Vous avez un iPhone qui prend des photos 48 mégapixels, un écran Retina qui affiche 254 pixels par pouce, et des GPU qui font tourner des jeux en 4K mais ce que vous n’avez pas c’est Itoa , un outil web qui fait exactement l’inverse puisqu’il transforme vos images haute-définition en une grille de caractères ASCII monochrome / couleur de 10 symboles maximum (Par exemple : .:-=+*#%@).

Car l’ASCII art, c’est littéralement la mise à mort volontaire de l’image. Vous prenez quelque chose qui a besoin de millions de pixels pour exister et vous le réduisez à une poignée de caractères typographiques et en 2025, ça continue !

Sur que itoa (ça veut dire “image to ascii art”, au fait) fait ça très bien ! C’est donc, vous l’aurez compris, un convertisseur image-vers-ASCII codé en React et Vite qui tourne directement dans votre navigateur. Vous glissez dessus une image JPG, PNG ou GIF, et hop, l’outil vous la transforme en grille de caractères.

Deux modes sont dispo : monochrome pur et dur, ou couleur où chaque caractère hérite de la teinte du pixel d’origine. Vous pouvez aussi contrôler la taille de sortie (petit, moyen, grand) et exporter le résultat en PNG si vous voulez le partager ou l’imprimer.

Techniquement, itoa utilise l’API Canvas HTML5 pour analyser votre image. Ensuite, l’image est redimensionnée en gardant son ratio, puis chaque pixel est analysé. Pour le mode monochrome, l’algorithme calcule la luminance et ensuite l’outil mappe la valeur sur une échelle de caractères allant du plus clair (.) au plus foncé (@). Et pour le mode couleur, chaque pixel conserve sa couleur RGB d’origine via des balises HTML.

Bien sûr, itoa n’est pas le seul convertisseur ASCII du monde. Y’a pas exemple ManyTools.org qui fait le job depuis des années, Folge.me avec son interface moderne et ses options couleur, ou encore ASCII-Art-Generator.org qui peut exporter en SVG.

Bref, si vous aimez la nostalgie tech ou si vous voulez illustrer des .txt, c’est l’outil qu’il vous faut !

A découvrir ici !

Vous connaissez Jeff Dickey ?

C’est le développeur derrière mise , un outil qui permet aux développeurs de gèrer leurs versions d’outils de dev et leurs variables d’environnement.

Et bien cette année, il a sorti fnox , un gestionnaire de secrets.

Si vous êtes développeur, vous savez que les secrets, c’est-à-dire les identifiants, les mots de passe, etc. sont soit stockés en chiffré directement sur le dépôt Git, soit à distance via un cloud provider comme AWS Secrets Manager.

Mais c’est pas très marrant à configurer et à utiliser et c’est pour ça donc que Fnox a été inventé. Fnox utilise un simple fichier de configuration TOML que vous placez dans votre dépôt Git et à l’intérieur duquel les secrets sont soit directement chiffrés soit pointent vers des références distantes sur des services comme : AWS, Azure, GCP, HashiCorp Vault et j’en passe… ou encore des gestionnaires de mots de passe comme 1Password et Bitwarden.

Il y a même possibilité de mettre tout ça en ocal dans le gestionnaire de clés de votre OS ou dans un fichier texte.

L’avantage de cette solution, en plus de sa flexibilité, c’est qu’elle peut être utilisée dans des environnements multiples, que ce soit pour du dev, du staging, de la prod. Et comme tout est stocké sur le Git, les équipes de dev peuvent récupérer le fichier et le déchiffrer de leur côté.

Voici comment ça se met en place :

# Installer via mise (recommandé)
mise use -g fnox

# Initialiser dans votre projet
fnox init

# Définir un secret (chiffré par défaut)
fnox set DATABASE_URL "postgresql://localhost/mydb"

# Récupérer un secret
fnox get DATABASE_URL

# Exécuter des commandes avec les secrets chargés
fnox exec -- npm start

# Activer l'intégration shell (chargement automatique lors du cd)
eval "$(fnox activate bash)" # ou zsh, fish

L’histoire du jour est signée Luke M, un hacker qui a découvert comment rooter une caméra avec… du son !

L’appareil en question est une caméra chinoise de la marque Yi qui utilise une fonctionnalité appelée “Sonic Pairing” pour faciliter la configuration WiFi. Comme ça, au lieu de galérer à taper votre mot de passe WiFi sur une interface minuscule avec vos gros doigts boudinés, vous jouez simplement un petit son depuis votre téléphone et c’est ce son qui contient votre clé WiFi encodés en modulation de fréquence. La caméra écoute, décode, et se connecte.

Magique, non ?

Sauf que cette fonctionnalité marquée en “beta” dans l’app Yi IoT contient deux bugs magnifiques : une stack overflow local et un global overflow. En gros, en fabriquant un fichier audio malveillant avec les bons patterns, Luke a pu injecter du code arbitraire dans la caméra, ce qui lui permet d’obtenir un shell root qui se lance via la commande telnetd avec les identifiants par défaut. Tout ça, sans accès physique… juste la lecture d’un wav ou d’un MP3.

Pour arriver à ses fins, Luke a utilisé Frida , un framework de hooking que j’adore, capable d’intercepter les fonctions natives de l’app. Cela lui a permis de remplacer les données légitimes attendues par l’app par son propre payload.

Le premier bug (stack overflow) n’étant pas suffisant seul, Luke a dû utiliser un autre bug ( un out-of-bounds read via DOOM ) pour leaker un pointeur et contourner l’ ASLR . Mais le second bug (global overflow) est bien plus intéressant puisqu’il lui permet directement de faire une injection de commande via system() lors du pairing, sans avoir besoin d’autre chose.

Voici la waveform utilisée par le second exploit

Et comme la chaîne que vous pouvez envoyer via le son peut faire jusqu’à 128 bytes c’est largement suffisant pour un telnetd ou n’importe quelle commande shell. Notez que pour que l’exploit marche, le bind_key doit commencer par ‘CN’, ce qui force un path exploitable et, en bonus fait causer la caméra en chinois ^^.

Après faut savoir que ce hack amusant ne fonctionne que si la caméra n’est pas encore connectée au cloud. Donc c’est pas très utile pour attaquer des caméras déjà déployées mais ça illustre bien le problème de tout cet IoT pas cher avec des tas de features “pratiques” comme ce “Sonic Pairing” qui finissent par être catastrophique dans la pratique.

Voilà… si vous voulez les détails techniques complets avec les waveforms et le code d’exploit, foncez lire ça sur Paged Out! #7 .

Je vais vous raconter la meilleure de la semaine… Microsoft vient quand même de passer 5 ans à gueuler sur tous les toits que BinaryFormatter est dangereux (ça servait à sérialiser/desérialiser des objets en binaire ave .NET) et qu’il faut arrêter de l’utiliser… et pourtant, on vient d’apprendre qu’ils continuent secrètement de l’utiliser dans WSUS (Windows Server Update Services), leur système censé sécuriser les mises à jour Windows.

Et bien sûr, ce qui devait arriver, arriva… Une magnifique faille critique dans WSUS vient d’être rendue publique, ce qui met en danger environ 500 000 serveurs WSUS actuellement accessibles via le net.

L’histoire commence en réalité en 2020. A cette date, Microsoft déclare officiellement que BinaryFormatter est dangereux, ce qui ne les empêche pas de se faire poutrer Exchange, Azure DevOps, SharePoint en 2021/2021 justement à cause de ça. Du coup, en 2023, ils annoncent le bannissement total de BinaryFormatter en interne. En 2024, ils effectuent même une mise au rebus complète de .NET 9.

Mais c’était sans compter sur cette jolie CVE-2025-59287 d’octobre 2025 qui exploite à son tour BinaryFormatter dans WSUS !

Un oubli ? Pas si sûr, car Microsoft l’utilisait toujours pour déchiffrer les cookies d’authentification de WSUS, rendant ainsi ce système de mises à jour censé protéger Windows vulnérable. La faille, c’est donc une désérialisation non sécurisée. Un attaquant non authentifié envoie une requête SOAP craftée au endpoint GetCookie de WSUS, avec un cookie AuthorizationCookie contenant un payload malveillant. Et de son côté le serveur déchiffre ce truc avec AES-128-CBC, puis passe le résultat directement à BinaryFormatter pour désérialisation.

Et là, bim bam boum, une magnifique exécution de code arbitraire avec privilèges SYSTEM !

Techniquement, la vulnérabilité touche donc les Windows Server 2012 à 2025 qui ont le rôle WSUS activé. Le score CVSS de cette faille est quand même de 9,8 sur 10 ce qui est fait une faille super critique.

L’exploitation de cette faille débute le 24 octobre soit juste après la publication du patch d’urgence de Microsoft sortie la veille c’est à dire le 23 octobre, pour corriger lui-même un autre patch publié juste avant le 8 octobre. Bref un vrai bordel et il faut croire que les attaquants ont attendu la sortie de ce patch d’urgence pour comprendre comment fonctionnait la faille ( l’exploit est ici ).

De son côté, Google Threat Intelligence traque l’acteur cybercriminel UNC6512 qui a ciblé plusieurs organisations et les chiffres font pas plaisir puisque ce sont environ 100 000 tentatives d’exploitation en 7 jours qui ont eu lieues, et 500 000 serveurs WSUS exposés sur le net sur les ports par défaut (8530 HTTP, 8531 HTTPS).

Microsoft a dû sentir la douille arriver puisqu’ils ont déprécié WSUS en septembre de l’année dernière au profit d’autres solutions comme Intune ou WUfb, soit un an avant la sortie de la CVE. Mais bien sûr, comme l’outil reste dans Windows Server 2025 avec ses 10 ans de support réglementaire, des centaines de milliers d’entreprises l’utilisent encore…

Le chaos était garanti ! Maintenant vous me connaissez, je n’aime pas vous laisser sans solution, alors pour les admins sys qui lisent ça, sachez qu’il existe un script PowerShell baptisé Find-WSUS qui permet de détecter tous les serveurs WSUS configurés dans vos GPO. C’est pratique pour faire l’inventaire et vérifier que tout est patché. Et notez aussi que le patch d’urgence c’est le KB5070883. Et si vous ne pouvez pas patcher immédiatement parce que la vie est injuste, désactivez quand même le rôle WSUS de vos Windows Server, ou bloquez les ports 8530/8531 directement dans votre firewall.

Le vrai problème en fait, c’est que WSUS n’est qu’un symptôme car une grosse partie du code en entreprise est constitué de dette technique. C’est à dire du code “mort” qui continue de tourner car personne n’ose y toucher. Brrr… ça fait peur c’et sûr ! Surtout que même Microsoft n’arrive pas à tuer sa propre création 5 ans après l’annonce de sa mort officielle, donc autant dire qu’on a tous un sérieux problème.

Bref, patchez au plus vite !

Source

Peut-être que vous le connaissez déjà, mais si ce n’est pas le cas, sachez qu’il existe un site qui tracke méticuleusement toutes les apocalypses ratées ! Et actuellement et le compteur affiche fièrement 201 échecs et 0 succès. Ouf, tant mieux ! Ce site c’est le Doomsday Scoreboard de March1 Studios, et c’est un peu le panneau “X jours sans accident” des usines, mais inversé puisqu’ici on célèbre le fait que les prophètes se plantent avec la régularité d’un métronome cassé.

La dernière en date c’est l’apocalypse du 23 septembre 2025. Joshua Mhlakela, un pasteur sud-africain, avait posté des vidéos expliquant que le “Rapture” (le retour de Jésus) allait se produire ce jour-là. Les vidéos sont devenues virales sur TikTok sous le hashtag #RaptureTok, parce que bien sûr, même l’apocalypse a besoin d’influenceurs maintenant et y’a même des gens qui ont quitté leur job pour se préparer ou fait des tutos à la con du genre “5 conseils pour survivre au Rapture”.

Autant vous dire que le réveil normal du 24 septembre a dû être chelou et plein de mauvaise foi.

Mais le vrai champion toutes catégories de ces apocalypses, c’est Harold Camping. Lui il a fait 12 prédictions ratées. C’est plus que le nombre de Fast and Furious ^^ et sa prédiction la plus célèbre, sortie en mai 2011, il l’a financée avec des millions de dollars en publicité : 5000 panneaux d’affichage, 20 camping-cars sillonnant les États-Unis. Il avait calculé que c’était exactement 7000 ans après le déluge biblique, donc forcément, ça devait matcher.

Puis le 22 mai, après sa prédiction ratée, il s’est déclaré complètement débousolé ! Imaginez, vous claquez des millions pour annoncer la fin du monde, et le lendemain vous devez sortir les poubelles. Du coup pour sauver la face, il a dit “Ah non en fait c’était spirituel, la vraie c’est en octobre”. Je vous rassure, ça a foiré aussi en octobre et toutes les fois d’après.

William Miller, lui aussi c’est un autre roi du pivot stratégique. En 1843, il prédit la fin du monde devant 100 000 personnes mais bien sûr, ça a foiré “Pardon les gars, j’ai refait les calculs, c’est octobre 1844”. Et le 22 octobre 1844, toujours rien. Le résultat de ce double échec s’appelle même la Grande Déception , et honnêtement, le nom est bien trouvé. Mais Miller ne s’est pas découragé : il a juste dit que ça s’était passé au paradis, donc vous n’avez rien vu. C’est d’ailleurs de là qu’est née l’Église Adventiste.

Niveau récupération de fail, chapeau ! On dirait ces gens bizarres sur les réseaux sociaux qui repoussent chaque mois depuis 2020, leur prédiction de tous ces millions de morts provoqués à cause d’un vaccin Covid qui devait normalement joncher nos rues. Ahahaha qu’est ce qu’on se marre ^^.

Les Témoins de Jéhovah ont aussi leur propre série de ratés : 1914, 1915, 1918, 1920, 1925, 1941, 1975, 1994. La prédiction de 1925 était d’ailleurs annoncée comme plus certaine que celle de 1914 selon les Écritures. Résultat ? Entre 1925 et 1928, ils ont perdu 80% de leurs membres, déçus. La réponse officielle a été que ça avait aidé à séparer les fidèles des autres. Ça c’est du marketing de crise de champions !

En 2012 (vous vous souvenez de cette apocalypse là ?), un sondage dans 20 pays montrait que 14% des gens pensaient que le monde finirait de leur vivant. Aux États-Unis, c’était même plus de 20%. Et en 2022, 39% des Américains croyaient vivre la fin des temps. Autrement dit, 4 personnes sur 10 parient sur un cheval qui a perdu ses 201 dernières courses. Les paris sportifs sont moins risqués…

Le calendrier Maya de 2012, c’était peut-être d’ailleurs la plus grosse en termes de couverture médiatique. La fin du Grand Cycle du calendrier Maya a été interprétée comme la fin du monde avec des films catastrophe, des documentaires alarmistes, des ventes de bunkers qui explosent…etc. Puis le jour J, le 22 décembre 2012, réveil normal, café normal, métro normal. Hé oui, les Mayas n’avaient jamais dit que c’était la fin, juste que leur calendrier recommençait un nouveau cycle. Mais bon, ça fait moins de clics.

On a un peu le même truc en ce moment avec la comète 3I/ATLAS. Je vois dans Google News des tas de médias merdiques nous expliquer une fois que c’est un vaisseau alien qui ralenti pour venir nous achever, et une autre fois que le machin nous arrive droit dessus pour nous atomiser…

Et dire qu’il suffit d’aller lire 2/3 articles sérieux sur le sujet pour capter qu’on ne risque rien. Le machin va juste passer, on va lui faire coucou et on ne le reverra jamais… Breeeef, la connerie et la peur n’a pas de limites malheureusement.

Et le site Doomsday Scoreboard ne se contente pas uniquement d’archiver les échecs. Il liste aussi les apocalypses en attente. En ce moment y’a 8 prédictions pour 2025-2026. Donc 8 nouvelles chances de voir le compteur passer à 209 apocalypses ratées. Ce que j’aime bien avec ce site en tout cas, c’est qu’il transforme des annonces plutôt déprimantes en performance artistique.

Le compteur qui tourne, le total des échecs qui s’incrémente, les liens vers les sources Wikipedia pour chaque prédiction…etc. C’est à la fois un joli devoir de mémoire et une bonne blague ! En tout cas, pour le moment, c’est le seul domaine où l’humanité affiche un taux de fiabilité de 100% !

Voilà… Maintenant, rendez-vous dans 249 jours pour savoir si l’apocalypse aura lieue ou si vous devrez quand même aller bosser le lendemain.

Merci à Lilian pour le lien !

Vous connaissez le radon ? C’est ce gaz radioactif qui s’infiltre insidieusement dans nos maisons depuis le sol. Et si vous habitez en Auvergne comme moi ou en Bretagne ou dans une région où il y a du radon , vous êtes peut-être dans une zone à risque. C’est pour cela que j’ai acheté un détecteur Ecosense EcoBlu EB100 pour voir enfin comment ça se passait vraiment chez moi.

Mais avant de vous parler du produit, laissez-moi quand même vous expliquer ce qu’est le radon… Il s’agit d’un gaz radioactif naturel qui vient de la désintégration de l’uranium présent dans le sol. Il est inodore, incolore, invisible. Vous ne le sentez pas, vous ne le voyez pas, mais il est là. Et le truc, c’est qu’en Auvergne, avec notre sous-sol granitique du Massif Central, on est particulièrement exposé.

Le radon entre donc dans les maisons par les fissures, les passages de canalisations, les caves, les vides sanitaires…etc et remonte du sol pour finir par se concentrer dans les pièces fermées. Et là, c’est pas bon du tout !! Le Centre international de recherche sur le cancer a classé le radon comme cancérigène certain pour le poumon depuis 1987. En France, c’est d’ailleurs la deuxième cause de cancer du poumon après le tabac. Rien que ça ! Le radon c’est donc environ 3 000 décès par an.

Du coup, ça fait un petit moment que je sais que l’Auvergne fait partie des zones les plus touchées en France avec la Bretagne, le Limousin et la Corse, mais je m’en étais pas trop inquiété jusqu’à ce que je lise un article scientifique là dessus. J’ai donc voulu savoir à quoi moi et ma famille on s’exposait parce que bon, c’est vrai qu’en hiver, je suis pas le champion de l’aération ! Puis surtout, on est un peu impuissant face à un truc qu’on ne voit pas. Donc au moins, si on peut le mesurer, on peut agir !

Bref, l’ Ecosense EcoBlu EB100 , c’est un petit boîtier blanc de la taille d’un réveil. Vous le branchez, et en 10 minutes vous avez déjà une première lecture. Après pour un résultat vraiment fiable, il faut attendre une heure. L’écran LED affiche alors le taux de radon en temps réel, la moyenne du jour, de la semaine et du mois. C’est super simple à utiliser !

Initialisation en cours…

Y’a même une alarme qui se déclenche si les niveaux deviennent critiques. Pour info, le seuil de référence en France, c’est 300 Bq/m3 en moyenne annuelle. Au-dessus, il faut agir.

Chez moi, les premiers jours, j’étais à 450 Bq/m3 dans le salon. Carrément au-dessus du seuil donc. Du coup, j’ai fait ce qu’il faut : aérer à fond ! Et assez rapidement finalement, c’est revenu à des taux plus tolérables, autour de 100 Bq/m3, parfois moins. J’ai renforcé la ventilation dans les pièces du sous-sol car c’est par là que ça arrive et surtout j’aére tous les jours. Et ce qui est bien avec cet appareil, c’est que machinalement je pose les yeux dessus et donc j’y pense et j’ouvre les fenêtres.

Sans ça, j’en aurais pas vraiment conscience par contre, et finalement je ne saurais pas si j’aère la maison assez ou pas.

Car ce qui est important à comprendre surtout, c’est que le taux de radon varie tout le temps. Selon la météo, la saison, l’état de vos fondations, le chauffage que vous mettez…etc. En fonction de tout un tas de critères, les taux peuvent monter ou descendre. C’est assez random. Y’a des matin, je me lève et je suis à 30 Bq/m3 et d’autres matins, c’est la fiesta largement au dessus des 300… Bref, l’EcoBlu me permet de surveiller ça en continu.

Après à ce prix, c’est quand même un investissement mais ça vaut le coup si vous êtes en zone à risque et si vous avez une maison ou en rez de chaussée d’apart. Si vous êtes en étage, y’a moins de risque d’être intoxiqué par cette saloperie.

Maintenant ce qu’il faut retenir c’est que le radon, c’est pas une blague. C’est comme si vous fumiez plusieurs clopes tous les jours ! Imaginez ça sur des années, ça craint ! Et si en plus, vous fumez pour de vrai, le risque de cancer du poumon est multiplié par 20.

L’idéal c’est quand même de repasser sous la barre des 100…

Voilà, après en dehors de l’aération, vous pouvez aussi agir sur l’étanchéité de votre maison. Colmater les fissures dans les dalles, les passages de canalisations, mettre une membrane étanche dans la cave si elle est en terre battue, ventiler les vides sanitaires…etc… Bref, limiter les entrées du radon depuis le sol c’est jouable ! L’idéal, c’est évidemment une VMC qui tourne en continu et pas juste une aération ponctuelle car le radon s’accumule quand l’air ne circule pas. Ainsi, plus vous renouvelez l’air intérieur, moins le radon stagne.

Perso, j’ai installé 2 ventilations à la cave comme je vous le disais. C’est mieux que rien, mais ça ne suffit pas.

En tout cas, je ne regrette pas cet achat de détecteur temps réel. Matérialiser un danger invisible, ça change tout et maintenant, que je vois les chiffres, je sais quand il faut aérer, et je sais que je ne me pèle pas les noisettes pour rien en plein hiver. Bref, c’est rassurant surtout !

Voilà, donc si vous êtes en Auvergne, Bretagne, Limousin, Vosges, Alpes, Corse… ou n’importe quelle zone granitique, je vous conseille vivement de mesurer le radon chez vous. Vous serez peut-être surpris… au mieux, vous découvrirez que tout va bien et vous pourrez renvoyer ce détecteur à Amazon et vous faire rembourser et au pire, vous corrigerez ce problème avant qu’il ne devienne grave…

Sources :

• Informations sur le radon en France : IRSN - Le risque radon en 10 questions
• Radon en Auvergne : ARS Auvergne-Rhône-Alpes
• Classification cancérigène : Cancer Environnement - Radon et effets sur la santé

Guillaume, fidèle lecteur de Korben.info depuis un looong moment, s’était bricolé un script bash pour gérer ses connexions SSH. Vous savez, c’est le genre de script qu’on améliore petit à petit, puis qu’on finit par ne plus oser toucher de peur de tout casser. C’est pratique, mais pour reprendre les mots de Guillaume dans le mail qu’il m’a écrit, c’est pas très “élégant”.

Puis il est tombé sur deux articles que j’avais écrits : un sur ssh-list , un sur ggh qui sont deux outils sympas pour gérer les connexions SSH depuis le terminal. Mais de son point de vue, incomplets. Et là, il a eu un déclic : “Et si je combinais les deux, en ajoutant ce qui me manque ?”

Et un mois plus tard, SSHM était né . On est loin du script du départ puisqu’il a codé un véritable outil en Go avec Bubble Tea , dans une interface TUI moderne, avec un support complet du ~/.ssh/config, une organisation par tags, un historique des connexions, et même du port forwarding avec mémoire. Bref un truc super abouti.

Puis environ environ 1 mois après la sortie de la première version, Guillaume a continué à implémenter pas mal de nouveautés : gestion interactive des hôtes SSH, recherche intelligente multi-mots, indicateurs de statut en temps réel, support ProxyJump, directives Include gérées correctement, personnalisation des raccourcis clavier, compatible Linux/macOS/Windows. Le tout dans un binaire unique sans dépendances.

Faut vraiment que vous testiez car c’est c’est chouette. Je trouve que SSHM a dépassé largement ses inspirations. Par exemple, ssh-list organise vos serveurs en groupes alors que SSHM utilise des tags. Ça permet de marquer un serveur “prod” + “web” + “urgent” et du coup c’est beaucoup plus flexible que de ranger ça dans des dossiers statiques.

ggh fait également du session recall. Cela veut dire qu’il se souvient de vos dernières connexions SSH et vous permet de les relancer rapidement. Et bien SSHM fait ça AUSSI, mais en plus il gère toute votre config SSH : Ajout, édition, suppression d’hôtes, directement depuis l’interface TUI. En vrai, Guillaume n’a pas copié-collé les idées de ces outils mais a repensé totalement l’organisation même de la gestion SSH.

Prenez le port forwarding. Combien de fois vous avez perdu vos notes sur vos tunnels SSH ? Hé bien SSHM lui se souvient de vos dernières configs de tunnels locaux, distants, SOCKS…etc. Si vous forwardez toujours le port 3306 de votre base MySQL de dev, SSHM retiendra les paramètres. Ça fait gagner grave de temps car vous n’avez plus à vous rappeler de la syntaxe “ssh -L 3306:localhost:3306 user@serve” à chaque fois. C’est un petit détail qui prouve bien que cet outil a été créé par quelqu’un qui UTILISE vraiment SSH au quotidien, et pas juste pour faire un script vite fait.

L’interface TUI est plutôt fluide, avec des raccourcis clavier configurables et vous pouvez même désactiver ESC si vous êtes un puriste vim qui déteste les touches d’échappement. Les indicateurs de connectivité SSH s’affichent en couleur en temps réel (vous voyez d’un coup d’œil quels serveurs répondent) et il y a une superbe recherche (un filtre en réalité) par nom et par tags, qui supporte plusieurs mots. Et si vous préférez scripter, SSHM fonctionne aussi en CLI pur. Par exemple, “sshm connect prod-web-01” dans un script bash, et ça marchera en gardant l’historique des connexions.

Un autre point technique important pour les admins qui ont des configs SSH complexes : SSHM gère correctement les directives Include . Hé oui, beaucoup d’outils cassent quand vous avez un ~/.ssh/config qui include des fichiers séparés comme ~/ssh/work et ~/ssh/perso. SSHM est capable non seulement de les lire mais aussi de les éditer correctement.

Concernant l’installation c’est ultra-simple. Sur macOS, Homebrew fait le job. Sur Unix/Linux, il suffit d’un script d’une ligne. Enfin, sous Windows, y’a un script PowerShell. Ou alors vous pouvez télécharger direct le binaire depuis les releases GitHub .

Homebrew pour macOS :

brew install Gu1llaum-3/sshm/sshm

Unix/Linux/macOS :

curl -sSL https://raw.githubusercontent.com/Gu1llaum-3/sshm/main/install/unix.sh | bash

Windows (PowerShell):

irm https://raw.githubusercontent.com/Gu1llaum-3/sshm/main/install/windows.ps1 | iex

Bref, Guillaume a plutôt bien géré son truc je trouve ! Comme quoi, la barrière entre “bidouille perso” et “outil communautaire reconnu” n’a jamais été aussi basse. Avec un bon framework comme Bubble Tea, une idée claire sur ce qui manque aux outils existants, et un ou deux mois de travail sérieux, et hop, on fait un miracle !

Voilà, donc si vous gérez plusieurs serveurs SSH au quotidien, SSHM vaut vraiment le coup d’œil. Un grand merci à Guillaume pour le partage, c’est trop cool !