Apple vient donc de mettre la main sur SigLens, un logiciel open source de surveillance d'applications, en rachetant les actifs de la petite société américaine qui le développe, SigScalr.
L'annonce est tombée ce 13 juillet, même si le dossier avait été notifié à l'Union européenne dès le mois de mars. Le montant reste secret.
De quoi parle-t-on au juste ? SigLens fait de l'observabilité, un mot barbare pour désigner l'art de surveiller ce qui se passe à l'intérieur d'une application ou d'un serveur.
Concrètement, l'outil collecte et fouille les logs, ces journaux où chaque logiciel note en continu ce qu'il fait, pour repérer un bug ou un ralentissement bien avant que l'utilisateur ne s'aperçoive de quoi que ce soit.
Ce marché, particulièrement stratégique, est surtout tenu par deux géants, Splunk et DataDog, dont les factures d'utilisation grimpent très vite. SigScalr cherche justement à faire le même travail, mais en étant 100 fois plus rapide, et en réduisant la facture par 10. Rien que ça !
Le projet est parti de pas grand-chose. SigScalr, basée à Nashua dans le New Hampshire, ne comptait qu'une poignée d'employés, avait levé moins de deux millions de dollars, et avait ouvert le code de SigLens en open source début 2024.
Apple n'a pas racheté l'entreprise entière, mais certains de ses actifs, avec la possibilité d'embaucher une partie de l'équipe. Dans le milieu, on appelle ça un "acqui-hire", quand un géant achète avant tout les cerveaux et la technologie, et pas vraiment toute la boîte.
L'intérêt pour Cupertino est assez limpide. Apple veut muscler ses outils de développement, et cette emplette suit de près celle de Play, un outil pour le langage Swift avalé en juin. Tout ça sent l'intégration dans Xcode, l'atelier maison où les développeurs fabriquent les applications iPhone et Mac.
Reste la question qui fâche pour la communauté. Quand un géant absorbe un projet open source, celui-ci finit souvent en sourdine, voire carrément à l'abandon, une fois ses créateurs partis travailler sur autre chose.
Voir Apple grignoter les briques open source qui l'arrangent, sans un mot sur l'avenir du projet, ça a quand même de quoi laisser les développeurs sur leur faim.
Source : Apple Insider
Faire tourner des jeux PS5 sur un simple PC, c'est encore de la science-fiction, mais quelques développeurs viennent de franchir un petit cap. Deux émulateurs, ces logiciels qui imitent une console pour lancer ses jeux ailleurs, commencent à montrer les premiers signes de vie.
Le plus avancé s'appelle SharpEMU , développé par un certain iExplosiveRage. Il arrive déjà à faire tourner un vrai jeu du commerce, Dreaming Sarah, un petit titre de plateforme et de réflexion en 2D.
Rien de fou. Sur Demon's Souls, par exemple, l'émulateur ne va pour l'instant que jusqu'à l'écran de chargement, sans jamais entrer réellement dans la partie.
Un second projet, KytyPS5 , signé Nmzik, en est à peu près au même point. Il parvient à lancer Silent Hill: The Short Message, une exclusivité PS5, mais s'arrête lui aussi au chargement.
Ce qui rend la nouvelle intéressante, c'est surtout le calendrier. On parle d'émuler une console qui reste la machine de salon actuelle de Sony, encore vendue en magasin, ce qui arrive rarement aussi tôt dans la vie d'un appareil.
Pour deviner où tout ça peut mener, il suffit de regarder du côté de la PS4. L'émulateur ShadPS4 est passé en quelques années d'un truc qui affichait de la bouillie de pixels à un logiciel capable de faire tourner des centaines de jeux, dont un Bloodborne aujourd'hui pleinement jouable.
Sauf que voilà, du côté de Sony, on doit un peu grincer des dents. Un des grands arguments pour acheter une PlayStation, ce sont ses exclusivités, et le jour où elles tourneront tranquillement sur PC, cet argument en prend un coup.
Le constructeur japonais n'a d'ailleurs jamais caché son agacement face à ce petit monde, en multipliant les mises en demeure et les actions en justice contre les projets qui touchent de trop près à ses consoles. L'émulation en soi reste légale, mais copier les jeux ou récupérer les fichiers internes de la machine l'est beaucoup moins.
À noter quand même qu'on est vraiment au tout début de l'histoire. Ces deux émulateurs, disponibles sur la plateforme GitHub, demandent pas mal de bidouille et ne font pour l'instant tourner presque rien de réellement jouable.
Voir la PS5 émulée alors qu'elle est encore en vente a de quoi étonner, mais entre l'écran de chargement et un jeu vraiment jouable, il reste quand même tout un monde.
Source : NotebookCheck
Vous vous souvenez de BirdNet-Pi ? Ce montage dont je vous avais parlé, qui collait un micro sur un Raspberry Pi pour reconnaître les piafs du jardin à l'oreille ? Et bien Henry Sowell, un maker qui signe sous le pseudo de veteranbv, vient de pousser le délire un cran plus loin avec Inky Bird Frame. Il s'agit d'un cadre e-ink accroché au mur qui affiche les oiseaux repérés autour de chez vous, façon planches naturalistes de carnet de terrain du 19e siècle.
Dans le cadre, un écran Pimoroni Inky Impression de 13,3 pouces, du e-paper 6 couleurs en 1600x1200, avec un Raspberry Pi Zero 2 W planqué derrière qui se contente d'afficher l'image. Mais le vrai boulot se fait ailleurs, sur un contrôleur (un Pi 4, ou n'importe quel Mac ou Linux qui traîne chez vous) qui surveille les observations publiques d'oiseaux dans un rayon configurable autour de votre maison.
Le cadre en situation, avec sa planche Eastern Bluebird ( Source )
Pour les données, vous prenez ce qui vous arrange. iNaturalist par défaut, eBird si vous préférez (avec un plafond à 50 km et 30 jours), ou même votre propre station BirdWeather si vous en avez déjà une qui écoute le jardin. Et grâce à àa, dès que vos micros captent une fauvette, hop, elle s'affiche sur votre mur.
C'est chouette hein ? (vous l'avez ?)
Aussi, quand une espèce jamais croisée dans votre coin pointe le bout de son bec, et que sa planche n'existe pas encore, hé bien le contrôleur la fabrique alors avec Codex, le CLI d'OpenAI, que le projet fait tourner via un simple abonnement ChatGPT, en s'appuyant sur des photos de référence sous licence et une fiche documentée sur l'oiseau.
Et pour éviter l'effet slop IA, chaque planche passe ensuite devant une seconde IA qui joue les contrôleuses qualité, en la comparant avec des photos de référence (plumage, proportions, forme du bec), en la vérifiant avec 2 sources d'autorité minimum et les noms scientifiques exacts.
Le catalogue commun compte déjà 71 espèces approuvées via des pull requests validées par la CI, c'est vraiment joli en plus, regardez :
Une planche du catalogue, générée puis validée par le pipeline ( Source )
Bon, maintenant le tarif. Comptez environ 360 dollars pour le cadre seul, dont 275 dollars juste pour l'écran (l'e-paper couleur en 13 pouces, ça douille !), et si vous ajoutez le Raspberry Pi 4, la facture montera à 350$.
Autre point qui pique un peu, le catalogue actuel est bourré d'oiseaux nord-américains, Eastern Bluebird, Northern Cardinal et toute la clique. Vos mésanges charbonnières et vos rouges-gorges, il faudra donc les générer vous-même, ce qui rend l'abonnement ChatGPT quasi obligatoire pour un utilisateur français.
Après pour le reste, j'ai l'impression que c'est assez complet. Ça fait une rotation des planches en séquentiel, aléatoire ou pondérée selon le nombre d'observations. Vous recevez des notifications pushover. Ça peut se brancher sur Discord, Slack ou Home Assistant via Apprise. Et toute l'intelligence reste bien sûr du côté du contrôleur.
Voilà, si ça peut vous intéresser, c'est sous licence MIT sur GitHub Avec le guide de montage, la liste des courses et bien sûr les photos de la construction.
Et si vous aimez les piafs, mais que monter d'oras péripi, c'est pas trop votre truc., Merlin Bird ID jetez un oeil aussi à ce projet qui est beaucoup plus simple d'accès puisqu'il tourne directement sur votre smartphone.
Voilà, je parle souvent de petits bricolages dans ce style, et c'est assez rare que j'ai envie de me lancer moi-même dedans, mais là, celui-là me plaît vraiment bien. Je ne sais pas si j'aurai le temps, mais je me dis que c'est un projet cool que je ferais bien un jour.
Un comité d'experts mandaté par la Commission européenne a rendu ses conclusions ce lundi, et la ligne est nette : il faut encadrer partout dans l'Union l'accès des mineurs aux plateformes en ligne.
L'idée principale, c'est une majorité numérique par étapes.
Avant 13 ans, on serait donc sur une tolérance zéro. Aucun réseau social, pas d'assistant d'intelligence artificielle. La seule exception tolérée serait un usage encadré par un parent ou installé dans le cadre de l'école.
Entre 13 et 18 ans, l'accès serait possible, mais sérieusement conditionné. Il faudrait une vérification d'âge fiable, et surtout des plateformes capables de prouver qu'elles ont retiré leurs fonctions les plus addictives, le défilement sans fin et les notifications qui vous rappellent toutes les cinq minutes.
Ce n'est qu'à 18 ans qu'un Européen récupérerait sa pleine autonomie numérique, avec quand même une vérification d'âge pour tout ce qui est réservé aux adultes.
Derrière tout ça, il y a l'idée que l'enfance est une période fragile pour le développement du cerveau. Ursula von der Leyen, la présidente de la Commission, estime que les enfants doivent pouvoir jouer et se faire des amis dans le vrai monde, sans qu'un algorithme ne s'en charge à leur place.
Sur le terrain, plusieurs pays ont déjà dégainé, la France en tête, suivie de l'Espagne, la Grèce, le Danemark, l'Autriche ou encore la Suède. L'Estonie, elle, freine des quatre fers et refuse la moindre interdiction, alors qu'une partie des Vingt-Sept n'a toujours pas tranché.
C'est justement pour éviter ce patchwork que Bruxelles pousse une règle commune, bien plus simple à imposer à des plateformes déjà largement encadrées à l'échelle européenne.
Et la Commission ne fait pas que cogiter. Vendredi, elle a sommé Meta de revoir les interfaces d'Instagram et Facebook, jugées trop addictives, sous peine d'amende, exactement comme elle l'avait déjà exigé de TikTok en début d'année.
Fixer la barre à 13 ans plutôt qu'à 15 ou 16 est un vrai pari, mais tant qu'on ne saura pas vérifier l'âge sans ficher tout le monde, le plus dur restera à faire.
Source : NYTimes
Google est allé raconter à la Commission européenne ce que les gens qui s'y connaissent un peu en réseau répètent depuis 15 ans : Bloquer les résolveurs DNS, les VPN et les adresses IP pour lutter contre le piratage, ça ne marche pas.
Dans un document envoyé pour la consultation sur la révision de la directive copyright, Mountain View écrit que "bloquer les résolveurs DNS, les IP ou les VPN est inefficace, car cela ne supprime pas du tout le contenu et se contourne facilement en utilisant des résolveurs DNS alternatifs".
Le plus marrant ??? Bah c'est que Google sait très exactement de quoi il parle, vu que la justice française l'oblige déjà à filtrer son propre résolveur 8.8.8.8 pour protéger les matchs de foot de Canal+ (Fun fact : J'ai pas vu une seule image, ni score, ni entendu une seule histoire à propos de la Coupe du Monde cette année, tellement les algos savent que ça ne m'intéresse pas.... loool)
Pour ceux qui débarquent (oué oué), le blocage DNS, c'est demander aux annuaires du net (souvent ceux de votre FAI) de faire semblant de ne pas connaître l'adresse d'un site. Le site reste en ligne, ses serveurs tournent, et vous le retrouvez facilement en moins de 2 min, en changeant de résolveur ou en allumant un VPN.
Le blocage d'adresses IP, c'est encore pire, parce qu'une même adresse est souvent partagée par des milliers de sites sans aucun rapport entre eux... En bloquer une, ça revient donc souvent à couper l'électricité de tout l'immeuble pour punir un seul locataire.
Et des immeubles plongés dans le noir, la soumission de Google en aligne toute une collection. Je pense par exemple à ce document étiquetté "Privileged and Confidential" que la Commission a quand même publié (lol, des champions, je vous dis !) et qui cite le nom de clients de Google Cloud parfaitement en règle, qui pourtant ont été entièrement coupés à Internet fin 2019 au Portugal. Tout ça parce que des fournisseurs d'accès Internet locaux avaient bloqué des ASIP partagés pour viser certains sites pirates...
Ou encore un sous-domain de Google Drive ainsi que des IP Cloudflare sur lequel reposaient plus de 42 millions de domaines victimes du Piracy Shield italien. Ah et j'ai oublié l'Espagne qui vient compléter ce joli bingo parce que là-bas les blocages réclamés par LaLiga (la ligue de foot locale) durant les matchs, on fait carrément tomber +550 000 dont les sites d'Amnesty International, de l'UNICEF, du Sénat australien, de la Stanford Law Review et même des serveurs Amazon S3.
Et en France, je ne sais pas si vous vous souvenez, mais Cisco a carrément préféré débrancher son service OpenDNS plutôt que de se plier aux ordonnances de la justice. Quelle bonne ambiance dans ce terreau fertile à la dictature qui nous fonce dessus comme un train de la Deutsche Reichsbahn. (Point Godwin atteint, j'm'en fous, je fais ce que je veux, c'est mon site ^^).
Du coup, les ayants droit réclament maintenant de bloquer aussi les résolveurs alternatifs et les VPN eux-mêmes... et c'est exactement cette fuite en avant que Google demande d'arrêter. En tout cas dans son message, Google rappelle vivement ce que l'industrie du divertissement refuse d'entendre depuis l'époque de Napste : Quand vous avez un catalogue de merde émietté entre des dizaines de plateformes pour des prix exorbitants, avec de la pub, une qualité assez basse et des tas d'œuvres manquantes, eh bien, il ne faut pas s'étonner que le téléchargement illégal reparte de plus belle.
Maintenant, c'est vrai que Google ne joue pas les chevaliers blancs par pure bonté d'âme. En fait, ce qu'ils défendent, c'est leur résolveur maison, leur cloud et leurs clients. Elle reste par exemple très silencieuses sur tous les projets de loi de blocage qui avancent en ce moment même au Congrès américain.
Mais sur le fond, on ne peut pas leur donner le tort surtout quand je vois que le DNS4EU, le résolveur souverain européen, se fait déjà mettre la pression pour filtrer les sites pirates.
Voilà, la consultation est close depuis le 25 juin dernier et la commission est actuellement en train d'éplucher toutes les contributions pour décider des futures conneries qu'elle va faire. On croise les doigts quand même.
Frank Denis , c'est le monsieur qui fait tourner un bon morceau d'Internet sans que personne le sache : libsodium, dnscrypt-proxy, Pure-FTPd, c'est lui. Et dernièrement, il s'est attaqué aux agents de codage IA avec Swival , un outil pensé pour les petits modèles qui tournent en local sur votre machine.
Le truc de Frank c'est d'écrire du logiciel réputé incassable depuis 25 ans. Si vous chiffrez vos requêtes DNS, y'a des chances que ça passe par son dnscrypt-proxy , et si vous utilisez du chiffrement dans à peu près n'importe quelle app moderne, libsodium n'est jamais bien loin. Du coup, quand ce profil-là sort un agent de codage en Python, licence MIT, gratuit, je pense que ça vaut le coup de s'y arrêter 2 minutes.
Il a codé cela parce que les outils d'agentique existants l'ont sérieusement gonflé. C'est beau, c'est neuf, c'est lavé avec Mir Laine mais.... ça plante !! Et l'autre reproche qu'il leur fait c'est concernant la confidentialité. En effet, utiliser un agent, c'est forcément voir partir on ne sait où nos données personnelles... nos clés API, nos URLs internes, nos noms de projets... tout ça est allègrement bouffé par le fournisseur de modèle qui derrière s'en sert pour tout un tas de choses pas cool. C'est notamment pour cela que Swival embarque une option --encrypt-secrets qui détecte les credentials dans les messages et les chiffre avant qu'ils quittent votre machine. Une denrée rare chez les agents de codage, et ça c'est du pur Frank Denis !
Y'a aussi la gestion du contexte, qui est le gros morceau. Les agents classiques sont conçus pour des modèles frontière avec des fenêtres géantes. Sauf que votre LLM local, lui, doit souvent se débrouiller avec 32K de contexte, et là tout déborde très vite. Swival, lui, prend le truc à l'envers. Chaque sortie d'outil est plafonnée direct à la source : 50 Ko max par fichier lu, 100 résultats de grep, 100 entrées par listing. Et une fois que l'agent a fini de fouiller votre code, un système de snapshots vire ses 12 000 tokens de lectures pour les remplacer par un résumé de 200 tokens.
Et c'est pas fini. Rajoutez là-dessus une compaction automatique en 7 niveaux progressifs (du simple ménage au grand débarras), plus des notes de travail qui survivent à tout ça. Résultat, un agent qui tient des sessions à rallonge sans partir en vrille. La doc montre d'ailleurs Swival en train d'avaler une refactorisation multi-fichiers avec Qwen3-Coder-Next dans 32K sous LM Studio sans broncher...
Et pour brancher tout ça, vous avez le choix. 11 backends quand même ! LM Studio par défaut (zéro config, il repère tout seul votre modèle chargé), llama.cpp pareil, HuggingFace, OpenRouter, Google Gemini et Vertex AI. Envie de lourd ? ChatGPT Plus ou AWS Bedrock. Et pour les curieux, les Apple Foundation Models en expérimental, un provider générique compatible OpenAI (ollama, vLLM, mlx_lm.server...) et même une commande externe de votre choix.
Pour trouver un modèle qui tienne dans votre RAM, Hugging Face sait filtrer selon votre matos et une fois que vous avez fait votre choix, l'installation tient en une ligne (via uv, Python 3.13 minimum) :
uv tool install swival
Ensuite, il suffit de taper, par exemple : "Refactore la gestion d'erreurs de src/api.py" et l'agent se met au travail pour peu que vous ayez déjà un LMStudio ou un llama.cpp qui tourne avec un modèle chargé...
Ah j'oubliais, si vous êtes sous Mac vous pouvez même l'installer avec Homebrew :
brew install swival/tap/swival
Ensuite, au niveau des commandes, il y a aussi, par exemple, une commande /audit qui vous permet de faire de la chasse aux failles de sécurité dans votre code. Tout cela avec des agents isolés chacun dans des worktrees séparés et qui sont obligés de reproduire chaque bug avant de l'inscrire dans le rapport.
Et côté sécurité, vous avez deux sandboxes au choix. Soit Agent FS d'un côté (l'agent bosse sur une copie de vos fichiers, votre projet reste intact) ou nono (non, pas le petit robot) de l'autre (avec barrières au niveau du noyau, blocage réseau compris). Sans oublier la mémoire persistante entre vos sessions, le support MCP et un mode serveur pour interconnecter vos agents entre eux.
Voilà donc de quoi venir jouer dans la cour de ZCode côté z.ai et compagnie...
Voilà, je me suis dit que ça allait vous intéresser, donc si vous voulez zieuter le code, direction GitHub , sinon, toute la doc se trouve sur le site officiel .
Merci Friendly_0day pour le lien !
Moi je me suis lancé en 2004 et un an plus tard il y a YouTube qui débarquait. C'était bien avant de se faire racheter par Google. Et j'avoue que j'en attendais pas grand-chose. Parce qu'à l'époque, on était vraiment sur des connexions pourries et la vidéo, c'était un truc très américain.
Mais à l'époque, moi de ce que je me souviens de YouTube, c'est que c'était très brut ça. On pouvait mettre des étoiles sur les vidéos pour les noter. Il y avait des catégories vraiment fourre-tout. Et puis c'était surtout pas mal de vidéos filmées au caméascope et numérisées après. Qui étaient bien pourries en termes de qualité.
Et voilà que un certain JR s'est dit que ce serait trop cool de reconstruire tout ça comme à l'époque. Et voilà comment est né KamTape , lancé en août 2023.
Si vous n'avez pas connu YouTube à ses débuts, vous allez kiffer parce que la reconstitution va très loin. Tout y est. Il y a les catégories d'époque (Gadgets & Games, Howto & DIY, Pets & Animals…), la notation avec les étoiles, les playlists, les favoris et bien sûr les abonnements.
Ah, et petite précision, il n'y a surtout aucun algorithme pour vous suggérer du contenu. Il n'y a pas de recommandation, il n'y a pas de page d'accueil qui vous connaît mieux que votre propre mère. Donc pour dénicher la vidéo de vos rêves, il faut cliquer au pif dans les catégories et hop, surprise !
La page d'accueil de KamTape, avec ses vidéos qui plafonnent à 400 vues.
Ce qui est cool, c'est qu'on peut même uploader ses propres vidéos, donc les youtubeurs là qui passez votre temps à vous plaindre de YouTube, vous savez quoi faire maintenant ^^.
Ah les trucs rigolos aussi c'est le Fact Sheet , qui reprend quasiment mot pour mot les vrais communiqués de presse de YouTube de l'époque en changeant juste le nom.
Du coup, la plateforme revendique très sérieusement 70 millions de vidéos vues par jour, 6 millions de visiteurs uniques et une place de 18e site le plus visité d'Internet... alors que leurs vidéos dépassent rarement les 400 vues.
Voilà, c'est un sacré portail temporel. Et puis surtout, c'est pas le seul dans ce délire, puisqu'il existe toute une scène de "revivals" qui ressuscitent les vieilles plateformes : BitView, VidLii, EraCast et compagnie, avec des wikis communautaires qui documentent leurs pannes et leurs changements de propriétaires comme s'il s'agissait de multinationales.
Et des pannes, KamTape en a connu un paquet ! Mais bon, un site qui plante de temps en temps, ça fait aussi partie du charme du early-web. En tout cas, si ce genre de plongée dans le web d'avant vous parle, allez fouiller Internet Artifacts , et pour la même ambiance côté jeux, y'a RetroAssembly qui tourne direct dans le navigateur.
Vous avez peut-être remarqué un petit point rouge tout en bas de mon site, avec un nombre à côté. Il s'agit du nombre de personnes passées sur le site durant la dernière heure.
Je voulais remettre ce truc depuis un bail, bien à l'ancienne comme dans les années 2000 mais sur un site statique, qui plus est sans tracker de stats JS type Google Analytics ou Matomo, et sans cookies de tracking, c'était pas franchement une option... jusqu'à maintenant !
Le compteur, en vrai, tout en bas de korben.info.
La solution évidente sur des sites statiques, c'est souvent un petit Worker Cloudflare qui compte les visiteurs et servirait le chiffre, mais ça se facture à chaque requête. À 390 000 pages vues par jour, ça grimpe vite à des dizaines de millions d'invocations par mois, soit dans les 6 à 7 dollars. C'est pas super cher mais pour un compteur qui n'est utile qu'à satisfaire mon égo tout en sachant s'il y a du monde aujourd'hui, ça ne sert strictement à rien ! Donc le Worker, je l'ai écarté direct.
Du coup j'ai fait ça à l'ancienne. Un petit script Python tourne sur la machine qui héberge le site, une fois par minute. Il pose une seule question à Cloudflare, à savoir combien d'adresses IP distinctes ont chargé une page durant la dernière heure (ou demi-heure, ou quart d'heure ou 5 min, c'est vous qui paramétrez), il écrit la réponse dans un minuscule fichier live.json de quelques centaines d'octets, et c'est tout. Ce fichier, Cloudflare le sert ensuite depuis son cache comme il servirait une image, gratuitement. Zéro Worker, zéro base de données, zéro abonnement, j'ai exactement le même résultat sans dépenser une thune.
Maintenant, faut que je sois clair sur ce que ce chiffre raconte. C'est le nombre de navigateurs distincts ayant chargé une page durant la dernière heure, hors trafic interne de Cloudflare. C'est un "*combien de monde est passé récemment *", pas un "combien lisent là tout de suite".
Et les bots là-dedans ?
En fait, les bots pourris , ceux qui scrapent en boucle, se font bloquer en amont par le Super Bot Fight Mode de Cloudflare, donc ils n'arrivent même pas jusqu'à mon site. Restent les gentils bots, du genre de Googlebot et compagnie, que je laisse passer exprès, parce que les bloquer reviendrait à me flinguer mon référencement. Sur les 7 derniers jours, Cloudflare classe à peine 4% comme bots vérifiés. Donc c'est une goutte d'eau, surtout qu'ils tournent sur une poignée d'IP. Donc oui, mon compteur avale deux ou trois crawlers au passage, mais je ne voulais pas vous mentir en écrivant "zéro bot". Mais l'essentiel c'est que les nuisibles, eux, ne soient pas comptabilisés.
J'ai aussi dû gérer un petit piège car l'API de Cloudflare plafonne sa réponse à 10 000 lignes. Et comme sur une heure entière de trafic ça peut se remplir vite, si je crève ce plafond, la requête sous-compterait sans rien dire. Donc le script lève un flag et le compteur affiche "10 000 personnes ou plus" plutôt qu'un faux nombre. Quand j'y serai aux 10 000 et plus, je pense que je réduirai alors le delta temps en passant de 1h à 30 min...etc.
Côté vie privée, c'est carré également. Cloudflare renvoie à mon serveur une liste JSON des IP passées dans l'heure, mon script en compte le nombre de distinctes, et efface cette liste de sa mémoire dans la milliseconde qui suit. Aucune IP n'est stockée, aucune n'atterrit dans un log, aucun fichier avec les IPs n'est créé sur le disque... Il ne reste qu'un entier. Comme je vous le disais, pas de cookie , pas de traceur, et rien qui touche votre navigateur . Et comme le compteur ne s'affiche jamais en dessous de 10 personnes, impossible d'isoler qui que ce soit.
Maintenant, si vous voulez le même chez vous, sachez que j'ai tout balancé en open source sur GitHub , sous licence MIT, donc servez-vous. Voici les pré-requis :
live_count.py sur votre serveur et vous le lancez une fois par minute (ou toutes les 5 ou 10 min) via un cron.span dans vos pages, tout se règle par des attributs, aucun script inline, donc ça passe même avec une politique de sécurité stricte.Le seul truc sur lequel ne pas vous louper, c'est de mettre un temps de cache court à live.json. Si c'est trop long, tous vos visiteurs verraient un chiffre périmé.
Voilà. Un petit compteur maison simili-live sans tracking et qui ne me coûte rien, c'est le bonheur !
Les attaques Adversary-in-the-Middle (AiTM) représentent l'évolution sophistiquée des classiques attaques Man-in-the-Middle. Contrairement à l'écoute passive, l'attaquant s'insère activement entre la victime et le service légitime, usurpant les deux parties pour intercepter, modifier et rediriger les communications. Ces attaques permettent de voler des identifiants, de contourner l'authentification à deux facteurs (2FA) en capturant les cookies de session, et même de manipuler les transactions financières en temps réel. Des outils facilitent grandement la mise en place de ces attaques et l'une des protections valables repose sur le chiffrement des communications (VPN, HTTPS), l'authentification multi-facteurs résistante au phishing (WebAuthn) et la vigilance face aux liens suspects.
Faites preuve d'un peu d'imagination pendant quelques minutes. Vous êtes tranquillement installé au Starbucks du coin, vous buvez votre latte caramel macchiato à 7 balles, et vous vous connectez au WiFi public pour checker vos mails. Sauf que le mec à la table d'à côté, avec son hoodie noir et son MacBook Pro qui sent le terminal, n'est pas là pour boire son café. Il est là pour se positionner entre vous et le reste du monde.
Et là, on ne parle pas d'un simple Man-in-the-Middle à l'ancienne, non non. On parle d'un Adversary-in-the-Middle, le gros calibre. La différence ? Le mec usurpe activement les deux côtés de la conversation. C'est pas juste un petit curieux qui écoute aux portes. C'est un escroc qui se fait passer pour votre banque ET pour vous, en même temps. Il relaie tout, modifie ce qu'il veut, et vous, vous ne voyez rien.
"Mais j'ai la 2FA, je suis blindé !"
Hé ben non. C'est là que ça pique.
Les attaques AiTM ont un super-pouvoir de merde : elles contournent la 2FA. Comment ? Le mec crée un site parfaitement identique à celui de votre banque. Vous cliquez sur le lien du mail de phishing et vous arrivez sur sa copie. Login, mot de passe, et PAF, le code SMS arrive. Vous le rentrez. Sauf que le code passe par le serveur du mec au milieu, qui le relaie en temps réel à la vraie banque. Résultat ? Il a votre session, vos cookies, et il peut se connecter à votre compte pendant des heures sans que vous vous en rendiez compte.
C'est ce qu'on appelle le session hijacking. Vous avez validé l'authentification, et pourtant c'est lui qui se retrouve connecté à votre place. Et il peut même modifier les données en transit : changer le numéro de compte bénéficiaire d'un virement, injecter du malware dans une mise à jour, bref, tout ce qui lui chante.
Des outils comme Evilginx2 traînent dans la nature depuis 2018 et permettent à n'importe quel script kiddie de monter ce genre d'attaque en 10 minutes. Le framework MITRE ATT&CK a même une entrée dédiée pour ça (T1557), tellement c'est devenu courant.
"Ok, et je fais quoi alors ?"
Ben déjà, arrêtez de cliquer sur les liens de vos mails comme un débile. Mais surtout, surtout, chiffrez votre connexion. Et là, un VPN entre en jeu.
Pas n'importe lequel. Un VPN qui sait ce qu'il fait. Je vous en parle régulièrement (j'espère qu'à force ça finit par rentrer hein) mais, récemment, Surfshark vient encore de se faire remarquer en recevant le PCMag Editor's Choice award . Ce qui, dans le monde des VPN, est un peu comme recevoir une étoile Michelin pour un kebab. Ça veut dire que les mecs de PCMag, qui testent ce genre de truc toute la journée, ont trouvé que Surfshark tenait la route.
C'est simple. Lorsque vous activez Surfshark , tout votre trafic passe dans un tunnel chiffré entre votre machine et le serveur VPN. Même si le mec au Starbucks contrôle le routeur, même s'il fait de l'ARP spoofing, du DNS poisoning, ou je ne sais pas quelle autre magie noire, il verra que dalle, juste des paquets chiffrés illisibles, point barre.
Pas d'identifiants en clair, pas de cookies de session à sniffer, et pas moyen de modifier une page web en transit. Le gars peut toujours essayer de vous rediriger vers son faux site, mais votre connexion VPN reste intacte et chiffrée.
Et Surfshark, en plus du chiffrement AES-256-GCM (celui que la NSA approuve pour ses documents top secret, pour ceux qui aiment les détails techniques), propose des fonctionnalités sympas :
Alors oui, un VPN ça coûte un peu d'argent. Mais franchement, entre payer quelques euros par mois et se faire vider son compte bancaire par un mec qui a sniffé votre session sur le WiFi du McDo, le choix est vite fait. Surtout que Surfshark propose des abonnements longue durée à prix cassés, et avec leurs offres actuelles, vous en avez pour moins cher qu'une paire de cafés par mois (2.75€ TTC pour le pack Starter ou 3.35€ TTC pour Surfshark One avec l'antivirus & co).
Et puis, ils ont aussi une politique de no-logs auditée indépendamment et régulièrement. C'est-à-dire qu'ils ne gardent aucune trace de ce que vous faites. Contrairement à votre FAI qui sait exactement à quelle heure vous regardez vos séries un peu spéciales sur Netflix.
Bref
Les attaques AiTM n'ont rien de la science-fiction. Ça arrive tous les jours. Microsoft a documenté une campagne qui a ciblé plus de 10 000 organisations depuis 2021. Twitter (pardon : X), Microsoft 365, Slack, Twilio... tous ont morflé à cause de ce genre d'attaque. Et vous, sur votre WiFi public, vous êtes une cible parfaite.
Un VPN comme Surfshark n'est pas une baguette magique qui vous protège de tout. Si vous cliquez sur un lien de phishing, le VPN ne vous sauvera pas de votre propre étourderie. Mais il vous protègera de l'interception passive et active sur les réseaux non sécurisés. Et ça, c'est déjà énorme. Dans le doute, chiffrez. Toujours.
Simon Willison, le créateur de Datasette et co-créateur de Django, vient de porter un modèle d'inpainting d'image directement dans le navigateur. Sa démo vous permet de choisir une photo, de peindre sur la zone à faire disparaître et ensuite le modèle IA reconstitue ce qu'il manque. Et ce qui est merveilleux avec cette appli c'est que tout tourne sur votre carte graphique en local, comme ça vos données restent chez vous.
Le modèle s'appelle Moebius, dispose de 0,22 milliard de paramètres, et a été développé par une équipe de l'université Huazhong en Chine. À l'origine c'est un modèle PyTorch, que Willison a converti au format ONNX pour le faire tourner via ONNX Runtime Web sur le backend WebGPU, une nouvelle API qui donne aux pages web un accès direct au GPU. Et ce qu'on obtient, c'est un modèle de diffusion qui s'exécute à 100% côté client dans Chrome ou Safari.
Lors de la première utilisation, l'outil télécharge 1,27 Go de poids depuis Hugging Face, ce qui est énorme pour une page web. Mais c'est un one-shot car ensuite, le navigateur range tout ça dans son Cache Storage, et les fois d'après il ne re-télécharge rien.
Je l'ai installé et testé et ça fonctionne vraiment très très bien. J'ai sélectionné quelques tuiles comme un bourrin et ça me les a enlevées très proprement en quelques dizaines de secondes (une fois le modèle initial téléchargé évidemment).
C'est du vrai inpainting génératif en tout cas et pas un truc qui recopie les pixels d'à côté.
Willison raconte dans le README que la conversion PyTorch vers ONNX et l'appli web complète ont été réalisées par Claude Code avec le modèle Claude Opus 4.8, et qu'il n'a "*pas regardé une seule ligne de code *". Il s'est juste contenté de tester dans le navigateur et de signaler ce qui clochait. Hé ouais c'est comme ça maintenant, les temps changent ;)
C'est open source sous licence Apache 2.0, la démo est en ligne, et le code est sur GitHub si vous voulez le lancer chez vous. Testez, et effacez ce gars avec son coup de soleil sur le crâne qui gâche votre plus belle photo de vacances, je ne vous juge pas ^^.
Source : Hackaday