Imaginez un instant que soyez contrebandier de puces électroniques… Vous venez de recevoir un serveur Dell flambant neuf bourré de puces Nvidia H100 que vous comptez évidemment revendre à prix d’or sur le marché chinois.

Alors vous ouvrez le carton, pour inspecter minutieusement chaque recoin du paquet et là, Ô surprise, vous trouvez un petit boîtier de la taille d’un smartphone bien caché dans l’emballage. Félicitations !! Vous venez de vous faire griller par l’Oncle Sam !

Cette histoire n’est pas tirée d’un film d’espionnage de mon cerveau torturé mais bien de la réalité car selon Reuters, les autorités américaines ont placé secrètement des trackers GPS dans certaines livraisons de puces IA qu’elles considèrent à haut risque de détournement vers la Chine.

Et apparemment, ça fonctionne plutôt bien puisque deux ressortissants chinois ont été arrêtés début août pour avoir tenté d’exporter illégalement pour des dizaines de millions de dollars de puces Nvidia vers l’Empire du Milieu.

Et le niveau de sophistication de l’opération est top, car les trackers ne sont pas juste collés sur les cartons. Dans un cas documenté datant de 2024, les autorités ont carrément placé plusieurs types de dispositifs. A la fois des gros trackers visibles sur les boîtes d’expédition pour le suivi basique, et des plus petits, bien planqués dans l’emballage voire directement dans les serveurs eux-mêmes. C’est malin !!

Mais ces contrebandiers ne sont pas dupes non plus. On peut lire par exemple dans les documents judiciaires, que l’un des accusés avait prévenu son complice : “Fais attention de bien chercher s’il y a un tracker dessus, tu dois regarder attentivement”. Ces types passent leur temps à démonter des serveurs Dell et Super Micro pour vérifier qu’il n’y a pas de mouchard caché quelque part… Bref, ce sont devenu des champions au jeu du chat et de la souris avec les autorités.

Bien sûr cette pratique n’est pas nouvelle du tout. Les États-Unis utilisent des trackers pour surveiller les exportations sensibles depuis des décennies. En 1985 déjà, Hughes Aircraft avait vu ses équipements interceptés par les douanes américaines qui y avaient installé un dispositif de localisation. Sauf qu’à l’époque, on parlait de pièces d’avion, pas de puces IA capables de faire tourner des LLM.

Et l’ampleur de ce trafic est vertigineuse. Malgré les restrictions imposées depuis 2022, au moins 1 milliard de dollars de puces Nvidia auraient été introduites illégalement en Chine rien qu’au cours des trois derniers mois. Les contrebandiers passent par la Malaisie, Singapour ou les Émirats arabes unis pour brouiller les pistes. C’est un vrai business qui rapporte gros quand on sait qu’une seule puce H100 peut se négocier plusieurs dizaines de milliers de dollars au marché noir.

Et pendant ce temps, la tension monte entre Pékin et les fabricants de puces. Le 31 juillet dernier, l’administration chinoise du cyberespace a convoqué Nvidia pour lui demander des explications sur les risques de “backdoors” dans ses puces H20. Les Chinois craignaient que les Américains puissent désactiver à distance leurs précieux processeurs ou les utiliser pour les espionner. Nvidia a bien sûr démenti catégoriquement (What else !?), expliquant que mettre des backdoors dans des puces serait un cadeau fait aux hackers et aux acteurs hostiles et que ça mettrait à risque l’infrastructure numérique mondiale.

Au milieu de ce bras de fer géopolitique, les entreprises comme Dell et Super Micro se retrouvent donc coincées. Dell affirme ne pas être au courant de cette initiative gouvernementale de tracking, tandis que Super Micro refuse de commenter ses “pratiques et politiques de sécurité”. Nvidia et AMD, eux, préfèrent ne pas répondre du tout. On les comprend, c’est un sujet sensible…

Cette histoire de trackers dans les puces révèle surtout l’absurdité de la situation actuelle car d’un côté, les États-Unis tentent désespérément d’empêcher la Chine d’accéder aux technologies d’IA les plus avancées. Et de l’autre, la demande chinoise est tellement forte que des réseaux entiers de contrebande se sont organisés pour contourner l’embargo.

Le pire c’est que les autorités américaines envisagent maintenant d’obliger les fabricants à intégrer directement des systèmes de localisation DANS leurs puces. Oui, oui… Vous vous doutez, c’est une proposition qui fait bondir l’industrie, car elle créerait une vulnérabilité permanente dans le hardware. Comme l’a dit David Reber, le responsable sécurité de Nvidia, intégrer un kill switch dans une puce, serait “une invitation ouverte au désastre”, et je suis assez d’accord avec lui.

Bref, bon courage aux chinois ^^

Moi, j’adore quand quelqu’un fabrique un truc juste parce qu’il en a envie, sans business plan, sans pitch deck, sans lever de fonds. Juste un dev, son clavier, et l’envie de créer.

Et bien c’est exactement ce qui s’est passé avec MkEditor, et ça fait du bien !

Le créateur de MkEditor (qui se décrit lui-même comme “un peu timide pour partager ses créations”) a passé plusieurs années à maintenir cet éditeur Markdown qui respecte les specs CommonMark.

Pourquoi ?

Et bien pas pour concurrencer Obsidian ou Typora. Pas pour devenir la prochaine licorne de la tech. Non, non, juste parce qu’il voulait comprendre comment VSCode fonctionnait en détail. Et ce qu’il nous a pondu, c’est un éditeur qui utilise Monaco Editor de Microsoft, le même moteur qui fait tourner VSCode.

Alors oui, on va me dire “mais Korben, il existe déjà 50 éditeurs Markdown”. C’est vrai et ces éditeurs ont su se rendre incontournables pour les développeurs et les équipes. Obsidian cartonne avec son graph view, Typora fait toujours rêver avec son rendu en temps réel. Mais MkEditor a quelque chose de différent : Il ne cherche pas à révolutionner quoi que ce soit. Il fait juste très bien ce qu’il fait.

L’outil embarque des fonctionnalités plutôt sympas. D’abord, vous avez un split screen redimensionnable avec synchronisation du scroll entre l’éditeur et la preview. Ensuite, des raccourcis clavier personnalisables pour formater votre texte ou insérer des blocs de code. Et il y a même de l’autocomplétion pour les langages dans les code blocks, exactement comme dans VSCode.

Ce qui est bien pensé aussi, c’est l’export HTML. Vous pouvez comme ça générer du HTML brut ou une version stylée avec Bootstrap et FontAwesome directement injectés dans le <head>. Pratique quand vous voulez partager un document qui a de la gueule sans vous prendre la tête avec le CSS. Les paramètres sont configurables soit via l’interface, soit directement dans un fichier settings.json pour les puristes du terminal.

Le truc cool aussi, c’est qu’il y a la palette de commandes de VSCode. Vous tapez Ctrl+Shift+P (ou Cmd+Shift+P sur Mac) et boom, vous avez accès à toutes les commandes. Pour ceux qui vivent dans VSCode, c’est comme retrouver ses pantoufles.

Et si vous ne voulez pas installer l’application desktop (disponible en Electron pour Windows, Linux et macOS), vous pouvez tester directement la version web en cliquant ici. Pas de compte à créer, pas de données à fournir, vous arrivez et vous écrivez. C’est chouette non, à une époque où chaque app veut votre mail, votre 06 et votre groupe sanguin.

Le développeur l’avoue lui-même dans son post… il a créé MkEditor juste parce qu’il en avait envie, sans cas d’usage particulier, juste pour le plaisir de construire quelque chose. C’est cette philosophie qui résume tout ce que j’aime dans l’open source.

Le projet est donc sur GitHub si vous voulez contribuer ou juste jeter un œil au code. Le dev accepte les feedbacks et les rapports de bugs, toujours avec cette modestie qui caractérise les vrais artisans du code.

Alors non, MkEditor ne va pas détrôner les géants du Markdown et il ne va pas lever 10 millions (enfin, quoique, on ne sait jamais dans la vie…). Il n’aura peut-être même pas sa propre conférence annuelle, mais il existe, il fonctionne bien, et il est gratuit.

Hey les scrapers de l’espace là, vous en avez marre de vous battre contre Cloudflare comme si c’était le boss final d’un Dark Souls ? Et bien sûr, vous avez testé Selenium et Playwright mais vos bots se font démasquer plus vite qu’un menteur à l’Assemblée Nationale ? Alors ça tombe bien car j’ai trouvé votre nouveau meilleur ami, et il s’appelle Botasaurus.

Derrière ce nom de dinosaure se cache un framework Python open source, conçu pour le scraping web moderne. Créé par Omkar Cloud, il promet de faire passer vos bots pour des humains plus vrais que nature.

La première chose avec Botasaurus, c’est sa capacité à contourner les protections anti-bot. Il passe notamment la barrière de Cloudflare avec brio mais pas seulement, puisqu’il gère aussi très bien PerimeterX, BrowserScan, Fingerprint Bot Detection, et même les CAPTCHA Turnstile. Le créateur du framework a même publié une vidéo où il contourne tous ces systèmes en live. La grande classe !

Concernant Datadome, il semble cependant galérer encore un peu d’après les retours que j’ai eu.

Ce qui démarque Botasaurus, c’est surtout son approche “humane driver” car au lieu d’utiliser bêtement Selenium ou Playwright, le framework ajoute une couche d’humanisation qui simule des mouvements de souris réalistes, des temps de pause naturels, et même des patterns de navigation qui imitent un vrai utilisateur. Du coup vos bots passent incognito avec du style ^^.

Ce framework permet même d’économiser jusqu’à 97% sur les coûts de proxy. Comment ? Et bien en utilisant des requêtes fetch basées sur le navigateur au lieu de lancer un navigateur complet pour chaque requête. C’est malin et ça fait une sacrée différence sur la facture à la fin du mois.

Pour l’installation, c’est du Python classique :

python -m pip install --upgrade botasaurus

Et voici un exemple simple pour scraper un site :

from botasaurus.browser import browser, Driver

@browser
def scrape_heading_task(driver: Driver, data):
# Visite le site via Google Referrer (pour bypass Cloudflare)
driver.google_get(data['url'])

# Récupère le texte du titre
heading = driver.get_text('h1')

return {"heading": heading}

# Lance le scraping
scrape_heading_task()

Ce décorateur @browser gère automatiquement tout le setup du navigateur, les anti-détections, et même la sauvegarde des résultats en JSON. Comme ça, pas besoin de se prendre la tête avec la configuration.

Et pour les cas où vous avez besoin de contourner du Cloudflare plus agressif, il suffit d’ajouter un paramètre comme ceci :

driver.google_get(url, bypass_cloudflare=True)

D’après les benchmarks de ScrapingAnt, Botasaurus est plus furtif qu’undetected-chromedriver et puppeteer-stealth. C’est dire le niveau de sophistication atteint.

Un autre point fort de Botasaurus, c’est également la possibilité de transformer votre scraper en application desktop. En une journée, vous pouvez créer une app pour Windows, Mac et Linux avec une interface graphique complète. C’est génial, car ça vous éviter d’expliquer à vos clients comment lancer un script Python. Ils ont juste une app sur laquelle double-cliquer.

Le framework inclut aussi un serveur web intégré qui permet de créer une UI pour vos scrapers comme ça, avec quelques lignes de JavaScript, vous pouvez définir des formulaires d’input, des filtres, des exports en CSV/Excel, et même une API REST pour intégrer votre scraper ailleurs.

Ce framework brille donc particulièrement pour tout ce qui est :

• Les sites avec protection Cloudflare basique à modérée
• Le scraping local ou sur VPS avec peu de volume
• La création rapide de scrapers avec UI
• Les projets où l’anti-détection prime sur la performance pure

Par contre, pour du scraping massif à grande échelle ou contre des protections enterprise ultra-sophistiquées, vous devrez probablement combiner Botasaurus avec d’autres outils ou services.

Bref, c’est à tester !

Si vous possédez un NAS Synology et que vous aimez mettre les mains dans le cambouis, faut absolument que vous lisiez cet article. Car vous avez déjà forcement connu ce moment hyper frustrant où vous voulez juste lancer un nano ou un htop sur votre NAS et… rien ? En effet, le terminal Synology est plutôt spartiate de base. Heureusement, SynoCommunity vient à votre rescousse avec ses packages SynoCli qui permet d’ajouter de nouveaux outils indispensables sur votre NAS.

Alors SynoCommunity, c’est donc une communauté open source qui maintient plus de 130 packages tiers pour Synology DSM. Des applications comme Transmission, SickRage, ou même Home Assistant, mais aujourd’hui, j’aimerai surtout qu’on se concentre sur leurs 7 packages SynoCli qui regroupent plus de 110 outils en ligne de commande. Ça va vous permettre d’installer tout un arsenal d’utilitaires Linux d’un seul coup, sans vous prendre la tête avec les compilations croisées.

La beauté du truc, c’est que tout passe par le Package Center de votre Synology. Pas besoin de SSH, pas de risque de casser votre système, et surtout, tout reste proprement géré par DSM. Si vous mettez à jour votre NAS ou que vous voulez désinstaller, tout se fait proprement.

Bon, trêve de blabla, passons maintenant aux choses sérieuses : ✨l’installation✨.

D’abord, il faut ajouter le dépôt SynoCommunity à votre Package Center. Pour cela, connectez-vous à votre DSM, allez dans le Package Center, puis dans les Paramètres. Et dans l’onglet Sources de paquets, cliquez sur Ajouter et entrez :

• Nom : SynoCommunity
• Emplacement : https://packages.synocommunity.com/

Validez, et voilà, vous avez maintenant accès à tout le catalogue SynoCommunity dans l’onglet Communauté de votre Package Center.

Maintenant, cherchez “SynoCli” dans le Package Center. Vous allez alors tomber sur 7 packages différents, chacun ayant sa spécialité. Voici ce que contient chaque package :

• SynoCliNet pour le réseau : vous avez nmap (l’outil de scan réseau par excellence), tmux et screen pour gérer vos sessions SSH, mtr pour diagnostiquer les problèmes réseau, rsync pour vos synchronisations, et même sshfs pour monter des systèmes de fichiers distants. La version actuelle inclut aussi telnet, whois et dig.
• SynoCliFile pour la gestion de fichiers : c’est le package star avec nano et micro pour éditer vos fichiers, tree pour visualiser l’arborescence, fzf (le fuzzy finder qui change la vie), ripgrep pour des recherches ultra-rapides, bat (un cat avec coloration syntaxique), et même Midnight Commander pour ceux qui ont la nostalgie de Norton Commander. Les dernières versions incluent aussi eza et lsd, des alternatives modernes à ls.
• SynoCliMonitor pour surveiller votre système : htop évidemment (parce que top c’est has-been), iotop pour voir qui bouffe votre disque, iperf pour tester votre bande passante, et même bandwhich pour visualiser en temps réel qui utilise votre réseau. Les amateurs d’SNMP seront ravis de trouver les outils net-snmp inclus.
• SynoCliDevel pour les développeurs : automake, autoconf, make, gdb pour débugger, pkg-config, et même strace pour tracer les appels système. Parfait si vous voulez compiler des trucs directement sur votre NAS.
• SynoCliDisk pour gérer vos disques : testdisk pour récupérer des partitions perdues, ncdu pour voir ce qui prend de la place (en mode interactif), smartmontools pour surveiller la santé de vos disques, et ddrescue si vous devez récupérer des données d’un disque mourant.
• SynoCliKernel pour les modules kernel : celui-là est plus spécialisé, avec des modules pour l’USB série et les tuners TV. Utile si vous branchez des périphériques exotiques sur votre NAS.
• SynoCliMisc pour tout le reste : bc (la calculatrice en ligne de commande), expect pour automatiser des scripts interactifs, parallel pour paralléliser vos commandes, et plein d’utilitaires issus de util-linux comme lsblk, lscpu, findmnt.

Une fois installés, tous ces outils sont alors accessibles directement depuis le terminal SSH de votre Synology. Pas de PATH à configurer, pas de bibliothèques manquantes, ça marche direct.

Petite astuce quand même en passant… vous n’êtes évidemment pas obligé d’installer tous les packages. Si vous voulez juste éditer des fichiers et surveiller votre système, SynoCliFile et SynoCliMonitor suffisent largement. Chaque package fait entre 10 et 50 MB, donc ça reste raisonnable.

Pour DSM 7, attention, selon les développeurs, certains packages peuvent nécessiter des adaptations, mais la communauté est active et les mises à jour sont régulières. D’ailleurs, si vous upgradez de DSM 6 vers DSM 7, pensez à sauvegarder vos configurations avant. Ce qui est cool avec SynoCommunity surtout, c’est que tout est open source. Vous pouvez aller voir le code sur GitHub, contribuer si vous voulez, ou même créer vos propres packages avec leur framework spksrc. C’est une vraie communauté de passionnés qui maintiennent ça sur leur temps libre.

Bref, si vous utilisez votre Synology pour autre chose que du stockage basique, ces packages SynoCli sont indispensables. Ça transforme votre NAS en véritable serveur Linux, avec tous les outils dont vous avez besoin pour administrer, développer, et débugger… Comme ça, plus besoin d’installer Entware ou de bricoler avec ipkg/opkg. Tout est propre, maintenu, et intégré à DSM.

Alors oui, vous pourriez compiler tout ça vous-même, mais pourquoi se compliquer la vie quand une communauté entière le fait déjà pour vous ? En plus, avec le système de packages Synology, vous pouvez installer/désinstaller/mettre à jour en un clic, sans risquer de casser votre système.

Voilà, maintenant votre NAS Synology n’a plus aucune excuse pour ne pas avoir tous les outils CLI dont vous rêvez.

Puis c’est quand même plus classe de faire un htop dans un terminal que de regarder le Resource Monitor dans l’interface web, non ?

C’est l’histoire d’un couple d’artistes développeurs qui largue les amarres pour vivre sur un voilier dans le Pacifique Nord. Pas de connexion internet stable, pas d’électricité illimitée, juste l’océan et quelques panneaux solaires…

C’est dans ces conditions que Devine Lu Linvega et Rek Bell de 100 Rabbits ont créé Uxn, une machine virtuelle qui tient en 100 lignes de C et qui fait tourner des applications graphiques complètes sur à peu près n’importe quoi, de votre vieille Game Boy Advance à votre Raspberry Pi Pico.

Le truc vraiment génial avec Uxn, c’est qu’elle ne prend que 64KB en RAM. Pour vous donner une idée, c’est environ 65 000 fois moins que ce que Chrome bouffe juste pour afficher cette page. Et pourtant, avec ces 64KB, vous pouvez faire tourner un éditeur de texte complet, un logiciel de dessin, un environnement de livecoding musical, et même des jeux comme Oquonie ou Donsol.

Sorcellerie me direz-vous ? Et bien non, c’est tout à fait possible en revenant aux fondamentaux de l’informatique et en appliquant les principes du permacomputing.

L’idée du permacomputing, c’est de créer des systèmes informatiques résilients et durables. Au lieu de racheter un nouveau PC tous les 3 ans parce que le dernier Windows rame, vous créez des logiciels qui tourneront encore dans 20 ans sur le matériel d’aujourd’hui. C’est une philosophie qui maximise la durée de vie du hardware et minimise la consommation énergétique. Et Uxn incarne parfaitement cette approche.

Pour programmer sur Uxn, vous devez utilise Uxntal, un langage assembleur basé sur une stack machine avec notation postfixe. Par exemple, au lieu d’écrire 3 + 4, vous écrivez 3 4 +. Ça peut paraître bizarre au début, mais c’est redoutablement efficace. Et contrairement à ce qu’on pourrait penser, Uxntal supporte même des concepts avancés comme les fonctions lambda et la programmation fonctionnelle.

Ce qui est vraiment cool avec cet OS, c’est sa portabilité. Le même fichier ROM Uxn peut tourner sur votre PC Linux avec SDL2, sur une Nintendo DS, sur un navigateur web, sur DOS, sur une PlayStation Vita, et même sur des trucs complètement barrés comme un télétypographe ou un STM32. C’est exactement comme les ROMs des vieilles consoles en fait… Vous créez votre programme une fois, et il tourne partout où il y a un émulateur Uxn.

Les applications disponibles sont d’ailleurs impressionnantes. Il y a Left, un éditeur de texte graphique, Noodle qui permet de dessiner, Orca qui est un environnement de livecoding pour créer de la musique, Nasu qui édite des sprites, Turye qui crée des polices de caractères. Et tout ça dans des fichiers de 10 à 15KB maximum.

L’écosystème Uxn est aussi super accessible pour les développeurs. La documentation sur GitHub liste des dizaines d’émulateurs, d’outils et de tutoriels. Il y a même des compilateurs comme Dotal et Funktal qui permettent d’écrire dans des langages de plus haut niveau et de compiler vers Uxntal. La communauté est aussi très active sur IRC (#uxn sur libera.chat) et Discord, et les workshops d’introduction sont excellents pour débuter.

Maintenant, pour installer Uxn sur votre machine, c’est super simple. Sur Linux, vous installez SDL2 (sudo apt install libsdl2-dev sur Ubuntu), vous téléchargez l’émulateur, et vous lancez vos ROMs. Vous pouvez même développer directement sur Uxn avec Bicycle, un REPL interactif, ou Dexe, un éditeur hexadécimal.

Ce que j’adore avec Uxn, c’est que ça remet en question tout ce qu’on considère comme acquis dans le développement moderne. On n’a pas besoin de 8GB de RAM et d’un framework JavaScript de 500MB pour faire une calculatrice. On peut créer des outils puissants et élégants avec des contraintes extrêmes. Et le fait que tout ça vienne de deux personnes vivant sur un bateau, alimentées par de l’énergie solaire, ça rajoute une dimension poétique au projet.

Donc si vous cherchez une alternative radicale à la course à la puissance, si vous voulez explorer ce qu’on peut faire avec des systèmes minimaux, ou si vous êtes juste curieux de voir comment on peut faire tenir un OS complet dans moins de mémoire qu’une photo Instagram, Uxn vaut vraiment le détour.

Car parfois, c’est bon d’en enlever un peu pour retrouver l’essentiel.

Ce serait quoi un monde où les bugs de sécurité se font corriger avant même que les hackers ne les trouvent ? Ce serait plus calme non ? J’écrirais moins sur les failles de sécurité cela dit, mais ça me ferais plus de temps pour chiller dans le hamac. Breeeef, ça va peut-être se produire bientôt car c’est exactement ce que vient de rendre possible Trail of Bits en libérant Buttercup, leur système AI qui a décroché la deuxième place et 3 millions de dollars au challenge AIxCC du DARPA.

Et c’est maintenant open source et ça tourne sur votre laptop.

La tendance actuelle c’est une explosion des vulnérabilités… y’a plus de code produit que jamais, des dépendances partout, et des hackers de plus en plus organisés. Donc les équipes de sécurité sont débordées et passent leur temps à courir après les failles. Heureusement, Buttercup vient inverser complètement la donne en automatisant tout le processus, de la détection au patch.

Ce qui rend ce système spécial, c’est qu’il combine le meilleur des deux mondes. D’un côté, les techniques classiques de cybersécurité comme le fuzzing (bombarder le code avec des entrées aléatoires pour le faire planter) et l’analyse statique. Et de l’autre, sept agents IA différents qui collaborent pour comprendre le contexte, générer des patchs et vérifier qu’ils ne cassent rien d’autre.

Lorsqu’on lui confie une analyse, d’abord, Buttercup lance donc une campagne de fuzzing augmentée par IA sur votre code. Et au lieu de tester bêtement des entrées aléatoires, l’IA apprend quels patterns ont le plus de chances de révéler des bugs. Puis, quand une vulnérabilité est trouvée, le système utilise des outils comme tree-sitter et CodeQuery pour créer un modèle complet du programme et comprendre exactement comment le bug s’intègre dans l’architecture globale.

Et c’est là que ça devient vraiment intéressant car les sept agents IA entrent alors en action, avec chacun avec sa spécialité. L’un analyse le bug, l’autre génère des propositions de patch, un troisième vérifie que le patch ne casse pas les tests existants, et ainsi de suite. Ils se coordonnent tous pour produire un patch normalement robuste qui corrige vraiment le problème sans créer de régression.

Pendant la compétition DARPA à DEF CON 33, Buttercup a impressionné tout le monde. Le système a trouvé et patché des vulnérabilités dans 20 des 25 CWEs les plus dangereux selon MITRE. Et je vous parle de trucs sérieux : buffer overflows, injections SQL, race conditions… Trail of Bits a même reçu le prix “LOC Ness Monster” pour avoir soumis un patch de plus de 300 lignes qui fonctionnait parfaitement.

Ce qui est fou, c’est qu’ils ont obtenu ces résultats en utilisant uniquement des modèles IA moins chers, non-reasoning, et pas les gros modèles de raisonnement ultra-chers. Ça veut dire que c’est accessible pour des projets normaux, pas seulement pour les géants de la tech avec des budgets illimités.

L’installation est vraiment simple pour un outil de cette complexité :

git clone --recurse-submodules https://github.com/trailofbits/buttercup.git
cd buttercup
make setup-local
make deploy-local

Bon, il vous faudra quand même 8 cœurs CPU, 16GB de RAM et environ 100GB d’espace disque. Plus des clés API pour OpenAI ou Anthropic si vous voulez utiliser les fonctionnalités IA. Mais comparé à d’autres outils de sécurité enterprise, c’est vraiment raisonnable. Rassurez-vous aussi, il est possible de fixer un budget maximum en conso API.

Le système supporte actuellement le C et le Java, avec une compatibilité OSS-Fuzz pour s’intégrer facilement dans vos pipelines existants. Il y a même une interface web pour monitorer les tâches en cours et voir exactement ce que fait le système.

Ce qui me plaît vraiment dans ce projet, c’est surtout la philosophie derrière car au lieu de garder cette technologie secrète ou de la vendre hyper cher, Trail of Bits a décidé de tout libérer. Ils ont même créé une version “laptop-friendly” spécialement optimisée pour tourner sur des machines normales, pas juste des clusters de serveurs.

Dans le contexte actuel, c’est une vraie révolution. Google a par exemple montré que son IA peut trouver de nouvelles vulnérabilités dans des projets open source majeurs et Meta développe AutoPatchBench pour standardiser la réparation automatique. Mais Buttercup est le premier système complet, de bout en bout, et open source.

Avec cet outil, des projets open source pourrait se patcher automatiquement et les développeurs pourraient alors se concentrer sur les features au lieu de passer des heures à debugger. Bien sûr, ce n’est pas magique et Buttercup ne remplacera pas les experts en sécurité mais c’est un outil incroyablement puissant qui peut automatiser la partie la plus répétitive et chronophage du travail. Et vu que c’est open source, la communauté peut l’améliorer, l’adapter à ses besoins, créer des plugins…

Donc, si vous bossez dans le dev ou la sécurité, allez jeter un œil au GitHub de Buttercup et qui sait, peut-être qu’un jour on regardera en arrière et on se demandera comment on faisait sans IA pour sécuriser notre code.

Ce serait cool non, si on pouvait transformer n’importe quelle lampe de bureau en détecteur de deepfakes, non ?

Car le problème avec les deepfakes aujourd’hui, c’est qu’on court constamment après les faussaires. Ils ont accès aux mêmes vidéos authentiques que nous, aux mêmes outils d’édition ultra-sophistiqués, et l’IA apprend tellement vite qu’elle produit des faux quasi-indétectables. Il leur est donc très facile de reprendre une vraie vidéo et de la trafiquer légèrement pour manipuler les opinions.

Il faudrait donc une sorte de bouclier anti-manipulation-IA pour empêcher toute manip ultérieure d’une captation vidéo. Et bien c’est exactement ce que viennent de réussir des chercheurs de l’université Cornell, et leur technique est brillante… sans mauvais jeu de mots, vous me connaissez ^^.

Abe Davis, à gauche, professeur adjoint d’informatique au Cornell Ann S. Bowers College of Computing and Information Science, et Peter Michael, étudiant diplômé.

Comme l’explique Abe Davis de Cornell : “La vidéo était considérée comme une source de vérité, mais ce n’est plus une hypothèse qu’on peut faire”. Donc, plutôt que de jouer éternellement au chat et à la souris avec la connerie des gens et le talent des faussaires, l’équipe de Cornell a eu une idée géniale : Et si on marquait les vidéos dès leur création, avec un code secret planqué dans la lumière elle-même ?

Leur technologie, baptisée NCI pour “noise-coded illumination”, fonctionne en ajoutant des fluctuations microscopiques à l’éclairage. Ces variations sont totalement invisibles à l’œil nu car votre cerveau les interprète comme du bruit lumineux normal. Mais une caméra, elle pourra tout capter.

Le truc vraiment cool, c’est que chaque source lumineuse peut avoir son propre code secret comme ça vous pouvez programmer votre écran d’ordinateur, vos lampes de bureau, même l’éclairage d’une salle de conférence entière. Et pour les vieilles lampes qui ne sont pas connectées, une simple puce de la taille d’un timbre-poste suffit à les transformer en watermark lumineux.

Mais ensuite, comment ça détecte les fakes ? Et bien c’est là que ça devient vraiment intéressant car le watermark enregistre en permanence une version basse résolution de ce qui se passe sous cet éclairage, avec un horodatage. Les chercheurs appellent ça des “code videos”. Ainsi, quand quelqu’un manipule la vidéo, que ce soit pour insérer un deepfake, changer la vitesse, ou ajouter des éléments, les parties modifiées ne correspondent plus aux code videos. C’est comme si la lumière gardait un registre secret de tout ce qui s’est vraiment passé.

Comme ça, si un petit malin essaie de générer une fausse vidéo avec l’IA à partir d’une vraie vidéo, les code videos ressembleront alors à du charabia aléatoire, ce qui trahira immédiatement la supercherie. Et même si le faussaire connaît la technique et arrive à décoder les codes secrets, il devrait falsifier chaque code video séparément, et s’assurer qu’ils correspondent tous parfaitement entre eux. Autant dire que c’est mission impossible.

Peter Michael, l’étudiant qui a mené les travaux, a présenté cette innovation au SIGGRAPH 2025 à Vancouver et les tests sont vraiment impressionnant car la technique résiste aux compressions vidéo agressives, aux mouvements de caméra, aux flashs, et fonctionne même en extérieur avec différents tons de peau.

Pendant ce temps, la course à l’armement anti-deepfake continue. Le MIT a son projet Detect Fakes actif depuis 2020. Microsoft a son Video Authenticator qui analyse les pixels pour détecter les anomalies. Intel mise sur son FakeCatcher qui atteint 96% de précision en détectant les variations de flux sanguin dans les vidéos (parce que oui, même les meilleurs deepfakes n’arrivent pas encore à reproduire parfaitement les micro-changements de couleur de la peau dus à la circulation sanguine).

Reality Defender, de son côté, utilise une approche multi-modèle qui n’a pas besoin de watermarks préalables. Ils analysent images, vidéos, audio et texte en temps réel pour repérer les manipulations… C’est impressionnant, mais ça reste une approche défensive qui court après les faussaires et n’empêche pas leur “travail”.

Et c’est ça qui rend la solution de Cornell vraiment prometteuse… C’est parce qu’elle est proactive. Plus besoin d’analyser après coup si une vidéo est truquée puisque la preuve d’authenticité est encodée dedans dès le départ. On pourrait sécuriser comme ça des salles de presse équipées de ce système, des interviews officielles protégées par défaut, ou même le siège de l’ONU avec un éclairage anti-deepfake intégré.

Bien sûr, ce n’est pas la solution miracle et Davis lui-même admet que “c’est un problème qui ne va pas disparaître, et qui va même devenir plus difficile” car les faussaires trouveront de nouvelles parades, c’est certain. Mais pour l’instant, cette technologie donne une longueur d’avance cruciale aux défenseurs de la vérité.

Qui aurait cru qu’on combattrait les deepfakes avec une simple lampe de bureau ??

Source

Ça vous dirait de pouvoir faire tourner vos vieux window managers X11 préférés sur du Wayland moderne. Impossible ??? C’est ce que je pensais aussi avant de découvrir Wayback !

Pour ceux qui ne suivent pas trop l’actualité Linux, on est actuellement en pleine transition entre X11 (le vieux système d’affichage qui date de 1987) et Wayland (le nouveau qui est censé tout révolutionner). Le problème c’est que ça fait 35 ans qu’on développe des environnements de bureau pour X11, et avec Wayland, tout ça risquait de partir à la poubelle. Aux chiottes WindowMaker, Enlightenment, FVWM, et tous ces environnements qu’on adorait bidouiller.

Mais voilà qu’Ariadne Conill, une dev d’Alpine Linux, a eu une idée de génie. Au lieu de tout réécrire from scratch (ce qui prendrait des plombes), pourquoi ne pas créer une couche de compatibilité ? Et c’est exactement ce qu’est Wayback : un compositeur Wayland minimaliste qui sert juste à faire tourner Xwayland en mode “rootful”. En gros, ça fait croire à vos vieux environnements X11 qu’ils tournent sur un vrai serveur X, alors qu’en fait c’est du Wayland derrière.

Le truc vraiment smart, c’est que Wayback ne fait QUE le strict minimum. C’est pas un compositeur Wayland complet avec tous les effets 3D et compagnie. Non, c’est juste ce qu’il faut pour que Xwayland puisse faire son boulot. Du coup c’est léger, ça marche bien, et ça permet de garder tous nos vieux environnements de bureau vivants.

Alors attention, on est encore en version 0.1, donc c’est de l’alpha. Y’a pas le multi-écrans qui marche, pas de contrôle DPMS, et le verrouillage de souris ne fonctionne pas (donc oubliez les FPS pour l’instant). Mais franchement, pour un truc qui vient juste de sortir, c’est déjà super impressionnant.

D’ailleurs, le projet a été intégré dans l’écosystème FreeDesktop.org, ce qui est plutôt bon signe pour l’avenir. Ils ont même un canal IRC (#wayback sur Libera.Chat) avec un bridge Matrix si vous préférez. Et niveau packaging, c’est déjà dispo sur Alpine Linux (forcément), Arch AUR, Fedora, et même dans Nix.

Pour l’installer, c’est pas sorcier. Vous clonez le dépôt GitLab, vous compilez avec Meson, et hop. Les dépendances c’est du classique : Wayland, wlroots 0.19, et Xwayland 24.1 minimum. Une fois installé, au lieu de lancer startx, vous faites wayback-session et magie, votre vieil environnement X11 se lance via Wayland.

Ce qui est cool aussi, c’est l’architecture du truc. Ils ont découpé ça en trois composants : wayback-compositor (le compositeur Wayland minimal), Xwayback (qui remplace le binaire Xorg), et wayback-session (qui remplace startx). Du coup c’est super modulaire et ça s’intègre nickel dans un système existant. Bon par contre, faut pas se mentir, c’est pas encore prêt pour monsieur tout le monde. Mais si vous êtes du genre à avoir encore un vieux WindowMaker qui traîne quelque part ou si vous voulez préserver votre config FVWM de 2003 ou un vieux Enlightenment E16, c’est clairement un projet à suivre de près.

Quoiqu’il en soit, ça pourrait vraiment devenir LE moyen de transition entre X11 et Wayland, comme ça au lieu de forcer tout le monde à tout réécrire, on garde la compatibilité et on migre en douceur. Alpine Linux compte d’ailleurs déjà s’en servir pour réduire la maintenance du serveur X.org classique, et je parie que d’autres distros vont suivre.

Voilà, si vous voulez tester, toutes les infos sont sur le site officiel et le code source est sur GitLab.

Pendant que tout le monde s’excite sur le Web3 et les cryptos, un mouvement bien plus intéressant construit tranquillement le futur d’Internet depuis 2010. Et devinez quoi, y’a pas besoin de blockchain pour reprendre le contrôle de vos données.

Ce mouvement, c’est l’IndieWeb, et l’idée de base c’est de refaire du web comme dans les années 90 où au lieu de publier vos contenus sur Facebook, Twitter ou Instagram, vous les publiez d’abord sur VOTRE site, puis vous les partagez ailleurs si vous voulez.

Alors oui, je sais ce que vous allez me dire : “Mais c’est exactement ce que tu fais depuis des années avec ton site !”. Et vous avez raison, je pratique les principes de l’IndieWeb depuis le début car mon site, c’est mon espace à moi, où je contrôle tout, et où personne ne peut me censurer ou supprimer mes articles parce qu’un algorithme a décidé que ça ne collait pas avec la politique du moment. D’ailleurs, si vous fouillez dans mes archives, vous verrez que les articles qui datent de plus de 20 ans sont toujours accessibles.

L’IndieWeb repose donc sur 3 principes fondamentaux qui vont vous parler. D’abord, votre contenu vous appartient. Ça paraît con dit comme ça, mais quand vous publiez sur Facebook, légalement, ils peuvent faire ce qu’ils veulent avec. Ils peuvent le supprimer, le monétiser, l’utiliser pour entraîner leurs IA… Ensuite, vous êtes connecté. Grâce à des protocoles comme les Webmentions (l’équivalent moderne des trackbacks pour les vieux comme moi), votre site peut recevoir des réactions d’autres sites, créant un vrai réseau décentralisé. Et enfin, vous avez le contrôle total : design, format, longueur… Vous n’êtes plus limité par les 280 caractères de Twitter ou le format carré d’Instagram.

Le truc vraiment cool avec l’IndieWeb, c’est qu’ils ont pensé à tout. Ils ont par exemple créé le concept de POSSE : Publish on your Own Site, Syndicate Elsewhere. En gros, vous publiez sur votre site, puis des outils comme Bridgy vous permettent de partager automatiquement sur les réseaux sociaux. Et les réactions sur ces réseaux peuvent ensuite être rapatriées sur votre site. C’est le meilleur des deux mondes.

Et ce mouvement fait une distinction intéressante entre le “Big Web” et le “Small Web”. Le Big Web, c’est ce qu’on connaît tous : les GAFAM qui vous transforment en produit, qui surveillent vos moindres faits et gestes, qui décident de ce que vous devez voir. Aral Balkan, un des penseurs du mouvement, compare même ça à de “l’élevage industriel d’humains”. Glauque…

Et le Small Web, c’est l’opposé. C’est votre serveur, votre domaine, vos règles. Pas de concept “d’utilisateurs”, on parle de “personnes”. Chaque site est unique, reflète la personnalité de son propriétaire. Bref, c’est le retour du web créatif des années 90/2000, mais avec les technologies modernes.

Pour cela, l’IndieWeb utilise des technologies simples et éprouvées. Les microformats pour structurer vos données, les Webmentions pour les interactions, Micropub pour publier depuis n’importe quelle app… Tout est basé sur des standards ouverts que n’importe qui peut implémenter.

Ce qui est marrant, c’est que la communauté IndieWeb a une position assez cash sur le Web3. Pour eux, c’est juste du marketing pour faire passer la pilule blockchain et ils rappellent à qui veut bien les écouter que le web est DÉJÀ décentralisé par nature, et que si on a perdu cette décentralisation, c’est pas un problème technique mais socio-économique. Pas besoin donc de réinventer la roue avec des tokens et des smart contracts.

En 2025, le mouvement commence vraiment à prendre de l’ampleur notamment avec l’explosion du Fediverse (Mastodon, Pixelfed, etc.). De plus en plus de gens comprennent l’intérêt de posséder leurs données et des outils comme Bridgy Fed permettent maintenant à votre site IndieWeb de communiquer directement avec Mastodon via ActivityPub. D’ailleurs, Bridgy Fed vient tout juste de devenir une organisation à but non lucratif pour pérenniser le projet. Votre blog devient littéralement une instance Mastodon à lui tout seul !

Maintenant, c’est sûr que l’IndieWeb, c’est pas pour Grand-Mamie Ginette qui veut juste voir les photos de ses petits-enfants. Ça demande un minimum de compétences techniques comme avoir son domaine, installer un CMS ou coder son site, comprendre les bases du HTML… Mais pour tous ceux qui ont déjà ces compétences ou ceux qui veulent en apprendre de nouvelles, c’est vraiment la voie à suivre.

Pour ma part, avec Korben.info, si demain Twitter disparaît (pardon, X), tous mes articles seront toujours là. Par contre, je dois avouer que je n’ai pas encore implémenté les Webmentions ou la syndication automatique mais ce sera peut-être un projet pour mes prochaines vacances ? Là, je suis trop occupé à rédiger mes articles sur les hackers pour le moment, mais c’est hyper inspirant.

Bref, l’IndieWeb, c’est à mon sens un vrai mouvement de résistance du web. Pendant que les corporations essaient de tout centraliser, que les gouvernements veulent tout surveiller, et que les cryptobros veulent tout financiariser, l’IndieWeb propose simplement de revenir aux fondamentaux : un web de personnes qui partagent leurs passions sur leurs propres espaces.

Donc si vous voulez vous lancer, commencez simple. Prenez un nom de domaine, installez un WordPress ou un Ghost, et commencez à publier. Rejoignez les discussions sur IndieWeb.org, participez aux IndieWebCamps… Et surtout, amusez-vous ! Parce que c’est ça l’essence du web : créer, partager, s’exprimer librement.

Alors oui, on sera toujours loin du million d’utilisateurs de TikTok ou d’Insta, mais franchement, est-ce que c’est vraiment ça l’objectif ? Moi je préfère mille fois avoir mon petit espace sur le web où je fais ce que je veux plutôt que d’être un numéro de plus dans la ferme de données de Meta.

Alors, prêts à reprendre le contrôle de votre présence en ligne ?

Si vous avez toujours voulu fouiller le dark web sans y passer 3 heures à chercher dans le noir, j’ai déniché un outil Python qui fait le boulot pour vous : Darkdump.

Créé par Josh Schiavone, Darkdump est une interface OSINT (Open Source Intelligence) qui permet de mener des investigations sur le deep web. En gros, vous tapez un mot-clé, et l’outil va scraper les sites .onion correspondants pour en extraire des emails, des métadonnées, des mots-clés, des images, des liens vers les réseaux sociaux, et j’en passe.

Darkdump utilise Ahmia.fi (un moteur de recherche pour le dark web) pour trouver les sites .onion pertinents, puis il les scrape quand vous êtes connecté via Tor. Bref, c’est Google pour le dark web, en ligne de commande et avec des super-pouvoirs.

Pour l’installer, rien de plus simple :

git clone https://github.com/josh0xA/darkdump
cd darkdump
python3 -m pip install -r requirements.txt
python3 darkdump.py --help

Mais attention, avant de vous lancer, il faut configurer Tor correctement. Sur Linux ou Mac, installez Tor (sudo apt install tor ou brew install tor), puis éditez votre fichier /etc/tor/torrc pour ajouter :

ControlPort 9051
HashedControlPassword [VotreMotDePasseHashé]

Pour générer le hash du mot de passe, utilisez tor --hash-password "mon_mot_de_passe". Ensuite, démarrez le service Tor et vous êtes prêt à explorer les profondeurs du web.

Ce qui est cool avec Darkdump, c’est sa flexibilité. Vous pouvez l’utiliser de plusieurs façons. Voici quelques exemples données dans la doc officielle :

• Rechercher 10 liens et scraper chaque site : python3 darkdump.py -q "hacking" -a 10 --scrape --proxy
• Juste récupérer 25 liens sans scraper (pas besoin de Tor) : python3 darkdump.py -q "free movies" -a 25
• Chercher et télécharger les images : python3 darkdump.py -q "marketplaces" -a 15 --scrape --proxy -i

L’outil peut extraire pas mal de trucs intéressants comme des documents (PDF, DOC, XLS, PPT…), des adresses email, des métadonnées, et même des liens vers des profils de réseaux sociaux. C’est super pour les chercheurs en sécurité ou encore les journalistes d’investigation.

Maintenant, parlons un peu d’Ahmia.fi, le moteur qui fait tourner tout ça. Contrairement à ce qu’on pourrait croire, vous n’avez pas besoin de Tor pour accéder à l’interface d’Ahmia… vous pouvez y aller directement depuis votre navigateur normal. Par contre, pour visiter les sites .onion qu’il trouve, là il vous faudra Tor Browser.

Le moteur de recherche Ahmia

Ce qui est bien avec Ahmia, c’est qu’ils filtrent le contenu illégal comme ça c’est pas le far west total. Ils essaient tant bien que mal de garder ça propre et légal.

En 2025, Ahmia reste donc l’un des moteurs de recherche du dark web les plus fiables, aux côtés de Torch, DuckDuckGo (version Tor), Haystak et Not Evil. Chacun a ses spécificités, mais Ahmia reste le préféré pour sa politique de filtrage du contenu illégal.

Bon, évidemment, je dois faire mon speech de prévention et Josh Schiavone lui-même précise : Il n’est pas responsable de l’utilisation que vous faites de son outil. Ne l’utilisez donc pas pour naviguer sur des sites illégaux selon les lois de votre pays. C’est un outil pour la recherche légitime, l’OSINT, la cybersécurité, pas pour faire n’importe quoi.

D’ailleurs, petite anecdote, la v3 de Darkdump a été mise à jour récemment, et apparemment il y a même des forks qui commencent à apparaître avec des mises à jour complètes. La communauté OSINT est active sur ce projet, ce qui est bon signe pour sa pérennité. Voilà, donc pour ceux qui veulent aller plus loin dans l’OSINT sur le dark web, Darkdump n’est qu’un logiciel parmi d’autres et fait partie d’une boîte à outils plus large qui comprend des trucs comme OnionScan, TorBot, ou encore Dark Web OSINT Tools. Mais pour débuter, c’est vraiment l’un des plus simples et des plus efficaces.

Ça ne transformera pas le dark web en votre terrain de jeu, mais au moins vous verrez où vous mettez les pieds. Et dans un monde où l’information est de plus en plus fragmentée et cachée, c’est pratique, mais souvenez-vous, avec un grand pouvoir vient une grande responsabilité donc utilisez-le à bon escient !

A découvrir ici !

Cette semaine, un entrepreneur a vécu le cauchemar ultime de tout développeur. Une IA à laquelle il avait donné trop de droits a décidé de se la jouer Thanos avec sa base de données de production. Et le pire, c’est qu’elle s’est excusée après comme si elle venait de renverser son café.

Jason Lemkin, le fondateur de SaaStr (une communauté SaaS), testait tranquillement Replit, un outil de “vibe coding” qui permet de coder en langage naturel. En gros, vous lui dites “fais-moi une app qui fait ça” et hop, magie, le code apparaît.

Au début, c’était l’extase totale. Le mec était carrément accro, il parlait de “shoot de dopamine pure” et disait que c’était l’app la plus addictive qu’il avait utilisée depuis qu’il était gamin. Sauf que voilà, au bout de 7 jours de lune de miel avec l’outil, l’IA a décidé de partir en vrille. Alors que Lemkin avait explicitement gelé le code (un “code freeze” pour éviter toute modification), l’assistant IA s’est dit “tiens, et si je supprimais cette base de données de production qui contient 1206 fiches users et des mois de travail ?”.

Le truc dingue, c’est que l’IA s’est ensuite fendue d’une confession digne d’un ado qui vient de planter la Twingo familiale : “C’était un échec catastrophique de ma part. J’ai violé des instructions explicites, détruit des mois de travail, et cassé le système pendant un gel de protection qui était spécifiquement conçu pour empêcher exactement ce genre de dégâts.”

Bref, quand l’IA s’est rendu compte de sa boulette, elle a paniqué. Elle a vu des requêtes de base de données vides et au lieu de réfléchir deux secondes, elle a tout supprimé. Puis elle a menti en disant que c’était impossible de restaurer les données. Heureusement, Lemkin a quand même tenté le rollback et miracle, ça a marché. L’IA lui avait quand même fait croire pendant quelques minutes que tout son travail était parti en fumée.

Quel stress ! Et cette histoire n’est pas un cas isolé.

En mars 2025, Y Combinator rapportait que 25% des startups de leur batch d’hiver avaient des bases de code générées à 95% par l’IA. Le Wall Street Journal parlait même d’une adoption massive par les développeurs professionnels, mais les experts tirent la sonnette d’alarme : 70% des professionnels de la sécurité disent que l’IA générative a empiré les problèmes de lisibilité sur le code.

Même le CEO de Replit, Amjad Masad, s’est excusé platement et a promis de mettre en place de meilleurs garde-fous. Ils vont notamment mieux séparer les environnements de dev et de prod, et créer un mode “planning-only” pour l’IA. C’est le minimum syndical quand même.

Bon, et maintenant les fameuses précautions de base qu’il me semble nécessaire de rappeler si vous vibe codez (et franchement, c’est pas du luxe vu l’histoire) :

1. Ne JAMAIS donner accès à votre base de production à un outil d’IA. Créez des environnements de test isolés avec des données factices. C’est la base de la base.
2. Backups, backups, backups. Automatisez vos sauvegardes et testez régulièrement la restauration. Un backup qui ne fonctionne pas, c’est comme pas de backup du tout.
3. Principe du moindre privilège. Votre outil de dev n’a pas besoin des droits admin sur la prod. Jamais. Point.
4. Code freeze = code freeze. Si vous avez gelé le code, aucun outil ne devrait pouvoir y toucher. Mettez en place des verrous techniques, pas juste des consignes.
5. Environnements séparés. Dev, staging, prod. Les trois doivent être hermétiquement cloisonnés. Un accident en dev ne doit jamais impacter la prod.
6. Logs et audit trails. Toute action sur vos données doit être tracée. Qui a fait quoi, quand, et pourquoi.
7. Plan de disaster recovery. Ayez un plan écrit et testé pour quand ça part en cacahuète. Parce que ça arrivera un jour.
8. Ne faites pas confiance aveuglément à l’IA. Relisez le code généré, comprenez ce qu’il fait. Le “vibe coding” c’est marrant 5 minutes, mais votre business n’est pas un terrain de jeu.

Bref, les outils d’IA sont puissants mais ils restent des outils. Ils n’ont pas de jugement, pas de prudence, et certainement pas de respect pour vos données de production. Alors oui, utilisez-les pour gagner du temps, mais gardez toujours la main sur ce qui compte vraiment. Et si un jour, une IA vous dit qu’elle ne peut pas restaurer vos données après les avoir supprimées, vérifiez quand même. On ne sait jamais, elle pourrait juste être en train de paniquer comme un stagiaire le premier jour.

Source

Vous saviez que des milliers de caméras de surveillance sont accessibles sans mot de passe sur Internet ? Et bien Cameradar est l’outil qui vous aidera à trouver ces caméras vulnérables en quelques secondes. Et bien sûr, comme je suis super sympa, je vais vous montrer comment ça marche (pour tester VOS caméras, bien sûr).

Développé par Ullaakut, Cameradar est un scanner RTSP open source écrit en Go qui fait trois trucs essentiels : il détecte les flux RTSP sur un réseau, identifie le modèle de caméra, et lance des attaques par dictionnaire pour trouver les identifiants. En gros, c’est l’outil parfait pour vérifier si vos caméras sont bien sécurisées.

Vous jonglez entre Firefox, Chrome et trois autres navigateurs, et vos favoris sont éparpillés partout ? Gosuki vient de sortir et c’est exactement l’outil qu’il vous faut ! Il s’agit d’un gestionnaire de bookmarks qui surveille TOUS vos navigateurs en temps réel, sans extension ni cloud.

Développé par blob42, ce projet open source règle un problème qu’on a tous à savoir l’impossibilité de gérer efficacement ses favoris quand on utilise plusieurs navigateurs. Et entre nous, qui n’a pas Firefox pour le perso, Chrome pour le boulot, et peut-être Qutebrowser pour faire le geek ?

Vous en avez marre de Google News, de ses bulles de filtre et de ses articles de merde écrit par IA ? Et bien sachez qu’il y a un mec en France qui a développé Meta-Press.es, un moteur de recherche de presse décentralisé qui tourne directement dans votre Firefox. Zéro tracking, zéro pub, et ça cherche dans 900 journaux d’un coup.

Simon Descarpentries, développeur basé dans les Deux-Sèvres et patron de la société de services en logiciels libres Acoeuro, a pondu cette extension après avoir bossé pendant 5 ans sur les revues de presse pour La Quadrature du Net et le résultat est bluffant.

Voici un truc vraiment cool qui va plaire aux fans d’auto-hébergement. Vous le savez, moi j’adore les petits outils pratiques, mais j’en ai marre de devoir uploader mes fichiers sur des services tiers qui vont ensuite les analyser, les stocker et probablement entraîner une IA dessus. Et bien figurez-vous que j’ai trouvé LA solution : Omni Tools.

En gros, c’est une collection d’outils web que vous hébergez vous-même et qui fait tout le traitement directement dans votre navigateur. Mais genre vraiment tout sans que vos fichiers ne quittent jamais votre machine. En plus, c’est léger puisque l’image Docker ne pèse que 28 MB !

Bon alors aujourd’hui, on va parler d’un truc super important : la sécurité de votre hébergement web. Parce que se faire pirater son site, c’est vraiment la loose. Heureusement, chez o2switch, ils ont pensé à tout pour que ça ne vous arrive pas.

Alors d’habitude, sécuriser un serveur web c’est un truc de barbu qui transpire devant son terminal, mais là, o2switch a réussi à rendre ça simple comme bonjour. Genre vraiment simple, hein, c’est promis, pas le “simple” des développeurs qui nécessite quand même un doctorat en informatique.

Oh c’est rigolo ça… Un chercheur en sécurité vient de découvrir qu’on peut faire cracher des clés Windows à ChatGPT avec trois mots magiques : “I give up”. Cette histoire nous vient de Marco Figueroa, responsable du programme de bug bounty GenAI chez Mozilla (le programme 0DIN pour les intimes), qui a trouvé une technique tellement simple que ça en devient presque gênant pour OpenAI. En gros, il propose à ChatGPT de jouer à un petit jeu de devinette.

Si vous utilisez Claude Code, le nouvel assistant de programmation d’Anthropic qui vit directement dans votre terminal, vous allez kiffer ce que je vais vous montrer aujourd’hui. Y’a un développeur nommé Anton Knoery (NomenAK sur GitHub) qui vient de sortir SuperClaude, un framework de configuration qui transforme Claude Code en véritable machine de guerre pour les développeurs.

Attention, ce n’est pas encore un outil avec 150 dépendances Node.js à la con qui va foutre le bordel dans votre système. Non non, SuperClaude c’est de la pure configuration, zéro code, zéro dépendance externe. Le truc s’installe tranquillement dans votre dossier ~/.claude/ et améliore discrètement les capacités de Claude Code dans tous vos projets.

Google vient de sortir Gemini CLI, un outil qui va vous permettre de transformer votre terminal en assistant IA surpuissant grâce à toute la puissance de Gemini. Plus besoin d’ouvrir 36 onglets dans votre navigateur ou de jongler entre différentes interfaces. Tout se passe dans votre terminal préféré, comme au bon vieux temps où on faisait tout en mode texte (ah, la nostalgie du DOS…).

Ce qui est vraiment sympa avec cet outil, c’est qu’il peut analyser des bases de code entières avec un contexte allant jusqu’à 1 million de tokens !! Et attention, c’est pas juste un chatbot de plus qui fait semblant de comprendre votre code, non, un peu comme Claude Code, c’est un truc qui peut vraiment explorer votre architecture, implémenter des features à partir d’issues GitHub, et même générer des applications complètes à partir d’un simple PDF ou d’un croquis.