↩ Accueil

Vue normale

Reçu aujourd’hui — 16 janvier 2026 1.2 🖥️ Tech. Autres sites

MediaCoder 0.8.66

✇PC Astuces
16 janvier 2026 à 10:40
Logiciel gratuit, en français et portable permettant de convertir vos vidéos et musiques dans les formats que vous souhaitez...

safe-npm - Pour ne plus flipper à chaque 'npm install'

✇Korben
Par :Korben
16 janvier 2026 à 10:00

Après l'attaque massive de septembre 2025 qui a vérolé 18 packages ultra-populaires (coucou debug et chalk ) et la campagne Shai-Hulud 2.0 qui a siphonné les credentials cloud de 25 000 dépôts GitHub, on peut le dire, on est officiellement dans la sauce. Surtout si vous êtes du genre à faire un npm install comme on traverse l'autoroute les yeux bandés ! Il est donc temps de changer vos habitudes parce qu'entre les crypto-stealers qui vident vos portefeuilles en 2 heures et les malwares qui exfiltrent vos clés AWS, l'écosystème JavaScript ressemble de plus en plus à un champ de mines.

Le rayon d'action de la campagne Shai-Hulud 2.0 - une véritable moisson de secrets ( Source )

D'ailleurs, beaucoup se demandent comment savoir si un package npm est vraiment sûr. Et la réponse classique, c'est de lire le code de toutes les dépendances. Ahahaha... personne ne fait ça, soyons réalistes. Du coup, on se base sur la popularité, sauf que c'est justement ce qu'exploitent les attaques supply chain en ciblant les mainteneurs les plus influents pour injecter leurs saloperies.

C'est là qu'intervient safe-npm , une petite pépite qui va vous éviter bien des sueurs froides. Cela consiste à ne jamais installer une version de package publiée depuis moins de 90 jours. Pourquoi ? Parce que l'Histoire nous apprend que la plupart des compromissions massives sont détectées et signalées par la communauté dans les premiers jours ou semaines. Ainsi, en imposant ce délai de "quarantaine", vous laissez aux experts en sécurité le temps de faire le ménage avant que le malware n'arrive sur votre bécane.

Et hop, un souci en moins !

La supply chain npm, le nouveau terrain de jeu préféré des attaquants ( Source )

Concrètement, si vous voulez react@^18 et que la version 18.5.0 est sortie hier, safe-npm va poliment l'ignorer et installer la version précédente ayant passé le test des 90 jours.

Pour l'installer, c'est du classique :

npm install -g @dendronhq/safe-npm

Ensuite, vous l'utilisez à la place de votre commande habituelle. L'outil propose des options bien pratiques comme --min-age-days pour ajuster le délai, --ignore pour les packages que vous savez sains (ou critiques), et surtout un mode --strict parfait pour votre CI afin de bloquer tout build qui tenterait d'importer du code trop frais pour être honnête. Y'a même un --dry-run pour voir ce qui se passerait sans rien casser, c'est nickel.

Alors oui, ça veut dire que vous n'aurez pas la toute dernière feature à la mode dès la première seconde. Mais bon, entre avoir une nouvelle icône dans une lib de CSS et voir son compte AWS se faire siphonner par un groupe de hackers russes, le choix est vite fait, non ? Perso, je préfère largement ce filet de sécurité, surtout quand on voit que les attaquants utilisent maintenant Gemini ou Qwen pour réécrire leur code malveillant à la volée afin d'échapper aux antivirus.

Bien sûr, ça ne remplace pas un bon scanner de malware spécifique ou une lecture attentive des vulnérabilités, mais c'est une couche de protection supplémentaire qui coûte rien et qui peut sauver votre boîte. À coupler d'urgence avec les recommandations de la CISA comme la MFA résistante au phishing et la rotation régulière de vos credentials.

Bref, si vous voulez kiffer votre code sans avoir l'impression de jouer à la roulette russe à chaque dépendance ajoutée, safe-npm est clairement un indispensable à rajouter dans votre caisse à outils de dev paranoïaque.

Allez sur ce, codez bien et restez prudents (et gardez un œil sur vos backdoors générées par IA , on sait jamais ^^).

Readeck - Le gestionnaire de lecture "read-it-later" qui va vous faire oublier Pocket

✇Korben
Par :Korben
16 janvier 2026 à 09:56

Vous savez comment ça se passe, on traîne sur le web, on tombe sur un article passionnant de 4 000 mots sur Korben.info, mais on n'a absolument pas le temps de le lire là, tout de suite. Alors on ouvre un onglet. Puis deux. Puis cinquante. Et à la fin de la semaine, votre navigateur ressemble à une forêt vierge de Favicons et votre RAM pleure du sang.

Pourtant, il existe des solutions comme Wallabag (ou feu-Pocket), mais si vous êtes un peu maniaque du contrôle comme moi, vous cherchez peut-être un truc plus moderne, plus léger et surtout que vous pouvez également héberger vous-même sur votre propre serveur. C'est là que Readeck entre en scène.

C'est un outil de "read-it-later", c'est-à-dire une application qui vous permet de sauvegarder du contenu web pour le consulter plus tard, une fois que vous avez la tête reposée. L'idée de Readeck, c'est donc de garder l'histoire mais de virer tout le reste : les pubs, les popups de cookies qui vous sautent au visage et les mises en page qui font mal aux yeux. On se retrouve avec un texte pur, propre, et une interface qui ne vous agresse pas.

Ce que j'ai trouvé super cool, c'est que ça ne se contente pas des articles de blog. Vous pouvez y balancer des photos, des vidéos et même des liens YouTube. Et là, petit bonus qui tue, Readeck est capable de récupérer automatiquement la transcription des vidéos quand elle est dispo. Du coup, vous pouvez lire la vidéo au lieu de l'écouter, surligner les passages importants et faire des recherches dedans comme si c'était un bête article de presse.

Niveau fonctionnalités, c'est assez complet. On peut organiser ses lectures avec des labels, marquer des favoris, et surtout utiliser une extension de navigateur pour sauvegarder un lien en un clic. Et si vous êtes plutôt lecture sur liseuse avant de dormir, sachez que vous pouvez exporter vos articles ou des collections entières au format EPUB. Hop, vous envoyez ça sur votre Kindle ou votre Kobo et c'est parti pour une lecture sans distraction.

Pour l'installation, c'est vraiment le bonheur des geeks. Le truc est distribué sous la forme d'un seul fichier binaire (un exécutable, quoi), sans aucune dépendance. Pas besoin de se taper l'installation d'une base de données complexe ou d'un serveur web usine à gaz pour commencer à jouer. Ça tourne sous Linux, macOS et Windows, et si vous préférez Docker, y'a une image officielle qui fait le job parfaitement.

Le développeur explique que ça tourne sans souci sur un vieux Raspberry Pi 2 qui traîne au fond d'un tiroir. Il faut compter environ 512 Mo de RAM pour être large, car l'outil peut consommer un peu de ressources quand il traite des grosses images dans les articles.

Et si vous n'avez pas envie de gérer votre propre serveur, l'équipe prévoit de lancer un service hébergé courant 2026. Ça permettra de soutenir le projet financièrement tout en profitant de l'outil sans mettre les mains dans le cambouis. En attendant, c'est du logiciel libre, c'est propre, et ça fait un excellent complément à un gestionnaire de bookmarks comme Linkding .

Bref, si vous cherchez une alternative solide et auto-hébergée pour nettoyer vos onglets et enfin lire tout ce que vous avez mis de côté, jetez un œil à Readeck , ça vaut vraiment le détour !

Stirling-PDF 2.3.0

✇PC Astuces
16 janvier 2026 à 08:42
Outil permettant d'effectuer près d'une cinquantaine d'opérations sur les fichiers PDF : division, fusion, conversion, réorganisation, ajout d'images, rotation, compression...

CalendarTask 3.26.263.8409

✇PC Astuces
16 janvier 2026 à 08:41
Logiciel gratuit et en français permettant d'afficher en transparence sur votre Bureau d'ordinateur un véritable calendrier et de le synchroniser avec vos autres appareils...

Ces émissions télé des années 80/90 qui ont fait de nous des geeks

✇Korben
Par :Korben
16 janvier 2026 à 08:15

Si vous avez grandi dans les années 80 ou 90, vous avez forcément comme moi des souvenirs de ces émissions qui nous faisaient rêver devant nos bons gros écrans cathodiques .

Et s'il y a bien un truc que je n'ai pas oublié c'est qu'à une époque où le jeu vidéo et l'informatique étaient encore des trucs de "geeks" (le terme n'était pas encore très utilisé en France...), la télévision française nous a quand même offert quelques pépites qui ont marqué toute une génération. Et en y repensant c'était pas mal délirant, donc je vous propose de vous replonger là dedans avec moi.

Tout part en 1979 avec Temps X, l'émission culte des frères Bogdanoff . Igor et Grichka, sapés dans leurs combinaisons futuristes dessinées par Thierry Mugler, nous accueillaient dans leur vaisseau spatial pour parler science, science-fiction et technologies de demain.

Le truc de fou, c'est qu'ils avaient déjà évoqué dès 1980 un réseau mondial qu'ils avaient baptisé "Internex", bien avant que le grand public ne découvre Internet (et bien avant que certains nostalgiques ne ressuscitent le Minitel ). Ils recevaient même des artistes de BD comme Mœbius, Bilal ou Druillet, des gens qui n'avaient pas vraiment droit de cité à la télé française de l'époque. L'émission a duré jusqu'en 1987 sur TF1 et reste pour beaucoup d'entre nous la porte d'entrée vers tout un univers de possibles.

Ensuite, en 1983, TF1 lance deux émissions qui vont marquer les esprits. D'abord Super Défi, animée par un certain Christophe Dechavanne qui faisait ses premiers pas à la télé. L'émission mettait en scène des compétitions de jeux vidéo chaque jour à 19h40 durant l'été.

Mais TF1 ne s'est pas arrêtée là puisque dans la foulée, il y a eu aussi Microludic (1983-1984) dans laquelle on retrouve deux familles (les Oranges et les Citrons) qui s'affrontent sur des jeux, un héros masqué (Super-Défi) qui revient hanter le plateau, et au passage un petit goût de "tiens, si on apprenait deux trois trucs de micro-informatique" entre deux manches.

Et pendant que TF1 jouait avec nos neurones, Antenne 2 faisait pareil de son côté avec Micro Kid (1984-1985), présenté par Mouss avec des collégiens, des jeux sur micro-ordinateurs, et un côté "challenge + initiation" qui sent bon l'époque où un joystick, c'était déjà de la haute technologie. Franchement, quand on remet ça dans le contexte, c'est lunaire (mais beau).

Puis il y a eu Pixifoly , diffusée dans le programme Vitamine le mercredi après-midi. C'était la toute première émission française entièrement consacrée aux jeux vidéo, et aussi la première à utiliser massivement l'image de synthèse. Mélanie, Antoine et Dominique nous emmenaient sur leur planète des jeux vidéo, traversant littéralement l'écran pour entrer dans les jeux à la manière de Tron. Les gamins s'affrontaient sur les consoles de l'époque projetées sur un écran géant, vraiment TF1 avait mis le paquet pour l'époque.

Le milieu des années 80, c'est aussi l'arrivée des micro-ordinateurs dans les foyers. Les Amstrad CPC, Atari ST et Amiga débarquent, et la presse spécialisée commence à fleurir. Mais à la télé, il faudra attendre 1991 pour voir débarquer LA référence : Micro Kid's . Diffusée sur FR3 puis France 3 de septembre 1991 à juin 1997, l'émission était présentée par Jean-Michel Blottière, rédacteur en chef du magazine Tilt, puis en duo avec Delphine.

Deux équipes de jeunes s'affrontaient dans un quiz avant de se mesurer sur les jeux du moment. Le top des ventes était sponsorisé par Micromania, et les réponses au courrier des lecteurs faisaient partie du rituel. Au total, 246 émissions ont été diffusées et en 1995, face à la concurrence, les présentateurs sont ensuite remplacés par Dr Clic, un animateur virtuel en forme de joystick. Ouais, c'était les années 90 ^^.

Puis en 1992 arrive Hugo Délire , animée par Karen Cheryl sur France 3. Je ne manquais aucun épisode et le concept était dingue pour l'époque puisque les enfants pouvaient jouer en direct via les touches de leur téléphone. Ils pilotaient Hugo, une petite créature inspirée d'un troll scandinave, à travers des parcours sur rail pour éviter les obstacles et gagner des cadeaux.

Le format était adapté du danois "Skærmtrolden Hugo" et a été repris dans plus de 40 pays. L'émission recevait en moyenne 25 000 appels par jour, avec des pointes jusqu'à 40 000. C'était de l'interactivité télévisuelle avant l'heure, et ça marchait du tonnerre.

Sur France 2, de mars 1993 à août 1994, Télévisator 2 proposait aussi des tests, des astuces et des dessins animés comme Super Mario Bros. L'émission était animée par Cyril Drevet et plusieurs présentatrices (Céline Dubois, puis Charlotte Chaulet, puis Ness). J'adorais cette émission, et c'était la grande époque où je passais beaucoup de temps sur la Super NES. Diffusée le mercredi matin, elle a réussi à rivaliser avec le Club Dorothée de TF1 et parfois même à le dépasser en audience. Et après la fin de l'émission, Cyril Drevet a justement rejoint le Club Dorothée pour y tenir une rubrique jeux vidéo jusqu'en 1996.

Ensuite, niveau vulgarisation scientifique, E=M6 débarque le 10 février 1991 sur M6 avec Mac Lesggy aux commandes. L'émission existe toujours aujourd'hui avec le même animateur, ce qui en fait la plus ancienne émission scientifique toujours diffusée sur le PAF. En 1993, un numéro spécial consacré aux jeux vidéo a bien marqué les esprits et reste une capsule temporelle fascinante à revoir aujourd'hui :

Sur M6 toujours, Mega 6 est diffusée chaque mercredi entre 1994 et 1995, présentée par Guillaume Stanzick avec des tests et astuces au menu pour accompagner la guerre des consoles entre Megadrive et Super Nintendo qui faisait rage à l'époque et dont nous étions tous les guerriers.

Et pendant que les grandes chaînes se battaient à coups de "tests" et de "tips", Canal J avait aussi son petit laboratoire maison avec Des Souris et des ROM (1995-1999), présenté par Bertrand Amar. C'était plus du style "magazine", mais ça parlait consoles, PC, nouveautés, et ça a clairement participé à mettre une culture jeux vidéo à portée de télécommande pour toute une génération de gosses.

Et puis en 1995, Canal+ lance Cyber Flash , un programme court présenté par Cléo, une présentatrice virtuelle au look entre Jessica Rabbit et une fourmi. Créée par Alain Guiot et développée par le producteur Alain Le Diberder, doublée par Luna Sentz, Cléo était animée en temps réel, une prouesse technique pour l'époque. Là on nageait en plein "cyber", j'étais à fond !

Son passage en direct dans Nulle Part Ailleurs depuis le forum Imagina était une première mondiale. Je m'en souviens encore !! Elle a présenté environ 500 numéros jusqu'en 1998, parlant jeux vidéo, multimédia et internet aux jeunes adultes qui commençaient à s'équiper de modems. Elle a même eu droit à sa propre émission dérivée, "C+ Cléo" .

Et puisqu'on parle de Canal+, impossible de ne pas citer Cyberculture (1995-1999), présenté et produit par Chine Lanzmann. J'adorais aussi cette émission. Là, on n'était plus sur la pastille TV avec des reportages, interviews, sujets sur les nouvelles technos, les jeux, le Web, et toute la "culture cyber" qui commençait à contaminer gentiment le quotidien. On était typiquement sur le programme qui nous donnait envie d'acheter un modem... et ensuite de pleurer quand on recevait la facture France Télécom.

Bonus dans le bonus, il y a même eu une soirée spéciale "La saison cyber" (1996) qui mélangeait Cléo (oui, la même) et Chine Lanzmann pour faire un grand tour d'horizon "jeux vidéo / réseau / virtualité / futur". Rien que ça.

D'ailleurs, c'est à ce moment-là que le mot "Internet" commence à résonner dans les foyers. Sur La Cinquième, Net Plus Ultra (1996-2001) présenté par Marie Montuir nous faisait découvrir ce nouveau monde, à une époque où le web grand public c'était surtout des pages qui mettaient 30 secondes à charger sur nos connexions 56k. Le streaming existait déjà via RealPlayer, mais bon, fallait être patient. Si cette époque vous manque, j'ai d'ailleurs fait un article sur Internet Artifacts , un vrai musée numérique des débuts du web.

Et là, fin des années 90, on commence à voir le Web débarquer partout, même en "pastille" juste avant le JT. Sur TF1 en 1999, il y a eu Clic & Net (présenté par Billy) pour "expliquer Internet" au grand public, avec le côté très "regardez, c'est fou, on peut cliquer sur des trucs". Alors oui, on pouvait, mais pas trop vite sinon ça faisait planter Netscape ^^.

Sur France 3, dans le même esprit "on défriche", il y a eu aussi 3x+Net (avec Oriane Garcia et Florian Gazan) qui faisait un petit panorama de tout ce qui se passait sur le Web. La période dotcom dans toute sa splendeur... c'était l'époque où un site qui mettait une vidéo de 15 secondes en timbre-poste était déjà considéré comme de la sorcellerie.

Et en 1998, la création de Game One , première chaîne française entièrement consacrée aux jeux vidéo, marque également un tournant. C'est là que naît Level One , l'émission de Marcus où il jouait au premier niveau d'un jeu avec sa tête incrustée dans l'image grâce à l'incrustation par luminance. C'est souvent considéré comme l'un des tout premiers Let's Play "grand public" (version télé), bien avant que le concept n'explose sur YouTube.

Marcus lui-même revendique cette paternité du format télévisé. L'émission a duré de 1998 à 2002 dans sa première incarnation, avant de revenir plusieurs fois.

Ces émissions et bien d'autres ont accompagné toute une génération et le futur qu'ils nous promettaient... hé bien on y est. Moi ça a vraiment renforcé ma passion de l'informatique. Ça m'a permis aussi de comprendre que ce que j'aimais commençait à devenir "grand public". D'un côté j'étais un peu saoulé de me faire déposséder comme ça de ma passion par des moldus mais en même très heureux de pouvoir me nourrir de toutes ces infos fraiches à une époque où on n'avait pas encore vraiment accès à Internet.

Et aujourd'hui, bizarrement, on regarde toujours des gens parler de jeux vidéo et d'informatique, sauf qu'aujourd'hui c'est souvent dans un coin de Twitch , sur YouTube, ou sur une chaîne de TV à 2h du mat pendant que votre voisin télécharge encore un patch day one (la boucle est bouclée).

Voilà, j'espère que ce petit retour en arrière vous aura rappelé quelques souvenirs. Notez que d'autres excellents dossiers ont été publiés sur le sujet, notamment sur jeuxvideo.com si vous voulez creuser encore un peu plus.

Sources : Archives INA Temps X , Chez Marcus , Micro Kid's Story (Omaké Books) , Super Défi , Microludic , Micro Kid , Micro Kid's , Pop culture et culture geek (Inathèque) , Guide Inathèque (PDF) , Game One , Level One

Pourquoi votre vieux serveur Windows est une bombe à retardement, et comment la désamorcer

✇Korben
Par :Korben
16 janvier 2026 à 06:52

Les amis, si vous administrez encore des serveurs Windows avec des configurations "d'époque" (qui sentent la naphtaline quoi...), il faut qu'on parle.

Google Cloud (via son équipe Mandiant) vient de sortir un papier assez creepy sur Net-NTLMv1, ce vieux protocole d'authentification qu'on croyait enterré mais qui survit encore dans pas mal d'infrastructures. Verdict implacable : c'est une véritable bombe à retardement !!

BOOM 💥 !

En gros, si vous avez encore du NTLMv1 activé quelque part sur votre réseau, un attaquant positionné sur votre réseau peut récupérer le matériel cryptographique nécessaire pour casser vos comptes. Le problème avec Net-NTLMv1, c'est qu'il s'agit d'un protocole d'authentification challenge-response qui date des années 90. C'était l'époque de Windows NT, de 2Pac et des modems 56k sauf que contrairement à la musique, la sécurité a un peu évolué depuis.

Le souci, c'est que ce protocole utilise l'algorithme DES (Data Encryption Standard) pour chiffrer ses challenges. Et le DES, aujourd'hui, c'est aussi solide qu'une porte en papier mâché.

Concrètement, un attaquant peut donc forcer un échange d'authentification (via des outils comme Responder) et, grâce à des Rainbow Tables (des tables arc-en-ciel), retrouver la clé de chiffrement. Une fois qu'il a cette clé, il peut reconstruire le hash NTLM et s'authentifier sur vos serveurs comme s'il était vous (attaque Pass-the-Hash).

Maintenant, la nouveauté qui va vous faire mal, c'est que Mandiant vient de publier un jeu complet de Rainbow Tables spécifiquement pour ça. Avant, il fallait les générer soi-même ou fouiller sur des sites communautaires comme FreeRainbowTables.com .

Le concept des RainbowTables c'est que plutôt que de recalculer les hashs à chaque fois, on pré-calcule des milliards de combinaisons possibles et on les stocke. Et Mandiant explique qu'avec ce dataset et du matériel grand public (moins de 600 $ de GPU), on peut désormais casser des clés NTLM en moins de 12 heures.

Soit une demi-journée pour transformer votre serveur "sécurisé" en moulin à vent... Alors comment savoir si vous êtes concerné ? Hé bien c'est là que ça devient sauvage car même si vous pensez être en NTLMv2 (la version plus sécurisée), il suffit qu'un seul équipement mal configuré, genre une vieille imprimante réseau ou un vieux logiciel force le "downgrade" vers NTLMv1 pour exposer des identifiants.

Heureusement, Windows permet d'auditer ça !

Vous pouvez aller fouiller dans les journaux d'événements (Event Viewer) et chercher l'ID 4624. Si vous voyez "Authentication Package: NTLM" et "Package Name (NTLM only): NTLM V1", c'est que vous avez un gros problème.

Pour le guide de survie, pas de panique, on peut désamorcer le truc mais il va falloir être méthodique pour ne pas casser la prod (ce qui vous ferait passer pour un admin en carton, et on veut éviter ça).

  1. Auditez d'abord : Activez les logs d'audit pour le NTLM. Ça se passe dans les GPO (Group Policy Object). Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Audit NTLM authentication in this domain
  2. Identifiez les coupables : Repérez les machines qui utilisent encore la v1. Souvent, ce sont de vieux serveurs 2003 qui traînent, des NAS non mis à jour ou des applis métier codées avec les pieds il y a 15 ans.
  3. Forcez le NTLMv2 : Une fois que vous avez tout nettoyé, modifiez la GPO : Network security: LAN Manager authentication level. Passez-la à "Send NTLMv2 response only. Refuse LM & NTLM".

C'est radical, mais c'est une étape indispensable pour assainir votre réseau.

Voilà si je vous en parle c'est pas pour vous faire paniquer mais ne laissez pas traîner ça. Comme d'hab, la sécurité, c'est souvent de la maintenance de l'existant, et virer ces vieux protocoles tout nuls est probablement l'action la plus rentable que vous puissiez faire cette semaine pour la sécurité de votre boite.

Et si vous cherchez d'autres moyens de sécuriser vos accès, jetez un œil à ce que j'écrivais sur les failles critiques NTLM y'a un peu plus d'un an, ça reste d'actualité.

Source

WinBoat - Une faille critique découverte dans l'outil de virtualisation

✇Korben
Par :Korben
16 janvier 2026 à 06:38

Si vous faites partie des curieux qui testent WinBoat (le projet open source de TibixDev pour lancer des applis Windows sous Linux via Docker), sachez qu'une vulnérabilité critique a été identifiée dans l'outil, et le scénario d'attaque est plutôt créatif.

Pour ceux qui ne connaissent pas, WinBoat est une appli Electron qui orchestre tout un petit monde (Docker / Podman, FreeRDP) pour rendre l'expérience Windows "seamless" sur votre bureau Linux. C'est ambitieux, c'est en beta, et forcément, il y a parfois des trous dans la raquette.

D'après le write-up technique publié sur hack.do , le problème venait de l'API locale exposée par WinBoat sur le port 7148. Cette API HTTP n'était pas authentifiée, ce qui est souvent le début des ennuis.

Le scénario décrit par le chercheur est le suivant : un attaquant héberge une page web malveillante et si vous visitez cette page avec votre navigateur (et sous réserve que les sécurités CORS/PNA ne bloquent pas la requête, ce qui dépend de votre config et du navigateur), elle peut envoyer des ordres à cette API locale localhost:7148.

L'API vulnérable (notamment le endpoint /update) permettrait alors de remplacer des composants internes du système invité. En gros, l'attaquant pourrait substituer le binaire guest_server légitime par une version malveillante.

Une fois que l'attaquant a compromis le conteneur Windows, il ne s'arrête pas là. Le chercheur explique que WinBoat permet au conteneur de communiquer des "entrées d'application" à l'hôte Linux. Si le conteneur compromis envoie un chemin forgé spécifiquement et que l'hôte tente de le lancer... c'est l'exécution de code arbitraire (RCE) sur votre machine Linux.

C'est un rappel assez violent que l'isolation, c'est compliqué à faire correctement, surtout quand on veut une intégration transparente entre deux systèmes.

La bonne nouvelle, c'est que le problème a été traité. La faille concernait les versions jusqu'à la v0.8.7. La version v0.9.0 introduit une authentification obligatoire pour cette API locale, avec un mot de passe aléatoire généré au lancement, ce qui coupe l'herbe sous le pied de ce type d'attaque web.

Si vous utilisez WinBoat, la mise à jour est donc plus que recommandée et si le sujet de l'isolation vous intéresse, jetez un œil à mon tuto sur l'installation de WSL 2 ou encore à cette autre faille RCE critique qui a secoué le monde Linux récemment.

Bref, prudence avec les outils en beta qui exposent des ports locaux !

Source

Plus de son sur Plex ? Pas de panique, voici le fix !

✇Korben
Par :Korben
16 janvier 2026 à 06:22

Si vous avez récemment fait une mise à jour vers Windows 11 24H2 et que vous êtes un utilisateur assidu de Plex, vous avez peut-être remarqué un truc étrange. L'image est nickel, tout se lance parfaitement, mais niveau son... c'est le silence radio absolu.

En particulier si vous tentez de lire des médias avec une piste audio EAC3 (Dolby Digital Plus) en 5.1. Vous avez beau monter le volume, vérifier vos câbles ou insulter votre carte son, rien n'y fait. Y'a que dalle...

Alors pas de panique les amis ! Ce n'est pas votre matériel qui est en cause, ni même Plex qui a décidé de bouder. C'est juste Microsoft qui, dans sa grande sagesse (et probablement pour des histoires de licences), a semble-t-il retiré ou cassé la gestion native du codec EAC3 dans cette version de Windows. Un grand classique qui me rappelle l'époque où Windows 8 avait viré la lecture DVD sans prévenir.

Heureusement, Andréa, un fidèle lecteur (merci à lui !), a creusé le sujet et nous partage la solution pour remettre tout ça d'équerre sans avoir besoin de formater ou de passer sous Linux (même si, entre nous, ce serait une excellente idée ^^).

Ce qu'il vous faut

  • Un PC sous Windows 11 (version 24H2)
  • Le pack "Dolby AC-3 / AC-4 Installer" (voir plus bas)
  • 5 minutes devant vous

La solution miracle

Pour corriger ce problème, il faut réinjecter les DLL manquantes dans le système. Et pour ça, un petit utilitaire bien pratique existe sur MajorGeeks.

  1. Allez récupérer le Dolby AC-3 / AC-4 Installer disponible ici sur MajorGeeks .
  2. Lancez l'installation. Ça va remettre les fichiers nécessaires dans System32 comme au bon vieux temps.
  3. Redémarrez votre PC. C'est Windows, ne posez pas de questions ;) .

Une fois que la bête a redémarré, ouvrez votre client Plex.

Allez dans les paramètres Lecteur et assurez-vous d'être en "Réglages de base" (5.1 ou Stéréo) et surtout, désactivez le Passthrough si ce n'est pas indispensable pour votre ampli. Normalement, le son devrait revenir instantanément.

C'est quand même dingue qu'en 2026 on doive encore bidouiller des codecs à la main pour avoir du son, mais bon... Au moins, c'est réparable.

Voilà, si ça vous a sauvé la soirée film, n'hésitez pas à remercier Andréa qui a tout détaillé sur son tuto complet ici .

Et pensez aussi à garder votre Plex Media Server à jour , c'est important pour la sécurité (même si ça ne règle pas les soucis de codecs Windows !).

Palo Alto Networks – CVE-2026-0227 : cette nouvelle faille permet de désactiver le firewall à distance

✇IT-Connect
Par :Florian BURNEL
15 janvier 2026 à 14:32

CVE-2026-0227 : une nouvelle faille de sécurité importante a été corrigée dans PAN-OS, le système des firewalls Palo Alto. Quels sont les risques ?

Le post Palo Alto Networks – CVE-2026-0227 : cette nouvelle faille permet de désactiver le firewall à distance a été publié sur IT-Connect.

Active Directory en 2026 : pourquoi le mot de passe reste la première faille (et comment la combler)

✇IT-Connect
Par :Florian BURNEL
15 janvier 2026 à 09:45

En 2026, Active Directory est toujours là, et le mot de passe reste le maître des clés. Face à ce constat, comment limiter les risques liés aux mots de passe ?

Le post Active Directory en 2026 : pourquoi le mot de passe reste la première faille (et comment la combler) a été publié sur IT-Connect.

❌