Vous saviez qu’il était possible de crasher SSH avec seulement 31 KB/s de trafic ? Hé oui, c’est carrement possible avec l’attaque DHEat, une vulnérabilité vieille de 20 ans qui fait encore des ravages et pourtant, personne n’en parle… Alors aujourd’hui, on va voir comment tester et sécuriser vos serveurs SSH.

SSH-Audit c’est un outil open source qui analyse vos serveurs (et même vos clients SSH) pour détecter tous les problèmes de configuration. Algorithmes obsolètes, vulnérabilités connues, mauvaises pratiques… rien ne lui échappe. Le truc cool, c’est qu’il ne se contente pas de vous balancer des erreurs à la figure. Non, non, il vous explique vraiment pourquoi c’est dangereux et vous propose des solutions concrètes.

Pour l’installer, c’est super easy. Si vous êtes team Python, un simple

pip3 install ssh-audit

et c’est réglé. Et si vous préférez Docker ?

docker pull positronsecurity/ssh-audit

et vous êtes prêt.

Et pour les adeptes de Snap,

snap install ssh-audit

fera le job. Bref, ils ont pensé à tout le monde.

Mais attendez, c’est pas fini puisque SSH-Audit intègre maintenant des tests pour les vulnérabilités les plus récentes. Vous avez entendu parler de l’attaque Terrapin (CVE-2023-48795) ? Cette saleté permet de compromettre l’intégrité du canal SSH en tronquant des messages. Et le pire c’est que 77% des serveurs SSH sur Internet y sont vulnérables. Donc c’est super car SSH-Audit détecte ça en deux secondes et vous dit exactement quoi faire pour vous protéger.

Et ssh-audit ne fait pas que scanner. Il peut carrément simuler des attaques pour tester la résistance de vos serveurs. L’attaque DHEat dont je parlais au début ? Vous pouvez la lancer avec la commande

ssh-audit --dheat=10 targetserver

Ça utilise 10 connexions simultanées pour saturer le CPU du serveur cible. C’est violent mais c’est exactement ce que ferait un attaquant donc mieux vaut découvrir la faille vous-même plutôt que de la laisser à un script kiddie, non ?

Et pour les pros qui gèrent des parcs de serveurs, ssh-audit propose un mode “politique” vraiment malin où au lieu de scanner bêtement, vous définissez une configuration de référence et l’outil vérifie que tous vos serveurs s’y conforment.

Par exemple, si vous voulez que tous vos serveurs Ubuntu 22.04 respectent les dernières recommandations de sécurité, vous pouvez créer une politique avec

ssh-audit -M ma_politique.txt serveur_reference

et l’appliquer partout avec

ssh-audit -P ma_politique.txt serveur_a_tester

D’ailleurs en parlant de ça, l’outil détecte aussi tous les algorithmes qui ne sont pas résistants aux attaques quantiques. En suivant le principe du “Harvest Now, Decrypt Later”, les agences de renseignement stockent déjà vos communications chiffrées en attendant d’avoir des ordinateurs quantiques pour les déchiffrer. SSH-Audit vous alerte sur ces algorithmes vulnérables pour que vous puissiez migrer vers des alternatives quantum-safe.

L’utilisation basique, permet aussi de scanner votre serveur :

ssh-audit monserveur.com

Et pour tester un client SSH (super utile pour vérifier que vos devs utilisent des configs sécurisées), lancez ssh-audit -c et connectez-vous avec ssh -p 2222 test@localhost. L’outil analysera la configuration du client qui se connecte.

Ah et j’oubliais un truc important. Si vous n’avez pas envie de jouer avec la ligne de commande, il y a une interface web sur ssh-audit.com. Vous entrez l’IP de votre serveur et hop, vous avez un rapport détaillé. C’est pratique pour faire un test rapide ou pour montrer à votre boss pourquoi il faut absolument mettre à jour les serveurs.

Voilà, donc si vous gérez des serveurs SSH (et qui n’en gère pas de nos jours ?), ssh-audit devrait faire partie de votre boîte à outils. C’est gratuit, c’est open source, et ça peut littéralement vous sauver les fesses en détectant des vulnérabilités critiques avant qu’elles soient exploitées. Donc faites-vous une faveur et testez vos serveurs maintenant. Vous me remercierez quand vous découvrirez que votre serveur de prod utilise encore des algos SHA-1 ou qu’il est vulnérable à DHEat !

Et si vous voulez aller plus loin, jetez un œil aux guides de durcissement fournis par l’équipe de ssh-audit. Ils expliquent étape par étape comment sécuriser OpenSSH, Dropbear et d’autres implémentations SSH.

Car comme dirait votre psy, détecter les problèmes c’est bien, mais les corriger c’est encore mieux !

Phoenix, Arizona, 6 heures du mat’. Un gamin de 16 ans dort paisiblement dans sa chambre, entouré de posters de Star Wars et de boîtes de pizza vides pendant que dehors, une dizaine d’agents armés jusqu’aux dents encerclent sa baraque…

Hé oui, aujourd’hui, je vais vous raconter comment 150 agents du Secret Service ont débarqué chez des ados boutonneux en pensant sauver l’Amérique. C’était le 8 mai 1990, et c’est devenu l’Opération Sundevil, la plus grosse opération anti-hacker de l’histoire.

Bon, faut que je vous avoue un truc inavouable. Même si j’adore Notepad++, je ne l’utilise plus depuis que je suis passé sous Mac. Et ça me manque tellement que j’ai failli installer une VM Windows rien que pour ça.

Heureusement, je viens de découvrir NotepadNext qui est une version de Notepad++ qui marche partout, même sur Mac et Linux.

Le développeur dail8859 a eu cette idée de génie, réimplémenter complètement Notepad++ avec le framework Qt pour qu’il tourne sur toutes les plateformes.

65 milliards de dollars, c’est le marché estimé du low-code en 2025. Incroyable !! Qui aurait pu se douter que ça reviendrait en force alors que dans les années 90, nos oncles et grand mères créaient des apps maison avec HyperCard en moins de 15 minutes ?

Et aujourd’hui, créer la même chose demande 3 frameworks, 2 bases de données et un diplôme d’ingénieur. Heureusement, 2 développeurs ont décidé de ramener la magie de l’époque avec Scrappy.

Combien d’entre vous ont déjà installé un programme Windows qui a foutu le bordel dans leur système ? Moi je lève la main et je suis certain que je ne suis pas le seul ! Heureusement, Microsoft a peut-être enfin trouvé la solution avec MSIX, un format qui vient remplacer nos bons vieux .exe.

Arrêter de rigoler, je suis sérieux ^^!

Depuis que je suis dans la tech, j’ai vu passer tous les formats d’installation possibles et imaginables. MSI, NSIS, Inno Setup, et j’en passe. Mais ça ne change rien… On finit toujours par formater son PC parce qu’une désinstallation a laissé des traces partout dans le registre. Et c’est avec l’expérience, qu’on apprend bien sûr à méfier de ces programmes qui promettent monts et merveilles mais qui au final polluent votre système.

J’étais tranquillement en train de lire le dernier papier d’Anthropic avec mon café quand mon chat (Percy) m’a regardé avec son regard de psychopathe, semblant me demander pourquoi j’avais l’air de quelqu’un qui venait de voir un fantôme. La vraie raison, c’est que je viens de découvrir qu’Anthropic testait maintenant comment les IA pouvaient nous mentir en pleine face au travers de leur projet SHADE-Arena. Derrière ce nom un peu barbare se cache en réalité un laboratoire secret pour mesurer les capacités de sabotage de nos assistants virtuels préférés.

Vos serveurs web classiques, les censeurs les trouvent en 3 clics. Même avec un VPN foireux, même caché derrière CloudFlare, même en priant très fort, alors imaginez que vous voulez publier un truc sur le web sans que personne ne puisse remonter jusqu’à vous ? Et bien en fait c’est hyper simple avec torserv qui lance automatiquement votre site comme service caché Tor.

Il s’agit d’un serveur web statique durci qui intègre nativement Tor. Pas de base de données MySQL qui traîne, pas de PHP qui fuite, juste vos fichiers HTML, CSS et JavaScript servis proprement. Le truc génial, c’est la configuration zéro. Vous lancez le binaire et hop, votre site devient accessible via une adresse .onion automatiquement générée.

Et si on appliquait la philosophie des IDE de développement aux outils juridiques ?

C’est exactement ce qu’a fait Drew Miller avec Tritium, un éditeur de texte écrit en Rust qui traite les documents juridiques comme des projets de code, avec annotation automatique, du redlining intégré et des performances à 60 FPS.

Drew Miller n’est pas n’importe qui dans cette histoire. Cet ancien avocat corporatiste chez Schulte Roth & Zabel à Londres a passé plus de 10 ans à jongler entre droit transactionnel et développement logiciel. En août 2024, il franchit le pas et lance Tritium Legal Technologies avec une vision claire : révolutionner le traitement de texte pour les avocats d’affaires. Son constat c’est que les outils actuels, Word en tête, sont des bloatwares qui sont utilisés depuis 40 ans sans répondre aux besoins spécifiques du secteur juridique.

Vous aussi vous avez déjà passé 10 minutes à retaper ligne par ligne un bout de code trouvé dans un screenshot de Stack Overflow ?

Félicitations, vous faites partie du club des masochistes cyber-digiteaux ! Heureusement, je vous ai trouvé le remède miracle : NormCap, un petit outil qui capture directement le texte au lieu de faire des images inutiles.

Au lieu de prendre une capture d’écran classique qui vous donnera une image à stocker quelque part, NormCap utilise l’OCR (reconnaissance optique de caractères) pour extraire directement le texte. Vous sélectionnez une zone de votre écran, et hop, le texte se retrouve dans votre presse-papiers, prêt à être collé où vous voulez.

Franchement, voir des animés pixellisés en 2025, c’est un peu comme écouter des MP3 à 96 kbps… ça fait mal aux yeux et surtout ça fait mal au coeur ! Heureusement, Video2X vient de sortir en version 6.4 avec sa dose d’intelligence artificielle pour transformer vos vidéos dégeu en chef-d’oeuvre 4K, et en plus c’est gratuit !

Après des années de galère avec la version 5.0.0 beta qui plantait plus souvent qu’elle ne fonctionnait, cette réécriture complète en C/C++ marque enfin l’avènement de l’upscaling vidéo accessible à tous ! Et ça c’est cool, vous allez voir !

Dans un monde où l’IA sait dessiner des chats en tutu et composer des haïkus sur les frites, voici enfin une application qui fait enfin quelque chose d’utile. Cela s’appelle SignYourName.io et ça vous apprend à signer votre prénom en langue des signes américaine, et franchement, c’est bien plus classe que de demander à ChatGPT de rédiger vos mails de rupture.

Si vous êtes du genre à râler contre les restrictions débiles de Windows 11 tout en bidouillant vous-même vos clés USB d’installation, Rufus 4.8 vient de sortir avec de quoi vous faire gagner un temps précieux. Pete Batard a encore frappé et cette fois, c’est la vitesse de traitement des ISO Windows qui prend un coup de boost grâce à l’intégration de wimlib.

Pour ceux qui vivent dans une grotte depuis 2011, Rufus c’est LE couteau suisse pour créer des clés USB bootables. C’est un outil gratuit et open-source qui sauve la mise quand vous devez installer Windows 11 sur un PC qui n’a pas de puce TPM 2.0 ou de Secure Boot activé. Et pendant que Microsoft impose de plus en plus de restrictions à la con, Pete Batard, lui continue tranquillement de développer son petit utilitaire.

Vous en avez marre de galérer avec LaTeX pour rédiger vos docs techniques ? Et bien de mon côté, j’ai découvert Quarkdown et c’est vraiment cool, vous allez voir.

Quarkdown, c’est donc le projet coup de coeur de Giorgio Garofalo, un étudiant en ingénierie à l’université de Bologne qui a eu une idée de génie : et si on combinait la simplicité de Markdown avec la puissance de LaTeX ? Le résultat, est donc un système de composition moderne qui compile en millisecondes là où LaTeX nous fait poireauter des secondes entières.

Perso, même si je préfère rester 48h enfermé dans une pièce entièrement vide avec rien à faire plutôt que de regarder un demi match de foot à la TV, je sais que parmi vous, y’en a qui aiment vraiment ça, donc je me dois de vous partager cette mauvaise nouvelle.

En effet, si vous pensiez que votre VPN était la cape d’invisibilité parfaite pour mater du foot gratuitement sur Internet, et bien sachez-le, la justice française vient de mettre un gros STOP aux pirates que vous êtes et surtout à l’écosystème entier des réseaux privés virtuels (VPN) qui la plupart du temps misent là dessus pour chopper des abonnés.

J’sais pas si vous avez vu, mais le projet Tor vient de sortir Oniux, un nouvel outil qui permet aux applications Linux de se connecter au réseau Tor. Comme ça, fini les fuites de données accidentelles, et adieu les problèmes de configuration SOCKS. En effet, Oniux isole totalement vos applications au niveau du noyau Linux, garantissant ainsi que chaque paquet passe obligatoirement par Tor. C’est un peu comme si vos applications entraient dans le programme de protection des témoins, avec une nouvelle identité garantie par Tor.

Dans le petit monde du stockage en ligne, il est difficile de ne pas penser immédiatement aux géants américains comme Google Drive, Dropbox ou encore OneDrive. Ces services dominent largement le marché, mais quid des alternatives qui respectent davantage notre vie privée et se plient aux réglementations européennes ? pCloud, une solution de stockage suisse, est peut-être exactement ce que vous cherchez. Avec des centres de données situés au Luxembourg et une conformité stricte avec le RGPD, il se démarque par son respect de la vie privée et une multitude de fonctionnalités révolutionnaires.

Vous vous souvenez quand votre ex vous a largué pour “prendre du temps pour réchéfliiiir” (oui il/elle l’a dit comme ça…) et qu’ensuite, il ou elle est revenu(e) en rampant quelques mois plus tard ?

Eh bien, VMware vient de faire pareil avec sa version gratuite d’ESXi. Après l’avoir brutalement buté début 2024, Broadcom vient discrètement de la ressusciter, comme si de rien n’était. En tout cas, c’est ce qu’on a découvert dans les notes de version de ESXi 8.0 Update 3e : “Broadcom makes available the VMware vSphere Hypervisor version 8, an entry-level hypervisor. You can download it free of charge from the Broadcom Support portal.”

Apple’s app removals follow the Digital Services Act, a European law requiring all app traders to display verified contact details, including address, email, and phone number.

The best cash management accounts pay high interest rates on deposits, allow unlimited access to funds, and charge minimal fees. Read our guide to learn more.