Alors voilà, on en est là. On râle contre la surveillance généralisée, on s’insurge quand Facebook nous écoute, on fait des crises d’angoisse quand on découvre que nos smart TV nous espionnent, et en même temps, on va volontairement installer sur notre téléphone une app qui enregistre tout ce qu’on fait.

Cette app s’appelle Alibi , elle est développée par Myzel394 et ce qu’elle permet, c’est de transformer votre smartphone en dashcam qui filme et enregistre en permanence, 24h/24.

Si vous êtes comme moi, que vous êtes parent et que vous pensez que le contrôle parental de votre box internet protège Junior des méchants sites du web, hé bien j’ai une mauvaise nouvelle. Car pendant que vous réglez minutieusement vos filtres, des ados développent des proxys web tellement sophistiqués que même les admins réseau en sueur n’arrivent plus à suivre.

Prenez Scramjet par exemple… c’est le dernier né de cette course à l’armement, et c’est vraiment bien fichu. Développé par Toshit pendant le Hack Club Summer of Making , Scramjet n’est pas juste un énième proxy pour regarder YouTube en cours de maths. Non non, c’est un véritable système d’interception basé sur JavaScript et WebAssembly qui réécrit le code des sites web à la volée.

J’ai une excellente nouvelle pour tous ceux qui veulent se libérer de l’emprise toxique de Google ! AbhishekY495, le développeur de LocalTube Manager vient d’annoncer sur Reddit que son extension est désormais totalement gratuite et open source. Avant, il fallait acheter une licence, mais face aux complications de gestion des différents moyens de paiement, il a décidé lâcher l’affaire et de simplifier les choses en offrant l’outil à tout le monde.

Vous savez ce qui pousse des ingénieurs bien payés d’Amazon Web Services à tout plaquer ? C’est l’écœurement total face à ce qu’ils appellent “l’économie de la surveillance”.

Et c’est exactement ce qui est arrivé à Mohammed, Murtaza et Santhosh en 2019 qui selon leur propre témoignage, ont donc abandonné leurs postes confortables chez AWS, IBM et Scientific Games par, je cite, “un dégoût de l’économie de de la surveillance et par la frustration devant le manque d’app de sécurité faciles à utiliser pour les 3 milliards d’utilisateurs d’Android sans méfiance”.

Un scénario classique en entreprise c’est un script Python de synchronisation qui doit tourner sous Windows et qui se barre en erreur à chaque redémarrage. Le coupable c’est ce fichu service Windows qui s’obstine à chercher sa configuration dans C:\Windows\System32 plutôt que dans le répertoire de l’application. Du coup, ça prend 3 heures de débogage pour un problème vieux comme Windows NT et ça c’est moche !

Car le problème avec les services Windows, c’est qu’ils sont coincés dans les années 90. La commande sc create ne fonctionne qu’avec des applications spécialement conçues pour être des services. Et NSSM est puissant mais avec une interface en ligne de commande cryptique et des éditions du registre à la main. Et le pire dans tout ça, c’est ce fameux répertoire de travail bloqué sur System32 qui fait planter la moitié des applications qui dépendent de chemins relatifs.

À côté d'Heroic Launcher et la pléthore de lanceurs multi-magasins (GOG/Steam/etc.), en voici un nouveau : Playnite.
Il possède même des plugins pour intégrer les critiques Steam ou encore HowLongToBeat.
(Permalink)

Imaginez pouvoir scanner votre propre installation Odoo comme un hacker éthique pour y débusquer toutes les failles en quelques minutes. Et bien c’est exactement ce que fait OdooMap créé par Mohamed Karrab et dispo sur GitHub. Avec plus de 7 millions d’entreprises qui utilisent Odoo dans le monde, les failles de sécurité peuvent coûter très cher, donc c’est super de s’y intéresser un minimum.

Pour ceux qui ne connaissent pas, Odoo c’est cet ERP open source hyper populaire qui gère tout dans une entreprise : ventes, stocks, comptabilité, RH, site web, et j’en passe. Le problème, c’est que beaucoup d’installations Odoo sont mal configurées ou pas à jour, ce qui les rend vulnérables. Et quand on sait que cet ERP contient littéralement toutes les données sensibles d’une boîte, ça fait froid dans le dos.

« Dans la famille des transhumanistes techno-fascistes, je demande Balaji Srinivasan… » Au jeu des sept familles de la Silicon Valley, tout le monde a en tête Mark Zuckerberg (Meta), Jeff Bezos (Amazon) ou Tim Cook (Apple). Pourtant, ce ne sont pas eux qui codent le logiciel idéologique de la Vallée. Aux manettes, sept techno-barons rêvent d’immortalité sur fond de guerre « anti-woke ». Dans le numéro de FUTUR paru au printemps dernier, on vous dressait le portrait de ces figures discrètement influentes. Focus sur Balaji Srinivasan.

Allez, même si tous les médias vous gave avec ça ces derniers jours, je vais quand même vous raconter l’histoire de la CVE-2025-53770, une faille SharePoint qui fait actuellement trembler Internet.

On est le 18 juillet dernier, c’est vendredi matin. Je suis tranquille posé en Bretagne, devant mon petit café, en train de scroller mes flux RSS comme d’hab. Et là, BAM ! Je vois un tweet d’un chercheur néerlandais qui me fait recracher mon café : “Quelque chose de très mauvais se passe avec SharePoint. Vérifiez vos logs. MAINTENANT.”

J’sais pas si vous avez eu le temps de voir ça (après tout, c’est encore les vacances) mais des chercheurs de l’Arizona State University viennent de réussir un truc de malade avec l’algorithme de Shor sur un ordinateur quantique IBM. Ils ont pété une clé cryptographique elliptique en exploitant les interférences quantiques, et il va y avoir des implications pour notre futur.

Bon, avant que vous partiez en mode panique totale, laissez-moi vous expliquer tout ça. L’équipe de Tippeconnic a réussi à casser une clé de 5 bits. Oui, 5 bits. C’est l’équivalent du niveau de sécurité d’un cadenas de vélo rouillé comparé aux 256 bits qui protègent vos transactions Bitcoin habituelles. Mais le truc vraiment cool, c’est que c’est la première fois qu’on prouve concrètement que l’algorithme de Shor fonctionne réellement sur du matos quantique pour attaquer de la cryptographie elliptique.

La compression "ultra" de 7-Zip s'utilise comme suit:
🖥️ 7zz a -mx9 archive.7z répertoire

Mais on peut faire encore mieux. Pour une compression maximale à des fins d'archivage, j'utilise:
🖥️ 7zz a -snl -t7z -m0=lzma2 -mx=9 -myx=9 -mfb=257 -md=1024m -ms=on -mmt=off archive.7z répertoire

Attention, cette solution a des inconvénients:
- 7-Zip fonctionne alors en mono-threadé (-mmt=off). La compression prend donc *beaucoup* plus de temps (et la décompression un peu plus de temps).
- La compression consomme environ 10 Go de RAM, et la décompression 1 Go.

1 Go me semble raisonnable pour les machines d'aujourd'hui.

Si vous voulez aller un peu plus vite, on peut passer à 4 threads avec :
🖥️ 7zz a -snl -t7z -m0=lzma2 -mx=9 -myx=9 -mfb=257 -md=512m -ms=on -mmt=4 archive.7z répertoire
Cette solution consomme 11 Go de RAM à la compression, et compresse légèrement moins bien.
(Permalink)

Les boîtes qui vendent l'IA prétendent que leur produit va vous faire gagner énormément de temps en développement.

Une étude scientifique a été réalisée. Conclusion de cette étude : Les développeurs qui utilisent des IA mettent 19% de temps en PLUS à accomplir les tâches.

Effet psychologique intéressant : Les développeurs utilisant des IA (donc 19% plus lents) étaient persuadés d'être 20% plus rapides que les autres.
(Permalink)

Comments

Vous savez, les sauvegardes, c’est un peu comme les visites chez le dentiste : on sait qu’il faut le faire, mais on repousse toujours à plus tard. Et bah figurez-vous que deux petits génies français viennent de sortir une solution qui va vous faire adorer les backups.

Je vous présente Plakar, l’œuvre de Gilles Chehade (le gars derrière OpenSMTPD, ex-VP Engineering de Clever Cloud) et Julien Mangeard (ancien CTO d’Exoscale). Deux pointures de l’open source qui se sont dit en toute modestie “tiens, et si on révolutionnait le backup ?”. Et franchement, ils n’ont pas fait les choses à moitié puisque leur startup Plakar Korp, basée à Paris, vient de lever 3 millions de dollars en mai 2025 avec des investisseurs de fou comme Seedcamp, et des business angels genre Olivier Pomel de Datadog ou Solomon Hykes de Docker.

L'IA est un réel danger. En voici encore un exemple : Quand vous demandez à ChatGPT le site officiel d'une grande marque ou d'un service connu, il vous donne la bonne adresse seulement 66% du temps. Une aubaine pour les arnaqueurs et le phishing.
(Permalink)

Les GAFAMs, grands pourvoyeurs de fonctionnalités que personne n'a demandé. (Et qui font chier.)
(Permalink)

Vous le savez, j’adore les histoires de hackers qui trouvent des failles là où personne ne pense à regarder. Et celle que je vais vous raconter aujourd’hui est particulièrement savoureuse…

C’est l’histoire de Sharon Brizinov, un chercheur en sécurité qui a réussi à scanner TOUS les commits “oops” de GitHub depuis 2020 et à trouver pour 25 000 dollars de secrets. Ouais, 25 000 balles en scannant des trucs que les développeurs pensaient avoir supprimés…

Let's Encrypt a annoncé la disponibilité de certificats TLS (https) sur des ADRESSES IP (d'une durée de 6 jours) au lieu de juste sur les domaines.

Ça peut paraître bizarre, mais comme le souligne l'auteur de cet article, le système des noms de domaine fait le jeu du capitalisme : Il s'agit d'une "ressource" dont la rareté est entretenue et sur laquelle spéculent un certain nombre d'acteurs. ("sex.com" est en vente au prix de 13 millions de dollars si vous êtes intéressé·e)
Et ce n'est pas juste le problème du capitalisme : Les domaines peuvent être saisis.

Permettre la création de certificats sur des IP, c'est favoriser le "small web", celui des indépendants, des individus, et non le web des entreprises.

Et au final, ce n'est sans doute pas déconnant : Certains fournisseurs d'accès vous attribuent la même IP pendant assez longtemps (j'ai gardé la même adresse IP pendant plus de 7 ans chez Free).

Et est-ce vraiment plus difficile à partager qu'un numéro de téléphone ?
(Permalink)

« Ars Technica a benchmarké cinq gros jeux Windows natifs sur une console-PC portable Lenovo Go S, utilisant d'abord Windows 11, puis SteamOS (le Linux à la sauce Valve qui peut faire tourner certains jeux Windows grâce à la surcouche Proton). Et les résultats sont aberrants. Returnal, Cyberpunk 2077, Homeworld 3 et Doom : The Dark Ages sont systématiquement plus fluides sur SteamOS, aussi bien en 1920×1200, détails à fond, qu'en 1280×800, détails au minimum. Sur Returnal, l'écart en termes d’images par seconde va même du simple au double. Il n'y a guère que Borderlands 3 qui tourne très légèrement mieux (7%) sur Windows 11. Microsoft a donc réussi l'exploit d'alourdir son système d'exploitation jusqu'à le rendre moins performant dans les jeux vidéo qu'un émulateur sous Linux. À un moment, on va finir par se radicaliser.  »

LOL.
(Permalink)

Il faut enfoncer le clou.
(Par contre le "fût-il ami" dans l'article : Mais bon sang 🤦‍♂️ les USA ne sont PAS nos amis !)
(Permalink)

Une IA qui deviendrait meilleure que les meilleurs hackers éthiques de la planète, ce n’est plus de la science-fiction, c’est ce qui vient de se passer vraiment avec XBOW, une intelligence artificielle qui a littéralement explosé le classement mondial du bug bounty. Pour la première fois dans l’histoire, un robot a atteint la première place du leaderboard américain de HackerOne, la seconde plateforme de référence du bug bounty après YesWeHack évidemment ^^.

À force de surfer sur les articles qui parlent de vibe coding, je commence à me faire une idée plus précise de l'impact des IA sur le développement logiciel. Et j'en suis maintenant certain: Cela ne va pas remplacer les développeurs. Certes tant que la vague de la hype n'est pas retombée, ça va nous impacter et bien bien nous faire chier. Mais ça ne va pas nous remplacer.

Voici - en l'état actuel des capacités de ces IA - pourquoi je pense que ce n'est pas une menace à long terme :

- Les IA de développement n'ont qu'un niveau junior... et encore !  Il faut les corriger sans cesse, modifier sans cesse les directives pour obtenir quelque chose de correct. Au point où certain en sont à leur dire "c'est pas ça, essaie encore" jusqu'à obtenir quelque chose de correcte. En gros, lancer des dés jusqu'à ce que le résultat soit satisfaisant.

- Les développeurs seniors sont *indispensables* pour contrôler le code produit par les IAs. Donc au mieux les IA vont remplacer les dévs junior. Mais on obtient pas de devs seniors sans avoir d'abord des juniors. On risque donc de "perdre" une génération entière de futurs devs seniors. Le recrutement pose déjà des problèmes en informatique, cela va aggraver la situation des entreprises.

- Il semble qu'au-delà d'un certain niveau de complexité, les capacités de "raisonnement" (notez les guillemets) des IAs s'effondrent. Donc elle est bonne pour comprendre une unité de code de taille limitée, mais sur une grosse base de code (typiquement le genre qu'on trouve en entreprise) soit elle fait de la merde soit elle cesse tout simplement de fonctionner.

- L'IA ne comprend pas votre métier et toutes ses subtilités. Pondre du code, c'est une toute petite partie du métier de développeur. Il faut être capable de discuter avec les utilisateurs et écrire une spécification fonctionnelle, coordonner les équipes, conduire des séances de tests techniques et fonctionnels avec différents intervenants du client, s'occuper de la recette, de la mise en prod, du suivi de mise en prod, du support client, de la gestion des tickets, des remontées à la hiérarchie sur l'avancement des projets, répondre aux demandes des clients (téléphone, mail, messageries, tickets), faire du partage de connaissance et des retex, faire de la reprise de données en masse, de l'injection de référentiels, déboguer code (parfois en prod), investiguer sur des problèmes de cohérence sur des bases de données, gérer les particularités de l'architecture logicielle de votre solution... l'IA est incapable de faire toutes ces choses, ni de les comprendre, et encore moins de prendre en compte des myriades de petites spécificités et contraintes de votre métier dans l'écriture du code.

- Quand on a de la bouteille dans le métier, on sait que comprendre un bout de code écrit par quelqu'un d'autre prend *toujours* plus de temps que l'écrire soi-même. Quand vous codez avec une IA, c'est l'IA qui écrit le code et vous le passez en revue. Le gain de temps à l'écriture du code est probablement perdu par le temps nécessaire à comprendre tout le code. (à ajouter au fait que vous ne maîtrisez plus trop l'archi logcielle pondue par l'IA, mais que vous subissez ses choix).

- Les IAs sont incapables de respecter les bonnes pratiques de code (injection SQL, dépassements de buffers, faire une bonne gestion d'erreur, éviter d'écrire des données sensibles dans les logs, respecter les standards de code de l'entreprise, etc.)...  à tel point que certains appellent ces IAs de manière humoristique: "Vulnerability as a service".

- Elles inventent des choses qui n'existent pas. Ce qui inclue l'import de packages qui n'existent pas. Ce qui introduit des risques de sécurité. (cf. https://sebsauvage.net/links/?PrXsuw)

- Elles ont tendance à multiplier les dépendances (import d'un grand nombre de packages) pour résoudre un problème.

- Les IA ne savent pas respecter les licences, et ne sont d'ailleurs même pas capable de citer leurs sources. Utiliser du code produit par une IA peut juridiquement vous mettre en danger (copie de code sans respect de la licence).

- Qu'on le veuille ou non, créer du code est quelque chose qui est, pour le développeur, intellectuellement extrêmement plaisant. Avec l'IA vous retirez ce plaisir au développeur et le remplacez par un donneur d'instructions. "Fais ça. Non comme ça. Non pas ça c'est pas bon, fais-le comme ça. Recommence c'est pas bon. Cette partie-là ne fonctionne pas." C'est fantastiquement chiant, en fait. Vous allez démotiver vos développeurs.

- Les IAs, avec leur puissance actuelle, ne sont pas rentables (https://sebsauvage.net/links/?ROk7Vw). Or pour que l'AI de développement soit une menace, il faut qu'elle soit beaucoup plus puissante. Visiblement la seule manière qu'ils ont de les améliorer, c'est d'utiliser des modèles toujours plus grands, avec toujours plus de puissance de calcul, encore plus consommateurs de ressources. Ce qui n'est pas économiquement tenable pour les boîtes qui vendents de l'IA. (Rappel : ChatGPT perd de l'argent, très vite, même sur les abonnements à 80 dollars par mois (!)). Quand tout l'argent des investisseurs sera cramé, le prix de ces IA va monter en flèche, et encore : Pour les boîtes qui n'auront pas mis la clé sous la porte.

- Pour avoir une bonne IA, il faut de bonnes données d'entraînement. Or ces IAs ont été entraînées sur tout ce qui traînait sur internet (dont un certain paquet de mauvaises choses, d'ailleurs). Mais maintenant qu'internet lui-même est inondé d'articles produit par des IAs, elles vont bouffer leur propre merde. D'après de multiples observateurs, on peut déjà constater une dégradation des modèles.


Donc oui, tant que la hype est haute, elles vont avoir un impact économique directe sur les développeurs. Développeurs qui vont voir leur métier se dégrader et devenir chiant. Mais je prédis une volonté de retour aux compétences humaines au bout d'un moment. Mais cela risque de prendre quelques années. 😩
(Permalink)

(via https://jcfrog.com/shaarli41/?PzpXGw)
(Permalink)

Le Salon du Bourget ouvre ses portes au grand public ce vendredi 20 juin 2025 : l’occasion idéale de revenir sur quelques affaires d’espionnage industriel survenues lors de la précédente édition. Entre clés USB piégées, vols d'ordinateurs et espions infiltrés en agents d'entretien, les coulisses du plus grand rendez-vous aéronautique mondial réservent bien des surprises.