La crise mondiale de la mémoire DRAM continue de s’intensifier sous la pression de l’intelligence artificielle et des centres de données. Pourtant, un segment semble pour l’instant épargné : celui des ordinateurs portables. Intel vient de confirmer que ses futures plateformes sous Lunar Lake et Panther Lake disposent déjà de stocks de mémoire garantissant entre […]
Le feuilleton des cartes graphiques GeForce RTX 50 continue. Selon plusieurs sources industrielles, NVIDIA aurait drastiquement réduit la production de sa GeForce RTX 5070 Ti, au point de créer une pénurie artificielle. L’information provient directement d’ASUS, l’un des plus gros partenaires AIB de NVIDIA, qui a confié à Hardware Unboxed que les stocks de RTX […]
Après la mémoire vive et les cartes graphiques, c’est désormais au tour des disques durs mécaniques de subir une envolée spectaculaire des prix. Selon un suivi réalisé par ComputerBase, les HDD ont vu leur tarif moyen grimper de 46 % entre mi-septembre et aujourd’hui. Une hausse massive, d’autant plus surprenante qu’elle ne résulte pas d’une […]
Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier
un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks
qu'il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !
La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l'utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l'attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d'accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.
La deuxième faille, c'était le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu'on trouve sur des millions de sites web ? Eh bien si vous étiez connecté à Facebook, le plugin pouvait révéler si vous aviez liké une page spécifique ou pas. Un attaquant n'avait qu'à mesurer le nombre de frames dans l'iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.
La troisième était plus technique et bien trouvée. Le fichier signals/iwl.js de Facebook utilise Object.prototype pour ses opérations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs différentes selon l'état de connexion de l'utilisateur, et même récupérer son ID Facebook. Ça, ça valait 3 600 dollars.
Et voilà, la quatrième concernait l'identification des employés Meta eux-mêmes via les domaines internes. Celle-là n'a pas rapporté de bounty (juste un "informative"), mais elle montre bien l'étendue du problème.
Au total, Youssef a empoché 8 400 dollars entre décembre 2024 et mai 2025, le temps que Meta corrige tout ça. Alors oui, c'est cool que ces failles soient maintenant corrigées mais ça fait quand même réfléchir sur la quantité de données qui peuvent fuiter sans même qu'on s'en rende compte.
Pour ceux qui veulent creuser le fonctionnement des
programmes de bug bounty
, c'est vraiment un système génial et hyper vertueux où tout le monde est gagnant. Les chercheurs sont payés pour trouver des failles, les entreprises patchent avant que les méchants n'exploitent. Y'a vraiment de quoi faire dans ce domaine.
Bref, bien joué Youssef Sammouda, grâce à lui quelques failles de moins chez Meta, et ça c'est cool !
TikTok vient de lâcher une info qui va faire grincer des dents tous ceux qui comme moi tiennent à leur vie privée. Le réseau social chinois va prochainement déployer dans l'Union européenne une nouvelle technologie d'intelligence artificielle dont le but est d'estimer si un compte appartient à un utilisateur de moins de 13 ans en analysant... votre comportement.
Fini le simple formulaire où l'on tape une date de naissance bidon, TikTok passe à la vitesse supérieure sous la pression des régulateurs européens. Le système va donc scanner vos infos de profil, les vidéos que vous postez, mais surtout des "signaux comportementaux".
En gros, l'algorithme va analyser comment vous interagissez avec l'app pour prédire votre tranche d'âge. Mais rassurez-vous, si l'IA vous siffle parce qu'elle pense que vous n'avez pas l'âge requis, votre compte ne sera pas banni instantanément, mais envoyé à des modérateurs humains spécialisés là dedans pour une vérification manuelle.
Après même si ça part d'une bonne intention, l'enfer en est pavé et le souci ici c'est que l'analyse comportementale sera constante. Donc si vous avez des centres d'intérêt un peu "jeunes" ou si vous utilisez l'app d'une certaine manière, vous pourriez vous retrouver flaggé par erreur. À l'inverse, un gamin un peu malin pourrait adopter un comportement "adulte" pour passer sous les radars. C'est le jeu du chat et de la souris, mais avec vos données personnelles comme mise de départ.
Et quid de la confidentialité ? Même si TikTok a travaillé en concertation avec la Commission irlandaise de protection des données (DPC) pour que le système respecte les règles de l'UE, ByteDance reste sous surveillance étroite. Je me demande où seront stockés ces signaux comportementaux et surtout à quoi ils serviront d'autre ? De mon point de vue, le risque de dérive vers un profilage publicitaire encore plus intrusif est réel avec ce genre de process...
Maintenant, si votre compte est bloqué et que vous voulez contester, TikTok proposera plusieurs options de confirmation d'âge en backup tels que :
Envoyer un selfie accompagné d'une pièce d'identité.
Effectuer une vérification par carte bancaire (via un micro-débit temporaire).
Utiliser un service tiers d'estimation de l'âge par analyse faciale.
En tout cas, je trouve marrant que pour "protéger les mineurs", on finisse toujours par demander encore plus de données biométriques ou bancaires à tout le monde. Données qui vont encore se retrouver sur BreachForums ou je ne sais où d'ici quelques années...
– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –
Le marché des
batteries externes
est devenu une véritable jungle où il est parfois compliqué de distinguer l'innovation du simple gadget marketing. Pourtant, de temps en temps, un produit arrive sur mon bureau et coche absolument toutes les cases, au point de rendre obsolète tout ce que j'ai pu utiliser auparavant.
C'est exactement le cas de la
KUXIU S3
, une batterie magnétique de 10 000 mAh qui ne se contente pas de recharger votre téléphone, mais qui embarque les toutes dernières technologies comme le Qi2.2 et surtout une conception "Solid-State" franchement rassurante. Si vous cherchiez le compagnon de route idéal pour vos iPhone 16, 17 ou même votre iPad, vous pouvez arrêter vos recherches ici, c’est la batterie externe ultime.
La première chose à noter avec cette KUXIU S3, c'est donc l'intégration de la technologie de batterie à l'état semi-solide. Pour faire simple, contrairement aux batteries lithium-ion classiques qui contiennent un électrolyte liquide potentiellement instable, celle-ci utilise une structure semi-solide. Concrètement, ça veut dire une densité énergétique bien supérieure, une meilleure dissipation de la chaleur et surtout une sécurité améliorée face aux risques de gonflement ou d'incendie. C'est un argument de poids si vous voyagez souvent ou si vous êtes du genre à laisser votre batterie au fond d'un sac en plein été. En plus, cette technologie permet de tripler la durée de vie de l'accessoire, promettant plus de 1000 cycles de charge, là où la concurrence s'essouffle parfois après 300 ou 400 cycles. C'est un investissement sur la durée, et c'est exactement ce qu'on attend d'un bon accessoire tech.
Là où la KUXIU S3 met aussi tout le monde d'accord, c'est sur la vitesse de charge. Elle est l'une des rares sur le marché à être certifiée Qi2.2, ce qui lui permet de délivrer une puissance de 25W en sans-fil pour les derniers smartphones comme les iPhones récents. C'est assez simplement fou de voir enfin la jauge de batterie remonter aussi vite sans aucun câble branché, atteignant des performances quasi similaires à une charge filaire classique. Bien entendu, si vous avez un modèle plus ancien comme un iPhone 12 ou 15, elle s'adaptera parfaitement en 15W, ce qui reste très confortable. La force des aimants N52 assure que le téléphone reste littéralement collé à la batterie.
L'ergonomie a également été pensée pour ceux qui, comme moi, détestent s'encombrer de câbles qui traînent. La S3 intègre un câble USB-C tressé directement dans son châssis, qui sert non seulement à recharger la batterie elle-même, mais aussi à délivrer jusqu'à 35W en sortie. C'est une puissance suffisante pour recharger très rapidement un iPhone, mais aussi pour donner un sérieux coup de boost à un iPad Pro ou même dépanner un MacBook Air en cas d'urgence. Ce câble est robuste, détachable si besoin d’en brancher un plus long ou avec une connectique différente, et se range discrètement sur le côté, ce qui rend l'ensemble incroyablement compact et facile à glisser dans une poche de veste. Il y a aussi un port USB-C en plus pour brancher un second câble, ou recharge la batterie.
En plus de la puissance brute, ce sont les petits détails qui rendent l'utilisation de cette batterie si agréable au quotidien. Vous allez aimer l'écran numérique situé sur la tranche inférieure, qui affiche clairement le pourcentage exact de batterie restante. C'est fini le temps où l'on devait deviner l'autonomie restante avec quatre petites LED à la con. KUXIU a aussi eu la bonne idée d'intégrer un pied rétractable au dos de l'appareil. Ce qui transforme votre batterie en un support idéal pour regarder une série dans le train ou passer un appel vidéo en mode portrait ou paysage, tout en continuant à charger votre smartphone à pleine vitesse.
En termes d'autonomie pure, les 10 000 mAh sont largement suffisants pour les journées les plus intenses. Lors de mes tests, j'ai pu recharger complètement un iPhone Pro et avoir encore assez de jus pour une recharge partielle supplémentaire, atteignant presque les deux charges complètes selon les modèles. Le tout est contenu dans un format qui, bien que légèrement plus épais qu'un modèle de 5000 mAh, reste très contenu grâce à la densité de la technologie Solid-State. Le tout respire la qualité de fabrication et la solidité.
(Oui carrément)
Bref, vous l’avez compris, cette
KUXIU S3
s'impose comme une référence incontournable pour quiconque souhaite profiter des vitesses de charge maximales offertes par les smartphones modernes. Entre sa technologie de batterie sécurisée et durable, sa charge sans fil ultra-rapide de 25W, son câble intégré polyvalent et son écran de contrôle précis, elle ne fait aucun compromis. C'est un produit mature, bien fini et terriblement efficace qui justifie largement son prix sous les 60 euros. Je vous la recommande donc les yeux fermés,
et elle est disponible en promo sur Amazon en plus
.
Vous vous souvenez de Top Gun sur NES ? Ce jeu culte des années 80 où vous incarniez Maverick dans des combats aériens endiablés ? Hé bien si vous y avez joué, vous avez forcément vécu LE traumatisme du jeu : l'atterrissage sur le porte-avions.
Je ne sais pas combien de manettes ont été explosées à cause de cette séquence de torture, mais ça doit se compter en millions. Vous avez beau suivre les instructions à l'écran "Alt. 200 / Speed 288", faire exactement ce qu'on vous dit, et PAF... crash. Retour à la case départ.
Toutefois, c'était sans compter sur ce développeur qui a eu la bonne idée de faire du reverse engineering sur le code assembleur du jeu pour comprendre ce qui se passait vraiment derrière cette mécanique diabolique.
Et en fouillant dans les entrailles du code NES, il a découvert que pour réussir l'atterrissage, il fallait respecter 3 critères simultanément. D'après l'analyse du code, l'altitude doit être entre 100 et 299 (une plage plutôt large, ouf), la vitesse entre 238 et 337 (déjà plus serré), et surtout l'alignement latéral avec le porte-avions qui est lui ultra strict. Et c'est là que ça devient chaud, parce que ce dernier paramètre, on ne le voit pas à l'écran. Vous pouvez avoir l'altitude parfaite et la vitesse au poil, si vous êtes décalé de quelques pixels à gauche ou à droite, c'est muerto pépito.
La direction est stockée en mémoire comme un entier signé allant de -32 à +32, puis convertie en une plage de 0 à 7. Autant dire que la marge d'erreur est ridicule...
Le plus intéressant dans son reverse, c'est de voir comment le code vérifie tout ça. La fonction "landing_skill_check" fait des vérifications séquentielles super basiques avec des codes d'erreur du genre : Altitude hors limites ? Code d'erreur 2. Vitesse hors limites ? Code 4. Direction hors limites ? Code 8.
Et ces codes d'erreur déterminent même l'animation de crash que vous allez voir. Du coup, si vous crashez souvent de la même façon, c'est probablement toujours le même paramètre qui foire.
Les valeurs sont stockées en BCD (Binary Coded Decimal) pour faciliter l'affichage à l'écran, et on peut les trouver aux adresses $40-$41 pour la vitesse, $3D-$3E pour l'altitude, et $FD pour la direction. Le résultat de la vérification se retrouve à l'adresse $9E. Voilà, maintenant vous savez où regarder si vous voulez tricher avec un
émulateur
.
D'ailleurs, en parlant de triche, l'auteur de cette analyse a même créé un code Game Genie spécifique pour contourner toute cette galère : AEPETA. Tapez ça et vous atterrirez à tous les coups, peu importe à quel point vous pilotez comme un manche.
Bref, voilà un mystère de 35 ans enfin résolu grâce au reverse engineering. Et si vous voulez vous replonger dans cette torture en connaissance de cause, vous savez maintenant que c'est probablement l'alignement qui vous a eu, pas votre skill.
Ces dernières semaines, Grok s’est de nouveau retrouvé au centre de polémiques liées à la création et à la diffusion d’images sexuelles non consenties. En France, ces pratiques ont conduit l’ARCOM (Autorité de régulation de la communication audiovisuelle et numérique) à sortir de sa réserve et à rappeler publiquement les droits et recours à la […]
Depuis plusieurs années, les formats courts ont profondément modifié les usages. Pensés pour capter rapidement l’attention, ils s’imposent aussi bien chez les adultes que chez les plus jeunes, au point de susciter de nombreuses interrogations sur leur impact. Face à la pression des parents, des experts et des régulateurs, YouTube est prêt à renforcer son […]
Lancée discrètement en janvier 2001, Wikipédia est devenue en vingt-cinq ans l’un des sites les plus consultés au monde. Gratuite, collaborative et sans publicité, l’encyclopédie en ligne a profondément transformé l’accès au savoir. Mais à l’heure où les usages évoluent rapidement, et devant l’arrivée de Grokipedia, son modèle historique se retrouve confronté à une nouvelle […]
Outil de référence pour analyser l’évolution des requêtes sur le moteur de recherche, Google Trends est largement utilisé par les journalistes, les créateurs de contenus et les professionnels du marketing. Jusqu’ici, la plateforme reposait surtout sur la capacité des utilisateurs à formuler les bons mots-clés et à imaginer les comparaisons pertinentes. Avec une nouvelle mise […]
Derrière chaque modèle d’IA performant se cache un besoin constant de contenus fiables, structurés et exploitables. Face à cette réalité, les acteurs de la tech cherchent encore l’équilibre entre la protection des créateurs, l’accès à l’information et la viabilité économique. Et Cloudflare, de son côté, semble vouloir jouer un rôle dans cette recomposition… Human Native, […]
Chaque début d’année, le Digital Report de We Are Social et Meltwater s’impose comme un baromètre attendu des usages numériques. L’édition France 2026 ne se contente pas d’aligner des chiffres : elle dessine une évolution nette des comportements en ligne, entre des réseaux sociaux de plus en plus contemplatifs, des plateformes aux usages bien distincts […]
Depuis plusieurs années, Apple avance prudemment sur le terrain de l’intelligence artificielle générative. Là où Google, Microsoft ou Meta investissent massivement dans leurs modèles et leurs infrastructures, Apple a choisi une trajectoire plus mesurée. L’annonce de l’intégration de Gemini dans Siri marque toutefois un tournant : Apple reconnaît ses limites actuelles, tout en cherchant à […]
Le nouveau rapport du Reuters Institute fait figure de boussole pour les dirigeants des médias. L’édition 2026, fondée sur une enquête menée auprès de 280 responsables de presse dans 51 pays, dresse un constat sans détour. En effet, le journalisme entre dans une phase de recomposition accélérée. Entre la montée en puissance des créateurs, l’érosion […]
Si avec Copilot, Microsoft promet une interaction fluide et sécurisée entre l’utilisateur et son environnement Windows, cette relation de confiance peut aussi devenir un angle d’attaque. En effet, une découverte récente d’une vulnérabilité particulièrement sournoise, capable d’exploiter Copilot sans éveiller le moindre soupçon. Reprompt, une attaque qui exploite la confiance dans Copilot La faille, révélée […]
Après l'attaque massive de septembre 2025 qui a vérolé 18 packages ultra-populaires (coucou
debug et chalk
) et la campagne
Shai-Hulud
2.0 qui a siphonné les credentials cloud de 25 000 dépôts GitHub, on peut le dire, on est officiellement dans la sauce. Surtout si vous êtes du genre à faire un npm install comme on traverse l'autoroute les yeux bandés ! Il est donc temps de changer vos habitudes parce qu'entre les crypto-stealers qui vident vos portefeuilles en 2 heures et les malwares qui exfiltrent vos clés AWS, l'écosystème JavaScript ressemble de plus en plus à un champ de mines.
Le rayon d'action de la campagne Shai-Hulud 2.0 - une véritable moisson de secrets (
Source
)
D'ailleurs, beaucoup se demandent comment savoir si un package npm est vraiment sûr. Et la réponse classique, c'est de lire le code de toutes les dépendances. Ahahaha... personne ne fait ça, soyons réalistes. Du coup, on se base sur la popularité, sauf que c'est justement ce qu'exploitent les attaques supply chain en ciblant les mainteneurs les plus influents pour injecter leurs saloperies.
C'est là qu'intervient safe-npm, une petite pépite qui va vous éviter bien des sueurs froides. Cela consiste à ne jamais installer une version de package publiée depuis moins de 90 jours. Pourquoi ? Parce que l'Histoire nous apprend que la plupart des compromissions massives sont détectées et signalées par la communauté dans les premiers jours ou semaines. Ainsi, en imposant ce délai de "quarantaine", vous laissez aux experts en sécurité le temps de faire le ménage avant que le malware n'arrive sur votre bécane.
Et hop, un souci en moins !
La supply chain npm, le nouveau terrain de jeu préféré des attaquants (
Source
)
Concrètement, si vous voulez react@^18 et que la version 18.5.0 est sortie hier, safe-npm va poliment l'ignorer et installer la version précédente ayant passé le test des 90 jours.
Pour l'installer, c'est du classique :
npm install -g @dendronhq/safe-npm
Ensuite, vous l'utilisez à la place de votre commande habituelle. L'outil propose des options bien pratiques comme --min-age-days pour ajuster le délai, --ignore pour les packages que vous savez sains (ou critiques), et surtout un mode --strict parfait pour votre CI afin de bloquer tout build qui tenterait d'importer du code trop frais pour être honnête. Y'a même un --dry-run pour voir ce qui se passerait sans rien casser, c'est nickel.
Alors oui, ça veut dire que vous n'aurez pas la toute dernière feature à la mode dès la première seconde. Mais bon, entre avoir une nouvelle icône dans une lib de CSS et voir son compte AWS se faire siphonner par un groupe de hackers russes, le choix est vite fait, non ? Perso, je préfère largement ce filet de sécurité, surtout quand on voit que les attaquants utilisent maintenant Gemini ou Qwen pour réécrire leur code malveillant à la volée afin d'échapper aux antivirus.
Bien sûr, ça ne remplace pas un bon
scanner de malware spécifique
ou une lecture attentive des vulnérabilités, mais c'est une couche de protection supplémentaire qui coûte rien et qui peut sauver votre boîte. À coupler d'urgence avec les recommandations de la CISA comme la MFA résistante au phishing et la rotation régulière de vos credentials.
Bref, si vous voulez kiffer votre code sans avoir l'impression de jouer à la roulette russe à chaque dépendance ajoutée, safe-npm est clairement un indispensable à rajouter dans votre caisse à outils de dev paranoïaque.
Allez sur ce, codez bien et restez prudents (et gardez un œil sur vos
backdoors générées par IA
, on sait jamais ^^).
Vous savez comment ça se passe, on traîne sur le web, on tombe sur un article passionnant de 4 000 mots sur Korben.info, mais on n'a absolument pas le temps de le lire là, tout de suite. Alors on ouvre un onglet. Puis deux. Puis cinquante. Et à la fin de la semaine, votre navigateur ressemble à une forêt vierge de Favicons et votre RAM pleure du sang.
Pourtant, il existe des solutions comme
Wallabag
(ou feu-Pocket), mais si vous êtes un peu maniaque du contrôle comme moi, vous cherchez peut-être un truc plus moderne, plus léger et surtout que vous pouvez également héberger vous-même sur votre propre serveur. C'est là que Readeck entre en scène.
C'est un outil de "read-it-later", c'est-à-dire une application qui vous permet de sauvegarder du contenu web pour le consulter plus tard, une fois que vous avez la tête reposée. L'idée de Readeck, c'est donc de garder l'histoire mais de virer tout le reste : les pubs, les popups de cookies qui vous sautent au visage et les mises en page qui font mal aux yeux. On se retrouve avec un texte pur, propre, et une interface qui ne vous agresse pas.
Ce que j'ai trouvé super cool, c'est que ça ne se contente pas des articles de blog. Vous pouvez y balancer des photos, des vidéos et même des liens YouTube. Et là, petit bonus qui tue, Readeck est capable de récupérer automatiquement la transcription des vidéos quand elle est dispo. Du coup, vous pouvez lire la vidéo au lieu de l'écouter, surligner les passages importants et faire des recherches dedans comme si c'était un bête article de presse.
Niveau fonctionnalités, c'est assez complet. On peut organiser ses lectures avec des labels, marquer des favoris, et surtout utiliser une extension de navigateur pour sauvegarder un lien en un clic. Et si vous êtes plutôt lecture sur liseuse avant de dormir, sachez que vous pouvez exporter vos articles ou des collections entières au format EPUB. Hop, vous envoyez ça sur votre Kindle ou votre Kobo et c'est parti pour une lecture sans distraction.
Pour l'installation, c'est vraiment le bonheur des geeks. Le truc est distribué sous la forme d'un seul fichier binaire (un exécutable, quoi), sans aucune dépendance. Pas besoin de se taper l'installation d'une base de données complexe ou d'un serveur web usine à gaz pour commencer à jouer. Ça tourne sous Linux, macOS et Windows, et si vous préférez Docker, y'a une image officielle qui fait le job parfaitement.
Le développeur explique que ça tourne sans souci sur un vieux Raspberry Pi 2 qui traîne au fond d'un tiroir. Il faut compter environ 512 Mo de RAM pour être large, car l'outil peut consommer un peu de ressources quand il traite des grosses images dans les articles.
Et si vous n'avez pas envie de gérer votre propre serveur, l'équipe prévoit de lancer un service hébergé courant 2026. Ça permettra de soutenir le projet financièrement tout en profitant de l'outil sans mettre les mains dans le cambouis. En attendant, c'est du logiciel libre, c'est propre, et ça fait un excellent complément à un
gestionnaire de bookmarks comme Linkding
.
Bref, si vous cherchez une alternative solide et auto-hébergée pour nettoyer vos onglets et enfin lire tout ce que vous avez mis de côté, jetez un œil à
Readeck
, ça vaut vraiment le détour !
Connexion
(Oui carrément)
