Vous pensiez que votre PC était blindé avec toutes vos protections activées ? Et bien ça c'était avant que des chercheurs de Riot Games (oui, les mêmes mecs derrière League of Legends et Valorant) ne découvrent une bonne grosse faille UEFI qui touche les cartes mères des quatre plus gros fabricants du marché, à savoir ASUS, Gigabyte, MSI et ASRock.

La faille se décline en plusieurs CVE selon les constructeurs (CVE-2025-11901 pour ASUS, CVE-2025-14302 pour Gigabyte, CVE-2025-14303 pour MSI, CVE-2025-14304 pour ASRock) et concerne les protections DMA au démarrage. En gros, le firmware UEFI prétend activer l' IOMMU (un mécanisme matériel d'isolation mémoire destiné à bloquer les attaques DMA), sauf que dans les faits, il ne le configure pas correctement. Votre système pense être protégé alors qu'il ne l'est pas du tout... Bref ça craint !

Du coup, un attaquant qui branche un périphérique PCIe malveillant sur votre machine (notamment via Thunderbolt ou USB4, qui exposent du PCIe) peut lire ou modifier la mémoire système avant même que Windows ou Linux ne démarre. Donc bien avant que vos protections système n'aient eu le temps de se mettre en place quoi... Et comme l'attaque se déroule avant le chargement de l'OS, les antivirus et outils de sécurité logiciels classiques n'ont pas encore démarré et ne peuvent donc pas intervenir. Seule une mise à jour du firmware UEFI peut corriger le problème.

Côté chipsets touchés, accrochez-vous parce que la liste est longue. Chez Gigabyte, les bulletins de sécurité mentionnent notamment des cartes basées sur les séries Intel Z890, W880, Q870, B860, H810, Z790, B760, Z690, Q670, B660, H610, W790, et côté AMD des X870E, X870, B850, B840, X670, B650, A620, A620A et TRX50.

Chez ASUS, les chipsets concernés incluent les séries B460, B560, B660, B760, H410, H510, H610, H470, Z590, Z690, Z790, W480 et W680.

Et de son côté, ASRock indique que ses cartes mères Intel des séries 500, 600, 700 et 800 sont également affectées. Bref, si vous avez une carte mère relativement récente, il y a de bonnes chances qu'elle soit dans le lot, même si cela dépend du modèle précis et de la version de firmware installée.

Bien sûr, comme souvent avec ce type de faille, son exploitation nécessite un accès physique à la machine, puisqu'il faut connecter un périphérique PCIe capable de mener une attaque DMA (par exemple un dongle Thunderbolt ou une carte PCIe spécialement conçue).

Ce n'est donc pas le genre d'attaque qui se propage via Internet, mais c'est quand même problématique, notamment dans les entreprises qui ont des postes de travail accessibles au public, dans les bibliothèques, ou tout autre environnement partagé. Sans parler de quelqu'un qui aurait un accès temporaire à votre machine genre un réparateur, un collègue malveillant, votre ex un peu trop curieux(se)… Ou encore le marché de l'occasion, où personne ne sait vraiment ce qui a pu être branché sur la carte mère avant.

Petite anecdote au passage, les chercheurs de Riot Games sont tombés sur cette faille parce que Valorant refusait de se lancer sur certains systèmes. Leur anti-cheat Vanguard vérifie que les protections DMA sont bien actives au démarrage, et il a détecté que sur certaines machines, ce n'était pas le cas. De fil en aiguille, ils ont creusé et fini par identifier ce problème côté firmware UEFI.

Bref, les quatre constructeurs ont publié (ou sont en train de publier) des mises à jour de firmware pour corriger le problème. Attention toutefois, chez Gigabyte, le correctif pour TRX50 est prévu pour le premier trimestre 2026, et chez ASRock, les BIOS pour les séries 600/700/800 sont disponibles mais ceux de la série 500 sont encore en cours de développement.

Donc allez faire un tour sur le site support de votre fabricant, vérifiez si votre modèle est concerné, et installez le patch si c'est le cas.

Source

Vous connaissez Anna's Archive , cette bibliothèque pirate qui sauvegarde tous les livres et articles scientifiques de l'humanité ? Hé bien ils viennent de s'attaquer à un nouveau chantier : sauvegarder Spotify (en tout cas le plus possible), soit 256 millions de morceaux + de la métadonnées, soit ~300 téraoctets de données !!

Anna's Archive se focalise normalement sur le texte (livres, et documents de recherche) parce que c'est ce qui a la plus haute densité d'information mais leur mission, c'est de préserver le savoir et la culture de l'humanité, et ça inclut donc aussi la musique. Et comme ils ont trouvé un moyen de scraper Spotify à grande échelle, ils se sont dit "Hey pourquoi pas ? On est des oufs".

Et ça donne la plus grande base de données de métadonnées musicales jamais rendue publique, avec 186 millions d'ISRCs uniques (ces codes qui identifient chaque enregistrement). Pour vous donner un ordre de grandeur, MusicBrainz n'en a que 5 millions. Niveau fichiers audio, ils ont aussi archivé environ 86 millions de morceaux, ce qui représente 99,6% des écoutes sur la plateforme (même si ça ne fait "que" 37% du catalogue total). Donc si vous écoutez un morceau au hasard sur Spotify, y'a 99,6% de chances qu'il soit dans l'archive.

Pour trier tout ça, ils ont utilisé la métrique "popularité" de Spotify qui va de 0 à 100. Ainsi, pour les morceaux avec une popularité supérieure à 0, ils ont récupéré quasiment tout en qualité originale (OGG Vorbis 160kbit/s) et pour les morceaux à popularité 0 (soit ~70% du catalogue, des trucs que personne n'écoute), ils ont réencodé en OGG Opus 75kbit/s pour gagner de la place… mais ils ne sont pas allés au bout de la longue traîne (trop de stockage pour trop peu de gain, et pas mal de contenu “bof” à popularité 0). Pour 99% des gens ça sonne pareil, même si je sais que les audiophiles vont me tuer dans les commentaires ^^.

En regardant les stats qu'ils ont produit à partir de ce qui a été scrappé, les 3 morceaux les plus populaires (Die With A Smile de Lady Gaga et Bruno Mars, BIRDS OF A FEATHER de Billie Eilish, et DtMF de Bad Bunny) ont été streamés plus de fois que les 20 à 100 millions de morceaux les moins populaires combinés. Bon, ils précisent aussi que la popularité est très dépendante du moment, donc ce top est un peu arbitraire mais ça montre à quel point la longue traîne est looooongue sur les plateformes de streaming...

Après le problème avec la préservation musicale actuelle (ce qu'on retrouve sur les sites de Torrent par exemple), c'est qu'elle se concentre uniquement sur les artistes populaires et la qualité maximale (FLAC lossless). Du coup, y'a plein de musique obscure qui ne survit que si une seule personne décide de la partager. Et ces fichiers sont souvent mal seedés. Et c'est pour ça que je trouve l'approche d'Anna's Archive plutôt pas mal car elle consiste à archiver tout ce qui existe (ou presque), même en qualité "suffisante", plutôt que de se concentrer sur un sous-ensemble en qualité parfaite.

Et comme vous vous en doutez, tout est distribué via des torrents, avec les métadonnées déjà disponibles (moins de 200 Go compressés) et les fichiers audio qui arrivent progressivement par ordre de popularité. Note la base s'arrête à juillet 2025, donc tout ce qui est sorti après peut ne pas être là (même s'il y a quelques exceptions).

Bref, c'est la première archive de préservation musicale vraiment ouverte, que n'importe qui peut mirrorer s'il a assez de stockage et voilà comment grâce à l'aide de tout le monde, le patrimoine musical de l'humanité sera protégé pour toujours des catastrophes naturelles, des guerres, des coupes budgétaires et autres désastres... Par contre, pas sûr que ça la protège de la boulimie des IA génératives.

Merci à Lilian pour l'info !

Source

Passer d'OpenGL à Metal, c'était visiblement pas une mince affaire pour l'équipe d'OBS. La techno d'Apple est sortie y'a 10 ans sous macOS mais ça leur a pris un peu de temps pour la migration... Et n'allez pas croire que je "juge"... Tout ce temps, c'est normal car c'est un soft multiplateforme, donc faut gérer trois écosystèmes en parallèle et ça, ça prend un temps fou.

Tous les effets visuels d'OBS ont dû être réécrits pour fonctionner avec Metal, le langage graphique d'Apple étant bien plus exigeant que celui de Windows et la preview peut parfois légèrement saccader à cause de macOS, mais le flux final reste impeccable.

Niveau performances, Metal fait aussi bien voire mieux qu'OpenGL dans les builds Release mais c'est surtout pour le débogage que ça change tout car les développeurs ont maintenant accès à des outils de diagnostic bien plus performants, ce qui devrait accélérer les corrections de bugs et les futures améliorations.

Pour l'activer (ouais on est chaud !!), c'est hyper simple. Vous allez dans les paramètres d'OBS 32.0, onglet Avancé, section Vidéo, et vous sélectionnez Metal dans le menu déroulant du renderer. Un petit redémarrage de l'appli et hop, vous êtes passé sur le nouveau moteur.

Ce qui est cool aussi avec cette version 32.0, c'est qu'elle inclut un gestionnaire de plugins et des améliorations pour les fonctionnalités NVIDIA RTX.

L'équipe OBS bosse aussi sur des backends Vulkan pour Linux et Direct3D 12 pour Windows, parce que les anciennes APIs comme OpenGL et D3D11 reçoivent de moins en moins de support des fabricants de GPU, donc si vous êtes sur Linux ou Windows, votre tour viendra aussi.

Voilà, après si ça bug, revenez sur OpenGL, mais y'a quand même de bonnes chances que ça tourne mieux qu'avant.

Source

Keonne Rodriguez, le développeur derrière Samourai Wallet, vient de se prendre 5 ans de taule pour avoir créé un portefeuille Bitcoin qui protégeait un peu trop bien l'anonymat de ses utilisateurs.

Samourai Wallet, c'était un portefeuille Bitcoin open source lancé en 2015 avec comme promesse de permettre aux gens d'utiliser leurs bitcoins sans que le monde entier puisse tracer chacune de leurs transactions. Le truc utilisait une technique appelée le "coin mixing" qui, pour faire simple, mélange les transactions de plusieurs personnes pour brouiller les pistes et rendre le traçage quasi impossible.

Grave erreur car ça les États n'aiment pas !

Et voilà pourquoi en avril 2024, le FBI a débarqué chez Rodriguez à 6h du matin, arme au poing, devant sa femme et ses enfants. L'accusation ? Blanchiment d'argent et exploitation d'une entreprise de transmission monétaire non autorisée. Le Département de la Justice américain affirme que plus de 237 millions de dollars de "produits criminels" seraient passés par Samourai, provenant selon eux du trafic de drogue, de marchés du darknet, de fraudes diverses et même d'un site pédopornographique.

Rodriguez maintient qu'il a juste créé un logiciel, point. Dans l'interview ci-dessous accordée à Reason Magazine juste avant son incarcération ce 19 décembre, il explique qu'il n'a jamais eu accès aux fonds des utilisateurs et qu'il ne savait pas qui utilisait son outil ni pourquoi.

Vous rêvez de faire tourner des modèles d'IA de 600 milliards de paramètres sur votre bureau sans avoir à vendre vos enfants ? Hé bien Jeff Geerling vient de tester un truc qui va vous faire baver, je pense. En tout cas, moi ça m'énerve (dans le bon sens du terme hein...) !

Apple lui a prêté 4 Mac Studios M3 Ultra pour tester une nouvelle fonctionnalité qui débarque avec macOS 26.2 et qui s'appelle le RDMA over Thunderbolt 5. En gros, c'est une techno qui permet à plusieurs Macs de partager leur mémoire unifiée comme si c'était un seul gros pool de RAM et du coup, au lieu d'avoir 4 machines séparées avec chacune leur mémoire, vous vous retrouvez avec 1,5 To de VRAM partagée accessible par toutes les machines.

Le setup de Jeff c'est deux Mac Studios avec 512 Go de RAM chacun à environ 11 700 dollars pièce, plus deux autres avec 256 Go à 8 100 dollars. Total de la douloureuse : environ 40 000 dollars. Ça pique, c'est clair, mais attendez de voir ce que ça fait.

Le truc qui change vraiment la donne avec le RDMA c'est la latence. Avant, quand un Mac devait accéder à la mémoire d'un autre Mac via le réseau, ça prenait environ 300 microsecondes. Avec cette nouvelle implémentation Thunderbolt 5, on tombe à moins de 50 microsecondes. Ça paraît rien comme ça, mais pour faire tourner ce genre de modèles, c'est énorme.

Jeff a fait tourner des benchmarks classiques et les résultats sont plutôt impressionnants. Sur Geekbench 6, le M3 Ultra explose le Dell Pro Max et l'AMD Ryzen AI Max+ 395 en mono et multi-coeur. Mais le plus fou c'est sur le benchmark HPL en virgule flottante 64 bits où c'est le seul système desktop testé à dépasser 1 Téraflop, avec presque le double des performances du Nvidia GB10.

Je sais pas vous, mais moi dès que j'ai un truc à écrire sur mon smartphone, je le dicte. Et que je sois sous Android ou soit iOS, je sais très bien que chaque mot que je prononce part directement sur les serveurs de Google ou Apple. Pourquoi j'ai trouvé FUTO Voice Input , intéressant parce que lui, garde tout sur votre téléphone...

C'est une appli Android qui utilise le modèle Whisper d'OpenAI pour faire de la reconnaissance vocale vraiment précise et ça tourne nickel sur un smartphone moderne. Trois tailles de modèle sont dispo : tiny, base, et small. La base suffira dans 90% des cas, mais vous pouvez basculer sur la small qui est un peu plus grosse, si vous avez un accent à couper au couteau ou si vous parlez dans le métro.

FUTO Voice Input supporte également 16 langues dont le français, l'anglais, l'allemand, l'espagnol, le japonais et plein d'autres et l'appli s'intègre directement comme clavier de saisie vocale Android, du coup elle fonctionne avec n'importe quelle application. Vous pouvez donc l'utiliser avec des claviers comme AnySoftKeyboard ou Unexpected Keyboard . Par contre, oubliez Gboard ou le clavier Samsung qui ont leur propre système verrouillé.

Le projet vient de FUTO, une organisation fondée par Eron Wolf (ex-investisseur de WhatsApp) et Louis Rossmann, le YouTubeur américain connu pour son combat pour le droit à la réparation, y bosse comme directeur de la com. Donc niveau éthique, je pense que c'est OK.

L'appli est dispo sur le Play Store, sur F-Droid, ou en APK direct d'environ 70 Mo. Y'a une version gratuite et une version payante sous forme de licence unique (pas d'abonnement, ouf) et le code source est ouvert et disponible sur GitLab.

Voilà, si vous en avez marre que vos paroles soient analysées par des serveurs à l'autre bout de la planète, FUTO Voice Input c'est une très bonne option !

Merci à PARADOXE_ pour l'info !

Vous avez peut-être une caméra Tapo C200 qui tourne chez vous pour surveiller le chat, le bébé ou l'entrée. C'est mon cas et j'adore cette caméra mais j'ai une mauvaise nouvelle à vous annoncer... Le chercheur en sécurité Simone Margaritelli (alias evilsocket) vient de passer 150 jours à la disséquer et le résultat n'est pas glorieux pour TP-Link.

Alors déjà, commençons par le plus gros WTF qu'il a découvert... la clé privée HTTPS de la caméra, ce truc censé être ultra-secret qui permet de chiffrer les communications. Et bien elle est hardcodée dans le firmware. C'est donc la même clé pour TOUTES les caméras du même modèle. Du coup, n'importe qui peut faire un Man-in-the-Middle et intercepter ce que vous voyez sur votre caméra. Ah on se met bien déjà là, hein ? ^^

Et attendez, ça ne s'arrête pas là puisque Margaritelli a trouvé un bucket S3 chez Amazon, totalement ouvert au public, qui contient TOUS les firmwares de TOUS les produits TP-Link. C'est open bar, sans authentification, Noël avant l'heure pour les chercheurs en sécu... et les hackers.

En fouillant le firmware avec Ghidra et Claude (oui, l'IA a aidé au reverse engineering), le chercheur a découvert quatre failles critiques. La première, c'est un buffer overflow dans le parser SOAP XML utilisé par le protocole ONVIF. En gros, si vous envoyez un message trop long, la caméra plante. Pas besoin d'être authentifié pour ça, une requête HTTP suffit.

La deuxième faille est du même genre mais dans le header Content-Length. Envoyez 4294967295 (le max d'un entier 32 bits) et boum, integer overflow. Et la troisième, c'est la cerise sur le gâteau puisque l'endpoint connectAp reste accessible sans authentification même après le setup initial. Du coup, un attaquant peut forcer votre caméra à se connecter à son propre réseau WiFi malveillant et intercepter tout le flux vidéo. Vous ne vous y attendiez pas à celle-là, si ?

Et la quatrième faille, oubliée nulle part ailleurs c'est l'API scanApList qui balance la liste de tous les réseaux WiFi autour de la caméra, sans auth. Avec les BSSID récupérés et un outil comme apple_bssid_locator, on peut géolocaliser physiquement la caméra à quelques mètres près. Sur les 25 000 caméras exposées sur le net, ça fait froid dans le dos.

Le plus frustrant dans cette histoire, c'est que Margaritelli a signalé tout ça en juillet 2025 et TP-Link a demandé des rallonges de délai, encore et encore, durant plus de 150 jours. Et au final, les failles ont été corrigées mais pas de patch sur les pages publiques des CVE. Ah et petit détail rigolo, comme TP-Link est sa propre autorité de numérotation CVE, ils s'auto-évaluent sur leurs propres failles. Donc y'a pas de conflit d'intérêt du tout... ahem ahem...

Le chercheur estime qu'environ 25 000 de ces caméras sont exposées directement sur Internet donc si comme moi, vous en avez une, vérifiez que le firmware est bien à jour et surtout, ne l'exposez JAMAIS directement sur le net. Mettez-la derrière un VPN ou un réseau isolé.

Je trouve ça cool que Margaritelli ait utilisé de l'IA pour accélérer la phase de reverse engineering. Avec Claude Opus et Sonnet avec GhidraMCP, il a pu analyser le code assembleur et c'est comme ça que l'IA a identifié rapidement les fonctions vulnérables et expliqué le fonctionnement du code. Bref, l'IA comme outil de hacking, c'est assez ouf...

Voilà, donc si vous avez du matos TP-Link chez vous, gardez un œil sur les mises à jour et réfléchissez à deux fois avant de l'exposer sur le net. Et si vous aimez la lecture, l'analyse complète est dispo sur le blog d'evilsocket .

Beau boulot !

Boston Dynamics que vous connaissez tous pour ses chiens robots tueurs de la mort, vient de sortir une vidéo de 40 minutes. Pas de saltos arrière ou de robots qui dansent mais plutôt une loooongue session où ça parle stratégie IA et vision à long terme. Et comme j'ai trouvé que c'était intéressant, je partage ça avec vous !

Zach Jacowski, le responsable d'Atlas (15 ans de boîte, il dirigeait Spot avant), discute donc avec Alberto Rodriguez, un ancien prof du MIT qui a lâché sa chaire pour rejoindre l'aventure et ce qu'ils racontent, c'est ni plus ni moins comment ils comptent construire un "cerveau robot" capable d'apprendre à faire n'importe quelle tâche. Je m'imagine déjà avec un robot korben , clone de ma modeste personne capable de faire tout le boulot domestique à ma place aussi bien que moi... Ce serait fou.

Leur objectif à Boston Dynamics, c'est donc de créer le premier robot humanoïde commercialement viable au monde et pour ça, ils ont choisi de commencer par l'industrie, notamment les usines du groupe Hyundai (qui possède Boston Dynamics).

Alors pourquoi ? Hé bien parce que même dans les usines les plus modernes et automatisées, y'a encore des dizaines de milliers de tâches qui sont faites à la main. C'est fou hein ? Automatiser ça c'est un cauchemar, car pour automatiser UNE seule tâche (genre visser une roue sur une voiture), il faudrait environ un an de développement et plus d'un million de dollars.

Ça demande des ingénieurs qui conçoivent une machine spécialisée, un embout sur mesure, un système d'alimentation des vis... Bref, multiplié par les dizaines de milliers de tâches différentes dans une usine, on serait encore en train de bosser sur cette automatisation dans 100 ans...

L'idée de Boston Dynamics, c'est donc de construire un robot polyvalent avec un cerveau généraliste. Comme ça au lieu de programmer chaque tâche à la main, on apprend au robot comment faire. Et tout comme le font les grands modèles de langage type ChatGPT, ils utilisent une approche en deux phases : le pre-training (où le robot accumule du "bon sens" physique) et le post-training (où on l'affine pour une tâche spécifique en une journée au lieu d'un an).

Mais le gros défi, c'est clairement les données. ChatGPT a été entraîné sur à peu près toute la connaissance humaine disponible sur Internet mais pour un robot qui doit apprendre à manipuler des objets physiques, y'a pas d'équivalent qui traîne quelque part.

Du coup, ils utilisent trois sources de data.

La première, c'est la téléopération. Des opérateurs portent un casque VR, voient à travers les yeux du robot et le contrôlent avec leur corps. Après quelques semaines d'entraînement, ils deviennent alors capables de faire faire à peu près n'importe quoi au robot. C'est la donnée la plus précieuse, car il n'y a aucun écart entre ce qui est démontré et ce que le robot peut reproduire. Par contre, ça ne se scale pas des masses.

La deuxième source, c'est l'apprentissage par renforcement en simulation. On laisse le robot explorer par lui-même, essayer, échouer, optimiser ses comportements. L'avantage c'est qu'on peut le faire tourner sur des milliers de GPU en parallèle et générer des données à une échelle impossible en conditions réelles. Et contrairement à la téléopération, le robot peut apprendre des mouvements ultra-rapides et précis qu'un humain aurait du mal à démontrer, du genre faire une roue ou insérer une pièce avec une précision millimétrique.

La troisième source, c'est le pari le plus ambitieux, je trouve. Il s'agit d'apprendre directement en observant des humains.

Alors est-ce qu'on peut entraîner un robot à réparer un vélo en lui montrant des vidéos YouTube de gens qui réparent des vélos ? Pas encore... pour l'instant c'est plus de la recherche que de la production, mais l'idée c'est d'équiper des humains de capteurs (caméras sur la tête, gants tactiles) et de leur faire faire leur boulot normalement pendant que le système apprend.

Et ils ne cherchent pas à tout faire avec un seul réseau neuronal de bout en bout. Ils gardent une séparation entre le "système 1" (les réflexes rapides, l'équilibre, la coordination motrice, un peu comme notre cervelet) et le "système 2" (la réflexion, la compréhension de la scène, la prise de décision). Le modèle de comportement génère des commandes pour les mains, les pieds et le torse, et un contrôleur bas niveau s'occupe de réaliser tout ça physiquement sur le robot.

C'est bien pensé je trouve. Et dans tout ce bordel ambiant autour de la robotique actuelle, eux semblent avoir trouver leur voie. Ils veulent transformer l'industrie, les usines...etc. Leur plan est clair et ils savent exactement ce qu'ils doivent réussir avant de passer à la suite (livraison à domicile, robots domestiques...).

Voilà, je pense que ça peut vous intéresser, même si c'est full english...

Vous développez un truc en local et vous avez besoin de le montrer à quelqu'un au travers d'Internet, genre pour tester un webhook, faire une démo rapide, ou juste impressionner votre collègue à distance ? Hé bien au lieu de vous farcir une config nginx + certificats SSL + ouverture de ports sur le routeur (Beurk !), y'a Tunnl.gg qui fait tout ça en une SEULE ligne de commande.

Vous tapez une commande SSH, et hop, vous avez une URL publique qui pointe vers votre serveur local. Pas de client à installer, pas de compte à créer, pas de token à configurer, juste SSH, que vous avez forcément déjà sur votre machine.

Donc pour exposer votre app qui tourne sur le port 8080, vous faites :

ssh -t -R 80:localhost:8080 proxy.tunnl.gg

Et c'est parti ! Le service vous file une URL avec un sous-domaine aléatoire, genre abc123.tunnl.gg, et tout ce qui arrive dessus est redirigé vers votre localhost:8080. Et magie magie, HTTPS est automatique, donc pas besoin de vous soucier des certificats.

Du coup, si vous connaissez déjà ce genre d'outils, vous pensez peut-être à Bore que j'ai présenté il y a pas longtemps, ou Portr qui fait sensiblement la même chose, ou encore Chisel pour les amateurs de tunnels TCP/UDP via HTTP. Tous ces outils font du tunneling, mais Tunnl.gg se distingue par son approche "zéro friction" sans binaire à télécharger, et sans compte à vous créer.

Pour le moment, le service est gratuit pour un usage personnel mais les développeurs prévoient des plans payants plus tard avec des features comme les domaines personnalisés, les sous-domaines persistants et des limites de débit plus élevées. On verra bien mais en attendant, pour tester un truc vite fait ou faire une démo, la version gratuite suffira largement.

Bon, y'a quand même quelques trucs à savoir. Primo, ça ne marche qu'avec du trafic HTTP/HTTPS pour l'instant. Deuxio, le TLS est côté serveur, donc techniquement ils peuvent voir votre trafic même s'ils disent ne pas l'inspecter. Donc pour des données vraiment sensibles, gardez ça en tête. Et tertio, comme tout service de ce type, y'a des limites de fair-use pour éviter les abus.

Bref, si vous cherchez un moyen rapide d'exposer un port local sans vous prendre la tête avec la config, Tunnl.gg fera le taf. Au pire vous aurez découvert une alternative de plus à ngrok , au mieux ça deviendra votre outil par défaut pour les démos express...

Merci à Lorenper pour le partage !

Vous savez quoi ? Pendant 20 ans, j'ai fait tout ce qu'il ne fallait pas faire en matière de référencement. Pas de stratégie de mots-clés, pas vraiment d'attention aux liens dofollow ou nofollow, des sujets qui partent dans tous les sens même si ça reste quand même majoritairement "tech", un vocabulaire personnel bourré d'expressions que personne d'autre n'utilise. Bref, le cauchemar absolu de n'importe quel consultant SEO ^^.

Et devinez quoi ? Ça pourrait bien devenir ma plus grande force.

Parce que le monde du référencement est en train de changer radicalement mes amis ! Et ça, c'est à cause de l'IA. Google a déployé son Search Generative Experience (SGE) , les gens utilisent de plus en plus ChatGPT ou Perplexity pour chercher des infos (moi aussi), et les algorithmes deviennent suffisamment "malins" pour comprendre le contexte et l'intention derrière une recherche, et pas juste des mots-clés.

Ce qui se passe en ce moment, c'est que Google privilégie de plus en plus ce qu'il appelle l' E-E-A-T : Experience, Expertise, Authoritativeness, Trustworthiness . En gros, l'expérience de première main, l'expertise réelle, l'autorité dans un domaine, et la confiance. Du coup, les contenus "authentiques" générés par de vrais humains avec de vraies opinions sont en train de surpasser les contenus sur-optimisés pour le SEO. Elle n’est pas belle la vie ??

Regardez Reddit. Le site a vu sa visibilité dans les recherches Google exploser de presque 200% ces derniers mois. Reddit est cité dans 62% des AI Overviews de Google quand il apparaît dans le top 10. Pourquoi ? Hé bien tout simplement parce que c'est du contenu généré par de vrais utilisateurs qui partagent leurs vraies expériences, et pas des articles corporate écrits pour satisfaire un algorithme comme toute la chiasse qu'on peut voir sur LinkedIn (Le LinkedIn de Korben est par ici ! Je ne poste rien pour l'instant, mais j'ai prévu de disrupter le game donc abonnez-vous !).

De mon côté, je suis assez surpris aussi parce que mon trafic remonte en flèche également... En plus, comme l'Indie Web a le vent en poupe, on est biiiiiènnn (à prononcer avec l'accent chelou des sudistes).

Du coup, reprenons un peu mes "faiblesses" une par une.

Tout d'abord, je ne fais pas gaffe aux liens dofollow/nofollow. Je sais c'est maaaal.

Hé bien, figurez-vous qu'en 2019, Google a annoncé discrètement que les nofollow sont maintenant traités comme des "indices" plutôt que des règles strictes . Les profils de liens naturels, avec un mix de dofollow et nofollow, sont désormais considérés comme plus authentiques et les spécialistes estiment qu'un profil sain contient entre 15 et 30% de nofollow. Et le plus important : les mentions de marque sans lien du tout commencent à influencer le référencement. On passe donc d'un SEO basé sur des backlinks à un SEO basé sur des entités et des relations .

Autre défaut, je parle de tout et n'importe quoi sur mon site.

Bon, là c'est vrai que Google préfère les sites spécialisés, mais korben.info existe depuis 2004, avec plus de 20 ans d'historique dans l'univers tech au sens large. Et c'est cette longévité et cette constance dans un domaine (même large) qui construisent une "autorité" que les sites récents ne peuvent pas répliquer. Chè ^^. Et puis, je ne parle pas de finance ET de cuisine ET de mode. Je reste quand même dans la tech, la sécurité, le hacking, le DIY informatique. C'est une niche, qui est juste un peu plus large que ce qu'on pourrait trouver sur un site entièrement consacré aux "claviers mécaniques Cherry MX Red pour gauchers".

Aussi, j'utilise mon propre vocabulaire. Parfois un peu fleuri, très loin du style "journalistique" dont on vous gave à longueur de média. Et ça, je pense que c'est peut-être ma plus grande force. Les IA sont entraînées à détecter les contenus génériques, les patterns répétitifs, les formulations standardisées et un contenu avec une vraie voix personnelle, des expressions uniques, un ton reconnaissable, c'est totalement tout ce que les algorithmes commencent à valoriser. Quand quelqu'un lit un de mes articles (comme vous en ce moment), il sait que c'est moi qui l'ai écrit, et cela même si je m'auto-boost avec l'IA comme tout le monde (voir la FAQ pour les détails).

Et surtout, y'a pas d'autres sites qui ont le même style, les mêmes expressions, la même façon de présenter les choses. C'est donc de l'authenticité pure, et l'authenticité devient le nouveau standard du référencement .

Je n'optimise pas non plus mes contenus sur des mots-clés spécifiques. Bien sûr, j'ai testé ces techniques il y a quelques années dans certains articles, mais c'est tellement chiant à faire... Je pourrais pas être référenceur, j'aurais envie de me foutre en l'air au bout de 5 min. Heureusement, les moteurs de recherche modernes comprennent maintenant le langage naturel et le contexte et par exemple, Google peut faire le lien entre "le truc qui permet de pirater une IA" et "jailbreak LLM" sans que j'aie besoin de bourrer mon texte de mots-clés techniques. L'époque où il fallait répéter 47 fois " meilleur VPN gratuit 2025 " pour ranker est donc révolue.

Ce qui est en train de mourir, donc c'est le SEO manipulatif. C'est-à-dire toutes ces fermes de contenu IA ou ces usines à pigistes qui crachent des milliers d'articles optimisés toute la journée. Je parle des articles de 3000 mots qui répètent la même info sous 15 angles différents pour couvrir tous les mots-clés possibles, sans parler des stratégies de link building agressives avec des guest posts génériques. D'ailleurs, Google a déployé plusieurs mises à jour spécifiquement pour déclasser ce type de contenu.

Ce qui est en train de gagner, vous l'aurez compris, c'est l'authenticité, les vraies personnes avec de vraies opinions, les contenus qui répondent à de vrais besoins plutôt qu'à des requêtes de recherche et les sites avec une histoire, une communauté, une voix.

Bref, après 20 ans à faire du "anti-SEO" par pure flemme et par conviction que le contenu devait parler aux humains plutôt qu'aux robots, il semblerait que l'histoire me donne enfin raison.... niark niark ! Nos amis les bots deviennent maintenant suffisamment intelligents pour apprécier ce que les humains apprécient, et ça, les copains, c'est plutôt une bonne nouvelle pour tous ceux qui, comme moi, ont toujours préféré écrire naturellement plutôt que pour plaire à des algorithmes...

– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –

Bon vous commencez à le savoir, j’ai une passion sans nom pour les câbles et les chargeurs USB-C. Mais j’imagine que je ne suis pas le seul, On connaît tous cette angoisse du geek en vadrouille : le sac à dos qui pèse un âne mort à cause de la collection de transformateurs qu'on se sent obligé de trimballer. Entre la brique du MacBook, le chargeur rapide du smartphone et celui de la tablette, on se retrouve vite avec une multiprise ambulante. Après avoir bavé devant son annonce, j’ai fini par acheter le tout dernier Anker Prime 160W , et si vous cherchez à optimiser votre setup de voyage, ce petit concentré de technologie risque fort de vous taper dans l'œil. C’est clairement une dinguerie.

La première chose qui frappe quand on déballe la bête, c'est le contraste entre sa taille et sa fiche technique. Anker a réussi à faire tenir une puissance totale de 160 Watts dans un boîtier de plus en plus compact qui n'est pas beaucoup plus gros qu'un boîtier d'AirPods Pro. Grâce à l'utilisation massive du GaN (Nitrure de Gallium), ils obtiennent une densité énergétique de plus en plus folle, rendant ce chargeur environ 70 % plus petit que si vous deviez empiler les trois chargeurs standards nécessaires pour obtenir la même puissance. C'est fini l'époque où puissance rimait forcément avec encombrement. Mais ce qui est fou c’est quand on compare ce chargeur à des chargeurs GaN d’il y a un ou deux ans, les progrès sont encore fous…

Sous le capot, la gestion de l'énergie est impressionnante grâce à leur puce PowerIQ 5.0. Si vous êtes pressé et que vous branchez uniquement votre ordinateur portable sur le port principal, le chargeur est capable de délivrer 140 Watts en continu, ce qui permet par exemple de remonter la batterie d'un MacBook Pro 16" de 0 à 50 % en seulement 25 minutes. Mais la vraie force du produit réside dans sa capacité à gérer trois appareils simultanément sans sourciller. Vous pouvez brancher votre laptop, votre iPhone 16 et votre iPad en même temps, et le chargeur va négocier intelligemment la tension pour chaque port afin d'optimiser la vitesse de charge globale sans surchauffe.

Là où Anker va chercher notre petit cœur de geek, c'est avec l'intégration de la technologie AnkerSense View. Le chargeur est équipé d'un écran tactile et rotatif qui vous donne toutes les infos en temps réel. C'est peut-être un détail pour le commun des mortels, mais voir s'afficher la puissance exacte délivrée à chaque appareil ou la température interne du chargeur procure une satisfaction assez particulière.

Screenshot

Le tout est même connecté en Bluetooth, ce qui vous permet via l'application dédiée de surveiller les courbes de consommation, de vérifier la santé de la charge ou même de définir une priorité sur un port spécifique directement depuis votre smartphone.

Au final, même si le tarif dépasse les 100 euros (souvent en promo) ce qui peut sembler élevé pour un accessoire, c'est un investissement que je recommande vivement à ceux qui bougent beaucoup. Remplacer trois blocs d'alimentation par un seul objet aussi design, performant et intelligent, c'est un vrai gain de confort au quotidien. C'est typiquement le genre d'accessoire qu'on regrette de ne pas avoir acheté plus tôt une fois qu'on l'a glissé dans sa poche. Il est disponible par ici sur Amazon !

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie "Gadgets Tech" , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Vous voulez tester un service, télécharger un truc, ou vous inscrire sur un site que vous n'utiliserez probablement qu'une fois et là, une fois encore, on vous demande votre email. Alors vous pétez un câble, vous retournez votre bureau en hurlant, vous jetez votre tasse de café sur le visage de votre collègue, et vous essayez de vous suicidez en mettant frénétiquement votre langue dans la multiprise. Ne rigolez pas, ça arrive tous les jours !

Heureusement, voici une solution qui va vous permettre de contourner le problème. Ça s'appelle MephistoMail , et c'est un service d'email jetable, anonyme, et qui ne garde aucun log de vos activités. Vous allez sur le site, vous copiez l'adresse temporaire qui vous est attribuée, vous l'utilisez pour vous inscrire quelque part, et hop, les mails de confirmation arrivent dans votre inbox temporaire. Une fois que c'est fait, vous fermez l'onglet et tout disparaît.

Vous allez me dire, le concept n'est pas nouveau, y'a des dizaines de services de temp mail qui existent depuis des années. Mais MephistoMail se distingue par son approche "privacy first" assez radicale. Pas de tracking, pas de logs, pas de collecte de données et surtout l'inbox est vraiment volatile et peut être supprimée à tout moment par le système.

Du coup, y'a quelques limitations à connaître avant de vous lancer. Ce service est prévu principalement pour recevoir des emails, pas pour en envoyer. Certains sites ont également commencé à bloquer les domaines de temp mail connus, donc ça marchera pas partout. Et surtout, ne l'utilisez jamais pour des trucs sensibles comme votre banque ou des services critiques. Si vous perdez l'accès à l'inbox avant d'avoir récupéré votre lien de confirmation, c'est game over.

L'utilisation est par contre hyper simple et surtout y'a pas de compte à créer, pas de mot de passe à retenir, bref pas d'emmerdes.

Voilà, si vous en avez marre de donner votre vraie adresse mail à n'importe qui et de vous retrouver noyé sous les newsletters non désirées, MephistoMail fera bien le taf. Et en plus c'est gratuit !

Vous savez que depuis quelques années, des startups équipent les camions poubelle et les bus de caméras IA pour cartographier automatiquement l'état des routes ? Comme ça, pendant que le chauffeur fait sa tournée, une intelligence artificielle détecte les nids-de-poule, les fissures et autres joyeusetés routières en temps réel. Chaque défaut est géolocalisé, scoré par gravité, et hop, les équipes de maintenance savent exactement où intervenir.

Bon apparemment, là où j'habite, ils n'utilisent pas ça parce que les routes sont des champs de mines, mais si le Maire se chauffe en DIY, ce projet maintenu par un certain Peter va l'intéresser.

C'est sur GitHub et c'est un stack complet pour faire exactement la même chose que les startups spécialisées en nids de poule... un vrai projet end-to-end avec l'entraînement du modèle sur du GPU cloud, une API backend containerisée, et même une app mobile React Native pour scanner les routes depuis votre téléphone.

Le projet s'appelle pothole-detection-yolo et ça utilise YOLOv8, le modèle de détection d'objets qui fait fureur en ce moment dans le domaine de la vision par ordinateur. Concrètement, le modèle a été entraîné sur un dataset de nids-de-poule disponible sur HuggingFace, avec des images de 640x640 pixels. L'entraînement s'est fait sur Nebius Cloud avec des GPUs H100, donc du sérieux, pas du Colab gratuit qui timeout au bout de 20 minutes.

Ce qui est cool avec ce projet, c'est qu'il ne s'arrête pas au modèle. Y'a une API FastAPI complète qui expose deux endpoints : /detect pour envoyer une image et récupérer les bounding boxes avec les scores de confiance, et /health pour vérifier que le service tourne. Le tout est containerisé en Docker avec support GPU automatique. Et si vous avez pas de carte graphique, ça bascule sur CPU.

Et la cerise sur le gâteau, c'est l'app mobile Expo/React Native. Vous ouvrez l'app, vous prenez une photo d'une route avec votre smartphone, l'image est envoyée à l'API, et vous récupérez les détections en temps réel avec les rectangles dessinés autour des nids-de-poule et les pourcentages de confiance affichés. Bref, c'est exactement ce que font les boites tech à plusieurs millions, sauf que là c'est open source sous licence Apache 2.0.

YOLOv8 atteint facilement entre 93 et 99% de précision pour la détection de nids-de-poule selon les variantes utilisées et des chercheurs ont même combiné YOLOv8 avec des données de nuages de points 3D pour atteindre 95.8% de précision sur des tronçons de tests d'environ 5 km. Bref, c'est du solide et ça fonctionne .

Le truc intéressant pour les bricoleurs, c'est que le modèle entraîné est directement téléchargeable sur HuggingFace donc vous pouvez donc skip toute la partie entraînement si vous voulez juste tester le résultat. Une seule commande Docker pour lancer l'API, et vous êtes opérationnel. Pour les plus motivés qui veulent entraîner leur propre modèle avec des données locales de vos routes françaises pleines de cratères, le code d'entraînement est là aussi avec les configs Ultralytics.

Bref, si vous êtes une petite mairie qui veut cartographier l'état de vos routes sans claquer 50 000 euros dans une solution proprio, ou juste un dev curieux de voir comment fonctionne la stack derrière ces caméras intelligentes qu'on voit de plus en plus sur les véhicules de service, ce projet est une mine d'or.

Tout est là , documenté, et ça fonctionne du feu de dieu.

Qui se rappelle de Stunt Car Racer ?

C'était un jeu de course complètement barré sur Amiga où on pilotait une voiture avec un énorme V8 qui crachait des flammes sur des circuits surélevés dans le vide. Si vous avez connu ça à l'époque, vous savez à quel point c'était addictif et ce jeu de 1989 signé Geoff Crammond (le mec derrière les simulations Grand Prix ultra-réalistes) reste encore aujourd'hui une référence en termes de physique de conduite.

Hé bien bonne nouvelle les amis, un remake PC est en cours de développement par des fans passionnés ! Le projet existe depuis 2019, initié par D. Vernon et A. Copland, et il est maintenant maintenu par omenoid et ptitSeb qui continuent de le faire évoluer et contrairement à pas mal de projets fans qui tombent dans l'oubli, celui-ci est bien vivant.

Le concept original était déjà dingue pour l'époque. Vous aviez des circuits surélevés comme des montagnes russes géantes, avec des sauts impossibles, des virages relevés, et surtout le fameux Ski Jump qui faisait flipper tout le monde. Le truc, c'est que si vous ratiez un saut ou que vous alliez trop vite dans un virage, votre caisse tombait dans le vide. Pas de barrières de sécurité, pas de seconde chance, pas de Lakitu Pêcheur... ^^ et votre voiture accumulait aussi des dégâts au fil des courses.

Trop de crashes et au bout d'un moment, c'était game over pour la saison.

Le remake reprend donc tout ça avec une modélisation complète des circuits et une physique de suspension fidèle à l'original. Les développeurs ont aussi récemment intégré un patch qui améliore considérablement le framerate, ce qui rend l'expérience beaucoup plus fluide que le jeu d'origine.

Geoff Crammond en 1987 sur un vrai kart relié à un Commodore 64

Pour ceux qui veulent tester, le projet est disponible sur GitHub avec une version Windows prête à l'emploi . Y'a aussi une version Linux en développement pour les manchots du dimanche.

Ce qui est cool avec ce genre de projet, c'est qu'il permet de redécouvrir des jeux qui ont marqué l'histoire du jeu vidéo mais qui sont devenus quasi injouables sur du hardware moderne. Geoff Crammond avait passé trois ans à développer Stunt Car Racer, en partant d'un simple simulateur de terrain pour Commodore 64 avant de transformer le concept en jeu de course aérien et à l'époque, ce résultat avait été salué, comme l'un des meilleurs jeux de course jamais créés, par Amiga Power qui l'avait classé dans son top 10 de tous les temps.

Bref, si vous avez la nostalgie des années Amiga ou si vous êtes simplement curieux de découvrir un classique qui a influencé pas mal de jeux de course modernes, c'est le moment de tester ce remake. Au pire vous aurez passé un bon moment à vous casser la figure sur le Ski Jump, au mieux vous comprendrez pourquoi les "vieux" en parlent encore 35 ans plus tard...

Source

Si vous cherchez un utilitaire en ligne de commande simple à utiliser qui permette de transférer des fichiers et des répertoires entre 2 ordinateurs, voici un projet très cool qui mérite vraiment le coup d'œil.

Le projet s'appelle Croc et il permet d'envoyer ou recevoir des fichiers au travers d'Internet via un serveur relais, directement depuis le terminal, et cela aussi bien depuis un Mac qu'un Linux ou un Windows. Les transmissions sont chiffrées de bout en bout à l'aide de la méthode PAKE (Password-Authenticated Key Exchange), ce qui permet de générer des clés de chiffrement robustes même à partir de mots de passe faibles. Du coup, même si quelqu'un intercepte votre code de transfert, il ne pourra pas décrypter vos données.

Vous pouvez transférer plusieurs fichiers en même temps, et si par malheur un transfert est interrompu, Croc saura automatiquement le reprendre. Et si vous voulez vraiment améliorer les choses niveau confidentialité, vous pouvez même spécifier un proxy Tor.

L'outil fonctionne sans avoir besoin de configurer quoi que ce soit côté réseau. Pas de serveur à installer, pas de port forwarding à configurer sur votre box, ça passe à travers les firewalls et les NAT sans broncher. Et le petit plus sympa, c'est qu'il supporte IPv6 en priorité avec fallback IPv4.

Pour l'installer, c'est hyper simple. Avec curl :

curl https://getcroc.schollz.com | bash

Sur Mac avec Homebrew :

brew install croc

Sur Windows avec Scoop ou Chocolatey :

scoop install croc

choco install croc

Y'a aussi des packages pour Arch (pacman), Fedora (dnf), Nix, Conda, et même une image Docker si vous préférez.

Pour envoyer un fichier, vous tapez :

croc send FICHIER_OU_DOSSIER

Vous obtiendrez alors un code (genre trois mots random) que vous devrez transmettre à votre destinataire. Celui-ci n'aura qu'à entrer :

croc LE-CODE-RECU

Et hop, la connexion s'établit et le fichier se transfère direct. Vous pouvez même envoyer du texte au lieu d'un fichier avec :

croc send --text "votre message secret"

Et pour les paranos qui ne veulent faire confiance à personne, il est possible de lancer votre propre serveur relais avec :

croc relay

Du coup vous n'êtes plus dépendant des relais publics et tout reste chez vous.

Bref, Croc c'est le genre d'outil qu'on installe une fois et qu'on utilise durant des années car c'est simple, efficace, sécurisé. Et comme ce projet a plus de 33 000 étoiles sur GitHub, je pense que c'est pas juste moi qui trouve ça cool...

Article publié initialement le 15/12/2021 et mis à jour le 19/12/2025

Vous vous souvenez des radios pirates clandestines qui diffusaient de la musique interdite depuis des appartements ou des camionnettes ? Hé bien le même concept revient en force, mais cette fois avec un Raspberry Pi et quelques lignes de Python.

BotWave , c'est un projet open source qui transforme n'importe quel Raspberry Pi en émetteur FM fonctionnel. Vous branchez une antenne sur le GPIO 4 (la broche 7), vous lancez le script, et hop, vous diffusez sur la bande FM comme un vrai pirate des ondes. Vos voisins peuvent alors vous capter sur leur autoradio sans le savoir.

⚠️ Attention : diffuser sur la bande FM sans autorisation de l'ANFR est illégal en France (et dans la plupart des pays). Les sanctions peuvent aller jusqu'à 6 mois de prison et 30 000 € d'amende. En pratique, avec une antenne bricolée, la portée se limite à quelques mètres, mais légalement, même ça reste interdit. Les développeurs recommandent d'ailleurs d'utiliser un filtre passe-bande pour limiter les interférences.

Le truc que j'ai trouvé intéressant avec BotWave, c'est son architecture client-serveur. Vous pouvez contrôler plusieurs Raspberry Pi depuis un seul serveur central, du coup, si vous voulez monter un réseau de diffusion avec des émetteurs disséminés un peu partout, c'est possible. L'interface en ligne de commande permet d'envoyer des fichiers audio, de démarrer ou stopper les diffusions à distance, et de gérer tout ça de manière centralisée.

Pour l'installation, c'est hyper simple. Une seule commande suffit :

curl -sSL https://botwave.dpip.lol/install | sudo bash

Le script vous demande alors si vous voulez installer le serveur, le client, ou les deux. Et c'est parti mon kiki ! Le système détecte automatiquement votre Pi (compatible avec les modèles 0, 1, 2, 3 et 4) et configure tout ce qu'il faut.

Sous le capot, ça utilise PiFmRds pour générer le signal FM et c'est du Python à 75% avec un peu de Shell pour l'installation. Le projet est sous licence GPLv3, donc vous pouvez l'auditer, le modifier, le redistribuer, bref, faire ce que vous voulez avec.

Car quand tout tombe, la radio FM reste un des rares moyens de communication qui fonctionne sans infrastructure centralisée. Pas besoin de serveurs, pas besoin de tours cellulaires. Juste un émetteur, un récepteur, et un peu d'électricité. Les radioamateurs le savent depuis toujours, et avec BotWave, chacun peut monter son propre réseau de diffusion.

En bon geek accro au shopping, vous avez claqué des centaines d'euros dans un SSD NVMe PCIe 5.0 qui promet d'atteindre des vitesses de ouf, mais malheureusement, vous avez l'impression que votre Windows n'en tire pas tout le potentiel... snif... Et ce n'est pas qu'une impression, vous avez raison, et youpi, Microsoft vient enfin de faire quelque chose pour corriger ça.

Le problème, c'est que depuis des années, Windows traite tous les périphériques de stockage comme s'ils étaient de vieux disques SCSI des années 80. En effet, Windows convertit toutes les commandes à destination de votre SSD NVMe ultrarapide, en langage SCSI avant de les exécuter. Un peu comme si vous deviez traduire du français vers le latin puis vers l'anglais à chaque fois que vous voulez dire bonjour. C'est inutilement compliqué et forcément plus lent.

Du coup, Microsoft a décidé de moderniser tout ça avec Windows Server 2025 qui supporte enfin le NVMe natif. Concrètement, plus de traduction SCSI, le système communique maintenant directement avec votre SSD dans sa langue maternelle et les résultats sont plutôt impressionnants !

Car si on en croit Microsoft, en termes de performances, ça représente une augmentation de 80% des IOPS (opérations d'entrée/sortie par seconde) par rapport à Windows Server 2022. Pour vous donner un ordre de grandeur, on passe d'environ 1,8 million d'IOPS à 3,3 millions sur un SSD PCIe 5.0. Et en bonus, le CPU consomme environ 45% de cycles en moins pour chaque opération I/O. Bref, c'est plus rapide ET plus efficace.

Et il y a bien sûr, une raison technique à ces gains massifs. Les SSD NVMe modernes supportent jusqu'à 64 000 files d'attente avec 64 000 commandes chacune. Sauf que l'ancien système SCSI était conçu pour des disques rotatifs avec une seule file et 32 commandes max. Ouch...

Pour l'instant, cette amélioration est disponible uniquement sous Windows Server 2025 et elle est désactivée par défaut. Donc faut l'activer manuellement via le registre avec une commande PowerShell mais Microsoft précise que Windows 11 devrait aussi en bénéficier dans une future mise à jour, une fois que la techno aura fait ses preuves côté serveur.

Voici la fameuse commande :

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides /v 1176759950 /t REG_DWORD /d 1 /f

Bon bah voilà, tout le monde peut redescendre en pression après cette polémique quand Mozilla a annoncé qu'il allait intégrer des fonctionnalités IA dans Firefox. C'est vrai que les forums Reddit sont entrés en fusion, les puristes du logiciel libre en mode révolution, et je ne vous parle pas des menaces de migration vers je ne sais quel fork obscur... Hé bien Mozilla vient de calmer le jeu un bon coup en annonçant un "kill switch" capable de désactiver complètement toutes les fonctionnalités IA.

Ouf...

Le nouveau PDG Anthony Enzor-DeMeo l'a annoncé clairement : Il y aura un moyen simple et définitif de désactiver toutes les fonctions IA de Firefox. Ce truc arrive au premier trimestre 2026 et surtout, une fois activé, aucune fonction IA ne reviendra se glisser en douce après une mise à jour.

C'est définitif.

Ils ont aussi confirmé que toutes les fonctionnalités IA seraient en opt-in. Pour les non-anglophones du fond de la salle, ça veut dire que vous devrez les activer vous-même, car elles ne seront pas activées par défaut. C'est la base du respect utilisateur, mais comme c'est devenu tellement rare, il faut le préciser.

Pour ceux qui utilisent vraiment Firefox au quotidien (comme moi) et qui flippaient de voir leur navigateur préféré se transformer en assistant IA bavard (pas comme moi), vous pouvez souffler. Le kill switch arrive, l'opt-in est confirmé, et Mozilla a visiblement compris que forcer des fonctionnalités dont les gens ne veulent pas c'est le meilleur moyen de les faire fuir.

À noter également que pour les plus radicaux, le fork Waterfox a annoncé qu'il n'intégrerait tout simplement aucune IA, ni maintenant ni dans un futur... C'est donc une alternative pour ceux qui préfèrent la méthode "pas de bouton off parce qu'il n'y a rien à éteindre".

Voilà, affaire classée, on peut passer à autre chose.

Source

Vous pensez que les IA vont nous remplacer et dominer le monde ?

Ahaha, bah y'a encore un peu de boulot... car laissez-moi vous raconter l'histoire de Claude, l'IA d'Anthropic, qui s'est fait rouler comme un bleu par une bande de journalistes et a perdu plus de 1000 dollars en gérant... un distributeur automatique.

L'histoire se passe dans les locaux du Wall Street Journal où Anthropic a eu la brillante idée de tester son IA en situation réelle. Le projet s'appelle "Project Vend" et il s'agit pour Claude, rebaptisé "Claudius" pour l'occasion, de gérer un distributeur automatique. Il peut donc commander les stocks, fixer les prix, et discuter avec les clients via Slack. Budget de départ : 1000 dollars. Autonomie pour les achats jusqu'à 80 dollars pièce.

Que pouvait-il bien se passer de travers ?

Et la réponse c'est : Absolument tout !! Les journalistes du WSJ, visiblement ravis d'avoir un nouveau jouet à casser, se sont mis à tester les limites de la bête et ils n'ont pas eu à chercher longtemps. La journaliste Katherine Long a passé plus de 140 messages à convaincre Claudius qu'il était en fait une machine soviétique de 1962, ce qui a permis à l'IA de déclarer un "Ultra-Capitalist Free-for-All" (oui, c'est assez paradoxal) et a mis tous les prix à zéro. Gratuité pour tout le monde, camarades !

Voilà un outil qui va plaire à ceux qui chassent les failles de sécurité... Ce projet s'appelle Security Skills et c'est un système de compétences pour agents IA (genre Claude Code ou Gemini CLI) qui transforme votre proxy mitmproxy en chasseur de failles automatisé. Vous lui dites "trouve-moi des problèmes de sécurité sur example.com" et l'IA se met à analyser le trafic HTTP intercepté en appliquant des patterns qu'elle a appris de vrais bugs rémunérés.

Le mec derrière cet outil a commencé par récupérer 10 000 rapports de bugs sur HackerOne via un dataset Hugging Face, qu'ensuite, il a filtré pour ne garder que les 4000 qui ont reçu un paiement, partant du principe que si une boîte a sorti le portefeuille, c'est que la faille était sérieuse. Et avec ces 4000 exemples concrets, il a créé 17 Skills différents qui savent détecter des trucs comme les IDOR (quand vous pouvez accéder aux données d'un autre utilisateur juste en changeant un ID dans l'URL), les SSRF, les injections SQL, les fuites de secrets et j'en passe.

Ce qui est malin avec cette approche, c'est qu'il n'a pas essayé de tout coller dans le prompt système du LLM. Comme sa première version avec 150 descriptions de bugs collées directement dans les instructions faisait exploser les coûts et le contexte, il a décidé de découper ça en modules réutilisables. Chaque Skill étant un fichier markdown avec ses propres patterns de détection, quand vous demandez à l'IA de chercher des failles d'authentification, elle va chercher le bon Skill et l'appliquer intelligemment.

Le système tourne avec CodeRunner, un serveur MCP open source qui exécute du code IA dans une sandbox isolée sur Mac donc c'est plutôt moderne, et ça utilise aussi les conteneurs natifs d'Apple pour l'isolation et ça supporte pas mal de LLM différents comme Claude, ChatGPT, Gemini ou même des modèles locaux.

Et le succès est au rendez-vous car l'auteur raconte avoir testé son système sur Vercel et trouvé une faille sur leur endpoint /avatar?u=USERNAME qui permettait d'énumérer les noms d'utilisateurs. Le genre de bug classique IDOR que l'IA a repéré automatiquement en analysant le trafic capturé. Bon, c'est pas le hack du siècle, mais ça prouve que le système arrive à appliquer ce qu'il a appris des vrais rapports de bug bounty.

Pour l'installer, faut cloner le repo CodeRunner, puis lancer l'installeur et le serveur MCP deviendra accessible localement. Ensuite vous pouvez l'utiliser avec n'importe quel client compatible MCP, que ce soit Claude Desktop, Gemini CLI ou même votre propre interface. Les Security Skills sont dans un repo séparé et contiennent toute la logique de détection dérivée des 4000 rapports en question.

Voilà encore un bel exemple de comment on peut vraiment utiliser les LLM pour des tâches de sécurité concrètes, et pas juste pour générer du code. Et j'ai trouvé l'idée d'apprendre à partir de vrais bugs payés plutôt que de documentation théorique, plutôt pas con.

Voilà, si vous faites du bug bounty ou que vous voulez automatiser vos tests de sécu, ça vaut le coup d'y jeter un œil .

Commander Keen, je pense que pas grand monde ne s'en souvient car c'est tellement vieux !! Pour vous rafraichir la mémoire, c'est ce petit gamin au casque de football américain et sa pogo stick qui fait des bonds partout !

Si ça vous parle c'est que vous êtes assez vieux pour avoir connu les débuts d'id Software. Alors vous serez content d'apprendre qu'un passionné du nom de K1n9_Duk3 vient de libérer le code source "reconstruit" des épisodes 1 à 3, pile pour les 35 ans de la série.

Avec ce projet, si vous compilez le code source avec les bons outils d'époque, vous obtiendrez des exécutables 100% identiques aux originaux. Identiques au bit près une fois compressés avec LZEXE ou PKLITE et cela mes amis, ça veut dire que K1n9_Duk3 a réussi à reconstituer exactement ce que John Carmack et sa bande avaient codé en 1990, simplement en analysant les binaires.

J'vous passe les détails techniques que vous pouvez retrouver ici , mais sachez que si vous voulez compiler tout ça, vous aurez besoin de Turbo C++ 1.00 (et surtout pas la 1.01 qui génère du code légèrement différent !) ainsi que Turbo Assembler 2.0 ou supérieur.

Et ce qui est amusant dans l'histoire, c'est que le code de Keen 1-3 réutilise pas mal de bouts de Dangerous Dave, The Catacomb et Hovertank, des projets sur lesquels les futurs fondateurs d'id Software bossaient quand ils étaient encore employés chez Softdisk. Des droits qu'ils n'avaient probablement pas le droit d'exploiter... Mais bon, à l'époque, c'était un peu le far west du shareware.

D'ailleurs, en parlant de cette époque, faut quand même rappeler l'histoire complètement dingue de la naissance de Keen. En septembre 1990, John Carmack bosse de nuit chez Softdisk quand il réussit enfin à créer un scrolling horizontal fluide sur PC. À l'époque, c'était considéré comme impossible, et seules les consoles comme la NES savaient faire ça.

Vous avez des tonnes de vieux documents papier qui traînent dans des cartons, des factures scannées à l'arrache, des formulaires remplis à la main, des tableaux Excel imprimés puis re-scannés par quelqu'un qui n'a visiblement jamais entendu parler du concept de "bien faire son boulot" ?

Considérez que ce problème est réglé puisque Mistral AI vient de sortir OCR 3, un modèle de reconnaissance de documents qui promet de transformer tout ça en données exploitables, et pour pas cher en plus.

Le modèle est capable de déchiffrer du cursif dégueulasse, des annotations griffonnées dans les marges, voire du texte manuscrit par-dessus des formulaires imprimés. Mistral montre même une démo avec une lettre au Père Noël écrite par un gamin et l'OCR arrive à en extraire le contenu structuré. Bon, c'est cool pour les lettres au Père Noël, mais surtout ça veut dire qu'il peut gérer vos ordonnances médicales ou les notes de réunion de votre collègue qui écrit comme un cochon.

Niveau performances, Mistral annonce un taux de victoire de 74% sur leur précédent modèle OCR 2 et sur les solutions concurrentes. Et comme c'est testé sur des cas réels d'entreprises avec des mesures de précision en fuzzy-match, on n'est pas dans du benchmarks théoriques bidon. Le modèle gère les scans pourris avec compression JPEG, les documents de travers, les faibles résolutions, le bruit de fond... Bref, tout ce qui fait que l'OCR traditionnel vous sort de la bouillie.

Et ce qui est vraiment intéressant, c'est surtout la reconstruction structurelle car contrairement aux OCR classiques qui vous crachent un bloc de texte en vrac, Mistral OCR 3 reconstruit la structure du document. Les tableaux complexes avec cellules fusionnées et hiérarchies de colonnes ressortent en HTML propre avec les colspan et rowspan préservés. Vous obtenez du markdown enrichi en sortie, directement exploitable par vos systèmes sans avoir à nettoyer le bordel derrière.

Côté tarifs, c'est 2 dollars pour 1000 pages et si vous passez par l'API Batch, c'est moitié moins cher à 1 dollar les 1000 pages. Pour un modèle qui se dit plus petit que la plupart des solutions concurrentes tout en étant plus précis, c'est plutôt compétitif. Le modèle peut traiter jusqu'à 2000 pages par minute sur un seul nœud, donc même si vous avez des millions de documents à numériser, ça devrait pas prendre des plombes.

Si vous utilisez des conteneurs Docker au quotidien, vous allez sauter de joie car Docker vient d'annoncer que ses Docker Hardened Images (DHI), ces fameuses images ultra-sécurisées qui étaient réservées aux entreprises prêtes à cracher le pognon, sont maintenant gratuites pour tout le monde. Et c'est pas encore un truc limité avec des restrictions à la noix, non non... C'est du vrai open source sous licence Apache 2.0.

Ils proposent donc plus de 1 000 images conteneur prêtes à l'emploi, construites sur Debian et Alpine et ces images sont "durcies", c'est-à-dire qu'elles ont été débarrassées de tous les composants inutiles qui traînent habituellement dans les images de base et qui ne servent qu'à augmenter la surface d'attaque. Du coup, ça leur permet d'annoncer une réduction des vulnérabilités de plus de 95% par rapport aux images classiques. C'est pas maaaal, hein ?

Vous faites un peu de l'électronique et vous utilisez KiCad pour vos PCB ?

Et si l'avenir de la conception électronique c'était aussi l'IA ? J'en sais rien mais ce qui a l'air de se profiler à l'horizon avec ce dataset qui vient de sortir sur Hugging Face et qui devrait intéresser pas mal de monde. Ça s'appelle Open Schematics et c'est une collection de plus de 84 000 schémas électroniques au format KiCad, prêts à être utilisés pour entraîner des modèles d'IA.

Le truc c'est que jusqu'à maintenant, si vous vouliez créer une IA capable de comprendre ou de générer des schémas électroniques, y'avait pas vraiment de dataset propre et bien structuré pour ça. Bhupendra Hada (alias bshada sur Hugging Face) a donc décidé de combler ce manque en compilant tout ça à partir de projets hardware open source trouvés sur GitHub.

Chaque entrée de son dataset contient donc le fichier schéma brut au format .kicad_sch, une image PNG du rendu, la liste des composants utilisés, et des métadonnées en JSON et YAML. Du coup vous avez tout ce qu'il faut pour entraîner un modèle à faire du text-to-image, de l'image-to-text, ou de la génération de circuits à partir de specs.

Le dataset pèse 6,67 Go au format Parquet et couvre une variété de projets assez dingue. On y trouve des cartes de programmation UART, des amplificateurs à tubes, des onduleurs triphasés open source, des points d'extrémité Zigbee, des projets ESP32+RS232, et même des macropads custom. Bref, y'a de tout, du projet étudiant au truc bien avancé.

Ce qui est cool c'est que le dataset est structuré pour plusieurs cas d'usage. Vous pouvez l'utiliser pour entraîner une IA à reconnaître des composants sur un schéma, à générer de la documentation automatique depuis un circuit, à détecter des erreurs de conception, ou même à suggérer des améliorations. Y'a aussi un potentiel éducatif évident pour créer des outils d'apprentissage interactifs en électronique.

Bien sûr, la qualité et la complexité des schémas varient pas mal d'un projet à l'autre. Certains ont des métadonnées incomplètes, et les conventions de nommage des composants sont pas toujours cohérentes... C'est le souci quand on scrappe des projets open source, y'a du bon et du moins bon mais pour un dataset de cette taille, c'est déjà une base de travail solide.

Le tout est sous licence CC-BY-4.0, donc vous pouvez l'utiliser librement du moment que vous créditez la source. Que vous bossiez sur de l'IA appliquée à l'électronique ou que vous cherchiez juste une grosse base de schémas KiCad à explorer, c'est clairement une ressource à bookmarker.

Source