Vous aimez les batteries externes ? Eh bien moi aussi. Et Ugreen a un modèle franchement intéressant si vous cherchez une batterie avec une grosse capacité. C'est la Nexode 20 000 mAh 165W , une batterie externe avec un câble USB-C rétractable intégré dans le châssis. Elle propose 100W sur un seul câble, 165W au total sur trois ports, un écran TFT pour tout contrôler et une recharge complète en moins de deux heures. Je la teste depuis quelques jours, et elle est validée.

Un câble rétractable, et c'est tout de suite plus simple

On a tous le même problème quand on part en vadrouille : on part léger et on finit avec une besace qui ressemble à un nid de serpents parce qu'on trimballe trois câbles différents pour ne pas tomber en rade entre deux TGV. Cette batterie, en plus d'être franchement jolie, a ce petit truc en plus, un câble USB-C rétractable de 70 cm intégré dans le châssis. Il permet de charger un ordinateur en USB-C à pleine balle, et bien sûr n'importe quel téléphone ou tablette. On tire, on branche, et on profite de 100W sur ce seul câble. Voir son ordinateur portable regagner des couleurs à toute vitesse dans un café sans prise murale, c'est quand même bien pratique.

165W au total

Côté puissance, la bête en a sous le capot. Avec 20 000 mAh, on est sur le bon compromis de la portabilité : assez pour redonner vie à un MacBook Air plus d'une fois, ou pour tenir un long week-end avec un smartphone haut de gamme sans approcher une prise. La batterie peut cracher jusqu'à 165W au total en saturant les trois sorties en même temps. Vous pouvez alimenter votre laptop en 100W tout en chargeant une tablette et un téléphone sans que la Nexode ne montre de signe de faiblesse ni de surchauffe excessive, le système Thermal Guard surveille la température en permanence. L'écran est un vrai plus par rapport aux habituelles diodes imprécises : il affiche le pourcentage restant, mais aussi le voltage et l'ampérage en temps réel pour chaque port. Voir la courbe s'adapter à chaque charge pour chaque appareil, c'est vraiment un gros plus, et ça permet de constater que le Power Delivery fait bien le job, mais aussi de vous donner une vraie idée de ce que consomme chacun de vos appareils.

Notez que même la recharge de la batterie elle-même a été optimisée. Avec un chargeur mural de 100W, la Nexode repasse de 0 à 100 % en moins de deux heures, et le flux est bidirectionnel. Rien de plus agaçant qu'une batterie haute capacité qui met une nuit entière à se régénérer, et sur ce point, c'est réglé. Le format colonne, un peu plus épais qu'une batterie plate classique, se glisse finalement bien dans les poches latérales des sacs à dos.

Bref, pour moi c'est validé, Ugreen signe un produit bien pensé. Le câble rétractable, ça semble tout bête comme ça, mais c'est vraiment pratique. On aurait aimé un format un peu plus compact, mais à ce niveau de puissance, difficile de faire des miracles. Si vous en avez marre de trimballer trois câbles dans votre sac, celle-ci devrait vous réconcilier avec les batteries externes.

Elle est disponible sur Amazon , et d'ailleurs elle est en promo aujourd'hui à 70 euros , ce qui me semble franchement très correct comme prix !

Article invité publié par Vincent Lautier .

82 314 dollars, c'est l'incroyable facture que s'est mangé un dev mexicain après 48 heures d'utilisation frauduleuse de sa clé API Gemini. Sa dépense habituelle était de 180 dollars par mois environ, j'imagine que ça lui a fait un peu mal aux fesses. Et c'est une bonne raison pour moi de vous inciter une nouvelle fois à bien sécuriser vos clés API !

Le gars bosse dans une petite startup et de ce que j'ai compris, quelqu'un a chopé ses credentials et s'est lâché sur Gemini 3 Pro pendant deux jours. La réponse de Google ? "Responsabilité partagée". En gros, eux sécurisent l'infra, et vous sécurisez vos clés. Si vous vous faites plumer, c'est votre problème !

Et c'est pas un cas isolé car les chercheurs de Truffle Security ont scanné le web et trouvé 2 863 clés Google API exposées en clair sur des sites publics. Toutes identifiables par le préfixe AIza.

Sauf que comme je vous l'expliquais dans un article précédent, ces clés, à la base, étaient conçues comme de simples identifiants de projet pour Maps et Firebase et la doc Google disait carrément qu'elles n'étaient pas secrètes ! Et quand l'API Gemini a été activée sur ces projets, hé bien ces clés sont devenues des clés d'authentification, sans que personne ne réalise ce changement de paradigme.

Mais bon, plutôt que de chialer comme des fragiles, voyons comment éviter de se retrouver dans cette situation ^^.

Scanner vos secrets existants

Avant tout, faut savoir si vous avez déjà des fuites. Deux outils open source font ça très bien.

TruffleHog scanne vos dépôts Git, vos fichiers, et même vos buckets S3 pour trouver des secrets qui traînent. L'install est simple :

brew install trufflehog
trufflehog git https://github.com/user/project --only-verified

grep -r "AIza" . --include="*.js" --include="*.py" --include="*.env"

brew install git-secrets
cd mon-projet
git secrets --install
git secrets --register-aws

git secrets --add 'AIza[0-9A-Za-z_-]{35}'
git secrets --add 'sk-proj-[0-9a-zA-Z]{48}'

gcloud services api-keys list
gcloud services api-keys create --display-name="gemini-prod-$(date +%Y%m)"
gcloud services api-keys delete ANCIENNE_CLE_ID

Des chercheurs en sécurité ont découvert deux failles dans Comet, le navigateur IA de Perplexity. Une simple invitation de calendrier piégée suffisait pour accéder aux fichiers locaux de la machine et prendre le contrôle d'un coffre-fort 1Password, le tout sans aucun clic de l'utilisateur.

Une invitation de calendrier, et c'est tout

L'attaque est d'une simplicité qui fait froid dans le dos. Les chercheurs de Zenity Labs, qui ont baptisé la faille « PleaseFix », ont montré qu'il suffisait d'envoyer une invitation de calendrier contenant des instructions malveillantes cachées. Quand l'utilisateur interagit avec cette invitation dans Comet, l'IA du navigateur exécute en toute décontraction les instructions, sans broncher. Pas besoin de cliquer sur un lien, pas besoin de télécharger quoi que ce soit : le simple fait de consulter l'événement suffisait. Le problème vient de ce qu'on appelle l'injection de prompt indirecte : l'IA ne fait pas la différence entre les instructions légitimes et le contenu malveillant planqué dans un calendrier.

Séparer la voix, la batterie ou la basse d'un morceau, ça relevait du rêve d'audiophile il y a encore quelques années. Fallait installer Python, se taper Spleeter, galérer avec les dépendances CUDA... bref, un super truc de barbu. Mais ça, c'était avant, les amis !

Demucs-rs , une réécriture en Rust du modèle HTDemucs v4 de Meta, tourne maintenant directement dans votre navigateur grâce au WebGPU. Batterie, basse, voix, tout le reste..., chaque élément se retrouve ainsi isolé dans son propre fichier WAV. Et y'a rien à installer, puisque tout se passe côté client, sur votre machine.

Pour vous en servir, vous pouvez aller sur la web app , vous glissez-déposez votre fichier MP3 (ou WAV, FLAC, OGG, M4A... ça bouffe à peu près tout), et vous patientez... Le premier lancement télécharge le modèle (~84 Mo pour le standard), donc prévoyez une connexion correcte.

L'interface de la web app - vous glissez votre fichier et c'est parti

Comptez alors quelques minutes selon la durée du morceau. En sortie, vous aurez alors plusieurs fichiers WAV séparés que vous pourrez écouter, jouer en solo ou télécharger individuellement.

Les pistes séparées, prêtes à écouter ou télécharger

Trois modèles sont dispos. Le mode 4 pistes suffit dans 90% des cas. Il y a aussi le modèle 6 stems, ou plutôt htdemucs_6s, qui est pas mal pour du rock ou du jazz. Et pour les obsessionnels de la qualité, y'a le fine-tuned à 333 Mo... mais prévoyez une pause café, parce que ça va être long de fou !

Voilà, comme ça, si vous voulez faire un karaoké maison, vous virez la voix et vous gardez l'instrumental. Ou si votre truc c'est de sampler une ligne de basse d'un vieux morceau de funk ou encore pratiquer la guitare en jouant par-dessus le morceau original sans la partie guitare, c'est entièrement possible !

D'ailleurs, si vous aviez testé Spleeter avec Ableton à l'époque, c'est le même principe mais en BEAUCOUP plus simple !!

Perso, le fait que ça tourne dans le navigateur, c'est top, sans parler du fait que vos morceaux restent sur votre disque.

Maintenant, si la version navigateur vous semble un peu longue, y'a le CLI natif qui exploite Metal sur Mac et Vulkan sur Linux/Windows. Pour l'installer, clonez le repo et lancez make cli (Rust requis) :

git clone https://github.com/nikhilunni/demucs-rs
cd demucs-rs && make cli

demucs song.mp3 # 4 pistes dans ./stems/
demucs -s vocals chanson.mp3 # juste la voix
demucs -m htdemucs_6s -s guitar solo.flac # isoler la guitare
demucs -m htdemucs_ft morceau.mp3 # qualité max

C'est la grosse actu du jour ! YggTorrent, le plus gros tracker torrent francophone, a fermé DÉFINITIVEMENT ses portes après une cyberattaque survenue le 3 mars 2026. Un site de piratage qui se fait... pirater. Oups !

Un hacker du nom de Gr0lum a revendiqué l'opération baptisée YGGLeak. D'après lui, il aurait exfiltré la base de données complète du site, soit environ 6,6 MILLIONS de comptes utilisateurs. Il s'agit d'emails, de mots de passe hashés en bcrypt, d'adresses IP, d'historiques de navigation... genre, le package complet. Donc pas exactement le genre de truc que vous voulez voir traîner dans la nature.

De leur côté, l'équipe d'Ygg a publié un long communiqué où ils se posent en victimes. Selon eux, un ancien admin viré aurait gardé des accès et orchestré le sabotage de l'intérieur. Ils parlent de "trahison" et jurent que les mots de passe étaient "hashés et salés" (en gros, pas en clair... mais bon, ça rassure moyen quand toute votre base est dans la nature).

Sauf que la version de Gr0lum raconte une toute autre histoire. Le hacker accuse la plateforme d'avoir stocké pas moins de 54 776 numéros de cartes bancaires (sans qu'on sache si c'est des numéros complets ou tronqués), d'avoir mis en place du tracking comportemental poussé et même du fingerprinting de wallets crypto. On est donc carrément loooooiiiiin du petit tracker communautaire sur lequel vous téléchargiez vos ISO Linux ^^.

D'ailleurs, faut remettre un peu de contexte. Le 21 décembre 2025, Ygg avait lancé son fameux "Mode Turbo" qui limitait les utilisateurs gratuits à 5 téléchargements par jour... sauf si vous passiez à la caisse. Un modèle qui aurait généré dans les 10 millions d'euros de revenus entre 2024 et 2025, d'après les chiffres avancés par Gr0lum. Du coup, pour un site soi-disant "bénévole", ça fait beaucoup, j'avoue.

Si vous aviez un compte sur Ygg, surtout si vous utilisiez le même email et le même mot de passe sur d'autres services (oui, on sait que c'est votre cas ^^), changez le ailleurs, car même avec du hash salé, sur 6,6 millions de comptes y'a forcément des mots de passe type "123456" qui vont tomber en quelques secondes. Vérifiez aussi sur Have I Been Pwned si votre adresse a fuité.

Ah et bonne nouvelle, y'a déjà un successeur. Un collectif nommé Utopeer a récupéré le catalogue et lancé ygg.gratis. Attention, aucune garantie de fiabilité là non plus, hein.... Comme d'hab, méfiance.

C'est un peu comme Bato.to en janvier dernier... les géants du piratage tombent les uns après les autres... après T411 en 2017, après Zone-Téléchargement, après Bato.to, c'est donc au tour d'Ygg de tirer sa révérence, sauf que cette fois, c'est pas la police qui a frappé, mais visiblement un de leurs propres utilisateur avec quelques compétences...