Amazon Q, l'assistant de programmation dopé à l'IA que propose Amazon, pouvait se faire piéger d'une manière aussi simple qu'embarrassante.

Petit rappel pour situer. Amazon Q se greffe dans Visual Studio Code, l'éditeur de code de Microsoft que les développeurs utilisent au quotidien, et sert à écrire ou corriger du code à votre place.

Des chercheurs de Wiz, une société spécialisée dans la sécurité du cloud, ont découvert que cet assistant exécutait des commandes cachées à la simple ouverture d'un projet. La faille a reçu un identifiant officiel, CVE-2026-12957, et une note de gravité de 8,5 sur 10, ce qui est sérieux.

Le problème venait d'un fichier de configuration un peu particulier. Pour fonctionner, Amazon Q lit un fichier nommé .amazonq/mcp.json, qui s'appuie sur le MCP, pour Model Context Protocol, une sorte de prise standardisée qui permet de brancher une IA sur des outils extérieurs.

Sauf qu'il suffisait d'ouvrir un dépôt de code et d'activer Amazon Q pour que l'extension aille lire ce fichier et exécute son contenu. Sans fenêtre de confirmation, sans demander votre avis, et sans vérifier si vous faisiez confiance au dossier que vous veniez d'ouvrir.

Et c'est là que ça devient vraiment fourbe. Ces commandes héritaient de tout votre environnement de travail. Du coup, elles pouvaient récupérer au passage vos clés d'accès au cloud d'Amazon, vos jetons de connexion, vos secrets d'API et même l'accès à votre agent SSH, ce trousseau qui garde en mémoire vos connexions aux serveurs distants. En clair, tout ce qu'un développeur laisse ouvert pendant qu'il travaille.

Le plus gênant, c'est que Visual Studio Code possède justement une sécurité prévue pour ça, la confiance d'espace de travail, qui vous demande si vous validez un dossier avant de le laisser agir. L'extension d'Amazon passait tout bonnement par-dessus.

Pour un pirate, le piège était facile à tendre. Il suffisait de glisser ce fichier dans un projet open source d'apparence anodine, ou dans un bout de code partagé sur un forum, et d'attendre qu'un développeur qui récupère un projet l'ouvre pour voir comment il fonctionne.

Amazon a corrigé le tir dans la version 1.65.0 de son serveur de langage et a confirmé la correction. Wiz note d'ailleurs que des failles très proches ont déjà touché d'autres outils de code boostés à l'IA.

Donner autant de pouvoir à une IA sans le moindre garde-fou, et laisser filer les clés du cloud avec, ça reste une erreur de débutant pour un géant comme Amazon.

Source : The Register

Pour la première fois, on connaît le titre exact d'un livre antique sans avoir ouvert le livre. Les chercheurs de la Vesuvius Challenge ont lu, écrit en plein milieu d'un papyrus carbonisé, la mention "Sur les vices, livre 1", un traité de philosophie grecque signé Philodème, un penseur épicurien actif au Ier siècle avant notre ère, dont le rouleau était resté soudé sur lui-même depuis l'éruption du Vésuve en l'an 79.

Ce rouleau, baptisé PHerc. 1667, vient d'être déchiffré d'un bout à l'autre. C'est le premier lu en entier.

Pour comprendre l'exploit, il faut imaginer l'état de ces documents : retrouvés en 1752 dans une luxueuse villa d'Herculanum, probablement celle du beau-père de Jules César, les quelque 1 800 rouleaux ont été changés en bâtons de charbon par la chaleur de l'éruption, au point que les dérouler à la main revient encore aujourd'hui à les réduire en miettes.

D'où l'idée, mise au point en vingt ans par Brent Seales, informaticien à l'université du Kentucky, de ne jamais y toucher. On glisse le rouleau dans un accélérateur de particules qui en réalise un scanner à rayons X d'une finesse extrême, on reconstitue en 3D chacune des couches enroulées à l'intérieur, puis on les déplie virtuellement à l'écran comme on aplatirait une viennoiserie feuilletée sans la déchirer.

Restait le pire. L'encre de l'époque est faite de carbone, exactement comme le papyrus brûlé qui la porte, donc elle est quasiment invisible sur les scans, et c'est là qu'intervient une IA entraînée à repérer les infimes différences de texture laissées par les lettres pour redessiner peu à peu un texte que l'œil humain ne voit pas.

Le résultat est franchement fort, avec 70 nouvelles colonnes de texte exhumées et, sur un autre rouleau, la mention "Philodème, Sur les dieux, livre 8" qui révèle aux historiens que cet ouvrage comptait plusieurs tomes, ce que personne ne soupçonnait jusqu'ici.

Et pour les spécialistes de l'Antiquité, ça compte vraiment, parce que la bibliothèque carbonisée d'Herculanum est la seule de tout le monde gréco-romain à nous être parvenue à peu près complète, et non en fragments recopiés au Moyen Âge par des moines.

Honnêtement, lire 2 000 caractères tracés par un Romain juste avant que tout brûle, ça vaut largement tous les chatbots qui écrivent des e-mails à votre place.

Source : The Register , Scrollprize

Sur un disque audio classique, il restait depuis toujours quelques canaux de données inutilisés, glissés juste à côté des informations qui affichent le numéro de piste ou le temps écoulé, et c'est précisément dans ces recoins que Philips et Sony avaient logé en 1985 le CD+G, une extension capable d'afficher des images en 288 sur 192 pixels avec une maigre palette de 16 couleurs.

Vous l'avez forcément croisé sans le savoir, puisque ce format a surtout servi à faire défiler les paroles synchronisées sur les machines de karaoké pendant des décennies, avant de tomber dans l'oubli, à mesure que le CD physique déclinait.

Pour situer l'objet, le tout premier disque commercial à exploiter le CD+G remonte à 1985, avec l'album Eat or Be Eaten de la troupe américaine Firesign Theatre, et depuis, la feature n'a jamais vraiment dépassé le stade du gadget réservé aux bornes de karaoké et quelques rares appareils.

Sauf que voilà, deux artistes, Aizysse Baga et Adelaide, ont décidé de le déterrer pour de bon en pressant un mini-CD baptisé Divacore qui embarque de vraies illustrations à côté de la musique.

Et elles ne se sont pas contentées du strict minimum. Pour caser des visuels à peu près corrects dans seulement 16 couleurs, elles ont misé sur le tramage, cette vieille astuce qui mélange des points de teintes différentes pour donner l'illusion de couleurs qui n'existent pas vraiment dans la palette proposée.

Il faut dire que la marge de manœuvre était franchement limitée, avec à peine 28,8 kilobits par seconde réservés aux graphismes, de quoi peindre l'écran par petites tuiles de 6 sur 12 pixels et pas grand-chose d'autre.

En 1981, Casio sortait le VL-1, un drôle d'objet vendu autour de 70 dollars, à mi-chemin entre la calculatrice de poche et le synthétiseur monophonique, avec un séquenceur de cent notes planqué dedans et un afficheur à huit caractères. Un jouet, en apparence. Sauf qu'il s'en est vendu près d'un million entre 1979 et 1984, ce qui pour un machin pareil reste assez dingue.

Vous l'avez déjà entendu, c'est sûr. C'est lui qui balance la rythmique du tube "Da Da Da" du groupe allemand Trio, en 1982, sur le preset Rock-1 et une voix piano d'un kitsch parfaitement assumé. De quoi lui offrir un statut culte malgré sa réputation de gadget pour enfants.

D'habitude, une batterie domestique, c'est un gros bloc qu'on planque à la cave ou au garage. SAMDUO prend le contre-pied avec sa gamme Nex, présentée cette semaine à Amsterdam, et veut en faire un objet qu'on assume de laisser à la vue de tous.

Le modèle E6000 ressemble à un grand cadre fixé au mur, 11,9 cm d'épaisseur seulement, soit la plus fine du monde d'après la marque. Sa variante E6000H abandonne le mur pour un cube de la taille d'un micro-ondes, à glisser dans un coin. Même capacité. Deux façons de la ranger.

Derrière SAMDUO se cache un industriel chinois quasi inconnu il y a encore six mois, qui arrive en Europe avec de gros moyens. Les deux E6000 stockent 6 kWh et visent le tarif de 1999 euros, avec une sortie française au troisième trimestre.

Vient ensuite la question du branchement. Pas besoin de toucher à vos panneaux, la batterie se greffe sur le circuit électrique de la maison et récupère le surplus produit dans la journée. On appelle ça du couplage en courant alternatif, et le bon côté, c'est que ça fonctionne avec à peu près n'importe quelle installation déjà posée.

Côté France, le souci, c'est que la batterie doit savoir en temps réel ce que consomme la maison. SAMDUO a prévu un petit boîtier pour ça, mais il est pensé pour les compteurs néerlandais pour le moment. Chez nous, il faudra ajouter un module dans le tableau électrique.

Pour ceux qui partent de zéro, il y a aussi la P2800 Pro, plus petite avec ses 2,73 kWh extensibles jusqu'à 16,41 kWh, mais qui se relie directement aux panneaux par quatre entrées dédiées. Une approche plus classique, au tarif encore tenu secret.

On a pu jeter un oeil à l'application, et c'est propre. Elle affiche en direct ce qui entre et ce qui sort, jongle avec les heures creuses chez 800 fournisseurs européens dont EDF, mais l'API ouverte n'est pas encore prête.

Si tout le monde se précipite sur ces batteries, c'est que revendre son électricité est de moins en moins rentable, même en France. Les Pays-Bas, eux, où nous étions pour le lancement de la marque avec l'ami Korben, suppriment leur système de revente avantageux dès 2027.

En tous cas le pari du design est réussi. À 2000 euros pièce, par contre, il faudra quelques années avant de le rentabiliser.

Si vous utilisez un ordinateur portable à puce graphique AMD Radeon sous Linux, vous avez peut-être déjà vu l'écran se figer d'un coup, sans raison apparente, à peu près une fois par semaine. Ce bug agace les utilisateurs depuis des années, et un correctif vient enfin de pointer le bout de son nez.

Le coupable se cache dans AMDGPU, le pilote graphique libre qu'AMD maintient pour Linux. On parle ici du logiciel qui fait le lien entre la carte graphique et le système d'exploitation.

Le problème ne date pas d'hier. En fouillant l'historique du code, le développeur à l'origine du correctif a remonté la piste jusqu'à une modification introduite en 2017. Presque huit ans de gels d'écran.

Le symptôme typique, c'est une erreur "flip_done timed out" dans les journaux du système. Pour faire simple, l'ordinateur attend que l'écran affiche l'image suivante, ce signal n'arrive jamais. Et tout gèle.

Le souci touche plusieurs machines, bien connues du monde Linux, comme le Lenovo ThinkPad T14 Gen1 en version AMD ou le Framework Laptop 13 équipé d'un processeur Ryzen 7 7840U. Jusqu'ici, le seul remède consistait à désactiver le PSR, pour "Panel Self Refresh".

Cette fonction d'économie d'énergie laisse l'écran réafficher tout seul sa dernière image fixe sans réveiller la carte graphique, histoire d'économiser de la batterie. Pratique sur un portable, sauf que c'est précisément elle qui déclenchait les gels.

Le plus intéressant, c'est la méthode employée. Le correctif a été mis au point en "vibe debugging" avec Claude Code, l'assistant de programmation d'Anthropic, le concurrent direct d'OpenAI. Le développeur a décrit le bug à l'IA, qui l'a aidé à explorer le code et à affiner les correctifs, plutôt que de dérouler une procédure de débogage classique.

Concrètement, les patchs revoient la gestion du "vblank" et du "page-flip" dans le bloc d'affichage DCN, c'est-à-dire la mécanique interne qui synchronise le moment où une nouvelle image remplace l'ancienne à l'écran. D'autres tentatives avaient échoué par le passé, mais cette série semble enfin tenir la route.

Maintenant patience, rien n'est encore intégré dans le noyau Linux officiel. Les correctifs doivent passer par les tests et la validation des mainteneurs avant d'arriver chez tout le monde, ce qui peut quand même prendre plusieurs versions du kernel.

Bref, on est là devant un bug fantôme qui date d'lil y a huit ans, débusqué en discutant avec une IA, voilà qui résume assez bien l'année 2026 côté développement.

Source : Phoronix

Un petit boîtier rond, un écran circulaire de 240 pixels de côté, et une seule chose affichée dessus : les avions qui passent au-dessus de votre tête en temps réel. C'est Micro Radar, un projet open source signé Anthony Sturdy, un développeur basé à Londres qui l'a bricolé comme cadeau de mariage pour un ami passionné d'aviation.

L'objet tient dans la paume de la main. Au cœur du montage, un module ESP32-C3, une puce minuscule à WiFi intégré qu'on trouve pour quelques euros, soudée d'usine à un écran rond IPS de 1,28 pouce piloté par un contrôleur GC9A01. Pas besoin de toucher au fer pour relier des fils, tout est déjà connecté.

Là où c'est bien vu, c'est que Micro Radar ne capte pas les avions lui-même. Beaucoup de projets du genre utilisent l'ADS-B, le signal que les avions émettent en continu pour annoncer leur position, ce qui suppose une antenne et un récepteur radio. Ici, rien.

Le boîtier va plutôt chercher les données sur internet, via l'API d'OpenSky Network. OpenSky, c'est un réseau communautaire : des milliers de bénévoles dans le monde branchent chez eux des récepteurs qui captent les avions et mettent toutes ces positions en commun. L'API, l'interface qui permet à un logiciel d'aller piocher dans cette base, renvoie au boîtier les vols autour de vous.

Du coup, l'installation se fait simplement, sans rien brancher d'autre que le courant. Au premier démarrage, l'appareil crée son propre point d'accès WiFi baptisé MicroRadar-Setup. Vous vous y connectez depuis un téléphone, une page de configuration s'ouvre à l'adresse microradar.local, et vous renseignez juste votre position, le rayon à surveiller et vos identifiants OpenSky.

Ces identifiants sont facultatifs mais conseillés. Un compte OpenSky est gratuit et fait passer le quota de 400 à 4000 requêtes par jour, ce qui veut dire un rafraîchissement bien plus fréquent et donc un radar qui colle vraiment au trafic en temps réel plutôt qu'une image qui se met à jour au compte-gouttes.

Au niveau de la fabrication, il faut une imprimante 3D pour sortir les quatre pièces du boîtier en PLA, le corps, la façade, la bague et deux supports, un fer à souder uniquement pour insérer les écrous à chaud, et de la visserie M2. Une lentille en verre minéral de 32,5 mm protège l'écran si besoin. Comptez une à deux heures de montage une fois les pièces imprimées, ce qui est très raisonnable.

Le tout est sous licence MIT et le firmware se compile avec PlatformIO, donc le code en C++ comme les fichiers 3D sont libres, vous pouvez le construire, le modifier et même le revendre sans rien demander à personne. Le projet vit sa petite vie sur GitHub avec les instructions complètes.

Franchement, voir les avions de sa ville tourner sur un cadran rond posé près de l'écran, sans capteur ni abonnement, c'est quand même bien sympa.

Source : Hackster

C'est la fin d'une époque. Le noyau Linux, le cœur du système qui pilote le matériel et les communications, s'apprête à supprimer le support d'AppleTalk, ce vieux protocole réseau qu'Apple utilisait dans les années 80 et 90 pour faire dialoguer ses Mac entre eux avant que TCP/IP, le langage commun d'internet, ne s'impose partout.

À l'époque, c'était plutôt malin: vous branchiez deux machines et une imprimante, et elles se trouvaient toutes seules, sans la moindre configuration, du plug-and-play avant l'heure à un moment où monter un réseau relevait encore du casse-tête réservé aux initiés.

Aujourd'hui, plus grand monde ne parle ce dialecte. Il en subsiste quelques traces dans Bonjour, la techno maison qui détecte automatiquement imprimantes et appareils sur un réseau local, mais le protocole d'origine, lui, est mort depuis longtemps.

Près de 4000 lignes de code vont donc disparaître avec la version 7.2 du noyau, et Apple avait lui-même enterré AppleTalk dès 2009, du temps de Mac OS X Snow Leopard. Autant dire que le préavis a été large.

Le plus étonnant, c'est ce qui a déclenché le grand ménage. Ce n'est pas vraiment l'abandon par les utilisateurs, mais une vague de correctifs générés par intelligence artificielle qui a fini par saturer la liste de diffusion des développeurs réseau.

Depuis quelques mois, des outils basés sur des grands modèles de langage, balancent automatiquement des "corrections" de bugs sur du code que personne n'avait réclamé, pour un protocole que plus aucun matériel ne fait tourner.

Et chaque proposition, même inutile, mobilise un humain qui doit la lire, la tester et vérifier qu'elle ne casse rien ailleurs, du temps précieux soustrait au vrai travail de mainteneurs déjà débordés par les contributions légitimes.

C'est Jakub Kicinski, qui supervise toute la pile réseau du noyau, qui a fini par trancher: plutôt que de faire éplucher par ses équipes des patchs pondus en série par des machines pour réparer une techno morte, il a préféré retirer AppleTalk d'un seul geste.

Et il n'en est pas à son coup d'essai. Au cycle précédent, pour Linux 7.1, il avait déjà passé à la trappe ARCnet, l'ISDN, la radio amateur et toute une collection de vieux pilotes réseau oubliés, soit près de 138 000 lignes effacées d'un coup, dans ce qu'il a lui-même baptisé la "LLM-pocalypse".

Le code d'AppleTalk ne finit quand même pas tout à fait à la poubelle, puisqu'il rejoint AX.25 et la radio amateur dans un dépôt GitHub mis de côté, pour les rares curieux qui voudraient encore bidouiller avec.

Bref, c'est une première: des contributions automatisées qui font retirer du code encore fonctionnel. L'IA ne crée pas toujours. Parfois, elle déblaie.

Source : Phoronix

Environ 75 000 pare-feu Fortinet ont vu leurs identifiants de connexion volés puis vérifiés un par un, des FortiGate, ces boîtiers qui filtrent l'accès au réseau des entreprises et servent très souvent de porte d'entrée VPN pour les salariés en télétravail.

Baptisée FortiBleed par les chercheurs qui l'ont mise au jour, la campagne couvre 194 pays et plus de 21 000 domaines, soit à peu près la moitié des pare-feu Fortinet exposés sur Internet à l'heure actuelle.

Parmi les organisations dont les accès se sont retrouvés dans la nature, on relève des noms qui n'ont rien d'amateur en matière de sécurité : Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture ou encore Oracle.

Toute l'ironie de l'affaire tient là : le pare-feu, l'appareil précisément chargé de tenir les intrus à l'écart du réseau, s'est transformé en point d'entrée qui leur a ouvert la porte en grand.

Sur le plan technique, les attaquants interceptaient l'authentification du SSL VPN, cet accès distant chiffré qui permet de rejoindre le réseau interne d'une entreprise depuis l'extérieur, récupéraient l'empreinte chiffrée des mots de passe et la cassaient sur une grappe de 45 cartes graphiques pilotée par l'outil Hashtopolis, avant de basculer vers l'Active Directory, l'annuaire qui gère l'ensemble des comptes Windows de l'organisation.

Les volumes traités donnent la mesure de l'opération : 1,16 milliard de tentatives de connexion lancées contre 320 000 équipements FortiGate, et 2,1 milliards d'autres dirigées en parallèle vers 160 000 serveurs de bases de données Microsoft.

Au moins quatre organisations ont été entièrement compromises, avec déplacement des attaquants d'une machine à l'autre à l'intérieur du réseau, au Japon, à Taïwan, au Vietnam, en Irak et en Turquie. Le cas le plus sérieux touche un sous-traitant turc de la défense, membre de l'OTAN, chez qui des documents classifiés ont été volés. Tout ça est attribué à un groupe cybercriminel russophone à plusieurs opérateurs.

C'est le chercheur Bob Diachenko qui a repéré les intrusions, avant que Hudson Rock (une société spécialisée dans l'analyse des données aspirées par les logiciels espions) ne décortique le tout et que Kevin Beaumont confirme que les identifiants étaient bien valides.

Hudson Rock a d'ailleurs mis en ligne une liste des domaines concernés, histoire que chaque entreprise vérifie si elle figure au tableau de chasse.

Fortinet, de son côté, minimise et parle d'un recyclage de données issues d'incidents passés et de simples attaques par force brute, pas d'une nouvelle faille dans ses produits.

Sauf que voilà : la plupart des boîtiers concernés sont toujours en ligne. Recyclées ou pas, ces données ouvrent une porte bien réelle tant que les mots de passe VPN et administrateur n'ont pas été changés, et changer tous les accès d'un pare-feu dans une grande organisation ne se fait pas en claquant des doigts.

Bref, faille ou vieux stock recyclé, ça ne change rien pour les boîtes touchées : on change les mots de passe VPN tout de suite, et on active la double authentification.

Source : The Register

Le 12 juin, l'avion expérimental X-59 de la NASA a filé à Mach 1,4, soit environ 1 490 km/h, à 17 000 mètres d'altitude. Et au sol, silence.

La quête du silence quand on travaille sur un avion qui dépasse le mur du son, c'est étonnant, et pourtant... Normalement, dès qu'un avion dépasse la vitesse du son, il comprime l'air devant lui en une onde de choc qui claque au sol comme un mega coup de tonnerre. C'est ça, le bang supersonique.

Et c'est précisément pour ce bruit que les vols supersoniques au-dessus des terres sont interdits aux États-Unis depuis 1973. Le X-59 a été conçu pour casser cette règle, en prouvant qu'on peut franchir le mur du son sans terroriser les gens en dessous.

Le secret, c'est évidemment sa forme. L'appareil mesure près de 30 mètres de long, avec un nez interminable de 11,6 mètres, une proue démesurée qui sert à étaler l'onde de choc dans le temps au lieu de la concentrer d'un coup, si bien qu'au sol on n'entend plus un bang mais un bruit sourd, du genre portière de voiture claquée un peu fort.

Derrière cette conception improbable, on retrouve Skunk Works, la division secrète de Lockheed Martin spécialisée dans les avions hors normes, celle qui a déjà sorti le SR-71 et le F-117. Sous le capot, un seul réacteur General Electric F414.

Ce programme très spécial avance vite. Avec un premier décollage le 28 octobre 2025, un premier passage supersonique le 5 juin à Mach 1,1, et une semaine plus tard ce vol à Mach 1,4. À chaque nouvel essai, le pilote pousse le bouchon un peu plus loin.

La vraie étape arrive dès maintenant . La NASA va tenter de faire voler le X-59 au-dessus de villes américaines, puis poser aux habitants une question toute bête : ce bruit sourd, vous le supportez ou pas ?

Les réponses iront ensuite directement aux régulateurs, avec l'idée de fixer un seuil de bruit acceptable et, à terme, de lever cette interdiction vieille de cinquante ans.

En ligne de mire, le fantôme du Concorde. Coincé lui aussi au subsonique dès qu'il passait au-dessus des terres, l'avion franco-britannique n'a jamais pu relier qu'une poignée de villes, ce qui a fini par plomber sa rentabilité. Un X-59 qui réussit, ce serait la porte ouverte à un Paris-New York en moins de quatre heures sans réveiller personne au passage.

Source : NASA

Des chercheurs de l'université de Californie à San Diego, épaulés par Google, viennent de prouver un truc contre-intuitif : un Pixel mis au rebut il y a trois ans tient encore tête à un serveur professionnel sur certains calculs, au point qu'on peut en assembler un vrai data center au lieu de le foutre à la poubelle.

L'idée a été posée sur le blog de recherche de Google . Une fois l'appareil ouvert, les chercheurs retirent tout ce qui ne sert plus, l'écran, la batterie au lithium, les caméras et la coque, jusqu'à ne garder que la carte mère et sa puce, ce qu'on appelle un SoC, le processeur qui faisait tourner Android avant qu'on le bascule sur une distribution Linux des plus classiques.

Ce système, le même qui anime déjà l'immense majorité des serveurs de la planète, libère la puce des limites pensées pour un mobile, à commencer par ce bridage qui met les applications en pause dès qu'elles passent à l'arrière-plan. Ensuite, il suffit de relier ces cartes mères entre elles via Kubernetes, l'outil que les géants du web emploient déjà pour piloter les milliers de machines de leurs centres de données comme un seul gros ordinateur.

Le plus déroutant arrive là. Sur la plupart des tests ne mobilisant qu'un seul cœur, un Pixel Fold de 2023 dépasse un serveur ASUS RS720A-E11 pourtant équipé de deux gros processeurs AMD, le genre de bête qu'on retrouve dans les baies des entreprises.

Le serveur empile bien plus de cœurs en parallèle, si bien qu'il faut réunir entre 25 et 50 téléphones pour rivaliser avec son débit total. Mais bon. Dès lors que vous ramassez ces appareils gratuitement au lieu d'acheter du silicium neuf, l'équation se renverse.

Le vrai argument est écologique, puisque près de la moitié des émissions de carbone d'un smartphone sur toute sa vie part dans sa seule fabrication, surtout dans l'assemblage de la carte mère et du processeur, ce fameux carbone gris déjà cramé avant même que l'appareil ne s'allume.

On change pourtant de mobile tous les trois ou quatre ans, en balançant une puissance de calcul encore largement bonne à servir, pendant que les entreprises font fabriquer des serveurs flambant neufs pour les mêmes tâches. Le gâchis est énorme.

L'équipe a pour l'instant fait tourner une grappe de 20 téléphones, qui a encaissé sans broncher le pic de rendu des devoirs d'une classe de plus de 75 étudiants avec une latence plus basse que les services cloud du commerce. Elle prépare déjà un cluster d'environ 2 000 Pixel pour la rentrée, capable d'absorber une centaine de cours d'informatique en même temps pour une fraction du prix du cloud habituel.

Reste à rester lucide. Ces puces ont peu de mémoire, donc on les cantonne aux tâches légères, la correction automatisée ou les carnets de code, loin de l'entraînement d'un gros modèle d'IA.

Mais voir une montagne d'e-déchets se muer en salle de classe numérique, ça donne sacrément envie d'y croire. Surtout vu le nombre de Pixel qui dorment au fond de nos tiroirs, même moi j'en ai deux qui traînent pour tout vous dire.

Source : Techspot

Le FBI possède sa propre ville, sauf que personne n'y habite, et pour cause, elle a été montée de toutes pièces dans un hangar de Huntsville, en Alabama, avec ses maisons meublées, son hôtel, sa station-service, son épicerie, son tribunal, son hôpital et jusqu'à sa compagnie d'électricité, le tout dans un seul but assez vertigineux, la pirater dans tous les sens sans jamais déranger âme qui vive.

Le décor porte d'ailleurs un nom, le Kinetic Cyber Range, près de 2 000 mètres carrés de fausse bourgade américaine ouverte en février 2025 et pensée comme un gigantesque bac à sable pour cyberattaques en conditions réelles.

J'ai posé le Dreo TurboCool 516S sur mon bureau au début de la vague de chaleur, et c'est vite devenu mon arme anti-canicule pour bosser. Ce n'est ni un ventilateur classique, ni un de ces brumisateurs de terrasse qui finissent par coller les touches du clavier.

L'idée tient dans la techno maison, baptisée TurboCool Ultra Mist. Une petite plaque ultrasonique fait vibrer l'eau à 1,7 MHz pour la casser en gouttelettes microscopiques de 11 microns, soit bien plus fines que la bruine d'un brumisateur ordinaire.

Du coup, la brume s'évapore quasi instantanément dans le flux d'air au lieu de mouiller ce qu'elle touche. Ma température ressentie baisse d'environ 3 degrés, que je confirme clairement, et le bureau reste sec. J'ai tenté le test du mouchoir devant la sortie d'air : il ne prend pas l'humidité, c'est assez fou.

Screenshot

Le réservoir de 1,3 litre tient une bonne journée de boulot, jusqu'à 12 heures sur le débit le plus faible. On a six vitesses de ventilation, deux modes et trois niveaux de brumisation, de quoi doser entre le petit souffle frais et la rafale qui décoiffe. Le moteur est très discret, autour de 20 dB au minimum, je l'oublie complètement quand je bosse.

Là où ça devient intéressant pour le geek que je suis, c'est le côté connecté. Le 516S embarque un capteur de température et d'humidité. Vous fixez un taux d'humidité cible dans l'appli Dreo, et la brumisation se coupe toute seule une fois la cible atteinte, histoire de ne pas transformer le coin bureau en serre tropicale. 

Un petit anneau lumineux RVB vire au rouge quand l'air devient trop humide, alerte visuelle immédiate, pas besoin d'aller checker un écran. C'est trop bien.

L'appli Dreo pilote le reste à distance si besoin : vitesses, programmes horaires, mode humidificateur seul sans le ventilo, et un verrouillage des commandes bien pratique si des gamins traînent autour. Comme l'engin parle aussi à Alexa et Google Assistant, je déclenche la brume à la voix sans lâcher le clavier. Il y a aussi une télécommande si besoin.

Côté entretien, il est vraiment pas pénible. Pas de pompe, aucun filtre à racheter. Le bloc se démonte en moins de dix secondes pour un rinçage, ce qui évite l'eau stagnante et les bactéries qui squattent les vieux rafraîchisseurs à coussinet humide.

Le 516S se trouve autour de 99,99 euros sur Amazon , en stock en ce moment. Pour un appareil de bureau qui remplace à lui seul un ventilateur, un brumisateur et un humidificateur, c'est plutôt bien placé.

Bref, sur un bureau il fait exactement le job : du frais, du sec, du silencieux, et du connecté qui sert vraiment à quelque chose. Je valide à 100%.

Il est disponible ici sur Amazon !

J'ai aussi installé son grand frère, le 765S et son réservoir de 6 litres, dans mon salon. Le test complet de ce modèle-là est à lire sur Mac4ever .

Une équipe issue de l'université de Berkeley vient de publier OpenCAL, une version libre et documentée d'une technique d'impression 3D qui ne ressemble à rien de ce qu'on connaît, et le projet est désormais reproductible chez soi avec des composants qu'on trouve dans le commerce.

Le principe porte un nom un peu barbare, la lithographie axiale calculée (Computed Axial Lithography, ou CAL), mais l'idée derrière est étonnamment simple.

Une imprimante 3D classique à résine fabrique un objet en empilant des centaines de tranches horizontales, l'une après l'autre, comme on poserait des feuilles de papier les unes sur les autres jusqu'à obtenir un volume. C'est lent, et chaque couche laisse une petite marque parfois visible.

La CAL fait l'inverse. Au lieu de découper l'objet en strates, elle projette de la lumière dans un petit récipient de résine liquide qui tourne lentement sur lui-même, et l'image projetée change en permanence selon l'angle de rotation.

Cette technique reprend en fait le fonctionnement d'un scanner médical, mais à l'envers. Un scanner prend une multitude de clichés d'un corps sous tous les angles pour reconstituer une image en volume. Ici, on part de l'objet en 3D et un logiciel calcule toutes les projections à renvoyer dans la résine pendant qu'elle tourne.

Là où la lumière s'accumule suffisamment, la résine durcit. Partout ailleurs, elle reste liquide. Et comme le calcul concentre l'énergie sur l'ensemble du volume en même temps, la pièce entière se solidifie d'un coup, en quelques dizaines de secondes parfois, là où une imprimante normale mettrait de longues minutes voire des heures.

Pas de couches, donc pas de stries, pas de film FEP à changer (cette membrane transparente au fond des bacs à résine qui s'use vite), et aucun de ces cycles d'arrêt et de redémarrage qui ralentissent les machines habituelles.

La technologie n'est pas nouvelle, elle est née vers 2019 d'une collaboration entre Berkeley et le laboratoire de Lawrence Livermore, mais elle restait cantonnée à la recherche, hors de portée du grand public. C'est tout l'intérêt d'OpenCAL.

Le projet propose désormais une documentation tout à fait complète, un dépôt GitHub avec tout le code source, les plans pour monter la machine et même la recette pour mélanger soi-même la résine adaptée. Le logiciel tourne sur un simple Raspberry Pi et la lumière vient d'un vidéoprojecteur grand public, en l'occurence ici un NexiGo Nova Mini.

Le tout est publié sous licence GPL3, libre pour un usage non commercial, recherche et éducation. L'équipe travaillait surtout sur un serveur Discord avant de tout formaliser proprement.

Une réserve quand même, et elle est importante. La résine maison repose sur des produits photochimiques toxiques, et la documentation ne s'en cache pas. Pour ceux qui préfèrent éviter de manipuler ça, un partenariat avec FormLabs propose une résine prête à l'emploi.

Côté qualité, la résolution reste comparable à celle de vieilles imprimantes à résine, rien de spectaculaire. Mais la vitesse, elle, n'a rien à voir.

Bref, voir une technologie de labo digne d'un réplicateur de Star Trek atterrir sur un Raspberry Pi et un projecteur à moins de 200 euros, c'est quand même bien sympa.

Source : Hackaday

Des ingénieurs de l'université du Texas à Austin ont mis au point un vêtement qui tire de l'eau potable directement de l'air ambiant, sans réservoir à remplir ni source à proximité, simplement grâce au tissu dont il est fait. Le travail, mené par Guihua Yu et son équipe de la Cockrell School of Engineering, avec le chimiste Keith Johnston du département de génie chimique McKetta et l'auteur principal Weixin Guan, vient d'être publié dans la revue scientifique Science Advances.

Le secret tient dans la matière. Il s'agit d'un tissu en hydrogel, c'est-à-dire un gel ultra-absorbant ici fabriqué à partir de matières issues de la biomasse, donc d'origine végétale, qui capte les molécules d'eau présentes dans l'air sous forme de vapeur avant de les faire passer à l'état liquide sur la surface des fibres puis de les stocker en profondeur.

Toute la prouesse réside dans la vitesse à laquelle l'eau franchit ces étapes, l'équipe ayant conçu un chemin qui la fait circuler très rapidement de la vapeur vers le liquide puis vers le textile, ce qui lui vaut une efficacité de trois à dix fois supérieure aux matériaux de récupération atmosphérique habituels.

Une fois l'humidité captée, elle est dirigée vers de petits modules détachables que l'on retire pour les glisser dans un collecteur pliable, où la chaleur du soleil libère l'eau emprisonnée dans le gel, qui se condense alors et devient buvable.

Côté rendement, la veste produit entre 400 et 900 millilitres d'eau potable par jour, soit grosso modo une à deux petites bouteilles, selon le taux d'humidité de l'air. Une version posée au sol plutôt que portée grimpe, elle, jusqu'à 1,3 litre quotidien, et tient ce chiffre aussi bien dans un climat aride que dans une ambiance tropicale moite.

La comparaison avec Dune était écrite d'avance. Dans le roman de Frank Herbert porté à l'écran par Denis Villeneuve, les habitants de la planète désertique Arrakis enfilent des stillsuits, ces combinaisons qui recyclent la transpiration et l'urine de celui qui les porte pour ne gaspiller aucune goutte d'eau dans un monde où elle vaut plus cher que tout. Ici, c'est nettement plus ragoûtant, puisque la veste ne prélève rien sur le corps et se contente d'aspirer l'humidité de l'air.

Et le projet ne s'arrête pas à un simple blouson, l'équipe imaginant déjà glisser le même tissu dans des sacs à dos, des tentes ou des abris d'urgence, histoire de transformer du matériel qu'on transporte déjà partout en petite usine à eau qui ne réclame ni pile ni branchement électrique.

Bon, il reste des inconnues de taille, puisqu'on ignore le poids réel du vêtement, son prix éventuel et surtout sa tenue dans le temps une fois enchaînés les cycles d'absorption et de chauffe. Et 900 millilitres, c'est encore loin de couvrir les besoins d'un adulte qui marche toute la journée en plein cagnard.

N'empêche, pour un randonneur perdu ou une région privée d'eau, tirer un demi-litre du ciel sans la moindre nappe à proximité, ça peut tout changer.

Source : Techspot

Une seule petite ligne de code envoyée au mauvais endroit pouvait transformer un Surface Laptop en bloc de métal inutilisable. C'est sur cette faille que Microsoft a discrètement travaillé pendant trois mois, avant qu'elle ne soit rendue publique le 12 juin.

L'histoire commence de façon assez improbable. Jack Darcy, un chercheur en sécurité australien, a demandé à Microsoft Copilot (l'assistant IA intégré à Windows) de régler le rétroéclairage de son écran, rien de dingue donc. Bien gentil, Copilot écrit tout seul un script Python, l'exécute, et la paf, il rend l'ordinateur totalement inopérant. Plus de démarrage, plus d'accès au BIOS, rien, queudalle.

En creusant, Darcy comprend ce qui vient de se passer. Le script a écrit n'importe quoi dans le firmware du SAM, le Surface Aggregator Microcontroller, cette petite puce qui coordonne le matériel sur les Surface : alimentation, ventilateurs, clavier, capteurs. Une fois sa mémoire corrompue, la machine ne sait tout simplement plus démarrer.

Le problème de fond, c'est que cette puce n'avait aucun garde-fou. Elle acceptait n'importe quelle valeur en écriture sans vérifier si elle avait le moindre sens. Pire, les commandes de lecture et celles d'écriture partageaient la même numérotation, ce qui rendait toute exploration prudente impossible. "Vous ne pouvez littéralement pas scanner deux commandes qui se suivent sans une chance sur deux de tomber sur une commande d'écriture", résume Darcy.

Du coup, un seul paquet expédié pouvait griller la carte mère pour de bon. Aucune réparation logicielle, aucune réinitialisation d'usine, aucun accès USB de secours : direction le remplacement complet de la carte mère, soit plusieurs centaines d'euros.

Tout n'est pas si noir quand même. Pour déclencher la catastrophe, il fallait déjà disposer des droits administrateur sur la machine et avoir désactivé Secure Boot et Secure Core, les deux protections activées par défaut sur les Surface. Autrement dit, un parc d'entreprise géré normalement ne risquait rien, et les seules machines réellement exposées étaient celles des bidouilleurs tournant sous Linux, en configuration gaming allégée ou avec des pilotes maison.

Les modèles concernés vont du Surface Laptop 3 au Surface Laptop 6 et du Surface Book 1 au Surface Book 3. Les Surface Go semblent épargnés, et les versions ARM n'ont pas été testées.

Côté correctif, Microsoft a plutôt bien joué le jeu. Prévenu le 10 mars, l'éditeur a reconnu le défaut puis déployé des mises à jour de firmware via Windows Update dès le mois de mars, si bien que la grande majorité des appareils touchés sont désormais protégés. Darcy a récupéré un Surface tout neuf pour le dédommager.

Un point chiffonne quand même. Microsoft a refusé d'attribuer un CVE, l'identifiant officiel qui répertorie une faille de sécurité, estimant que le bug "n'atteignait pas le seuil" requis. Pour un défaut capable de tuer une machine de façon irréversible, l'argument laisse songeur.

Pour la suite, Redmond mise sur le langage Rust, réputé pour empêcher ce genre de débordements mémoire. Le firmware embarqué est en cours de réécriture intégrale, baptisée "Secure EC", tout comme une partie de l'UEFI sous le nom de "Project Patina".

Bref, un Copilot qui brique tout seul le PC sur lequel il tourne, voilà une démo involontaire dont Microsoft se serait bien passé.

Source : The Register

Le 22 juin prochain, le Canada va éteindre une voix qui parle sans interruption depuis 1923. La station CHU, opérée par le Conseil national de recherches (l'équivalent canadien du CNRS), cessera ses émissions sur ondes courtes après plus de cent ans de bons et loyaux services.

Trois fréquences disparaîtront du spectre radio : 3330, 7850 et 14670 kHz. C'est la fin d'une époque.

Pour ceux qui n'auraient jamais croisé son signal, CHU diffusait en continu l'heure officielle canadienne, calée sur une horloge atomique du CNRC. Le principe est très simple : un émetteur balance des "tops" précis à la milliseconde, et n'importe quel récepteur radio peut s'y synchroniser. 

L'alimentation d'origine du Commodore 64 a une fâcheuse réputation : elle a tendance à mourir en cuisant lentement ses propres composants.

Le régulateur, noyé dans la résine, ne dissipe pas la chaleur, surchauffe, et finit par cramer en emportant parfois la machine au passage. Pour un ordinateur de 1982 qui tient encore debout aujourd'hui, c'est un vrai problème.

Du coup, le collectif Side Projects Lab a sorti le PD-64, une alimentation pensée pour ressusciter les C64 sans la peur du toaster. Le truc tient dans la taille du port d'alimentation de la machine, donc franchement minuscule, et fonctionne avec n'importe quel chargeur USB Power Delivery du commerce (la norme qui équipe presque tous les chargeurs USB-C modernes). Vous lui demandez du 12 V via la négociation USB-PD, et le module en tire ce qu'il faut pour alimenter la machine.

Des chercheurs ont passé le thermostat connecté Honeywell X2S à la moulinette du reverse-engineering. Le résultat est un peu embarrassant.

L'appareil en question, c'est un thermostat Wi-Fi qui se pilote depuis le smartphone et s'intègre aux installations domotiques, embarque deux puces principales. Un microcontrôleur Renesas Cortex-M33 cadencé à 200 MHz avec TrustZone (la techno qui isole les zones sensibles de la puce pour protéger les données critiques), et une puce Realtek qui gère le Wi-Fi et le Bluetooth Low Energy. À côté, deux mémoires Flash Winbond chiffrées.

Pour aller fouiller dedans, les chercheurs ont fabriqué une petite carte d'interface avec des pogo-pins (des broches à ressort qui viennent appuyer sur les points de test du circuit, sans rien souder). Avec ça, ils ont pu accéder au firmware et le décortiquer tranquillement.

Le bilan est donc assez gênant. La puce Realtek embarque une fonction de déchiffrement à la volée appelée RSIP, exploitable. Le protocole TLS, censé sécuriser les échanges avec les serveurs, contient une faille qui permet une attaque "man-in-the-middle" toute bête (un intermédiaire qui se glisse entre votre thermostat et le serveur pour lire ou modifier les échanges). Et un bug dans la génération des clés de session permet de les retrouver à coup sûr. Bref, l'appareil est troué de partout.

Le code de l'exploration est dispo sur Codeberg sous le nom "fuji-exploration", pour qui veut creuser.

Honeywell est une grosse boîte, pas un petit fabricant chinois sans-le-sou. Un thermostat connecté n'est pas un gadget anodin : il est branché en permanence sur votre réseau Wi-Fi domestique, et il sait à quelle température vous vivez, donc indirectement quand vous êtes chez vous. Voir une marque de ce niveau sortir un produit avec autant de vulnérabilités basiques, ça pose question.

Le pire, c'est qu'il n'y a aucune raison technique pour expliquer ces failles. La cryptographie correcte existe depuis vingt ans, les frameworks TLS sécurisés sont gratuits et bien documentés, et un bug dans la génération de clés se détecte logiquement sans trop problème. Quelqu'un a juste décidé que ce n'était pas la priorité.

Bref, encore un objet connecté à ajouter à la longue liste des trucs qu'on ne devrait pas laisser entrer chez soi sans l'isoler sur un réseau séparé.

Source : Hackaday