Higgsfield - Le Netflix de l'IA où 4 personnes remplacent tout un studio
100 millions de dollars, c'est ce que coûterait normalement la production d'un pilote de qualité ciné, d'après Higgsfield, une boite basée à San Francisco et fondée par Alex Mashrabov.
Et eux, ils l'ont fait en 4 jours avec une équipe de 4 personnes et quelques GPU. Bienvenue dans l'ère du streaming généré par IA !
La plateforme vient en effat de lancer ses Original Series , une sorte de Netflix où tout le catalogue est généré par IA. On y trouve 13 séries dispo (sci-fi, thriller, anime, comédie...) avec des titres comme Arena Zero, Spit & Glow ou encore Tails of Steel, plus 6 autres en préparation. Et tout ça, des dialogues aux effets visuels en passant par le doublage, est généré par intelligence artificielle (même si évidemment, y'a des humains derrière pour le scénario, le prompting et le montage).
Mais le truc fou je trouve, c'est le modèle communautaire. En fait, Higgsfield a organisé un concours qui a attiré plus de 8 700 créateurs venus de plus de 100 pays, comme ça plutôt que de produire en interne, ils laissent la communauté proposer des teasers. Les spectateurs votent alors pour ceux qu'ils préfèrent, et les gagnants se retrouvent à produire des séries complètes avec l'équipe.
Cela veut dire que n'importe qui avec une bonne idée et un bon sens du prompt peut devenir "réalisateur"... sans jamais toucher une caméra ni un plateau de tournage.
Côté boîte à outils, la plateforme ne fait pas les choses à moitié. Y'a le Cinema Studio 2.5 pour la génération vidéo , et la plateforme intègre des modèles tiers comme Kling 3.0 (vidéos de 15 secondes avec personnages cohérents), Sora 2 , Veo 3.1, et même du clonage vocal via ElevenLabs. Pour l'image, y'a Nano Banana Pro (oui, c'est le vrai nom) qui sort du 4K, et plus de 100 apps prêtes à l'emploi pour le face swap, les VFX ou la création de contenu commercial.
Par contre, tout ça repose sur des modèles tiers... donc le jour où OpenAI ou Google changent les conditions liées à leurs API, ça peut les secouer un peu.
Maintenant pour ceux qui se demandent si c'est gratuit, oui, y'a un tier free avec des crédits quotidiens via l'app mobile Diffuse. Sauf que les crédits partent trèèès vite, car générer une vidéo de 15 secondes en 4K, ça consomme pas mal de compute. Pour les gros volumes, faudra donc passer à la caisse.
Alors c'est pas encore 100% nickel mais j'ai été vraiment bluffé par cet épisode par exemple :
C'est vrai que le lipsync n'est pas toujours perfecto, que les mains font parfois n'importe quoi, et que la continuité entre les plans n'est pas toujours raccord.
Mais le concept est dingue quand même car là où il fallait un studio avec des centaines de techniciens, des caméras RED à 50 000 balles et des mois de post-production, y'a maintenant un pipeline automatisé qui prend un scénario et crache un épisode complet. Et le fait que les créateurs viennent du monde entier, sans formation ciné, ça change tout en terme de scénario et de diversité de contenus !
Donc, si vous voulez voir à quoi ressemble le cinéma actuel quand c'est l'IA qui tient la caméra, allez jeter un œil. C'est encore un peu brouillon mais ça progresse très vite (trop ?), je trouve...
Le Geek Code - L'ancêtre des bios Instagram (en ASCII)
Imaginez un monde où votre identité entière tient sur trois lignes de caractères ASCII. Pas de selfie de votre gros nez, pas de bio Instagram mielleuse... mais juste des lettres ASCII, avec des plus et des moins.
Bienvenue en 1993 !!
Le Geek Code, c'est un système d'encodage inventé par Robert A. Hayden, étudiant à Mankato State University dans le Minnesota, qui permettait aux geeks de se décrire entre eux de manière codifiée. Vous colliez ce bloc de symboles dans votre signature Usenet ou email et n'importe quel initié pouvait vous cerner en 10 secondes. La devise du projet ? "More geek, less bullshit". Difficile de faire plus limpide.
En gros, ça fonctionnait comme ça : Le code commençait par la lettre G suivie de votre spécialité : GCS pour "Geek of Computer Science", GMU pour la musique, GED pour l'éducation, GAT si vous étiez bon en tout... y'avait 28 vocations au total. Ensuite venaient des catégories (apparence, compétences informatiques, opinions politiques, rapport à Star Trek) graduées de +++ à ---. Et hop, en une poignée de caractères, votre personnalité complète tenait dans un bloc qui ressemblait à ça :
-----BEGIN GEEK CODE BLOCK-----
Version: 3.1
GED/J d-- s:++>: a-- C++(++++) ULU++ P+ L++ E---- W+(-) N+++ o+ K+++ w--- O- M+ V-- PS++>$ PE++>$ Y++ PGP++ t- 5+++ X++ R+++>$ tv+ b+ DI+++ D+++ G+++++ e++ h r-- y++**
-----END GEEK CODE BLOCK-----
C'est le bloc de Hayden lui-même. On y apprend qu'il était geek de l'éducation (GED), adepte du t-shirt à message (d--), ultra-compétent en informatique (C++++) mais ne voulait rien savoir d'Emacs (E----). Plus loin, K+++ veut dire fan absolu de Star Trek, 5+++ = accro à Babylon 5, et t- = pas très branché X-Files. Un CV entier en 3 lignes compréhensible uniquement par les initiés... ;)
D'ailleurs, le format reprenait volontairement l'esthétique de PGP, le logiciel de chiffrement, du coup votre identité de geek ressemblait à un message top secret... sauf que tout le monde pouvait le déchiffrer avec les bonnes connaissances.
Le système avait des subtilités assez malines aussi. Le symbole @ signifiait que votre opinion fluctuait, les parenthèses indiquaient une fourchette, le > marquait une aspiration, et le $ voulait dire que vous étiez payé pour ça. Bref, des variables permettant de capturer toute la complexité d'un être humain, qui se retrouvait simplement dans un fichier .sig sur un serveur Usenet. Toute une époque !
Et l'origine du truc est carrément dingue. Hayden s'était en fait inspiré du Natural Bears Classification System, un encodage similaire utilisé par la communauté bear gay, lui-même dérivé de la classification stellaire de Yerkes. Des étoiles aux ours en passant par les nerds... y'a de la poésie là-dedans.
Le code des geeks a connu son heure de gloire entre 1993 et 1996. Un supplément du Washington Post en a même parlé dès 1995, des traductions en japonais et en russe ont circulé, et la version 3.12 de mars 1996 est depuis restée la dernière officielle.
Hayden a promis une mise à jour sur geekcode.com pour le nouveau millénaire. Mais ouais, on attend toujours. Sauf que l'Internet de 1996, comme il l'a lui-même écrit, c'était encore "un paradis vierge de geeks et d'intellos", avant l'arrivée massive du grand public, des bots et des politiciens qui légiféraient sur une techno qu'ils refusaient de comprendre.
Voici d'ailleurs ma bio Geek Code si vous voulez la décoder :
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GIT d- a+ C+++ UB++ P- L++ M++ W+++ N+ PS++ PE Y++ PGP+ t+ X+++ R tv b+ DI+ D+ G e+ h---- r+++ y++++
------END GEEK CODE BLOCK------
Avec les artefacts numériques des débuts du web qui s'effacent petit à petit, entre les pages Geocities, les compteurs de visites et les MIDI qui jouaient en boucle, le Geek Code reste donc un vestige d'une époque où se revendiquer geek, c'était un acte de résistance et pas un mot-clé sur un profil LinkedIn.
Et je trouve ça dommage que ça se perde tout doucement... Le Geek Code mériterait bien un petit refresh en terme de paramètres pour le rendre actuel et des outils plus récents pour l'encoder / décoder.
Edit : Je viens de trouver une nouvelle version mais aucune idée de ce que ça vaut ...
Après, si ça vous tente de décoder le vôtre ou d'en générer un, il existe encore des encodeurs / décodeurs en ligne et, si vous êtes curieux de savoir à quoi ressemblaient les émissions qui ont forgé cette culture geek , y'a de quoi nourrir la nostalgie ici.
Amusez-vous bien et merci à Alex pour le partage !
Strava trahit la position du porte-avions Charles-de-Gaulle en pleine mission
Le Monde a réussi à localiser le porte-avions nucléaire français Charles-de-Gaulle grâce à l'application de sport Strava. Un officier a enregistré un footing de 7 km sur le pont du navire avec sa montre connectée, et son profil public a diffusé les coordonnées GPS en temps réel.
Le navire était déployé en Méditerranée orientale, au large de Chypre, en pleine mission liée au conflit au Moyen-Orient.
Un footing de 7 km qui trahit un navire de guerre
Le 13 mars, à 10h35, un jeune officier prénommé Arthur a lancé un jogging sur le pont du Charles-de-Gaulle. 35 minutes de course, un peu plus de 7 km, et sa montre connectée a transmis le tout à Strava via Bluetooth.
Son profil étant public, n'importe qui pouvait voir le tracé GPS de sa course, et donc la position exacte du porte-avions. Le Monde a vérifié en croisant avec une image satellite de l'Agence spatiale européenne, qui a confirmé la présence du navire à seulement six kilomètres du point GPS.
Le Charles-de-Gaulle se trouvait à ce moment au nord-ouest de Chypre, à une centaine de kilomètres des côtes turques, dans le cadre d'un déploiement lié au conflit au Moyen-Orient.
En remontant le profil du même officier, Le Monde a aussi pu reconstituer les déplacements du navire sur plusieurs semaines : au large du Cotentin le 14 février, en mer Baltique le 27 février, avec une escale à Copenhague.
Pas la première fois que Strava met l'armée dans l'embarras
L'affaire fait partie d'une enquête plus large baptisée "StravaLeaks", que Le Monde avait déjà lancée à l'automne 2024. Les journalistes avaient alors identifié les gardes du corps d'Emmanuel Macron, de Donald Trump et de Vladimir Poutine via leurs activités sportives sur l'application.
Des agents de la DGSE en mission en Irak avaient aussi été repérés de cette manière. Au total, plus de 450 utilisateurs de Strava liés à l'armée française ont été actifs sur la plateforme au cours de la dernière décennie, et certains ont enregistré des séances à proximité de sites où sont amarrés des sous-marins nucléaires, à l'Île Longue.
Le problème est connu depuis 2018, quand un analyste avait remarqué que la carte de chaleur de Strava révélait des bases et des patrouilles américaines en Syrie, en Irak et en Afghanistan. Le Pentagone avait alors interdit les montres connectées en déploiement. Visiblement, la leçon n'a pas traversé toutes les frontières.
L'état-major reconnaît le problème
Du côté de la Marine nationale, la réponse est laconique : cette diffusion d'informations "n'est pas conforme aux consignes en vigueur".
Par défaut, les comptes Strava sont paramétrés en mode public, ce qui veut dire que chaque séance enregistrée est visible par n'importe qui. Il suffit d'une montre connectée qui passe les contrôles de sécurité à bord, d'un profil mal configuré, et la position d'un navire de guerre en mission se retrouve sur internet.
On a quand même du mal à croire qu'en 2026, après toutes les alertes de ces dernières années, un officier de la Marine puisse encore courir sur le pont d'un porte-avions nucléaire avec sa montre GPS en mode public sur Strava.
C'est le genre d'erreur qui ne devrait plus arriver. Mais bon, tant que les smartwatches ne seront pas simplement interdites à bord des navires en opération, ce type de fuite continuera à se produire. Et on ne peut pas vraiment conclure que c'est uniquement la faute du marin : c'est aussi un problème de procédure, parce qu'une montre qui passe le portique de sécurité sans déclencher d'alerte, c'est probablement un peu gênant.
Source : France Info
Claude Octopus - Faites débattre 3 IA sur votre code
Claude Octopus , c'est un plugin Claude Code qui fait bosser trois IA ensemble sur le même problème. Codex pour l'implémentation, Gemini pour la recherche, Claude pour la synthèse, le tout avec un seuil de qualité à 75% qui bloque ce qui n'est pas au niveau.
En gros, au lieu de faire confiance à un seul modèle GPT ou Gemini, vous en mettez trois en parallèle et le plugin ne valide que si les résultats des trois moteurs convergent suffisamment.
Ça s'installe en deux commandes :
claude plugin marketplace add https://github.com/nyldn/claude-octopus.git
claude plugin install octo@nyldn-plugins
Et ensuite, faites un /octo:setup dans votre terminal et c'est parti.
Le truc fonctionne avec Claude seulement sous macOS, Linux ou Windows dès le départ, donc pas besoin de configurer Codex ou Gemini pour démarrer. Il vous guidera pour ça ensuite.
Le plugin embarque 39 commandes, 32 personas spécialisées (par exemple un auditeur sécu qui pense en OWASP, un architecte backend pour les API REST, un designer UI/UX basé sur BM25...etc) et 50 skills. Tout ça s'active ensuite automatiquement selon votre prompt. Vous tapez "wesh audite mon API ma gueule" dans votre terminal zsh et c'est le bon expert qui débarque. Et si vous ne savez pas quelle commande taper, /octo:auto fait le tri pour vous. C'est très pratique.
Le workflow principal suit la méthode Double Diamond (discover, define, develop, deliver) avec des quality gates entre chaque phase. Du coup un bout de code bâclé ne peut pas avancer au stade suivant. Pour les plus flemmards, y'a même un "Dark Factory Mode" qui prend un fichier Markdown en entrée et vous sort du code testé avec un score de satisfaction. Comme ça, vous n'avez qu'à relire que le rapport final au lieu de valider chaque PR manuellement.
Sous le capot, l'orchestrateur écrit en Bash lance Codex CLI et Gemini CLI en parallèle pour la recherche, puis Claude Sonnet 4.6 synthétise les deux réponses. Forcément, trois modèles en parallèle c'est plus lent qu'un seul donc faut compter 30 à 60 secondes par requête. Déso pas déso ^^.
Et pour la revue de code, c'est carrément, pardonnez-moi l'expression, "adversarial" puisque ce sont 4 agents (Codex logique, Gemini sécu, Claude archi, Perplexity pour les CVE ) qui postent des commentaires inline sur vos PR GitHub et y'a ensuite un "reaction engine" qui auto-répond aux échecs CI et aux review comments.
Ce projet c'est quasi l'œuvre d'un seul développeur dévoué et sa vélocité de développement est dingue... Ça vibe code à donf quoi ^^.
C'est gratuit, open source, par contre, chaque provider facture ses tokens normalement, du coup en mode multi-IA vous consommez mécaniquement 3× plus qu'avec Claude tout seul. Après si vous avez déjà un abonnement ChatGPT Plus ou Google AI Pro, les providers passent par OAuth sans clé API supplémentaire, donc ça sera inclus dans votre forfait.
Pour ceux qui utilisent déjà des plugins Claude Code au quotidien ou qui font tourner leurs agents dans des sandbox isolées , c'est le genre d'outil qui mérite un détour.
Bref, trois cerveaux valent mieux qu'un... reste à voir si besoins valent tout ce bordel à configurer !
J'ai testé la station de charge UGREEN 200W à huit ports pour remplacer tous vos chargeurs
UGREEN a lancé la Zapix 200W , une station de charge GaN avec six ports USB-C et deux USB-A pour une puissance totale de 200W. De quoi alimenter en même temps un MacBook Pro, un PC portable, des smartphones et quelques accessoires, le tout dans un seul bloc posé sur le bureau. Chaque port principal peut monter jusqu'à 100W, et la station gère tous les protocoles de charge rapide du marché. J'ai testé la bête.
Huit ports et jusqu'à 100W par sortie
La Zapix 200W propose donc huit sorties au total : six USB-C et deux USB-A. Les trois premiers ports USB-C (C1, C2, C3) sont les plus costauds, avec chacun jusqu'à 100W en individuel.
Vous pouvez même charger deux portables à 100W en même temps sur les ports C1 et C2, ce qui couvre les besoins d'un MacBook Pro ou d'un Dell XPS sans forcer. La puissance est gérée par un contrôleur qui répartit le courant en fonction de ce qui est branché.
Par contre, quand les huit ports sont occupés, la puissance est partagée et les derniers ports (C6, A1, A2) se retrouvent à 15W à eux trois. Il y a donc une logique de branchement à respecter : les appareils gourmands sur C1 à C3, le reste après.
GaN et compatibilité tous protocoles
Le bloc repose sur la technologie GaN, ce qui lui permet de rester compact malgré les 200W de puissance.
La chauffe est contenue même en charge maximale grâce au système ThermalGuard, qui surveille la température en temps réel et ajuste la sortie si besoin. Côté protections, on a le classique du genre : surtensions, courts-circuits, surcharges.
Pour ce qui est de la compatibilité, la Zapix 200W gère le Power Delivery 3.0, le Quick Charge 4.0 et 3.0, et aussi le PPS en 45W sur les ports C1 et C2.
Ce dernier point est intéressant si vous avez un Samsung Galaxy S25 Ultra, qui a besoin du PPS pour atteindre sa vitesse de charge maximale. Les ports USB-A sont utiles pour les accessoires plus anciens ou les appareils moins exigeants. Par exemple j'y charge le GPS de mon chat !
Un format bureau bien pensé
Le bloc se pose à plat sur le bureau et se branche au secteur via un câble standard. Les ports sont bien organisés en façade pour un accès facile. Vous pouvez aussi le placer droit, avec un petit support livré avec.
Bref, deux portables à 100W en simultané, c'est quand même pas mal, et la compatibilité avec tous les protocoles de charge rapide évite de se poser la question de l'écosystème. Je vous recommande donc ce petit appareil que j'ai bien rapidement adopté perso. Et en plus elle est en promotion sur Amazon en ce moment, à moins de 63 euros au lieu de 80, disponible ici .
Voicebox - Clonez des voix en local sans passer par le cloud
Si vous cherchez un moyen de faire du clonage vocal en local sans filer vos fichiers audio à un service cloud, Voicebox devrait vous plaire. C'est un studio de synthèse vocale open source et gratuit qui tourne entièrement sur votre machine, et qui n'a rien à envier à ElevenLabs.
Concrètement, vous téléchargez l'app (dispo macOS, Windows et Docker), vous importez un extrait audio d'à peine 3 secondes minimum et hop, la voix est clonée. Pas besoin de compte, pas de limite d'utilisation, pas de "crédits" qui fondent comme neige au soleil !
Voicebox embarque 5 moteurs TTS différents plutôt que de tout miser sur un seul. Par exemple, Qwen3-TTS gère 10 langues avec des instructions en langage naturel du genre "parle lentement" ou "chuchote". Chatterbox Multilingual couvre 23 langues, de l'arabe au swahili en passant par le finnois.
LuxTTS lui est ultra-léger... genre 1 Go de VRAM et 150x plus rapide que le temps réel même sur CPU (anglais uniquement par contre) ! Et avec Chatterbox Turbo, vous pouvez injecter des tags comme [laugh], [sigh] ou [gasp] directement dans le texte pour que la voix rigole ou soupire à la demande (anglais aussi). Franchement, c'est pas mal du tout.
Tenez voici ce que ça donne avec ma voix (J'ai utilisé Qwen3)
Et pour ceux qui aiment bidouiller, y'a une API REST complète sur localhost:17493. Du coup, on peut intégrer la synthèse vocale dans ses propres scripts, automatiser la génération de podcasts ou monter un pipeline perso avec ffmpeg. Parce que bon, avoir un moteur vocal sans pouvoir l'utiliser dans ses projets, ça n'a pas d'intérêt.
Côté post-production, 8 effets audio sont dispos (pitch shift, reverb, delay, chorus, compression...) propulsés par pedalboard, la lib audio de Spotify. On peut aussi sauvegarder des presets et les appliquer par profil vocal. Y'a même un éditeur multi-pistes pour composer des conversations ou des narrations avec plusieurs voix sur une timeline.
Attention par contre, le projet est assez récent (c'est sorti en janvier) et côté Linux, y'a pas encore de binaires pré-compilés, faudra donc compiler from source mais je sais que vous adorez ça, les barbus ^^. Et le problème avec 5 moteurs différents, c'est que chacun a ses propres dépendances, donc ça prend pas mal en espace disque.
Sous le capot, c'est codé en Rust, ça utilise Tauri (pas Electron) car personne ne veut un genre de Chromium de 500 Mo pour lancer un simple outil audio. Sur Mac Apple Silicon, l'inférence passe par MLX et le Neural Engine et sur Windows et Linux, c'est CUDA, ROCm pour AMD, DirectML et même Intel Arc.
Si vous avez déjà joué avec MLX-Audio pour faire de la synthèse vocale en ligne de commande, Voicebox c'est finalement la version "app complète" avec interface graphique, gestion de profils vocaux et file d'attente de génération. C'est un peu le Ollama de la voix.
Voilà, si le clonage vocal en local vous branche, c'est sous licence MIT, c'est gratuit et ça tourne nickel ! Ah et si vous êtes un escroc qui cherche à cloner des voix pour arnaquer des gens, sachez que je viens de vous jeter un mauvais sort à travers la lecture de cet article. Attendez-vous à avoir des cheveux qui vous poussent sur la langue et des verrues dans les yeux, d'ici quelques semaines.
Merci à Lorenper pour la découverte.
Des cafards cyborg pour inspecter les canalisations, bienvenue en 2026
Des chercheurs de Singapour ont mis au point des cafards cyborg capables de tirer un petit chariot équipé d'une caméra dans des canalisations pour y détecter des fuites. Oui, en 2026, on envoie des blattes faire le job.
Comment ça marche
Les cafards en question sont des blattes siffleuses de Madagascar, longues de 6 centimètres. L'équipe du professeur Hirotaka Sato, à l'université technologique de Nanyang à Singapour, leur fixe sur le dos un petit chariot en plastique qui contient un processeur, une caméra vidéo couleur orientée vers le haut, une LED et un module de communication pour transmettre les données en temps réel.
Des électrodes sont attachées aux antennes et à l'arrière de l'insecte, et envoient de faibles impulsions électriques qui simulent la sensation de heurter un obstacle. Ça suffit pour orienter le cafard dans la direction voulue, sans lui faire mal.
Déjà testés sur le terrain
Ce n'est pas juste un projet de labo. Dix cafards cyborg ont été déployés lors du tremblement de terre au Myanmar en 2025, équipés de caméras infrarouge et de capteurs pour localiser des survivants sous les décombres.
L'université de Nanyang a aussi mis au point une chaîne de montage automatisée qui assemble un cafard cyborg en 68 secondes, ce qui laisse imaginer une production à plus grande échelle. Le dernier modèle consomme 25 % de tension en moins, ce qui allonge l'autonomie de la batterie embarquée.
Des canalisations aux zones sinistrées
Le projet actuel se concentre sur l'inspection de canalisations. Les cafards tirent leur chariot dans les conduites et un algorithme d'apprentissage automatique analyse les images captées par la caméra pour repérer de la corrosion ou des fuites.
Quand un défaut est détecté, un opérateur humain est alerté. Les tests ont lieu dans un environnement qui reproduit les tuyaux de la Marina Coastal Expressway, une autoroute souterraine de Singapour. Le professeur Sato estime qu'un déploiement opérationnel pourrait arriver d'ici trois à cinq ans.
On ne va pas se mentir, l'idée d'envoyer des cafards de 6 centimètres inspecter des tuyaux avec une caméra sur le dos a un côté assez improbable. Le fait que ça fonctionne déjà en conditions réelles, avec un déploiement au Myanmar, montre que le projet dépasse le stade du gadget. Et puis 68 secondes pour assembler un cafard cyborg, c'est quand même plus rapide qu'un robot classique, même si on aime bien les robots aussi.
Source : Techspot
Quatre énormes botnets démantelés par les autorités américaines
Les autorités américaines viennent de démanteler quatre réseaux de botnets qui contrôlaient plus de trois millions d'appareils dans le monde. Caméras, routeurs Wi-Fi, enregistreurs vidéo : le matériel du quotidien servait à lancer des attaques DDoS records, dépassant les 30 térabits par seconde.
Pas un petit réseau
Le bureau du procureur fédéral de l'Alaska a annoncé l'opération le 19 mars. Le département de la Justice américain, le FBI et le Defense Criminal Investigative Service ont travaillé avec les autorités canadiennes et allemandes pour mettre hors service quatre botnets : Aisuru, KimWolf, JackSkid et Mossad.
Des domaines et des serveurs virtuels hébergés aux États-Unis ont été saisis, et une vingtaine d'entreprises tech ont aidé à neutraliser l'infrastructure. Les appareils infectés étaient des caméras de surveillance, des enregistreurs vidéo et des routeurs Wi-Fi grand public, le genre d'équipements que des millions de foyers utilisent sans trop se soucier des mises à jour de sécurité.
Des attaques records et le Pentagone parmi les cibles
Côté chiffres, plus de trois millions d'appareils compromis dans le monde, dont des centaines de milliers aux États-Unis. Aisuru, le plus actif, a lancé plus de 200 000 commandes d'attaque DDoS depuis son apparition fin 2024.
JackSkid en a envoyé plus de 90 000, KimWolf environ 25 000 et Mossad un millier. Le réseau du département de la Défense américain figurait parmi les cibles, ce qui donne une idée du niveau de la menace. Mi-2025, les attaques ont atteint des volumes jamais vus, avec un pic à 31,4 térabits par seconde mitigé par Cloudflare en novembre.
Les victimes signalent des pertes en dizaines de milliers de dollars, et encore, on parle de ceux qui ont porté plainte.
Un Canadien de 22 ans et un Allemand de 15 ans dans le viseur
Un Canadien de 22 ans a été identifié comme opérateur principal de KimWolf, une variante d'Aisuru capable de se propager sur un réseau interne dès qu'un seul appareil est compromis.
Un ado Allemand de 15 ans est suspecté d'avoir piloté un autre de ces botnets. Sauf que voilà, ces réseaux ne servaient pas qu'à leurs créateurs. Les opérateurs vendaient l'accès aux appareils piratés à d'autres criminels, qui pouvaient lancer leurs propres attaques DDoS sans aucune compétence technique.
Du cybercrime as a service, une sorte de location de puissance de frappe numérique accessible à n'importe qui avec quelques centaines de dollars.
Un ado de 15 ans qui pilote un botnet capable de mettre à genoux des infrastructures militaires, c'est quand même révélateur du problème de fond. La facilité d'accès à ces outils est grotesque.
Le démantèlement est une bonne nouvelle, mais tant que des millions de routeurs et de caméras resteront branchés avec leurs mots de passe par défaut, d'autres prendront le relais. Bref, la vraie faille, elle est dans votre salon.
Source : Wired
Il transforme une carte à 15 euros en station météo sous Windows 95
Un maker français a fabriqué une station météo miniature avec une interface façon Windows 95, logée dans un boîtier imprimé en 3D en forme de vieux moniteur cathodique. Le projet tourne sur une carte ESP32 à une quinzaine d'euros et récupère la météo en temps réel via Wi-Fi. Prévisions, vent, images satellite, tout y est.
Un mini écran façon années 90
Jordan Blanchard a publié son projet sur Hackaday.io et le résultat a de quoi plaire aux nostalgiques. L'interface reprend les codes visuels de Windows 95 : fenêtres avec barres de titre, panneaux biseautés, typographie pixelisée.
On y retrouve la météo du jour, les prévisions heure par heure, la vitesse du vent avec boussole, et même des images satellite et radar. Le tout sur un écran TFT de 2,8 pouces en 320 x 240 pixels, ce qui colle parfaitement au style rétro.
Le boîtier est imprimé en 3D et reproduit la forme d'un petit moniteur cathodique. Un mécanisme a été ajouté sur la face avant pour actionner les boutons physiques de la carte, qui se trouvent à l'arrière.
Une quinzaine d'euros de matériel
La base du projet, c'est un ESP32-2432S028, plus connu sous le nom de Cheap Yellow Display. C'est une carte de développement vendue autour de 15 euros, qui intègre un processeur ESP32 avec Wi-Fi et Bluetooth, un écran tactile TFT de 2,8 pouces, un lecteur micro-SD et un connecteur haut-parleur. Pas besoin de soudure, la carte arrive montée.
Les données météo viennent de l'API Open-Meteo, et le système gère aussi l'affichage d'images de webcams et de satellites. Une batterie lithium avec un module de charge permet de faire fonctionner le tout sans fil.
Du code Arduino en libre accès
Le sketch Arduino est téléchargeable sur la page du projet. Jordan précise avoir utilisé ChatGPT pour l'aider sur certaines parties de l'interface, ce qui est assez courant dans la communauté maker.
Le système utilise du réseau asynchrone pour que l'affichage reste fluide pendant le téléchargement des données, et un cache local en SPIFFS pour garder la météo accessible même sans connexion.
C'est le genre de petit projet qui donne envie de s'y mettre. Pour une quinzaine d'euros de matériel et un peu de temps, on obtient un objet qui a du charme et qui est utile au quotidien. Et puis retrouver l'interface de Windows 95 sur un écran de 2,8 pouces, ça a quand même un petit côté régressif assez plaisant.
Source : Hackaday
Quand la publicité ciblée devient un outil de surveillance pour le gouvernement américain
Des documents obtenus par la presse révèlent que les douanes américaines ont utilisé les données de localisation issues du système publicitaire en ligne pour pister des téléphones. Et ce, sans mandat.
Le mécanisme repose sur les enchères publicitaires en temps réel, qui diffusent vos coordonnées GPS à des milliers d'entreprises chaque jour. Apple a limité la casse sur iPhone, mais ça ne suffit pas.
Comment vos applications vous trahissent
Le système est assez redoutable dans sa simplicité. À chaque fois qu'une publicité s'affiche dans une application sur votre smartphone, une enchère se joue en quelques millisecondes.
Votre téléphone envoie ce qu'on appelle une requête d'enchère, qui contient votre identifiant publicitaire, vos coordonnées GPS, votre adresse IP, le type d'appareil utilisé, et même vos centres d'intérêt supposés. Ces informations sont envoyées simultanément à des milliers d'annonceurs potentiels, et tous les participants reçoivent ces données, qu'ils remportent ou non l'enchère.
Des courtiers en données se font passer pour des acheteurs publicitaires et récoltent ces informations à grande échelle. Mobilewalla, par exemple, a collecté les données de plus d'un milliard de personnes, dont 60 % provenaient de ces enchères publicitaires selon la FTC (le gendarme du commerce américain).
Gravy Analytics, un autre courtier, a vu fuiter des données qui référençaient des milliers d'applications : Candy Crush, Tinder, Grindr, MyFitnessPal, des applications de grossesse ou religieuses. Beaucoup de développeurs ne savaient même pas que leurs applications alimentaient cette collecte.
Des agences fédérales clientes depuis des années
Entre 2019 et 2021, les douanes américaines ont mené un programme pilote pour tester si ces identifiants publicitaires pouvaient servir à reconstituer les déplacements de personnes sur le territoire. Le service de l'immigration (la célèbre ICE) et le FBI ont aussi acheté de la donnée de localisation auprès du courtier Venntel, et s'en sont servis pour identifier des immigrés ensuite arrêtés.
L'ICE a aussi acquis un outil appelé Webloc, qui collecte la position de millions de téléphones chaque jour et permet de lancer des recherches par zone géographique.
En mars 2026, 70 parlementaires américains ont demandé l'ouverture d'une enquête par l'inspecteur général du département de la sécurité intérieure. Le Montana est devenu le premier État à interdire aux autorités l'achat de données sensibles qui nécessiteraient normalement un mandat. Au niveau fédéral, une loi portée par le sénateur Ron Wyden a été votée par la Chambre en 2024, mais n'a pas passé le Sénat.
Ce que vous pouvez faire, et ce qu'Apple a déjà fait
Bonne nouvelle quand même pour les utilisateurs d'iPhone : depuis 2021, Apple demande systématiquement si vous autorisez le suivi publicitaire via la fonction "Demander à l'app de ne pas me suivre".
Résultat : 96 % des utilisateurs américains ont refusé le suivi, ce qui désactive l'identifiant publicitaire sur la plupart des iPhone. Une étude a même montré que les utilisateurs d'iPhone avaient subi moins de fraudes financières après cette mesure.
Côté Android, il est aussi possible de désactiver l'identifiant publicitaire, mais la démarche est bien moins visible. L'EFF (Electronic Frontier Foundation) recommande dans tous les cas de vérifier les permissions de localisation accordées à vos applications et de les limiter au strict minimum.
On savait que la publicité en ligne aspirait pas mal de données, mais là on parle quand même d'agences gouvernementales qui achètent tranquillement votre position GPS sans passer par un juge.
Le fait que par exemple, Apple, ait mis en place la transparence du suivi publicitaire sur iOS en 2021, et que 96 % des gens aient dit non, montre bien que personne ne souhaite être pisté. On ne peut pas vraiment conclure que le problème est réglé pour autant, car tout le système d'enchères publicitaires continue de fonctionner en arrière-plan, avec ou sans identifiant.
Source : Gizmodo