2>&1, >, >>, 2>/dev/null... Si ces symboles dans votre terminal Linux ou macOS vous font autant flipper qu'un regex, respirez un grand coup ! Quand vous aurez lu cet article, vous verrez qu'en fait c'est super simple à comprendre, et en 5 minutes vous saurez enfin ce que vous copiez-collez depuis des années depuis StackOverflow.

En fait, dans les shells Unix (bash, zsh, etc.), y'a 3 canaux de base : stdin (entrée, numéro 0), stdout (sortie normale, numéro 1) et stderr (les erreurs, numéro 2). Tout le reste, de > à 2>/dev/null, découle de ces 3 numéros.

> - Écrire dans un fichier (et tout écraser)

echo "Salut" > fichier.txt

echo "Ligne 2" >> fichier.txt

commande_foireuse 2> erreurs.log

commande > output.log 2>&1

commande &> output.log

find / -name "*.conf" 2>/dev/null

Si vous utilisez Ubuntu 26.04, vous avez peut-être remarqué un truc bizarre dernièrement en tapant votre mot de passe sudo... Ouiiiiii, y'a des petites étoiles qui apparaissent !! Pas de panique, c'est "normal". Enfin, c'est nouveau...

En effet, sudo-rs, la réécriture en Rust de la bonne vieille commande sudo, a décidé d'activer pwfeedback par défaut. En gros, quand vous faites un sudo apt install bidule, au lieu du trou noir habituel, vous voyez maintenant des ***** défiler pendant la saisie du mot de passe. C'est un changement qui casse une convention vieille de 40 ans... et ça, forcément, ça fait du bruit !

Pour rappel, Ubuntu a basculé sur sudo-rs (le remplaçant en Rust du bon vieux sudo en C) depuis la version 25.10. Ça fait partie du même mouvement de réécriture des outils système en Rust, comme les coreutils dont je vous avais parlé. Et la 26.04 vient de "cherry-picker" comme on dit, un patch upstream qui active le feedback visuel par défaut.

Un bug report sur Launchpad ( #2142721 ) est bien sûr arrivé direct, en mode vénère genre "*ÇA FAIT DES DÉCENNIES qu'on n'affiche pas la longueur du mot de passe pour empêcher le shoulder surfing ! C'est quoi ce bordel !!?? *"

Et la réponse des devs : Won't Fix. Circulez les relous !

En fait, leur argument c'est que le bénéfice sécurité est "infinitésimal". Parce que bon, votre mot de passe sudo c'est le même que celui de votre session (celui que vous tapez à l'écran de login, devant tout le monde). Et le bruit des touches trahit déjà la longueur de toute façon. Du coup, ils ont préféré régler le problème UX qui paume les débutants depuis le début des années 80.

D'ailleurs, en 2013 je vous expliquais comment activer ces étoiles manuellement avec sudo visudo (ça date de fou !!) et maintenant c'est l'inverse, faut expliquer comment les virer ! Linux Mint avait d'ailleurs déjà sauté le pas de son côté depuis un moment.

Perso, le truc qui me gonfle c'est pour les tutos vidéo. Quand vous faites un screencast, les astérisques révèlent la longueur de votre mot de passe à tous vos spectateurs. Du coup faut aller reparamétrer chaque machine avant de filmer ou faire du masquage en post prod. C'est pas la fin du monde, mais bon, la flemme...

Alors pour désactiver ces jolies zétoiles :

sudo visudo

Defaults !pwfeedback

Des faux entretiens d'embauche avec des repos GitHub vérolés pour piéger les devs Next.js... on croit rêver et pourtant, Microsoft vient de documenter cette campagne ciblée et vous allez voir, c'est violent.

En fait, un groupe de hackers se fait actuellement passer pour des recruteurs et contacte des développeurs JavaScript en leur proposant un entretien technique. Le deal c'est de cloner un repo GitHub pour un "test de compétences"... sauf que le repo en question est truffé de malware.

Microsoft a ainsi identifié plusieurs vecteurs d'infection planqués dans ces repos. Le premier, c'est via les fichiers de configuration VS Code, c'est à dire ceux dans le dossier .vscode/, qui peuvent exécuter du code dès que vous cliquez "Trust" à l'ouverture du projet (ce que la plupart des devs font sans réfléchir).

Le deuxième passe par un npm run dev piégé, la commande de dev classique qui lance le malware en même temps que le serveur (car oui, c'est aussi simple que ça...).

Et le troisième est encore plus sournois puisqu'il s'agit d'un module backend qui décode une URL depuis le fichier .env, exfiltre toutes les variables d'environnement (tokens cloud, clés API...), puis exécute du JavaScript reçu en retour. Sympaaaaaa....

Du coup, le malware est plutôt bien pensé. C'est un loader JavaScript qui se télécharge depuis l'infrastructure Vercel (comme ça, ça a l'air légitime), et qui s'exécute entièrement en mémoire, et spawne un processus Node.js séparé pour ne pas éveiller les soupçons. Une fois installé, il se connecte alors à un serveur C2 qui change d'identifiant régulièrement, histoire de compliquer la détection. Et là, ça se met à exfiltrer tout ce qui traîne... code source, secrets, credentials cloud... bref, tout ce qui a de la valeur.

Alors, comment on se protège de ce genre de menace quand on est un simple dev ? Hé bien déjà, vérifiez le profil du "recruteur". Pas de site d'entreprise vérifiable, des messages génériques... c'est un joli red flag !

Ensuite, avant de lancer quoi que ce soit, lisez le package.json à la recherche de scripts suspects dans preinstall, postinstall ou prepare, inspectez le dossier .vscode/ (surtout tasks.json), et faites un npm install --ignore-scripts pour bloquer l'exécution automatique des hooks. Lancez aussi un safe-npm et un npm audit une fois les dépendances installées. Et côté VS Code, désactivez l'exécution auto des tasks avec "task.allowAutomaticTasks": "off" dans vos settings.

Ça me rappelle les campagnes type Shai-Hulud et les packages npm vérolés , mais avec un vecteur social bien plus élaboré. Le piège, c'est qu'on ne balance plus des packages malveillants dans le registry en espérant qu'un dev les installe par erreur... non, non, on cible directement les développeurs, un par un, en exploitant ce stress de la recherche d'emploi comme le ferait un conseiller France Travail quand vous arrivez en fin de droits chomdu...

Et si vous êtes en pleine recherche d'emploi, attention, ne lancez JAMAIS un projet d'un inconnu dans votre environnement principal. Utilisez une VM, un container Docker (docker run --rm -it -v $(pwd):/app node:20 bash et c'est réglé), ou au minimum un compte utilisateur séparé sans accès à vos tokens et clés SSH. On n'est jamais trop prudent !

Maintenant vous savez... si un recruteur vous envoie un repo GitHub sans profil LinkedIn ni site d'entreprise véritable et vérifiable... c'est que c'est pas un recruteur. Voilà voilà...

Source

Claude Code tourne en local et c'est son gros avantage car ça permet par exemple d'agir sur votre machine, de lancer des scripts...etc. Mais c'est aussi sa grosse limite car à cause de ça, vous êtes cloué devant votre terminal. J'étais en quête depuis un moment d'une solution et je vous avais déjà parlé de Vibe Companion y'a pas longtemps mais tous ces outils vont disparaitre puisque Anthropic vient de sortir Remote Control, une feature qui transforme claude.ai ou l'app mobile en télécommande pour votre session locale. Comme ça, vos fichiers restent chez vous et seule l'interface voyage.

Votre ordi fait tourner Claude Code normalement, et vous, vous pouvez continuer à lui parler depuis votre iPhone, votre Android, votre iPad ou n'importe quel navigateur Chrome, Firefox, Safari... Pas de serveur exposé, pas de port ouvert, que du HTTPS sortant. C'est plutôt bien foutu vous allez voir !

Ce qu'il vous faut

Bon déjà, un abonnement Pro (Édit : ? on me dit que c'est pas encore actif pour les pro ?) ou Max (pas le choix, les clés API ne marchent pas et les plans Team/Enterprise sont exclus pour le moment). Ensuite, vérifiez que Claude Code est installé et que vous êtes connecté via /login. Acceptez ensuite le "workspace trust" dans votre projet et hop, c'est tout côté prérequis.

Lancer une session

Deux options s'offrent à vous ensuite... Soit vous démarrez une nouvelle session dédiée :

claude remote-control

Les clés API Google que vous collez dans votre JavaScript pour afficher une carte Maps... hé bien elles ne sont plus si inoffensives. Car depuis que Gemini est entré dans la danse, ces mêmes clés donnent maintenant accès à vos fichiers privés et surtout à votre facture IA.

Et personne ne nous a prévenu...

En gros, Google utilise un format de clé unique, les fameuses AIza..., aussi bien pour Maps et Firebase (public, collé dans le HTML, tout le monde s'en fout) que pour Gemini (privé, accès aux fichiers, facturation). Le problème c'est que quand vous activez l'API Gemini sur un projet Google Cloud, TOUTES les clés existantes de ce projet héritent automatiquement de l'accès Gemini. Sans warning, sans notification, sans rien... Ouin !

Les chercheurs de TruffleSecurity ont ainsi trouvé presque 3000 clés API Google valides dans le dataset Common Crawl de novembre 2025. Des clés qui trainent dans du code JavaScript, des pages HTML, des repos GitHub publics... et qui fonctionnent sur l'endpoint Gemini. Il suffit d'un simple curl avec une clé Maps récupérée sur un site web, et hop, vous accédez à l'API Gemini du propriétaire. Fichiers privés, contenu en cache, facturation sur son compte.

Et parmi les victimes, on trouve des institutions financières, des boîtes de cybersécurité, et... Google eux-mêmes (oui oui, vraiment).

Le 21 novembre 2025, TruffleSecurity signale donc le problème et la réponse de Google le 25 novembre c'est : "intended behavior" (comportement normal)... Sauf que le 2 décembre, Google a reclassifié ça en bug, puis le 13 janvier 2026, ça passe finalement en Tier 1. On est donc passé du "c'est normal les frérots" à "ah oui quand même, oupsi oups", en 7 semaines.

Maintenant, pour ceux qui se demandent si leurs clés API Google sont concernées, direction console.cloud.google.com , section "APIs & Services" puis "Identifiants".

Si vous voyez l'API " Generative Language " de Gemini API activée sur un projet avec des clés non restreintes... attention, c'est le moment de faire le ménage. Ajoutez des restrictions IP ou HTTP referrer, et surtout, utilisez des comptes de service plutôt que des clés API pour tout ce qui touche à Gemini (sauf si vous aimez les surprises sur votre facture ^^).

Le truc tordu, c'est que la doc Firebase dit noir sur blanc que les clés API ne sont pas des secrets. Google Maps vous dit carrément de les coller dans votre HTML. Et maintenant, ces mêmes clés donnent accès à une IA qui peut lire vos fichiers. Du CWE-1188 pur et dur ! Et c'est pas la première fois que Google se fait taper sur les doigts pour ce genre de souci avec Gemini .

Du coup, Google a annoncé des nouvelles mesures, du scoped defaults, du blocage de clés fuités, des notifications proactives...etc. Reste donc à voir si ça arrivera avant que les presque 3000 clés exposées soient exploitées par des gens moins bien intentionnés.

Bref, dix ans à dire que c'est public, et hop, aujourd'hui c'est devenu top secret. Bien joué Google !!

Source

Your desk says more about you than you think. It isn’t just a surface—it’s a quiet reflection of how you work, how you think, and how seriously you take the space where ideas are born. The minimalist studio aesthetic isn’t about stripping everything bare; it’s about choosing objects that genuinely earn their place. Every piece should serve a purpose and feel entirely deliberate. A considered desk doesn’t just organize—it inspires.

From gravity-defying pens to waterproof notebooks built to outlast everything you throw at them, the design world is quietly rethinking what it means to be at your desk. This list gathers five accessories that don’t just look good—they change how you work. Whether you’re a freelancer building a mobile studio, a creative professional craving calm, or someone who simply believes tools should match the quality of their thinking, these picks deliver.

1. Levitating Pen 2.0: Cosmic Meteorite Edition

The Levitating Pen 2.0 Cosmic Meteorite Edition isn’t the kind of thing you tuck away in a drawer. Balanced at a precise 23.5-degree angle on a spacecraft-inspired pedestal, it hovers in place as it belongs behind glass—and arguably, it does. Crafted from aircraft-grade aluminum, shaped from a single block of material, it’s as tactile as it is visually appealing. A flick sends it spinning for up to 20 seconds, which sounds like a trick until you realize it genuinely helps you think and refocus between tasks.

What sets this edition apart from any other writing instrument is its tip—a genuine fragment of the Muonionalusta meteorite, one of the oldest ever discovered, predating Earth itself. Writing with it carries a strange, grounding quality that’s difficult to explain until you’ve held it. The premium Schmidt ink cartridge inside delivers a smooth, reliable experience, and the magnetic cap snaps shut with quiet, satisfying precision. The entire object settles into a minimalist desk layout with an authority that only truly considered design can project naturally.

Click Here to Buy Now: $399.00

What We Like

• The meteorite tip connects the act of writing to a material that predates the planet itself.
• The spin function delivers genuine cognitive value, supporting creative focus between tasks.

What We Dislike

• At $399, this is collector territory—a significant ask for everyday stationery.
• The pedestal demands dedicated desk real estate, which works against ultra-minimal setups.

2. Dynamic Folio

If your iPad has become your primary creative tool, the MOFT Dynamic Folio is the stand it’s been waiting for. Built as a single-piece structure that folds into a workstation, lifting the iPad two full inches off the surface, it shifts posture meaningfully without requiring any complicated setup procedure. What separates it from comparable stands is how smoothly it transitions between modes—one flip moves you from active creation to relaxed viewing without the clunky two-handed repositioning that most alternatives demand of you.

For anyone logging serious hours at a creative desk, neck strain is a quiet but compounding tax on productivity that accumulates gradually across sessions. The Dynamic Folio addresses this directly, reducing neck strain by at least 50 percent in both creation and entertainment positions. The angle adjustment is icon-guided: two circles for a flatter, reclined position and two lines for a steeper working angle. When the session ends, it folds flat and disappears into any bag without resistance. For the mobile creative, this is a quietly essential kit.

What We Like

• The single-piece structure sets up in one motion with no extra components to manage.
• A 50 percent reduction in neck strain is an ergonomic improvement that compounds meaningfully over time.

What We Dislike

• The icon-guided angle system has a short but real learning curve for first-time users.
• Its value is closely tied to iPad-centric workflows and doesn’t adapt well to mixed-device setups.

3. M NOTE

Sticky notes have a quiet design problem nobody talks about: they curl. The moment a note starts peeling at its corner, the information it holds becomes harder to read and easier to lose, which defeats the entire point of having written it down. M NOTE from Bravestorming solves this with a dual-material approach that combines a magnetic backing with a reusable adhesive layer, keeping notes flat and secure against whiteboards, glass panels, and wooden desks alike. No unfolding, no repositioning—just consistently readable information exactly where you left it.

What makes M NOTE genuinely useful in a minimalist workspace is its adaptability across surface types. On metal, the magnetic backing does the adhesion work entirely. On non-metal surfaces, the reusable adhesive steps in—releasing cleanly, leaving no residue, and repositioning without damaging what it’s applied to. Notes can be written on, cleared, and reused, which cuts the paper waste that most desk setups generate almost invisibly. Bravestorming has taken one of the most throwaway items in any modern office and built something designed to stay indefinitely.

What We Like

• The dual magnetic and adhesive backing works across metal, glass, and wood surfaces without accommodation.
• Flat, curl-free notes keep information consistently visible throughout the working day.

What We Dislike

• Reusable adhesive degrades gradually with heavy, repeated repositioning over time.
• The magnetic backing only activates on metal surfaces, limiting one of its two core functions.

4. Orbitkey Desk Mat

Most desks don’t have a clutter problem—they have a structure problem. The Orbitkey Desk Mat addresses this with quiet intelligence, creating a defined visual zone that makes the act of organizing feel natural rather than forced. Available in Black and Stone across two sizes, it suits both compact setups and expansive studio tables without demanding that you rethink the whole room around it. The toolbar keeps stationery and small accessories within immediate reach, while the overall layout keeps everything purposeful and within the logic of a genuinely considered workspace.

What makes the Desk Mat more than a surface upgrade is the document hideaway built beneath the top layer. Loose papers, reference notes, and half-finished ideas slide underneath and stay flat, accessible, and out of visual range until you actually need them. It’s an elegant solution to a problem every desk accumulates quietly over time—the slow migration of paper that eventually surrounds the work instead of supporting it. With two colors and two sizes to choose from, the Desk Mat earns its place not just as a design object but as the organizing logic your workspace has been missing.

What We Like

• The document hideaway keeps loose papers accessible without letting them visually take over the desk.
• Two sizes and two colorways make it adaptable to almost any workspace scale and aesthetic.

What We Dislike

• The defined toolbar space may feel restrictive for users with a larger collection of daily-use desk tools.
• Its impact is most pronounced on consistently active desks—minimal users may find less need for the full feature set.

5. Nuka Eternal Stationery

The Nuka Eternal Stationery set begins with a simple question: What if your notebook never had to end? The answer is a waterproof, tear-proof notebook paired with a metal alloy pencil tip that writes with the smooth consistency of a traditional pencil but requires no sharpening and never breaks. Pages clear completely with the Nuka Magic Eraser and accept fresh writing immediately. For a minimalist desk, this is precisely the kind of object that earns permanent residency without asking for maintenance, restocking, or replacement in return.

Beyond the environmental logic, the Eternal Stationery has a tactile appeal that’s hard to convey without handling it. The metal alloy tip writes consistently across the notebook’s waterproof surface, and the notebook itself handles spills, rough commutes, and outdoor sessions without registering them as damage worth acknowledging. It suits a specific type of person: someone who values fewer objects doing more, who finds calm in not constantly replacing what they depend on, and who wants tools that stay as capable on day one hundred as they were on day one.

What We Like

• The write-erase-repeat system eliminates paper waste and removes the need to restock entirely.
• Waterproof and tear-proof construction means this notebook works as hard as you do without extra care.

What We Dislike

• Losing the Nuka Magic Eraser disables the reusable function with no common alternative to substitute.
• Ink-dependent writers will need time to adjust to the feel of the metal alloy tip in practice.

Every Object Earns Its Place

A minimalist desk isn’t built by accident. It’s built through deliberate choices—objects selected as much for what they do as for how they sit in the space around them. The five accessories on this list share that quality. None of them asks for attention. They earn it through function, through material honesty, and through design that respects the surface it occupies. That’s the distinction between a cluttered desk and a curated one, and it sharpens every time you sit down to work.

Whether you start with the levitating pen’s quiet theatre or the Eternal Stationery’s unassuming permanence, each of these pieces shifts something in how your desk feels to work at. The best studio setups don’t come together when you add more—they come together when every object you keep is one you’d choose again without hesitation. These five make that case without announcing it. They simply belong there, and in a minimalist workspace, belonging without noise is exactly the point.

The post 5 Best Desk Accessories That Turn Your Workspace Into a Minimalist Studio first appeared on Yanko Design.

Fintech lender Figure suffered a social-engineering breach that led to a data dump online. Have I Been Pwned found 967,200 exposed email records.

The post Figure Data Breach Exposes Nearly 1 Million Customers Online appeared first on TechRepublic.

Aujourd'hui j'aimerais vous parler un peu de bidouille et plus particulièrement de domotique. Hé oui, si comme moi, vous en avez marre que tous vos objets connectés passent par des serveurs chinois (souvent à la sécurité douteuse) ou américains (souvent directement connecté à la NSA) pour vous dire qu'il fait 22°C dans votre salon, on va voir comment ensemble créer ses propres capteurs 100% locaux avec ESPHome .

ESPHome, c'est un framework open source qui transforme n'importe quel ESP32 ou ESP8266 en appareil connecté intelligent sans vous prendre la tête. Vous écrivez un petit fichier YAML, vous flashez la puce, et hop, vous avez un capteur qui cause directement avec Home Assistant. Comme ça y'a pas de cloud et encore moins de données qui partent on ne sait où.

Et c'est hyper accessible... Suffit de savoir remplir un fichier texte avec quelques indentations (le fameux YAML), et voilà vous savez utiliser ESPHome.

ESPHome fait partie de l'Open Home Foundation ( Source )

Ce qu'il vous faut

• Un ESP32 (genre un Wemos D1 Mini ou un NodeMCU)
• Un capteur DHT22 (température et humidité)
• Quelques fils Dupont
• Temps estimé : 30 minutes

Niveau branchement, c'est pas sorcier. Le DHT22 a 3 broches utiles : VCC sur le 3.3V de l'ESP, GND sur GND, et DATA sur un GPIO de votre choix (le GPIO4 marche nickel). Pensez aussi à ajouter une résistance de 4.7kΩ entre DATA et VCC si vous voulez des lectures béton (beaucoup de modules l'ont déjà intégrée, mais vérifiez bien).

source

Ensuite, pour installer ESPHome sur votre ordi, ça se passe avec pip :

pip install esphome

esphome:
 name: capteur_salon

esp32:
 board: esp32dev

sensor:
 - platform: dht
 pin: GPIO4
 temperature:
 name: "Température Salon"
 humidity:
 name: "Humidité Salon"
 update_interval: 60s

esphome run capteur_salon.yaml

Vous avez déjà remarqué comment le volume varie d'une vidéo à l'autre sur YouTube, ou pire, comment certaines pubs sont 10 fois plus fortes que le contenu ? Bah c'est parce que tout le monde n'utilise pas la même norme de volume. Et si vous produisez du contenu audio/vidéo, c'est le genre de détail qui fait la différence entre un truc amateur et un rendu pro.

La bonne nouvelle, c'est que FFmpeg intègre déjà un filtre qui s'appelle loudnorm et qui gère tout ça automatiquement. La norme utilisée, c'est le LUFS (Loudness Units Full Scale), qui est devenue le standard de l'industrie, et YouTube, Spotify, les TV... tout le monde utilise ça maintenant pour mesurer et normaliser le volume audio.

D'ailleurs, si vous débutez complètement avec cet outil, je vous conseille de jeter un œil à mon guide FFmpeg pour les nuls pour bien piger les bases de la ligne de commande.

Allez, c'est partiii ! Temps estimé : 2-5 minutes par fichier (selon la méthode choisie)

Mais, avant de se lancer dans les commandes, un petit point sur les paramètres qu'on va manipuler. Le filtre loudnorm utilise trois valeurs principales. D'abord I (Integrated loudness), c'est le volume moyen global mesuré en LUFS. La valeur standard pour le streaming, c'est -16 LUFS pour YouTube et Spotify, ou -23 LUFS pour la diffusion broadcast. Ensuite TP (True Peak), le niveau maximal que le signal ne doit jamais dépasser. On met généralement -1.5 dB pour avoir une marge de sécurité. Et enfin LRA (Loudness Range), qui définit la plage dynamique autorisée, généralement autour de 11 dB.

Méthode 1 : Normalisation simple (single-pass)

C'est la méthode la plus rapide, parfaite pour du traitement à la volée :

ffmpeg -i entree.wav -af loudnorm=I=-16:TP=-1.5:LRA=11 -ar 48000 sortie.wav

ffmpeg -i entree.wav -af loudnorm=I=-16:TP=-1.5:LRA=11:print_format=json -f null -

ffmpeg -i entree.wav -af loudnorm=I=-16:TP=-1.5:LRA=11:measured_I=-24.35:measured_TP=-2.15:measured_LRA=8.54:measured_thresh=-35.21:offset=0:linear=true -ar 48000 sortie.wav

ffmpeg -i video.mp4 -c:v copy -af loudnorm=I=-16:TP=-1.5:LRA=11 -ar 48000 video_normalise.mp4

pip install ffmpeg-normalize
ffmpeg-normalize *.wav -o output_folder/ -c:a pcm_s16le

Vous avez un serveur, un NAS, quelques services qui tournent chez vous ou au boulot, et vous vous demandez si tout ça est bien sécurisé ? Alors plutôt que d'attendre qu'un petit malin vous le fasse savoir de manière désagréable, autant prendre les devants avec un scanner de vulnérabilités.

Attention : si vous scannez le réseau de votre boulot, demandez toujours une autorisation écrite avant car scanner sans permission, c'est illégal et ça peut vous coûter cher. Et ne comptez pas sur moi pour vous apporter des oranges en prison.

OpenVAS (Open Vulnerability Assessment Scanner), c'est l'un des scanners open source les plus connus, maintenu par Greenbone. Une fois en place sur votre réseau, il scanne vos services exposés et vous balance un rapport avec ce qui craint : Ports ouverts, services mal configurés, failles connues, certificats expirés... De quoi repérer une bonne partie de ce qu'un attaquant pourrait exploiter.

L'interface principale d'OpenVAS

Ce qui est cool, c'est que vous restez en mode défensif. C'est pas un outil de pentest offensif ou de hacking pur et dur mais juste un audit de votre propre infra pour savoir où vous en êtes. Et ça tourne avec un feed de vulnérabilités (le Greenbone Community Feed) qui est régulièrement mis à jour, ce qui permet de détecter les failles récentes.

Pour l'installer, une des méthodes c'est de passer par Docker. Greenbone fournit une stack complète avec docker-compose. Après vous cherchez plutôt à analyser spécifiquement vos images de conteneurs, Grype pourrait aussi vous intéresser .

Pour OpenVAS, vous créez un répertoire, vous téléchargez leur fichier de config (jetez toujours un œil dedans avant de l'exécuter, c'est une bonne pratique), et hop :

mkdir -p ~/greenbone-community-container
cd ~/greenbone-community-container
curl -f -O -L https://greenbone.github.io/docs/latest/_static/docker-compose.yml
docker compose pull
docker compose up -d

L'assistant de configuration initiale

Après ça, vous accédez à l'interface web via http://localhost:9392.

Et pour le login, attention, car sur les versions récentes du conteneur communautaire, le mot de passe admin est généré aléatoirement au premier démarrage. Il faut donc aller voir les logs pour le récupérer (docker compose logs -f). Si ça ne marche pas, tentez le classique admin/admin, mais changez-le direct.

La première synchro des feeds peut prendre un moment, le temps que la base de vulnérabilités se télécharge. Vous avez le temps d'aller vous faire un café, c'est pas instantané.

Niveau config machine, la documentation recommande au moins 2 CPU et 4 Go de RAM pour que ça tourne, mais pour scanner un réseau un peu costaud, doublez ça (4 CPU / 8 Go) pour être à l'aise. Et une fois connecté, direction la section scans pour créer une cible avec votre IP ou plage d'adresses. Ensuite vous pouvez lancer un scan avec le profil de votre choix :

Le mode "Discovery" se contente de lister les services et ports ouverts tandis que le mode "Full and Fast" lance une batterie complète de tests de vulnérabilités. Il est conçu pour être "safe" (ne pas planter les services), mais le risque zéro n'existe pas en réseau donc évitez de scanner votre prod en pleine journée sans prévenir.

Les résultats arrivent sous forme de rapport avec un score de criticité comme ça vous avez le détail de ce qui pose problème et souvent des pistes pour corriger. Genre si vous avez un service SSH avec une config un peu lâche ou un serveur web trop bavard, le rapport vous le dira.

Par contre, c'est vrai que l'interface est assez austère comparée à des solutions commerciales comme Nessus mais c'est gratuit, c'est open source, et ça fait le taf pour un audit interne. La version Community a quand même quelques limitations (feed communautaire vs feed entreprise, support, etc.), mais pour surveiller son infra perso ou sa PME, c'est déjà très puissant.

Du coup, si vous voulez savoir ce qui traîne sur votre réseau avant que quelqu'un d'autre le découvre, OpenVAS est un excellent point de départ. Et c'est toujours mieux de découvrir ses failles soi-même que de les lire dans un mail de rançon... enfin, je pense ^^.

A découvrir ici !

J'sais pas si parmi vous, y'en a qui ont déjà pris des cours de dactylographie genre à l'école où vous deviez taper "asdf jkl;" durant des heures en regardant un écran tristounet mais j'imagine que c'était chiant à mourir ! Hé bien quelqu'un a eu l'idée de transformer ça en jeu de course arcade façon Outrun sous stéroïdes !

TypeToRace, c'est un jeu de course 3D gratuit qui tourne directement dans votre navigateur et où votre vitesse dépend de votre capacité à taper des mots rapidement. Plus vous tapez vite, plus votre voiture accélère et vous vous retrouvez donc à foncer sur une route synthwave avec des néons roses et bleus partout pendant que vous tentez de taper "algorithm" sans faire de faute (oui c'est en anglais).

Le concept mélange TypeRacer (le classique des tests de frappe) avec un gameplay à la Subway Surfers. Et y'a pas juste la vitesse qui compte, puisqu'il faut aussi esquiver des obstacles et gérer des power-ups pour attaquer vos adversaires. Du coup, ça devient un vrai jeu vidéo et pas juste un test de dactylographie déguisé.

Ambiance Tron pour apprendre à taper vite ( Source )

L'esthétique synthwave avec ses couleurs néon et son ambiance rétro-futuriste des années 80 est plutôt cool. En tout cas, moi j'adore et ça change des interfaces austères des outils de typing classiques où on a l'impression d'être revenu en 1995 devant un terminal DOS. D'ailleurs, si vous cherchez d'autres moyens ludiques de vous améliorer, Wordsmash façon Tetris est aussi une excellente option pour bosser sa mémoire musculaire.

Notre jeu du jour vous met face à des adversaires contrôlés par l'IA et vous pouvez grimper dans les classements au fur et à mesure que vous progressez. C'est gratuit, ça ne nécessite aucun téléchargement, vous ouvrez juste le site et c'est parti mon kiki.

Bon après, on va pas se mentir, ce genre de jeu c'est surtout fun les 15 premières minutes avant que ça devienne un peu répétitif. Mais pour s'entraîner à taper plus vite tout en ayant l'impression de jouer plutôt que de bosser, y'a pire. Et puis si vous avez des gamins qui galèrent sur le clavier, ça peut être un bon moyen de les motiver sans les traumatiser avec des exercices barbants.

Puis si vous êtes du genre compétiteur, vous pouvez aussi aller voir du côté de TypeRacer pour vous mesurer à de vrais humains . Mais pour le fun immédiat et l'ambiance visuelle, TypeToRace fait le job.

Voilà, si vous voulez tester votre vitesse de frappe tout en vous prenant pour un pilote de course dans un univers à la Blade Runner, c'est par ici que ça se passe... Et pitié ne pliez pas en deux votre clavier de rage si vous perdez !

Vous avez déjà essayé d'apprendre le japonais ?

Moi aussi. Et comme 90% des gens, j'ai abandonné après avoir constaté que mémoriser des listes de vocabulaire sur Duolingo en mode perroquet, c'était franchement pas terrible pour progresser. Le truc, c'est que notre cerveau retient beaucoup mieux les mots qu'on rencontre en contexte réel plutôt que dans des exercices artificiels.

Hé bien c'est exactement sur ce principe que repose Lingoku , une extension pour Chrome, Edge et Firefox qui va remplacer certains mots sur les pages web que vous visitez par leur équivalent japonais. Du coup, pendant que vous scrollez Reddit, lisez le New York Times ou que vous vous perdez sur Korben.info, vous apprenez du vocabulaire sans vous en rendre compte.

Le concept s'appuie sur la théorie du i+1 de Stephen Krashen , un linguiste qui a démontré que l'acquisition d'une langue fonctionne mieux quand on est exposé à du contenu juste un peu au-dessus de son niveau actuel. Pas trop simple pour s'ennuyer, pas trop dur pour décrocher. Lingoku analyse donc votre niveau et ne remplace que les mots adaptés à votre progression, genre 10% du texte seulement pour que vous puissiez toujours comprendre le contexte global.

Grâce à cette extension, quand vous survolez un mot japonais, la traduction apparaît en 0,2 seconde. Pas de popup intrusive ni de fenêtre qui vous sort de votre lecture. L'extension utilise un "cerveau contextuel" basé sur l'IA qui comprend les nuances des kanjis selon le contexte dans lequel ils apparaissent. Parce que oui, un même kanji peut avoir plusieurs significations et c'est souvent là que ça devient galère pour les débutants.

Y'a aussi un système de répétition espacée intégré qui vous rappelle de réviser les mots aux moments optimaux pour lutter contre l'oubli. Et si vous préparez le JLPT (l'examen officiel de japonais), vous pouvez configurer l'extension pour cibler spécifiquement le vocabulaire de votre niveau.

L'installation prend 30 secondes, vous choisissez vos objectifs (JLPT, vie quotidienne ou anime si vous êtes un weeb assumé), vous indiquez votre niveau actuel, et hop, c'est parti. L'extension fonctionne sur à peu près tous les sites avec du contenu textuel.

Niveau confidentialité, le contenu est chiffré pour l'analyse IA, supprimé instantanément et jamais stocké. La version gratuite offre 500 points quotidiens, ce qui devrait suffire pour une utilisation normale et si vous voulez plus, il faudra passer à la version payante pour débloquer les fonctionnalités IA avancées, les rapports de progression détaillés et la synchronisation multi-appareils.

Bref, si vous avez toujours rêvé de pouvoir lire des mangas en VO ou de comprendre ce que racontent les personnages dans vos animes préférés sans sous-titres, cette extension peut être un bon complément à votre apprentissage. C'est pas magique et ça ne remplacera jamais un vrai cours de grammaire, mais pour enrichir son vocabulaire de manière passive pendant qu'on procrastine sur le web, y'a pire comme méthode...

Board game nights typically end the same way: scattered tokens, bent cards sliding across the table, dice that have rolled onto the floor for the third time. The chaos becomes part of the experience, tolerated because storage solutions only address what happens after everyone goes home. ONE BOX 4.0 takes a different approach by treating organization as something that belongs inside the game itself, using modular wooden compartments that stay open and active throughout play. The whole thing behaves less like a box and more like a portable command deck that happens to collapse into something the size of a pencil case. You unfold it, and the table suddenly has lanes, stages, and zones instead of a single flat battlefield where everything fights for the same square inches.

CHENGSHE.design built the system from mortise and tenon joinery, the kind of traditional woodworking that holds furniture together without screws or glue. Each unit comes in beech, teak, or black walnut, and the natural grain variations mean no two boxes look identical. The modules include card display stands, contained dice rolling areas, and phone holders that keep digital rulebooks accessible without crowding the play surface. The parts interlock into a single carryable brick, then fan out into a full tabletop system in a couple of moves. It feels like someone took the logic of a good travel tool roll, mixed it with a GM screen, and then asked an architect to make it beautiful without turning it into furniture cosplay.

Designer: ONE BOX 4.0

Click Here to Buy Now: $59 $119 (59% off). Hurry, only a few left!

The design addresses three distinct phases of a session: setup, active play, and teardown. Before play, the modules unfold from a single case into multiple zones in a matter of seconds, with dividers and trays already proportioned for cards, dice, tokens, and reference materials. During play, cards sit upright in angled stands, which keeps information visible and reduces edge wear from constant handling. Dice move through a contained rolling lane that prevents table escapes and limits collisions with card stacks or miniatures. After the session, components return to defined compartments, which then recombine into a unified case for transport and shelf storage.

Underneath the pretty wood, the logic is very modular and very modern. One set of modules can handle a deck-heavy Euro game one night and a crunchy TRPG session the next, simply by rearranging dividers and stands. The dividers are adjustable, so you can create narrow lanes for standard 63.5 by 88 mm cards or open wider slots for tarot or oversized character sheets. A lot of “board game accessories” assume a single flagship game and then become useless when your group rotates titles. ONE BOX 4.0 behaves more like a system-level accessory, closer to a camera cage or modular tool chest that expects you to change the loadout constantly. The fact that this is the fourth generation shows in that ecosystem thinking.

The mortise and tenon construction is not a decorative flex either. That joint style is pretty resilient when you are opening and closing something hundreds of times, applying torsion in slightly different directions every session. Screws back out, cheap hinges loosen, glued butt joints fail at the worst moment. Properly cut mortise and tenon joints share load across surfaces and age with the wood rather than against it. Combined with hardwoods like teak and black walnut, you get a product that can take the mild abuse of transport and table slams without turning into a rattling box of regret.

The other design decision that lands beautifully is backward compatibility. If you bought ONE BOX 3.0, you do not have to retire it to adopt 4.0. The new modules plug into the old ecosystem, which is the kind of long horizon thinking you usually only see in camera mounts, bike standards, or pro audio racks. That matters because people build habits around their table setups. If you already have a certain arrangement for card lanes and dice trays, you can add a new TRPG-focused module or that OB Infinite Pen without rethinking everything. This is how you build a niche platform instead of a series of isolated products that age out every two years.

The OB Infinite Pen and erasable whiteboard module signal a clear orientation toward TRPG and scenario driven gameplay. By dedicating space to writing tools and a reusable surface, the system supports initiative tracking, hit points, quick maps, and ad hoc notes without adding disposable paper clutter. The pen shares the same wood material language as the box, which unifies the visual identity and reinforces the idea that note taking is an integrated part of the experience. For groups that run mixed digital and analog setups, the phone and tablet holder aligns with this approach, parking screens at the edge of the system instead of scattering them across the main play field.

Visually, this is the opposite of RGB acrylic chaos. Natural wood, clean chamfers, visible grain, and a restrained color palette of light beech, warm teak, and dark walnut. On a table, it reads more like a compact piece of joinery than a toy, which is exactly what you want if your “game table” is also your work desk or dining surface. There is a subtle psychological trick here: when the tools of play look like serious objects, people tend to treat the whole session with a bit more focus. You are less likely to fling dice across a carefully built wooden lane than across a bare laminate tabletop.

Folded shut, the core ONE BOX 4.0 package is roughly pencil box sized, which means it goes into a backpack alongside a laptop and a rulebook without much negotiation. Unfolded, it spreads to cover a player station or GM area without requiring a dedicated gaming table. That portability is what separates this from the beautiful but immovable wooden tables that dominate the aspirational side of tabletop culture. You can take this to a cafe, a friend’s apartment, or a convention hall, and your setup logic travels with you instead of being rebuilt from scratch every time.

The ONE BOX 4.0 comes in three primary wood options: beech for a pale, almost Scandinavian tone, teak for a warmer mid tone, and black walnut for a darker, more saturated look. Configurations range from a single core box setup to multi box “command station” style bundles that add dedicated dice rollers, erasable whiteboard modules, storage bags, and the OB Infinite Pen in matching wood. Up to 50 early backers can grab the beech variant for as low as $59, while the next tier for all wood versions sits at $79 (which includes the ‘recording kit’ featuring the OB Infinite Pen and erasable whiteboard modules). Throw in an extra twenty, and the $99 tier also gets you a dice roller. The ONE BOX 4.0 is open for preorder and ships globally starting May 2026.

Click Here to Buy Now: $59 $119 (59% off). Hurry, only a few left!

The post Your Tactical Role-Playing Game Setup deserves a better Command Deck. Meet the ONE BOX 4.0 first appeared on Yanko Design.

Air purifiers tend to look like medical equipment and come with apps you didn’t ask for. They arrive with dashboards, push notifications, and Wi-Fi setup rituals that turn “cleaner air” into another thing to manage on a phone. Most of them sit in corners behind plants because they look clinical, and no one wants to acknowledge the white plastic box while having guests over for dinner.

The Beolab Air 1 is a concept air purifier designed to sit in a room without announcing itself. It was developed as a student project and draws inspiration from the calm, material-driven design language of Bang & Olufsen’s Beolab line, though it’s not affiliated with the company in any way. The goal was to see what happens when you apply that kind of sculptural thinking to clean air, instead of just adding another screen to the wellness toolkit.

Designers: Ahaan Varma, Malhar Gadnis, Michelle Sequeira, Sharanya Karkera

The most refreshing part of the concept is the interaction model. A single button press is all it takes to start, with no app pairing, no IoT setup, and no onboarding routine. The project frames this as “digital detox,” which is a reasonable description when most purifiers try to sell you sensor graphs and weekly air quality reports. You turn it on the way you’d turn on a lamp or a speaker, then leave it to work.

The materials do a lot of the talking. Angled teak wooden ridges wrap the body and function as vents for filtered air, so the aesthetic choice also serves a purpose. Textured aluminum handles the rest of the exterior. The project’s own critique of the category is blunt: plastic yellows and looks cheap over time, while wood and metal age better. A purifier built to look like a piece of considered furniture has a better chance of earning a spot on a sideboard than one that resembles a hospital accessory.

Under the surface, there’s a plausible engineering stack. A high-efficiency BLDC fan delivers strong airflow while staying quiet, a HEPA filter handles particulate capture, and an MQ135 gas sensor pairs with PM2.5 sensing to monitor air quality without forcing anyone into an app. The concept keeps the monitoring internal and the feedback subtle, a soft ambient light band that changes gently rather than a display demanding attention.

Of course, that ambient feedback is the whole point. Clean air is invisible and usually silent, and a purifier that communicates the same way feels more appropriate than one with a scrolling PM2.5 count on a bright panel. You can check in when you feel like it, and the rest of the time it just works.

The concept calls out a genuine gap in the category: people want wellness that integrates quietly into a room, not hospital aesthetics, and yet another app. Whether or not Beolab Air 1 ever gets built, asking what a purifier looks like when treated with the same care as a premium speaker is a question the category probably needed someone to ask.

The post This Air Purifier Concept Looks Like Scandinavian Audio Gear first appeared on Yanko Design.

Vous avez déjà essayé de suivre ce qui se passe dans la recherche en informatique ? Moi oui, et c'est l'enfer. Chaque semaine, des centaines de nouveaux papiers débarquent sur arXiv . Et entre le machine learning, la vision par ordinateur, la crypto, le NLP et tout le reste, y'a de quoi perdre la tête. Et puis bon, lire des abstracts de 500 mots bourrés de jargon technique, c'est pas vraiment ce qu'on fait pour se détendre le dimanche...

Du coup ça tombe bien puisque WeekInPapers tente de résoudre ce problème. Le concept est simple : chaque semaine, le site liste tous les papiers publiés sur arXiv dans le domaine de l'informatique, avec des résumés générés par IA et un glossaire des termes techniques. L'idée, c'est de rendre la recherche accessible aux gens comme moi qui n'ont pas un doctorat en deep learning.

Le site couvre une trentaine de catégories différentes : Machine learning, vision par ordinateur, intelligence artificielle, traitement du langage naturel, robotique, cryptographie, architecture hardware, graphisme, interaction homme-machine... Bref, à peu près tous les domaines de l'informatique.

Cette semaine par exemple, y'avait plus de 300 papiers listés. Rien que ça...

L'interface est plutôt bien foutue puisque vous avez une sidebar avec des filtres pour sélectionner les catégories qui vous intéressent. Et chaque papier apparaît sous forme de tuile cliquable avec le titre, la date, les tags de catégorie et l'identifiant arXiv. Vous survolez une tuile et hop, l'abstract s'affiche. Et si vous cliquez, vous avez les détails complets.

Ce qui est cool, c'est que les papiers sont souvent taggés dans plusieurs domaines. Du coup, un article sur les réseaux de neurones pour la génération vidéo apparaîtra à la fois dans machine learning et dans vision par ordinateur. C'est chouette pour ne pas louper des trucs qui chevauchent plusieurs disciplines.

Ce projet a été créé par Matthew Oxley et moi, ce que je préfère, ce sont les résumés générés par un LLM qui permettent d'avoir une idée rapide de ce que raconte un papier sans se taper 15 pages de formules mathématiques. Après, si un truc vous intéresse vraiment, rien ne vous empêche d'aller lire le papier original, évidemment.

Voilà, pour les chercheurs, les étudiants ou juste les curieux qui veulent rester au courant des dernières avancées, c'est une ressource plutôt pratique. En tout cas, plus pratique que de faire du doom-scrolling sur X en espérant tomber sur un thread intéressant.

Aujourd'hui, on va aller un peu plus loin que les simples bidouilles habituelles car je vais vous présenter Reinstall , un outil qui va peut-être vous changer la vie si vous gérez des serveurs distants.

Vous connaissez la chanson... vous avez un VPS sous Debian et vous voulez passer sous Arch pour faire votre malin. Sauf que pour opérer ce changement, c'est la galère assurée !! Faut passer par l'interface web de l'hébergeur, booter sur une ISO via une console VNC qui rame sa maman, et prier pour que le réseau revienne après le reboot.

Eh bien ça c'est terminé grâce à ce script Reinstall. Vous lui balancez une commande, le script s'occupe de tout, et hop, votre serveur redémarre sur le nouvel OS de votre choix. Pas besoin d'accès IPMI, pas besoin de supplier le support technique, ça marche tout seul.

Et ça supporte pas mal d'OS... Côté Linux, y'a 19 distributions majeures : Alpine, Debian (de 9 à 13), Ubuntu (de 16.04 à 25.10), toute la famille Red Hat (AlmaLinux, Rocky, Oracle), Fedora, Arch, Gentoo, NixOS... Bref, y'a tout ce qu'il faut.

Et le truc qui va plaire à ceux qui font du cloud, c'est également le support de Windows. En effet, le script permet d'installer Windows Vista, 7, 8.1, 10, 11 et même Windows Server 2025.

Et rassurez-vous, il n'utilise pas des images bricolées par on ne sait qui, mais les ISO officielles de chez Microsoft. Lui se content d'injecter automatiquement les drivers VirtIO pour que ça tourne comme un charme sur n'importe quel cloud (AWS, GCP, Oracle Cloud...).

Aussi, le point le plus chiant quand on réinstalle un serveur distant, c'est la config réseau. Si on se loupe, on perd l'accès SSH et c'est fini. Reinstall gère ça intelligemment puisqu'il détecte votre IP (statique ou dynamique), gère l'IPv6, les passerelles exotiques et même les serveurs ARM.

Ce qu'il vous faut avant de tout casser

• RAM : 256 Mo pour Alpine/Debian, 1 Go pour Windows.
• Disque : 1 Go pour Linux, 25 Go minimum pour Windows.
• Accès : Un accès root/admin sur la machine actuelle.
• Temps estimé : Environ 5 à 15 minutes selon la vitesse de connexion de votre serveur.

Un petit avertissement quand même... Ce script ne gère pas les conteneurs type OpenVZ ou LXC. Faut que ce soit une vraie VM (KVM, VMware, Hyper-V) ou un serveur bare-metal.

Le tuto ! Le tuto !

C'est là que ça devient drôle. Pour installer un nouveau Linux (disons Debian 13) depuis votre système actuel, il suffit de faire un petit :

# Télécharger le script
curl -O https://raw.githubusercontent.com/bin456789/reinstall/main/reinstall.sh

# Lancer la réinstallation
bash reinstall.sh debian 13 --password "VotreMotDePasse"

bash reinstall.sh windows --image-name "Windows 11 Enterprise LTSC 2024" --lang fr-fr