Shared posts

11 Jul 19:07

Review: MOZA’s MGX1000 brings the G1000 home for $449, and it’s mostly excellent

by Vasco Ferreira

Some instruments just beg to be touched. The G1000 works perfectly fine with a mouse, most of us have tuned hundreds of frequencies and built countless flight plans that way, but there’s always been a mismatch between an avionics suite built entirely around knobs, detents and soft keys, and operating it through scroll wheels and click zones.

Physical versions of it have existed for ages precisely because of that. The problem was always the price: around $650 to $700 per screen at the entry level, climbing quickly into the thousands, money that kept this hardware firmly in serious home cockpit territory. The MOZA MGX1000 changes that math dramatically. $449/€469. By some margin the least expensive standalone G1000 unit out there right now, and no, the price is not the compromise you’d assume it to be.

Quick recap if you missed the news: the MGX1000 launched this week alongside MOZA’s new family of cockpit panels, the lineup the company had been teasing since FSWeekend in March and confirmed for Q3 at FSExpo. The whole lineup sold out within hours of going live in some regions, so the appetite for this thing is clearly not a niche phenomenon. The question is whether it deserves the hype. Short answer: yes it does! Let’s get into it.

moza mgx1000 review 13

What’s in the box

The unboxing is standard MOZA fare. Clean box, everything properly cushioned, nothing rattling around. Inside: the panel itself, two metal desk stands with rubberized feet, a universal power adapter, a USB-A to USB-A cable, screws, an Allen key, a manual, and some stickers because of course there are stickers.

First impression out of the box: this thing is bigger and heavier than the photos suggest. The 10.4-inch screen is true to the real unit’s size, and when it’s sitting in front of you it has real presence, more flight training device than gaming peripheral. The shell is high-grade plastic rather than metal, and sure, metal would feel fancier, but at around 1.2 kg the unit has a reassuring weight to it and nothing about it creaks or flexes. The real G1000 isn’t a slab of billet aluminum either, for what it’s worth.

The stands take maybe five minutes to attach and hold the panel much more firmly than expected. Prodding the lower half of the panel doesn’t move it at all. Push hard on the buttons at the very top and the rubberized feet can slide a touch on a smooth desk, but that’s about it, and anyone building this into a rig will bolt it down anyway. There are mounting holes all over the back, the center ones VESA 75 compatible, so options are plentiful.

Setup: shockingly painless, with one asterisk

Here’s the MGX1000’s party trick. There’s no HDMI cable in the box because there’s no HDMI port on the unit. The whole thing runs off a single USB cable using DisplayLink, plus its own power supply. Windows just sees a USB monitor, so there’s no display output consumed on the graphics card.

moza mgx1000 review 11

And because Windows treats it as a normal monitor, it also works as, well, a normal monitor. Between flights it makes a handy little side screen for Navigraph Charts, SimBrief, a checklist, Discord, whatever. It’s 1024×768 in 4:3 and DisplayLink isn’t suited for fast-moving content, so nobody’s editing spreadsheets or watching films on it, but for tools and companion apps it’s great. Case in point: I’ve been building a dubious flying career with my Aerostar 600 in FS Kingpin and have happily kept the program’s interface running on the MGX1000 screen during flights. A madman, I know, but it proves the device is more versatile than it first appears.

Software-wise, everything goes through MOZA Cockpit, which existing MOZA owners already have installed. The unit arrives fully mapped for the Working Title G1000. No need to bind anything, plug it in, tell the software whether the panel is acting as the PFD or the MFD, done. There’s a handy identify function to confirm every button and knob is registering before you load into the sim, and the PFD/MFD role can be switched on the fly mid-flight, with all the button assignments following automatically. The “button forwarding” system behind this is quite clever: you don’t actually bind anything in the sim at all, the software just forwards everything to the popped-out instrument.

moza mgx1000 pop out manager
Pop Out Panel Manager makes it easy to set things up.

Now, the asterisk. The MGX1000 isn’t a standalone device. It displays a popped-out instrument from the sim, which means dealing with MSFS 2024’s native pop-out mechanics, and those remain as temperamental as ever. Not MOZA’s fault, but their product lives downstream of it.

The freeware Pop Out Panel Manager solves this, and MOZA’s software helpfully links you straight to it, though the tool has its fussy moments. The payware GlassOut, around $20, handles the same job with less friction and makes swapping PFD and MFD on a single unit nearly hassle-free. Either way it’s a one-time setup of a few minutes, and after that you rarely think about it again. But it’s the least elegant part of an otherwise very elegant product, so go in knowing.

The factory mappings depend on MOZA having a profile for your aircraft. Working Title G1000 coverage means every standard MSFS aircraft works, and MOZA has been expanding third-party support with profiles for aircraft like the Kodiak 100 and the DA40, but load something exotic and the panel may sit there unresponsive until a profile exists.

moza mgx1000 review 15

Build quality: this is where the money went

The screen first, because the screen is the product. It’s a true-to-size 10.4-inch IPS panel at 1024×768, matching the real unit’s dimensions and resolution, with a peak brightness of 500 nits. It’s a lovely display, no other way to put it. Sharp enough that frequencies and altitudes are readable without leaning in, vivid colors, stable viewing angles at any sensible desk position, and at full brightness it actually outshines the virtual G1000 rendered inside the sim. Cameras never do these panels justice. In person it just looks like a very good small monitor wearing a Garmin costume.

The controls are the part that really surprises. Every knob and button sits at one-to-one scale with the real unit, and the tactile quality is right up there with the best hardware MOZA has made, which is saying something given how the AB9 and the MRP pedals turned out. The rubberized buttons have recessed labels you can find by feel in the dark. The rotaries turn with proper weighted resistance, each detent defined and audible, the kind of click you catch yourself playing with while the sim loads. And the seven-way range knob, which pushes, turns, and tilts in four directions for map panning, is built around ALPS internals and might be the single nicest control on the whole panel.

moza mgx1000 review 17

Not flawless, though. The larger rotaries have a hint of play in their mounts that the smaller controls don’t, nothing alarming, but noticeable once you’ve felt it. Also, a dedicated button to change between PFD and MFD would have been nice.

And then there’s the power situation. There is no on/off switch on the MGX1000. None. The unit is on whenever it has power, and the button backlighting comes on with it. The lighting itself is nicely adjustable through MOZA Cockpit, with a manual slider that goes all the way to off, an automatic mode using the two built-in ambient light sensors, and a telemetry mode that takes lighting from the sim (which worked with some aircraft and not others). But all of that lives in software. Shut everything down for the night and the panel just… stays lit, softly glowing at you from the desk until you pull the plug. A switched power strip or smart plug solves it in practice, and plenty of sim hardware shares this sin, but on a unit this polished the omission stands out. Put a switch on it, MOZA.

In the sim

This is where the MGX1000 earns its keep, and where any lingering doubt about the price evaporates.

moza mgx1000 review 18

I can’t overstate how satisfying it is to interact with a G1000 with actual physical controls. Dialing a heading with a real knob. Punching a squawk code on real buttons. Working through PROC with the FMS knobs to load an ILS approach, selecting the transition, hitting load, hitting enter, all in seconds rather than a minute of mouse surgery. Flight plan edits mid-flight go from chore to something you almost look forward to.

Everything tested behaved the way the real system does. COM and NAV tuning with the swap keys, CDI source switching, the full autopilot stack including FLC and vertical speed, inset maps, the engine page with its lean and system views, Direct-To, nearest airports, the soft keys along the bottom, charts if you’re a Navigraph subscriber. There’s a small amount of latency between input and the sim reacting, measurable if you go looking, irrelevant once you’re flying. The screen itself runs smoothly with no stutters or dropped frames worth mentioning.

The main limitation is obvious: one unit shows one display at a time. PFD or MFD, pick one, switch in a few seconds through the software when needed. It works fine. But be warned, your brain may start to budget for a second unit, because a full PFD-plus-MFD setup at $900 is within the range of a single screen from the established competition. A sentence that would have sounded absurd in this product category a year ago.

moza mgx1000 review 10

The competition, briefly

The MGX1000 isn’t alone in this space. RealSimGear has been the established name for years, with its G1000 module currently going for $699 on sale, down from a regular $999. FlightSimBuilder also offers its G1000 TNxi from $750, with a touchscreen option. We’ll be taking a closer look at that one soon, so a proper comparison is coming. For now, at $449, MOZA is comfortably the value pick of the three.

Verdict

Every so often a product resets the pricing expectations of an entire category, and this is one of those moments. The complaints are real but modest: the pop-out workflow depends on third-party tools, the bigger knobs could sit tighter, there’s no power switch and the lights stay on until you cut power at the wall, and third-party profiles are still filling in. None of these touch the core reality: a one-to-one, beautifully screened, tactilely convincing G1000 for $449.

Who shouldn’t buy it? Anyone who doesn’t fly G1000-equipped aircraft, of course. Without G1000 aircraft in your rotation this becomes only a very cool little monitor. But for anyone flying Cessnas, Cirrus, DA40s, Kodiaks, or the growing list of G1000-equipped machines in MSFS 2024, or learning the real system and wanting muscle memory that actually transfers, this is an easy hardware recommendation.

Pros

  • Unmatched price for a standalone G1000 unit
  • True one-to-one scale, layout, and display resolution
  • Excellent tactile controls, with the seven-way range knob a highlight
  • Single USB connection via DisplayLink, no GPU port required
  • Works out of the box with the Working Title G1000, no binding needed
  • Bright, sharp 10.4-inch IPS display with flexible lighting options
  • Doubles as a small secondary monitor between flights

Cons

  • Depends on MSFS’s temperamental pop-out system or third-party tools
  • One unit displays only the PFD or the MFD at a time
  • A button to change between PFD and MFD would have been nice
  • No power switch, and the backlighting stays on whenever the unit has power
  • Larger rotary mounts have slight play
  • Third-party aircraft profiles still being built out

Price: $449 USD (€469 / £419) | Available from: mozaracing.com

Disclosure: MOZA provided the MGX1000 for this review and is an advertising partner of MSFS Addons. This does not influence our reviews or their conclusions.

08 Jul 18:07

MOZA are going head to head with other peripheral makers with new flight displays, panels, and cockpit systems

by ShamrockOneFive

Hardware makers are going all out these days offering more than just a joystick and throttle system. Whole ecosystems of hardware to support your favourite aircraft are in the works and MOZA, best known in the past for their racing peripherals, are going all out with the latest announcement of a whole suite of panels and displays for military and civil aviation simulation.

Displays and panels and more

MOZA is making a major announcement today as they widen their portfolio of available hardware for flight simulation. They’ve previously made some waves by going straight to a force-feedback solution together with grip and throttle. Their experience with racing peripherals seems to have positioned them well for this leap into flight sims as they’ve just gone from a few peripherals to a much larger large collection with this new announcement.

The latest releases includes new panels and setups for both civil and military focused cockpit builders.

We start with the Airbus inspired MA3F which is an FCU and EFIS panel with a left, center and right pieces. Its the kind of panel you’d see in an A320 or A330 series aircraft. The center piece is $149.00 USD while the left and right pieces are $99.00 USD individually. That’s highly competitive with WINCTRL’s offering.

They have also just announced the MA3F & MB7F Flight Computer Displays. These are Airbus and Boeing inspired panels replicating an MCDU and FMC respectively. From the pre-rendered shots, they appear to be quite authentic to A320/330 and 737 panels.

These are both $199.00 USD.

They have something new for GA flyers as well! Also announced is the MGX1000 Instrument Panel. This is a aimed at a modern glass cockpit experience based on a Garmin G1000 display with a 10.4 in display.

It’s a single unit but you can, based on the concept art and product description, link two of them together for a typical dual panel G1000 experience. The hardware doesn’t completely match all of the buttons, in that configuration, with a G1000 setup but its very close. The MGX1000 is listed as $449.00 USD.

Then we have the big one! The FMP18 Panel Bundle looks like its aimed directly at one of DCS World’s most popular modules. DCS: F/A-18C Hornet is likely the intended primary audience for this one with a complete set of three displays plus the radio control panel. All with built in high resolution displays and a swappable bezel structure that seems to imply that this won’t be the only military option on hand.

The bundle is listed as $849.00 USD. Quite a bit of cash but not too far off from what we’ve seen from other offerings.

Common threads

All of these announcements have some common threads and features that run between them.

MOZA are touting a growing ecosystem with MOZA Cockpit and MOZA Pit House software linking all of their hardware peripherals together for easy management.

They are all making use of DisplayLink-powered connectivity which lets Moza do USB connectors for video instead of HDMI/DisplayPort which they say helps keep your GPU free for your primary display.

They all have multiple mounting options including tabletop, desk mount and Universal VESA Compatibility.

They are all using reasonably bright (500 nits for most of them) IPS panels for the displays so these are not cheaper TN panel style options. They should have really good viewing angles and good colour reproduction.

Most of these also have good backlighting controls to replicate their originals. The F/A-18 inspired panels glow green while the Boeing and Airbus have what appears to be an authentic orange.

Check the MOZA website under their Flight Series for information on all of these just announced products. MOZA are currently reporting that their products are shipping out within 5-business days.

29 Jun 16:55

Alexandria - Vos ebooks en livres audio multi-voix, en local

by Korben ✨

Je ne suis pas très client des livres audio parce que mon cerveau, en général, part faire des trucs dans son coin et je me retrouve à rien écouter du tout. Je préfère un petit podcast où ça rigole qu'une œuvre littéraire qui demande de la concentration.

Mais je sais que vous appréciez beaucoup les livres audio et il arrive très souvent qu'un bouquin n'ait pas sa version audio. Un vieux roman qui n'est plus édité, un PDF technique, une fanfiction de 800 pages, un article de korben.info ou juste un truc que personne chez Audible ne prendra le temps d'enregistrer parce que ça n'intéresse que vous.

Mais youpi, Finrandojin, un internaute, en a eu marre d'attendre l'audiobook de ses rêves et a codé Alexandria, un générateur de livre audio qui tourne 100% en local sur votre ordi.

Vous balancez un fichier .txt, .md ou .epub, dans l'appli, puis un LLM découpe le texte et annote chaque ligne avec le personnage qui parle et la manière dont il le dit, puis le moteur Qwen3-TTS joue le tout en local comme une vraie troupe de doubleurs professionnels. Et le résultat est assez propre, même si ça ne vaut pas encore un vrai enregistrement fait par un vrai humain. M'enfin, faute de mieux, pourquoi pas !

Et surtout, ce LLM qui fait le découpage, vous le branchez où vous voulez. En local via LM Studio ou Ollama, ou dans le cloud avec OpenAI ou n'importe quelle API compatible. Ensuite, une fois le script annoté, Alexandria vous propose 9 voix pré-entraînées avec contrôle de l'émotion et du ton.

Vous pouvez aussi cloner une voix à partir de 5 à 15 secondes d'échantillon, ou carrément en fabriquer une à partir d'une simple description écrite. Vous tapez par exemple "Une voix masculine chaude et grave, au ton calme et posé" (c'est ma voix quoi...lol) et hop, il vous la fabrique.

La fonctionnalité de génération de personnas fait également gagner un temps de dingue puisqu'en un clic, le LLM analyse le bouquin, invente une description de voix pour chaque personnage, génère l'audio de référence et assigne tout automatiquement.

Et pour les obsédés du détail, il y a même un éditeur web où vous regénérez n'importe quelle ligne individuellement, du training LoRA pour vous fabriquer des voix persistantes, et un export en MP3 en pistes séparées pour bidouiller ça ensuite dans Audacity, ou en M4B chapitré qui rentre direct dans Audiobookshelf, Apple Books ou VLC. Et tout ça bien sûr, dans une dizaine de langues, français compris.

Alexandria exigera par contre une carte graphique avec 8 Go de VRAM au minimum, 16 et plus si vous voulez du débit correct. Et si vous êtes sur Mac, mauvaise nouvelle, l'accélération MPS d'Apple Silicon n'est pas encore supportée, donc ça tournera en mode CPU, donc ce sera lent. Mais c'est pas très grave, vous lancez la génération, et vous retournez lire d'autres articles sur mon site pour passer le temps.

Même galère aussi pour les gens qui ont de l'AMD sous Windows. Les chanceux par contre, ce sont les possesseurs de NVIDIA sous Windows ou Linux et les AMD sous Linux. Maintenant si vous tenez juste à faire parler votre Mac sans y passer trois heures par chapitre , vous serez mieux servi ailleurs qu'avec Alexandria.

Pour l'installation, le plus simple passe par Pinokio en deux clics, et si vous n'avez pas le GPU qui va bien, il y a un notebook Google Colab pour tourner sur un T4 gratuit dans le navigateur. Comptez quand même un téléchargement de 3,5 Go pour les modèles TTS à la première utilisation, ils ne sont pas inclus dans l'install.

Vous l'aurez compris, c'est du DIY un peu gourmand en GPU, mais pour tous vos ebooks à écouter qui n'auront jamais de narrateur, ça ouvre les perspectives ! Le code est sous licence MIT et je vous invite quand même à tester avec un chapitre avant de vous lancer dans un roman entier.

Source

29 Jun 16:43

☕️ PlayStation va supprimer chez ses clients des films qu’ils ont pourtant achetés

by Mickael Bazoge


Plus de 500 films et séries TV du catalogue du Studio Canal vont être supprimés de la bibliothèque des utilisateurs PlayStation ayant pourtant acheté ces contenus. Ils s’attendaient, en toute logique, à pouvoir y accéder pour toujours et à jamais. Ça ne sera plus le cas à compter du 1er septembre.

Une douche froide en temps de canicule, ça fait toujours du bien, mais celle-ci n’est pas la bienvenue. PlayStation a prévenu ses clients que les films et séries TV distribués par Studio Canal ne seront plus visibles à compter du 1er septembre. Pire : les contenus seront tout simplement supprimés des bibliothèques des utilisateurs. Malgré un achat en bonne et due forme…

Image : Sony

Cela représente 551 programmes, dont on trouvera la liste ici. Parmi les contenus concernés : Terminator 2, The Lost City of Z ou encore les deux dernières saisons de Versailles. Mais au-delà des contenus en eux-mêmes, ce qui frappe surtout c’est que ces films et ces séries seront purement et simplement supprimés, sans autre forme de procès.

Les films dématérialisés ne vous appartiennent pas

L’offre de location et d’achats de films et d’épisodes de séries TV a été retirée du PlayStation Store le 1er septembre 2021. Mais un DVD ou un Blu-ray acheté à cette époque pourra toujours être lu, pour peu qu’on possède une platine (ou une PS5 avec lecteur de disque). Ça ne sera plus le cas des contenus du Studio Canal.

Dans les conditions d’utilisation de PlayStation, l’article 13.5 stipule que l’achat d’un « produit numérique » (jeu, musique, film, abonnement) correspond à une « licence individuelle ». La plateforme ajoute : « cela signifie que vous pouvez utiliser un Produit numérique de la façon indiquée par la licence, mais que vous ne possédez pas le Produit numérique en question ».

Personne ne lit ces conditions, mais elles sont très claires sur la nature de l’achat : il s’agit d’une licence, pas d’une propriété pleine et entière. PlayStation peut ainsi suspendre « l’accès à certains ou à l’ensemble des Produits numériques » en cas de violation des conditions ou si le compte est considéré comme compromis. De même, si le compte ayant effectué l’achat est supprimé, clôturé ou suspendu, l’utilisateur « perdra l’accès au produit numérique et ne pourra plus l’utiliser ».

Il n’existe pas, en revanche, de clause explicite disant que PlayStation peut révoquer l’accès à un film acheté uniquement parce qu’un accord de licence avec un studio expire. Ce n’est pas la première fois que le service de Sony supprime ainsi des contenus directement dans les bibliothèques des utilisateurs suite à l’expiration d’un accord de licence. En décembre 2023, les contenus Discovery devaient disparaitre, avant qu’une bronca des utilisateurs ne pousse l’entreprise à faire machine arrière.

29 Jun 16:41

Si vous avez acheté des films de StudioCanal sur votre PlayStation, vous n’y aurez plus accès dès septembre

by Jordan

ActuGaming.net
Si vous avez acheté des films de StudioCanal sur votre PlayStation, vous n’y aurez plus accès dès septembre

On s’écarte un moment de l’actualité jeu vidéo, mais pas tellement. Si l’on va ici parler de films à acheter sur une plateforme numérique, il est en fait question des plateformes PlayStation, ce qui vous intéressera peut-être si vous avez l’habitude d’acheter vos films sur votre PS4 ou votre PS5. Une nouvelle fois, on nous rappelle que ces films ne nous appartiennent pas, et que même achetés, ceux-ci peuvent nous être retirés.

Moins de sous pour Bolloré, mais vos films disparaissent

Sans réellement dire pourquoi, PlayStation nous informe via son site d’assistance que son partenariat avec StudioCanal bat un peu de l’aile, et que plus de 550 films (et séries) vont disparaitre de la bibliothèque accessible sur les consoles du groupe.

On parle de films comme les Evil Dead, les Bridget Jones, La Cité de la Peur, les Paddington ou encore Terminator 2, qui vont donc disparaitre de votre bibliothèque dès le 1ᵉʳ septembre. Oui, même si vous avez payé pour obtenir ces films, preuve qu’en achetant quelque chose de numérique, vous louez plus qu’autre chose. Sony s’est fendu d’une simple déclaration sans expliquer les raisons derrière ce changement :

« À compter du 1er septembre 2026, en raison de nos accords de licence de contenu, vous ne pourrez plus accéder au contenu acheté précédemment auprès de Studio Canal, et il sera supprimé de votre bibliothèque vidéo. »

La liste complète des films et des séries qui connaissent ce triste destin est à retrouver sur le site officiel de PlayStation.

L'article Si vous avez acheté des films de StudioCanal sur votre PlayStation, vous n’y aurez plus accès dès septembre est disponible sur ActuGaming.net

26 Jun 19:14

Orbx releases a free EFB map for Jurassic World: Archipelago

by Vasco Ferreira

Since it arrived last year, Jurassic World: Archipelago has been one of the more unusual things you can load up in Microsoft Flight Simulator 2024. The archipelago is a sprawling fictional island chain with airstrips, heliports and points of interest scattered across terrain that the stock simulator map does not really know what to do with. Orbx has now released a free tool that takes most of the guesswork out of it.

The release is a freeware app for the stock EFB, available through Orbx Direct at no cost. Orbx says it puts the entire chain of islands at your fingertips, whether you are scouting for a landing spot or running cargo between the islands. The idea fits the way most people seem to fly this scenery, which is less about point A to point B and more about poking around a set of islands looking for cool stuff.

This is basically an interactive map of the archipelago that runs inside the default EFB in MSFS 2024. Orbx says it lets you locate all of the airports and heliports, along with key features and some dinosaur locations, which is the detail most readers will care about given what this scenery is. Two modes do the heavy lifting. A free slew mode lets you pan across the terrain manually to scout ahead and plan a route, and a live flight tracking mode shows your aircraft’s real-time GPS position. You toggle the tracking by clicking the arrow symbol in the lower right corner.

orbx jurassic world free efb map 8

orbx jurassic world free efb map 1

orbx jurassic world free efb map 5

orbx jurassic world free efb map 2

orbx jurassic world free efb map 7

orbx jurassic world free efb map 3

orbx jurassic world free efb map 6

orbx jurassic world free efb map 4

orbx jurassic world free efb map 9

orbx jurassic world free efb map 10

The base scenery has been out since around September 2025, and the experience has held up well, particularly in VR, where the scale of the islands and their inhabitants comes through in a way a flat screen struggles to capture. You can read more on that in our look back at Jurassic World: Archipelago in VR.

This new interactive map also pairs with the VFR charts and other material Orbx hosts on its dedicated Jurassic World: Archipelago site. Between the two, the islands go from a place you explore more or less by guesswork to one you can plan a flight around specific sights.

The Jurassic World: Archipelago EFB Map is available now as a free download from Orbx Direct.

24 Jun 14:29

Contrail’s FA50 is arriving Thursday!

by ShamrockOneFive

Microsoft Flight Simulator continues a business jet release streak with news that Contrail, the webstore now aircraft developer, is plotting to release their Falcon 50 based FA50 business jet on Thursday, June 25.

Tri-engine business jet on final approach

Contrail is throwing their hat into the ring of aircraft development with the FA50. Meant to represent the classic Dassault Falcon 50 business jet, this three engined jet is a classic in the Dassault line of jets and boasts some impressive performance and range with intercontinental capability.

The aircraft release is approximately two years in the making and is, notably, the first of the Falcon series of jets to arrive in the sim. The aircraft represents an updated version of the Falcon 50 with the EFIS upgrade. That includes a digital Collins 85C EFIS, Garmin MX20 MFD and a GNS-XLS Flight Management Computer. The cockpit takes on a distinctly mixed appearance with glass and gauge instrumentation sitting alongside each other.

Release is planned for Thursday and Aviationlads have a trailer out showing off the jet in action. Look for that to show up on the Contrail store for both MSFS 2020 and 2024.

23 Jun 05:35

Relay attack - Ils volent une voiture avec un babyphone

by Korben ✨

Vous vous souvenez du streamer Twitch qui s'était fait piquer sa caisse en plein live, à cause d'un boîtier bizarre posé contre sa porte d'entrée ?

Tout le monde a crié au fake évidemment, sauf que dans une certaine mesure, c'était vrai ! Et le voleur, c'était Mark Rober en personne, l'ex-ingénieur de la NASA devenu YouTubeur, qui a inventé toute cette mise en scène pour démontrer une bonne fois pour toutes comment on vole une voiture récente sans même toucher à la serrure.

La méthode s'appelle la relay attack, l'attaque par relais, et le principe est tellement simple que c'en est gênant. En effet, les voitures passent leur vie à chuchoter, quatre fois par seconde environ, des petits "hé psst, t'es là, ma clé ?". Et quand la clé est assez proche pour entendre ce murmure, elle hurle en retour le mot de passe secret qui déverrouille les portes et permet de démarrer le véhicule. Sauf que ce chuchotement, une équipe de voleurs peut le capter depuis votre voiture, l'amplifier, et le balancer jusqu'à votre clé restée sur le meuble de l'entrée ou dans la poche de votre veste. La clé croit alors que la voiture est juste là, elle répond, et hop, la caisse s'ouvre. Ça prend 30 secondes chrono, ça ne déclenche aucune alarme, et surtout y'a aucune effraction, ce qui arrange bien ces inutiles d'assureurs.

Alors pour bien comprendre comment tout ceci fonctionne, Rober a voulu s'équiper comme un vrai voleur. Direction le dark web, où un certain Dimitri (un russe... Bah quoi les clichés ?) lui a vendu un boîtier de vol clé en main pour 12 000 dollars en Bitcoin. L'appareil arrive, il le passe au CT Scan pour voir ce qu'il y a dedans sans le faire péter, et le verdict tombe : il s'est fait escroquer comme un débutant.

En fait, tous les composants hors de prix de ce machin pouvaient être remplacés par la même chose que ce qu'on trouve dans un babyphone vidéo de 2004.

Le babyphone de 2004 dont les entrailles remplacent un boitier dark web a 12 000 dollars.

La caméra du babyphone capte un signal, l'antenne le transmet à l'écran déporté et il suffit de couper deux fils au bon endroit pour transformer ça en relais radio . Son clone maison lui est donc revenu à quelques centaines de dollars de matos au lieu des douze mille que Dimitri a empochés. Et surtout il fonctionnait mieux que l'original. Breeeef...

Avant ce genre d'attaque, voler une bagnole demandait quand même un peu de doigté. Le slim jim, une tige métallique qu'on glissait dans la portière, a été tué dans les années 90 par les constructeurs qui ont blindé les mécanismes de serrure. Le démarrage en pontant les fils façon Mac Gyver est devenu inutile le jour où un calculateur ECU a pris le contrôle du moteur. Et plus récemment, vous avez peut-être entendu parler des Kia Boys , ces ados qui ont fait le tour de TikTok en démarrant des Kia et Hyundai d'avant 2022 avec un simple câble USB enfoncé dans le contact.

C'était couillon, mais ces modèles n'avaient pas d'antidémarrage électronique... une économie de bout de chandelle des constructeurs qui leur a quand même coûté 8,3 millions de véhicules à patcher en urgence. Comme quoi, la sécurité par l'obscurité, ça finit toujours par se payer un jour ou l'autre...

Et est-ce que vous saviez ce que deviennent ces voitures une fois envolées ??

Eh bien, même si l'essentiel des vols est l'œuvre d'abrutis d'ados qui font joyride pour Instagram , le reste est récupéré par une filière criminelle très organisée, démonté en pièces détachées dans un atelier en moins d'une heure ou encore expédié en conteneur à l'autre bout du monde.

Maintenant, pour bloquer les attaques relais et toutes ses déclinaisons, il suffit d'empêcher votre clé d'entendre ce "chuchotement" de la voiture. La première règle, qui est aussi la plus bête, est donc de ne JAMAIS poser vos clés près de la porte d'entrée... Éloignez-les au maximum, à l'autre bout de votre logement si vous le pouvez

Et la deuxième règle, c'est d'empêcher la clé de capter quoi que ce soit... Une boîte à biscuits en métal fait par exemple parfaitement l'affaire. Ou alors un bout de papier alu pour l'emballer...

Une simple boite a biscuits en métal suffit a rendre la clé sourde.

C'est ce qu'on appelle une cage de Faraday dans laquelle le signal radio préfère filer dans le métal conducteur plutôt que de traverser. Les pochettes anti-RFID vendues une dizaine d'euros font pareil et sont quand même plus classe, mais testez-les avant de leur faire réellement confiance.

Ah et sinon, sur certains modèles comme ma Ioniq 5 , vous pouvez aussi désactiver l'ouverture automatique "à distance via la clé et "sans les mains" et exiger une pression sur le bouton de la clé. C'est plus safe même si c'est moins fun ^^.

Un grand merci à Lilian pour le partage.

18 Jun 16:01

PCIe Simulator : en voilà un outil bien pratique pour connaitre les limitations des lignes PCIe des cartes mères !

by contact@hardwareand.co (David Sergent)

Si vous vous intéressez de près aux cartes mères, et suivez par exemple les analyses faites régulièrement par Thibaut sur H&Co, vous savez déjà qu'il y a des subtilités parfois bien complexes dans la gestion des lignes PCI Express. On se laisse parfois enflammer par les caractéristiques maximale...

16 Jun 16:42

MOZA sets a Q3 2026 window for its Airbus, Boeing and G1000 cockpit panels

by Vasco Ferreira

MOZA has spent the past two years building the parts of a cockpit you hold onto: the force feedback bases, the sticks, the throttle quadrants, the yoke. At FSExpo 2026, the company turned its attention to the parts you read and program. The autopilot panels, the flight computers, the glass cockpit displays. And it’s putting a timeline on getting them out the door.

If the products themselves look familiar, that is because they are. We first saw the MA3F, the MGX1000 and the FMP18 back in March, when MOZA showed them at FSWeekend in Lelystad. What changed at FSExpo is the certainty around them. Zak Priest, a flight sim community member and MOZA’s business development manager, told the audience the company is targeting a Q3 2026 release for the entire lineup. Prices still were not announced, though Priest repeated the line MOZA has been using since March, that the cost will be a pleasant surprise.

For a company that arrived in flight sim in 2024 with the AB9 force feedback base and a couple of sticks, this is the part of the cockpit it had not touched yet. It is also the part that has stayed expensive and specialist for a long time, which is what makes the value proposition worth watching.

moza new flight sim hardware 1

The Airbus and Boeing hardware

The headline unit is perhaps the MA3F Electronic Flight Control Module, MOZA’s take on the Airbus FCU and EFIS. Priest said the team’s main focus was recreating the Airbus push-pull workflow through a custom dual-rail mechanism built specifically for this panel. The module covers everything from heading and altitude selection to EFIS management through physical controls rather than mouse clicks, with custom segmented displays and adjustable lighting.

The MA3F is being offered in multiple configurations. According to MOZA, that runs from an FCU on its own, to an FCU paired with a single EFIS, up to a full EFCM suite. That modularity is a sensible way to meet different budgets and cockpit layouts, and it shows MOZA knows not everyone wants to commit to the complete setup on day one.

Sitting alongside it are the flight computer displays, the MA3F FCD in an Airbus MCDU style and the MB7F FCD in a Boeing FMC style. MOZA describes them as die-cast metal units with IPS displays and aerospace-grade key switches, and Priest spent a noticeable amount of stage time on tactile feel, talking about button firmness from the center to the edge of each key. Together, the EFCM and the FCD are pitched as a complete physical flight management workflow for airline-style flying.

For context, this is not an empty field. WINCTRL, formerly known as Winwing, has built a strong following on affordable Airbus MCDU and panel hardware, so MOZA is not arriving to open ground. It is stepping into a segment that already has a value-focused incumbent, which is exactly why the pricing question carries so much weight here.

moza new flight sim hardware 5

A G1000 panel for the GA crowd

On the general aviation side, the MGX1000 is MOZA’s recreation of a Garmin G1000 screen. MOZA says it uses a true-to-size 10.4-inch IPS display rated up to 500 nits, with tactile rotary encoders and a 7-way joystick switch standing in for the real unit’s controls. The company lists compatibility with native G1000 aircraft across MSFS 2020, MSFS 2024 and X-Plane 11 and 12, plus third-party aircraft such as the COWS DA40 and the Kodiak 100, and each unit can be assigned as either a PFD or an MFD. Combine two and you have the full glass cockpit pair.

The G1000 hardware space has effectively belonged to RealSimGear for years, so a second serious option, particularly one promising friendlier pricing, gives GA cockpit builders something they have not really had.

The fighter panel

Rounding out the announcements is the FMP18 Panel System, a modular front panel for F/A-18 Hornet pilots. MOZA points to magnetic mounting and pogo pin connectivity that let builders reconfigure the panel quickly, which fits the mission-focused, swap-as-you-go style of combat sim setups.

moza new flight sim hardware 4

What we still do not know

So the picture is clearer than it was in March, but two big questions remain open. We have no prices, only the repeated promise that they will land well, and we have a Q3 2026 target rather than a firm date. MOZA has shown it can deliver build quality across its bases, throttles and pedals, so the hardware credibility is there. Whether the avionics come at a price that opens up a corner of the hobby long reserved for specialists is the thing to watch over the next few months.

29 May 17:45

Retrouver la date d'installation de Windows - Windows 11

Vous �tes curieux de conna�tre le moment o� a �t� install� votre Windows. Voici comment retrouver cette date.
22 May 15:44

Saracroche - L'app qui bloque le démarchage téléphonique

by Korben ✨

J'sais pas vous, mais en ce moment, moi ça n'arrête pas ! De quoi je parle ? Hé bien des putains d'appels commerciaux / arnaques que je reçois sur mon téléphone. C'est simple, je ne décroche plus aucun numéro que je ne connais pas.

Je crois qu'on peut tous dire collectivement qu'on en peut plus. Et c'est aussi le cas de Camille Bouvat, un développeur toulousain qui en a eu tellement marre qu'il a pondu Saracroche , une app gratuite et open source qui bloque environ 90% du démarchage téléphonique. Y'a déjà 1 million de Français qui l'ont adoptée donc y'a des chances que vous connaissiez déjà, mais dans le doute, je repartage ! Je sais, on est à quelques mois de l'arrivée de la loi anti-démarchage qui devrait normalement nous sauver même si j'y crois moyen... Ça va peut-être empêcher des sociétés françaises qui ont pignon sur rue de nous casser les couilles mais pour les arnaqueurs de tout poil, je ne suis pas sûr que cette loi suffise.

Alors comment ça marche Saracroche ? Hé bien vous installez l'app sur iOS (App Store) ou Android (Google Play, et un build F-Droid annoncé), vous activez les permissions de blocage d'appels, et hop, l'app fait correspondre chaque appel entrant grâce à une base locale de plus de 15 millions de numéros préchargés. Hé oui c'est 100% en local !

La base s'appuie sur les préfixes ARCEP (l'autorité des télécoms qu'on ne présente plus) réservés au démarchage téléphonique (les fameux 01 62, 04 24 et compagnie) ce qui permet de bloquer ces préfixes en bloc. Ça permet de se couper mécaniquement d'une grosse partie du démarchage légal en un seul coup

Et pour les arnaques qui usurpent des numéros mobiles ou ordinaires (faux colis, fausses banques, ping calls surtaxés), Saracroche complète ça avec les signalements communautaires, que vous pouvez nourrir vous-même depuis l'app.

Après j'sais pas si vous savez, mais à partir du 11 août prochain, le démarchage téléphonique sans consentement préalable sera légalement interdit en France, et Bloctel va prendre sa retraite. Mais ce ne sera pas suffisant...

J'avais déjà parlé de WinCalls y'a quelques mois ici mais c'était uniquement pour Android alors que Saracroche, pousse l'idée aussi jusqu'à iOS. Par contre, ça ne bloque que les appels entrants, et pas les arnaques par SMS ni par mail. Mais pour le démarchage classique, c'est probablement ce qu'il y a de plus efficace sur le marché français aujourd'hui.

Après côté business model, c'est comme d'hab en France... Camille Bouvat confiait à France Info que seulement 0,5% de ses utilisateurs sont donateurs. Donc sur 1 million de personnes ça fait peut-être 5 000 mecs qui mettent la main au portefeuille, soit à peine de quoi en vivre pour Camille ! Nous sommes vraiment un pays de crevards ^^ .

Bref, n'oubliez pas, si vous trouvez l'app utile, c'est le moment de cliquer sur le bouton "Soutenir" !!

22 May 15:38

Amazon lâche les vieux Kindle - Comment reprendre la main ?

by Korben ✨

Depuis quelques jours, les Kindle sortis en 2012 ou avant ont perdu l'accès à la boutique Amazon : plus d'achat, plus d'emprunt, plus de téléchargement, vous gardez bien sûr les bouquins déjà chargés sur l'appareil, mais c'est tout.

Alors est-ce qu'on chiale comme des petits fragiles victimes d'Amazon ??

Bah non parce que la communauté KindleModding documente depuis des années comment reprendre la main sur ces liseuses, et leur wiki tombe à pic !

Le principe, c'est de jailbreaker le Kindle pour y installer ce qu'Amazon ne veut pas voir en particulier ces 2 outils qui changent tout : KOReader d'abord, un lecteur libre qui avale l'EPUB, le PDF, le CBZ et à peu près tout le reste, et Mesquito, qui remplace carrément la boutique Kindle par un store communautaire. Et voilà comment votre vieille liseuse peut enfin lire les formats ouverts et charger des livres sans passer par la caisse d'Amazon.

Et côté compatibilité, c'est large ! WinterBreak par exemple couvre tous les Kindle en firmware 5.18.0 ou antérieur, soit l'écrasante majorité des modèles d'avant 2024. Les firmwares plus récents, de 5.18.1 à 5.18.5, passent eux par AdBreak. En gros, presque tous y passent, sauf le Kindle Scribe, encore trop verrouillé pour l'instant.

Et vous allez voir, KOReader, c'est le jour et la nuit face au lecteur d'origine. Typographie réglable au poil comme sur Korben.info ^^, dictionnaires perso, annotations de pro, et surtout zéro format imposé. Votre Kindle redevient grâce à ce hack, une vraie liseuse.

Et avec Mesquito, vous installez des apps tierces, vous virez enfin l'écran de pub des modèles Special Offers, vous sideloadez vos livres en USB, et vous coupez les mises à jour automatiques pour qu'Amazon n'aille pas tout re-verrouiller dans votre dos.

Après, même si le risque reste faible quand on suit le wiki à la lettre (il y a une section entière pour récupérer un Kindle dans les choux), faut quand même faire gaffe car un flash de firmware alternatif, c'est jamais anodin. Et bien sûr la garantie saute, mais franchement, sur une liseuse de 2012 elle est morte et enterrée depuis un bail, alors pourquoi se priver !

Dernier truc, un Kindle jailbreaké restera coincé avec le DRM des livres Amazon que vous avez déjà, et KOReader ne fera pas de miracle là-dessus. Donc vous devrez peut-être faire sauter les verrous de vos livres avant.

Et un petit conseil au passage, sur un vieux Kindle encore enregistré, évitez de le réinitialiser ou de le désenregistrer car après vous ne pourrez plus jamais le réenregistrer. Donc on bidouille tranquillou mais on ne fait pas de reset à l'aveugle en mode gros bourrin ^^.

Après le vrai sujet, je trouve, c'est que ce Kindle de 2012, il marche encore parfaitement. L'écran e-ink tient, la batterie tient, rien n'est cassé... Mais non, y'a Amazon qui décide de casser les couilles à distance en bloquant l'achat de livre dessus. En vrai c'était une location de liseuse alors ? On nous aurait menti ?

Amazon avait déjà retiré en février 2025 l'option de télécharger ses livres en USB, et même quand ils ont fini par autoriser l'EPUB sans DRM , c'était réservé aux auteurs indépendants. Bref, leur mouv de fond est limpide, c'est direction tout vers le verrou !

Alors plutôt que de racheter une liseuse neuve, autant réveiller celle qui dort dans un tiroir ou qui arrive en fin de vie à cause d'Amazon. Rendez-vous donc sur le wiki KindleModding qui explique la marche à suivre modèle par modèle, avec un Discord pour l'entraide.

Merci François pour le lien !

14 May 10:57

Corsair Xeneon Edge : la plateforme de widgets s’ouvre via l’Elgato Marketplace, Claude Code et Codex au programme

by Wael.K

Le Corsair Xeneon Edge 14,5″ franchit aujourd’hui une étape importante. Alors que l’écran tactile secondaire s’était jusqu’ici reposé sur les widgets embarqués dans iCUE, Corsair annonce l’intégration complète au Marketplace Elgato et l’ouverture de la plateforme aux créateurs tiers. Plus de 20 widgets officiels sont disponibles gratuitement dès maintenant, et n’importe qui peut désormais en développer de nouveaux.

Plus de 20 widgets gratuits dès le lancement

Pour marquer l’ouverture, Corsair a mis en ligne plus de 20 widgets first-party entièrement gratuits sur l’Elgato Marketplace. La sélection couvre des usages variés, répartis en plusieurs catégories :

corsair xeneon edge widgets free

Monitoring & Système

Widget Fonction
Sensor Bar CPU/GPU, températures, vitesses ventilateurs en temps réel
Ping Monitor Moniteur réseau, latence et qualité de connexion vers une cible
SensorBar preview intrinsic
SensorBar preview intrinsic 26
PingMonitor preview intrinsic 61c5d071 6161 4de3 8c0d 0c6d1461ee4c

Horloges & Temps

Widget Fonction
Smoke Clock Horloge minimaliste où les chiffres se dissolvent en fumée
Moon Phase Clock Phase lunaire en temps réel combinée à une horloge digitale
Robex Tourbillon Cadran de montre de luxe animé, style tourbillon
Countdown Compte à rebours vers une date personnalisée
End of Work Countdown Double timer : temps restant dans la journée et dans la semaine de travail
MoonPhaseClock preview intrinsic 52efda96 655c 4cdb aa47 6f9916eeec17
SmokeClock preview intrinsic c1d78616 d64e 4c74 a20e ca1c60067baf
EndofWorkCountdown preview intrinsic 3ee13e15 b419 4da2 9401 c7cd5755477c
RobexTourbillon preview intrinsic 6ae77540 17b8 4884 9f23 050cb570ef3b

Sport & Scores en direct

Widget Fonction
Football Scores (NFL) Scores en direct, classements divisionnels, vue Super Bowl
Basketball Scores (NBA) Scores en direct, classements de conférence, vue Finals
Baseball Scores (MLB) Scores en direct, classements divisionnels
Hockey Scores (NHL) Scores en direct, classements divisionnels
Matchday Live Scores football multi-ligues européennes en direct
Formula One Next Race Compte à rebours jusqu’au prochain Grand Prix F1
BaseballScores preview intrinsic 21230f46 a61f 4bb4 b859 7ba2f2281d60
FootballScores preview intrinsic f77bbaf3 6e67 4657 acf8 f78b302986fd
HockeyScores preview intrinsic 07ecf615 51a8 49fa 915a 868db6ee6a57
FormulaOneNextRace preview intrinsic 6f5eb3ef 968b 4442 8cd7 7b8b064c9dcf

Médias & Réseaux

Widget Fonction
Scrollit Galerie d’images Reddit depuis n’importe quel subreddit
Readit Lecteur Reddit texte, navigation rapide sans interface lourde
RSS Feed Reader Agrégateur multi-sources, jusqu’à 5 flux RSS/Atom
ViewStats Statistiques YouTube : vues, abonnés, performances vidéo
Daily Quote Citation inspirante du jour, fonctionne hors connexion
Readit preview intrinsic 7b523822 adb0 4139 aa1f 0c126ce7da76
RSSFeedReader preview intrinsic c65a6a55 90f6 44dc acf0 732942dde163
ViewStats preview intrinsic 19979f1f 88f9 42fc b2c5 9c02adb4be97
DailyQuote preview intrinsic 8e9e8c3a ea45 42a1 ae29 be03ac5287b5
Scrollit preview intrinsic 52a74c18 4676 4ff7 a446 b920d2a3cb05

Transports & Localisation

Widget Fonction
Live Commute Temps de trajet en voiture entre deux adresses, trafic en temps réel
London Tube Départs en direct depuis n’importe quelle station du métro londonien
BART Train Times Départs en direct depuis n’importe quelle station du réseau BART (San Francisco)
LondonTube preview intrinsic 54b47701 70f8 44b7 af76 db6ba309c8a9
BARTTrainTimes preview intrinsic 1757d11e 1547 444e a3f3 8e1c015f79e5
LiveCommute preview intrinsic 8f95e065 75f5 40b1 acb6 3b9ac4a33b46

Fun & Utilitaires

Widget Fonction
Doodle Pad Espace de dessin tactile libre sur l’écran
Lunch Roulette Recommandation aléatoire de restaurant à proximité
Card Optimizer Suivi des crédits et avantages des cartes bancaires premium
DoodlePad preview intrinsic b0a19516 5698 4532 aca1 e0f13e3386c5
LunchRoulette preview intrinsic 275a4cac f588 4877 99f2 53f4fd8b57f6
CardOptimizer preview intrinsic 57176045 18fe 417b 88f1 6c63679b0522

En s’appuyant sur le Marketplace Elgato, qui héberge déjà des milliers de ressources pour Stream Deck et OBS, les propriétaires du Xeneon Edge disposent désormais d’un hub centralisé pour parcourir et installer des widgets en quelques clics. Prérequis logiciel : la mise à jour vers iCUE 5.44 est nécessaire pour accéder à la nouvelle plateforme.

L’ouverture aux créateurs : le vrai tournant

Ce qui distingue cette annonce d’une simple mise à jour de widgets, c’est le positionnement stratégique de Corsair. La marque fournit les outils nécessaires pour que n’importe qui puisse créer des widgets personnalisés, même sans expérience de programmation préalable. La documentation complète est disponible sur docs.elgato.com, et Corsair met explicitement en avant la possibilité d’utiliser des outils IA pour générer du code fonctionnel à partir d’une description en langage naturel. Une fois terminé, un widget peut être importé directement dans iCUE pour usage personnel, ou soumis au Marketplace pour être partagé ou vendu à la communauté.

SensorBar preview intrinsic 78

Le système repose sur des fichiers .icuewidget importables et exportables, compatibles avec le Xeneon Edge, les claviers VANGUARD (96, 96 Wireless, Pro 96, Air 99) et les pompes LCD Corsair. Pour les développeurs, Corsair propose un WidgetBuilder Kit avec un outil CLI pour le scaffolding et le packaging, ainsi qu’un fichier Skill utilisable directement avec un assistant IA.

corsair vanguard air 99 wireless lcd 01

La référence à Stream Deck n’est pas anodine. Taylor Ward, Director of Ecosystem chez Elgato, résume la philosophie derrière l’initiative : « Stream Deck est devenu une plateforme parce que la communauté et les créateurs y ont construit des expériences qui l’ont porté bien au-delà de ce que nous aurions pu faire seuls. Le Xeneon Edge a la même opportunité, et un écran tactile offre à la communauté un canvas complètement différent. »

Compatibilité

Élément Détail
Logiciel requis iCUE 5.44 minimum
Appareils compatibles Xeneon Edge 14,5″, claviers VANGUARD, pompes LCD Corsair
OS Windows 11 (support complet), Windows 10 (partiel), macOS (moniteur uniquement)
Création de widgets HTML/CSS/JS, WidgetBuilder CLI, compatible assistants IA

Ce que ça change concrètement

La mise à jour transforme le Xeneon Edge d’un écran personnalisable en une plateforme pilotée par le logiciel, sur le modèle de l’évolution qu’a connue Stream Deck avec son écosystème de plugins communautaires.

Pour nos lecteurs qui ont déjà le Xeneon Edge sur leur bureau, l’impact est immédiat : une bibliothèque de widgets qui va s’enrichir en continu, sans dépendre des cycles de mise à jour d’iCUE. Pour ceux qui hésitaient encore à l’achat, c’est un argument supplémentaire en faveur d’un produit qui gagnait déjà en maturité depuis son lancement.

Notre test complet du Xeneon Edge 14,5″ reste la référence pour évaluer l’expérience en conditions réelles, notamment sur la fluidité des widgets et l’ergonomie tactile au quotidien.

13 May 16:33

Plus d’un million de caméras IP et babyphones diffusaient leurs images aux quatre vents

by Alexandre Laurent
Babyphone de Troie
Plus d’un million de caméras IP et babyphones diffusaient leurs images aux quatre vents

Un Français a découvert début mars que le fournisseur chinois qui équipe des dizaines de modèles de caméras IP et babyphones vendus sur Amazon, Fnac, Cdiscount ou en marque blanche chez les opérateurs mobiles disposait d’un accès direct aux images de centaines de milliers d’appareils, au travers d’une infrastructure ouverte aux quatre vents. Deux mois plus tard, il publie l’ensemble de ses découvertes, qui dressent un tableau particulièrement inquiétant, et laissent supposer une utilisation à grande échelle des alertes émises par les caméras en question.

Quel meilleur cheval de Troie qu’un appareil dédié à la sécurité ? Le Français Sammy Azdoufal, développeur qui se présente comme spécialiste IA, a découvert début mars que plusieurs centaines de références de caméras IP, babyphones et autres accessoires dédiés à la surveillance domestique étaient susceptibles de présenter des failles béantes exposant les images capturées, et donc l’intimité des foyers concernés. En cause ? Une entreprise chinoise baptisée Meari, qui vend ses produits ou ses services principalement en marque blanche à des tiers.

Ces derniers distribuent ensuite les produits finaux concernés soit sous leurs propres couleurs, au travers notamment des places de marché de grands noms tels que Amazon, Fnac, Darty ou Cdiscount, mais aussi chez les opérateurs téléphoniques ou les acteurs de la télésurveillance, en marque blanche, à l’image du brésilien Intelbras.

Au total, le développeur affirme, liste à l’appui, avoir pu établir un lien direct entre Meari et 378 références distinctes de caméras, distribuées dans au moins 15 pays. Surtout, il explique à Next avoir pu directement compter plus de 1,1 million d’appareils vulnérables se connecter, en clair, aux serveurs de Meari, sur une simple période de 24 heures. « Si j’avais laissé tourner mon script une semaine, le volume d’appareils aurait sans doute été bien plus conséquent », estime-t-il.

Deux mois après sa découverte initiale, l’équipementier chinois est censé avoir sécurisé son backend, mais de nombreux comportements problématiques subsistent. « Disons que si j’avais un enfant, je n’achèterais pas une caméra équipée par Meari », résume Sammy Azdoufal.

Le précédent DJI

Si son nom vous dit quelque chose, c’est peut-être parce que l’intéressé n’en est pas à son coup d’essai. Mi-février, le développeur a eu les honneurs de la presse mondiale : il révèle avoir découvert de façon fortuite une faille de sécurité majeure affectant des milliers de robots aspirateurs DJI, alors qu’il bidouillait le sien pour voir s’il était possible de le commander à distance avec une manette de PS5.

Via cette porte dérobée, il devient en mesure de prendre le contrôle d’un robot aspirateur de son choix et donc d’accéder aux images que transmet le robot, simplement à l’aide de son numéro de série. Reproduite et racontée dans le détail par The Verge, sa découverte aboutit sur une conclusion effrayante : la prise de contrôle est possible parce que les robots de la marque communiquent en clair avec les serveurs MQTT de DJI, et que l’accès à ces derniers n’est pas dûment sécurisé.

Le 6 mars dernier, DJI a confirmé un problème de sécurité. Le constructeur a alors annoncé avoir corrigé une vulnérabilité au niveau de son infrastructure et évoqué, sans les nommer, la contribution de deux chercheurs indépendants. Sammy Azdoufal a de son côté indiqué avoir reçu la promesse d’un virement de 30 000 dollars dans le cadre du programme bug bounty de la marque.

Une application Android un peu trop bavarde

Ses travaux relatifs à Meari partent eux aussi d’une découverte fortuite, survenue le 2 mars dernier, avant même le dénouement de l’affaire DJI. « Je parlais de cette histoire d’aspirateur avec une collègue, elle m’explique qu’elle a acheté un babyphone sur Amazon, et se demande si c’est sûr de l’utiliser pour sa fille », nous raconte Sammy Azdoufal, contacté début mars. L’appareil fait partie des références premier prix vendues sur la plateforme.

Il ne dispose pas d’un environnement logiciel à ses couleurs mais fait appel à Cloudedge, une application « hub » dédiée aux objets connectés. En étudiant le code de l’application, le développeur découvre « plein de choses qui ne vont pas », dont des routes en clair vers des brokers MQTT : « J’essaie de me connecter pour voir, et là ça fonctionne ».

Avant d’aller plus loin, un petit point de vocabulaire s’impose peut-être. Dans le monde de l’Internet des objets (IoT), MQTT est un protocole de messagerie en étoile, qui sous-tend les échanges entre un serveur central (le broker MQTT dont il est question ici), et deux acteurs dont les rôles peuvent permuter : l’expéditeur (par exemple la caméra IP) et le destinataire (l’application mobile utilisée par son propriétaire). Quand votre caméra IP détecte un mouvement, elle envoie une alerte au broker MQTT, qui la relaie ensuite vers l’application mobile installée sur votre téléphone.

Dans le cas de l’application CloudEdge, nous avons pu vérifier début mars les affirmations de Sammy Azdoufal sur la base du client Android distribué via Google Play, et tout particulièrement la présence, en clair dans le code, d’une URL pointant vers la console d’administration du backend de Meari.

Le développeur pousse son investigation plus avant. « Après quelques tests, je me rends compte qu’ils ont laissé le mot de passe par défaut ». Une fois passée cette porte béante, « je réalise qu’il n’y a pas de vérification de la propriété par appareil, en m’abonnant à un broker je peux donc voir tout le monde ».

Dit autrement, une fois connecté au serveur, il est en mesure d’en observer l’activité, et par exemple d’y brancher le script grâce auquel il affirme avoir comptabilisé plus d’un million d’appareils connectés et donc vulnérables. Il indique également avoir pu accéder au CMS (l’outil de gestion du site Web) de Meari, utilisé notamment par les clients de l’entreprise pour gérer leurs propres flottes d’appareils ou leurs propres applications en marque blanche.

Des images qui circulent en clair sur une plateforme ouverte aux quatre vents

Outre l’annuaire interne de l’entreprise ou la liste des clients, il y consulte la liste des API et des endpoints référencés dans le système de Meari. À ce niveau, il constate que les utilisateurs du système (a priori les employés de l’entreprise) y disposent de portes d’entrée directes vers les flux de données transitant par les brokers MQTT opérés par l’entreprise.

« Sur leur CMS, ils ont des routes API dédiées à l’enregistrement et à l’accès aux appareils à distance et tout ça transite en clair en MQTT », résume-t-il. L’étendue des possibilités dépasse largement les manquements observés dans le cas de DJI, dont les flux audio et vidéo ne circulaient pas par MQTT, remarque encore Sammy Azdoufal. Comme si la barque n’était pas déjà assez chargée, il découvre que l’un des endpoints de Meari permet d’interagir directement avec un babyphone ou une caméra pour peu que l’on dispose de son numéro de série.

Deux longs mois avant la divulgation

Sammy Azdoufal a commencé à faire part publiquement de ses découvertes le 3 mars dernier sur X. Captures d’écran à l’appui, il affirme quatre jours plus tard avoir pu accéder sans effort à l’instance Alibaba de Meari, puis montre le tableau de bord qu’il a développé pour illustrer les données auxquelles il accède via les différents brokers MQTT opérés directement par Meari (selon nos constatations, l’entreprise exploite également des brokers hébergés par Tuya, protocole possiblement préféré par certains de ses clients).

En parallèle, il indique avoir pris contact, dès le premier jour, avec l’entreprise Meari, puis multiplié les sollicitations. Meari a finalement répondu à ses messages à partir du 11 mars, et il a ensuite fallu jusqu’au 28 avril, soit 47 jours, pour convenir d’un accord de divulgation responsable daté du 28 avril.

Les découvertes ont donné lieu à cinq CVE publiées le 11 mai 2026 – capture d’écran

C’est finalement le 11 mai 2026 que Sammy Azdoufal, associé à Tod Beardsley de runZero, rend publiques les cinq principales failles de sécurité découvertes chez Meari au travers de cinq alertes CVE, dont la sévérité « haute » est évaluée entre 7,5 et 8,6 sur 10 (CVE-2026-33356, CVE-2026-33357, CVE-2026-33359, CVE-2026-33361, CVE-2026-33362).

« 14 204 messages provenant de 2 117 appareils distincts en cinq minutes »

Le même jour, le développeur publie sur GitHub le compte-rendu complet de ses découvertes, et résume ses trouvailles dans un thread X. Le tableau est aussi effrayant, voire plus encore, que ce qu’il avait esquissé lors de nos premiers échanges.

En substance et outre les carences déjà évoquées, il affirme que tout compte CloudEdge est en mesure de s’abonner aux messages provenant d’un broker MQTT, ce qui revient à recevoir les alertes envoyées par chaque appareil connecté à la plateforme. Soit la bagatelle de « 14 204 messages provenant de 2 117 appareils distincts en cinq minutes ». Il décrit également comment les images des alertes de mouvement sont quant à elles hébergées en clair, sans protection et sans date d’expiration sur un cloud Alibaba ouvert aux quatre vents.

Dans l’intervalle, Meari semble avoir corrigé les brèches en question. Sur son site, l’entreprise affiche d’ailleurs sept bulletins de sécurité, qui reprennent pour l’essentiel les principales failles mises en exergue par le Français. Ce dernier se voit d’ailleurs dûment crédité pour sa découverte en bas de chaque bulletin. Auprès de The Verge, il fait toutefois remarquer que Meari ne joue pas franc-jeu avec cette communication : les bulletins sont en effet datés du 12 mars, alors qu’à cette date, l’entreprise n’avait pas enclenché les modifications nécessaires.

Il constate par ailleurs que Meari a d’abord tenté de faire croire que les bulletins dataient du 2 mars, pour invalider ses promesses de divulgation responsable. La Wayback Machine confirme son propos, avec un enregistrement du 7 avril qui montre bien des bulletins datés au 2 mars. La manœuvre semble d’autant plus douteuse que Meari avait en principe déjà été alerté des faiblesses de sécurité de son infrastructure MQTT, notamment en octobre 2025 pour la présence de clés hardcodées au sein de l’application CloudEdge (clés toujours présentes début mars).

Que faire de sa caméra IP ?

Si beaucoup de marques ont fait appel à Meari à un moment ou à un autre, la plupart des distributeurs se fournissent chez plusieurs équipementiers. Nous avons par exemple examiné mi-mars l’application Android d’une marque de babyphone française cliente de Meari et c’est finalement vers Dahua Technology, un poids lourd chinois du secteur, que renvoyait cette dernière.

Sammy Azdoufal invite pour sa part à contrôler l’application associée à la caméra, à la sonnette ou au babyphone connecté, par exemple en vérifiant si elle se connecte à un hôte lié au domaine meari.com.cn. Il rappelle dans le même temps qu’une protection par mot de passe en local ne garantit rien puisque la fuite intervient au niveau du backend. « Ce que vous pouvez faire : débranchez physiquement la caméra lorsque vous ne l’utilisez pas. Pointée vers un mur, elle ne peut pas diffuser ce qu’elle ne voit pas », propose-t-il enfin.

Est-ce à dire que les caméras restent vulnérables ? Bien qu’il ait passé un accord avec Meari (et reçu une rémunération au titre du bug bounty), le spécialiste reste prudent. « Certaines clés ne peuvent pas être rafraichies sans une mise à jour du firmware côté utilisateur. Vu le nombre d’entreprises qui utilisent leur système, ça parait compliqué », nous répond-il mardi 12 mai. Le circuit par lequel transitent les images et les alertes semble également compliqué à mettre à jour d’un simple clic puisque c’est l’intégralité du backend qu’il faudrait réagencer.

En admettant que des corrections de fond soient apportées, la question des images déjà capturées, et stockées sur un cloud Alibaba sans que l’utilisateur ne puisse intervenir, resterait également en suspens.

Un pattern derrière les failles ?

Reste à savoir s’il est possible de plaider l’erreur de conception pour une infrastructure qui, selon cette succession de failles, donnait à la fois accès au flux vidéo des caméras, aux alertes de déclenchement, aux enregistrements stockés dans le cloud, et ouvre enfin une possibilité d’activation ou de prise de contrôle à distance ?

C’est en tout cas l’hypothèse assumée ouvertement par Sammy Azdoufal. « Rien de tout cela ne ressemble à une plateforme ayant dévié de sa trajectoire initiale. Il s’agit plutôt d’une plateforme conçue pour collecter massivement les données clients, sécurisée par des paramètres par défaut que personne en interne n’a jamais envisagé de modifier », analyse l’intéressé sur GitHub.

Il y avance également une piste quant à l’utilisation qui aurait pu être faite de ces images : Meari revendique en effet d’après lui un brevet lié à la reconnaissance des cris d’enfants, et la littérature associée contiendrait des allusions explicites à des volumes massifs de données d’entraînement. « Quand tu regardes ce brevet, et leur fonctionnalité de stockage des images, il y a de quoi se poser des questions », nous glisse-t-il.

Quel que soit le fin mot de l’histoire, après les aspirateurs ou les robots tondeuses – eux aussi récemment épinglés pour leurs carences en matière de sécurité –, ce nouvel incident confirme s’il en était besoin l’intérêt de privilégier des installations fonctionnant sur un réseau local fermé pour ses appareils connectés.

Il soulève aussi la question d’une éventuelle réponse politique. Aux États-Unis, l’administration Trump a par exemple récemment banni les routeurs fabriqués à l’étranger au motif que ces derniers soulevaient des risques en matière d’économie ou de sécurité nationale. En France, la faille des caméras Meari a motivé une question écrite au gouvernement, formulée par le député Philippe Latombe (Les Démocrates, Vendée), avec qui Sammyu Azdoufal nous confirme s’être entretenu.

« Cet exemple n’est vraisemblablement pas un cas isolé. Il interroge plus généralement sur le niveau de vigilance des fabricants d’objets connectés vis-à-vis de leurs fournisseurs. Il souhaite savoir quelles mesures sont envisagées, en France et en Europe, afin d’assurer la protection des consommateurs et de leurs données personnelles, lors de l’utilisation d’objets connectés », interroge le député.

07 May 17:04

FS Fire takes aerial firefighting in MSFS 2024 further with 325 missions and full multiplayer sync

by Vasco Ferreira

Aerial firefighting in MSFS has been steadily attracting third-party attention. It started with South Oak’s Aero Fire Global back in 2024, which was the first tool to bring satellite-tracked fires into free flight mode, and continued with Cheyenne Design’s Wildfires add-on for MSFS 2024, which added dynamic fire spread, payload management, and AI ground support.

Now SoCoSim has entered the space with FS Fire, released on simMarket just a few days ago, and it brings a notably broader feature set than either predecessor, particularly around structured missions and multiplayer.

What FS Fire is

FS Fire is an external panel application that runs alongside MSFS 2024, layering an aerial firefighting scenario system on top of whatever free flight session you are already in. According to the developer, it works with any aircraft in the simulator, so you are not limited to dedicated tankers or helicopters to participate.

The panel is organised into several tabs covering the map, drop controls, fire management, props, missions, and multiplayer, each handling a different aspect of the experience.

fs fire msfs firefighting 7.jpg

fs fire msfs firefighting 6.jpg

fs fire msfs firefighting 5.jpg

fs fire msfs firefighting 4.jpg

fs fire msfs firefighting 3.jpg

fs fire msfs firefighting 2.jpg

fs fire msfs firefighting 1.jpg

Live fires and the mission system

SoCoSim says the tool draws from satellite-tracked fire data for global coverage, meaning you can fly to areas with real active wildfires and find corresponding fires placed in the sim. Beyond that, you can spawn your own fires manually anywhere on the map, choosing size and whether they should spread over time.

The more substantial differentiator here is the structured mission database. FS Fire ships with 325 pre-built global missions, each loading automatically and placing you at the nearest departure airport, with fires and props already in position when the scenario begins. Missions are scored on drop efficiency, and there is a daily challenge and goals system for those who want longer-term progression. That mission library is considerably larger than what either Aero Fire Global or Wildfires currently offer, and the automatic scene loading makes getting into a scenario much faster.

Drops and refuelling

The drop system operates in two modes. The FS Fire Drop Effect System works as a universal layer with any aircraft, while the MSFS Liquid Drop System is available for aircraft with their own native drop implementation. Within the universal mode, you can choose unlimited drops or enable an intelligent refill mechanic that requires landing at a ground base or scooping from a body of water before continuing. For helicopters using water scoop, FS Fire spawns a visible water bucket beneath the aircraft.

Drops can be triggered via keybind, panel button, or by setting a GPS flyover point on the map. The GPS method requires you to be within 1,000 feet AGL of the selected position when the drop fires.

Props and scene building

One of the more distinctive additions in FS Fire is the props system. You can spawn simobject props to dress the scene around a fire, including emergency vehicles, boats, humans, and animals. In MSFS 2024, the developer says you can also scan your own SimObject library and bring in objects from it. Props can be repositioned after spawning by clicking and dragging their icons on the map, and fires can be placed directly on top of prop objects for more elaborate scenarios. Complete scenes can be saved and reloaded.

Multiplayer

FS Fire includes a synchronisation layer that sits on top of a standard MSFS multiplayer session. Once connected through the tool, fires, drops, and props are all synced between players. The session host manages spawning and removal, while guests participate in fighting the fires. Drop effects are visible to all players. Structured missions can also be completed cooperatively, with scoring synced across the session.

Price and a note on the ecosystem

FS Fire is available now on simMarket, regularly priced at €12.99. At the time of writing it is on a 20% launch discount, bringing it to €10.39. It’s compatible with both MSFS 2020 and 2024.

For those interested in the firefighting side of the simulator more broadly, it is worth noting that AzurPoly is currently developing the Grumman S-2FT Tracker, a real-world aerial tanker with a long firefighting history. No release window has been announced yet, but when it does arrive, tools like FS Fire should give it plenty of purpose beyond just flying circuits.

You can find FS Fire on simMarket.

06 May 15:57

Chrome installe en douce un modèle IA de 4 Go sur votre disque sans rien demander

by Vincent Lautier

Alexander Hanff, consultant, a remonté un truc pas net sur Chrome. La dernière version du navigateur télécharge en arrière-plan un modèle de langage local appelé Gemini Nano, qui pèse environ 4 Go, sans jamais demander la moindre permission à l'utilisateur.

Le fichier s'appelle weights.bin, il atterrit dans un dossier OptGuideOnDeviceModel quelque part dans votre profil Chrome, et il sert ensuite à des fonctions du genre "Help me write" ou détection de fraude.

Hanff a documenté l'opération via les logs système de son macOS. Le 24 avril 2026 vers 16h38, Chrome crée le dossier. Quelques minutes plus tard, il télécharge et décompresse les 4 Go (l'opération prend une quinzaine de minutes), puis il les déplace à l'emplacement final. Tout ça pendant que vous ne touchez rien à votre machine. Si vous supprimez le fichier à la main, il sera réinstallé silencieusement au prochain lancement du navigateur.

Hanff estime entre 100 millions et 1 milliard de machines concernées dans le monde. Multipliez 4 Go par 1 milliard et vous obtenez de quoi remplir une bonne partie d'un datacenter.

L'auteur calcule également l'impact carbone du déploiement, entre 6 000 et 60 000 tonnes de CO2e rien que pour le réseau, sans compter l'empreinte SSD. Pour un fichier que personne ne vous a demandé d'installer.

Sur le plan légal, Hanff parle d'une "violation directe" de l'article 5(3) de la directive ePrivacy européenne, qui interdit de stocker quoi que ce soit sur l'appareil d'un utilisateur sans consentement explicite. Il évoque aussi un manquement RGPD. Si la qualification tient, ça serait une amende salée pour Google, sachant que les Cnil européennes ont déjà sanctionné Meta et Microsoft pour des choses bien moins foireuses.

Pour s'en débarrasser, trois options : aller dans chrome://flags pour désactiver les fonctions IA, passer par les politiques d'entreprise si vous gérez un parc de machines, ou virer Chrome, tout simplement.

Bref, Google qui pousse 4 Go d'IA en silence sur des centaines de millions de machines, c'est un sale moche.

Source : That Privacy Guy

04 May 16:31

Ce jeu Steam flingue votre SSD en silence

by Vincent Lautier

108 Go par heure. C'est ce que Windrose, le RPG de pirates en Early Access publié par Kraken Express le 14 avril dernier, écrivait silencieusement sur les SSD des joueurs, sans aucune mention dans les notes de mise à jour. Avec déjà 1,5 million de copies vendues et un pic à 69 000 joueurs simultanés, ça commence à faire un sacré paquet de SSD potentiellement bien fatigués.

Le bug a été repéré par Pixel Operative et confirmé par TechSpot puis Tom's Hardware. En jeu, des pics d'écriture grimpaient jusqu'à 30 Mo/s en continu, même quand le personnage se baladait tranquillement dans son camp de base sans rien faire de spécial.

Sur un SSD grand public type TLC avec une endurance affichée autour de 600 TBW, on parle de plusieurs jours de jeu intensif suffisant pour grignoter une bonne part de la durée de vie nominale.

Le problème vient en fait de la façon dont Kraken Express gère la sauvegarde des progressions. Le studio a choisi RocksDB, une base de données clé-valeur très utilisée côté serveur, et en a empilé trois instances en parallèle, chacune avec un cache mémoire ridiculement petit. Du coup, dès que le cache déborde, tout est balancé sur le disque en boucle permanente, sans aucune logique d'optimisation. Pas terrible.

Kraken Express a réagi vite avec le patch 0.10.0.4 déployé le 30 avril. Selon Pixel Operative qui a refait ses mesures après mise à jour, l'utilisation disque baisse de 60 à 75%. C'est nettement mieux, mais ça reste très loin des standards d'un jeu propre. Et surtout, ça ne change strictement rien pour les joueurs qui ont écrit plusieurs téraoctets de données pendant les deux semaines précédant le correctif.

Côté communication, le studio a reconnu le souci mais sans trop s'étendre sur les conséquences possibles pour le matériel. Pas un mot sur une éventuelle aide aux joueurs qui auraient des SSD très entamés. Et impossible de savoir combien de joueurs sont concernés, vu que l'usure d'un SSD ne se voit qu'au moment où il commence à lâcher.

Bref, un Early Access ça reste un Early Access, mais bousiller le hardware des joueurs sans même les prévenir, c'est pas génial.

Source : Techspot

02 May 06:04

RAM 32 Go : Microsoft la place désormais comme marge confortable pour jouer sous Windows 11

by Wael.K

Dans son Windows Learning Center, Microsoft vient de formaliser ce que beaucoup évitaient de dire tout haut. 16 Go restent le minimum acceptable. 32 Go deviennent le vrai point de départ pour une machine qui tourne comme elle devrait.

Le message vise moins les jeux seuls que l’usage réel d’une machine moderne, avec Discord, navigateur et outils de streaming actifs en parallèle.

RAM 32 Go : la nouvelle zone de confort selon Microsoft

Dans son Windows Learning Center, Microsoft présente 16 Go de RAM comme un point de départ pratique pour la majorité des joueurs. La firme ajoute toutefois que 32 Go offrent davantage de marge si plusieurs applications restent ouvertes pendant une session de jeu.

Le guide cite explicitement Discord, les navigateurs et les outils de streaming. Microsoft estime aussi que cette capacité supplémentaire laisse plus d’espace aux productions récentes, alors que les besoins mémoire continuent de progresser.

Dans la même checklist, l’éditeur recommande également un SSD pour Windows et les jeux utilisés activement. Les HDD sont relégués au stockage de masse, l’objectif étant d’améliorer les temps de chargement, l’installation des patchs et la réactivité générale du système.

16 Go restent la norme, mais plusieurs jeux montent déjà plus haut

Cette prise de position ne signifie pas que 32 Go sont devenus obligatoires pour la majorité des jeux. Windows Latest rappelle que 16 Go restent la recommandation pour Cyberpunk 2077, Starfield, Hogwarts Legacy, God of War Ragnarök, Elden Ring, Death Stranding 2 On the Beach et Diablo IV, tandis que Red Dead Redemption 2, Tales of Arise et Overwatch 2 restent en dessous.

La tendance change en revanche sur plusieurs sorties récentes ou plus lourdes, où 32 Go ou plus apparaissent dans les recommandations ou sur des préréglages élevés. Sont cités The Elder Scrolls IV: Oblivion Remastered, Mafia: The Old Country, Microsoft Flight Simulator 2024, S.T.A.L.K.E.R. 2: Heart of Chornobyl, Wuthering Waves, The Thaumaturge, Painkiller, Europa Universalis V et ARK: Survival Ascended.

Le cas Flight Simulator 2024

Microsoft Flight Simulator 2024 va encore plus loin avec 64 Go indiqués comme configuration idéale. C’est un cas extrême, mais il illustre bien l’écart qui se creuse entre la configuration encore jugée suffisante et celle qui absorbe sans friction les usages cumulés de Windows, des services Xbox et des jeux les plus exigeants.

windows 11 exigences ram

La recommandation de Microsoft reflète aussi ses propres intérêts. Plus Windows intègre les services Xbox, plus il consomme de mémoire en arrière-plan. Pousser vers 32 Go, c’est vendre du confort, mais c’est aussi couvrir la charge que la plateforme impose elle-même.

Source: MicrosoftWindows Latest

26 Apr 06:14

Les cartes bancaires biométriques sont-elles une vraie avancée ou du bullshit marketing ?

by Korben ✨

Depuis quelques jours, plusieurs médias français ressortent cette merveilleuse histoire de la carte bancaire à empreinte digitale comme s'il s'agissait d'une révolution imminente ! Par exemple l'Indépendant titre carrément "le code à quatre chiffres c'est bientôt fini". Toudoum !!

Sauf que la techno, conçue par Thales et IDEMIA , est commercialisée en Europe depuis 2021 quand même. Et plus drôle encore, c'est que BNP Paribas a fermé la commercialisation de sa première version le 8 décembre 2025, soit bien avant que la presse en fasse un sujet d'actualité "frais".

La carte F.CODE d'IDEMIA, l'un des deux principaux fabricants de cartes biométriques en Europe avec Thales (crédit : IDEMIA).

Donc bon, on va remettre les pendules à l'heure ensemble, parce que le sujet mérite mieux qu'un communiqué de presse recopié à la chaîne par dix rédactions. Je vous propose donc de remettre un peu tout ça à plat parce que je lis quand même pas mal de conneries.

Tout d'abord, il faut savoir que le principe technique derrière ces CB est solide, faut le reconnaître. Vous posez le pouce sur un petit capteur de quelques millimètres intégré à la carte, le module Secure Element (l'équivalent du coffre-fort embarqué) compare l'empreinte au gabarit stocké dans la puce, et si ça matche, le paiement passe en moins d'une seconde !

Le mot-clé c'est d'ailleurs "match-on-card". Cela veut dire que la comparaison se fait localement, et donc que l'empreinte ne sort jamais de la carte, ni vers le commerçant, ni vers la banque, ni vers un serveur quelque part. C'est donc exactement le même délire que Touch ID ou Face ID chez Apple, et c'est ce qui distingue ce système d'une base biométrique centralisée façon ANT, dont on a vu cette année à quel point ça pouvait mal finir (looool).

Côté sécurité, y'a beaucoup de vrais points positifs. Le code PIN à quatre chiffres, c'est dix mille combinaisons. Avec un peu de skimming sur un terminal compromis et une caméra cachée au-dessus du clavier, vous pouvez tout récupérer encore plus facilement. Sans parler des PIN type 1234, 0000 ou date de naissance qui représentent une part énorme des codes en circulation selon les analyses de DataGenetics (1234 représente à lui seul environ 10,7% des PIN observés sur 3,4 millions de codes analysés).

La biométrie vient donc tuer ce vecteur d'attaque d'un coup. Ainsi, si quelqu'un vole votre carte, il ne peut rien en faire, en théorie, sans votre doigt. Faudra avoir un bon sécateur ^^. Et niveau conformité, ça rentre pile-poil dans le cadre PSD2 et l'authentification forte du client puisque la biométrie remplace le facteur "savoir" (le PIN) par un facteur "inhérence" (votre corps), ce qui valide les deux facteurs requis avec la possession de la carte. Une fois encore c'est comme avec l'iPhone et FaceID / TouchID quand on se connecte quelque part.

Sauf que voilà, c'est là que les médias arrêtent de creuser. Et y'a beaucoup de choses à creuser, croyez-moi ! Perso je trouve ça assez "gênant" (comme disent les zados... "Annnnh la génance !!") qu'on nous présente un sujet sécurité aussi important comme si on nous vendait des yaourts.

Parce que d'abord, le code PIN ne disparaît pas, sauf si vous avez la chance d'avoir une banque qui vous laisse le désactiver explicitement (et bonne chance pour trouver l'option dans les CGV). Hé oui, quasi toutes les implémentations que j'ai pu voir passer, gardent un bon gros fallback PIN pour les cas où le capteur foire (doigt mouillé, sale (sacré lulu), blessure, capteur défaillant) ou pour les retraits au DAB.

Or, vous le savez parce que vous avez Bac+18 en bon sens, la sécurité globale d'un système est celle de son maillon le plus faible. Donc si le code PIN reste en backup, vous n'avez pas supprimé le maillon faible mais vous l'avez juste rendu optionnel. Et donc un voleur qui sait ça, sera capable de forcer le fallback en simulant un échec biométrique et utiliser le code PIN pour peu qu'il le connaisse. Comme avant quoi...

Donc cette promesse "fin du code à 4 chiffres" est donc un bon gros raccourci marketing, et pas du tout une réalité technique.

Ensuite, autre souci, c'est que la biométrie n'est pas révocable. Donc si demain un labo ou un expert sécu arrive à extraire un gabarit d'empreinte d'un Secure Element compromis (ça s'est déjà vu sur des puces certifiées EAL5+ par attaques side-channel), vous ne pourrez pas changer votre doigt parce que j'sais pas si vous avez remarqué mais il est bien solidement attaché au sac de viande que vous appelez "Mon summer body" ^^.

Le risque est heureusement limité dans ce cas-ci parce que le gabarit reste sur la carte, mais structurellement, la donnée biométrique EST un mot de passe que vous ne pouvez jamais changer. C'est une contrepartie importante que personne ne mentionne dans les articles grand public.

Sur les attaques physiques par exemple, le Chaos Computer Club qu'on connaît tous, a démontré dès 2013 le bypass de Touch ID avec un moulage en latex fabriqué à partir d'une empreinte laissée sur un verre. Les capteurs intégrés dans une carte bancaire sont plus petits, moins denses en pixels, et n'ont pas la même puissance de calcul pour faire tourner des modèles anti-spoof avancés que ce qui est embarqué dans un iPhone.

Ils sont donc plausiblement PLUS contournables, donc j'imagine qu'un moulage en silicone ou en résine pourra facilement en venir à bout. À ma connaissance, y'a aucun chiffre public sérieux qui n'a été publié par les fabricants sur le taux de succès de ces attaques sur leurs cartes. Comme c'est pratique ;)

Le sujet de la mise sous pression par des affreux bandits, mérite aussi une mention. Parce qu'avec un code PIN, si on vous menace devant un DAB, vous pouvez théoriquement saisir un faux code (certaines cartes ont même une notion de " code sous contrainte " qui bloque la carte directement). Alors qu'avec un doigt, on vous chope la main et force et voilà...

La jurisprudence américaine est d'ailleurs intéressante là-dessus puisqu'un juge peut vous obliger à poser le doigt sur un TouchID, mais pas à donner votre code PIN par respect du 5e amendement. En France le débat est un peu différent mais analogue. C'est un petit détail légal mais personne ne l'aborde non plus pour tout ce qui est sécurité biométrique en général.

L'enrôlement à domicile via smartphone, vendu comme "sécurisé" mais dont le protocole détaillé reste opaque (crédit : IDEMIA).

Autre angle mort, l'enrôlement. En effet, aucun des articles que j'ai lus ne décrit exactement comment l'empreinte arrive dans la puce la première fois. Est-ce que ça se fait en agence, avec un lecteur dédié ? Via une app smartphone qui pousse le gabarit par NFC ?

On en sait rien, mais si c'est la seconde option, le pipeline app + carte est une surface d'attaque qui mérite un audit indépendant, et la promesse de "l'empreinte ne quitte jamais la carte" devient à géométrie variable. Côté Thales et IDEMIA, le marketing parle d'enrôlement à domicile sécurisé, mais les détails du protocole sont peu documentés, tout du moins ce que j'ai pu trouver en libre accès.

Et pour finir sur le côté pratique, la biométrie est une option payante. Bah ouais, 24 balles par an chez BNP et Crédit Agricole, sur des cartes Visa Premier ou Mastercard Gold qui coûtent déjà entre 130 et 180€ annuels, pourquoi se faire chier ? Société Générale a annoncé vouloir descendre en gamme là-dessus, mais pour l'instant, la sécurité forte est réservée à ceux qui peuvent payer. Sécurité à deux vitesses, donc, comme d'hab et moi je trouve que c'est un peu paradoxal pour un truc présenté comme la nouvelle norme.

Bref, mon verdict sur tout ça c'est que le design technique est bon, le match-on-card protège VRAIMENT des fuites massives, et ça c'est un excellent progrès face au PIN à 4 chiffres pour tout ce qui est usage courant. Mais le narratif "fin du code secret" reste faux puisque le PIN perdure en fallback, et surtout, la biométrie pose des problèmes structurels bien connus (non-révocable, vulnérable aux moulages, coercition, enrôlement opaque).

Donc voilà, si demain votre banque vous propose le passage au biométrique, demandez-lui comment se passe l'enrôlement, si le fallback PIN est désactivable, et combien ça coûte. Et peut-être que là, ça pourra être intéressant.

20 Apr 15:57

L'ANTS piratée - 19 millions de Français dans la merde à cause d'une faille basique

by Korben

L'ANTS vient de se faire hacker... 19 millions de fiches dans la nature, récupérées via une faille IDOR (Insecure Direct Object Reference, pour les intimes). Pour ceux qui connaissent pas le terme, IDOR c'est l'exercice qu'on donne aux étudiants le deuxième jour d'un cours de cybersécurité !

En clair, l'attaquant envoyait une requête sur l'API en remplaçant l'identifiant de son profil par un autre. Et hop, le serveur lui renvoyait le dossier d'un citoyen français en face, sans jamais vérifier qu'il avait le droit de le consulter. Aucun contrôle d'autorisation sérieux, aucun rate-limiting, et visiblement aucune alerte quand une IP aspire 19 millions de fiches. Que dalle !

Le gars qui a découvert le truc s'appelle Seblatombe, il tient le blog FrenchBreaches et il a balancé l'info ce 20 avril. Les données fuitées, ce sont vos noms, prénoms, dates de naissance, adresses postales, emails, numéros de téléphone, identifiants ANTS et numéros d'accréditation pro. Par contre, les mots de passe et les données bancaires n'ont pas filé, et c'est bien le seul truc qui sauve ce dossier du naufrage complet.

Quoiqu'il en soit, ce n'est pas un accident isolé puisque qu'en mars 2024, France Travail se fait éventrer avec 36,8 millions de victimes. Avant ça, en janvier 2024, Viamedis et Almerys lâchent 33 millions d'assurés sociaux. En novembre 2024, Pajemploi expose 1,2 million de dossiers. Et plus récemment en décembre 2025, la CAF perd 8,6 millions de comptes.

Et maintenant l'ANTS, avec 19 millions de plus.

Faites le cumul les amis. Près de 100 millions de lignes fuitées depuis début 2024, avec évidemment des doublons puisqu'un même citoyen est fiché sur plusieurs services. Pour un pays de 68 millions d'habitants, c'est un joli record je trouve ! On devrait avoir une médaille !

Perso, ce qui me fait halluciner, c'est le communiqué officiel de l'ANTS. Leur conseil aux citoyens c'est, je cite, que vous "n'avez aucune démarche à accomplir". LOL ! France Travail, au moins, avait pris la peine de prévenir les victimes une par une et de publier un plan de remédiation, parce qu'ils s'étaient fait visiblement taper sur les doigts par la CNIL. Avec l'ANTS, c'est à vous de gérer le bordel qu'ils ont créé.

Alors concrètement, qu'est-ce que vous pouvez faire ? Déjà, allez vérifier si votre email traîne déjà dans la nature sur haveibeenpwned.com. Ensuite, changez le mot de passe de votre compte ANTS et activez la 2FA partout où elle est dispo.

Attention aussi aux mails ou SMS qui mentionnent votre nom et votre date de naissance, c'est le jackpot des arnaqueurs pour ressembler à un vrai service. Et surveillez vos comptes bancaires parce qu'avec nom + adresse + date de naissance + téléphone, une demande de crédit frauduleuse passe comme une lettre à la poste.

D'ailleurs, j'avais déjà fait un bilan des hacks français en 2025 qui résumait l'ambiance. Visiblement rien n'a changé. Les mêmes failles basiques, les mêmes audits inexistants, les mêmes communiqués minimalistes. L'État a transformé vos données personnelles en open bar pour cybercriminels, et le seul vrai plan de remédiation qu'on nous propose c'est de croiser les doigts.

Bref, une IDOR sur une agence qui gère les données de 19 millions de Français, franchement, c'est selon moi pas une erreur mais clairement une faute grave.

Source

15 Apr 15:52

WINCTRL launches the 32 TCAS panel: squawk codes and TCAS control in physical hardware for $77.50

by Vasco Ferreira

If you’ve been following WINCTRL’s trajectory, you’ll know the company has been methodically filling in the gaps of a full Airbus home cockpit setup. The FCU, EFIS, MCDU, and pedestal panels have all arrived over the past couple of years, and just last month at FSWeekend 2026 they revealed the OVHD32 SOP, a full Airbus overhead panel priced at $349.95.

Today they’re adding another piece: the 32 TCAS, a dedicated physical transponder panel aimed squarely at simmers who fly regularly on online networks.

For anyone spending time on VATSIM or IVAO, the transponder is one of the most frequently used panels in any airliner cockpit. Entering squawk codes, switching TCAS modes, pressing IDENT when ATC requests it: it’s routine work, and until now it’s meant reaching for the mouse. The 32 TCAS moves all of that to a physical panel on your desk.

What the panel includes

WINCTRL describes the 32 TCAS as a 1:1 full-structure molded design, built to the true scale of the real aircraft unit. The panel includes a numeric keypad for squawk code entry, multi-stage rotary switches covering STBY, AUTO, ON, TA, and TA/RA mode selection, altitude reporting toggles, CLR, and IDENT. The rotary switches use crisp detents, which the company says are precision-optimized for frequent use. A segment display shows the active squawk code in amber, matching the color and character style of the real aircraft instrument. Backlight brightness is adjustable, and the display syncs automatically with the in-sim transponder state.

The panel connects via USB-C and works through WINCTRL’s SimAppPro bridge software, which the company says requires no manual configuration. Day-one aircraft compatibility covers the Fenix A319/A320/A321, iniBuilds A320/A330/A340, and Salty B747 in MSFS 2024, along with Fenix and iFly 737 MAX8 in MSFS 2020. WINCTRL says additional aircraft will be added through ongoing SimAppPro updates.

winctrl 32 tcas 8
winctrl 32 tcas 4
winctrl 32 tcas 9
winctrl 32 tcas 5

Online network integration

WINCTRL specifically highlights native support for VATSIM (via vPilot), IVAO (via Altitude), PilotEdge, and SayIntentions.AI (via skyNet), with the panel responding in real time to traffic avoidance commands. For simmers who fly on those networks regularly, the ability to physically press IDENT and dial in a squawk code rather than clicking through the virtual cockpit is really quite a meaningful workflow improvement.

Mounting and ecosystem fit

The 32 TCAS fits neatly into what WINCTRL has been building across its Airbus ecosystem. It can sit independently on a desk using its angled base, attach to WINCTRL’s Desk Mount system alongside other panels, or mount into a full home cockpit frame via pre-drilled holes for standard profile bars. The Desk Mount expansion kit is sold separately.

Pricing and availability

The 32 TCAS is available now via WINCTRL’s global shipping site at $77.50 USD, with shipping and taxes applying. Regional pre-orders are open at the following prices: $85.32 USD (US), £79.83 GBP (UK), €74.40 EUR (EU), $131.75 AUD (Australia), $114.70 CAD (Canada), and ¥11,929 JPY (Japan). Regional orders ship from local warehouses once stock arrives, which takes longer due to sea freight, though pricing is generally more favorable and includes free delivery in most regions.

02 Apr 17:53

Artemis II en route vers la Lune : un petit tour et puis s’en va

by Sébastien Gavois
Coucou, c’est nous !
Artemis II en route vers la Lune : un petit tour et puis s’en va

Artemis II a décollé, la capsule Orion et ses quatre membres d’équipage sont en orbite autour de la Terre. Dans quelques heures ils feront route vers la Lune, ensuite ils reviendront sur Terre. C’est la première fois depuis 50 ans que des humains vont faire le tour de notre satellite naturel.

Après un report fin février et un retour dans le bâtiment d’assemblage, la fusée Space Launch System (SLS) de la mission Artemis II était revenue sur le pas de tir, prête à décoller. La NASA a diffusé en direct le lancement. Un extrait du moment de la séparation entre la capsule Orion et le dernier étage de la fusée est disponible sur X.

Des humains autour de la Lune, après une « brève interruption de 54 ans »

Le lancement a bien eu lieu cette nuit à 00h35 heure française, sans encombre : « les astronautes de la mission Artemis II de la NASA sont en vol, se préparant pour le premier survol lunaire habité depuis plus de 50 ans », se félicite l’Agence spatiale américaine. D’humeur badine, le patron de l’Agence spatiale américaine (Jared Isaacman) parle d’une « brève interruption de 54 ans ».

Une fois dans l’espace, la fusée SLS a placé la capsule Orion en orbite. Cette dernière a déployé ses panneaux solaires afin de recevoir de l’énergie du Soleil. Quelques petits imprévus sont tout de même venus se joindre à la fête : « la communication avec les astronautes a brièvement été perdue, et les toilettes ne fonctionnent pas encore », explique l’AFP. Il y a évidemment une solution de secours pour les astronautes. Le vaisseau spatial devrait rester une journée en orbite afin de vérifier et tester les capacités de maniabilité d’Orion.

L’Europe rappelle sa présence : elle fournit le module de service

« Bien qu’aucun astronaute de l’ESA ne participe à ce vol, l’Agence spatiale européenne y est associée », rappelle Daniel Neuenschwander, directeur de l’exploration humaine et robotique à l’Agence spatiale européenne (ESA).

Cette dernière ajoute en effet que « l’Europe fournira l’énergie nécessaire à ce voyage grâce au module de service européen de l’ESA, qui est au cœur du système de propulsion du vaisseau spatial Orion. Ce module alimente les astronautes en air et en eau, fournit de l’électricité grâce à ses quatre panneaux solaires, contrôle la température du vaisseau spatial et assure la propulsion nécessaire aux manœuvres clés dans l’espace lointain ».

Trois types de moteurs sont présents sur le module. Le principal est allumé quand il faut des changements de vitesse importants, nécessaires pour envoyer Orion vers la Lune par exemple. « Il est assisté par huit moteurs auxiliaires, qui sont utilisés pour les corrections orbitales et servent de secours au moteur principal si nécessaire. Pour un contrôle précis, 24 moteurs plus petits, répartis en six modules, sont utilisés pour faire tourner et orienter le vaisseau spatial ». Ils sont utilisables individuellement ou en groupe, et « permettent à Orion d’ajuster sa position avec une précision exceptionnelle ».

Artemis I, II et III… puis IV et/ou V pour se poser sur la Lune

Avant Artemis II avec des astronautes à bord, la mission Artemis I était une répétition générale fin 2022. La capsule Orion avait fait deux tours autour de la Lune avant d’amerrir après un peu moins de trois semaines de voyage. La durée de la mission d’Artemis II est plus courte, une dizaine de jours, avec à son bord quatre astronautes : Reid Wiseman, Victor Glover, Christina Koch et Jeremy Hansen. Les trois premiers sont de la NASA, le quatrième de l’Agence spatiale canadienne.

Après un petit tour autour de la Lune (sans tenter de se poser, ce qui n’arrivera pas avant Artemis IV), la capsule reviendra sur Terre, avec un amerissage dans l’océan Pacifique, au large des côtes californiennes. « Le module de service européen se séparera du module d’équipage Orion peu avant son amerrissage et se consumera sans danger dans l’atmosphère », explique l’ESA.

Nous avions, pour rappel, détaillé il y a déjà six ans le plan des missions Artemis, dont la première était alors prévue pour 2021 et Artemis II dont il est question aujourd’hui pour… 2022. Il y a quelques semaines, la NASA a revu ses plans : Artemis III ne se posera finalement pas sur la Lune.

La mission « effectuera un rendez-vous en orbite terrestre basse avec les atterrisseurs lunaires commerciaux. C’est-à-dire soit avec le Starship de SpaceX, soit avec le Blue Moon de Blue Origin, soit avec les deux », explique la Cité de l’espace.

Artemis III est prévu pour 2027 et le retour sur la Lune décalé à 2028 avec Artemis IV ou Artemis V car la NASA se réserve « deux opportunités de se poser sur la surface lunaire », précisent nos confrères. La NASA souhaite accélérer la cadence de production de SLS et arriver à une cadence de lancement d’environ dix mois. De cette manière, deux tentatives pourraient avoir lieu la même année.

16 Mar 17:52

Mouser - Remappez votre Logitech MX Master 3S sans Options+

by Korben

Logitech Options+, c'est quand même un truc de fou... Vous achetez une souris à 100 balles, et pour configurer 6 malheureux boutons, faut se créer un compte, accepter de la télémétrie et laisser tourner cette usine à gaz en tâche de fond. Le problème, c'est que sans ce truc, votre MX Master 3S (lien affilié) est bridée avec des réglages par défaut.

Toutefois un dev bien inspiré a pondu Mouser , une alternative open source qui fait la même chose... mais sans le bloatware.

En gros, vous téléchargez un zip de 45 Mo (un exe portable, pas besoin de Python), vous extrayez tout, vous le lancez et boom, vous pouvez alors remapper les boutons de votre MX Master 3S, les 6 que Mouser prend en charge (clic milieu, bouton geste, retour, avancer, scroll horizontal gauche/droite) + 22 actions prédéfinies : Alt+Tab, copier-coller, contrôle média, navigation web... tout y passe !

Le truc cool, c'est ce qui se passe sous le capot puisque Mouser communique directement avec votre souris via le protocole HID++ de Logitech sur Bluetooth. Sur Windows, il intercepte les événements souris avec un hook bas niveau, et sur macOS c'est via CGEventTap. Pour le fameux bouton geste sous le pouce, c'est plus subtil puisqu'il envoie une commande HID++ pour "divertir" le bouton et récupérer les événements bruts plutôt que de laisser le firmware gérer. Y'a eu un peu de reverse engineering de protocole propriétaire, en somme.

Autre truc chouette dans cette appli, ce sont les profils par application. Vous pouvez assigner des actions différentes selon que vous soyez sur Firefox, VS Code ou VLC, et le switch se fait automatiquement en détectant la fenêtre active toutes les 300 ms. C'est grosso modo ce que le logiciel officiel propose pour le remapping, sauf que là ça tourne sans envoyer quoi que ce soit chez Logitech !

Côté réglages, vous pouvez aussi jouer sur le DPI (de 200 à 8 000) et inverser le sens du scroll vertical ou horizontal. Y'a même un moniteur de batterie avec badge coloré et une reconnexion automatique quand la souris sort de veille. C'est carrément pas mal pour un projet communautaire.

Pour le moment, Mouser ne supporte QUE la MX Master 3S connectée en Bluetooth (le récepteur USB n'est que partiellement supporté). Le code est pensé pour être extensible à d'autres souris HID++ de Logitech, mais c'est la seule testée actuellement. Donc au boulot les gars ! Et pour le portage Linux, faudra aussi vous bouger le cul car actuellement seuls macOS et Windows sont supportés.

Ah et il faut absolument qu'Options+ ne tourne pas en même temps, parce que les deux se marchent dessus pour l'accès HID++ ! Et aussi, pas la peine de chercher des options Logitech Flow ou SmartShift là-dedans, car Mouser se concentre uniquement sur le remapping et le DPI, et pas (encore ?) sur le multi-machine.

À découvrir ici !

26 Feb 14:59

Amazon Wishlist - Votre adresse livrée avec le cadeau

by Korben

Amazon, fournisseur officiel de mauvaises idées en matière de vie privée depuis 1870 vient de nous pondre une nouvelle trouvaille !! À partir du 25 mars, si quelqu'un vous achète un cadeau via votre liste de souhaits Amazon, le vendeur tiers récupère votre adresse de livraison. Oui, votre VRAIE adresse !! Après en tant que français on a l'habitude que tous les escrocs de la planète aient nos infos persos . Mais rassurez-vous, Amazon a trouvé une solution ! Est-ce qu'il s'agit de corriger le problème ? Que nenni !! Ils nous recommandent simplement d'utiliser une boîte postale. Sympa !

Parce que jusqu'ici, quand un pote vous envoyait un truc depuis votre wishlist, le vendeur tiers voyait votre ville et votre région... c'est déjà pas top, mais bon. Sauf que maintenant, c'est l'adresse COMPLÈTE qui part chez le vendeur. Numéro, rue, code postal, la totale...

Et vous vous en doutez, ça touche en premier lieu les créateurs de contenu, les streamers, et tous les crevards qui ont une wishlist publique pour que leur communauté puisse leur offrir des trucs net d'impôts ^^.

Donc suffit qu'un harceleur crée un faux compte vendeur sur Amazon Marketplace (La vérification d'identité ? Minimale !), met un article à 3 euros, attend qu'un fan l'achète via la wishlist de sa cible... et hop, il a l'adresse complète récupérée. Pas besoin d'être un génie. Ou alors suffit d'attendre que le vendeur tiers laisse fuiter le fichier Excel dans lequel il stocke ses commandes... La vie est toujours pleine de surprises quand il s'agit de leaker des données perso.

EDIT : Merci à Matthieu qui m'a envoyé la preuve ! Amazon.fr vient d'envoyer un email à ses utilisateurs pour confirmer que ce changement arrive bien en France à compter du 25 mars 2026. L'option permettant de restreindre les achats auprès de vendeurs tiers pour les articles de vos listes sera supprimée. Donc c'est plus une hypothèse, c'est confirmé... faites le ménage dans vos wishlists MAINTENANT.

Et côté RGPD ?

En Europe, le RGPD impose que le partage de données personnelles repose sur une base légale. Consentement explicite, intérêt légitime, ou exécution d'un contrat et pas une case pré-cochée planquée dans les CGU.

Le problème, c'est qu'Amazon change les règles du jeu en cours de route, sans demander un consentement spécifique pour ce nouveau partage d'adresse avec des tiers. Et bien sûr, le moment venu, la CNIL pourrait avoir deux mots à dire là-dessus... après, on sait comment ça se passe, les amendes mettent des années à tomber. D'ailleurs, Amazon s'est déjà pris 746 millions d'euros par le Luxembourg en 2021 pour non-respect du RGPD mais visiblement, ça ne les a pas trop calmés.

Pour ceux qui s'intéressent à la suppression de leurs données perso en ligne , c'est le genre de truc qui fait grincer des dents.

Comment protéger votre adresse ?

Maintenant concrètement, voici ce que vous pouvez faire (ça ne marche pas à 100% mais c'est mieux que rien) :

Allez dans votre compte Amazon, section "Listes" puis "Gérer la liste". Vérifiez que votre wishlist est bien en mode "Privée" si vous ne voulez pas que n'importe qui la voie. Attention, le réglage par défaut c'est "Publique"... donc si vous n'avez jamais touché à ça, c'est probablement ouvert aux quatre vents.

Et si vous VOULEZ la garder publique (streamers, créateurs), utilisez une adresse qui n'est pas votre domicile. En France, une boîte postale La Poste coûte ~50 euros par an. Y'a aussi les Amazon Locker ou les points Mondial Relay... ce qui revient quand même à dire "débrouillez-vous", j'en ai bien conscience.

Le vrai problème

Le fond du problème, vous l'aurez compris, n'est pas technique. C'est qu'Amazon traite l'adresse de livraison comme une donnée de transaction banale alors que c'est une info sensible. Mais non, une adresse postale c'est pas un numéro de commande. Et surtout ça casse tout le principe d'anonymat des wishlists surtout quand la plateforme encourage les wishlists publiques depuis des années.

Bref, c'est confirmé pour la France au 25 mars, alors prenez les devants et prévenez votre influenceur préféré de faire le switch.

Source

25 Feb 12:47

MultiDrive - Du clonage de disque gratuit par les pros du forensic

by Korben

MultiDrive, c'est un outil Windows gratuit pour cloner, sauvegarder et effacer vos disques. Jusque-là, rien de foufou... sauf que derrière, y'a Atola Technology. Et dans le monde du forensic numérique, Atola c'est pas n'importe qui (labos d'investigation, forces de l'ordre, 20 ans de métier, basés au Canada avec une équipe en Ukraine)... bref, ce sont des gens qui connaissent les disques durs sur le bout des doigts.

Du coup, quand ils sortent un outil gratuit pour le grand public, je tends forcement l'oreille.

Côté fonctionnalités, vous avez donc le clonage disque-à-disque (HDD vers SSD, tout ça), y compris le disque boot (pratique pour migrer votre Windows vers un SSD), la sauvegarde complète en ZIP ou RAW, et l'effacement sécurisé avec patterns HEX ainsi que de la vérification d'intégrité en MD5, SHA256, SHA512... bref, y'a ce qu'il faut. Mais le gros plus pour les admins, c'est le mode CLI via mdcli. Comme ça, hop, vous scriptez vos backups et ça tourne tout seul !

En gros, ça donne ça :

# Lister les disques connectés
mdcli list

# Sauvegarder un disque boot en ZIP compressé
mdcli backup d1 E:\myfolder\backup.zip

# Cloner un disque vers un autre avec checksum SHA1
mdcli clone d3 d4 -q SHA1

# Effacer un disque avec un pattern HEX perso
mdcli erase d2 -p BADA

# Restaurer un disque depuis un backup ZIP
mdcli restore E:\folder\backup.zip d3

Et les tâches peuvent tourner en parallèle comme ça, vous lancez PLUSIEURS clonages en même temps, chacun avec son propre bouton pause/reprise. Et si votre vieux disque a des secteurs morts, MultiDrive s'en fiche puisqu'il gère les erreurs de lecture et continue sans broncher. Pour ceux qui connaissent Rescuezilla , c'est un peu la même philosophie mais natif Windows, SANS clé USB bootable.

Après, c'est closed-source mais c'est 100% gratuit (même en usage pro), et Atola s'engage à garder ça gratos. On verra s'ils respectent leur parole... quoiqu'il en soit, la licence est consultable sur leur site si vous voulez creuser avant d'aller plus loin.

Et côté doc, ils ont des tutos pour à peu près tout : backup sur disque externe, migration de Windows vers un autre disque, clonage SSD vers SSD, wipe de clé USB... chaque opération est détaillée étape par étape, c'est bien ficlé.

À télécharger ici ou via winget install multidrive.

24 Feb 18:37

Un dev prend le contrôle de milliers d'aspirateurs DJI Romo

by Korben

Un développeur vient de prendre le contrôle de plus de 10 000 appareils DJI (dont 7 000 robots aspirateurs Romo - lien affilié) répartis dans 24 pays... en voulant juste piloter le sien avec une manette PS5.

Oui oui c'est un grand malade ^^.

À la base, Sammy Azdoufal, responsable IA chez Emerald Stay, voulait juste s'amuser avec son aspi alors il a d'abord essayé d'y connecter sa manette DualSense en Bluetooth, et puis il a fini par utiliser Claude Code pour décompiler l'appli mobile DJI (version Android) et reverse-engineerer les protocoles MQTT de DJI. Bien sûr, il lui fallait un token d'auth pour prouver qu'il était bien proprio du Romo et jusque-là, rien de méchant...

Sauf que le broker MQTT de DJI n'avait AUCUN contrôle d'accès au niveau des topics (c'est la chaîne de caractères qui sert d'adresse pour router les messages entre les publishers et les subscribers). Du coup, avec un seul token TLS, il voyait le trafic de tous les appareils en clair sur le broker cloud de DJI. Pas de brute force, pas d'exploit sophistiqué mais juste un pauvre token et un client MQTT.

Et hop, le voilà avec les flux vidéo des caméras embarquées, les micros, les plans 2D des maisons, les adresses IP et les numéros de série de milliers de machines. Un journaliste de The Verge lui a même filé son numéro de série, et depuis Barcelone, Azdoufal a pris le contrôle de son Romo, a pu voir qu'il était à 80% de batterie et en train de nettoyer le salon, pour finir par générer le plan de l'appart. Flippant hein ??

En gros, DJI avait un problème de validation de permissions côté backend. Ils l'ont patché début février sauf que... Azdoufal a trouvé une DEUXIÈME faille (un bypass du PIN caméra) qui serait toujours pas corrigée. Et c'est pas fini, le bonhomme aurait encore 2 autres vulnérabilités majeures sous le coude qu'il n'a pas divulguées publiquement et sur lesquelles DJI bosse activement pour les corriger. Cerise sur le gâteau, les batteries DJI Power étaient aussi accessibles via cette archi MQTT. Ce sont de grosses batteries portables qu'on garde chez soit pour avoir un peu de jus en cas de coupure de courant ou quand on est off the grid..

Attention par contre, si vous avez un Romo, vérifiez bien que le firmware est à jour. Vous vous en doutez, DJI a d'abord nié le problème avant de finalement patcher mais bon, moi aussi j'ai une caméra sur mon aspi robot et comme j'adore me balader en slip chez moi, je plains le hacker qui passera par là... Et je vous raconte pas quand on aura des robots humanoïdes comme ce qu'on a vu avec la faille des robots Unitree , tiens...

Source

23 Feb 07:48

Combat Pilot taking part in Steam Next Fest with free trial

by ShamrockOneFive

If you’ve been waiting to get your hands on Combat Pilot: Carrier Qualification, your chance to try it out is coming up starting on February 23rd with Steam Next Fest. Here’s what you need to know!

Free trial coming up

Steam Next Fest is a week long event focused on upcoming games offering up playable demos to try and Combat Pilot is getting in on the action this year.

Combat Pilot’s alpha test program has been ongoing for quite some time now with the development team pushing regular updates to those paying into the Patreon Alpha program. The state of the sim has been progressing with features and refinements being added all of the time. Now, everyone is going to have chance to try it out.

Here are some of the features as listed in the announcement:

  • Easy to create Quick Missions
  • Flyable US Navy / Marine Corps F4F-4 fighter and Imperial Japanese Navy A6M2 Model 21 “Zero” fighter
  • USS Enterprise and IJN Akagi aircraft carriers
  • Realistic flight physics and systems modeling
  • Realistic carrier take-offs and landings
  • Midway Atoll (Sand and Eastern Island)

Now I think its important to set expectations that Combat Pilot is still in its alpha development stage. It’s really made terrific progress but it also has a way to go. Still, you can see what the developers are intending to do with the latest test when you try it for yourself. All steps in the right direction.

Check out the announcement right here!

20 Feb 18:15

The HJet 24 is out now for MSFS 2024, and it is a free upgrade for previous owners

by Vasco Ferreira

The transition to Microsoft Flight Simulator 2024 has been a period of “wait and see” for many simmers. While many 2020 aircraft work via backward compatibility, the community continues hungry for planes that truly leverage the new engine’s physics and career mechanics. Today, FlightFX answered that call. The HJet 24 has officially launched, available first on the Microsoft Marketplace with third-party storefronts like Contrail, and Orbx following closely behind.

FlightFX says the aircraft has been significantly rebuilt to align with the higher standards of the MSFS 2024 platform, marking a shift from a “legacy” experience to a native product.

FlightFX is honoring its promise of a free upgrade for existing owners of the MSFS 2020 version. However, the developer has issued a few specific instructions to ensure a smooth transition.

For those using the Microsoft Marketplace, the upgrade is tied to your Gamertag. The developer says that if you owned the original, the 2024 version should appear as a free download, provided you are logged into the same account.

For those who haven’t purchased the HJet yet, FlightFX suggests buying it on your preferred platform first, noting that it may take a few days for the “cross-buy” entitlement to sync between the 2020 and 2024 editions.

What’s new: A comprehensive overhaul

The developer says the aircraft has been fundamentally reworked to utilize the 2024 engine, from a rebuilt flight model that interacts with new surface physics to a complete avionics migration to the Working Title V2 framework. This release also brings the aircraft into the new simulator’s ecosystem with native support for Private Charter missions in Career Mode and interactive walk-around features.

The changes are extensive, covering everything from thermodynamic environmental modeling to a brand-new soundscape by Echo 19. We invite you to explore the full, detailed feature list at the bottom of this article to see the scale of this evolution.

Where to find it

If you are looking to get into the cockpit today, the aircraft is rolling out across several major platforms:

  • Microsoft Marketplace: Available now (including the free upgrade for 2020 owners).
  • Contrail and Orbx Central: Now live for $24.99.
flightfx hjet 24 msfs 2024 released 3.jpg

Full feature list:

Flight Physics

  • Rebuilt flight model
  • Rebuilt ground handling
  • Rebuilt suspension physics

Avionics and Systems

  • Custom Vertical Situation Display (VSD) with terrain elevation display (track or flight plan based)
  • Avionics backend updated to Working Title V2 framework
  • Improved autopilot automation logic
    • Enforced G limits across all pitch modes
    • Smoother mode transitions and captures
  • Rebuilt autothrottle focused on smoothness and anticipation
    • Enhanced FLC mode with coordinated autothrottle and autopilot interaction
  • Updated built-in Navigraph Charts plugin for Microsoft Flight Simulator 2024 compatibility
  • Electrical system with dynamic load shedding and bus separation logic
  • Automatic fuel balancing with real-world tank switching sequences
  • Fully simulated automated hydraulic system
  • Custom environmental system using thermodynamic modeling for valve control, fan speeds, and temperature regulation
  • Automatic anti-ice system with visual icing feedback in AUTO mode
  • Deployable oxygen masks
  • Fire detection and suppression with a functional fire panel, audio warnings, and integrated CAS messages
  • Custom Crew Alerting System (CAS) with 130+ AFM-based messages
  • Built-in interactive checklists
  • Smart exterior lighting system that automatically responds to aircraft state
flightfx hjet 24 msfs 2024 released 2.jpg

Visual Modeling

  • Native Microsoft Flight Simulator 2024 materials and shaders
  • Modular model structure with optimized LODs
  • Complete cockpit remodel with enhanced detail and clarity
    • G3000 displays
    • GTCs
    • Paneling
    • Seats
  • Brand new interior cabin
    • New lighting
    • New seats
    • New decorative pillows
    • New tables
    • New carpeting
  • Improved exterior details and decals
  • Native passenger avatars integrated with VAMS EFB weight and balance
  • Interactive cabin elements
    • Sun visors
    • Lavatory doors
    • Ambient lighting
    • Smart glass window shades
    • Cabin tables
    • Rufus!
flightfx hjet 24 msfs 2024 released 1.jpg

Audio

  • New soundscape by Echo 19
    • New engine sounds
    • New ground roll sounds
    • Improved interaction and control sounds
    • Improved cockpit ambience
    • Other small improvements

Electronic Flight Bag (VAMS 2.0)

  • New VAMS 2.0 EFB interface
    • Adjustable tablet position and rotation
    • Navigraph charts integration
    • OpenStreetMap support
    • Weight and balance with SimBrief by Navigraph integration
    • Sim rate display
    • Ground services

Miscellaneous

  • Compatible with Microsoft Flight Simulator 2024 Career Mode (Private Charter)
  • Microsoft Flight Simulator 2024 walk-around feature support
    • Interactive covers
    • Interactive chocks
    • Interactive Ground Power Unit (GPU) connection
    • Operable doors

MSFS Addons is reader-supported. When you buy through links on this page, we may earn an affiliate commission at no additional cost to you. Thank you!

18 Feb 17:06

Nous sommes bien en 2026, et de nombreux joueurs quittent Discord pour rejoindre TeamSpeak !

by contact@hardwareand.co (David Sergent)

En 2015, Discord était lancé et rencontrait un succès rapide, notamment dans la communauté des joueurs. Dès 2016, une "bascule" s'opérait et Discord était déjà plus populaire que l'application de communication phare des joueurs jusque-là : TeamSpeak. Depuis, TeamSpeak n'a jamais cessé d'exister, mai...