Autoblog de korben.info

Ce site n'est pas le site officiel de korben.info
C'est un blog automatisé qui réplique les articles de korben.info

PACT - Le token Cloudflare qui veut remplacer les CAPTCHA

Wed, 24 Jun 2026 16:04:50 +0200 - (source)

Je viens d'apprendre que Cloudflare s'était associé à Chrome, Firefox et Edge pour régler un truc qui nous pourrit tous la vie sans que nous y pensions vraiment, à savoir prouver qu'on est des humains.

Leur projet s'appelle PACT pour Private Access Control Tokens, et l'idée c'est de remplacer les affreux CAPTCHA par un titi jeton cryptographique anonyme que votre browser baladera de sites en sites.

Alors comment ça fonctionne cette nouvelle connerie ?

Hé bien un site qui a déjà une bonne raison de vous croire humain, genre un service où vous avez un compte, émet un token anonyme. Votre navigateur le conserve, et quand vous débarquez ailleurs, il le présente comme une preuve que vous n'êtes ni un robot, ni un alien, ni un pervers narcissique manipulateur.

Comme vous avez passé le test une fois, vous n'avez donc plus à recliquer sur des feux tricolores et des passages piétons aux quatre coins du web... Et comme le token ne contient aucune donnée perso, le site qui le reçoit ne sait pas d'où il sort.

Derrière PACT, rien de sorcier niveau techno, c'est juste du Privacy Pass, l'architecture que l'IETF a posée noir sur blanc en 2024 avec les RFC 9576 à 9578 . Apple fait déjà exactement ça depuis 2022 avec ses Private Access Tokens planqués dans iOS 16 et macOS Ventura, et Cloudflare est même l'un de leurs émetteurs en production. Mais PACT, c'est la version next-gen de ce truc. Au lieu d'attester juste "cet appareil est un vrai iPhone", on atteste "il y a un humain dans la boucle". Les signatures RSA aveugles font que l'attesteur ne sait pas quel site vous visitez, et que le site, lui, ne sait pas qui vous êtes.

C'est plutôt une bonne idée, je trouve. Sauf que cette histoire de "personne", ça inclut aussi les bots autorisés. Genre votre agent IA qui réserve un billet de train ou fait vos courses pendant que vous dormez. Cloudflare veut également leur filer des tokens à eux aussi, pour les démarquer des crawlers sauvages qui pompent le web à l'aspirateur de chantier.

Et ça tombe bien, parce qu'aujourd'hui plus de la moitié du trafic web mondial, c'est déjà des bots.

Maintenant, le truc qui me chiffonne avec PACT c'est que ça crée mécaniquement un web à deux vitesses. D'un côté le trafic on aura le trafic "de confiance" avec son joli token, de l'autre tout le reste, traité comme suspect par défaut. Donc si vous surfez avec Tor, un navigateur exotique ou une config un peu trop cheloue, et que personne ne veut vous émettre de jeton parce que vous êtes un haxxor intransigeant avec sa vie privée, vous devenez un citoyen de seconde zone du web. Sans compter que ce serait ENCORE Cloudflare, déjà videur d'une énorme part d'Internet, qui se retrouvera à arbitrer qui mérite son laissez-passer.

Et puis ça ne règle pas le pistage. Le fingerprinting, votre IP, les mille autres signaux que votre navigateur balance dans la nature restent en place. PACT vire juste le CAPTCHA, mais pas la surveillance. Mozilla jure sur la tête de sa mère que sa participation sert justement à garder ce système ouvert, et j'avoue que je suis content qu'ils soient dans la même pièce que les autres filous, qui pourraient en profiter pour réécrire la norme entre eux. Maintenant, si ce qui reste de votre vie privée déjà bien publique avec toutes nos données perso qui ont fuitée, vous tient encore à cœur, un petit navigateur blindé comme LibreWolf ou un CAPTCHA qui ne vend pas vos clics tel que ALTCHA restent des choix plus sérieux que d'attendre un jeton de bonne conduite.

Voilà... Pour l'instant PACT n'est qu'un projet, sans date de sortie ni même de lieu de standardisation confirmé, et même si l'idée de virer les CAPTCHA est hyper séduisante, reste encore à savoir qui tiendra les clés du laissez-passer...

Source


Test du mini chargeur Anker avec son écran tout mignon qui en sait beaucoup sur vous

Wed, 24 Jun 2026 15:21:45 +0200 - (source)
- Contient des liens affiliés Amazon -

Anker a eu une idée bien sympatoche, que je n'avais jamais vue sur un chargeur de cette taille, à savoir coller un petit écran sur la face avant du bloc pour afficher en direct la puissance envoyée, la température du bloc et, plus rigolo encore, le modèle précis d'appareil qu'on vient de connecter, dans mon cas mon iPhone 17 Pro.

J'ai donc fini par craquer pour ce Nano 45W , dans sa version bleue, et l'objet est encore plus rigolo à l'usage que sur la fiche produit.

Le tarif n'y est pas pour rien. En ce moment, le chargeur est à 28 euros au lieu de 40 euros. Sur le fond, c'est un bloc USB-C unique capable de monter jusqu'à 45 W, qui adapte sa sortie à l'appareil relié, de l'iPhone au MacBook Air en passant par l'iPad, ou n'importe quel appareil Android. Anker annonce un iPhone 17 Pro qui grimpe de 0 à 50 % en une vingtaine de minutes, un ordre de grandeur que mes propres charges sont venues confirmer sans problème.

Revenons à cet écran, parce que c'est lui qui fait toute la particularité du produit. Là où la quasi-totalité des chargeurs se contentent d'une diode, celui-ci affiche des informations détaillées, et c'est le premier qui me sort le nom exact du téléphone branché. Ça n'a rien d'indispensable, soyez-en certain, j'avais même par le passé dit que je ne voyais pas bien l'intéret du truc , mais voir s'inscrire "iPhone 17 Pro" dès qu'on pose le câble est franchement rigolo. L'écran se réoriente d'ailleurs d'un appui long de deux secondes pour rester lisible selon la position de la prise.

Anker ajoute un mode Care, déclenché d'un double appui, qui abaisse la température de charge d'environ 5 °C par rapport à un 45 W classique, histoire de ménager la batterie pendant les longues charges de nuit. La promesse de longévité est compliquée à vérifier en quelques jours, mais l'intention de préserver l'accumulateur sur la durée est bonne.

Screenshot

Le gabarit, lui, est très bon. Anker l'annonce 47 % plus petit et 20 % plus léger que son ancien bloc 30 W, et cette compacité se ressent clairement au fond d'une poche ou d'une trousse de transport.

Alors oui, plus petit existe ailleurs, bien sûr. Sauf que voilà, les modèles réellement miniatures se paient nettement plus cher, ce qui fait de cet Anker l'un des chargeurs les plus compacts à ce niveau de prix, décliné qui plus est en quatre coloris dont le bleu retenu ici. Seule réserve à garder en tête, le câble USB-C n'accompagne pas le bloc, il faudra donc en avoir un sous le coude.

Bref, pour 28 euros , l'écran gadget amuse plus que de raison et la charge rapide fait le travail. Un petit achat que je ne regrette pas. Disponible ici sur Amazon !


Jetpack et son IA imposée - Comment tout débrancher

Wed, 24 Jun 2026 15:18:43 +0200 - (source)

Si vous tournez sous WordPress avec Jetpack, vous avez sûrement vu débarquer l'AI Assistant d'Automattic sans rien demander à personne. Un bouton IA qui se pointe dans l'éditeur, des suggestions générées un peu partout, un machin pour générer des vidéos à partir d'articles et le tout activé d'office, même sur les comptes gratuits.

Le pire, c'est que ça reste à moitié verrouillé derrière un abonnement payant qu'on vous colle sous le nez, avec seulement 20 malheureuses requêtes gratuites avant de devoir sortir la carte bleue. Donc autant dire qu'on peut rien tester que c'est déjà plié. Du coup, ça encombre l'interface pour rien comme ici :

Et pour le virer proprement depuis les réglages... bah y'a pas, forcement.

Vous pouvez toujours aller bidouiller dans les modules Jetpack un par un, l'assistant IA, lui, reste accroché comme une moule à son rocher. Croyez-moi, j'ai tout exploré et la seule vraie solution tient en une seule ligne. Vous l'ajoutez via un plugin comme Code Snippets, ou directement dans un fichier mu-plugins ou functions.php de votre thème si vous êtes à l'aise avec le code :

add_filter( 'jetpack_ai_enabled', '__return_false' );

Et hop, toutes les fonctionnalités IA de Jetpack dégagent d'un coup, y compris la fameuse bulle de chat dans l'éditeur. C'est le hook officiel, documenté chez Jetpack depuis la version 11.8, donc rien de bricolé là-dedans. C'est juste que vous coupez le robinet à conneries à la source.

Maintenant, si toucher au PHP vous file de l'urticaire, sachez qu'il existe aussi un petit plugin baptisé Turn Off AI Features qui fait exactement le même boulot avec un simple interrupteur. C'est un peu la même chose que quand on débranche l'IA imposée de Windows 11 , afin de reprendre la main sur sa propre machine.

Quand on voit que Firefox a réussi à mettre un seul bouton pour tout couper, on se dit qu'Automattic pourrait faire un effort.

Source


IoToS - Le prof qui a codé un OS de zéro pour ses élèves

Wed, 24 Jun 2026 13:28:13 +0200 - (source)

Jean-Marc Biechy est prof d'électronique et d'informatique à l'Institution Saint-Jean de Colmar et il vient de m'envoyer un truc qui m'a scotché. Avec ses élèves, il bidouille des projets Arduino, et plutôt que d'empiler des bouts de code à chaque nouveau montage, il a fait un choix un peu fou : écrire son propre système d'exploitation en partant de zéro pour un microcontrôleur.

Ça s'appelle IoToS, pour Internet of Things micro Operating System, et ça transforme un Arduino UNO R4 ou un ESP32/8266 en vrai petit nœud réseau avec un accès en ligne de commande qui ressemble vachement à du bon vieux terminal Linux.

Vous branchez la carte, vous ouvrez un terminal série (ou un Telnet sur le port 23), et là vous tapez des commandes comme ping, tracert, netstat, dir, ip ou dhcp on tout ça directement sur Arduino.

Ce qui est chouette avec son approche c'est qu'elle est pédagogique car un Arduino tout nu, c'est un automate avec un setup() qui s'exécute une fois, une loop() qui tourne en boucle à l'infini, et basta.

Et à l'autre bout du spectre, vous avez de vrais OS temps réel (RTOS), souvent trop gros ou trop austères pour intéresser un élève de Bac Pro. Et entre les deux, y'avait rien qui faisait vraiment le pont entre l'automate et un vrai petit OS avec sa ligne de commande.

Jean-Marc a donc créé ce chaînon manquant en découpant son code exactement comme un OS. Un Boot Firmware avant le setup, un Load Driver qui gère la connexion réseau et l'écran, un Kernel qui n'est autre que la loop(), un CLI dans un fichier shell_Cmdline.h, et des applis par-dessus.

La bestiole embarque donc un serveur web AJAX qui sert des pages HTML depuis une carte MicroSD, un serveur FTP pour balader les fichiers via FileZilla, une synchro NTP et un datalogger CSV horodaté. Le tout sur un noyau coopératif, sans RTOS, le code métier de votre projet étant compilé dans le même firmware.

Et c'est là qu'on mesure le boulot d'orfèvre puisque ce firmware complet tient dans 142 Ko, soit 54% de la flash de l'UNO R4, et il reste près de 19 Ko de RAM libre sur les 32. Caser un shell réseau, un serveur web et du FTP là-dedans sans tout faire planter, c'est pas donné à tout le monde, le mec est doué !

Et avec cette base, ses élèves montent des prises IP commandables au navigateur, une caméra de surveillance sur LilyGo déclenchée par un détecteur de mouvement, une station météo consultable en ligne, une alarme PIR qui envoie un mail, de la gestion de chauffage à distance, ou du pilotage de LED RVB et de projecteurs DMX par Ethernet.

La prise IP sert d'ailleurs de système minimal de référence, et le reste, vous pouvez l'étendre en ajoutant vos propres commandes CLI et vos pages web dans les fichiers .h prévus pour.

Jean-Marc raconte y avoir passé environ 2000 heures de code et de tests, juste pour voir si c'était possible d'en écrire un tout seul. Il est parti de bibliothèques existantes (LittleFS, ping, FTP, dir) qu'il a patiemment fait discuter ensemble... Faut dire que recoder un OS de zéro pour le plaisir d'apprendre , c'est un sport à part entière et malheureusement, trop peu de gens d'y essayent.

Son code source est commenté et distribué librement sous licence GNU LGPL v2.1, donc réutilisable y compris pour un usage commercial. Tout est à télécharger sur le site du projet , avec la doc PDF, les vidéos de démo et la liste complète des commandes.

Si vous avez un Arduino R4 qui prend la poussière, vous savez maintenant quoi en faire ! Bravo Jean-Marc !!


Tesladeaths - Le compteur des morts de l'Autopilot TESLA (FSD)

Wed, 24 Jun 2026 11:32:36 +0200 - (source)

Vendredi soir à Katy, au Texas, une Tesla Model 3 a défoncé la façade d'une maison et tué Martha Avila, 76 ans, installée devant la Coupe du Monde. Evidemment, comme d'hab, le constructeur et le conducteur se renvoient déjà la faute mais on se pose tous cette question : Combien de gens sont morts comme ça bêtement, dans un crash où l'Autopilot était actif ?

Pour le savoir, oubliez Tesla et son service de presse dissous en 2020 (lol), et filez sur tesladeaths.com , un compteur tenu par la communauté TSLAQ, le cashtag des sceptiques de Tesla en bourse, qui recensent les morts que personne chez le constructeur n'a envie de compter.

Sur ce crash précis, Tesla affirme sur X que le conducteur a appuyé sur l'accélérateur jusqu'à 117 km/h et appuyait encore après le choc, quand le gars, lui, jure aux shérifs qu'il était en mode assistance (le FSD). 2 versions opposées, une enquête en cours, et surtout au milieu une morte de plus...

Au dernier décompte, fin 2025, la base recensait plus de 770 décès depuis 2013 dans des accidents impliquant une Tesla, dont 65 où l'Autopilot ou le Full Self-Death, euuuh pardon Driving était activé.

Et le truc vraiment bien avec ce site, c'est que tout est ouvert. Les données sont stockées dans un Google Sheet public accessible depuis la page d'accueil du site, exportable en CSV ou Markdown, avec même un miroir sur le GitHub du projet . Chaque ligne a sa date, son pays, son modèle, son nombre de morts, et ces deux colonnes : "Autopilot claimed" et "Verified Autopilot Death" qui permettent en gros, de séparer ce qui est revendiqué de ce qui est confirmé, en croisant la base SGO de la NHTSA, la presse et les dossiers judiciaires.

Vous pouvez donc vérifier vous-même, ligne par ligne, au lieu de gober un chiffre balancé au hasard sur un plateau télé ou par un lover ou un hater d'Elon sur X. Y'a même un site jumeau, Tesla Fire , pour les incendies de batterie. Ouais, les mecs s'éclatent !

Après le truc qui m'énerve c'est le wording de Tesla parce que "Autopilot", "Full Self-Driving"... et compagnie, ça sonne comme une bagnole qui se conduit toute seule... Sauf que légalement, ces options sont encore rangées en niveau 2. Ça reste donc de la simple assistance, juste un cran au-dessus du régulateur de vitesse. Le conducteur reste responsable à 100%, tout le temps.

La Californie s'est d'ailleurs attaquée à ce nommage trompeur dès 2022, ce qui a obligé Tesla à accoler "(Supervised)" derrière son "Full Self-Driving".

Surtout que côté capteurs, le fossé est aussi large puisqu'une Waymo de niveau 4 se balade avec une vingtaine de caméras, plus des radars et des lidars tout autour, alors qu'une Tesla grand public bien chipou, c'est de la caméra et point barre !

Musk a toujours refusé le lidar, au motif que les humains "ne tirent pas des lasers avec leurs yeux" et qu'un capteur laser serait une "béquille" hors de prix. Du coup, la nuit ou dans le brouillard, une caméra ne voit que ce que la lumière lui montre, alors qu'un lidar mesure les distances au laser sans dépendre de la luminosité. Par exemple, moi je préfère le système de Comma.ai qui lui aussi est du niveau 2+, qui certes fonctionne avec une caméra, mais se repose également sur le lidar embarqué par le constructeur dans la voiture...

Bref, ces histoires d'accidents et de données que Tesla garde sous le coude , j'en avais déjà causé, mais maintenant ce qui serait bien de savoir à un moment, c'est s'il y a eu ou non une défaillance technique qui aurait empêché le conducteur de reprendre la main sur le FSD...

Bref, gardez tesladeaths.com dans un coin de bookmarks comme ça la prochaine fois qu'un crash "automatisé" fera la une, vous aurez les vrais chiffres sous la main.

Source


Une machine à glaçons de cuisine pour refroidir votre carte graphique ?

Wed, 24 Jun 2026 11:26:52 +0200 - (source)

22°C en plein Cyberpunk 2077. C'est la température qu'a relevée le YouTubeur TrashBench sur sa RTX 3060, une carte graphique milieu de gamme de Nvidia comme on en trouve dans énormément de PC de joueurs, après l'avoir branchée sur une machine à glaçons de comptoir.

Oui oui, on parle bien de l'appareil qui produit des glaçons sur votre plan de travail.

Avec son ventirad d'origine, cette carte tournait autour de 60°C en charge, avec un point chaud (le hotspot, l'endroit le plus brûlant de la puce) qui montait à 75°C. Une fois reliée au montage maison, elle affichait 22 à 23°C après un quart d'heure de jeu, point chaud retombé à 34°C. Une baisse d'environ 62%.

Le principe reprend du watercooling classique, ce refroidissement par circuit de liquide qu'on voit sur les PC haut de gamme, sauf qu'ici le radiateur a été remplacé par une machine à glaçons.

TrashBench a retiré le refroidisseur d'origine, posé une plaque de maintien faite maison par-dessus la puce pour y faire passer les tuyaux, puis plongé une pompe immergée dans la machine remplie d'eau. Le liquide circule de la carte vers le bac glacial, se charge du froid produit par la machine, puis repart refroidir la puce.

Screenshot

Sauf qu'une machine à glaçons n'est pas faite pour tourner sans arrêt. Elle alterne normalement des cycles marche/arrêt, du coup il a fallu tricher avec le thermostat.

La combine, c'est un thermostat externe, le genre qu'on utilise pour transformer un vieux frigo en cave à bière. Il force le compresseur à fonctionner en continu au lieu de respecter son cycle habituel. L'évaporateur, la partie qui produit le froid, reste posé juste au-dessus du niveau d'eau, et un petit seau le maintient immergé pour refroidir le liquide en permanence. C'est sportif donc.

L'idée n'est pas sortie de nulle part, elle reprend un montage d'un autre YouTubeur, MrYeester, qui avait déjà bidouillé une machine du même genre pour refroidir un processeur.

Reste le gros problème, dès que l'eau passe sous la température de la pièce, la condensation débarque, comme la buée sur une bouteille sortie du frigo, sauf qu'ici elle se dépose sur des composants électroniques sous tension. Un des essais a d'ailleurs dû être stoppé au bout de dix minutes à cause de l'humidité accumulée sur le matériel.

On parle donc d'un montage qui mélange un appareil électroménager, de l'eau, un PC allumé et des températures un peu basses, soit à peu près tout ce qu'on déconseille de réunir au même endroit. TrashBench le reconnaît lui-même dans sa vidéo. Ce n'est pas une recette à reproduire chez soi un dimanche après-midi.

Source : Techspot


Le gestionnaire de mots de passe qui vous donne des alias email natifs

Wed, 24 Jun 2026 09:57:47 +0200 - (source)
-- Article en partenariat avec Proton --

Si vous avez encore un mot de passe identique sur trois sites, ou que vous vous dites "le 2FA c'est bien, mais je ferai ça plus tard", ce billet est pour vous. Proton Pass, c'est le gestionnaire de mots de passe de Proton, l'éditeur suisse derrière Proton Mail, Proton VPN, Calendar et Drive. On va voir ensemble quels sont les points forts, les limites et la vraie valeur ajoutée côté vie privée par rapport à d'autres outils du même genre.

Parce que Proton essaie de nous faire admettre qu'il est possible d'avoir un gestionnaire de mots de passe sérieux, open source, zero-knowledge, avec des alias email intégrés, sans payer 50 € par an. Du coup on va voir si l'affirmation se vérifie ou pas. Avec une promo tonton Korben rien que pour vous, ma bonté me perdra je sais ^^

Proton Pass : tour du proprio

Le premier truc à comprendre, c'est que Proton Pass est zero-knowledge. Pour les moins techos d'entre vous, cela veut dire que Proton ne peut pas lire vos données, même s'il le voulait. Tout est chiffré côté client (via AES-256-GCM), et votre clé de chiffrement dérive de votre mot de passe maître que Proton ne connaît jamais. C'est la même logique que Proton Mail, Proton Drive, Proton VPN . Zero-knowledge, justice suisse, en dehors des alliances de surveillance 5/9/14 Eyes et personne qui a les clés à votre place.

Mais ce qui rend Proton Pass vraiment différent là où les autres gestionnaires sont souvent juste "fonctionnels", c'est un ensemble de features qui touchent à l'identité et à la vie privée, pas juste à la sécurité brute. Point important, 2 audits indépendants (Cure53 en 2023 et Recurity Labs 2026 ). Extensions navigateurs, applis mobiles/desktop et même l'interface en ligne de commande ont été passées au crible.

Voici les principaux points de différence qui font que Proton Pass se distingue de la masse (selon bibi) :

1. Les alias email intégrés : la killer feature côté privacy

C'est ZE fonctionnalité qui claque. Proton Pass intègre nativement Hide-my-email, hérité de SimpleLogin, un très bon outil de messagerie anonyme open source qu'ils ont racheté en 2022.

Le principe est aussi simple qu'efficace puisque cela vous permet de générer des adresses email aléatoires qui redirigent vers votre vraie boîte. Vous ne donnez donc jamais votre vraie adresse à un site. Lorsque vous créez un compte, vous choisissez un alias, et l'alias reçoit les emails comme s'il était la vraie adresse. Le nombre d'alias est de 10 dans la version gratuite (cette dernière propose par contre un nombre illimité de mots de passe et d'appareils), mais si vous avez besoin de plus, il y a le Pass Plus (alias illimités, domaines perso, envoi depuis l'alias, etc.).

C'est massif comme diraient les djeuns, parce que peu de concurrents l'intègrent nativement dans le gestionnaire. Vous avez des outils comme AnonAddy ou des services externes, mais ici c'est intégré dans le flux de création de mots de passe. Vous créez un login, vous choisissez un alias, vous validez. Basta. C'est déjà un niveau de privacy en avance et surtout ça se fait le plus facilement du monde quel que soit votre niveau.

2. Zero-knowledge et métadonnées

Outre l'utilisation de l'algo de niveau militaire AES-256-GCM (le même que la plupart des outils du genre), Pass ajoute un point technique fort, souvent ignoré par les concurrents. Proton Pass chiffre en effet aussi les métadonnées (URLs, usernames, noms de dossiers). La plupart des gestionnaires laissent ces champs en clair côté serveur, ce qui permet un profilage possible (quels sites vous utilisez, quelle fréquence, etc.).

De son côté, Proton chiffre ces champs, ce qui empêche la société de voir ce que vous faites. C'est un point moins visible côté UX, mais massif pour la vie privée.

3. 2FA/TOTP intégré et passkeys illimités

Proton Pass intègre un authentificateur 2FA/TOTP, sans avoir besoin d'un outil séparé comme Authy ou Google Authenticator. Vous pouvez générer vos codes 2FA directement dans le gestionnaire, au moment de la connexion. Depuis début 2026, les passkeys sont aussi illimitées, même sur le plan gratuit. C'est un vrai plus pour remplacer les 2FA classiques par une méthode plus moderne et plus sécurisée, sans payer un supplément.

Et bien sûr, l'autofill et la synchro entre vos différentes machines (navigateurs Safari/Edge/Firefox/Chrome ...) et OS (macOS/iOS, Android, Windows) sont en place. Sur les versions payantes il y a même une surveillance continue du darknet (Monitor) pour vous prévenir si un de vos mails a fuité et une protection anti-phishing (Sentinel). Que demande le peuple ?

4. Écosystème Proton, une logique cohérente

Proton est l'éditeur de Proton Mail, Proton VPN, Proton Calendar, Proton Drive, tous zero-knowledge. Proton Pass fait partie du même écosystème , avec un seul compte, une logique cohérente. Si vous utilisez déjà Proton, c'est un package complet. Si vous venez de Google, LastPass, 1Password, c'est une alternative sérieuse.

Et si vous avez des besoins un peu plus larges il y a les packs Family (pour 6 utilisateurs avec les fonctions Pass Plus, panneau admin, etc.) ou Pass for Business , qui est la version entreprise (avec logs d'activité, SSO/SCIM et depuis peu la gestion par groupes). Bref, un vrai plus pour la gestion des équipes, car ça permet à l'administrateur de suivre qui a des mots de passe faibles, qui réutilise les mêmes à gauche et à droite, etc.

Sans compter que bientôt de nouvelles fonctionnalités vont arriver, car Proton Pass a une roadmap claire pour cette année : organisation plus fine via dossiers/sous-dossiers, agent SSH (stockage de clés SSH), amélioration de l'autofill, gestion par groupes en B2B, gestion des tokens d'accès pour les agents IA. C'est un produit qui bouge, pas un gestionnaire statique comme trop le sont devenu.

Proton Pass vs Bitwarden vs 1Password & co

Sans creuser plus que ça, on peut le comparer assez rapidement avec les gestionnaires les plus connus. Chacun ayant ses avantages et ses inconvénients donc à voir selon votre profil.

  • Bitwarden : open source, auto-hébergement possible, moins intégré côté alias, pas de chiffrement des métadonnées. Proton gagne sur les alias + métadonnées, Bitwarden gagne sur le côté self-hosting.
  • 1Password : premium, plus mature, pas d'alias natif, pas de chiffrement des métadonnées. Proton gagne sur la vie privée (alias + métadonnées), 1Password gagne sur l'UX et la maturité.
  • LastPass : une des leaders du marché mais avec un historique de fuites, moins privacy-focused, pas d'alias natif. Proton gagne sur l'aspect vie privée et zero-knowledge, LastPass sur la maturité et une base d'utilisateurs plus large.
  • NordPass : facile à utiliser, bonne UX, audits indépendants, nombre d'alias limité, pas de chiffrement des métadonnées. Là encore Proton gagne sur la vie privée. NordPass gagne sur simplicité et parfois des prix bas lors de certaines promos.
  • Google Password Manager : pas de zero-knowledge, pas d'alias natif. Proton gagne sur la plupart des points en dehors du prix.

Et pour vous partager la table de comparaison un peu plus visuelle du site Proton (c'est un peu plus complet) :

Vous voulez passer à Proton depuis un autre gestionnaire de mots de passe ? C'est facile, Pass vous propose un import automatique en quelques clics.

Le bon plan du moment !

Si vous voulez tester Proton Pass sans vous prendre la tête, il y a une série d'offres spéciales tonton Korben, toutes sur la même page. Proton Pass tout seul, c'est 12 mois à -50%, soit 2,49 €/mois. Pour équiper toute la famille, le pack Pass Family est à -40%, soit 4,19 €/mois (jusqu'à 6 personnes). Et si vous voulez le grand chelem (Pass + VPN + Drive + Mail), Proton Unlimited est à -30%, soit 9,09 €/mois. De quoi essayer toutes les features premium (alias illimités, 2fa intégré, passkeys, monitoring dark web, etc.) sans vous prendre un mur côté budget.

Découvrir les offres Proton Pass →

Note : en partenariat avec Proton. Ce billet est rémunéré. Le lien affilié ne change pas le prix pour vous.


Samsung KNOX - Le bouclier qui ouvrait le kernel des Galaxy

Wed, 24 Jun 2026 09:33:05 +0200 - (source)

Samsung nous vend KNOX comme le gros cadenas de nos smartphones Galaxy mais il semblerait que ce soit un gros fail. Si vous ne connaissez pas encore KNOX, c'est la couche maison de Samsung qui garde un oeil sur tout ce qui tourne dans le téléphone afin de nous PROTÉGER (retenez bien ce mot c'est important...lol).

Et bien je vous le donne dans le mille mes petits Emile, des chercheurs de LucidBit Labs viennent de prouver l'exact inverse à cause d'une faille logée dans KNOX lui-même, qui est restée grande ouverte durant ces 8 dernières années. C'est la CVE-2026-20971, notée 7.8 sur l'échelle CVSS et elle concerne à peu près tous les Galaxy sortis depuis le S9.

Le problème, c'est que n'importe quelle appli, même un machin tout bête sans la moindre permission, pouvait déclencher la faille pour aller ensuite tripoter la mémoire du kernel et cibler par exemple une prise de contrôle totale de l'appareil. Rassurez-vous, le correctif est arrivé dans la mise à jour de sécurité de janvier 2026, donc filez dans Paramètres, Mise à jour logicielle, et vérifiez que vous l'avez bien.

Maintenant si votre Galaxy commence à dater et qu'aucune MAJ ne pointe son nez, c'est le moment peut-être de regarder si Samsung le maintient toujours, sinon opter pour une autre version d'Android ou acheter un smartphone pour les adultes (qui a dit iPhone ?? Rooooh).

Ce qui est fou quand même c'est que toute cette galère sort quand même d'un truc ajouté POUR renforcer la sécurité. Parfois les défenses deviennent la surface d'attaque... C'est à se demander si empiler des couches et des couches de sécurité c'est vraiment une bonne idée alors qu'il suffirait de bien verrouiller le système de base (le noyau Android)...

Bref, comme à chaque salve de failles Android , foncez mettre à jour votre Galaxy !

Source : Security Affairs


USB4STREAM - Le transfert direct entre 2 machines sous Linux

Wed, 24 Jun 2026 09:15:41 +0200 - (source)

Admettons que vous ayez besoin de transmettre des fichiers d'une machine A à une machine B, le plus vite possible et sans vous prendre la tête ?

Et bien j'ai ce qu'il vous faut et ça s'appelle USB4STREAM, qui vient d'être fraîchement mergé dans Linux 7.2. C'est Intel qui a pondu ce protocole "super simple" (c'est leur expression) pour balancer des paquets bruts d'une machine à une autre, directement par le câble USB4 ou Thunderbolt sans serveur intermédiaire... Juste deux bécanes et un fil.

Et effectivement, comme ils le disent, c'est super simple ! Une fois le module chargé et le stream configuré (un petit tour par ConfigFS pour faire apparaître le device), votre noyau expose des périphériques /dev/tbstreamX, et n'importe quelle application qui sait faire un read/write peut alors taper dedans.

Vous branchez le câble, et il vous suffit ensuite d'écrire dans le device qui doit expédier les données d'un côté, puis de les recevoir sur l'autre machine. C'est tout... Du Unix pur jus, où tout est un fichier.

Et les usages sont beaucoup plus larges qu'on ne croit... Y'a donc du transfert de fichiers d'un ordinateur à un autre, évidemment (un peu comme Croc , mais sans passer par le réseau du tout) mais aussi, pourquoi pas, du partage de webcam entre deux systèmes, ou permettre un accès à n'importe quel flux de données brutes en basse latence. Ainsi, plus besoin de passer par des serveurs tiers dans le cloud, ou d'installer un outil de transfert en réseau local .

Ça me rappelle quand je jouais avec les copains à des jeux vidéos en utilisant un port série sur le PC... À l'ancienne comme on aime, sauf qu'on est en 2026 et qu'on a maintenant 40 Gb/s dans le tuyau !

Puis contrairement à Thunderbolt qui nous promettait la vitesse de l'éclair il y a plus de dix ans (ouais, je vous sors les archives là...lol), là c'est natif Linux, et dispo pour tout le monde via un simple device !

Le choix raffiné : le câble, pas le cloud

Le patch d'Intel est d'ailleurs passé tranquillou puisqu'ils l'ont glissé dans le pull USB/Thunderbolt de la merge window, et c'est Linus Torvalds lui-même qui l'a mergé sur master sans la moindre objection. Et quand Linus laisse passer sans râler, c'est plutôt bon signe.

Le reste du lot vaut le coup d'œil aussi puisque cette même pull améliore l'allocation des tunnels DisplayPort en multi-écran sur Thunderbolt, et ajoute un pilote de température pour le contrôleur xHCI du chipset AMD Promontory 21. Notez que ce dernier a été écrit en partie par Codex, l'agent de codage d'OpenAI... Mais balek tant que c'est propre et que ça fonctionne.

Bref, si vous avez deux machines en USB4 sous la main, gardez un œil sur le noyau Linux 7.2...

Source


Favicon - Un site web planqué dans 212 octets

Wed, 24 Jun 2026 08:58:01 +0200 - (source)

Si vous ne connaissez pas, un favicon, c'est cette mini icône pixelisée que vous pouvez voir dans l'onglet de votre navigateur qui en général est le logo du site que vous visitez. Hé bien le dev Tim Wehrle a réussi à y faire tenir un site web entier en stockant tout son HTML dans les 212 octets de l'image.

L'astuce est toute con vous allez voir... Une image, c'est des pixels. Et chaque pixel a 3 valeurs : rouge, vert, bleu, soit 3 octets. Du coup il prend son HTML, le découpe octet par octet, et colle chaque octet dans une couleur. Premier octet dans le rouge, le suivant dans le vert, puis le bleu, et on continue ainsi de suite. Et voilà comment il arrive à stocker 208 octets de HTML dans un carré de 9 pixels sur 9. Et au final, le truc ressemble à des confettis random.

Pour relire tout ça ensuite, un peu de JavaScript suffit. Le navigateur charge l'image, la passe dans un canvas, relit chaque pixel, recolle les octets et réaffiche la page. Il n'y a donc rien à installer et pour tester ça par vous-même, il a même mis une démo ici où vous pouvez regarder l'encodage / décodage se faire sous vos yeux ébahis.

Maintenant, n'espérez pas faire tenir votre site e-commerce là dedans hein puisque la capacité plafonne à 239 octets. Et sans le bout de JavaScript qui décode, le favicon tout seul ne servira à rien. Et ce n'est pas de la stéganographie non plus puisqu'on ne planque rien dans une vraie image. La data c'est l'image...

Mais c'est le genre de hack inutile que j'adore ! Le code est sur GitHub si vous êtes curieux et il raconte toute sa démarche sur son blog .


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles