Robots chiens Unitree - La backdoor que personne ne corrige
Si vous croisez un robot-chien Unitree dans un hall d'HLM, sur un parking, un chantier, ou en train de patrouiller dansv otre ville, faut que vous sachiez 2 trucs quand même :
Un, n'importe qui peut le rooter en moins d'une minute avec son téléphone. Et de deux, le robot lui-même envoie en continu un flux chiffré vers un tunnel cloud opéré depuis la Chine. C'est en tout cas ce que Benn Jordan, musicien indépendant et chercheur amateur, vient de démontrer hier dans une enquête de 24 minutes qui fait, comme il le dit lui-même, un meilleur boulot que toute l'infrastructure cybersécurité du gouvernement américain.
Pour le hacker, suffit donc de se connecter au robot en Bluetooth, puis d'injecter une commande curl à la fin du mot de passe Wi-Fi, on éteint le toutou, on le rallume, et au reboot le robot exécute votre commande quand il active le Wi-Fi. C'est tout et c'est vraiment magique !! Pas besoin d'accès root physique donc mais juste un bon vieux téléphone et un Bluetooth pourri !
Le boss !
Alors vous pensez peut-être que ce n'est pas très grâce parce que ces robots sont des gadgets mais c'est faut puisque les robots-chiens Unitree sont actuellement utilisés par les services de police de Pullman (Washington), Port St. Lucy (Floride) et Topeka (Kansas) et un peu partout ailleurs dans le monde.
Les Marines américains les déploient en test, certains armés de lance-roquettes, les forces chinoises leur sanglent diverses armes sur le dos depuis un moment et l'Ukraine s'en sert pour repérer des munitions non-explosées. Et dans le civil, ces robots circulent même dans des HLM d'Atlanta pour le compte de sociétés de surveillance privée...
En France, le tableau est un peu différent. Pas de déploiement confirmé par les forces de l'ordre ou l'armée pour l'instant. Chez nous, c'est Boston Dynamics Spot et l' E-Doggy d'Evotech (robot 100% français, utilisé au déminage pendant les JO 2024) qui tiennent ces marchés-là. Les Unitree restent encore dans les labos tels que l' INRIA Paris et le labo HUCEBOT de Nancy qui utilisent le Go2 pour leurs recherches en locomotion robotique.
En dehors de la recherche, le cas le plus avancé est celui d'Orano, qui a testé fin 2025 le G1 humanoïde d'Unitree sur son site nucléaire de Marcoule en partenariat avec Capgemini (c'est un humanoïde, pas un quadrupède, mais même fabricant, même firmware, mêmes questions). Côté distribution, INNOV8 Power est également partenaire officiel Unitree depuis VivaTech 2025 et INGEN Geosciences distribue la marque depuis 2020. Le réseau pour vendre ces robots à des boîtes de sécurité privées françaises est donc déjà bien en place.
Du coup quand un mec démontre qu'on peut en prendre le contrôle complet rapidement, ça mérite qu'on regarde ça d'un peu plus prêt...
Et quand je dis contrôle complet, c'est pas un excès de langage. Avec cet accès root, Benn Jordan a réussi à enregistrer, télécharger et live streamer l'audio et la vidéo captés par le robot. Sans authentification donc ni même sans passer par l'app officielle. C'est assez dingue... On peut même contrôler les mouvements du robot. Une belle merde donc !
Cette faille n'est d'ailleurs pas une nouveauté absolue puisque j'avais déjà couvert le hack BLE des humanoïdes Unitree en décembre dernier. Et ensuite rebelote en mars dernier avec deux nouvelles CVE sur le Go2, partiellement patchées. La répétition des conneries devient un peu lourdingue chez Unitree...
La deuxième partie de l'enquête, elle, atteint un autre niveau puisque Benn Jordan a entendu parler de rapports affirmant que d'autres robots Unitree contenaient une backdoor envoyant des données à des serveurs étrangers. Il a donc voulu vérifier ça lui-même.
Il a donc transformé un Raspberry Pi sous Linux en routeur avec le mode moniteur activé, et lancé BetterCap pour analyser chaque paquet sortant.
Et là, surprise, le robot refuse purement et simplement de s'authentifier. Le hic, c'est que quelque chose côté serveur cloud détecte que le routeur est anormal et bloque la connexion. En analysant un peu plus finement la connexion, il a remarqué que la première IP chopée au sniff pointait vers Odessa, en Ukraine... Vu qu'aucune doc fabricant ne mentionne ce point d'accès, le truc devient alors officiellement louche... Le robot semble savoir quand il est "analysé" et cette détection d'environnement anormal est précisément le truc qui transforme une affaire de faille classique en problème de sécurité nationale.
Benn Jordan a donc ensuite contourné ça avec un routeur de voyage standard avant de sniffer derrière les paquets, et il a fini par confirmer ce qu'on appelle officiellement la CVE-2025-2894 . Il s'agit d'un tunnel P2P préinstallé sur le Go1 qui se connecte automatiquement au démarrage à une plateforme appelée CloudSail, opérée par une boîte chinoise nommée Zhexi Technology.
Le truc est référencé dans MITRE depuis le printemps 2025, soit environ un an et demi. En 2025, les chercheurs Andreas Makris et Kevin Finisterre ont même chopé la clé API de CloudSail et identifié près de 2000 robots vulnérables sur ce réseau, dont des unités installées au MIT, à Princeton, à Carnegie Mellon et à l'université de Waterloo.
Côté américain, la seule action gouvernementale connue suite à ça, a été une mise en garde des Marines US concernant l'usage de produits Unitree en opérations militaires. Rien d'autre.
Et là on arrive à un point de blocage assez brutal. Les failles démontrées par Benn (le hack Bluetooth, la prise de contrôle complète) et la backdoor CloudSail ne peuvent pas être corrigées en même temps, parce que les solutions se neutralisent mutuellement.
Pour boucher les failles de Benn, il faut passer par une mise à jour firmware officielle d'Unitree. Mais cette mise à jour ferme aussi l'accès root au système. Sans accès root, impossible de détecter ou bloquer le tunnel CloudSail de l'intérieur. Du coup, on a un robot sécurisé contre les hackers, mais des données qui filent quand même vers la Chine.
À l'inverse, si vous gardez le firmware actuel pour maintenir l'accès root (et donc la capacité de surveiller et bloquer CloudSail), les failles restent béantes. N'importe quel inconnu avec un téléphone peut alors prendre le contrôle complet de votre flotte de robots clébards. Bien sûr, couper Internet sur le robot évite les deux problèmes à la fois, mais le rend inutilisable dans la plupart des déploiements opérationnels.
Si vous avez un Unitree à la maison ou en entreprise, voilà la recommandation perso de Benn Jordan. Selon lui, plutôt que d'installer la dernière mise à jour, mieux vaut ne plus jamais mettre à jour le firmware (gardez en tête que c'est son avis radical, pas une bonne pratique standard). Parce qu'à la prochaine mise à jour, vous risquez de perdre la capacité de rooter votre propre robot, et avec elle la capacité de détecter, bloquer ou rediriger la backdoor.
Vous perdrez aussi la possibilité d'écrire manuellement des services qui empêchent les hackers d'exploiter les autres failles. En clair, sa meilleure défense contre Unitree, c'est de figer le firmware actuel.
Un Flipper Zero suffisait déjà à neutraliser un robot-chien de la concurrence, mais ici "couper" le robot de son fabricant pour s'en protéger, c'est un autre délire...
Les données de 120 000 adhérents LFI dans la nature
Un hacker au pseudo "fuzzeddffmepg" a balancé sur un forum cybercriminel le 7 mai une base de données présentée comme provenant d'Action Populaire, le réseau militant numérique de la France Insoumise.
Au programme : environ 120 000 adresses email uniques, 20 000 numéros de téléphone, et un paquet de données personnelles couvrant pratiquement neuf ans d'activité, de 2017 à 2026.
Le contenu de la fuite est franchement gênant pour les adhérents. On y trouve les noms et prénoms des utilisateurs, leurs adresses email et numéros de téléphone, leurs adresses postales liées à des paiements, leurs participations à des groupes et événements, mais aussi des messages privés et échanges internes, plus des données de paiement et d'abonnement.
La période couverte va de 2017 à 2026, soit pratiquement toute l'histoire d'Action Populaire en tant que plateforme militante. Le hacker affirme avoir exploité une faille sur une infrastructure décrite comme obsolète, et il menace de publier d'autres extractions, dont des serveurs de messagerie.
Côté LFI, aucune confirmation officielle pour le moment. Silence radio. Ce qui n'est pas franchement la meilleure stratégie quand vos propres adhérents lisent partout sur le web que leurs données traînent en libre service.
La situation a un goût particulièrement improbable parce que LFI venait justement de déposer une proposition de résolution pour créer une commission d'enquête parlementaire sur "l'accumulation et la fuite de données personnelles en France". Sauf que voilà, demander une enquête sur les fuites pendant qu'on se fait fuiter, c'est un peu tendu.
Au passage, ce hack n'est pas isolé. Depuis quelques mois, les fuites se multiplient en France, du public au privé : CPAM, Parcoursup, ANTS, et maintenant un parti politique. Le hacker a clairement expliqué viser une infrastructure obsolète, et c'est un peu le même refrain qu'on entend partout sur l'état général de la sécurité des plateformes hébergées en France.
Concrètement, les risques pour les adhérents exposés sont réels. L'appartenance politique étant une donnée sensible au sens du RGPD, ces 120 000 personnes peuvent désormais s'attendre à des campagnes de phishing très ciblées, du harcèlement téléphonique en règle, et possiblement de l'usurpation d'identité.
Pour les militants, c'est franchement pénible. La CNIL devrait normalement être saisie par le parti dans les 72 heures suivant la prise de connaissance de l'incident~~, mais sans communication officielle, impossible de savoir si cette obligation a été respectée~~. Mise à jour : la LFI a bien prévenu ses membres et adhérents !
Screenshot
Bref, une infrastructure à l'abandon finit toujours par parler. Et ça tombe pile quand LFI réclamait plus de protection des données. Joli timing.
Source : French Breaches
myAudi permettaient de localiser un véhicule à partir de son code VIN
Le numéro VIN de votre voiture est visible sur le bas du pare-brise et récupérable par n'importe qui qui passe à côté. Et croyez le ou non, mais c'est pourtant sur ce numéro, visible de tous, que repose en partie le modèle de sécurité de myAudi, l'application connectée pour contrôler son véhicule Audi à distance.
Un chercheur qui se présente sous le pseudo Decoder a décidé de regarder ça de plus près. Son setup c'est un émulateur Android Pixel 7, Burp Suite en proxy pour intercepter le trafic réseau ainsi que Frida Server et Objection pour contourner le certificate pinning de l'app. Des outils et du boulot classique de pentest mobile, pas particulièrement sophistiqué donc...
Et ce qu'il a découvert grâce à ça, c'est que n'importe quel utilisateur myAudi peut ajouter le véhicule de quelqu'un d'autre à son compte en entrant simplement le VIN. Le rôle attribué est "GUEST_USER" donc au premier abord, ça peut sembler anodin mais ça donne quels accès, au juste ? Hé bien on va voir ça car c'est pas si simple.
Tout d'abord, l'introspection GraphQL est activée en production sur l'API de myAudi, ce qui revient à laisser un plan d'architecte en libre accès dans le hall d'entrée d'une banque. N'importe qui peut donc cartographier l'intégralité des fonctionnalités exposées.
Plus sérieux et toujours pas patché à l'heure de la publication, via l'API msg.audi.de, un utilisateur avec le rôle GUEST_USER peut aussi récupérer l'IMEI et l'ICCID de la carte SIM embarquée dans le véhicule. Ces identifiants permettent alors potentiellement de tracer la carte SIM sur les réseaux mobiles.
Et là, la faille qui a été corrigée depuis, ce sont celles concernant les "requêtes en attente" d'un véhicule qui étaient lisibles par n'importe quel "invité". Parmi elles, les commandes "honk & flash" (klaxon + appels de phares) qui contenaient la position GPS de la voiture. Du coup, avec juste un VIN, on pouvait savoir physiquement où se trouvait la voiture... Ça rappelle un peu comment les données Strava avaient suffi à localiser le porte-avions Charles-de-Gaulle en pleine mission.
Et derrière tout ça, il y a CARIAD, la filiale "software" du groupe Volkswagen dont j'avais déjà évoqué les difficultés l'an dernier, et qui gère les services numériques pour VW, Audi, Seat et Skoda.
CARIAD a donc patché la faille GPS mais pour le reste, c'est encore "under evaluation". Je rappelle que c'est la même filiale qui, en décembre 2024, avait exposé les données de 800 000 véhicules électriques via une mauvaise configuration AWS, avec des coordonnées GPS précises à 10 centimètres près pour les modèles VW et Seat. Le Chaos Computer Club l'avait découvert, et des politiciens, des chefs d'entreprise et des forces de l'ordre se trouvaient dans le lot des données exposées...
Donc bon, y'a encore un peu de taf pour sécuriser ces voitures un peu trop connectées... En tout cas, l'analyse de Decoder est disponible sur son blog si ça vous dit. De son côté, il précise continuer à creuser l'architecture CARIAD car y'a sûrement d'autres trucs rigolo à trouver.
On verra bien...
JDownloader a diffusé des versions piégées, votre PC est peut-être compromis
Entre le 6 et le 7 mai 2026, le site officiel jdownloader.org a été compromis et a servi pendant un peu plus d'une journée des installeurs piégés à la place des versions légitimes du célèbre gestionnaire de téléchargements.
Concrètement, les liens alternatifs pour Windows et l'installateur shell pour Linux ont été remplacés par un loader qui déploie un RAT (Remote Access Trojan) écrit en Python sur la machine de la victime. Pour ceux qui ne connaissent pas, un RAT donne à l'attaquant un contrôle total à distance de votre PC : exécution de commandes, vol de données, installation d'autres malwares, et tout ce qui peut se faire avec un compte utilisateur compromis.
Bonne nouvelle dans le malheur. Tous les canaux de distribution n'ont pas été touchés. La version macOS est passée à travers, pareil pour les installations via Flatpak, Winget et Snap, ainsi que pour le package JAR principal de JDownloader. Seuls les liens "alternative download" Windows et le script shell Linux du site officiel sont contaminés. Si vous utilisez ces canaux pour vous mettre à jour, c'est sur eux qu'il faut vérifier.
Le problème a d'abord été relevé par un utilisateur Reddit, "PrinceOfNightSky", qui a constaté que les exécutables téléchargés étaient signalés par Microsoft Defender et signés par des éditeurs douteux (Zipline LLC, The Water Team) au lieu de la signature légitime AppWork GmbH.
Une fois alerté, le développeur de JDownloader a confirmé la fuite, mis le site hors ligne, et publié un rapport d'incident détaillé pour permettre l'analyse externe. La porte d'entrée des attaquants ? Une vulnérabilité du CMS du site qui permettait de modifier les listes de contrôle d'accès et le contenu sans authentification. Pas génial.
Le malware Windows fonctionne en deux étages. Un petit programme téléchargé sert de loader, qui récupère et exécute ensuite le vrai payload en se connectant à deux serveurs de commande nommés parkspringshotel[.]com et auraguest[.]lk. Architecture modulaire, ce qui veut dire que l'attaquant peut envoyer le code Python qu'il veut depuis ses serveurs et adapter sa charge en temps réel. Vol de mots de passe, persistance, mouvement latéral sur le réseau local, tout y est possible.
Si vous avez téléchargé JDownloader depuis le site officiel entre le 6 et le 7 mai, faites donc très attention. Réinstallez complètement l'OS et changez tous vos mots de passe. Un RAT donne suffisamment d'accès pour qu'un nettoyage par antivirus seul ne soit pas une garantie suffisante. Pénible mais c'est le seul moyen propre.
Source : Bleeping Computer
Dusk - Zelda Twilight Princess en natif sur PC, Mac, Linux et mobile
Plus de 4 000 commits, 5 ans de décompilation acharnée, et selon l'équipe ZeldaRET le plus gros projet de reverse-engineering jamais bouclé sur un jeu Nintendo. Voilà tout ce qu'il a fallu à la team Twilit Realm pour livrer Dusk, leur portage natif de Zelda Twilight Princess sur Windows, macOS, Linux, iOS et même Android.
La sortie officielle a eu lieu samedi dernier, et le projet fait son petit effet dans la communauté retrogaming.
Link traverse les plateformes dans Dusk (capture du site officiel )
Pour faire fonctionner le jeu, vous devez récupérer le binaire Dusk sur GitHub , puis lui fournir votre propre dump du jeu GameCube car la team ne distribue aucun asset de Nintendo pour limiter le risque juridique... Après je vous fais confiance pour en trouver tombé du camion... ^^.
Et hop, en moins de temps qu'il n'en faut pour le dire, vous vous retrouvez à jouer à Twilight Princess sur votre Steam Deck, votre iPhone, votre laptop M3, votre tour Linux ARM64, peu importe... Tout ça sans émulateur Dolphin puisque le code GameCube a été reverse-engineered au niveau machine puis recompilé pour le matériel moderne, ce qui donne un vrai portage natif avec les avantages habituels : framerate déverrouillé, résolutions HD, modding facilité, performances qui dépotent (sous réserve d'un GPU compatible D3D12, Vulkan ou Metal, les vieux iGPU Intel et certains Adreno galèrent encore).
Le moteur du jeu original tournait à 30 refresh par seconde (en anglais on dit "ticks", c'est le nombre de fois où le moteur rafraîchit / recalcule la 3D du jeu) , c'est-à-dire que la simulation du monde se mettait à jour 30 fois par seconde, point final. La team a gardé ce taux à l'identique pour préserver le comportement de simulation proche de l'original, ce qui rassure surtout les speedrunners.
Sauf que maintenant, le rendu visuel, lui, peut tourner à 144 Hz ou plus. Donc entre deux refresh, Dusk calcule où devraient se trouver les objets et interpole leur position pour produire une image fluide. Vous gardez ainsi la mécanique de 2006, mais l'affichage est de 2026, donc c'est spleennnndiiiiide ! C'est une approche comparable à celle de Ship of Harkinian sur Ocarina of Time.
Côté plateformes, c'est pour Windows x86-64, macOS Intel et Apple Silicon, Linux x86-64 et ARM64, iOS via AltStore et Android en APK direct. Pas de version Switch par contre, et n'ayez pas d'espoir car l'équipe a été claire sur le sujet. Pour des raisons techniques (et j'imagine juridiques) ils n'envisagent pas de port natif sur la console actuelle. Les versions Wii et les autres régions GameCube sont également en chantier, mais pour l'instant ce sont les versions GameCube USA et EUR qui sont supportées. Le projet vérifie même le hash SHA-1 de votre dump pour s'assurer qu'il correspond à une version compatible avant de lancer quoi que ce soit.
Link en wolf enchaîné dans le donjon initial (capture du site officiel )
L'ensemble est sous licence CC0, domaine public, zéro restriction, ce qui veut dire que vous pouvez forker, modifier, redistribuer le code sans contrainte. Le projet repose sur la décompilation zeldaret/tp , menée depuis août 2020 par une communauté internationale de speedrunners et de devs reverse-engineers.
C'est le même schéma juridique qui a permis à Zelda 64 Recompilé de prospérer. Les projets évitent de distribuer des assets Nintendo, mais ça ne supprime pas tout risque de notification DMCA puisque la légalité dépend aussi de votre juridiction et de la manière dont le dump a été obtenu (DMCA section 1201 aux US, qui interdit en principe le contournement de protection, donc la prudence reste de mise).
Maintenant, faut pas se voiler la face sur le destinataire d'une lettre recommandée potentielle puisque Nintendo a fait sauter yuzu et son fork Suyu en 2024 avec 2,4 millions de dollars de règlement à la clé, Ryujinx a mis la clé sous la porte en octobre dernier sous pression directe, Garry's Mod a dû purger 20 années de contenu Nintendo de son workshop, et la société attaque actuellement Palworld sur des brevets de gameplay déposés à la va-vite.
Donc même quand un projet respecte le droit à la lettre, la firme japonaise a les moyens de noyer une équipe bénévole sous des frais d'avocats jusqu'à épuisement total. Les ports type Ship of Harkinian tiennent depuis plusieurs années déjà sans procédure, mais rien ne garantit que Dusk passera entre les gouttes. Si vous voulez profiter du jeu sur PC, je vous conseille donc de cloner le repo en local et de mettre le binaire de côté quelque part, on ne sait jamais....
Link récupère un fragment de coeur (capture du site officiel )
Pour l'installation, vous filez sur le repo GitHub, vous chopez le binaire de votre plateforme, vous pointez le launcher vers votre dump GameCube (que vous avez fait vous-même depuis une Wii moddée en suivant le guide du wiki Dolphin, hein...), et c'est parti mon kiki.
Merci à j0j0b4rj0 pour la découverte.
Spotify génère maintenant vos podcasts tout seul
Spotify vient d'annoncer un truc intéressant je trouve, qui s'appelle les Personal Podcasts. Le principe c'est de demander absolument tout ce que vous voulez, par exemple un podcast sur un cours que vous venez de suivre, sur un bouquin, sur un article de Korben.info voire sur votre planning de la semaine, vos objectifs...etc etc... Peu importe... Spotify prend tout ça, et génère un épisode audio personnalisé raconté par une voix IA plus ou moins moche.
Et l'épisode apparaît alors directement dans votre bibliothèque, comme si quelqu'un avait fait un résumé audio de votre semaine.
Et pour faire ça, ils ont mis en ligne un repo GitHub save-to-spotify qui est un outil en ligne de commande permettant à des agents IA de créer ce podcast personnalisé tout ça accessible en ligne de commande ou via des agents comme Claude Code, OpenClaw ou Codex.
Que ce soit sous macOS ou Linux, ça s'installe en une ligne (allez lire le install.sh par sécurité quand même avant de l'exécuter) :
curl -fsSL https://saveto.spotify.com/install.sh | bash
Et si vous êtes sous Claude Code, c'est encore plus immédiat :
/plugin marketplace add spotify/save-to-spotify
Le skill se retrouve dans ~/.claude/skills/save-to-spotify/ et votre agent peut demander à Spotify de générer un podcast à la demande pour ensuite le pousser sur Spotify.
Rien de compliqué en fait !
Par contre, le podcast créé est 100% privé, donc vous ne pourrez pas le partager avec vos amis. Mais c'est pas bloquant non plus puisqu'il est toujours possible d'aller récupérer dans les dossiers temporaires de génération de l'émission les MP3 que ça vous crache pour ensuite les mettre ailleurs, soit sur votre site, soit les diffuser sur votre vrai podcast Spotify accessible à tous.
Maintenant, est-ce que je vais faire mon podcast pour raconter les actus que je mets sur ce site ?
Alors j'ai pas le temps mais je le ferai peut-être un jour si la qualité audio de l'IA est suffisante pour que ça ait l'air vraiment produit par un humain et pas par une machine. Pour vous donner une idée, voici ce que ça donne :
Donc c'est pas encore qualitatif... À voir en passant par des moteurs TTS comme ceux d'ElevenLabs... mais pour l'instant, c'est pas d'actualité pour moi. On verra bien... Je me suis quand même amusé à mettre les fichiers texte et JSON produits dans Notebook LM pour faire un autre type de podcast qui cette fois est un peu plus long et plus quali... Je vous mets ici.
Après, peu importe que vous le génériez via l'outil de Spotify ou autrement en passant par un autre outil, le CLI Save To Spotify, vous permettra ensuite de le mettre sur votre compte Spotify pour l'écouter par exemple dans la voiture ou dans les transports.
Bref, c'est disponible et si vous avez Claude Code sous la main, ça prend une ligne à installer. L'annonce complète est par ici .
DATO Ares Q4 - Le SSD aimanté qui se colle partout
Le truc cool avec un disque de backup, c'est quand vous arrêtez de le sortir du tiroir. Et c'est ce que permet de faire le DATO Ares Q4 (lien affilié) qui se trouve être aimanté et que je peux donc coller direct sur le côté de mon Mac Studio . Je l'ai depuis bientôt un an, et c'est devenu mon disque de Time Machine à résidence.
Il est trop mignon parce qu'il est tout petit, puisqu'il mesure 64 par 64 mm, 12 mm d'épaisseur, et 40 grammes, soit à peine plus gros qu'un bloc de petits Post-it, sauf que dedans y'a 4 To de NVMe en USB4. Les aimants sont prévus pour s'accrocher à un iPhone 15/16/17 Pro façon MagSafe, mais en pratique ils tiennent aussi nickel sur n'importe quelle machine, si vous collez le petit aimant-sticker livré avec.
Après je sais pas si coller un aimant sur un ordinateur c'est le move le plus intelligent que j'ai fait de ma vie mais je l'ai collé y'a 1 an, et ça bouge pas et j'ai aucun souci. Après c'est pas des GROS aimants non plus hein... C'est assez fin et pas très aimanté non plus. Et niveau connectique, c'est livré avec un câble USB-C rikiki de 10 cm.
Côté débits l'USB4 crache du 4000 Mo/s en lecture et 3600 Mo/s en écriture et comme c'est du natif, y'a pas de puce intermédiaire entre le NVMe et le port, donc on est max de ce qu'on peut avoir en vitesse avec ce genre de disque. Par contre, faut un port USB4 ou Thunderbolt 4/5 côté Mac, sinon ça retombe sur de l'USB 3.2 classique. C'est pas dramatique mais ça va 'achement moins vite quand même.
Et comme mon Mac Studio embarque 4 To en interne, c'est pile la taille du DATO que je dédie à ma sauvegarde Time Machine. Le sparsebundle peut donc grossir jusqu'à occuper tout le disque sans que je m'en occupe ! Et comme je ne le remplis jamais à 100%, je suis assez tranquille.
En plus de ce SSD, je fais toujours des backups sur mon NAS Synology avec Carbon Copy Cloner à côté parce que je suis parano et qu'on sait jamais...
Côté chauffe, la surprise est plutôt bonne, il reste froid / tiède même en plein transfert. Alors je suis pas sûr mais je me dis que le boîtier en alu du Mac Studio, joue peut-être un petit rôle de dissipateur thermique mais j'sais pas, peut-être pas... En tout cas, ça chauffe pas quoi.
Ce disque est compatible Mac, PC, Linux, et même iPhone Pro en USB-C comme ça si vous avez besoin de filmer de la 4K ProRes HDR direct sur un SSD plutôt que sur la mémoire interne, c'est possible ! Et il est garanti 5 ans, ce qui est toujours bon à prendre.
Voilà, si ça vous intéresse, le DATO Ares Q4 (lien affilié) est dispo sur Amazon en versions 1 To, 2 To ou 4 To .
Documents OVNI déclassifiés - 161 fichiers et zéro preuve
J'sais pas si vous avez vu mais le Pentagone vient de balancer 161 documents OVNI déclassifiés sur ordre de ce bon vieux Trump ! Pete Hegseth, le secrétaire à la Défense (ou à la Guerre, j'sais plus comment on dit) a donc mis en ligne 119 PDFs, 28 vidéos et 14 images couvrant les années de 1948 à 2026.
Et vous allez voir, c'est la déception scientifique du siècle !
J'ai été voir un peu de quoi il en retournait et c'est majoritairement flou et nul à chier. Les vidéos infrarouges montrent des points lumineux qui font des virages à 90 degrés au-dessus de la Grèce, sans qu'on sache quel appareil filme ni quand précisément et les images sont caviardées "pour protéger l'identité des témoins, l'emplacement des installations et des informations militaires sensibles".
Du coup, y'a des trucs intrigants qui font bosser les complotistes et autres Lone Gunmen en culottes courtes mais très peu de métadonnées techniques exploitables. Parce que en pratique, sans contexte radar, sans signature thermique, et sans plateforme de captation identifiée, c'est IMPOSSIBLE de trancher entre OVNI, drone furtif chinois, reflet dans les nuages ou simple missile expérimental. Alors à choisir entre une vidéo IR de neuf secondes dégueulasse et une vraie étude radar avec données brutes, perso j'aurais vraiment préféré la seconde.
Mais bon, c'est l'Amérique et on sait qu'ils adorent le folklore Roswell, donc ça alimente la machine à connerie mais absolument pas tout ce qui est recherche scientifique et je trouve ça dommage...
Le programme s'appelle PURSUE (Presidential Unsealing and Reporting System for UAP Encounters), parce qu'il fallait bien un acronyme trop super cool pour habiller la chose et la promesse de Hegseth est la suivante : "Ces documents, cachés derrière le secret-défense, ont longtemps alimenté des spéculations justifiées et il est temps que les Américains les voient de leurs propres yeux."
On se croirait dans une intro de X-Files. Bah voilà, là on a vu et c'est naze. En pratique, c'est comme si la NASA publiait des photos de Mars filmées avec une caméra Game Boy...
Et je vous ai pas encore tout dit car certains rapports frisent le grand n'importe quoi. Le plus beau c'est cet orbe décrit par des forces de l'ordre fédérales américaines comme "similaire à l'œil de Sauron du Seigneur des Anneaux, sans la pupille". Je vous jure, c'est la description officielle. Le vrai mystère de PURSUE je crois, c'est plutôt de savoir si ces rapports ont été écrits par des fédéraux US, ou des mecs bourrés en convention de Comic-Con.
Sauf que ça n'est pas le pire... Dans un rapport de 1966, on trouve un objet décrit comme un "rayon laser, ou rayon cobalt", "auto-enveloppant", "similaire à un cocon autour d'un ver à soie", capable d'enfermer le système nerveux entier d'une personne. Okéééé, vous pouvez développer ? Elle pousse où votre ganja les gars ? Et une fois encore, i want to believe hein, mais va falloir nous fournir autre chose que des rapports de militaires alcoolisés...
Les astronautes d'Apollo 11 auraient même observé un "objet de taille importante" près de la Lune avec une "source lumineuse assez brillante", décrite comme un "possible laser", Apollo 12 et 17 ont aussi vu des trucs et je ne vous parle pas des humanoïdes de quatre pieds (1m20, oh les tchô loulous) qui auraient été aperçus près d'engins non identifiés.
Sauf que RIEN n'est corroboré par des preuves matérielles.
Et là où ça devient carrément ouf, c'est que depuis 2 jours, y'a même un faux rapport qui circule sur les réseaux sociaux, comme s'il sortait de ces fichiers PURSUE officiels où il est question d'une femme-chat avec des oreilles pointues et une queue aperçue en 1994. Je vous rassure, ce rapport n'est PAS dans les docs officiels du Pentagone, mais je voulais aussi vous en parler parce qu'il y en a qui partagent ça en mode "voilà la preuve". Faut dire que le Pentagone a publié 161 docs si flous que même les pires hoax semblent plus sérieux au milieu de toutes ces conneries. C'est merveilleux !
Bref, ces "révélations" sont loin d'en être...
Dire que le cas que le Pentagone classe parmi "les plus convaincants" ce sont des "orbes qui lancent d'autres orbes". Ils ont été aperçus en 2023, dans l'ouest des États-Unis et c'est ça le TOP du TOP de ces preuves... donc imaginez le reste ! D'ailleurs, l'AARO (Anomaly Resolution Office) a déjà publié ses conclusions sur tout ce bordel : Aucun de ces phénomènes n'a d'origine extraterrestre confirmée.
Voilà, voilà... On verra ce qu'ils nous sortiront par la suite, mais ça risque d'être drôle. Rendez nous Jacques Pradel !!
Et dire qu'il y a 32 ans, deux ados qui cherchaient des fichiers OVNI dans les serveurs du Pentagone ont fait paniquer Washington au point de déclencher une alerte de sécurité nationale historique et aujourd'hui, le même type de fichiers sort officiellement et c'est de la bouillie pour les cerveaux crédules...
Bref, tout ça pour ça... J'suis déçu un peu quand même... Moi j'attendais une vraie photo ou vidéo nette, une vraie étude scientifique, un vrai document sérieux.
Mais à la place, on a des fédéraux qui décrivent des bidules en forme de boules de bowling sans rien de plus que leur parole... Breeef, passez votre chemin les amis !
GitHub commit spoofing - Quand n'importe qui peut être Linus
Vous avez confiance dans le nom qui est affiché à côté d'un commit GitHub ?
Bah vous pouvez arrêter tout de suite car le chercheur Shani Lavi a documenté il y a quelques années ce que les devs Git sérieux savent depuis longtemps : N'importe qui peut publier un commit avec n'importe quelle identité, et bien sûr, on peut systématiquement compter sur GitHub pour lier ce commit au profil correspondant sans broncher.
Allez, petite démonstration récente... Sur le repo no-as-a-service , il y a par exemple un commit signé "torvalds" qui ajoute un témoignage humoristique de Linus Torvalds dans le README. L'avatar de Linus s'affiche, et GitHub considère ça comme un commit parfaitement valide. Sauf que Linus n'a évidemment jamais touché ce projet humoristique qui est une petite API qui sort des excuses créatives pour dire "non".
Et ce qui est fou, c'est que vous pouvez faire pareil en dix secondes, et c'est ce qu'on va faire ensemble. Mais avant...
Pourquoi Git laisse passer ça
Git, à la base, c'est un système distribué. Quand vous faites un commit, votre client local prend alors deux infos dans votre config : user.name et user.email. Ces deux champs sont libres, et jamais validés côté client. Vous pouvez donc écrire ce que vous voulez dedans, et Git s'en fiche.
Côté GitHub, l'attribution se fait par l'email. Le service regarde alors l'email présent dans les métadonnées du commit, le compare aux emails enregistrés sur les comptes, et affiche le profil + l'avatar Gravatar correspondant. En fait, il n'y a aucune vérification que la personne qui a poussé le commit possède réellement cette adresse email.
Du coup, n'importe qui qui connaît votre email public (et il est public si vous avez déjà commit en clair sur un repo) peut publier des commits avec votre identité affichée.
Étape 1 : Reproduire le spoofing (à but pédagogique évidemment)
Avant de paniquer, faisons l'exercice nous-mêmes pour bien comprendre. Dans un repo de test que vous contrôlez :
# 1. Visualiser un commit cible pour récupérer name + email
git log --format='%an <%ae>' | head -3
# 2. Reconfigurer Git avec une fausse identité
git config --global --replace-all user.name "Linus Torvalds"
git config --global --replace-all user.email "torvalds@linux-foundation.org"
# 3. Vérifier la config
git config --global --list | grep user
# 4. Faire un commit normal
echo "Hello from Linus" >> README.md
git add README.md
git commit -m "Important kernel fix"
# 5. Pousser sur votre repo
git push origin main
Allez voir le commit sur GitHub. Vous verrez l'avatar de Linus, son nom cliquable qui mène vers son profil, et surtout aucun avertissement. Pas de mot de passe demandé ni de token compromis... non, non, non, c'est juste une config locale modifiée.
Et si quelqu'un fait un fork de votre repo, ou si un mainteneur peu attentif valide un PR sur cette base, l'illusion est complète.
Étape 2 : Repérer un commit douteux
Pour ça, le badge Verified reste l'indicateur le plus utile. À côté du SHA d'un commit, GitHub affiche surtout une étiquette verte "Verified" si le commit est cryptographiquement signé avec une clé GPG ou SSH enregistrée sur le compte de l'auteur. Sinon, y'a rien du tout (par défaut). Attention quand même, l'absence de badge ne veut pas dire qu'un commit est malveillant mais juste qu'on ne peut pas garantir qui l'a écrit.
Par exemple, si vous regardez le commit e6b4218 sur no-as-a-service, vous remarquerez l'absence totale de badge. C'est le signal mais il faut encore savoir le chercher car par défaut, GitHub n'affiche AUCUN avertissement pour les commits non signés. C'est surtout ça le problème...
Étape 3 : Signer vos commits avec SSH
Alors pour vous protéger de ça, ça commence chez vous. Plus simple que GPG, la signature SSH utilise une clé que vous avez probablement déjà. Générez une clé Ed25519 si ce n'est pas fait :
ssh-keygen -t ed25519 -C "votre@email.com"
Configurez Git pour signer automatiquement avec cette clé :
git config --global gpg.format ssh
git config --global user.signingkey ~/.ssh/id_ed25519.pub
git config --global commit.gpgsign true
git config --global tag.gpgsign true
Dernière étape, ajoutez votre clé publique sur GitHub dans Settings → SSH and GPG keys (1), mais cette fois en sélectionnant le type Signing Key (pas Authentication Key, c'est différent) (2). Vos prochains commits afficheront le badge "Verified" en vert.
Si vous préférez GPG, le principe est identique avec gpg.format gpg et une clé GPG. Pour le détail GPG complet, j'avais déjà couvert le sujet dans
le tuto sur Thunderbird et GPG
.
Étape 4 : Activer Vigilant Mode
Là, on passe à l'offensive. Vigilant Mode (3) force GitHub à afficher un statut sur tous vos commits. Les signés deviennent "Verified", les non signés deviennent "Unverified" en gros et bien visible. Plus de zone grise comme ça.
Direction même endroit dans Settings → SSH and GPG keys → Vigilant mode → Flag unsigned commits as unverified. Cochez la case. À partir de là, n'importe quel commit que GitHub vous attribue (via votre email vérifié) sans signature sera affiché comme "Unverified", ce qui rend le spoofing beaucoup plus difficile à dissimuler. Petite limite par contre, ça ne protège que votre propre identité et pas celle des contributeurs qui n'ont pas activé le mode.
La position de GitHub (et pourquoi je trouve ça discutable)
GitHub considère ce comportement comme un non-bug. Sur leur page bug bounty, l'usurpation par email Git est explicitement listée comme ineligible. Leur argument c'est que ça ne donne pas accès aux repos ni de privilèges supplémentaires, donc ce n'est pas une faille au sens strict.
Sauf que dans la vraie vie, l'identité affichée influence les décisions. Par exemple, un mainteneur qui voit un PR signé d'un contributeur connu va l'examiner avec moins de paranoïa, un journaliste qui couvre un scandale va citer "le commit de tel développeur" sans vérifier la signature, et combiné à d'autres vecteurs, ça peut devenir redoutable ! Je pense surtout aux attaques supply chain récentes type Shai-Hulud où une fois le code piégé, l'attribution Git aide à le faire passer pour légitime.
Bref, dire "ce n'est pas un bug" parce qu'il faut un autre vecteur derrière, c'est un peu facile, je trouve. Voilà, donc ne comptez pas sur Github pour vous défendre et signez vos commits, activez Vigilant Mode, et apprenez à vos collègues et amis dev à vérifier le badge "Verified" avant de merger quoi que ce soit en venant d'un inconnu... même si c'est ce bon cher Linus qui propose de réécrire le kernel en Rust avec systemd intégré ^^.
Google Workspace CLI - Pour piloter tous les services Google avec votre IA
Justin Poehnelt, Senior Developer Relations Engineer chez Google, vient de balancer sur Github un outil en ligne de commande (CLI), codé en Rust qui permet de faire un truc trop pratique, à savoir piloter entièrement Workspace depuis le terminal. Ce logiciel nommé GWS est donc capable de gérer Gmail, Drive, Calendar, Sheets et sept autres services Google d'un coup. Et en plus, comme il a été conçu pour les agents IA, donc c'est pas juste pour vous et votre terminal !
Une fois installé via npm, cargo, brew ou un binaire pré-compilé, vous tapez gws auth login pour vous authentifier via OAuth et vous pouvez ensuite attaquer onze services depuis votre shell : Drive, Gmail, Calendar, Sheets, Docs, Chat, Admin, Apps Script, Tasks, Workspace Events et Model Armor.
Niveau archi, au lieu de hard-coder chaque commande dans le binaire, gws interroge tout simplement le Discovery Service de Google au démarrage et reconstruit son arbre de commandes à la volée. Du coup quand Google ajoute un endpoint à l'API Sheets, le CLI le voit apparaître tout seul. C'est trop bien parce que ça évite de devoir attendre une release pour utiliser un éventuel nouveau service de Google. Et pour un agent IA qui re-fetch le schéma à chaque run, c'est plutôt une bonne idée.
Donc en plus de démarrer en moins d'une seconde, GWS crache des sorties en JSON structurées, y'a un mode --dry-run qui montre la requête sans l'envoyer, et de l'auto-pagination via --page-all. Et côté commandes utilitaires, vous avez aussi les + qui sont des helpers cousus main tels que gws gmail +send, gws drive +upload, gws calendar +agenda, gws sheets +append, gws gmail +triage et un gws gmail +standup-report qui résume vos mails de la semaine en quelques lignes.
Le repo embarque aussi 40+ skills d'agent prêts à l'emploi du type "résume mes mails non lus" ou "génère mon rapport", une extension
Gemini CLI
qui s'installe avec gemini extensions install https://github.com/googleworkspace/cli, et le helper +sanitize-response qui fait passer la sortie par Model Armor (le filtre anti-prompt-injection de Google Cloud) pour éviter les réponses bizarres.
En gros, c'est un outil pensé pour faire piloter votre Workspace par Claude, Gemini ou n'importe quel agent. Comme ça vous allez pouvoir écrire un workflow qui lit vos mails non lus, en fait un résumé, le poste dans un Chat et classe tout ça proprement dans Drive... sans avoir à toucher à la souris ni avoir à utiliser votre cerveau léthargique. Elle est pas belle la vie ?
Sauf que. Le projet porte le disclaimer "This is not an officially supported Google product", et un employé Google a confirmé sur le thread Hacker News (presque 1000 points, quand même) que c'est un projet DevRel. Comprendre : pas de SLA, pas de roadmap garantie, pas d'équipe SRE qui veille au grain. Vous savez comment ça finit chez Google avec ce genre de statut !
Bref si vous êtes chaud pour tester, le binaire est dispo ici . Maintenant reste à voir si Google lui donnera un statut officiel ou si GWS s'éteindra discrètement comme tant d'autres projets internes oubliés...