On vient de l’apprendre, les autorités chinoises utilisent un nouveau malware qui peut aspirer TOUTES les données de votre smartphone, y compris vos messages Signal. Et ils n’ont même pas besoin d’exploit pour ça, mais juste que vous leur tendiez votre téléphone.

Ce petit outil s’appelle Massistant et c’est l’œuvre de Xiamen Meiya Pico, un géant de la tech chinoise qui détient 40% du marché de la forensique numérique en Chine. D’ailleurs, c’est marrant (enfin façon de parler), car cette boîte a été sanctionnée par les États-Unis en 2021 pour son rôle dans la surveillance des minorités ethniques. Mais bon, ça ne les empêche visiblement pas de continuer leur business tranquille.

Team Group vient de sortir un SSD qui peut littéralement se suicider sur commande en se faisant griller les circuits comme dans Mission Impossible. Et non, je déconne pas car le P250Q, c’est son petit nom, est équipé d’un circuit de destruction indépendant breveté qui peut faire fondre la puce mémoire Flash en envoyant une surtension directement dans ses entrailles.

Alors évidemment, c’est pas le genre de truc qu’on va retrouver dans le PC gaming de Timéo. Non, ce SSD s’adresse plutôt aux secteurs militaires, industriels et à tous ceux qui manipulent des données ultra-sensibles. Mais avouez que l’idée est complètement dingue car en plus du mode “barbecue électronique”, le P250Q propose aussi une destruction logicielle des données qui continue même si quelqu’un coupe l’alimentation.

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Aujourd’hui les mais, je vais vous raconter l’histoire du mec qui a littéralement sauvé Internet. Non, c’est pas une hyperbole, c’est la réalité pure. En 2008, Dan Kaminsky a découvert une faille tellement énorme qu’elle aurait pu transformer le web en Cyber Far West. Mais au lieu de se faire des millions avec, il a choisi de sauver le monde. Vous allez voir, c’est incroyable !

Et c’est reparti pour un tour. Pornhub, RedTube et YouPorn viennent encore de claquer la porte de la France, et honnêtement, je me demande combien de fois on va jouer à ce petit jeu du chat et de la souris. Le 15 juillet (hier donc), le Conseil d’État a tranché en faveur du gouvernement, et hop, les trois géants du X ont coupé le robinet… Et attendez, c’est pas le meilleur.

Bon, on va parler d’un truc qui a fait bondir pas mal de monde cette semaine. Vous connaissez bien sûr tous WeTransfer ? Mais siii, ce service super pratique pour envoyer des gros fichiers ?

Et bah figurez-vous qu’ils ont tenté un coup en douce qui a mis le feu aux poudres sur les réseaux sociaux. Ce 15 juillet, ils ont discrètement modifié leurs conditions d’utilisation pour s’octroyer le droit d’utiliser vos fichiers pour entraîner leur IA. Ouais, vous avez bien lu.

Vous saviez que des milliers de caméras de surveillance sont accessibles sans mot de passe sur Internet ? Et bien Cameradar est l’outil qui vous aidera à trouver ces caméras vulnérables en quelques secondes. Et bien sûr, comme je suis super sympa, je vais vous montrer comment ça marche (pour tester VOS caméras, bien sûr).

Développé par Ullaakut, Cameradar est un scanner RTSP open source écrit en Go qui fait trois trucs essentiels : il détecte les flux RTSP sur un réseau, identifie le modèle de caméra, et lance des attaques par dictionnaire pour trouver les identifiants. En gros, c’est l’outil parfait pour vérifier si vos caméras sont bien sécurisées.

Si vous êtes du genre à penser que derrière les cyberattaques, c’est juste des Tanguy qui volent des mots de passe, j’ai une histoire qui va vous retourner le cerveau.

Le 24 novembre 2014, Sony Pictures s’est fait défoncer la tronche comme jamais à cause d’une comédie pourrave avec Seth Rogen qui voulait buter Kim Jong-un. Et je vous explique aujourd’hui pourquoi c’est l’un des hacks les plus dingues de l’histoire.

Après 6 ans de développement acharné, RGB v0.12 vient enfin de sortir ! Il s’agit de smart contracts privés sur Bitcoin avec des preuves zero-knowledge, le tout sans toucher au protocole de base, alors si comme moi vous suivez l’évolution de Bitcoin depuis un looong moment, vous savez que c’est exactement ce qui manquait pour faire taire les fanboys d’Ethereum ^^.

Présenté par Maxim Orlovsky au BTCPrague 2025 le 10 juillet dernier, RGB v0.12 marque enfin le passage en production de ce protocole qualifié par certains de déterminant pour l’avenir du Bitcoin. Pour ceux qui débarquent, RGB (Really Good for Bitcoin) c’est donc un protocole qui permet de faire des smart contracts sur Bitcoin en utilisant la validation côté client. En gros, au lieu de tout balancer sur la blockchain comme Ethereum le fait (et payer des fees de malade), RGB garde les données privées et ne met sur Bitcoin que le strict minimum. C’est plutôt smart (contr… euh non rien) !

Phoenix, Arizona, 6 heures du mat’. Un gamin de 16 ans dort paisiblement dans sa chambre, entouré de posters de Star Wars et de boîtes de pizza vides pendant que dehors, une dizaine d’agents armés jusqu’aux dents encerclent sa baraque…

Hé oui, aujourd’hui, je vais vous raconter comment 150 agents du Secret Service ont débarqué chez des ados boutonneux en pensant sauver l’Amérique. C’était le 8 mai 1990, et c’est devenu l’Opération Sundevil, la plus grosse opération anti-hacker de l’histoire.

12 noms. 12 officiers russes formellement identifiés et inculpés pour avoir piraté la démocratie occidentale. Pas des pseudos, pas des avatars, non, non, non, leurs vrais noms, leurs grades et leurs unités militaires. Viktor Netyksho, Boris Antonov, Dmitriy Badin… Une liste qui ressemble à un générique de film d’espionnage, sauf que ces types ont vraiment existé et ont vraiment foutu le bordel dans les élections américaines.

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Un chiffre d’affaires de 90 millions de dollars, et un service client qui répond au téléphone. Non, je ne vous parle pas de la dernière scale-up parisienne mais de DarkSide, le groupe criminel qui a réussi à transformer le ransomware en service premium.

En mai 2021, ce groupe de cybercriminels ont réussi un exploit que même les scénaristes d’Hollywood n’auraient pas osé imaginer : paralyser l’approvisionnement en carburant de toute la côte Est américaine avec quelques lignes de code.

Éjecté de notre dernier boulot, perdu sur une barque au milieu de l’océan, on se dit que rien ne pourrait être pire… Jusqu’à ce qu’on se retrouve aspiré dans un genre de “puits” naturel dans lequel il semble impossible de sortir. Ça commence bien !

Heureusement, d’autres bateaux sont coincés, et on est mécanos : réparons tout ça et faisons remonter le niveau de l’eau pour s’en sortir. 🐸 Bienvenue dans Sea Frog, un mélange de Metroid et de Tony Hawk, en 2D super choupi. 🤩

Vous fouillez une brocante et vous trouvez une vieille console portable… Un modèle que vous ne connaissez pas. En parfait état et pas chère, qu’est-ce que vous faites ? Vous l’achetez et une fois rentré chez vous, hop on met quelques piles et on lance le seul jeu fourni avec : Pipistrello and the Cursed Yoyo !

Voilà pour le contexte, en fait, je crois que ça sert simplement à expliquer pourquoi le jeu est “à l’ancienne”, en pixel art, musiques 8-bit, la myriade d’options graphiques, etc. Comme si on avait besoin d’explications ?! Peu importe, le jeu est lancé, alors autant y jouer. :)

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Dans notre histoire du jour, il y 6 ados, 1 botnet de 24 millions de PC zombies, 50 jours de chaos absolu, et 1 balance qui va tout faire foirer. Oui, on va parler de LulzSec, le Ocean’s Eleven version cave de banlieue, qui au lieu de braquer Las Vegas, ont décidé de ridiculiser Sony, la CIA et le Sénat américain, le tout équipés des mêmes outils qu’un script kiddie de 2005.

Vous jonglez entre Firefox, Chrome et trois autres navigateurs, et vos favoris sont éparpillés partout ? Gosuki vient de sortir et c’est exactement l’outil qu’il vous faut ! Il s’agit d’un gestionnaire de bookmarks qui surveille TOUS vos navigateurs en temps réel, sans extension ni cloud.

Développé par blob42, ce projet open source règle un problème qu’on a tous à savoir l’impossibilité de gérer efficacement ses favoris quand on utilise plusieurs navigateurs. Et entre nous, qui n’a pas Firefox pour le perso, Chrome pour le boulot, et peut-être Qutebrowser pour faire le geek ?

Vous en avez marre de Google News, de ses bulles de filtre et de ses articles de merde écrit par IA ? Et bien sachez qu’il y a un mec en France qui a développé Meta-Press.es, un moteur de recherche de presse décentralisé qui tourne directement dans votre Firefox. Zéro tracking, zéro pub, et ça cherche dans 900 journaux d’un coup.

Simon Descarpentries, développeur basé dans les Deux-Sèvres et patron de la société de services en logiciels libres Acoeuro, a pondu cette extension après avoir bossé pendant 5 ans sur les revues de presse pour La Quadrature du Net et le résultat est bluffant.

Vous savez ce qui manquait vraiment à Internet ? La possibilité de coller un Mac System 1.0 de 1984 dans n’importe quelle page web. Et bien c’est maintenant possible grâce à Mihai Parparita, le génie derrière Infinite Mac, qui vient de sortir une fonctionnalité qui va faire kiffer tous les nostalgiques et les passionnés d’histoire informatique.

Son projet, qui permet déjà d’émuler tous les Mac OS de 1984 à 2005 directement dans le navigateur, peut maintenant être intégré dans n’importe quelle page web. Genre comme une vidéo YouTube, mais avec un Mac dedans.

Très mauvaise nouvelle les amis… Des chercheurs polonais viennent de péter la sécurité des eSIM et ça fait froid dans le dos puisqu’on parle de 2 milliards de puces compromises qui permettent de cloner votre carte SIM à distance.

L’équipe de Security Explorations, un labo de recherche en sécurité basé en Pologne, vient en effet de publier leurs trouvailles et c’est pas joli joli puisqu’ils ont réussi à exploiter une vulnérabilité dans les puces eSIM de Kigen, un des plus gros fournisseurs du marché.

Voici un truc vraiment cool qui va plaire aux fans d’auto-hébergement. Vous le savez, moi j’adore les petits outils pratiques, mais j’en ai marre de devoir uploader mes fichiers sur des services tiers qui vont ensuite les analyser, les stocker et probablement entraîner une IA dessus. Et bien figurez-vous que j’ai trouvé LA solution : Omni Tools.

En gros, c’est une collection d’outils web que vous hébergez vous-même et qui fait tout le traitement directement dans votre navigateur. Mais genre vraiment tout sans que vos fichiers ne quittent jamais votre machine. En plus, c’est léger puisque l’image Docker ne pèse que 28 MB !

Bon alors aujourd’hui, on va parler d’un truc super important : la sécurité de votre hébergement web. Parce que se faire pirater son site, c’est vraiment la loose. Heureusement, chez o2switch, ils ont pensé à tout pour que ça ne vous arrive pas.

Alors d’habitude, sécuriser un serveur web c’est un truc de barbu qui transpire devant son terminal, mais là, o2switch a réussi à rendre ça simple comme bonjour. Genre vraiment simple, hein, c’est promis, pas le “simple” des développeurs qui nécessite quand même un doctorat en informatique.

Oh c’est rigolo ça… Un chercheur en sécurité vient de découvrir qu’on peut faire cracher des clés Windows à ChatGPT avec trois mots magiques : “I give up”. Cette histoire nous vient de Marco Figueroa, responsable du programme de bug bounty GenAI chez Mozilla (le programme 0DIN pour les intimes), qui a trouvé une technique tellement simple que ça en devient presque gênant pour OpenAI. En gros, il propose à ChatGPT de jouer à un petit jeu de devinette.

Encore une histoire qui m’a fait halluciner… Raz le bol de Nintendo car je viens d’apprendre qu’un utilisateur de la toute nouvelle Switch 2 s’est retrouvé banni du service en ligne de Nintendo après avoir eu le culot… d’acheter des jeux d’occasion sur Facebook Marketplace. Oui, des jeux légitimes, achetés en toute légalité, mais d’occasion. Le crime du siècle, apparemment.

L’affaire nous vient d’un certain dmanthey sur Reddit qui raconte sa mésaventure. Le gars achète tranquillement 4 jeux Switch 1 d’occase sur Facebook, les insère dans sa Switch 2 flambant neuve, lance les mises à jour et va se coucher. Le lendemain matin, surprise ! Son compte est banni des services en ligne. Nintendo a décidé que c’était louche et paf, sanction directe.

Aujourd’hui j’ai un concours à vous proposer, qui devrait ravir les fans de comics et tous ceux qui aiment les réinterprétations audacieuses des super-héros. En partenariat avec Urban Comics, je vous fais gagner 5 exemplaires d’Absolute Superman, la nouvelle bombe signée Jason Aaron et Rafa Sandoval qui a débarqué dans nos librairies le 30 mai dernier.

Si vous êtes comme moi, à bosser toute la journée sur un ordinateur, et en particulier sur Mac, vous connaissez sûrement ce petit clavier Apple tout plat, tout lisse, qu’on oublie aussi vite qu’on l’a acheté. Sauf que voilà : au bout d’un moment, vos doigts réclament autre chose. Un vrai clavier. Un truc qui fait clac, mais pas trop. Qui respecte vos raccourcis macOS, qui fonctionne aussi sous Windows, mais qui offre aussi un vrai confort de frappe. Bref : le Keychron K5 Max, c’est ce que j’ai mis sous mes doigts, et franchement, je ne reviendrai pas en arrière.