@Mister158 a dit dans [Aide] rtorrent et upload :

le même fichier physique peut être partager par deux lignes de torrents, chacun pour un tracker différent, à la seule et unique condition que la taille des pièces soient DIFFERENTES

Ce n’'est pas la seule et unique condition. En vrai il suffit de modifier la section info d’une manière ou d’une autre. Que ce soit en modifiant, ajoutant ou supprimant un élément, le hash sera différents.

@Aerya a dit dans [Aide] rtorrent et upload :

Salut, certains trackers privés demandent à désactiver le DHT et cocher, justement, torrent privé.
+1 pour changer la taille de pièces.

C’est le logiciel client qui décide comment il traite les torrents marqués private. Les specs du protocole indiquent que PeX et DHT doivent être désactivés pour les torrents privés, mais il n’y a en réalité aucune contrainte technique autre que le choix des devs.

@Aurel Tout dépend de la façon dont est intégrée l’IA, si tout passe constamment par elle (recherche d’urls, analyse de la navigation, traitement du contenu) ou si comme dans d’autres navigateurs, une sélection de texte peut être envoyée à l’IA d’un simple clic, comme pour d’autres navigateurs. Dans le dernier cas, c’est un choix, totalement libre, dans l’autre, c’est de la surveillance.

Qu’est-ce que LM Studio ?

LM Studio est une application de bureau sous Windows, Mac et Linux, qui permet aux utilisateurs de télécharger, exécuter et expérimenter des modèles de langage (LLM) open-source localement sur leurs ordinateurs. En d’autres termes, il permet d’installer et d’exécuter des modèles comme LLaMA, Mistral, Gemma, GPT, etc., directement sur leur machine.

Bien entendu, ce type d’outil est plutôt réservé aux utilisateurs déjà à l’aise avec l’outil informatique, mais il existe des tutoriels qui permettent d’installer LM Studio assez facilement.

L’avantage de LM Studio, c’est qu’il permet de tester les différents LLM depuis une interface unifiée, voire de les utiliser simultanément pour comparer la qualité et la pertinence des résultats, et surtout, toutes vos requêtes restent en local, et donc hors ligne, garantissant la confidentialité de vos recherches.

LM Studio offre également d’importer un document et d’interroger le chatbot sur son contenu via le système RAG, et comme tout est local, votre document ne risque pas de se perdre sur internet et d’être intercepté par d’autres personnes.

Vous pouvez télécharger LM Studio sur votre ordinateur Windows 10/11, MacOS X 13.6 ou version supérieure (M1/M2/M3/M4), et Linux. Le système est open source et gratuit pour les utilisateurs individuels.

Retrouvez LM Studio dans notre article : Installer un ChatGPT sur PC ou Mac : voici le guide ultime pour tous.

Comment choisir, télécharger et installer un modèle ?

Une fois LM Studio installé et lancé, vous accédez à une interface intuitive qui vous permet de parcourir et de sélectionner divers modèles de langage. Pour choisir un modèle adapté à vos besoins, il est important de considérer les ressources matérielles de votre ordinateur.

Dans l’onglet « Discover » de l’application, vous pouvez explorer les modèles disponibles ou utiliser la barre de recherche pour trouver un modèle spécifique. Une fois le modèle souhaité sélectionné, cliquez sur « Download » pour initier le téléchargement. LM Studio se charge ensuite de l’installation automatique du modèle, le rendant prêt à l’emploi dès que le processus est terminé.

Notez qu’il est également possible de télécharger et d’installer de nouveaux modèles depuis le site de l’éditeur dans le menu Model Catalog, ou si vous ne trouvez pas votre bonheur, rendez-vous sur Hugging Face.

Source : frandroid.com

Présentation et tuto vidéo par LinuxTricks

pour ceux qui possèdent un NAS, il est possible de partager facilement un fichier ou un dossier à l’aide de l’application pour synology File Browser, développé par Sebastian Schmidt parmi les applications Syncommunity 😉

@Psyckofox a dit dans VLC existe depuis 1996 :

Le bon vieux temps avec son lot de thèmes.

Ce temps est loin d’être révolu. Va sur AIMP mon ami ^^

le jour où le Raspberry aura une gpu NVidia j’hésiterai peut-être à m’en acheter un autre…

La nouvelle mouture du navigateur est assez riche en nouveautés. Elle introduit notamment la possibilité d’ajouter, modifier et supprimer des commentaires dans les documents PDF. Elle permet également de prévisualiser les onglets présents dans un groupe en survolant le nom de ce dernier avec la souris, la liste s’affichant alors.

D’autres ajouts pratiques font leur apparition. Par exemple, la barre latérale permet de gérer les mots de passe, qui ne nécessitent donc plus l’ouverture d’un nouvel onglet ou d’une nouvelle fenêtre. À la manière de ce que pratiquent certains moteurs de recherche comme Google, Firefox permet maintenant de « Copier le lien du surlignage » depuis un clic sur un passage surligné. On peut alors coller un lien modifié vers la page qui affichera le passage en question chez les personnes qui le recevront.

On trouve aussi de nouveaux fonds d’écran (en versions claires et sombres), une option pour ouvrir un onglet depuis une app tierce dans un onglet à côté de l’onglet actif plutôt qu’à la fin, des onglets horizontaux légèrement plus arrondis (pour une plus grande cohérence avec le style vertical), l’utilisation de Zstandard pour la compression des modèles linguistiques de traduction afin de réduire le poids et la consommation d’espace disque, ou encore une simplification de l’installation des agents tiers.

Firefox 145 introduit en outre un renforcement des protections pour la vie privée, d’abord en activant l’Enhanced Bounce Tracking Protection par défaut quand on navigue en mode strict. Ensuite, toujours dans ce mode ou quand on se trouve en navigation privée, Firefox détecte un plus grand nombre de signaux récupérés pour rendre un(e) internaute unique pour les bloquer.

Comme la fondation l’indique dans un billet dédié, ces nouvelles protections sont déployées par phase et ne sont pas disponibles par défaut chez tout le monde. « Nos recherches montrent que ces améliorations ont réduit de près de moitié le pourcentage d’utilisateurs considérés comme uniques », affirme Mozilla. L’éditeur ajoute que la progression de ces outils est complexe, car de nombreux cas d’utilisation présentent des raisons légitimes de demander l’accès à certaines informations, par exemple le fuseau horaire pour les services d’agendas.

Enfin, Firefox 145 est la dernière version à prendre en charge les systèmes Linux 32 bits, comme prévu. Le navigateur corrige en outre 16 failles de sécurité, dont 9 critiques.

Source : next.ink

Mozilla prépare un important changement, avec l’obligation pour les extensions de préciser si des données sont collectées et lesquelles. Cette règle sera active le 3 novembre pour les nouvelles extensions, mais sera étendue à toutes en 2026.

created: 2025-10-29T14:54:18 (UTC +01:00)
tags: []
source: https://next.ink/206277/dans-firefox-les-extensions-vont-devoir-lister-les-donnees-collectees/
author: Vincent Hermann Dans Firefox, les extensions vont devoir lister les données collectées - Next

Excerpt

La fondation Mozilla va imposer de nouvelles règles aux extensions publiées dans sa boutique officielle addons.mozilla.org. Ainsi, à compter du 3 novembre, toutes les nouvelles extensions qui seront soumises pour vérification devront intégrer une nouvelle clé dans leur fichier manifeste (manifest.json).

La fondation Mozilla va imposer de nouvelles règles aux extensions publiées dans sa boutique officielle addons.mozilla.org. Ainsi, à compter du 3 novembre, toutes les nouvelles extensions qui seront soumises pour vérification devront intégrer une nouvelle clé dans leur fichier manifeste (manifest.json).

Qui collecte quoi

Cette clé – browser_specific_settings.gecko.data_collection_permissions – devra impérativement être renseignée, sous peine de rejet lors de l’examen. Dans le cas où une extension ne collecterait aucune donnée, la clé devra avoir pour valeur « none ». Dans le cas contraire, tous les types d’informations devront être mentionnés, par exemple la position géographique.

L’idée, bien sûr, est d’afficher cette information pour que l’internaute sache précisément à quoi s’en tenir. L’information sera d’ailleurs indiquée à plusieurs endroits : dans la fenêtre d’installation, sur la page officielle de l’extension dans la boutique de Mozilla, ainsi que dans la section Permissions de la page « Vie privée et sécurité » des paramètres du navigateur.

Durant une phase de plusieurs mois, cette obligation ne concernera que les nouvelles extensions proposées pour révision, et pas les mises à jour des extensions existantes. Une fois qu’une extension disposera de la nouvelle clé, elle devra la réutiliser pour toutes ses versions ultérieures. Si elle devait ne pas être renseignée dans le manifeste, l’extension serait rejetée.

Généralisation à toutes les extensions l’année prochaine

Cependant, durant le premier semestre 2026, le mécanisme sera étendu à toutes les extensions. L’éditeur ne précise pas si ces extensions auront une date limite pour s’y atteler ou si l’obligation concernera uniquement les mises à jour. Mozilla indique dans son billet que des informations supplémentaires seront bientôt publiées et que tous les développeurs seront prévenus de cette bascule.

[…]

Article complet : next.ink

https://windows.developpez.com/actu/376824/Microsoft-annonce-que-l-ensemble-d-utilitaires-systeme-PowerToys-0-95-pour-Windows-est-disponible-avec-un-nouvel-utilitaire-Light-Switch-et-une-palette-de-commandes-plus-rapide/

Si ça fait du webRTC, c’est du SIP over websocket… ce n’est donc carrément pas mieux que Zoom ou Teams…

En bref :
(Résumé généré automatiquement par IA)

– Un développeur solitaire défie les géants Ghostery et uBlock avec une extension de 3 modes qui fait le même boulot sans bouffer votre RAM.

– Le RGPD devait nous protéger mais nous a filé l’enfer des popups : cette extension code ouvert répare ce que la loi a cassé.

– Cette extension vire les overlays si bien qu’elle débloque parfois du contenu payant par accident (mais chut, c’est pas son but officiel).

Mais siiii, celui où on cliquait sur un lien et hop, la page s’affichait. Sans popup de cookies, sans overlay “Abonnez-vous à notre newsletter”, sans ce message agaçant “Désactivez votre bloqueur de pub pour continuer” ou “Abonnez-vous pour lire cet article”. Bref, l’époque bénie où internet était juste… internet.

Le RGPD devait nous sauver de la surveillance mais le résultat c’est qu’on passe notre vie à cliquer sur des bouton “Tout refuser” ou à chercher le bouton caché derrière 47 onglets de paramètres. L’enfer est pavé de bonnes intentions réglementaires, il parait… Mais heureusement, des extensions comme **PopUpOFF **existent pour réparer ce que cette loi a cassé.

Ce que fait cette extension pour Chrome et Firefox, c’est virer les popups, les overlays, les bannières de cookies et toutes ces merdes qui transforment la navigation en parcours du combattant. RomanistHere, le dev derrière le projet, a créé ça tout seul dans son coin et son extension est dispo en open-source sur GitHub .

PopUpOFF propose donc 3 modes de blocage : agressif, modéré et délicat. Le mode agressif, c’est le rouleau compresseur… il dégomme tout ce qui bouge. C’est super pratique quand vous êtes pressé.

Le mode modéré quant à lui fait le tri entre les popups légitimes (genre, celles de votre banque) et les overlays parasites. Et le mode délicat, lui, intervient uniquement quand vous le décidez manuellement.

Ainsi, vous gardez le contrôle total, ce qui change des extensions qui décident de tout ça à votre place.

–> Téléchargez PopUpOFF sur Mozilla Add-ons –> Téléchargez PopUpOFF sur Chrome Web Store –> Et le repo GitHub PopUpOFF est ici

Alors bien sûr, tout n’est pas parfait et l’extension peut parfois rater des overlays invisibles ou péter l’affichage de certains sites, notamment les PWA (Progressive Web Apps), mais pour 90% des cas d’usage, ça fait le job impeccable.

À l’opposé des mastodontes type Ghostery ou uBlock Origin (qui sont excellents, ne me faites pas dire ce que je n’ai pas dit…), RomanistHere a misé sur le minimalisme radical. Pas de filtres à mettre à jour toutes les semaines, pas de liste de 50 000 domaines à bloquer, pas de consommation RAM de malade. Non, c’est juste un script intelligent qui détecte les patterns d’overlays et les neutralise.

Notez qu’en bonus, l’extension peut parfois débloquer du contenu payant sur certains sites qui utilisent des overlays pour bloquer la lecture. Ce n’est pas son objectif principal, mais vu que beaucoup de paywalls reposent sur des overlays CSS basiques, bah… PopUpOFF les vire aussi. Je dis pas que vous devriez l’utiliser pour contourner les abonnements (soutenez vos médias préférés, toussa toussa), mais sachez que techniquement, ça peut arriver.

À noter que PopUpOFF n’est pas seul sur ce créneau. Il y a aussi “ I Don’t Care About Cookies ” (racheté par Avast, ce qui a refroidi pas mal de gens), ou encore la fonction “ Never-Consent ” de Ghostery qui auto-rejette les cookies via les CMP (Consent Management Platforms).

–> Ces alternatives ont chacune leurs forces, mais PopUpOFF reste le champion du rapport efficacité/poids.

Bref, si vous en avez marre de perdre 15 secondes par page à fermer des popups de merde, PopUpOFF mérite clairement sa place dans votre navigateur. C’est léger, c’est open-source, c’est gratuit, et ça fait exactement ce qu’on lui demande…

– Source :

https://korben.info/popupoff-extension-bloqueur-popups-cookies-rgpd.html

En bref :
(Résumé généré automatiquement par IA)

– Fini les galères Python : ce site transforme votre navigateur en arsenal d’espionnage numérique complet.
– Votre vie privée mise à nu en 3 clics : la plateforme qui révèle tout ce que vous cachez sur le web.
– Les journalistes et recruteurs ont trouvé leur arme secrète pour fouiller dans votre passé numérique.

Je vous ai déjà parlé de Maigret, de Sherlock , de Holehe ou de Toutatis … Mais si vous n’avez pas pris le temps de tester tout ça, ce n’est pas grave car vous allez pouvoir tous les essayer et faire votre meilleur OSINT grâce à OSINT.rocks .

OSINT.rocks est un site qui rassemble les outils d’investigation les plus puissants directement dans votre navigateur. Plus besoin d’installer Python, de configurer des environnements virtuels ou de galérer avec des dépendances. Vous ouvrez votre navigateur, vous tapez l’URL du site, et vous avez accès à une batterie d’outils prêts à l’emploi.

OSINT.rocks centralise tout. Vous avez Sherlock pour traquer les comptes utilisateurs sur les réseaux sociaux, Holehe pour découvrir où une adresse email est enregistrée, Hudson Rock pour vérifier si un email a été compromis par un info stealer, GHunt pour investiguer sur Google, et Maigret qui collecte un dossier complet sur une personne uniquement à partir d’un nom d’utilisateur.

La plateforme propose aussi des outils pour les numéros de téléphone et les recherches WHOIS. Vous entrez un numéro, vous obtenez des informations géolocalisées. Et si vous cherchez des détails sur un domaine, vous avez les enregistrements disponibles. Tout est centralisé, tout est rapide.

Comme ça, un journaliste qui enquête sur quelqu’un peut vérifier rapidement l’empreinte numérique d’une personne, un recruteur peut vérifier les informations d’un candidat, un chercheur en sécurité peut analyser l’exposition d’une cible ou un particulier peut vérifier ce qui traîne sur lui en ligne. L’OSINT, c’est utile dans plein de contextes !

Bref, si vous voulez tester Sherlock, Maigret, Holehe ou Hudson Rock sans vous prendre la tête avec l’installation, OSINT.rocks fait le job. Et si vous voulez aller encore plus loin, j’ai trouvé également une superbe boite à outils OSINT ici .

– Sources : [osint.rocks]

https://korben.info/osint-rocks-outils-investigation-navigateur.html

En bref :
(Résumé généré automatiquement par IA)

– Ce développeur suisse a démoli le business des formations cybersécurité à 5000€ avec un simple dépôt GitHub ouvert.

– Les hackers éthiques ont désormais leur bible complète : du piratage web aux objets connectés, tout est documenté.

– Un étudiant motivé peut maintenant maîtriser le pentesting en quelques mois grâce à cette révolution du savoir libre.

En octobre 2016, un développeur suisse connu sous le pseudo swisskyrepo a commencé à compiler ses notes de pentester dans un dépôt GitHub. Rien de révolutionnaire au départ, juste un mec qui en avait marre de chercher la même injection SQL pour la 50ème fois dans ses notes. Mais ce qui est cool c’est qu’au fur et à mesure des années, il a structuré ça proprement avec une section par type de vulnérabilité, des README clairs, des fichiers Intruder pour Burp Suite, des exemples concrets…etc.

Ça s’appelle Payloads All The Things, et c’est accessible ici .

Ce qui était donc au départ un simple carnet de notes personnel est devenu THE référence mondiale en cybersécurité offensive avec des centaines de contributeurs qui ajoutent quotidiennement de nouvelles techniques. C’est devenu la pierre de Rosette (pas la charcuterie, renseignez-vous !! lol) de la sécurité offensive, celle qu’on cite dans tous les cours de certification OSCP, celle qu’on consulte pendant les CTF, celle qu’on recommande aux débutants…

Avant PayloadsAllTheThings, le savoir en cybersécurité offensive était soit verrouillé dans des formations hors de prix à 5 000 boules, soit éparpillé dans des recoins obscurs du web, soit jalousement gardé par des pentesters qui pètent plus haut que leur cul… Des pêt-testeurs quoi…

SwisskyRepo a d’ailleurs fait un choix radical qui est tout mettre en open source, sous licence MIT, accessible à tous. Et le contenu, c’est du lourd !

On y trouve tout ce dont un pentester peut avoir besoin : SQL Injection avec toutes les variantes possibles (MySQL, PostgreSQL, Oracle, MSSQL…), XSS avec les bypasses de filtres, SSRF avec les techniques d’exfiltration, Command Injection, OAuth Misconfiguration, GraphQL Injection, File Inclusion, Authentication Bypasses, API Key Leaks…etc… La liste est hallucinante.

Chaque section est structurée comme un cookbook technique avec le contexte de la vulnérabilité, les payloads classés par type, les bypasses pour contourner les protections, des exemples concrets, et les références vers les CVE ou les articles de recherche.

Par exemple, si vous voulez exploiter un serveur Redis mal configuré, il y a une section pour ça. Si vous voulez comprendre comment contourner un WAF, pareil ! Et si vous cherchez à pivoter dans un réseau interne après avoir compromis une machine, tout est documenté en anglais sur ce site.

Mais swisskyrepo ne s’est pas arrêté là. Son projet a muté en écosystème puisqu’il a aussi créé InternalAllTheThings , un wiki dédié au pentesting interne et aux attaques Active Directory (Certificate Services, Enumeration, Group Policies, Kerberos attacks, Hash manipulation, Roasting techniques…).

Et également HardwareAllTheThings , le même genre de wiki mais sur la sécurité hardware et IoT : JTAG, SWD, UART pour les interfaces de debug, firmware dumping et reverse engineering, Arduino, Raspberry Pi, Flipper Zero pour les gadgets, Bluetooth, CAN, WiFi, RFID/NFC pour les protocoles, SDR et GSM pour la radio, fault injection pour les attaques par canal auxiliaire…

Bref, tout ce qu’il faut savoir pour hacker des objets connectés, des cartes à puce ou des systèmes embarqués.

Du coup, avec cette famille complète de “AllTheThings”, on couvre toute la surface d’attaque moderne, le web, l’infra interne et le hardware. Un pentest complet peut donc se faire avec ces trois ressources comme base de connaissance. Chouette non ?

Bien, sûr c’est à utiliser dans un cadre légal, sinon, vous irez en prison ! C’est pas un forum de script kiddies qui échangent des zero-days volés, c’est une vraie bibliothèque technique pour les professionnels et les étudiants en cybersécurité.

Grâce à ça, un étudiant motivé peut devenir compétent en sécurité offensive en quelques mois juste avec des ressources gratuites : PayloadsAllTheThings pour les techniques, TryHackMe ou HackTheBox pour la pratique, les blogs de chercheurs pour les analyses approfondies, les conférences enregistrées (DEF CON, Black Hat) pour rester à jour.

Le savoir se libère, n’en déplaise aux relous ! Moi je trouve que c’est cool, car ça vulgarise les connaissances, ça les mets à la portée de tous et c’est tant mieux.

Donc un grand merci à SwisskyRepo d’avoir lancé ce projet !

– Source :

https://korben.info/payloadsallthethings-bibliotheque-hackers-ethiques.html

En bref :

– CrowdStrike, l’entreprise qui a planté le monde entier, se fait pirater par un ver informatique prenonant le nom d’uen créature de Dune.

– Le premier ver auto-répliquant de l’histoire JavaScript transforme vos dépôts privés en repos publics pour humilier votre RSSI.

– Un développeur français crée l’antidote au chaos npm pendant que les géants de la cybersécurité se font ridiculiser.

Romain, fidèle lecteur de korben.info a développé un scanner pour détecter l’attaque Shai-Hulud qui a secoué l’écosystème npm dernièrement ! L’occasion parfaite pour moi de vous raconter cette histoire complètement dingue.

Vous vous souvenez de CrowdStrike ? Cette entreprise de cybersécurité qui a provoqué la plus grande panne informatique mondiale en juillet 2024 avec une mise à jour défaillante ? Celle qui a cloué au sol des milliers d’avions et fait planter des millions de PC Windows ? Eh bien figurez-vous qu’en septembre 2025, des packages npm mis à disposition par CrowdStrike ont été touchés. Et si Crowdstrike n’a pas été directement piraté, ces packages publics (qui n’étaient pas utilisés dans leurs solutions de sécurité, ni en interne chez eux) utilisaient ces dépendances qui ont été compromises par l’attaque.

C’est ce qu’on appelle une supply chain attack et l’attaque Shai-Hulud (oui, comme le ver des sables dans Dune) n’est pas juste un malware de plus. C’est le premier ver informatique qui s’est propagé de manière autonome dans l’écosystème npm, infectant des centaines de paquets en quelques heures.

Le ver utilise TruffleHog, un outil de sécurité normalement conçu pour DÉTECTER les secrets dans le code, c’est à dire les tokens GitHub, npm, AWS et GCP.

Puis quand il trouve des credentials valides, le ver fait les trois choses suivantes : D’abord, il crée un dépôt GitHub public nommé “Shai-Hulud” où il balance toutes les données volées. Ensuite, il pousse une GitHub Action malicieuse dans tous les repos accessibles pour exfiltrer encore plus de secrets. Et le pompon c’est que parfois, il transforme même les repos privés d’entreprise en repos publics personnels. J’vous laisse imaginer la tête du RSSI qui découvre que tout le code proprio de sa boîte est accessible à tout le monde sur GitHub…

Et quand le ver trouve des tokens npm dans son environnement, il publie automatiquement des versions infectées de tous les paquets auxquels il a accès. C’est d’ailleurs la première fois qu’on voit ce comportement de ver auto-répliquant dans l’écosystème JavaScript. Par exemple, le paquet @ctrl/tinycolor, téléchargé 2 millions de fois par semaine, a été l’un des premiers touchés.

Face à ce bordel monumental, Romain a donc développé npm-shai-hulud-scanner , un outil qui détecte non seulement les paquets connus comme compromis, mais aussi les tentatives de typosquatting et les patterns de code malicieux. Il utilise notamment la distance de Levenshtein pour identifier les variations suspectes de noms de paquets (du genre lodash vs lodash_ ou react vs raect).

Quand vous le lancez, le scanner de Romain vérifie d’abord si vous avez des paquets de la liste des 500+ compromis. Ensuite il analyse votre code à la recherche de patterns suspects : tentatives d’exfiltration de credentials, exécution de code à distance, obfuscation, communications réseau louches. Il peut même tourner en mode monitoring continu pour surveiller votre CI/CD. Et cerise sur le gâteau, il peut mettre en quarantaine les paquets suspects automatiquement. C’est top non ?

Shai-Hulud est l’un des attaques les plus sévères jamais vue sur la supply chain JavaScript et si même CrowdStrike se fait avoir, je me dit que personne n’est à l’abri. Donc soyez hyper vigilants et utilisez des outils de contrôle comme celui de Romain !

On ne sait jamais !

– Sources : Github

https://korben.info/npm-shai-hulud-scanner-attaque-supply-chain.html