Bon, là je vais pas y aller par quatre chemins : si vous avez installé certains packages sur l’AUR (Arch User Repository) ces derniers jours, vous avez peut-être un RAT (Remote Access Trojan) qui squatte tranquille sur votre machine sous Arch Linux. Et croyez-moi, c’est pas le genre de colocataire que vous voulez garder.

Le 16 juillet 2025 dernier, un utilisateur répondant au doux nom de “danikpapas” (compte maintenant banni, évidemment) a réussi à publier des malwares sur l’AUR. Ces saloperies sont restées en ligne pendant environ 48 heures avant que l’équipe de l’AUR ne s’en rende compte et vire tout ce bordel.

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Installez vous confortablement car cet article va être un peu long… Normal, il raconte l’histoire complètement dingue d’un gang de cybercriminels qui a littéralement fait muter un simple ransomware en startup façon Silicon Valley.

Conti, c’est l’histoire d’une organisation criminelle russe qui a généré 180 millions de dollars rien qu’en 2021, qui payait ses hackers avec des fiches de paie et des programmes “employé du mois” (si si, je vous jure), et qui s’est complètement vautrée après avoir choisi le mauvais camp dans la guerre contre l’Ukraine.

Allez, même si tous les médias vous gavent avec ça ces derniers jours, je vais quand même vous raconter l’histoire de la CVE-2025-53770, une faille SharePoint qui fait actuellement trembler Internet.

On est le 18 juillet dernier, c’est vendredi matin. Je suis tranquille posé en Bretagne, devant mon petit café, en train de scroller mes flux RSS comme d’hab. Et là, BAM ! Je vois un tweet d’un chercheur néerlandais qui me fait recracher mon café : “Quelque chose de très mauvais se passe avec SharePoint. Vérifiez vos logs. MAINTENANT.”

Si vous bossez dans la sécu ou que vous êtes juste curieux de comprendre comment fonctionnent les vulnérabilités, je vais vous parler d’un outil qui va vous changer la vie : Sploitus. C’est comme Google mais pour trouver des exploits sécu et avec un crâne-pieuvre en logo.

Créé par Anton “Bo0om” Lopanitsyn, un chercheur en sécurité web basé à Moscou, Sploitus est devenu LA référence pour trouver rapidement des exploits, des proof-of-concepts et des outils de hacking. Le site indexe en temps réel tout ce qui sort dans le domaine de la sécurité offensive et ça, c’est vraiment pratique quand vous devez vérifier si un système est vulnérable.

Vous saviez qu’il était possible de crasher SSH avec seulement 31 KB/s de trafic ? Hé oui, c’est carrement possible avec l’attaque DHEat, une vulnérabilité vieille de 20 ans qui fait encore des ravages et pourtant, personne n’en parle… Alors aujourd’hui, on va voir comment tester et sécuriser vos serveurs SSH.

SSH-Audit c’est un outil open source qui analyse vos serveurs (et même vos clients SSH) pour détecter tous les problèmes de configuration. Algorithmes obsolètes, vulnérabilités connues, mauvaises pratiques… rien ne lui échappe. Le truc cool, c’est qu’il ne se contente pas de vous balancer des erreurs à la figure. Non, non, il vous explique vraiment pourquoi c’est dangereux et vous propose des solutions concrètes.

Bon, j’ai une super nouvelle pour les fans de stratégie et ceux qui cherchent un nouveau jeu chronophage : Epic Games Store balance enfin du lourd pour son Summer Sale 2025 en offrant Civilization VI Platinum Edition gratuitement ! Et attention, l’offre se termine le 24 juillet à 17h (heure française), donc faut pas traîner.

Et le plus cool, c’est qu’ils n’offrent pas juste le jeu de base comme en 2020. Non non, là c’est la version Platinum complète avec toutes les extensions majeures et 6 packs de DLC. Valeur normale : 80 dollars. Et là c’est gratuit. Zéro. Nada. C’est Noël en juillet !

Si vous avez toujours voulu fouiller le dark web sans y passer 3 heures à chercher dans le noir, j’ai déniché un outil Python qui fait le boulot pour vous : Darkdump.

Créé par Josh Schiavone, Darkdump est une interface OSINT (Open Source Intelligence) qui permet de mener des investigations sur le deep web. En gros, vous tapez un mot-clé, et l’outil va scraper les sites .onion correspondants pour en extraire des emails, des métadonnées, des mots-clés, des images, des liens vers les réseaux sociaux, et j’en passe.

Bon, si vous tournez encore sur du Apache 2.4.49 en 2025, j’ai une mauvaise nouvelle : des hackers utilisent probablement votre serveur pour miner du Monero depuis 4 ans et vous ne le savez même pas.

L’histoire commence avec la CVE-2021-41773, une faille de type “path traversal” dans Apache HTTP Server qui permet aux attaquants de naviguer dans l’arborescence de votre serveur comme s’ils étaient chez eux. Cette vulnérabilité a évidemment été patchée en octobre 2021 avec la version 2.4.51 mais on est en juillet 2025, et visiblement, y’a encore du monde qui n’a pas eu le mémo.

Vous savez comment la NASA a réparé une caméra qui orbite autour de Jupiter ? Et bien en la mettant dans un four. Non, je déconne pas.

La sonde Juno tourne autour de Jupiter depuis 2016, et elle embarque une caméra appelée JunoCam qui nous envoie des images absolument dingues de la plus grosse planète du système solaire. Sauf que voilà, après 46 orbites nickel chrome, la caméra a commencé à faire des siennes lors de la 47ème orbite. Les images étaient pourries, pleines de bruit et de lignes bizarres.

Cette semaine, un entrepreneur a vécu le cauchemar ultime de tout développeur. Une IA à laquelle il avait donné trop de droits a décidé de se la jouer Thanos avec sa base de données de production. Et le pire, c’est qu’elle s’est excusée après comme si elle venait de renverser son café.

Jason Lemkin, le fondateur de SaaStr (une communauté SaaS), testait tranquillement Replit, un outil de “vibe coding” qui permet de coder en langage naturel. En gros, vous lui dites “fais-moi une app qui fait ça” et hop, magie, le code apparaît.

Allez j’ai une question pour vous : Avez-vous déjà eu la gerbe en voiture électrique ?

Parce que si oui, visiblement, vous n’êtes pas seul et les scientifiques commencent sérieusement à se pencher sur le problème. En fait, c’est même devenu un phénomène tellement répandu que des chercheurs du monde entier planchent sur des solutions, et certaines sont franchement… surprenantes.

Le truc, c’est que nos cerveaux sont habitués depuis des décennies aux voitures thermiques… Ce doux ronronnement du moteur, les vibrations du châssis, et tous ces petits signaux qui nous indiquent qu’on va accélérer ou freiner. Et bien dans une Tesla, une Ioniq ou une Zoé, tout ça n’existe plus. Et alors notre cerveau perd complètement les pédales, au sens propre comme au figuré.

J’ai testé plein de gadgets dans ma vie, mais le jour où cette technologie sera disponible pour le grand public, je vais me jeter dessus parce que je trouve ça vraiment cool. En effet, Airbus et SandboxAQ viennent de prouver qu’on peut naviguer sans GPS grâce aux champs magnétiques terrestres et c’est normalement impossible à pirater parce que c’est basé sur la physique quantique.

Je vous explique tout tout tout comment ça marche, mais avant, pourquoi est ce qu’on veut se débarrasser du GPS ?

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Cet aprem, je vous propose de retourner en 1990. Fermez les yeux et imaginez alors 3 ados de Queens avec un modem 2400 bauds et l’ego de la taille de Manhattan qui d’un coup décident de clasher des mecs du Texas qui se la pètent grave sur leurs BBSes. Et oui, vous assistez là, à la première vraie cyberguerre de l’Histoire qui aura pour impact 70 millions d’appels téléphoniques dans les choux et le FBI qui débarque chez maman à 6h du mat'.

Bon, j’ai une question qui va faire mal : Vous savez vraiment ce qui se passe dans le cerveau de votre gamin de 10 ans quand il scrolle sur TikTok pendant 4 heures ? Et bien d’après les dernières études qui viennent de sortir, c’est pas joli joli. Entre les pensées suicidaires qui explosent chez les filles et la régulation émotionnelle qui part en vrille, on a un sacré problème sur les bras.

Bonne nouvelle, RISC-V vient de marquer un point énorme contre Intel et AMD car un développeur a réussi à faire tourner Steam et des gros jeux AAA sur cette architecture open source qui était jusqu’alors cantonnée aux objets connectés.

Pour ceux qui débarquent, RISC-V c’est l’architecture processeur complètement libre et open source qui fait trembler les géants du secteur car contrairement à x86 (Intel/AMD) ou ARM (qui demande des licences hors de prix), n’importe qui peut fabriquer un processeur RISC-V sans payer un centime de royalties. Et maintenant, grâce à felix86, on peut y jouer à des vrais jeux.

Hier, j’ai reçu un petit mail d’un lecteur qui m’a fait ma journée ! Johan, un dev français vient de sortir un truc de malade pour remplacer Nextcloud. C’est pareil mais codé en TypeScript au lieu du PHP vieillissant, et surtout c’est pensé dès le départ pour la souveraineté des données.

Car Johan en avait marre de dépendre de clouds propriétaires où on est le produit, alors il a créé sa propre solution.

Si vous êtes du genre à penser que dire la vérité est plus important que vivre peinard, alors l’histoire de Julian Assange va vous parler. 14 ans de cavale, 7 ans enfermé dans une ambassade, 5 ans de taule… Tout ça pour avoir créé WikiLeaks et balancé les petits secrets bien crades des gouvernements. Bref, installez-vous confortablement, j’vous raconte comment Mendax, petit hacker australien, est devenu l’ennemi public numéro un de l’Amérique.

Bon, j’sais pas si vous avez suivi, mais Activision vient de se prendre une claque monumentale avec Call of Duty WWII. Le jeu a été ajouté au Game Pass le 30 juin dernier et retiré en catastrophe le 5 juillet. La raison ? Une faille RCE qui permettait à n’importe quel petit malin de pirater votre PC pendant que vous jouiez. Et le pire, c’est que cette faille était déjà patchée partout… sauf sur la version Microsoft.

J’sais pas si vous avez eu le temps de voir ça (après tout, c’est encore les vacances) mais des chercheurs de l’Arizona State University viennent de réussir un truc de malade avec l’algorithme de Shor sur un ordinateur quantique IBM. Ils ont pété une clé cryptographique elliptique en exploitant les interférences quantiques, et il va y avoir des implications pour notre futur.

Bon, avant que vous partiez en mode panique totale, laissez-moi vous expliquer tout ça. L’équipe de Tippeconnic a réussi à casser une clé de 5 bits. Oui, 5 bits. C’est l’équivalent du niveau de sécurité d’un cadenas de vélo rouillé comparé aux 256 bits qui protègent vos transactions Bitcoin habituelles. Mais le truc vraiment cool, c’est que c’est la première fois qu’on prouve concrètement que l’algorithme de Shor fonctionne réellement sur du matos quantique pour attaquer de la cryptographie elliptique.

– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –

On ne va pas se mentir : les supports de téléphone pour voiture, c’est un peu la jungle. Entre ceux qui se décrochent à la première bosse et ceux qui transforment votre tableau de bord en usine à ventouses, trouver le bon modèle relève souvent de la loterie. Et pourtant, parfois, un petit accessoire simple et bien foutu vous simplifie la vie. C’est exactement ce que fait ce support magnétique UGREEN, compatible MagSafe, mais aussi Android pour peu que vous ayez une coque aimantée (ce que je vous recommande vivement !).

Vous savez ce qui est relou parfois quand on crée du contenu ? C’est que plus vous restez fidèle à vous-même, plus certains vous reprochent d’avoir “changé”. Un paradoxe de ouf qui mérite quand même qu’on s’y attarde, parce que derrière ce “c’était mieux avant”, il y a toute une psychologie que je trouve fascinante à décoder.

Après +20 ans dans ce métier, j’ai entendu toutes les variations possibles. “T’as changé”, “C’est plus ce que c’était”, “Avant tu parlais de trucs intéressants”. Ces petites phrases, elles reviennent avec une régularité de métronome, peu importe ce que vous faites ou depuis combien de temps vous le faites. Vous pourriez publier exactement le même type de contenu pendant 10 ans, il y aura toujours quelqu’un pour vous dire que non, carrément, c’était mieux avant.

Bon, aujourd’hui on va parler d’un truc assez unique chez o2switch qui s’appelle les lunes. Alors non, ce n’est pas le nouveau projet spatial de Clermont-Ferrand, mais un système de sous-comptes qui va drastiquement changer votre façon de gérer vos hébergements web.

Vous savez, quand vous avez plusieurs sites web sur le même hébergement, c’est toujours un peu la galère niveau sécurité. Genre, si un de vos WordPress se fait pirater parce que vous avez installé un plugin douteux (ça arrive aux meilleurs hein), l’attaquant peut potentiellement accéder à tous vos autres sites. C’est comme si vous mettiez tous vos œufs dans le même panier et que quelqu’un venait faire une omelette avec.

Alors ça c’est une sacrée nouvelle ! Des scientifiques ont réussi à créer un vaccin ARNm qui transforme votre système immunitaire en machine de guerre anti-cancer universelle. En effet, l’équipe du Dr Elias Sayour de l’Université de Floride vient de publier dans Nature Biomedical Engineering une étude qui pourrait bien faire trembler Big Pharma. Leur vaccin ARNm expérimental ne cible pas un cancer en particulier, non, il réveille votre système immunitaire pour qu’il puisse botter le cul à n’importe quelle tumeur.

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

75 000 dollars par an pour balancer des hackers au FBI tout en piquant 170 millions de numéros de cartes bancaires. C’est pas du génie multitâche ça ? Albert Gonzalez, alias Soupnazi, 22 ans à l’époque, c’était LE mec qui jouait sur tous les tableaux. Mais alors, comment on passe de petit génie de l’informatique à ennemi public numéro un du e-commerce américain ? Installez-vous confortablement, j’vous raconte tout.