croisent une carte NVIDIA, niri tourne nickel dessus. Il s'en sort même très bien sur un Eee PC 900 de 2008 (Je dois encore avoir le mien quelque part...).

Maintenant, ce genre de scroll infini ça ne plait pas à tout le monde car comme vos fenêtres partent hors écran à droite, vous ne savez pas toujours s'il vous reste 2 fenêtres ouvertes ou 50. On se perd un peu au début, juste le temps de prendre le réflexe d'ouvrir la vue d'ensemble mais après c'est du bonheur !

Côté compatibilité, les vieilles applis X11 passent via xwayland-satellite et si toute cette histoire de X11 contre Wayland vous parle, j'avais causé aussi y'a un moment de Wayback qui fait le pont dans l'autre sens. Et puis si c'est juste le tiling qui vous tente mais que vous êtes coincé sous Windows, jetez un œil à Seelen .

Bref, si vous en avez marre de réorganiser vos fenêtres à la main et que l'idée de scroller votre bureau vous botte, niri vaut le coup, en plus c'est gratuit et sous licence libre.

Merci à François pour le lien !

Web Serial débarque enfin dans Firefox !

Korben ✨ — Fri, 22 May 2026 08:43:09 +0200

On est vendredi, j'ai un mal de tête carabiné mais je me pose quand même devant l'ordi pour vous annoncer une bonne nouvelle ! Firefox 151 sur desktop vient enfin d'implémenter une fonctionnalité que Mozilla refusait catégoriquement de supporter depuis 6 ans : le support de l'API Web Serial.

Alors non, c'est pas un gros mot, hein, ça veut surtout dire qu'un site web ouvert avec Firefox peut maintenant lire et écrire directement sur du matériel que vous branchez en USB, genre un Arduino, un ESP32, une imprimante 3D, une clé crypto ou que sais-je encore, sans que vous ayez à installer le moindre logiciel ou pilote.

Le cas d'usage le plus parlant, c'est le flashage de microcontrôleurs. Avant, pour mettre un firmware sur un ESP32, il fallait installer esptool en Python, ou l'IDE Arduino, galérer avec les drivers série, choisir le bon port à la main. Maintenant des outils comme ESPHome ou Home Assistant font tout ça depuis un onglet, en quelques clics. Vous branchez la carte, le site demande l'autorisation d'accéder au port, et c'est réglé. Adafruit fait pareil pour installer CircuitPython sur ses cartes ESP32-S2.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/web-serial-firefox/web-serial-firefox-1.mp4">lien vers la vidéo</a>.

Et pour comprendre pourquoi c'est une vraie bonne nouvelle, il faut se rappeler d'où on vient. Chrome propose quand même Web Serial depuis 2021 mais Mozilla a toujours considéré qu'un accès série accordait trop de contrôle sur un appareil, sans la moindre authentification. Et ils n'ont pas tord... D'ailleurs Apple, de son côté, campe toujours sur cette position et qualifie carrément la spec de dangereuse, notamment à cause des risques de fingerprinting .

Mais ce qui a fait bouger Mozilla, c'est un revirement progressif en interne. En 2022, Bobby Holley, le CTO de Firefox, a rouvert le dossier, puis en 2024, il a posé ses conditions, à savoir un mécanisme de contrôle par add-on et un consentement clairement formulé. Et le résultat, on peut le voir dans l'implémentation finale, puisque l'autorisation marche par site et par port. C'est bien puisqu'un site ne voit absolument rien tant que vous ne lui donnez pas la main, et ne récupère aucune liste des appareils branchés, ni aucune info de fingerprinting exploitable au-delà du port que vous sélectionnez vous-même.

J'étais le premier à pester contre Mozilla pour cette absence de support. Parfois je les trouve trop prudent, au delà du raisonnable, ce qui les mets en décalage avec ce que proposent les autres et ce qui fait leur fait perdre bêtement des parts de marché.

Mais c'est vrai aussi que la prudence sur ce genre d'API qui touche directement au hardware, c'est ce qu'on attend tous d'un navigateur qui mise tout sur le respect de la vie privée de ses utilisateurs. D'ailleurs, pour les parano ou les admins système (oui c'est pareil ^^), sachez qu'en environnement Firefox Enterprise, Web Serial est désactivé par défaut.

Au-delà du flashage de cartes, les usages réels sont déjà très nombreux. Un ingénieur de Mozilla, Florian Quèze, s'en sert par exemple pour lire la consommation d'un compteur USB d'énergie standard (du genre AVHzY C3 ou Joy-IT TC66C) et balancer les données directement dans le Firefox Profiler. Les imprimantes 3D, les briques LEGO programmables, les Raspberry Pi Pico, tout ce petit monde cause série et devient ainsi pilotable depuis une page web.

D'ailleurs je vous parlais récemment de CANviz, qui analyse le bus CAN de votre bagnole directement dans le navigateur, hé bien c'est typiquement le genre de truc que Web Serial rend possible sans app native.

Après la spec Web Serial traîne toujours au Web Incubator Community Group, donc rien n'est gravé dans le marbre mais cela dit, Mozilla pousse pour une vraie standardisation via le WHATWG, ce qui n'était pas gagné vu d'où on est parti.

Voilà, allez, je vous laisse, j'ai un dafalgan qui m'attend ^^

Source

Vous avez reçu un colis que vous n'avez pas commandé ? Attention au brushing

Korben ✨ — Thu, 21 May 2026 18:48:44 +0200

-- Article en partenariat avec Surfshark --

C'est peut-être arrivé à une de vos connaissances récemment (ou même à vous). Un petit colis anonyme, sans expéditeur clair, avec dedans une coque de téléphone bas de gamme ou un ustensile de cuisine bidon. Elle a haussé les épaules, jeté l'objet, oublié l'incident. Ou elle avait besoin de l'objet en question et s'est dit "wow quelle chance, enfin une erreur de livraison en ma faveur pour une fois".

Sauf que ces livraisons fantômes cachent souvent une arnaque bien huilée comme une frite belge : le brushing. Et si vous êtes concerné, il y a des gestes simples pour limiter les dégâts. Je vous explique le bazar, les risques, et comment un outil comme Alternative ID, proposé par Surfshark, peut vous aider à reprendre la main.

Le brushing, c'est quoi ce piège à la con ?

Le brushing, c'est une fraude qui joue sur un détail simple. Pour laisser un avis vérifié sur une marketplace (Amazon & co), il faut avoir "acheté" le produit. Les vendeurs peu scrupuleux contournent cette règle en créant de faux comptes avec de vraies adresses, récupérées via des fuites de données, des datas brokers ou des listes achetées sur le dark web.

Ils expédient ensuite un objet sans valeur à cette adresse. Une fois la livraison confirmée par le transporteur, le faux compte laisse un avis cinq étoiles et un commentaire élogieux sur leur produit qui tue. Résultat : le produit remonte dans les classements, attire de vrais acheteurs et le vendeur empile les ventes légitimes sur une réputation fabriquée.

Vous, dans l'histoire, vous n'avez rien demandé. Mais votre nom et votre adresse viennent d'être validés comme "actifs" dans la base de données du fraudeur. C'est ce signal qui pose problème.

Pourquoi c'est plus grave qu'un simple spam

Recevoir un colis inattendu peut sembler anodin. Pourtant, plusieurs risques méritent toute votre attention. D'abord, la confirmation de vos coordonnées. Une adresse validée par brushing devient une cible prioritaire pour d'autres campagnes que ce soit du phishing ciblé, des tentatives de prise de contrôle de compte ou même une usurpation d'identité partielle. Et tout ça juste parce que vous avez validé la réception du colis, donc même avant d'avoir ouvert celui-ci. Et vous ne pouvez pas y faire grand-chose car même si vous n'êtes pas chez vous, le livreur peut éventuellement le déposer chez un voisin ou un gardien d'immeuble qui validera la réception sans savoir ce qu'il se passe !

Ensuite, le risque de confusion comptable. Certains fraudeurs utilisent vos informations pour ouvrir des comptes sur des plateformes de paiement ou de crédit. Si vous ne surveillez pas vos relevés, l'activité peut passer inaperçue pendant des mois.

Enfin, la fatigue psychologique. Multiplier les signalements, les démarches administratives, les changements de mot de passe ça use. Et c'est souvent ce sur quoi comptent les escrocs, que vous abandonniez par lassitude.

Alternative ID : une parade simple et efficace

C'est là qu'intervient Alternative ID , une fonctionnalité de Surfshark souvent sous-estimée et qui est maintenant intégrée dès le starter pack (l'abonnement le moins cher).

Le concept est direct puisqu'au lieu de donner vos vraies informations pour chaque inscription en ligne, vous générez un profil secondaire. Nom, prénom, email, même numéro de téléphone temporaire. Tout est factice, mais fonctionnel pour valider une création de compte.

Appliqué au brushing, l'intérêt est immédiat. Si vous utilisez une identité Alternative ID pour vous inscrire sur une marketplace ou un site e-commerce peu connu, ou pour profiter d'une offre promotionnelle douteuse, et que ces données sont piratées ou sont revendues, ce n'est pas votre véritable identité qui se retrouve entre de mauvaises mains.

L'astuce consiste à segmenter. Une identité principale pour les services critiques (banque, administration, email personnel) et des identités secondaires pour tout le reste. En cas de fuite (et là aussi Surfshark intervient avec son système Alert qui surveille le dark web pour vous), vous supprimez l'alias concerné sans impacter vos comptes essentiels.

Ce que fait Surfshark en dehors d'Alternative ID

Alternative ID ne fonctionne pas isolément. Plusieurs fonctionnalités de Surfshark renforcent la protection globale :

CleanWeb bloque les domaines connus pour héberger des scripts de tracking, des pubs malveillantes ou des pages de phishing. En réduisant les requêtes vers des serveurs tiers, il limite les opportunités de collecte de données à votre insu.
La politique no-logs, auditée par Deloitte, et les serveurs RAM-only sont conçus pour ne conserver aucune trace de votre activité. Surfshark se conforme aux décisions de justice qui s'imposent légalement, mais comme aucune donnée d'activité n'est stockée, il n'y a concrètement rien à transmettre. C'est une protection structurelle.
L'IP Rotator change régulièrement votre adresse IP de sortie pendant une session. Cela complique la corrélation de vos activités par les régies publicitaires ou les trackers comportementaux.
Le Kill Switch, en mode strict, coupe toute connexion internet si le tunnel VPN tombe. Cela prévient les fuites accidentelles d'IP qui pourraient exposer votre localisation réelle.

Enfin, l'abonnement couvre un nombre illimité d'appareils . Vous pouvez protéger votre ordinateur, votre téléphone, ceux de votre conjoint et de vos enfants, sans surcoût. La sécurité devient alors une pratique collective, pas individuelle.

Quelques gestes concrets pour limiter les risques

Au-delà des outils, l'hygiène numérique reste la première ligne de défense. Si vous recevez un colis non commandé, ne cliquez sur aucun lien inclus dans l'emballage, ne scannez pas de QR code suspect, et ne contactez pas le numéro de "service client" indiqué. Signalez l'incident à la plateforme concernée si l'expéditeur est identifiable, et conservez une trace pour d'éventuelles démarches ultérieures. Et bien entendu n'utilisez pas l'objet en lui-même, ce sont souvent des bouses complètes qui peuvent vous exploser dans les mains ou sont réalisées en matériaux bas de gamme qui empoisonneront vos intérieurs lol.

Surveillez régulièrement vos relevés bancaires et vos comptes en ligne. Une activité inexpliquée, même mineure, peut être un signal d'alerte. Évitez aussi de réutiliser les mêmes informations personnelles sur de multiples sites. Plus vos données circulent, plus la surface d'attaque s'élargit. Enfin, activez la double authentification partout où c'est possible. Même si un fraudeur obtient votre mot de passe, cette couche supplémentaire bloque souvent l'intrusion.

Mon ressenti sur l'ensemble

Je vous l'ai déjà dit mais ce qui me plaît dans l'approche de Surfshark, c'est la cohérence entre les différentes fonctionnalités et son côté proactif. Alternative ID n'est pas un gadget ajouté pour faire joli, il s'intègre dans une logique plus large de maîtrise des données personnelles. CleanWeb, no-logs, IP Rotator, Kill Switch, le mode camouflage : chaque brique répond à un vecteur d'attaque spécifique. Ensemble, elles forment un dispositif qui ne promet pas l'invisibilité totale, mais qui rend la tâche des fraudeurs nettement plus coûteuse.

Est-ce que cela suffit à éradiquer le brushing ? Non. Aucune solution technique ne remplace la vigilance humaine. Mais cela réduit significativement les risques, et surtout, cela redonne du contrôle à l'utilisateur. Le brushing n'est pas une arnaque spectaculaire. Pas de rançon, pas de menace directe, pas de compte vidé en quelques clics. C'est une fraude sournoise, qui progresse par accumulation de petits signaux. C'est précisément ce genre de menace qui justifie une approche défensive en profondeur. Pas de solution miracle, mais des couches de protection qui, combinées, découragent l'adversaire moyen.

Et si un jour vous recevez un colis mystère, vous saurez désormais que ce n'est pas un cadeau du ciel. Juste un signal à prendre au sérieux.

L'offre du moment

Pour ceux qui souhaitent franchir le pas, Surfshark propose actuellement un tarif de 2,4€ mensuel (TTC) sur 24 mois, avec trois mois gratuits et une période d'essai de 30 jours.

L'abonnement inclut la protection d'un nombre illimité d'appareils, ce qui facilite le déploiement sur l'ensemble de votre parc personnel ou professionnel. Yapuka !

Surfshark au meilleur prix !

Précision utile : ce lien contient un identifiant affilié. Vous ne payez rien de plus, mais une commission me permet de continuer à produire des articles indépendants, sans dépendre de la publicité programmatique ou des contenus sponsorisés opaques.

Android 17 travaille sur sa version de "Continuité" d'Apple

Vincent Lautier — Thu, 21 May 2026 18:30:34 +0200

Android 17 va donc lancer une fonction baptisée "Continue On", et l'idée est simple : reprendre une appli exactement là où vous l'avez laissée, mais sur un autre appareil.

Vous lisez un document sur votre téléphone, vous attrapez votre tablette, et hop, vous repartez au même endroit sans rien chercher. Les utilisateurs d'iPhone connaissent déjà ça sous le nom de Handoff (Continuité en français). Android s'y met enfin.

En pratique, c'est plutôt bien pensé. Quand vous vous approchez d'un autre appareil Android compatible, une petite suggestion apparaît dans la barre des tâches pour ouvrir la même appli, et un simple appui fait reprendre l'activité pile où vous en étiez. Le système marche dans les deux sens, sans appareil principal : n'importe quel appareil compatible peut aussi bien envoyer que recevoir. Pas de hiérarchie particulière, pas de réglage à bidouiller.

Google donne deux exemples. Un document Google Docs ouvert sur le téléphone se rouvre dans le même onglet sur la tablette. Un fil de discussion Gmail passe du téléphone vers la version web de Gmail sur la tablette.

Et il y a une bonne idée derrière : le repli vers le web. Si l'appareil qui reçoit n'a pas l'appli installée, c'est la version web qui s'ouvre à la place. Les développeurs doivent activer cette option, mais ça évite le mur du "appli non installée" qui casserait tout l'intérêt du truc.

Il y a quand même une grosse limite pour l'instant. "Continue On" ne marche qu'entre un mobile et une tablette. Pas de transfert vers un ordinateur, pas de passage vers une autre marque, pas même entre deux téléphones.

Google promet d'élargir les combinaisons d'appareils plus tard, sans donner de date. Et le tout arrive avec Android 17, encore en bêta, pour le moment réservé aux possesseurs de Pixel via la version de test QPR1 Beta 1.

La vraie inconnue, c'est l'adoption. La fonction sera là, la documentation pour les développeurs aussi, mais il faudra que les applis du quotidien jouent le jeu.

Une fonction de continuité, ça ne vaut rien si seulement trois applis la gèrent. Apple a mis des années à bien installer Handoff dans les habitudes, et Google part de plus loin avec un écosystème Android beaucoup plus éclaté.

Source : Ghacks

Le bac à sable de Claude Code avait deux failles, et c'est plus gênant qu'il n'y paraît

Vincent Lautier — Thu, 21 May 2026 18:17:35 +0200

Anthropic, l'entreprise derrière l'IA Claude, a corrigé en douce deux failles dans le bac à sable réseau de Claude Code, son assistant de programmation. Un bac à sable, dans le jargon, c'est un enclos de sécurité : il est censé empêcher l'outil de se connecter à des serveurs non autorisés, pour éviter qu'il envoie vos données n'importe où. Sauf que pendant cinq mois et demi, cet enclos avait une porte dérobée.

La plus récente faille est en fait une jolie bidouille. Claude Code vous laisse définir une liste blanche, par exemple "autorise uniquement les connexions vers *.google.com". Un attaquant envoyait alors une adresse du genre "serveur-pirate.com<a target="_blank" rel="noreferrer noopener" href="http://0.google.com/">0.google.com", avec un caractère invisible (un octet nul) glissé au milieu.

Le filtre de sécurité, lui, lit la fin de la chaîne, voit ".google.com" et valide. Mais le système d'exploitation s'arrête au caractère invisible et se connecte en réalité à serveur-pirate.com. Le filtre et le système ne lisent pas la même adresse. La faille est là.

Combinée à une injection de prompt (le fait de cacher des instructions piégées dans un texte que l'IA va lire), la faille permettait d'exfiltrer des choses sensibles : identifiants cloud, jetons d'accès GitHub, accès aux services internes.

En clair, un dépôt de code piégé pouvait pousser Claude Code à expédier vos secrets vers le serveur de l'attaquant. Le trou a traversé plus de 130 versions de l'outil avant d'être bouché fin mars. Tout utilisateur de Claude Code qui faisait confiance à son bac à sable réseau était donc exposé sans le savoir, du développeur isolé à l'équipe en entreprise.

C'est le chercheur Aonan Guan, de Wyze Labs, qui a remonté le problème. Et sa phrase résume tout : un bac à sable troué, c'est pire que pas de bac à sable du tout. Celui qui n'a aucune protection le sait et reste prudent. Celui qui se croit protégé baisse la garde.

Anthropic affirme avoir trouvé et corrigé la faille de son côté avant le signalement, mais le souci, c'est qu'il n'y a eu ni CVE (le numéro de référence public qui catalogue une faille), ni note dans le journal des versions. Moche moche.

Source : The Register

Quelqu'un a réussi à faire tourner de vraies fenêtres Linux à l'intérieur de Minecraft

Vincent Lautier — Thu, 21 May 2026 17:28:44 +0200

Un développeur connu sous le pseudo EVVIE a sorti Waylandcraft, un projet qui n'aurait jamais dû exister et c'est tant mieux.

Le principe : faire tourner de vrais logiciels Linux directement dans le monde de Minecraft, leurs fenêtres posées comme des objets au milieu du jeu. Votre navigateur, votre éditeur de texte, un terminal, tout ça affiché sur des blocs, en 3D, et utilisable pour de vrai.

Pour comprendre le délire, un mot sur Wayland. Sous Linux, c'est le système qui gère l'affichage des fenêtres à l'écran, le successeur moderne du vieux X11 qui datait des années 80. Au cœur de Wayland, il y a un compositeur : le programme qui assemble toutes les fenêtres ouvertes pour produire l'image finale que vous voyez sur votre moniteur. Waylandcraft, c'est exactement ça, un compositeur Wayland complet, sauf que la surface d'affichage n'est plus votre écran mais l'univers cubique de Minecraft.

En pratique, vous lancez n'importe quel programme et sa fenêtre apparaît dans la partie, posée où vous voulez, dans l'orientation que vous voulez. Et ce ne sont pas de simples images décoratives collées sur un mur : les fenêtres sont interactives, vous cliquez, vous tapez, vous utilisez le logiciel exactement comme sur un bureau classique. Un bureau Linux qui aurait juste pris la forme d'un monde plein de blocs.

Il faut quand même un peu de préparation : Linux, Minecraft et le chargeur de mods Fabric (l'outil qui permet d'ajouter des mods au jeu), plus quelques bricoles. Et le projet a ses limites. Tout ça ne marche que dans votre propre instance de jeu, impossible de diffuser ces fenêtres aux autres joueurs d'un serveur.

C'est donc une démo solo, à montrer en personne ou en vidéo. Le code est publié en open source sur GitHub, sous licence GPL, donc libre à qui veut d'aller fouiller ou contribuer.

Bref, est-ce que ça sert à quelque chose ? Absolument pas. Est-ce que c'est exactement le genre de bidouille gratuite et brillante qui rend l'informatique amusante ? Complètement.

Source : Hackaday

Ces badges LED de festival se synchronisent tout seuls

Vincent Lautier — Thu, 21 May 2026 17:18:02 +0200

Tony Goacher a résolu un petit casse-tête avec élégance. Son projet CrowdClock, ce sont des badges lumineux pour festival qui clignotent tous en rythme, parfaitement synchronisés. Sauf qu'il n'y a aucun badge maître, aucune appli, aucun appairage. Les badges se mettent d'accord tout seuls.

Le truc tient en une technique toute bête. Chaque badge fait tourner sa propre horloge interne et diffuse en continu sa valeur tout autour de lui, via ESP-NOW (un protocole sans fil léger, qui permet à de petits modules de discuter directement entre eux sans passer par le Wi-Fi). Quand un badge capte une valeur d'horloge plus élevée que la sienne, il adopte cette valeur, tout simplement.

Avec cette seule règle, ça fonctionne. Mettez deux groupes de badges désynchronisés dans la même pièce, et en quelques instants tout le monde s'aligne sur l'horloge la plus avancée, puisetdéroule les mêmes animations lumineuses en même temps. D'habitude, synchroniser une flotte d'appareils, ça demande un serveur, une désignation de maître et une négociation en bonne et due forme entre tout ce petit monde. Là, rien de tout ça. Cette absence de mémoire partagée est même ce qui rend le système très solide : un badge qui arrive, qui repart, qui tombe en panne de batterie, rien de tout ça ne flingue la synchro.

Niveau matériel, c'est très accessible : un microcontrôleur ESP32, un anneau de 16 LED RGB adressables (le genre de LED qu'on pilote une par une), une batterie et un support imprimé en 3D. Rien d'exotique, rien de cher. Le code est publié en open source sur GitHub, donc n'importe qui peut reproduire le projet et s'en inspirer. Le tout revient à quelques euros de composants pour chaque badge, de quoi en fabriquer toute une fournée pour un atelier ou un festival.

CrowdClock a été monté avec des jeunes au sein d'une association qui s'appelle Inclusive Bytes, pour un festival. L'idée derrière tout dépasse donc le simple gadget : la foule ne regarde plus le spectacle lumineux, elle le compose. Pour beaucoup de ces jeunes, c'était probablement le premier contact avec les systèmes distribués, et c'est difficile de trouver meilleure démo.

Source : Hackaday

Flipper One - Le Linux de poche qui terrifie ses propres créateurs

Korben ✨ — Thu, 21 May 2026 15:16:13 +0200

Flipper Devices, les gens derrière le fameux Flipper Zero , viennent de dévoiler leur prochain joujou, le Flipper One . Et leur annonce démarre par cette phrase de Pavel Zhovner, le co-fondateur : « on est franchement terrifiés, et on a besoin de vous ».

Apparemment, ce nouveau projet l'angoisse et faut être honnête, y'a de quoi. Car le Flipper One, ce n'est pas un Flipper Zero en plus gros. C'est carrément un mini-PC Linux ARM de poche, pensé comme un couteau suisse pour le réseau. Et là où le Zero causait uniquement aux protocoles de proximité (NFC, RFID, sub-GHz, infrarouge), le One joue dans la cour du dessus, en s'adressant également au monde IP, donc tout ce qui est Wi-Fi, Ethernet, 5G et même satellite. Ahaha, j'adore !

Et côté tripes, s'ils tiennent leurs promesses, ça va envoyer du lourd ! En effet, on va y retrouver un Rockchip RK3576 8 cœurs cadencé avec GPU Mali et un NPU pour faire tourner des modèles d'IA en local, 8 Go de RAM, deux ports Gigabit Ethernet indépendants, du Wi-Fi 6E qui gère le monitor mode, un modem 5G en module M.2, et une sortie HDMI 2.1 en 4K.

En gros, vous avez un routeur, un analyseur de signaux et un thin client réunis dans un truc qui tient dans la poche.

Puis y'a surtout ce truc de "double cerveau" avec à côté du gros CPU, un microcontrôleur RP2350 (celui du Raspberry Pi Pico 2) en plus qui pilote l'écran, les boutons et l'alimentation. Comme ça, même quand le Linux est éteint, l'appareil reste vivant et vous pouvez toujours gérer le boot et l'affichage sans réveiller le monstre.

Mais le vrai sujet de cette annonce, ce n'est pas la fiche technique. C'est l'ouverture du bestiau car le Flipper One vise un noyau Linux pur, celui de kernel.org, sans patch vendeur, ni blob binaire ou autres drivers proprio. C'est un truc de puriste qui va faire plaisir à tous les barbus !

Parce que oui, chez Flipper Devices, ils en ont marre des fabricants ARM qui balancent leurs « board support packages » crades que personne ne comprend, comme le fait Raspberry Pi au passage. Alors pour y arriver, ils bossent à fond avec Collabora afin de pousser le support du RK3576 directement dans le kernel officiel.

Et c'est là qu'arrive le « we need your help » car plutôt que de bidouiller dans leur coin, ils ouvrent d'un coup tout le processus de développement dès le premier jour. Leurs trackers de tâches, leurs débats d'architecture, leurs docs à moitié finies, bref tout le bazar que les boîtes planquent d'habitude, bah eux, ils le mettent à dispo ! Et c'est pour cela qu'ils cherchent des gens pour le support du kernel, pour tester le Wi-Fi en audit et injection, pour trancher le choix du bureau (KDE Plasma ou un gestionnaire en tiling plus léger ?), et même pour entraîner un petit modèle d'IA maison.

Et au-dessus de tout ça, ils préparent leur Flipper OS, une couche sur du Debian qui introduit une notion de « profils » qui n'est ni plus ni moins qu'un instantané complet du système avec ses paquets préconfigurés. Vous bootez dessus, vous le clonez, vous le cassez, et hop vous revenez à une copie propre sans tout reflasher.

Ils bossent aussi sur FlipCTL, un framework pour habiller les utilitaires Linux en menus sur petit écran, avec comme objectif de le rendre installable d'un simple apt install ailleurs que sur leur produit.

Après, j'espère que ça va bien se passer pour eux car malgré leur succès, Flipper Devices traîne un passif chargé. Le Flipper Zero s'est écoulé à plus d'un million d'exemplaires, mais il a été viré d'Amazon en 2023, étiqueté « appareil de skimming », puis carrément banni au Canada début 2024 sous prétexte qu'il servait à voler des voitures.

C'était d'ailleurs des accusations bidons vu que le bestiau dans sa forme de base est incapable de mener les attaques par relais qu'on utilise en général pour voler des voitures. Heureusement pour eux, la justice canadienne a fini par reculer, mais bon, leur réputation grand public est faite malheureusement.

L'autre point qui va vous calmer, c'est que vous ne pourrez pas encore l'acheter... Le moyen le plus rapide sera de lâcher 350 $ dans leur prochaine campagne Kickstarter prévue cette année. Et encore, le projet pourrait ne jamais sortir...

Voilà, du coup, si l'idée d'un Linux de poche sans compromis vous parle, le mieux pour aider, c'est peut-être d'aller mettre les mains dans le cambouis sur leur portail dev.

Perso, un cyberdeck ouvert jusqu'au noyau, moi ça me plait bien. Le Flipper Zero, ça m'a jamais convaincu mais ce Flipper One, déjà pour moi, il est beaucoup plus convaincant... On verra s'ils tiennent la distance maintenant. Et si vous voulez creuser le genre, jetez un œil à ce cyberdeck fait maison , au WiFi Pineapple côté audit sans fil, et à Intercept pour l'analyse radio.

À suivre de très près !

Switchboard - Le centre de contrôle pour vos sessions Claude Code

Korben ✨ — Thu, 21 May 2026 13:24:11 +0200

Claude Code, c'est génial pour coder mais alors pour s'organiser... c'est chiant de fouuuu.

J'ai genre 200 fichiers .jsonl qui trainent dans ~/.claude/projects, y'a aucun moyen prévu pour savoir ce qui tourne en ce moment, et autant vous dire que reprendre une conversation d'il y a 3 jours relève de l'acrobatie.

Alors j'ai d'abord essayé les grep sauvages dans le dossier, les ls -lt pour trier par date...etc et en fait ça marche, mais c'est pas ce qu'on appelle un vrai workflow. Du coup j'ai cherché un truc plus propre et heureusement pour moi, des outils commencent à émerger autour de l'écosystème (je vous avais déjà parlé d' Opcode ) et Switchboard est clairement celui qui sort le plus du lot, je trouve.

C'est une app desktop open source (sous licence MIT) qui centralise toutes vos sessions dans une seule fenêtre. Comme ça, vous avez un navigateur organisé par projet avec une recherche full-text qui fouille dans les fichiers .jsonl de conversations (pas juste les dates) et ensuite, y'a plus qu'à taper des trucs comme "bug auth" ou je ne sais quoi dans la barre de recherche et en 2 secondes vous retrouvez votre fichier de session de mardi.

Le truc qui différencie Switchboard des autres projets du genre (y'en a une poignée, genre t3.codes ou conductor.build), c'est surtout qu'il fait fonctionner un vrai terminal, avec votre vraie session qui tourne dedans. L'avantage c'est que comme ça, vos raccourcis clavier et le copier-coller fonctionnent comme d'habitude.

Et le monitoring en temps réel, c'est clairement le gros plus car avec Switchboard vous pouvez afficher une grille avec toutes vos sessions ouvertes sur votre machine, chacune dans sa petite case avec un indicateur de statut. Comme ça, si un agent est bloqué parce qu'il attend une validation de permission, vous le voyez direct dans la sidebar. Attention par contre, ça ne marche qu'avec les sessions locales, car y'a pas de support SSH pour l'instant.

Ah et il y a aussi un mode IDE intégré qui est plutôt chouette. Quand Claude propose une modification de fichier, au lieu d'ouvrir VS Code ou Cursor, le diff s'affiche dans un panneau latéral directement dans Switchboard. Comme ça, vous pouvez accepter, rejeter, ou même accepter seulement certains morceaux du diff.

Autre fonctionnalité sympa, le fork de sessions. Vous pouvez repartir de n'importe quel point d'une conversation passée, genre comme vous le feriez avec un checkpoint dans un jeu vidéo. Vous avez aussi un éditeur CodeMirror intégré pour vos fichiers CLAUDE.md et vos plans (c'est plus pratique qu'ouvrir un vim à côté), + un bon vieux heatmap d'activité qui montre votre rythme de coding par projet.

Côté technique, c'est du Electron (oui, je sais 300 Mo sur le disque, ça fait toujours chier) avec SQLite en cache local pour la recherche. Et c'est distribué en .dmg pour macOS (Apple Silicon et Intel), .exe pour Windows et .AppImage/.deb pour Linux.

Pour tester, y'a donc juste à télécharger la dernière release pour votre OS et lancer l'app.

Bref, si vous jonglez avec plusieurs sessions au quotidien, ça vaut le coup d'essayer. Et si vous cherchez à enrichir votre setup, la marketplace de skills peut aussi compléter le tout.

Merci à Aurélien pour le lien ! (Vous aurez noté la rime ^^ désolééé)

ssh-keysign-pwn - La faille kernel Linux cachée depuis 9 ans

Korben ✨ — Thu, 21 May 2026 12:21:40 +0200

Une faille planquée pendant 9 ans dans le noyau Linux, voilà ce que les chercheurs de Qualys viennent de déterrer. Son petit nom, c'est ssh-keysign-pwn ou DirtyDecrypt (CVE-2026-46333 pour les intimes), et elle permet à n'importe quel utilisateur local sans privilèges de passer root, de lire votre /etc/shadow et de piquer les clés SSH privées de votre serveur.

Et ce bug dormait là depuis novembre 2016, c'est-à-dire depuis la version 4.10 du kernel. Personne ne l'avait jamais vu et autant vous dire que 9 ans, en cybersécu, c'est une éternité !!

Le truc se cache dans une fonction au nom barbare, __ptrace_may_access(). En gros, quand un processus privilégié abandonne ses droits, y'a une micro-fenêtre, le temps d'un battement de cils, où il reste "accrochable" via ptrace. Vous combinez ça avec l'appel système pidfd_getfd() et hop, vous récupérez les fichiers ouverts d'un process root.

Et l'exploit disponible vise des binaires SUID que tout le monde a sur sa machine, genre ssh-keysign, chage, pkexec ou accounts-daemon.

Du coup, première chose à faire : vous mettez à jour, genre rapidos ! Linus Torvalds a poussé le correctif et si vous ne pouvez pas patcher tout de suite, faut taper la commande sysctl -w kernel.yama.ptrace_scope=2 qui a pour effet de refermer la porte en attendant.

Niveau distros, ça touche à peu près tout le monde, d'Ubuntu 14.04 jusqu'à la 26.04, en passant par Debian, Fedora et toute la famille Red Hat.

Et le plus gênant, c'est que ssh-keysign-pwn, c'est la 4e faille kernel en moins de trois semaines. On a eu CopyFail , Dirty Frag début mai, puis Fragnesia juste après, et maintenant celle-ci. Aïe aïe aïe ! Je commence à me lasser, sérieux ^^.

Le noyau Linux prend cher en ce moment et comme les exploits fonctionnels sont déjà publics, le compte à rebours est lancé pour tous ceux qui traînent !

Alors après tout le monde va vous parler des cybercriminels et des serveurs compromis, et c'est vrai, faut patcher. Mais pour moi, ce genre de faille, c'est aussi une clé qui sert aux bidouilleurs pour reprendre la main sur leur propre matériel. Votre routeur verrouillé, votre objet connecté que le fabricant a laissé tomber depuis quelques années, ce bon vieux NAS dont plus personne ne livre de firmware... une faille comme ça, c'est parfois le seul moyen de le faire revivre !

Bref, faites vos mises à jour. Et gardez en tête que ces mêmes failles qui font flipper les sysadmins, ce sont aussi celles qui redonnent vie au matos verrouillé qui n'avait pas d'autre avenir que de finir à la déchetterie.

Source