Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Vous vous souvenez de The Legend of Zelda sur NES ? Un classique parmi les classiques, pas vrai ? En bon vieux, j’y ai évidemment joué et on pourrait croire qu’après toutes ces années, ce jeu n’a plus aucun secret pour nous autres, les geeks de la vieille école.

Eh bien, détrompez-vous ! Il restait encore au moins un mystère à élucider, et c’est grâce aux YouTubeurs The Bread Pirate et Sharopolis qu’on en sait plus aujourd’hui.

Le premier gars a fait une vidéo sur un glitch de clé dans Zelda que personne n’était capable d’expliquer. En gros, dans le tout premier donjon du jeu, vous avez une porte verrouillée juste en face de vous. Normalement, faut trouver une clé pour l’ouvrir, logique. Sauf que… Si vous ressortez du donjon pour y retourner direct, la porte s’ouvre comme par magie, sans clé ! WTF?!

The Bread Pirate s’est donc demandé pourquoi ce glitch se produisait. Aucune autre porte verrouillée du jeu ne réagit comme ça. Il a testé un paquet de trucs et a découvert que le bug se déclenchait uniquement en entrant dans le donjon. Chelou…

Pour comprendre ce mic-mac, il a donc fallu explorer le code source du jeu, qui a été désassemblé et annoté par un certain Aldo nunz (bien joué, mec 👍). C’est un vrai travail de reverse engineering, un truc de malade qui permet de voir comment le jeu fonctionne de l’intérieur. Et en examinant méticuleusement le code, Sharopolis a fini par identifier la source du problème.

En fait, quand Link entre dans un donjon, le jeu est censé enregistrer la direction par laquelle il est arrivé. Genre, s’il est entré par le nord, le jeu considère qu’il a traversé la porte verrouillée, donc il déverrouille l’autre côté pour éviter que Link se retrouve bloqué comme un idiot. Sauf que… Les développeurs ont visiblement zappé un truc. 😅

Quand on arrive dans le donjon, le jeu ne réinitialise pas la direction ! Du coup, il garde en mémoire le dernier écran visité et s’imagine que Link vient de là. Et s’il s’agit du bon écran, celui au nord du premier donjon, bah la porte s’ouvre direct ! Un beau raté qui est passé inaperçu pendant des années.

Ce glitch existe depuis la première version de Zelda, celle sur Famicom. Il a survécu à toutes les rééditions du jeu, sur NES, Game Boy Advance, la Console Virtuelle… Nintendo n’a jamais pris la peine de le corriger. Faut dire que c’est pas un bug bien méchant et que le réparer sur NES, c’était pas une mince affaire à l’époque.

Tout ça pour dire, les amis, qu’il y a encore des mystères à percer dans nos jeux old-school préférés. Heureusement qu’il y a des passionnés comme Sharopolis pour mener l’enquête avec talent !

J’en reviens pas du boulot de reverse engineering qu’il a abattu, les mecs est trop fort.

Allez, à plus et n’oubliez pas : « It’s dangerous to go alone!« 


Avez-vous déjà cliqué sur un lien posté sur X (Ah, pour une fois que je dis pas « Twitter » ! Je m’améliore !) en pensant atterrir sur un article de Forbes, mais vous vous êtes retrouvés sur un compte Telegram chelou qui parle de crypto ? Ouais, c’est couillon hein… Mais en fait, c’est pas un bug, c’est une sacré faille bien vicieuse !

En gros, quand X génère un aperçu pour un lien externe dans un tweet, il essaie de deviner la destination finale de l’URL. Sauf que des petits malins ont trouvé un moyen de le duper en redirigeant les vrais internautes vers un site différent de celui montré aux robots de X. 🤖

Le truc, c’est que les escrocs utilisent un site intermédiaire qui vérifie si la requête vient d’un navigateur web (donc d’un humain) ou d’un bot. Si c’est un bot, hop, il renvoie vers un article légitime de Forbes. Mais si c’est vous ou moi… Tada ! On se tape une redirection surprise vers un compte Telegram louche !

Le pire, c’est que sur l’app X, impossible de vérifier où mène vraiment un lien avant de cliquer. Alors que sur un navigateur desktop, un ptit survol et hop, l’URL s’affiche. Mais sur mobile, pas moyen ! Tu cliques sur « forbes.com » et tu t’retrouves sur « arnaque-cryptos.ru » en moins de deux.

Bref, méfiance maximale avec les liens postés sur X, surtout depuis un smartphone. C’est la jungle et les arnaqueurs en tout genre sont à l’affût pour vous piéger avec des liens fourbes ! Vérifiez bien l’URL avant de cliquer et évitez carrément les liens sur l’app si vous avez un doute. Ou alors, vous suivez que mon compte Twitter et là, pas de souci ^^.

A bon entendeur…

Source


J’sais pas si vous avez vu, mais l’un des plus grands contributeur au monde au logiciel libre nous a sorti un nouvel outil open source très cool baptisé Garnet. Et ce nouveau système de cache open source développé par Microsoft (oui, c’était une blague à retardement ^^) va surement faire trembler Redis et Memcached (ou pas, c’est encore trop tôt pour le savoir).

D’après les specs, Garnet est conçu pour la scalabilité et le débit poussés à fond les ballons. En gros, on peut gérer un max de requêtes sans faire sourciller votre infra et donc au final, faire des économies ! En plus, d’après le benchmark, les perfs sont juste assez dingues et les temps de latence côté client sont réduits à leur max. Comme souvent avec Microsoft, c’est visiblement du solide.

Garnet repose sur la dernière techno .NET, c’est multi plateforme et hyper extensible. Y’a une API blindée de fonctionnalités et avec le mode cluster, on peut même faire du sharding, de la réplication et de la migration dynamique de clés. Les chercheurs de Microsoft ont mis près d’une décennie à peaufiner cette technologie et c’est maintenant en place chez eux notamment dans les plateformes Windows & Web Experiences, Azure Resource Manager et Azure Resource Graph.

Microsoft a comparé Garnet aux autres solutions du marché et les résultats sont sans appel. Que ce soit en throughput ou en latence, Garnet explose tout le monde, même dans des conditions de charge de taré. Ce qui fait la différence avec Garnet, c’est surtout sa capacité à exploiter pleinement les capacités matérielles actuelles, comme les cœurs multiples, le stockage hiérarchisé et les réseaux rapides, tout en restant simple d’utilisation pour les développeurs d’applications.

Maintenant si vous voulez tester, faire des benchmark et éventuellement un jour remplacer votre Redis, Microsoft a rendu Garnet disponible sur GitHub.


Si comme moi, vous adorez souiller les conditions générales des services de Gougleu, Twitter ou encore TikTok alors vous allez kiffer Cobalt.

Il s’agit d’un service en ligne super minimaliste qui permet de récupérer à partir d’un simple lien, au choix, la vidéo ou l’audio. Pratique pour ensuite bidouiller la vidéo d’origine ou se faire un petit MP3.

Avec son bouton « auto », vous laissez Cobalt choisir le meilleur pour vous, ou alors prenez le contrôle et ajustez les réglages comme un vrai chef.

L’interface est très simple et il n’y a pas grand chose mais si vous allez dans les paramètres (Settings), vous verrez qu’il est possible de préciser la qualité à récupérer ainsi que le format de la vidéo (h264, av1, vp9), mais également de retirer les watermarks des vidéos TikTok ou de convertir les vidéos Twitter en .gif. Fini les filigranes agaçants et bonjour les boucles parfaites pour vos memes et partages.

Vous avez même la possibilité de choisir entre le téléchargement progressif, qui utilise directement le CDN de Vimeo pour une qualité max de 1080p, ou l’option « dash », qui combine vidéo et audio en un seul fichier pour une qualité max de 4K. Le choix est royal : du 360p pour les connexions qui rament aux splendeurs du 8K pour les mirettes exigeantes.

Bref, c’est que du bonheur ! A mettre dans vos bookmarks de toute urgence.

Merci à Lorenper


Vous pensiez que votre GPU était à l’abri des regards indiscrets ? Que nenni damoiseaux zé demoiselles !!!

Une équipe de chercheurs vient de mettre en lumière des failles béantes dans la sécurité de l’API WebGPU, cette technologie qui booste les performances graphiques de nos navigateurs.

D’après cette étude, ces vulnérabilités permettraient à des scripts malveillants d’exploiter les canaux auxiliaires du GPU pour siphonner des données sensibles, comme vos mots de passe ou vos clés de chiffrement. Rien que ça ! 😱 Concrètement, les chercheurs ont réussi à monter ces attaques par canaux auxiliaires en fonction du temps et de l’état du cache du GPU, le tout depuis un simple navigateur web.

En analysant finement l’impact de différentes charges de travail sur les performances du processeur graphique, ils sont parvenus à en déduire des informations sur les autres processus utilisant cette ressource qui est, vous vous en doutez, partagée. Et c’est là qu’est le problème.

Le plus inquiétant, c’est que leur proof of concept se résume à du code JavaScript tout ce qu’il y a de plus basique. Pas besoin d’avoir accès au PC, un site web malveillant peut très bien faire l’affaire. De quoi donner des sueurs froides aux éditeurs de navigateurs… Rassurez-vous, je ne compte pas l’intégrer sur Korben.info, la bouffe n’est pas assez bonne en prison ^^.

Pour l’instant, à part Mozilla qui a publié un bulletin d’avertissement, les principaux acteurs comme Google ou Microsoft n’ont pas réagi. Bouuuuh ! Ils estiment sans doute que le jeu n’en vaut pas la chandelle et préfèrent miser sur les gains de performances de WebGPU plutôt que de s’embarrasser avec des demandes d’autorisations qui gâcheraient l’expérience utilisateur.

Pourtant, les chercheurs sont formels, les sociétés qui conçoivent des navigateurs doivent traiter l’accès au GPU avec la même rigueur que les autres ressources sensibles comme la caméra ou le micro. Sinon, gare aux dérives ! On peut imaginer des utilisateurs qui se font piller leurs cryptomonnaies pendant qu’ils surfent innocemment, ou pire, des fuites de données à grande échelle orchestrées depuis des sites en apparence légitimes.

Avec ça, le bandeau RGPD peut aller se rhabiller ^^/

Rassurez-vous, pour le moment, WebGPU est activé par défaut uniquement dans Chrome et ses dérivés. Pour Firefox, c’est encore seulement dans les versions Nightly (mais ça arrive bientôt). Je vous laisse tester votre navigateur avec le proof of concept dont je vous parlais un peu plus haut.

Bref, cette étude a le mérite de lancer le débat sur les implications sécuritaires des API web de plus en plus intrusives. À l’heure où le GPU s’impose comme une ressource de calcul incontournable, y compris pour des tâches sensibles, la question de son isolation et de la maîtrise des accès devient cruciale.

Bref, on réfléchira à deux fois avant d’autoriser l’accès au GPU sur un site louche… 😉

Source