Google vient de publier son rapport annuel sur les failles zero-day. En 2025, son équipe de renseignement a comptabilisé 90 vulnérabilités exploitées avant d'être corrigées. Près de la moitié visaient des équipements d'entreprise, un record, et les vendeurs de spyware passent en tête du classement pour la première fois.

90 failles, 43 contre les entreprises

Le Google Threat Intelligence Group a suivi 90 failles zero-day exploitées dans la nature en 2025, contre 78 en 2024 et 100 en 2023. Le chiffre global reste dans la même fourchette, mais la répartition a changé. 43 de ces failles ciblaient du matériel ou des logiciels d'entreprise, soit 48 % du total. C'est du jamais vu.

Si vous avez déjà tapé [ss -tulnp](https://www.it-connect.fr/lister-les-ports-en-ecoute-sous-linux-avec-lsof-netstat-et-ss/) dans un terminal, vous savez que c'est moche. Genre, VRAIMENT moche. Les colonnes qui se chevauchent, les adresses tronquées, bref c'est un festival du bordel. Mais c'était sans compter sur ce dev qui a pondu Snitch , un outil en Go sous licence MIT qui vient concurrencer ss et netstat... sauf que pour une fois, c'est lisible, regardez :

L'interface de Snitch en action, sobre et lisible

Goldman Sachs - qui n'est pas vraiment anti-capitaliste (https://fr.wikipedia.org/wiki/Goldman_Sachs) - dit que l'IA a eu zéro impact sur la croissance de l'économie américaine.
Et que 92% de la croissance vient... de l'investissement dans les datacenters et GPU (c'est à dire que la croissance vient de dépenses colossales qui n'ont aucun avenir de rentabilité).
Comment imaginer que ça ne va pas se casser la gueule ?
(Permalink)

L'administration américaine plancherait sur un portail web, appelé freedom.gov, qui agirait comme un VPN d'État. Le but ? Permettre aux internautes du monde entier d'accéder aux contenus bannis dans leur pays. Le projet, présenté comme un outil anti-censure qui profiterait aux citoyens situés dans des pays répressifs, pourrait aussi être tourné contre l'Europe et ses efforts de régulation du net.

[Deal du jour] Le PlayStation Plus est un abonnement qui permet de jouer en ligne sur PlayStation 5, et qui met à votre disposition un immense catalogue de jeux sans surcoûts. Les formules Premium et Extra baissent en ce moment de prix.

Vous êtes sous #Android ? Vous êtes en Europe ?
Alors avez-vous pensé à supprimer votre identifiant publicitaire Google ?

Cet identifiant est partagé par tous les databrokers pour vous suivre à la trace dans toutes les applications (https://youtube.com/watch?v=UZjPHnN482M).
Ce n'est pas parfait mais en le supprimant, vous leurs compliquez la tâche.

Paramètres Android > Google > Tous les services > Annonces > Supprimer l'identifiant publicitaire.
(Permalink)

Discord se merdifie ? Il y a Framateams !
(Limitations : 500 membres par groupe, 2000 canaux, 20 Mo par attachement, supprimé au bout d'un an).
(Permalink)

VOILÀ pourquoi on ne veut pas de ces purins d'IA: un système d'opération crânien contenant de l'IA a menti aux chirurgiens sur la position des instruments à l'intérieur du crâne des patients.
Avec pour résultat une bonne centaine d'incidents et des dégâts physiques.

Je ne veux pas me faire vibe-opérer. Pourquoi j'en voudrais dans mon métier d'informaticien ?
(Permalink)

Vous vous souvenez des cassettes VHS ?

Bon, là rien à voir avec le magnétoscope de mémé qui clignote à 12:00 mais je suis quand même content de vous présenter VHS , un petit outil open source concocté par la team Charm dont je vous ai déjà parlé.

Y'a pas longtemps, je cherchais un moyen propre de faire une petit démo d'un projet perso et je ne sais pas si vous connaissez Terminalizer (j'en avais déjà parlé), mais là pour le coup, j'ai préféré l'approche de VHS parce qu'au lieu d'enregistrer votre terminal en "live" comme Terminalizer et de me faire stresser à chaque faute de frappe, ça me permet de scripter entièrement en amont ma démo.

Trump et les américains savent que TikTok est immensément populaire.
Sous couvert de "protéger" le peuple américain, ils ont menacé de bannir TikTok dans tout le pays si les Chinois refusaient de céder la branche américaine. Ce qu'ils ont fait.
TikTok USA est donc maintenant la propriété de Larry Ellison, le PDG d'Oracle qui se vante d'avoir des fichiers sur 5 milliards de personnes (https://sebsauvage.net/links/?x1youw) et qui pensent que les gens se comporteraient mieux dans une société sous surveillance totale (https://sebsauvage.net/links/?OjjOlw).

Et devinez quels sont les premiers changements de TikTok ?
Surveiller les utilisateurs en collectant leur position GPS exacte.
(Ce qui peut être très pratique pour fliquer ceux qui filment - HASARD - la police, j'imagine.)

L'algo de recommandation de TikTok va bien sûr aussi rapidement changer (https://sebsauvage.net/links/?Bqa0GQ).

En gros, ils sont en train de faire très exactement ce qu'ils reprochaient aux Chinois: Trafiquer l'algo pour influencer et collecter plein de données.
(Permalink)

Les gars de chez LLNL (Lawrence Livermore National Laboratory) sont des bons ! De vrais spécialistes en sécurité informatique qui ont pondu un outil à essayer si vous passez vos journées dans les entrailles des binaires.

Ça s'appelle OGhidra , et c'est une extension qui fait le pont entre le célèbre framework de reverse engineering Ghidra et la puissance des modèles de langage (LLM).

Comme ça, plutôt que de vous péter les yeux sur des milliers de lignes de code décompilé, vous pouvez simplement "discuter" avec les fonctions ou les strings extraites. Grâce à une intégration avec Ollama, OGhidra permet d'interroger les représentations du binaire en langage naturel pour identifier des vulnérabilités, renommer intelligemment des fonctions ou expliquer des algorithmes complexes. Attention toutefois, comme avec tout LLM, les résultats doivent être validés manuellement (les hallucinations, ça arrive même aux meilleurs !).

En complément : la photolithographie, c’est utiliser de la lumière pour graver une surface. La gravure se fait grâce la méthode du pochoir : un masque est placé sur la surface et seules les parties non masquées sont illuminés.

En matière de gravures de puces, il faut déjà avoir une plaque, généralement un disque, en semi-conducteur (du silicium). Ce disque est lui-même déjà une œuvre d’ingénierie car c’est un mono-cristal : il est produit par synthèse en phase vapeur à partir d’une amorce (un petit cristal). Le monocristal pousse en longueur jusqu’à faire une centaine de kilos typiquement. On fait ensuite des tranches, que l’on coupe selon les plans cristallins, et on grave ensuite ça par photolithographie.

Le disque est recouvert d’une couche d’oxyde métallique (le « O » dans « CMOS ») et de résine photosensible, et via un masque (imprimé sur un des miroir dont parle Korben), le rayonnement vient impacter le disque en silicium. La résine s’en retrouve modifiée, et un bain d’acide fluorhydrique permet ensuite de retirer la résine qui a été altérée et d’attaquer l’oxyde en dessous. Les zones non impactés conservent leur oxyde, et c’est comme ça qu’on forme les transistors : deux zones avec oxyde, et une zone centrale sans)

Le disque, d’une vingtaine de centimètres, est gravé successivement de façon à contenir plein de circuits intégrés côte à côte. Une fois les gravures effectuées, le disque est découpé en petits carrés d’environ 1 cm² : c’est la puce finale.

Si les miroirs doivent être parfaits, c’est pour ne pas déformer le masque du circuit. Une façon d’obtenir des miroirs aussi réguliers, c’est sur un bain de mercure : le mercure est liquide, donc sa surface extrêmement lisse, et on y verse un métal dessus (ou on le vaporise). La surface du métal en sera très lisse aussi. Parfois (en astronomie, pour les téléscopes), le mercure est lui-même utilisé comme miroir. Le bain de mercure, s’il est mis en rotation, par l’effet centrifuge, va produire une surface en forme de parabole, produisant un miroir parabolique parfait.

Si l’on utilise aujourd’hui des technos en UV, et même UV lointain, c’est pour avoir des longueurs d’ondes de plus plus fines et donc pouvant être focalisées plus finement aussi, et donc graver le silicium plus finement également.

Ces UV sont produit en échauffant des ions d’étain à des températures de 200 000 K. Notons que ce sont les atomes qui ont une excitation telle que ça correspond à une température élevée. Si l’on y plaçait sa main, ça ne serait probablement pas chaud. Un peu comme quand on dit que la thermosphère est à 300-1000 °C : les atomes sont super rapides, mais comme il y en a très peu, ils ne peuvent pas nous brûler.

Bref, une puce électronique, c’est une merveille scientifique et technologie du début à la fin.
Tout ça n’a pas été inventé du jour au lendemain par contre : ça s’est évidemment fait petit à petit, jusqu’à produire des machines extrêmement complexes aujourd’hui (mais moins que demain : je me demande s’ils vont un jour réussir à manipuler des X).

Ah et chez Intel par exemple, quand on parle des puces i3, i5, i7 ou i9 : ce sont les mêmes puces. C’est juste que les i3 ont davantage de défauts dans le réseau cristallin que les autres (et les i9 en ont le moins).
Le réseau cristallin n’est pas parfait, et parfois un défaut peut empêcher une partie du circuit de fonctionner. Selon la partie impactée, la puce peut toujours fonctionner, juste avec moins de mémoire cache, ou avec une unité de calcul en moins (donc moins vite). Le fabriquant classe chacune des puces selon la moins endommagée à la plus endommagée, et ils sont alors vendues plus ou moins chères.

Enfin, quand on parle de gravure en 10 nm, 5 nm voire 2 nm, c’est essentiellement du bullshit commercial. Les gravures ne vont aujourd’hui pas aussi bas. Ce n’est pas possible : un transistor si petit ne fonctionnerait pas car il le courant passerait entre ses bornes quelque soit son état (par effet tunnel quantique notamment).

D’autres liens sur ce sujet :
https://couleur-science.eu/?d=10d2d2--cest-quoi-un-semi-conducteur (une série d’articles)
https://www.flickr.com/photos/timovn/37784633016/ (un wafer en silicium vu à la loupe — on peut en trouver sur eBay, pas cher et anciens)
https://next.ink/208887/nextquick-la-finesse-gravure-en-nm-ne-veut-plus-rien-dire-cest-juste-du-marketing/

— (permalink)

Vous avez un serveur dans un placard, un NAS chez vos parents, ou une machine headless qui fait des siennes et qui refuse de booter correctement ? Alors vous connaissez forcement cette galère quand c'est impossible d'y accéder à distance parce que l'OS a crashé, que le réseau ne répond plus, ou que vous avez besoin de tripatouiller le BIOS pour changer un réglage.

Ah mais c'est terminé ces galères de cro-magnons, car il existe maintenant un petit boîtier open source qui règle tout ça et qui s'appelle LeafKVM. C'est un KVM over IP sans fil, avec un écran tactile intégré, qui vous permet de prendre le contrôle total d'une machine depuis votre navigateur web, sans avoir besoin d'installer quoi que ce soit sur la machine cible.

Si vous utilisez des conteneurs Docker au quotidien, vous allez sauter de joie car Docker vient d'annoncer que ses Docker Hardened Images (DHI), ces fameuses images ultra-sécurisées qui étaient réservées aux entreprises prêtes à cracher le pognon, sont maintenant gratuites pour tout le monde. Et c'est pas encore un truc limité avec des restrictions à la noix, non non... C'est du vrai open source sous licence Apache 2.0.

Ils proposent donc plus de 1 000 images conteneur prêtes à l'emploi, construites sur Debian et Alpine et ces images sont "durcies", c'est-à-dire qu'elles ont été débarrassées de tous les composants inutiles qui traînent habituellement dans les images de base et qui ne servent qu'à augmenter la surface d'attaque. Du coup, ça leur permet d'annoncer une réduction des vulnérabilités de plus de 95% par rapport aux images classiques. C'est pas maaaal, hein ?

Doom tournant sur un dongle HDMI Apple. Parce que en fait le dongle HDMI Apple contient un CPU ARM.

Et puis en parallèle, je suis tombé sur une discussion sur les réseaux sociaux qui se résumait à "Savez-vous combien il y a d'ordinateurs dans votre ordinateur ?"
Parce que désormais, une carte Ethernet n'est plus juste une carte Ethernet. C'est un CPU ARM qui choisit de passer les paquets à l'OS (via PCI ou autre). Et notre matériel est littéralement *rempli* de mini-ordinateurs en charge de gérer tout un tas de choses : audio, vidéo, réseau, bluetooth, wifi, USB, stockage, connectique...

Et chacun de ces mini-ordinateurs a son propre OS... et donc aussi ses failles de sécurité. Ces "OS embarqués" peuvent très bien être infecté sans la moindre trace, sans même que le système d'exploitation principal de la machine (Windows, Linux...) le voit, puisque ce sont des mémoires auxquelles l'OS n'a pas d'accès.
Les implications sont absolument énormes.

Ce qui m'amène à cet article : https://currentindia.com/channels/timesofindia/toi-world/yes-they-can-former-cia-spy-warns-agencys-tools-can-takeover-your-phone-tv-and-even-your-car/
Oui les possibilités de piratage de nos appareils sont colossales, et probablement déjà exploitées.
(Permalink)

Pendant que Burp Suite avale 500 Mo de RAM au démarrage, HTTP Breakout Proxy lui, tient dans un binaire de quelques Mo qui disparaît dès que vous fermez le terminal.

Alors HTTP Breakout Proxy c’est quoi ?

Hé bien les amis, c’est un proxy HTTP/HTTPS écrit en Go qui intercepte le trafic réseau en temps réel et vous propose une interface web pour analyser tout ce qui passe. Requêtes, réponses, headers, body, timing… Tout est capturé et affiché proprement dans votre navigateur.

Si vous voulez monter votre propre service IPTV pour vos besoins personnels et arrêter de payer des services mafieux ou décodeurs pirates pour regarder de la TV en streaming, j’ai ce qu’il vous faut en accès gratuit.

Il existe plusieurs dépôts Github qui compilent des playlists au format .m3u regroupant de nombreux streams en IPTV. Attention, comme la radio en streaming , rien d’illégal pour l’utilisateur ici, c’est tout simplement des chaînes dont les flux sont accessibles gratuitement et légalement sur le web sans décodeur.

À savoir : Si vous devez fournir un justificatif d'identité, vous pouvez utiliser ce site officiel du gouvernement français.
Il vous génère un justificatif d'identité à usage unique, en précisant le destinataire et la durée de validité. Cela évite de donner une copie de sa carte d'identité et en conséquence de moins risquer d'usurpations d'identité.
(Permalink)

Tiens c'est pas mal comme site. Simple, pratique.
(Permalink)

Petit rappel sur l'application wormhole : Elle permet de transférer un fichier ou un répertoire d'une machine à une autre. Si les deux machines sont sur le même réseau local, le transfer est direct, sinon ça passe par un relai. Et c'est chiffré de bout en bout.
Il suffit d'installer le paquet "magic-wormhole" (sudo apt install magic-wormhole)

J'ai eu la bonne surprise constater que pour Debian et ses dérivées (Ubuntu, Linux Mint...) ça utilise par défaut un relai chez Debian. Et j'ai eu du 20 Mo/seconde, ce qui n'est vraiment pas trop mal.

⬆️ Pour envoyer: wormhole send <nomdufichier>
Cela va afficher un code du genre "61-applicant-aztec".

⬇️ Pour réceptionner : wormhole receive <code>
(Exemple: wormhole receive 61-applicant-aztec)

et c'est tout.
Le code n'est valide que tant que l'expéditeur est actif. Ce code devient invalide dès la fin du transfer (ou si vous pressez CTRL+C pour interrompre l'expéditeur).

🟡 Notez que sous Android, vous pouvez prendre l'application : https://apt.izzysoft.de/fdroid/index/apk/eu.heili.wormhole
Dans la configuration :
- RendezVous : laissez la valeur par défaut.
- Transit : Entrez tcp://magic-wormhole-transit.debian.net:4001

🟡 Sous le gestionnaire de fichiers Nemo (dans Linux Mint Cinnamon), on peut se faire un raccourci dans le menu contextuel.
Créez le fichier ~/.local/share/nemo/actions/wormhole-send.nemo_action contenant:

[Nemo Action]
Name=📦 Envoyer via wormhole
Exec=wormhole send %F
Selection=s
Extensions=any
Quote=double
Dependencies=wormhole
Terminal=true

puis relancez Nemo (nemo --quit && nemo &)
Vous pouvez alors faire un clic-droit sur un fichier ou un répertoire pour l'envoyer avec Wormhole.
(Permalink)

Quelques bricoles minimale à mettre dans vos pages html pour que les navigateurs ne passent pas dans l'horrible mode "quirks".
(via https://shaarli.zoemp.be/shaare/6sLpVA)
(Permalink)

Vous venez de claquer plusieurs milliers d’euros dans une solution antivirus dernier cri pour votre boîte car le commercial vous a convaincu avec du machine learning, de l’IA comportementale, du threat hunting prédictif et j’en passe…

Cool story ! Mais si je vous disais qu’un petit exécutable open source gratuit peut potentiellement passer à travers ? Ce programme s’appelle al-khaser et je vous assure qu’il va vous faire déchanter, car ce truc, c’est le détecteur de mensonges des solutions de cybersécurité.

Vous vous souvenez quand ChatGPT est sorti fin 2022 ? La panique dans les open spaces, les titres clickbait sur la fin du travail tel qu’on le connaît, votre vieux cousin qui vous expliquait pépouse que dans 6 mois tous les devs seraient au chômage ?

Bon ben voilà, Yale vient de publier une étude qui remet les pendules à l’heure . Et je vous spoile un peu : 33 mois après le lancement de ChatGPT, le marché du travail n’a toujours pas implosé.

"So, you're saying a third of the stock market is tied up in seven AI companies that have no way to become profitable and that this is a bubble that's going to burst and take the whole economy with it?"

L'économie US ne tient que grâce à la bulle IA. Quand elle va s'effondrer (et elle VA s'effondrer), ça va être moche.
Et à cause de ces imbéciles et leur technologie foireuse, on va tous morfler.

Autre extrait de cet article: "I firmly believe the (economic) AI apocalypse is coming. These companies are not profitable. They can't be profitable. They keep the lights on by soaking up hundreds of billions of dollars in other people's money and then lighting it on fire. Eventually those other people are going to want to see a return on their investment, and when they don't get it, they will halt the flow of billions of dollars. Anything that can't go on forever eventually stops."
(Permalink)