Autoblog de korben.info

Ce site n'est pas le site officiel de korben.info
C'est un blog automatisé qui réplique les articles de korben.info

GDID Windows - Coupez le mouchard qui vous traque même sous VPN

Wed, 08 Jul 2026 17:59:33 +0200 - (source)

Comme je vous le disais tout à l'heure, en avril 2026, le FBI a coincé un membre présumé de Scattered Spider. Le mec planquait son trafic derrière un VPN, avec des IP dans trois pays différents. Et devinez quoi ? Ce n'est pas une fausse manip qui l'a balancé mais un identifiant que votre Windows se trimballe H24 et que Microsoft refile aux autorités quand elles le demandent : le GDID. Je vous en ai déjà causé dans cet article , et après avoir écrit l'article, je me suis demandé si on pouvait le virer.

Du coup j'ai monté une petite VM Windows 11 Pro et j'ai mis les mains dedans en me faisant assister de mon LLM préféré et voilà ce que j'ai trouvé. Ce qui marche, et surtout ce qui ne marche pas du tout, vous allez voir.

Déjà, faut comprendre ce qu'est ce GDID. C'est pas le numéro de série de votre carte mère, c'est pas un hash en lien avec votre matos. Non, c'est un PUID de 64 bits, c'est-à-dire un identifiant que les serveurs de Microsoft collent à votre compte dès que vous ouvrez une session Windows. Il est écrit en clair dans votre registre, votre machine l'enregistre dans un annuaire côté Microsoft, et un service le fait remonter peinard quand c'est nécessaire. Et si vous changez d'IP avec un VPN, bah lui il s'en fout. Le GDID ne bouge pas d'un poil.

Regardez votre propre mouchard en face

On commence par le voir de nos yeux. Ouvrez un PowerShell et collez ça :

$lid=(Get-ItemProperty 'HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties').LID
"g:$([Convert]::ToUInt64($lid,16))"

Sur ma VM, ça m'a craché g:6755487812206045. C'est celui que Microsoft peut raccrocher à tout ce que je fais. (En théorie hein, parce que c'est le code qui est associé à ma VM, donc je m'en fous et c'est pour ça que je vous le montre).

Vous venez de lire l'étiquette qu'on vous a collée dans le dos.

Le supprimer ? Laissez tomber

Réflexe de base, on efface la clé dans la base de registres HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties et hop, plus de mouchard. C'est ce que j'ai testé au début... J'ai shooté la valeur, redémarré le service qui s'en occupe, et là plus rien. Gagné ? Ben non. J'ai ouvert le Microsoft Store durant deux petites secondes, et le GDID est revenu. Et pas un nouveau, hein, LE MÊME !!

C'est ça qui est fou. C'est que votre GDID n'est pas planqué sur votre disque, il est planqué chez Microsoft, bien accroché à votre compte comme une moule à son rocher. Votre PC ne fait que le retélécharger encore et encore. Après si vous réinstallez tout, Windows vous donne un nouveau numéro, d'accord, mais l'ancien et tout ce qui y était rattaché restent tout de même bien au chaud sur leurs serveurs. Le passé, on le récupère jamais...

Couper la télémétrie ne change rien non plus

Un autre conseil qu'on voit partout, c'est de désactiver la télémétrie de Windows. Sur ma VM, le service de télémétrie classique était déjà à l'arrêt. Et pourtant mon GDID était là, bien lisible, et les services qui le font remonter tournaient à plein régime. Le mouchard ne passe pas par la télémétrie que vous croyez couper. Il passe ailleurs, par les services de la plateforme d'appareils connectés et de l'optimisation de distribution.

Vous pouvez donc cliquer sur tous les boutons vie privée des réglages, il s'en tape.

Fermer le robinet pour de vrai

Alors puisqu'on peut pas l'effacer, on va faire la seule chose qui est en notre pouvoir : L'empêcher de sortir. Et sans se déconnecter du compte Microsoft, histoire de garder un PC utilisable, hein.

Et pour ça, on a 2 leviers. Le premier, c'est de désactiver les services qui enregistrent et remontent les infos de votre machine. Le second, c'est de renvoyer les serveurs de Microsoft dans le décor simplement via le fichier hosts, comme ça même si les services qui mouchardent tournent, et bien ils ne peuvent plus joindre personne... Et surtout, on ne touche pas à login.live.com, sinon adieu la connexion à votre compte.

Toutefois, il y a un petit piège, vous vous en doutez... Le service qui fait remonter le GDID, DoSvc, refuse de se laisser désactiver par la voie normale. Même en admin, Windows vous balance "Accès refusé". La parade, c'est donc de le désactiver direct dans le registre, où l'admin a le droit d'écrire là où le gestionnaire de services vous bloque.

Maintenant pour faire ça, plutôt que de vous mettre des tonnes de lignes de code à copier-coller, j'ai tout regroupé dans des scripts propres, que j'ai testés, avec une commande pour tout remettre comme avant.

Le projet est là : no-gdid sur GitHub . Vous lancez d'abord l'audit en lecture seule pour voir où vous en êtes, puis les scripts de blocage en mode aperçu, et seulement après avec l'option qui applique vraiment. Testez dans une VM avec un snapshot avant de faire ça sur votre vraie bécane, parce qu'on désactive quand même des services système. Et si vous voulez juste couper le réseau d'un process précis sans tout ce cirque, ce bon vieux ProcNetBlocker fait déjà une partie du taf.

Allez c'est parti mon canard !

Ouvrez un PowerShell en administrateur, et la première fois faites-le dans une VM avec un snapshot histoire de tester et de vous familiariser avec les commandes. Étape 1, on clone le projet :

winget install --id Git.Git
git clone https://github.com/Korben00/no-gdid
cd no-gdid

D'abord on regarde sa propre situation. Cet audit est en lecture seule, il ne modifie rien, il vous affiche juste votre GDID et quels services de la chaîne tournent :

powershell -ExecutionPolicy Bypass -File .\audit\Get-GDID-Audit.ps1

Ensuite on regarde ce que la mitigation changerait, sans rien appliquer. Sans l'option -Apply, les deux scripts tournent en mode aperçu et se contentent de lister ce qu'ils feraient :

powershell -ExecutionPolicy Bypass -File .\mitigate\Disable-GDID-Services.ps1
powershell -ExecutionPolicy Bypass -File .\mitigate\Block-GDID-Endpoints.ps1

Si ça vous va, on coupe pour de vrai. Cette fois on ajoute -Apply : les services qui enregistrent et remontent l'appareil sont désactivés, et les serveurs de Microsoft correspondants sont renvoyés dans le vide via le fichier hosts. Votre compte Microsoft, lui, reste connecté :

powershell -ExecutionPolicy Bypass -File .\mitigate\Disable-GDID-Services.ps1 -Apply
powershell -ExecutionPolicy Bypass -File .\mitigate\Block-GDID-Endpoints.ps1 -Apply

Et pour tout remettre comme avant, une seule commande :

powershell -ExecutionPolicy Bypass -File .\mitigate\Revert-GDID.ps1

Une fois appliqué, tout redeviendra calme... les services d'enregistrement seront à l'arrêt, leurs serveurs injoignables, et votre compte Microsoft restera toujours connecté. Le GDID reste bien évidemment lisible sur le disque, mais il ne remontera plus chez Microsoft.

La vérité qui pique

Après, je ne vais pas faire un tuto qui vous vend du rêve. Ces manips réduisent ce que Microsoft pourra corréler à l'avenir mais elles n'effacent pas votre GDID, qui traîne sur leurs serveurs depuis votre toute première connexion, et elles ne vous rendent pas anonyme. Ensuite, passer en compte local comme j'ai pu le lire ailleurs supprime le chemin qu'on vient de bloquer, mais rien ne prouve encore qu'un identifiant anonyme ne prend pas le relais derrière.

La seule vraie parade solide pour une activité sensible, est plus brutale : ne pas faire cette activité sous Windows. Un Linux live par exemple offre un contrôle total de ce qui sort de votre machine. Le reste, c'est que de la réduction des dégâts, rien de plus.

Voilà, défendre sa vie privée, ça commence par savoir ce qu'on vous colle sur le dos et maintenant vous le savez. Pas merci Microsoft.

Source : The Register et le reverse engineering de SmtimesIWndr .


Données de santé Doctolib - Comment vous opposer à leur usage IA ?

Wed, 08 Jul 2026 17:23:01 +0200 - (source)

Cet aprem, je bossais tranquillou quand j'ai reçu un mail de DoctoLib qui m'a bien énervé avec pour titre : "Doctolib s'engage dans la recherche pour améliorer la santé". Bon, si on s'arrête au titre, on se dit "Ah bravo, Doctolib", sauf qu'en le lisant en entier, j'ai vite compris qu'ils venaient de décider à ma place que mes données de santé allaient nourrir des trucs, des bidules et des machins pour de la recherche en intelligence artificielle.

Et bien sûr que si ça ne me plaisait pas, bah fallait que je le dise.

Alors ce qu'ils expliquent dans ce mail, c'est qu'à partir d'août 2026, Doctolib lance un projet de recherche mené par une équipe associée à Inria, l'Inserm et l'Université Paris Cité pour, je cite "améliorer les parcours de soins grâce à l'IA". Jusque-là, difficile de cracher dessus, ce sont des institutions publiques sérieuses et l'objectif est louable. Le truc, c'est ce qu'ils vont manger pour y arriver : nos données démographiques, nos données de santé, et même celles de vos proches rattachés à votre compte. Et cela que ces données aient été renseignées par nous ou par nos soignants.

Et surtout, Doctolib ne nous demande pas notre accord. Ils s'appuient sur ce qu'on appelle l'intérêt légitime, une base légale du RGPD qui leur permet de piocher dans nos données sans passer par la case consentement. Hé ouais, en clair, on ne vous prend pas votre consentement, on vous l'enlève. Vous n'avez même pas à dire oui, c'est déjà oui par défaut, et vous êtes obligé de dire non si vous voulez sortir du dispositif.

Ils présentent ça comme de l'intérêt légitime, sauf qu'en même temps on ne sait pas du tout sur quoi ils vont bosser, on ne sait pas avec qui ils vont bosser, on ne sait pas comment nos données seront sécurisées, bref, on ne sait rien du tout. Alors forcément, moi je m'inquiète surtout que leur mail annonce clairement que d'autres travaux suivront, "avec des hôpitaux ou des institutions privées ou publiques". Donc on accepte qu'ils signent à notre place un chèque en blanc avec nos données pour des projets futurs dont personne ne connaît le contenu et basta, tout ça sous couvert d'intérêt légitime. Ce n'est que mon avis mais je trouve ça vraiment léger.

Alors oui, tout ça est parfaitement légal. Doctolib s'appuie sur la méthodologie MR-004 de la CNIL , qui encadre la recherche en santé et autorise justement ce fonctionnement par opposition plutôt que par consentement. Rien d'illégal là-dedans. Mais légal ne veut pas dire que je dois être d'accord.

Et c'est bien ça le problème... Ce cadre légal permet à une entreprise privée comme Doctolib de considérer que nos données de santé lui appartiennent assez pour les offrir (ou les revendre, je n'en sais rien ??) à la recherche, tant que vous ne levez pas la main pour refuser.

Doctolib tente de nous rassurer aussi en expliquant que les données sont pseudonymisées et "ne permettent pas de nous identifier directement". Notez bien le "directement", lol, ça ne se mouille pas trop. En réalité, pseudonymisé, ça ne veut pas dire anonyme... Ça veut seulement dire qu'on a remplacé votre nom par un code, mais que le lien existe toujours quelque part et reste réversible. Aux yeux de la loi, ça reste encore vos données personnelles. La vraie anonymisation, elle, est irréversible, et ce n'est pas ce dont on parle ici.

Et puis il y a le contexte... Non, Doctolib n'a pas subi de grosse fuite de données, il faut être honnête là-dessus mais on nage actuellement dans un écosystème tech en France qui prend l'eau de partout : 33 millions de Français touchés par le piratage des mutuelles Viamedis et Almerys début 2024, une quinzaine de millions de plus avec la fuite Cegedim en 2026. Chaque base de données de santé qui se constitue quelque part, c'est une cible de plus.

Et il y a un mois à peine, le Canard Enchaîné accusait Doctolib de transmettre des infos à Google, Microsoft et Anthropic pour de l'IA. Doctolib a répondu que ces boîtes n'étaient que des prestataires techniques qui n'entraînent pas leurs modèles avec vos données. Alors peut-être, hein, mais quand on nous demande de faire confiance sur parole pour des données aussi intimes que notre santé, l'inquiétude a le droit d'exister.

Bref, moi je m'oppose, et si vous êtes sur Doctolib je vous invite au moins à décider en connaissance de cause. Le mail est probablement arrivé dans vos spams, donc pour refuser, sachez que ça se passe dans les paramètres de confidentialité de votre compte, via le formulaire d'exclusion de la recherche . Ça bloque toute utilisation future de vos données et de celles de vos proches, sans aucun impact sur vos rendez-vous ni sur vos soins. Faites-le avant août 2026, car c'est le moment où le premier projet démarre.

Enfin bref, moi je pense qu'on devrait avoir à donner son accord, et pas à courir derrière ces boites pour retirer un accord qu'on n'a jamais donné en pleine conscience... C'est ça qui me dérange surtout.


Windows cache un identifiant secret que Microsoft file au FBI

Wed, 08 Jul 2026 14:55:15 +0200 - (source)

Putain, c'est abusé, vous allez voir ! Peter Stokes, 19 ans, accusé d'appartenir au groupe Scattered Spider, enchaînait les VPN et changeait de pays pour brouiller les pistes mais le FBI l'a quand même coincé. Et vous savez grâce à quoi ?

Hé bien grâce à un petit numéro planqué dans son Windows. C'est Microsoft qui l'a mouchardé aux enquêteurs et ça a suffi pour le relier à une intrusion malgré tous ses VPN.

Et alors me direz-vous, vous aussi vous avez un numéro sur votre machine qui peut servir à vous identifier... Ce truc s'appelle le GDID, pour Global Device Identifier et c'est un identifiant unique qui est attribué lors de chaque installation de Windows. Il sert à la télémétrie, au rapport de plantage, à la vérification des licences et surtout il reste constant même après des mises à jour.

Vous ne le voyez jamais, vous ne l'avez jamais choisi, et il ne bouge pas d'un poil quand vous changez d'adresse IP. Normal, un VPN protège la couche réseau, mais pas ce que laisse fuiter votre OS. Et ça on l'apprend dans la plainte de 39 pages qui a été rendue publique début juillet, où elle expliquait comment Microsoft a fourni au FBI l'historique des adresses IP rattachées à ce GDID précis.

Les enquêteurs n'ont eu qu'à croiser ça avec les comptes perso de Stokes, de son compte Apple à ses comptes de gaming, en passant par Snapchat et Facebook, pour finalement découvrir des adresses IP à Tallinn, New York, ou encore la Thaïlande, ce qui correspond exactement à ses déplacements.

Le mec pouvait empiler 10 VPN s'il le voulait, Microsoft le suivait à la trace quand même. Et c'est là que ça me hérisse le poil, parce que le problème, ce n'est pas que la justice ait serré un type accusé d'avoir extorqué des millions. Ça, c'est le boulot du FBI, et tant mieux s'ils l'ont arrêté.

Non, le vrai problème, c'est que Microsoft dispose d'un identifiant permanent sur plus d'un milliard de machines, qu'ils ne communiquent pas dessus, qu'ils le partagent tranquille sur demande, et qu'on ne peut même pas le désactiver.

Alors on fait quoi ? Bah déjà, on arrête de subir. Vous pouvez installer Windows 11 sans compte Microsoft pour couper une partie de la laisse, désactiver la télémétrie facultative pour limiter les autres fuites, ou carrément regarder du côté d'une stack privacy européenne . Aucune de ces astuces ne touchera au GDID par contre, car il n'y a aucun bouton pour ça, et c'est bien ça le fond du problème.

Mais bon, j'imagine que des petits malins vont sortir des logiciels qui vont permettre soit de désactiver ce numéro ... Et là, vous pourrez compter sur moi pour que je vous le partage. Quoi qu'il en soit, quand vous utilisez Windows, gardez juste en tête que vous n'êtes jamais vraiment seul. Et que quelqu'un vous épie en permanence... Brrrr.

Source


Proton 11 ressuscite Dino Crisis et Resident Evil sur Linux

Wed, 08 Jul 2026 14:42:43 +0200 - (source)

Je sais pas si vous avez vu mais Valve vient de sortir Proton 11, la nouvelle version stable de sa couche de compatibilité qui fait tourner les jeux Windows sur Linux via Steam Play. Et cette fois, c'est basé sur Wine 11, donc il y a pas mal de "nouveaux" vieux jeux qui sont maintenant jouables.

Parmi ces nouveautés, on retrouve donc Resident Evil premier du nom, celui de 1996, Resident Evil 2, Dino Crisis et Dino Crisis 2, SHOGUN: Total War, Gothic 1 Classic, Breath of Fire IV, Deadly Premonition ou encore Metal Fatigue. Et à côté de ces reliques, il y avait aussi des trucs plus récents comme METAL GEAR SURVIVE, Warhammer: Vermintide 2 et X-Plane 12.

Et pour les jeux qui étaient déjà jouables, Proton 11 affine encore le support de ces derniers pour les rendre encore plus jolis ou plus rapides ou avec moins de bugs etc. Je pense notamment à Cyberpunk 2077, The Witcher 3, Death Stranding 2, Helldivers 2, ARC Raiders, THE FINALS, Titanfall 2, Satisfactory, Metal Gear Solid 2, Oblivion GOTY ou Call of Duty 2.

Donc autant dire que si vous jouez sous Linux ou sous Steam Deck, je pense que vous êtes concerné par cette mise à jour. Et puis il y a un truc dont je ne vous ai pas parlé encore, c'est les correctifs qui font zizir. Je pense notamment au hot plug des manettes qui a été amélioré, notamment pour la 8BitDo Ultimate 2C et toutes les manettes qui exposent plusieurs périphériques HID. Sur KDE, la maximisation des fenêtres a aussi été corrigée, sans oublier le rendu des pop-ups du Rockstar Launcher ou encore la détection du fuseau horaire qui devient plus fiable. Même le lecteur multimédia Kodi passe mieux sous cette version, ce qui est top !

Ce passage sur Wine 11, c'est justement celui qui avait montré des gains de perf assez dingues au moment des premiers benchmarks NTSync et maintenant que c'est dans le Proton officiel, tout le monde y a droit sans bidouiller !! Pour l'installer, rien de sorcier, comme d'habitude, vous allez sur Steam, vous faites un clic droit sur un jeu, vous cliquez ensuite sur "Propriétés", et puis vous allez dans l'onglet "Compatibilité". Et là, vous sélectionnez la branche Proton 11.

Et voilà ! En tout cas, je suis content de voir que jouer sur Linux n'est plus un parcours du combattant . Avec le Steam Deck et cette compatibilité qui grignote chaque jour un peu de terrain, Windows perd de plus en plus son statut de passage obligé pour le jeu PC....

Source : 9to5Linux


Cette Atari Jaguar de 1993 boote sous Linux avec 2 Mo de RAM

Wed, 08 Jul 2026 14:12:21 +0200 - (source)

Une Atari Jaguar, la console de 1993 qu'Atari vendait comme la première machine 64 bits et que le marché a snobée, vient de booter sous Linux pour la première fois ! Derrière ce hack, un développeur connu sous le pseudo de Cakehonolulu , qui a collé un vrai noyau sur le Motorola 68000 de la bécane.

Le 68000 n'a pas de MMU , ce circuit qui gère la mémoire virtuelle et dont dépend le Linux que vous faites tourner sur votre PC. Sauf que le noyau embarque depuis toujours une branche pour les puces qui en sont privées, l'antique μClinux , et c'est elle qui fait tout le taf ici.

La Jaguar offre seulement 2 Mo de RAM et jusqu'à 6 Mo de ROM sur la cartouche, du coup Cakehonolulu a coupé le noyau en deux : le code qui ne bouge pas, le .text et le .rodata, reste dans la ROM et s'exécute directement depuis là en XIP, pendant que les données qui changent atterrissent dans les 2 Mo de RAM. Bref, chaque octet compte.

Après, ce n'était pas simple non plus parce que le 68000 ne sait pas lire une donnée qui serait mal alignée en mémoire. Alors que les processeurs modernes savent le faire sans broncher. Et comme le cross-compilateur d'Ubuntu générait quand même ce type de données mal alignées, alors qu'on lui précise bien que la cible c'était un 68000, ça faisait des plantages en cascade.

L'astuce a donc été de recompiler tout le toolchain à la main, puis de bâtir un user space minimal avec BusyBox et uClibc, tout ça en binaire FLAT au lieu du classique format ELF.

Et voilà, la Jaguar affiche maintenant fièrement ses 1,04 BogoMIPS. Soit une puissance de feu qui ferait chialer une calculatrice. Mais bon, elle boote et c'est le principal. Si vous avez encore une Jaguar dans un placard, vous pouvez parfaitement installer ça dessus, puisque le code est disponible sur GitHub .

Voilà, c'est assez génial parce qu'en fait, ça montre bien que Linux est vachement résilient. On est en 2026 et pourtant, le support des 68000 est encore présent dans le noyau, et bien vivant même !

Voilà, tant que ce bon vieux noyau gardera tous ses vieux pilotes, eh bien n'importe quelle console oubliée pourra toujours renaître avec un petit terminal dessus. Et ça, je trouve que ça clôt tous les débats sur la conservation et le poids du code legacy dans le kernel.

Source


Ça c'est ma veille tech

Wed, 08 Jul 2026 14:05:22 +0200 - (source)

Ça fait un moment que ça me trotte dans la tête et vous êtes plusieurs à me réclamer régulièrement ma veille, comme dans la chanson, en mode "Allez Korben, montre-nous tes RSS, allez Korben montre-nous tes flux !". C'est vrai que c'est un peu le nerf de la guerre pour moi et avoir un outil pour vous les afficher en direct sur le site, je me suis dit que ça allait vous plaire !

https://korben.info/news

Donc voilà, ma veille tourne maintenant en temps réel sur korben.info. C'est en bêta depuis une semaine, et je m'en sers maintenant tous les jours puisque ça fonctionne plutôt bien. Je vois défiler ce qui arrive, et hop, "ah tiens ça c'est cool, je vais tester", ou "tiens, ça je vais en parler".

Parce qu'il faut pas oublier un truc, c'est que l'actu tech défile à une vitesse que vous n'imaginez pas et que je suis atteint d'un FOMO carabiné. Mais tout voir, tout suivre et tout traiter, ce n'est pas possible. Donc je fais comme j'ai toujours fait, c'est-à-dire que je suis mes envies, mon humeur. Parfois je fais un peu plus d'actu, parfois je teste plus d'outils, parfois je fais des petits tutos. Voilà, ça dépend un peu de ce que j'ai envie de faire à l'instant T.

C'est assez aléatoire, je vous l'accorde.

Et comme je viens d'ouvrir une section avec des contenus un peu plus grand public, histoire d'ouvrir le site à de nouveaux lecteurs, c'est aussi l'occasion de voir ce qui se dit ailleurs, sur des médias plus tech grand public, là où moi je pars parfois dans des sujets un peu plus "barbus".

Voilà, j'ai nettoyé un peu tout ça pour virer les trucs pas terribles et là vous avez l'essentiel de l'actu tech (et un peu science) en temps réel. Ce que je vous recommande, si ça vous branche, c'est de mettre la page au démarrage de votre navigateur, comme ça vous êtes au courant de tout ce qui se passe sans rien faire. Vous avez juste à suivre le flux et puis vous pouvez filtrer en français ou en anglais et également trier par fraîcheur ou popularité.

Voilà, amusez-vous bien et encore un grand merci aux Patreon qui me soutiennent parce que c'est grâce à vous que je peux m'amuser à bricoler des petites nouveautés comme ça sur le site.

Ma veille, c'est par ici .


Le retour de Movie Maker montre la lourdeur de Clipchamp

Wed, 08 Jul 2026 13:32:45 +0200 - (source)

Vous vous souvenez de Windows Movie Maker ? Mais siiii, ce petit logiciel de montage livré avec les Windows depuis l'époque de Windows ME ? C'est celui sur lequel vous avez bricolé vos premiers diaporamas de vacances avec des transitions en forme d'étoile. Aaah, ça vous parle maintenant, hein ?

Eh bien, ces gros méchants de Microsoft l'ont laissé mourir en janvier 2017. Mais heureusement, SkylerDaGirl vient de le remettre au goût du jour et vous pouvez maintenant télécharger un installer fonctionnel sur Internet Archive qui va vous permettre d'installer la V6.0.

Le site Windows Latest l'a testé et apparemment c'est incroyable parce que Movie Maker s'est contenté d'une vingtaine de Mo de RAM alors que son remplaçant officiel, Clipchamp, lui, en réclamait près de 800 Mo pour faire globalement la même chose. D'après les captures d'écran du testeur, ça fait à peu près 97% de mémoire en moins pour l'ancêtre. Une fois encore, ça prouve que les logiciels modernes sont comme nous, ils grossissent au fil des années...

Maintenant, si vous cherchez plutôt du léger côté navigateur, il y a d'ailleurs des alternatives modernes comme Cutia ou Pikimov qui tournent sans installer une usine à gaz.

Après, je ne vous conseille pas non plus de passer sur Windows Movie Maker, parce que déjà, ce n'est pas un logiciel supporté officiellement par Microsoft. Ces derniers n'ont absolument rien ressuscité. Et puis ces fameux 97%, c'est une mesure qui a été réalisée par un seul testeur et pas vraiment un benchmark qu'on peut reproduire. Donc bon, vous pouvez essayer, mais il n'y a aucune promesse.

Et surtout, gros panneau ACHTUNG ACHTUNG côté sécurité puisque ce build n'est plus supporté par Microsoft depuis neuf ans, donc zéro correctif, zéro garantie sur ce que contient réellement l'installeur.

M'enfin, pour ceux qui aiment gratter la nostalgie apprécieront ce portage et également l'effet VHS de ntsc-rs pour donner à vos exports ce grain d'époque qui va bien avec l'esthétique Movie Maker ^^.

Source


Test du MOVA ViAX 500 : cette tondeuse a converti un jardinier qui ne voulait pas de robot dans son jardin

Wed, 08 Jul 2026 13:21:31 +0200 - (source)
- Contient des liens affiliés Amazon -

J'ai reçu en test ce robot tondeuse d'une gamme grand public accessible pour le tester en conditions réelles. J'ai moi-même un petit jardin, mais pour le tester, j'ai préféré apporter l'objet chez une personne de mon entourage qui avait un jardin plus grand, plus compliqué, meilleur terrain de test.

Sauf que voilà, le propriétaire du jardin ne voulait pas de cette machine, il me l'a dit assez clairement, et il a fallu exactement trois jours de tonte automatique pour qu'il révise complètement son jugement, ce qui en dit beaucoup sur ce que le MOVA ViAX 500 fait réellement une fois posé sur une pelouse.

Aucun câble périphérique à enterrer, aucune antenne RTK à planter en vue dégagée du ciel, ce boîtier de correction satellite que la plupart des tondeuses dites sans fil imposent pourtant encore aujourd'hui. Vous branchez la station de charge près d'une prise, et c'est tout, ça fonctionne, dans le silence.

La cartographie de votre jardin se fait au téléphone, en pilotant le robot comme une voiture télécommandée pour lui faire faire le tour du terrain, pendant qu'il regarde et mémorise, ce qui a pris dans notre cas une petite vingtaine de minutes, et est franchement ludique.

Screenshot

MOVA a équipé son robot de ce que la marque appelle l'UltraEyes 2.0, un assemblage de deux caméras à haute plage dynamique et d'un LiDAR 360°, ce télémètre laser rotatif qui balaie les alentours en continu pour mesurer les distances, avec une reconnaissance annoncée de plus de 300 types d'obstacles.

Sur les 270 m² du jardin d'essai, en pente par endroits, encombrés de plusieurs voitures garées à l'arrache et des jouets qu'un brave toutou sème un peu partout, la machine n'a absolument rien écrasé ou percuté. Zéro accroc. Ni le chien, qui n'a même pas tiqué à la vue du robot, ni ses jouets.

Le disque de 20 cm et ses trois lames rasoir pivotantes coupent quelques millimètres à chaque passage et redéposent l'herbe broyée au sol, où elle se décompose en engrais. Du coup, aucun sac de tonte ne nécessite des aller-retours pénibles à la déchetterie. Le niveau sonore est quasi inaudible, le voisinage du dimanche ne s'en apercevra même pas si vous passez le robot à des heures "interdites".

C'est quand même une bascule philosophique, cette histoire : soit vous gardez la main sur votre gazon et sur sa pousse, soit vous déléguez tout ça à un robot. Le débat de l'aspirateur robot, transposé dehors. Si vous voulez mon avis, un transat et un bouquin valent mieux qu'un après-midi derrière une tondeuse thermique.

La hauteur de coupe se règle à la main sur la machine entre 2 et 6 cm, ce qui ne pose aucun problème, il suffit de le régler une fois pour toutes selon vos préférences. Après il faut être honnête, les 40% de pente annoncés sont un peu optimistes, deviennent plutôt 25 % quand on veut rouler serein. Pour le reste, tout est vraiment ok, ce qui est une bonne surprise pour un produit de cette gamme, quand même franchement accessible.

MOVA affiche 749 € en prix conseillé, mais le ViAX 500 se trouve régulièrement autour de 599 € sur Amazon. C'est vraiment un super produit si vous avez un jardin de taille raisonnable à entretenir, et que vous ne voulez pas vous prendre la tête avec ça.

Vous pouvez commander la bête ici sur Amazon !


Votre prochaine barrette de RAM sera-t-elle un champignon ?

Wed, 08 Jul 2026 12:18:02 +0200 - (source)

Un champignon shiitake qui fait office de mémoire informatique genre RAM, c'est la trouvaille d'une équipe de l'Ohio State University. Et l'idée a l'air bien plus sérieuse qu'elle n'en a l'air...

John LaRocco et Qudsia Tahmina ont pris du mycélium de shiitake, l'ont cultivé sur des graines de farro, du germe de blé et du foin, puis l'ont déshydraté. Après une brève réhydratation, ils ont ensuite branché le tout à un oscilloscope et un microcontrôleur Arduino et là, le champignon s'est mis à fonctionner comme un memristor , c'est-à-dire un composant capable de se souvenir de son dernier état électrique.

Utilisé comme RAM, leur champignon magique a tenu jusqu'à 5 850 Hz avec une précision de 90 %, et ça grimpe à 95 % en basse fréquence. La performance chute donc quand on monte en fréquence, sauf que les chercheurs ont trouvé la parade. Il suffit en réalité de connecter plusieurs champignons ensemble sur le circuit, un peu comme des groupes de neurones qui bossent en équipe dans votre cerveau.

Alors vous allez me dire quel est l'intérêt de ce truc ?

Eh bien un memristor-champignon, c'est biodégradable, ça résiste aux radiations, ça encaisse la déshydratation, et ça coûte une misère à fabriquer et à alimenter. Et surtout, avoir des puces biologiques qui imitent l'activité neuronale réelle, ça veut dire qu'on n'a plus besoin d'une tonne d'énergie quand la machine tourne au ralenti ou ne sert pas. De quoi intéresser l'informatique embarquée, l'aérospatial, les wearables ou tout ce qui doit calculer des trucs sans grosse batterie. Détail rigolo, une partie des travaux est financée par le Honda Research Institute !

Maintenant, accrochez-vous, parce qu'un paquet de médias vous ont vendu ce champignon comme LA solution à la pénurie mondiale de RAM mais faut se calmer ! L'étude publiée dans PLOS ONE ne parle jamais de pénurie, et encore moins de Samsung, SK Hynix ou Micron et ce rapprochement n'a pas été fait par les chercheurs, mais par les journalistes.

Donc non, ce champignon n'est pas pour le moment une option afin de contrer la pénurie de RAM. Parce que soyons clairs, 5 850 Hz c'est mignon, mais votre DDR5 tourne dans les gigahertz ! On n'est pas du tout sur le même ordre de grandeur, ce qui fait que ce bon vieux shiitake ne remplacera pas votre barrette. Il vise plutôt tout ce qui est calcul neuromorphique basse conso, et pas du tout le marché du gaming, hein ^^.

La pénurie de RAM de cette année n'a rien de fongique. En fait, les trois géants qui pèsent près de 90 % de la production mondiale ont réorienté leurs usines vers la HBM, une mémoire ultra-rapide que s'arrachent les accélérateurs IA. Résultat, les prix de la DRAM ont bondi d'environ 90 % au premier trimestre, Micron a carrément lâché le marché grand public, et une class action déposée en Californie soupçonne les fabricants de s'être entendus sur les tarifs. On est donc loin des champignons du potager. Maintenant, si le sujet du silicium fait maison vous parle, jetez quand même un œil à ce type qui fabrique de la RAM dans sa cabane .

Mais bon, quoi qu'il en soit, faire de l'informatique avec du vivant, c'est possible depuis un petit moment. On a déjà vu des neurones artificiels en bactéries discuter avec nos cellules, et c'est probablement une piste pour la décroissance forcée qui va bientôt nous arriver dans la gueule.

Bref, ce champignon ne remplacera pas votre DDR5 de sitôt mais un composant biodégradable qui fait des calculs tout en résistant aux radiations, cultivé sur du foin et financé par Honda, perso je trouve que c'est cool ^^.

Source


GitLost - Un seul mot suffit pour faire cracher ses dépôts privés à l'IA de GitHub

Wed, 08 Jul 2026 11:04:42 +0200 - (source)

Et c'est reparti pour un tour ! Qu'est-ce que vous pensez d'un dépôt privé sur Github qui serait capable d'exfiltrer tout seul son propre code dans une section commentaire visiblement publiquement par tout le monde. Ce serait ouf non ?

Hé bien c'est le tour de passe-passe que Sasi Levi, de chez Noma Security, vient de réussir grâce à l'agent IA de GitHub. Et vous allez voir, c'est tout con, donc c'est hyper flippant.

Cette attaque s'appelle GitLost et la cible, c'est le GitHub Agentic Workflows, un système qui colle un agent IA (tournant sur Claude ou Copilot) à vos GitHub Actions pour qu'il bosse tout seul sur vos tickets. C'est un setup où l'agent a un accès en lecture à vos repos privés et se réveille dès qu'une issue lui est assignée. C'est super pratique, sauf que... c'est un vrai piège qui peut se refermer très vite sur vous.

Ça commence en fait par une simple issue dans un dépôt public. Rien de sorcier, pas de commit vérolé, pas de serveur MCP malveillant. Juste du texte, avec des instructions planquées en anglais au milieu du ticket. L'agent lit alors cette issue, tombe sur les instructions cachées à l'intérieur et les considère comme des ordres légitimes.

Et c'est là que ça part en couille, puisqu'après il part gentiment chercher le contenu d'un README qu'on lui demande dans un dépôt privé auquel il a accès (dans la démo, sasinomalabs/testlocal). Jusqu'ici, c'est l'exfiltration classique du prompt injection, sauf que d'habitude, il faut ruser pour faire sortir la donnée avec une image markdown piégée, une requête réseau vers un serveur qu'on contrôle, un canal caché...etc.

Mais dans le cadre de cette attaque GitLost, eh bien il n'y a pas besoin de tout ça. En fait, l'agent recopie bêtement le contenu privé dans un commentaire public sur l'issue de départ et c'est terminé. C'est donc lisible par n'importe qui passant sur le repo public.

Lors des tests, le modèle refusait quand même parfois d'obéir aux instructions cachées. Mais le chercheur a trouvé une parade qui est d'ajouter le mot "Additionally" dans le prompt. Ce simple connecteur suffit à lui faire reconsidérer son refus et exécuter la commande. Attention, "Additionally" n'est pas une formule magique qui débloque toutes les IA de la Terre, Mais parfois ça suffit à faire sauter les garde-fous. C'est dire à quel point la sécurité de ces modèles est solide...

Si ça vous rappelle quelque chose, c'est normal. On a déjà eu CamoLeak , qui transformait Copilot en espion via un commentaire GitHub, avec une exfiltration bien plus léchée (image markdown, score CVSS de 9,6). Et en fait GitLost, c'est vraiment la version feignasse. En gros, c'est la même famille d'attaque, sauf que cette fois l'attaquant n'a pas à se fatiguer.

On avait aussi vu une bibliothèque Java piéger les IA codeuses pour qu'elles effacent vos tests, donc je pense que vous connaissez la chanson... Méfiez-vous des agents qui écrivent du code sans surveillance parce qu'ils sont devenus une véritable cible pour les cybercriminels.

Voilà, donc non, GitHub n'est pas "troué" et la config vulnérable est très précise puisqu'il faut un agent avec accès en lecture cross-repo ET déclenché par des entrées publiques. Et il y a très peu d'orgas qui tournent exactement comme ça. Noma a bien sûr signalé la faille à GitHub de façon responsable, aucune CVE n'a été attribuée à ce jour, et y'a eu aucune confirmation publique d'un correctif de leur côté pour le moment.

Ne traitez donc jamais le texte d'un utilisateur comme une instruction de confiance, isolez les entrées, collez au strict minimum de permissions. C'est le même délire quand on contrôle les entrées dans un formulaire finalement...

Source


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles