Le Fisher Price Pixter, ce jouet éducatif à écran tactile que Mattel vendait entre 2000 et 2002, vient de se faire passer au scanner par
Dmitry Grinberg
.
Alors ce truc n'est pas le truc le plus répandu qui soit, surtout par chez nous, mais on en a trouvé quand même quelques uns à l'époque, et si ça se trouve vous en avez eu un.
C'est un appareil cartouches que les gosses utilisaient pour dessiner et écouter de la musique. Personne ne l'avait jamais documenté correctement. Aucune doc officielle, des cartouches un peu obscures, et un écosystème abandonné depuis 2007.
Et le plus drôle, c'est ce qu'il a trouvé dedans. La version Pixter Color, deuxième génération, embarque un SoC ARM Sharp LH75411. Pour un jouet destiné à un gamin de cinq ans, c'est franchement impressionnant. La version Classic, plus ancienne, tourne sur un 6502, le même processeur que le Commodore 64 ou la NES.
Sauf que par-dessus ce hardware, les ingénieurs avaient ajouté une couche logicielle qui faisait croire au programme qu'il tournait sur une machine totalement différente, en pratique une sorte de processeur virtuel 16 bits pour la Color, 8 bits pour la Classic. Probablement parce qu'à la base ils visaient une autre puce et qu'ils ont dû pivoter en cours de route.
Dmitry a tout passé au crible. Hardware, implémentation audio (qu'il qualifie lui-même de "sauvage"), dump des cartouches une par une, écriture d'émulateurs pour préserver le truc. Il a même rajouté le support du LH75411 dans uARM, son émulateur ARM maison. En quelques semaines. Et au passage, il a porté PalmOS 5 sur le Pixter Color, ce qui n'a strictement aucune utilité mais c'est quand même drôle.
Le pourquoi de tout ça, c'est de la conservation. Ces appareils disparaissent, leurs cartouches se fissurent, leurs piles fuient, et dans dix ans il ne restera plus rien à étudier. Sans des bricoleurs comme Dmitry, des pans entiers de la culture jouet électronique des années 2000 s'effacent doucement.
Google a balancé l'info via son équipe cyberdéfense, le GTIG (Google Threat Intelligence Group). Des cybercriminels ont utilisé une IA générative pour dénicher et écrire un code d'attaque exploitant une faille inconnue (ce qu'on appelle un zero-day, une vulnérabilité que l'éditeur du logiciel n'a pas encore corrigée).
Et ils s'apprêtaient à lancer une vague d'attaques massives. C'est, d'après Google, la première fois qu'on observe ça dans la vraie vie, pas en labo.
La faille concernait un outil d'administration de serveur open-source très utilisé, dont Google ne donne pas le nom (le temps que tout le monde installe le correctif).
Le bug permettait de contourner la double authentification, le fameux code à 6 chiffres ou la notification sur le téléphone qui sécurise vos comptes. En pratique, il fallait quand même un identifiant et un mot de passe valides au départ, donc ce n'est pas une attaque magique en un clic. Mais une fois ce sas franchi, la 2FA tombait toute seule.
Ce qui a mis la puce à l'oreille des chercheurs, c'est l'allure du script Python utilisé pour exploiter la faille. Trop bien écrit, trop documenté, trop scolaire en fait.
Il était bourré de commentaires pédagogiques (le genre qu'on retrouve dans un tuto pour débutant), il affichait un menu d'aide impeccable, et surtout un score de dangerosité CVSS complètement inventé. Cette dernière trouvaille, c'est l'indice qui ne trompe pas, seul un modèle de langage peut halluciner un chiffre officiel avec autant d'aplomb.
John Hultquist, le chef analyste du GTIG, explique que les IA génératives sont vraiment douées pour repérer ce genre de faille logique de haut niveau, là où les outils d'audit classique (les "fuzzers" qui bombardent un logiciel de données aléatoires pour le faire planter) passent à côté.
Google précise au passage que ce n'est pas Gemini, son propre modèle d'IA, qui a été utilisé. Lequel alors ? Mystère, l'équipe de Mountain View ne le dit pas. On imagine que les criminels n'ont pas demandé poliment l'autorisation à un éditeur d'IA. Affaire à suivre.
Le rapport donne d'autres pépites. Le groupe nord-coréen APT45 utiliserait l'IA pour tester des milliers d'exploits en masse. Des opérateurs chinois liés à l'État expérimenteraient l'IA pour chasser les vulnérabilités.
Des backdoors (des portes dérobées cachées) sur Android interrogent directement Gemini pour piloter les téléphones infectés. Et côté désinformation, des opérations russes intègrent du faux audio généré par IA dans de vraies images d'actualités. Bref, ça bouge de partout.
Bonne nouvelle quand même, la campagne d'attaque massive a été désamorcée. Google a coordonné un correctif discret avec l'éditeur avant que les criminels puissent appuyer sur le bouton. Cette fois.
Bref, l'IA fabrique maintenant des armes prêtes à l'emploi pour les criminels, et personne ne sait quel modèle a fait le boulot. Rien de rassurant donc.
Une fibre optique de télécom standard, celle qui passe peut-être à quelques mètres de votre bureau en ce moment, peut être transformée en microphone à distance.
C'est ce qu'ont démontré des chercheurs à la conférence NDSS 2026, le rendez-vous annuel de la sécurité réseau qui s'est tenu à San Diego. Leur démo est carrément flippante. Pas de matériel posé sur place, pas de signal radio détectable, et une qualité audio largement suffisante pour transcrire ce qu'on dit dans une pièce.
Le principe repose sur une technique appelée DAS (Distributed Acoustic Sensing, en français "détection acoustique distribuée"), qui consiste à envoyer un laser dans la fibre depuis une extrémité et à analyser comment la lumière revient.
Quand des ondes sonores frappent le câble, elles le font vibrer de manière minuscule, ce qui modifie le trajet de la lumière. En mesurant ces modifications, on peut reconstituer le son d'origine, comme si la fibre devenait un long micro de plusieurs dizaines de mètres.
Pour booster la sensibilité, les chercheurs ont fabriqué un petit accessoire qu'ils appellent "Sensory Receptor", en gros un cylindre en plastique PET de 65 mm de diamètre autour duquel ils enroulent 15 mètres de fibre. Le cylindre concentre les vibrations et amplifie le signal capté.
Les résultats ? À deux mètres de la fibre, le taux d'erreur sur les mots (le WER, qui mesure combien de mots sont mal transcrits par un système de reconnaissance vocale) descend sous les 20 %. Dans un test grandeur nature mené dans un bureau, avec une cinquantaine de mètres de fibre séparant les deux pièces et le boîtier installé sous un meuble, ils tombent à 9 %.
Quasiment un transcript parfait donc. En bonus ils ont utilisé OpenAI Whisper et NVIDIA Parakeet, deux modèles d'IA de reconnaissance vocale grand public, donc rien d'exotique côté logiciel.
Et le truc qui change tout, c'est l'indétectabilité. Une fibre passive ne consomme pas d'électricité, n'émet aucune onde radio, et passe inaperçue aux détecteurs de mouchards classiques utilisés par les services de contre-espionnage.
es balayages TSCM (les outils déployés pour chercher des micros cachés dans une pièce sensible) passent à côté. Limite tout de même : il faut être à environ 5 mètres maximum de la fibre, et celle-ci ne doit pas être enterrée trop profondément. Mais dans n'importe quel immeuble de bureaux moderne, où la fibre court partout dans les faux plafonds, ça peut fonctionner !
Je viens de pousser en prod une fonctionnalité sur laquelle je bosse depuis quelques temps et comme je suis content du résultat, c'est le moment de partager ça avec vous.
En haut à gauche du site, juste à côté de l'icône qui change le thème, vous trouverez un petit bouton "abc" qui jusqu'à présent ne servait qu'à appliquer
une police spéciale dyslexique
à mon contenu. Mais j'ai amélioré un peu tout ça pour que maintenant niveau "Confort de lecture" vous soyez refait !
En cliquant donc sur cette icône, s'ouvre un petit panneau de config avec dedans de quoi configurer votre expérience de lecture aux petits oignons. Police adaptée pour la dyslexie, espacement variable, fond couleur crème, mode audio TTS, lignes colorées pour guider l'œil...etc tout ça sans dépendre d'un service tiers.
Ensuite, vos réglages sont conservés dans le localStorage de votre navigateur pour les retrouver à chaque visite et il y a un petit lien en bas de la fenêtre pour réinitialiser tout ça.
Maintenant, l'histoire derrière cette feature, parce qu'elle est intéressante. À la base j'étais parti pour recoder un équivalent du "
Bionic Reading
", vous savez ce truc à la mode qui met en gras le début de chaque mot pour soi-disant accélérer la lecture. J'avais déjà bien avancé quand je suis tombé sur une
étude scientifique de 2024
qui démontait complètement le concept. En gros, les chercheurs ont mesuré que cela ne produisait aucun effet positif sur la vitesse de lecture ni sur la compréhension. Que dalle...
Du coup, pivot complet... J'ai tout repris pour bâtir un système basé sur ce qui marche vraiment, avec un principe simple : Chaque option du panneau affiche un badge "Sci ✓" si elle est soutenue par la recherche, ou "Pref" si c'est une préférence subjective documentée. Comme ça vous savez sur quoi vous cliquez et on évite le marketing déguisé en science.
Côté polices donc, vous avez 4 choix. La police par défaut du site,
Lexend
qui est une "variable font" développée par la Dr. Bonnie Shaver-Troup avec des résultats publiés montrant une amélioration significative de la fluidité de lecture,
Atkinson Hyperlegible
créée par le Braille Institute spécifiquement pour les personnes malvoyantes, et enfin OpenDyslexic que j'avais déjà. Pour cette dernière, je l'ai mise avec un badge "Pref" parce que la communauté dyslexique l'apprécie mais les études sont moins solides scientifiquement.
Les sliders d'espacement permettent également de jouer sur trois axes : espace entre les lettres, hauteur de ligne, largeur de la colonne de texte. Tout est calibré pour être utile sans casser le rendu. Vous pouvez aussi activer un fond crème qui utilise la couleur Solarized base3 (c'est #FDF6E3, reconnue dans la communauté des dev pour son confort de lecture sur une longue durée), et le texte non-justifié qui évite les "rivières" blanches entre mots qui posent problème notamment aux dyslexiques.
Pour le guide visuel, je vous ai mis 2 options. "Lignes colorées" qui applique un gradient cosinus caractère par caractère sur chaque ligne, avec une palette noir-bleu-noir-rouge qui alterne et permet à l'œil de suivre naturellement la progression du texte.
Et ce que j'ai appelé Saccade que j'ai gardé en option, marqué d'un badge orange "Pref ⚠" parce que la science dit que ça sert pas à grand chose, mais que si vous aimez visuellement, bah au moins c'est dispo !
Et puis il y a le mode audio (TTS) qui dépend de la qualité des voix installées sur votre système. Y'a pas d'IA là dedans, donc ça peut donner une lecture robotique sur certains OS. Une fois activé, ça apparaît en haut des articles avec une estimation de durée. Ça utilise la Web Speech API native de votre navigateur, donc zéro service externe une fois encore et ça respecte la voix système que vous avez configurée.
À ma connaissance, je suis le seul à proposer ce niveau de personnalisation pour l'accessibilité. N'oubliez pas qu'au delà de la démarche, l'accessibilité numérique est devenu une obligation légale en Europe avec l'
European Accessibility Act
qui s'applique depuis juin 2025 (Qui en a entendu parlé ? Pas grand monde je pense).
En tout cas, si je peux me permettre ce luxe de bosser sur des trucs qui ne rapportent pas un kopeck mais qui rendent le site plus agréable et plus accessible, c'est uniquement grâce à
mes Patreons
.
Des faux installateurs Claude Code se baladent dans Google
Les chercheurs d'Ontinue, une boîte de cybersécurité, ont publié une analyse d'une campagne de vol de données qui vise directement les développeurs.
La méthode est en fait assez simple. Vous tapez "install claude code" dans Google, vous cliquez, plein d'innocence, sur le premier résultat sponsorisé, et là vous tombez sur une page qui ressemble trait pour trait à la doc officielle d'Anthropic. Sauf que le serveur derrière n'a rien à voir, et la commande d'installation à copier-coller a été modifiée.
L'astuce technique est intéressante. La commande PowerShell affichée n'est pas visible dans le code source qu'un scanner automatique pourrait analyser, elle est générée à la volée dans le HTML de la page. Du coup, les scans de sécurité voient du contenu légitime, l'utilisateur copie une commande malveillante, et paf, un loader PowerShell d'environ 600 Ko se lance discrètement.
Ce loader essaie ensuite quelque chose de carrément vicieux. Il abuse de IElevator2, une interface interne de Chromium (le moteur derrière Chrome, Edge, Brave, Vivaldi, Opera) lancée en janvier 2026 par Google pour mieux protéger les cookies et mots de passe avec un chiffrement renforcé. Le malware injecte un petit module dans le navigateur pour appeler cette interface depuis l'intérieur, ce qui lui permet de récupérer les clés et de déchiffrer toute la base. Cookies de session, mots de passe enregistrés, infos de paiement. Tout y passe.
Trois domaines pirates ont été enregistrés sur six jours en avril, tous derrière Cloudflare pour compliquer le takedown. Le bout de code utilisé ne correspond à aucune famille de malware connue (Lumma, StealC, Vidar). Le plus proche serait Glove Stealer, repéré en novembre 2024, mais avec une orchestration différente. Bref, ce serait un nouveau venu fabriqué exprès pour cette campagne.
Et la cible, c'est précisément les développeurs. Ce sont eux qui installent Claude Code (l'outil en ligne de commande d'Anthropic pour coder avec l'IA, concurrent direct de Cursor).
Et un développeur, dans son navigateur, c'est l'accès à GitHub, à AWS, à des dashboards de production, à des comptes Cloud, à des secrets qui se revendent potentiellement très cher. Les défenses classiques qui surveillent les exécutables natifs ne voient rien, tout se joue au niveau de l'appel COM (la mécanique Windows qui permet à des programmes de se parler entre eux) et de PowerShell.
Petit conseil : passez par anthropic.com directement, jamais par un résultat sponsorisé. Si vous avez collé une commande douteuse récemment, c'est le moment de regarder ce qui tourne sur votre machine.
Tagger des milliers de photos à la main, c'est le genre de corvée qu'on remet tous à plus tard depuis des années. Mais c'était sans compter sur
photo-folder-tagger
de Laurent Voillot qui règle ça grâce à 6 modes IA spécialisés, le tout en local, sans envoyer une seule image dans le cloud.
Vous faites pointer l'outil sur un dossier, vous choisissez le mode IA correspondant à vos photos, et hop, des fichiers XMP annexes sont générés à côté de chaque cliché. Ces fichiers contiennent les tags et sont directement lisibles par Lightroom Classic, Capture One, Bridge, Darktable et DigiKam, ce qui évite d'avoir à ré-importer ou à modifier les originaux !
Les 6 modes couvrent des usages bien distincts. Le mode Balade utilise CLIP SigLIP2 pour la classification générale (~50 ms par photo). Le mode Animaux combine BioCLIP v1 + CLIP (~40 ms). Pour les oiseaux et les insectes, c'est BioCLIP 2, entraîné sur 214 millions d'images de biodiversité (TreeOfLife-200M), à ~55 ms par image. Le mode Vacances sort la grosse artillerie avec Ollama et qwen2.5vl pour générer des descriptions en langage naturel (~1.8 s par photo).
Et le mode qui mérite une mention spéciale c'est Astro capable d'identifier automatiquement les objets célestes : Galaxies, nébuleuses, amas d'étoiles... les tags XMP pointent alors vers les références Messier, NGC ou IC correspondantes. C'est assez dingue comme feature.
En tout cas, c'est plus précis d'avoir tous ces petits modèles spécialisés plutôt que d'avoir un seul modèle qui fait tout. BioCLIP 2 sur la faune donne par exemple des résultats qu'un modèle généraliste n'atteindra pas.
L'installation se fait après récupération des sources via pip install -r requirements.txt. Tout est configurable dans config.yaml, les modèles IA utilisés, la langue des tags, les seuils de confiance...etc puis ça se lance avec python photo_folder_tagger.py. Au passage, n'oubliez pas que si vos photos sont un peu floues avant de lancer le tagger,
SuperImage
peut les upscaler en amont.
Bref, si vous avez des disques entiers de photos nature, astro ou de rando qui traînent sans tags depuis des années, c'est l'outil qu'il vous faut.
Si vous croisez un robot-chien Unitree dans un hall d'HLM, sur un parking, un chantier, ou en train de patrouiller dans votre ville, faut que vous sachiez 2 trucs quand même :
Un, n'importe qui peut le rooter en moins d'une minute avec son téléphone. Et de deux, le robot lui-même envoie en continu un flux chiffré vers un tunnel cloud opéré depuis la Chine. C'est en tout cas ce que Benn Jordan, musicien indépendant et chercheur amateur, vient de démontrer hier dans une enquête de 24 minutes qui fait, comme il le dit lui-même, un meilleur boulot que toute l'infrastructure cybersécurité du gouvernement américain.
Pour le hacker, suffit donc de se connecter au robot en Bluetooth, puis d'injecter une commande curl à la fin du mot de passe Wi-Fi, on éteint le toutou, on le rallume, et au reboot le robot exécute votre commande quand il active le Wi-Fi. C'est tout et c'est vraiment magique !! Pas besoin d'accès root physique donc mais juste un bon vieux téléphone et un Bluetooth pourri !
Le boss !
Alors vous pensez peut-être que ce n'est pas très grave parce que ces robots sont des gadgets mais c'est faux puisque les robots-chiens Unitree sont actuellement utilisés par les services de police de Pullman (Washington), Port St. Lucie (Floride) et Topeka (Kansas) et un peu partout ailleurs dans le monde.
Les Marines américains les déploient en test, certains armés de lance-roquettes, les forces chinoises leur sanglent diverses armes sur le dos depuis un moment et l'Ukraine s'en sert pour repérer des munitions non-explosées. Et dans le civil, ces robots circulent même dans des HLM d'Atlanta pour le compte de sociétés de surveillance privée...
En France, le tableau est un peu différent. Pas de déploiement confirmé par les forces de l'ordre ou l'armée pour l'instant. Chez nous, c'est Boston Dynamics Spot et l'
E-Doggy d'Evotech
(robot 100% français, utilisé au déminage pendant les JO 2024) qui tiennent ces marchés-là. Les Unitree restent encore dans les labos tels que l'
INRIA Paris
et le labo
HUCEBOT de Nancy
qui utilisent le Go2 pour leurs recherches en locomotion robotique.
En dehors de la recherche, le cas le plus avancé est celui d'Orano, qui a testé fin 2025 le G1 humanoïde d'Unitree sur son
site nucléaire de Marcoule
en partenariat avec Capgemini (c'est un humanoïde, pas un quadrupède, mais même fabricant, même firmware, mêmes questions). Côté distribution, INNOV8 Power est également partenaire officiel Unitree depuis VivaTech 2025 et INGEN Geosciences distribue la marque depuis 2020. Le réseau pour vendre ces robots à des boîtes de sécurité privées françaises est donc déjà bien en place.
Du coup quand un mec démontre qu'on peut en prendre le contrôle complet rapidement, ça mérite qu'on regarde ça d'un peu plus près...
Et quand je dis contrôle complet, c'est pas un excès de langage. Avec cet accès root, Benn Jordan a réussi à enregistrer, télécharger et live streamer l'audio et la vidéo captés par le robot. Sans authentification donc ni même sans passer par l'app officielle. C'est assez dingue... On peut même contrôler les mouvements du robot. Une belle merde donc !
Cette faille n'est d'ailleurs pas une nouveauté absolue puisque j'avais
déjà couvert le hack BLE des humanoïdes Unitree
en décembre dernier. Et ensuite
rebelote en mars dernier
avec deux nouvelles CVE sur le Go2, partiellement patchées. La répétition des conneries devient un peu lourdingue chez Unitree...
La deuxième partie de l'enquête, elle, atteint un autre niveau puisque Benn Jordan a entendu parler de rapports affirmant que d'autres robots Unitree contenaient une backdoor envoyant des données à des serveurs étrangers. Il a donc voulu vérifier ça lui-même.
Il a donc transformé un Raspberry Pi sous Linux en routeur avec le mode moniteur activé, et lancé BetterCap pour analyser chaque paquet sortant.
Et là, surprise, le robot refuse purement et simplement de s'authentifier. Le hic, c'est que quelque chose côté serveur cloud détecte que le routeur est anormal et bloque la connexion. En analysant un peu plus finement la connexion, il a remarqué que la première IP chopée au sniff pointait vers Odessa, en Ukraine... Vu qu'aucune doc fabricant ne mentionne ce point d'accès, le truc devient alors officiellement louche... Le robot semble savoir quand il est "analysé" et cette détection d'environnement anormal est précisément le truc qui transforme une affaire de faille classique en problème de sécurité nationale.
Benn Jordan a donc ensuite contourné ça avec un routeur de voyage standard avant de sniffer derrière les paquets, et il a fini par confirmer ce qu'on appelle officiellement la
CVE-2025-2894
. Il s'agit d'un tunnel P2P préinstallé sur le Go1 qui se connecte automatiquement au démarrage à une plateforme appelée CloudSail, opérée par une boîte chinoise nommée Zhexi Technology.
Le truc est référencé dans MITRE depuis le printemps 2025, soit environ un an. En 2025, les chercheurs Andreas Makris et Kevin Finisterre ont même chopé la clé API de CloudSail et identifié près de 2000 robots vulnérables sur ce réseau, dont des unités installées au MIT, à Princeton, à Carnegie Mellon et à l'université de Waterloo.
Côté américain, la seule action gouvernementale connue suite à ça, a été une mise en garde des Marines US concernant l'usage de produits Unitree en opérations militaires. Rien d'autre.
Et là on arrive à un point de blocage assez brutal. Les failles démontrées par Benn (le hack Bluetooth, la prise de contrôle complète) et la backdoor CloudSail ne peuvent pas être corrigées en même temps, parce que les solutions se neutralisent mutuellement.
Pour boucher les failles de Benn, il faut passer par une mise à jour firmware officielle d'Unitree. Mais cette mise à jour ferme aussi l'accès root au système. Sans accès root, impossible de détecter ou bloquer le tunnel CloudSail de l'intérieur. Du coup, on a un robot sécurisé contre les hackers, mais des données qui filent quand même vers la Chine.
À l'inverse, si vous gardez le firmware actuel pour maintenir l'accès root (et donc la capacité de surveiller et bloquer CloudSail), les failles restent béantes. N'importe quel inconnu avec un téléphone peut alors prendre le contrôle complet de votre flotte de robots clébards. Bien sûr, couper Internet sur le robot évite les deux problèmes à la fois, mais le rend inutilisable dans la plupart des déploiements opérationnels.
Si vous avez un Unitree à la maison ou en entreprise, voilà la recommandation perso de Benn Jordan. Selon lui, plutôt que d'installer la dernière mise à jour, mieux vaut ne plus jamais mettre à jour le firmware (gardez en tête que c'est son avis radical, pas une bonne pratique standard). Parce qu'à la prochaine mise à jour, vous risquez de perdre la capacité de rooter votre propre robot, et avec elle la capacité de détecter, bloquer ou rediriger la backdoor.
Vous perdrez aussi la possibilité d'écrire manuellement des services qui empêchent les hackers d'exploiter les autres failles. En clair, sa meilleure défense contre Unitree, c'est de figer le firmware actuel.
Un hacker au pseudo "fuzzeddffmepg" a balancé sur un forum cybercriminel le 7 mai une base de données présentée comme provenant d'Action Populaire, le réseau militant numérique de la France Insoumise.
Au programme : environ 120 000 adresses email uniques, 20 000 numéros de téléphone, et un paquet de données personnelles couvrant pratiquement neuf ans d'activité, de 2017 à 2026.
Le contenu de la fuite est franchement gênant pour les adhérents. On y trouve les noms et prénoms des utilisateurs, leurs adresses email et numéros de téléphone, leurs adresses postales liées à des paiements, leurs participations à des groupes et événements, mais aussi des messages privés et échanges internes, plus des données de paiement et d'abonnement.
La période couverte va de 2017 à 2026, soit pratiquement toute l'histoire d'Action Populaire en tant que plateforme militante. Le hacker affirme avoir exploité une faille sur une infrastructure décrite comme obsolète, et il menace de publier d'autres extractions, dont des serveurs de messagerie.
Côté LFI, aucune confirmation officielle pour le moment. Silence radio. Ce qui n'est pas franchement la meilleure stratégie quand vos propres adhérents lisent partout sur le web que leurs données traînent en libre service.
La situation a un goût particulièrement improbable parce que LFI venait justement de déposer une proposition de résolution pour créer une commission d'enquête parlementaire sur "l'accumulation et la fuite de données personnelles en France". Sauf que voilà, demander une enquête sur les fuites pendant qu'on se fait fuiter, c'est un peu tendu.
Au passage, ce hack n'est pas isolé. Depuis quelques mois, les fuites se multiplient en France, du public au privé : CPAM, Parcoursup, ANTS, et maintenant un parti politique. Le hacker a clairement expliqué viser une infrastructure obsolète, et c'est un peu le même refrain qu'on entend partout sur l'état général de la sécurité des plateformes hébergées en France.
Concrètement, les risques pour les adhérents exposés sont réels. L'appartenance politique étant une donnée sensible au sens du RGPD, ces 120 000 personnes peuvent désormais s'attendre à des campagnes de phishing très ciblées, du harcèlement téléphonique en règle, et possiblement de l'usurpation d'identité.
Pour les militants, c'est franchement pénible. La CNIL devrait normalement être saisie par le parti dans les 72 heures suivant la prise de connaissance de l'incident~~, mais sans communication officielle, impossible de savoir si cette obligation a été respectée~~. Mise à jour : la LFI a bien prévenu ses membres et adhérents !
Screenshot
Bref, une infrastructure à l'abandon finit toujours par parler. Et ça tombe pile quand LFI réclamait plus de protection des données. Joli timing.
Le numéro VIN de votre voiture est visible sur le bas du pare-brise et récupérable par n'importe qui qui passe à côté. Et croyez le ou non, mais c'est pourtant sur ce numéro, visible de tous, que repose en partie le modèle de sécurité de myAudi, l'application connectée pour contrôler son véhicule Audi à distance.
Un chercheur qui se présente sous le pseudo
Decoder
a décidé de regarder ça de plus près. Son setup c'est un émulateur Android Pixel 7, Burp Suite en proxy pour intercepter le trafic réseau ainsi que
Frida Server
et Objection pour contourner le
certificate pinning
de l'app. Des outils et du boulot classique de pentest mobile, pas particulièrement sophistiqué donc...
Et ce qu'il a découvert grâce à ça, c'est que n'importe quel utilisateur myAudi peut ajouter le véhicule de quelqu'un d'autre à son compte en entrant simplement le VIN. Le rôle attribué est "GUEST_USER" donc au premier abord, ça peut sembler anodin mais ça donne quels accès, au juste ? Hé bien on va voir ça car c'est pas si simple.
Tout d'abord,
l'introspection GraphQL
est activée en production sur l'API de myAudi, ce qui revient à laisser un plan d'architecte en libre accès dans le hall d'entrée d'une banque. N'importe qui peut donc cartographier l'intégralité des fonctionnalités exposées.
Plus sérieux et toujours pas patché à l'heure de la publication, via l'API msg.audi.de, un utilisateur avec le rôle GUEST_USER peut aussi récupérer l'IMEI et l'ICCID de la carte SIM embarquée dans le véhicule. Ces identifiants permettent alors potentiellement de tracer la carte SIM sur les réseaux mobiles.
Et là, la faille qui a été corrigée depuis, ce sont celles concernant les "requêtes en attente" d'un véhicule qui étaient lisibles par n'importe quel "invité". Parmi elles, les commandes "honk & flash" (klaxon + appels de phares) qui contenaient la position GPS de la voiture. Du coup, avec juste un VIN, on pouvait savoir physiquement où se trouvait la voiture... Ça rappelle un peu comment
les données Strava avaient suffi à localiser le porte-avions Charles-de-Gaulle
en pleine mission.
Et derrière tout ça, il y a CARIAD, la filiale "software" du groupe Volkswagen dont j'avais
déjà évoqué les difficultés
l'an dernier, et qui gère les services numériques pour VW, Audi, Seat et Skoda.
CARIAD a donc patché la faille GPS mais pour le reste, c'est encore "under evaluation". Je rappelle que c'est la même filiale qui, en décembre 2024, avait exposé les données de
800 000 véhicules électriques
via une mauvaise configuration AWS, avec des coordonnées GPS précises à 10 centimètres près pour les modèles VW et Seat. Le Chaos Computer Club l'avait découvert, et des politiciens, des chefs d'entreprise et des forces de l'ordre se trouvaient dans le lot des données exposées...
Donc bon, y'a encore un peu de taf pour sécuriser ces voitures un peu trop connectées... En tout cas, l'analyse de Decoder est disponible sur
son blog
si ça vous dit. De son côté, il précise continuer à creuser l'architecture CARIAD car y'a sûrement d'autres trucs rigolo à trouver.
Entre le 6 et le 7 mai 2026, le site officiel jdownloader.org a été compromis et a servi pendant un peu plus d'une journée des installeurs piégés à la place des versions légitimes du célèbre gestionnaire de téléchargements.
Concrètement, les liens alternatifs pour Windows et l'installateur shell pour Linux ont été remplacés par un loader qui déploie un RAT (Remote Access Trojan) écrit en Python sur la machine de la victime. Pour ceux qui ne connaissent pas, un RAT donne à l'attaquant un contrôle total à distance de votre PC : exécution de commandes, vol de données, installation d'autres malwares, et tout ce qui peut se faire avec un compte utilisateur compromis.
Bonne nouvelle dans le malheur. Tous les canaux de distribution n'ont pas été touchés. La version macOS est passée à travers, pareil pour les installations via Flatpak, Winget et Snap, ainsi que pour le package JAR principal de JDownloader. Seuls les liens "alternative download" Windows et le script shell Linux du site officiel sont contaminés. Si vous utilisez ces canaux pour vous mettre à jour, c'est sur eux qu'il faut vérifier.
Le problème a d'abord été relevé par un utilisateur Reddit, "PrinceOfNightSky", qui a constaté que les exécutables téléchargés étaient signalés par Microsoft Defender et signés par des éditeurs douteux (Zipline LLC, The Water Team) au lieu de la signature légitime AppWork GmbH.
Une fois alerté, le développeur de JDownloader a confirmé la fuite, mis le site hors ligne, et publié un rapport d'incident détaillé pour permettre l'analyse externe. La porte d'entrée des attaquants ? Une vulnérabilité du CMS du site qui permettait de modifier les listes de contrôle d'accès et le contenu sans authentification. Pas génial.
Le malware Windows fonctionne en deux étages. Un petit programme téléchargé sert de loader, qui récupère et exécute ensuite le vrai payload en se connectant à deux serveurs de commande nommés parkspringshotel[.]com et auraguest[.]lk. Architecture modulaire, ce qui veut dire que l'attaquant peut envoyer le code Python qu'il veut depuis ses serveurs et adapter sa charge en temps réel. Vol de mots de passe, persistance, mouvement latéral sur le réseau local, tout y est possible.
Si vous avez téléchargé JDownloader depuis le site officiel entre le 6 et le 7 mai, faites donc très attention. Réinstallez complètement l'OS et changez tous vos mots de passe. Un RAT donne suffisamment d'accès pour qu'un nettoyage par antivirus seul ne soit pas une garantie suffisante. Pénible mais c'est le seul moyen propre.
Spotify vient d'annoncer un truc intéressant je trouve, qui s'appelle les Personal Podcasts. Le principe c'est de demander absolument tout ce que vous voulez, par exemple un podcast sur un cours que vous venez de suivre, sur un bouquin, sur un article de Korben.info voire sur votre planning de la semaine, vos objectifs...etc etc... Peu importe... Spotify prend tout ça, et génère un épisode audio personnalisé raconté par une voix IA plus ou moins moche.
Et l'épisode apparaît alors directement dans votre bibliothèque, comme si quelqu'un avait fait un résumé audio de votre semaine.
Et pour faire ça, ils ont mis en ligne un
repo GitHub save-to-spotify
qui est un outil en ligne de commande permettant à des agents IA de créer ce podcast personnalisé tout ça accessible en ligne de commande ou via des agents comme Claude Code, OpenClaw ou Codex.
Que ce soit sous macOS ou Linux, ça s'installe en une ligne (allez lire le install.sh par sécurité quand même avant de l'exécuter) :
Et si vous êtes sous Claude Code, c'est encore plus immédiat :
/plugin marketplace add spotify/save-to-spotify
Le skill se retrouve dans ~/.claude/skills/save-to-spotify/ et votre agent peut demander à Spotify de générer un podcast à la demande pour ensuite le pousser sur Spotify.
Rien de compliqué en fait !
Par contre, le podcast créé est 100% privé, donc vous ne pourrez pas le partager avec vos amis. Mais c'est pas bloquant non plus puisqu'il est toujours possible d'aller récupérer dans les dossiers temporaires de génération de l'émission les MP3 que ça vous crache pour ensuite les mettre ailleurs, soit sur votre site, soit les diffuser sur votre vrai podcast Spotify accessible à tous.
Maintenant, est-ce que je vais faire mon podcast pour raconter les actus que je mets sur ce site ?
Alors j'ai pas le temps mais je le ferai peut-être un jour si la qualité audio de l'IA est suffisante pour que ça ait l'air vraiment produit par un humain et pas par une machine. Pour vous donner une idée, voici ce que ça donne :
Donc c'est pas encore qualitatif... À voir en passant par des moteurs TTS comme ceux d'ElevenLabs... mais pour l'instant, c'est pas d'actualité pour moi. On verra bien... Je me suis quand même amusé à mettre les fichiers texte et JSON produits dans
Notebook LM
pour faire un autre type de podcast qui cette fois est un peu plus long et plus quali... Je vous mets ici.
Après, peu importe que vous le génériez via l'outil de Spotify ou autrement en passant par un autre outil, le CLI Save To Spotify, vous permettra ensuite de le mettre sur votre compte Spotify pour l'écouter par exemple dans la voiture ou dans les transports.
Bref, c'est disponible et si vous avez Claude Code sous la main, ça prend une ligne à installer. L'annonce complète est
par ici
.
The original Hario V60 is the kind of object that earns its own mythology. Released in 2004, it became the face of the third-wave coffee movement: a simple cone of heat-resistant glass (or ceramic, or plastic, depending on how serious you are) that turned the morning cup into a ritual of patience and precision. Baristas loved it. Coffee nerds obsessed over it. And somewhere along the way, it became as recognizable as a kitchen object can get without appearing on a museum shelf.
That legacy makes the V60 Dripper NEO an interesting proposition. Hario could have left well enough alone. Instead, they spent two years quietly engineering a redesign that touches the one part of the V60 nobody talks about but everyone deals with: the ribs.
The original V60’s spiral ribs are the reason it works the way it does. They create space between the paper filter and the cone wall, allowing air to escape as water flows through. The result is a controlled extraction, but one that demands attention. Get your grind wrong, pour too fast, let your focus wander, and the brew either stalls or races past the point of no return. The V60 has always been a beautiful, slightly unforgiving thing.
The NEO changes that equation with a genuinely clever structural update. Instead of a single spiral rib pattern, it introduces 72 ultra-fine vertical ribs along the upper walls of the cone, which then converge into 9 deeper ribs near the base. This dual-zone design guides water evenly down the entire wall before accelerating it through the outlet. The effect is a faster, more uniform extraction that minimizes bitterness from water lingering too long in contact with the grounds. The cup you get out the other end is cleaner, sweeter, and more vibrant, with a balanced acidity that doesn’t tip into sourness.
Two years of testing went into getting this right. Hario’s engineers ran exhaustive trials on rib counts, angles, and flow dynamics before landing on this configuration. The fact that they filed a utility model patent on the structure suggests they believe it is genuinely novel, not just cosmetically different.
The material choice is also worth noting. The NEO is made from Tritan resin, a lightweight, high-clarity plastic that handles heat retention better than standard plastic alternatives. It keeps the brewing temperature more stable from the first pour to the last, which matters more than people think. Temperature consistency is one of those variables that separates a good cup from a great one, and the NEO addresses it without requiring you to do anything differently.
For anyone already embedded in the V60 ecosystem, the compatibility factor is a quiet win. The NEO works with all existing V60 switch bases, so you don’t have to rebuild your setup from scratch. It comes in two sizes, both made in Japan, and retails for around $23.50, which is an accessible price point for a piece of equipment that functions this thoughtfully.
Not everyone is convinced, though. Since hitting the market, the NEO has sparked a genuinely divided response from the coffee community. Users describe the brew as cleaner and more tea-like, which sounds appealing until you realize that some people loved the original V60 precisely for its acidic punch and intensity. One Reddit user put it plainly: the NEO presents coffee “differently,” not necessarily better. For experienced brewers who spent years dialing in their pour technique to coax specific flavors from the classic cone, the NEO’s smoother, more forgiving nature feels less like an upgrade and more like a personality change. That’s a fair criticism. Hario didn’t make a bad V60. They made a different one, and that distinction is exactly what has the coffee internet divided.
Pour-over coffee has always had a slight gatekeeping problem. The ritual appeals to people who love it precisely because it requires care, but that same learning curve turns off anyone who just wants a good cup without turning their kitchen into a science experiment. The V60 NEO doesn’t eliminate that ritual. It just makes the margin for error a little more forgiving, which means more people get to enjoy the result without years of practice behind them.
The original V60 deserved its legacy. The NEO earns its own, just a slightly different one.
A Red Dot Design Award and a $210,000 Kickstarter campaign are two very different kinds of validation. One comes from a jury of design professionals evaluating form, function, and coherence. The other comes from tens of thousands of people who looked at a product and handed over money before it shipped. SparkO, the compact wearable EDC flashlight from California’s ScoutLite, earned both. That combination suggests something specific about the object: it reads clearly to designers and solves something real for everyday people. At $45.99 and 40 grams, the barrier to entry is low enough that hesitation becomes difficult to justify.
Two photos of SparkO are enough to grasp the concept: a disc-shaped body, a silicone loop that clips and doubles as a kickstand arm, and a circular LED array wrapped in a fine prismatic lens ring. The anodized metal bezel is color-matched to whichever of the four options you pick, Forest Moss, Basalt Black, Glacier Blue, or Canyon Clay. It clips to a bag strap or jacket, snaps magnetically to a MagSafe iPhone, props upright on the optional ring stand, or rides on clothing as a hands-free wearable. That range of deployment is the whole argument for SparkO, and ScoutLite backs it with 300 lumens, three color temperatures, four brightness levels, a red light mode, CRI 95+ rendering, a 14.5-hour runtime, and USB-C charging. At a campsite, a workbench, or a dim restaurant table, the light adapts to the situation rather than demanding you adapt to it.
The disc form is a real departure from the cylindrical tube that has defined flashlight design for over a century. A cylinder forces you to hold it; a disc invites you to wear it, clip it, or set it down facing wherever light needs to go. The silicone loop is soft enough to flex over thick fabric and structured enough to hold position once seated, its geometry doubling as the kickstand arm when the magnetic ring base enters the picture. The circular LED face is surrounded by a concentric prismatic lens ring that distributes light broadly and evenly, borrowing visual language from photography ring lights rather than from tactical torches. That framing signals the breadth of SparkO’s intended audience: the tradesperson and the camper, but equally the commuter, the hobbyist, and the photographer working in low light.
Clipped to a chest pocket or jacket collar, SparkO illuminates whatever your hands are working on without requiring you to hold anything, which is the core use case that conventional EDC lights have historically fumbled. Snapped to the back of an iPhone Pro via the magnetic base, it becomes a fill light for close-up photography, turning a phone into something resembling a professional lighting rig for the cost of a decent lunch. The ring stand converts the same unit into a bedside reading lamp or a compact task light with a footprint smaller than a drink coaster. Each scenario calls for a different mounting method, and the transitions between them take seconds rather than a setup ritual. Four modes sounds like a marketing stretch right up until you’ve run through all of them in a single day, and then it starts to feel like the accurate count.
Three hundred lumens is the right range for a light this size: capable outdoors, tolerable at close range, and not so aggressive that it becomes a problem in tight spaces. The three color temperature options matter more than the lumen figure in daily use, covering the gap between a warm amber reading mode and a cooler beam suited to detailed work. CRI 95+ color rendering is what sets SparkO apart from most of the EDC lighting field, reproducing colors accurately enough that the light reads close to natural daylight, which makes a genuine difference for craftspeople and photographers. The red mode preserves night-adapted vision on a trail or at a campsite, a small but real addition for outdoor use. Runtime at 14.5 hours and USB-C charging put SparkO on a weekly recharge cycle with a cable it shares with everything else in a modern carry kit.
ScoutLite has built a product that lands on the right side of the three virtues the EDC community consistently responds to: compact, accessibly priced, and solving a problem the existing field handles poorly. The Red Dot Award carries credibility for an audience that pays attention to such things, while the $210,000 Kickstarter result is a harder signal to argue with, because crowdfunding backers are betting on a design that communicates its own value clearly enough that waiting feels unnecessary. At $45.99, the decision practically makes itself, especially given that the clip, the magnet, the stand, and the wearable mode collectively cover more scenarios than most EDC kits manage with multiple dedicated tools. Whether ScoutLite follows this up with accessories or a higher-output variant, SparkO sets a credible benchmark for what a wearable EDC light should cost, weigh, and do. The category has needed something this considered for a while.
There is something instantly familiar about patterned glass. We have seen it in old windows, cabinet doors, bathroom partitions, and quiet corners of homes where privacy and light needed to exist together. It is a material that usually stays in the background, doing its job quietly. With Violet Frosted, designer Marius Boekhorst brings that overlooked material forward and turns it into something sculptural, expressive, and quietly poetic.
At its heart, Violet Frosted is a geometric glass object that plays with flowers, light, color, and texture. What makes it interesting is the way it changes how we see what is placed behind it. The frosted, patterned glass softens the flowers, turning bright petals and stems into blurred fields of color. A flower becomes a shadow, a brushstroke, a violet glow, or a faded green line depending on where you stand.
That is where the charm of the piece begins. Instead of presenting flowers directly, Violet Frosted filters them. It creates a gentle distance between the viewer and the arrangement. That distance makes you look closer. It asks you to slow down and notice how color shifts through glass, how a shape becomes unclear, and how something ordinary can feel painterly when it is partly hidden.
In many ways, Violet Frosted feels like a still life painting brought into the real world. Traditional still lifes capture flowers in one fixed composition, frozen in paint and time. This piece lets the still life move. The flowers change as they bloom and fade. The light changes throughout the day. The view changes as you move around it. From one angle, the arrangement may feel bold and graphic. From another, it becomes soft, quiet, and almost dreamlike.
The design feels especially beautiful because it does not try too hard. It avoids excess decoration. The form is clean and almost architectural, while the patterned glass gives it warmth and character. It feels contemporary without losing the memory of where the material comes from. That balance between old and new gives the piece its quiet confidence.
Violet Frosted also carries a museum-like feeling, though it never feels precious or untouchable. It brings the mood of a gallery into everyday space. A table, shelf, or windowsill suddenly feels more considered. A simple floral arrangement becomes an experience. You are looking at flowers through atmosphere, texture, and light.
Violet Frosted reminds us that design does not need to shout to stay with us. Sometimes, the most memorable objects are the ones that shift how we see familiar things. By turning patterned glass into a living frame, Marius Boekhorst creates a piece that sits between a vase, a sculpture, and a painting. It is functional, emotional, and deeply visual. It holds flowers, and it holds a moment.
I've reviewed the best task management software for different workflows. From sprints to Kanban to personal tasks, find the platform that fits how your team works.
Connexion
Screenshot
