Discord a trouvé une solution radicale pour gérer son app de ses morts qui bouffe 4 Go de RAM sous Windows 11 (consommation ressentie : 4 millions de Go) : La redémarrer automatiquement quand elle dépasse ce seuil.

Les champions quoi ! Plutôt que de corriger les fuites mémoires, ils ont tout simplement décidé d’intégrer un auto-relaunch dans l’app en douce pour qu’elle se relance toutes les quelques heures.

Donc, si votre Discord a tourné pendant au moins 1 heure, que vous êtes inactif depuis 30 minutes (pas de souris/clavier), et que vous n’êtes pas en vocal ou en visio, l’app se redémarrera automatiquement dès qu’elle atteindra les 4 Go de conso mémoire.

Bien sûr Discord présente ça comme une solution temporaire pendant qu’ils bossent sur le vrai problème, mais je trouve ça marrant de normaliser ce bug en ajoutant une fonctionnalité qui le “contourne” bruyamment.

Le pire dans tout ça, c’est que le problème vient d’une connerie technique assez basique. L’app Discord utilise une bibliothèque appelée “systeminformation” qui appelle PowerShell avec des commandes comme Get-WmiObject Win32_logicaldisk juste pour récupérer des infos système basiques. Mais comme ils passent par Powershell plutôt que d’utiliser les API natives de Windows, ça bouffe de la RAM comme un gros porc.

Comme vous, je me demande pourquoi Discord ne refait pas son app avec un framework plus léger ? Hé bien c’est simple : ils sont coincés ! Parce Discord est bâti sur Electron, et Electron c’est un framework qui embarque un Chromium complet salade tomates oignons dans chaque application. Ça permet aux devs web de créer des apps desktop avec du JavaScript, du HTML et du CSS , mais le prix à payer c’est une app qui pèse 85 Mo à l’installation et bouffe 200-400 Mo de RAM au démarrage.

En théorie Electron permet de créer une app cross-platform facilement. C’est-à-dire d’avoir un seul code pour Windows, Mac et Linux. Mais dans les faits, Discord maintient quand même du code spécifique par plateforme pour les notifications, l’overlay gaming, les raccourcis système, etc. Bref, ils ont tous les inconvénients d’Electron (RAM, taille) sans vraiment profiter de l’avantage du “write once, run everywhere”.

C’est vrai que réécrire Discord en natif coûterait des millions. Faudrait refaire toute l’interface, toutes les fonctionnalités, tous les systèmes de plugins et de thèmes. Surtout que pendant ce temps, l’équipe actuelle continue d’ajouter des fonctionnalités sur leur usine à gaz, ce qui creuse encore plus la dette technique. C’est le sunk cost fallacy version logicielle… en gros, ils ont tellement investi dans Electron qu’ils ne peuvent plus reculer, même si repartir de zéro serait probablement moins coûteux sur le long terme.

Pourtant, des alternatives à Electron existent. Tauri est devenu le framework préféré des devs qui veulent de la performance … On est à 2-3 Mo d’installeur, 30-40 Mo de RAM au repos et il utilise Rust et le webview natif du système plutôt que d’embarquer Chromium. Les apps sont donc légères, rapides, et consomment 10 fois moins de ressources.

Y’a aussi Flutter, React Native Desktop, Qt… des frameworks qui produisent des apps vraiment natives avec des performances dignes de ce nom. Visual Studio Code démontre qu’Electron peut être performant si on l’optimise correctement, mais ça demande un boulot monstre et malheureusement, Discord n’a clairement pas envie de mettre les moyens.

Le vrai problème n’est donc pas technique, c’est économique, car pour 1 dev natif, y’a 8 devs web . Electron permet d’embaucher des devs JavaScript pas cher plutôt que des devs C++/Rust/Swift qui coûtent une blinde… donc, sacrifier la RAM des utilisateurs coûte moins cher que payer des ingénieurs système. Et comme les PC ont maintenant 16-32 Go de RAM, ils se disent que 4 Go pour du chat en ligne, c’est acceptable. Lol.

Bref, tout ça pour dire que Discord normalise le “patch-as-a-feature”, et j’imagine que demain Slack, Teams et tous les autres vont faire pareil.

Source

Si vous me lisez depuis longtemps, vous connaissez forcement le principe des honeypots. Si ce n’est pas le cas, je vous explique. Les honeypots, ce sont ces faux serveurs qu’on laisse traîner pour attirer les pirates afin de mieux étudier leurs techniques. Eh les honey tokens, c’est pareil mais en version credentials. En gros, ce sont des fausses clés AWS, des identifiants SSH bidons, des accès base de données qui n’existent pas… que vous planquez dans votre infra, et si quelqu’un les utilise, vous savez immédiatement que vous avez un problème.

DeceptIQ Starter vient donc de sortir une version gratuite de son service et c’est un outil qu’on devrait tous garder sous le coude. Ça permet de générer des tokens piégés que vous disséminez dans vos repos Git, vos fichiers de config, vos pipelines CI/CD… Et puis vous attendez. Et si un petit malin exfiltre ces credentials et essaie de les utiliser, vous recevez alors une alerte instantanée avec l’IP source, le timestamp, et tout le contexte qu’il faut.

L’astuce, c’est que ça exploite un truc fondamental dans le comportement des attaquants. Quand ils tombent sur une clé AWS dans un repo, leur réflexe c’est de la tester. Ils voient un pattern familier, genre AKIA-quelque-chose, et hop, validation automatique. Sauf que cette fois, c’est eux qui se font piéger…

La version gratuite propose 4 types de tokens : clés AWS IAM (jusqu’à 10), clés AWS Bedrock pour les services IA (2 max), accès S3 (2), et clés SSH (20). C’est pas mal pour commencer et couvrir les cas d’usage les plus courants. Et les tokens pro débloquent des trucs plus exotiques comme les credentials Azure, les API keys CrowdStrike, ou les users MySQL/PostgreSQL.

L’avantage par rapport à un honeypot classique, c’est qu’il n’y a aucun faux positif possible. Si quelqu’un utilise une de ces credentials, c’est forcément suspect puisque normalement, personne ne devrait les utiliser.

Après un attaquant peut très bien pénétrer votre système sans jamais toucher à vos tokens piégés mais ça reste un excellent filet de sécurité supplémentaire. Et combiné avec vos autres outils de détection, ça peut faire la différence entre découvrir une intrusion en quelques minutes ou plusieurs mois après les faits.

Pour ceux qui veulent tester, c’est sur starter.deceptiq.com

En 2016, je vous parlais de Gogs , ce petit serveur Git auto-hébergé super léger qui s’installe en 10 secondes et c’est encore aujourd’hui une alternative sympa à GitHub pour ceux qui voulaient garder leur code chez eux. Mais attention, si vous l’utilisez, il va falloir agir vite parce que là, c’est la catastrophe.

Des chercheurs de Wiz viennent de découvrir que plus de 700 instances Gogs exposées sur Internet ont été compromises via une faille zero-day baptisée CVE-2025-8110. Et le pire, c’est que cette faille est activement exploitée depuis juillet 2025 et qu’il n’existe toujours pas de patch.

L’attaque est vicieuse car un attaquant n’a besoin que d’un compte utilisateur standard pour compromettre votre serveur. Il crée un dépôt, y ajoute un lien symbolique pointant vers un fichier sensible, puis utilise l’API PutContents pour écrire à travers ce lien et modifier le fichier .git/config. Ensuite, en bidouillant la directive sshCommand, il peut alors exécuter n’importe quelle commande sur votre serveur. Voilà, c’est plié !

Cette faille est en fait un contournement d’un ancien correctif (CVE-2024-55947). Les développeurs avaient patché le problème mais avaient oublié de gérer le cas des liens symboliques. Et ce n’est même pas la première fois que Gogs se retrouve dans cette situation puisqu’en juillet 2024, quatre failles critiques avaient été publiées (CVE-2024-39930, CVE-2024-39931, CVE-2024-39932, CVE-2024-39933), toutes avec des scores CVSS de 9.9 sur 10, et au final, les mainteneurs avaient tout simplement… cessé de répondre aux chercheurs. C’est moche !

Sur les 1400 instances Gogs exposées sur Internet identifiées par Wiz, plus de 700 ont donc été compromises. Les attaquants utilisent le framework C2 Supershell pour garder le contrôle des machines et les chercheurs soupçonnent des cybercriminels basés en Asie vu l’usage de cet outil très particulier.

Donc si vous avez un serveur Gogs qui tourne, voici ce qu’il faut faire immédiatement : Vous devez désactiver l’inscription ouverte si vous n’en avez pas besoin (c’est activé par défaut) et mettre votre instance derrière un VPN. Après pour savoir si vous êtes déjà compromis, cherchez des dépôts créés le 10 juillet avec des noms bizarres de 8 caractères.

Après à ce stade, je vous conseille de migrer vers Gitea , le fork de Gogs qui est activement (et mieux) maintenu et qui n’est pas affecté par ces failles. Gogs semble être devenu un projet abandonné niveau sécurité, et c’est vraiment dommage parce que le concept était génial.

Source

Vous pensiez que la fonctionnalité “Effacer toutes les données” de votre smartphone était là pour protéger votre vie privée ? Hé bien aux États-Unis, l’utiliser au mauvais moment peut désormais vous valoir des poursuites fédérales.

Bienvenue dans le pays de la liberté ! (lol)

Samuel Tunick, un activiste d’Atlanta, vient d’en faire les frais le 4 janvier dernier. Alors que les agents des douanes américaines (CBP) voulaient fouiller son Google Pixel, il a eu le réflexe de le wiper. Très mauvaise idée puisque le mec a été arrêté ce mois-ci par le FBI et le DHS, et fait maintenant face à des poursuites pour “destruction de preuves” et “obstruction à la saisie légale d’un bien par le gouvernement”.

Certes, il a fait preuve d’un gros manque de bon sens et l’acte d’accusation déclare que Tunick aurait “sciemment détruit le contenu numérique de son téléphone dans le but d’empêcher le gouvernement à prendre ledit bien sous sa garde”. Oui, effacer vos photos de vacances et vos conversations WhatsApp, c’est dorénavant privé l’Etat d’un bien potentiel.

D’ailleurs, on ne sait même pas pourquoi les douaniers voulaient fouiller son téléphone au départ mais la perquisition devait être effectuée par un officier du “Tactical Terrorism Response Team” (TTRT), une unité secrète du CBP que l’ACLU décrit comme des “équipes qui ciblent, détiennent, fouillent et interrogent des voyageurs innocents”.

Ces TTRT, c’est un truc de ouf ! Depuis leur création en 2015, ils opèrent dans des dizaines de points d’entrée américains et cette unité a détenu et interrogé plus de 600 000 voyageurs, dont un tiers de citoyens américains. Et ces agents peuvent cibler des gens sur la base de leurs “instincts”, sans qu’ils figurent sur une quelconque watchlist.

Car oui, le CBP considère que vos droits à la vie privée disparaissent à la frontière et leurs agents peuvent saisir et fouiller n’importe quel appareil électronique sans mandat ni motif raisonnable. Donc si vous refusez de donner votre mot de passe, ils peuvent confisquer votre téléphone pour analyse forensique. Et bien sûr, les citoyens américains ne peuvent pas être refoulés pour ça, mais les détenteurs de visa ou de green card et les touristes peuvent carrément se voir refuser l’entrée.

Comme d’hab, mes conseils pour voyager sont rasoirs mais faut partir avec un téléphone “propre” dédié aux voyages, stocker ses données sensibles dans le cloud (européen de préférence) plutôt que sur l’appareil, et surtout ne jamais, jamais effacer quoi que ce soit pendant une interaction avec les autorités. Ou alors faites comme moi et restez chez vous ^^. En tout cas, soyez pas con comme Tunick.

Ce dernier a d’ailleurs été libéré mais reste assigné à résidence dans le nord de la Géorgie en attendant son procès. Force à lui. M’enfin, sachez-le, le pays qui a inscrit le 4ème et le 5ème amendement dans sa Constitution considère que protéger sa vie privée équivaut à de l’obstruction.

Quelle belle évolution !

Source

— Article rédigé par l’ami Remouk (DansTonChat) – Merci à lui —

Suite voire remake inattendu d’un petit jeu bizarrement culte sur GameCube, Kirby Air Riders arrive sur Switch 2 quelques mois à peine après l’incroyable Mario Kart World. On est en droit de se demander : pourquoi un deuxième jeu de course arcade ? Ça fait pas doublon ? Le talent de Masahiro Sakurai (créateur de Kirby, réalisateur du jeu mais aussi de Smash Bros, entre autre) saura-t-il faire la différence ? Prenez une gigantesque respiration, comme Kirby sait si bien le faire, et je vous explique tout ça. :)

Pour commencer : c’est un jeu de course, certes, mais TRÈS différent de tous les autres. Par exemple, on est sur des bolides qui peuvent planer dans les airs (ça a grave son importance) et ils avancent automatiquement. Pas besoin d’accélérer ! Pas besoin de grand-chose d’ailleurs, si on se prend un mur, on n’est pas beaucoup ralenti. Donc voilà au début on a l’impression de rien contrôler, ça va vite et il se passe plein de choses.