Autoblog de korben.info

Le sergent-chef Gannon Van Dyke, 38 ans, stationné à Fort Bragg, a été arrêté et inculpé pour avoir empoché quelques 410 000 dollars de gains sur Polymarket en misant sur la chute de Nicolás Maduro, alors même qu'il participait à l'opération qui l'a capturé.

L'information vient du département de la Justice américain, relayée hier par CNN. Le procureur Jay Clayton, qui pilote le dossier à New York, a déclaré que ceux à qui on confie les secrets de la nation ont le devoir de les protéger.

Van Dyke a créé son compte Polymarket en décembre, juste avant l'opération Absolute Resolve qui a exfiltré Maduro du palais présidentiel de Caracas dans la nuit du 3 janvier. Entre le 27 décembre et le 2 janvier, quelques heures avant la prise, il a enchaîné 13 paris avec environ 33 000 dollars de mise pour un gain final de 409 000 dollars. Le timing est quand même franchement foireux, c'est assez dingue qu'il n'ai pas imaginé qu'il allait se faire prendre.

Cinq chefs d'accusation sont retenus contre lui : fraude électronique (jusqu'à 20 ans de prison), transaction monétaire illégale (10 ans), et trois violations du Commodity Exchange Act (10 ans chacune). Le total théorique dépasse largement la retraite.

La CFTC, le régulateur américain des marchés à terme, a également porté plainte au civil. C'est la toute première fois qu'elle inculpe quelqu'un pour délit d'initié sur un marché de prédictions.

Du côté de la plateforme, Polymarket a publié un message sur X expliquant avoir détecté l'utilisateur en train de trader sur une information classifiée et avoir alerté le DOJ de son côté. C'est donc la plateforme elle-même qui a balancé son client.

Polymarket est un marché de prédictions sur blockchain, censé garantir une forme de neutralité et d'anonymat. Sauf que des paris de 33 000 dollars avec un timing chirurgical juste avant une opération militaire classifiée, ça laisse des traces que même la blockchain ne camoufle pas.

L'affaire ouvre une nouvelle catégorie juridique. Jusqu'à présent, l'insider trading s'appliquait aux marchés financiers classiques, pas aux marchés de prédictions basés sur des événements. Avec cette inculpation, la CFTC pose un précédent : parier sur un événement à partir d'informations confidentielles d'État peut désormais vous valoir les mêmes poursuites qu'un délit d'initié sur Wall Street. Pour les juristes spécialisés, c'est un moment assez important..

Bref, parier 33 000 dollars sur Polymarket juste avant de participer soi-même à l'opération qui déclenche le jackpot, c'est quand même pas très intelligent.

Source : CNN

Un dev français, Romain Laurent, vient de sortir un jeu qui transforme en divertissement TOUT ce que tous les devs fuient, à savoir l'astreinte de nuit, le téléphone qui sonne à 3h du matin, et le hotfix qu'il faut pondre vite fait avec une prod qui fume. Ça s'appelle Hotfix , ça tourne dans votre navigateur, et ça se prend au sérieux juste comme il faut, vous allez voir.

Dans ce jeu, vous enchaînez des micro-crises à résoudre le plus rapidement possible, sans filet. Vous comment comme "Junior" à 0 points, parce qu'évidemment votre carrière de pompier recommence de zéro comme tout le monde puis ensuite ça monte en puissance. Il y a même un leaderboard, histoire que votre souffrance soit bien partagée à l'échelle mondiale. Le reste, c'est mieux que je ne le spoile pas, lancez une partie et découvrez ça vous même !

En tout cas, Hotfix parle à une catégorie très précise de techos... Ça parle à ceux qui ont déjà reçu un ping PagerDuty pendant un apéro, à ceux qui ont tapé git push --force sur leur prod à 2h du matin ou encore à ceux qui ont commit "fix" sans savoir précisément ce qu'ils avaient fixé. Les autres joueront aussi, mais ils ne riront pas nerveusement de la même manière.

Bref, c'est à tester entre deux tickets ! Et classez-vous dans le leaderboard pour que je sois fier de ma commu ^^ (Ouais, je parle comme Tibo maintenant)

L'histoire nous vient de Málaga, racontée par la Policía Nacional et reprise par The Register. Un magasin de paris local est pris en défaut par un bug logiciel qui affiche des gains doublés sur plusieurs tickets de la journée.

Les parieurs concernés voient leur jackpot apparaître deux fois à l'écran, et vont logiquement le réclamer au guichet. Sauf que la direction du groupe, une fois prévenue, refuse net d'honorer les paiements erronés. Les clients repartent avec leur mise normale, et bien bien remontés.

Parmi ces parieurs floués, visiblement, l'idée du recours en justice n'a pas séduit tout le monde. Un agent de sécurité du magasin lui-même, selon la police, s'associe à un complice non identifié pour monter une combine.

Les deux se présentent aux parieurs lésés comme des "intermédiaires" capables de récupérer l'argent dû, à condition que les clients leur fassent confiance pour la suite. Une petite économie parallèle de compensation, en somme.

Le problème, c'est la méthode choisie pour faire pression sur la direction. Les deux comparses traquent le gérant du magasin, obtiennent son adresse personnelle, lui envoient des SMS et des enregistrements audio d'intimidation, puis finissent par l'enlever.

La rançon demandée est de 50 000 euros, avec des exigences qui évoluent en cours de négociation, vers des acomptes plus petits et plus rapides. Clairement des kidnappeurs qui improvisent.

Heureusement pour le gérant, ça n dure pas. Après une info anonyme, la Policía Nacional localise le point de rendez-vous du premier versement, un fast-food dans un centre commercial de Málaga, et y interpelle les deux suspects en même temps qu'elle libère l'otage. Le tout 90 minutes après l'enlèvement, sans paiement effectué et sans blessé. Les deux hommes sont maintenant en détention pour kidnapping.

Moralité : un bug logiciel plus une mauvaise gestion de la communication client égale un agent de sécurité qui se reconvertit en pseudo-Robin des Bois. Le refus de la direction de payer les erreurs système est discutable commercialement, mais ce n'est clairement pas ce qui justifie d'enlever qui que ce soit.

Bref, un bon audit du logiciel de paris, et une réponse client un peu plus habile, auraient évité tout ce bordel.

Source : The Register

La norme HDMI 2.1, avec ses 4K@120 Hz et ses 8K, est un serpent de mer dans le monde Linux. Depuis trois ans, le HDMI Forum refuse aux développeurs AMD l'accès aux spécifications de la Fixed Rate Link, le composant-clé qui permet de faire passer ces gros débits.

Résultat, les utilisateurs Linux avec une carte AMD récente sont coincés en HDMI 2.0, donc en 4K@60 Hz. C'est quand même frustrant quand votre écran coûte plus cher que votre GPU.

Côté NVIDIA, Nouveau (le pilote open-source historique) s'apprête à contourner ce blocage par une pirouette plutôt élégante. Karol Herbst, contributeur de longue date du projet, explique que puisque tout le logiciel HDMI 2.1 de NVIDIA se trouve déjà dans le firmware GSP de la carte (le fameux blob propriétaire que NVIDIA a commencé à distribuer il y a quelques années), il suffit à Nouveau de le charger et de lui dire quoi faire.

L'open-source n'a pas besoin de connaître les spécifications HDMI 2.1, parce que c'est le firmware fermé qui s'en occupe. Le HDMI Forum ne peut rien objecter. Plutôt malin.

C'est la différence-clé avec la situation AMD. Le pilote AMDGPU fait tourner une grosse partie de la logique d'affichage dans le code open-source, justement parce que c'est la philosophie maison. Du coup, implémenter HDMI 2.1 dans AMDGPU reviendrait à exposer des morceaux de la spec que le HDMI Forum protège jalousement.

Sur Nouveau, NVIDIA a externalisé toute cette logique dans le firmware GSP, donc le pilote open-source reste "naïf", et par chance, c'est exactement ce qui le sauve juridiquement.

À noter que la chose n'est pas encore dans le noyau Linux. Herbst est confiant sur le principe, mais il reste du travail pour finaliser l'intégration, gérer les capacités dynamiques du firmware, et s'assurer que ça marche sur toutes les cartes Ampere, Ada et Blackwell.

Les utilisateurs AMD regarderont ça avec une certaine amertume, parce que leur blocage, lui, est juridique, pas technique.

Bref, la philosophie "tout open" d'AMD se retourne contre elle sur ce dossier, et Nouveau s'en sort par une faiblesse architecturale transformée en avantage.

Source : Phoronix

SentinelOne a publié une analyse qui peut redessiner la chronologie connue de la cyberguerre. Baptisé FAST16, ce framework de sabotage informatique a été compilé en 2005, soit cinq ans avant la découverte de Stuxnet. Si les analyses tiennent la route, ça en fait la plus ancienne cyberarme étatique documentée à ce jour.

Le principe est fourbe. FAST16 ne détruit rien, ne chiffre rien, ne vole rien. Il corrompt des calculs. Le driver kernel (fast16.sys) s'installe silencieusement sur la machine cible, se place dans le flux d'entrée/sortie du système de fichiers, et modifie le code exécutable de certains logiciels de calcul haute précision pendant leur chargement en mémoire.

Le logiciel tourne normalement, affiche des résultats cohérents en apparence, mais ils sont légèrement faux. Pendant des mois, voire des années, les ingénieurs prennent des décisions sur des données faussées sans jamais rien voir. Plutôt vertigineux.

Les logiciels visés sont très spécifiques : LS-DYNA 970 pour la simulation de crash et les calculs structurels, PKPM pour le BTP (utilisé essentiellement en Chine), et MOHID pour la modélisation hydrodynamique. LS-DYNA, justement, a des usages documentés dans la recherche nucléaire iranienne. Ce qui ramène toujours au même dossier.

L'architecture est aussi très sophistiquée : un module porteur avec une machine virtuelle Lua 5.0 embarquée qui exécute du bytecode chiffré, le driver de sabotage, et un module de reporting qui passe par les callbacks Windows RAS.

Pour rappel, l'usage d'une VM Lua embarquée précède de trois ans les plus anciens échantillons de Flame (2012). Ces gens étaient très en avance.

Autre signal intéressant, le nom "fast16" apparait dans la fuite ShadowBrokers de 2017, plus précisément dans les composants "Territorial Dispute" attribués à la NSA, accompagné d'une mention cryptique qui disait en substance "rien à voir ici, circulez".

Visiblement, il y avait quelque chose à voir. Le code contient aussi des traces SCCS/RCS, des conventions de versioning Unix des années 70-80, ce qui pointe vers des développeurs issus d'environnements d'ingénierie ancienne école, probablement étatiques.

Bref, SentinelOne n'accuse personne, mais les indices pointent vers les États-Unis ou un allié. Ça repousse de cinq ans la frontière connue de la cyberguerre offensive.

Source : The Register

Si vous bossez sur Mac et que Docker Desktop commence à vous prendre la tête, les amis, y'a une alternative super cool qui vient de débarquer. Ça s'appelle Mocker , c'est écrit en Swift, c'est sous licence AGPL-3.0, et le principe c'est de remplacer la CLI de Docker à l'identique : mêmes flags, mêmes formats de sortie, même syntaxe pour Compose. mocker run, mocker ps, mocker compose up (...bref, le README annonce 111 commandes et sous-commandes couvertes avec les flags qui matchent).

Pour l'installer, un brew tap us/tap && brew install mocker et c'est plié !

La plupart des images Docker Hub standards (format OCI) se pullent pareil, et votre fichier docker-compose.yml tourne le plus souvent sans rien retoucher. Attention quand même, si vous avez encore Docker Desktop qui tourne en parallèle, coupez-le avant de jouer avec mocker sinon vos ports vont faire la bagarre !

De plus, certaines features Docker très spécifiques (options de runtime exotiques, images qui tapent dans des sockets Linux particuliers) peuvent planter ou produire un avertissement côté Apple Containerization. Mais sur du stack web classique (nginx, postgres, redis, node), par contre, ça passe crème.

Mais alors, pourquoi ça fonctionne aussi bien ?

Hé bien parce que Mocker ne réinvente pas la roue, il l'enrobe. Rien de plus, rien de moins. En fait, sous le capot, c'est le framework Apple Container qui fait tout le boulot.

Pour rappel, c'est ce truc qu'Apple a sorti à la WWDC 2025 et qui permet ainsi de lancer une petite VM Linux dédiée par conteneur (au lieu de la grosse VM partagée à la Docker Desktop). Mocker délègue alors tout au binaire container d'Apple pour run, stop, exec et logs, tape directement dans le Containerization.ImageStore pour les pulls et les tags, et gère les ports via un petit proxy TCP userspace.

L'état des conteneurs, images, réseaux et volumes est alors stocké en JSON dans le dossier ~/.mocker/ sur votre Mac. Comme y'a rien de magique, vous pouvez tout inspecter à la main, ce qui est plutôt chouette !

Côté perfs, il y a quand même un coût. Selon les benchmarks publiés par le dev sur sa machine Apple Silicon, au démarrage d'un container Docker Desktop tourne à 320 ms, le CLI container d'Apple à 1030 ms, et Mocker à 1153 ms (3,6× plus lent que Docker, ~120 ms d'overhead sur Apple).

Dans la vraie vie, 800 ms de plus au boot c'est transparent si vous relancez 5 containers par jour en dev, mais ça devient clairement pénible si vous faites du CI local intensif avec 50 runs à la chaîne. Sur ces mêmes benchmarks, une fois que le container est up, CPU et mémoire s'en sortent ensuite pareil. Autrement dit, la VM par conteneur coûte au boot, mais pas au runtime. En tout cas, sur cette config de test pour les benchmarks.

Si vous voulez une alternative plus mature et commerciale, OrbStack reste encore une fois la référence sur Mac, mais c'est du freemium. Mocker, lui, est gratuit et open source du début à la fin.

Voilà les amis, si vous êtes sur Mac Apple Silicon et que Docker Desktop vous saoule, ça vaut grave le coup de tester !! Au pire vous revenez à Docker, au mieux vous gardez Mocker et vous arrêtez de payer la licence Business...

Je viens de tomber sur un projet qui va vous renvoyer direct dans les années 80 !! Ça vous dirait que votre vieux Commodore 64 puisse balancer un prompt façon Unix, avec login, éditeur de texte et 30 commandes ? Hé bien c'est exactement ce que propose C64UX , codé en assembleur pur, sans patch ROM ni rien.

L'auteur, Anthony Scarola a sorti sa dernière version en février 2026, avec une bannière de démarrage qui balance fièrement des [ OK ] à chaque étape de la séquence de boot, exactement comme un vrai système Linux un peu trop fier de lui !

En gros sur votre Commodore 64 , vous bootez normalement sous BASIC puis vous lancez le programme c64ux.prg (un simple LOAD et RUN), vous tapez votre username et votre mot de passe, et hop, vous atterrissez dans un shell qui propose 30 commandes :

LS, CAT, NANO, RM, CP, MV, SAVE, LOAD, THEME, UPTIME, DRIVE, STAT, WRITE, ECHO, SAVEREU, LOADREU, WIPEREU, PASSWD, MEM, DATE, TIME, PWD, RESET, UNAME, VERSION, WHOAMI, CLEAR, DOS, EXIT et HELP.

Et la commande EXIT vous ramène à BASIC.

La config initiale de C64UX : création du compte, date et heure, avant de tomber sur le prompt

Sous le capot de C64UX, c'est de l'assembleur 6502 brut de décoffrage. Et surtout, le projet n'utilise que les routines standard du C64, sans aucune ROM modifiée, ni aucune cartouche spéciale. Du coup ça tourne aussi bien sur un vrai C64 d'époque que sur un Ultimate 64 moderne ou dans l' émulateur VICE .

Mais le vrai morceau de bravoure dans ce projet c'est la persistence REU. Car votre shell avec ses fichiers, vous pouvez le dumper dans l'extension mémoire de l'époque via SAVEREU puis tout restaurer après coup avec LOADREU. Très pratique pour ne pas perdre vos précieux textes à chaque reset ! Par contre, sans extension REU branchée, tout s'efface au redémarrage, faudra donc penser à taper la commande SAVE à la main pour écrire sur disquette.

La sortie de la commande HELP, avec la liste des commandes disponibles

L'éditeur baptisé NANO (inspiré du vrai mais en mode super minimaliste) fait bien le taf aussi. Et les themes changent la couleur de bordure, le fond et le texte d'un coup, entre NORMAL (le bleu royal classique), DARK, ou GREEN pour se la jouer Matrix.

Création d'un fichier avec WRITE, lecture avec CAT, puis STAT et LS pour voir les métadonnées

Sur le forum Lemon64, Scarola balance une nouvelle version à peu près toutes les semaines et reconnaît lui-même être un petit nouveau en assembleur. Mais gros respect pour avoir déjà sorti 10 releases en un peu plus d'un mois quand même ! Notez que comme tout bon développeur qui sait vivre avec son temps (#troll), il s'aide d'un peu d'IA (Claude Code en l'occurrence) pour l'écriture du code.

Voilà, si vous avez un Commodore 64 qui traîne ou juste un émulateur VICE sous la main, foncez tester, c'est sympa !