Utiliser une conversation WhatsApp pour partager un mot de passe à un pote, c'est un peu comme écrire son code de carte bleue au marker dans des chiottes publics. Sauf que les messages, eux, restent des années dans l'historique car y'a personne qui viendra nettoyer ça. Heureusement, Nullroom vient régler ce genre de bricole en mode radical, avec un chat P2P chiffré qui s'autodétruit au bout d'un quart d'heure, sans avoir à vous créer de compte et sans laisser de trace côté serveur.

Alors comment ça fonctionne ? Hé bien vous cliquez sur "CREATE SECURE ROOM", un lien apparaît, vous le balancez à votre correspondant par le canal de votre choix (Signal, SMS, pigeon voyageur...etc), et hop, une session chiffrée s'ouvre entre vos deux navigateurs. Vous pouvez alors discuter, échanger éventuellement des fichier (jusqu'à 16 Mo max en beta), et après 15 minutes, la room s'évaporera. Purement et simplement et aucun serveur n'aura vu passer vos échanges (mis à par quelques bouts de métadonnées pour établir la connexion).

Sous le capot, y'a un truc crypto assez chouette qui est une clé de chiffrement AES-GCM 256 bits, générée côté client via l'API Web Crypto du navigateur, qui vit dans le fragment de l'URL (c'est la partie qui vient après le #). Et comme les navigateurs n'envoient JAMAIS ce fragment au serveur, vu que c'est un standard HTTP, vous êtes tranquille.

Et voilà comment votre clé de session n'existe que chez vous et chez votre correspondant. Le serveur de Nullroom ne la voit pas, même pas une microseconde. C'est le même trick que celui qu'utilise PrivateBin pour les snippets chiffrés, mais appliqué à du chat en direct.

Le flux de données, lui, passe en direct d'un navigateur à l'autre via WebRTC et le serveur ne sert comme je vous le disais plus haut, qu'à la poignée de main initiale.

Ensuite, les messages et les fichiers circulent en peer-to-peer, relayés via les serveurs TURN de Cloudflare quand votre NAT coince. Donc au pire, Cloudflare voit passer du trafic 100% chiffré, et pas le contenu en clair. Les logs serveur sont également désactivés sur les chemins des rooms, et les UUIDs de sessions vivent dans un Redis totalement volatile qui est nettoyé au bout de ces fameuses 15 minutes.

Niveau limites, une room c'est deux personnes max donc si vous cherchiez un remplaçant à Signal ou à Briar, ce n'est pas le bon outil. C'est juste une messagerie pour un échange ponctuel entre 2 personnes.

Et l'équipe ou l'entreprise derrière n'est pas affichée côté site (pas de mentions légales, pas de juridiction précisée), donc attention ! Ça reste du "faites-vous votre opinion" mais comme le code est open source (licence MIT) sur GitHub vous pouvez quand même l'analyser et monter votre propre infra Nullroom.

Pour le quotidien, c'est un service qui est bien foutu, que ce soit pour un mot de passe à filer à un collègue en télétravail, un lien temporaire à partager pendant une réu, une confidence à un pote qui n'a rien à faire dans les archives iMessage, ou encore un numéro de compte à transmettre vite fait avant que l'autre ne parte en vacances... Tous ces cas d'usage existent et la friction est quasi nulle donc c'est plutôt une bonne approche je trouve.

Voilà, si vous voulez tester le concept d'une conversation qui n'aura jamais eu lieu, filez sur nullroom.io.

L'informatique quantique n'est plus un sujet de science-fiction (mais ça, vous le savez, je vous bassine avec ça depuis des années maintenant). Mais les progrès récents laissent penser que des machines capables de casser certains chiffrements actuels pourraient émerger dans les 10 à 15 prochaines années (voir 5 selon les plus optimistes). Ce n'est pas pour demain matin, mais en sécurité, attendre que la menace soit là pour agir, c'est déjà avoir perdu.

Surfshark a commencé à déployer une protection post-quantique sur son infrastructure WireGuard. Pas en mode "feature marketing", plutôt comme une évolution technique nécessaire. Qu'est-ce que ça change pour vous et pourquoi c'est une bonne nouvelle même si vous n'êtes pas cryptographe ?

Le chiffrement post-quantique, expliqué simplement

Pour comprendre l'enjeu, il faut revenir deux minutes sur le fonctionnement du chiffrement moderne. La plupart des protocoles de sécurité actuels, comme RSA ou ECC, reposent sur des problèmes mathématiques difficiles à résoudre pour un ordinateur classique. Factoriser de très grands nombres, par exemple.

Un ordinateur quantique suffisamment puissant pourrait résoudre ces problèmes beaucoup plus rapidement, rendant obsolètes les méthodes de chiffrement actuelles. C'est ce qu'on appelle la menace "harvest now, decrypt later" ou des acteurs malveillants peuvent déjà intercepter et stocker des données chiffrées aujourd'hui, en attendant de pouvoir les déchiffrer demain quand la technologie quantique sera mature.

Le chiffrement post-quantique désigne donc une nouvelle génération d'algorithmes conçus pour résister à la fois aux attaques classiques et quantiques. Ces algorithmes reposent sur des problèmes mathématiques différents, comme les réseaux euclidiens ou les codes correcteurs d'erreurs, qui restent difficiles même pour un ordinateur quantique.

L'enjeu n'est pas immédiat pour l'utilisateur moyen comme vous et moi. Mais pour des données sensibles qui doivent rester confidentielles pendant des années, la transition doit commencer maintenant.

La convergence quantique + IA : un scénario à surveiller

Un angle souvent négligé dans le débat post-quantique c'est son l'articulation avec l'intelligence artificielle. L'IA générative accélère déjà la découverte de vulnérabilités, la génération de code malveillant adaptatif, ou la personnalisation d'attaques. Combinée à terme avec des capacités de calcul quantique, elle pourrait permettre d'identifier plus rapidement les faiblesses d'implémentation, même dans des algorithmes théoriquement résistants.

Autrement dit, la menace n'est pas seulement "l'ordinateur quantique casse tout". C'est plutôt "l'IA optimise l'attaque, le quantique accélère l'exécution". Les deux technologies se renforcent mutuellement.

C'est pour cette raison que les fournisseurs de sécurité sérieux anticipent. Pas par alarmisme, mais par pragmatisme parce que migrer vers du post-quantique ça prend du temps. Il faut tester la compatibilité, valider les performances, former les équipes, etc. Mieux vaut commencer maintenant que dans l'urgence (l'urgence c'est pour sa déclaration d'impôts chaque année et c'est déjà bien suffisant).

Ce que Surfshark met en place concrètement

Surfshark a annoncé le déploiement d'une protection post-quantique sur son implémentation de WireGuard. Voici ce qu'il faut retenir :

La solution repose sur une approche hybride. Le tunnel VPN utilise à la fois un algorithme classique (X25519) et un algorithme post-quantique (Kyber-768). Comme ça, même si l'un des deux venait à être compromis, l'autre maintient la confidentialité. C'est une stratégie de défense en profondeur appliquée au chiffrement lui-même.

Cette protection est déjà disponible sur macOS, Linux et Android, avec un déploiement progressif sur les autres plateformes. L'activation se fait côté serveur, sans intervention requise de l'utilisateur. Si votre client supporte la fonctionnalité, elle s'applique automatiquement.

Surfshark précise que cette implémentation suit les recommandations du NIST et de la communauté cryptographique internationale. Les algorithmes sélectionnés ont été soumis à un processus d'évaluation public, et leur intégration a fait l'objet de tests de performance pour éviter de dégrader l'expérience utilisateur.

Enfin, l'éditeur indique que cette évolution s'inscrit dans une feuille de route plus large qui comprend déjà des audits réguliers, les mises à jour des protocoles et la veille cryptographique active. Le post-quantique n'est pas un argument commercial isolé, mais une pièce d'une stratégie technique cohérente.

Les limites à garder en tête

Le déploiement du post-quantique chez Surfshark est une bonne nouvelle, mais cela ne règle pas tous les problèmes de sécurité. D'abord, la protection ne concerne que le tunnel VPN. Elle ne protège pas contre le fingerprinting navigateur, les fuites DNS mal configurées, ou les compromissions de compte par phishing. Un VPN post-quantique ne compense pas une hygiène numérique défaillante.

Ensuite, la transition est progressive. Tous les serveurs ne sont pas encore équipés, et tous les clients ne supportent pas la fonctionnalité. Si vous avez besoin de cette protection pour un usage professionnel sensible, vérifiez la compatibilité de votre configuration avant de compter dessus (dans les paramètres de l'app, allez dans Paramètres VPN > Protocole et sélectionnez Wireguard).

Et enfin, le post-quantique reste un domaine en évolution. Les algorithmes sélectionnés aujourd'hui pourraient être révisés demain à la lumière de nouvelles recherches. La veille technique reste indispensable, même pour les fournisseurs les plus sérieux.

Mon avis sur la démarche

Ce qui me convainc dans l'approche de Surfshark, c'est le timing et la méthode. Le timing d'abord. Agir maintenant, alors que la menace quantique n'est pas encore immédiate pour la majorité des utilisateurs c'est plutôt bien vu. C'est exactement ce qu'on attend d'un fournisseur de sécurité, anticiper plutôt que réagir. Parce que réagir c'est déjà être en retard.

La méthode se passe sous forme d'implémentation hybride, progressive, basée sur des standards ouverts et validés par la communauté. Pas de solution maison non auditée, pas de promesse "quantum-proof" absolue. Juste une évolution technique raisonnée. Le chiffrement post-quantique n'est pas une fonctionnalité que vous verrez au quotidien. Elle travaille en arrière-plan, sans notification, sans badge "activé". Mais c'est précisément ce genre d'évolution discrète qui fait la différence entre un service qui suit les bonnes pratiques et un service qui les définit.

Est-ce que cela justifie à lui seul de choisir Surfshark ? Probablement pas. Mais si vous cherchez un VPN qui intègre une réflexion long terme sur la cryptographie, sans sacrifier la simplicité d'usage, c'est un argument supplémentaire en sa faveur. Si vous hésitez à franchir le pas, sachez que l'éditeur fait partie des premiers à déployer ce type de protection à grande échelle.

L'offre anniversaire à ne pas rater !

Surfshark fête son anniversaire, et comme souvent avec les bons plans du web, c'est vous qui touchez le vrai cadeau ! Le forfait Starter tombe à 1,78 €/mois sur 2 ans + 3 mois offerts (57,67 € pour 27 mois, soit 2,13 €/mois TTC). La promo est valable du 20 avril au 11 mai. À ce tarif-là, difficile de trouver une excuse pour continuer à laisser son trafic traîner en clair sur Internet.

=> Profiter de l'offre Surfshark ici <=

Note : ce lien est affilié. Cela ne change rien pour vous, mais cela me permet de continuer à produire ce type de contenu sans dépendre de la publicité intrusive.

Flipbook est un navigateur web génératif où aucune page n'existe avant que vous ne la demandiez. Pas de HTML, pas de boutons, pas de liens... A la place, vous tapez simplement un mot ou un sujet dans la barre de recherche (ou vous uploadez une image), et hop, ça vous pond une image en direct façon "infographie" qui explique ce sujet.

Ensuite, vous cliquez n'importe où sur cette image, et une nouvelle image apparaît qui creuse ce que vous venez de cliquer. En gros, faut imaginer Wikipedia mais avec aucun article pré-écrit puisque chaque page est dessinée par une IA pendant que vous patientez. C'est un genre d'Infinite Wiki en version 100% visuelle !

La page que Flipbook m'a sortie quand j'ai tapé mon nom. Tout ce que vous voyez est une seule image générée par le modèle, y compris le texte.

Perso, j'ai juste tapé mon pseudonyme ce matin pour tester et comme résultat, j'ai obtenu une page intitulée "Korben: The French Tech Influence", avec mon vrai nom Manuel Dorne, le lancement de korben.info noté en 2004, RemixJobs cité et même cette citation : "A cornerstone of the French-speaking web for over two decades" écrit en bas.

Ne vous inquiétez pas pour mes chevilles, c'est pas moi qui le dit mais l'IA qui a chopé ces infos très précises et pour la majorité exacte. Le système de Flipbook fait une vraie recherche web agentique, et pas juste de l'hallucination pure à partir de son modèle. Les créateurs l'expliquent d'ailleurs dans leur FAQ.

Ensuite, il suffit de cliquer sur des éléments de l'image pour qu'une nouvelle image soit générée avec d'autres informations plus précises selon ce sur quoi vous avez cliqué.

Mais le détail qui tue, c'est que TOUT le texte affiché à l'écran est rendu par le modèle d'image lui-même ! Aucune superposition HTML, aucun overlay texte. Les titres, les labels, les légendes, les flèches... tout est dessiné pixel par pixel au moment de la génération, comme si Photoshop crachait une infographie complète à chaque requête.

Le hic c'est que parfois ça bug (le modèle écrit un mot au mauvais endroit, ou fait une petite faute de frappe), mais c'est le choix assumé de l'équipe, qui ne souhaite aucune couche de rendu HTML classique. Sous le capot en fait, y'a LTX Studio (le modèle vidéo de Lightricks) qui anime les transitions en stream vidéo live, et Modal Labs pour l'infra GPU serverless qui encaisse la charge.

pgAdmin, l'outil "officiel" pour administrer vos bases PostgreSQL, c'est le type d'interface qu'on n'a pas vraiment envie d'ouvrir un lundi matin ! C'est lent, c'est cheum de ouf en mode figé dans les années 2000 et ça rame sérieusement dès qu'on tente un export un peu costaud. Alors oui je sais, DBeaver, c'est plus joli, mais faut se coltiner Java et un workspace qui traîne au démarrage.

Du coup quand bbDump est passé sur mon radar, j'ai eu envie de creuser un peu. C'est un gestionnaire PostgreSQL moderne, en Electron + Vue + TypeScript, signé par Poups, un dev indé français. L'outil reprend tout ce que vous faites habituellement en CLI (pg_dump, pg_restore, coups d'œil aux tables, schéma de la DB) et met ça dans une interface vraiment propre.

Le dashboard bbDump, tout de suite plus respirable que pgAdmin

Côté fonctionnalités classiques, vous avez ce qu'on attend d'un client PostgreSQL correct. Gestion multi-bases organisée par projet, backups avec liste, restauration, filtre par base, tailles et dates. De leur côté, les tâches planifiées via expressions cron sont configurables par base, et il y a même une visionneuse de logs en temps réel qui trace chaque opération pg_dump.

Ajoutez à ça un navigateur de tables avec édition inline (avec support complet des types), un constructeur de requêtes SQL visuel en plus de l'éditeur brut, l'export CSV, et un diagramme entité-relation interactif via Vue Flow pour visualiser les tables et les clés étrangères. Grâce à bbDump, plus besoin d'aller chercher un outil externe pour comprendre une base héritée d'un projet qui traîne !!

Le schema visualizer en mode ERD interactif, pratique pour décortiquer une base héritée

Mais le vrai twist, c'est l'intégration du MCP (Model Context Protocol) puisque bbDump expose 31 outils MCP aux agents IA, ce qui veut dire que votre Claude d'amour ou votre LLM peut interroger la DB, regarder un schéma, tester une requête. Et comme les mutations passent par un système de confirmation, pas de DROP TABLE à l'insu de votre plein gré !

Je vous avais déjà parlé de cette approche avec Ghidra MCP côté reverse engineering et BrowserWing côté automatisation navigateur. bbDump rejoint donc la famille côté backend de données.

Autre détail sympa, le dev a pensé à la sécurité puisque les backups sont chiffrés en AES-256-GCM, donc si vous synchronisez vos dumps sur un cloud random, pas de panique sur les données sensibles. Sur macOS, y'a même une mini-app menu bar pour accéder aux bases et aux connexions proxy sans ouvrir l'app complète.

Côté installation, c'est facile :

curl -fsSL https://poups.dev/bbdump.sh | bash

Bon, les amis, si vous utilisez Tor Browser pour faire du sérieux, faut que vous sachiez un truc. Le bouton "New Identity", censé vous donner une nouvelle identité vierge à chaque clic... bah il laissait filer, jusqu'à il y a peu de temps, un identifiant stable tant que Firefox tournait.

Deux chercheurs de Fingerprint ont en effet trouvé comment une fonction toute bête du navigateur se transformait en empreinte unique de votre browser, partagée entre tous les sites que vous visitiez.

Il faut donc dès à présent faire la mise à jour vers Firefox 150 ou l'ESR 140.10.0 (la version long-terme utilisée par Tor Browser), ainsi que la dernière version de Tor Browser qui récupère le patch. Si vous voulez en savoir plus, la CVE c'est CVE-2026-6770 , classé comme sévérité modérée par Mozilla.

Le truc marche en vase clos mais traverse les murs.

Mais avant, IndexedDB c'est quoi ?

En gros c'est une mini-base de données que les sites web peuvent créer dans votre navigateur, pour stocker des trucs en local (du cache, des données offline, l'état d'une app web). Chaque site peut y ranger plusieurs bases nommées, et une petite fonction JavaScript indexedDB.databases() permet au site de demander la liste de ses bases.

Rien de foufou sur le papier. Sauf que dans Firefox en navigation privée, le navigateur renomme en coulisse chaque base avec un identifiant aléatoire (UUID), et range tout ça dans une seule grosse table interne. Et le gros problème, c'est que cette table est partagée entre tous les sites ouverts, et pas cloisonnée site par site.

Et là, ça devient croustillant puisque quand un site redemande la liste de ses bases, Firefox la renvoie sans la trier, dans un ordre qui dépend de la structure interne de cette table partagée. Du coup, deux sites totalement différents qui créent chacun seize bases dans le même ordre récupèrent exactement la même suite en retour. Pas l'ordre de création donc mais une permutation bizarre, genre g,c,p,a,l,f,n,d,j,b,o,h,e,m,i,k.

Je vous passe les détails mais ça fait dans les 17 000 milliards de combinaisons possibles. Donc largement de quoi distinguer votre navigateur parmi des millions, comme une empreinte digitale qui colle au doigt !

Et ce qui pique vraiment c'est que cet identifiant survit à la fermeture de toutes vos fenêtres privées. Tant que le process Firefox tourne en arrière-plan, l'ID reste. Un site peut donc vous reconnaître après que vous ayez fermé vos onglets privés, rouvert une session pensée comme neuve, et revisité le site. Pour le user, c'est une session fraîche alors que pour le serveur c'est clairement le même navigateur qu'il y a dix minutes.

Côté Tor Browser c'est pire puisque le bouton "New Identity" a pour mission explicite de couper tout lien avec ce que vous faisiez avant. Il ferme les onglets, efface l'historique, vide les cookies, tire de nouveaux circuits Tor. La promesse officielle, c'est "empêcher votre activité future d'être liée à ce qui précède".

Sauf que cette fameuse table interne, elle, ne bouge pas. Le New Identity reset donc tout sauf ce qu'il ignore. C'est comme changer de fringues dans le même ascenseur... en gardant le même parfum. Techniquement vous êtes différent, mais reconnaissable en deux secondes. Bref, c'est assez grave car un site capable d'exploiter la faille peut lier votre session avant-New-Identity à votre session après-New-Identity.

Tant qu'on n'a pas redémarré Firefox complètement, l'ID persiste.

Les chercheurs disent avoir fait une divulgation responsable, directement à Mozilla et au Tor Project avant publication donc c'est nickel, et les deux équipes ont poussé les patches avant de communiquer sur quoi que ce soit. Donc les utilisateurs à jour sont tout simplement protégés contre cette faille précise.

Après si vous êtes du genre parano, pensez à redémarrer complètement votre Tor Browser entre deux sessions vraiment sensibles. Ça coupe le process Firefox, ça vide cette fameuse table, et ça évite ce genre de surprise pour d'autres leaks similaires qu'on n'aurait pas encore trouvés.

A bon entendeur, salut !!

Source

Mis à part son auteur, y'a un truc qui sent pas bon dans l'avant-projet de loi de Laurent Nuñez sur le séparatisme et l'entrisme. Au milieu des mesures sur la dissolution d'assos et l'interdiction d'ouvrages, le texte prévoit en effet d'étendre fortement les pouvoirs de blocage administratif des sites web en France. Et quand je dis "administratif", ça veut dire sans juge.

Bah ouais, ça servirait à quoi alors qu'il suffit d'un bon vieux coup de tampon de l'administration, et votre site peut disparaître de l'internet français.

Concrètement, le texte vise l'article 6-1 de la LCEN. Ce truc-là, c'est le bouton rouge que Pharos et l'ARCOM peuvent pousser depuis 2014 pour faire retirer un contenu. Aujourd'hui ça couvre le terrorisme, la pédopornographie, la vente de stupéfiants et les images de tortures.

Demain, le projet veut y rajouter l'apologie des crimes de guerre, les provocations à la haine ou à la discrimination, et surtout un motif tellement flou que c'en est vertigineux : les contenus "susceptibles de créer un trouble grave pour l'ordre public".

Et c'est là que ça coince. Car "Trouble grave à l'ordre public", vous savez ce que ça veut dire ? Moi oui ! Ça veut dire exactement ce que le préfet en charge veut bien que ça veuille dire. C'est le genre de formule qu'on met dans une loi quand on sait très bien qu'on en fera plus tard un usage BEAUCOUP PLUS LARGE que l'intention affichée initialement.

Et c'est là que ça me colle des boutons, parce qu'on a déjà vu ce film je ne sais combien de fois !!

2014, Cazeneuve, article 6-1 créé pour le terrorisme. 2020, loi Avia retoquée par le Conseil constitutionnel . 2021, extension aux stupéfiants. 2024, loi SREN et vérification d'âge. 2026, apologie crimes de guerre plus haine plus "trouble grave à l'ordre public". À chacune de leur itération, le périmètre s'élargit, les motifs deviennent encore plus flous, et le juge disparaît encore un peu plus du décor.

C'est ça le vrai sujet en fait. C'est pas la question de savoir si bloquer l'apologie des crimes de guerre est légitime (ça l'est). La vraie question c'est : Qui décide ?

Car pendant des siècles en France, seul un juge pouvait ordonner à un éditeur de se taire. Mais depuis 2014, c'est devenu la fête du slip puisque l'administration peut le faire toute seule, et Ô comme c'est bizarre, chaque loi qui arrive ensuite, élargit son, déjà trop grand, terrain de jeu. Alors bien sûr, le juge, on peut éventuellement le saisir après coup, en référé, avec un bon avocat mais dans l'intervalle, votre site a été déréférencé, votre trafic est en EEG plat, et votre asso par exemple, a claqué.

Surtout que la formulation "trouble grave à l'ordre public" est tellement élastique qu'elle peut demain couvrir à peu près n'importe quel sujet qui gêne. C'est pratique hein ? Un dossier sur les violences policières ? Un article sur les manifs ? Une tribune un peu incendiaire ? Allez hop, on coupe TOUT et on retourne sucer des feutres en réfléchissant à la prochaine loi liberticide !!

Vu que le texte part au Conseil d'État avant d'arriver au Conseil des ministres fin avril, le périmètre exact peut encore bouger donc je vous invite à suivre ça du coin de l'œil. Et si vous avez un site ou une asso qui risque de matcher, le bon réflexe c'est La Quadrature du Net . Eux savent contester ces trucs, et ils l'ont déjà fait pour Avia et SREN.

Bref, on se retrouve dans dix ans ou moins, et je vous parie qu'on rediscutera ENCORE d'une nouvelle extension de l'article 6-1, cette fois au nom d'une menace qu'on n'avait pas encore vu venir. L'effet cliquet, ça se déclenche toujours dans le même sens, malheureusement.

Source

Il y a quelques jours, lors de la demo party Revision 2026 , dans une salle plongée dans le noir à Sarrebruck, un public de sceners regarde défiler les crédits d'une demo victorieuse. Au milieu des pseudos des graphistes, un nom : Sector9.

Le même mec qui, quarante ans plus tôt, faisait partie des trois gamins norvégiens qui ont fondé Razor 1911.

Le logo historique de Razor 1911, signé JeD / ACiD (via Wikimedia Commons )

La demo s'appelle simplement "Razor 1911", elle dure dix minutes, et sans surprise, elle finit donc par gagner la compo PC et le prix du public. Et ce qu'elle raconte, plan par plan, c'est l'histoire d'un groupe que le Department of Justice américain a qualifié officiellement de "plus ancien groupe de cracking encore actif sur Internet".

Razor 1911 existe depuis que vous écoutez de la musique 8 bit sur cassette audio. Le groupe a traversé l'époque du Commodore 64, de l'Amiga, l'ère du PC, le passage au CD-ROM, au DVD, puis aux ISO torrents, sans oublier la répression fédérale et l'arrivée des protections Denuvo. Et au moment où j'écris ces lignes, leurs cracktros font partie du patrimoine culturel de tous ceux qui un jour ont téléchargé un jeu sur eMule.

Et voilà que, 40 ans plus tard, cette bande de joyeux lurons gagne un prix demoscene où elle se raconte elle-même...

Mais pour comprendre vraiment ce que ça veut dire, il faut que je vous emmène à Oslo lors de cette nuit d'octobre 1985.

Octobre 1985 : Oslo, la naissance de Razor 2992

Imaginez une chambre d'ado dans la banlieue d'Oslo. C'est l'automne norvégien, il fait nuit à 17h, et la seule lumière dans la pièce vient d'un écran CRT qui tire sur le vert. Un Commodore 64 chauffe doucement sur un bureau encombré et dans le lecteur de disquettes, une 5"1/4 tourne avec ce bruit caractéristique de crécelle électrique.

Les ordinateurs domestiques des années 80 qui ont vu naître la scene, Amiga 500 et Atari 520 ST (photo Sam Gamdschie, CC BY 3.0)

Doctor No, Insane TTM et Sector9, trois gamins, viennent de fonder un groupe de cracking. Leur premier nom, très éphémère, c'est Trøndelag Cracking Service, ou TCS. Sauf qu'un groupe anglais utilise déjà les mêmes initiales et ça crée la confusion. Un autre groupe norvégien de la scene, Hellmates, leur suggère alors un nouveau nom : Razor. On est encore à l'automne 1985 et ça s'appelle d'abord Razor 2992, puis en novembre, nouveau changement de nom pour adopter définitivement Razor 1911.

La raison de ce 1911 est géométrique. En hexadécimal, 1911 décimal équivaut à 0x777. Trois fois 7, un par fondateur, soit un joli clin d'œil numérologique qu'ils vont se traîner durant quarante ans. C'est aussi, selon certaines sources d'époque, une pique à tous les groupes de cracking qui abusaient du 666 pour leur côté satanique un peu too much. Razor 1911 choisit délibérément le chiffre opposé. Un détail qui en dit long sur l'esprit de la scene naissante à l'époque.

Leur premier crack, c'est Kik Start, un jeu de motocross sorti par Mastertronic en 1985 sur Commodore 64. Un classique des obstacles parcours sur deux roues que tout le monde avait chez soi. Et c'est précisément là dessus, ce petit jeu vendu pas cher en Angleterre, que nos trois gamins norvégiens vont poser leur première signature sur la scene européenne.

Kik Start (Mastertronic, 1985), le tout premier jeu cracké par Razor 1911 sur Commodore 64 (capture via Lemon64 )

La scene C64 européenne tourne à plein régime à ce moment-là. Les BBS échangent des disquettes par courrier postal, les cracktros fleurissent avec leur ASCII art et leur musique chiptune, les groupes s'affrontent pour la "first release" des jeux populaires. Razor 1911 grimpe alors très vite dans la hiérarchie, mais reste un groupe parmi d'autres. Les vraies légendes de l'époque, c'est FairLight en Suède, The Humble Guys aux US, et TRISTAR & Red Sector Inc côté Allemagne.

Ce qui distingue Razor 1911 à ce moment-là ? Pas grand-chose, en fait.

Enfin, si... une sacrée envie de durer ! Car quand la plupart des groupes de l'époque se dissolvent après deux ans, parce qu'un membre part à l'armée ou qu'un autre se fait piquer son Commodore par ses parents, eux continuent. Et continuent. Et continuent...

Et ils ne le savent pas encore, mais dans trois ans, ils vont devoir tout recommencer sur une nouvelle plateforme.

1987-1993 : du C64 au PC, la guerre des plateformes

Nous sommes maintenant en 1988. Un ado quelque part en Europe lance un jeu piraté sur son Amiga 500 flambant neuf. Avant que le jeu démarre, une intro 3D tourne en 50 fps pendant trois minutes. Des sphères qui tournent, un scrolltext qui envoie des greetings aux autres groupes de la scene, et une musique de tracker composée de huit canaux qu'il va siffler dans sa tête pendant des semaines. Et le logo à la fin ? Razor 1911 !

L'Amiga 500, la machine reine de la scene européenne à la fin des années 80 (photo Bill Bertram, CC BY-SA 2.5)

Entre 1987 et 1988, le C64 commence à fatiguer et Razor 1911 migre alors sur Amiga, la plateforme qui gagne toute la scene européenne. Ils font des demos, ils crackent des jeux, ils sortent des cracktros avec des effets graphiques qu'aucune autre plateforme ne permet. C'est l'âge d'or Amiga. On lance le jeu, on kiffe l'intro, et ensuite on joue.

Razor 1911 ne se contente d'ailleurs pas de cracker des jeux sur Amiga. Le groupe sort aussi des demos pures, des productions artistiques qui font la compét' avec les meilleurs sur la scene démo. En 1991, ils lâchent coup sur coup Yo! avec ses graphismes vectoriels fluides et ses transitions travaillées, puis Voyage, considérée comme leur chef d'œuvre Amiga avec un texture mapping 3D qui fait halluciner tout le monde à l'époque sur un simple Amiga 500. Leur musique trackée 4 canaux est même citée comme parmi les meilleures jamais produites sur la machine.

Voyage par Razor 1911 (1991), un chef d'œuvre avec texture mapping 3D sur Amiga 500 (capture via pouet.net )

Puis au début des années 90, nouveau virage. Le PC IBM prend la main, bon gré mal gré, et Razor 1911 suit le mouvement. Là, c'est une autre scene. Les rivaux changent, et The Humble Guys (THG) débarque en 1989 avec une idée qui transforme tout. Candyman et Fabulous Furlough, les fondateurs de THG, inventent le fichier NFO pour documenter leurs releases, et surtout ils établissent des relations avec les distributeurs pour obtenir les jeux avant leur sortie commerciale. Imaginez un jeu qui apparaît sur les BBS warez AVANT même d'arriver chez Babbage's. THG vient de redéfinir les règles du game.

Razor 1911 doit alors s'adapter, et vite. Ils perfectionnent leur méthode de cracking, recrutent des codeurs, signent leurs cracks avec des intros de plus en plus léchées. À ce stade, une cracktro Razor 1911 c'est un petit morceau d'art. Graphismes pixelisés travaillés pendant des nuits entières, musique, textes ASCII qui défilent, et timings précis pour impressionner un maximum de sceners avant que le jeu démarre. Comme ça, les gars gardent la cracktro pour la montrer aux potes et sans qu'ils ne le sachent, commencent à transmettre une nouvelle culture.

Sauf que les années 90 avancent, et un nouveau support va bientôt tout faire basculer.

1995-2001 : The Punisher et l'ère ISO

En 1995, quelque part en Amérique du Nord, un mec dont personne ne connaît le vrai nom se fait appeler The Punisher. Il passe ses nuits devant une tour beige de PC, ventilateur qui souffle fort, écran 14 pouces, et un clavier mécanique qu'on entendait depuis le salon. Devant lui, un graveur de CD, nouveauté de l'époque, qui met trois heures à "brûler" une rondelle de 600 Mo. Et c'est lui qui va sauver Razor 1911.

Parce qu'en 1995, tout bascule. Les disquettes disparaissent. Les jeux sortent sur CD-ROM, et 600 Mo, ça passe mal sur un modem 14.4k. Razor 1911 pourrait alors disparaître à ce moment-là, comme pas mal de groupes de l'époque qui n'arrivent pas à faire la transition.

Mais heureusement pour eux, The Punisher prend les choses en main et pilote le passage au CD-ripping, puis aux ISO quand ce format devient la norme. Les ISO, pour les plus jeunes, c'est une image binaire complète d'un CD ou d'un DVD, fidèle au bit près. Techniquement plus lourd que les cracks disquette, mais aussi plus propre. Razor 1911 se retrouve alors en tête du peloton et leurs releases circulent sur les topsites (les serveurs FTP ultra-privés de la scene, accessibles sur invitation uniquement), puis se diffusent sur les BBS, et ensuite sur les réseaux peer-to-peer naissants.

À la fin des années 90, le groupe devient l'une des références majeures de la scene, officiellement considéré comme l'un des plus prolifiques au monde. Ils sortent des ISO de jeux AAA quelques heures après la sortie commerciale, parfois même avant. Le palmarès est impressionnant : Quake, Warcraft II, Warcraft III, Red Alert, Terminal Velocity... Tous les hits du moment, tous disponibles sur les topsites Razor avant que les boîtes n'arrivent dans les rayons des Babbage's ou des CompUSA. Le Department of Justice citera explicitement ces titres dans son acte d'accusation, pour donner la mesure du phénomène.

La scene de l'époque pointe un autre leader que The Punisher : un certain The Renegade Chemist, souvent mentionné dans les fichiers NFO des releases. Quand l'opération Buccaneer va tomber, le FBI désignera Shane Pitman ("Pitbull") comme leader officiel, mais dans la scene, beaucoup disent que le vrai pilote au moment du raid, c'était The Renegade Chemist. Deux versions différentes de la même histoire, selon qu'on lise un rapport fédéral ou un NFO d'époque.

Et c'est là que ça devient dangereux.

Parce que quand vous êtes trop visibles, très rapides et très bons, il y a un moment où le FBI le remarque. Et en 2001, les fédéraux américains préparent quelque chose d'inédit dans l'histoire de la poursuite des groupes warez.

À Washington, dans un bureau de l'US Customs Service, un procureur imprime une liste. Dessus, des pseudos. Et surtout des adresses.

11 décembre 2001 : Operation Buccaneer

Conover, Caroline du Nord, ce matin-là. Shane Pitman, 31 ans, est au boulot quand son téléphone sonne. Au bout du fil, un agent du FBI et ce qu'il lui dit est glaçant : ils sont devant chez lui avec un mandat, alors il a intérêt à rentrer immédiatement ouvrir la porte, sinon ils rentrent eux-mêmes à coups de bélier.

Pitman quitte son bureau, monte dans sa voiture, et roule jusqu'à chez lui. Arrivé sur place, il trouve sept à huit véhicules du FBI et des douanes garés devant sa maison. À peine sorti de sa voiture, plusieurs agents en équipement d'assaut, gilets pare-balles et écussons "FBI" dans le dos, l'entourent, le plaquent sur le capot et le fouillent. Des années plus tard, dans une interview qu'il donnera sur un forum public, il racontera ce moment en expliquant que, je cite : "On aurait dit que j'étais Saddam Hussein ou quelque chose comme ça". Pour un mec qui distribuait des copies crackées de Warcraft, le dispositif était effectivement un peu surdimensionné.

Au même moment, à Richmond en Californie, Sean Michael Breen, 38 ans, se fait embarquer dans les mêmes conditions. Et à la même heure, dans cinq autres pays, Canada, Royaume-Uni, Australie, Finlande, Norvège, Suède, soixante autres personnes se font alpaguer simultanément.

C'est l'opération Buccaneer. 62 suspects visés, 70 mandats de perquisition, 150 ordinateurs saisis en une matinée et des pistes suivies dans 20 autres pays. C'est la plus grosse offensive coordonnée jamais menée contre la scene warez de l'histoire.

Reconstitution de l'opération Buccaneer - Image IA

Et les groupes visés ne sont pas que Razor 1911. Il y a aussi DrinkOrDie (DoD), RiSC, RequestToSend (RTS), ShadowRealm (SRM), WeLoveWarez (WLW), POPZ. Soit toute la tête de gondole de la scene cracker Internet de l'époque. Le FBI a passé 14 mois en investigation undercover, infiltré les serveurs, recoupé les pseudos, remonté les identités. Une opération patiente, méticuleuse, invisible. Certains membres sont alpagués à leur domicile, d'autres à leur travail, d'autres à la fac pendant qu'ils sont en cours.

Parmi les prises les plus symboliques, il y a aussi Christopher Tresco, 24 ans, connu sous le pseudo "BigRar". Pas un membre de Razor 1911 celui-là, mais de DrinkOrDie. Et accessoirement administrateur système du département d'Économie du MIT. Un boulot idéal pour héberger des topsites warez sur les serveurs d'une des plus prestigieuses universités américaines, ce qu'il faisait tranquillement jusqu'à ce matin du 11 décembre. Il prendra 33 mois de prison fédérale.

Le 6 juin 2003, Shane Pitman est condamné à 18 mois de prison fédérale pour conspiration de violation du copyright par le juge James Cacheris à Alexandria, Virginie. Le 10 février 2004, dans une cour d'Oakland, Sean Michael Breen prend 50 mois devant la juge Saundra Armstrong. C'est la peine la plus lourde de toute l'opération Buccaneer. Le chiffre qui sort lors du procès est vertigineux : Breen aurait distribué pour près d'un demi-million de dollars de jeux crackés sur une décennie. En plus de la prison, il doit donc verser 690 236,91 dollars de restitution au seul Cisco Systems. Au total, 22 personnes seront condamnées pour felony copyright infringement dans le cadre de Buccaneer.

Sur le papier, le groupe est décapité. Les leaders sont en taule ou en attente de jugement. Les membres restants se planquent, changent de pseudo, se disséminent. La communauté pense alors sincèrement que Razor 1911 est mort, tout comme DrinkOrDie qui ne se relèvera jamais.

Sauf que non.

22 juin 2006 : le retour, et la demoscene

Le 22 juin 2006, 5 ans et demi après Buccaneer, sur les topsites privés de la scene, une release apparaît silencieusement. Un vieux logo familier dans le fichier NFO, sans annonce triomphante. Juste un fichier qui commence à circuler. Les sceners qui le voient passer s'arrêtent une seconde. Puis sourient.

Razor 1911 est de retour.

Le groupe reprend le rythme, s'adapte aux nouvelles protections, signe ses cracks avec des cracktros modernisées. Au milieu des années 2010, ils sont de nouveau parmi les plus prolifiques du monde à cracker les nouveautés. Comme si Buccaneer n'avait jamais existé.

Puis arrive Denuvo, LA protection anti-copie hardware-assisted qui fait trembler toute la scene pendant des années. Razor 1911 y laisse des plumes, comme tout le monde. Les méthodes évoluent. Certains membres s'orientent alors vers la demoscene pure, tandis que d'autres continuent à cracker. Au bout du compte, les hyperviseurs finissent par contourner Denuvo en quelques heures . Le groupe mute, mais reste vivant.

Certaines sources affirment même que Razor 1911 se serait dissous vers 2012, ce qui est factuellement contredit par leurs releases récentes, notamment une cracktro pour Red Dead Redemption 2 sortie en mai 2024 et la demo de Revision 2026 dont on va parler juste après.

Entre temps, une autre histoire complètement dingue va éclater en 2023. Un joueur de GTA nommé Vadim M. remarque un truc bizarre en fouillant les fichiers des jeux Rockstar vendus sur Steam. Plusieurs titres, notamment Manhunt, Max Payne 2 et Midnight Club II, contiennent dans leurs exécutables des morceaux de code qui correspondent exactement aux cracks Razor 1911 de 2003. Rockstar Games, filiale de Take-Two, aurait tout simplement récupéré les versions crackées par Razor 1911 pour contourner ses propres DRM obsolètes et les revendre sur Steam.

Analyse du binaire de Midnight Club de Rockstar ( source )

Le comble, c'est que Rockstar a trifouillé le crack en question, ce qui a introduit des bugs sur Windows Vista et au-delà. Le message que ça donne c'est que même les studios qui chassent les reverse engineers en justice sont obligés, à un moment, d'utiliser leur travail pour faire tourner leurs propres jeux.

Et voilà... Tout ceci nous amène jusqu'à il y a quelques jours, quand lors de la Revision 2026 (la plus grosse demoparty mondiale, qui se tient tous les ans à Sarrebruck), Razor 1911 sort une demo PC de dix minutes titrée simplement "Razor 1911". Un voyage audiovisuel à travers les différentes époques du groupe. Windows 95, SoftICE, pixel art C64, effets Amiga et j'en passe... Le tout scripté avec des musiques signées brghtwhtlghtnng, zabutom et Ziphoid. Le concept est porté par Flopine, Anat, dubmood et goto80 et le code est signé rez, replay et blkpanther. C'est incroyable !

Et surtout dans les credits graphiques, un nom, celui de Sector9. Le même Sector9 qui, en octobre 1985, regardait une disquette tourner dans un C64 depuis sa chambre à Oslo. 40 ans plus tard, il est toujours à la table, toujours à faire du pixel art pour son groupe.

Je pense que vous comprenez maintenant pourquoi Razor 1911 n'est pas juste un groupe warez mais une vraie institution culturelle !

La longévité de ce groupe dépasse largement l'existence de la plupart des entreprises tech. Plus long que le leadership de Microsoft, plus long que l'histoire commerciale d'Apple sur le marché grand public, plus long que n'importe quelle plateforme de jeux vidéo encore active aujourd'hui. Razor 1911 a survécu au C64, à l'Amiga, à Windows 3.1, 95, XP, 7, 10, 11. Ils ont survécu aux BBS, à IRC, à eDonkey, à BitTorrent. Ils ont même survécu au FBI.

Et s'ils ont traversé les époques, c'est parce que la scene n'est pas un business. C'est une pratique culturelle qui se transmet de génération en génération, avec ses règles, son vocabulaire, ses rivalités, ses codes d'honneur bizarroïdes.

Des générations entières de développeurs et de chercheurs en sécurité sont passés par la scene avant de devenir des professionnels reconnus dans l'industrie. Je pense par exemple à Jonathan James ou Ehud Tenenbaum à l'époque. Razor 1911 illustre cette trajectoire fascinante où l'art, le crime et la passion se mélangent dans des proportions variables selon les décennies. Et le reverse engineering qui sert aujourd'hui à la recherche en sécurité, est exactement le même savoir-faire qu'avait celui qui crackait un jeu Amiga en 1990.

Bref, 40 ans après, la bande est toujours là, et rien que pour ça, chapeau bien bas !

Sources : Wikipedia | Wikipedia Operation Buccaneer | Waxy.org | DOJ Pitman | DOJ Breen | Interview Pitbull Defacto2 | MIT Technology Review | BleepingComputer Rockstar | Defacto2 | Les NFO de Razor1911

Un éditeur vidéo qui redimensionne, compresse et coupe vos clips... sans rien uploader nulle part, ça vous dit ???

Ça tombe bien puisque VidStudio fait tourner FFmpeg directement dans votre navigateur ! Vous allez sur vidstudio.app, vous déposez votre vidéo, et tout le traitement se fait ensuite côté client. Les fichiers ne quittent jamais votre machine, ce qui fait que niveau vie privée, ça nous change clairement des éditeurs cloud type Clipchamp ou Canva où une partie du traitement passe par leurs serveurs avec toutes les joyeusetés que ça implique côté données.

Sous le capot, le truc tient debout grâce à trois briques. Il y a WebCodecs qui s'occupe du décodage frame par frame pour la timeline, en utilisant les décodeurs hardware du navigateur quand ils sont dispos. FFmpeg compilé en WebAssembly prend ensuite le relais pour l'encodage final et les conversions de format. Et pour le rendu, c'est Pixi.js sur une canvas WebGL, avec un fallback logiciel quand la carte graphique ne suit pas.

Les projets sont sauvegardés dans IndexedDB, du coup vous pouvez fermer l'onglet et revenir plus tard, car tout est conservé et les traitements lourds tournent dans des Web Workers, ce qui évite de geler l'interface quand vous compressez un fichier de 2 Go déjà bien lourd.

Ensuite, côté outils, y'a de quoi faire avec un éditeur multi-piste avec source monitor et la possibilité de parcourir la vidéo à la frame près. Il y a également de quoi redimensionner pour YouTube ou TikTok, un mode batch pour convertir plusieurs vidéos d'un coup, un compresseur avec cible de taille exacte, un extracteur audio, un générateur de thumbnails et storyboards, et un système de watermarks avec positionnement et timing. Les sous-titres sont également gérés, avec possibilité de les incruster dans la vidéo ou de les sortir séparément.

Niveau problèmes que vous pourriez rencontrer avec cet outil, ce sera surtout à cause des codecs HEVC qui galèrent sur Firefox. De plus, les vidéos 10-bit ne passent pas toujours sur Windows, et certains WEBM avec des codecs audio exotiques refusent de charger. Bon après c'est pas grand chose de dramatique pour du contenu classique filmé avec un smartphone ou un appareil photo, mais si vous bossez avec du matos pro en 10-bit, allez plutôt voir ailleurs.

Après si vous aimez ce genre d'outils, dans la famille "traitement vidéo dans le navigateur", VidStudio rejoint Cutia qui mise sur l'open source, et MediaBunny qui propose une bibliothèque bas niveau pour les devs et dont je vous ai déjà parlé. Cependant, je préfère VidStudio qui se positionne plutôt sur du grand public, avec une interface qui ressemble à un vrai logiciel de montage.

Ça tourne d'ailleurs sur smartphone, ce qui est franchement impressionnant. Donc si vous avez juste une vidéo à retoucher vite fait sans passer par une usine à gaz type Adobe Premiere ou Final Cut, ça fera bien le job, et vos fichiers restent sagement au chaud chez vous !

Les beaux jours reviennent, et avec eux l'envie d'un soda bien frais ! Sauf qu'au lieu d'alimenter un énième groupe industriel (coucou Coca Cola), vous pouvez maintenant fabriquer le vôtre à la maison. Et blinry , un développeur allemand, l'a bien compris puisqu'il vient de publier sur GitHub ses 6 années de recherches sur le sujet... en CC0, donc dans le domaine public ! A vous votre copie cheap du Bougnat / Breizh Cola ^^

L'histoire commence en 2020. Le mec a deux problèmes simples à résoudre : la caféine lui file des migraines, et il veut éviter le sucre. Du coup il décide de se faire son propre cola, sans caféine, sans sucre, et surtout sans dépendre d'une marque qui garde sa formule secrète depuis plus d'un siècle.

Six ans plus tard, il a finalement trois recettes bien abouties : cola, orange, et amande (!). Toutes sont dispos sur son dépôt GitHub en markdown, dans le même esprit que Cooklang dont je parlais récemment . Et comme c'est du domaine public pur et dur, vous pouvez tout copier, modifier, revendre, tout ce que vous voulez.

Car concrètement, un cola c'est quoi ? Hé bien selon la recette de blinry, c'est un mélange de 7 huiles essentielles (orange, citron vert, citron, noix de muscade, casse, coriandre, lavande), un peu de gomme arabique pour l'émulsion, de l'acide citrique, du colorant caramel, et un édulcorant genre sucralose.

Ensuite, vous prenez une seringue d'un millilitre pour doser les huiles au centième de millilitre près, vous pesez le reste sur une balance de précision, et hop, vous avez un sirop concentré qu'il n'y a plus qu'à diluer avec de l'eau gazeuse !

Niveau matos, c'est assez basique... Balance, seringue, mixeur à main, un petit récipient en plastique, et voilà. D'abord vous mélangez les huiles avec la gomme arabique pour faire l'émulsion, ensuite vous ajoutez l'eau et le reste, puis vous filtrez. Par contre, attention, les huiles essentielles concentrées sont corrosives, donc c'est gants en latex obligatoires si vous ne voulez pas finir avec les doigts brûlés.

Et le verdict ? Hé bien le gars dit qu'il préfère son cola au vrai Coca, carrément ! D'ailleurs quand il a testé un Coca récemment pour comparer, il l'a trouvé, je cite "fade, genre glace au cola fondue". Moi j'suis plus Cherry Coke mais c'est compliqué d'en trouver du light, donc si je me lance là dedans, j'essayerai de bien doser en huile essentielle de cerise ^^.

Notez que Blinry n'est pas seul dans cette quête. Avant lui, il y a eu Cube Cola , OpenCola avant encore, et plus récemment un certain LabCoatz a utilisé carrément un spectromètre de masse pour décoder le profil de saveur. Bref, y'a tout un écosystème de gens qui essaient de percer le "secret" Coca-Cola depuis des décennies mais visiblement sans succès puisque tout ce que j'ai pu goûter en cola alternatif était vraiment pas ouf... Ça sent trop le médicament aux plantes en général.

Et comme Coca n'a jamais breveté sa formule parce qu'un brevet aurait tout révélé, le vrai produit qu'ils vendent, c'est surtout le mystère autour de la formule. Donc il suffit qu'un de ces bidouilleurs de soda perce le mystère et demain on aura du coca 100% similaire à l'original niveau goût, 100% sous licence libre ! Ce serait fou !

Bref, servez-vous, modifiez, et surtout partagez vos améliorations sur son Git. Et si vous trouvez la recette ultime, faites signe !

Source

Vous vous souvenez du mème " Oh, tu aimes les extension Firefox ? Alors nomme les toutes ! " ?

Bah Jack s'est dit que plutôt que les nommer, autant toutes les installer. Oui, les 84 194 extensions d'un seul coup !

Sur le papier c'est pas si compliqué. Tu télécharges les .xpi depuis l'API publique Mozilla (aucune authentification requise), tu les colles dans le dossier extensions/ d'un profil Firefox, tu édites extensions.json pour tout activer. Sauf que l'API de recherche plafonne à 600 pages max, soit environ 30 000 résultats. Du coup Jack a du combiner plusieurs tris pour contourner la limite et chopper les 84 235 extensions existantes, soit 49,3 Go de données au total.

Première tentative dans une VM Windows Tiny11 : le pagefile bouffe malheureusement tout le disque, Firefox gèle, et c'est la fin. Du coup, essai suivant sur Mac avec 6 heures de téléchargement, soit 400 Go d'écritures disque... la fenêtre Firefox s'ouvre mais ne répond jamais ! Entre 4 000 et 6 000 extensions actives certes mais les sites web ne chargent plus (une des extensions bloque tout mais laquelle ??). Bref, plus grand-chose ne répond à part le about:addons.

6 mois plus tard, Jack retente alors l'opération avec une VM. 84 194 extensions chargées, en 1h43 auquel s'ajoute 39 minutes pour que Firefox réécrive le fichier extensions.json (qui pèse du 189 Mo), +24 minutes avant que le navigateur affiche quoi que ce soit, avec une consommation mémoire stabilisée vers 32 Go. La cause du ralentissement est chirurgicale... En fait Firefox sérialise extensions.json en entier à chaque écriture donc ça marche nickel pour 15 extensions mais pour 84 194, c'est pas le même délire.

Le plus intéressant après, c'est pas la démarche elle-même, c'est surtout ce que ça révèle sur le store de Mozilla. En effet, après analyse, 34,3 % des extensions n'ont aucun utilisateur quotidien. 19 % sont totalement abandonnées, sans user, sans review ni capture écran, et encore moins une icône. Y'a aussi des contributeurs un peu chelous comme un certain "Dr. B" qui a publié à lui seul 84 extensions, toutes générées avec Grok 3.

Et puis il y a aussi des extensions de phishing crypto avec des homoglyphes cyrilliques . L'extension malveillante "Іron Wаllеt" par exemple récupère ses URLs depuis un NocoDB trois secondes après installation. Le groupe Innover Online Group contrôle à lui seul plus de 700 000 utilisateurs via un paquet d'extensions de spam affilié sur Yahoo Search. Mozilla en a pour le moment désactivé 3 dans la foulée.

Autre moment drôle : Windows Defender a flaggé HackTools comme cheval de Troie alors que c'est légitime. Y'a aussi la plus grosse extension installée, dmitlichess, qui pèse 196 Mo car elle embarque 2 000 fichiers audio), et la plus petite fait 7 518 octets... sans contenir une seule ligne de code. Bref, y'a des pépites.

Et Jack a publié son dataset en CC0 sur Hugging Face sans oublier que son code est dispo donc si vous avez 50 Go à cramer et envie de faire joujou avec l' écosystème Firefox , servez-vous !

Bref, un Firefox lancé avec TOUTES les extensions du store Mozilla, ça fonctionne techniquement, mais c'est loin d'être utilisable. Mais après pour faire de l'analyse et des stats, je trouve ça marrant.

Source

Un Linux qui tourne dans un Windows 95, vous ne rêvez pas puisqu'un développeur solo du nom de Hailey Somerville, a sorti WSL9x, un "Windows 9x Subsystem for Linux" qui pousse encore plus loin la logique de Microsoft avec WSL.

Le truc marche avec une simple commande wsl tapée dans le terminal MS-DOS, ce qui ouvre un pseudo-terminal Linux au beau milieu de votre Windows 9x. Pour les couleurs ANSI, il faudra charger un driver comme nnansi.com (c'est pas un nom de domain hein...) avant mais une fois en place, vous avez un shell Linux qui tourne en coopératif à côté du système Microsoft. Pas besoin de redémarrer ni de vous lancer dans la mise en place d'un dual boot.

Sous le capot, c'est une bidouille assez rigolote. En fait, Hailey a patché le noyau Linux 6.19 dans sa variante user-mode, cross-compilé en i386 avec musl, puis intégré via Open Watcom v2 pour la partie Windows. Le code se compose à 63% de C et à 35% d'assembleur, ce qui donne une idée du niveau de bas-niveau qu'il faut pour faire tourner un kernel Linux en parallèle d'un Windows 95 ou 98.

Ensuite, tout ce qui est pagination, protection mémoire et ordonnancement préemptif tirent parti des capacités des deux OS en même temps. Linux gère ses processus invités, Windows arbitre en bas niveau, et les deux cohabitent sans se marcher sur les pieds. Ça permet comme ça de lancer vos outils Linux préférés sans jamais quitter votre session OuinOuin.

Pour reproduire ça chez vous, il vous faudra un cross-compilateur i386-linux-musl (musl-cross-make fait très bien le job), Open Watcom v2, et une image disque Windows 9x pré-installée. Vous configurez les variables WATCOM et LINUX via .envrc.example, puis vous buildez le kernel avec make defconfig ARCH=um SUBARCH=i386 KBUILD_DEFCONFIG=win9x suivi d'un make vmlinux.

Un dernier petit make à la racine du projet pour génèrer le hdd.img final, et en suite c'est tout prêt à booter dans un 86Box , PCem ou carrément une vraie bécane sous Windows 95.

Maintenant, ce projet est qualifié de "very messy" par son auteur car c'est encore un travail en cours, et pas du tout un WSL officiel prêt pour un usage stable. Le dépôt est sous GPL-3 donc forkable, mais la doc se résume au README, donc c'est encore un peu léger.

Par contre, si vous aimez les hacks rétro de l'extrême, WSL9x mérite un petit coup d'œil. Ça me rappelle ce sous-système Linux pour MS-DOS qu'un autre dev avait sorti il y a quelques années, qui était le même délire mais pour DOS pur. À côté, le WSL2 officiel de Microsoft fait hyper sérieux.

Donc si vous avez un vieux Pentium qui traîne dans un placard, c'est l'occasion parfaite de le dépoussiérer pour faire la chose la plus absurde du mois.

Ah, le presse-papiers et Claude Code... Quelle misère !!! Si vous utilisez l'assistant d'Anthropic dans le terminal, vous connaissez la douleur. Vous copiez 3 lignes pour les coller ailleurs et vous vous retrouvez avec des │ partout, des marges de deux espaces, et des sauts de ligne au milieu des phrases. Un vrai bordel !

Un développeur norvégien, Anders Myrmel, en avait déjà ras-le-bol lui aussi. Du coup il a pondu claude-copy , un script Hammerspoon qui intercepte votre Cmd+C quand vous êtes dans un terminal, laisse la copie native s'exécuter, puis nettoie le presse-papiers après coup.

Côté prérequis, il vous faut donc macOS avec Homebrew installé. L'installation ensuite c'est 3 commandes :

git clone https://github.com/andersmyrmel/claude-copy
cd claude-copy
./install.sh

Le script installe alors Hammerspoon via Homebrew si vous ne l'avez pas déjà et ajoute une ligne dans ~/.hammerspoon/init.lua. Au premier lancement, macOS demande ensuite l'accès Accessibility à Hammerspoon, donc donnez-le puis rechargez la config. C'est testé sur Ghostty, mais ça devrait également fonctionner avec iTerm2, Alacritty, kitty, WezTerm, Warp et une poignée d'autres terminaux.

Le truc cool, c'est comment ça décide quoi nettoyer. Le code Lua classe chaque copie en 3 niveaux de confiance :

• Haute confiance, avec une couverture de marge à 2 espaces qui dépasse 0,65 ou des │ partout ? Hop, strip des marges, box-drawing virées, lignes molles rejointes en paragraphes !
• Confiance moyenne, on nettoie sans rejoindre.
• Basse, on touche à rien. Les blocs de code indentés (+4 espaces) et les listes markdown sont préservés.

Alors pourquoi Anthropic a livré un TUI qui pourrit votre clipboard à la moindre copie structurée ? Hé bien on n'en sait rien mais c'est un vrai souci. Y'a d'ailleurs plusieurs issues ouvertes sur le sujets qui se référencent les unes les autres comme doublons (genre la #4686 et la #5097 ) donc qui s'annulent... Tu parles d'un bordel...

Après claude-copy n'est pas tout seul dans son coin. Y'a aussi Clean-Clode (dont claude-copy s'inspire d'ailleurs) qui fait pareil en version web, et un autre claude-copy signé clementrog pour Kitty et iTerm2.

C'est évidemment macOS only, parce que Hammerspoon est macOS only. Si vous êtes sous Linux ou Windows, ou que vous préférez éviter d'installer Hammerspoon, Clean-Clode fait le même boulot dans votre navigateur et rien ne quitte votre bécane.

Bref, si vous passez vos journées à copier-coller du Claude Code, ça vaut peut-être le coup. Donc en attendant qu'Anthropic se sorte les doigts et décide de nettoyer leur sortie à la source, je trouve ce genre de petit hack bien pratique !

Monter un Jellyfin dans Docker, ça prend 3 minutes. Mais retrouver dans 18 mois une image encore maintenue, c'est plus le même kung fu ! En effet, beaucoup d'images populaires sur Docker Hub ont déjà pris 2 ou 3 ans de retard sur leur app upstream, et quand c'est un mainteneur solo qui a lâché l'affaire à cause d'un burn out, vous vous retrouvez rapidement avec un putain de Dockerfile cassé à débugger un dimanche à 23h. Chouette programme de vie hein ?

LinuxServer.io , c'est le collectif qui résout ce problème. 17 bénévoles répartis sur différents fuseaux horaires, maintenant 313 dépôts publics sur GitHub, et des images Docker standardisées qui alimentent un paquet de homelabs à travers le monde. Plex, Jellyfin, Sonarr, Radarr, WireGuard, SWAG, Home Assistant, Nextcloud... leur catalogue couvre à peu près tout ce qu'un self-hoster peut demander.

Ce qu'ils proposent c'est une véritable standardisation puisque la plupart de leurs images partagent la même base (Alpine ou Ubuntu le plus souvent, parfois Debian ou Arch selon le cas), utilisent s6-overlay (v3 désormais) pour gérer les processus sur Linux, et exposent le même système PUID/PGID avec un volume /config pour la persistance.

Si vous avez déjà galéré avec des fichiers créés en root dans vos volumes Docker, vous voyez de quoi je cause. Là, 2 variables d'environnement et c'est plié :

environment:
 - PUID=1000 # votre UID, récupéré via id $user
 - PGID=1000 # votre GID, pareil

Une IA a rooté une télé Samsung tournant sous KantS2, la plateforme logicielle d'un ancien modèle de la marque. C'est Codex, le modèle de code d'OpenAI, qui a trouvé un driver laissé avec des droits d'écriture sur le firmware, mappé la mémoire physique, et est passé root en quelques étapes. Les chercheurs de califio lui ont juste fourni un accès shell et le code source du firmware. À partir de là, c'est Codex qui a enchaîné la chaîne d'exploitation tout seul.

Et ce qui est marquant dans cette histoire, je trouve, c'est pas tellement la faille mais le fait qu'un driver laissé en accès libre sur un firmware embarqué des années 2018-2020, ça se trouve à la pelle. Heureusement, Samsung a patché cette TV-là.

Ce qui est super fort, c'est que Codex a fait de l'énumération de surface d'attaque, a lu le code source, a testé ses hypothèses sur l'appareil en live, a pondu un PoC en 2 secondes, puis l'a exploité. 5 petites étapes que des chercheurs humains mettent typiquement des semaines à enchaîner.

Et Codex n'est pas un cas isolé puisque Anthropic a annoncé que son modèle Claude Mythos a trouvé des milliers de vulnérabilités sur Windows, macOS, Linux et les gros navigateurs, dont une partie en critique. De son côté, AISLE a sorti les douze vulnérabilités critiques patchées dans OpenSSL fin janvier de cette année, trouvées également par son système IA. Trend Micro de son côté fait tourner ÆSIR et revendique 21 CVEs sur NVIDIA, Tencent et MLflow depuis mi-2025. Bref, on a basculé dans autre chose niveau cybersec.

Du coup, la question qui me gratte, c'est pas "est-ce que l'IA peut trouver des failles". Pour ça, on connait la réponse. Non, c'est plutôt : Mais qui va tenir le putain de rythme côté défense ?. Parce que les fabricants, eux, patchent toujours à la vitesse d'un humain qui lit un rapport, teste, valide, et pousse quand ils ne sont pas en congés, alors que pendant ce temps, un système IA bien configuré peut passer au scanner le firmware d'un objet connecté en boucle, sans se fatiguer et sans pause café jusqu'à ce qu'il le déboite.

Côté utilisateur, honnêtement, y'a pas grand-chose à faire. La faille Samsung est corrigée par une mise à jour, encore faut-il avoir branché la TV au réseau et accepté les updates. Et pour une TV achetée il y a cinq ans et qu'on rallume uniquement pour Netflix le soir, c'est loin d'être garanti. Le bon réflexe, c'est donc de vérifier les mises à jour sur tout ce qui a un firmware et qui traîne en bout de course. Routeurs, caméras IP, domotique, et tous ces vieux trucs qu'on a oublié de patcher depuis trois ans.

En tout cas, je vous le dis direct, le sujet va revenir encore et encore, vous allez voir... Parce que si une IA de ce niveau peut trouver une escalade root sur une TV avec juste un shell et du code source, elle peut s'attaquer à pas mal d'autres appareils connectés qui partagent les mêmes mauvaises habitudes de permissions. Le hack de TV , en 2012, c'était un passe-temps de chercheur alors qu'en 2026, c'est devenu industrialisable.

Les IA accélèrent vraiment la découverte de 0-days, et l'écart avec les équipes humaines se creuse fortement. Donc si vous avez du matos connecté chez vous, un petit audit ce weekend, ça ne mangera pas de pain.

Source : Califio

Il a zoné au-dessus de votre jardin durant 3 minutes la semaine dernière. Vous l'avez entendu, vous avez levé la tête, mais trop tard ! Encore un putain de drone. Mais lequel ? Et surtout, qui le pilotait ?

Alors voilà un projet qui tente de répondre à ces questions pour le prix d'un week-end entre potes ! DroneAware Node , c'est une station de détection de drones à bricoler soi-même à base de Raspberry Pi. Il vous faut un Pi, 2 dongles USB, une microSD, et vous avez un truc qui écoute les signaux Remote ID autour de chez vous. Son créateur, DroneAwareDan, annonce une portée allant jusqu'à 8 km, mais en conditions idéales, au-dessus de l'eau et avec de grosses antennes. Dans la vraie vie, tablez plutôt sur 1 à 2 km selon le bruit radio du quartier et la qualité des antennes.

Le principe est assez malin. La FAA a imposé le standard Remote ID aux opérateurs américains à partir de septembre 2023 (les constructeurs devaient être prêts un an plus tôt). Et l'EASA a suivi côté européen avec une obligation au 1er janvier 2024. Concrètement, la plupart des drones grand public (au-dessus de 250 g ou classés C1 à C3 en Europe) doivent obligatoirement émettre en continu une sorte de plaque d'immatriculation radio qui balance l'ID de l'appareil, sa position et généralement un point de décollage. Et DroneAware capte ces signaux en Bluetooth Low Energy et en WiFi 2,4 GHz sans rien émettre lui-même, donc du listening purement passif.

Je vois que vous kiffez alors je continue... ^^

Côté matos, faut donc prévoir comme je vous le disais un Raspberry Pi (1 Go de RAM suffit, 2 Go recommandés), un dongle Bluetooth USB un peu costaud (du genre le Sena UD100 avec son chipset CSR qui fait bien le taf), un dongle WiFi qui supporte le mode moniteur en dual-band 2,4 et 5 GHz (comme l'Alfa AWUS036ACM qui coche toutes les cases), une microSD de 16 Go et un chargeur 5V/3A. Les détails exacts des antennes resteront à votre bon vouloir, parce que les "massive antennas" montrées sur les photos du projet font une grosse différence sur la réception. Par exemple une antenne omnidirectionnelle 9 dBi gagne facilement un kilomètre de portée sur install normale.

Concrètement, on flashe d'abord une distrib Raspberry Pi OS Lite sur la microSD, ensuite on branche les deux dongles, et après on lance le script d'install qui configure les interfaces Bluetooth et WiFi en mode moniteur. Et hop, ça tourne. Vos détections remontent alors sur droneaware.io , une plateforme collaborative qui agrège les données des nodes pour former une carte temps réel. Plus il y a de stations, mieux le maillage couvre la zone.

Sauf que... et là c'est le bémol, certains drones plus anciens n'émettent rien du tout tant que leur constructeur n'aura pas poussé une mise à jour Remote ID. Donc votre voisin avec son vieux Mavic Pro de 2016 qui vient vous mater en slip peut très bien rester invisible (à moins qu'il ait collé dessus un module Remote ID... ça coûte dans les 100 balles, et ça rend un drone ancien détectable mais qui fait ça ???). Et si vous partez sur une clé WiFi monobande 2,4 GHz seulement, vous raterez les drones modernes qui émettent en WiFi 5 GHz, raison pour laquelle un adaptateur dual-band évite cet angle mort.

Je trouve que l'approche est assez cool car on n'émet rien, on écoute juste ce que les drones sont déjà obligés de gueuler en clair sur les ondes, et on remet un peu de visibilité du côté du citoyen. Pas mal, non ? D'ailleurs, si vous aimez ce genre de bidouille RF sur Raspberry Pi, j'avais déjà couvert un système de vidéo-surveillance DIY et une caméra de chasse sur Pi qui jouent dans le même registre.

Bref, le code est sur GitHub, et le réseau commence à se densifier. À tester si vous êtes curieux de savoir ce qui survole votre terrain !

Source : Hackster

Payer 15 euros par mois pour un chat d'équipe du genre de Slack, 20 pour un wiki pro, 10 pour un kanban... Et au bout d'un an, vous avez filé l'équivalent d'un MacBook d'occasion à des SaaS qui vivent sur votre dos. C'est ce constat qui a poussé 37signals à ouvrir ONCE.

Pour ceux qui rompichent fort depuis des années, 37signals c'est la boîte derrière Basecamp et HEY, avec Jason Fried comme CEO et David Heinemeier Hansson (DHH, le créateur de Ruby on Rails) comme CTO.

Depuis 2023, ils rament contre l'abonnement à vie façon Microsoft 365, et vendent certains de leurs outils en paiement unique façon Photoshop version boîte physique. Leur modèle commercial n'a pas vraiment décollé, alors le 16 mars dernier, DHH a publié un billet "ONCE Again" pour annoncer le pivot : Leurs apps passent dorénavant en open-source (sous des licences variables, j'y reviens) et 37signals sort une plateforme commune pour simplifier l'auto-hébergement.

Cette plateforme, c'est donc ONCE , officiellement lancée le 17 avril dernier. Il s'agit d'un binaire unique écrit en Go, sous licence MIT, qui transforme n'importe quelle machine Linux ou macOS en serveur d'applications Docker auto-hébergées. VPS, Raspberry Pi, vieux laptop qui traîne au grenier, votre MacBook Pro... tout y passe du moment qu'il y a Docker dessus.

Cela dit, si vous comptiez bourrer un vieux Pi 3 avec quatre apps en même temps, faudra pas s'étonner quand même que ça rame.

L'installation tient sur une ligne :

curl https://get.once.com | sh

Le script détecte votre plateforme, installe Docker s'il est absent, colle le binaire au bon endroit et lance une interface TUI qui vous demandera alors quelle application vous voulez installer en premier. Et si vous préférez scripter le truc, le paramètre ONCE_INTERACTIVE=false fera le taf sans poser de questions.

Côté apps intégrées, trois outils 37signals sont livrés d'office. Campfire d'abord, qui est l'outil de chat d'équipe historique de Basecamp, passé en open-source le 21 août dernier. Writebook ensuite, pour publier des ebooks ou de la documentation interne. Et Fizzy, un kanban plus récent, sous une licence maison baptisée "O'Saasy" qui interdit de faire concurrence en mode SaaS mais laisse tout le reste ouvert. 3 bricoles simples à installer chez vous, comme ça vous esquivez Slack, Notion et Trello.

Et si vous voulez installer vos propres apps Docker, c'est possible mais sous condition qu'elles respectent quatre règles :

1. tourner dans un container
2. servir du HTTP sur le port 80
3. exposer un endpoint /up pour le healthcheck
4. et stocker leurs données persistantes dans /storage.

Attention, si votre user n'est pas dans le groupe docker, faudra lancer chaque commande once avec sudo devant, comme c'est marqué dans le README.

ONCE montera alors automatiquement un volume là-dedans et l'incluera dans les backups. Y'a aussi des hooks optionnels comme /hooks/pre-backup pour préparer une copie safe de vos données (genre une base SQLite qu'il vaut mieux ne pas copier à chaud) et /hooks/post-restore pour le cleanup après restauration.

Sous le capot, l'architecture s'appuie sur Kamal Proxy, un autre outil maison 37signals qui gère le routage HTTP et le switch de versions en zero-downtime.

Un détail qui va en sauver plus d'un au passage : si vous êtes derrière Cloudflare Proxy, pensez à passer le mode SSL en "Strict (full)" avant de vous lancer. Si vous loupez ce point, vous allez vous taper des redirect loops incompréhensibles avant de capter d'où ça vient.

Alors évidemment, ONCE reste encore trèèès jeune... Windows n'est pas supporté, et la liste d'applications tierces compatibles est encore limitée. Face à Dokploy qui joue dans la même cour, ONCE mise sur la simplicité radicale (un binaire, un TUI, trois apps fournies) plutôt que sur la polyvalence maximale. Pour un utilisateur solo ou une petite team qui veut juste rapatrier 2 ou 3 outils en interne et faire des économies, c'est franchement pas mal. Mais pour un setup Kubernetes d'entreprise avec 40 services, passez votre chemin, c'est pas le bon outil. OpenCloud sera sans doute plus taillé pour du self-hosting type suite collaborative.

Mais bon, voilà, si vous cherchiez à rapatrier vos outils sur votre machine sans vous taper un cursus DevOps, ONCE mérite qu'on le garde à l'œil. Reste maintenant à voir combien d'apps tierces vont jouer le jeu.

Source : dev.37signals.com

Et si vous pouviez lâcher un petit char d'assaut bardé d'IA dans votre jardin pour aller cartographier les monticules des taupes ? Hé bien bonne nouvelle puisque ça va être possible grâce à Waveshare qui vient de sortir le UGV Beast , un robot mobile à chenilles propulsé par Raspberry Pi 4 ou 5 qui promet de tenir la route là où les robots à roues s'enlisent connement.

L'engin pèse 2 kilos et des poussières (2,35 kg avec la caméra pan-tilt), soit à peu près le poids d'un gros chat. Il mesure 232 × 197 mm, soit la taille d'une boîte à chaussures, et avance à 0,35 m/s en vitesse de pointe... soit 1,26 km/h. Autant dire une marche de grand-père avec un genou en moins. C'est pas une Formule 1 donc si vous cherchez un robot qui va faire des courses de vitesse, passez votre chemin. Mais vu qu'il peut tourner sur lui même comme mon tracteur tondeuse, grâce à ses deux chenilles de 40 mm, il passe partout où un robot à roulettes viendrait se vautrer bêtement.

Sous le capot, même philosophie que le RaspRover dont je vous parlais déjà , mais en plus costaud. D'un côté y'a le Raspberry Pi qui gère l'IA haut niveau (vision, stratégie, interface web), et de l'autre un ESP32 qui s'occupe des moteurs et des capteurs en temps réel. Du coup, chaque ordre est précis parce que personne ne court après deux lièvres à la fois.

Côté perception, on retrouve une caméra grand angle 5 MP à 160° de champ de vision, un IMU 9 axes pour la stabilisation, et des connecteurs pour brancher un lidar (USB ou UART), un micro stéréo et un ampli audio. Bref, y'a de quoi bidouiller.

Si vous prenez la version pan-tilt, le servomoteur balance 30 kg par cm de couple, tourne à 360° en horizontal plus 120° en vertical, avec une LED haute luminosité pour filmer dans le noir. Moi je verrais bien ça en caméra mobile de surveillance dans mon garage, ou en robot qui suit mon chat sans le stresser (enfin, en théorie... parce qu'avec un chat, y'a jamais de garantie).

Le truc qui fait la différence, c'est surtout que le UGV Beast carbure à ROS2 Humble sur Raspberry Pi OS Bookworm, avec OpenCV et MediaPipe préinstallés. Reconnaissance de couleurs, détection de visages, contrôle par gestes, suivi de lignes, le tout en Python via JupyterLab pour apprendre sans prise de tête.

Le pilotage passe ensuite par une appli web Flask avec streaming WebRTC basse latence, donc vous pilotez depuis un navigateur (smartphone, tablette, PC) sans installer d'appli dédiée. L'alimentation se fait sur trois batteries avec module UPS intégré et même un petit capteur pour surveiller la tension.

Le châssis est en alu 2 mm, une suspension en inox, et le GPIO 40 broches reste facilement accessible pour la bidouille. Vous pouvez même lui coller un module 4G LTE ou 5G pour le piloter depuis l'autre bout du monde. Sauf que, à 1,26 km/h, il faudra être patient... Et évidemment, si y'a des marches dans votre terrain, y'aura pas de miracle... le UGV Beast les passera pas.

Niveau tarifs, comptez environ 265 dollars pour le châssis seul sur la boutique Waveshare, 500 euros pour le kit complet avec caméra et Raspberry Pi 4, et jusqu'à 1200 € pour la version Jetson Orin Nano 4GB si vous voulez taper dans le haut du panier. Sur AliExpress ou Amazon, les prix grimpent un peu (370 à 900 dollars selon la config) mais la livraison est plus rapide. Perso, à ce prix-là je préfère carrément la version avec caméra, parce que le châssis nu sans vision, ça sert pas à grand-chose je trouve.

Le Wiki officiel explique pas à pas comment monter l'engin, flasher l'OS et coder vos propres comportements. Bref, c'est un bon gros projet sur lequel vous mettre si vous aimez bidouiller et que vous avez un peu de temps libre.

Reste à voir si votre chat appréciera le nouveau colocataire.

Source : CNX Software

Ça y est les amis, comme à Fraggle Rock, Google entre enfin dans la danse de la musique IA avec Flow Music . Son service vient de sortir en freemium, et c'est la réponse officielle de Mountain View à Suno et Udio . Et derrière le volant, on retrouve Lyria 3, le modèle de DeepMind spécialisé dans la génération musicale.

Une fois sur le site, c'est du classique. Vous tapez un prompt du genre "lofi beat pour vibe coder la nuit", ensuite vous cliquez sur le bouton, et pouf quelques secondes après, l'IA vous pond un morceau complet avec vocaux dynamiques et arrangement d'une qualité foooollllle ! Et celui-ci peut aller jusqu'à 3 minutes en passant par le modèle Lyria 3 Pro. Après, rien d'inédit côté concept, car y'a déjà Suno depuis 2023 et Udio depuis 2024 qui font ça. Sauf que Google a empilé pas mal de features pour se démarquer et pas des moindres, vous allez voir !

D'abord leurs machin baptisé Spaces, c'est le truc qui m'a fait lever un premier sourcil. En fait, au lieu de taper un simple prompt, vous pouvez vibe-coder votre propre outil : un clavier virtuel, un mini-jeu musical, un DAW maison. Vous décrivez ce que vous voulez, puis l'IA génère l'interface, et ensuite vous jouez avec. Sur la homepage, ils montrent par exemple un piano miniature jouable à la souris, genre prototype fait en moins de 10 minutes. En fait l'idée, c'est que chacun se bricole son interface. Suno et Udio ont chacun leur panoplie d'outils plus avancés (mode studio, édition timeline, inpainting), mais l'approche Spaces, clairement, personne d'autre ne la propose pour l'instant !

Autre truc pratique, l'articulation avec Veo, le modèle vidéo maison de Google. En gros, Veo génère directement image et audio de son côté, et Lyria 3 sert de moteur musical dédié quand vous préférez gérer séparément votre bande-son. Pratique pour les créateurs YouTube qui veulent produire vite sans sortir leur caméra. D'ailleurs, Google Vids (l'éditeur vidéo de Workspace) intègre Lyria 3 pour la musique et Veo pour la vidéo, donc les deux univers se parlent déjà.

Côté features plus traditionnelles, vous avez le remix, les effets audio, la séparation des stems pour isoler les pistes, et des crédits journaliers pour la formule gratuite histoire de vous amuser. L'outil apprend aussi votre style au fil des usages, genre playlist Spotify mais en version génération (bonjour la bulle algorithmique).

Le hic qui va faire râler par contre c'est le marquage SynthID d'office. Google pose un watermark imperceptible sur tous les morceaux générés, un peu comme un tampon encreur invisible. L'idée, c'est d'identifier les contenus produits par l'IA Google, sans forcément d'empêcher les usages pénibles.

Côté voix, Suno propose un système de voice profile encadré avec vérification des droits et Flow Music n'a pour le moment aucune fonction équivalente officielle. Et ça ne propose que 3 minutes max par morceau alors que Suno peut monter à 8 minutes. Je pense donc que les musiciens IA "pros" resteront chez les concurrents. Mais c'est pas la même cible alors ça ne me choque pas. Flow Music vise plutôt les créateurs de contenu qui veulent se faire une BO rapide !

Dernier détail, les droits commerciaux restent flous sur la version gratuite. À vous donc de vérifier ça dans les conditions d'utilisation avant de coller votre nouveau morceau dans une vidéo monétisée. Côté dataset d'entraînement, Google dit s'appuyer sur des contenus qu'il estime pouvoir exploiter via ses CGU YouTube et ses accords partenaires sauf que des artistes indépendants ont porté plainte en mars 2026 en contestant cette lecture, donc l'histoire n'est pas encore tranchée.

On verra bien, mais en attendant, c'est gratuit, dispo sans carte bancaire, et en deux clics c'est parti pour que vous commenciez à rêver d'une Victoire de la Musique. Moi de mon côté, je vais aller creuser les Spaces, c'est là que Flow Music se démarque vraiment. J'ai même fait une guitare en spaghetti, ma créativité est tellement sous cotée ^^!

Imaginez un jeu où vous pouvez crever de faim, de soif, d'hypothermie ou d'une simple coupure infectée... tout ça pendant la même partie. Bienvenue dans Cataclysm: Dark Days Ahead (CDDA pour les intimes. Oui, comme le logiciel pour ripper des CDs de quand on était jeune. ^^), un roguelike de survie post-apocalyptique open source qui assure depuis 13 ans et continue de s'étoffer à toute vitesse.

Pour vous resituer le truc, le Cataclysm original a été lancé initialement par un dev surnommé Whales, qui a fini par lâcher le projet vers 2012. Alors en 2013, une bande de passionnés a repris le flambeau sous le nom CleverRaven et ne l'a jamais reposé. La dernière release stable, la 0.H "Herbert" , date quand même un peu puisqu'elle est sortie le 23 novembre 2024.

Mais peu importe car c'est pas un petit roguelike tranquille à votre papi. CDDA, c'est de la simulation post-apo éprouvante. Y'a la faim, la soif, la température corporelle, le moral, les maladies, les mutations, les bioniques à implanter, les addictions à gérer. Bref, tout ce qui peut mal tourner va mal tourner, un peu comme dans votre vraie vie. Rien ne vous est épargné.

Le hic, c'est que dans ce jeu, la "permadeath" est absolue, donc la moindre bêtise vous ramène à la case zéro. Et attention, avec la config par défaut, les premiers jours d'une partie débutant finissent quasi tous dans le sang. La courbe d'apprentissage est raide comme un mur.

C'est volontairement brutal, un peu à la manière d'un Rimworld je trouve.

Le plus dément dans CDDA, c'est la profondeur du crafting. Il y a des milliers de recettes différentes, du sandwich au lance-flammes improvisé, sauf que chaque recette demande des outils précis et des capacités à faire évoluer pour réussir sans tout gâcher. Par exemple, avant de forger un couteau potable, faut d'abord trouver une enclume ou bricoler une forge de fortune avec ce qui traîne.

Vous vous souvenez de Soulseek ? Mais siii, ce réseau P2P dédié à la musique rare que vos potes audiophiles utilisaient en 2005 pour choper des bootlegs introuvables ?

Hé bah figurez-vous qu'il tourne toujours en 2026, et qu'autour de lui s'est bâtie une communauté d'outils modernes que peu de monde connaît.

Mais avant d'attaquer dans le dur, un petit rappel pour les jeunes qui n'ont connu que Spotify. Nir Arbel a lancé Soulseek le 8 avril 2001, en plein boom Napster, sauf que contrairement à ses concurrents, il a choisi la niche de la musique underground, indé, lossless et les donations plutôt que la pub. Du coup, quand Napster s'effondrait dans les procès et que Limewire se faisait éteindre en octobre 2010, le bon vieux P2P a continué à tourner tranquille, avec ses chatrooms par genre musical (c'était comme un genre d'IRC version fans de vinyles) et sa communauté de collectionneurs obsédés par le FLAC.

L'industrie musicale française a tenté de le démonter en 2008, mais le réseau s'en est sorti avec des blacklists à gérer et des CGU précisant qu'il n'encourage pas le partage de matériel copyrighté. Et c'est ainsi que 25 ans plus tard, le client officiel SoulseekQt tourne toujours, sur Linux, macOS et Windows, avec des mises à jour régulières. C'est moche en Qt, ça sent les années 2010, mais bon ça marche au top !

Le client officiel SoulseekQt, interface Qt un peu datée mais qui fait le job depuis des années.

Maintenant le truc cool, c'est tout ce qu'il y a autour car s'il n'y avait que le client officiel je m'ennuierais un peu tellement c'est austère. Mais heureusement, il existe 4 outils qui rendent aujourd'hui l'expérience carrément plus moderne. Le premier réflexe c'est d'abord d'installer Nicotine+ pour avoir une UI clean, puis d'ajouter slskd derrière si vous voulez faire tourner ça depuis un NAS.

Nicotine+ , c'est le client GTK libre qui est ni plus ni moins qu'un fork du vieux projet Nicotine. Ça tourne partout, Linux, BSD, Haiku, illumos, Windows et macOS et la maintenance semble encore active. C'est plus propre et plus vivant que SoulseekQt.

Nicotine+, l'interface GTK moderne qui remplace avantageusement le client officiel.

Ensuite, y'a slskd , qui est un daemon pour le réseau, 100% headless, écrit en C# avec une Web UI accessible dans le navigateur. Y'a même une API REST sur le port 5030, c'est Docker-ready et compatible Prowlarr. Comme ça, vous le collez sur votre NAS ou votre serveur maison, et vous pilotez vos téléchargements depuis n'importe quel navigateur ! Les accès par défaut sont slskd/slskd, donc pensez à les changer avant d'exposer le truc sur Internet, sinon vous allez avoir des surprises.

La Web UI de slskd, pilotable depuis n'importe quel navigateur, idéale pour un déploiement self-hosted.

C'est pas parfait niveau sécurité par défaut, mais une fois configuré proprement derrière un reverse proxy, ça tient bien la route, y compris sur un Raspberry Pi avec un gros disque dur collé au cul pour stocker la musique.

Et pour ceux qui aiment l'automatisation, il y a sldl . C'est un outil CLI qui batch-download depuis le réseau à partir d'une playlist Spotify, YouTube, d'un CSV, d'un lien Bandcamp ou MusicBrainz. Vous lui filez une URL Spotify par exemple, et ensuite il va chercher chaque morceau en privilégiant le FLAC et en retombant sur du lossy si rien n'est trouvé. C'est comme si vous aviez un bot qui recréait votre bibliothèque Spotify en qualité CD. Attention par contre, sldl demande un compte séparé pour éviter les conflits de connexion avec votre client principal.

Et pour les statisticiens avec des grosses lunettes et une moustache, y'a aussi Slsk-Upload-Stats-Tracker , un petit utilitaire C# qui parse les logs de SoulseekQt (faut activer "Show diagnostics" dans les prefs) et qui vous sort un dashboard des uploads, des top downloaders et des dossiers populaires. C'est clairement niche, mais parfait si vous seedez activement !

Le dashboard de Slsk-Upload-Stats-Tracker avec top downloaders et dossiers populaires.

Côté légal, après rien n'a changé. Le logiciel est légal, et ce que vous partagez dessus l'est ou pas selon le contenu. Donc si vous uploadez du copyrighté, vous êtes exposé aux mêmes sanctions que sur n'importe quel P2P. Pas forcément la meilleure idée en France avec Hadopi qui traîne encore tel un zombie au milieu de l'A86 un jour de départ en vacances. Mais pour les vrais chasseurs de musique, les demos, les live sets, les bootlegs et les raretés qui n'arriveront jamais sur Spotify , la plateforme reste l'un des derniers refuges avec une vraie culture de curation humaine.

Bref, Soulseek n'est pas mort et c'est assez dingue de le voir encore debout en 2026.