Sale nouvelle pour les fans de World of Warcraft classic. J'sais pas si vous vous souvenez de Turtle WoW, ce serveur privé qui permettait de jouer à WoW vanilla sans abonnement et avec du contenu inédit, mais cet ambitieux projet vient de passer à la trappe. Malheureusement, Turtle WoW 2.0, ce remake complet en Unreal Engine 5, est officiellement DÉCÉDÉ !

Et pourtant, ce projet faisait rêver les fans. C'était World of Warcraft Classic avec des graphismes de qualité et le trailer sorti en septembre avait explosé les compteurs avec 200 000 vues sur YouTube. Le lancement était prévu pour décembre, bref, tout semblait sur les rails.

Vous connaissez les cyberdecks ?

Non ?? Pourtant, je vous en ai parlé déjà. Ce sont des petits ordis portables custom qu'on voit par exemple dans les films cyberpunk, où genre, le mec sort son bouzin de sa poche et hop, il peut hacker le monde entier. HACK THE PLANET !! Oué Oué !

Et bien tenez-vous bien car le Hackberry Pi CM5 9900 , c'est exactement ça, mais en vrai !

Le Hackberry Pi c'est donc un projet DIY qui transforme un Raspberry Pi Compute Module 5 en plateforme de hacking portable, ce qui est parfait pour les pentesters, les gens de l'infosec, ou simplement les geeks qui veulent un Linux puissant dans un format ultra-compact.

Le châssis mesure 143,5 x 91,8 x 17,6 mm pour 306 grammes et vous avez une coque en aluminium sur le devant et le dos, avec une partie centrale imprimée en 3D. À l'intérieur, un écran tactile 720x720, un vrai clavier physique style BlackBerry 9900, et un Raspberry Pi CM5 avec un quad-core Cortex-A76 qui tourne à 2,4 GHz.

L'écran est carré, ce qui est un format assez inhabituel mais plutôt pratique quand vous bossez en terminal. Le clavier, c'est celui du BlackBerry 9900, donc un vrai clavier physique avec des touches qui cliquent, et si vous avez déjà tapé sur un clavier tactile pendant 3 heures d'affilée, vous comprendrez pourquoi c'est cool.

Côté connectique, vous avez aussi 2 ports USB 3.0, un HDMI pleine taille, un slot M.2 2242 pour un SSD NVME, un lecteur microSD, une batterie de 5 000 mAh, et même des enceintes stéréo intégrées. La batterie vous donnera environ 5 heures en veille et 3 ou 4 heures en utilisation active. Et une recharge complète se fera en 3 heures via USB-C.

Donc plutôt que d'utiliser votre ordi principal pour vos tests de sécu, vous pouvez monter un environnement dédié sur ce petit deck. Vous flashez Kali Linux sur le SSD NVME, vous ajoutez quelques dongles WiFi style ALFA Network AWUS036ACM, peut-être un adapteur Bluetooth, un hub USB, et hop, vous avez une plateforme de pentesting portable.

Le truc cool, c'est surtout que le projet est modulaire donc vous pouvez par exemple modifier l'antenne WiFi.. Les fichiers STL sont également dispo en ligne, donc si vous avez une imprimante 3D, vous pouvez vous imprimer un support d'antenne custom. Certains ont même ajouté des radios logicielles (SDR) pour jouer avec les fréquences radio.

Ensuite, l'installation est assez simple. Vous commencez par insérer le module CM5 dans son slot dédié, vous ajoutez le SSD NVME, vous imprimez éventuellement votre support d'antenne custom, vous flashez Raspbian sur une carte microSD pour le boot initial, puis vous installez Kali Linux sur le NVME, et vous configurez les options de boot pour démarrer directement depuis le SSD.

Si vous avez capté tout ce qui est écrit ci-dessus, ce sera simple oui. Sinon, faudra lire un peu de doc ^^.

Le système supporte aussi plusieurs OS : Kali pour le pentesting, Pi OS par défaut, Ubuntu, LineageOS (Android), Manjaro, TwisterOS, ou même ParrotOS. Et vous pouvez basculer entre les environnements selon ce que vous voulez faire.

Maintenant niveau prix, comptez environ 300-350 dollars pour le setup complet. Le châssis Hackberry Pi CM5 9900 coûte 168 dollars, le module Raspberry Pi CM5 Lite avec 16 Go de RAM tourne à 132 dollars, vous ajoutez un SSD NVME de 256 Go, la batterie 5 000 mAh avec charge MagSafe, et quelques accessoires.

C'est dispo chez plusieurs revendeurs : Elecrow, Carbon Computers, Tindie, ou même Etsy mais le module CM5 par contre, faudra le sourcer séparément, genre chez Pishop.us.

Ce projet a été développé par ZitaoTech, c'est open source, donc toute la communauté peut contribuer, améliorer les designs, partager des configs, etc et y'a d'ailleurs déjà pas mal de mods qui circulent, notamment des antennes externes pour améliorer la portée WiFi pendant les tests de pénétration.

Comme ça, si vous êtes dans la sécu offensive, c'est quand même pratique d'avoir un device dédié qui ne risque pas de foutre en l'air votre config perso si un test part en vrille. Vous isolez vos outils, vos payloads, vos exploits sur un système séparé, et si ça plante, bah vous rebootez le deck, c'est tout.

Et puis franchement, c'est plutôt classe je trouve de sortir un truc comme ça de sa poche. Ça donne l'impression que vous êtes en mission, comme dans les films... vous dégainez votre petit cyberdeck avec son clavier BlackBerry, vous vous branchez sur un port Ethernet, et hop, vous lancez vos scans. Ça a plus de gueule je trouve qu'un laptop Dell sous Windows avec un autocollant Mr. Robot ^^.

A découvrir ici !

Vous vous souvenez de ces robots chiens et humanoïdes Unitree qu'on voit partout sur les réseaux depuis quelques mois ? Hé bien des chercheurs en sécurité viennent de découvrir qu'on pouvait les pirater en moins d'une minute, sans même avoir besoin d'un accès internet. Et le pire, c'est que la faille est tellement débile qu'elle en devient presque comique.

Lors de la conférence GEEKCon à Shanghai, l'équipe de DARKNAVY a fait une démonstration qui fait froid dans le dos. L'expert Ku Shipei a pris le contrôle d'un robot humanoïde Unitree G1 (quand même 100 000 yuans, soit environ 14 000 balles) en utilisant uniquement des commandes vocales et une connexion Bluetooth. Après environ une minute de manipulation, l'indicateur lumineux sur la tête du robot est passé du bleu au rouge, il a alors cessé de répondre à son contrôleur officiel, puis sous les ordres de Ku, il s'est précipité vers un journaliste en balançant son poing.

Sympa l'ambiance.

En fait, le problème vient de la façon dont ces robots gèrent leur configuration Wi-Fi via Bluetooth Low Energy (BLE). Quand vous configurez le réseau sur un robot Unitree, il utilise le BLE pour recevoir le nom du réseau et le mot de passe, sauf que ce canal ne filtre absolument pas ce que vous lui envoyez. Vous pouvez donc injecter des commandes directement dans les champs SSID ou mot de passe avec le pattern « ;$(cmd);# », et hop, exécution de code en tant que root.

Et le truc encore plus dingue, c'est que tous les robots Unitree partagent la même clé AES codée en dur pour chiffrer les paquets de contrôle BLE, donc si vous avez cracké un G1, vous avez cracké tous les G1, H1, Go2 et B2 de la planète. Et là vous allez me dire : Et la sécurité du handshake ? Hé bien elle vérifie juste si la chaîne contient « unitree » comme secret. Bravo les gars ^^.

Du coup, la vulnérabilité devient wormable, c'est à dire qu'un robot infecté peut scanner les autres robots Unitree à portée Bluetooth et les compromettre automatiquement à son tour, créant ainsi un botnet de robots qui se propage sans intervention humaine. Imaginez ça dans un entrepôt avec 50 robots !! Le bordel que ça serait...

Moi ce qui m'inquiète avec ces robots, c'est l'architecture d'exfiltration de données car le G1 est équipé de caméras Intel RealSense D435i, de 4 microphones et de systèmes de positionnement qui peuvent capturer des réunions confidentielles, photographier des documents sensibles ou cartographier des locaux sécurisés. Et tout ça peut être streamé vers des serveurs externes sans que vous le sachiez surtout que la télémétrie est transmise en continu vers des serveurs en Chine... Vous voyez le tableau.

En avril 2025 déjà, des chercheurs avaient trouvé une backdoor non documentée dans le robot chien Go1 qui permettait un contrôle à distance via un tunnel réseau et l'accès aux caméras, donc c'est pas vraiment une surprise que les modèles plus récents aient des problèmes similaires, hein ?

J'imagine que certains d'entre vous bidouillent des robots avec Raspberry Pi ou Arduino, alors si vous voulez pas finir avec un robot qui part en freestyle, y'a quelques trucs à faire. Déjà, pour la config Wi-Fi via BLE, ne passez jamais le SSID et le mot de passe en clair mais utilisez un protocole de dérivation de clé comme ECDH pour établir un secret partagé. Et surtout validez et sanitisez toutes les entrées utilisateur avant de les balancer dans un shell.

Et puis changez les clés par défaut, car ça paraît con mais c'est le problème numéro un. Générez des clés uniques par appareil au premier boot ou lors de l'appairage. Vous pouvez stocker ça dans l'EEPROM de l'Arduino ou dans un fichier protégé sur le Pi.

Pensez aussi à isoler vos robots sur un réseau dédié... Si vous utilisez un Pi, créez un VLAN séparé et bloquez tout trafic sortant non autorisé avec iptables. Comme ça, même si un robot est compromis, il ne pourra pas exfiltrer de données ni attaquer d'autres machines.

Ah et désactivez aussi le Bluetooth quand vous n'en avez pas besoin ! Sur un Pi, ajoutez « dtoverlay=disable-bt » dans /boot/config.txt et sur Arduino, c'est encore plus simple, si vous utilisez pas le BLE, ne l'incluez pas dans votre projet.

Bref, ces robots sont de vrais chevaux de Troie ambulants. Ils ont des capteurs, des caméras, des micros, et maintenant ils peuvent être compromis par n'importe qui à portée de Bluetooth... Donc si vous bossez sur des projets robotiques, prenez le temps de sécuriser vos communications sans fil avant de vous retrouver avec un robot qui décide de vous tuer !! Et bookmarkez ce lien car c'est là où je mets toutes mes meilleures news robotiques !

Et si vous êtes encore en train de lire mes articles à cette heure-ci, je vous souhaite un excellent Noël !

Source

Bibliotik ça vous parle ou pas ? C'est un tracker torrent privé ultra-discret comme il y en a tant d'autres, où les fans de lecture vont chopper leurs ePubs.

Hé bien figurez-vous que Meta, Bloomberg, et toute une brochette de géants de la tech ont fait exactement pareil pour entraîner leurs IA. Sauf qu'eux, c'était pas pour lire du Stephen King au lit, mais pour aspirer 195 000 livres d'un coup et les transformer en "données d'entraînement".

Le dataset s'appelle Books3, et c'est un peu le Napster des LLMs. Créé en 2020 par un chercheur IA nommé Shawn Presser, ce jeu de données de 37 Go compressés contient des bouquins scrapés directement depuis la bibliothèque pirate Bibliotik. L'idée de Presser était plutôt noble à la base puisqu'il voulait démocratiser l'accès aux données d'entraînement pour que les petits labos puissent rivaliser avec OpenAI et leurs mystérieux datasets "Books1" et "Books2" dont personne ne connaît le contenu.

Sauf que Books3 a fini par être intégré dans The Pile , un gros dataset de 825 Go créé par EleutherAI, et là ça a pris des proportions industrielles... Meta l'a utilisé pour entraîner LLaMA, Bloomberg pour BloombergGPT, et des dizaines d'autres projets. Le problème, c'est que ça contient des livres protégés par le copyright tels que des romans de Sarah Silverman, de George R.R. Martin, et même le bouquin de John Carreyrou sur Theranos, "Bad Blood". D'ailleurs Carreyrou vient de porter plainte avec d'autres auteurs contre six géants de l'IA dont Anthropic, Google, OpenAI, Meta, xAI et Perplexity.

Et comme vous vous en doutez, la défense de toutes ces entreprises c'est le fameux "fair use" des américains. En gros, ils disent que transformer des livres en vecteurs mathématiques pour qu'une IA apprenne à écrire, c'est pas du vol, c'est de l'apprentissage. Un peu comme quand vous lisez 500 bouquins et que ça influence votre style d'écriture. Sauf que vous, vous payez vos livres et vous avez un cerveau biologique alors que ces IA, elles, aspirent tout le web sans demander la permission à personne.

Et en juin dernier, deux juges californiens ont, sans surprise, tranché en faveur d'Anthropic et Meta sur certains points. Ils ont considéré que l'utilisation de livres protégés pour entraîner des modèles comme Claude ou Llama 2 pouvait constituer un usage "spectaculairement transformatif" donc légal. Par contre, télécharger les bouquins depuis des sites pirates, ça reste illégal... Bref, vous pouvez utiliser le butin, mais pas le voler vous-même...

De son côté, le sénateur américain Hawley n'a pas mâché ses mots en parlant du "plus grand vol de propriété intellectuelle de l'histoire américaine" et quand on voit que les auteurs ont touché environ 3000 dollars chacun dans le règlement de 1,5 milliard de dollars proposé par Anthropic alors que ces boîtes génèrent des milliards de revenus, je peux comprendre l'énervement.

Mais le pire, c'est qu'il existe des datasets alternatifs 100% légaux, ouverts, et utilisables sans risquer un procès !! J'ai par exemple découvert Common Corpus , et je kiffe le concept. C'est un projet coordonné par Pleias, une startup française, avec le soutien de HuggingFace, du Ministère de la Culture et de l'AI Alliance et ce dataset contient 500 milliards de mots, dont 180 milliards en anglais et 110 milliards en français.

Mais alors d'où viennent ces données légales ?

Hé bien du domaine public uniquement. Ce sont des millions de journaux américains qui ont été numérisés via le projet Chronicling America, des collections de patrimoine culturel, des monographies historiques...etc. Et tout a été vérifié pour s'assurer que les droits d'auteur sont bien expirés.. Donc dedans, y'a pas de livres piratés, ce qui veut dire pas de procès potentiels...etc.

Y'a aussi le dataset Dolma avec ses 3 trillions de tokens créé par l'Allen AI Institute, ou encore RedPajama qui atteint les 30 trillions de tokens, et ces projets sont open source avec tout le processus de construction documenté donc vous pouvez les auditer, les refaire, et les vérifier, contrairement aux datasets proprio où on vous dit "faites-nous confiance, on a rien fait de mal, hihihi".

Mais même si tout ces trucs open source ont l'air cool, le problème, c'est que personne (ou presque) ne les utilise parce que les vieux livres du domaine public, ça parle comme Molière ou Victor Hugo. Le vocabulaire est archaïque, les tournures de phrases sont datées... on dirait une discussion sur l'oreiller du couple Macron. Et vous l'aurez compris, un LLM entraîné là-dessus va avoir tendance à vous pondre du texte qui sent la naphtaline, alors que les livres modernes piratés, quand à eux, c'est du langage contemporain, des dialogues naturels, des références actuelles...etc.

C'est donc ça le dilemme... Choisir entre éthique ou performance. Les chercheurs de Mozilla et EleutherAI ont publié en janvier 2025 un papier sur les bonnes pratiques pour créer des datasets ouverts , et ils admettent eux-mêmes que c'est compliqué car les métadonnées sont pourries, la numérisation coûte une blinde, et il faut des compétences juridiques ET techniques pour faire les choses proprement.

Un autre paradoxe encore plus cruel c'est que les projets qui documentent proprement leurs sources deviennent des cibles faciles pour les procès. C'est comme ça que le groupe anti-piratage danois Rights Alliance a fait supprimer Books3 via des notices DMCA, forçant EleutherAI à nettoyer The Pile alors que pendant ce temps, OpenAI reste discret sur ses données d'entraînement et évite ainsi les ennuis. Faire les choses bien, ça vous expose alors que faire les choses en douce pour entrainer votre IA, ça passe tranquillou (même si ça n'immunise pas totalement contre les procès non plus, faut pas déconner).

Et de plus en plus de sites partout sur la toile, changent petit à petit leurs conditions d'utilisation pour interdire le scraping par les IA... Autant dire que le web ouvert se referme petit à petit, ce qui rend encore plus galère de construire des datasets éthiques...

Bref, on est dans une situation où les géants aspirent tout sans vergogne, et où les petits qui essaient de faire les choses proprement galèrent... Sans parler des auteurs qui se retrouvent à quémander 3000 balles pour des œuvres qui valent bien plus. Common Corpus et tous ces autres projets ouverts prouvent, certes, qu'on peut entraîner des IA sans piller le travail des autres, mais ça demande énormément plus d'efforts et ça donne des résultats incroyablement moins sexy...

Voilà, au final, la vraie question n'est donc pas technique, mais politique. Est-ce qu'on doit accepter qu'une machine qui lit pour transformer un livre en vecteur, c'est OK parce que grâce à ce petit sacrifice, on peut profiter d'IA (open source de préférence) de folie ? Ou est ce qu'on se dit que lire c'est du vol quand c'est une machine qui lit ? Et dans ce cas, on accepte d'avoir des IA qui cause comme Balzac... ?

Source

Je trouve que ce qui manque sous Linux, c'est un petit outil sympa pour garder un œil sur l'état de sa batterie de portable. Alors oui, y'a des trucs par-ci par-là, mais rien de vraiment moderne et surtout complet. Mais c'était sans compter sur Wattage vient combler ce vide aussi immense que votre amour pour mon site ^^.

C'est donc une petite appli GTK4/libadwaita toute fraîche qui vous affiche tout un tas d'infos sur votre batterie. Et quand je dis tout un tas, c'est vraiment tout un tas du genre le nombre de cycles de charge, la capacité actuelle, le voltage, l'état de santé, les métriques d'énergie, les infos constructeur, etc.

L'appli est codée en Vala, ce qui veut dire qu'elle compile en C et que c'est plutôt rapide. Elle va récupérer toutes ses données directement dans /sys/class/power_supply, le dossier système où Linux stocke les infos de vos périphériques d'alimentation.

Le truc cool avec Wattage, c'est qu'elle supporte plusieurs batteries ou sources d'alimentation en même temps, donc si vous avez un setup un peu particulier avec plusieurs batteries, hop, tout s'affiche proprement dans l'interface.

L'interface justement, elle est assez minimaliste et bien fichue puisque vous avez toutes vos stats batterie dans une seule fenêtre, sans menus compliqués, ni options inutiles.

Voilà, alors plutôt que de vous fier uniquement à l'indicateur système classique qui vous dit juste le pourcentage, vous pourrez maintenant voir l'état réel de votre batterie. Comme ça, si elle commence à décliner, ou si le nombre de cycles grimpe trop, vous le saurez. Même chose si la capacité maximale baisse par rapport à la capacité d'origine... Plus rien ne vous échappera.

C'est développé par v81d, dispo sur GitHub , et sous licence GPL v3 et comme tout bon logiciel Linux moderne, Wattage est dispo sur Flathub , donc vous pouvez l'installer sur à peu près n'importe quelle distribution en deux clics. Ubuntu, Fedora, Arch, Mint... tant que vous avez Flatpak installé, vous êtes bons.

Source