Mon retour à la Paris Games Week - 14 ans après
La dernière fois que j’ai mis les pieds à la Paris Games Week, c’était en 2011. Quatorze ans… Donc autant vous dire que j’ai été surpris de voir à quel point le salon avait grandi. C’est devenu gigantesque et c’est au Parc Expo Paris Porte de Versailles.
Alors pourquoi j’y suis retourné maintenant ? Hé bien comme mon médecin m’a dit qu’il fallait que je trouve d’autres activités que le travail et qu’il fallait que je fasse des choses non productives rien que pour moi, je me suis retrouvé un peu démuni… Alors je me suis acheté une Xbox il y a quelques semaines et je me suis remis au jeu vidéo pleine balle !
La Paris Games Week tombait donc à pic !!
J’ai pu aller à la soirée du 29 octobre, celle où il y avait le concert dont je vous parle après, et je suis resté aussi le lendemain le 30 pour faire le tour du salon. Voilà en vrac ce qui a retenu mon attention.
Le patrimoine vidéoludique avec MO5.com
L’association MO5.com avait un stand exceptionnel ! Pour ceux qui ne connaissent pas, c’est une asso qui se bat pour la préservation du patrimoine numérique et qui possède la plus grande collection de jeux vidéo et autres technologies rétro en Europe. Ils célébraient cette année les 30 ans de la Saturn et de la PS1 et on pouvait tester des bornes d’arcade, des consoles vintage, bref un vrai musée vivant !!
D’ailleurs, ils sont en train de monter un Musée National du Jeu Vidéo qui devrait ouvrir prochainement et qui couvrira l’histoire du jeu vidéo des années 50 à aujourd’hui. Ils ont aussi une expo Game Story à Versailles jusqu’en avril 2025 sur plus de 100 machines et 500 jeux. C’est du lourd.
Au passage, ils avaient le Vectrex Mini sur leur stand, j’en avais déjà parlé dans cet article .
Pour le rétrogaming, Recalbox était aussi représenté avec leur carte RGB Dual 2 pour Raspberry Pi 5 . C’est un HAT qui permet de connecter votre Recalbox à une TV cathodique ou un écran VGA avec une qualité d’image exceptionnelle. Ça gère le 240p@120Hz sur les écrans VGA, ça supporte même les pistolets GunCon 2, et ça consomme que dalle en ressources. Les premières livraisons sont prévues pour décembre 2025 et c’est vendu dans les 100$ et franchement pour les nostalgiques du CRT gaming, c’est le graal.
Quand le virtuel devient réel
EVA.gg avait installé une expérience de ouf : EVA Karting GP. C’est du karting en VR, mais pas juste avec un casque sur la tête. Là vous montez dans un vrai kart électrique qui se déplace physiquement dans une arène de 500 m², le tout connecté au jeu. Vous avez les sensations de conduite réelles, vous voyez un circuit virtuel en VR, et vous pouvez balancer des bonus sur vos adversaires comme dans Mario Kart. Ils déploient ça dans leurs 60 centres dès 2026, avec le premier à Paris-Est en janvier.
Cairn aussi proposait une expérience immersive. C’est un jeu d’escalade développé par les Montpelliérains de The Game Bakers et ils avaient installé un vrai mur d’escalade dans le salon, c’était assez incroyable de voir ça au milieu des stands. Le jeu sort début 2026 sur PC et PS5, et c’est pas de la VR comme on pourrait croire, mais juste une simulation ultra réaliste où vous devez gérer l’endurance de la grimpeuse Aava qui tente de gravir le Mont Kami. Les graphismes sont signés Mathieu Bablet, l’auteur de BD, et ça claque.
Le concert qui m’a scotché
Le soir du 29, on a eu droit à un concert du Sinfonia Pop Orchestra, un orchestre pro français spécialisé dans la musique pop et de films. Franchement si vous avez l’occasion de voir ça, allez-y. Plus de 75 musiciens et choristes qui reprennent des musiques de jeux vidéo en version symphonique. Ils ont joué Hogwarts Legacy, Skyrim, Mafia, Assassin’s Creed…etc. On s’y serait cru, c’était vraiment génial, exceptionnel, incroyable ! J’ai passé un super moment !
On a aussi vu Squeezie et Big Flo d’assez près puisque j’étais au deuxième rang. C’était marrant de les voir IRL et ils savent faire le show. ;-).
Les jeux qui donnent envie
Capcom avait un stand de déglingo. Resident Evil Requiem était jouable en avant-première mondiale. Le jeu sort le 27 février 2026 sur PS5, Xbox Series et Nintendo Switch 2 et les précommandes sont ouvertes. Bon j’ai pas pu le tester parce qu’il y avait vraiment la queue et j’avais la flemme de patienter, mais ça a l’air plutôt bien. Je sens que je vais bien flipper encore à jouer à ça…
Un autre jeu Capcom que j’ai très envie de tester : Pragmata. C’est un jeu d’action-aventure futuriste qui se passe sur la Lune, où un astronaute et un androïde sont traqués par une IA hostile. Annoncé en 2020 puis disparu dans les limbes, il revient enfin en 2026. Le truc cool c’est que c’est entièrement doublé en français et que vous contrôlez les deux personnages simultanément avec du hacking stratégique au cœur du gameplay. J’ai hâte !!
Clair Obscur Expedition 33 était clairement mis en avant. C’est le RPG français de Sandfall Interactive qui a fait un carton interplanétaire avec plus de 5 millions de copies vendues depuis sa sortie en avril. C’est un RPG au tour par tour avec des mécaniques en temps réel, des graphismes Unreal Engine 5 de malade, et un univers inspiré de la France de la Belle Époque. Le principe c’est que chaque année, la Peintresse esquisse un nombre sur son monolithe et tous les gens de cet âge disparaissent dans un nuage de fumée. Glauque mais brillant. Après, moi, les combats au tour par tour avec les monstres qui reviennent au bout de 5 minutes, ça m’a dégoûté de continuer, mais le jeu est objectivement incroyable.
Escape from Tarkov avait aussi un stand. Pour ceux qui connaissent pas, c’est LE jeu d’extraction shooter développé par Battlestate Games, un studio russe. Après 8 ans de bêta avec plus de 400 mises à jour, le jeu sort enfin en version 1.0 le 15 novembre et débarque sur Steam. Le principe c’est que vous préparez votre raid, vous saignez, vous survivez, vous combattez des PMC (Private Military Contractors - des perso principaux) et des Scavs (Scavengers - des PNJ), et vous devez vous en sortir vivant avec votre loot. Sinon vous perdez tout !! Je suis pas encore au niveau pour bien jouer à ce truc, je l’avoue…
Nintendo avait un stand génial aussi. Vraiment très gros. Pas de nouveauté annoncée (snif), mais on pouvait tester leurs jeux. Ça m’a donné envie de jouer à Super Mario Galaxy 2 !!
Le matos qui fait rêver
J’ai enfin pu tester la ASUS ROG Ally X. C’est un PC portable de gaming qui a été décliné en mode portable, comme une Switch mais en plus costaud. Après je suis pas encore convaincu car j’aime bien le jeu PC sur un gros écran et la Xbox sur la télé ou le projo avec une manette. Mais en version portable, même si ça marche très bien, je la trouve un peu lourde. J’ai l’impression que c’est un truc qui va souffler et chauffer au bout de 30 min. Bref, il y a un truc que je sens pas trop mais bon après, c’est des bêtes de course : AMD Ryzen AI Z2 Extreme, 24 Go de RAM, écran 120 Hz, 999 dollars…etc.
Il y avait des revendeurs de PC aussi, comme ASUS, MSI…etc. Franchement ils ont du bon matos. C’est assez cool de les voir et pour moi qui viens d’un monde où assembler sa machine était quelque chose de périlleux et de laborieux, je suis content de voir que maintenant c’est accessible à tous et que c’est devenu très plug and play. Mais par contre ce côté bling bling, avec des couleurs et des néons partout dans les tours, bon moi j’accroche pas trop… mais ça c’est parce que je suis un vieux gars des années 80. Puis bon, chacun a le droit d’avoir des goûts de chiottes, alors je ne juge pas. En plus, si on me la donnait, je ne cracherais pas dessus non plus, donc je veux pas faire l’hypocrite non plus ^^.
JBL avait aussi installé un simulateur immersif pour tester leurs nouveaux casques gaming Quantum 950 avec Locklear et plein d’invités. C’était une bonne promo pour leurs casques audio, je trouve.
Les trucs chelou et les bons moments
Red Bull avait un stand où il fallait jouer à Tetris. Si on se qualifiait, on avait des boissons gratuites. J’ai largué les tickets de boisson parce que la dernière fois que j’ai bu du Red Bull, j’ai pissé rouge pendant trois jours. Mais je suis assez content parce que j’ai quand même pété des scores sur Tetris.
Il y avait des stands un peu bizarres du genre un stand qui faisait la promo des bananes et un autre qui faisait la promo des œufs. Franchement c’était chelou. Tout était gamifié, c’était assez bien fait mais je voyais vraiment pas ce qu’ils venaient foutre là.
Il y avait aussi une chiée de revendeurs de cartes Pokémon et autres figurines. Bon j’avoue que ça, ça me passe un peu par-dessus mais bon, les gens kiffent. Pareil pour les vendeurs de t-shirts, d’objets divers et variés, et même de jolis clones, pour ne pas dire contrefaçons, de Lego.
Une grosse section était dédiée au cosplay, au maquillage, etc. Franchement c’est impressionnant tout ce que ces artistes sont capables de faire. Que ce soit sur les costumes eux-mêmes, mais aussi sur tous les accessoires, les décors. J’ai été bluffé par la qualité du boulot.
Beaucoup d’artistes aussi venaient vendre leurs créations graphiques autour de la culture jeux vidéo, des posters, des trucs comme ça. Il y avait même des vendeurs de vinyles qui vendaient de la musique de films et de jeux vidéo en vinyles… Je savais même pas que ça existait et j’ai trouvé ça plutôt cool.
Il y avait des concours de Mario Kart et de Super Smash Bros… Quelques voitures en mode Gran Turismo aussi.
Marcus et Game One
Marcus était là pour dédicacer son livre “ Marcus - Payé pour jouer ”. Pour ceux qui me suivent depuis longtemps, vous savez que j’étais fan de Marcus quand j’étais plus jeune. Il animait Level One sur Game One dans les années 90-2000, et il a aussi bossé sur Canal J. Son livre revient sur plus de 30 ans de carrière dans le jeu vidéo, basé sur plus de 70 heures d’interviews !
Il est également revenu un peu sur l’arrêt de Game One. Il a expliqué notamment que le groupe qui possède la chaîne ne les a pas encore mis au courant officiellement de l’arrêt de la chaîne. Qu’ils ont découvert ça comme ça par eux-mêmes et que en gros tout le monde le sait, mais que le groupe américain (Paramount Media Networks) n’a pas eu les couilles de le dire pour le moment. Assez triste comme fin pour une chaîne mythique.
Le jeu vidéo français à l’honneur
Il y avait une grosse section jeu vidéo français au Pavillon Game France sur presque 600 m². Gamearly était aussi représenté. C’est une nouvelle plateforme communautaire dédiée aux jeux indés français qui aide les créateurs à connecter avec les joueurs pour tester et améliorer leurs jeux. Ils proposent un système de quêtes et de récompenses pour les joueurs, et des outils de feedback structuré et de tests de données pour les créateurs. Vous n’allez rien comprendre mais vos gosses vont adorer comme dirait l’autre… Ça arrive en version complète à l’été 2026.
La gendarmerie en mode gaming
Le ministère de l’Intérieur était là aussi, et c’était assez inattendu. Ils présentaient un jeu, une espèce de simulation pour devenir gendarme. Franchement c’était un peu bizarre de voir ça dans un salon de jeu vidéo, mais bon, pourquoi pas.
Ça fait partie de leur com’ pour attirer des jeunes vers les métiers de la “sécurité” j’imagine. En tout cas, ça a l’air bien fait, y’a du budget pleine balle au Ministère de l’Intérieur visiblement ^^.
Conclusion
Je ne peux pas conclure cet article dans vous parler de la zone de bouffe avec principalement des trucs japonais. Bon franchement, les bubble waffles et les corn dogs chelous aux saucisses Herta c’est pas ouf. Mais après il y avait quelques sushis, makis, curry et des gyozas, et comme j’adore ça les gyozas, ça va, je suis pas mort de faim non plus. J’ai même découvert le Mogu Mogu, une boisson au litchi avec des morceaux gélatineux chelou de noix de coco dedans. Si vous aimez boire et manger en même temps c’est pour vous ! lol
Après j’ai pas croisé trop de stars parce que je les connais pas… les streamers jeux vidéo, c’est pas trop ma spécialité. À part Squeezie et Unchained dont mon petit est fan, je suis assez limité sur le sujet. Mais je suis quand même content parce que j’ai vu quelques lecteurs de Korben.info et ça, ça m’a fait super plaisir de vous rencontrer !!
Bref, c’était une très bonne Paris Games Week même si j’ai trouvé que ça manquait de nouveautés niveau jeux. Mais l’ambiance était super bon enfant, les gens étaient cool dans les allées du salon. Et les pubs dans les toilettes, c’était incrrrr !! (non)
J’ai quand même senti que l’organisation c’était un peu compliquée par moment notamment le soir pour accéder au dôme, on a un peu galéré mais bon, à part ces petits couacs, le reste c’était très bien ^^. Bravo aux orgas !
Ça m’a fait du bien de replonger dans l’univers du jeu vidéo et de voir que le “patrimoine vidéoludique” français (comme disent les vieux) était encore et toujours bien représenté et préservé. Je vais me donner encore quelques temps pour remonter mon niveau en gaming et je pense que je finirai streamer twitch gaming pour mes vieux jours ! Je prendrais peut-être même un stand à la PGW de 2052, qui sait ?
Vectrex - Le grand retour de cette console incroyable sortie en 1982
Avant-hier soir à la Paris Games Week, Papi Geek m’a fait une démo rapide de sa Vectrex ressuscitée sur le stand de MO5 et en voyant ces lignes lumineuses danser sur cet écran à rayons cathodiques vectoriel, je me suis dit que j’allais vous en parler. Car oui, Papi Geek lance une Vectrex Mini sur Kickstarter le 3 novembre (c’est lundi !), et c’est assez fou de voir comment ils ont réussi à ressusciter une technologie qui n’existait plus depuis des années.
Pour ceux qui n’ont jamais croisé cette console légendaire, la Vectrex c’est un ovni sorti en octobre 1982 et qui contrairement à toutes les autres consoles de l’époque qui affichaient des pixels sur votre télé, embarquait son propre écran CRT de 9 pouces et surtout, utilisait des graphismes vectoriels. Pas de pixels, pas de rasterisation mais juste un faisceau d’électrons qui trace des lignes lumineuses directement sur l’écran noir comme le ferait un oscilloscope mais en mieux. Car le rendu était d’une précision chirurgicale, avec un contraste infini et cette lueur caractéristique qu’aucun écran LCD ou OLED ne peut vraiment reproduire.
Seulement voilà, la Vectrex a fait faillite en deux ans à cause du crash du jeu vidéo de 1983 et a rejoint le cimetière des belles idées avant-gardistes incomprises de leur époque. Et contrairement aux autres consoles disparues, la Vectrex avait un problème. Sa technologie d’affichage vectoriel était tellement spécifique qu’on ne pouvait pas l’émuler facilement.
Bah oui, vous pouvez faire tourner un émulateur NES ou Megadrive sur n’importe quel écran moderne mais pour la Vectrex, il faut simuler le comportement d’un tube cathodique vectoriel, et ça, c’est autrement plus coton. Du coup, pendant des décennies, les passionnés ont bidouillé des émulateurs logiciels sur PC, mais l’expérience restait approximative. La fluidité organique des lignes, la persistance rétinienne du phosphore, la sensation de regarder de la lumière pure plutôt que des pixels, tout cela manquait affreusement…
Et c’est donc là que Papi Geek et son équipe entrent en scène avec un seul objectif : créer une Vectrex Mini qui sertait de la moitié de la taille de l’originale, tout en préservant l’âme de l’expérience vectorielle. Pour cela, ils ont décidé d’utiliser un écran AMOLED de 5 pouces avec une résolution de 800×600.
Alors là normalement, vous devez bugger… Car c’est bien un écran censé afficher des pixels… Alors comment on fait pour simuler une technologie sans pixels sur un écran conçu pour en afficher ?
Hé bien l’AMOLED a un avantage, c’est que chaque pixel peut s’éteindre complètement, créant ainsi un noir absolu comme sur les CRT. Et surtout, l’AMOLED peut afficher du blanc pur ultra-lumineux. En combinant les deux, on recrée alors l’esthétique de la Vectrex avec des lignes brillantes qui flottent sur un fond d’encre noire. C’est du faux vectoriel, certes, mais du faux vectoriel hyper convaincant.
Le projet sera donc financé par un Kickstarter qui démarre ce 3 novembre 2025 et 3 niveaux de prix sont prévus : 99 euros pour les 50 premiers chanceux (Founder Edition), 129 euros pour les 300 suivants (Early Bird), et 149 euros en prix régulier. Il y aura même une édition limitée blanche à 219 euros tirée à 200 exemplaires, avec certificat d’authenticité et numéro de série. Pour une console unique qui coûtait l’équivalent de 500 dollars en 1982, c’est plutôt raisonnable je trouve…
Maintenant côté contenu, la Vectrex Mini embarquera 12 jeux intégrés avec leurs overlays physiques. Oui, les overlays, ce sont ces feuilles de plastique transparent coloré qu’on plaquait sur l’écran monochrome pour simuler la couleur. C’était rudimentaire mais ingénieux et l’équipe de la Vectrex Mini a reproduit ce détail. Et si 12 jeux ne suffisent pas, il y aura un port microSD pour charger des homebrews si ça vous amuse, parce que, croyez le ou non, la communauté Vectrex n’a jamais cessé de créer de nouveaux jeux depuis 43 ans.
L’alimentation se fera en USB-C, parce qu’on est en 2025 quand même et vous pourrez la brancher sur secteur ou sur une batterie externe pour jouer n’importe où. Enfin, sous le capot, comme me l’a expliqué Papi Geek, il y aura un processeur ESP32 qui gérera l’émulation et l’affichage.
Bref, c’est un sacré challenge et une sacrée résurrection je trouve, car il faut tout réinventer puisque la technologie d’origine a totalement disparue.
Voilà, si vous allez à la Paris Games Week cette année, passez voir le stand MO5 car ils fêtent les 30 ans de la Saturn et de la PS1, et leur collection de machines vintage vaut le détour !! Et peut-être que Papi Geek sera encore là avec sa Vectrex donc n’hésitez pas à lui demander une démo, car ça vaut vraiment le coup de voir cette technologie en vrai.
Cette manette de jeu 8bitDo, fonctionne sur PC, sur Switch, sur Android, sur Mac, sur iPad... partout !
On a tous le même problème. Une manette pour la Switch, une autre pour le PC, et impossible de jouer sur son Mac ou son iPad sans devoir acheter encore un autre accessoire. On passe son temps à chercher quel câble va où, ou à se battre avec les menus “Bluetooth” pour “oublier cet appareil” et le reconnecter ailleurs. C’est pénible.
Et si je vous disais qu’il existe une seule manette pour les contrôler tous ? J’ai passé la semaine avec la 8BitDo Pro 2 (édition Hall Effect) , et laissez-moi vous dire que c’est peut-être bien la manette parfaite pour la maison.
Le timing était idéal. Je devais justement rendre mon verdict sur le service de Cloud Gaming GeForce Now Ultimate pour les amis de Mac4Ever, que vous pouvez lire en cliquant ici (oui, je mène une double vie de testeur). J’ai donc fait d’une pierre deux coups : j’ai passé des heures à streamer Forza 5 en qualité maximale sur un MacBook Air et un iPad, le tout piloté par cette 8BitDo Pro 2 . Un test croisé parfait.
Je vous parle du service de jeu là-bas, mais ici, on va se concentrer sur la manette, car elle le mérite vraiment.
Ce qui est fort avec cette 8BitDo, c’est la polyvalence. Au dos de la manette, il y a un petit interrupteur physique à 4 positions. C’est simple comme bonjour : “S” pour la Switch, “A” pour les appareils Apple (Mac, iPhone, iPad), “D” pour Android, et “X” pour le PC. Le truc brillant, c’est que la manette mémorise un appareil pour chaque mode. Je jouais sur mon Mac (mode A), et quand j’ai voulu passer sur la Switch (mode S), je n’ai eu qu’à basculer le bouton. Pas de menu, pas de galère d’appairage. Ça marche, tout simplement. C’est exactement ce qu’on demande à la technologie.
En main, c’est le confort immédiat. La forme rappelle un peu la manette classique de la PlayStation, et elle tombe parfaitement sous les doigts, même pendant de longues sessions. La croix directionnelle est un pur régal, surtout si vous aimez les jeux rétro : elle est précise et bien plus agréable que celle de la plupart des manettes modernes. Et pour ceux qui aiment bien personnaliser leur expérience, une application (sur PC ou smartphone) permet de tout régler, et même d’utiliser deux boutons supplémentaires cachés à l’arrière, super pratiques pour des raccourcis.
Cette nouvelle version apporte aussi une technologie appelée “Effet Hall” pour les joysticks. Sans rentrer dans des détails techniques ennuyeux, cela signifie simplement que les mécanismes utilisent des aimants. L’avantage ? C’est ultra précis, et surtout, c’est conçu pour ne pas s’user. Fini ce bug horrible que l’on voit parfois sur les vieilles manettes, où le personnage se met à bouger tout seul à l’écran (le fameux “stick drift”). Ici, les sticks sont faits pour durer, tout en offrant une fluidité incroyable.
Enfin, 8BitDo a pensé au truc qui fâche : la panne de batterie. La manette est livrée avec une batterie rechargeable qui tient vraiment longtemps. Mais si jamais vous tombez en rade en plein milieu d’une partie et que vous n’avez pas le temps de la brancher, il y a une solution géniale. Le compartiment est aussi conçu pour accepter… deux piles AA classiques ! Vous prenez celles de votre télécommande, et c’est reparti. C’est tout bête, mais c’est le genre de détail qui montre qu’une marque respecte ses utilisateurs (pour ceux qui ont une Xbox, bah c’est pareil que dans les manettes de Xbox, sauf que ça oblige pas à acheter la batterie en plus).
Bref, cette 8BitDo Pro 2 Hall Effect est une réussite totale. Elle est confortable, incroyablement facile à utiliser sur toutes les plateformes, précise, et faite pour durer. Si vous cherchez une manette à tout faire pour jouer sur votre PC, votre Mac, votre iPad, votre Switch ou votre téléphone Android ou iPhone, sans vous prendre la tête, c’est tout simplement le meilleur choix que vous puissiez faire aujourd’hui. Surtout à moins de 50 balles .
Vous pouvez l’acheter en cliquant ici , et lire mon test de GeForce Now Ultimate ici , et ça vaut vraiment le coup, croyez moi !
Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie “Gadgets Tech” , comme cette liseuse Android de dingue ou ces AirTags pour Android !
Protégez toute votre vie numérique en 15 minutes (et économisez jusqu’à 88 %) grâce à Surfshark One
Marre de jongler entre le VPN du boulot, l’antivirus familial et la tonne d’extensions anti-pub ou anti-fuites sur chacun de vos navigateurs ? Surfshark propose avec One et One+ un raccourci radical. Tout ce qu’il faut pour sécuriser ses appareils, son identité et son surf, directement dans un abonnement (que je vous conseille de ne pas rater pendant la période du Black Friday, vu les tarifs…).
À force de partager, télécharger, bosser et communiquer partout, le classique antivirus + VPN ne suffit plus. Bases de données commerciales, fuites de mot de passe, spams, arnaques et pop-ups font désormais partie du décor. Surfshark One fait le pari de la suite compacte : VPN puissant, antivirus, moteur de recherche privé, alerte de fuite de données, générateur d’identité alternative… et depuis quelques jours, blocage intelligent des contenus risqués ou polluants (plus d’infos plus tard).
Les briques majeures de Surfshark One
- Le VPN : un réseau de plus de 3200 4500+ serveurs RAM répartis dans une centaine de pays (ils ont ajouté plus de 1200 serveurs ces dernières semaines), un chiffrement AES-256 et ChaCha réputé … c’est rapide et sécurisé. Et surtout il permet un nombre de connexions simultanées illimitées pour tous vos appareils, à vie. Split tunneling, Kill Switch, IP tournante et MultiHop inclus pour l’utilisateur avancé.
- L’antivirus : il offre une protection en temps réel sur 5 machines (fichiers, applis, périphériques externes, secteur d’amorçage …), des analyses programmées, une détection des spywares, ransomwares et menaces connues (attaques zero-day & co), etc. Plus une protection webcam intégrée pour éviter les regards indiscrets. Basé sur le moteur Avira, compatible sur Windows, macOS et Android. Ce n’est pas juste un antimalware qui scanne le web, mais aussi l’ensemble des fichiers locaux et les nouveaux périphériques. La base de détection est mise à jour toutes les 3 heures.
- Alert : vous en avez assez des emails « vos données ont fuité » ? Alert surveille en continu comptes, emails, infos bancaires, identités (dans 90 pays !) et vous prévient dès que quelque chose circule là où ça ne devrait pas. Rapports sécurité réguliers inclus, et système de notification instantanée.
- Search : ici on évite Google, Bing & co ! Search garantit des résultats neutres, sans tracking, pas de pub, ni de fiche de profil. Parfait pour les recherches privées ou la famille qui ne veut pas se faire pister ou orienter dans ses recherches.
- Alternative ID : idéal pour s’inscrire partout sans refiler son vrai nom, mail ou adresse. Un générateur d’identités alternatives (adresse, nom, date de naissance, mail anonyme) ultra rapide pour rester masqué en ligne ou limiter le spam.
Les fonctionnalités Alternative ID et Search sont indépendantes du VPN, utilisables tout le temps, ce qui est rare.
Blocage intelligent des contenus et contrôle parental : une approche respectueuse
Contrairement aux outils de contrôle parental classiques, la dernière brique Web Content Blocker ne vise pas à surveiller de manière intrusive les activités des utilisateurs. Il permet de bloquer l’accès à des catégories de sites selon une liste définie, tout en respectant la vie privée. Les catégories disponibles couvrent les besoins courants : sites pour adultes, substances illicites, armes, jeux d’argent, contenus haineux, phishing, pages vérolées, et tout type de contenu jugé risqué ou perturbant.
Le paramétrage est ultra accessible :
- Activation via l’appli Surfshark (onglet Web content blocker dans les paramètres), sélection des catégories à bloquer, nommage des appareils concernés.[
Protection des réglages grâce à la double authentification (2FA), pour garantir que seuls les administrateurs peuvent modifier les règles, rendant la manipulation impossible aux enfants ou autres membres du foyer.]( https://vpntrust.net/ )
- Ajout et gestion de plusieurs appareils, le tout synchronisé sous un même compte Surfshark : chaque membre du foyer utilise la même application, la protection s’applique partout (smarpthone, ordinateur, tablette).[
Fonctionne avec ou sans VPN : il n’est pas nécessaire d’activer la connexion VPN pour bénéficier du blocage, mais c’est possible pour renforcer la confidentialité.]( https://vpntrust.net/ )
La force de cette approche : une interface unique, simple, pour gérer tous les appareils familiaux. Aucun besoin de compétence avancée ou de logiciel additionnel. Il suffit de mettre à jour l’app Surfshark One ou One+, et la protection est opérationnelle. Aucun espionnage, aucune collecte d’activité : la logique vise entièrement le blocage des catégories pré-sélectionnées, pas l’analyse des comportements.
Comparatifs : Surfshark One, Surfshark One+, Starter : lequel choisir ?
| Offre | VPN | Antivirus | Alert | Search | Alternative ID | Content Blocker | Incogni | Prix Black Friday 2 ans |
|---|---|---|---|---|---|---|---|---|
| Starter | ✔️ | ✔️ | 1,99 €/mois +3 mois offert | |||||
| Surfshark One | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | 2,19 €/mois +3 mois offert | |
| Surfshark One+ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | 4,19 €/mois +3 mois offert |
Même si le Starter reste imbattable pour la fibre et Netflix, Surfshark One ajoute de quoi dormir sans stress : votre identité est surveillée, la famille est protégée, tout le monde utilise l’antivirus, et les pop-ups/arnaques sont bloquées sans paramétrage d’usine compliqué. Pour 20 centimes de plus par mois ? Y’a pas à se triturer le cerveau.
En bonus, One+ intègre Incogni, l’outil ultime pour supprimer automatiquement et de manière continue ses infos des bases de données commerciales partout dans le monde.
À quoi ça ressemble en vrai ? (retour d’expérience et conseils)
- Installation ultra-simple : en 2 clics et 10 minutes, tout est fonctionnel sur tous les appareils (Windows, macOS, Android, iOS, Linux).
- Interface claire, options bien rangées, rapports accessibles (même pour les signalements Alert ou les scans antivirus, tout est lisible).
- Pour les familles nombreuses, la connexion illimitée élimine d’emblée la galère des slots payants ou limites de licence. Il n’y a pas à se demander quelle machine laisser de côté si l’on en a plus que le nombre maximal supporté (comme sur d’autres outils concurrents)
- Le blocage des pop-ups et du contenu web polluant est immédiat, sans impact drastique sur la vitesse ni faux positifs gênants.
Point à surveiller : l’antivirus n’est disponible que sur Windows, macOS et Android (pas encore sur iOS, ni Linux).
La promo Black Friday de cette fin d’année, sur l’abonnement 2 ans, c’est une réduction jusqu’à 88 % pour la suite complète en 1 clic. Et toujours avec le bonus de 3 mois offerts en plus. Donc ça vous reviendra à 71€ TTC pour 27 mois (70.96€ pour les géomètres de la précision parmi vous). Mais attention, ce n’est valable que du 20 octobre au 1er décembre. Vous avez un peu de temps, mais ne trainez pas trop !
[
]( https://get.surfshark.net/aff_c?offer_id=1372&aff_id=13768 ) Profitez de Surfshark One au meilleur prix !
90% des jeux Windows tournent maintenant sur Linux !
Vous vous souvenez quand jouer sous Linux, c’était une grosse blague ? Vous installiez votre distribution préférée, vous lanciez Steam , et vous vous rendiez compte que la moitié de votre bibliothèque était inaccessible… Alors vous deviez soit garder un dual boot Windows, soit accepter de ne jouer qu’à une poignée de titres pas ouf.
Et bien ça, mes amis, c’est du passé !
En effet, selon les dernières données de ProtonDB compilées par Boiling Steam , près de 90% des jeux Windows se lancent maintenant sur Linux. Pas 90% qui plantent au bout de 5 minutes hein mais vraiment 90% qui démarrent, qui tournent, et qui se jouent jusqu’au bout. C’est une progression de dingue si on compare avec encore il y a 5 ans, où on était plutôt autour de 50% de compatibilité.
Pour rappel, ProtonDB , c’est la base de données communautaire qui recense les rapports de compatibilité des joueurs Linux qui testent leurs jeux, notent ce qui fonctionne ou pas, et partagent leurs résultats. Le système de notation est d’ailleurs assez simple. “Platinum”, c’est le jeu qui tourne parfaitement sans rien toucher. “Gold”, ça marche presque out of the box mais il faut un peu bricoler. “Silver”, c’est jouable mais imparfait. “Bronze” se situe entre Silver et Borked. Et “Borked”, c’est mort de chez mort, le jeu refuse même de se lancer.
Et les derniers chiffres montrent que la catégorie Borked, c’est-à-dire les jeux complètement cassés, est tombée à environ 10%. Il y a 3 ans, on était encore à 20%. La catégorie “Platinum” a elle-même grimpé à 42% des nouvelles sorties en octobre dernier, contre 29% l’année précédente. Cela veut dire que presque la moitié des nouveaux jeux sortent avec une compatibilité parfaite sur Linux dès le premier jour ! Qui aurait pu prédire comme dirait l’autre ?
Quoiqu’il en soit, cette évolution, on la doit en grande partie à Proton, la couche de compatibilité développée par Valve, c’est-à-dire l’outil qui traduit les appels DirectX de Windows en Vulkan pour Linux. Proton s’appuie sur Wine, le projet historique qui permet de faire tourner des applications Windows sur Linux depuis des décennies, mais Valve a mis le super paquet pour optimiser tout ça spécifiquement pour ses jeux, surtout depuis le lancement de son Steam Deck en 2022.
Le Steam Deck, c’est la console portable de Valve qui tourne sous SteamOS qui est une distribution Linux. Du coup, Valve avait besoin que les jeux Windows fonctionnent parfaitement sur leur machine. La pari était risqué mais ils l’ont relevé avec succès en investissant massivement dans Proton. Ainsi, 80% des 100 jeux les plus populaires sur Steam tournent maintenant de façon quasi-parfaite sur Linux et croyez le ou non, certains jeux tournent même plus vite sur Linux que sur Windows, grâce à une gestion plus efficace des ressources système. Y’a le même phénomène sur ROG Xbox Ally d’ailleurs…
Et surtout Proton 10, la dernière version sortie cette année, apporte encore des améliorations folles et des correctifs spécifiques pour des jeux comme The Finals, Deadlock, Dune Awakening, ainsi que des optimisations pour VRChat (un monde virtuel assez populaire sur lequel je n’ai encore jamais mis les pieds… va falloir remédier à ça je pense).
Valve sort également des versions expérimentales et des hotfixes assez régulièrement pour résoudre les problèmes au fur et à mesure qu’ils sont signalés. C’est un travail acharné et continu de leur part et ça paye enfin !!
Concernant les jeux qui ne fonctionnent pas, le plus gros problème reste les anti-cheats, c’est-à-dire les logiciels de détection de triche utilisés dans les jeux en ligne. Easy Anti-Cheat et BattlEye, les deux plus populaires, supportent officiellement Linux depuis quelques années mais les développeurs doivent activer manuellement ce support pour chaque titre. C’est une case à cocher et malheureusement, beaucoup ne le font pas, soit par flemme, soit parce qu’ils ne considèrent pas Linux comme une priorité.
Je pense par exemple à March of Giants qui détecte Wine et Proton et refuse de démarrer ou encore Blade and Soul NEO qui nécessite des configurations spécifiques. Il y a aussi Sickly Days et Summer Traces qui demandent des overrides de DLL. Tout ceci, ce sont des blocages “intentionnels” et pas des incompatibilités techniques. Les dev pourraient activer le support Linux en 5 minutes, mais ils ne le font pas. Bouuuuh !
Les DRM, c’est-à-dire les systèmes de protection anti-copie, posent aussi des problèmes. En général, Denuvo fonctionne bien, mais certaines implémentations plantent sous Linux et certains éditeurs refusent de corriger ces problèmes parce qu’ils considèrent que le marché Linux est trop petit. C’est donc un cercle vicieux. Mais comme vous pouvez le voir, la situation évolue et le fait que Windows 10 arrive en fin de support pourrait aussi pousser pas mal de joueurs vers Linux.
Sans parler de Windows 11 qui impose des restrictions matérielles que beaucoup de PC ne remplissent pas, et comme tout le monde n’a pas envie de racheter une machine récente juste pour continuer à jouer, SteamOS est une planche de salut ! Bref, si vous de votre côté, vous vous sentez enfin chaud pour Linux, vous pouvez installer SteamOS sur un PC classique ou utiliser n’importe quelle distribution Linux avec Steam et Proton activé : Ubuntu, Fedora, Arch, peu importe. Steam détectera automatiquement que vous êtes sur Linux et proposera Proton pour les jeux Windows.
Vous cliquez sur Jouer, et ça marche. Ou pas, mais dans 9 cas sur 10, ça marche.
Et n’oubliez pas avant d’acheter un titre, d’aller sur protondb.com . Vous cherchez le jeu, et vous voyez si d’autres joueurs Linux l’ont fait tourner. S’il est Platinum ou Gold, pas de souci. S’il est Silver ou Bronze, lisez bien les commentaires pour voir quelles manips sont nécessaires. Et s’il est Borked, passez votre chemin ou attendez que quelqu’un trouve une solution…
Quoiqu’il en soit, je trouve que c’est une bonne nouvelle pour les gamers et pour les linuxiens. La progression est lente mais constante et comme Valve continue d’améliorer Proton, que les développeurs de Wine ajoutent du support pour les nouvelles APIs Windows, et que certains éditeurs commencent à activer le support anti-cheat pour Linux, on arrivera bientôt à du 100% et vous verrez, à un moment, la tendance s’inversera et certains jeux, demain, ne tourneront même plus sous Windows mais uniquement sous Linux…
Windows 11 - Comment activer la réparation automatique par le cloud
Bon, j’utilise plus vraiment Windows tous les jours, à part quand je veux faire des tests comme aujourd’hui mais je suis quand même encore traumatisé de ces moments horribles où mon PC refusait de démarrer, avec à l’époque, un écran bleu, qui s’enchaine sur une boucle de réparation automatique qui tourne en rond, et moi qui fait ma prière au Dieu de la Tech pour que ça reparte tout seul et que je ne flingue pas encore une journée de boulot.
Et bien Microsoft vient d’ajouter une fonctionnalité dans Windows 11 qui pourrait vous sauver la mise si vous avez la même phobie que moi. Ça s’appelle Quick Machine Recovery , et c’est un système de réparation automatique qui télécharge des correctifs directement depuis les serveurs de Microsoft.
Ainsi, quand votre Windows 11 refuse de booter, après plusieurs tentatives le système va automatiquement se connecter à Internet, envoyer des diagnostics à Microsoft, et télécharger un correctif spécifique pour votre problème. Tout ça sans que vous ayez à sortir une clé USB de récupération ou à appeler le support technique.
Quick Machine Recovery (qu’on va appeler QMR pour aller plus vite) fonctionne différemment selon votre édition de Windows. Sur Windows 11 Home, c’est activé par défaut alors que sur Windows 11 Pro et Enterprise, c’est désactivé par défaut et il faut donc le configurer manuellement.
Et il y a deux modes distincts dans l’outil. Le premier, c’est la réparation par le cloud (Cloud Remediation), c’est-à-dire que Windows va chercher des correctifs sur les serveurs Windows Update. Et le second, c’est la réparation automatique (Auto Remediation), c’est-à-dire que le système va tenter de se réparer tout seul plusieurs fois de suite sans vous demander votre avis.
Vous de votre côté, vous avez juste besoin de :
- Windows 11 version 24H2 ou supérieure
- Une connexion Internet (évidemment, sinon pas de cloud ^^)
- Un compte administrateur pour modifier les paramètres
Ça prend 2 minutes pour s’activer, et entre 5 à 10 minutes en cas de réparation réelle.
Bref, quand votre PC plante au démarrage, voici ce qui se passe en coulisses. Après plusieurs échecs de boot, Windows entre automatiquement dans l’environnement de récupération WinRE (Windows Recovery Environment), c’est-à-dire ce mode minimal de dépannage qui se lance avant le système Windows complet. Le système établit alors une connexion réseau, envoie les données de diagnostic à Microsoft (type d’erreur, fichiers concernés, configuration matérielle), et recherche une solution spécifique sur les serveurs.
Si Microsoft connaît déjà ce problème et dispose d’un correctif, le fix est téléchargé et appliqué automatiquement et le PC redémarre pépouze. Mais si ça ne marche pas du premier coup, le processus se répète jusqu’à la résolution ou jusqu’à ce que le système abandonne et vous propose les options de récupération manuelles classiques.
Le cas d’usage parfait, si je devais en trouver un c’est l’incident CrowdStrike de juillet 2024. Je ne sais pas si vous vous souvenez, mais une mise à jour défectueuse avait planté plus de 8 millions de PC Windows dans le monde. Les machines refusaient de booter et à l’époque si QMR avait existé, tous ces systèmes bloqués pendant 5 jours ou plus auraient été réparés en quelques minutes au lieu de nécessiter une intervention manuelle sur chaque machine.
Maintenant comment est ce qu’on active ça ?
Hé bien, ouvrez les Paramètres Windows avec la combinaison de touches Windows + I puis allez dans Système puis Récupération. Vous allez voir une section “Récupération machine rapide”.
Cliquez alors sur le bouton à côté de “Récupération machine rapide” pour l’activer. Le petit bouton passe au bleu, c’est bon, vous êtes un champion des nouvelles technologies \o.
Et voilà, c’est tout.
Sur ce coup-là, Microsoft a fait simple.
Maintenant si vous ne voyez pas cette option, c’est pas la peine de m’envoyer un email énervé. Vérifiez plutôt que vous êtes bien sur Windows 11 24H2 à minima. Tapez winver dans le menu Démarrer (ou appuyez sur Windows + R, tapez winver et validez) pour voir votre version exacte. Vous devriez voir “Version 24H2” ou supérieure.
Après par défaut, même avec la réparation par le cloud activée, Windows va vous demander une confirmation avant de tenter une réparation donc si vous voulez que le système se débrouille tout seul, vous pouvez aussi activer la réparation automatique.
Toujours dans Système > Récupération > Quick Machine Recovery, activez alors le bouton “Continuez la recherche si aucune solution n’est trouvée”.
Mais attention, une fois que cette option est activée, votre PC va tenter de se réparer seul sans vous consulter. C’est pratique si vous gérez plusieurs machines à distance notamment, mais ça peut être relou si vous ne vous y attendez pas. Le PC va redémarrer plusieurs fois de suite pendant qu’il cherche une solution.
Donc si vous hésitez, laissez cette option désactivée. La réparation seulement via le cloud suffit dans la plupart des cas.
Après QMR ne répare pas TOUS les problèmes du monde non plus… Si votre disque dur est HS, aucun correctif cloud ne va le ressusciter. Si votre RAM est défectueuse, c’est pareil. Et si votre femme et votre chien vous ont quitté, c’est pas non plus de son ressort. En fait, QMR cible uniquement les pannes logicielles : pilotes corrompus, fichiers système endommagés, conflits de mise à jour, registre cassé…etc
Gardez aussi en tête que QMR envoie des données de diagnostic à Microsoft donc si vous êtes dans un environnement où la confidentialité est critique (entreprise avec données sensibles, environnement réglementé…etc), vérifiez que votre politique de sécurité autorise ce genre de télémétrie avant d’activer la fonctionnalité.
Après si vous avez activé QMR et que votre PC continue de planter au boot malgré plusieurs tentatives de réparation, laissez le système essayer 3/4 fois et si après ça le problème persiste, Windows va normalement vous proposer les options avancées (Mode sans échec, Restauration système, Invite de commandes, c’est-à-dire la ligne de commande Windows).
Essayez alors le Mode sans échec, c’est-à-dire un mode de démarrage minimal qui charge uniquement les pilotes essentiels et si le système boote en mode sans échec, le problème vient probablement d’un pilote ou d’un logiciel installé récemment. Désinstallez alors toutes les dernières mises à jour ou pilotes ajoutés récemment.
Et si même le mode sans échec ne fonctionne pas, utilisez une clé USB de récupération Windows 11. Bootez dessus, allez dans Réparer l’ordinateur > Dépannage > Options avancées, et utilisez les outils en ligne de commande comme :
sfc /scannow (System File Checker, c’est-à-dire l’outil de vérification des fichiers système) pour réparer les fichiers système,
DISM /Online /Cleanup-Image /RestoreHealth (Deployment Image Servicing and Management, c’est-à-dire l’outil de maintenance de l’image Windows) pour réparer l’image Windows,
et chkdsk C: /f /r pour vérifier et réparer le disque.
Pour les admin sys qui gèrent un parc de machines, QMR peut également se configurer via Intune, c’est-à-dire l’outil de gestion Microsoft 365, ou les stratégies de groupe (Group Policy). La documentation Microsoft donne tous les détails pour un déploiement centralisé :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CloudRemediationEnabled(valeur DWORD, c’est-à-dire un nombre entier 32 bits) = 1 pour activer la réparation cloudHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoRemediationEnabled(valeur DWORD) = 1 pour activer la réparation automatique
Attention, ces clés doivent être créées manuellement dans le registre si elles n’existent pas. Ensuite, vous devrez effectuer le petit redémarrage réglementaire après modification. Et faites bien une sauvegarde du registre avant toute modification (Fichier > Exporter dans regedit).
Voilà pour mon topo sur QMR. Sur le papier je trouve que c’est une excellente idée… Ça augmente bien le taux de réussite de récupération d’un PC et surtout, ça fait gagner du temps. Après en pratique, comme d’hab ça dépend de votre situation. En tout cas, ça ne mange pas de pain donc activez la.
Et quoi qu’il arrive, faites des sauvegardes régulières !
Bonne chance !
Fnox - Le Fort Knox de vos secrets de dev
Vous connaissez Jeff Dickey ?
C’est le développeur derrière mise , un outil qui permet aux développeurs de gèrer leurs versions d’outils de dev et leurs variables d’environnement.
Et bien cette année, il a sorti fnox , un gestionnaire de secrets.
Si vous êtes développeur, vous savez que les secrets, c’est-à-dire les identifiants, les mots de passe, etc. sont soit stockés en chiffré directement sur le dépôt Git, soit à distance via un cloud provider comme AWS Secrets Manager.
Mais c’est pas très marrant à configurer et à utiliser et c’est pour ça donc que Fnox a été inventé. Fnox utilise un simple fichier de configuration TOML que vous placez dans votre dépôt Git et à l’intérieur duquel les secrets sont soit directement chiffrés soit pointent vers des références distantes sur des services comme : AWS, Azure, GCP, HashiCorp Vault et j’en passe… ou encore des gestionnaires de mots de passe comme 1Password et Bitwarden.
Il y a même possibilité de mettre tout ça en ocal dans le gestionnaire de clés de votre OS ou dans un fichier texte.
L’avantage de cette solution, en plus de sa flexibilité, c’est qu’elle peut être utilisée dans des environnements multiples, que ce soit pour du dev, du staging, de la prod. Et comme tout est stocké sur le Git, les équipes de dev peuvent récupérer le fichier et le déchiffrer de leur côté.
Voici comment ça se met en place :
# Installer via mise (recommandé)
mise use -g fnox
# Initialiser dans votre projet
fnox init
# Définir un secret (chiffré par défaut)
fnox set DATABASE_URL "postgresql://localhost/mydb"
# Récupérer un secret
fnox get DATABASE_URL
# Exécuter des commandes avec les secrets chargés
fnox exec -- npm start
# Activer l'intégration shell (chargement automatique lors du cd)
eval "$(fnox activate bash)" # ou zsh, fish
Comme vous pouvez le voir dans l’exemple ci-dessous, il y a une intégration Shell qui permet de charger automatiquement les secrets dès qu’on change de répertoire.
Le projet est open source, licence MIT, et vous trouverez le code sur GitHub. Si vous utilisez déjà mise, l’intégration est transparente et si vous ne l’utilisez pas, fnox fonctionne très bien tout seul (ça s’installe aussi avec Cargo : cargo install fnox ).
Avant la mise en place, je vous recommande quand même d’aller lire le guide de démarrage rapide sur leur site, puisque ça explique aussi comment mettre en place un chiffrement un peu plus costaud avec Age , ce qui est indispensable dans un environnement de prod ! Et y’a un super exemple de mise en place IRL si vous voulez voir quelque chose de plus concret.
Amusez-vous bien !
Rooter une caméra de sécurité avec un MP3
L’histoire du jour est signée Luke M, un hacker qui a découvert comment rooter une caméra avec… du son !
L’appareil en question est une caméra chinoise de la marque Yi qui utilise une fonctionnalité appelée “Sonic Pairing” pour faciliter la configuration WiFi. Comme ça, au lieu de galérer à taper votre mot de passe WiFi sur une interface minuscule avec vos gros doigts boudinés, vous jouez simplement un petit son depuis votre téléphone et c’est ce son qui contient votre clé WiFi encodés en modulation de fréquence. La caméra écoute, décode, et se connecte.
Magique, non ?
Sauf que cette fonctionnalité marquée en “beta” dans l’app Yi IoT contient deux bugs magnifiques : une stack overflow local et un global overflow. En gros, en fabriquant un fichier audio malveillant avec les bons patterns, Luke a pu injecter du code arbitraire dans la caméra, ce qui lui permet d’obtenir un shell root qui se lance via la commande telnetd avec les identifiants par défaut. Tout ça, sans accès physique… juste la lecture d’un wav ou d’un MP3.
Pour arriver à ses fins, Luke a utilisé Frida , un framework de hooking que j’adore, capable d’intercepter les fonctions natives de l’app. Cela lui a permis de remplacer les données légitimes attendues par l’app par son propre payload.
Le premier bug (stack overflow) n’étant pas suffisant seul, Luke a dû utiliser un autre bug (
un out-of-bounds read via DOOM
) pour leaker un pointeur et contourner l’
ASLR
. Mais le second bug (global overflow) est bien plus intéressant puisqu’il lui permet directement de faire une injection de commande via system() lors du pairing, sans avoir besoin d’autre chose.
Voici la waveform utilisée par le second exploit
Et comme la chaîne que vous pouvez envoyer via le son peut faire jusqu’à 128 bytes c’est largement suffisant pour un telnetd ou n’importe quelle commande shell. Notez que pour que l’exploit marche, le bind_key doit commencer par ‘CN’, ce qui force un path exploitable et, en bonus fait causer la caméra en chinois ^^.
Après faut savoir que ce hack amusant ne fonctionne que si la caméra n’est pas encore connectée au cloud. Donc c’est pas très utile pour attaquer des caméras déjà déployées mais ça illustre bien le problème de tout cet IoT pas cher avec des tas de features “pratiques” comme ce “Sonic Pairing” qui finissent par être catastrophique dans la pratique.
Voilà… si vous voulez les détails techniques complets avec les waveforms et le code d’exploit, foncez lire ça sur Paged Out! #7 .
Faille WSUS CVE-2025-59287 - Comment Microsoft s'est fait pirater par le code qu'il avait banni
Je vais vous raconter la meilleure de la semaine… Microsoft vient quand même de passer 5 ans à gueuler sur tous les toits que BinaryFormatter est dangereux (ça servait à sérialiser/desérialiser des objets en binaire ave .NET) et qu’il faut arrêter de l’utiliser… et pourtant, on vient d’apprendre qu’ils continuent secrètement de l’utiliser dans WSUS (Windows Server Update Services), leur système censé sécuriser les mises à jour Windows.
Et bien sûr, ce qui devait arriver, arriva… Une magnifique faille critique dans WSUS vient d’être rendue publique, ce qui met en danger environ 500 000 serveurs WSUS actuellement accessibles via le net.
L’histoire commence en réalité en 2020. A cette date, Microsoft déclare officiellement que BinaryFormatter est dangereux, ce qui ne les empêche pas de se faire poutrer Exchange, Azure DevOps, SharePoint en 2021/2021 justement à cause de ça. Du coup, en 2023, ils annoncent le bannissement total de BinaryFormatter en interne. En 2024, ils effectuent même une mise au rebus complète de .NET 9.
Mais c’était sans compter sur cette jolie CVE-2025-59287 d’octobre 2025 qui exploite à son tour BinaryFormatter dans WSUS !
Un oubli ? Pas si sûr, car Microsoft l’utilisait toujours pour déchiffrer les cookies d’authentification de WSUS, rendant ainsi ce système de mises à jour censé protéger Windows vulnérable. La faille, c’est donc une désérialisation non sécurisée. Un attaquant non authentifié envoie une requête SOAP craftée au endpoint GetCookie de WSUS, avec un cookie AuthorizationCookie contenant un payload malveillant. Et de son côté le serveur déchiffre ce truc avec AES-128-CBC, puis passe le résultat directement à BinaryFormatter pour désérialisation.
Et là, bim bam boum, une magnifique exécution de code arbitraire avec privilèges SYSTEM !
Techniquement, la vulnérabilité touche donc les Windows Server 2012 à 2025 qui ont le rôle WSUS activé. Le score CVSS de cette faille est quand même de 9,8 sur 10 ce qui est fait une faille super critique.
L’exploitation de cette faille débute le 24 octobre soit juste après la publication du patch d’urgence de Microsoft sortie la veille c’est à dire le 23 octobre, pour corriger lui-même un autre patch publié juste avant le 8 octobre. Bref un vrai bordel et il faut croire que les attaquants ont attendu la sortie de ce patch d’urgence pour comprendre comment fonctionnait la faille ( l’exploit est ici ).
De son côté, Google Threat Intelligence traque l’acteur cybercriminel UNC6512 qui a ciblé plusieurs organisations et les chiffres font pas plaisir puisque ce sont environ 100 000 tentatives d’exploitation en 7 jours qui ont eu lieues, et 500 000 serveurs WSUS exposés sur le net sur les ports par défaut (8530 HTTP, 8531 HTTPS).
Microsoft a dû sentir la douille arriver puisqu’ils ont déprécié WSUS en septembre de l’année dernière au profit d’autres solutions comme Intune ou WUfb, soit un an avant la sortie de la CVE. Mais bien sûr, comme l’outil reste dans Windows Server 2025 avec ses 10 ans de support réglementaire, des centaines de milliers d’entreprises l’utilisent encore…
Le chaos était garanti ! Maintenant vous me connaissez, je n’aime pas vous laisser sans solution, alors pour les admins sys qui lisent ça, sachez qu’il existe un script PowerShell baptisé Find-WSUS qui permet de détecter tous les serveurs WSUS configurés dans vos GPO. C’est pratique pour faire l’inventaire et vérifier que tout est patché. Et notez aussi que le patch d’urgence c’est le KB5070883. Et si vous ne pouvez pas patcher immédiatement parce que la vie est injuste, désactivez quand même le rôle WSUS de vos Windows Server, ou bloquez les ports 8530/8531 directement dans votre firewall.
Le vrai problème en fait, c’est que WSUS n’est qu’un symptôme car une grosse partie du code en entreprise est constitué de dette technique. C’est à dire du code “mort” qui continue de tourner car personne n’ose y toucher. Brrr… ça fait peur c’et sûr ! Surtout que même Microsoft n’arrive pas à tuer sa propre création 5 ans après l’annonce de sa mort officielle, donc autant dire qu’on a tous un sérieux problème.
Bref, patchez au plus vite !
Handy - Un outil de reconnaissance vocale incroyable (et open source)
Je suis dégoûté parce que je viens de payer un abonnement pour un logiciel qui fait exactement ça, sauf que bah là, Handy , c’est gratuit. L’idée derrière ce logiciel, c’est un outil de speech to text qui fonctionne uniquement en local. Pas d’abonnement, tout est gratuit, et pas de cloud… il faut juste configurer un raccourci clavier. Et ensuite vous parlez et le texte apparaît comme par magie.
A la base, l’idée de cet outil est venue d’un accident. CJ se casse le doigt et il est plâtré pendant six semaines. Du coup il lui est impossible de taper normalement. Il cherche alors des outils de transcription vocale.
Par exemple, Dragon NaturallySpeaking, mais bon, 100 balles, ça fait chier. Google Docs aussi propose ce genre de fonctionnalités, mais uniquement en ligne. Et ça envoie tout dans le cloud, donc bonjour à confidentialité. Quant à Windows Speech Recognition, c’est bugué et assez limité. Bref, toutes les alternatives qu’il a trouvées étaient soit payantes, soit nécessité une connexion permanente vers des serveurs tiers.
Alors CJ a fait ce que font les devs quand un problème les agace. Non pas aller sur Reddit pour dire de la merde random sur moi, mais plutôt coder une solution qui fonctionne super bien !
Et au lieu de la garder pour lui ou de la rendre payante lui il a décidé de tout mettre en open source avec une licence MIT.
Et ce que vous êtes en train de lire précisément maintenant, et bien je suis en train de le dicter. Et ça marche dans les emails, les formulaires web, les éditeurs de texte, peu importe. Et comme je vous le disais, toute la transcription se fait localement sur votre machine. Et tout ça grâce à quoi ? Et bien grâce à Whisper d’OpenAI, dont je vous ai déjà parlé beaucoup de fois.
Handy est codé en Rust pour la performance et la sécurité et surtout cross plateforme, c’est-à-dire qu’il marche ou Linux, macOS et Windows. Et au niveau de la config, il y a quelques options comme le choix de la langue ou le mode d’enregistrement avec le raccourci clavier, soit vous faites du push to talk, soit vous faites une écoute en continu.
Ce truc est génial aussi bien pour l’accessibilité que pour la reconnaissance vocale en elle-même qui est plutôt utile dans la vie de tous les jours. D’ailleurs, il y a plusieurs modèles IA disponibles, comme tous les modèles Whisper, mais aussi un modèle que je ne connaissais pas, qui s’appelle Parakeet et qui franchement fonctionne très bien. C’est celui que j’utilise actuellement.
Testez si ce truc fonctionne bien sur votre vieux PC mais moi en tout cas sur mon Mac de dernière génération c’est encore plus rapide que ce que j’avais avec un modèle Whisper sur mon outil payant.
Voilà, si vous cherchiez un outil de reconnaissance vocale, vous pouvez vous arrêter là parce que vous venez de trouver. Et non pas parce qu’il est parfait, mais parce que comme c’est open source, vous pouvez vous-même le rendre parfait pour vos usages (Le code est sur GitHub ).
Merci à Lilian pour le partage de ce projet absolument génial !
Article dictée intégralement à l’aide de Handy (et corrigé manuellement pour les quelques erreurs de transcription)