[image: payloadsallthethings-bibliotheque-hackers-ethiques-1.png]

En bref :
(Résumé généré automatiquement par IA)

– Ce développeur suisse a démoli le business des formations cybersécurité à 5000€ avec un simple dépôt GitHub ouvert.

– Les hackers éthiques ont désormais leur bible complète : du piratage web aux objets connectés, tout est documenté.

– Un étudiant motivé peut maintenant maîtriser le pentesting en quelques mois grâce à cette révolution du savoir libre.

En octobre 2016, un développeur suisse connu sous le pseudo swisskyrepo a commencé à compiler ses notes de pentester dans un dépôt GitHub. Rien de révolutionnaire au départ, juste un mec qui en avait marre de chercher la même injection SQL pour la 50ème fois dans ses notes. Mais ce qui est cool c’est qu’au fur et à mesure des années, il a structuré ça proprement avec une section par type de vulnérabilité, des README clairs, des fichiers Intruder pour Burp Suite, des exemples concrets…etc.

Ça s’appelle Payloads All The Things, et c’est accessible ici .

[image: payloadsallthethings-bibliotheque-hackers-ethiques-2.png]

Ce qui était donc au départ un simple carnet de notes personnel est devenu THE référence mondiale en cybersécurité offensive avec des centaines de contributeurs qui ajoutent quotidiennement de nouvelles techniques. C’est devenu la pierre de Rosette (pas la charcuterie, renseignez-vous !! lol) de la sécurité offensive, celle qu’on cite dans tous les cours de certification OSCP, celle qu’on consulte pendant les CTF, celle qu’on recommande aux débutants…

Avant PayloadsAllTheThings, le savoir en cybersécurité offensive était soit verrouillé dans des formations hors de prix à 5 000 boules, soit éparpillé dans des recoins obscurs du web, soit jalousement gardé par des pentesters qui pètent plus haut que leur cul… Des pêt-testeurs quoi…

SwisskyRepo a d’ailleurs fait un choix radical qui est tout mettre en open source, sous licence MIT, accessible à tous. Et le contenu, c’est du lourd !

On y trouve tout ce dont un pentester peut avoir besoin : SQL Injection avec toutes les variantes possibles (MySQL, PostgreSQL, Oracle, MSSQL…), XSS avec les bypasses de filtres, SSRF avec les techniques d’exfiltration, Command Injection, OAuth Misconfiguration, GraphQL Injection, File Inclusion, Authentication Bypasses, API Key Leaks…etc… La liste est hallucinante.

Chaque section est structurée comme un cookbook technique avec le contexte de la vulnérabilité, les payloads classés par type, les bypasses pour contourner les protections, des exemples concrets, et les références vers les CVE ou les articles de recherche.

Par exemple, si vous voulez exploiter un serveur Redis mal configuré, il y a une section pour ça. Si vous voulez comprendre comment contourner un WAF, pareil ! Et si vous cherchez à pivoter dans un réseau interne après avoir compromis une machine, tout est documenté en anglais sur ce site.

Mais swisskyrepo ne s’est pas arrêté là. Son projet a muté en écosystème puisqu’il a aussi créé InternalAllTheThings , un wiki dédié au pentesting interne et aux attaques Active Directory (Certificate Services, Enumeration, Group Policies, Kerberos attacks, Hash manipulation, Roasting techniques…).

Et également HardwareAllTheThings , le même genre de wiki mais sur la sécurité hardware et IoT : JTAG, SWD, UART pour les interfaces de debug, firmware dumping et reverse engineering, Arduino, Raspberry Pi, Flipper Zero pour les gadgets, Bluetooth, CAN, WiFi, RFID/NFC pour les protocoles, SDR et GSM pour la radio, fault injection pour les attaques par canal auxiliaire…

Bref, tout ce qu’il faut savoir pour hacker des objets connectés, des cartes à puce ou des systèmes embarqués.

Du coup, avec cette famille complète de “AllTheThings”, on couvre toute la surface d’attaque moderne, le web, l’infra interne et le hardware. Un pentest complet peut donc se faire avec ces trois ressources comme base de connaissance. Chouette non ?

Bien, sûr c’est à utiliser dans un cadre légal, sinon, vous irez en prison ! C’est pas un forum de script kiddies qui échangent des zero-days volés, c’est une vraie bibliothèque technique pour les professionnels et les étudiants en cybersécurité.

Grâce à ça, un étudiant motivé peut devenir compétent en sécurité offensive en quelques mois juste avec des ressources gratuites : PayloadsAllTheThings pour les techniques, TryHackMe ou HackTheBox pour la pratique, les blogs de chercheurs pour les analyses approfondies, les conférences enregistrées (DEF CON, Black Hat) pour rester à jour.

Le savoir se libère, n’en déplaise aux relous ! Moi je trouve que c’est cool, car ça vulgarise les connaissances, ça les mets à la portée de tous et c’est tant mieux.

Donc un grand merci à SwisskyRepo d’avoir lancé ce projet !

– Source :

https://korben.info/payloadsallthethings-bibliotheque-hackers-ethiques.html

[image: npm-shai-hulud-scanner-attaque-supply-chain-1.png]

En bref :

– CrowdStrike, l’entreprise qui a planté le monde entier, se fait pirater par un ver informatique prenonant le nom d’uen créature de Dune.

– Le premier ver auto-répliquant de l’histoire JavaScript transforme vos dépôts privés en repos publics pour humilier votre RSSI.

– Un développeur français crée l’antidote au chaos npm pendant que les géants de la cybersécurité se font ridiculiser.

Romain, fidèle lecteur de korben.info a développé un scanner pour détecter l’attaque Shai-Hulud qui a secoué l’écosystème npm dernièrement ! L’occasion parfaite pour moi de vous raconter cette histoire complètement dingue.

Vous vous souvenez de CrowdStrike ? Cette entreprise de cybersécurité qui a provoqué la plus grande panne informatique mondiale en juillet 2024 avec une mise à jour défaillante ? Celle qui a cloué au sol des milliers d’avions et fait planter des millions de PC Windows ? Eh bien figurez-vous qu’en septembre 2025, des packages npm mis à disposition par CrowdStrike ont été touchés. Et si Crowdstrike n’a pas été directement piraté, ces packages publics (qui n’étaient pas utilisés dans leurs solutions de sécurité, ni en interne chez eux) utilisaient ces dépendances qui ont été compromises par l’attaque.

C’est ce qu’on appelle une supply chain attack et l’attaque Shai-Hulud (oui, comme le ver des sables dans Dune) n’est pas juste un malware de plus. C’est le premier ver informatique qui s’est propagé de manière autonome dans l’écosystème npm, infectant des centaines de paquets en quelques heures.

Le ver utilise TruffleHog, un outil de sécurité normalement conçu pour DÉTECTER les secrets dans le code, c’est à dire les tokens GitHub, npm, AWS et GCP.

Puis quand il trouve des credentials valides, le ver fait les trois choses suivantes : D’abord, il crée un dépôt GitHub public nommé “Shai-Hulud” où il balance toutes les données volées. Ensuite, il pousse une GitHub Action malicieuse dans tous les repos accessibles pour exfiltrer encore plus de secrets. Et le pompon c’est que parfois, il transforme même les repos privés d’entreprise en repos publics personnels. J’vous laisse imaginer la tête du RSSI qui découvre que tout le code proprio de sa boîte est accessible à tout le monde sur GitHub…

[image: npm-shai-hulud-scanner-attaque-supply-chain-1.jpg]

Et quand le ver trouve des tokens npm dans son environnement, il publie automatiquement des versions infectées de tous les paquets auxquels il a accès. C’est d’ailleurs la première fois qu’on voit ce comportement de ver auto-répliquant dans l’écosystème JavaScript. Par exemple, le paquet @ctrl/tinycolor, téléchargé 2 millions de fois par semaine, a été l’un des premiers touchés.

Face à ce bordel monumental, Romain a donc développé npm-shai-hulud-scanner , un outil qui détecte non seulement les paquets connus comme compromis, mais aussi les tentatives de typosquatting et les patterns de code malicieux. Il utilise notamment la distance de Levenshtein pour identifier les variations suspectes de noms de paquets (du genre lodash vs lodash_ ou react vs raect).

Quand vous le lancez, le scanner de Romain vérifie d’abord si vous avez des paquets de la liste des 500+ compromis. Ensuite il analyse votre code à la recherche de patterns suspects : tentatives d’exfiltration de credentials, exécution de code à distance, obfuscation, communications réseau louches. Il peut même tourner en mode monitoring continu pour surveiller votre CI/CD. Et cerise sur le gâteau, il peut mettre en quarantaine les paquets suspects automatiquement. C’est top non ?

Shai-Hulud est l’un des attaques les plus sévères jamais vue sur la supply chain JavaScript et si même CrowdStrike se fait avoir, je me dit que personne n’est à l’abri. Donc soyez hyper vigilants et utilisez des outils de contrôle comme celui de Romain !

On ne sait jamais !

– Sources : Github

https://korben.info/npm-shai-hulud-scanner-attaque-supply-chain.html

[image: KDE-1.webp]

En bref:

– Amélioration visuelle et thème automatique : Première version à proposer par défaut les quatre coins arrondis pour les fenêtres et introduit la bascule automatique entre thèmes sombre et clair selon l’heure, avec des fonds d’écran dynamiques et KNightTime pour ajuster la température d’écran.

– Presse-papier et fonctionnalités pratiques : Le presse-papier Klipper permet maintenant de marquer des entrées comme favorites pour les conserver en permanence, avec support de l’encre d’imprimante, bouton mise en veille prolongée sur l’écran de connexion et recherche “floue” dans KRunner.

– Support Wayland et performances : Nouvelles capacités Wayland avec mode picture-in-picture et protocole “pointer warp”, plus les “plans de superposition” qui améliorent les performances des jeux et réduisent la consommation lors de la lecture vidéo.

La nouvelle version de l’environnement Plasma pour les distributions Linux est disponible depuis peu en bêta. L’équipe de développement a décidé de lui donner certaines capacités visuelles qui lui faisaient défaut, dont la bascule automatique des thèmes. Mais on trouve aussi bon nombre d’améliorations dans tous les recoins.

Maintenant que GNOME 49 est disponible en version finale, les regards se tournent vers la prochaine évolution majeure de l’autre grand environnement de la sphère Linux, à savoir KDE Plasma. La bêta de la version 6.5 est disponible depuis quelques jours et plusieurs distributions permettent de la tester.

Précisons néanmoins qu’il n’est pas si aisé d’essayer ces nouveautés, car peu de ces distributions fournissent un environnement Plasma sans modifications. Nous avions porté notre dévolu sur KDE Neon Testing, pour obtenir une expérience inchangée, mais la branche de test affiche toujours Plasma 6.4.5. Contrairement à ce qu’indique l’équipe de KDE dans sa présentation, c’est la branche Unstable qui dispose actuellement de Plasma 6.5.

Plusieurs améliorations visuelles

Plasma 6.5 introduit diverses nouveautés pour l’interface. par exemple, c’est la première version de l’environnement à proposer par défaut les quatre coins arrondis pour les fenêtres, plutôt que seulement deux en haut et deux coins carrés en bas. Ce n’est pas une révolution, mais Plasma se retrouve aligné désormais avec ce que l’on peut voir dans Windows, macOS et la plupart des distributions Linux fournies avec GNOME (quand les applications sont pleinement compatibles GTK4).

[image: 2-1024x604.webp%22]

Le nouveau Plasma introduit également la bascule automatique entre les thèmes sombre et clair selon l’heure de la journée. Cette fonction, qui existe depuis longtemps dans GNOME et macOS, permet de changer pour un thème sombre à l’heure du coucher du soleil, afin de fournir un environnement moins agressif pour les yeux. Comme les autres systèmes, on peut toutefois paramétrer cette bascule ou la désactiver. À noter également que Plasma 6.5 propose des fonds d’écran adaptés (« dynamiques ») et que l’on peut personnaliser quel fond est utilisé dans un mode spécifique. Le choix du thème apparait aussi dans Paramétrage rapide, à l’ouverture de l’outil Configuration.

L’équipe ajoute avoir procédé à de nombreux petits ajustement un peu partout pour améliorer la lisibilité des textes, réduire les clignotements et ajouter des correspondances visuelles à tout ce qui pourrait déclencher un son.

Plasma 6.5 introduit dans le même temps KNightTime. Comme son nom l’indique, la fonction ajuste automatiquement la température de l’écran selon l’heure de la journée, un comportement désormais classique dans les systèmes d’exploitation. Là encore, ce comportement peut être désactivé.

[image: 1-1-1024x604.webp]

Nombreux petits ajouts pratiques

Les notes de version de Plasma 6.5 contiennent une longue liste d’ajouts plus ou moins notables, mais dont beaucoup s’annoncent pratiques. Exemple simple, mais parlant : la prise en charge du niveau d’encre des cartouches d’imprimante, et la possibilité de recevoir des alertes quand ce niveau devient bas.

On trouve également plusieurs améliorations notables du presse-papier et de l’application qui l’accompagne, Klipper. Plasma 6.5 ajoute ainsi une fonction réclamée depuis longtemps : pouvoir marquer certaines entrées comme favorites afin de les y enregistrer de manière permanente. Qu’importe alors le redémarrage de la machine, on pourra ressortir les éléments régulièrement collés les fois suivantes. Autre fonction, le support de la synchronisation du presse-papiers entre le client et le serveur lors de sessions de bureau à distance.

On continue dans les ajouts pratiques avec l’apparition sur l’écran de connexion d’un nouveau bouton pour déclencher la mise en veille prolongée de l’ordinateur, si le système détecte une configuration compatible. Un ajout semblable à celui des contrôles média de GNOME 49 sur l’écran de connexion, que KDE possédait déjà.

Et ça continue

Il est difficile de rassembler les nouveautés de Plasma 6.5, tant elles sont réparties dans de nombreux composants. Par exemple, le widget Sticky Notes est beaucoup plus pratique, grâce à plusieurs améliorations : la couleur déjà utilisée est indiquée dans le menu, la couleur de la note est affichée dans le menu contextuel, l’ensemble est plus lisible en fonction du thème, et la fenêtre popup peut être redimensionnée.

[image: Screenshot_20250517_101303.png]

On note aussi l’apparition d’interrupteur dans les paramètres rapides pour des éléments comme le Bluetooth, qui évitent de devoir cliquer sur la catégorie pour activer/désactiver un élément. On continue avec un petit rattrapage sur GNOME dans la gestion des pilotes, puisque la boutique Discover peut maintenant en gérer l’installation si besoin. Les développeurs indiquent que cette modification est utilisée avec succès depuis plus d’un an sur la distribution Solus.

Autre nouveauté très bienvenue, une page de configuration permet de rassembler toutes les permissions données aux applications basées sur des portails. Même si on pense tout de suite aux paquets Flatpak, l’équipe précise que c’est bien pour l’ensemble des portails. Pour une application, on peut ainsi voir les autorisations accordées et les désactiver si besoin. Par exemple, couper l’accès aux notifications, lui retirer sa priorité haute, ne plus lui permettre d’empêcher la mise en veille, bloquer la géolocalisation, etc.

[image: Screenshot_2025-08-26_04_42_24.png]

Encore un peu ?

Les recherches dans KRunner deviennent en outre plus pratiques. Le composant supporte en effet désormais la recherche « floue » pour les applications : on peut retrouver ce que l’on cherche non pas en indiquant le nom exact, on peut la décrire avec des termes génériques, qui peuvent même contenir des erreurs (dans une certaine mesure). Cette recherche prend aussi en charge les raccourcis globaux. Si vous cherchez par exemple à effectuer une capture d’écran d’une zone spécifique, il suffit de décrire le résultat à KRunner pour qu’il vous indique le bon raccourci.

Plasma 6.5 contient – inévitablement – des améliorations liées au support de Wayland. L’environnement prend ainsi en charge le mode picture in picture du « nouveau » serveur d’affichage, ainsi que le protocole « pointer warp ». Ce dernier permet à un client (comme une application) de téléporter le curseur de la souris d’un endroit à un autre. L’équipe indique que pour limiter les dérapages, cette faculté ne sera gérée qu’au sein de la fenêtre étant au premier plan.

On continue avec plusieurs nouveautés pour les tablettes. Le nouveau Plasma permet notamment de configurer les molettes, quand la tablette utilisée en contient. Ces molettes sont le plus souvent utilisées pour appliquer un niveau de zoom ou pour modifier la taille du pinceau. De même, leurs versions tactiles sont également prises en charge, comme on les retrouve parfois sur les modèles Wacom. Plasma permet alors d’en modifier le comportement, voire de les désactiver.

Enfin, signalons que Plasma 6.5 introduit les « plans de superposition » pour le traitement graphique. Le procédé évite de calculer notamment ce qui se trouve derrière une fenêtre et donc de ralentir la composition de l’ensemble. Selon l’équipe de développement, cet ajout améliore les performances et la latence pour les jeux en mode fenêtré, tout en réduisant « considérablement » la consommation d’énergie lors de la lecture vidéo. Cette capacité est encore incomplète et ne fonctionne par exemple pas sur les configurations HDR. De plus, on ne peut s’en servir que pour une seule sortie par GPU, donc pas en mode multi-écrans.

La version finale de Plasma 6.5 est attendue pour le 21 octobre. Notez que l’un des grands apports prévus, KDE Initial System Setup (KISS), est finalement reporté à la version 6.6.

– Source :

https://next.ink/201208/kde-plasma-6-5-arrondit-ses-angles-et-sadoucit-la-nuit-venue/

[image: seelen-ui-transformer-windows-en-tiling-manager-1.png]

En bref :

– Microsoft force ses utilisateurs à installer Edge pour faire tourner cette alternative libre à son interface figée.
– Ce développeur transforme Windows en Linux sans changer d’OS : les admins sys vont adorer.
– Fini de redimensionner vos fenêtres comme un furieux : cette appli fait le boulot automatiquement.

Si comme moi vous avez déjà bavé devant un setup i3 sous Linux mais que vous êtes coincé sous Windows “pour le boulot” (lol), j’ai une excellente nouvelle pour vous. Seelen débarque et va transformer votre Windows 10/11 en véritable environnement de bureau customisable à moooort.

Concrètement, Seelen c’est un overlay qui vient se greffer sur Windows sans toucher au système. Tout est codé en Rust et TypeScript, avec Tauri qui fait le lien entre les deux et le résultat c’est un truc léger qui ne bouffe pas 2 Go de RAM comme Electron.

[image: seelen-ui-transformer-windows-en-tiling-manager-1.webp]

Avec Seelen, vos fenêtres s’organisent automatiquement en tuiles, façon i3 ou dwm, comme ça, plus besoin de passer 10 minutes à redimensionner vos fenêtres à la souris comme un furieux. Un raccourci clavier et hop, tout se range proprement. C’est ce qu’on peut avoir de plus proche d’un environnement de bureau custom sous Windows.

Et l’installation est hyper facile. Ça se fait soit par le Microsoft Store (option que je vous recommande), soit via Winget avec un petit winget install Seelen.SeelenUI, soit en téléchargeant le .exe sur GitHub. Attention quand même, ça nécessite WebView2 et Microsoft Edge pour fonctionner correctement.

[image: seelen-ui-transformer-windows-en-tiling-manager-2.webp]

Et les fonctionnalités sont plutôt sympas. Vous avez un launcher façon Rofi pour lancer vos apps rapidement, des contrôles média intégrés pour gérer Spotify sans ouvrir la fenêtre, et surtout une personnalisation poussée avec thèmes, des widgets et des layouts. Le projet supporte même +70 langues, donc votre grand-mère pourra l’utiliser en breton si elle veut.

Après c’est pas parfait non plus. Par exemple, les previews des fenêtres mettent parfois 2 secondes à charger, et certaines apps (celles avec des fenêtres flottantes custom) refusent de se faire tiler correctement. Mais c’est déjà impressionnant.

[image: seelen-ui-transformer-windows-en-tiling-manager-3.webp]

Voilà, donc si vous en avez marre de l’interface figée de Windows et que vous voulez retrouver la flexibilité visuelle de Linux et pouvoir exprimer le plein potentiel de votre mauvais goût, sans changer d’OS, Seelen vaut vraiment le coup . C’est gratuit, open-source, et ça ne casse rien dans votre système…. Au pire, si ça vous plaît pas, vous le désinstallez et Windows redevient comme avant.

– Sources :

https://seelen.io/fr

https://korben.info/seelen-ui-transformer-windows-en-tiling-manager.html

bonjour, merci pour l’info, je vais tester, amities

Pourquoi Vivaldi fait un pas de côté sur l’IA ?

[image: AI-statement.webp?resize=1536%2C864&ssl=1]

Alors que Chrome, Edge, Comet (Perplexity), Safari ou encore Firefox intègrent de plus en plus d’assistants artificiels, le navigateur Vivaldi choisit une autre voie. Dans une tribune publiée sur son blog officiel, son cofondateur et PDG Jon von Tetzchner affirme ne pas vouloir transformer l’acte de naviguer sur le Web en une simple consommation passive de résumés générés par des IA.

Pour Vivaldi, naviguer sur Internet doit rester une démarche active et humaine : chercher, comparer, explorer et se forger sa propre opinion. Vivaldi veut rester un navigateur pour explorer, et non un assistant pour consommer, estime son PDG. L’intégration d’assistants génératifs dans les barres d’adresse, comme le fait Google avec Gemini ou Microsoft avec Edge Copilot, représenterait selon lui une dérive majeure. Ces systèmes, en résumant automatiquement les pages, réduisent le nombre de clics vers les sources originales et fragilisent les éditeurs et créateurs de contenus.

Des études récentes de Pew, citées par Vivaldi, confirment cet effet : les utilisateurs cliquent presque deux fois moins sur les résultats traditionnels lorsqu’un résumé d’IA est affiché. Un choix qui menace l’équilibre économique de tout un écosystème déjà fragilisé par la domination des géants du cloud.

La bataille pour le contrôle du Web

Tetzchner rappelle que la prochaine phase des “guerres des navigateurs” ne se jouera plus seulement sur la vitesse d’affichage ou le nombre d’onglets, mais sur qui contrôle l’accès à l’information. Les IA intégrées redessinent la chaîne de valeur : elles captent l’attention des utilisateurs, monétisent leurs interactions et font écran entre eux et les sources.

En refusant pour l’instant d’ajouter un agent conversationnel, un moteur de suggestions automatiques ou un remplissage intelligent des formulaires, Vivaldi se positionne comme un navigateur pour “esprits curieux, chercheurs et utilisateurs attachés à leur autonomie”.

Tetzchner ne ferme pas totalement la porte à l’intelligence artificielle. Il admet que le machine learning peut avoir des usages utiles – à condition qu’il respecte la vie privée, ne détourne pas l’attention des utilisateurs et n’alimente pas la désinformation. Mais pour l’instant, Vivaldi préfère attendre des solutions plus rigoureuses et transparentes, plutôt que de céder à l’effet de mode.

Choix cohérent : quid de l’open source ?

Le choix de Vivaldi est aussi cohérent avec son discours récurrent sur la vie privée. Contrairement à Chrome ou Edge, l’entreprise assure ne pas collecter ni revendre les données de navigation. Son modèle repose sur une communauté fidèle et un positionnement de niche, loin des logiques publicitaires.

Cependant, il faut rappeler que si Vivaldi repose sur le moteur Chromium – le même que Chrome –, il n’est pas pour autant open source. Le code source de son interface utilisateur reste propriétaire, ce qui distingue le projet de navigateurs comme Firefox, qui tente de prendre le dossier de l’IA sous l’aspect ouvert et open source. Cette réalité peut surprendre, tant le discours de l’entreprise met en avant ouverture et indépendance.

– Source :

https://goodtech.info/vivaldi-navigateur-sans-ia/

–> Utilisateur de Vivaldi depuis plusieurs années, je dois dire qu’ils ne me décoive pas pour l’instant.

hello la communauté,

je suis a la recherche, soit de la derniere version d’epubor ou un autre logiciel permettant de convertir les dernieres versions de livre en AZW ( klndle) en epub ?
j’utilise la version Epubor ultimate V3.015.1211 mais ca ne fonctionne plus pour certains livres Kindle…

merci pour votre aide.

[image: rsyncy-barre-progression-visuelle-rsync-1.png]

En bref :

– Fini de mentir à votre boss : cette barre de progression pour rsync révèle ENFIN où en sont vos transferts de téraoctets.

– Les admins système cachaient ce secret : comment transformer rsync muet en tableau de bord professionnel avec rsyncy.

– Pendant que vous galérez avec rsync aveugle, cette alternative libre affiche vitesse, ETA et progression en temps réel.

Vous venez de lancer un bon gros rsync en prod pour migrer 3 téraoctets de données et votre boss vous sur-saoule toutes les 10 minutes avec des : “Alors, ça en est où ?” en boucle et vous, en bonne victime, vous répondez “Ça avance chef, ça avance…”.

On peut faire mieux non ? Et oui, avec rsyncy qui vous permet au lieu d’avoir un rsync muet qui vous laisse dans le noir, de profiter d’une vraie barre de progression visuelle. Comme ça, vous voyez le pourcentage d’avancement, la vitesse de transfert, le volume copié, le temps écoulé, l’ETA, le nombre de fichiers traités… Bref, toutes les infos pour répondre factuellement à votre hiérarchie et prendre des décisions éclairées de grand professionnel qui aura bientôt une augmentation de salaire ^^.

L’installation est super simple. Vous avez plusieurs options selon votre setup :

# One-liner universel
curl https://laktak.github.io/rsyncy.sh|bash

# Sur macOS avec Homebrewbrew 
install rsyncy

# Avec Gogo 
install github.com/laktak/rsyncy/v2@latest

# Avec pipx (version Python)
pipx install rsyncy

– Et une fois installé, vous pouvez soit lancer rsyncy directement avec les mêmes arguments que rsync :

rsyncy -a /source/ /destination/

– Soit piper la sortie de votre rsync habituel vers rsyncy :

rsync -a --info=progress2 -hv /source/ /destination/ | rsyncy

Ce qui est top, c’est qu’avec ce paramètre, rsyncy ajoute automatiquement les arguments nécessaires pour avoir le maximum d’informations comme ça y’a plus besoin de vous rappeler des bonnes options.

– La barre de progression affichera quelque chose comme ça :

[image: rsyncy-barre-progression-visuelle-rsync-1.gif]

Et là, vous avez tout… la barre visuelle, le pourcentage, les données transférées, la vitesse actuelle, le temps écoulé et le nombre de fichiers traités. C’est clair, net et précis.

– Pour les environnements où les couleurs posent problème (certains logs, scripts automatisés), vous pouvez les désactiver avec :

NO_COLOR=1 rsyncy /source/ /destination/

Pour les devs qui veulent debugger ou enregistrer leurs transferts rsync, l’auteur recommande d’utiliser “ pipevcr ”, un autre de ses outils qui permet d’enregistrer et rejouer des flux de données. Pratique pour tester rsyncy sans lancer de vrais transferts.

Voilà, comme ça avec rsyncy, vous savez exactement où vous en êtes et vous pouvez estimer si vous allez respecter votre fenêtre de maintenance, prévenir si ça va déborder, ou rassurer tout le monde que tout se passe bien.

– Sources : Laurent-Biagiotti-linkedin

https://github.com/laktak/rsyncy

https://korben.info/rsyncy-barre-progression-visuelle-rsync.html

+1 , le plus important ici n’est pas le clickjacking mais la façon d’y arriver.

Comme commenté ailleurs :

Je suis très sceptique sur une énième offre mail “pro”. Qui ne va vraisemblablement pas se démarquer de la concurrence, déjà en place, déjà payante.

https://thunderbird.topicbox.com/groups/planning/T437cd854afcb1395

The message from Ryan Sipes, Managing Director of Product at Thunderbird, outlines the expansion of Thunderbird's offerings with new web services called "Thunderbird Pro" and "Thundermail." These services aim to enhance the Thunderbird experience and provide a fully open-source alternative to ecosystems like Gmail and Office365. Here's a summary of the key points:


    Purpose: Thunderbird aims to reduce user loss to other rich ecosystems by offering its own integrated services, promoting open-source and privacy-respecting alternatives.
    New Services:
        Thunderbird Appointment: A scheduling tool that allows users to share a link for others to book meetings. It's designed to be simpler and open-source compared to existing tools.
        Thunderbird Send: A reimagined version of Firefox Send for sharing files, with a focus on direct sharing methods.
        Thunderbird Assist: An AI-powered feature in partnership with Flower AI, offering optional AI capabilities with a focus on privacy.
        Thundermail: An email service built on the Stalwart stack, aiming to provide a next-generation email experience that is fully open-source.
    Cost and Access: Initially, these services will be free for consistent community contributors, while other users may need to pay. Free tiers with limitations may be introduced later.
    Community Involvement: Users are encouraged to test these services, contribute to their development, and provide feedback. The goal is to create a collaborative environment where everyone can help build and improve these tools.
    Future Vision: Thunderbird aims to expand its offerings beyond email management, integrating calendar, contacts, and more, all while maintaining a focus on open standards and user privacy.

The message emphasizes the importance of community involvement and the potential for these services to enhance the overall Thunderbird experience.

@duJambon a dit dans Pull print est maintenant disponible dans Universal Print :

En entreprise, il est parfois délicat de laisser trainer trop longtemps certains documents.

C’est même une faute grave selon les informations que tu imprimes

@Aurel Passe à Librewolf si tu veux garder une base FF stable, solide et maintenu correctement.

Mais ne confonds pas le type de mise a jour : fonctionnalité, sécurité, bugfix, etc .

Ce n’est pas la même chose…

C’est juste qu’ils englobent tout les types de correctif en une mise à jour.

Ce n’est pas un prétexte de sécurité pour incorporer de l’IA loin de là.

Plus besoin de cela, l’IA à terme sera partout qu’on le veuille ou non.

@tanjerine a dit dans [Web Services] TempMail : un service de mail jetable sécurisé, votre rempart contre les spams et la surveillance numérique :

autrement une adresse poubelle sur gmail

Mon adresse principale sur gmail EST DEJA une poubelle Je n’y vais que pour effacer le bordel.

[image: manu23_Dark_cybersecurity_command_center_with_massive_hologra_c0b03fe9-3083-481e-ac5d-36d96725a9ec_2.webp]

Si vous bossez dans la sécu ou que vous êtes juste curieux de comprendre comment fonctionnent les vulnérabilités, je vais vous parler d’un outil qui va vous changer la vie : Sploitus. C’est comme Google mais pour trouver des exploits sécu et avec un crâne-pieuvre en logo.

Créé par Anton “Bo0om” Lopanitsyn, un chercheur en sécurité web basé à Moscou, Sploitus est devenu LA référence pour trouver rapidement des exploits, des proof-of-concepts et des outils de hacking. Le site indexe en temps réel tout ce qui sort dans le domaine de la sécurité offensive et ça, c’est vraiment pratique quand vous devez vérifier si un système est vulnérable.

[image: SCR-20250723-jqkq.webp]

Sur sploitus.com, vous avez une barre de recherche toute simple dans laquelle vous pouvez chercher par nom de logiciel, par CVE (Common Vulnerabilities and Exposures), par type d’exploit ou même par auteur. Et le moteur va alors fouiller dans sa base de données massive et vous sortir tous les exploits pertinents.

Ce qui est cool avec Sploitus, c’est qu’il agrège plusieurs sources. On y trouve des exploits venant d’Exploit-DB, de GitHub, de Packet Storm, et plein d’autres plateformes. Comme ça au lieu de perdre du temps à chercher sur 15 sites différents, vous avez tout centralisé au même endroit et cerise sur le gâteau, les résultats sont triables par date ou par score de pertinence.

Pour chaque exploit, vous avez donc accès à pas mal d’infos utiles : la description détaillée, le code source (quand il est dispo), les plateformes affectées, et surtout un lien vers la source originale. C’est super important ça, parce que vous pouvez vérifier l’authenticité de l’exploit et voir s’il y a des mises à jour ou des commentaires de la communauté.

[image: SCR-20250723-jrau-1024x752.webp]

Le site propose aussi des flux RSS et Atom si vous voulez suivre en temps réel les nouveaux exploits qui sortent. C’est donc super pratique si comme moi, vous faites de la veille techno ou pour surveiller les vulnérabilités qui touchent vos systèmes. Y’a même un mode sombre pour ceux qui préfèrent coder la nuit (ou qui veulent juste faire plus hacker ^^).

Ah et petit détail sympa, des développeurs ont créé des scripts Python pour interroger Sploitus en ligne de commande. Le projet sploitus-search sur GitHub permet par exemple d’intégrer les recherches Sploitus directement dans vos outils de pentest. C’est super pratique par exemple pendant les CTF ou les audits de sécurité.

Maintenant, parlons un peu de l’aspect légal et éthique, parce que c’est aussi très important. Sploitus a eu par le passé quelques soucis avec des plaintes DMCA, notamment concernant un exploit WordPress, mais globalement, le site reste dans la légalité en tant que moteur de recherche qui indexe du contenu public.

CEPENDANT, les exploits référencés sur Sploitus sont des outils puissants qui peuvent causer des dégâts considérables s’ils sont mal utilisés. L’utilisation de ces exploits sur des systèmes dont vous n’êtes pas propriétaire ou sans autorisation explicite est illégale et peut vous valoir de sérieux problèmes judiciaires. Et ne comptez pas sur moi pour vous apporter des oranges en prison !

– Ces outils sont donc destinés aux professionnels de la sécurité pour :

• Tester la sécurité de leurs propres systèmes
• Effectuer des audits autorisés
• Comprendre les vulnérabilités pour mieux s’en protéger
• Faire de la recherche en sécurité informatique

Voilà, donc si vous débutez dans le domaine, je vous conseille fortement de vous former d’abord aux bases de la sécurité informatique et de toujours travailler dans un environnement de test isolé.

D’ailleurs, Sploitus n’est pas le seul dans son genre. Vous avez aussi Exploit-DB qui propose SearchSploit en ligne de commande pour les recherches hors ligne, ou encore la base de données CVE officielle du MITRE. Mais l’avantage de Sploitus, c’est vraiment cette agrégation de sources multiples et cette interface web simple et efficace.

Voilà… Et n’oubliez jamais que le but de ce genre d’outils, c’est de sécuriser les systèmes, pas de les compromettre.

– Source :

https://korben.info/sploitus-google-exploits-outils-hacking.html

@Violence oui j’ai tout la pack fait 70go

[image: manu23_Cyberpunk_terminal_interface_showing_dark_web_explorat_0a32ab07-9adb-46b9-91f8-d1b88ba88ec2_3.webp]

Si vous avez toujours voulu fouiller le dark web sans y passer 3 heures à chercher dans le noir, j’ai déniché un outil Python qui fait le boulot pour vous : Darkdump.

Créé par Josh Schiavone, Darkdump est une interface OSINT (Open Source Intelligence) qui permet de mener des investigations sur le deep web. En gros, vous tapez un mot-clé, et l’outil va scraper les sites .onion correspondants pour en extraire des emails, des métadonnées, des mots-clés, des images, des liens vers les réseaux sociaux, et j’en passe.

Darkdump utilise Ahmia.fi (un moteur de recherche pour le dark web) pour trouver les sites .onion pertinents, puis il les scrape quand vous êtes connecté via Tor. Bref, c’est Google pour le dark web, en ligne de commande et avec des super-pouvoirs.

– Pour l’installer, rien de plus simple :

git clone https://github.com/josh0xA/darkdumpcd darkdumppython3 -m pip install -r requirements.txtpython3 darkdump.py --help

[image: SCR-20250722-rcos.webp]

Mais attention, avant de vous lancer, il faut configurer Tor correctement. Sur Linux ou Mac, installez Tor (sudo apt install tor ou brew install tor), puis éditez votre fichier /etc/tor/torrc pour ajouter :

ControlPort 9051HashedControlPassword [VotreMotDePasseHashé]

Pour générer le hash du mot de passe, utilisez tor --hash-password "mon_mot_de_passe". Ensuite, démarrez le service Tor et vous êtes prêt à explorer les profondeurs du web.

Ce qui est cool avec Darkdump, c’est sa flexibilité. Vous pouvez l’utiliser de plusieurs façons. Voici quelques exemples données dans la doc officielle :

• Rechercher 10 liens et scraper chaque site : python3 darkdump.py -q "hacking" -a 10 --scrape --proxy
• Juste récupérer 25 liens sans scraper (pas besoin de Tor) : python3 darkdump.py -q "free movies" -a 25
• Chercher et télécharger les images : python3 darkdump.py -q "marketplaces" -a 15 --scrape --proxy -i

L’outil peut extraire pas mal de trucs intéressants comme des documents (PDF, DOC, XLS, PPT…), des adresses email, des métadonnées, et même des liens vers des profils de réseaux sociaux. C’est super pour les chercheurs en sécurité ou encore les journalistes d’investigation.

Maintenant, parlons un peu d’Ahmia.fi, le moteur qui fait tourner tout ça. Contrairement à ce qu’on pourrait croire, vous n’avez pas besoin de Tor pour accéder à l’interface d’Ahmia… vous pouvez y aller directement depuis votre navigateur normal. Par contre, pour visiter les sites .onion qu’il trouve, là il vous faudra Tor Browser.

[image: SCR-20250722-rkvm-1024x492.webp]

Le moteur de recherche Ahmia

Ce qui est bien avec Ahmia, c’est qu’ils filtrent le contenu illégal comme ça c’est pas le far west total. Ils essaient tant bien que mal de garder ça propre et légal.

En 2025, Ahmia reste donc l’un des moteurs de recherche du dark web les plus fiables, aux côtés de Torch, DuckDuckGo (version Tor), Haystak et Not Evil. Chacun a ses spécificités, mais Ahmia reste le préféré pour sa politique de filtrage du contenu illégal.

Bon, évidemment, je dois faire mon speech de prévention et Josh Schiavone lui-même précise : Il n’est pas responsable de l’utilisation que vous faites de son outil. Ne l’utilisez donc pas pour naviguer sur des sites illégaux selon les lois de votre pays. C’est un outil pour la recherche légitime, l’OSINT, la cybersécurité, pas pour faire n’importe quoi.

D’ailleurs, petite anecdote, la v3 de Darkdump a été mise à jour récemment, et apparemment il y a même des forks qui commencent à apparaître avec des mises à jour complètes. La communauté OSINT est active sur ce projet, ce qui est bon signe pour sa pérennité. Voilà, donc pour ceux qui veulent aller plus loin dans l’OSINT sur le dark web, Darkdump n’est qu’un logiciel parmi d’autres et fait partie d’une boîte à outils plus large qui comprend des trucs comme OnionScan, TorBot, ou encore Dark Web OSINT Tools. Mais pour débuter, c’est vraiment l’un des plus simples et des plus efficaces.

Ça ne transformera pas le dark web en votre terrain de jeu, mais au moins vous verrez où vous mettez les pieds. Et dans un monde où l’information est de plus en plus fragmentée et cachée, c’est pratique, mais souvenez-vous, avec un grand pouvoir vient une grande responsabilité donc utilisez-le à bon escient !

– Sources :

https://github.com/josh0xA/darkdump

https://korben.info/darkdump-outil-osint-fouille-dark-web.html

@michmich a dit dans [Multi Apps] Deskflow : Un logiciel Open Source pour partager votre souris et clavier entre plusieurs PC :

Question pour le bêtisier de Noël

ça marche avec un clavier filaire?

@Violence a dit dans Firefox face à ses contradictions : un navigateur pertinent, une gouvernance incohérente, un avenir incertain :

Le local, c’est très bien mais faut penser à la sauvegarde !

Oui, c’est clair, c’est pour ça que je trouve facile Clippings puisque tu reçois la notification de rappel de sauvegarde en fichier .json

@Mister158 c’est vrai que ça va pas de soi, après nous, nous sommes du menu-fretin, ses opposants, j’imagine utilisent autre chose.

Perso, jamais utilisé.

[image: torserv-serveur-web-anonyme-tor-zero-config-banner.webp]

Vos serveurs web classiques, les censeurs les trouvent en 3 clics. Même avec un VPN foireux, même caché derrière CloudFlare, même en priant très fort, alors imaginez que vous voulez publier un truc sur le web sans que personne ne puisse remonter jusqu’à vous ? Et bien en fait c’est hyper simple avec torserv qui lance automatiquement votre site comme service caché Tor.

Il s’agit d’un serveur web statique durci qui intègre nativement Tor. Pas de base de données MySQL qui traîne, pas de PHP qui fuite, juste vos fichiers HTML, CSS et JavaScript servis proprement. Le truc génial, c’est la configuration zéro. Vous lancez le binaire et hop, votre site devient accessible via une adresse .onion automatiquement générée.

J’ai découvert torserv après avoir passé 2 heures à galérer avec une config manuelle d’Apache + Tor pour un petit projet perso car configurer un service caché à la main, c’est pas de la tarte. Faut éditer torrc, créer les bons répertoires, gérer les permissions, redémarrer les services… Avec torserv, tout ça disparaît. Vous pointez sur votre dossier web et c’est parti.

Et le pire dans tout ça ? C’est que même après avoir fait votre config manuelle parfaite, vous êtes jamais sûr à 100% de pas avoir laissé trainer une faille. Un header Apache qui balance votre version, un module PHP mal configuré, un log qui enregistre les requêtes… Avec torserv, ces soucis n’existent pas. Le code est minimaliste par design.

Pour comprendre l’intérêt, faut savoir comment fonctionnent les services cachés Tor. Contrairement à un site normal où votre serveur a une IP publique visible, un service .onion reste planqué dans le réseau Tor. Les visiteurs passent alors par plusieurs relais chiffrés, et même eux ne connaissent pas votre vraie localisation.

Mais torserv va plus loin.

Il embarque directement le binaire Tor, donc pas besoin d’installer quoi que ce soit sur votre machine. Et le serveur intégré écrit en Go gère tout : il lance Tor en tâche de fond, génère les clés cryptographiques pour votre .onion, et sert vos fichiers avec les bons headers de sécurité. Tout ça dans un seul exécutable de moins de 20 Mo.

Le petit bonus sympa c’est que torserv ajoute du jitter temporel sur les réponses (50-200ms aléatoires) et du padding sur la taille des fichiers. Ça complique sérieusement l’analyse de trafic pour ceux qui voudraient identifier votre site par ses caractéristiques réseau.

Et les cas d’usage sont nombreux. Vous pouvez par exemple héberger des documents sensibles sans passer par un cloud public. Parfait pour le journalisme d’investigation, l’activisme dans certains pays, ou même pour une entreprise qui veut éviter les fuites via des plateformes externes.

– Mais y’a d’autres trucs cools à faire :

• Partage temporaire de fichiers : Vous lancez torserv le temps de partager des docs, puis vous coupez tout. Aucune trace.
• Blog personnel vraiment privé : Pour publier vos pensées sans que Google indexe tout
• Backup décentralisé : Pour héberger vos sauvegardes chiffrées accessibles uniquement via Tor

Maintenant, si vous voulez tester, vous devez télécharger le binaire depuis GitHub, vous le lancez dans le dossier contenant vos fichiers web, et torserv génère automatiquement votre adresse .onion. En 5 minutes chrono vous avez un site web invisible.

– Concrètement, ça donne ça :

wget https://github.com/torserv/torserv/releases/download/latest/torserv-linux-amd64.zip
unzip torserv-linux-amd64.zip
cd TorServ
./torserv

Et boom, vous avez un truc du genre : http://xxxxxxxxxx.onion qui s’affiche dans votre terminal. Copiez-collez dans Tor Browser et voilà.

Ce qui m’a surpris pendant mes tests, c’est la performance. J’avais des aprioris sur la lenteur du réseau Tor, mais pour du contenu statique, ça reste très correct. Évidemment, on est pas sur de l’hébergement classique, mais pour des documents, des pages simples, ça fait le taf. Et puis l’avantage, c’est que votre bande passante n’est pas plombée puisque le trafic transite par les relais Tor.

Et la sécurité intégré à torserv, ce n’est pas que du marketing. Le serveur limite les requêtes, filtre les tentatives d’exploitation, et expose le minimum de surface d’attaque. Bref, contrairement à Apache ou nginx avec leurs 50 000 modules, torserv fait juste ce qu’il doit faire : servir des fichiers statiques de manière sécurisée. Moins de complexité, moins de failles potentielles.

– Voici ce qu’il propose :

• Scrubbing EXIF automatique : Vos photos sont nettoyées de toutes métadonnées avant d’être servies
• Headers durcis : Pas de User-Agent, pas de Referer, pas d’ETag qui traîne
• Localhost only : Le serveur n’écoute que sur 127.0.0.1, impossible d’y accéder depuis ailleurs que votre propre machine
• Pas de logs : Rien, nada, que dalle. Même sous la torture, votre serveur ne balance rien

Après vous l’aurez compris, c’est du statique uniquement, donc oubliez WordPress, les formulaires dynamiques ou les API. Si vous avez besoin d’interactivité, faudra regarder ailleurs. Et puis, c’est plutôt récent comme projet, donc ça n’a pas encore la maturité d’un Apache.

– Autres trucs chiants :

• Pas de HTTPS : Mais bon, avec Tor c’est déjà chiffré de bout en bout, donc on s’en fout
• Pas de compression : Gzip et compagnie sont désactivés pour éviter les attaques BREACH
• PDF bloqués : Par sécurité, torserv refuse de servir des PDF (trop de métadonnées potentielles)
• Taille max des fichiers : Évitez les vidéos de 2 GB, ça va ramer sévère

Comparé aux autres solutions, torserv a ses avantages. OnionShare c’est bien pour du partage ponctuel, mais c’est GUI only et moins flexible et SecureDrop c’est overkill pour la plupart des usages.

Je trouve donc que Torserv trouve le bon équilibre car il est assez simple pour être utilisé par n’importe qui, et assez sécurisé pour tenir la route face aux menaces courantes. Et pour du professionnel avec de gros besoins, partez plutôt sur une infrastructure dédiée mais pour 90% des cas d’usage (partage de docs, mini-site personnel…etc) c’est exactement ce qu’il vous faut.

Attention quand même, l’anonymat total n’existe pas. Même avec Tor et torserv, vos habitudes de rédaction, vos heures de publication, le style de vos contenus peuvent vous trahir. L’OPSEC (operational security) reste crucial. Et évidemment, côté légalité, respectez les lois de votre pays car Tor c’est pas un permis pour tout faire.

Un dernier conseil, si vous êtes vraiment parano (et vous avez peut-être raison), utilisez l’option --new-key qui génère une nouvelle adresse .onion à chaque lancement. Comme ça, même si quelqu’un trouve votre site, il pourra plus y accéder la prochaine fois. C’est radical mais efficace.

– Sources :

https://github.com/torserv/torserv

https://korben.info/torserv-serveur-web-anonyme-tor-zero-config.html