Vous vous souvenez de Windows 95 et de ses icônes ? A cette époque, moi je passais des heures à explorer chaque fichier .dll et .exe pour y découvrir des trésors cachés ( Resource Hacker qui se souvient ?).

Et bien tenez-vous bien, il y en a une bien nostalgique qui existe toujours dans Windows 11. Elle s’appelle pifmgr.dll, elle pèse 36 Ko, et elle a été créée “juste pour rire” il y a 30 ans.

Raymond Chen, un ingénieur Microsoft légendaire qui tient le blog The Old New Thing depuis des années, vient de raconter l’histoire de ce fichier qui refuse de crever et c’est une histoire assez marrante parce qu’elle dit beaucoup sur la façon dont Microsoft gère son propre bordel historique !

À l’origine, pifmgr.dll a été créée pour Windows 95 et son job officiel c’était de gérer les fichiers PIF, c’est-à-dire les Program Information Files qui décrivaient comment lancer une session MS-DOS virtuelle pour faire tourner vos vieux programmes DOS sous Windows. Je m’en souviens bien car à cette époque pour lancer certains jeux DOS sous Windows, il fallait configurer manuellement la mémoire étendue et la mémoire conventionnelle afin que ça démarre correctement…

Mais Raymond Chen, ce coquin, a décidé de planquer dedans une petite collection d’icônes 16 couleurs totalement inutiles. Des fenêtres, des balles, des trompettes, des chapeaux de magicien, des blocs de jeu avec des lettres, des nuages. Je suis sûr que ça va vous rappeler des souvenirs !! C’est le genre de trucs qu’on mettait sur nos raccourcis foireux quand on voulait customiser notre bureau Windows avec des icônes qui claquaient ^^.

Y’a même une pomme croquée du côté gauche… Ça ne vous rappelle rien ? C’est le genre de petite vanne passive-agressive que les développeurs Microsoft aimaient mettre partout dans les années 90.

Les nuages aussi, c’est pas un hasard. C’était le thème visuel de Windows 95. Vous vous souvenez du ciel bleu avec les nuages blancs qui s’affichait au démarrage ? Bah voilà, ils ont mis des icônes de nuages dans pifmgr.dll pour rester dans le mood.

Bref, aucune utilité pratique à tout ça, mais juste du fun. Et aujourd’hui, 30 ans plus tard (ouin ! on est vieux.), cette dll existe toujours dans Windows 11.

Et pas parce que Microsoft a voulu préserver l’histoire ou rendre hommage aux pionniers de Windows 95, non, la vraie raison, c’est que Microsoft a la flemme de la virer . Supprimer un fichier comme ça, ça coûte plus cher en tests et en compatibilité plutôt que de le laisser traîner.

Car oui, quelque part dans le monde, il y a forcément un script d’entreprise qui référence cette dll, ou un vieux raccourci qui pointe vers une de ces icônes. Et si Microsoft supprime le fichier, ben ça va péter quelque part, et ça va générer des tickets de support.

Donc Microsoft préfère garder ce petit fichier de 36 Ko qui ne fait de mal à personne. En plus, c’est tellement léger que ça ne vaut même pas le coup d’en discuter. Du coup, pifmgr.dll continue sa petite vie tranquille, planquée dans les profondeurs de Windows 11, comme une capsule temporelle des années 90 que personne n’a demandée mais que tout le monde garde par pure flemme.

Marrant non ?

Donc si vous voulez voir ces icônes de vos propres yeux, vous pouvez aller chercher pifmgr.dll dans votre installation Windows car elle est toujours là, avec ses 16 couleurs et ses gros pixels.

Merci à Lorenper pour ce partage qui m’a fait replonger dans mes souvenirs de Windows 95 !

Source

J’aime bien les bruits blancs pour me concentrer ou taper une petite sieste dans un endroit pas adapté pour ça :). Mon préféré c’est tout ce qui est bruit de cabine d’avion de ligne et je sais que d’autres préfèrent les effets genre feu qui crépite, bruit de la pluie…etc. Y’a des playlists entières de ça sur Spotify et même des applications même si en général elles sont un peu nazes.

Ces apps, ça démarre toujours avec une version gratuite limitée à 5 minutes, puis un vieux paywall pour débloquer les sons, et une notification tous les soirs à 22h pour vous rappeler de méditer. Sans parler des pubs qui cassent l’ambiance toutes les 10 minutes. Bref, c’est tellement relou qu’on finit par chercher “bruit de pluie 10 heures” sur YouTube comme un sauvage.

Mais y’en a quand même une qui sort du lot. Elle s’appelle Ambi et elle fait… du bruit. De la pluie, des vagues, des oiseaux, du bruit brun…etc. Y’a pas de coach virtuel à la con, pas de communauté à rejoindre, pas d’abonnement à payer… Elle fait juste du bruit et ça c’est cool car c’est plutôt rare de nos jours.

L’app fonctionne 100% offline. Tous les sons sont embarqués, et vous pouvez mixer plusieurs sons ensemble avec des volumes individuels pour chaque piste. Genre pluie + vagues + oiseaux si vous voulez recréer une plage tropicale sous l’orage. Vous avez aussi un timer qui va de 5 minutes à 10 heures, ou infini si vous voulez juste laisser tourner toute la nuit.

Puis comme c’est gratuit et sans tracker pourquoi s’en priver ?

Vous pouvez la télécharger ici sur l’ App Store .

Source

Vous êtes développeur blockchain et vous recevez un message LinkedIn d’un recruteur sympa pour une boîte qui a l’air tout a faire sérieuse. Ils ont un site web propre, des profils crédibles, et ils vous proposent de faire un petit test technique sur GitHub. Ça vous parle ? Bah oui, je vous ai parlé de cette arnaque y’a 2 jours … Et malheureusement, si vous n’y prenez pas garde, vous télécharger le code, vous le lancez, et BOOM… vous venez de contribuer financièrement au programme de missiles balistiques nord-coréen.

Bravo !

Car oui d’après une enquête de Google Threat Intelligence le groupe nord-coréen UNC5342 (aussi connu sous une dizaine d’autres noms selon qui le traque) a adopté une technique qui fait froid dans le dos : EtherHiding. Le principe c’est de. cacher du code malveillant directement dans des smart contracts sur la blockchain et selon Google, c’est la première fois qu’on documente qu’un état-nation utilise cette méthode.

La blockchain, cette technologie impossible à censurer, car décentralisée par essence vient de devenir l’arme parfaite d’un régime totalitaire. Parce que figurez-vous, quand vous stockez du malware dans un smart contract sur Ethereum ou la BNB Smart Chain, personne ne peut l’effacer. Même si tout le monde sait qu’il est là et même si vous avez l’adresse exacte.

C’est tout le concept !

Cette adresse, 0x8eac3198dd72f3e07108c4c7cff43108ad48a71c c’est donc le smart contract que les Nord-Coréens ont utilisé et Google a observé depuis plus de 20 mises à jour sur ce contrat en l’espace de 4 mois. Le coût de chaque transaction est d’environ 1,37 dollar, soit le prix d’un café que la Corée du Nord doit payer pour déployer et mettre à jour son infrastructure d’attaque qui devient ainsi permanente et indestructible.

Un missile balistique ça coûte des millions alors que ce genre de “cyber missile” stocké sur la blockchain ça coûte rien et le retour sur investissement est colossal. On parle de 2 milliards de dollars volés rien qu’au premier semestre 2025 . En février dernier, le groupe Lazarus (même famille, autre branche) a même éussi le plus gros casse crypto de l’histoire en volant 1,5 milliard de dollars à l’exchange Bybit . Depuis 2017, ce serait donc au total plus de 6 milliards volés et devinez où va cet argent ?

Dans le programme de missiles de la Corée du Nord et dans le contournement des sanctions internationales.

La campagne s’appelle “Contagious Interview” et elle cible spécifiquement les développeurs. Les Nord-Coréens créent de fausses boîtes avec des noms qui sonnent bien, genre “BlockNovas LLC”, montent des sites web complets, des profils LinkedIn qu’ils entretiennent pendant des mois, et ils vous contactent comme de vrais recruteurs. Ils vous font alors passer par toutes les étapes d’un processus de recrutement classique, déplacent la conversation sur Telegram ou Discord pour faire plus naturel, et finissent par vous envoyer ce fameux “test technique” hébergé sur GitHub.

Le code contient un loader JavaScript appelé JADESNOW qui va alors interroger la blockchain via des appels en lecture seule. Ça ne coûte rien en frais de transaction, ça n’alerte personne, et ça récupère le payload chiffré stocké dans le smart contract. Une fois déchiffré, ça déploie alors d’autres malwares aux noms charmants comme INVISIBLEFERRET, PITHOOK ou COOKIENET.

Et leur seul but c’est de voler vos cryptos, bien sûr, mais aussi installer un accès persistant à votre machine pour de futures opérations.

On est donc très loin ici du schéma du hacker solitaire dans son sous-sol. Là on parle d’équipes entières financées par un état, avec des objectifs militaires clairs, qui ont le temps et les ressources pour monter des opérations de social engineering sur plusieurs mois. Ils utilisent même la technique du “ClickFix” qui consiste à afficher un faux message d’erreur qui pousse l’utilisateur à installer quelque chose pour “corriger” le problème. Ça exploite notre réflexe naturel de vouloir réparer ce qui est cassé et le pire dans tout ça, c’est que les plateformes comme LinkedIn ou GitHub sont coincées.

Bah oui, comment voulez-vous distinguer un vrai recruteur d’un faux quand l’attaquant a trois mois devant lui pour construire une identité crédible ?

Bref, les développeurs blockchain sont devenus les nouvelles cibles premium et contrairement à une banque ou une plateforme crypto qui a des équipes sécurité, ceux là sont tout seuls derrière leur écran.

Selon les chercheurs de Mandiant , UNC5342 utilise cette technique depuis février 2025 au moins donc si vous bossez dans la blockchain, faites gaffe. Si vous recevez des offres, posez-vous des questions parce que financer des missiles nord-coréens, c’est pas vraiment le genre de side project qu’on veut sur son CV ^^.

Source

I’ve been telling people for years that owning a NAS (or Network Attached Storage) is one of the smartest tech investments you can make (here’s my list of top tech essentials for 2025 and beyond). Your data lives locally, you pay once for storage instead of renting it forever, and you get complete control over how everything works. The long-term economics make sense, the customization potential is massive, and you avoid the very real problem of your photos being scraped for AI training or handed over to government agencies or sold to data brokers. Cloud storage sounds convenient until you realize you’re paying $200 a year for the privilege of someone else owning your memories and potentially monetizing them in ways you never agreed to.

That said, NAS devices have always had a learning curve that scared away casual users. The setup process, RAID configurations, network settings, and maintenance requirements made them feel like enthusiast gear rather than consumer products. UGREEN’s new ARM-powered NASync DH2300 and DH4300 are trying to change that equation by targeting the specific use case of automatic photo backup and basic file storage. They’re priced at $210 and $430 respectively, which positions them as direct alternatives to multi-year Google Photos or iCloud subscriptions. The question is whether these ARM-based units make sense when UGREEN’s own x86 models exist at higher price points with significantly more flexibility.

Designer: UGREEN

What you get for the budget price is a 2-bay DH2300 that runs on a Rockchip RK3576 processor with 8 cores at 2.2 GHz, paired with 4GB of non-upgradable LPDDR4X RAM and a 32GB system drive. These NASync models have Gigabit Ethernet, HDMI output, USB-C, and two USB 3.2 Type-A ports. The design uses a top-down lidded approach that makes drive installation easier and reduces the footprint. You can theoretically store up to 60TB with two 30TB drives, but most people will mirror their drives in RAID 1 for redundancy, which means 30TB of usable storage. The 4-bay DH4300 bumps things up with a Rockchip RK3588C at 2.4 GHz, 8GB of RAM, and a 2 Gigabit Ethernet port. It supports RAID 0, 1, 5, 6, and 10, with a maximum 120TB raw capacity using four 30TB drives. Both units run UGOS, which is Debian-based and has matured considerably over the past few years based on user reviews and testing.

The ARM architecture choice creates very specific trade-offs that you need to understand before buying. These processors use RISC instruction sets that prioritize power efficiency over raw performance and x86 compatibility. What this means in practical terms: the DH2300 and DH4300 will handle automatic photo backups from your phone beautifully, organize files efficiently, and run UGOS’s built-in apps without breaking a sweat. They draw roughly 20 to 25 watts during operation and 4 to 6 watts on standby, compared to 35 to 45 watts and 10 to 15 watts for typical x86 NAS units. Over five years of 24/7 operation, that power difference translates to actual money saved on your electricity bill (which admittedly has been getting more and more expensive over the past few months). The thermal efficiency also means quieter operation since less heat requires less aggressive cooling. If your NAS sits in a bedroom or living room, that silent running matters more than benchmark scores.

But here’s what ARM struggles with or can’t do at all. Plex transcoding, which is when you stream your movie collection to different devices and the server automatically converts formats so everything plays smoothly, won’t work well here. Docker container support exists but many of these apps that tech enthusiasts install are built for computer processors and won’t run properly on ARM chips. Installing alternative operating systems like TrueNAS or Unraid is technically possible but practically more trouble than it’s worth. Virtual machines, which let you run multiple computers inside your NAS for testing or experimentation, are essentially off the table. If you want to use your NAS for homelabbing projects like running Pi-hole as a network-wide ad blocker or Home Assistant as a smart home controller, you’re going to hit limitations. The UGOS app ecosystem is functional but nowhere near as extensive as Synology’s DSM or what you can build on a computer-processor system with Docker. This is a photos and files appliance, not a do-everything server platform.

UGREEN made two decisions that genuinely puzzle me. First, they removed the SD card slot that every other NASync model includes. If you’re targeting people who want automatic photo backup, a significant portion of that audience shoots on DSLRs or mirrorless cameras that use SD cards. Photographers need to offload those cards regularly, and having to use a USB adapter or card reader adds friction to a workflow that should be seamless. Second, the RAM is soldered and non-upgradable. The DH2300’s 4GB might become a bottleneck when using AI photo organization features, which are increasingly standard in modern NAS photo apps. Given that competitors offer RAM upgrade paths, this feels like an unnecessary limitation for devices you expect to use for five to ten years.

Let’s address the elephant in the room: UGREEN’s own x86 models. The DXP2800 costs around $314 to $349 depending on sales, which is $104 to $139 more than the ARM DH2300. For that price, you get an Intel N100 processor, 8GB of DDR5 RAM, dual M.2 NVMe slots, and 2.5 Gigabit Ethernet. That hardware can run Docker containers smoothly, handle Plex transcoding (for streaming local media), support virtual machines, and give you the flexibility to grow into more advanced use cases. The DXP4800 is around $495, just $65 more than the DH4300, with similar spec advantages. For enthusiasts or anyone who might want to experiment with self-hosting services beyond photo backup, those x86 models are objectively better investments. The extra upfront cost buys you options and longevity that ARM fundamentally cannot provide.

So who are these ARM units actually for? The person who just wants their iPhone or Android phone to automatically back up photos when they connect to home WiFi, organized by date and face recognition, accessible from any device on the network. The household that’s tired of paying Google or Apple $10 to $20 monthly for cloud storage when a one-time hardware purchase eliminates that subscription forever. The user who values quiet operation and low power consumption because the NAS lives in a shared space and runs constantly. The beginner who doesn’t want to learn about advanced containers or storage configurations beyond the basics and just needs something that works out of the box for a specific, limited purpose. Worth noting: basic AI photo features like face recognition and object detection work fine on these ARM chips, but if you want to run multiple AI services simultaneously or more computationally heavy models, you’ll hit performance walls. If you fit one of those profiles and you’re confident you won’t expand into advanced home server territory, the DH2300 or DH4300 will serve you well.

The broader competitive landscape shows these units priced reasonably but not exceptionally. TerraMaster’s F2-212 costs $169.99 for a 2-bay unit, though with weaker specs. Synology’s DS223j sits around $250 but comes with Synology’s superior software ecosystem. QNAP’s TS-464 offers more expansion options at a higher price point. The real comparison point is UGREEN’s own lineup, where the price-to-performance ratio of their x86 models makes the ARM versions look less compelling unless power efficiency and simplicity are your primary concerns. Synology remains the software king with the most polished interface and mature app ecosystem, but you pay a premium for that experience. UGREEN’s UGOS has closed the gap considerably and works well for basic tasks, even if it lacks the depth of features that enthusiasts want.

Here’s my take: if you know you only need photo and file storage, never plan to run Plex or Docker, and value low power consumption, the DH2300 or DH4300 are solid choices at their price points. They do exactly what they promise without pretending to be something they’re not. But if you have even a slight interest in expanding your NAS usage beyond those basics, or if you might want to experiment with self-hosted services down the line, spend the extra money on the x86 DXP2800 or DXP4800. The flexibility is worth it, and you won’t feel limited six months after purchase when you discover something cool you want to try but can’t because of ARM’s architectural constraints. And if you’re a photographer who regularly shoots on actual cameras, skip both ARM models entirely and get something with an SD card slot. That omission is genuinely hard to justify for a product positioned as a Google Photos replacement when a huge chunk of serious photo-takers don’t use phones as their primary camera.

The post UGREEN’s New ARM-powered Budget NAS Is Perfect for Photos, Just Don’t Expect Much Else first appeared on Yanko Design.

3D visualization has become a necessary evil that most designers secretly hate. Want to preview your architectural model in three dimensions? Better strap on a sweaty VR headset and hope you don’t bump into furniture. Need to show clients how their product looks from different angles? Good luck explaining why they need to wear bulky goggles for a simple design review.

Portalgraph by Beleve Vision cuts through this nonsense by turning any regular TV or computer monitor into a glasses-free 3D display that actually works. The technology creates convincing three-dimensional visuals without requiring headsets, special glasses, or expensive hardware upgrades. Multiple people can view the same 3D content simultaneously, making collaboration natural instead of awkward.

Designer: Beleve Vision

The system tracks your head movements in real time using a combination of hardware and software that attaches to existing screens. Move around, and Portalgraph adjusts the 3D perspective to maintain depth perception from different viewing angles. The technology converts 2D content into three-dimensional experiences instantly or displays native 3D content with proper depth that doesn’t strain your eyes.

Creative professionals get immediate workflow improvements from this approach. Preview 3D models without switching between programs or dealing with clunky interfaces. Spot proportion problems, lighting issues, and spatial relationships at a glance during normal work sessions. Team meetings become productive when everyone gathers around one screen and discusses specific design elements in a shared 3D space.

Real-world applications make sense across different creative fields. Architects can walk clients through building designs without technical training or comfort with unfamiliar technology. Game developers test character animations and environment layouts while maintaining their regular workflow patterns. Product designers showcase prototypes during video calls where clients examine designs from multiple angles without downloading special software or learning new interfaces.

The technology makes advanced 3D visualization accessible to smaller studios, freelancers, and educational institutions that can’t justify expensive VR investments. Portalgraph works with standard monitors and TVs, eliminating the need for specialized hardware purchases. This democratization opens creative possibilities for designers who previously couldn’t afford or manage complex immersive visualization setups.

Collaboration becomes the standout feature in creative workflows where feedback drives the design process. Traditional VR isolates users in individual experiences, making group discussions feel disconnected and inefficient. Portalgraph enables natural teamwork where designers, clients, and stakeholders examine identical three-dimensional content together while maintaining eye contact and normal conversation flow.

While Portalgraph remains limited in current market availability, the technology represents a significant leap toward making 3D content creation feel intuitive rather than technical. The ability to experience genuine depth perception without barriers could fundamentally change how designers approach their daily work, seamlessly blending 2D sketching with 3D visualization throughout creative processes without switching tools or mindsets.

The post Portalgraph Just Killed 3D Glasses With This Award-Winning Display first appeared on Yanko Design.

The problem with most EDC knives is that they’re either pretty to look at or actually useful, rarely both. Cheap materials make them look tacky, stiff mechanisms make them frustrating to use, and don’t even get started on how quickly they lose their edge. That hasn’t stopped manufacturers from churning out countless variations of the same disappointing formula, leaving users to choose between form and function.

The Scarab 2.0 takes a completely different approach to solving these everyday annoyances. Instead of cutting corners, it brings together aerospace-grade titanium and carbon fiber, paired with an M390 steel blade that knife enthusiasts swear by. The result looks almost too good to use, though that would be missing the point entirely. This is a tool made for daily challenges, not display cases.

Designer: MIH

Click Here to Buy Now: $159 $237 (33% off). Hurry, only 39/60 left!

The visual appeal hits you immediately, thanks to its striking combination of materials and thoughtful design. Red or black carbon fiber inlays catch light in fascinating ways, while the machined titanium frame adds an industrial sophistication that many premium knives try to achieve but few manage to pull off. It’s definitely quite a sight, though the real magic happens when you actually pick it up.

Anyone who has tried to open a knife with cold, wet, or tired hands knows how frustrating it can be. The Scarab 2.0 solves this with not one but three different opening methods. A thumb stud, button lock, and flipper opening mean you’ll never struggle to deploy the blade. The smooth roller bearing system makes each method feel natural and reliable, without the gritty, stiff action common in other knives.

The M390 steel blade is what really sets this knife apart from the crowd. While other knives might stay sharp for a few weeks of regular use, this steel keeps its edge through months of daily tasks. No more torn packages or awkward cuts. The 15-degree edge angle makes every slice clean and precise, whether you’re breaking down boxes or preparing food outdoors.

The handle isn’t just about looks. The GR5 titanium frame, the same material used in aircraft components, provides incredible strength without unnecessary weight. The textured carbon fiber offers a secure grip even with wet hands or gloves. Together, they create a knife that feels as premium as it looks, with every surface engineered for comfort and control.

Practical features make the Scarab 2.0 genuinely useful for everyday carry. A deep carry clip keeps the knife secure and discreet in any pocket, while the lanyard hole offers alternative attachment options. Four tritium slots compatible with glow tubes ensure you can find your knife quickly in low light. At just 4.59 inches when folded, it maintains a compact profile despite its capabilities.

The knife’s durability goes beyond its premium materials. Sweat, rain, and humidity won’t affect the titanium frame or M390 blade. The carbon fiber components add rigidity while keeping the total weight at just 2.9 ounces. It’s the kind of tool that gets better with use, developing character without losing performance.

Even the manufacturing process reflects attention to sustainability. The titanium components can be recycled and reused, while the precision CNC machining minimizes material waste. Every aspect of the Scarab 2.0 is engineered for longevity, reducing its environmental impact through years of reliable service.

The Scarab 2.0 shows what happens when designers prioritize both aesthetics and functionality. It’s a knife that works as well in the office as it does on outdoor adventures, ready for whatever task comes its way. For those tired of compromising between good looks and actual performance, this knife offers something genuinely different.

Click Here to Buy Now: $159 $237 (33% off). Hurry, only 39/60 left!

The post This Titanium EDC Knife Has 3 Opening Styles and Costs Just $159 first appeared on Yanko Design.

Besoin d’aller voir le profil Instagram de quelqu’un en scrèd, sans que cette personne ne le sache ? Hé bien plus besoin de vous créer un faux compte grâce à ImgInn . En effet, ce site vous laisse surfer sur Instagram de manière totalement anonyme, sans même avoir besoin de vous connecter.

Vous allez sur ImgInn, vous tapez le nom d’utilisateur Instagram qui vous intéresse, et hop, vous accédez à tout son contenu public : posts, stories, Reels, highlights et même les photos de profil. Vous pouvez ainsi mater tout ça tranquillement sans laisser de traces.

En plus de la visualisation anonyme, ImgInn permet également de télécharger tout le contenu que vous voulez. Photos en résolution originale, vidéos en HD, stories qui vont disparaître dans 24 heures, vous pouvez tout récupérer en quelques clics. Par contre, ça ne fonctionne pas avec les comptes verrouillés (non publics).

Notez quand même qu’Instagram interdit formellement dans ses conditions d’utilisation le scraping de données et l’usage d’outils tiers qui imitent les fonctionnalités de la plateforme, donc sachez le, ImgInn viole clairement les règles d’Instagram.

Mais bon, quand on veut rester anonyme, notamment auprès de Meta, la question elle est vite répondue ^^. Notez aussi que même que si le site prétend garantir votre anonymat, il collecte forcément certaines données pour fonctionner comme votre adresse IP, les comptes que vous consultez, etc. Et bien sûr, rien ne garantit que ces informations restent vraiment confidentielles ou qu’elles ne soient pas partagées avec des tiers. Donc à utiliser avec parcimonie.

Et si ImgInn vous branche pas, y’a toute une ribambelle d’autres viewers du même genre. Dumpor propose par exemple une interface assez complète avec recherche par profil, localisation ou hashtag. SmiHub sépare carrément la partie visualisation et téléchargement en deux menus. Picuki va même jusqu’à intégrer des outils d’édition de photos. Pixnoy se concentre surtout sur les Reels, et Storistalker prétend même récupérer les posts supprimés.

A voir donc… Et pour me suivre sur Instagram c’est par ici !

Si vous passez votre temps à demander à ChatGPT de réécrire vos emails professionnels ou à chercher le bon prompt pour analyser un tableau Excel, OpenAI va vous faciliter la vie ! En effet, ils ont mis en ligne l’ OpenAI Academy , une plateforme avec plus de 300 prompts prêts à l’emploi, classés par métier, et totalement gratuits. Comme ça fini de payer 29,99 euros à des influenceurs chelous pour télécharger leur nouveau “Ultimate Prompt Bundle” contenant trois prompts qui marchent et 47 variations inutiles.

Voilà, comme ça, au lieu de partir de zéro à chaque fois que vous voulez utiliser ChatGPT pour bosser, vous allez dans la section Prompt Packs et vous choisissez votre métier. Sales, ingénieur, RH, product manager, customer success, IT, manager, executive…etc. Ils ont même fait des packs pour le secteur public et l’éducation. Chaque pack contient ainsi des dizaines de prompts testés et structurés pour des cas d’usage concrets.

Par exemple, le pack Sales inclut des prompts pour faire de la veille concurrentielle, rédiger des cold emails, analyser vos données de prospection ou créer des visuels pour vos présentations. Le pack Engineering vous aide à générer des diagrammes d’architecture système, faire du benchmark d’outils, débugger du code ou rédiger de la documentation technique. Et le pack HR couvre tout ce qui va du recrutement à la rédaction de politiques internes en passant par l’analyse des données RH.

Ce qui est bien pensé, c’est que les prompts sont prêts à être copié-collé mais aussi assez génériques pour être adaptés. Vous prenez le prompt de base, vous remplacez les variables par vos infos, et ça roule. Pas besoin de passer trois heures à apprendre le prompt engineering ou à regarder des tutos YouTube de 45 minutes qui auraient pu tenir en 2 minutes.

Et dans leurs packs spécifiques pour le gouvernement, il y en a pour les leaders du secteur public avec des prompts pour rédiger des documents de politique publique ou analyser des budgets. Ainsi que des packs pour les équipes IT gouvernementales pour gérer les systèmes, la cybersécurité et le support technique avec des ressources limitées.

Du côté éducation, il y a des packs pour les étudiants , d’autres pour les enseignants , et même pour les administrateurs . Donc que vous soyez prof qui veut préparer un cours ou étudiant qui galère sur un projet, il y a des prompts prêts pour vous.

OpenAI a visiblement compris qu’il y avait un marché de la vente de prompts qui s’était développé ces derniers mois alors avec Academy, ils cassent ce marché en offrant gratuitement une bibliothèque qui couvre la plupart des besoins professionnels courants.

Bon, après c’est pas non plus magique car un prompt finalement, c’est juste un outil. Donc si vous ne savez pas ce que vous voulez obtenir ou si vous ne comprenez pas votre métier, ça ne va pas faire de miracles. Mais pour quelqu’un qui sait ce qu’il cherche et qui veut juste gagner du temps, c’est très pratique.

La plateforme OpenAI Academy propose aussi d’autres contenus comme des webinaires, des guides d’utilisation, des cas d’usage par secteur, si ça vous chauffe.

Voilà, j’ai trouvé ces packs de prompts très cools et je pense que ça vous fera gagner du temps.

Source : OpenAI Academy - Prompt Packs

Vous vous êtes déjà demandé d’où venaient tous ces SMS bidons qui vous disent “Bonjour c’est le coursier…” ou vous demande “Est ce que vous êtes chez vous " ? En gros, ces messages de smishing (phishing par SMS) qui polluent nos téléphones tous les jours ?

Et bien figurez-vous que dans beaucoup de cas, ils viennent de petits routeurs cellulaires industriels planqués dans des placards à balais. Ce sont des trucs conçus à la base pour connecter des feux de circulation ou des compteurs électriques à Internet, qui sont détournés par des escrocs pour balancer des milliards de SMS frauduleux.

Selon Sekoia , la boîte de cybersécurité française qui a mené l’enquête, c’est en analysant des traces réseau suspectes dans leurs honeypots qu’ils sont tombés sur ce système. En creusant un peu, ils ont découvert comme ça plus de 18 000 routeurs cellulaires Milesight accessibles sur Internet, dont au moins 572 d’entre eux qui permettaient à n’importe qui de se connecter à leurs interfaces d’admin sans authentification. Bref, la porte grande ouverte…

Ces routeurs, fabriqués par Milesight IoT , c’est du matériel industriel costaud. Ce sont des boîtiers 3G/4G/5G qui servent normalement à connecter des équipements à distance, genre des capteurs ou des systèmes de contrôle. Ils sont équipés de cartes SIM et peuvent être contrôlés par SMS, scripts Python ou via interfaces web. Du coup, pour un attaquant, c’est le jackpot car une fois qu’il met la main dessus, il peut envoyer des SMS en masse sans se faire choper.

Les chercheurs de Sekoia ont alors envoyé des requêtes aux API non protégées de ces routeurs et ont récupéré le contenu des boîtes de réception et d’envoi de SMS. Et là, surprise, ils ont trouvé des campagnes de smishing qui dataient d’octobre 2023. Les messages visaient principalement des numéros en Suède, en Belgique et en Italie. Les textos envoyés demandaient aux gens de se connecter à des services gouvernementaux bidon pour “vérifier leur identité”, avec des liens qui menaient vers des sites frauduleux récupérant les identifiants.

Rien qu’en analysant les SMS, on dénombre de 42 044 numéros suédois uniques et 31 353 numéros italiens ciblés dans des campagnes de masse lancées simultanément. La Belgique serait même le pays le plus touché, avec plusieurs campagnes observées entre novembre 2022 et juillet 2025.

Alors comment ces routeurs se sont-ils retrouvés compromis ?

Et bien c’est pas encore totalement clair. Une première piste, c’est la CVE-2023-43261 , une vulnérabilité corrigée en 2023 avec la version 35.3.0.7 du firmware. En gros, il s’agit d’une mauvaise config qui rendait les fichiers de stockage du routeur publiquement accessibles via l’interface web. Pire encore, certains de ces fichiers contenaient les mots de passe chiffrés des comptes admin, mais aussi la clé de chiffrement et le vecteur d’initialisation pour les déchiffrer. Donc autant dire que c’était cadeau pour les cybercriminels.

Selon le chercheur Bipin Jitiya , qui a découvert cette faille, un attaquant pouvait récupérer le mot de passe en clair et prendre le contrôle total du routeur. À noter que la majorité des 572 routeurs identifiés comme non sécurisés tournaient avec des versions de firmware 32 ou antérieures, donc ultra-vulnérables.

Mais attention, l’histoire se complique. Les chercheurs de Sekoia ont trouvé des incohérences avec cette théorie. Par exemple, un cookie d’authentification trouvé sur un routeur piraté ne pouvait pas être déchiffré avec la clé et le vecteur d’initialisation décrits dans l’article de Jitiya. Et puis, certains routeurs utilisés abusivement dans les campagnes de smishing tournaient avec des versions de firmware qui n’étaient pas sensibles à la CVE-2023-43261.

Du coup, il y a probablement d’autres méthodes d’exploitation en jeu.

Les sites de phishing eux-mêmes étaient assez bien foutus. Ils utilisaient du JavaScript pour ne délivrer du contenu malveillant que si vous accédiez au site depuis un téléphone mobile. Un autre site désactivait carrément le clic droit et les outils de débogage du navigateur. Bref, des techniques pour compliquer l’analyse et le reverse engineering.

Certains de ces sites loggaient aussi les interactions des visiteurs via un bot Telegram appelé “GroozaBot”. Ce bot serait opéré par un acteur nommé “Gro_oza”, qui semble parler arabe et français. De plus, les artefacts JavaScript trouvés font référence à “Grooza”, ce qui suggère une continuité entre l’infrastructure, les outils et l’identité de l’opérateur.

Mais surtout, ce qui est dingue avec cette histoire, c’est que c’est un vecteur d’attaque relativement simple mais très efficace. Ces routeurs permettent en effet une distribution décentralisée de SMS dans plein de pays différents, ce qui complique énormément la détection et la suppression des campagnes. Les chercheurs estiment qu’il est d’ailleurs très probable que d’autres équipements similaires soient déjà exploités dans des campagnes en cours ou à venir.

Bref, on n’est pas vraiment plus avancé, mais voilà, la prochaine fois que vous recevrez un SMS chelou qui vous demande de confirmer vos infos, pensez à ces petits boîtiers oubliés dans des placards techniques, qui bossent tranquillement pour arnaquer des milliers de personnes chaque jour.

Et si vous gérez ce genre de matériel dans votre job, pensez à mettre à jour le firmware et à sécuriser les interfaces, parce que là, visiblement c’est vraiment trop facile pour les pirates…

Source

Je vous ai déjà parlé de Maigret, de Sherlock , de Holehe ou de Toutatis … Mais si vous n’avez pas pris le temps de tester tout ça, ce n’est pas grave car vous allez pouvoir tous les essayer et faire votre meilleur OSINT grâce à OSINT.rocks .

OSINT.rocks est un site qui rassemble les outils d’investigation les plus puissants directement dans votre navigateur. Plus besoin d’installer Python, de configurer des environnements virtuels ou de galérer avec des dépendances. Vous ouvrez votre navigateur, vous tapez l’URL du site, et vous avez accès à une batterie d’outils prêts à l’emploi.

OSINT.rocks centralise tout. Vous avez Sherlock pour traquer les comptes utilisateurs sur les réseaux sociaux, Holehe pour découvrir où une adresse email est enregistrée, Hudson Rock pour vérifier si un email a été compromis par un info stealer, GHunt pour investiguer sur Google, et Maigret qui collecte un dossier complet sur une personne uniquement à partir d’un nom d’utilisateur.

La plateforme propose aussi des outils pour les numéros de téléphone et les recherches WHOIS. Vous entrez un numéro, vous obtenez des informations géolocalisées. Et si vous cherchez des détails sur un domaine, vous avez les enregistrements disponibles. Tout est centralisé, tout est rapide.

Comme ça, un journaliste qui enquête sur quelqu’un peut vérifier rapidement l’empreinte numérique d’une personne, un recruteur peut vérifier les informations d’un candidat, un chercheur en sécurité peut analyser l’exposition d’une cible ou un particulier peut vérifier ce qui traîne sur lui en ligne. L’OSINT, c’est utile dans plein de contextes !

Bref, si vous voulez tester Sherlock, Maigret, Holehe ou Hudson Rock sans vous prendre la tête avec l’installation, OSINT.rocks fait le job. Et si vous voulez aller encore plus loin, j’ai trouvé également une superbe boite à outils OSINT ici .

Si vous aimez les IA génératives, je pense que vous n’êtes pas passé à côté de Nano Banana, le nouveau générateur d’images de Google. Ce truc est incroyable ! On peut vraiment faire des choses très réalistes et qui respectent le sujet initial… Plus besoin de Photoshop avec ce truc. Suffit d’avoir une idée et de lui donner.

Mais si on n’a pas d’idée, qu’est ce qu’on peut faire ? Hé bien un dev a codé une app Google Gemini qui permet de transformer votre photo en ce que vous voulez…

Soit en dessin, soit vous donner un look années 70 / 80 / 90, soit changer votre coupe de cheveux, soit même vous mettre dans situations cheloues voire faire de vous un gros tas de Mac&Cheese bien dégoutant.

Je vous laisse avec mes essais plus ou moins sympas :

Pour vous amuser, suffit donc d’aller ici , d’uploader votre photo ou d’activer votre webcam pour en prendre une bien fraiche et de choisir ce que vous voulez comme résultat.

Et le code est complètement ouvert, donc vous pouvez aussi le récupérer et le modifier pour ajouter par exemple de nouveaux prompts ou modifier les prompts existants.

Et si vous voulez encore d’idées ou tout simplement voir les possibilités de Nano Banana, rendez-vous ici, y’a des dizaines de prompts que vous n’avez plu qu’à copier coller !

Merci à Lorenper pour le partage !

Outfit your office with $429 savings on the ultra-light LG Gram 14" Thin Laptop. Less than 100 are available.

The post Cut New Laptop Costs in Half with This Discounted LG Gram appeared first on TechRepublic.

Alors là, j’avoue que l’info m’a fait sourire.

15 groupes de hackers qui annoncent leur retraite en même temps après 72 heures de silence radio, c’est, je crois, du jamais vu dans le milieu. Scattered Spider, ShinyHunters, Lapsus$ et une douzaine d’autres ont publié un manifeste commun sur BreachForums pour dire qu’ils raccrochaient les claviers. Voilà, terminé, ils partent “dans le silence” après avoir, je cite, “atteint leurs objectifs”

Du coup, j’ai envie de vous conter une histoire. Mais pas celle que tout le monde se raconte en ce moment sur cette “retraite”, mais plutôt celle d’une mise en scène qui nous en dit long sur ces artistes du chaos qui ont compris que leur plus grande œuvre, c’était peut-être leur propre légende.

D’après leur communiqué officiel , ils disent en effet avoir passé trois jours à “vérifier leurs plans” et à “passer du temps en famille”. Sérieux ? Qui peut croire ça ? Des cybercriminels endurcis qui synchronisent tous ensemble leurs agendas familiaux pour se faire un week-end détente avant d’annonce qu’ils arrêtent tout le lundi suivant… C’est beau comme récit non ?

Pompompurin, le créateur du forum, a fini par écoper de 3 ans de prison après avoir violé plusieurs fois ses conditions de liberté surveillée , notamment en utilisant un VPN pour accéder à Discord. De la surveillance 24h/24 à la prison ferme, le chemin a été super rapide, et pendant ce temps, ses petits copains montent sur scène pour leur grand final. Un timing parfait… trop parfait même.

En fait, tous ces groupes ont compris qu’à notre époque, la perception compte plus que la réalité. Ils ont quand même revendiqué de grosses attaques contre Jaguar, Google (4 tentatives quand même !), Salesforce et CrowdStrike et évidemment, les experts en sécurité restent sceptiques face à cette annonce de retraite.

Et perso, je pense qu’ils ont raison. ReliaQuest a même détecté une attaque sophistiquée de Scattered Spider sur une banque américaine APRÈS l’annonce de retraite.

Alors, vous y croyez toujours ?

En fait, j’ai l’impression qu’on assiste à la naissance d’un nouveau genre de cybercriminels où les mecs ne se contentent plus de voler des données, mais créent des récits montés de toutes pièces, des mythes. Et ce manifeste, c’est leur œuvre d’art. Ils y parlent de “leçons apprises à Langley” (siège de la CIA), évoquent leurs “millions accumulés” et leurs “golden parachutes”. Ça pue la comédie quand même…

Le plus drôle dans tout ça, c’est qu’ils auraient même prévu le coup des arrestations. Huit personnes sont en taule, dont quatre en France , et dans leur manifeste, ils les appellent “boucs émissaires”. Ils auraient donc volontairement laissé des fausses pistes bien en amont pour protéger les vrais acteurs et laisser des hommes de paille se faire attraper. Vous voyez le niveau de mise en scène ? C’est du Nolan avant l’heure.

Cette “retraite” et cette façon dont elle est scénarisée, c’est surtout, je pense, une stratégie de survie car la pression des autorités monte, les arrestations se multiplient, et annoncer qu’on arrête tout, c’est un bon moyen de calmer le jeu. Puis surtout, ce serait pas la première fois… On a déjà vu ça avec GandCrab en 2019 qui est revenu sous la forme de REvil. Les noms changent mais les personnes restent.

Au final, ce que je retiens de cette annonce, c’est que le cybercrime est devenu un spectacle. Ces groupes ne sont plus juste des criminels, ce sont des influenceurs qui savent jouer avec les médias, les autorités et même leurs propres victimes. Leur vraie force n’est plus seulement technique… elle est également narrative car vous le savez, contrôler le récit, c’est contrôler la réalité.

Alors voilà… quinze groupes de hackers prennent leur “retraite” mais vous le savez aussi bien que moi, même quand le rideau tombe, les acteurs sont toujours derrière, prêts pour attaquer le prochain acte. C’est pour cela que quelque chose me dit qu’on n’a pas fini d’entendre parler d’eux…

Et si je vous disais qu’un mec a réussi à prédire l’avenir avec la précision d’un oracle ? Et pas une vague prédiction à la Nostradamus où on peut interpréter n’importe quoi… Non, non, une vraie prédiction scientifique du style : “Ce truc devrait crasher vers septembre 2025”. Et devinez quoi ? Ça a effectivement crashé.

L’histoire commence en 2023, quand un certain Minki décide de tester une théorie complètement barrée. Le mec lit un article technique sur le moteur de DOOM et remarque un truc bizarre : une variable qui compte les démos du jeu qui s’incrémente en permanence, y compris quand une nouvelle démo commence. Cette variable se compare constamment avec sa valeur précédente, mais elle continue de grimper, encore et encore, jusqu’à… jusqu’à quoi exactement ?

Bah justement, c’est là que ça devient intéressant car Minki sort sa calculatrice et commence à faire ses petits calculs. Il sait que selon la documentation technique de DOOM , le moteur utilise des integers 16 bits pour optimiser les performances. Traduction pour les non-geeks : les nombres ont une limite, et quand on la dépasse, c’est le drame ! Un peu comme quand vous essayez de rentrer votre gros cul dans un ascenseur bondé. Sauf qu’ici, au lieu d’un ascenseur bloqué, on a un jeu qui explose.

Donc notre ami fait ses calculs et arrive à cette conclusion : DOOM devrait crasher après environ 2 ans et demi de fonctionnement continu. Et franchement, qui penserait à vérifier un truc pareil ? La plupart d’entre nous, on lance DOOM pour se défouler 30 minutes et on passe à autre chose. Mais minki, lui, il voit plus loin.

Alors il fait quoi ? Il prend un vieux PDA (si si, ces trucs qu’on utilisait avant les smartphones), il bricole une alimentation avec des batteries 18650 et un chargeur USB branché sur son routeur, et il lance DOOM. Puis il attend. Deux ans et demi. Pour de vrai.

Pendant ce temps, vous et moi, on a changé trois fois de téléphone, bingé 47 séries Netflix, survécu à François Bayrou, vu l’IA devenir mainstream… Et Minki ? Bah lui, il avait DOOM qui tournait dans un coin de son appart…

Et le plus dingue, c’est que ça a marché exactement comme prévu. Selon le post original sur LenOwO , le jeu a crashé “seulement quelques heures après avoir passé les deux ans et demi”. Boom. Prédiction confirmée. Le mec a calculé la mort de DOOM avec une précision chirurgicale.

Ici, pas besoin d’exploits sophistiqués ou d’outils de pentest dernier cri. Juste de la curiosité, des maths, et une patience de moine tibétain. Et c’est comme ça que Minki a transformé un bug théorique en prédiction concrète, puis en réalité observable.

En fait, les bugs d’overflow de DOOM sont légion . Si vous avez plus de 64 lignes défilantes, ça crash. Si une balle traverse plus de 128 objets, ça bug. Si vous construisez une zone de plus de 2500 unités de hauteur, le moteur panique. C’est un peu comme si le jeu était construit sur un château de cartes, où chaque limite non vérifiée est une catastrophe qui attend son heure.

Bref, vous l’aurez compris, cette expérience c’est bien plus qu’un simple “j’ai fait tourner DOOM pendant longtemps lol”. C’est une démonstration de la prédictibilité des systèmes informatiques. Ça montre que quand on comprend vraiment comment un programme fonctionne, on peut littéralement voir dans l’avenir…

Bien joué Minki !

Près de 600 Go, c’est le poids de la plus grosse fuite de l’histoire du Great Firewall chinois. Il y a quelques jours, un collectif hacktiviste du nom de Enlace Hacktivista a balancé sur le net tout le code source, les documents internes, les logs de travail et même les communications privées du système de censure le plus sophistiqué au monde. C’est à ce jour la plus grosse fuite de l’histoire du Great Firewall chinois !

Le Great Firewall est un système qui permet à la Chine de filtrer internet pour toute sa population. Un système tellement efficace qu’il bloque non seulement Google, Facebook ou Twitter, mais qui arrive aussi à détecter et neutraliser les VPN les plus sophistiqués. Et aujoud’hui, tout son fonctionnement interne est accessible à qui veut bien se donner la peine de télécharger un fichier torrent de 571 Go.

Les documents proviennent de deux sources principales : Geedge Networks, une boîte dirigée par Fang Binxing (surnommé le “père du Great Firewall”), et le laboratoire MESA de l’Académie chinoise des sciences. En gros, on a là les architectes principaux de la censure numérique chinoise qui se retrouvent à poil sur internet.

Mais le plus dingue dans cette histoire, c’est pas tant la fuite elle-même. C’est ce qu’elle révèle sur l’export de cette technologie. Les documents montrent que la Chine ne se contente pas de censurer son propre internet, non… elle vend clé en main son système de censure à d’autres pays autoritaires.

Le produit star ? Un truc appelé Tiangou, décrit dans les documents comme une solution tout-en-un pour dictateur pressé : vous branchez, vous configurez, et hop, vous pouvez surveiller et censurer votre population comme en Chine. Le système inclut plusieurs modules aux noms poétiques : le Tiangou Secure Gateway qui bloque les VPN et peut injecter du code malveillant, le Cyber Narrator qui surveille l’activité internet par région, et les systèmes TSG Galaxy et Network Zodiac pour stocker et analyser les données des utilisateurs.

D’après les documents qui ont fuité, le Myanmar a déployé ce système dans 26 centres de données, avec des tableaux de bord capables de monitorer 81 millions de connexions TCP simultanées ! C’est pas rien ! Ce système est d’ailleurs intégré directement dans les points d’échange internet du pays, permettant un filtrage massif et sélectif du trafic.

Le Pakistan n’est pas en reste car d’après les documents, Geedge a installé son infrastructure DPI (Deep Packet Inspection) dans le cadre d’un système plus large appelé WMS 2.0. Amnesty International parle d’une surveillance de masse en temps réel sur les réseaux mobiles pakistanais où en gros, chaque SMS, chaque appel, chaque connexion internet peut être intercepté et analysé.

Les documents révèlent aussi que l’Éthiopie et le Kazakhstan ont acquis des licences pour le système Tiangou et apparemment, ce n’est que la partie émergée de l’iceberg.

Au début, Geedge utilisait des serveurs HP et Dell pour faire tourner son système, mais face aux sanctions occidentales, ils sont passés à du matériel 100% chinois. Le système s’adapte donc, évolue, contourne les obstacles, exactement comme les utilisateurs qu’il est censé bloquer, sauf qu’il a plus de moyens.

Les chercheurs qui analysent actuellement les données étudient le code pour mieux comprendre le système car maintenant que celui-ci est public, les développeurs d’outils de contournement peuvent potentiellement y trouver des faiblesses.

Enlace Hacktivista, le groupe à l’origine de la fuite, n’en est pas à son coup d’essai mais là, ils ont frappé un grand coup et pour ceux qui voudraient jeter un œil aux documents (attention, c’est à vos risques et périls), Enlace Hacktivista a mis le tout à disposition via torrent et téléchargement direct. Les chercheurs recommandent fortement d’utiliser des machines virtuelles isolées ou des environnements sandboxés pour analyser ces fichiers. Pas question de lancer ça sur votre PC principal, on ne sait jamais ce qui peut se cacher dans ces giga octets de code chinois.

Voilà en tout cas, cette technologie de censure et de surveillance est devenu un business global pour contrôler les populations. Merci la Chine ! Et maintenant que le code est dans la nature, on peut s’attendre à ce que d’autres états tentent de créer leurs propres versions du Great Firewall.

Maintenant, est-ce que ça va permettre de mieux contourner la censure ? Est-ce que ça va dissuader certains pays d’acheter cette technologie ? Ou est-ce que la Chine va simplement développer une version 2.0 encore plus sophistiquée ?

On verra bien…

Source

Créer un système d’exploitation complet from scratch pour s’amuser, c’est le genre de projet un peu foufou qu’on ne voit plus tellement aujourd’hui. Pourtant SkiftOS existe !

SkiftOS c’est un OS écrit entièrement depuis zéro, et pas un n-ième fork de Linux ou d’une distribution BSD. Non, c’est un vrai OS avec son propre kernel, son interface graphique et même les bases d’un moteur de navigateur web.

J’ai découvert ce projet en me baladant sur les Top GitHub et ça m’a rappelé cette époque d’avant ma naissance où créer son OS était un genre de rite de passage pour tous les développeurs passionnés. Sauf qu’ici, on n’est plus dans les années 70 et le projet utilise du C++20 moderne avec une architecture microkernel très propre.

Et malgré son statut de projet “hobby”, il fonctionne réellement. Il tourne pour le moment sur du hardware x86_64 et l’équipe travaille sur le support RISC-V.

L’architecture modulaire du projet est d’ailleurs particulièrement bien pensée. Chaque module a son petit nom, c’est rigolo. Hjert gère le microkernel avec les fonctions essentielles telles que la gestion mémoire, l’ordonnancement et l’IPC (Inter-Process Communication). Karm fournit la bibliothèque C++ de base sans dépendre de la STL (Standard Template Library) . KarmUI propose un framework d’interface réactive. Hideo s’occupe du bureau et de l’environnement graphique. Et Vaev ambitionne de devenir un moteur de navigateur web complet.

Pour compiler tout ça, l’équipe a également développé CuteKit, leur propre système de build qui gère les dépendances et la cross-compilation. Bah oui, quand on réinvente un OS, autant réinventer aussi tous les outils pour le construire.

Cette approche “tout fait maison” rend en tout cas le projet fascinant d’un point de vue pédagogique. Car oui le code source est disponible sur GitHub donc si vous voulez comprendre comment fonctionne un OS moderne sans vous perdre dans les millions de lignes de code de Linux ou de Windows (pour les vieilles versions qui ont leakée), c’est une excellente opportunité pour apprendre. Pas besoin donc d’être Microsoft ou Apple pour développer un système d’exploitation fonctionnel.

Faut “juste” de la motivation, du temps, des compétences en C++ moderne, et surtout l’envie de construire quelque chose de différent.

Vous l’aurez compris, SkiftOS ne remplacera probablement jamais votre OS principal, c’est clair mais pour les développeurs curieux qui veulent comprendre les entrailles d’un système d’exploitation, ou pour ceux qui cherchent un projet open source technique sympa où contribuer, c’est une sacrée mine d’or.

Et qui sait, peut-être que dans quelques années on parlera de SkiftOS comme on parle aujourd’hui des débuts de Linux…

Shai, c’est un collègue développeur qui ne dort jamais, qui ne râle jamais quand vous lui demandez de déboguer votre code à 3h du matin, et qui vit littéralement dans votre terminal. C’est un outil qui s’inscrit dans la même lignée que Codex ou Claude Code et qui est 100% français puisque proposé par OVHcloud.

Terminé donc les outils qui nécessitent des interfaces graphiques lourdes ou des plugins IDE complexes puisqu’ici, tout se passe dans le terminal.

L’installation tient en une seule ligne :

curl -fsSL https://raw.githubusercontent.com/ovh/shai/main/install.sh | sh

Et en quelques secondes, vous avez un assistant IA fonctionnel, prêt à vous épauler dans vos tâches quotidiennes. Pas de configuration complexe, pas de dépendances infernales à gérer. Bien sûr, comme pour tout script téléchargé, pensez à vérifier le contenu avant exécution.

Vous l’aurez compris, SHAI ne se contente pas d’être un simple chatbot qui répond à vos questions. Il peut véritablement prendre le contrôle et exécuter des commandes, créer des fichiers, déboguer votre code, et même automatiser des workflows complets. Vous pouvez lui demander de créer un site web complet, de convertir des fichiers d’un format à l’autre, ou de corriger cette commande shell que vous n’arrivez jamais à mémoriser correctement.

La philosophie “written in Rust with love” inscrite dans le code du projet n’est pas non plus qu’une simple formule marketing car le choix de Rust garantit des performances exceptionnelles et une sécurité mémoire à toute épreuve. Avec 99,2% du code en Rust, les développeurs d’OVHcloud ont clairement misé sur la robustesse et la rapidité d’exécution. Je tiens quand même à dire qu’au cours de mes tests, j’ai quand même eu quelques plantages de l’application. Mais elle est encore jeune, donc j’espère que ça va s’améliorer.

Ce qui distingue vraiment SHAI des autres assistants IA, c’est sa capacité à fonctionner en mode “headless”. Vous pouvez simplement lui envoyer des prompts via un pipe Unix : echo "crée-moi un hello world en Python" | shai. Et rien que cette fonctionnalité ouvre des possibilités infinies pour l’automatisation et l’intégration dans des pipelines CI/CD existants.

Plus impressionnant encore, le mode “shell assistant” transforme SHAI en véritable garde du corps de votre terminal. Une fois activé, chaque fois qu’une commande échoue, SHAI intervient automatiquement pour vous proposer une correction. Plus besoin de chercher sur Stack Overflow pourquoi votre commande tar ne fonctionne pas comme prévu.

Pour réussir tout ça, il utilise par défaut Qwen3-32B mais rassurez vous, y’a moyen de changer de provider. L’aspect multi-provider est donc crucial et heureusement SHAI n’est pas verrouillé sur un seul modèle d’IA. Vous pouvez donc configurer différents providers selon vos besoins, vos préférences ou vos contraintes de confidentialité. Mais par défaut, OVHcloud propose un accès anonyme (avec limitation de débit) pour que tout le monde puisse tester l’outil sans engagement. Perso, j’ai éclaté la limite au bout de quelques minutes d’utilisation. Snif.

Lors de mes tests, j’ai aussi constaté que les commandes qu’on appelle normalement avec le “/” n’ont pas fonctionné chez moi et concernant le thème de l’interface de Shai, en fonction des couleurs de votre terminal, ça peut vite être illisible. C’est dommage mais j’imagine que ça va se bonifier avec le temps…

Voilà, avec Shai , OVHcloud mise clairement sur cette approche minimaliste mais puissante pour séduire les développeurs qui veulent de l’IA sans les complications habituelles et surtout qui tourne sur le sol français, dans le respect de vos données personnelles.

Je leur souhaite plein de succès !

Source

Avez-vous déjà passé des heures sur After Effects pour créer une simple animation de 30 secondes qui explique un concept. Entre nous, c’est un cauchemar. Jongler avec les keyframes, les courbes de bézier et 150 calques qui se battent en duel pour savoir lequel doit apparaître en premier, c’est bien relou et on finit par perdre plus de temps à se battre avec le logiciel qu’à créer du contenu.

Vous voyez de quoi je parle, non ?

Mais voilà, j’ai testé un truc qui s’appelle StoryMotion et qui permet de créer des animations façon tableau blanc aussi facilement que vous faites des slides PowerPoint. Pas de compétences professionnelles requises, pas de formation de 3 mois sur YouTube. Juste vous, vos idées, et un outil qui sait que votre temps est précieux.

L’idée de StoryMotion est venue à son créateur, Chun Rapeepat, après avoir utilisé Excalidraw et Keynote pendant des années pour créer des visuels pour ses articles de blogs techniques. Quand il a voulu passer à la vidéo, il s’est retrouvé à passer des heures interminables sur des logiciels complexes pour obtenir un résultat qu’il aurait pu dessiner à la main en 5 minutes.

Pour ceux qui ne connaissent pas, Excalidraw c’est un outil de dessin collaboratif open source qui a conquis le cœur des développeurs et créateurs tech, et qui permet de dessiner vos schémas, diagrammes ou illustrations directement sur un espèce de tableau blanc.

Aujourd’hui dans ma série “les ados qui ont failli déclencher la Troisième Guerre mondiale”, je vous présente l’histoire complètement dingue de Mathew et Richard, respectivement 21 ans de Cardiff et 16 ans de la banlieue londonienne, qui ont réussi l’exploit de faire trembler le Pentagone armés d’un simple modem 56k et d’une obsession maladive pour les petits hommes verts.

Le Pentagone, cette forteresse imprenable… sauf pour deux ados obsédés par X-Files

Si comme moi, vous êtes fans de X-Files, vous allez kiffer cette histoire. Mathew Bevan, alias “Kuji”, et Richard Pryce, surnommé “Datastream Cowboy” (déjà rien que les pseudos, c’est tout un programme) ont piraté pendant des mois les systèmes les plus secrets de l’armée américaine. Et leur but étaint encore plus fou : Prouver que le gouvernement américain cache l’existence des extraterrestres. Cheh !

Et ils ont effectivement réussi à s’introduire dans ces systèmes ultra-sensibles. Pire encore, ils ont failli créer un incident diplomatique majeur. Un agent du Pentagone a même qualifié Kuji de “plus grande menace pour la paix mondiale depuis Adolf Hitler”. Rien que ça ! C’est beau, j’en suis ému.

L’histoire commence donc dans les bureaux du Rome Laboratory à Griffiss Air Force Base, dans l’État de New York. Les administrateurs système découvrent qu’un programme espion, un “sniffer”, a été installé clandestinement sur leur réseau et le machin avait collecté tellement de mots de passe et d’informations qu’il avait saturé le disque dur et fait crasher le système. Breeeef, imaginez la tronche des admins : le laboratoire de recherche le plus secret de l’US Air Force, celui qui développe l’intelligence artificielle militaire et les systèmes de guidage radar, venait de se faire trouer comme un emmental.

Rome Laboratory, le cerveau technologique de l’US Air Force… infiltré par deux ados

Le 28 mars 1994, Jim Christy, chef des investigations cybercriminelles de l’Air Force Office of Special Investigations (AFOSI) de l’époque, reçoit l’appel qui va bouleverser sa vie.

“On a un problème”, lui annonce son équipe. Ancien de la NSA reconverti dans la lutte contre la cybercriminalité militaire, Christy comprend immédiatement l’ampleur du désastre. Rome Lab, c’est pas n’importe quoi, c’est l’endroit où se développent les armes du futur de l’armée américaine.

L’équipe de Christy découvre alors rapidement que les intrus utilisent deux pseudonymes : “Datastream” et “Kuji”. Deux hackers fantômes qui se baladent dans les systèmes militaires américains comme dans leur salon mais le pire reste à venir puisqu’ils utilisent les serveurs compromis de Rome Lab comme tremplin pour attaquer d’autres cibles : La NASA, Wright-Patterson Air Force Base (vous savez, là où sont censés être planqués les aliens), Hanscom Air Force Base, et même des contractants de défense en Californie et au Texas.

Pendant 26 jours, Christy et ses équipes surveillent les deux pirates sans intervenir. Ils veulent comprendre l’ampleur de l’attaque et remonter jusqu’aux coupables. Ce qu’ils découvrent les fait flipper grave : plus de 150 intrusions sur Rome Lab, des téraoctets de données sensibles copiées, des emails d’officiers lus et effacés, et des programmes de simulation de champ de bataille téléchargés. Hé oui, c’est qu’ont découvert les enquêteurs.

Jim Christy quelques années avant la traque des cyber-intrus

Mais le véritable moment de panique arrive quand les agents voient Datastream tenter d’accéder à un ordinateur dans un laboratoire nucléaire en Corée.

“Holy shit”, se dit Christy. On est en 1994, les États-Unis sont en pleine négociation tendue avec la Corée du Nord sur son programme nucléaire alors si les Nord-Coréens détectent une attaque sur leur installation nucléaire venant d’une base aérienne américaine, ils vont croire à un acte de guerre.

Les agents retiennent leur souffle. Heureusement, ils découvrent par la suite que la cible était en Corée du Sud, pas au Nord. Mais Datastream a quand même téléchargé les données du Korean Atomic Energy Research Institute et les a transférées sur les serveurs de l’US Air Force. Et si les Sud-Coréens découvrent ce transfert, c’est l’incident diplomatique assuré. Elle est pas belle la vie ?

Mais alors qui est ce mystérieux Kuji qui fait trembler le Pentagone ? Et bien c’est Mathew Bevan, né le 10 juin 1974 à Cardiff, au Pays de Galles. Un gamin qui vit un calvaire à l’école, harcelé par ses camarades, en difficulté scolaire, alors la nuit, pendant que ses parents dorment, il trouve refuge dans les bulletin boards (BBS) et les premiers forums Internet.

L’univers de Mathew Bevan : une chambre, un ordinateur, et des rêves d’extraterrestres

C’est là qu’il découvre le phone phreaking, l’art de manipuler les systèmes téléphoniques pour passer des appels gratuits n’importe où dans le monde. Cette compétence devient son passeport pour le monde du hacking et un jour, quelqu’un lui donne accès à Sin City, un bulletin board belge, repaire de hackers bien connu de l’époque. En échange de ses techniques de phone phreaking, les habitants de Sin City lui offrent alors documents et méthodes pour pirater des ordinateurs.

Mais le véritable déclic arrive quand Bevan tombe sur Destiny Stone, un bulletin board géré par un phone phreaker australien surnommé Ripmax. “Ce que j’ai trouvé sur son système, c’étaient des centaines de documents sur les OVNIs, les dissimulations gouvernementales et les théories du complot”, se souvient Bevan. Il y découvre notamment l’histoire de 40 hackers qui auraient disparu mystérieusement après avoir ciblé des systèmes militaires pour découvrir la vérité sur les OVNIs.

X-Files - La série qui a inspiré toute une génération de hackers conspirationnistes

Et là, c’est le moment “eureka” de Bevan car si ces 40 hackers ont disparu en cherchant la vérité sur les OVNIs, c’est qu’il y a forcément quelque chose à cacher. Sa mission est donc toute trouvée : reprendre là où les disparus se sont arrêtés, pirater chacune des bases militaires citées par le magazine underground PHRACK, et prouver une bonne fois pour toutes que le gouvernement américain cache l’existence des extraterrestres.

En 1994, Bevan entre alors en contact via IRC avec Richard Pryce, un gamin de 16 ans passionné de musique et d’informatique. Pryce, qui se fait appeler “Datastream Cowboy”, partage la même fascination pour les théories du complot. Il admire les compétences techniques de son aîné et accepte de devenir son “apprenti” dans cette quête de vérité.

IRC : le terrain de jeu des hackers des années 90

C’est Pryce qui découvre Rome Laboratory par hasard, en scannant les adresses IP du réseau militaire américain. “Regarde ce que j’ai trouvé”, écrit-il à Kuji. “Un labo de recherche de l’Air Force avec des sécurités ridiculement faibles.” Bevan comprend immédiatement l’opportunité. Rome Lab est un nœud central du réseau militaire américain, une porte d’entrée vers des dizaines d’autres installations.

Mais contrairement aux espions professionnels, les deux compères ne cherchent pas à passer inaperçus. Ils laissent des traces partout, copient des gigaoctets de données sans discrimination, et communiquent entre eux sans précaution particulière. C’est cette négligence va permettre à Christy de les traquer.

Pour traquer les deux fantômes, l’AFOSI fait appel à son réseau d’informateurs sur Internet. Un de ces informateurs parvient à entrer en contact avec Datastream Cowboy sur Cyberspace, un fournisseur d’accès à Seattle. Le gamin, naïf et impatient de communiquer avec d’autres hackers, tombe alors directement dans le piège et donne son numéro de téléphone personnel à l’informateur.

Le 12 mai 1994, Scotland Yard arrête Richard Pryce à son domicile de Colindale. Le gosse est terrorisé et il avoue tout : les intrusions dans Rome Lab, les attaques contre la NASA, le transfert des données coréennes. Mais surtout, il balance son complice Kuji, même s’il ne connaît pas sa véritable identité.

Pryce comparaît devant la Woolwich Crown Court en mars 1996. Il plaide coupable pour 12 infractions au Computer Misuse Act britannique et écope d’une amende dérisoire de 1 200 livres sterling. Pas de prison, pas de casier judiciaire lourd.

Pendant ce temps, Christy continue sa traque obsessionnelle de Kuji et l’AFOSI met des moyens considérables sur l’enquête. Les experts en profilage psychologique dressent un portrait-robot : homme, entre 25 et 35 ans, très intelligent, formation scientifique, probablement financé par une organisation étatique. Le Senate Permanent Subcommittee on Investigations va même jusqu’à qualifier Kuji “d’agent étranger, possiblement d’origine est-européenne”.

Ils se plantent complètement puisque Kuji n’est qu’un jeune employé informatique de Cardiff, obsédé par X-Files et financé par son maigre salaire dans une petite boîte galloise. Breeeef, les profileurs du FBI peuvent aller se rhabiller.

Le matos de Mathew Bevan à l’époque

Le 21 juin 1996, à l’aube, une escouade de Scotland Yard débarque chez Mathew Bevan. Ils s’attendent à tomber sur un espion professionnel, un agent dormant est-européen et ils découvrent un geek de 21 ans vivant chez ses parents dont la chambre est tapissée d’affiches d’X-Files et de science-fiction. “Les agents ont finalement découvert que l’identité de Kuji était Mathew Bevan, 21 ans, un informaticien avec une fascination pour la science-fiction”, rapporte le dossier d’enquête.

Bevan est arrêté et inculpé, mais contrairement à son jeune complice, il refuse de coopérer. Son père étant policier, il connaît ses droits et prend un avocat. S’ensuit un bras de fer judiciaire de 20 audiences. En novembre 1997, coup de théâtre : le Crown Prosecution Service abandonne toutes les charges. “Décision commerciale”, justifie le procureur. Traduction : ça coûte trop cher et l’opinion publique s’en fout.

Bevan sort libre mais marqué à vie. “Je ne peux plus faire de mal à une mouche maintenant”, confie-t-il. Il se reconvertit dans la sécurité informatique éthique, rejoint Tiger Computer Security, devient développeur chez Nintendo, et finit par fonder sa propre entreprise, Kuji Media Corporation. L’ironie de l’histoire veut que l’ancien pirate du Pentagone soit aujourd’hui payé pour empêcher d’autres de faire ce qu’il a fait.

De hacker à protecteur : la reconversion réussie de Mathew Bevan

Quant à Pryce, traumatisé par son arrestation, il disparaît complètement des radars. Après la confiscation de son ordinateur, il n’en rachète même pas un nouveau. Certains disent qu’il a repris ses études de musique, d’autres qu’il s’est reconverti totalement. Une chose est sûre : l’expérience l’a vacciné à vie contre le hacking.

Le rapport d’évaluation des dégâts, publié le 31 octobre 1994, chiffre les pertes directes de l’US Air Force à 211 722 dollars, sans compter les coûts de l’enquête et du nettoyage des systèmes. Mais les enquêteurs admettent n’avoir découvert que la partie émergée de l’iceberg. Combien d’autres Kuji et Datastream Cowboy se baladent dans les systèmes militaires américains ? On verra bien…

Avant 1994, les militaires américains considéraient leurs réseaux comme protégés par leur complexité technique mais après Kuji et Datastream Cowboy, ils comprennent qu’Internet a aboli les frontières et que n’importe quel ado avec un modem peut devenir une menace nationale. Cette prise de conscience va déclencher une révolution dans la cybersécurité militaire, avec des milliards de dollars investis pour sécuriser ce que deux gamins britanniques avaient démontré être un gruyère numérique.

Et la mauvaise nouvelle, c’est que malgré des mois d’intrusions dans les systèmes les plus secrets de l’US Air Force et de la NASA, Bevan n’a jamais trouvé la moindre preuve de l’existence d’extraterrestres. Pas de débris de Roswell, pas de documents sur la Zone 51, pas de technologies aliens. “J’ai fouillé partout”, confiera-t-il. “Wright-Patterson, la NASA, tous les endroits où étaient supposés être cachés les secrets sur les OVNIs. Rien, nada, que dalle.”

Cette conclusion aurait dû clore le débat, mais les théoriciens du complot ont retourné l’argument : si Kuji n’a rien trouvé, c’est justement la preuve que la conspiration existe et qu’elle est plus complexe et secrète que ce qu’on pourrait imaginer. The truth is ‘still’ out there, comme dirait Mulder… Mais elle n’est pas dans les serveurs du Pentagone visiblement…

Sources : Security in Cyberspace - Rome Laboratory Case Study, Wikipedia - Mathew Bevan, Kuji Media - Confessions of a hacker, InformIT - The Rome Labs Case, ISC2 - 30 Years After Two Kids Broke into the Air Force, Cryptologic Foundation - 1994: Griffiss Air Force Base finds malware