Allez je continue sur les apps macOS bien pratique cet aprèm et si vous êtes du genre à basculer entre le mode clair et sombre selon votre humeur ou l’heure de la journée ça devrait vous plaire.

Je vous rassure je fais ça aussi sauf que jusqu’à présent, il y avait toujours ce petit truc qui coinçait à savoir que le wallpaper qui reste le même.

Du coup un fond d’écran lumineux en mode sombre, ça pique les yeux et un wallpaper sombre en mode clair, c’est déprimant.

Heureusement** Umbra** débarque pour régler ce souci. Cette petite app se planque dans votre barre de menu et fait exactement ce qu’on attend d’elle, c’est à dire synchroniser vos wallpapers avec l’apparence de macOS. Vous définissez un fond d’écran pour le mode clair, un autre pour le mode sombre, et hop, la magie opère.

Screenshot

L’idée paraît évidente maintenant qu’elle existe. Les développeurs de Replay Software ont vraiment mis le doigt sur un problème irritant du quotidien que personne n’avait vraiment résolu proprement.

Ce qui rend Umbra cool aussi c’est son intégration native d’Unsplash. Plus besoin de vous galérer à chercher des wallpapers adaptés. Directement depuis la barre de menu, vous parcourez des millions d’images libres de droits, classées par catégories… Nature, Voyages, Patterns, Rendus 3D… et si vous en voyez une qui vous plaît ? Un clic et elle devient votre nouveau fond d’écran.

Le système de synchronisation automatique de macOS fait en sorte que votre Mac bascule automatiquement entre les modes clair et sombre au lever et coucher du soleil, et Umbra suit le mouvement sans broncher. Vous pouvez même définir un raccourci clavier pour switcher manuellement entre les deux modes quand l’envie vous prend.

Screenshot

L’app gère tous les formats d’images courants : JPG, PNG, HEIC et même PSD pour les créatifs. Le glisser-déposer fonctionne parfaitement, et l’image s’adapte automatiquement à votre résolution d’écran. Pour ceux qui regrettent l’ambiance légèrement assombrie de macOS Mojave, Umbra propose même une option de dimming pour atténuer subtilement vos wallpapers en mode sombre.

Côté compatibilité, Umbra nécessite macOS Big Sur (11.5) ou plus récent selon le site officiel. L’interface est traduite en plusieurs langues dont le français, l’espagnol, le japonais et le chinois.

Le modèle économique mérite qu’on s’y attarde également puisque Replay Software a opté pour le “pay what you want” sur Gumroad. Vous pouvez récupérer Umbra gratuitement si vous voulez, ou lâcher quelques euros pour soutenir le développement. C’est pareil qu’avec mon Patreon finalement….

A découvrir ici.

Merci à Lorenper pour la découverte !

Un dénommé SSShooter, développeur de son état, a concocté un projet open source qui pourrait bien vous aider pour mieux apprendre n’importe quel sujet, à l’aide de cartes mentales. Baptisé Ebook to Mindmap , son outil transforme vos EPUB et PDF en cartes mentales interactives, le tout propulsé grâce à l’intelligence artificielle.

Cela permet de ne plus vous cogner 300 pages d’un traité sur le machine learning tout en griffonnant des notes sur un coin de nappe. Là vous glissez votre fichier dans l’outil et voilà ! Vous obtenez une carte mentale structurée regroupant tous les concepts clés, les relations entre les idées et l’architecture globale du bouquin.

Ce qui est plutôt cool avec cet outil, c’est qu’il ne se contente pas de vous balancer un résumé basique. Le projet utilise Google Gemini ou GPT d’OpenAI pour analyser intelligemment le contenu. Il détermine automatiquement la structure des chapitres, ignore les préfaces et tables des matières inutiles et vous propose trois modes de traitement différents selon vos besoins.

Que vous ayez besoin d’un simple résumé textuel parce que vous êtes pressé, d’une mindmap par chapitre pour une analyse détaillée, ou d’une carte mentale globale du livre entier, c’est vous qui choisissez. Et tout ça avec un système de cache intelligent qui vous épargne de re-traiter les mêmes bouquins encore et encore.

Pour l’installation, rien de compliqué si vous avez Node.js 18+ sur votre machine. Un petit git clone, un pnpm install et hop, vous êtes lancé. Vous configurez votre clé API (Google Gemini ou OpenAI), vous uploadez votre ebook et vous laissez l’outil faire son travail. Y’a même une démo accessible ici en ligne pour tester sans installer.

Mais comme le code est open source, vous gardez le contrôle sur le processus. Vous pouvez ainsi définir la profondeur des sous-chapitres à analyser, choisir le type de livre (technique, fiction, business…) et même ajuster les paramètres avancés selon vos besoins spécifiques.

Pour les étudiants qui doivent se farcir des pavés de 800 pages sur la thermodynamique quantique, ou pour les professionnels qui veulent extraire rapidement l’essence d’un livre business sans y passer le weekend, c’est parfait. Et pour les curieux qui accumulent les ebooks mais n’ont jamais le temps de tous les lire en détail, c’est la solution miracle.

Le seul bémol que je vois, c’est qu’il faut quand même une clé API pour faire tourner l’IA. Mais bon, avec les tarifs actuels de Google Gemini, ça reste largement abordable pour un usage personnel. Et puis si vous êtes développeur, rien ne vous empêche de forker le projet et d’y intégrer votre propre modèle d’IA local comme je l’ai fait pour LocalSite .

Avez-vous déjà passé des heures sur After Effects pour créer une simple animation de 30 secondes qui explique un concept. Entre nous, c’est un cauchemar. Jongler avec les keyframes, les courbes de bézier et 150 calques qui se battent en duel pour savoir lequel doit apparaître en premier, c’est bien relou et on finit par perdre plus de temps à se battre avec le logiciel qu’à créer du contenu.

Vous voyez de quoi je parle, non ?

Mais voilà, j’ai testé un truc qui s’appelle StoryMotion et qui permet de créer des animations façon tableau blanc aussi facilement que vous faites des slides PowerPoint. Pas de compétences professionnelles requises, pas de formation de 3 mois sur YouTube. Juste vous, vos idées, et un outil qui sait que votre temps est précieux.

L’idée de StoryMotion est venue à son créateur, Chun Rapeepat, après avoir utilisé Excalidraw et Keynote pendant des années pour créer des visuels pour ses articles de blogs techniques. Quand il a voulu passer à la vidéo, il s’est retrouvé à passer des heures interminables sur des logiciels complexes pour obtenir un résultat qu’il aurait pu dessiner à la main en 5 minutes.

Pour ceux qui ne connaissent pas, Excalidraw c’est un outil de dessin collaboratif open source qui a conquis le cœur des développeurs et créateurs tech, et qui permet de dessiner vos schémas, diagrammes ou illustrations directement sur un espèce de tableau blanc.

Saviez-vous qu’il y a plus de 3,7 millions de fausses étoiles qui polluent GitHub , et que 16% des repos étaient déjà touchés fin 2024. C’est pour cela que DataDog a sorti GHBuster , un outil qui détecte justement les comptes et repos GitHub suspects grâce à des algos heuristiques bien senties.

Le principe c’est qu’au lieu de chercher bêtement des patterns, GHBuster analyse plusieurs comportements louches en même temps. Genre, il repère quand un repo a plein d’étoiles venant de comptes créés le même jour et check aussi d’autres trucs sympas comme les commits avec des emails non liés au profil GitHub (pratique pour repérer les acteurs malveillants qui utilisent plusieurs comptes bidons). Il trouve aussi les utilisateurs qui n’ont que des forks de repos supprimés, ou ceux dont tous les commits viennent d’emails non vérifiés.

L’installation est super simple pour ceux qui veulent tester :

uv pip install "git+https://github.com/DataDog/ghbuster.git"
export GITHUB_TOKEN=votre_token_github
ghbuster

J’sais pas vous, mais moi quand je vois Claude Code ou Cursor pondre du code avec des injections SQL grosses comme des maisons, j’ai envie de pleurer. Le pire, c’est que ces assistants IA sont incapables de vérifier si leur code est bien sécurisé. La plupart du temps ils pissent de la ligne, mais ils ne voient rien en. ce qui concerne d’éventuelles failles.

Du coup la bonne nouvelle, c’est l’arrivée de cet outil génial pour résoudre ce problème : TheAuditor . En gros, c’est une plateforme SAST (Static Application Security Testing) pensée dès le départ pour fonctionner avec les assistants IA.

L’idée c’est qu’au lieu d’avoir une IA qui code dans le vide, TheAuditor lui donne des yeux pour voir ce qu’elle fait vraiment. L’outil analyse le code, trouve les failles de sécurité (il détecte le Top 10 de l’OWASP, les injections, les problèmes d’authentifications…etc), et génère des rapports optimisés pour que l’IA puisse ensuite les comprendre et corriger ses erreurs toute seule.

Et surtout, ça fonctionne avec N’IMPORTE QUEL assistant IA. Pas besoin d’intégration spéciale, pas de SDK, rien. Vous demandez juste à votre IA de lancer aud full (ou vous le lancez vous-même) et elle lit les résultats dans .pf/readthis/. Que vous utilisiez Claude, Cursor, Codex, Windsurf ou Copilot, ça marche pareil.

L’installation est super simple. Vous clonez le repo dans ton dossier d’outils (pas dans votre projet !), vous faites un

pip install -e .

et c’est parti.

Ensuite dans votre projet, vous lancez :

aud setup-claude --target .

puis vous l’initialisez avec :

aud init

et enfin :

aud full

pour avoir votre audit complet.

TheAuditor fait tourner 14 phases d’analyse en parallèle. Ça va de la détection des frameworks (Django, Flask, React…) à l’analyse des dépendances, en passant par le suivi du flux de données pour identifier les points d’injection. Il génère même des graphiques de dépendances avec Graphviz pour visualiser l’architecture de ton code.

Un truc “marrant” que le créateur mentionne dans son projet, c’est que son outil déclenche les antivirus ! Donc c’est pas la peine de m’écrire pour me dire que votre antivirus random à la période d’essai expirée a détecté un grave danger et que vous êtes vachement déçu parce que Korben.info c’est devenu de la merde, et que vous allez portez plainte parce qu’à cause de moi, y’a un virus dans votre imprimante maintenant et ce genre de conneries ^^. C’est normal en fait parce que l’outil doit détailler les vulnérabilités qu’il trouve dans la documentation. Et pour l’antivirus, écrire des patterns de vulnérabilités détectées, c’est suspect. Mais bon, c’est le prix à payer pour avoir un vrai scanner de sécurité.

Le workflow maintenant avec ce truc, ça consiste donc à demander une fonctionnalité à votre assistant IA. Lui, en bonne victime, il la code, puis lance TheAuditor automatiquement, lit ensuite le rapport, corrige les problèmes de sécurité, relance TheAuditor pour vérifier que tout est OK, et ainsi de suite jusqu’à ce que ce soit clean. Comme ça plus besoin de toucher au terminal, l’IA gère tout.

Pour les refactorings, c’est également du bonheur puisque l’outil détecte automatiquement les migrations incomplètes, les incompatibilités d’API entre frontend et backend, les changements de modèles de données mal propagés. Vous pouvez même définir vos propres règles de corrélation dans /correlations/rules/.

Voilà, si vous en avez marre que vos assistants IA génèrent du code troué et que vous voulez dormir tranquille, TheAuditor pourrait bien devenir votre meilleur pote.

Vous avez déjà testé une app de méditation payante qui vous promettait monts et merveilles ? Moi oui, parce que je suis du genre stressé en permanence ALORS QU’Y A OBJECTIVEMENT AUCUNE DE PUTAIN DE RAISON !! Et puis j’ai trouvé des études scientifiques qui explique tout, notamment une méta-analyse publiée dans Nature qui explique que 100% des techniques de respiration testées sur des populations anxieuses sont efficaces. Oui, 100%.

Le truc dingue, c’est que ça marche mieux que la méditation classique. Par exemple, la respiration cyclique focalisée sur l’expiration améliore l’humeur de façon significativement supérieure à la pleine conscience. Et c’est vraiment mesurable, avec des p-values et tout le tralala.

Alors pourquoi s’emmerder à faire de la pleine conscience ??

Du coup, quand je suis tombé sur Anxiety Aid Tools, un projet complètement open source qui propose 8 techniques validées scientifiquement, j’ai voulu creuser. Pas de bullshit marketing, pas d’abonnement mensuel à 29,99€… juste du code ouvert et des exercices qui fonctionnent.

Le premier exercice dure 2 minutes chrono. C’est con comme truc mais votre système nerveux parasympathique s’active direct. Selon Psychiatric Times, cette approche “bottom-up” contourne le traitement cognitif et utilise des voies plus rapides entre le tronc cérébral et les circuits de régulation émotionnelle.

Le 5-4-3-2-1 est un peu plus bizarre car il consiste à trouver 5 trucs que vous voyez, 4 que vous touchez, 3 que vous entendez, 2 que vous sentez, 1 que vous goûtez. Ça paraît simpliste mais ça court-circuite littéralement les boucles anxieuses du cerveau en forçant votre attention sur le présent immédiat.

La relaxation musculaire progressive, elle, joue sur un mécanisme différent. 8 à 12 minutes pour contracter puis relâcher systématiquement chaque groupe musculaire. Les études du PMC montrent que les 12 interventions rapides + lentes testées réduisent toutes le stress de façon mesurable.

J’ai aussi testé la visualisation. On est censé voir un paysage accompagné de pensées, mais sur mon navigateur, ça ne s’affiche pas. Je pense que c’est un bug… J’espère que ce sera vite réparé.

Il y a aussi le “thought labeling” qui est plus subtil et vous rappellera un peu cette histoire de pleine conscience. Avec cet exercice, vous apprenez à identifier vos pensées anxieuses comme des événements mentaux temporaires. C’est de la thérapie comportementale cognitive pure, mais packagée dans une interface web accessible.

Les “stress relief bubbles” ? J’étais sceptique mais l’activité répétitive de faire éclater des bulles virtuelles redirige l’énergie anxieuse vers une action motrice simple. C’est le même principe que les fidget spinners, mais en version numérique. Par contre, c’est un peu buggé donc faudra être patient.

Enfin, la thérapie sonore utilise des fréquences spécifiques pendant 5 à 30 minutes. Certaines fréquences activent des zones précises du cerveau liées à la relaxation. C’est pas du new age, c’est de la neuroacoustique, les amis !

Voilà, je me suis dit que j’allais partager ça avec vous, mes petits tendus du string. Après sur GitHub, y’a des dizaines d’autre projets qui contribuent à démocratiser l’accès aux outils de santé mentale. Je pense par exemple à ifme qui permet de partager ses expériences avec ses proches, ou encore MentAlly propose du tracking d’humeur avec des exercices personnalisés.

D’ailleurs, sur les 10 000 apps de santé mentale disponibles, seulement 4% ont démontré une efficacité clinique. Anxiety Aid Tools fait donc partie de cette minorité qui base tout sur des preuves scientifiques, et pas sur du marketing émotionnel. Car ses mécanismes physiologiques sont clairs. Ce sont des techniques qui activent votre système nerveux parasympathique, (oui, c’est le seul truc “sympathique” chez certain d’entre-vous, alors prenez en soin ! ^^), c’est à dire celui qui contre naturellement le stress. Avec une pratique régulière, vous construirez alors une meilleure tolérance au CO2, inversement corrélée aux symptômes anxieux.

L’auteur du projet recommande de commencer par les exercices courts (2-5 minutes) quand l’anxiété est forte, puis de pratiquer régulièrement même quand tout va bien. C’est comme un entraînement sportif mais pour votre système nerveux. Notez que l’absence totale de tracking sur le site est volontaire. Pas de données personnelles collectées, pas de profil utilisateur, pas de notifications push pour vous rappeler d’être zen. Ce sont juste des outils disponibles quand vous en avez besoin. Par contre, c’est un projet jeune donc y’a encore des petits bugs à corriger mais comme c’est open source, vous pouvez contribuer aussi. Soyez indulgent !

Et si l’anxiété devient ingérable, le site renvoie vers des ressources professionnelles mais pour les zamériloques, alors je vous mets les miens pour les français : Psycom, Santé publique France, le Centre national de ressources et de résilience (CN2R), la Haute Autorité de Santé (HAS), la ligne d’écoute nationale 3114 (prévention du suicide) et les centres régionaux du psychotraumatisme.

Dans cet univers bruyant où Calm facture 50€ par an et Headspace 90€, avoir accès à des techniques validées scientifiquement et totalement gratuites, c’est une révolution silencieuse 🤫. Le code est sur GitHub, les études sont peer-reviewed, et ça marche.

Alors, prêts à tester la respiration cyclique pendant 2 minutes ?

Si oui, c’est par ici !

Pourquoi prendre des vacances d’été et glander sur une plage, alors qu’on pourrait pondre projet open source qui résout un vrai problème ?

Adrien Revel a fait exactement ça avec Microfolio, et le plus rigolo c’est qu’il s’est fait assister par Claude Code pour développer son bébé. Une fois installé, vous lui balancez vos fichiers dans des dossiers, vous ajoutez du Markdown pour les descriptions, et paf, vous avez un portfolio statique qui a la classe.

Pas de base de données qui rame, pas de CMS à maintenir, pas de plugins WordPress qui vous lâchent au pire moment. Juste des fichiers, du contenu, et un site qui booste.

Microfolio tourne sur SvelteKit 2, l’un des générateurs de sites statiques les plus utilisés, couplé à Tailwind CSS 4. Pour ceux qui ne suivent pas l’actu dev, SvelteKit est un framework qui compile votre code en vanilla JavaScript ultra-optimisé. Du coup, les sites chargent à la vitesse de l’éclair même sur une connexion 3G pourrie.

Maintenant, l’installation, c’est du velours. Par exemple, sous macOS, une ligne de Homebrew et c’est parti :

brew install aker-dev/tap/microfolio
microfolio new mon-portfolio
cd mon-portfolio
microfolio dev

Pour les autres OS, un bon vieux clone Git et pnpm font l’affaire. Le projet est pensé pour les designers, architectes, photographes, bref tous les créatifs qui veulent montrer leur travail sans se prendre la tête avec du code.

Ce qui est intéressant dans l’histoire, c’est qu’Adrien a développé Microfolio avec Claude Code, ce nouvel assistant IA d’Anthropic qui cartonne chez les développeurs. Claude Code est d’ailleurs particulièrement doué pour bosser avec Svelte 5 et sa nouvelle syntaxe de runes. L’IA l’a visiblement bien aidé sur la doc et le code, ce qui montre qu’on peut faire de l’open source de qualité en duo avec une IA.

La démo en ligne montre déjà ce que ça donne à savoir une interface épurée, une navigation fluide entre les projets, une vue carte pour les projets géolocalisés (pratique pour les architectes), et un système de tags pour filtrer le contenu. Le tout responsive évidemment, c’est la base aujourd’hui.

Moi j’en ai fait un site de chat pour rigoler…

Pour le déploiement, GitHub Pages est supporté d’office avec possibilité de mettre un domaine custom. Adrien cherche également des beta-testeurs pour peaufiner le projet avant de sortir la v1.0 à la rentrée. Donc si vous avez un portfolio à refaire ou si vous voulez juste tester un outil moderne, c’est le moment.

Bref, du bon “file-based CMS” comme on les aime. Comme ça, au lieu de stocker vos contenus dans une base de données qui peut foirer, tout est dans des fichiers que vous pouvez versionner avec Git. Vous gardez le contrôle total sur vos données, vous pouvez tout éditer offline, et surtout vous n’êtes pas prisonnier d’un système.

Puis ce combo SvelteKit + Tailwind CSS est vraiment pertinent, je trouve. SvelteKit permet de générer des sites statiques en automatique, ce qui veut dire que votre site est servi en HTML statique pour le SEO, puis devient interactif côté client. C’est le meilleur des deux mondes.

Pour les devs qui veulent contribuer, le code est sur GitHub sous licence MIT. Le projet utilise les dernières versions de tout (SvelteKit 2, Tailwind CSS 4, Node.js 20+), donc c’est aussi l’occasion de jouer avec les dernières technos du moment.

A découvrir ici !

Merci à Adrien Revel pour avoir partagé son projet !

Si vous possédez un NAS Synology et que vous aimez mettre les mains dans le cambouis, faut absolument que vous lisiez cet article. Car vous avez déjà forcement connu ce moment hyper frustrant où vous voulez juste lancer un nano ou un htop sur votre NAS et… rien ? En effet, le terminal Synology est plutôt spartiate de base. Heureusement, SynoCommunity vient à votre rescousse avec ses packages SynoCli qui permet d’ajouter de nouveaux outils indispensables sur votre NAS.

Alors SynoCommunity, c’est donc une communauté open source qui maintient plus de 130 packages tiers pour Synology DSM. Des applications comme Transmission, SickRage, ou même Home Assistant, mais aujourd’hui, j’aimerai surtout qu’on se concentre sur leurs 7 packages SynoCli qui regroupent plus de 110 outils en ligne de commande. Ça va vous permettre d’installer tout un arsenal d’utilitaires Linux d’un seul coup, sans vous prendre la tête avec les compilations croisées.

La beauté du truc, c’est que tout passe par le Package Center de votre Synology. Pas besoin de SSH, pas de risque de casser votre système, et surtout, tout reste proprement géré par DSM. Si vous mettez à jour votre NAS ou que vous voulez désinstaller, tout se fait proprement.

Bon, trêve de blabla, passons maintenant aux choses sérieuses : ✨l’installation✨.

D’abord, il faut ajouter le dépôt SynoCommunity à votre Package Center. Pour cela, connectez-vous à votre DSM, allez dans le Package Center, puis dans les Paramètres. Et dans l’onglet Sources de paquets, cliquez sur Ajouter et entrez :

• Nom : SynoCommunity
• Emplacement : https://packages.synocommunity.com/

Validez, et voilà, vous avez maintenant accès à tout le catalogue SynoCommunity dans l’onglet Communauté de votre Package Center.

Maintenant, cherchez “SynoCli” dans le Package Center. Vous allez alors tomber sur 7 packages différents, chacun ayant sa spécialité. Voici ce que contient chaque package :

• SynoCliNet pour le réseau : vous avez nmap (l’outil de scan réseau par excellence), tmux et screen pour gérer vos sessions SSH, mtr pour diagnostiquer les problèmes réseau, rsync pour vos synchronisations, et même sshfs pour monter des systèmes de fichiers distants. La version actuelle inclut aussi telnet, whois et dig.
• SynoCliFile pour la gestion de fichiers : c’est le package star avec nano et micro pour éditer vos fichiers, tree pour visualiser l’arborescence, fzf (le fuzzy finder qui change la vie), ripgrep pour des recherches ultra-rapides, bat (un cat avec coloration syntaxique), et même Midnight Commander pour ceux qui ont la nostalgie de Norton Commander. Les dernières versions incluent aussi eza et lsd, des alternatives modernes à ls.
• SynoCliMonitor pour surveiller votre système : htop évidemment (parce que top c’est has-been), iotop pour voir qui bouffe votre disque, iperf pour tester votre bande passante, et même bandwhich pour visualiser en temps réel qui utilise votre réseau. Les amateurs d’SNMP seront ravis de trouver les outils net-snmp inclus.
• SynoCliDevel pour les développeurs : automake, autoconf, make, gdb pour débugger, pkg-config, et même strace pour tracer les appels système. Parfait si vous voulez compiler des trucs directement sur votre NAS.
• SynoCliDisk pour gérer vos disques : testdisk pour récupérer des partitions perdues, ncdu pour voir ce qui prend de la place (en mode interactif), smartmontools pour surveiller la santé de vos disques, et ddrescue si vous devez récupérer des données d’un disque mourant.
• SynoCliKernel pour les modules kernel : celui-là est plus spécialisé, avec des modules pour l’USB série et les tuners TV. Utile si vous branchez des périphériques exotiques sur votre NAS.
• SynoCliMisc pour tout le reste : bc (la calculatrice en ligne de commande), expect pour automatiser des scripts interactifs, parallel pour paralléliser vos commandes, et plein d’utilitaires issus de util-linux comme lsblk, lscpu, findmnt.

Une fois installés, tous ces outils sont alors accessibles directement depuis le terminal SSH de votre Synology. Pas de PATH à configurer, pas de bibliothèques manquantes, ça marche direct.

Petite astuce quand même en passant… vous n’êtes évidemment pas obligé d’installer tous les packages. Si vous voulez juste éditer des fichiers et surveiller votre système, SynoCliFile et SynoCliMonitor suffisent largement. Chaque package fait entre 10 et 50 MB, donc ça reste raisonnable.

Pour DSM 7, attention, selon les développeurs, certains packages peuvent nécessiter des adaptations, mais la communauté est active et les mises à jour sont régulières. D’ailleurs, si vous upgradez de DSM 6 vers DSM 7, pensez à sauvegarder vos configurations avant. Ce qui est cool avec SynoCommunity surtout, c’est que tout est open source. Vous pouvez aller voir le code sur GitHub, contribuer si vous voulez, ou même créer vos propres packages avec leur framework spksrc. C’est une vraie communauté de passionnés qui maintiennent ça sur leur temps libre.

Bref, si vous utilisez votre Synology pour autre chose que du stockage basique, ces packages SynoCli sont indispensables. Ça transforme votre NAS en véritable serveur Linux, avec tous les outils dont vous avez besoin pour administrer, développer, et débugger… Comme ça, plus besoin d’installer Entware ou de bricoler avec ipkg/opkg. Tout est propre, maintenu, et intégré à DSM.

Alors oui, vous pourriez compiler tout ça vous-même, mais pourquoi se compliquer la vie quand une communauté entière le fait déjà pour vous ? En plus, avec le système de packages Synology, vous pouvez installer/désinstaller/mettre à jour en un clic, sans risquer de casser votre système.

Voilà, maintenant votre NAS Synology n’a plus aucune excuse pour ne pas avoir tous les outils CLI dont vous rêvez.

Puis c’est quand même plus classe de faire un htop dans un terminal que de regarder le Resource Monitor dans l’interface web, non ?

Si vous bossez dans la sécu ou que vous êtes juste curieux de comprendre comment fonctionnent les vulnérabilités, je vais vous parler d’un outil qui va vous changer la vie : Sploitus. C’est comme Google mais pour trouver des exploits sécu et avec un crâne-pieuvre en logo.

Créé par Anton “Bo0om” Lopanitsyn, un chercheur en sécurité web basé à Moscou, Sploitus est devenu LA référence pour trouver rapidement des exploits, des proof-of-concepts et des outils de hacking. Le site indexe en temps réel tout ce qui sort dans le domaine de la sécurité offensive et ça, c’est vraiment pratique quand vous devez vérifier si un système est vulnérable.

Sur sploitus.com, vous avez une barre de recherche toute simple dans laquelle vous pouvez chercher par nom de logiciel, par CVE (Common Vulnerabilities and Exposures), par type d’exploit ou même par auteur. Et le moteur va alors fouiller dans sa base de données massive et vous sortir tous les exploits pertinents.

Ce qui est cool avec Sploitus, c’est qu’il agrège plusieurs sources. On y trouve des exploits venant d’Exploit-DB, de GitHub, de Packet Storm, et plein d’autres plateformes. Comme ça au lieu de perdre du temps à chercher sur 15 sites différents, vous avez tout centralisé au même endroit et cerise sur le gâteau, les résultats sont triables par date ou par score de pertinence.

Pour chaque exploit, vous avez donc accès à pas mal d’infos utiles : la description détaillée, le code source (quand il est dispo), les plateformes affectées, et surtout un lien vers la source originale. C’est super important ça, parce que vous pouvez vérifier l’authenticité de l’exploit et voir s’il y a des mises à jour ou des commentaires de la communauté.

Le site propose aussi des flux RSS et Atom si vous voulez suivre en temps réel les nouveaux exploits qui sortent. C’est donc super pratique si comme moi, vous faites de la veille techno ou pour surveiller les vulnérabilités qui touchent vos systèmes. Y’a même un mode sombre pour ceux qui préfèrent coder la nuit (ou qui veulent juste faire plus hacker ^^).

Ah et petit détail sympa, des développeurs ont créé des scripts Python pour interroger Sploitus en ligne de commande. Le projet sploitus-search sur GitHub permet par exemple d’intégrer les recherches Sploitus directement dans vos outils de pentest. C’est super pratique par exemple pendant les CTF ou les audits de sécurité.

Maintenant, parlons un peu de l’aspect légal et éthique, parce que c’est aussi très important. Sploitus a eu par le passé quelques soucis avec des plaintes DMCA, notamment concernant un exploit WordPress, mais globalement, le site reste dans la légalité en tant que moteur de recherche qui indexe du contenu public.

CEPENDANT, les exploits référencés sur Sploitus sont des outils puissants qui peuvent causer des dégâts considérables s’ils sont mal utilisés. L’utilisation de ces exploits sur des systèmes dont vous n’êtes pas propriétaire ou sans autorisation explicite est illégale et peut vous valoir de sérieux problèmes judiciaires. Et ne comptez pas sur moi pour vous apporter des oranges en prison !

Ces outils sont donc destinés aux professionnels de la sécurité pour :

• Tester la sécurité de leurs propres systèmes
• Effectuer des audits autorisés
• Comprendre les vulnérabilités pour mieux s’en protéger
• Faire de la recherche en sécurité informatique

Voilà, donc si vous débutez dans le domaine, je vous conseille fortement de vous former d’abord aux bases de la sécurité informatique et de toujours travailler dans un environnement de test isolé.

D’ailleurs, Sploitus n’est pas le seul dans son genre. Vous avez aussi Exploit-DB qui propose SearchSploit en ligne de commande pour les recherches hors ligne, ou encore la base de données CVE officielle du MITRE. Mais l’avantage de Sploitus, c’est vraiment cette agrégation de sources multiples et cette interface web simple et efficace.

Voilà… Et n’oubliez jamais que le but de ce genre d’outils, c’est de sécuriser les systèmes, pas de les compromettre.

Vous saviez qu’il était possible de crasher SSH avec seulement 31 KB/s de trafic ? Hé oui, c’est carrement possible avec l’attaque DHEat, une vulnérabilité vieille de 20 ans qui fait encore des ravages et pourtant, personne n’en parle… Alors aujourd’hui, on va voir comment tester et sécuriser vos serveurs SSH.

SSH-Audit c’est un outil open source qui analyse vos serveurs (et même vos clients SSH) pour détecter tous les problèmes de configuration. Algorithmes obsolètes, vulnérabilités connues, mauvaises pratiques… rien ne lui échappe. Le truc cool, c’est qu’il ne se contente pas de vous balancer des erreurs à la figure. Non, non, il vous explique vraiment pourquoi c’est dangereux et vous propose des solutions concrètes.

Pour l’installer, c’est super easy. Si vous êtes team Python, un simple

pip3 install ssh-audit

et c’est réglé. Et si vous préférez Docker ?

docker pull positronsecurity/ssh-audit

et vous êtes prêt.

Et pour les adeptes de Snap,

snap install ssh-audit

fera le job. Bref, ils ont pensé à tout le monde.

Mais attendez, c’est pas fini puisque SSH-Audit intègre maintenant des tests pour les vulnérabilités les plus récentes. Vous avez entendu parler de l’attaque Terrapin (CVE-2023-48795) ? Cette saleté permet de compromettre l’intégrité du canal SSH en tronquant des messages. Et le pire c’est que 77% des serveurs SSH sur Internet y sont vulnérables. Donc c’est super car SSH-Audit détecte ça en deux secondes et vous dit exactement quoi faire pour vous protéger.

Et ssh-audit ne fait pas que scanner. Il peut carrément simuler des attaques pour tester la résistance de vos serveurs. L’attaque DHEat dont je parlais au début ? Vous pouvez la lancer avec la commande

ssh-audit --dheat=10 targetserver

Ça utilise 10 connexions simultanées pour saturer le CPU du serveur cible. C’est violent mais c’est exactement ce que ferait un attaquant donc mieux vaut découvrir la faille vous-même plutôt que de la laisser à un script kiddie, non ?

Et pour les pros qui gèrent des parcs de serveurs, ssh-audit propose un mode “politique” vraiment malin où au lieu de scanner bêtement, vous définissez une configuration de référence et l’outil vérifie que tous vos serveurs s’y conforment.

Par exemple, si vous voulez que tous vos serveurs Ubuntu 22.04 respectent les dernières recommandations de sécurité, vous pouvez créer une politique avec

ssh-audit -M ma_politique.txt serveur_reference

et l’appliquer partout avec

ssh-audit -P ma_politique.txt serveur_a_tester

D’ailleurs en parlant de ça, l’outil détecte aussi tous les algorithmes qui ne sont pas résistants aux attaques quantiques. En suivant le principe du “Harvest Now, Decrypt Later”, les agences de renseignement stockent déjà vos communications chiffrées en attendant d’avoir des ordinateurs quantiques pour les déchiffrer. SSH-Audit vous alerte sur ces algorithmes vulnérables pour que vous puissiez migrer vers des alternatives quantum-safe.

L’utilisation basique, permet aussi de scanner votre serveur :

ssh-audit monserveur.com

Et pour tester un client SSH (super utile pour vérifier que vos devs utilisent des configs sécurisées), lancez ssh-audit -c et connectez-vous avec ssh -p 2222 test@localhost. L’outil analysera la configuration du client qui se connecte.

Ah et j’oubliais un truc important. Si vous n’avez pas envie de jouer avec la ligne de commande, il y a une interface web sur ssh-audit.com. Vous entrez l’IP de votre serveur et hop, vous avez un rapport détaillé. C’est pratique pour faire un test rapide ou pour montrer à votre boss pourquoi il faut absolument mettre à jour les serveurs.

Voilà, donc si vous gérez des serveurs SSH (et qui n’en gère pas de nos jours ?), ssh-audit devrait faire partie de votre boîte à outils. C’est gratuit, c’est open source, et ça peut littéralement vous sauver les fesses en détectant des vulnérabilités critiques avant qu’elles soient exploitées. Donc faites-vous une faveur et testez vos serveurs maintenant. Vous me remercierez quand vous découvrirez que votre serveur de prod utilise encore des algos SHA-1 ou qu’il est vulnérable à DHEat !

Et si vous voulez aller plus loin, jetez un œil aux guides de durcissement fournis par l’équipe de ssh-audit. Ils expliquent étape par étape comment sécuriser OpenSSH, Dropbear et d’autres implémentations SSH.

Car comme dirait votre psy, détecter les problèmes c’est bien, mais les corriger c’est encore mieux !

Voici un truc vraiment cool qui va plaire aux fans d’auto-hébergement. Vous le savez, moi j’adore les petits outils pratiques, mais j’en ai marre de devoir uploader mes fichiers sur des services tiers qui vont ensuite les analyser, les stocker et probablement entraîner une IA dessus. Et bien figurez-vous que j’ai trouvé LA solution : Omni Tools.

En gros, c’est une collection d’outils web que vous hébergez vous-même et qui fait tout le traitement directement dans votre navigateur. Mais genre vraiment tout sans que vos fichiers ne quittent jamais votre machine. En plus, c’est léger puisque l’image Docker ne pèse que 28 MB !

Bon, faut que je vous avoue un truc inavouable. Même si j’adore Notepad++, je ne l’utilise plus depuis que je suis passé sous Mac. Et ça me manque tellement que j’ai failli installer une VM Windows rien que pour ça.

Heureusement, je viens de découvrir NotepadNext qui est une version de Notepad++ qui marche partout, même sur Mac et Linux.

Le développeur dail8859 a eu cette idée de génie, réimplémenter complètement Notepad++ avec le framework Qt pour qu’il tourne sur toutes les plateformes.

65 milliards de dollars, c’est le marché estimé du low-code en 2025. Incroyable !! Qui aurait pu se douter que ça reviendrait en force alors que dans les années 90, nos oncles et grand mères créaient des apps maison avec HyperCard en moins de 15 minutes ?

Et aujourd’hui, créer la même chose demande 3 frameworks, 2 bases de données et un diplôme d’ingénieur. Heureusement, 2 développeurs ont décidé de ramener la magie de l’époque avec Scrappy.

Combien d’entre vous ont déjà installé un programme Windows qui a foutu le bordel dans leur système ? Moi je lève la main et je suis certain que je ne suis pas le seul ! Heureusement, Microsoft a peut-être enfin trouvé la solution avec MSIX, un format qui vient remplacer nos bons vieux .exe.

Arrêter de rigoler, je suis sérieux ^^!

Depuis que je suis dans la tech, j’ai vu passer tous les formats d’installation possibles et imaginables. MSI, NSIS, Inno Setup, et j’en passe. Mais ça ne change rien… On finit toujours par formater son PC parce qu’une désinstallation a laissé des traces partout dans le registre. Et c’est avec l’expérience, qu’on apprend bien sûr à méfier de ces programmes qui promettent monts et merveilles mais qui au final polluent votre système.

J’étais tranquillement en train de lire le dernier papier d’Anthropic avec mon café quand mon chat (Percy) m’a regardé avec son regard de psychopathe, semblant me demander pourquoi j’avais l’air de quelqu’un qui venait de voir un fantôme. La vraie raison, c’est que je viens de découvrir qu’Anthropic testait maintenant comment les IA pouvaient nous mentir en pleine face au travers de leur projet SHADE-Arena. Derrière ce nom un peu barbare se cache en réalité un laboratoire secret pour mesurer les capacités de sabotage de nos assistants virtuels préférés.

Et si on appliquait la philosophie des IDE de développement aux outils juridiques ?

C’est exactement ce qu’a fait Drew Miller avec Tritium, un éditeur de texte écrit en Rust qui traite les documents juridiques comme des projets de code, avec annotation automatique, du redlining intégré et des performances à 60 FPS.

Drew Miller n’est pas n’importe qui dans cette histoire. Cet ancien avocat corporatiste chez Schulte Roth & Zabel à Londres a passé plus de 10 ans à jongler entre droit transactionnel et développement logiciel. En août 2024, il franchit le pas et lance Tritium Legal Technologies avec une vision claire : révolutionner le traitement de texte pour les avocats d’affaires. Son constat c’est que les outils actuels, Word en tête, sont des bloatwares qui sont utilisés depuis 40 ans sans répondre aux besoins spécifiques du secteur juridique.

Vous aussi vous avez déjà passé 10 minutes à retaper ligne par ligne un bout de code trouvé dans un screenshot de Stack Overflow ?

Félicitations, vous faites partie du club des masochistes cyber-digiteaux ! Heureusement, je vous ai trouvé le remède miracle : NormCap, un petit outil qui capture directement le texte au lieu de faire des images inutiles.

Au lieu de prendre une capture d’écran classique qui vous donnera une image à stocker quelque part, NormCap utilise l’OCR (reconnaissance optique de caractères) pour extraire directement le texte. Vous sélectionnez une zone de votre écran, et hop, le texte se retrouve dans votre presse-papiers, prêt à être collé où vous voulez.

Franchement, voir des animés pixellisés en 2025, c’est un peu comme écouter des MP3 à 96 kbps… ça fait mal aux yeux et surtout ça fait mal au coeur ! Heureusement, Video2X vient de sortir en version 6.4 avec sa dose d’intelligence artificielle pour transformer vos vidéos dégeu en chef-d’oeuvre 4K, et en plus c’est gratuit !

Après des années de galère avec la version 5.0.0 beta qui plantait plus souvent qu’elle ne fonctionnait, cette réécriture complète en C/C++ marque enfin l’avènement de l’upscaling vidéo accessible à tous ! Et ça c’est cool, vous allez voir !

Dans un monde où l’IA sait dessiner des chats en tutu et composer des haïkus sur les frites, voici enfin une application qui fait enfin quelque chose d’utile. Cela s’appelle SignYourName.io et ça vous apprend à signer votre prénom en langue des signes américaine, et franchement, c’est bien plus classe que de demander à ChatGPT de rédiger vos mails de rupture.