Google reportedly proposed EU search changes to address concerns about news rankings, publisher revenue, and potential fines under the Digital Markets Act.
The post Google Seeks EU Deal Over ‘Parasite SEO’ News Rankings appeared first on TechRepublic.
The rise of AI must be supported by Wi-Fi networking that can deliver next-generation services in real time.
The post Cisco: AI Growth Is Turning Wi-Fi Into Enterprise Infrastructure appeared first on TechRepublic.
Si vous avez committé du code depuis VS Code depuis mi-avril, allez tout de suite vérifier vos messages de commit car vous avez peut-être un nouveau co-auteur que vous n'avez jamais embauché.
En effet, Microsoft a discrètement basculé le réglage par défaut de l'éditeur pour ajouter Co-authored-by: Copilot <[email protected]> à des commits que VS Code considérait à tort comme contenant des contributions IA, même quand vous n'avez pas utilisé Copilot, et même quand vous avez explicitement désactivé toutes les fonctions IA.
Quelle lose, hein ? La Product Manager Courtney Webster a poussé cette fameuse pull request #310226 des enfers le 15 avril dernier sans aucune description, et le dev dmitrivMS l'a mergée tranquillou le lendemain.
Et le résultat de tout ce bordel, vous pouvez le lire dans la PR #310226 qui a explosé sur GitHub : 372 pouces baissés contre 2 levés, 30 réactions "confused", et des dizaines de commentaires furieux.
L' issue de suivi #314311 , ouverte ensuite par dmitrivMS pour faire son point public, a elle aussi reçu un torrent de réactions virulentes. Tu m'étonnes, ils font vraiment n'importe quoi...
Maintenant si vous êtes dans ce cas, vous pouvez neutraliser ça immédiatement, ajoutez dans votre settings.json :
Connexion"git.addAICoAuthor": "off"
C'est le seul réglage qui marche vraiment, parce que dans la version buguée même chat.disableAIFeatures à true n'arrêtait pas le soucis. Et pour votre historique déjà bien pollué, un git rebase -i ou un git filter-branch permettra de virer les contributeurs parasites dans vos derniers commits. Mais après bonne chance si vos commits sont déjà sur des PR mergées chez d'autres. Là c'est mort...
Ce que les devs reprochent à Microsoft, c'est pas vraiment d'avoir créé l'option (elle existait depuis VS Code 1.110 en opt-in tranquille). Non, le vrai problème c'est surtout ce qu'il y a derrière cette vilaine Pull Request... 2 fichiers touchés, le change de "default", absolument AUCUNE description, une seule review d'approbation toute nulle, et hop, c'est mergé OKLM.
Pour un changement qui touche les messages de commit de plusieurs millions de devs, ça sent quand même la décision unilatérale prise à l'arrache entre 2 portes...
Et puis surtout il y a le bug #313064 qui a fait basculer l'histoire de la simple polémique à la grosse colère communautaire.
En effet, la nouvelle valeur par défaut "all" attribuait à Copilot des complétions qui ne venaient PAS de Copilot. Un dev explique par exemple avoir tapé son code à la main, vérifié son message de commit, supprimé toute suggestion Copilot, écrit le sien à la main... et a finalement retrouvé quand même Co-authored-by: Copilot dans le git log final.
Et comme le mode "je ne veux pas d'IA" n'était pas plus respecté, l'IA s'auto-créditait quand même sur tout et n'importe quoi.
Côté communauté, le ton est monté très vite. Sur le fil GitHub, y'en a un qui écrit que, je cite, "C'est pas une régression, c'est de la fraude. On ne peut pas s'attribuer un travail qu'on n'a pas fait." et un autre dev parle de "vandalisme" pur.
Windows Central a même sorti un titre choc : "This could cost people their jobs", parce que dans les boites en fintech ou sur du code soumis à audit, faire passer du code humain pour de l'IA-assisté peut coller un fail d'audit et faire péter des contrats. Ah bah ouais, j'avoue que je n'y avais pas pensé...
Heureusement, Microsoft a fini par bouger puisque dans VS Code 1.118 , le default est finalement repassé de "all" à "chatAndAgent", déjà moins agressif. Et dans la PR #313931 , dmitrivMS a remis le default à "off" pour la version 1.119, dont le déploiement public commence justement aujourd'hui.
Bien sûr, la Product Manager a fait son mea culpa public, en reconnaissant, je cite que "la manière dont c'était implémenté et déployé n'a pas atteint le niveau de correction attendu", ce qui, dans la langue corporate, veut dire "on est des branleurs, déso, bisous".
Maintenant ce qui revient souvent dans les commentaires, c'est que Claude Code et Codex CLI font la même chose par défaut quand ils committent, sauf que la différence, c'est que ces agents committent quand C'EST EUX qui ont écrit le code, donc le co-author est tout a fait légitime.
VS Code, lui, modifiait des commits écrits à la main par des humains donc c'est pas du tout le même problème. Et pour le coup, sur Codex CLI la mention reste aussi désactivable via une option alors que chez Claude Code même si c'est pareil, l'opt-out n'est pas toujours très respecté d'après les retours que j'ai pu lire.
En tout cas, ce loupé arrive dans un climat déjà tendu puisque Microsoft pousse Copilot dans Windows, dans Notepad, dans Office, et même jusque dans l'écosystème Apple via une extension Xcode , dans tous les coins, et beaucoup de devs commencent à voir chaque nouveauté MS à travers ce prisme. La théorie du "ils gonflent les KPI Copilot pour les boards et les analystes" de plus en plus crédible et comme personne n'aime se sentir transformé en stat marketing, tout le monde commence à se barrer des outils et services Microsoft.
Maintenant, si vous voulez vraiment vous protéger des prochains coups foireux de M$, je vous propose d'abord de basculer sur VSCodium ou Zed , deux éditeurs sans télémétrie ni AI imposée. Et ensuite, déménager vos repos chez Codeberg ou Forgejo en suivant la procédure de migration que je vous donne dans cet article Patreon, comme ça même si Microsoft fait n'importe quoi côté éditeur, votre code n'est plus chez eux côté forge.
À voir maintenant si Microsoft tient ses promesses sur le consentement explicite avant toute mention d'agent IA, ou si on rejouera ce film encore et encore tous les 6 mois sur une autre fonctionnalité.
Revolut is reportedly targeting a $200 billion IPO valuation by 2028, a goal that would put the fintech above BlackRock, UBS, and Charles Schwab.
The post Revolut Reportedly Targets $200B IPO Valuation in Huge Fintech Bet appeared first on TechRepublic.
Meta is testing a WhatsApp Plus subscription that includes themes, stickers, and chat tools in a limited rollout to select users.
The post Meta Tests Paid WhatsApp Features With New ‘Plus’ Tier appeared first on TechRepublic.
Depuis la version 2.91.0 du CLI GitHub publiée mardi, chaque commande que vous tapez dans gh envoie des données de télémétrie vers GitHub par défaut. L'activation est silencieuse, sans message au premier lancement, sans consentement explicite, et il faut fouiller dans la doc pour tomber sur la page dédiée au sujet.
GitHub décrit la collecte comme pseudonyme côté client. Concrètement, le payload embarque le nom de la commande lancée, un identifiant d'invocation, un identifiant d'appareil, l'OS, l'architecture, l'agent et quelques drapeaux.
L'entreprise précise que le contenu exact peut varier d'un appel à l'autre. La justification officielle : les équipes produit ont besoin de voir comment le CLI est utilisé, avec la montée en puissance des agents IA qui le pilotent de plus en plus souvent en arrière-plan.
Côté sortie, il y a trois moyens de couper la télémétrie. Vous pouvez définir la variable d'environnement GH_TELEMETRY à false, ou DO_NOT_TRACK à true, ou lancer gh config set telemetry disabled. Simple en apparence.
Sauf que rien de tout ça n'est signalé à l'installation, et qu'un utilisateur qui n'est pas tombé sur le billet de Brandon Vigliarolo dans The Register ne saura probablement pas que c'est activé sur sa machine.
Le terme pseudonyme mérite aussi qu'on le regarde de près. Pseudonyme ne veut pas dire anonyme : il y a un identifiant d'appareil stable, il y a un identifiant d'invocation, et GitHub connaît déjà votre compte si vous êtes authentifié avec gh auth login.
Du coup, le recoupement entre votre activité CLI et votre identité GitHub n'a rien de théorique, même si GitHub ne promet pas de le faire.
En pratique, la télémétrie des outils de dev n'est pas une nouveauté. VS Code le fait depuis des années, npm aussi, et la plupart des éditeurs jouent le même jeu. Ce qui coince ici, c'est le choix de l'opt-out plutôt que de l'opt-in, et l'absence d'annonce claire sur le changelog principal.
Les utilisateurs reprochent surtout à GitHub d'avoir glissé l'info dans une page de doc au lieu d'un billet de blog dédié. Pour un outil qu'utilisent des gens très à cheval sur leur vie privée, c'est un drôle de calcul.
Bref, un outil CLI qui s'active en mode collecte par défaut sans prévenir, ça pique. Heureusement une variable d'environnement suffit à couper. Mais il faut savoir qu'elle existe.
Source : The Register
360 Digital Security, la filiale cybersécurité du géant chinois Qihoo 360, revendique environ mille vulnérabilités inédites déterrées par un agent IA maison baptisé Vulnerability Discovery Agent.
L'annonce, faite le 22 avril, cite nommément Microsoft Office et le framework open source OpenClaw parmi les logiciels touchés. Le chiffre est donné sur un seul cycle de campagne.
Mille failles non documentées en un seul cycle de recherche, ça fait un peu tourner la tête. Ce type d'agent fonctionne en boucle pour scanner massivement les bases de code, trier ce qui est potentiellement exploitable, et valider les candidats avant publication interne.
Plus tôt dans l'année, 360 avait déjà présenté un autre outil dédié à la construction automatisée de chaînes d'exploitation. L'un déterre les failles, l'autre fabrique le code qui les utilise.
Mis bout à bout, ça donne une ligne de production offensive entièrement pilotée par IA, que l'équipe 360 décrit comme une réponse directe au projet Mythos d'Anthropic, qui fait le même pari côté occidental mais en mode défense.
Le vrai souci, c'est le devenir de ces 1 000 failles. Si toutes ont été remontées aux éditeurs concernés, tant mieux. 360 affirme d'ailleurs avoir utilisé les canaux de divulgation responsables, mais sans publier de calendrier de patch.
Sauf que l'entreprise est connue pour ses liens étroits avec le ministère chinois de la Sécurité d'État, et plusieurs de ses chercheurs ont déjà été soupçonnés par le passé de garder pour l'État ce qu'ils trouvaient. Du coup, l'annonce met les équipes de sécurité occidentales quelque peu en alerte.
Microsoft, qui patche Office tous les mois pour des failles trouvées à la main, va probablement devoir accélérer le rythme si ce genre de scan industriel se généralise. En pratique, la chasse aux vulnérabilités est en train de changer d'échelle.
On passe de quelques failles trouvées par un chercheur humain sur plusieurs semaines à un agent qui en déniche des centaines en quelques jours. Et la logique économique derrière est folle : un seul opérateur bien outillé peut désormais couvrir ce qu'il fallait avant à une équipe complète.
Bref, le mur est tombé côté IA offensive. Et les éditeurs qui patchent à la main ont un vrai problème de cadence face à un scan automatisé à cette échelle.
Source : Bloomberg
The EU unveils a privacy-first age verification app to protect minors online, pressuring platforms to comply with stricter digital safety rules.
The post EU Declares New Digital Age Verification App Ready for Deployment appeared first on TechRepublic.
Un YouTubeur de la chaîne Usagi Electric vient d'installer un PDP-11 dans un bureau IKEA. Ce mini-ordinateur mythique de Digital Equipment Corporation, qui date des années 70, servait à piloter un spectromètre infrarouge en laboratoire. Plus de cinquante ans après sa fabrication, la machine tourne encore. Et c'est assez beau à voir.
Le PDP-11, c'est un gros morceau d'histoire informatique. Fabriqué par Digital Equipment Corporation à partir de 1970, ce mini-ordinateur 16 bits s'est vendu à environ 600 000 exemplaires dans le monde et a été décliné dans à peu près tous les formats possibles, du rack de laboratoire à la puce en passant par la station de bureau avec ses rangées de voyants clignotants.
C'est sur un PDP-11 que les premières versions diffusées d'Unix ont été développées au début des années 70, après un premier portage sur le PDP-7 qui l'a précédé. Et son architecture a influencé celle du Motorola 68000, et de façon plus indirecte celle du x86 d'Intel. Bref, sans cette machine, vos Mac et vos PC n'auraient pas tout à fait la même tête.
Dave, le bricoleur derrière la chaîne YouTube Usagi Electric, a récupéré ce PDP-11 qui servait de contrôleur pour un spectromètre infrarouge à transformée de Fourier dans un labo. La machine lui est arrivée en pièces détachées, le bureau d'origine n'ayant pas survécu aux décennies.
Après l'avoir remise en état de marche, Dave a mis des années avant de lui trouver un logement correct. C'est lors d'un réaménagement de son atelier qu'il a fini par construire un bureau sur mesure, à base de contreplaqué de récupération et de ferrures de surplus. Le spectromètre est posé sur la gauche, le PDP-11 est logé à l'intérieur. Niveau esthétique, on repassera, mais ça marche.
La machine embarque une unité de traitement vectoriel haute performance qui servait à l'analyse spectrale. Le processeur tourne à environ 60 °C au repos, ce qui a poussé Dave à installer deux ventilateurs 120V pour éviter que le tout ne surchauffe.
Autre compromis : l'alimentation linéaire d'origine, bien trop volumineuse pour rentrer dans le bureau, a été remplacée par des alimentations à découpage modernes. C'est le seul écart avec le matériel d'époque, tout le reste de la configuration est d'origine.
Le PDP-11 a plus de 50 ans, il tourne encore, et il est logé dans un meuble qui vaut probablement moins cher que le moindre de ses composants, et j'ai un peu de mal à imaginer mon MacBook dans le même état en 2076.
Source : Hackaday
Des milliers de faux messages imitant des notifications de sécurité Visual Studio Code ont été postés sur GitHub. Le but : rediriger les développeurs vers un site malveillant qui collecte leurs données système. La méthode est franchement vicieuse.
Les chercheurs en sécurité de Socket viennent de mettre le doigt sur une opération d'ampleur. Des centaines, voire des milliers de messages quasi identiques ont été publiés en quelques minutes sur la section Discussions de nombreux dépôts GitHub.
Chaque message reprend le même modèle : un titre alarmiste du type "Vulnérabilité grave Mise à jour immédiate requise", un faux identifiant CVE pour faire sérieux, et un lien vers une prétendue extension VS Code corrigée hébergée sur Google Drive.
Les comptes utilisés sont soit tout neufs, soit quasi inactifs, mais ils se font passer pour des mainteneurs de projets ou des chercheurs en sécurité. Et comme GitHub envoie des notifications par e-mail aux personnes qui suivent un dépôt ou qui sont taguées, les fausses alertes arrivent directement dans la boîte mail des développeurs. Vous pouvez donc vous faire avoir sans même ouvrir GitHub.
Bien sûr, le lien Google Drive ne vous amène pas d'un coup vers un fichier infecté. Il déclenche avant une série de redirections qui vous emmènent inlassablement vers un domaine bien foireux, où un script JavaScript va se charger du sale boulot.
Ce script collecte automatiquement le fuseau horaire, la langue, le système d'exploitation, l'identifiant du navigateur et même des indicateurs d'automatisation. Tout est envoyé vers un serveur de commande sans que vous n'ayez à cliquer sur quoi que ce soit.
L'idée derrière ce dispositif, c'est de trier les visiteurs. Les robots et les chercheurs en sécurité sont écartés, et seuls les vrais humains reçoivent la suite de l'attaque. Les chercheurs de Socket n'ont d'ailleurs pas réussi à capturer le malware de deuxième étape, ce qui montre que le filtrage fonctionne plutôt bien.
GitHub a déjà été ciblé par ce genre de campagne. En mars 2025, une attaque similaire avait touché 12 000 dépôts avec de fausses alertes de sécurité qui poussaient les développeurs à autoriser une application OAuth malveillante.
Cette fois-là, les pirates obtenaient un accès direct aux comptes GitHub des victimes. En juin 2024, c'était via des commentaires et des demandes de fusion bidon que les attaquants redirigeaient vers des pages d'hameçonnage.
Le procédé est malin. Utiliser les notifications GitHub pour donner une apparence officielle à des messages bidons, c'est le genre d'astuce qui marche bien sur des développeurs pressés.
Bon par contre, un lien Google Drive dans une alerte de sécurité, ça devrait quand même mettre la puce à l'oreille. Si vous recevez ce type de message, vérifiez toujours le CVE sur le site du NVD ou de MITRE avant de cliquer où que ce soit. Et si le lien pointe ailleurs que sur la boutique officielle de VS Code, passez votre chemin.
Source : Bleeping Computer
Most desk setups are inherited. The nomad’s is earned. Everything that makes it into the bag has already passed a strict and largely unconscious test — weight, versatility, the ability to make a stranger’s table feel like a place worth working from. Over months and years of moving between cities, time zones, and co-working spaces, the digital nomad ends up with a carefully curated set of tools that are small by necessity but thoughtful by design.
The interesting thing about these objects is what happens when the travel slows down. When a lease gets signed, a proper desk arrives, and the bag starts being unpacked with more intention. The tools that survived the road do not lose their relevance on a permanent surface. Many of them were built with the kind of considered design that rewards exactly this kind of scrutiny. They look better than most things bought specifically for a home office, hold up longer, and carry the kind of personal history that makes a workspace feel genuinely inhabited. This is for that moment. Eight objects that lived in the bag for a reason, and deserve a permanent home for the same one.
The OrigamiSwift is what happens when industrial design takes portability seriously. Weighing just 40 grams and folding flat to a profile thin enough to slip between notebook pages, it removes the usual tension between compact and comfortable. On a desk, it unfolds in under half a second, snapping into a full-sized ergonomic shape that sits naturally in the hand. For anyone who has suffered through the cramped mechanics of a standard travel mouse, this feels like a genuine upgrade.
The Bluetooth connectivity is quick, and the origami-inspired fold keeps the mechanism tactile enough that using it becomes a small ritual rather than a chore. At the desk, it earns a permanent spot not because it compensates for a lack of options, but because the transformation itself is satisfying. It is the kind of tool that makes you reconsider how you work, and then makes the work feel slightly more considered. Portable by design, permanent by choice.
The Fidget Cube arrived at a time when open-plan offices made visible restlessness a liability and invisible anxiety a norm. Antsy Labs built something straightforward in response: a small cube with six distinct tactile surfaces, each mapped to a different kind of fidget. Click. Glide. Flip. Breathe. Roll. Spin. The vocabulary is simple, the execution is precise, and the result is a desk object that earns its keep without demanding attention from anyone but you.
For digital nomads who have spent years suppressing the impulse to tap or spin something through a long layover or tense client call, the Fidget Cube offers quiet permission. On a permanent desk, it sits within reach without asking for attention. The black and graphite colorways blend cleanly into most setups, looking less like a toy and more like a considered detail. It is not a gimmick. It is self-awareness shaped into an object.
Nothing built its reputation on the Glyph interface, a grid of LED lights that turned the back of a phone into a notification display and a design statement. The Power (1) carries that language into a battery bank, using transparent layers, bold light paths, and illuminated interactions to make a utilitarian object feel worth looking at. The design philosophy is direct: good design is not just about appearance, it is about how an object makes you feel when you reach for it.
For a nomad who has charged devices from airport benches and café stools, a power bank is rarely a display piece. The Nothing Power (1) challenges that. Sitting on a desk, the Glyph illumination gives charging status a visual presence that feels more like an ambient display than a simple indicator light. It treats the desk as a stage and every object on it as a conscious choice. Few battery banks have ever earned that kind of consideration.
Desk clutter tends to accumulate in layers: a dock for the monitor, an adapter for the second screen, a hub for storage. Somewhere between them sits a tangle of cables that each solves a single problem in isolation. The HubKey Gen2 treats that as a design problem worth solving from the inside out. It is an 11-in-1 USB-C hub with a hardware control surface on top, offering programmable shortcut keys, a central dial, 100W power delivery, and 2.5Gbps Ethernet in a compact cube footprint.
The display support is what separates it from a standard hub. Two HDMI ports, each running a 4K display at 60Hz, mean a laptop becomes a proper dual-monitor workstation without extra adapters. For a nomad settling in, that shift from single-screen café work to a dual-screen editing setup is significant. The shortcut keys and central dial bring a physical control layer to software-heavy workflows, keeping hands on the desk rather than hunting through menus on a trackpad.
Keeping track of time zones is one of the quieter friction points of nomadic life. The Rolling World Clock solves it most physically: you roll it. A 12-sided form with each face representing a major timezone city, a single hand reads the local time wherever it lands. London. Tokyo. New York. The gesture is intuitive, and the result is a genuinely useful desk object without trying to be more.
Available in black and white, this is the kind of object that earns its place through curiosity rather than scale. Guests pick it up. Colleagues ask about it. It turns a functional necessity into a small conversation. For the nomad who has lived across time zones and built relationships across continents, there is something quietly satisfying about having those cities represented not on a screen, but held in your hand.
A desk mat either disappears into the background or it becomes the visual anchor of the entire setup. The Orbitkey Desk Mat Slim is built for the second outcome, designed with the restraint of the first. Made from premium vegan leather on top and 100% recycled PET felt underneath, it layers material integrity with practical function. The anti-slip backing holds the mat planted, while the magnetic cable holder keeps wires from drifting toward the edges, where they become a distraction.
Notes, receipts, and napkin sketches are the inevitable artifacts of nomadic work, and they tend to pile up without a clear home. The document hideaway is the detail that tips this mat from surface to organizer. The slim front pocket keeps loose papers horizontal, accessible, and out of sight. For someone accustomed to a shared café counter or a hotel tray table, this level of surface order feels less like a feature and more like a quiet exhale.
The Pomodoro method has been around since the late 1980s, and most people who use it rely on a phone timer or a browser tab. Neither is ideal. The Flow Timer replaces that with something solid. Cast in metal, with dual customizable presets for focus and break intervals, it lives on the desk as a functional timer and an object of intention. The visual arc tells you where you are in the session without a notification or a screen unlock.
For nomads who have long been their own productivity managers, a physical timer brings a different quality of commitment than a screen-based one. The act of setting it is deliberate. The focus-to-break transition is automatic. Sitting in a permanent spot, it becomes a small anchor for the rhythm of the day. Available in three colorways, the Flow Timer is one of those rare accessories that improves both how you work and how the desk looks while you do it.
There is a specific quality to the business cards that collect at the bottom of a travel bag. Each one marks a moment, a conversation, a person worth remembering. The Memento Business Card Log was made for exactly this. Designed by Re+g, a Japanese brand with roots in thoughtful stationery craft, it holds up to 120 cards with a dedicated handwriting space beside each one for a characteristic, a date, or a detail that brings the memory back clearly.
The two-point slit system keeps cards secure without sleeves or adhesive, and the special binding allows pages to be easily reordered as professional relationships evolve. For a nomad building a network across cities and industries, this is the kind of object that earns its desk placement not through technology but through intention. It is a record of everywhere you have been and everyone who mattered enough to keep. That is rare, and the design knows it.
There is a moment in every nomad’s life when the bag starts feeling less like freedom and more like a deadline. When the tools that carried you through airports and co-working spaces deserve something more settled. These eight objects were always portable by design, but built with the kind of intention that reads just as well on a permanent desk. Good design does not ask where it is. It just works.
The idea here is not to stop moving. It is to stop treating permanence as a downgrade. A folding mouse, a tactile timer, a rolling clock, a mat that holds your cables and your notes — taken together, they form a desk that feels chosen rather than assembled. The nomad who gives these a home is not giving anything up. They are just finally working somewhere worthy of the tools they already carry.
The post 8 Best Desk Gadgets Every Digital Nomad Quietly Keeps in Their Bag & Finally Deserves a Permanent Home first appeared on Yanko Design.
Gmail users in the US can now change their email address without losing data. Here’s how the long-awaited Google feature works and its key limits.
The post Gmail Finally Lets You Change Your Email Address Without Losing Anything appeared first on TechRepublic.
Hackers claim they stole 6.8 million Crunchyroll email addresses through a third-party vendor breach, exposing support ticket data and other user details.
The post Nearly 7M Email Addresses Exposed in Crunchyroll Third-Party Breach appeared first on TechRepublic.
A newer DarkSword exploit leak makes hacking outdated iPhones easier, exposing hundreds of millions of devices to risk.
The post New ‘DarkSword’ Leak Puts Millions of iPhones at Risk After Initial Attack appeared first on TechRepublic.
Apple has launched AFib History on Apple Watch in mainland China, giving diagnosed users a new way to track heart rhythm patterns over time.
The post Apple Watch Launches AFib History Feature in China, Expanding Heart Health Tracking appeared first on TechRepublic.
La société Aikido Security a découvert une campagne de malware baptisée Glassworm qui utilise des caractères Unicode invisibles pour dissimuler du code malveillant.
Plus de 150 dépôts GitHub, des paquets npm et des extensions VS Code sont touchés, et le malware utilise la blockchain Solana comme serveur de commande. L'objectif : voler les identifiants de portefeuilles crypto.
Le principe est assez fourbe. Les attaquants utilisent des caractères Unicode dits PUA (Private Use Area), qui ne s'affichent pas du tout à l'écran, mais qui contiennent quand même des valeurs exploitables.
Dit plus simplement, chaque caractère invisible correspond à un point de code que le décodeur extrait, reconstruit en payload, puis exécute via eval(). Le code malveillant est là, sous vos yeux, mais vous ne le voyez pas.
Aikido Security a découvert que cette campagne avait eu lieu entre le 3 et le 9 mars derniers. Plus de 150 dépôts GitHub ont été compromis, mais aussi des paquets npm comme @aifabrix/miso-client et @iflow-mcp/watercrawl-watercrawl-mcp.
Si on regarde du côté de VS Code, l'extension quartz-markdown-editor et 72 extensions sur Open VSX ont été touchées. Les attaquants ont aussi utilisé des LLM pour générer des commits de couverture parfaitement crédibles, et passer ainsi sous les radars des reviewers.
Ce qui rend Glassworm encore plus fourbe, c'est son infrastructure. Au lieu d'utiliser un serveur classique facile à bloquer, le malware récupère ses instructions de commande sur la blockchain Solana. Ce qui veut dire qu'il n'y a pas de serveur central à couper : les instructions sont inscrites dans la blockchain, accessibles à tous et quasi impossibles à supprimer.
L'objectif final est le vol de données liées aux portefeuilles crypto. Le malware cible 49 extensions de navigateur, dont MetaMask, Coinbase Wallet et Phantom. Il récupère les identifiants stockés localement et les exfiltre vers les serveurs des attaquants.
Côté attaquants, c'est du beau travail. Cacher du code dans des caractères que personne ne voit, utiliser une blockchain comme canal de commande et se servir d'IA pour maquiller les commits, c'est bien ficelé.
Le problème, c'est que ça expose un angle mort assez gênant dans la confiance qu'on accorde à l'open source : on installe des paquets et des extensions sans forcément lire chaque ligne de code, et quand le code malveillant est carrément invisible, ça devient compliqué à détecter.
Sources : Aikido.dev , Socket.dev
Meta will soon end Instagram’s end-to-end encrypted chats, citing low adoption and directing users to export affected messages.
The post Instagram Users Urged to Save Encrypted DMs Before Feature Disappears appeared first on TechRepublic.
Logitech Options+, c'est quand même un truc de fou... Vous achetez une souris à 100 balles, et pour configurer 6 malheureux boutons, faut se créer un compte, accepter de la télémétrie et laisser tourner cette usine à gaz en tâche de fond. Le problème, c'est que sans ce truc, votre MX Master 3S (lien affilié) est bridée avec des réglages par défaut.
Toutefois un dev bien inspiré a pondu Mouser , une alternative open source qui fait la même chose... mais sans le bloatware.
En gros, vous téléchargez un zip de 45 Mo (un exe portable, pas besoin de Python), vous extrayez tout, vous le lancez et boom, vous pouvez alors remapper les boutons de votre MX Master 3S, les 6 que Mouser prend en charge (clic milieu, bouton geste, retour, avancer, scroll horizontal gauche/droite) + 22 actions prédéfinies : Alt+Tab, copier-coller, contrôle média, navigation web... tout y passe !
Le truc cool, c'est ce qui se passe sous le capot puisque Mouser communique directement avec votre souris via le protocole HID++ de Logitech sur Bluetooth. Sur Windows, il intercepte les événements souris avec un hook bas niveau, et sur macOS c'est via CGEventTap. Pour le fameux bouton geste sous le pouce, c'est plus subtil puisqu'il envoie une commande HID++ pour "divertir" le bouton et récupérer les événements bruts plutôt que de laisser le firmware gérer. Y'a eu un peu de reverse engineering de protocole propriétaire, en somme.
Autre truc chouette dans cette appli, ce sont les profils par application. Vous pouvez assigner des actions différentes selon que vous soyez sur Firefox, VS Code ou VLC, et le switch se fait automatiquement en détectant la fenêtre active toutes les 300 ms. C'est grosso modo ce que le logiciel officiel propose pour le remapping, sauf que là ça tourne sans envoyer quoi que ce soit chez Logitech !
Côté réglages, vous pouvez aussi jouer sur le DPI (de 200 à 8 000) et inverser le sens du scroll vertical ou horizontal. Y'a même un moniteur de batterie avec badge coloré et une reconnexion automatique quand la souris sort de veille. C'est carrément pas mal pour un projet communautaire.
Pour le moment, Mouser ne supporte QUE la MX Master 3S connectée en Bluetooth (le récepteur USB n'est que partiellement supporté). Le code est pensé pour être extensible à d'autres souris HID++ de Logitech, mais c'est la seule testée actuellement. Donc au boulot les gars ! Et pour le portage Linux, faudra aussi vous bouger le cul car actuellement seuls macOS et Windows sont supportés.
Ah et il faut absolument qu'Options+ ne tourne pas en même temps, parce que les deux se marchent dessus pour l'accès HID++ ! Et aussi, pas la peine de chercher des options Logitech Flow ou SmartShift là-dedans, car Mouser se concentre uniquement sur le remapping et le DPI, et pas (encore ?) sur le multi-machine.
Netflix exits its bid for Warner Bros. Discovery, clearing the way for Paramount Skydance’s higher offer.
The post $82B Deal Unravels: Netflix Exits Warner Bros. Discovery as Paramount Surges appeared first on TechRepublic.
