VapeServer - Il transforme une cigarette électronique en serveur web
Un ingénieur qui s’appelle Bogdan a eu une révélation en regardant son tas de vapes jetables qui s’accumulait sur son bureau. Au lieu de se dire “Allez, go la déchèterie”, il a eu cette pensée bizarre… et si ces trucs avaient une seconde vie ? Et c’est là, mes petits Kévins, que commence une histoire qui va vous mettre des paillettes dans la vie
Parce que figurez-vous que Bogdan a réussi l’impossible. Il a tout simplement transformé une vape jetable toute nulle en serveur web fonctionnel. Car vous ne le savez peut-être pas, mais cette petite chose que vous balancez après quelques bouffées contient en fait un processeur ARM Cortex M0+ cadencé à 24 MHz, 24 kilooctets de mémoire flash et 3 Ko de RAM statique. Pour vous donner une idée, c’est plus puissant que les premiers serveurs web des années 90. On jette donc littéralement à la poubelle, des ordinateurs après les avoir utilisés comme totote électroniques.
Et pour réussir son coup, il a dû ressusciter une technologie qu’on croyait morte et enterrée : le SLIP (ça ne s’invente pas…) c’est à dire le Serial Line Internet Protocol. J’sais pas si vous souvenez de cette époque glorieuse des modems 56K où on attendait trois heures pour télécharger une chanson MP3. Eh bien SLIP, c’était le protocole qui permettait de faire passer du TCP/IP sur une liaison série. Une technologie de 1988 donc qui se retrouve à faire tourner un serveur web en 2025 sur du hardware ultra-moderne. C’est du même niveau que de brancher un Minitel sur la fibre optique et découvrir que ça marche impecc'.
Alors au début, les performances étaient… comment dire… merdiques. Des pings à 1,5 seconde, 50% de perte de paquets, et 20 secondes pour charger une page web. Autant dire que même les sites gouvernementaux français semblaient ultra véloces en comparaison. Mais Bogdan a optimisé son bébé à fond, notamment en implémentant un buffer circulaire pour améliorer les transferts de données. Résultat final : 20 millisecondes de ping, zéro perte de paquet, et 160 millisecondes pour charger une page.
Du niveau d’un vrai serveur, quoi… Mon site pourrait tourner avec ce truc (et Cloudflare en front ^^).
Le truc qui m’épate le plus, c’est qu’il a réussi à porter la pile TCP/IP uIP sur ce microcontrôleur PUYA C642F15/PY32F002B. Pour ceux qui ne connaissent pas, uIP est une implémentation ultra-légère de TCP/IP créée spécifiquement pour les systèmes avec très peu de mémoire. Selon le blog de Bogdan , toute cette prouesse technique tient dans moins de 24 Ko, soit la taille de votre dernier Sexto.
Mais attendez, parce que le vrai vertige arrive maintenant. Au Royaume-Uni seulement, selon cette étude , ce sont 1,3 million de vapes jetables qui finissent à la poubelle chaque semaine. Perso, maintenant je vois ça comme 1,3 million d’ordinateurs ARM parfaitement fonctionnels qui partent en fumée, si vous me passez l’expression. C’est comme si on jetait 67 millions d’iPhone par an, juste parce qu’on a fini son coup de fil…
Et ce que Bogdan nous montre avec son VapeServer, accessible à l’adresse ewaste.fka.wtf (qui était en rade au moment où j’écris ces lignes, victime de son succès… y’a un miroir ici .), c’est que notre définition du “jetable” est complètement à côté de la plaque. Ces objets qu’on balance sans réfléchir sont en fait des objets en attente d’une nouvelle vie… D’ailleurs, si ça vous intéresse, son code source est disponible sur GitHub ici , et croyez-moi, ça vaut le détour si vous voulez comprendre comment faire communiquer des époques séparées de 25 ans.
Il utilise notamment pyOCD, socat et slattach pour créer une interface réseau virtuelle, configure l’adressage IP sur 192.168.190.0/24, et hop, le tour est joué.
pyocd gdb -S -O semihost_console_type=telnet -T $(PORT) $(PYOCDFLAGS) &
socat PTY,link=$(TTY),raw,echo=0 TCP:localhost:$(PORT),nodelay &
sudo slattach -L -p slip -s 115200 $(TTY) &
sudo ip addr add 192.168.190.1 peer 192.168.190.2/24 dev sl0
sudo ip link set mtu 1500 up dev sl0
Vous l’aurez compris, on vit vraiment entourés de trésors qu’on prend pour des déchets et chaque gadget “intelligent” qu’on jette contient des capacités de calcul qui auraient fait rêver les ingénieurs d’il y a 20 ans. Alors qu’il suffit parfois d’un regard différent, d’un peu de créativité et d’une bonne dose de compétence technique pour révéler ces super-pouvoirs cachés.
Bref, la prochaine fois que vous regardez votre tiroir rempli de vieux téléphones et autres gadgets électroniques, dites-vous que vous n’avez peut-être pas un tas de déchets sous les yeux. Vous avez peut-être un data center en puissance qui n’attend que votre imagination pour reprendre du service.
Surfshark One, la suite cybersécu qui vous aide à mieux dormir
3h37… la cafetière grogne comme un vieux moteur diesel et moi je fixe l’écran de mon PC avec cette fichue pièce jointe .exe qui vient d’atterrir. Le titre ? « Facture impayée ». L’expéditeur ? Un coréen dont le nom ressemble à un captcha mal imprimé. Mon doigt tremble au-dessus du trackpad, et déjà mon cerveau me hurle : « Ne clique pas, gros malin. » Mais je suis crevé, ça fait 36 heures que je vous ponds des articles à la chaine … je n’ai même pas le temps de réfléchir au risque que mon doigt à déjà cliqué par réflexe. Heureusement, Surfshark One est déjà en action.
En arrière-plan, sans que je bouge un cil, mon IP saute de Paris à Tokyo, puis à Toronto, puis à Sydney. Le botnet qui espionne ma ligne voit 4 continents défiler en moins de dix secondes ; il perd la trace, panique, et abandonne la connexion. Pas de lag, pas de coupure sur la série Netflix qui tourne en fond sur la télé, juste un léger pictogramme qui clignote dans la barre des tâches pour me dire « déplacement en cours ». Je souris, je n’ai même pas eu besoin d’ouvrir l’appli.
Le fichier .exe téléchargé par mégarde démarre dans un bac à sable invisible. L’antivirus Avira (assisté par IA) observe : tentative d’accès à la webcam, requête vers un domaine .onion, écriture dans le registre. Le verdict tombe en 0,2 seconde : comportement suspect = quarantaine immédiate. Je n’ai même pas le temps de voir la pop-up ; l’icône du bouclier redevient verte, le fichier est déjà mort et enterré dans le Cloud Protect System. Le tout sans que mon CPU ne grimpe au-dessus de 12%. Mon ordinateur continue de diffuser Spotify comme si de rien n’était.
Pendant que le malware agonise, Alert scrute déjà ses bases de fuites recensées. Mon adresse mail apparaît dans une liste fraîchement publiée sur un forum russe. Ping : notification push, SMS de secours, et un lien « Change ton mot de passe en un clic ». J’appuie (encore par réflexe conditionné, je clique tout ce qui passe ce soir), je tape « bonne-nuit-les-pirates-2025 », et c’est réglé. Trois secondes plus tard, je reçois un rapport écrit en français clair : « Aucune carte bancaire ni ID n’ont fuité, tu peux dormir tranquille. »
Mais vous me connaissez, je veux comprendre ce virus. J’ouvre Surfshark Search à 3h56, je tape « ransomware polymorphe 2025 ». Résultats : zéro pub, zéro tracker, zéro suggestions étranges sur la page de recherche. Deux liens vers des analyses techniques, un thread Reddit ultra frais. Je découvre que la même attaque a déjà visé au moins 400 personnes ces dernières heures, mais que la dernière signature est déjà dans la base virale de Surfshark depuis… 3 h 49. Autrement dit, la suite m’a protégé avant même que je ne sache vraiment par quoi j’étais visé.
Puisque j’aime vivre dangereusement, je décide de tester un site de téléchargement parmi les plus douteux pour voir si je peux réitérer l’attaque. Je clique sur « Créer un alias ». Surfshark me file instantanément « Manolo Korbera, 33 ans, Porto, plutôt bg », avec un mail @surfshark.net. Je l’utilise, je télécharge le fichier suspect, rien ne se passe : l’alias reçoit le spam, pas moi. Dans le dashboard, je clique sur « Supprimer l’alias ». Manolo disparaît, comme s’il n’avait jamais existé. Mon vrai mail reste vierge. J’aurais dû y penser à 3h37 avant le premier clic.
3h23. Woaw. Il ne s’est rien passé. Je n’ai pas cliqué sur le .exe, c’était un rêve, je me suis juste endormi sur ma chaise et à mon âge ça fait mal au dos. Un coup d’oeil rapide sur l’écran, les quatre icônes de Surfshark One clignotent calmement : VPN vert, antivirus vert, Alert vert, Search vert. Je vide ma tasse de café froid, j’éteins la lumière, et je vais enfin me coucher tranquille. Sachant que la suite continuera de s’améliorer pendant que je dors : nouvelles signatures, nouvelles adresses IP, nouvelles menaces anticipées.
Juste avant de fermer les yeux, je me souviens de ce à quoi je pensais avant de sombrer la première fois : la nouveauté Surfshark Everlink.
Grâce à une infrastructure brevetée, Surfshark redirige maintenant le tunnel vers un serveur sain automatiquement s’il y a coupure. Vous ne remarquez même pas le changement, votre IP reste cachée, votre binge YouTube ne s’interrompt pas. Votre connexion VPN devient une sorte de passerelle magique : même si le serveur sur lequel vous êtes tombe en panne ou passe en maintenance, Everlink recolle le lien en temps réel sans jamais vous déconnecter.
Contrairement au classique « kill switch » qui coupe Internet quand le VPN lâche, Everlink guérit la connexion avant qu’elle ne meure. Résultat : zéro déconnexion, zéro exposition, même en pleine heure de pointe ou sur un Wi-Fi d’aéroport douteux. Disponible par défaut avec le protocole WireGuard sur tous vos appareils, et sans surcoût, c’est la sécurité qui roule en pilote automatique.
Je vais enfin pouvoir dormir sur mes 2 oreilles. Surtout que pour en profiter, la suite complète ne coûte que 61,83 € pour 27 mois (soit 2,29 € TTC par mois). C’est pas cher payé pour éviter des cauchemars.
Gardez une longueur d’avance ? Surfshark One est là pour vous.
BOOX Go 7 Color Gen 2 : la liseuse parfaite devient encore plus indispensable
Il y a quelques semaines, je vous disais tout le bien que je pensais de la BOOX Go 7 , cette liseuse sous Android qui a joyeusement envoyé ma Kindle à la retraite. Je la qualifiais de géniale pour sa liberté, son écran magnifique et son ergonomie parfaite. Eh bien, accrochez-vous, il y a encore mieux : BOOX a décidé de prendre ce qui était déjà excellent pour y ajouter la seule chose qui pouvait encore manquer : la couleur.
Voici la BOOX Go 7 Color Gen 2 , et je vais être direct : c’est une petite merveille.
La révolution douce de l’encre numérique en couleur
Ne vous attendez pas à l’éclat agressif d’une tablette LCD. La beauté de la technologie E-Ink, c’est son confort visuel, et la Go 7 Color le préserve à 100%. Elle intègre la dernière génération d’écrans E-Ink Kaleido 3, qui affiche 4096 couleurs. Le rendu est subtil, avec des tons pastel doux qui imitent à la perfection l’impression d’un magazine ou d’une bande dessinée.
Le plus fort ? La netteté du texte noir et blanc impeccable avec une résolution de 300 PPI, on perd un tout petit peu de contraste comme avec toutes les liseuses couleur, mais avec le retroeclairage activé, tout va bien. La couleur, elle, s’affiche en 150 PPI, ce qui est largement suffisant pour que les images, les graphiques et les couvertures de livres prennent vie sans jamais fatiguer les yeux. C’est le meilleur des deux mondes : un confort de lecture absolu pour les romans, et l’apport de la couleur là où ça compte vraiment.
Là où la couleur change absolument tout
“Ok, mais à quoi ça sert, la couleur sur une liseuse ?”, me direz-vous. C’est simple, ça ouvre des horizons de lecture jusqu’ici réservés aux tablettes, avec la fatigue visuelle en moins. Voici quelques exemples concrets :
- Les BD, Comics et Mangas : C’est l’évidence même. Lire une BD franco-belge, un comics américain ou même les quelques pages couleur d’un manga sur cet écran est un pur bonheur. Fini les nuances de gris frustrantes, les planches retrouvent leur saveur originelle.
- Les magazines et la presse : Suivre un graphique, admirer une photo de reportage, lire un magazine technique… La couleur apporte un contexte et une clarté indispensables. Et vous pouvez même installer Cafeyn sur la tablette, ou les applications comme Le Monde, Mediapart, etc.
- Les livres pour enfants : Les illustrations prennent vie et rendent la lecture sur liseuse enfin attractive pour les plus jeunes.
- Les documents de travail et les livres scolaires : Vous vous souvenez des PDF avec des passages surlignés en couleur ou des schémas importants ? Maintenant, vous les voyez tels qu’ils ont été conçus. C’est un game-changer pour les étudiants et les professionnels.
- La prise de notes : Avec le stylet (toujours en option), vous pouvez désormais surligner et annoter vos documents avec différentes couleurs pour organiser vos idées. Un code couleur pour les citations, un autre pour les points à vérifier… C’est simple, mais efficace.
On ne change pas une équipe qui gagne
Le plus rassurant, c’est que la Go 7 Color Gen 2 conserve tout l’ADN qui rendait sa grande sœur si géniale. On retrouve avec un immense plaisir :
- La liberté totale d’Android : C’est LE point fort de BOOX. L’accès au Google Play Store est toujours là. Vous pouvez installer l’appli Kindle pour lire vos livres Amazon, l’appli Kobo, celle de votre libraire, mais aussi Pocket pour sauvegarder des articles, Feedly ou Inoreader pour vos flux RSS, et même quelques jeux légers. C’est votre liseuse, vous en faites ce que vous voulez.
- Une ergonomie pensée pour les lecteurs : Les boutons physiques pour tourner les pages sont toujours là, et c’est un confort dont on ne peut plus se passer une fois qu’on y a goûté. La liseuse reste fine, légère (195g) et parfaitement équilibrée.
- Une polyvalence inégalée : Elle lit nativement tous les formats (EPUB, MOBI, PDF, CBR/CBZ…), le transfert de fichiers est un jeu d’enfant, et elle peut se transformer en un clin d’œil en carnet de notes numérique. Vous pouvez même jouer avec (je joue tout le temps aux échecs sur la mienne), et bien sûr aller sur internet.
Le Verdict : Noir & Blanc ou Couleur, laquelle choisir ?
Avec l’arrivée de ce modèle Color, BOOX ne complique pas le choix, il l’affine. La question n’est plus “quelle marque choisir ?”, mais “quelle BOOX Go 7 est faite pour moi ?”.
- Noir & Blanc si : Vous êtes un dévoreur de romans, de thrillers, d’essais… Bref, si 99% de votre lecture est du texte pur. Son contraste légèrement supérieur en noir et blanc reste la référence absolue pour le texte brut, et elle est un peu plus abordable.
- Color si : Votre bibliothèque est variée. Si vous passez d’un roman à une BD, d’un article de presse à un PDF professionnel. Si vous êtes étudiant, fan de mangas, ou si vous aimez simplement l’idée d’avoir les couvertures de vos livres en couleur. Le surcoût est justifié par une polyvalence qui la rend quasi parfaite.
Dans les deux cas, vous optez pour une liseuse ouverte, puissante et respectueuse de votre liberté. En ce qui me concerne, cette version couleur a trouvé sa place dans mon sac et n’est pas près de le quitter. Disponible sur Amazon en cliquant ici !
Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ou lire tous les tests que je publie dans la catégorie “Gadgets Tech” , comme cette liseuse Android de dingue ou ces AirTags pour Android !
Nintendo dévoile le premier teaser du film Super Mario Galaxy prévu pour 2026
C’est officiel les amis !! Nintendo vient de lâcher une bombe lors du Nintendo Direct de vendredi dernier. La suite du carton planétaire “Super Mario Bros. le film” s’appellera “The Super Mario Galaxy Movie” et débarquera dans les salles le 3 avril 2026. Et franchement, rien qu’avec le petit teaser qu’ils nous ont balancé, on sent que ça va envoyer du lourd.
Cette annonce tombe pile poil pour célébrer les 40 ans de Super Mario Bros, sorti le 13 septembre 1985. Shigeru Miyamoto lui-même a déclaré que ce film sera “l’événement principal” de cette célébration anniversaire. Et quand on sait que le premier film a rapporté plus de 1,3 milliard de dollars au box-office mondial, je comprends pourquoi Nintendo et Illumination remettent le couvert.
Le teaser nous montre donc Mario qui fait une petite sieste sous un arbre dans le Royaume Champignon. La caméra s’éloigne doucement, nous fait traverser tout le royaume avec ses créatures emblématiques, puis s’envole vers le château de Peach avant de filer dans l’espace étoilé où le titre apparaît. Simple mais efficace, ça me donne déjà envie de replonger dans cet univers coloré et déjanté.
Côté casting, on retrouve toute la bande qui a fait le succès du premier opus. Chris Pratt reprend son rôle de Mario (oui, je sais, certains auraient préféré Charles Martinet ), Anya Taylor-Joy revient en Princesse Peach, Charlie Day en Luigi et bien sûr l’excellent Jack Black en Bowser. Keegan-Michael Key sera également de retour en Toad et Kevin Michael Richardson reprendra le rôle de Kamek.
Le film s’inspire directement du jeu culte Super Mario Galaxy sorti en 2007 sur Wii. Pour ceux qui n’y ont pas joué (mais qu’est-ce que vous foutez ???), c’était une aventure spatiale où Mario sautait de planète en planète avec une gravité complètement folle. Un gameplay révolutionnaire à l’époque qui a marqué toute une génération de joueurs. Le producteur Chris Meledandri a même teasé que “ce prochain film réserve des surprises pour les fans de toutes les époques de Mario”. On peut donc s’attendre à des références qui parleront autant aux nostalgiques qu’aux nouveaux venus.
Aaron Horvath et Michael Jelenic reprennent également les commandes de la réalisation après avoir brillamment mené le premier film. Matthew Fogel reste au scénario et Brian Tyler revient pour la bande-son. Autant dire que l’équipe gagnante est au complet pour nous offrir une suite à la hauteur de nos espérances.
Universal Pictures distribuera le film dans le monde entier, avec une sortie prévue pour le 1er avril 2026 en France. Les fans japonais quand à eux devront patienter un peu plus longtemps puisque le film sortira là-bas le 24 avril 2026. Snif…
Bref, cette suite spatiale s’annonce comme l’un des événements ciné de 2026 et puis entre nous, qui n’a pas envie de voir Mario naviguer de planètes omme dans le jeu Mario Galaxy ?
En attendant, je vous conseille de vous refaire le jeu original sur Switch (disponible dans Super Mario 3D All-Stars) ou de revoir le premier film pour vous mettre dans l’ambiance. Et si Jack Black nous fait un autre tube comme le “Peaches” du premier film, je signe direct !
Oboe - Une plateforme d'apprentissage par IA qui vous génère un cours en quelques secondes
Vous vous souvenez d’Anchor, cette plateforme qui avait permis de simplifier la création de podcasts avant de se faire racheter par Spotify pour 150 millions de dollars ? Eh bien ses créateurs, Nir Zicherman et Michael Mignano, sont de retour avec un nouveau projet qui pourrait bien changer l’apprentissage en ligne. Leur nouvelle création s’appelle Oboe et permet de créer des cours éducatifs personnalisés en quelques secondes grâce à l’IA.
Une fois sur Oboe, vous tapez un prompt du genre “Histoire de l’IA”, “Comment réaliser des pâtisseries” ou même “Préparer mon déménagement au Japon” et hop, Oboe vous génère instantanément un cours complet adapté à vos besoins. C’est le premier outil d’apprentissage généralisé par IA qui permet vraiment de créer des formations sur n’importe quel sujet, d’une manière plus personnalisée et efficace que tout ce qui existe aujourd’hui.
Ce qui rend Oboe vraiment intéressant, c’est son architecture multi-agents développée from scratch. Sur TechCrunch , Zicherman explique que leur système fait tourner plusieurs agents IA en parallèle qui s’occupent de tout : développer l’architecture du cours, vérifier les informations de base, écrire le script pour les podcasts, récupérer des images pertinentes sur Internet et même auditer le contenu pour garantir sa qualité et son exactitude. Tout ça en quelques secondes chrono.
Au lancement, Oboe propose déjà 9 formats de cours différents ( Cours classique, épisode de podcast, points clés à retenir, livre audio, FAQ, flashcards, quiz, etc…) capables de couvrir des domaines aussi variés que les sciences, l’histoire, les langues étrangères, l’actualité, la pop culture ou même la préparation aux changements de vie selon ce que vous lui demandez. Chaque cours combine du texte, des visuels, des conférences audio, des quiz interactifs et même des jeux. Vous avez deux modes audio disponibles : un format de conférence traditionnelle ou une expérience plus conversationnelle façon podcast, un peu comme NotebookLM de Google.
Le nom “Oboe” n’a pas été choisi au hasard. Il s’inspire de la racine du mot japonais qui signifie “apprendre”. Une jolie référence qui colle parfaitement à leur mission de rendre l’humanité plus intelligente. Encore faudrait-il qu’elle souhaite “apprendre”, cette humanité…
Niveau business model, Oboe adopte une approche freemium assez classique. Vous pouvez créer jusqu’à 2 cours par mois et si vous voulez aller plus loin, deux forfaits payants sont disponibles : Oboe Plus à 12$/mois pour 30 cours supplémentaires et Oboe Pro à 32$/mois pour 100 cours.
Au lieu d’avoir des cours statiques créés par des experts et consommés passivement, Oboe permet à chacun de générer instantanément du contenu éducatif ultra-personnalisé, comme un prof particulier capable de créer un programme sur mesure en temps réel, quel que soit le sujet qui vous intéresse.
Perso, j’ai testé et j’ai trouvé les 2 formations que ça m’a généré de très bonne qualité. Et si vous creusez un peu sur Google, vous pouvez aussi trouver certains cours générés par d’autres utilisateurs : inurl:https://oboe.fyi/courses/
Quand on voit la qualité de ce que peuvent générer les IA aujourd’hui, l’idée d’avoir une plateforme capable de créer des cours complets et structurés en quelques secondes, c’est assez cool, surtout avec leur système multi-agents qui vérifie la qualité et l’exactitude des informations. Ça pourrait vraiment changer les choses dont on apprend de nouvelles compétences ou dont on explore de nouveaux sujets.
Reste maintenant à voir si Oboe réussira à s’imposer face aux géants de l’éducation en ligne mais avec l’expérience des fondateurs, ils ont clairement quelques atouts dans leur manche.
AnyCrap - Le site qui vend des produits qui n'existent pas
Ce weekend, j’ai découvert un truc complètement barré qui risque de vous faire repenser tout ce que vous savez sur le e-commerce. Ça s’appelle AnyCrap , et c’est littéralement une boutique en ligne qui vend… rien. Enfin si, elle vend des concepts de produits qui n’existent pas. Et c’est plus que brillant, vous allez voir !
L’idée est simple comme bonjour mais fallait y penser : Vous tapez n’importe quel nom de produit débile qui vous passe par la tête, genre des chaussettes téléportantes ou du café qui rend invisible, et le site vous génère instantanément une fiche produit complète avec description, caractéristiques et même des avis clients. Le tout propulsé par l’IA, évidemment.
Screenshot
Sur la page d’accueil, on vous promet de “trouver vos produits à travers les dimensions parallèles”. Marketing génial ou folie douce ? Les deux mon capitaine. Le slogan “Tomorrow’s products, available today (not actually available)” résume d’ailleurs parfaitement l’esprit de ce site… on est dans l’absurde assumé et ça fait du bien.
Ce qui me fascine, c’est que pendant que le marché de l’IA dans l’e-commerce atteint 6,63 milliards de dollars avec des assistants shopping ultra-sérieux, AnyCrap prend complètement le contre-pied. Au lieu d’optimiser les conversions et de tracker chaque pixel, ils ont créé un anti-marketplace où l’objectif n’est pas de vendre mais de faire rêver.
Cette anti-marketplace propose même des catégories comme “Weird Tech Stuff” et “Snacks From Outer Space” où chaque produit généré est unique, avec sa propre mythologie et ses caractéristiques loufoques. Techniquement, on est probablement sur un mix de ChatGPT pour les descriptions et peut-être DALL-E ou Midjourney pour les visuels et ce concept rejoint un peu d’ailleurs ce que propose Writecream avec son générateur de reviews fictives , sauf qu’ici c’est tout l’écosystème commercial qui est fictif.
La promesse de “livraison instantanée” de concepts m’a fait aussi marrer. En gros, vous commandez une idée et vous la recevez immédiatement dans votre cerveau. Zéro émission carbone, zéro déchet, 100% satisfaction garantie puisque vous n’avez rien acheté de tangible.
Dans un monde où on nous vend des NFT de singes à des millions et où le metaverse était censé révolutionner le shopping, AnyCrap a au moins le mérite d’être honnête sur sa proposition : on ne vous vend rien, mais on le fait avec classe.
Le site propose même une newsletter pour recevoir des produits fictifs chaque semaine. Maintenant, si on creuse un peu, AnyCrap pose surtout des questions intéressantes sur la nature même du commerce. Qu’est-ce qu’on achète vraiment quand on fait du shopping en ligne ? L’objet ou l’idée de l’objet ? Le produit ou la dopamine liée à l’acte d’achat ? En vendant littéralement du vent, AnyCrap révèle peut-être quelque chose de plus profond sur notre société de consommation…
Et pour les créatifs, c’est une mine d’or. Scénaristes en panne d’inspiration pour un objet magique ? Game designers cherchant des idées d’items ? Publicitaires voulant brainstormer sur des concepts produits ? AnyCrap devient un générateur d’idées déguisé en boutique.
Le plus beau dans tout ça c’est que le site accepte même les paiements (enfin, il y a un bouton pour soutenir le créateur). Donc techniquement, vous pouvez payer pour ne rien acheter…
Bref, c’est super fun ! Allez faire un tour sur AnyCrap.shop , inventez le produit le plus débile possible, et savourez l’absurdité. C’est gratuit, et ça va bien vous occuper en ce chouette lundi matin !
Attention aux extensions VS Code malveillantes qui volent les portefeuilles crypto des développeurs
Alerte rouge les amis !! Il y a actuellement des extensions VS Code qui volent discrètement des portefeuilles crypto. Et je ne parle pas d’une ou deux extensions pourries, mais d’une véritable campagne orchestrée par un groupe nommé WhiteCobra qui a réussi à placer 24 extensions malveillantes sur le VS Code Marketplace et Open VSX.
C’est l’histoire de Zak Cole, un développeur Ethereum qui bosse dans la crypto depuis plus de 10 ans. Le mec avait une sécurité béton, jamais perdu un seul wei aux mains des hackers. Mais même les plus prudents peuvent tomber dans le piège. Zack a installé une extension qui s’appelait contractshark.solidity-lang sur Cursor. Pour rappel, Cursor est un éditeur de code basé sur VS Code qui utilise le même système d’extensions. L’extension avait tout pour plaire : 54 000 téléchargements, une icône qui faisait pro, une description détaillée. Le piège parfait.
En quelques minutes, l’extension a lu son fichier .env, chopé sa clé privée et l’a envoyée sur un serveur pirate. Son portefeuille a ensuite été vidé. Heureusement pour lui, il utilisait des hot wallets séparés pour les tests avec seulement quelques centaines de dollars dedans mais d’autres n’ont pas eu cette chance. WhiteCobra serait responsable d’un vol de 500 000 dollars via une extension malveillante pour Cursor.
Le truc vraiment vicieux avec WhiteCobra, c’est leur niveau d’organisation. Ils ont toute une infrastructure sophistiquée et des techniques pour faire grimper artificiellement le nombre de téléchargements de leurs extensions malveillantes. Et d’après les informations disponibles, leur méthode est assez efficace puisque l’extension contient du code malveillant qui télécharge ensuite un payload supplémentaire, avec des versions spécifiques pour Windows, macOS ARM et macOS Intel.
Sur Windows, le malware installé est LummaStealer, spécialisé dans le vol de portefeuilles crypto, d’extensions web, de mots de passe stockés dans les navigateurs et même de données d’applications de messagerie. Sur macOS, c’est un binaire malveillant qui s’exécute localement.
Ce qui rend ces attaques dangereuses, c’est surtout la vitesse à laquelle WhiteCobra peut rebondir. Ils sont capables de déployer rapidement de nouvelles campagnes après qu’une extension malveillante ait été supprimée. Ils changent les noms, les descriptions, créent de nouveaux comptes développeurs et c’est reparti.
Le problème de fond, c’est que ni Microsoft ni Open VSX n’ont de mécanismes de vérification vraiment efficaces. Microsoft fait bien passer un antivirus sur les extensions, mais ça ne détecte pas ce genre de comportement malveillant sophistiqué. Open VSX, qui est actuellement utilisé par Cursor et Windsurf, héberge toujours ces extensions malveillantes malgré les signalements.
Alors comment se protéger ? Déjà, méfiez-vous des extensions avec des noms qui ressemblent à des projets connus mais avec une petite variation (c’est du typosquatting). Vérifiez aussi toujours qu’il y a un repository GitHub lié et actif. Regardez les reviews avec attention, car les fausses sont souvent génériques et postées en masse sur une courte période.
Suite à cette attaque, Zak Cole a complètement revu sa façon de bosser après s’être fait avoir. Il utilise maintenant des machines virtuelles isolées, des hardware wallets exclusivement, et des coffres-forts chiffrés pour ses secrets. Il a aussi créé une whitelist d’extensions et évite d’installer de nouveaux outils à la va-vite.
Bref, si vous êtes développeur, faites un audit immédiat de vos extensions installées. Changez vos clés. Et surtout, arrêtez de stocker des informations sensibles dans des fichiers .env en clair. Utilisez des gestionnaires de secrets ou au minimum du chiffrement.
En tout cas, cette campagne WhiteCobra n’est pas terminée. Ils continuent d’uploader de nouvelles extensions malveillantes pour remplacer celles qui sont supprimées… c’est un vrai jeu du chat et de la souris permanent entre eux et les équipes de sécurité. En attendant que Microsoft et Open VSX mettent en place de vraies mesures de sécurité, c’est donc à nous de rester vigilants.
Pensez à activer les versions immuables sur GitHub pour éviter les problèmes de sécurité
Vous saviez qu’en ce moment, les attaques sur la supply chain faisaient des ravages ? En effet, les attaquants exploitent régulièrement la possibilité de modifier des tags existants pour injecter du code malveillant dans les pipelines CI/CD.
Mais heureusement, GitHub a enfin sorti LA fonctionnalité qui peut empêcher ce carnage : les Immutable Releases et je pense que c’est le genre de truc que tous les développeurs devraient activer illico sur leurs repos. Je vais vous expliquer pourquoi.
En fait, une fois que vous publiez une release avec cette option activée, plus personne ne peut toucher ni aux assets ni au tag associé. C’est comme si vous mettiez votre release dans un coffre-fort dont vous jetez la clé. Même vous, en tant que mainteneur, vous ne pouvez plus modifier les binaires ou déplacer le tag vers un autre commit.
D’après la documentation officielle , chaque release immuable génère automatiquement une attestation cryptographique. Cette attestation contient le SHA du commit, le tag et la liste des assets. Vos utilisateurs peuvent vérifier l’intégrité de ce qu’ils téléchargent en s’assurant que cela correspond exactement à ce que vous avez publié.
Pour activer cette option merveilleuse, c’est dans les settings de votre repo ou de votre organisation. Une fois activé, toutes les nouvelles releases deviennent alors automatiquement immuables. Les anciennes releases restent toutefois modifiables (pour éviter de casser vos workflows existants), mais bon, c’est mieux de migrer progressivement.
Attention quand même, il y a quelques pièges à éviter. Premièrement, vous ne pouvez plus ajouter d’assets après publication. Donc si votre CI upload les binaires après avoir créé la release, il faut inverser : Créez d’abord une draft release, uploadez les assets, puis publiez. Deuxièmement, si vous supprimez une release immuable, vous ne pourrez JAMAIS réutiliser le même tag. C’est définitif.
Pour les projets qui utilisent des tags de version majeure style v1 qu’ils mettent à jour régulièrement (coucou GitHub Actions), pas de panique. Vous pouvez continuer à utiliser cette pratique pour les tags qui ne sont pas associés à des releases. L’immuabilité ne s’applique qu’aux releases publiées, pas aux tags simples.
Les équipes de sécurité recommandent d’ailleurs d’activer cette fonctionnalité sur tous les repos qui publient du code versionné. C’est particulièrement critique pour les bibliothèques open source, les GitHub Actions, et tout ce qui est consommé par d’autres projets. En gros, si votre code finit dans la supply chain de quelqu’un d’autre, vous leur devez cette protection.
Le truc cool aussi, c’est que ça protège contre les erreurs humaines. Combien de fois j’ai vu des mainteneurs qui écrasaient accidentellement une release avec la mauvaise version ? Ou qui supprimaient un asset critique par erreur ? Avec les Immutable Releases, ces accidents appartiennent au passé.
Pour les entreprises, c’est un argument de vente en or. Ça permet de garantir à vos clients que vos releases ne peuvent pas être altérées après publication, c’est un niveau de confiance supplémentaire surtout dans des secteurs régulés où la traçabilité est cruciale.
Bref, GitHub est en train de déployer progressivement cette fonctionnalité en public preview. Pour l’instant, il faut l’activer manuellement pour chaque repo, mais ils travaillent sur une API pour permettre l’activation en masse. D’ici là, prenez donc 2 minutes pour l’activer sur vos projets critiques.
Voilà, après les dégâts causés par les attaques de type tag hijacking ces dernières années, ne pas activer les Immutable Releases sur vos repos publics, c’est comme laisser votre porte d’entrée grande ouverte avant de partir en vacances. Vous pouvez le faire, mais ne venez pas pleurer si ça tourne mal.
Le Great Firewall chinois vient de fuiter
Près de 600 Go, c’est le poids de la plus grosse fuite de l’histoire du Great Firewall chinois. Il y a quelques jours, un collectif hacktiviste du nom de Enlace Hacktivista a balancé sur le net tout le code source, les documents internes, les logs de travail et même les communications privées du système de censure le plus sophistiqué au monde. C’est à ce jour la plus grosse fuite de l’histoire du Great Firewall chinois !
Le Great Firewall est un système qui permet à la Chine de filtrer internet pour toute sa population. Un système tellement efficace qu’il bloque non seulement Google, Facebook ou Twitter, mais qui arrive aussi à détecter et neutraliser les VPN les plus sophistiqués. Et aujoud’hui, tout son fonctionnement interne est accessible à qui veut bien se donner la peine de télécharger un fichier torrent de 571 Go.
Les documents proviennent de deux sources principales : Geedge Networks, une boîte dirigée par Fang Binxing (surnommé le “père du Great Firewall”), et le laboratoire MESA de l’Académie chinoise des sciences. En gros, on a là les architectes principaux de la censure numérique chinoise qui se retrouvent à poil sur internet.
Mais le plus dingue dans cette histoire, c’est pas tant la fuite elle-même. C’est ce qu’elle révèle sur l’export de cette technologie. Les documents montrent que la Chine ne se contente pas de censurer son propre internet, non… elle vend clé en main son système de censure à d’autres pays autoritaires.
Le produit star ? Un truc appelé Tiangou, décrit dans les documents comme une solution tout-en-un pour dictateur pressé : vous branchez, vous configurez, et hop, vous pouvez surveiller et censurer votre population comme en Chine. Le système inclut plusieurs modules aux noms poétiques : le Tiangou Secure Gateway qui bloque les VPN et peut injecter du code malveillant, le Cyber Narrator qui surveille l’activité internet par région, et les systèmes TSG Galaxy et Network Zodiac pour stocker et analyser les données des utilisateurs.
D’après les documents qui ont fuité, le Myanmar a déployé ce système dans 26 centres de données, avec des tableaux de bord capables de monitorer 81 millions de connexions TCP simultanées ! C’est pas rien ! Ce système est d’ailleurs intégré directement dans les points d’échange internet du pays, permettant un filtrage massif et sélectif du trafic.
Le Pakistan n’est pas en reste car d’après les documents, Geedge a installé son infrastructure DPI (Deep Packet Inspection) dans le cadre d’un système plus large appelé WMS 2.0. Amnesty International parle d’une surveillance de masse en temps réel sur les réseaux mobiles pakistanais où en gros, chaque SMS, chaque appel, chaque connexion internet peut être intercepté et analysé.
Les documents révèlent aussi que l’Éthiopie et le Kazakhstan ont acquis des licences pour le système Tiangou et apparemment, ce n’est que la partie émergée de l’iceberg.
Au début, Geedge utilisait des serveurs HP et Dell pour faire tourner son système, mais face aux sanctions occidentales, ils sont passés à du matériel 100% chinois. Le système s’adapte donc, évolue, contourne les obstacles, exactement comme les utilisateurs qu’il est censé bloquer, sauf qu’il a plus de moyens.
Les chercheurs qui analysent actuellement les données étudient le code pour mieux comprendre le système car maintenant que celui-ci est public, les développeurs d’outils de contournement peuvent potentiellement y trouver des faiblesses.
Enlace Hacktivista, le groupe à l’origine de la fuite, n’en est pas à son coup d’essai mais là, ils ont frappé un grand coup et pour ceux qui voudraient jeter un œil aux documents (attention, c’est à vos risques et périls), Enlace Hacktivista a mis le tout à disposition via torrent et téléchargement direct. Les chercheurs recommandent fortement d’utiliser des machines virtuelles isolées ou des environnements sandboxés pour analyser ces fichiers. Pas question de lancer ça sur votre PC principal, on ne sait jamais ce qui peut se cacher dans ces giga octets de code chinois.
Voilà en tout cas, cette technologie de censure et de surveillance est devenu un business global pour contrôler les populations. Merci la Chine ! Et maintenant que le code est dans la nature, on peut s’attendre à ce que d’autres états tentent de créer leurs propres versions du Great Firewall.
Maintenant, est-ce que ça va permettre de mieux contourner la censure ? Est-ce que ça va dissuader certains pays d’acheter cette technologie ? Ou est-ce que la Chine va simplement développer une version 2.0 encore plus sophistiquée ?
On verra bien…
ChatGPT peut faire fuiter vos emails avec une simple invitation Google Calendar
Vous attaquez votre lundi matin, tranquillement avec votre petit café… vous ouvrez ChatGPT pour lui demander votre planning de la semaine et là, PAF (façon De Funès ^^), toute votre correspondance Gmail part directement chez un cybercriminel.
Ce serait fou non ? Et bien c’est exactement ce qu’un chercheur vient de démontrer et tout ça à cause d’une simple invitation Google Calendar.
Eito Miyamura, co-fondateur d’EdisonWatch , a lâché une bombe sur X le 12 septembre et sa démo est terrifiante. En gros, il simule un attaquant qui envoie une invitation Google Calendar vérolée, ensuite vous demandez innocemment à ChatGPT “Qu’est-ce que j’ai de prévu aujourd’hui ?”, et l’IA se transforme en espion qui fouille vos emails et les envoie au pirate. Vous n’avez même pas besoin de voir ou d’accepter l’invitation. Elle est là, dans votre calendrier, comme une bombe à retardement.
Et ça tombe mal niveau comm, car OpenAI vient tout juste d’intégrer le support complet du MCP (Model Context Protocol) dans ChatGPT. Cette technologie permet en effet à l’assistant de se connecter directement à Gmail, Google Calendar, SharePoint, Notion… Pratique pour la productivité, mais catastrophique pour la sécurité.
Cette attaque exploite ce qu’on appelle l’injection de prompt indirecte. Au lieu d’essayer de tromper ChatGPT directement, l’attaquant cache ses instructions malveillantes dans des données que l’IA est autorisée à lire. Dans ce cas précis, le texte d’un événement calendrier… Ensuite ChatGPT lit l’invitation, voit les instructions cachées, et les exécute docilement.
Selon les experts en sécurité qui se sont penchés sur le problème, le MCP n’a pas été conçu avec la sécurité en priorité. Les risques incluent donc les injections de prompt, les permissions d’outils vulnérables et les outils sosies qui peuvent remplacer silencieusement les outils de confiance.
Sympa, hein ?
D’ailleurs, ce n’est pas la première fois qu’on voit ce genre d’attaque puisqu’en août, des chercheurs avaient déjà démontré comment une invitation compromise pouvait manipuler Google Gemini pour contrôler des appareils domotiques et voler des informations. Le papier s’appelait joliment “Invitation Is All You Need”. Prophétique.
Vitalik Buterin lui-même a réagi à cette vulnérabilité. Il explique que compter aveuglément sur un seul système IA est trop fragile et facilement manipulable et je trouve que cette nouvelle exploitation de ChatGPT lui donne raison !
D’ailleurs, même avec les navigateurs IA, vous n’êtes pas tranquille. D’après cette autre découverte, vous pouvez littéralement vous faire vider votre compte bancaire en scrollant sur Reddit. En effet, des instructions malveillantes peuvent être cachées dans des commentaires sur des sites que l’attaquant ne contrôle même pas, ce qui peut entrainer votre navigateur IA à faire des choses que vous n’avez pas autorisé.
Bref, cette nouvelle vulnérabilité met en lumière un problème fondamental des LLM : ils ne savent pas faire la différence entre des instructions légitimes et des commandes malveillantes cachées dans du contenu. Car contrairement aux applications traditionnelles qui peuvent séparer les instructions développeur des inputs utilisateur, les LLM acceptent tout en langage naturel. Pour rester flexibles, ils doivent pouvoir répondre à des configurations infinies d’instructions et c’est cette flexibilité qui fait leur force… mais qui est également leur talon d’Achille.
Trail of Bits a même démontré une variante encore plus sournoise où des images spécialement forgées contiennent des prompts cachés. Invisibles en haute résolution, les instructions malveillantes apparaissent quand l’image est réduite par les algorithmes de prétraitement. L’IA lit alors le message et l’interprète comme une instruction légitime.
Ainsi, quand une IA suit des instructions malveillantes depuis du contenu web, les protections traditionnelles comme la same-origin policy ou CORS deviennent inutiles. L’IA opère avec tous vos privilèges sur toutes vos sessions authentifiées. Accès potentiel à vos comptes bancaires, systèmes d’entreprise, emails privés, stockage cloud… C’est vite le jackpot pour un attaquant.
Alors, comment se protéger ?
Hé bien Google recommande de changer les paramètres de Calendar pour que seules les invitations de contacts connus ou acceptées apparaissent. Cachez aussi les événements refusés et surtout, restez extrêmement prudent avec les intégrations tierces et les autorisations accordées…
Voilà, donc la prochaine fois que ChatGPT vous demandera l’autorisation d’accéder à votre Gmail, réfléchissez-y à deux fois car ça pourrait vous coûter bien plus cher qu’un peu de temps gagné.