Autoblog de korben.info

Google a planqué un vrai petit simulateur de vol dans Google Earth, et quasiment personne n'en a parlé encore... C'est tout en bas du menu Tools, une option "Flight simulator" estampillée "Experimental". Vous cliquez dessus, et hop, vous voilà aux commandes d'un avion au-dessus de n'importe quel coin de la planète.

Forcément, j'ai voulu survoler Paris. Grosse erreur !! C'est super sensible à piloter, alors le moindre coup de flèche un peu bourrin et l'avion part en vrille. Et une fois que c'est parti en cacahuètes, bon courage pour vous rattraper. Du coup, en une vingtaine de secondes, j'avais déjà planté mon zinc entre deux immeubles haussmanniens.

Voilà, voilà. Pilote de ligne, c'était pas pour moi j'crois...

Pour tester vous-même, ça se passe uniquement sur Google Earth dans le navigateur ( earth.google.com , pas l'appli mobile). Vous ouvrez le menu Tools, vous choisissez Flight simulator, et pensez bien à basculer le fond de carte de "Map" à "Satellite", sinon vous volerez au-dessus d'une carte abstraite toute moche au lieu d'avoir des vrais bâtiments 3D photoréalistes.

Côté pilotage, par contre c'est rustique : Page Up et Page Down pour les gaz, les flèches du clavier pour le tangage et le roulis, et un clic dans la fenêtre pour passer en commandes à la souris. De plus, les bâtiments et l'imagerie haute résolution se chargent au fur et à mesure que vous avancez, donc si vous foncez comme un dingue ou que votre connexion rame, vous traverserez parfois du vide le temps que ça charge.

Voilà, on est donc très loin d'un vrai simulateur de vol et Google le dit lui-même... c'est conçu pour de la balade tranquille, pas pour de l'aérodynamique réaliste. Si vous voulez réellement piloter dans votre navigateur, le Web Flight Simulator et son F-15 joue dans une autre cour.

Mais maintenant, imaginez deux secondes que Google pousse le truc un peu plus loin, avec un poil de gameplay, des objectifs, des avions différents, du trafic aérien...etc. Le potentiel serait énorme !

En attendant, allez vous crasher sur la tour Eiffel dans la joie et la bonne humeur ! C'est gratuit et légal (enfin, je crois...lol).

Source : Google Earth Flight Simulator

Un bricoleur, MarcellF , s'est mis en tête de produire lui-même l'écran fluorescent qui rend les rayons X visibles. Le genre de composant qu'on imagine sorti d'un labo d'imagerie. Sauf qu'il y est parvenu dans son atelier, en mélangeant des sels dans des creusets.

Le principe d'une radio est en fait assez simple. On éclaire un objet avec un faisceau de rayons X, ces ondes invisibles qui traversent la matière comme à l'hôpital, et puisque les zones denses en bloquent une partie pendant que les zones creuses le laissent filer, on récupère derrière l'objet une ombre qui dessine sa structure interne. Reste à rendre cette ombre visible.

C'est le rôle du scintillateur. Le mot est barbare mais la chose est simple : un matériau qui absorbe le rayonnement invisible et le recrache aussitôt en lumière visible, un peu comme un autocollant phosphorescent qui s'illumine dans le noir après s'être gorgé de lumière. Sans cet écran, pas d'image. Et comme le matériau adéquat coûte une fortune dans le commerce et reste introuvable pour un amateur, MarcellF a choisi de le synthétiser de zéro.

Sa première piste a été de passer en revue un tas de poudres fluorescentes du commerce, du genre qui s'allume sous une lampe UV. Mauvaise surprise. La plupart des matériaux qui réagissent aux ultraviolets sont indifférents aux rayons X, deux phénomènes qu'on confond trop vite. 

Quelques candidats s'en sortent quand même, à commencer par les phosphores à base d'aluminate de strontium, très lumineux mais affligés d'une rémanence un peu gênante puisqu'ils continuent de luire longtemps après l'extinction de la source et brouillent donc l'image. Le sulfure de zinc récupéré dans de vieux panneaux électroluminescents s'est révélé presque aussi brillant que l'écran à oxysulfure de gadolinium d'un vrai scanner médical, et sans la moindre traînée.

Mais le clou du spectacle, c'est la fabrication maison de tungstate de calcium, un phosphore historique des radiographies. Là, on entre dans la vraie chimie. MarcellF fait fondre du nitrate de potassium avec du carbonate de sodium, y dissout du tungstène prélevé sur une banale électrode de soudure pour former des tungstates, fait précipiter le composé en le faisant réagir avec du chlorure de calcium, puis chauffe longuement la poudre obtenue pour réveiller sa fluorescence. Le résultat tient dans la main. Une poudre qui émet une jolie lueur bleue dès qu'on l'expose aux rayons X, et qu'une pincée de plomb ajoutée comme dopant rend encore plus brillante.

Ce genre de bidouille est quand même assez dingue. Prendre un objet qu'on croyait verrouillé dans les hôpitaux et les labos de physique, puis le reconstituer avec une électrode de soudure et trois sels achetés en droguerie, il y a là quelque chose de très réjouissant. Reste un détail qui calme. Il faut déjà posséder une source de rayons X, et manipuler ce rayonnement réclame des précautions autrement sérieuses qu'un tablier de plomb improvisé. Pas un tuto à refaire un dimanche pluvieux, donc. Mais comme preuve que le mur entre l'instrument médical et le bricolage de garage est plus mince qu'on ne le croit, c'est plutôt pas mal.

Source : Hackaday

Si vous hébergez vos propres services derrière une IP dynamique, vous connaissez sans doute des outils merveilleux comme DynDNS, NoIP, ou encore Cloudflare DDNS.

Sauf que dès que votre homelab mélange du Docker, du Proxmox et un cluster Kubernetes, ça devient vite le bordel à maintenir ! Mais Maxfield Allison, un contributeur du projet OPNsense, qui visiblement en avait marre lui aussi de gérer tout ça à la mimine, nous a pondu dnsweaver .

dnsweaver, ça fait pas repousser les cheveux sur les sysadmins (désolé ^^) mais c'est un outil en Go qui peut se lancer comme un service et qui se configure avec la clé API de votre Cloudflare (ou d'un autre provider) pour mettre à jour sa zone DNS. Comme ça, quand l'un de vos conteneurs démarre avec un label Traefik, hop, l'enregistrement DNS apparaît automatiquement. Et quand vous le virez, il disparaît.

C'est génial parce que ça vous permet de ne plus jamais toucher à votre zone DNS à la main.

Et une fonctionnalité incroyable de dnsweaver, c'est le split-horizon DNS qui permet de donner accès à votre réseau local et à ses services depuis n'importe où sur Internet, mais avec la bonne tête selon d'où vous vous connectez. Vous aurez grâce à ça, votre bitwarden.maison.fr qui pointe vers le 192.168.1.10 quand vous êtes chez vous sur le réseau local, et vers votre IP publique quand vous tapez la même adresse depuis l'extérieur. Comme ça, plus la peine de maintenir 2 configs séparées qui finiront toujours par diverger à un moment...

Et dnsweaver ne se contente pas d'un seul fournisseur et ça c'est cool. Comme ça, si vous voulez allier la puissance des services de Cloudflare (pour le cache, la sécurité, la protection DDoS...etc.) à, par exemple, un Technitium perso pour votre réseau interne, bah c'est possible ! dnsweaver pousse comme ça vers 7 backends en parallèle: Technitium, Cloudflare, Pi-hole, AdGuard Home, dnsmasq, le bon vieux RFC 2136 (pour BIND, PowerDNS ou le DNS de Windows Server) et même un webhook pour brancher un truc maison.

Côté détection, vous aurez capté, ça va lire les labels Traefik, Caddy ou nginx-proxy sur vos conteneurs Docker, les annotations Ingress sur Kubernetes, et côté Proxmox il récupère vos VMs (via l'agent QEMU) comme vos conteneurs LXC. Très cool donc pour les furieux qui gèrent plein d'instances sur différents serveurs !!

Pour l'installer, maintenant vous avez le choix: Soit vous passez par l'image Docker maxamill/dnsweaver, le registre ghcr.io ou un chart Helm si vous êtes plutôt team Kubernetes. Vous lui passez les credentials de vos providers (via des secrets Docker ou Kubernetes, et pas en clair dans un fichier qui traîne comme un gros nooooobbzzzz) et vous le laissez tourner. Il expose même des métriques Prometheus, du coup vous le surveillez comme le reste de votre stack.

Alors oui, je saiiiis, ExternalDNS fait déjà ce genre de boulot, sauf que c'est du Kubernetes only. Alors que dnsweaver, lui, avale les trois plateformes d'un coup, ce qui colle pile poil à l'ADN même du homelab bordélique que vous avez chez vous ^^.

Le projet est encore assez récent et porté par une seule personne mais ça évolue à une vitesse impressionnante (déjà des dizaines de versions livrées en quelques mois), alors je vous recommande de tester ça quand vous aurez 5 min (pas en prod tout de suite par contre, promettez le moi, bande de fifous !!)

Voilà, si gérer votre DNS maison vous bouffe un temps de dingue, dnsweaver est à envisager (pas comme votre cousin.e, donc... )

Handala, un groupe de hackers liés à l'Iran, vient d'annoncer qu'il aurait pu couper l'eau de 2 millions de Californiens. Le groupe a en effet piraté California Water Service et balancé 5 Go de données pour le prouver.... Mais bon, peu importe ce qu'ils disent, la vérité c'est que non, il n'aurait pas pu.

Et c'est tout l'intérêt de cette histoire que je m'en vais vous conter....

Tout d'abord, quand on regarde ce qu'ils ont vraiment chopé, je vous avoue, on est trèèèèès loin du robinet. Leur point d'entrée, visiblement, c'est un serveur RTKBase, un outil open-source de correction GPS pour les équipes de terrain. Le truc traînait sur Internet, accessible en HTTP sur le port 10000, avec les identifiants admin et les mots de passe en clair. Comme à peu près tous les sites de l'administration française quoi... loool #troll # dataleakasaservice .

Et il tournait comme ça depuis plus de 780 heures d'affilée, soit plus d'un mois en libre accès. A partir de celui-ci, les attaquants ont alors pu sauter vers les systèmes de facturation, parce que rien ne séparait correctement le réseau GPS des données sensibles. Et ça leur a permis de récupérer les infos clients d'au moins 7 districts (Bakersfield, Chico, Salinas, Stockton, Visalia, San Mateo...) : noms, adresses, téléphones, numéros de compte, historiques de paiement.

Cela veut dire que ce qu'ils ont chopé en réalité, ce sont des fichiers clients, mais pas du tout un accès à une valve ou une pompe, ni même au moindre petit robinet qui goutte... snif...

Donc oui, grosse fuite de données perso, mais pas une seule ligne du système de traitement ou de distribution de l'eau n'a été touchée ! Pas de SCADA, pas d'automate, rien de ce qui pilote physiquement ce qui sort de votre robinet. Les analystes qui ont épluché les données sont très clairs là-dessus : Rien là dedans ne prouve que Handala peut couper l'eau d'une ville américaine. Le groupe n'a d'ailleurs aucun historique connu de sabotage de système de traitement d'eau. Le "j'aurais pu faire pire", c'est de l'intimidation et rien de plus...

Pour comprendre la différence, faut voir à quoi ressemble une vraie attaque sur une infra. Quand on pense sécurité et systèmes industriels, le premier truc qui vient à l'esprit, c'est en général le SCADA en place dans les usines, qu'on peut parfois croiser au détour d'un Shodan ou autre.

Une vraie attaque, c'est ça qu'elle vise. Je ne sais pas si vous vous souvenez, mais en décembre 2015, environ 230 000 Ukrainiens ont été plongés dans le noir à cause d'un malware qui ciblait directement les systèmes de contrôle électrique. Ou Stuxnet , qui a physiquement détruit un millier de centrifugeuses iraniennes. Ou Oldsmar en 2021, où quelqu'un a brièvement fait grimper le taux de soude dans l'eau potable d'une petite ville de Floride. Ça, c'est toucher l'OT, la partie qui commande les machines pour de vrai.

Désolé Handala.... lol

Maintenant, faut pas non plus les ranger au rayon des script kiddies parce qu' Handala, c'est en réalité la façade "hacktiviste" de Void Manticore, un groupe rattaché au renseignement iranien, avec notamment tout un arsenal de wipers maison pour effacer des disques.

Par exemple en mars dernier, ils ont lancé une attaque destructrice chez Stryker, un géant de l'équipement médical. Leur mode opératoire, c'est de voler les données d'abord, puis de revenir ensuite pour tout casser. D'ailleurs ils sont loin d'être les seuls puisque dès 2023, un autre groupe iranien, CyberAv3ngers, avait piraté 75 automates Unitronics dans des stations d'eau et d'autres infras aux États-Unis, au point que la CISA a dû tirer la sonnette d'alarme. En clair, des hackers iraniens qui s'en prennent aux stations d'eau américaines , c'est devenu la routine....

Bref, Handala n'a pas coupé l'eau mais le jour où un groupe avec un vrai accès SCADA débarquera, faudra pas venir dire qu'on n'était pas prévenus.

Source

Si vous faites un peu de reverse engineering sous Android, vous savez que les malwares modernes font absolument tout ce qu'ils peuvent pour planquer leurs mauvaises intentions, un peu comme vos parents toxiques... Code obfusqué, chargement dynamique, packing...etc, etc.

Mais c'était sans compter sur une équipe de chercheurs italiens menée par Giorgio Giacinto ont carrément changé de stratégie avec RAMwavDroid qui au lieu de désassembler le code , permet de le transformer en son et ensuite, laissent une IA l'écouter. Et cela permet d'obtenir un niveau de 98% de détection des malwares.

J'vous explique la sorcellerie de ce truc...

En effet, d'habitude, pour analyser une appli Android, on décompile l'APK et on récupère le code, notamment des fichiers smali, un équivalent lisible par un humain du code bas niveau Dalvik.

Mais avec leur RAMwavDroid, vous prenez le fichier, et chaque octet, qui vaut une valeur entre 0 et 255, devient directement une amplitude sonore. Pas de normalisation, ni de désassemblage mais simplement une forme d'onde, stockée dans un vrai fichier WAV ou MP3 + des réseaux de neurones qui apprennent à reconnaître la texture sonore d'un malware.

Le transformer utilisé, c'est Wav2Vec2, qui était même à la base entraîné sur de la voix humaine.

Comment RAMwavDroid transforme les octets d'une appli en forme d'onde

Mais alors pourquoi passer par le son ?

Hé bien parce que les antivirus classiques s'appuient sur le "sens" du programme, ses permissions, ses appels API, la structure de son code...etc. Or c'est exactement ça que les vrais malwares un peu filous brouillent pour passer entre les mailles. Alors que la texture brute des octets, elle, reste la même, peu importe l'habillage que son concepteur a donné à son malware.

Et ça, une oreille artificielle finit par le repérer.

Mais le vrai coup de génie c'est que plutôt que d'analyser le fichier au repos, RAMwavDroid lance l'appli dans un émulateur et prend un instantané de sa mémoire vive juste après le démarrage. Ça permet de parcourir les fichiers chargés en mémoire, les processus, et surtout le code que le packing a déjà déchiffré pour pouvoir s'exécuter. Cette analyse forensique de la mémoire fait alors grimper la précision de près de 94% en statique à jusqu'à 98% en dynamique.

Le spectrogramme d'une appli malveillante, vu comme un son

Sur un extrait de dataset de malwares utilisé pour leurs tests, composé de 600 applis (moitié saines moitié vérolées), RAMwavDroid tape jusqu'à 98% de bonnes réponses, avec dans sa meilleure configuration quasiment aucun faux positif.

Un faux positif, c'est quand il n'y a pas de malware, mais que l'antivirus clignote quand même en rouge, donc ça montre bien l'efficacité de leur technologie. On est au même niveau que VirusTotal qui fait bosser des dizaines de moteurs de détection en parallèle.

Bien sûr, c'est un résultat de laboratoire sur un échantillon limité d'apps, et le code source n'est pas encore disponible publiquement, donc on ne peut que les croire sur parole. Surtout que leur système fonctionne uniquement dans un émulateur (pour accéder à la RAM) et ça c'est un truc typique que les malwares sont capables de détecter... Donc bon, à voir...

En plus ce système se fait avoir par les applis bourrées de gros SDK légitimes qui noient également le signal, et par les malwares minimalistes trop simples pour faire du bruit. Bref, la robustesse face à l'obfuscation avancée, ce sera pour plus tard mais j'ai trouvé cette façon de faire plutôt originale.

Peut-être qu'à terme, les créateurs de malware mixeront leur binaire avec un MP3 de Jul ou Gims pour tromper ces futurs détecteurs audio ^^.

Source

Si vous êtes sous macOS, vous avez peut-être une petite app en tête, un truc tout bête que vous cherchez depuis des années sur Korben.info ou ailleurs sans jamais le trouver. Par exemple une app pour renommer des dossiers de captures par date et titre de fenêtre, ou pour splitter régulièrement des PDF page par page pour votre comptable qui n'a pas de molette sur sa souris, ou virer les paramètres de tracking des URL que vous copiez... Bref, tout un tas de petits usages qui ne valent pas forcément le coup d'installer une usine à gaz pour en bénéficier.

Heureusement, il existe un outil génial pour macOS qui est peut-être le "futur" de ce que sera le logiciel plus tard. Ça s'appelle Ironsmith , c'est signé Jade Westover, et ça permet à partir d'un prompt, de se fabriquer une app macos native correspondant à votre besoin précis.

Et quand je dis native, c'est native puisque chaque app qui sort de là, est codée en Swift + SwiftUI, ce qui permet de récupérer à la fois les sources et un vrai .app.

Ironsmith se loge dans la barre de menu de macOS et offre ainsi de quoi créer une nouvelle app, relancer les anciennes, éditer le code, ou restaurer une version précédente quand votre dernière idée a tout cassé.

Mais le meilleur se situe du côté de l'IA locale, pensée dès le départ. Ollama est supporté d'origine, et vous pouvez brancher n'importe quel endpoint compatible OpenAI , genre LM Studio ou llama.cpp avec le modèle de votre choix genre Gemma de Google ou Qwen d'Alibaba. Ah et il y a même Foundation Model planqué dans votre Mac via Apple Intelligence pour les trucs les plus basiques...

C'est peut-être à ce genre de truc que ressembleront tous les appstore dans le futur... Qui sait ? Chacun va pouvoir créer ses propres outils privés directement sur son ordi, sans avoir à payer quoi que ce soit, ou à passer par le cloud.

Vous pouvez aussi utiliser vos propres clés API OpenAI, Anthropic ou Gemini. Ou alors vous vous connectez à Ironsmith sans aucune clé, avec 10 crédits offerts pour tester. Avec un gros modèle genre GPT-5.5 ou Opus 4.8, on dépasse alors vite le simple gadget et on arrive à faire des apps étonnamment sophistiquées.

Un éditeur SVG natif sorti d'une simple description

Côté coulisses, le bouzin réclamera uniquement Xcode Command Line Tools qu'on installe avec un petit xcode-select --install. Et quand le code généré ne se compile pas du premier coup, l'app sait lire les erreurs du compilateur et tente alors de les réparer toute seule, d'abord avec des correctifs déterministes, puis en redemandant un diff au modèle. En gros, elle débugge sa propre merde avant de vous la mettre dans l'assiette. Miam !

Et niveau sécu, c'est assez carré même si je vous recommande TOUJOURS de relire le code avant de lancer des trucs random sur votre ordi. En tout cas, les dev ont bien pensé le truc en vous permettant de garder chaque app signée, sandboxée et lancée en "hardened runtime" par défaut, et autoriser explicitement l'accès à la caméra ou au micro.

Voilà, en fonction du modèle, vous n'aurez pas forcément les mêmes résultats. C'est assez expérimental, mais moi j'aime beaucoup voir ça parce que je me dis une fois encore, que c'est peut-être l'avenir. Permettre à tout un chacun de répondre à des besoins précis sans avoir besoin de mettre les mains dans le code ni de se battre avec des outils de dev, c'est chouette !

Voilà, si vous tournez sous macOS 26 et que vous avez une petite app en tête, vous pouvez télécharger le soft sur sa page GitHub ou sur le site, c'est gratuit et open source !

Pac-Hunt - Vengez enfin les fantômes de Pac-Man

Mon, 15 Jun 2026 09:37:05 +0200 - (source)

Je ne sais pas si vous avez déjà joué à Pac-Man parce que c'est quand même un bon vieux jeu de boomer, mais si c'est le cas, vous avez peut-être déjà ressenti un peu de peine pour ces petits fantômes qui se font avaler tout cru par ce déglingot de Pac-Man.

Non ? Bah Garrit Franke, oui. Du coup il a codé pac-hunt, un petit jeu où vous incarnez ENFIN le fantôme qui traque le glouton jaune dans son labyrinthe, au lieu de vous faire bouffer bêtement.

C'est jouable directement depuis votre navigateur , sans rien installer. Vous déplacez votre fantôme avec les flèches de votre clavier ou les touches WASD, et votre boulot c'est de coincer ce "Gentil p'tit bonhomme" (vous l'avez ?) avant qu'il ne nettoie tout le labyrinthe de ses pastilles. Sauf que Garrit a gardé le pire souvenir de ses parties d'enfance, ce sale moment qui ruinait tout : Pac-Man gobe une super-pastille, et les rôles s'inversent !!! Hiiii tous aux abris, car pendant ces quelques secondes, c'est lui qui vous court après et c'est vous qui détalez.

Le tout tient dans un seul fichier HTML , sans le moindre framework, sous licence MIT et le glouton rond comme un ballon (vous l'avez ? lol oui j'aime le comique de répétition) n'est pas piloté au pif, puisqu'il a sa petite IA qui cherche les pastilles les plus proches et qui prend ses jambes à son cou dès que votre fantôme approche à moins de 7 cases. Et si vous le trouvez trop malin ou trop bête, les réglages de vitesse et de comportement sont dispo en haut du script, donc n'hésitez pas à bidouiller ça.

J'avoue que ça me donne des idées parce que des classiques à retourner comme une crêpe, y'en a un paquet. J'imagine par exemple un Mario où vous jouez le Goomba qui voulait juste traverser tranquillou le niveau pour aller faire ses courses au marché et qui se fait ratatiner le crâne par un gars amateur de champi en roues libres. On pourrait aussi jouer à un niveau de Donkey Kong où vous êtes le tonneau, avec comme seul objectif dans votre vie : rouler droit ! Et puis Space Invaders vu par l'alien du fond de la troupe qui regarde ses potes se faire dégommer rangée par rangée. Gloups !

Et Flappy Bird où vous êtes le tuyau, et vous ne faites rien... Juste vous attendez, et vous gagnez quand même ! lol... Et mon préféré, Pong où vous jouez la balle, qui rebondit d'un bord à l'autre sans fin, à vous poser de vraies questions sur le sens de la vie.

Voilà, si vous aimez le rétro-gaming autant que vous détestez prendre une douche, alors vous allez kiffer Pac-Hunt. Ça vous occupera durant cette loooongue semaine de bullshit job en attendant la mort (oui, je suis très positif en ce moment), et si l'envie vous prend de creuser le mythe, le vrai Pac-Man cache un bug bien connu des fans, et côté classiques recodés pour le navigateur, Pokémon en JavaScript vaut aussi le coup d'œil.

Bref, pac-hunt c'est 5 minutes de plaisir vengeur dans votre navigateur, et zéro install. Blinky compte sur vous les amis !

Source : Le blog de Garrit Franke

CrankGPT : l'IA à manivelle qui se mérite à la force des bras

Sun, 14 Jun 2026 16:50:20 +0200 - (source)

CrankGPT vous connaissez ? Elle fait tourner un assistant vocal complet, reconnaissance de la voix comprise, sans prise murale, sans batterie et sans serveur distant, et pour l'alimenter vous tournez une manivelle dont la résistance grimpe quand le modèle réfléchit.

Derrière, deux anciens de Google. Katrin Tomanek, informaticienne, et Alex Kauffmann, passé par le laboratoire ATAP, la division des projets un peu fous. Ils ont monté Squeez Labs ensemble.

Leur conviction tient en une phrase : des modèles d'IA minuscules, privés et spécialisés suffisent pour une bonne partie de nos usages, sans datacenter ni abonnement, à condition d'accepter du matériel modeste.

Le matériel en question ne paie vraiment pas de mine. Un Raspberry Pi 5 avec 8 Go de mémoire, ce petit ordinateur à 80 euros qu'on colle un peu partout. Un chargeur USB à manivelle de 20 watts, vendu comme matériel de survie. Et une carte de condensateurs maison qui garde 20 secondes de réserve, histoire que rien ne s'éteigne quand vos bras lâchent.

Côté logiciel, tout tourne sur le processeur du Pi, sans puce d'accélération. Moonshine transcrit votre voix. Piper répond avec la sienne. Entre les deux, un modèle de langage Liquid LFM2 de 1,2 milliard de paramètres, la même famille d'outils que ChatGPT en version lilliputienne, fabrique les réponses, et un Gemma 3 de Google s'occupe au passage de la traduction.

Le Linux embarqué, un DietPi taillé au plus court, démarre en 3 secondes. Il faut 30 secondes entre le premier tour de manivelle et la conversation. Ensuite, chaque réponse demande entre 0,8 et 2,9 secondes selon le modèle chargé.

Au repos, la machine tire 4 watts. 8 pendant la reconnaissance vocale. 15 quand le texte sort. Un cycliste entraîné tient 120 watts avec les jambes, et vous n'aurez que les biceps. Bon courage.

Le plus chouette : la résistance de la manivelle varie avec la charge de calcul, et quand l'IA réfléchit c'est physiquement plus dur à tourner. Kauffmann raconte qu'on sent littéralement l'inférence, ce moment où le modèle fabrique sa réponse. Le même résume d'ailleurs sa philosophie d'une formule : demander à Claude d'additionner deux nombres, c'est écraser une mouche avec une boule de démolition.

Squeez vise des usages très concrets. La reconnaissance vocale des personnes avec un accent prononcé. Une IA de jardinage ou de mécanique qui n'a quand même pas besoin d'un centre de données entier.

Le prototype coûte environ 300 dollars de matériel, contre 150 pour la toute première version. Les plans et schémas doivent être publiés prochainement, et l'agent vocal est déjà disponible sur GitHub si vous voulez bricoler le vôtre.

Si vous voulez mon avis, une IA qui fait transpirer à chaque question est le meilleur cours d'éducation énergétique jamais inventé.

Source : The Register

Des listes de cybercriminels à télécharger

Sat, 13 Jun 2026 17:05:16 +0200 - (source)

Si vous faites un peu de renseignements (OSINT) et que ce que vous cherchez, c'est des pseudos de cybercriminels, spmedia a un truc qui devrait vous plaire. Son repo GitHub Threat-Actor-Usernames-Scrape rassemble environ 773 000 pseudos uniques récupérés sur des forums de cybercriminels. C'est gratuit, en accès libre. Et ça peut vous faire gagner pas mal de temps si vous faites de l' OSINT .

Son délire, c'est de scraper les sections "Who's Online", les threads et les réponses de forums comme HackForums, DarkForums, BreachForums, XSS.pro, Dread, OGUsers et une vingtaine d'autres, ou de récupérer des extraits de fuites. L'intérêt de ce genre de truc, c'est de capter ces données pour ensuite les réutiliser dans vos propres projets. Ça vous permet par exemple de préparer un fichier texte propre par forum, qui est prêt à être ingéré dans un TIP (Threat Intelligence Platform) ou croisé avec vos données.

Au total, y'a environ 820 000 noms d'utilisateurs dans ce repo, dont ~46 000 en double. Les plus gros forums actifs sont Cracked.sh (~226 000 pseudos collectés), DarkForums.su (~75 000) et Altenen.is (~74 000). Côté forums morts, BreachForums.st domine avec ~57 000 entrées, devant la fuite Nulled (~42 000) et BreachForums.as (~39 000).

Il y a de quoi fouiller, quoi...

Spmedia a monté ce projet parce qu'il en avait marre des boîtes de threat intel qui facturent 5 à 6 chiffres par an pour accéder au même genre de données. On peut donc lui dire merci, même si ça ne remplace pas un vrai service CTI avec contexte et analyse. C'est juste des noms d'utilisateur sans autre enrichissement. Faudra donc croiser ça avec d'autres sources mais pour du pistage de pseudo ou une wordlist ciblée, ça peut aider.

Vous pouvez par exemple utiliser ces listes pour repérer un même pseudo sur plusieurs forums, constituer des wordlists ou simplement suivre quels sites ressortent après un takedown. Certains disparaissent, d'autres reviennent 48h plus tard sous un nouveau TLD (ambiance hydre de lerne, quoi).

Chaque fichier contient un pseudo par ligne et l'import dans un SIEM ou un script Python vous prendra 2 minutes. N'oubliez pas non plus qu'une bonne partie de ces comptes sont des kiddies ou des curieux, donc croisez toujours avec d'autres sources avant de pointer du doigt qui que ce soit...

Bref, si la chasse aux cybercriminels vous branche, vous pouvez récupérer les listes sur GitHub et voir ce que ça donne.

Amusez-vous bien !

Grasp - Et si votre code ne dépendait plus d'une boîte ?

Sat, 13 Jun 2026 16:50:08 +0200 - (source)

Grasp , c'est une alternative décentralisée à GitHub, signée DanConwayDev, le dev derrière ngit. Ça carbure à Nostr , le protocole décentralisé de fiatjaf, et l'idée avec ce truc, c'est que votre identité de dev, ce n'est plus un compte avec un email et un mot de passe, mais juste une paire de clés cryptographiques qui ne dépend de personne. Vous publiez votre code depuis le terminal, sans avoir à vous inscrire nulle part et pi c'est tout !

Vous me connaissez, j'adore fureter à la recherche de petits outils cools à partager avec vous, et niveau décentralisation, celui-là vaut le détour. Pour tester, ça se passe avec l'outil nak . Vous créez votre dépôt, vous le synchronisez, vous poussez comme ceci :

nak git init --owner <votre-clé-npub> --identifier mon-projet --name "Mon Super Projet" --description "Mon premier repo Grasp"
nak git sync
nak git push

Pour cloner le dépôt de quelqu'un d'autre, c'est nak git clone <npub-du-maintainer>/mon-projet, et pour lui envoyer un patch, nak git patch send HEAD^. Pas de fork ni de pull request à remplir dans une interface pour contribuer au code des autres... C'est beau non ?

Derrière, tout repose sur Nostr et sa spec NIP-34 qui transforme un dépôt, une issue ou un patch en messages signés que n'importe quel serveur peut relayer. Du coup chaque état de votre code est signé par votre clé, et comme ça, vos dépôts migrent d'un serveur à l'autre sans rien perdre. Impecc si vous ne faites pas confiance aux hébergeurs.

La vraie différence avec un Forgejo ou un Gitea que vous auto-hébergez, c'est donc que vous ne créez pas un compte sur chaque instance. Votre identité Nostr vous suit partout, une seule clé pour tous les serveurs ! À ne pas confondre par contre avec Radicle , qui fait du P2P local-first avec son propre protocole gossip et Git en natif (et pas sur IPFS, contrairement à ce qu'on lit souvent, le vrai GitHub-sur-IPFS ce serait plutôt GitLike ).

Grasp, lui, parie sur l'interopérabilité : plusieurs clients, plusieurs serveurs, un seul standard, et tout communique.

Et l'écosystème est déjà bien debout avec ngit-grasp comme serveur de référence, pyramid pour gérer une communauté, viewsource.win pour visualiser le code dans le navigateur, et gitworkshop.dev pour une interface complète façon GitHub.

Maintenant ce n'est pas non plus la solution miracle, car c'est encore un peu trop jeune à mon goût... Mais c'est à tester car le jour où l'un de ces frontends web deviendra vraiment carré et grand public, il pourrait bien venir taquiner GitHub, et ça, c'est plutôt une bonne nouvelle...

< Older

Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles