Comments

60% des mots de passe hashés en MD5 peuvent être cassés en moins d'une heure... C'est ce que dit en tout cas une étude de Kaspersky publiée cette semaine qui se base sur +231 millions de mots de passe qu'on peut trouver sur le dark web et tirés de fuites ayant eu lieu entre 2023 et 2026. D'après leurs tests, 48% sont craqués en moins d'une minute et 60% en moins d'une heure. C'est pas très rassurant, surtout si votre base tourne encore au MD5.

Le chercheur en sécu Hyunwoo Kim vient de lâcher dans la nature Dirty Frag, un nouvel exploit kernel Linux qui enchaîne 2 vulnérabilités pour obtenir un accès root sur n'importe quelle distro majeure, avec un taux de réussite proche de 100%.

L'embargo devait tenir encore quelques semaines. Il n'a pas tenu.

Et problème (et c'est pour ça que je vous en parle) c'est que ça marche du feu de dieu, et que personne n'a encore de patch disponible !! Alerte rouge donc !!

DOOM, Fallout, Theme Hospital, Civilization... il y a sur le web des milliers de jeux DOS jouables directement dans votre navigateur, gratuitement, sans installer quoi que ce soit. Car oui mes amis, l'émulation DOS dans le browser a vraiment mûri, et il existe des dizaines de bons sites qui vous permettent de jouer à tout un tas de jeux disparus. Je vous propose donc une bonne dizaine d'entre eux classés par ordre alphabétique.

Comments

"GitHub n'est plus un endroit pour faire du travail sérieux."

C'est signé Mitchell Hashimoto, le créateur de HashiCorp, de Vagrant ou plus récemment de Ghostty, et l'utilisateur numéro 1299 de la plateforme depuis février 2008.

Et quand un mec qui a passé 18 ans à pousser du code presque tous les jours sur Github annonce qu'il se casse, bah ça vaut clairement le coup de comprendre pourquoi.

L'annonce est tombée hier : Ghostty , le terminal en Zig pour macOS et Linux va quitter la plateforme. Pas tout de suite, pas brutalement, mais la décision est prise. Hashimoto précise qu'il discute "avec plusieurs fournisseurs (commerciaux comme FOSS)" pour choisir la nouvelle maison pour son code, et qu'un miroir en lecture seule restera accessible sur l'URL GitHub actuelle pour ne pas casser les liens des PRs et des issues. La migration sera, je cite, "aussi incrémentale que possible" pour les contributeurs.

Comments

Ce matin en buvant mon café, je suis tombé sur un dépôt qui m'a fait tiquer et j'aimerai prendre quelques minutes pour vous en parler. Ça s'appelle Open Slopware , c'est hébergé sur Codeberg, et ça recense tous les projets open source qui ont eu le "malheur" de laisser l'IA s'approcher de leur code.

En fait, c'est une grande liste organisée par types de reproches, allant du projet qui autorise les contributions faites avec des LLM, à celui qui intègre une fonctionnalité IA, en passant par ceux qui acceptent du sponsoring d'entreprises IA ou qui ont un bot qui répond aux issues. Plus de 100 projets sont épinglés pour le moment, avec à chaque fois une alternative "AI-free" proposée. Forkée après que le repo original ait été supprimé par son créateur, la version actuelle est aujourd'hui maintenue par un collectif baptisé "small-hack".

Lucy est désormais accessible gratuitement aux acteurs de la recherche et de l’industrie. L’ordinateur quantique photonique a été inauguré le 14 avril dernier au Très Grand Centre de calcul du CEA (TGCC). Couplé au supercalculateur Joliot-Curie hébergé au TGCC, il avait été livré le 15 octobre 2025, mais était jusqu’à présent en phase d’acceptation avant son ouverture aux … Continuer la lecture de Avec Lucy, l’Europe entre dans l’ère du calcul hybride quantique →

Cet article Avec Lucy, l’Europe entre dans l’ère du calcul hybride quantique est apparu en premier sur Techniques de l'Ingénieur.

Le mouvement Stop Killing Games a officialisé son soutien à la Protect Our Games Act, un projet de loi californien qu'il a contribué à rédiger avec le député américain Chris Ward.

Le texte a été déposé sous la référence AB-1921 ("Digital games: ordinary use"), et il cible directement un des points douloureux du jeu vidéo moderne, les titres serveur-dépendants qui deviennent inutilisables quand l'éditeur décide de débrancher les serveurs.

La logique du texte est simple. Pour un jeu connecté vendu en Californie, l'éditeur aura deux options en fin de vie. Soit il remplace le jeu par une alternative comparable, sans coût supplémentaire pour le client.

Retrouver un vieil article sur korben.info, c'est pas toujours simple. La home s'arrête à 5 pages (site statique oblige) et après, fallait se débrouiller avec les catégories ou le moteur de recherche. Alors pour vous faciliter un peu la vie, je vous ai mis à dispo des pages d'archives accessibles via le footer.

Ainsi, vous scrollez en bas de n'importe quelle page, vous cliquez sur "Archives" ou sur une année, et vous tombez sur un index chronologique complet. Chaque mois est listé avec tous ses jours, et pour chaque jour, un petit nombre entre parenthèses vous indique combien d'articles ont été publiés ce jour-là. Vous cliquez, vous avez tout.

Ce week-end, pendant qu'on se gavait d'oeufs de Pâques au Cadmium, un chercheur en sécu a balancé un zero-day Windows dans la nature... et tout ça d'après ce que j'ai compris, à cause de Microsoft qui l'a vraiment poussé à bout. L'exploit s'appelle BlueHammer et il permet à quiconque ayant un accès local sur une machine Windows 11 25H2 de passer SYSTEM. Et vous vous en doutez y'a toujours pas de patch.

Bon, j'ai la crève et y'a du bricolage qui m'attend, du coup aujourd'hui y'aura pas des centaines d'article. Mais faut quand même que je vous parle de Hister , le nouveau projet d'Adam Tauber (le créateur de Searx ) qui indexe localement tout ce que vous visitez sur le web pour le retrouver en texte intégral.

Vous installez l'extension Chrome ou Firefox, vous lancez le binaire Go sur votre machine (ça tourne sous Linux, macOS et Windows), et hop, chaque page que vous visitez est indexée en full-text. Du coup, quand vous cherchez ce tuto que vous aviez lu y'a 3 semaines mais dont vous avez zappé l'URL, vous ouvrez l'interface web locale de Hister, vous tapez un mot qui était dans le contenu de la page et ça ressort ! Si vous aviez testé Deeper History à l'époque, c'est le même concept mais en beaucoup plus costaud.

Et si je vous disais qu'on pouvait faire tourner Firefox dans un terminal ? Et pas un navigateur en mode texte, hein. Non, le véritable Firefox, avec ses onglets, les images, la totale... Hé oui c'est possible et que ça fonctionne via SSH, donc depuis un serveur distant. Bienvenue dans le futur (ou le passé, j'sais plus trop) !

Term.everything c'est un compositeur Wayland construit from scratch en Go qui, au lieu de balancer l'image sur votre écran, la convertit en caractères ANSI et l'affiche dans le terminal. Du coup, n'importe quelle app GUI Linux peut tourner là-dedans. Firefox, un gestionnaire de fichiers, un lecteur vidéo... et même Doom (parce que si ça peut pas faire tourner Doom, ça compte pas). Le binaire fait une poignée de Mo, c'est sous licence AGPL-3.0, et y'a zéro dépendance externe.

La bibliothèque JavaScript Axios, téléchargée plus de 100 millions de fois par semaine, a été compromise. Un attaquant a détourné le compte du mainteneur principal pour y glisser un malware multiplateforme qui vise aussi bien macOS que Windows et Linux.

Un compte piraté, deux versions vérolées

Tout est parti du compte npm de jasonsaayman, le mainteneur principal d'Axios. L'attaquant a réussi à prendre le contrôle du compte, a changé l'adresse mail vers un ProtonMail anonyme, et a publié deux versions malveillantes : axios 1.14.1 et axios 0.30.4.

Quand on gère un serveur, y'a un truc qui rend dingue, c'est le bruit de fond de ces dizaines de milliers d'IPs qui scannent vos ports, qui tentent du bruteforce sur le port 22, qui cherchent des failles WordPress ou des phpMyAdmin oubliés... et surtout qui font tourner Fail2ban à plein régime dans les logs pour stopper ce qui peut l'être.

Fail2ban est d'ailleurs hyper réactif mais il attend qu'une IP fasse une connerie dans vos logs Apache ou SSH avant de la bloquer. Donc c'est quand même un peu tard.. Alors si on pouvait carrément virer le gros du trafic pourri avant même qu'il arrive à nos services ? Ce serait pas mieux ?

Vous savez ce qui est super vicieux avec Google Drive ?

C'est que les fichiers .gdoc, .gsheet et .gslides que vous voyez dans votre explorateur de fichiers et bien ce ne sont pas de VRAIS documents. Ce sont en fait des raccourcis JSON de quelques octets qui pointent vers les serveurs de Google. Essayez par exemple de les copier avec FreeFileSync ... y'a rien dedans ! Vous pensez donc avoir une copie mais le jour où vous fermez votre compte Google, pouf, tout disparaît comme par magie !