Autoblog de korben.info

Vous connaissez le job de payment engineer ? Ce métier n’existait même pas il y a 3 ans et aujourd’hui, les paiements en ligne sont devenus tellement complexes qu’il existe carrément une nouvelle catégorie de développeurs… Et au centre de cette petite révolution, il y a Hyperswitch , un projet open source qui est en train de servir de base à toute une génération de spécialistes des paiements.

Sorti en 2022, Hyperswitch est une plateforme d’orchestration de paiements écrite en Rust. Le pitch marketing vous dira que c’est le “Linux des paiements”, un outil modulaire, flexible, open source, mais dans les faits, ça permet surtout de connecter votre boutique en ligne à +50 processeurs de paiement différents via une seule API… Stripe, Adyen, PayPal, tout ce que vous voulez.

Le projet est développé par Juspay, une boîte indienne qui gère déjà les paiements de 400 entreprises et traite 175 millions de transactions par jour et quand ils ont décidé d’open-sourcer leur infrastructure, ils ont vraiment tapé dans le mille ! Rien que le dépôt GitHub affiche maintenant plus de 36 000 étoiles, ce qui est assez dingue pour un outil d’infrastructure B2B.

Et cela arrive au bon moment parce que les paiements en ligne sont devenus un cauchemar technique. Entre les différents processeurs, les méthodes de paiement locales (UPI en Inde, WeChat Pay en Chine, Bancontact en Belgique), les réglementations qui changent, les taux d’autorisation qui varient selon les pays, les frais cachés qui s’accumulent et les webhooks qui plantent au pire moment, il faut vraiment être un spécialiste pour s’y retrouver.

C’est un peu ce qui s’est passé avec le terme DevOps il y a 10 ans. J’sais pas si vous vous souvenez, mais au début c’était juste un buzzword. Puis Docker et Kubernetes sont arrivés, la complexité a explosé, et boom, aujourd’hui tout le monde cherche des ingés DevOps. Même délire avec les “data engineers” quand les boîtes ont commencé à avoir des pétaoctets de données à gérer.

Hé bien les paiements suivent la même trajectoire. Vous ne pouvez plus juste intégrer Stripe et oublier le problème. Si vous faites du volume, vous devez optimiser vos coûts (car les frais peuvent varier de 1 à 3% selon le processeur), améliorer vos taux d’autorisation (parfois 5 à 10 points de différence entre processeurs), gérer le retry intelligent quand une carte est refusée, faire de la réconciliation automatique…etc.

Bref, vous avez besoin d’un spécialiste.

Et c’est exactement ce que fait Hyperswitch qui indirectement forme des ingénieurs en paiement, car quand vous passez 6 mois à bidouiller Hyperswitch , à comprendre comment fonctionne le routing intelligent ou la réconciliation automatique, vous devenez au bout d’un moment spécialiste des paiements.

C’est un peu le même coup qu’a fait Red Hat avec Linux, ou HashiCorp avec Terraform. Vous créez une communauté de gens qui connaissent votre outil à fond, et les membres de cette communauté deviennent ensuite vos meilleurs ambassadeurs et des experts d’un domaine qui recrute à tour de bras. Hyperswitch surfe donc sur cette vague en proposant son outil en self hosting pour l’auto-hébergement ou du managé qu’ils gèrent pour vous. Et c’est clairement un business model qui a fait ses preuves.

Bref, si vous êtes développeur et que vous cherchez une niche où vous spécialiser, les paiements c’est visiblement un secteur qui monte. Et comme Hyperswitch est open source, vous pouvez vous former gratuitement en installant leur stack. Au pire, vous aurez appris quelques trucs utiles et au mieux, vous découvrirez un nouveau métier…

Vous vous souvenez de cette règle de base en informatique, que je vous rabâche régulièrement, et qui dit de toujours avoir plusieurs sauvegardes de vos données critiques ?

Hé bien apparemment, le gouvernement sud-coréen a zappé ce cours, car le 26 septembre dernier, un incendie s’est produit au centre de données NIRS (National Information Resources Service) à Daejeon et a cramé 858 téraoctets de fichiers gouvernementaux . Et y’a pas de backup. Nada.

Le feu a démarré pendant une opération de maintenance sur une batterie lithium-ion dans laquelle une cellule a lâché , déclenchant ce qu’on appelle un emballement thermique… En gros, la batterie s’est transformée en bombe incendiaire et le brasier s’est propagé dans la salle serveur du cinquième étage, faisant tomber 647 services en ligne gouvernementaux d’un coup. Parmi eux, 96 systèmes critiques ont été directement détruits, et 551 autres ont été coupés préventivement pour éviter que la chaleur les bousille aussi.

Le système qui a morflé le plus, c’est G-Drive, le cloud de stockage utilisé par les fonctionnaires sud-coréens depuis 2018. Environ 750 000 employés du gouvernement central peuvent stocker leurs documents de travail dessus, mais seulement 125 000 l’utilisaient vraiment. Chacun disposait d’environ 30 Go d’espace de stockage, ce qui fait qu’au total le système contenait 858 To de données de travail accumulées sur huit ans.

Snif…

Mais attendez, je ne vous ai pas encore donné la raison pour laquelle il n’y avait aucune sauvegarde externe. En fait, leur G-Drive est conçu comme un système de stockage haute capacité, mais basse performance, et ils ont des contraintes réglementaires qui imposent un stockage exclusif sur cette plateforme afin d’éviter les fuites de données.

Autrement dit, pour se prémunir contre les risques de fuite, ils ont créé un point de défaillance unique. Bravo !

Du coup, quand l’incendie a détruit les serveurs physiques, tout est parti en fumée. Huit ans de documents de travail pour certains ministères, qui ont été complètement perdus… C’est surtout le ministère de la Gestion du Personnel qui s’est pris la claque la plus violente parce qu’il avait rendu obligatoire le stockage de tous les documents sur G-Drive uniquement. D’autres organismes comme le Bureau de Coordination des Politiques Gouvernementales, qui utilisaient moins la plateforme, ont moins souffert.

Bref, les autorités essaient maintenant de récupérer ce qu’elles peuvent depuis d’autres sources. Y’a des petits bouts de fichiers sauvegardés localement sur les ordinateurs personnels des fonctionnaires le mois précédent, les emails, les documents officiels validés et les archives papier… Bref, pour tous les documents officiels passés par des processus d’approbation formels, il y a un espoir de récupération via leur système OnNara (un autre système gouvernemental qui stocke les rapports finaux), mais pour tout le reste (brouillons, fichiers de travail en cours, notes internes…etc.) c’est mort de chez mort…

Le ministère de l’Intérieur a expliqué que la plupart des systèmes du centre de Daejeon sont normalement sauvegardés quotidiennement sur des équipements séparés dans le même centre ET dans une installation de backup distante. Mais G-Drive, lui, n’avait pas, comme je vous le disais, cette possibilité.

Évidemment, cet incident a déclenché une vague de critiques acerbes sur la gestion des données gouvernementales sud-coréennes. Un système de backup en miroir en temps réel qui duplique le serveur principal pour assurer la continuité de service en cas de panne, était complètement absent de l’infrastructure et pour un système aussi critique que le stockage de documents de 750 000 fonctionnaires, c’est difficilement compréhensible.

Voilà donc le gouvernement estime qu’il faudra jusqu’à un mois pour récupérer complètement les 96 systèmes de base directement endommagés par l’incendie et pour G-Drive et ses 858 To de données, par contre, c’est une autre histoire, car sans backup, les données sont définitivement perdues.

De plus, cet incendie déclenche actuellement un genre d’examen mondial des batteries lithium-ion dans les datacenters et des architectures de plan de reprise d’activité (PRA). Les batteries lithium-ion sont en effet utilisées partout pour l’alimentation de secours, mais leur risque d’emballement thermique en cas de défaillance pose de sérieuses questions sur leur place dans des infrastructures critiques…

Bref, je souhaite bon courage aux Coréens, et j’espère que tout le monde saura tirer des enseignements de ce malheureux incendie…

Source

Besoin d’aller voir le profil Instagram de quelqu’un en scrèd, sans que cette personne ne le sache ? Hé bien plus besoin de vous créer un faux compte grâce à ImgInn . En effet, ce site vous laisse surfer sur Instagram de manière totalement anonyme, sans même avoir besoin de vous connecter.

Vous allez sur ImgInn, vous tapez le nom d’utilisateur Instagram qui vous intéresse, et hop, vous accédez à tout son contenu public : posts, stories, Reels, highlights et même les photos de profil. Vous pouvez ainsi mater tout ça tranquillement sans laisser de traces.

En plus de la visualisation anonyme, ImgInn permet également de télécharger tout le contenu que vous voulez. Photos en résolution originale, vidéos en HD, stories qui vont disparaître dans 24 heures, vous pouvez tout récupérer en quelques clics. Par contre, ça ne fonctionne pas avec les comptes verrouillés (non publics).

Notez quand même qu’Instagram interdit formellement dans ses conditions d’utilisation le scraping de données et l’usage d’outils tiers qui imitent les fonctionnalités de la plateforme, donc sachez le, ImgInn viole clairement les règles d’Instagram.

Mais bon, quand on veut rester anonyme, notamment auprès de Meta, la question elle est vite répondue ^^. Notez aussi que même que si le site prétend garantir votre anonymat, il collecte forcément certaines données pour fonctionner comme votre adresse IP, les comptes que vous consultez, etc. Et bien sûr, rien ne garantit que ces informations restent vraiment confidentielles ou qu’elles ne soient pas partagées avec des tiers. Donc à utiliser avec parcimonie.

Et si ImgInn vous branche pas, y’a toute une ribambelle d’autres viewers du même genre. Dumpor propose par exemple une interface assez complète avec recherche par profil, localisation ou hashtag. SmiHub sépare carrément la partie visualisation et téléchargement en deux menus. Picuki va même jusqu’à intégrer des outils d’édition de photos. Pixnoy se concentre surtout sur les Reels, et Storistalker prétend même récupérer les posts supprimés.

A voir donc… Et pour me suivre sur Instagram c’est par ici !

En octobre 2016, un développeur suisse connu sous le pseudo swisskyrepo a commencé à compiler ses notes de pentester dans un dépôt GitHub. Rien de révolutionnaire au départ, juste un mec qui en avait marre de chercher la même injection SQL pour la 50ème fois dans ses notes. Mais ce qui est cool c’est qu’au fur et à mesure des années, il a structuré ça proprement avec une section par type de vulnérabilité, des README clairs, des fichiers Intruder pour Burp Suite, des exemples concrets…etc.

Ça s’appelle Payloads All The Things, et c’est accessible ici .

Ce qui était donc au départ un simple carnet de notes personnel est devenu THE référence mondiale en cybersécurité offensive avec des centaines de contributeurs qui ajoutent quotidiennement de nouvelles techniques. C’est devenu la pierre de Rosette (pas la charcuterie, renseignez-vous !! lol) de la sécurité offensive, celle qu’on cite dans tous les cours de certification OSCP, celle qu’on consulte pendant les CTF, celle qu’on recommande aux débutants…

Avant PayloadsAllTheThings, le savoir en cybersécurité offensive était soit verrouillé dans des formations hors de prix à 5 000 boules, soit éparpillé dans des recoins obscurs du web, soit jalousement gardé par des pentesters qui pètent plus haut que leur cul… Des pêt-testeurs quoi…

SwisskyRepo a d’ailleurs fait un choix radical qui est tout mettre en open source, sous licence MIT, accessible à tous. Et le contenu, c’est du lourd !

On y trouve tout ce dont un pentester peut avoir besoin : SQL Injection avec toutes les variantes possibles (MySQL, PostgreSQL, Oracle, MSSQL…), XSS avec les bypasses de filtres, SSRF avec les techniques d’exfiltration, Command Injection, OAuth Misconfiguration, GraphQL Injection, File Inclusion, Authentication Bypasses, API Key Leaks…etc… La liste est hallucinante.

Chaque section est structurée comme un cookbook technique avec le contexte de la vulnérabilité, les payloads classés par type, les bypasses pour contourner les protections, des exemples concrets, et les références vers les CVE ou les articles de recherche.

Par exemple, si vous voulez exploiter un serveur Redis mal configuré, il y a une section pour ça. Si vous voulez comprendre comment contourner un WAF, pareil ! Et si vous cherchez à pivoter dans un réseau interne après avoir compromis une machine, tout est documenté en anglais sur ce site.

Mais swisskyrepo ne s’est pas arrêté là. Son projet a muté en écosystème puisqu’il a aussi créé InternalAllTheThings , un wiki dédié au pentesting interne et aux attaques Active Directory (Certificate Services, Enumeration, Group Policies, Kerberos attacks, Hash manipulation, Roasting techniques…).

Et également HardwareAllTheThings , le même genre de wiki mais sur la sécurité hardware et IoT : JTAG, SWD, UART pour les interfaces de debug, firmware dumping et reverse engineering, Arduino, Raspberry Pi, Flipper Zero pour les gadgets, Bluetooth, CAN, WiFi, RFID/NFC pour les protocoles, SDR et GSM pour la radio, fault injection pour les attaques par canal auxiliaire…

Bref, tout ce qu’il faut savoir pour hacker des objets connectés, des cartes à puce ou des systèmes embarqués.

Du coup, avec cette famille complète de “AllTheThings”, on couvre toute la surface d’attaque moderne, le web, l’infra interne et le hardware. Un pentest complet peut donc se faire avec ces trois ressources comme base de connaissance. Chouette non ?

Bien, sûr c’est à utiliser dans un cadre légal, sinon, vous irez en prison ! C’est pas un forum de script kiddies qui échangent des zero-days volés, c’est une vraie bibliothèque technique pour les professionnels et les étudiants en cybersécurité.

Grâce à ça, un étudiant motivé peut devenir compétent en sécurité offensive en quelques mois juste avec des ressources gratuites : PayloadsAllTheThings pour les techniques, TryHackMe ou HackTheBox pour la pratique, les blogs de chercheurs pour les analyses approfondies, les conférences enregistrées (DEF CON, Black Hat) pour rester à jour.

Le savoir se libère, n’en déplaise aux relous ! Moi je trouve que c’est cool, car ça vulgarise les connaissances, ça les mets à la portée de tous et c’est tant mieux.

Donc un grand merci à SwisskyRepo d’avoir lancé ce projet !

– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –

La Logitech MX Master 4 apporte quelques ajustements bien sentis à une formule déjà très aboutie. Haptique, gestes, ergonomie : tout est là pour une expérience fluide et efficace, que ce soit sur Mac ou PC. Je l’ai testé ici sur Mac, avec un constat simple : difficile de trouver mieux.

Une évolution, pas une révolution

Avec la MX Master 4 , Logitech ne bouleverse pas sa recette. Et tant mieux. Le design reste globalement le même que celui de la 3S : une souris sculptée pour les droitiers, pensée pour épouser la main sans effort. Les matériaux ont été revus : fini les revêtements soft-touch qui s’abîment vite et étaient vite sales, place à des plastiques plus bruts mais plus durables. Les clics sont encore plus silencieux, les boutons mieux positionnés, et la glisse gagne en souplesse grâce à des patins PTFE beaucoup plus larges. C’est une mise à jour maîtrisée, centrée sur l’usage et l’optimisation.

Screenshot

L’Action Ring change la donne

La vraie nouveauté, c’est l’Action Ring. Un menu circulaire qui s’affiche autour du curseur quand on presse le nouveau bouton sous le pouce, baptisé Haptic Sense Panel. On y place jusqu’à huit raccourcis personnalisés : apps, dossiers, fonctions système… Le retour haptique, ultra satisfaisant, vient valider les actions avec une petite vibration, discrète mais efficace. Le tout s’intègre parfaitement à macOS et Windows via Logi Options+, qui permet de créer des profils différents selon les applications. À l’usage, on gagne du temps. Beaucoup.

Une personnalisation très poussée

Comme les modèles précédents, la MX Master 4 mise sur la personnalisation : sept boutons configurables, deux molettes (verticale motorisée, horizontale crantée), capteur 8 000 DPI, compatibilité multi-appareils, et désormais une couche haptique ajustable.

On peut choisir l’intensité des vibrations, désactiver certaines fonctions, ou encore créer des macros avec les Smart Actions. Pour aller plus loin, un marketplace propose des plugins selon les apps : Adobe, Zoom, Excel, Figma, etc. Peu nombreux pour l’instant, mais en développement.

Screenshot

Mac vs PC : rien de majeur

La version Mac, testée ici, se distingue surtout par ses coloris exclusifs (Space Black, White Silver). Elle est livrée sans dongle USB-C (présent sur la version PC). Mais à l’usage, aucune différence en termes de performance ou de fonctions, contrairement à la MX Master 3S qui était moins performantes en Bluetooth (perso j’avais acheté le dongle à part). Dans tous les cas, la souris est pleinement compatible avec macOS ET Windows.

Une autonomie solide et une vraie réparabilité

Côté autonomie, Logitech annonce 70 jours sur une charge complète. Et bonne nouvelle : on peut recharger tout en continuant d’utiliser la souris (contrairement à la Magic Mouse…). Autre point à noter : la facilité de démontage. Pas besoin d’arracher les patins pour accéder aux vis, et des pièces comme la batterie seront disponibles en remplacement. Une rareté sur ce segment.

On en dit quoi ?

La MX Master 4 n’est pas une révolution, mais c’est clairement une des meilleures souris du marché pour un usage pro ou créatif. Confort, silence, fluidité, personnalisation : tout y est. L’Action Ring est au final un vrai plus une fois adopté, et l’intégration au système macOS est bien pensée. Même si vous avez une 3S, ça peut valoir le coup d’investir, croyez-moi ! Reste juste à espérer qu’un jour Logitech pense aux gauchers. Elle est dispo sur Amazon en cliquant ici !

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ou lire tous les tests que je publie dans la catégorie “Gadgets Tech” , comme cette liseuse Android de dingue ou ces AirTags pour Android !