- Download:
- Podcasts Underscore89 MB
Actu
Les FAILs du mois
Oh ben… encore des fuites ?
France Titre / ANTS (encore) piratée à cause d’une faille basique et 19 millions de Français en font les frais.
Piratage par un gamin de 15 ans.
le Musée océanographique de Monaco
Booking.com (coordonnées et détails des réservations)
Nouveau piratage au ministère de l’Éducation nationale (les données des élèves liées à ÉduConnect).
Almerys, principal prestataire des mutuelles de santé : 15 millions de numéros de Sécurité Sociale dans la nature.
La base de données de La France Insoumise (Près de 120 000 adresses mails et 20 000 numéros de téléphone concernés)
Une fuite de 10To de données d’un super-ordinateur gouvernemental chinois incluant des documents classés défense.
Plus de 200 000 mails et fichiers (pour + de 60Go) de l’Egypt Upstream Gateway, un service du ministère égyptien du pétrole et resources minérales.
320Go de mails et pièces jointes de la Commission européenne, incluant des clés de signature DKIM, des configurations AWS, des URL d’administration interne…
Vercel, qui fournit du « cloud IA », fuite à cause d’un employé qui a donné tous les droits à un agent IA sur leur Google Workspace.
Une fuite présumée de 4To sur les des méthodologies d’entraînement des LLM par Mercor, qui payait des avocats, médecins, ingénieurs et journalistes pour les rédiger, et obtenir de meilleurs résultats qu’avec des données en vrac. Tout ça à cause d’une bibliothèque Python infectée.
Un sous-traitant de la CISA (Cybersecurity & Infrastructure Security Agency) laisse fuiter des clés AWS sur GitHub.
Face à l’explosion des fuites de données, la CNIL annonce des « mesures renforcées ». Pendant ce temps l’équivalent belge annonce vouloir aller au pénal.
Et des trous, y en a des trous ?
Un chercheur en sécurité a démontré qu’il est possible de reconstituer les chiffres manquants d’une carte bancaire par bruteforce en testant des numéros auprès de la banque, à raison d’environ 6 tentatives par seconde. Pareil pour le CVV à 3 chiffres…
https://korben.info/carte-bancaire-brute-force.html
https://mastodon.social/@rod2ik/116504648820854836
Copy Fail, encore une faille par escalade de privilège dans le noyau Linux… C’est la fin du monde…
Le problème c’est surtout que la divulgation n’a pas été faite correctement (au prétexte qu’une IA l’a trouvée, donc une autre aurait pu, donc pas la peine d’attendre pour publier, pfff).
https://www.openwall.com/lists/oss-security/2026/04/30/10
https://hostux.social/@valere/116494880350618510
https://www.cert.europa.eu/publications/security-advisories/2026-005/
https://bsd.network/@lcheylus/116521795850064398
Ah non, la fin du monde c’est à cause de Dirty Frag, encore une autre faille. Ou plutôt une généralisation de Dirty Pipe et Copy Fail.
https://github.com/V4bel/dirtyfrag
https://mamot.fr/@Octopuce/116535282918445495
Il y en a aussi pour FreeBSD avec une faille vieille de 21 ans, une exécution de code à distance.
https://timeloop.cafe/@wohali/116558445616645693
Windows n’est pas en reste, car une faille permet des écritures arbitraires en mémoire, y compris depuis les bacs à sable des navigateurs.
https://voidsec.com/cve-2026-40369-browser-sandbox-escape/
Les robots tondeuses Yarbo ont une porte dérobée… Le fabricant a promis de l’enlever.
https://www.theverge.com/tech/928289/yarbo-remove-robot-lawn-mower-backdoor
https://mastodon.social/@koen_hufkens/116567221803416402
Des milliers de web apps exposeraient des données sensibles en ligne à cause du Vibe coding…
https://social.sciences.re/@DamienPetermann/116567235754161259
Et des bugs aussi ?
En février, un problème sur un matériel japonais a bloqué pendant douze jours le logiciel de comptabilité publique Helios, qui gère la paye de millions de fonctionnaires.
Les « workers » Javascript semblent être plus persistants que prévu dans Chrome, et seraient relancés avec le navigateur.
Copywrong
Bambu Lab a tenté de faire dépublier un logiciel qu’ils avaient eux-même forké, en violation de la licence AGPL. Ils ont finalement cédé à la pression de la communauté open source. Jusqu’à la prochaine fois… Le Software Freedom Conservancy a déjà lancé un projet pour créer des alternatives libres aux composants propriétaires de Bambu Lab, financé par la communauté.
Le fabricant de voitures électriques Fisker a fermé pour banqueroute, alors ceux qui en avaient acheté ont créé leur propre entreprise pour proposer des mises à jour opensource du logiciel.
Spotify s’associe à Universal pour permettre des remix par IA… en payant bien sûr. Beark.
Une console de jeux portable « Lenovo G02 » est apparue sur Aliexpress avec des tonnes de ROMs préchargées… en toute illégalité, et il semble que Lenovo ait pourtant confirmé la production de la console, mais uniquement pour le marché chinois. C’est vrai que là bas les droits d’auteur, c’est comme les droits de l’homme on s’assied dessus…
Censure, surveillance et espionnage…
Une décision de la CJUE pourrait remettre en cause le principe de fédération d’ActivityPub (Fédivers) et ATproto (BluSky).
Le dernier rapport de la délégation parlementaire au renseignement veut casser le chiffrement de vos messages. Le même rapport explique pourquoi l’État n’en est pas capable. Mais, veut quand même l’autoriser, par exemple, dans NIS2.
Après les australiens, ce sont les anglais qui eux se dessinent une moustache pour contourner la vérification d’âge en ligne.
Les lois sur la vérification d’âge en Californie et au Colorado vont finalement donner un passe-droit aux distro Linux et autres logiciels libres. On parrie que SystemD va défaire son patch ?
Le gouvernement suédois a annoncé son intention de faire porter des bracelets électroniques à des enfants dès l’âge de 13 ans.
Palantir aura un accès illimité aux données des patients du NHS britannique.
Auditionné par la commission d’enquête sur les dépendances structurelles et les vulnérabilités systémiques de la France dans le secteur du numérique, le chef du service des systèmes d’information de la DGFiP, Tomasz Blanc, a admis des « dépendances extra-européennes » malgré une volonté de s’en affranchir progressivement.
Le PJL Fraudes a été voté à l’Assemblée, et devrait l’être prochainement au Sénat. Il élargit l’accès aux comptes bancaires pour le contrôle du RSA, de quoi accentuer la pression sur les plus précaires
Tencent admet que leurs GPU ne sont rentables que s’ils balancent des pubs.
Un robot policier a dit à une femme qui tentait de rapporter un crime de partir, puis a chanté une chanson.
La police aime les outils de surveillance… sauf quand ces outils s’appliquent à la police. En Grande-Bretagne, l’IA a été installée en douce pour surveiller les flics eux-mêmes: déplacements, communications et accès aux systèmes informatiques. Et ils n’ont vraiment pas apprécié. Et là bizarrement il n’y a personne pour dire « Mais si vous n’avez rien à vous reprocher… »
Le chiffrement ne suffit pas à protéger des lois extraterritoriales comme le Cloud Act. Devant les députés, Vincent Strubel, directeur de l’ANSSI, a aussi rappelé les risques de dépendance technologique et de coupure de services liés aux géants américains du numérique.
La loi SURE permettrait à la police scientifique de piocher dans des bases ADN étrangères. Pour LQDN cet accès a des « allures de cheval de Troie »
Des… GAFAM ?
Microsoft Defender détecte certains certificats racines comme un cheval de troie… entraînant des alertes, voire la suppression du certificat dans Windows.
Bitlocker dans Windows 11 pourrait avoir une backdoor.
Un cheval de Troie exploite Microsoft Phone Link pour voler vos mots de passe.
Edge stocke les mots de passe en clair en RAM.
NOYB porte plainte contre Microsoft LinkedIn pour ne pas avoir fourni les données gratuitement les données requises de par l’article 15 du RGPD.
Microsoft patche VSCode après que Copilot se crédite lui-même pour le code écrit par un humain.
Piratage de GitHub, avec 4000 dépôts internes volés suite au hack du PC d’un employé, revendiqué par TeamPCP.
Le gouvernement kenyan stoppe un contrat de datacenter IA avec Microsoft après avoir appris qu’il utiliserait la moitié de la capacité de production électrique du pays.
Microsoft officialise Azure Linux 4.0, sa première distribution Linux grand public. Basée sur Fedora. Franchement : à quoi ça sert ? Et surtout, pourquoi Windows continue à dire qu’une partition EXT4 a besoin d’être formatée ??
LibreOffice accuse Microsoft d’avoir fait disparaître son seul format Word conforme à la norme ISO. Une fois de plus, Microsoft ment et triche…
Meta abandonne l’IA « open-source » Llama pour Muse Spark, bien propriétaire.
Meta ne veut pas vous laisser bloquer les comptes IA sur Threads.
Le Texas poursuit Meta et WhatsApp, accusés de tromper les utilisateurs sur le chiffrement de bout en bout et de continuer à accéder au contenus et métadonnées des messages.
Meta et Google récupéreraient les données des applis que votre boss utilise pour vous fliquer au boulot.
Chrome télécharge silencieusement Gemini Nano, un modèle IA de 4 Go appelé weights.bin, dans un dossier sans demander la permission, et le réinstalle automatiquement si vous le supprimez. Le déploiement viole la directive ePrivacy européenne qui interdit de stocker quoi que ce soit sur l’appareil sans consentement explicite. En plus du CO2.
Chrome a également ajouté une API pour interroger un LLM depuis une page Web, sans tenir compte de l’avis contraire des autres navigateur, comme si c’était eux qui décidaient des normes… Ah ben on dirait que oui.
Google active « intrusion logging » sur Android 16, un journal forensics chiffré de bout en bout certes mais hébergé sur les serveurs de Google. Un mini mouchard qui rapporte tout ce qui se passe sur votre tél. Une fois activé, vous ne pouvez pas supprimer les logs avant 12 mois.
reCAPTCHA (de Google) incite maintenant à scanner un QR code avec une appli, donc leur refiler encore plus de données…
Google va remplacer la recherche par une « IA » interactive… et supprimer les liens vers les résultats. La merdification se porte bien.
Google et Apple brident Galileo et l’IGN, pourtant gratuits et plus performants.
Y a… de l’IA ?
Des utilisateurs arrivent à se faire donner 200000 dollars par Grok par la ruse, en utilisant du morse.
Elon Musk dit qu’xAI a utilisé les modèles d’OpenAI pour entraîner Grok.
OpenAI (ChatGPT) officialise la surveillance de vos conversations dans un billet de blog surréaliste.
Le Minnesota bannit les nus fakes par IA.
Le ministère de l’intérieur compte expérimenter l’usage de l’IA pour l’immigration.
Un giga datacenter arrive aux portes de Paris, qui consommera la puissance électrique d’un EPR à lui tout seul, sans parler de l’eau.
Les fournisseurs d’électricité de Lake Tahoe (Californie) ont décidé de couper l’alimentation des résidents pour satisfaire les besoins énergétiques des data centers.
L’électricité utilisée par les datacenters en Irlande ajoutent des centaines d’euro aux factures des particuliers…
Une méta-analyse sur les effets positifs de ChatGPT dans l’éducation rétractée 1 an après
Une note sur IA et recherche qui montre surtout qu’il est vain de chercher des solutions individuelles à un problème collectif. Si les carrières sont compétitives, et que l’IA apporte un avantage, alors l’IA sera utilisée. Si la pression est trop forte, alors elle sera mal utilisée.
ArXiv va bannir un an les chercheurs pris à soumettre du slop IA.
BrowserAct publie deux outils open source pour donner les mains libres aux agents IA sur le web réel . Au secours !!!
Chiptune: MAXIMUM JOKER by P01 + H0FFMAN
- RELEASED 23 MAY 2026
- 2= IN THE 68K INSIDE 2026 DEMO COMPETITION
- ATARI ST/E
Sujet : Le NE555
Le NE555, ou juste 555, a 55 ans ! Je n’avais pas envie d’attendre encore 111 numéros donc allons-y !
Cette puce conçue par Hans Caminzind pour Signetics, en partant d’un circuit qu’il utilisait pour une PLL (Phased Locked Loop, une horloge ajustable qui s’auto-synchronise sur une autre). Le prototype utilisant 9 broche, il l’a redessiné pour rentrer dans un boitier à 8 seulement, ce qui a donné ce classique incontournable en 1971. Il est toujours disponible, avec plusieurs variantes dont une qualifiée pour le spatial, et depuis de nombreux fondeurs car Signetics avait oublié de déposer un brevet.
Il existe aussi une version double (556), une quadruple (558) mais qui partage certains signaux, utilisée dans l’Apple II par exemple pour la gestion des joystics, et des versions CMOS qui consomment bien moins de courant.
Le nom proviendrait soit du directeur marketing chez Signetics… soit des trois résistances de 5k ohms intégrées à la puce, au choix.
Le dessin a été fait à la main, et inclus 23 transistors, 16 resistances, et 2 diodes.
Avec plusieurs blocs fonctionnels dont une bascule et un comparateur, le 555 utilise des condensateurs et résistances externes pour définir les bases de temps, et propose plusieurs modes de fonctionnement (la publicité de 1972 parle de 1001 usages).
Le mode « monostable » permet de produire une impulsion unique avec une longueur définie. C’est ce qui est notamment utilisé pour générer le signal de RESET dans de nombreux micro-ordinateurs des années 1980, le but étant de bloquer le processeur dans l’état RESET le temps suffisant pour que la tension d’alimentation se stabilise. Il peut aussi servir à commander un relai qui doit être alimenté un certain temps pour commuter, ou supprimer des rebonds sur un signal (typiquement un poussoir va faire contacts plusieurs fois quand on appuie avant de finalement rester fermé) et éviter une prise en compte multiple d’un seul appui.
Le mode « bistable » constitue une mémoire primitive de 1 bit, une entrée servant à forcer la sortie à un, une autre entrée la forçant à zéro. Par exemple, une alarme primitive utiliserait un bouton sur une entrée pour le déclenchement, et un bouton sur l’autre entrée pour débrayer l’alarme. Le signal de sortie (1 pour une intrusion), pourrait être utilisé pour contrôler un second 555 qui générerait un signal audio pour une sirène avec le mode « astable ».
Le mode « astable » réalise en effet un signal carré, avec une fréquence et un rapport cyclique spécifique (mais n’espérez pas dépasser le MHz, ce n’est pas un quartz d’horloge), pour de nombreux usages. Les caractéristiques sont définies par les composants externes. Il existe même des calculateurs en ligne pour ça. On peut par exemple l’utiliser pour faire un buzzer, avec un petit haut parleur.
Parmi les autres usages que j’ai vu passer :
- une sonde logique, qui peut dire si un signal est haut, bas, ou les deux en alternance.
- dumper le firmware d’un micro-contrôleur, en réglant le délai pour le glitcher,
- un synthétiseur accordéon (on pousse sur le caddy d’un lecteur CD),
- un processeur entier avec des 555 et des diodes comme portes logiques,
- un « keep alive » pour powerbank, afin de forcer une batterie externe à rester allumée même avec un trop faible courant de sortie.
- Cyrob l’utilise en astable qui fournis une tonalité à 440 Hz dans un simulateur de ligne téléphonique,
Il est très probable que vous l’ayez déjà utilisé au collège ou au lycée, peut-être même que l’anti-moustique que j’avais soudé à l’école devait en utiliser un (même si ça n’a certainement jamais fonctionné pour faire fuir les moustiques).
Il y a régulièrement des concours pour utiliser cette puce et en abuser, chez Hackaday par exemple…
Cette puce est tellement connue qu’il existe même des répliques discrète avec des transistors à souder sur un PCB…
ainsi qu’une version émulée avec un micro-contrôleur ATtiny,
et même une version utilisant des tubes à vide !
Plusieurs youtubeurs lui ont rendu hommage, dont Big Clive avec un stream d’une heure, EEVblog avec une vidéo de précisément 5 minutes 55… montrant son circuit « killer one shot » qui… détruit la puce après un seul clignotement.
Voir aussi une intro de Cyrob sur la famille du NE555.
Chiptune: Sommarhack 2026 Reminder by Dead Hackers Society and Paradox and smfx
- RELEASED 23 MAY 2026
- 4TH IN THE 68K INSIDE 2026 DEMO COMPETITION
- ATARI ST/E
- invitro
- Music : 505
Agenda
Soirée Libre G3L
Venez avec vos questions sur GNU/Linux et les logiciels libres.
Vendredi 12 juin 2026 de 19:30 à 23:00 ;
MJC Châteauvert 3 place des buissonnets, Valence.
Shadow Party 2026
Du 5 au 7 juillet ;
Aubervilliers.
Atari Days Nancy
Convention principalement Atari, mais parfois quelques Amstrad, Amiga, Apple, Nintendo et Sega s’invitent !
Payant, sur inscription ;
1er et 2 août ;
Salle du football de Tantonville, près de Nancy.
Evoke
La demoparty. Pensez à regarder l’invitro !
Payant, sur inscription ;
Du 21 au 23 août ;
Cologne, Allemagne.
Du lien et des liens
Foukenstein, une intelligence artificielle qui parle avec la voix clonée de Michel Foucault, alignée politiquement à gauche, antifasciste, critique des institutions. C’est sûr ça change des autres IA.
La « AI resist list » vise à recenser les résistances à l’impérialisme de la tech.
Quelqu’un a mis en place une page qui – pour chaque boîte d’IA – met en face les dépenses et les revenus. Le site s’appelle « Is AI profitable ». Spoiler: Elles perdent toutes massivement de l’argent. Ah oui pardon, y’a que NVidia qui s’en met plein les fouilles.
Un script PowerShell pour supprimer Copilot, Recall et toutes les fonctionnalités IA intégrées à Windows 11 — clés de registre, packages Appx, tâches planifiées, le tout avec une option pour réinstaller les versions classiques des apps concernées.
Astrologeek
- technophile : – Je me suis fait un mesh… – On dit une mèche ! – Non, un mesh !
- technocritique : Tu as pêché par IAvarice. Tu me dira deux patterns et un avé MariaDB.
- nerd : Faire la 444ème émission sur le 555 c’est diabolique ça ! Manquerait plus qu’on ait toutes les permissions UNIX en 777…
- électronicien : L’autre jour, j’ai appris l’existence des diodes John. Y’en avait une de 3V3. John 3 volt 3.
- procrastinateur : J’ai fait un timer avec un 555 pour me dire quand c’est demain pour y remettre le boulot.
- pentester : Je sais que vous aimez les trous, mais là faut ptet penser à acheter de l’antimites.
No responses yet