Autoblog de korben.info

Le réparateur australien Hugh Jeffreys, connu pour ses vidéos de démontage et ses collaborations avec le site de réparation iFixit, a mis la main sur l'un de ces appareils que les prisons américaines louent à leurs détenus pour accéder à une poignée de services autorisés, et il a voulu savoir ce qu'on avait bien pu cacher à l'intérieur d'un objet aussi verrouillé.

Le résultat ne paie pas de mine, avec son boîtier en plastique opaque scellé hermétiquement, sa mousse de calage glissée à l'intérieur et sa finition que Jeffreys compare lui-même à un bricolage de travaux manuels de lycée, le tout censé pensé pour tenir le choc dans un environnement carcéral.

Screenshot

Premier souci, l'engin refusait carrément de démarrer, et les quatre pastilles métalliques qui affleurent sur la tranche, pourtant calées sur les broches d'un port USB, ne déclenchaient qu'un clignotement d'une seconde au branchement d'un chargeur avant que tout ne s'éteigne. Aucune vis accessible, aucune ouverture possible. La scie à métaux a donc été le seul moyen d'entrer.

Une fois la coque ouverte tant bien que mal, le diagnostic est sans appel, puisqu'on découvre une Iview Optimus-C-8001. Une tablette d'entrée de gamme qui fonctionne avec un vieux processeur Intel Atom Z8350 cadencé à 1,44 GHz et épaulé par 2 maigres Go de mémoire vive, soit une configuration déjà poussive le jour de sa sortie et complètement à la ramasse aujourd'hui.

Screenshot

Le plus parlant, en fait, se loge du côté du logiciel, parce que la machine tourne sous Windows 10 Home, une édition grand public installée en 2018 qui n'a, semble-t-il, jamais reçu la moindre mise à jour depuis, et qui se est verrouillée en mode kiosque, ce réglage qui cloisonne l'appareil sur un unique navigateur bridé aux seuls services que la prison veut bien mettre à destination de ses pensionnaires.

Sauf que le verrouillage s'arrête net à la surface. L'installation de Windows ne comporte aucun chiffrement du disque, c'est-à-dire aucun de ces mécanismes qui rendent les fichiers illisibles tant qu'on ne tape pas le bon mot de passe, si bien qu'une fois le boîtier ouvert et l'appareil rallumé normalement, Jeffreys accède sans la moindre barrière supplémentaire à l'intégralité d'un système qu'on imaginait blindé.

Détail presque amusant, la tablette visiblermentfini à la poubelle à cause d'une carte de charge tierce défaillante, puisque rebranchée sur son port USB d'origine elle se rechargeait et fonctionnait sans problème. Du matériel jeté pour une broutille, donc.

Il faut savoir que ces tablettes ne sont pas distribuées par pur bonté, car elles sont louées aux personnes incarcérées, qui doivent souvent payer pour le moindre service rendu, ce qui transforme l'accès au numérique en source de revenus pour les prestataires qui équipent les établissements pénitentiaires américains. Et c'est précisément ça qui rend l'affaire sensible.

Parce que la vraie question n'est pas la prouesse technique, plutôt limitée vu le niveau de protection rencontré. C'est ce que l'objet raconte, à savoir du matériel bas de gamme scellé à la va-vite et facturé à une population captive au sens propre, au nom d'une sécurité dont on cherche encore les traces. On a connu nettement plus sérieux.

Source : Hackaday

Le bidouilleur allemand John Engeln en avait assez. Il voulait une petite lampe de bureau qui change de couleur, point, sans dégainer son smartphone pour télécharger une appli et appairer le moindre objet, et plutôt que de suivre la mode du tout-connecté il est allé piocher du côté des années cinquante, dans le cadran rotatif des bons vieux téléphones à roulette.

La chose tient dans la main, à peine plus grosse qu'un palet de hockey, et mélange du rouge, du vert et du bleu pour composer la teinte que vous voulez selon une logique simple : on fait tourner le diffuseur du dessus dans un sens pour monter en luminosité, dans l'autre pour glisser d'une couleur vers la suivante. Simple, basique, comme dirait l'autre.

Sous le capot, 32 LED adressables SK6812, c'est-à-dire des diodes pilotables une par une comme les NeoPixels que connaissent bien les bricoleurs, sont commandées par un encodeur rotatif, directement couplé au capot translucide qui sert de molette géante à toute la lampe.

Le boîtier est imprimé en 3D, posé sur un anneau de TPU, un caoutchouc souple lui aussi imprimable, qui empêche l'objet de valser sur le bureau quand on triture le cadran. L'alimentation passe bêtement par un port USB-C et n'importe quel chargeur 5 volts fera l'affaire. Rien à configurer.

Et puis il y a le petit bonus caché : le logiciel embarqué planque des modes lumineux dissimulés, des effets qu'on déniche en tâtonnant avec la molette, façon easter egg. Du coup, on a presque envie de jouer avec.

Côté ouverture, John Engeln n'a rien gardé pour lui. Tout est publié sous licence CERN-OHL-W v2, une licence open source taillée pour le matériel, donc les fichiers de conception et le code sont librement téléchargeables et la puce se reprogramme avec un simple Arduino, de quoi coder vos propres ambiances si vous êtes du genre à vouloir aller plus loin.

Pour celles et ceux qui n'ont ni imprimante 3D ni l'envie de ressortir le fer à souder, un modèle déjà assemblé existe, avec des cartes produites chez JLCPCB et un assemblage, des tests et un emballage faits en Allemagne, le tout expédié depuis l'Union européenne sans frais de douane à l'arrivée.

On pourrait hausser les épaules devant une ampoule connectée vendue trois fois rien, sauf que voilà, redonner du tactile et un brin de plaisir mécanique à un objet aussi banal qu'une lampe, ça fait un bien fou par les temps qui courent.

Source : Hackaday

Quand vous demandez à un assistant IA de corriger une faille dans une de vos dépendances, il vous propose presque toujours la même chose : ajouter ce qu'on appelle un "override", une ligne de configuration qui force votre projet à utiliser une version saine d'une brique logicielle.

Le conseil semble bon sur le moment. Mais voilà, personne ne vous dit jamais de revenir vérifier, six mois plus tard, que cette ligne sert encore à quelque chose.

C'est précisement le trou que vient boucher CVE Lite CLI , un scanner gratuit et open source développé par Sonu Kapoor et adoubé par l'OWASP, la fondation qui fait référence en sécurité des applications. Cet outil a l'avantage de tourner en local, sans compte ni cloud, et sans qu'une seule ligne de votre code ne quitte votre machine.

Le problème qu'il cible est très simple. Une dépendance dite transitive, c'est une brique dont dépend une autre brique que vous, vous avez installée : vous ne l'avez jamais choisie vous-même, mais elle se retrouve quand même embarquée dans votre projet. Pour neutraliser une faille planquée là-dedans, on force une version corrigée via un override. Le souci, c'est que cette rustine vieillit toute seule, dans votre dos.

Kapoor a du coup ajouté une fonction qui audite ces configurations et débusque trois cas de figure : l'override pointe vers un paquet qui n'existe tout simplement plus, il s'applique au mauvais gestionnaire de paquets, ou il utilise un motif de caractères (une sorte de joker censé attraper plusieurs chemins d'un coup) qui en réalité ne correspond à rien. Dans tous ces cas vous vous croyez protégé alors que la protection est tombée depuis un moment.

Pour le prouver, il a passé quatre projets JavaScript très utilisés au crible, et les résultats sont parlants. Cal.com en alignait 90, dont 11 complètement inopérants ; Jest traînait une configuration qui pointait dans le vide ; NoCoDB empilait des jokers inefficaces ; seul Next.js s'en sortait sans le moindre défaut.

Entre l'affaire node-ipc de 2022, où un développeur avait lui-même saboté son propre paquet par militantisme, et la vague d'attaques Shai-Hulud de ces derniers mois, un ver qui se réplique tout seul en volant les jetons d'accès des développeurs sur npm pour contaminer au passage tous leurs autres paquets, l'écosystème JavaScript prend cher. Et un override mort, c'est une porte qu'on croyait verrouillée.

Ce qui est amusant, c'est que l'outil censé rattraper les approximations des IA est, lui, volontairement dépourvu de toute IA. Il interroge sagement une base de vulnérabilités connues et vous recrache des commandes prêtes à copier-coller, sans deviner quoi que ce soit.

Quoi qu'il en soit, on a là un petit outil tout bête qui repasse derrière l'IA, et franchement, ça rassure.

Source : The Register

Je ne sais pas si vous manipulez souvent des fichiers CSV, mais sans savoir coder, en tirer un graphique correct, c'est souvent la croix et la bannière !

Excel nous sort en général un camembert tristoune qui pue comme un vrai, et les outils de dataviz exigent que vous sachiez bidouiller du D3.js. Heureusement, RawGraphs se glisse pile dans ce trou, et propose une appli web gratuite et open source développée par le DensityDesign Lab du Politecnico di Milano, épaulé par les studios Calibro et Inmagik.

C'est un super outil pour les utilisateurs d'Excel ou de Google Sheets, qui ont envie de plus de liberté ou qui souhaitent rester le seuls propriétaires de leurs données sans avoir à pisser une seule ligne de code.

Le principe est simpeuuuul. Vous balancez vos données, un CSV, un TSV, un JSON ou un copier-coller depuis Google Sheets, vous choisissez un modèle parmi la trentaine proposée, vous glissez vos colonnes sur les variables du graphe puis vous exportez ! Et voilà, vous obtenez un graph parfait en SVG ou PNG, sans rien installer !

Tout est calculé en local, dans votre onglet, et rien ne part sur un serveur, ce qui nous change d'outils comme Datawrapper ou Flourish (ce sont des SaaS) qui captent toutes vos données sur leurs serveurs.

Et puis RawGraphs sait faire les graphiques que votre tableur ne fera jamais. Comme il est construit au-dessus de D3.js, il vous pond des diagrammes alluviaux, des sankey, des beeswarm, des streamgraphs, des treemaps, des voronoi...etc... Vous n'avez rien compris ? C'est normal ! A vous de choisir le graph qui vous plait le plus parmi une trentaine de modèles au total.

Il n'a donc rien à envier aux classiques du genre et surtout, il va beaucoup plus loin avec notamment un export en SVG, que vous pourrez ensuite ouvrir et peaufiner dans Illustrator, Inkscape ou Figma.

Et si vous doutiez du sérieux du machin, sachez qu'il traîne dans la boîte à outils d'investigation de Bellingcat . Hé oui, les journalistes d'investigation s'en servent pour rendre lisibles les montagnes de données qu'ils collectent. Ce serait bien utile, par exemple, pour faire une dataviz des notes de frais de Laurent Wauquiez ... Ahaha !

C'est par exemple avec un diagramme alluvial fait sous RawGraphs qu'un journaliste a permis à tous de visualiser une partie des Panama Papers, ces flux entre sociétés offshore et leurs vrais propriétaires. Bref, transformer n'importe quel tableau bancaire imbuvable en schéma que n'importe qui peut comprendre, c'est ça la came de RawGraphs !

Codex d'OpenAI bouffait votre SSD - 640 To de logs par an

Tue, 23 Jun 2026 10:45:48 +0200 - (source)

Si vous utilisez Codex , le CLI de dev d'OpenAI, allez vite jeter un œil à votre SSD avant qu'il ne rende l'âme ! Si je vous dis ça, c'est parce qu'un utilisateur a remarqué que l'outil écrivait en douce des quantités hallucinantes de logs sur son disque, et son calcul fait un peu peur.

En 21 jours, environ 37 To sont passés sur son SSD. Rapporté à l'année, ça grimpe à 640 To. Sur un disque d'1 To, ça revient donc à le remplir entièrement 640 fois. Et le problème avec ça, c'est que pas mal de modèles de SSD grand public sont garantis pour à peu près 600 To d'écriture. En clair, avant que le bug soit patché, Codex pouvait cramer la garantie d'écriture de votre SSD en moins d'un an. Tout ça pour stocker du log, c'est couillon quand même ^^.

Si vous avez un SSD, vous savez sûrement qu'il ne faut pas faire n'importe quoi avec, car ça ne se comporte pas exactement comme un disque dur classique. On peut réduire énormément la durée de vie d'un SSD si on fait trop de jeux d'écriture dessus car chaque cellule a un nombre d'écritures limité. Et une fois le quota explosé, le disque commence alors à fatiguer.

Le coupable chez Codex, c'est un fichier SQLite planqué dans votre dossier perso (~/.codex/logs_2.sqlite) où il balançait absolument tout, jusqu'au moindre événement réseau, en mode TRACE. Du coup ça enflait tout seul au point d'avoir généré plus de 5 milliards de lignes au fil du temps, pour à peine 500 000 réellement gardées. Du vent écrit pour rien, qui use, qui use...

Alors oui, c'est énervant, mais pas la peine de paniquer non plus car comme je vous l'ai dit c'est patché, et surtout, les SSD plus récents ont maintenant une durée de vie un peu plus longue et ça dépasse en générale les limites mentionnées par le constructeur. Bref ça dépend beaucoup du modèle que vous avez en fait.

Et j'sais pas si vous vous souvenez, mais ce n'est pas la première fois qu'un soft s'en prend à votre SSD en silence .

Alors du coup, comment on arrange ça ? Bah d'abord, mettez Codex à jour car OpenAI a fermé le ticket le 22 juin et fusionné deux correctifs qui virent environ 85% de ces logs d'un coup !

Ensuite, allez voir la taille du fameux ~/.codex/logs_2.sqlite. S'il pèse plusieurs Go, supprimez-le sans crainte car Codex en recréera un propre au prochain lancement. En faisant ça, un utilisateur a commenté sur Github être passé de 27 Go à 73 Mo juste en virant le sien ! Quel bonheur !

Bref, un petit coup d'œil, une petite update, un fichier viré, et votre SSD respirera à nouveau. Pensez-y !

Source

Vivre sans État - Le doc ARTE qui titille l'anarchiste en vous

Tue, 23 Jun 2026 09:37:20 +0200 - (source)

J'sais pas si vous saviez mais l'État, ce truc qui organise et contrôle toute notre vie, sans que nous l'ayons jamais vraiment choisi, n'a que 4 siècles au compteur... C'est comme ça que débute Vivre sans État, un doc qu'ARTE qui vient de sortir dans sa collection Tracks, et que je vous recommande chaudement. Durant 51 minutes vous découvrirez de vrais gens qui ont décidé de se passer de gouvernement !

Même si on a tous déjà croisé des anarchistes en mousse qui aiment encore plus le pognon qu'un banquier, c'est en général une forme d'organisation sociale qui est mal connu et mal perçu. Mais l'anarchisme revêt différentes formes et c'est ce qu'on peut voir dans ce docu.

Vous y verrez des anarchistes grecs et des écolos planqués dans le désert espagnol, des micronations numériques qui promettait tous les services d'un État via la blockchain, un quartier anarchiste d'Athènes qui vit selon ses propres règles depuis des décennies ou encore une poignée d'irréductibles qui replantent le désert de Tabernas en Espagne, sans accès à l'eau courante.

Et puis surtout, y'a Hakim Bey, l'inventeur des Zones Autonomes Temporaires (TAZ), ces bulles de liberté qui surgissent et disparaissent rapidement, avant que l'État et ses cabots n'aient le temps de réagir. C'est le concept de TAZ qui a d'ailleurs initié le mouvement qui a donné naissance notamment aux free party et aux mouvement hackers.

La question que pose le documentaire, est la suivante : Pourquoi l'endroit où on est né devrait déterminer toute notre existence, nos perspectives économiques, et notre mode de vie ?

Vaste programme... Et cette idée d'un monde sans État continue de survivre et de se propager malgré les utopies ratées. Dans le reportage, y'en a un qui explique que le gouvernement "c'est comme un ordinateur qui centraliserait des services administratifs". Il n'a pas tort même si je rajouterai que c'est un ordinateur bourré de virus et dont les mises à jour n'ont pas été faites depuis des décennies.

Pour moi, ces micro-nations numériques décentralisées et toutes ces initiatives pour moins dépendre des États, ça rejoint beaucoup d'autre initiatives, sans drapeau ni constitution bizarre, comme l' IndieWeb qui rebâtit un internet sans plateforme, ou ces outils qui vous aident à reprendre la main sur vos données . Pendant que certains construisent des Palantir pour tout voir, tout contrôler et tout dérober, d'autres bricolent l'inverse. Pas une nation flottante, certes, mais juste un petit peu de contrôle récupéré.

Bref, j'ai trouvé ça intéressant... Si vous avez un peu de temps devant vous et que vous aimez quand on bouscule vos préjugés, je vous encourage à regarder ce documentaire.

Relay attack - Ils volent une voiture avec un babyphone

Mon, 22 Jun 2026 20:36:27 +0200 - (source)

Vous vous souvenez du streamer Twitch qui s'était fait piquer sa caisse en plein live, à cause d'un boîtier bizarre posé contre sa porte d'entrée ?

Tout le monde a crié au fake évidemment, sauf que dans une certaine mesure, c'était vrai ! Et le voleur, c'était Mark Rober en personne, l'ex-ingénieur de la NASA devenu YouTubeur, qui a inventé toute cette mise en scène pour démontrer une bonne fois pour toutes comment on vole une voiture récente sans même toucher à la serrure.

La méthode s'appelle la relay attack, l'attaque par relais, et le principe est tellement simple que c'en est gênant. En effet, les voitures passent leur vie à chuchoter, quatre fois par seconde environ, des petits "hé psst, t'es là, ma clé ?". Et quand la clé est assez proche pour entendre ce murmure, elle hurle en retour le mot de passe secret qui déverrouille les portes et permet de démarrer le véhicule. Sauf que ce chuchotement, une équipe de voleurs peut le capter depuis votre voiture, l'amplifier, et le balancer jusqu'à votre clé restée sur le meuble de l'entrée ou dans la poche de votre veste. La clé croit alors que la voiture est juste là, elle répond, et hop, la caisse s'ouvre. Ça prend 30 secondes chrono, ça ne déclenche aucune alarme, et surtout y'a aucune effraction, ce qui arrange bien ces inutiles d'assureurs.

Alors pour bien comprendre comment tout ceci fonctionne, Rober a voulu s'équiper comme un vrai voleur. Direction le dark web, où un certain Dimitri (un russe... Bah quoi les clichés ?) lui a vendu un boîtier de vol clé en main pour 12 000 dollars en Bitcoin. L'appareil arrive, il le passe au CT Scan pour voir ce qu'il y a dedans sans le faire péter, et le verdict tombe : il s'est fait escroquer comme un débutant.

En fait, tous les composants hors de prix de ce machin pouvaient être remplacés par la même chose que ce qu'on trouve dans un babyphone vidéo de 2004.

Le babyphone de 2004 dont les entrailles remplacent un boitier dark web a 12 000 dollars.

La caméra du babyphone capte un signal, l'antenne le transmet à l'écran déporté et il suffit de couper deux fils au bon endroit pour transformer ça en relais radio . Son clone maison lui est donc revenu à quelques centaines de dollars de matos au lieu des douze mille que Dimitri a empochés. Et surtout il fonctionnait mieux que l'original. Breeeef...

Avant ce genre d'attaque, voler une bagnole demandait quand même un peu de doigté. Le slim jim, une tige métallique qu'on glissait dans la portière, a été tué dans les années 90 par les constructeurs qui ont blindé les mécanismes de serrure. Le démarrage en pontant les fils façon Mac Gyver est devenu inutile le jour où un calculateur ECU a pris le contrôle du moteur. Et plus récemment, vous avez peut-être entendu parler des Kia Boys , ces ados qui ont fait le tour de TikTok en démarrant des Kia et Hyundai d'avant 2022 avec un simple câble USB enfoncé dans le contact.

C'était couillon, mais ces modèles n'avaient pas d'antidémarrage électronique... une économie de bout de chandelle des constructeurs qui leur a quand même coûté 8,3 millions de véhicules à patcher en urgence. Comme quoi, la sécurité par l'obscurité, ça finit toujours par se payer un jour ou l'autre...

Et est-ce que vous saviez ce que deviennent ces voitures une fois envolées ??

Eh bien, même si l'essentiel des vols est l'œuvre d'abrutis d'ados qui font joyride pour Instagram , le reste est récupéré par une filière criminelle très organisée, démonté en pièces détachées dans un atelier en moins d'une heure ou encore expédié en conteneur à l'autre bout du monde.

Maintenant, pour bloquer les attaques relais et toutes ses déclinaisons, il suffit d'empêcher votre clé d'entendre ce "chuchotement" de la voiture. La première règle, qui est aussi la plus bête, est donc de ne JAMAIS poser vos clés près de la porte d'entrée... Éloignez-les au maximum, à l'autre bout de votre logement si vous le pouvez

Et la deuxième règle, c'est d'empêcher la clé de capter quoi que ce soit... Une boîte à biscuits en métal fait par exemple parfaitement l'affaire. Ou alors un bout de papier alu pour l'emballer...

Une simple boite a biscuits en métal suffit a rendre la clé sourde.

C'est ce qu'on appelle une cage de Faraday dans laquelle le signal radio préfère filer dans le métal conducteur plutôt que de traverser. Les pochettes anti-RFID vendues une dizaine d'euros font pareil et sont quand même plus classe, mais testez-les avant de leur faire réellement confiance.

Ah et sinon, sur certains modèles comme ma Ioniq 5 , vous pouvez aussi désactiver l'ouverture automatique "à distance via la clé et "sans les mains" et exiger une pression sur le bouton de la clé. C'est plus safe même si c'est moins fun ^^.

Un grand merci à Lilian pour le partage.

Test des Eufy Indoor Cam E30, qui ont remplacé toutes mes vieilles caméras

Mon, 22 Jun 2026 15:47:40 +0200 - (source)

- Contient des liens affiliés Amazon -

Cela faisait des années que je tournais avec de très anciennes caméras Eufy, et je me suis dit récemment qu'il était temps de les remplacer. J'ai donc pris l' Indoor Cam E30 , le modèle 4K de la marque qui pivote sur 360 degrés.

Elle est affichée autour de 60 euros, mais on la trouve très souvent en promotion, autour de 45 euros en ce moment . À ce tarif, difficile de bouder le produit tellement il est complet.

Alors déjà, première bonne surprise, l'image. La 4K change vraiment la donne par rapport à mes vieux modèles, c'est net et lumineux, et la vision nocturne en couleur est parfaitement lisible grâce au petit projecteur intégré, qui fait au passage office d'épouvantail pour les visiteurs indésirables. Quand on regarde le flux à distance, on peut régler la résolution et la réduire un peu pour ne pas forcément streamer de la 4K, ce qui peut être un peu lourd quand on est sur une petite barre de 3G à l'autre bout de la France.

Mais ce qui m'a le plus bluffé, c'est le suivi des mouvements. La caméra repère une personne ou un animal, puis pivote toute seule pour le garder dans le cadre et continue de le filmer pendant qu'il se déplace dans la pièce. Le résultat est bluffant.

Et tout ça est calculé en local, directement dans la caméra, sans dépendre du cloud. Son IA embarquée reconnaît aussi les sons et même les pleurs d'un bébé, ce qui la transforme à l'occasion en babyphone, alors que l'audio bidirectionnel permet de parler à travers la caméra depuis son téléphone.

Côté stockage, je passe par une HomeBase , le petit boîtier maison d'Eufy qui garde toutes les vidéos chez moi, sans le moindre abonnement mensuel. Mais ce n'est pas obligatoire : une simple carte microSD glissée dans la caméra fait aussi le travail, ou le cloud si vous y tenez.

J'en ai même installé une dehors, bien à l'abri de la pluie quand même, parce que ce modèle reste officiellement une caméra d'intérieur sans certification pour affronter les intempéries. Et franchement, elles fonctionnent toutes parfaitement, aussi bien dedans que dehors.

Elle cause aussi à HomeKit, Alexa et l'Assistant Google, avec une petite réserve à connaître : en passant par HomeKit, l'image retombe à du 1080p au lieu de la 4K. Bon à savoir si vous vivez à fond dans l'écosystème Apple, mais pour rappel ça devrait changer dès la rentrée prochaine, avec un iOS27 bien plus capable pour la gestion des caméras.

La marque pousse aussi son IA maison, baptisée BionicMind, qui ne se contente plus de repérer une silhouette mais reconnaît carrément les visages et fait le tri entre une personne, un animal, une voiture ou un colis déposé devant la porte.

Bref, à ce prix, j'ai remplacé toutes mes caméras par ce modèle, et je suis bien content. Disponible par ici sur Amazon.

Doom tourne désormais sur un bracelet Xiaomi Mi Band 10

Mon, 22 Jun 2026 15:06:38 +0200 - (source)

Il y a des gens qui se détendent en regardant une petite série. Aaron Christophel, lui, se détend en désossant des bracelets connectés Xiaomi pour leur faire cracher du code qu'aucun ingénieur de la marque n'avait prévu.

Ce bidouilleur allemand, plus connu sous le pseudo atc1441, vient de s'attaquer au Mi Band 10, et il en a tiré ce que la communauté du hack matériel considère comme le sacre suprême depuis trente ans : un portage de Doom, le jeu de tir sorti en 1993.

Le jeu n'était pourtant pas le problème. La puce, si.

Le Mi Band 10 utilise un BES2700iMP, un composant fabriqué par Bestechnic, un fondeur chinois qu'on croise surtout dans des écouteurs sans fil parce qu'il est taillé pour la basse consommation. Petite subtilité qui complique tout : chez Bestechnic, cette même puce répond aussi au nom de code BEST1503.

Or pour programmer un composant pareil, il faut son SDK, autrement dit le kit fourni par le fabricant avec la documentation et les outils pour développer dessus. Et là, surprise : pour ce modèle, aucun SDK public. Rien du tout. Christophel s'est donc retrouvé face à une puce muette, sans plan ni notice.

Sa porte d'entrée, il l'a trouvée du côté d'une cousine quasi jumelle. Le BEST1306, un autre composant Bestechnic, partage la même architecture, et lui possède un SDK qui a fuité par le biais de kits de développement audio. En recoupant patiemment les deux, il a reconstitué par rétro-ingénierie, ce travail qui consiste à remonter le fonctionnement interne d'un appareil sans en avoir les plans, un SDK compatible avec le BES2700iMP.

Le reste a suivi. Firmware maison, c'est-à-dire le logiciel bas niveau qui pilote directement le matériel, puis portage de Doom via le projet GBADoom. Tout n'est pas nickel pour autant : l'écran fonctionne en SPI un seul bit au lieu du quad-SPI dont il est capable, deux manières d'envoyer les pixels dont la seconde va nettement plus vite, ce qui plombe ici la fluidité et écrase les couleurs.

Screenshot

Bref, ça se joue, mais c'est moche. Et sur une dalle large de quelques centimètres, on reste évidemment dans l'exploit pour l'exploit plus que dans la séance de jeu.

Le détail qui fait un peu marrer vu le contexte actuel, c'est l'aveu de Christophel sur l'intelligence artificielle : elle ne lui a quasiment servi à rien. Les données techniques de ces puces propriétaires n'existent nulle part dans les corpus d'entraînement des modèles, du coup les assistants brassaient du vide.

Et ce n'est pas fini. Le Mi Band 9 embarque exactement le même matériel, ce qui signifie que le SDK reconstitué devrait y tourner tel quel, sans toucher une ligne. Tout est documenté et publié sur GitHub, à la disposition de quiconque veut prolonger cette bien belle aventure.

Bref, faire tourner un jeu de 1993 sur un bracelet de sport ne sert objectivement à rien, et c'est précisément pour ça que c'est toujours très cool.

Source : Hackaday

Tanko - Lire des mangas dans le terminal en scred

Mon, 22 Jun 2026 11:34:41 +0200 - (source)

Si vous passez votre vie dans un terminal et que vous avez réussi un jour à quitter tout seul Vi / Vim, voici une application qui va vous intéresser. Il s'agit de Tanko , signé Alexandro Mendez, un outil en ligne de commande qui permet de lire et télécharger vos mangas préférés directement depuis un terminal. C'est, en gros, le même concept que youtube-dl mais pour les scans japonais.

Pour installer Tanko, ouvrez un terminal et entrez la commande suivante : pnpm install -g tanko (npm marche aussi). Une fois que c'est fait, y a plus qu'à lancer tanko. Plus besoin d'aller sur les sites en question, vous entrez vos critères de recherche et hop, vous lisez votre chapitre directement. Les chapitres que vous téléchargez en PDF atterrissent dans $HOME/tanko/downloads/.

Après, Tanko affiche les vraies pages en image, à condition d'utiliser un terminal moderne comme Kitty, Ghostty ou WezTerm qui gèrent les protocoles graphiques (Kitty graphics, Sixel). Mais surtout dans un terminal basique, genre le terminal intégré de VS Code ou le bon vieux CMD de Windows, Tanko basculera en mode ASCII Art.

J'suis sûr que vous voyez où je veux en venir... Votre boss passe derrière vous, voit des caractères bizarres défiler dans VS Code, et repart convaincu que vous compilez un truc alors que pendant ce temps-là vous suivez peinard le dernier chapitre de One Piece... niark niark niark.

Côté fonctions, vous avez l'historique de lecture, un menu de config, les notifications et le support de plusieurs sources de scans. Attention quand même, certaines sources scrappent les sites via un navigateur, donc il faudra installer Firefox avec npx playwright install firefox. Après c'est pas non plus obligatoire et vous pouvez vous contenter des sources qui n'en ont pas besoin.

L'outil est cool mais après en ce qui me concerne, lire un manga en ASCII Art c'est marrant 30 secondes, mais pour de la vraie lecture je vous conseille vraiment d'opter pour l'un des terminaux avec support des images que je vous ai cités plus haut.

Et si votre but c'est juste d'aspirer des tonnes de scans, le vieux mangal est plus complet, même s'il est archivé depuis avril 2025 et que plus personne ne le maintient... sniiif. Dans le même style, ça me rappelle aussi Lue qui vous lit vos ebooks en audio dans le terminal et si vous préférez un truc avec une vraie bibliothèque, jetez plutôt un œil à Kavita .

Et enfin, roulements de tambours, pour savoir où trouver vos scans sans finir en correctionnelle, j'avais fait un guide sur le manga et le scantrad .

Bref, c'est gratuit, mais à consommer avec modération pendant les heures de boulot, bande d'ennemis du capitalisme ^^ !!

< Older

Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles