Enorme nouvelle pour tous les amateurs de rétro-ingénierie et très mauvaise nouvelle pour Free ! Au 39C3 (le Chaos Communication Congress de cette année), un chercheur français du nom de Frédéric Hoguin (que je salue) a présenté un talk absolument dingue sur le hack de la Freebox HD. Et tenez-vous bien, l'une des failles utilisées se trouve dans... le port de Doom intégré à la box !

Pour la petite histoire, la Freebox HD c'est ce bon vieux boîtier décodeur que Free a sorti en 2006. Bientôt 20 ans au compteur et toujours maintenue jusqu'à fin 2025. Du coup, Frédéric s'est dit que ça ferait un super terrain de jeu pour du reverse engineering à l'ancienne. Et là, il a découvert deux failles 0-day qui permettent de prendre le contrôle total de la box.

Vous avez une imprimante 3D qui prend la poussière et un Steam Deck qui traîne sur le canapé ? Tom Patty vient de publier sur MakerWorld un projet qui va vous réconcilier avec les deux. L'idée c'est de transformer la console portable de Valve en mini borne d'arcade avec un vrai joystick et de vrais boutons, comme dans les salles de notre jeunesse (oui je suis vieux, je sais).

Le projet s'appelle Mini Arcade Steam Deck et c'est une version compacte d'un précédent design du même créateur. L'avantage de cette nouvelle mouture, c'est qu'elle ne nécessite ni moniteur externe ni haut-parleurs, du coup n'importe qui possédant déjà un Steam Deck peut se lancer. Bref, c'est du DIY accessible.

Le Mini Arcade Steam Deck dans toute sa splendeur ( Source )

Côté matos à prévoir en plus des pièces imprimées, il vous faudra une carte contrôleur Picade Max de chez Pimoroni, leur joystick arcade, 12 boutons d'arcade de la même marque, le faisceau de câblage V2 qui va avec, un câble USB-C et 4 petites vis M5 avec leurs écrous. Un hub USB-C optionnel permet de charger la console pendant les sessions de jeu, ce qui n'est pas du luxe vu l'autonomie de la bête.

L'impression prend environ 31 heures et demie sur 8 plaques différentes en 0.16mm de couche avec 15% de remplissage. Ça fait un sacré projet, mais le résultat a de la gueule ! L'assemblage se fait ensuite à la superglue en suivant les instructions fournies, avec des chevilles hexagonales pour bien aligner les pièces. Le design a été pensé pour le plateau d'impression d'une Bambu Lab P1S, mais d'après les retours de la communauté, ça passe aussi sur une A1 sans modification.

Le Steam Deck est facile d'accès

Et si l'idée de fabriquer votre propre borne d'arcade vous titille depuis un moment, c'est peut-être le projet idéal pour vous lancer. Pas besoin de savoir souder ou de se taper l'électronique complexe d'une borne complète, la carte Picade Max fait tout le boulot de conversion des entrées.

Le modèle est gratuit à télécharger sur MakerWorld et la communauté autour du projet est plutôt active. Y'a déjà des discussions sur l'ajout de trous d'aération dans une future V2 pour éviter que le Steam Deck ne chauffe trop pendant les longues sessions.

Ça fait envie n'est-ce pas ?

Merci à Lorenper pour l'info !

Vous connaissez ce moment relou où vous copiez un truc sur votre PC et vous vous retrouvez comme un idiot devant votre Mac parce que le presse-papier ne suit pas ? Hé bien y'a une solution open source qui règle ce problème, et elle s'appelle CrossPaste .

Vous installez l'app sur tous vos appareils (Windows, macOS, Linux) et hop, tout ce que vous copiez sur l'un se retrouve automatiquement disponible sur les autres. Du texte, des images, des URLs, du HTML, du RTF, des fichiers... Tout y passe. Et le truc cool c'est que ça fonctionne sur votre réseau local en mode "LAN-only serverless", donc vos données ne transitent pas par un serveur central quelque part dans le cloud de Donald Duck, euh Trump.

Car oui, la sécurité c'est pas en option avec CrossPaste. Toutes les données sont chiffrées de bout en bout avec un système de chiffrement asymétrique. Du coup, même si quelqu'un sniffe votre réseau local (votre voisin super haxxor par exemple), il ne verra que du charabia incompréhensible. Et comme y'a pas de serveur central, y'a rien à pirater côté infrastructure non plus.

L'interface est unifiée sur toutes les plateformes grâce à Compose Multiplatform (c'est du Kotlin sous le capot pour les curieux) et vous avez un historique de tout ce que vous avez copié, avec une gestion automatique du stockage pour pas que ça finisse par bouffer tout votre disque dur. Pratique pour retrouver ce lien que vous aviez copié y'a 3 jours et que vous avez oublié de sauvegarder quelque part...

Le projet est sous licence AGPL-3.0, donc c'est du vrai open source avec le code disponible sur GitHub. Si vous êtes du genre à vouloir bidouiller ou simplement vérifier qu'il n'y a pas de cochonneries planquées dedans, vous pouvez compiler vous-même. Y'a juste besoin de Gradle et d'un ./gradlew app:run pour compiler et lancer le tout.

Bref, si vous jonglez entre plusieurs machines au quotidien et que vous en avez marre de vous envoyer des trucs par email ou par Slack juste pour les avoir sur un autre ordi, CrossPaste ça va vous faire économiser pas mal de temps et d'énergie. Et en plus c'est gratuit \o/

Merci à Lorenper pour l'info !

Source

Vous savez ce qui est encore mieux qu'un bon film de super-héros ?

Une hacktiviste déguisée en Pink Ranger des Power Rangers qui supprime en direct des sites de nazis devant une salle comble de hackers en délire. Et ce moment de liesse s'est passé fin décembre au 39C3 , le Chaos Communication Congress à Hambourg.

Martha Root (un pseudo, évidemment) est montée sur scène accompagnée de deux journalistes, Eva Hoffmann (investigatrice freelance) et Christian Fuchs (qui couvre l'extrême droite depuis 20 ans), pour présenter leur investigation sur l'écosystème nauséabond des sites de rencontre pour suprémacistes blancs.

Mais au lieu de se contenter de slides PowerPoint bien sages, elle a décidé de passer à l'action avec un suppression en direct de trois sites : WhiteDate (le Tinder des nazis), WhiteChild (un truc glauque pour matcher des donneurs de sperme et d'ovules "de race pure") et WhiteDeal (une marketplace pour embaucher uniquement des racistes). Ça devait être sympa l'ambiance, n’empêche !

Et là où ça devient kiffant, c'est quand on regarde les stats de WhiteDate. Environ 3 600 profils aux USA, 600 en Allemagne, et avec la France, le Canada et le UK loin derrière. Et surtout 86% d'hommes. On imagine bien le niveau des conversations sur ce site de losers qui cherchent l'âme sœur aryenne dans un océan de testostérone frustrée.

Pour réussir sa mission de Power Rangers, Martha Root a utilisé des chatbots IA (Llama et compagnie) pour infiltrer ces plateformes. Elle a créé un faux profil avec une photo générée par IA, et quand son compte a bugué à force de bidouiller les champs de texte, elle a contacté le support. Ces génies lui ont non seulement débloqué son compte, mais lui ont offert 3 mois de premium gratuit. Merci les gars.

Mais le meilleur c'est quand Martha a demandé à une connaisseuse plus calée qu'elle de jeter un œil. Cinq minutes plus tard (pour de vrai), sa pote lui envoie la faille. Il suffisait de taper WhiteDate.net/download-all-users dans la barre d'adresse. C'est tout. Pas d'injection SQL sophistiquée, pas d'exploit zero-day... juste une URL en clair dans l'API WordPress. La "race supérieure" a oublié de protéger son endpoint JSON.

Comme l'a dit Martha Root: "Avant de vouloir dominer le monde, apprenez déjà à sécuriser un WordPress". C'est drôle ^^.

Des journalistes ont pu également identifier la vraie personne derrière le pseudo "Liff Heide" qui est une certaine Christiane Haar, 57 ans, qui vit près de Kiel en Allemagne. Et comment l'ont-ils trouvée ? Par l'enregistrement de la marque déposée "WhiteDeal" au registre du commerce allemand. Parce que oui, quand tu montes un réseau clandestin de nazis, tu n'oublies pas de déposer ta marque à l'INPI local. Le souci du détail administratif, c'est toujours magique.

Le parcours de Christiane Haar est d'ailleurs assez dingue. Ancienne pianiste prodige, elle a vécu à Paris dans les années 2000 où elle a épousé un banquier... dont le père avait survécu à la Shoah. Oui, vous avez bien lu... Son ex-mari a raconté aux journalistes qu'elle s'était radicalisée après 2014, persuadée que l'attentat de Charlie Hebdo était une "opération false flag". La descente aux enfers conspirationniste classique. Et le brave homme a fini par divorcer "pour raisons politiques" après qu'elle ait pété un câble antisémite lors d'un dîner avec des amis.

Côté autorités allemandes, c'est la lose totale par contre. Le Verfassungsschutz (les services de renseignement intérieur) surveillait le dossier depuis 2019... sauf qu'ils ont passé des années à traquer la mauvaise personne. Il existe en effet une romancière qui s'appelle vraiment Liff Heide, et ces brillants enquêteurs ont confondu les deux femmes malgré des différences flagrantes : pas le même âge, pas la même couleur de cheveux, l'une vivait à Paris depuis des décennies, l'autre à Berlin.

Résultat, la pauvre romancière a perdu son job dans une université berlinoise à cause de cette bourde monumentale. Bref, ce que Martha a trouvé en quelques jours, toute l'infrastructure de renseignement allemande n'a pas réussi à le faire en six ans.

Pour couronner le tout, le site WhiteDate était développé par une boîte IT en Inde, avec la comptabilité gérée depuis Madagascar. L'internationale brune qui sous-traite à l'étranger, ça ne s'invente pas, les amis...

Les données récupérées (100 Go quand même) ont été transmises à DDoSecrets, le collectif qui a pris la relève de WikiLeaks pour ce genre de fuites. Ils ont baptisé ça "WhiteLeaks" et le partagent avec les journalistes et chercheurs vérifiés. Comme le faisait Anonymous à la grande époque, le hacktivisme continue de faire le ménage là où les autorités traînent des pieds.

L'admin des sites a réagi sur X en pleurnichant que c'était du "cyberterrorisme" et en promettant des représailles. Elle envoie même chaque mois un fax (oui, un fax) aux journalistes pour réclamer de la thune en dédommagement. Ah oui, parce que supprimer des sites de nazis, c'est du terrorisme, mais matcher des donneurs de sperme pour la pureté raciale, c'est juste un hobby sympa entre amis.

L'investigation originale avait été publiée dans Die Zeit en octobre 2025, mais la démonstration live au 39C3 a clairement mis un coup de projecteur sur cette galaxie pathétique de losers qui pensaient pouvoir se cacher derrière leur écran pour propager leur haine.

Encore raté.

Source | Vidéo du talk au 39C3

Vous connaissez le concept de clé maître ? Hé bien Rasmus Moorats, un chercheur en sécurité estonien, vient d'en trouver une qui déverrouille l'intégralité du parc de scooters électriques Äike. Et vous vous en doutez, c'est pas vraiment ce que le fabricant avait prévu.

Le bougre a décidé de reverse-engineerer son propre deux-roues connecté après que la boîte ait fait faillite en 2025. Logique, quand le cloud menace de fermer, autant comprendre comment fonctionne sa bécane. Du coup il a décompilé l'app React Native, hooké les communications Bluetooth avec Frida, et là... surprise !

L'authentification entre l'app et l'engin utilise un système de challenge-response. Le scooter envoie un défi aléatoire, l'app le concatène avec une clé secrète, hash le tout en SHA-1, et renvoie le résultat. Simple et efficace. Sauf que la clé secrète en question, c'est FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF. Vingt octets de FF.

Vous l'aurez peut-être compris, c'est la valeur par défaut du SDK fourni par le fabricant du module IoT.

Bref, les devs d'Äike n'ont jamais personnalisé cette clé. Chaque scooter sorti d'usine embarque exactement la même. Du coup avec un script Python et la lib bleak, n'importe qui peut déverrouiller n'importe quel Äike qui passe dans la rue. Hop, on scanne, on répond au challenge avec la clé universelle, et on envoie les commandes : déverrouiller, activer le mode éco, ouvrir le compartiment batterie... tout y passe.

Le plus rigolo dans l'histoire c'est que la société sœur Tuul, qui fait de la location de trottinettes, n'a pas de Bluetooth sur ses engins ! Du coup elle n'est pas touchée. Comme quoi, parfois l'absence de fonctionnalité devient une feature de sécurité.

Évidemment, Rasmus a fait les choses proprement avec une disclosure responsable en septembre dernier. Le fabricant a alors confirmé que c'était bien leur faute, et pas celle du fournisseur du module. Mais bon, maintenant que la boîte a coulé, les correctifs risquent d'attendre looongtemps.

Source