Pourquoi prendre des vacances d’été et glander sur une plage, alors qu’on pourrait pondre projet open source qui résout un vrai problème ?

Adrien Revel a fait exactement ça avec Microfolio, et le plus rigolo c’est qu’il s’est fait assister par Claude Code pour développer son bébé. Une fois installé, vous lui balancez vos fichiers dans des dossiers, vous ajoutez du Markdown pour les descriptions, et paf, vous avez un portfolio statique qui a la classe.

Pas de base de données qui rame, pas de CMS à maintenir, pas de plugins WordPress qui vous lâchent au pire moment. Juste des fichiers, du contenu, et un site qui booste.

Microfolio tourne sur SvelteKit 2, l’un des générateurs de sites statiques les plus utilisés, couplé à Tailwind CSS 4. Pour ceux qui ne suivent pas l’actu dev, SvelteKit est un framework qui compile votre code en vanilla JavaScript ultra-optimisé. Du coup, les sites chargent à la vitesse de l’éclair même sur une connexion 3G pourrie.

Maintenant, l’installation, c’est du velours. Par exemple, sous macOS, une ligne de Homebrew et c’est parti :

brew install aker-dev/tap/microfolio
microfolio new mon-portfolio
cd mon-portfolio
microfolio dev

Pour les autres OS, un bon vieux clone Git et pnpm font l’affaire. Le projet est pensé pour les designers, architectes, photographes, bref tous les créatifs qui veulent montrer leur travail sans se prendre la tête avec du code.

Ce qui est intéressant dans l’histoire, c’est qu’Adrien a développé Microfolio avec Claude Code, ce nouvel assistant IA d’Anthropic qui cartonne chez les développeurs. Claude Code est d’ailleurs particulièrement doué pour bosser avec Svelte 5 et sa nouvelle syntaxe de runes. L’IA l’a visiblement bien aidé sur la doc et le code, ce qui montre qu’on peut faire de l’open source de qualité en duo avec une IA.

La démo en ligne montre déjà ce que ça donne à savoir une interface épurée, une navigation fluide entre les projets, une vue carte pour les projets géolocalisés (pratique pour les architectes), et un système de tags pour filtrer le contenu. Le tout responsive évidemment, c’est la base aujourd’hui.

Moi j’en ai fait un site de chat pour rigoler…

Pour le déploiement, GitHub Pages est supporté d’office avec possibilité de mettre un domaine custom. Adrien cherche également des beta-testeurs pour peaufiner le projet avant de sortir la v1.0 à la rentrée. Donc si vous avez un portfolio à refaire ou si vous voulez juste tester un outil moderne, c’est le moment.

Bref, du bon “file-based CMS” comme on les aime. Comme ça, au lieu de stocker vos contenus dans une base de données qui peut foirer, tout est dans des fichiers que vous pouvez versionner avec Git. Vous gardez le contrôle total sur vos données, vous pouvez tout éditer offline, et surtout vous n’êtes pas prisonnier d’un système.

Puis ce combo SvelteKit + Tailwind CSS est vraiment pertinent, je trouve. SvelteKit permet de générer des sites statiques en automatique, ce qui veut dire que votre site est servi en HTML statique pour le SEO, puis devient interactif côté client. C’est le meilleur des deux mondes.

Pour les devs qui veulent contribuer, le code est sur GitHub sous licence MIT. Le projet utilise les dernières versions de tout (SvelteKit 2, Tailwind CSS 4, Node.js 20+), donc c’est aussi l’occasion de jouer avec les dernières technos du moment.

A découvrir ici !

Merci à Adrien Revel pour avoir partagé son projet !

Moi, j’adore quand quelqu’un fabrique un truc juste parce qu’il en a envie, sans business plan, sans pitch deck, sans lever de fonds. Juste un dev, son clavier, et l’envie de créer.

Et bien c’est exactement ce qui s’est passé avec MkEditor, et ça fait du bien !

Le créateur de MkEditor (qui se décrit lui-même comme “un peu timide pour partager ses créations”) a passé plusieurs années à maintenir cet éditeur Markdown qui respecte les specs CommonMark.

Pourquoi ?

Et bien pas pour concurrencer Obsidian ou Typora. Pas pour devenir la prochaine licorne de la tech. Non, non, juste parce qu’il voulait comprendre comment VSCode fonctionnait en détail. Et ce qu’il nous a pondu, c’est un éditeur qui utilise Monaco Editor de Microsoft, le même moteur qui fait tourner VSCode.

Alors oui, on va me dire “mais Korben, il existe déjà 50 éditeurs Markdown”. C’est vrai et ces éditeurs ont su se rendre incontournables pour les développeurs et les équipes. Obsidian cartonne avec son graph view, Typora fait toujours rêver avec son rendu en temps réel. Mais MkEditor a quelque chose de différent : Il ne cherche pas à révolutionner quoi que ce soit. Il fait juste très bien ce qu’il fait.

L’outil embarque des fonctionnalités plutôt sympas. D’abord, vous avez un split screen redimensionnable avec synchronisation du scroll entre l’éditeur et la preview. Ensuite, des raccourcis clavier personnalisables pour formater votre texte ou insérer des blocs de code. Et il y a même de l’autocomplétion pour les langages dans les code blocks, exactement comme dans VSCode.

Ce qui est bien pensé aussi, c’est l’export HTML. Vous pouvez comme ça générer du HTML brut ou une version stylée avec Bootstrap et FontAwesome directement injectés dans le <head>. Pratique quand vous voulez partager un document qui a de la gueule sans vous prendre la tête avec le CSS. Les paramètres sont configurables soit via l’interface, soit directement dans un fichier settings.json pour les puristes du terminal.

Le truc cool aussi, c’est qu’il y a la palette de commandes de VSCode. Vous tapez Ctrl+Shift+P (ou Cmd+Shift+P sur Mac) et boom, vous avez accès à toutes les commandes. Pour ceux qui vivent dans VSCode, c’est comme retrouver ses pantoufles.

Et si vous ne voulez pas installer l’application desktop (disponible en Electron pour Windows, Linux et macOS), vous pouvez tester directement la version web en cliquant ici. Pas de compte à créer, pas de données à fournir, vous arrivez et vous écrivez. C’est chouette non, à une époque où chaque app veut votre mail, votre 06 et votre groupe sanguin.

Le développeur l’avoue lui-même dans son post… il a créé MkEditor juste parce qu’il en avait envie, sans cas d’usage particulier, juste pour le plaisir de construire quelque chose. C’est cette philosophie qui résume tout ce que j’aime dans l’open source.

Le projet est donc sur GitHub si vous voulez contribuer ou juste jeter un œil au code. Le dev accepte les feedbacks et les rapports de bugs, toujours avec cette modestie qui caractérise les vrais artisans du code.

Alors non, MkEditor ne va pas détrôner les géants du Markdown et il ne va pas lever 10 millions (enfin, quoique, on ne sait jamais dans la vie…). Il n’aura peut-être même pas sa propre conférence annuelle, mais il existe, il fonctionne bien, et il est gratuit.

Bon, vous connaissez sans doute le Flipper Zero, ce petit boîtier orange qui ressemble à un Tamagotchi sous stéroïdes et qui fait flipper Amazon, le Canada et à peu près tous les responsables sécurité de la planète. Mais connaissez-vous vraiment l’histoire dingue de Pavel Zhovner, le mec qui a créé ce truc ?

Allez, c’est parti, je vais tout vous raconter !!

L’histoire commence à Odessa, en Ukraine, où le jeune Pavel Zhovner grandit avec une obsession maladive : Comprendre comment fonctionnent les trucs. Pas juste les comprendre superficiellement façon notice IKEA, mais aller au fond des choses, décortiquer, analyser, reconstruire. C’est le genre de gamin qui démonte le grille-pain familial “pour voir” et qui finit avec 12 pièces en trop au remontage. Diplômé de l’Université Polytechnique Nationale d’Odessa, Pavel se décrit lui-même avec une phrase qui résume tout : “Depuis mon enfance, j’aime explorer les choses autour de la nature, de la technologie et des humains”. Oui, des humains aussi.

Mais attention, Pavel refuse catégoriquement le terme “hacker”. Il préfère “nerd”, qu’il trouve plus honnête. Du coup, cette distinction n’est pas anodine car elle révèle une philosophie qui imprégnera plus tard tout le projet Flipper Zero à savoir la transparence, l’honnêteté, et le refus des étiquettes faciles. Parce que bon, entre nous, “hacker” ça fait tout de suite film hollywoodien avec des mecs en capuche qui tapent frénétiquement sur un clavier dans le noir. Alors que “Nerd”, c’est plus… authentique.

Avant de devenir le CEO de Flipper Devices et de terroriser les gouvernements du monde entier avec son dauphin orange, Pavel n’était pas un inconnu dans le monde de la tech underground. En 2017, face aux blocages internet imposés en Ukraine (merci Poutine), il crée Zaborona.help, un service VPN gratuit pour contourner la censure. Le projet, entièrement open source sur GitHub, utilise OpenVPN avec des serveurs multiples et propose même un script d’installation automatique pour Windows. C’était déjà la marque de fabrique de Pavel : Créer des outils accessibles pour donner du pouvoir aux utilisateurs face aux restrictions imposées par les couillons au pouvoir.

Mais le vrai game changer dans la vie de Pavel, c’est sa rencontre avec le Moscow Neuron Hackspace. En 2011, après avoir assisté au Chaos Communication Congress à Berlin (le Burning Man des hackers, mais avec plus de LED et moins de hippies), Alexander Chemeris décide d’importer le concept de hackerspace en Russie. Il faudra deux ans pour construire une communauté solide, mais Moscow Neuron Hackspace finit par voir le jour, installé au Хохловский пер 7/9 стр. 2, au cœur de Moscou. L’adresse est imprononçable, mais l’endroit était mythique.

C’est là que Pavel Zhovner prend les rênes et devient responsable du hackerspace. Entre 2013 et 2015, des universitaires sont même venus observer ces nerds dans leur habitat naturel, comme des gorilles des montagnes, dans le cadre d’une étude ethnographique. Neuron devient alors un espace alternatif pour l’industrie IT créative et l’entrepreneuriat startup, loin des initiatives étatiques pourries comme Skolkovo (le Silicon Valley russe, mais en nul). On y organise des conférences TEDx en anglais pour faire chier les autorités, des ateliers sur les réseaux sociaux, on apprend à construire des robots qui servent à rien mais qui sont cool, on expérimente avec l’impression 3D avant que tout le monde sache ce que c’est.

Neuron n’est pas qu’un simple makerspace où des barbus soudent des trucs random. C’est un lieu de résistance culturelle, un espace qui promeut “la confiance, le partage de connaissances et l’échange de compétences” selon l’étude académique (qui utilisait beaucoup de mots compliqués pour dire “des mecs cool qui s’entraident”). Pavel y développe sa vision où la technologie doit être accessible, compréhensible, hackable. C’est dans cet environnement bouillonnant de créativité et de café instantané qu’il rencontre alors Alex Kulagin.

Alexander Kulagin, diplômé du prestigieux MEPhI (Institut de Physique et d’Ingénierie de Moscou, l’endroit où l’URSS formait ses génies du nucléaire), apporte une expertise hardware cruciale. Entrepreneur IT avec plus de 5 ans d’expérience dans le développement hardware et la production de masse, il devient le COO (Chief Operations Officer) de ce qui deviendra Flipper Devices. Là où Pavel est le visionnaire philosophe qui part dans des délires métaphysiques sur la nature du hacking, Alex, lui, est le pragmatique qui sait transformer les idées en produits manufacturables sans faire exploser l’usine.

Alex et Pavel (Image IA)

Dans une interview, Kulagin explique leur vision commune : “Nous avons conçu l’appareil comme un outil de recherche et d’éducation pour tester la vulnérabilité des technologies quotidiennes qui nous entourent, souvent celles auxquelles vous n’auriez jamais pensé qu’elles pouvaient être dangereuses.” Genre votre porte de garage qui s’ouvre avec un signal radio basique qu’un gamin de 12 ans pourrait copier. Ou votre badge de bureau qui utilise une techno des années 90.

Le choix du dauphin comme mascotte n’est pas anodin non plus. “Nous avons décidé que le personnage principal serait un dauphin dès le début”, explique Kulagin. “Notre dauphin est excentrique, queer, enthousiaste mais simple et gentil en même temps. Nous voulions créer un personnage avec qui vous auriez envie d’être ami.” Et puis soyons honnêtes, un dauphin c’est moins menaçant qu’un requin ou qu’un logo de tête de mort…

2019, Pavel se balade avec l’arsenal classique du pentester dans son sac à dos… Il est bien équipé… adaptateurs WiFi, lecteurs NFC, SDR, Proxmark3, HydraNFC, Raspberry Pi Zero. Le truc, explique-t-il c’est que “Tous ces appareils ne sont pas faciles à utiliser en déplacement surtout quand vous avez une tasse de café dans une main ou que vous faites du vélo”. Et c’est vrai que sortir un Proxmark3 dans le métro pour tester une carte de transport, ça fait tout de suite très louche.

Il expérimente alors avec un Raspberry Pi Zero W pour automatiser les interactions AirDrop dans le métro de Moscou (pour envoyer des memes aux gens, évidemment), mais le résultat est catastrophique : “Les pointes de soudure déchiraient le tissu de mon pantalon”. Ses tentatives de boîtiers imprimés en 3D sont tout aussi décevantes… Bref, ça ressemblait plus à un projet d’école primaire qu’à un outil de hacking sérieux.

Le déclic arrive quand un Tamagotchi Friends original de Bandai lui tombe entre les mains. Pavel découvre que ces appareils sont encore produits et vendus en 2019. Mais qui achète encore des Tamagotchi en 2019 ??? Et c’est là que l’idée germe dans sa tête. Et si on combinait le côté ludique et attachant du Tamagotchi avec les capacités d’un outil de pentest sérieux ? Un truc qu’on peut sortir dans un café sans qu’on appelle les flics.

Après avoir utilisé le pwngotchi (un projet de Tamagotchi AI pour le hacking WiFi), Pavel réalise qu’il en fait qu’il veut, je cite “Un appareil qui apportera simultanément de la joie au format Tamagotchi, serait esthétiquement similaire aux consoles de jeux rétro et serait assez méchant pour hacker tout autour”. En gros, une Game Boy qui peut ouvrir des portes.

Pavel tweete alors son idée et ses amis designers produit, ceux qui “font des trucs électroniques sérieux” (comprendre : pas des bricolages avec de la colle chaude), lui suggèrent de créer un appareil fini, au lieu de se lancer dans un bricolage DIY fait maison avec “une vraie production en usine et des pièces de qualité”. Bref, arrête de jouer avec ton fer à souder dans ton garage et fais un vrai produit.

C’est donc le début de l’aventure Flipper Zero et Pavel et Alex se lancent dans le développement des premiers prototypes. Le nom “Flipper” vient du dauphin cybernétique du film Johnny Mnemonic avec Keanu Reeves et le concept c’est un dauphin virtuel qui vit dans l’appareil et évolue au fur et à mesure que son propriétaire interagit avec lui, se fâchant quand il n’est pas utilisé fréquemment. C’est un Tamagotchi, mais pour hackers.

Mais détrompez-vous, le Flipper Zero n’est pas qu’un gadget mignon qui fait bip-bip. C’est une prouesse technique basée sur un microcontrôleur STM32WB55 à double cœur ARM. Un Cortex-M4 à 64 MHz pour le firmware principal (le cerveau) et un Cortex-M0 à 32 MHz pour le Bluetooth Low Energy (le moulin à paroles). Avec 256 KB de RAM et 1 MB de stockage Flash, c’est suffisant pour faire tourner un système complet. C’est évidemment moins puissant que votre smartphone, mais c’est exactement ce qu’il faut.

L’écran est un LCD monochrome rétro avec rétroéclairage orange de 128×64 pixels. “Au lieu des écrans modernes TFT, IPS ou OLED, nous avons délibérément choisi un cool LCD old-school”, explique l’équipe et comme sur les vieux téléphones monochromes Nokia 3310 et les Tamagotchi, l’écran est toujours allumé. Rassurez-vous, la batterie ne se vide en 3 heures comme sur votre iPhone.

Les capacités radio sont aussi impressionnantes pour un truc de la taille d’un paquet de clopes. Il est équipé d’une antenne 125 kHz en bas pour lire les cartes de proximité basse fréquence (vos vieux badges de bureau), d’un module NFC intégré (13.56 MHz) pour les cartes haute fréquence (cartes de transport, badges modernes), d’une puce CC1101 avec antenne multi-bande pour une portée jusqu’à 50 mètres (portails, alarmes de voiture), d’infrarouge pour contrôler les appareils domestiques (bye bye la télécommande perdue), et de GPIO pour se connecter à des modules externes (pour les vrais nerds).

Puis le 30 juillet 2020, la campagne Kickstarter est lancée avec un seul objectif : Récolter 60 000 dollars. Et le résultat est au delà de toutes leurs espérance puisque c’est exactement 4 882 784 dollars qui seront récoltés auprès de 37 987 contributeurs en seulement 30 jours. C’est 8138% de l’objectif initial. Du délire total.

Quand Pavel et Alex regardent les compteurs, ils se regardent, mi-excités, mi-terrifiés. “Comment on va produire tout ça ?” La réponse : avec beaucoup de café et pas mal de crises de panique.

La communauté est plus qu’excitée, elle est en ébullition totale. Et sur les forums, certains s’inquiètent déjà : “Devoir soudainement produire 8000% de votre objectif de production d’ici une date prédéfinie ressemble à un cauchemar.” Et ils avaient raison. Pavel et Alex se retrouvent alors face à un défi monumental : transformer un projet de hackerspace en une entreprise capable de produire près de 40 000 unités. Et tout cela en pleine pandémie de COVID-19. C’est là que le fun commence vraiment.

2021-2022, c’est l’enfer sur terre. La pénurie mondiale de puces frappe de plein fouet. Le fournisseur taïwanais Sitronix annonce une pénurie continue de puces 7565R. Toutes les commandes passées avant juin 2021 sont retardées. Pire, ils suspendent temporairement toutes les nouvelles commandes. C’est la merde totale.

L’équipe doit alors redesigner l’électronique et les PCB plusieurs fois pour remplacer les composants introuvables. Un cauchemar d’ingénierie surtout que les composants de puissance deviennent l’objet de spéculation sauvage, pire que les cartes Pokémon. Un convertisseur de tension passe de 0,50$ à 10,70$, un chargeur de batterie BQ25896RTWR devient littéralement impossible à acheter. Y’a aucun stock chez TI, DigiKey ou Mouser. C’est le Far West des composants électroniques.

L’équipe cherche alors des stocks dans des entrepôts alternatifs, chez de petits fournisseurs louches car ils refusent de payer 20 fois le prix normal par principe. La production est alors fragmentée : les boîtiers plastiques dans une usine en Chine, l’électronique dans une autre en Europe de l’Est. Et coordonner tout ça pendant les perturbations de la chaîne d’approvisionnement est un cauchemar logistique qui ferait pleurer un responsable Amazon.

Malgré tout, ils commencent à expédier en janvier 2022. Mi-2022, 90% des commandes Kickstarter sont expédiées. C’est un miracle dans ce contexte de “l’une des plus grandes crises du marché des composants électroniques des dernières décennies”. D’autres projets Kickstarter de la même époque n’ont toujours pas livré.

Mais dès le début, Pavel et Alex on adopté la tactique de la transparence et de l’ouverture maximales. Tout le code est sur GitHub sous licence GPLv3, y’a pas de bullshit propriétaire, pas de DRM, pas de fonctionnalités bloquées derrière un paywall. Et cette approche attire une communauté massive.

Des firmwares alternatifs apparaissent comme des champignons après la pluie : Unleashed (firmware débloqué avec support des rolling codes pour les vrais méchants), RogueMaster (le plus cutting-edge avec les dernières fonctionnalités communautaires), Momentum (continuation officielle d’Xtreme après son arrêt). La philosophie est claire… pas de paywall, pas d’apps propriétaires. “Chaque build a toujours été et sera toujours gratuit et open source”, proclament les développeurs d’Unleashed. Respect.

Comme je vous le disais, le dauphin du Flipper Zero n’est pas qu’une mascotte mignonne pour faire joli. L’équipe lui a donné une personnalité complexe : il “a des opinions politiques de gauche, écoute de la techno, et n’a pas d’identité de genre prononcée”. C’est une déclaration politique subtile mais claire sur les valeurs de l’entreprise. Un dauphin woke, en somme. Et cette personnalité se reflète dans les interactions car le dauphin s’énerve si vous ne l’utilisez pas, il évolue avec vos hacks, il a ses humeurs. C’est un compagnon numérique avec du caractère, et pas un simple assistant style Alexa qui répond “Désolé, je n’ai pas compris”.

Nous sommes maintenant en février 2022. La Russie envahit l’Ukraine. Pavel Zhovner est ukrainien et plus de 10% de l’équipe Flipper Devices est ukrainienne. La décision est alors immédiate et radicale : Plus aucune livraison vers la Russie, plus aucun recrutement en Russie, et une aide active pour faire sortir tous les employés russes du pays, avec un déménagement du siège à Londres. C’est efficace et c’est surtout un positionnement politique fort pour une entreprise tech qui aurait pu fermer sa gueule et continuer à vendre. Flipper Devices n’a plus rien à voir avec la Russie.

Puis en 2023, le Flipper Zero devient viral sur TikTok. Des vidéos montrent des utilisateurs qui ouvrent les ports de charge des Tesla (véridique), éteignent les menus électroniques des fast-foods (hilarant), changent les prix sur les pompes à essence (illégal), déverrouillent des voitures (parfois). Les vidéos accumulent des millions de vues. “Je ne m’attendais pas à ce que ça marche 😭”, titre l’une d’elles montrant l’ouverture d’une Tesla.

Mais la réalité est plus nuancée car la plupart des vidéos sont probablement mises en scène ou nécessitent une préparation significative. Les attaques démontrées ne fonctionnent que contre des systèmes primitifs ou mal protégés. Votre Tesla Model 3 est tranquille. Votre vieille Clio de 1998, peut-être un peu moins.

Puis en avril 2023, Amazon bannit le Flipper Zero, le classifiant comme “appareil de skimming de cartes”. L’ironie c’est que toutes les annonces sur Amazon étaient de toute façon des revendeurs non officiels vendant des contrefaçons chinoises, et pas Flipper Devices directement.

La réaction de Pavel et Alex est brillante car ils transforment alors cet obstacle en opportunité en créannt leur propre réseau de distribution. Le bannissement devient un argument marketing pour la liberté technologique et le “Amazon nous a bannis” devient un badge d’honneur. L’effet Streisand joue à plein tube et chaque nouvelle interdiction génère une couverture médiatique qui fait découvrir l’appareil à de nouveaux publics. Merci Amazon et les autres shop pour la pub gratuite !

En février 2024, le Canada annonce son intention de bannir le Flipper Zero, invoquant une vague de vols de voitures. Le problème, c’est qu’aucun vol de voiture connu à cette époque, n’implique un Flipper Zero. C’est comme bannir les cuillères parce que quelqu’un s’est noyé dans sa soupe. Car techniquement, le Flipper Zero ne peut pas démarrer une voiture moderne. Il peut capturer et rejouer certains signaux, mais c’est plus compliqué que ce qu’on croit. Bref, tout ceci n’est qu’un cas classique de panique morale technologique, comme quand les parents pensaient que Doom allait transformer leurs enfants en tueurs en série ou que le téléchargement illégal ou l’IA va tuer la création et les artistes.

La réponse cinglante de Flipper Devices ne se fait pas attendre : ils pointent l’absurdité de bannir un outil à 169$ qui ne peut pas faire ce dont on l’accuse, pendant que de vrais outils de vol de voitures (genre les programmeurs de clés à 5000$) circulent librement sur eBay…

Les résultats financiers de Flipper Devices sont stupéfiants pour une entreprise sans investisseurs, sans VCs vampires, sans bullshit corporate : 2021 - 5 millions de dollars de revenus. 2022 - 25 millions de dollars. 2023 - 80 millions de dollars avec 500 000 unités vendues en cette années là. Soit une croissance de 1500% en deux ans, entièrement organique. Comme je vous le disais, pas de VCs, pas de dilution. Juste le crowdfunding initial et des ventes. “C’est du capitalisme old school” : tu vends un produit, tu fais du profit, tu réinvestis. Point.

Le business model est d’une simplicité désarmante. Un prix fixe d’environ 169 dollars (pas de Flipper Zero Pro Max Ultra à 500$), des marges confortables grâce à la production en volume, une distribution directe. Pas de versions multiples pour embrouiller les clients, pas de segmentation marketing. Un produit unique qui fait tout. Apple pourrait apprendre.

2024, après trois ans de développement intensif, la version 1.0 du firmware sort enfin. Les nouveautés sont importantes : support JavaScript pour créer des apps sans connaître le C (pour les noobs), système NFC complètement réécrit avec système de plugins, autonomie d’un mois en veille (mange-toi ça Apple Watch), transfert Bluetooth 2x plus rapide avec Android, support des apps tierces dynamiques. C’est l’aboutissement de trois ans de travail acharné, mais aussi un nouveau départ. Car la v1.0 n’est pas une fin, c’est une nouvelle base pour la communauté.

Plus de 500 000 utilisateurs actifs, des centaines de repositories sur GitHub et tout autant d’apps communautaires, c’est ça, le vrai succès du Flipper Zero. La communauté développe des usages créatifs inattendus comme de l’émulation de cartes d’hôtel pour tester la sécurité (ou entrer dans sa chambre bourré), analyse de protocoles propriétaires d’équipements médicaux (ça fait peur !), reverse engineering de jouets connectés (pourquoi pas), ou encore audit de sécurité de systèmes domotiques (votre frigo connecté est vulnérable).

Le repository awesome-flipperzero liste des centaines de ressources, projets, et modifications. C’est un écosystème vivant qui dépasse largement ce que Pavel et Alex avaient imaginé. Comme Linux, mais en plus fun. Et l’équipe ne s’arrête pas au device de base puisque des modules additionnels sortent régulièrement comme un module WiFi pour l’analyse réseau (pour hacker le WiFi du voisin légalement), une carte SD pour stocker plus de données (tous vos dumps de cartes), des modules GPIO custom pour des projets spécifiques (pour les vrais malades). Une collaboration avec Raspberry Pi est même annoncée pour de nouveaux modules hardware. Le Flipper Zero devient une plateforme, pas juste un gadget.

Dans une interview, Alex Kulagin explique leur vision : “Pour moi, le Flipper Zero est un lanceur d’alerte pour les systèmes de sécurité du monde qui reposent sur de la technologie vieille, médiocre et facilement hackable. […] Ce que Flipper apporte, c’est la prise de conscience que, les gars, ce truc n’est pas sécurisé. Si quelque chose peut être hacké par un jouet à 100$, c’est peut-être trop vieux.”

Et cette philosophie guide tout. Le Flipper Zero n’est pas conçu pour les criminels - ils ont déjà des outils bien plus puissants et ne vont pas attendre qu’un dauphin orange arrive sur Kickstarter. Non, il est conçu pour les chercheurs en sécurité, les étudiants, les curieux afin de démocratiser la compréhension de la sécurité et surtout pour montrer que la sécurité par l’obscurité, c’est de la merde.

Bien sûr, tout n’est pas rose dans le monde merveilleux du dauphin orange. Des voix s’élèvent pour critiquer le Flipper Zero : “C’est un outil pour les script kiddies”, “Ça facilite le hacking malveillant”, “Les vidéos TikTok encouragent des comportements illégaux”…etc. Alors l’équipe répond patiemment…

Sur leur blog, ils expliquent que la majorité des fonctions peuvent être répliquées avec un smartphone et 10$ d’équipement sur AliExpress. Que les vrais criminels n’attendaient pas le Flipper Zero. Que l’éducation à la sécurité passe par la compréhension pratique. Voilà, c’est comme interdire les cours de serrurerie parce que ça pourrait former des cambrioleurs.

Le Flipper Zero a changé la perception du hacking hardware car ce n’est plus réservé à une élite technique avec des outils coûteux et un PhD en électronique. C’est accessible, ludique, mais sérieux. Des universités l’utilisent pour enseigner la sécurité (MIT, Stanford, même la Sorbonne s’y met). Des entreprises l’achètent pour auditer leurs systèmes (cheaper than a consultant). Des hobbyistes découvrent le monde du hardware hacking (et arrêtent de jouer à Candy Crush).

Le design “toy-like” brise les barrières psychologiques car les gens n’ont pas peur d’un Tamagotchi orange. Ils sont curieux, ils veulent comprendre. Et c’est exactement ce que voulaient Pavel et Alex à savoir rendre le hacking moins intimidant, plus accessible. Mission accomplie !!

Dans un tweet récent, Pavel avoue que “C’est encore difficile à croire. Je n’aurais jamais pu imaginer que le projet Flipper Zero atteindrait cette taille.” Et les défis sont encore nombreux du genre comment rester fidèle à l’esprit hacker en devenant mainstream ? Comment naviguer les régulations sans compromettre les fonctionnalités ? Comment scaler sans perdre l’âme du projet et finir comme Arduino (RIP) ?

Les projections pour 2024-2025 suggèrent un dépassement des 100 millions de revenus mais l’argent n’est pas le but. “Je crois en l’open source”, répète Pavel. “Le projet sera complètement ouvert.” Pas de vente à Microsoft ou Google, pas d’IPO foireuse, pas de transformation en corporation sans ame.

C’est de l’authenticité pure et ça paye car Pavel et Alex n’ont jamais caché leurs intentions, leurs valeurs, leurs difficultés. C’est cette transparence qui a créé une confiance inébranlable avec la communauté. Et c’est surtout une preuve que l’open source n’est pas incompatible avec le succès commercial. 80 millions de dollars de revenus avec tout le code sur GitHub, c’est la preuve que le modèle fonctionne, contrairement à ce que racontent certains.

Et les contraintes créent l’innovation… la pénurie de composants, les bannissements, les controverses… chaque obstacle a été transformé en opportunité. Surtout que la communauté est plus importante que le produit. Ce Flipper Zero ne serait rien sans ses 500 000 utilisateurs qui créent, partagent, innovent. Sans oublier que le design compte autant que les fonctionnalités… c’est un dauphin mignon qui a quand même rendu le pentest accessible au grand public.

Je ne l’aurais pas cru à l’époque. Et l’équipe tease régulièrement de nouveaux appareils en laissant entendre que d’autres produits sont en développement. Mais rassurez-vous, la vision reste la même. Démocratiser la compréhension de la technologie tout en donnant aux gens les outils pour comprendre et contrôler leur environnement numérique.

C’est une mission qui dépasse largement le Flipper Zero.

Pavel Zhovner et Alex Kulagin ont créé plus qu’un gadget. Ils ont créé un mouvement. Un mouvement qui dit que la technologie ne devrait pas être une boîte noire. Comme Phil Zimmermann avec PGP, ils ont mis un outil puissant entre les mains du peuple. Et comme Zimmermann, ils font face à l’incompréhension, aux interdictions, aux controverses. Mais ils tiennent bon.

Le succès du Flipper Zero a également inspiré des concurrents tels que HackRF (plus puissant mais moins accessible et coûte un bras), Proxmark (spécialisé RFID mais moins polyvalent), WiFi Pineapple (focus WiFi mais pas portable), mais aucun n’a la combinaison magique du Flipper, accessible, portable, polyvalent, et surtout, fun.

Le Flipper Zero est surtout devenu un symbole inattendu… un mélange de tech ukrainienne innovante (fuck yeah), de résistance à la censure technologique, d’innovation hors des grands centres tech américains, et de la possibilité de succès sans Silicon Valley et ses VCs toxiques. Des gouvernements s’inquiètent, des entreprises tremblent… Et tout ça à cause d’un Tamagotchi créé par deux nerds d’Europe de l’Est.

La créativité de la communauté surprend même les créateurs. Des vétérinaires l’utilisent pour cloner les puces d’animaux perdus, des escape games l’intègrent dans leurs énigmes, des artistes créent des installations interactives, des professeurs l’utilisent pour des démonstrations de physique. Chaque jour, de nouveaux usages émergent et c’est la beauté d’un outil vraiment ouvert.

Et leurs plans pour 2025 sont ambitieux avec de nouveaux modules hardware (ça parle d’un module SDR complet), de l’intégration IA pour l’analyse de protocoles, un marketplace officiel pour les apps, des programmes éducatifs et une expansion internationale. Mais Pavel insiste “L’important n’est pas ce que nous planifions, mais ce que la communauté créera.”

Pavel et Alex pensent en décennies, pas en trimestres comme les commerciaux car le Flipper Zero doit durer 10 ans minimum (construit pour durer), l’écosystème doit survivre aux fondateurs (immortalité du projet), la communauté doit s’auto-organiser (décentralisation), et le projet doit rester pertinent technologiquement (innovation continue). Une vision long terme guide chaque décision… et surtout, pas de quick wins au détriment de la durabilité.

Et ce succès a un prix que peu comprennent car Pavel et Alex ont sacrifié leur anonymat (menaces régulières de tous les camps), leur stabilité (déménagements forcés, merci la guerre), leur vie privée (les médias sur le dos), et leur tranquillité (controverses permanentes sur Twitter), mais ils ne regrettent rien. “C’est le prix de changer le monde”, dit Pavel.

Pavel avoue parfois douter : “Sommes-nous légitimes ? Méritons-nous ce succès ?” Le syndrome de l’imposteur frappe même après 80 millions de revenus mais Alex est plus pragmatique : “On a créé quelque chose dont les gens ont besoin. Le marché a validé. Point.” Cette tension entre doute et confiance nourrit l’humilité de l’équipe et il n’y a pas de grosse tête chez Flipper Devices.

Aujourd’hui, Pavel Zhovner continue de coder depuis Londres et Alex Kulagin négocie avec les usines. Le Flipper Zero n’est pas qu’un gadget. C’est un acte de résistance et un vent de liberté dans un monde où la tech devient de plus en plus fermée.

Faudra faire avec !

Sources : LinkedIn - Pavel Zhovner, Hackaday - Why I started Flipper, GitHub - Zaborona.help, Kickstarter - Flipper Zero Campaign, Flipper Blog - Manufacturing Updates, GitHub - Flipper Zero Firmware, Moscow Neuron Hackspace Study, The Birth of Russia’s Hackerspace Movement, Gizmodo - Flipper Zero Interview, Flipper Zero Firmware 1.0, TechCrunch - M Sales, Hackaday - Canada Ban, BleepingComputer - Amazon Ban, Flipper Zero Official, Awesome Flipper Zero

Hey les scrapers de l’espace là, vous en avez marre de vous battre contre Cloudflare comme si c’était le boss final d’un Dark Souls ? Et bien sûr, vous avez testé Selenium et Playwright mais vos bots se font démasquer plus vite qu’un menteur à l’Assemblée Nationale ? Alors ça tombe bien car j’ai trouvé votre nouveau meilleur ami, et il s’appelle Botasaurus.

Derrière ce nom de dinosaure se cache un framework Python open source, conçu pour le scraping web moderne. Créé par Omkar Cloud, il promet de faire passer vos bots pour des humains plus vrais que nature.

La première chose avec Botasaurus, c’est sa capacité à contourner les protections anti-bot. Il passe notamment la barrière de Cloudflare avec brio mais pas seulement, puisqu’il gère aussi très bien PerimeterX, BrowserScan, Fingerprint Bot Detection, et même les CAPTCHA Turnstile. Le créateur du framework a même publié une vidéo où il contourne tous ces systèmes en live. La grande classe !

Concernant Datadome, il semble cependant galérer encore un peu d’après les retours que j’ai eu.

Ce qui démarque Botasaurus, c’est surtout son approche “humane driver” car au lieu d’utiliser bêtement Selenium ou Playwright, le framework ajoute une couche d’humanisation qui simule des mouvements de souris réalistes, des temps de pause naturels, et même des patterns de navigation qui imitent un vrai utilisateur. Du coup vos bots passent incognito avec du style ^^.

Ce framework permet même d’économiser jusqu’à 97% sur les coûts de proxy. Comment ? Et bien en utilisant des requêtes fetch basées sur le navigateur au lieu de lancer un navigateur complet pour chaque requête. C’est malin et ça fait une sacrée différence sur la facture à la fin du mois.

Pour l’installation, c’est du Python classique :

python -m pip install --upgrade botasaurus

Et voici un exemple simple pour scraper un site :

from botasaurus.browser import browser, Driver

@browser
def scrape_heading_task(driver: Driver, data):
# Visite le site via Google Referrer (pour bypass Cloudflare)
driver.google_get(data['url'])

# Récupère le texte du titre
heading = driver.get_text('h1')

return {"heading": heading}

# Lance le scraping
scrape_heading_task()

Ce décorateur @browser gère automatiquement tout le setup du navigateur, les anti-détections, et même la sauvegarde des résultats en JSON. Comme ça, pas besoin de se prendre la tête avec la configuration.

Et pour les cas où vous avez besoin de contourner du Cloudflare plus agressif, il suffit d’ajouter un paramètre comme ceci :

driver.google_get(url, bypass_cloudflare=True)

D’après les benchmarks de ScrapingAnt, Botasaurus est plus furtif qu’undetected-chromedriver et puppeteer-stealth. C’est dire le niveau de sophistication atteint.

Un autre point fort de Botasaurus, c’est également la possibilité de transformer votre scraper en application desktop. En une journée, vous pouvez créer une app pour Windows, Mac et Linux avec une interface graphique complète. C’est génial, car ça vous éviter d’expliquer à vos clients comment lancer un script Python. Ils ont juste une app sur laquelle double-cliquer.

Le framework inclut aussi un serveur web intégré qui permet de créer une UI pour vos scrapers comme ça, avec quelques lignes de JavaScript, vous pouvez définir des formulaires d’input, des filtres, des exports en CSV/Excel, et même une API REST pour intégrer votre scraper ailleurs.

Ce framework brille donc particulièrement pour tout ce qui est :

• Les sites avec protection Cloudflare basique à modérée
• Le scraping local ou sur VPS avec peu de volume
• La création rapide de scrapers avec UI
• Les projets où l’anti-détection prime sur la performance pure

Par contre, pour du scraping massif à grande échelle ou contre des protections enterprise ultra-sophistiquées, vous devrez probablement combiner Botasaurus avec d’autres outils ou services.

Bref, c’est à tester !

C’est l’histoire d’un couple d’artistes développeurs qui largue les amarres pour vivre sur un voilier dans le Pacifique Nord. Pas de connexion internet stable, pas d’électricité illimitée, juste l’océan et quelques panneaux solaires…

C’est dans ces conditions que Devine Lu Linvega et Rek Bell de 100 Rabbits ont créé Uxn, une machine virtuelle qui tient en 100 lignes de C et qui fait tourner des applications graphiques complètes sur à peu près n’importe quoi, de votre vieille Game Boy Advance à votre Raspberry Pi Pico.

Le truc vraiment génial avec Uxn, c’est qu’elle ne prend que 64KB en RAM. Pour vous donner une idée, c’est environ 65 000 fois moins que ce que Chrome bouffe juste pour afficher cette page. Et pourtant, avec ces 64KB, vous pouvez faire tourner un éditeur de texte complet, un logiciel de dessin, un environnement de livecoding musical, et même des jeux comme Oquonie ou Donsol.

Sorcellerie me direz-vous ? Et bien non, c’est tout à fait possible en revenant aux fondamentaux de l’informatique et en appliquant les principes du permacomputing.

L’idée du permacomputing, c’est de créer des systèmes informatiques résilients et durables. Au lieu de racheter un nouveau PC tous les 3 ans parce que le dernier Windows rame, vous créez des logiciels qui tourneront encore dans 20 ans sur le matériel d’aujourd’hui. C’est une philosophie qui maximise la durée de vie du hardware et minimise la consommation énergétique. Et Uxn incarne parfaitement cette approche.

Pour programmer sur Uxn, vous devez utilise Uxntal, un langage assembleur basé sur une stack machine avec notation postfixe. Par exemple, au lieu d’écrire 3 + 4, vous écrivez 3 4 +. Ça peut paraître bizarre au début, mais c’est redoutablement efficace. Et contrairement à ce qu’on pourrait penser, Uxntal supporte même des concepts avancés comme les fonctions lambda et la programmation fonctionnelle.

Ce qui est vraiment cool avec cet OS, c’est sa portabilité. Le même fichier ROM Uxn peut tourner sur votre PC Linux avec SDL2, sur une Nintendo DS, sur un navigateur web, sur DOS, sur une PlayStation Vita, et même sur des trucs complètement barrés comme un télétypographe ou un STM32. C’est exactement comme les ROMs des vieilles consoles en fait… Vous créez votre programme une fois, et il tourne partout où il y a un émulateur Uxn.

Les applications disponibles sont d’ailleurs impressionnantes. Il y a Left, un éditeur de texte graphique, Noodle qui permet de dessiner, Orca qui est un environnement de livecoding pour créer de la musique, Nasu qui édite des sprites, Turye qui crée des polices de caractères. Et tout ça dans des fichiers de 10 à 15KB maximum.

L’écosystème Uxn est aussi super accessible pour les développeurs. La documentation sur GitHub liste des dizaines d’émulateurs, d’outils et de tutoriels. Il y a même des compilateurs comme Dotal et Funktal qui permettent d’écrire dans des langages de plus haut niveau et de compiler vers Uxntal. La communauté est aussi très active sur IRC (#uxn sur libera.chat) et Discord, et les workshops d’introduction sont excellents pour débuter.

Maintenant, pour installer Uxn sur votre machine, c’est super simple. Sur Linux, vous installez SDL2 (sudo apt install libsdl2-dev sur Ubuntu), vous téléchargez l’émulateur, et vous lancez vos ROMs. Vous pouvez même développer directement sur Uxn avec Bicycle, un REPL interactif, ou Dexe, un éditeur hexadécimal.

Ce que j’adore avec Uxn, c’est que ça remet en question tout ce qu’on considère comme acquis dans le développement moderne. On n’a pas besoin de 8GB de RAM et d’un framework JavaScript de 500MB pour faire une calculatrice. On peut créer des outils puissants et élégants avec des contraintes extrêmes. Et le fait que tout ça vienne de deux personnes vivant sur un bateau, alimentées par de l’énergie solaire, ça rajoute une dimension poétique au projet.

Donc si vous cherchez une alternative radicale à la course à la puissance, si vous voulez explorer ce qu’on peut faire avec des systèmes minimaux, ou si vous êtes juste curieux de voir comment on peut faire tenir un OS complet dans moins de mémoire qu’une photo Instagram, Uxn vaut vraiment le détour.

Car parfois, c’est bon d’en enlever un peu pour retrouver l’essentiel.

Ce serait quoi un monde où les bugs de sécurité se font corriger avant même que les hackers ne les trouvent ? Ce serait plus calme non ? J’écrirais moins sur les failles de sécurité cela dit, mais ça me ferais plus de temps pour chiller dans le hamac. Breeeef, ça va peut-être se produire bientôt car c’est exactement ce que vient de rendre possible Trail of Bits en libérant Buttercup, leur système AI qui a décroché la deuxième place et 3 millions de dollars au challenge AIxCC du DARPA.

Et c’est maintenant open source et ça tourne sur votre laptop.

La tendance actuelle c’est une explosion des vulnérabilités… y’a plus de code produit que jamais, des dépendances partout, et des hackers de plus en plus organisés. Donc les équipes de sécurité sont débordées et passent leur temps à courir après les failles. Heureusement, Buttercup vient inverser complètement la donne en automatisant tout le processus, de la détection au patch.

Ce qui rend ce système spécial, c’est qu’il combine le meilleur des deux mondes. D’un côté, les techniques classiques de cybersécurité comme le fuzzing (bombarder le code avec des entrées aléatoires pour le faire planter) et l’analyse statique. Et de l’autre, sept agents IA différents qui collaborent pour comprendre le contexte, générer des patchs et vérifier qu’ils ne cassent rien d’autre.

Lorsqu’on lui confie une analyse, d’abord, Buttercup lance donc une campagne de fuzzing augmentée par IA sur votre code. Et au lieu de tester bêtement des entrées aléatoires, l’IA apprend quels patterns ont le plus de chances de révéler des bugs. Puis, quand une vulnérabilité est trouvée, le système utilise des outils comme tree-sitter et CodeQuery pour créer un modèle complet du programme et comprendre exactement comment le bug s’intègre dans l’architecture globale.

Et c’est là que ça devient vraiment intéressant car les sept agents IA entrent alors en action, avec chacun avec sa spécialité. L’un analyse le bug, l’autre génère des propositions de patch, un troisième vérifie que le patch ne casse pas les tests existants, et ainsi de suite. Ils se coordonnent tous pour produire un patch normalement robuste qui corrige vraiment le problème sans créer de régression.

Pendant la compétition DARPA à DEF CON 33, Buttercup a impressionné tout le monde. Le système a trouvé et patché des vulnérabilités dans 20 des 25 CWEs les plus dangereux selon MITRE. Et je vous parle de trucs sérieux : buffer overflows, injections SQL, race conditions… Trail of Bits a même reçu le prix “LOC Ness Monster” pour avoir soumis un patch de plus de 300 lignes qui fonctionnait parfaitement.

Ce qui est fou, c’est qu’ils ont obtenu ces résultats en utilisant uniquement des modèles IA moins chers, non-reasoning, et pas les gros modèles de raisonnement ultra-chers. Ça veut dire que c’est accessible pour des projets normaux, pas seulement pour les géants de la tech avec des budgets illimités.

L’installation est vraiment simple pour un outil de cette complexité :

git clone --recurse-submodules https://github.com/trailofbits/buttercup.git
cd buttercup
make setup-local
make deploy-local

Bon, il vous faudra quand même 8 cœurs CPU, 16GB de RAM et environ 100GB d’espace disque. Plus des clés API pour OpenAI ou Anthropic si vous voulez utiliser les fonctionnalités IA. Mais comparé à d’autres outils de sécurité enterprise, c’est vraiment raisonnable. Rassurez-vous aussi, il est possible de fixer un budget maximum en conso API.

Le système supporte actuellement le C et le Java, avec une compatibilité OSS-Fuzz pour s’intégrer facilement dans vos pipelines existants. Il y a même une interface web pour monitorer les tâches en cours et voir exactement ce que fait le système.

Ce qui me plaît vraiment dans ce projet, c’est surtout la philosophie derrière car au lieu de garder cette technologie secrète ou de la vendre hyper cher, Trail of Bits a décidé de tout libérer. Ils ont même créé une version “laptop-friendly” spécialement optimisée pour tourner sur des machines normales, pas juste des clusters de serveurs.

Dans le contexte actuel, c’est une vraie révolution. Google a par exemple montré que son IA peut trouver de nouvelles vulnérabilités dans des projets open source majeurs et Meta développe AutoPatchBench pour standardiser la réparation automatique. Mais Buttercup est le premier système complet, de bout en bout, et open source.

Avec cet outil, des projets open source pourrait se patcher automatiquement et les développeurs pourraient alors se concentrer sur les features au lieu de passer des heures à debugger. Bien sûr, ce n’est pas magique et Buttercup ne remplacera pas les experts en sécurité mais c’est un outil incroyablement puissant qui peut automatiser la partie la plus répétitive et chronophage du travail. Et vu que c’est open source, la communauté peut l’améliorer, l’adapter à ses besoins, créer des plugins…

Donc, si vous bossez dans le dev ou la sécurité, allez jeter un œil au GitHub de Buttercup et qui sait, peut-être qu’un jour on regardera en arrière et on se demandera comment on faisait sans IA pour sécuriser notre code.

Pensez un peu à la tête des publicitaires si chacune de vos recherches web partait dans une direction complètement aléatoire, comme une boule de flipper qui rebondit entre 50 bumpers différents ? Et bien c’est exactement ce que fait Searloc, et vous allez voir, c’est assez malin.

Alexandre, un développeur français visiblement allergique au pistage en ligne, vient de créer quelque chose d’intéressant. Au lieu de chercher directement sur Google ou même DuckDuckGo, son outil vous envoie de manière totalement aléatoire vers l’une des 50 instances publiques SearXNG disponibles.

Ainsi, aucune instance ne voit plus de 2% de vos recherches, comme ça, pour les trackers qui essaient de créer votre profil, c’est comme essayer de reconstituer un puzzle avec seulement 1 pièce sur 50.

Le plus beau dans tout ça, c’est que Searloc fonctionne entièrement côté client. Pas de serveur, pas de base de données, pas de logs. Juste du JavaScript qui tourne dans votre navigateur et qui tire au sort votre prochaine destination. Je trouve que c’est vraiment une excellente approche de ne pas avoir de serveur fixe, car ça élimine complètement le point de centralisation.

Pour ceux qui ne connaissent pas, SearXNG est un métamoteur qui peut interroger jusqu’à 248 services de recherche différents sans jamais transmettre votre IP ou vos cookies aux moteurs sous-jacents. C’est déjà pas mal niveau privacy, mais le problème c’est que si vous utilisez toujours la même instance, l’administrateur pourrait théoriquement reconstituer votre historique de recherche. Avec Searloc, ce risque disparaît puisque vos recherches sont éparpillées façon puzzle.

L’outil propose quelques fonctionnalités sympa. Par exemple, si les résultats ne vous conviennent pas, tapez simplement “!!” et hop, votre recherche repart sur une autre instance aléatoire. Les bangs (ces raccourcis qui commencent par “!!”) sont gérés localement, donc même vos recherches spécialisées restent privées. Et pour les maniaques du contrôle, vous pouvez même ajouter vos propres instances SearXNG personnelles dans les paramètres.

Faut quand même dire que les alternatives privacy-first comme Startpage, Brave Search ou Qwant se multiplient face à l’appétit insatiable de Google pour nos données, mais là où ces services restent centralisés (même s’ils promettent de ne pas vous tracker… vous savez qui engage ce genre de promesse…), Searloc pousse la logique encore plus loin en décentralisant complètement le point d’entrée.

Maintenant, pour l’utiliser, rien de plus simple. Rendez-vous sur searloc.org et vous tapez votre recherche. L’interface reprend automatiquement vos préférences de thème et de langue pour les transmettre à l’instance SearXNG sélectionnée.

Et le code source est disponible sur Codeberg sous licence MIT, donc les paranos qui on du temps libre peuvent vérifier qu’il n’y a pas d’entourloupe.

Voilà, ce qui me plaît dans cette approche, c’est surtout qu’elle résout élégamment le dilemme de la privacy où soit vous faites confiance à un service centralisé qui promet de ne pas vous tracker (mais qui reste un point unique de défaillance), soit vous auto-hébergez votre instance (mais c’est technique et votre IP reste visible pour les sites que vous visitez). Searloc trouve ainsi un juste milieu en distribuant le risque sur des dizaines d’instances différentes.

Alors oui, c’est vrai, parfois vous tomberez sur une instance un peu lente ou qui affichera des captchas parce qu’elle a été trop sollicitée mais c’est un léger inconvénient de cette décentralisation. Parce qu’entre ça et laisser Google construire un profil psychologique détaillé de toutes vos interrogations existentielles à 3h du mat’, le choix est vite fait.

Merci à Alexandre d’avoir partagé son projet avec moi !

Pendant que tout le monde s’excite sur le Web3 et les cryptos, un mouvement bien plus intéressant construit tranquillement le futur d’Internet depuis 2010. Et devinez quoi, y’a pas besoin de blockchain pour reprendre le contrôle de vos données.

Ce mouvement, c’est l’IndieWeb, et l’idée de base c’est de refaire du web comme dans les années 90 où au lieu de publier vos contenus sur Facebook, Twitter ou Instagram, vous les publiez d’abord sur VOTRE site, puis vous les partagez ailleurs si vous voulez.

Alors oui, je sais ce que vous allez me dire : “Mais c’est exactement ce que tu fais depuis des années avec ton site !”. Et vous avez raison, je pratique les principes de l’IndieWeb depuis le début car mon site, c’est mon espace à moi, où je contrôle tout, et où personne ne peut me censurer ou supprimer mes articles parce qu’un algorithme a décidé que ça ne collait pas avec la politique du moment. D’ailleurs, si vous fouillez dans mes archives, vous verrez que les articles qui datent de plus de 20 ans sont toujours accessibles.

L’IndieWeb repose donc sur 3 principes fondamentaux qui vont vous parler. D’abord, votre contenu vous appartient. Ça paraît con dit comme ça, mais quand vous publiez sur Facebook, légalement, ils peuvent faire ce qu’ils veulent avec. Ils peuvent le supprimer, le monétiser, l’utiliser pour entraîner leurs IA… Ensuite, vous êtes connecté. Grâce à des protocoles comme les Webmentions (l’équivalent moderne des trackbacks pour les vieux comme moi), votre site peut recevoir des réactions d’autres sites, créant un vrai réseau décentralisé. Et enfin, vous avez le contrôle total : design, format, longueur… Vous n’êtes plus limité par les 280 caractères de Twitter ou le format carré d’Instagram.

Le truc vraiment cool avec l’IndieWeb, c’est qu’ils ont pensé à tout. Ils ont par exemple créé le concept de POSSE : Publish on your Own Site, Syndicate Elsewhere. En gros, vous publiez sur votre site, puis des outils comme Bridgy vous permettent de partager automatiquement sur les réseaux sociaux. Et les réactions sur ces réseaux peuvent ensuite être rapatriées sur votre site. C’est le meilleur des deux mondes.

Et ce mouvement fait une distinction intéressante entre le “Big Web” et le “Small Web”. Le Big Web, c’est ce qu’on connaît tous : les GAFAM qui vous transforment en produit, qui surveillent vos moindres faits et gestes, qui décident de ce que vous devez voir. Aral Balkan, un des penseurs du mouvement, compare même ça à de “l’élevage industriel d’humains”. Glauque…

Et le Small Web, c’est l’opposé. C’est votre serveur, votre domaine, vos règles. Pas de concept “d’utilisateurs”, on parle de “personnes”. Chaque site est unique, reflète la personnalité de son propriétaire. Bref, c’est le retour du web créatif des années 90/2000, mais avec les technologies modernes.

Pour cela, l’IndieWeb utilise des technologies simples et éprouvées. Les microformats pour structurer vos données, les Webmentions pour les interactions, Micropub pour publier depuis n’importe quelle app… Tout est basé sur des standards ouverts que n’importe qui peut implémenter.

Ce qui est marrant, c’est que la communauté IndieWeb a une position assez cash sur le Web3. Pour eux, c’est juste du marketing pour faire passer la pilule blockchain et ils rappellent à qui veut bien les écouter que le web est DÉJÀ décentralisé par nature, et que si on a perdu cette décentralisation, c’est pas un problème technique mais socio-économique. Pas besoin donc de réinventer la roue avec des tokens et des smart contracts.

En 2025, le mouvement commence vraiment à prendre de l’ampleur notamment avec l’explosion du Fediverse (Mastodon, Pixelfed, etc.). De plus en plus de gens comprennent l’intérêt de posséder leurs données et des outils comme Bridgy Fed permettent maintenant à votre site IndieWeb de communiquer directement avec Mastodon via ActivityPub. D’ailleurs, Bridgy Fed vient tout juste de devenir une organisation à but non lucratif pour pérenniser le projet. Votre blog devient littéralement une instance Mastodon à lui tout seul !

Maintenant, c’est sûr que l’IndieWeb, c’est pas pour Grand-Mamie Ginette qui veut juste voir les photos de ses petits-enfants. Ça demande un minimum de compétences techniques comme avoir son domaine, installer un CMS ou coder son site, comprendre les bases du HTML… Mais pour tous ceux qui ont déjà ces compétences ou ceux qui veulent en apprendre de nouvelles, c’est vraiment la voie à suivre.

Pour ma part, avec Korben.info, si demain Twitter disparaît (pardon, X), tous mes articles seront toujours là. Par contre, je dois avouer que je n’ai pas encore implémenté les Webmentions ou la syndication automatique mais ce sera peut-être un projet pour mes prochaines vacances ? Là, je suis trop occupé à rédiger mes articles sur les hackers pour le moment, mais c’est hyper inspirant.

Bref, l’IndieWeb, c’est à mon sens un vrai mouvement de résistance du web. Pendant que les corporations essaient de tout centraliser, que les gouvernements veulent tout surveiller, et que les cryptobros veulent tout financiariser, l’IndieWeb propose simplement de revenir aux fondamentaux : un web de personnes qui partagent leurs passions sur leurs propres espaces.

Donc si vous voulez vous lancer, commencez simple. Prenez un nom de domaine, installez un WordPress ou un Ghost, et commencez à publier. Rejoignez les discussions sur IndieWeb.org, participez aux IndieWebCamps… Et surtout, amusez-vous ! Parce que c’est ça l’essence du web : créer, partager, s’exprimer librement.

Alors oui, on sera toujours loin du million d’utilisateurs de TikTok ou d’Insta, mais franchement, est-ce que c’est vraiment ça l’objectif ? Moi je préfère mille fois avoir mon petit espace sur le web où je fais ce que je veux plutôt que d’être un numéro de plus dans la ferme de données de Meta.

Alors, prêts à reprendre le contrôle de votre présence en ligne ?

Si vous avez toujours voulu fouiller le dark web sans y passer 3 heures à chercher dans le noir, j’ai déniché un outil Python qui fait le boulot pour vous : Darkdump.

Créé par Josh Schiavone, Darkdump est une interface OSINT (Open Source Intelligence) qui permet de mener des investigations sur le deep web. En gros, vous tapez un mot-clé, et l’outil va scraper les sites .onion correspondants pour en extraire des emails, des métadonnées, des mots-clés, des images, des liens vers les réseaux sociaux, et j’en passe.

Darkdump utilise Ahmia.fi (un moteur de recherche pour le dark web) pour trouver les sites .onion pertinents, puis il les scrape quand vous êtes connecté via Tor. Bref, c’est Google pour le dark web, en ligne de commande et avec des super-pouvoirs.

Pour l’installer, rien de plus simple :

git clone https://github.com/josh0xA/darkdump
cd darkdump
python3 -m pip install -r requirements.txt
python3 darkdump.py --help

Mais attention, avant de vous lancer, il faut configurer Tor correctement. Sur Linux ou Mac, installez Tor (sudo apt install tor ou brew install tor), puis éditez votre fichier /etc/tor/torrc pour ajouter :

ControlPort 9051
HashedControlPassword [VotreMotDePasseHashé]

Pour générer le hash du mot de passe, utilisez tor --hash-password "mon_mot_de_passe". Ensuite, démarrez le service Tor et vous êtes prêt à explorer les profondeurs du web.

Ce qui est cool avec Darkdump, c’est sa flexibilité. Vous pouvez l’utiliser de plusieurs façons. Voici quelques exemples données dans la doc officielle :

• Rechercher 10 liens et scraper chaque site : python3 darkdump.py -q "hacking" -a 10 --scrape --proxy
• Juste récupérer 25 liens sans scraper (pas besoin de Tor) : python3 darkdump.py -q "free movies" -a 25
• Chercher et télécharger les images : python3 darkdump.py -q "marketplaces" -a 15 --scrape --proxy -i

L’outil peut extraire pas mal de trucs intéressants comme des documents (PDF, DOC, XLS, PPT…), des adresses email, des métadonnées, et même des liens vers des profils de réseaux sociaux. C’est super pour les chercheurs en sécurité ou encore les journalistes d’investigation.

Maintenant, parlons un peu d’Ahmia.fi, le moteur qui fait tourner tout ça. Contrairement à ce qu’on pourrait croire, vous n’avez pas besoin de Tor pour accéder à l’interface d’Ahmia… vous pouvez y aller directement depuis votre navigateur normal. Par contre, pour visiter les sites .onion qu’il trouve, là il vous faudra Tor Browser.

Le moteur de recherche Ahmia

Ce qui est bien avec Ahmia, c’est qu’ils filtrent le contenu illégal comme ça c’est pas le far west total. Ils essaient tant bien que mal de garder ça propre et légal.

En 2025, Ahmia reste donc l’un des moteurs de recherche du dark web les plus fiables, aux côtés de Torch, DuckDuckGo (version Tor), Haystak et Not Evil. Chacun a ses spécificités, mais Ahmia reste le préféré pour sa politique de filtrage du contenu illégal.

Bon, évidemment, je dois faire mon speech de prévention et Josh Schiavone lui-même précise : Il n’est pas responsable de l’utilisation que vous faites de son outil. Ne l’utilisez donc pas pour naviguer sur des sites illégaux selon les lois de votre pays. C’est un outil pour la recherche légitime, l’OSINT, la cybersécurité, pas pour faire n’importe quoi.

D’ailleurs, petite anecdote, la v3 de Darkdump a été mise à jour récemment, et apparemment il y a même des forks qui commencent à apparaître avec des mises à jour complètes. La communauté OSINT est active sur ce projet, ce qui est bon signe pour sa pérennité. Voilà, donc pour ceux qui veulent aller plus loin dans l’OSINT sur le dark web, Darkdump n’est qu’un logiciel parmi d’autres et fait partie d’une boîte à outils plus large qui comprend des trucs comme OnionScan, TorBot, ou encore Dark Web OSINT Tools. Mais pour débuter, c’est vraiment l’un des plus simples et des plus efficaces.

Ça ne transformera pas le dark web en votre terrain de jeu, mais au moins vous verrez où vous mettez les pieds. Et dans un monde où l’information est de plus en plus fragmentée et cachée, c’est pratique, mais souvenez-vous, avec un grand pouvoir vient une grande responsabilité donc utilisez-le à bon escient !

A découvrir ici !

Most robots today look like they belong in a factory or a science fiction movie, with their cold metal frames and intimidating mechanical movements that make you think twice about getting too close. There’s something inherently off-putting about the way most robotic designs prioritize function over approachability, creating machines that feel more like tools than companions, even when they’re supposed to help us in our daily lives.

That’s what makes Reachy Mini such a refreshing departure from the typical robotics playbook. This compact desktop robot from Hugging Face feels more like a curious pet than a piece of industrial equipment, with its expressive LED eyes and animated antennas that give it genuine personality. At just 11 inches tall and weighing 3.3 pounds, it’s sized more like a stuffed animal than a traditional robot.

Designer: Hugging Face, Pollen Robotics

Hugging Face, the machine learning platform often called “the GitHub of AI” for its vast community of developers sharing AI models and datasets, has taken its first step into physical robotics with this charming little companion. The company’s open-source, community-driven philosophy translates beautifully into hardware, creating a robot that’s designed to be modified, customized, and shared rather than locked down by proprietary restrictions.

The design itself is surprisingly endearing, with two animated antennas that move expressively and a head that can rotate with six degrees of freedom, giving Reachy Mini an almost pet-like quality. When it goes into sleep mode, it actually shrinks down to about 9 inches tall, which adds to its charm in a way that most tech products completely miss. The wide-angle camera and 5W speaker are integrated so seamlessly that they don’t disrupt the friendly aesthetic.

What’s particularly clever about Reachy Mini is how it comes as a kit with 3D-printable components, making customization not just possible but encouraged. You can choose between a Lite version for $299 that connects to your computer, or the full autonomous version with a Raspberry Pi 5 that can operate independently. The fact that everything is open-source means you’re not just buying a robot, you’re joining a community of makers who share modifications and improvements.

The AI integration is where things get really interesting, though. Reachy Mini taps directly into Hugging Face’s ecosystem of AI models, giving it conversational abilities, object recognition, and even emotional expression that feels surprisingly natural. You can have actual conversations with it, use it as a coding tutor, or even turn it into an interactive art project, all through simple Python programming that’s accessible to beginners.

Of course, there are some practical considerations to keep in mind. The early development phase means you’re essentially becoming a beta tester, and the full autonomous version won’t ship until fall 2025 at the earliest. The Lite version, arriving late summer 2025, requires a tethered connection to your computer, which limits its mobility somewhat.

The educational potential here is enormous, particularly for STEM programs where students can learn programming, AI, and robotics through hands-on experimentation rather than abstract theory. The growing community around Reachy Mini is already sharing projects, modifications, and educational resources that make advanced robotics accessible to everyone, not just engineering students.

Reachy Mini succeeds because it understands that the future of robotics isn’t about creating more sophisticated machines, but about making technology more human-centered and approachable. By combining expressive design with open-source accessibility, it proves that the most innovative robots might just be the ones that feel less like robots and more like companions we actually want to spend time with.

The post Open-Source Robot Reachy Mini Brings AI to Your Desktop first appeared on Yanko Design.

Vous jonglez entre Firefox, Chrome et trois autres navigateurs, et vos favoris sont éparpillés partout ? Gosuki vient de sortir et c’est exactement l’outil qu’il vous faut ! Il s’agit d’un gestionnaire de bookmarks qui surveille TOUS vos navigateurs en temps réel, sans extension ni cloud.

Développé par blob42, ce projet open source règle un problème qu’on a tous à savoir l’impossibilité de gérer efficacement ses favoris quand on utilise plusieurs navigateurs. Et entre nous, qui n’a pas Firefox pour le perso, Chrome pour le boulot, et peut-être Qutebrowser pour faire le geek ?

Vous en avez marre de Google News, de ses bulles de filtre et de ses articles de merde écrit par IA ? Et bien sachez qu’il y a un mec en France qui a développé Meta-Press.es, un moteur de recherche de presse décentralisé qui tourne directement dans votre Firefox. Zéro tracking, zéro pub, et ça cherche dans 900 journaux d’un coup.

Simon Descarpentries, développeur basé dans les Deux-Sèvres et patron de la société de services en logiciels libres Acoeuro, a pondu cette extension après avoir bossé pendant 5 ans sur les revues de presse pour La Quadrature du Net et le résultat est bluffant.

Attention les nostalgiques ! Si vous avez grandi dans les années 90 avec un PC sous Windows 95 et que vous étiez fan de LEGO, y’a de fortes chances que vous ayez passé des heures sur LEGO Island. Ce jeu culte de 1997 où on incarnait Pepper Roni, le livreur de pizzas le plus cool de l’île, vient de recevoir une seconde jeunesse grâce au projet isle-portable.

Pour ceux qui ne connaissent pas, LEGO Island c’était LE jeu en monde ouvert avant l’heure. On pouvait se balader librement sur une île peuplée de personnages loufoques qui se démontaient dans tous les sens pour nous faire marrer. Entre les courses de jet-ski, les missions de dépannage et la fameuse poursuite en hélicoptère où on balançait des pizzas sur le méchant Brickster (oui, des pizzas, le truc qui l’avait aidé à s’échapper), c’était du grand n’importe quoi mais qu’est-ce qu’on adorait ça !

Si votre site web est devenu le buffet à volonté préféré des bots de sociétés IA, débarquant par milliers, se servant dans votre bande passante et repartant sans même dire vous laisser un mot sur l’oreiller, alors j’ai une solution pour vous ! Ça s’appelle Anubis, et c’est un outil qui vérifie si vos visiteurs sont de vrais humains ou des aspirateurs à données déguisés.

Car oui, personne n’est épargné ! Par exemple, le bon vieux site kernel.org a dû mettre en place une protection contre ces scrapers qui menaçaient sa disponibilité et ce n’est pas un cas isolé. Codeberg, ScummVM, FreeCAD et même certains sites de l’ONU ont adopté la même solution pour rester en ligne face à cette nouvelle forme de DDoS “légitime”.

Microsoft has officially open-sourced the Windows Subsystem for Linux (WSL), marking a significant milestone in the evolution of Windows as a developer-friendly platform. This move allows developers to access, modify, and contribute to the WSL codebase, encouraging a more collaborative and transparent development environment. Microsoft open-sources Windows Subsystem for Linux, ushering in a new era […]

The post Microsoft open-sources Windows Subsystem for Linux appeared first on TheWindowsClub News.

Je suis content d’avoir investi dans un Mac Studio pour faire tourner des modèles IA un peu plus balèzes du coup, je surveille un peu ce qui sort en ce moment comme modèles, notamment pour coder, et voilà que la famille de modèles Qwen3 vient d’être officiellement lancée, et franchement, ça a l’air plutôt pas mal ! Surtout si vous aimez jouer avec du LLM sans passer par les API payantes de géants de la tech comme OpenAI.

Marre de laisser Google fouiller dans vos mails comme un chat de gouttière dans une poubelle ? Envie de claquer la porte au nez de Microsoft 365 tout en gardant des outils collaboratifs cools ? Alors c’est l’heure d’installer Carbonio CE, votre serveur de mail badass et open source qui fait tout ce que les géants du web font, mais chez vous et sans vous stalker!