Aikido Security found that deleted Google API keys can continue authenticating for a median of about 16 minutes and as long as 23 minutes, despite Google Cloud's UI claiming that once a key is deleted it can no longer make API requests. Dark Reading reports: Joe Leon, researcher at Belgian startup Aikido Security, recently analyzed the revocation window -- the time between a key's deletion and its last successful authentication -- for the cloud giant's API keys. In a blog post published today, Leon said Google Cloud Platform (GCP) customers expect API access to end immediately after the key is deleted, but this is not the case. In a series of tests, Leon found that the median revocation window was around 16 minutes, while the longest window was up to 23 minutes, "an incredibly long time" for API keys to continue authenticating successfully, he said. And these windows have serious repercussions for organizations. "An attacker holding your deleted key can keep sending requests until one reaches a server that has not caught up. If Gemini is enabled on the project, they can dump files you have uploaded and exfiltrate cached conversations," Leon said. "The GCP console will not show the key, and it will not tell you the key is still working. You are trusting Google's infrastructure to eventually catch up." [...] Leon tells Dark Reading the revocation windows for Google's API keys, as well as the unpredictable authentication success rates, complicate matters for incident response teams that are dealing with a potential breach. "This breaks the mental model IR teams have when responding to leaked credentials," he says. "It's assumed that when you click 'Delete' or 'Revoke' that the credential no longer works. Now IR teams need to remember that for GCP credentials, a window exists when that 'Deleted' credential still works for attackers." To that end, Aikido recommended that security teams and IR personnel use a 30-minute window for Google API key deletions. Additionally, organizations should monitor their API requests by credential through the "Enabled APIs and services" portion of the GCP console, and review API requests by credential. "If you see unexpected usage from that credential after deletion, someone could be actively exploiting it," Leon wrote. Aikido reported the findings to Google, but the company closed the report as "won't fix," according to the blog post.

Read more of this story at Slashdot.

Canada's broadcast regulator says major streaming services such as Netflix must contribute 15% of their Canadian revenues to Canadian and Indigenous content. "That's three times the five-per-cent initial contribution requirement the CRTC set out in 2024, which is being challenged in court by major streamers, including Apple and Amazon," reports Global News. "Contribution requirements for traditional broadcasters, which currently pay between 30 and 45 percent, will be lowered to 25 percent." From the report: "The total contributions are expected to stabilize the funding at more than $2 billion in support of Canadian and Indigenous content, such as French-language content and news," the regulator said in a press release. The CRTC made the decisions as part of its implementation of the Online Streaming Act, which the U.S. has identified as a trade irritant ahead of trade negotiations with Canada. The CRTC also set out rules on how the money must be spent for both streamers and broadcasters, including contributions toward production funds and direct spending on Canadian content. Most of the streamers' financial contributions can go toward content, though the CRTC is imposing rules on how that money must be spent for the largest streamers. For instance, streamers with Canadian revenues of more than $100 million annually must direct 30 percent of spending toward partnerships with Canadian broadcasters and independent producers. Large Canadian broadcasters will have to direct at least 15 percent of their contributions toward news. The new financial contribution rules apply to streamers and broadcasters with at least $25 million in annual Canadian broadcasting revenues. The decision covers audiovisual programming, meaning it affects traditional TV broadcasters and online services that stream television content. The regulator also said Thursday online streamers will have to take steps to ensure Canadian and Indigenous content is available and visible to audiences. "This will make it easier for people to find this content on the platforms they use, while giving broadcasters flexibility in how they meet the new expectations," the CRTC said in the release. Details of those requirements will be determined at a later time.

Read more of this story at Slashdot.

The NTSB temporarily closed public access to nearly all investigation dockets after people used a spectrogram image from a PDF in the UPS flight 2976 crash file to reconstruct approximate cockpit voice recorder audio and post it online. "We show our work and we've been doing this type of thing for years. Nobody was aware that you can recreate audio from a picture," a spokesperson for the board said. "NTSB is looking to make sure there's nothing else in the docket that could compromise anybody's privacy... now that we understand the possibility of a digital recreation." CNN reports: Cockpit voice recordings, often referred to as the CVR, capture everything commercial pilots say and are valuable during NTSB investigations, but are almost never released out of respect for the victims and their families. UPS flight 2976 crashed on November 4, when an engine separated from the wing while it was taking off from Louisville, Kentucky. The three crew members onboard were killed along with 12 people on the ground. During a two-day investigative hearing this week, the board released a docket full of details about the crash. Besides thousands of pages of reports and video showing the engine separating, it included a transcript of the CVR and a PDF file showing an analysis of the spectrogram of the audio it recorded. A spectrogram is a still image that is a visual representation of the audio, showing the ups and downs of the frequencies. Using that still image, members of the public were able to recreate the voices of the pilots in the moments before the plane crashed and post the results online. The clip, which included background noise and echoes, covered the last 30 seconds of the flight as the pilots struggled with the disabled aircraft as well as recordings of testing the NTSB did on another aircraft. In a statement on Thursday, the board made clear it "does not release cockpit voice recordings" due to federal law and because of the highly sensitive nature of what they include, but it was "aware that advances in image recognition and computational methods have enabled individuals to reconstruct approximations of cockpit voice recorder audio from sound spectrum imagery." Investigation dockets are made public for transparency, but this week, the board took the rare step of closing public access to all dockets, including the one for the UPS crash. [...] The NTSB is urging platforms like X and Reddit to remove posts with the audio.

Read more of this story at Slashdot.

Trump Mobile confirmed that a third-party platform exposed customers' personal data to the open internet. The data included names, email addresses, mailing addresses, phone numbers, and order IDs. TechCrunch reports: Chris Walker, a spokesperson for the Trump-branded phone maker, told TechCrunch that the company is investigating the exposure and has not found evidence that content or financial information spilled online. The company said there was no breach of Trump Mobile's network, systems, or infrastructure. Walker said that the exposure was linked to a third-party platform provider that supports "certain Trump Mobile operations." He did not name the provider. [...] On Wednesday, two YouTubers who ordered Trump Mobile's phone said a researcher alerted them that their personal information was exposed online. The YouTubers Coffeezilla and penguinz0 said they tried to alert Trump Mobile of the exposure after the researcher also tried but to no avail. Walker said Trump Mobile is evaluating whether it needs to notify customers of the exposure of their personal data. Further reading: Trump Phones Start Shipping - But Were There Really 600,000 Preorders?

Read more of this story at Slashdot.

An anonymous reader quotes a report from Billboard: Spotify and Universal Music Group (UMG) announced a licensing deal for recorded music and publishing rights, enabling Spotify to launch generative AI music models in the future. With this deal, Spotify's models will allow fans to create covers and remixes of their favorite songs from participating artists and songwriters signed to UMG. The new deal was announced on Thursday (May 21) as part of Spotify's Investor Day presentation, and the company touts that it will open up additional revenue streams on top of what artists already earn on Spotify and will provide new discovery opportunities for participating UMG talent. These AI products will eventually become available to premium users as a paid add-on. It is unclear when they are set to launch. "We recognize there's a wide range of views on use of generative music tools within the artistic community," the announcement read. "Therefore, artists and rightsholders will choose if and how to participate to ensure the use of AI tools aligns with the values of the people behind the music." Spotify also announced a feature called "Reserved" that will set aside concert tickets for Premium subscribers it identifies as an artist's most dedicated fans. "Getting concert tickets today can feel like a race you're set up to lose," Spotify wrote in a post on Thursday. "You show up at the right time, refresh endlessly, and still miss out. Too often, the experience is stressful, unpredictable, and disconnected from what should matter most: whether real fans actually get tickets. We think there's a better way."

Read more of this story at Slashdot.

Merged today for Linux 7.1 was this week's power management fixes with a few notable fixes for both AMD and Intel platforms...

Moore's Law Is Dead vient de mettre en ligne une vidéo potentiellement très intéressante, où il dévoile ce qui serait des roadmaps internes à Intel concernant les prochaines générations de processeurs de la firme. Avec le passé sulfureux du YouTubeur, on pourrait redouter un "fake", mais le leaker t...

Higgsfield AI is debuting a 95-minute fully AI-generated film at Cannes called "Hell Grind" that reportedly cost $500,000 to make, $400,000 of which was spent on compute alone. The project took just two weeks to produce and is intended to showcase the startup's AI production tools. But it also underscores the current limits of AI filmmaking: thousands of detailed prompts, endless iteration, high costs, and plenty of traditional filmmaking judgment were still required. The Wall Street Journal reports: What might surprise viewers is how much technical film know-how was needed to create the movie, said Adil Alimzhanov, a content lead at Higgsfield who also worked on it. "You have to understand camera composition, which shots are changed. Like you can't have two close-ups back to back, you have to start with an establishing shot," he said. "You still need those filmmaking skills." Higgsfield, which was valued at $1.3 billion in its latest funding round earlier this year, crossed $400 million in annual revenue run rate in May. It doesn't make the actual video-generation models, relying instead on existing tools like Google's Veo 3. But it does provide the tooling on top to make sure that the visuals are consistent across all the incoming generations. The core of the movie-making process here was prompting the AI models and getting clips back, Alimzhanov said. Each prompt would generate about 15 seconds of footage. Those 15 seconds needed to be generated a number of times, with tweaks to the prompt to get the best possible version. The first 25 minutes of the movie required 16,181 initial video generations, which ended up as 253 final shots. One of the biggest difficulties in making longer-form films with AI is maintaining consistency across the outputs. AI models can be unpredictable, and a feature-length film can't have scenes that look completely different from one moment to the next. Because of that, every prompt had to be extremely long and detailed. Each one would typically start with a prefix that defined requirements like style (8k IMAX, photorealistic), lighting (natural light only, "contre-jour" backlight, camera on shadow side) and the type of camera it should look like it was being shot on ("cine lens," 180-degree shutter motion blur). The lighting was key to avoiding the AI sheen that typically gets branded as "slop," said Alimzhanov. AI-generated video tends to over-light scenes in an unnatural way. That prefix would also have to remind the AI to obey the laws of physics with wording like: "gravity and inertia respected -- mass has real weight, correct contact shadows, no floating props." The individual prompts were, on average, 3,000 words each. One aspect of what Higgsfield has built, and sells to clients, is an AI tool that generates these complex, detailed prompts. Users can enter a page from the original script, and the Higgsfield tool will return with a prompt that could be thousands of words long, designed to create production-quality outputs. And all that prompting is how the company racked up a $400,000 AI compute bill on the project. Co-founder and CEO Alex Mashrabov, however, noted that working with "cloud" providers, like Nebius and CoreWeave, rather than big hyperscalers, helped it keep costs from going even higher. You can watch the trailer for Hell Grind on YouTube and judge the results for yourself.

Read more of this story at Slashdot.

Depuis le début de l’année, nous avons consacré deux articles traitant de l’impact de l’intelligence artificielle sur le marché du jeu vidéo. Le premier synthétise le rapport du State of the Game 2026 et montre que l’IA générative a surtout tendance à inquiéter les professionnels du secteur — du moins les exécutants... [Tout lire]

Venmo is testing a major redesign that will make new users' payment posts viewable by their friends by default instead of being public. The Verge reports: It's a notable update for a platform that has struggled with privacy in the past. In 2021, BuzzFeed News tracked down President Joe Biden's Venmo account and the accounts of people in his inner circle because Venmo, at the time, had no way to keep your Venmo contacts private. It fixed that soon after. As part of the redesign, if you're a new user and you do want your posts to be public (or private just to you), you'll be able to set that as part of the new onboarding flow. You can also change your preference in settings after the fact; an updated screen for sending money will also show if that post is private, visible just to friends, or is visible publicly before you make the transaction.

Read more of this story at Slashdot.

À l’occasion de la Journée mondiale contre les LGBTphobies, Bouygues Telecom déploie un module de réalité virtuelle inclusion LGBT+ pour faire ressentir aux collaborateurs les réalités du terrain. Sommaire Module immersif Chiffres clés Expérience terrain Engagement concret 🔹 Un module immersif pour ressentir, pas seulement comprendre Lancé le 18 mai 2026, ce dispositif de réalité […]

L'article Réalité virtuelle inclusion LGBT+ : Bouygues Telecom sensibilise ses équipes a été publié en premier sur Bbox-Mag

Released earlier this month was the OpenCL 3.1 specification with a focus on enhancing AI and HPC workloads for this long-time Khronos specification. Out today is OpenCL 3.1.1 as a point release with an emphasis on addressing a possible performance regression of OpenCL 3.1...

Le Flipper One a beau être une évolution technique d’un projet plus ancien, le catalogue de ses possibilités est tel que l’engin parait être une totale nouveauté. Il y a presque 6 ans, en juillet 2020, le Flipper Zero était lancé via un financement participatif. Au fil des années, il a connu de nombreuses évolutions avec de nouveaux firmwares, un magasin d’applications et un accessoire. Un ensemble de choses qui, mises bout à bout, signent un déploiement et un suivi de produit de grande qualité.

Le Flipper One débarque donc avec une grosse côte de confiance de la part des utilisateurs. Ce qui est d’autant plus malin que l’objet change de gamme et devrait donc pouvoir séduire des possesseurs du Zéro comme de nouveaux clients. La principale raison de ce nouvel attrait étant la montée en gamme du produit avec l’ajout d’une prise en charge d’une distribution Linux et de l’ajout de nouvelles extensions matérielles.

Mais c’est quoi un Flipper One ?

Pour ceux qui n’ont pas suivi l’épopée du modèle précédent, l’idée de base de ces gadgets est de piloter votre environnement au travers de multiples protocoles : radio multibandes, infrarouge, RFID, Bluetooth et NFC. Des broches GPIO sont également disponibles pour connecter des éléments externes. Le tout est épaulé par des développements logiciels qui vont permettre d’effectuer diverses actions. Cela va de l’émulation de carte d’identification de parking à la possibilité de piloter une télé infrarouge en passant par toute une galaxie d’autres usages. Ces possibilités, combinées à une certaine gamification de son interface, ont séduit une belle communauté d’utilisateurs qui ont développé des tonnes d’usages depuis sa sortie initiale.

Le Flipper One reprend la même philosophie mais pousse le concept un peu plus loin. Loin de remplacer le Zero qui sera toujours produit, le nouveau apporte d’autres dimensions d’usages. On perd ici quelques fonctions réseau sans fil pour s’orienter vers un emploi différent. Par exemple, ce modèle propose deux ports Ethernet pour un usage sédentaire. Il propose également un port M.2 2242 qui autorisera l’emploi d’une carte modem 4G ou 5G.

Mais surtout, avec son équipement interne, il saura prendre en charge une distribution Linux complète pour propulser l’objet dans des usages sans commune mesure avec le premier modèle. À bord de l’engin, on retrouvera ainsi un SoC ARM Rockchip RK2576, une solution déployant 4 cœurs Cortex-A72 et 4 cœurs Cortex-A53 . La partie graphique sera confiée à un circuit Mali-G52 MC3 combiné à un petit NPU 6 TOPS. La mémoire vive grimpe ici à 8 Go de LPDDR5 et le stockage de base est confié à un module UFS 2.2 de 64 Go. Un lecteur de cartes MicroSDXC permettra d’étendre ce poste très facilement en ajoutant rapidement, 64, 128, 256 Go d’espace ou plus. Vous avez en quelque sorte un MiniPC de poche, sous Linux, et piloté par un SoC ARM.

Et, pour augmenter les possibilités de l’objet, vous retrouverez un second élément important avec un microcontrôleur Raspberry Pi RP2350. Ce dernier offrira au Flipper One la possibilité de s’interfacer avec de nombreux éléments externes. Ses deux cœurs ARM Cortex-M33 à 150 MHz combinés à deux cœurs Hazard3 RISC-V , 520 Ko de SRAM et 16 Mo de stockage Flash offriront des possibilités de contrôle très complètes.

Au module sans fil MediaTek MT7921AUN en WiFi 6 et Bluetooth 5.2, le Flipper One ajoute toute la panoplie de connecteurs d’un engin de bureau. Les deux ports Ethernet Gigabit pilotés par des chipsets RTL8211F-CG. Mais aussi un USB 3.2 Type-A, deux USB 3.2 Type-C dont un avec DisplayPort et alimentation. Une sortie HDMI 2.1 plein format, un jack audio 3.5 mm et bien entendu, un lecteur de carte SIM pour l’éventuel ajout de la carte fille 4G/5G. En plus de cette connectique « classique » on retrouvera un ensemble de 20 broches GPIO et un port de débug avec 14 broches. 

Il sera donc possible de débarquer quelque part, de poser le Flipper One sur un bureau, d’y connecter clavier, écran et Ethernet pour en faire un véritable PC exploitable pour différents usages. Pour cela on pourra compter sur Flipper OS, un système sur mesure construit par-dessus une distribution Debian. Son approche est super intéressante. D’abord le petit écran LCD orange de l’objet est pris en compte et permet de piloter des outils logiciels de contrôle adaptés à ce format. On pourra par exemple piloter des outils réseau comme des cartes de développement, des routeurs, des interfaces serveurs et autres.

L’idée est d’utiliser une interface baptisée FlipCTL pensée pour proposer des menus adaptés à ces produits. Une fois connectés entre eux, des fonctions basiques comme un ordre de reboot, un ping, une analyse du système ou la récupération d’IP pourront être effectuées. Cela non pas avec un clavier et des ordres dans un terminal, mais en employant une liste de menus et d’ordres typiques et programmables. Votre commande fétiche pour analyser un réseau pourra être proposée dans l’interface et vous n’aurez qu’à la sélectionner pour la lancer sur l’appareil qui vous pose problème. 

Sur l’usage de Flipper OS, l’idée est de ne pas surcharger le système avec un outil trop vaste et qui finirait par s’encrasser de débris logiciels au fil du temps mais de monter à chaque boot des sortes de paquets logiciels correspondant à différents profils. On pourra avoir un profil réseau avec les protocoles adaptés pour un usage en salle blanche. Puis basculer sur un profil communication et pourquoi pas un paquet multimédia pour profiter des capacités de la puce à lire du contenu en streaming. À chaque fois que l’on voudra lancer un de ces paquets, le système le montera en direct dans une sorte de bac à sable sur lequel on pourra travailler. En cas de changement de profil, un nouveau paquet sera monté, propre et sans traces des actions précédentes. Les données seront sauvegardées ailleurs et il sera possible de modifier les « images » des profils suivant ses besoins.

À chaque fois, il faudra simplement choisir les éléments indispensables et les appeler via l’interface de l’objet. Il sera par exemple possible de cloner un paquet pour l’adapter à des usages réseau spécifiques, ce qui pourra servir à des manipulations sécurisées enregistrées avec des profils chiffrés ou à proposer des outils maison préinstallés pour de la domotique par exemple. Enfin, le Flipper One pourra accueillir des distributions externes et les développements de sa large communauté.

Le projet est super ambitieux, mais s’il est bien maîtrisé, il proposera une approche parfaite pour cette idée d’un couteau suisse technique adapté à différents emplois et profils. L’arrivée de la communauté est d’ailleurs voulue par les créateurs pour améliorer le code de Flipper OS et parvenir à proposer une image Linux claire et documentée, sans éléments cachés et problématiques.

Le produit n’est pas encore finalisé et on ne connait pas non plus son prix, j’imagine que l’objet ne sera pas donné au vu de l’ensemble des fonctions embarquées. L’actuel Flipper Zero est proposé à 219€. Au vu de son équipement, ce modèle sera sensiblement plus cher. 

Une interface très originale mais un engin plus massif

Le châssis du flipper One ne le fera plus confondre avec un jouet de poche comme un Tamagotchi. Avec 15.5 cm de large pour 6.7 cm de haut et 4 cm d’épaisseur, il s’agit plus d’une longue et épaisse télécommande que d’un jouet électronique. Malgré cela, l’interface très ludique de l’appareil pourra laisser planer le doute : Croix directionnelle 5 boutons, petit pavé tactile, boutons de contrôle, LEDs témoins d’activité réseau, haut-parleur, micro, écran LCD 256 x 144 pixels orange et noir, porte dragonne… L’engin est dans une toute autre dimension que le Zero.

en attendant plus de précisions pour son futur déploiement, un calendrier de mise en marche de son financement participatif et des détails sur son prix. L’équipe en charge a besoin de toutes les bonnes volontés pour faire avancer la partie logicielle du projet. Si vous avez des compétences dans ces domaines, rendez-vous sur la page dédiée pour le découvrir.

Flipper One : le couteau suisse du hacking évolue © MiniMachines.net. 2026

Bouygues Telecom propose aujourd’hui deux générations de WiFi selon l’offre choisie. D’un côté, les offres d’entrée de gamme avec WiFi 5. De l’autre, la Bbox Must et la Bbox Ultym avec WiFi 7, à partir de 36,99 €/mois. L’écart de prix est réel, mais le WiFi 7 change-t-il vraiment quelque chose au quotidien ? La […]

L'article Bbox WiFi 7 vs WiFi 5 : lequel choisir en 2026 ? a été publié en premier sur Bbox-Mag

Le dauphin qui envoie des ondes libres

Flipper Device, le fabricant du Flipper Zero, gadget célèbre dans l’univers de la bidouille, du hack et du hardware, a annoncé hier le développement d’un nouvel outil, appelé « Flipper One ». Celui-ci, qui n’est pas une évolution du Zero, s’oriente plus vers une utilisation réseau. Si l’équipe a déjà bien avancé sur le projet, elle demande aussi de l’aide de la part de la communauté.

C’est en forme d’appel à la communauté que Pavel Zhovner, CEO de Flipper Device, a annoncé que son entreprise était en train de développer son nouvel outil/gadget : Flipper One. Dans un billet de blog titré « Flipper One : on a besoin de votre aide », il explique que Flipper One est un « projet sur lequel [ils travaillent] d’arrache-pied depuis des années et [qu’ils ont] repris plusieurs fois à partir de zéro ».

Le Flipper Zero, essentiellement conçu pour des utilisations autour de la sécurité, a été créé via une campagne Kickstarter en 2020 et n’a cessé de gagner en popularité. Au point qu’en 2024, le Brésil avait interdit sa vente et le Canada réfléchissait à faire de même pour contrer le vol de véhicules.

Les deux sont complémentaires

Mais comme nous le fait remarquer l’heureux possesseur d’un Flipper Zero, « le One n’est pas une évolution du Zero, ils sont complémentaires ».

Pavel Zhovner le confirme dans son billet de blog : « Flipper Zero et Flipper One sont deux projets totalement distincts, conçus pour des tâches différentes. Le moyen le plus simple de les appréhender est de les considérer en termes de couches réseau :

• Couche 0 — Protocoles de contrôle d’accès point à point hors ligne : NFC, RFID basse fréquence, radio Sub-1 GHz, infrarouge, protocoles filaires tels que iButton, UART, SPI, I²C. Basés sur un microcontrôleur à faible consommation.
• Couche 1 — Tout ce qui est connecté via IP : Wi-Fi, Ethernet, 5G et satellite. Il s’agit avant tout de mise en réseau, de transfert de données et de calcul haute performance. Fonctionne sur du matériel puissant et une boîte à outils Linux ouverte — une puissance de calcul suffisante pour gérer la radio logiciel (SDR) et de l’IA locale ».

On peut le vérifier dans les specs publiées sur le site de Flipper Device : si les deux outils ont des looks qui se ressemblent, les specs du One sont très différentes de celles du Zero, et pas seulement par le fait que le One est beaucoup plus gros.

Le One tourne sur deux processeurs (un CPU haute performance SoC RK3576 à 8 cœurs et un MCU compact à faible consommation Raspberry Pi RP2350 à deux cœurs), possède un rail d’antennes et même une interface GPIO.

On peut y connecter des modules via des interfaces PCI Express, USB 3.0 et SATA, ce qui peut par exemple permettre de brancher un module de SDR, un SDD ou un modem cellulaire, précise Pavel Zhovner. Encore une fois, le Flipper One est encore à l’état de projet et les spécifications peuvent encore changer.

Retrouver l’esprit du « personal computer »

Si cet outil réseau multifonction vous fait penser à un petit PC ou à un Raspberry Pi, c’est tout à fait normal. Pavel Zhovner a expliqué à Gizmodo que l’objectif de Flipper One était de corriger un bon nombre des inconvénients qui le dérangeaient dans les autres petits ordinateurs de ce type. Notamment, il pointe le problème, sur les Raspberry Pi, du câble d’alimentation spécifique.

Le projet tourne donc autour de l’ouverture, que ce soit au niveau du software comme du hardware. «Nous voulons créer une plateforme matérielle Linux véritablement ouverte : l’ordinateur ARM le mieux documenté, capable de fonctionner dès sa sortie de l’emballage avec n’importe quel noyau récent », explique-t-il dans son billet, côté hardware. « Prise en charge complète du noyau Linux principal, pas de blobs binaires, de pilotes fermés ni de micrologiciels propriétaires, pas de BSP (package de support de carte) verrouillé par un fournisseur », côté software.

L’équipe développe aussi un système d’exploitation dont le nom est Flipper OS, pour être original. Celui-ci s’appuie sur Debian et propose des « profils » de configuration qui permettent d’avoir des snapshots d’OS différents, avec différents paquets et paramètres préconfigurés. Il est possible de cloner, modifier un profil ou revenir à une copie vierge, comme un reset d’usine. L’idée est de se passer des galères d’installation avec micro SD qu’on peut rencontrer quand on utilise un Raspberry Pi.

Ils ont aussi ouvert un portail wiki avec toute la documentation du projet et de la façon dont on peut participer.

« Que vous soyez ingénieur, développeur, designer ou simplement un utilisateur passionné ayant des idées à partager, vous êtes les bienvenus pour participer au développement et contribuer à façonner Flipper One », explique Pavel Zhovner avec un lien pour rejoindre le projet. On peut aussi retrouver le projet sur GitHub et retrouver la maquette sur On Shape.

Le dauphin qui envoie des ondes libres

Flipper Device, le fabricant du Flipper Zero, gadget célèbre dans l’univers de la bidouille, du hack et du hardware, a annoncé hier le développement d’un nouvel outil, appelé « Flipper One ». Celui-ci, qui n’est pas une évolution du Zero, s’oriente plus vers une utilisation réseau. Si l’équipe a déjà bien avancé sur le projet, elle demande aussi de l’aide de la part de la communauté.

C’est en forme d’appel à la communauté que Pavel Zhovner, CEO de Flipper Device, a annoncé que son entreprise était en train de développer son nouvel outil/gadget : Flipper One. Dans un billet de blog titré « Flipper One : on a besoin de votre aide », il explique que Flipper One est un « projet sur lequel [ils travaillent] d’arrache-pied depuis des années et [qu’ils ont] repris plusieurs fois à partir de zéro ».

Le Flipper Zero, essentiellement conçu pour des utilisations autour de la sécurité, a été créé via une campagne Kickstarter en 2020 et n’a cessé de gagner en popularité. Au point qu’en 2024, le Brésil avait interdit sa vente et le Canada réfléchissait à faire de même pour contrer le vol de véhicules.

Les deux sont complémentaires

Mais comme nous le fait remarquer l’heureux possesseur d’un Flipper Zero, « le One n’est pas une évolution du Zero, ils sont complémentaires ».

Pavel Zhovner le confirme dans son billet de blog : « Flipper Zero et Flipper One sont deux projets totalement distincts, conçus pour des tâches différentes. Le moyen le plus simple de les appréhender est de les considérer en termes de couches réseau :

• Couche 0 — Protocoles de contrôle d’accès point à point hors ligne : NFC, RFID basse fréquence, radio Sub-1 GHz, infrarouge, protocoles filaires tels que iButton, UART, SPI, I²C. Basés sur un microcontrôleur à faible consommation.
• Couche 1 — Tout ce qui est connecté via IP : Wi-Fi, Ethernet, 5G et satellite. Il s’agit avant tout de mise en réseau, de transfert de données et de calcul haute performance. Fonctionne sur du matériel puissant et une boîte à outils Linux ouverte — une puissance de calcul suffisante pour gérer la radio logiciel (SDR) et de l’IA locale ».

On peut le vérifier dans les specs publiées sur le site de Flipper Device : si les deux outils ont des looks qui se ressemblent, les specs du One sont très différentes de celles du Zero, et pas seulement par le fait que le One est beaucoup plus gros.

Le One tourne sur deux processeurs (un CPU haute performance SoC RK3576 à 8 cœurs et un MCU compact à faible consommation Raspberry Pi RP2350 à deux cœurs), possède un rail d’antennes et même une interface GPIO.

On peut y connecter des modules via des interfaces PCI Express, USB 3.0 et SATA, ce qui peut par exemple permettre de brancher un module de SDR, un SDD ou un modem cellulaire, précise Pavel Zhovner. Encore une fois, le Flipper One est encore à l’état de projet et les spécifications peuvent encore changer.

Retrouver l’esprit du « personal computer »

Si cet outil réseau multifonction vous fait penser à un petit PC ou à un Raspberry Pi, c’est tout à fait normal. Pavel Zhovner a expliqué à Gizmodo que l’objectif de Flipper One était de corriger un bon nombre des inconvénients qui le dérangeaient dans les autres petits ordinateurs de ce type. Notamment, il pointe le problème, sur les Raspberry Pi, du câble d’alimentation spécifique.

Le projet tourne donc autour de l’ouverture, que ce soit au niveau du software comme du hardware. «Nous voulons créer une plateforme matérielle Linux véritablement ouverte : l’ordinateur ARM le mieux documenté, capable de fonctionner dès sa sortie de l’emballage avec n’importe quel noyau récent », explique-t-il dans son billet, côté hardware. « Prise en charge complète du noyau Linux principal, pas de blobs binaires, de pilotes fermés ni de micrologiciels propriétaires, pas de BSP (package de support de carte) verrouillé par un fournisseur », côté software.

L’équipe développe aussi un système d’exploitation dont le nom est Flipper OS, pour être original. Celui-ci s’appuie sur Debian et propose des « profils » de configuration qui permettent d’avoir des snapshots d’OS différents, avec différents paquets et paramètres préconfigurés. Il est possible de cloner, modifier un profil ou revenir à une copie vierge, comme un reset d’usine. L’idée est de se passer des galères d’installation avec micro SD qu’on peut rencontrer quand on utilise un Raspberry Pi.

Ils ont aussi ouvert un portail wiki avec toute la documentation du projet et de la façon dont on peut participer.

« Que vous soyez ingénieur, développeur, designer ou simplement un utilisateur passionné ayant des idées à partager, vous êtes les bienvenus pour participer au développement et contribuer à façonner Flipper One », explique Pavel Zhovner avec un lien pour rejoindre le projet. On peut aussi retrouver le projet sur GitHub et retrouver la maquette sur On Shape.

Samsung is reportedly set to pay chip-division workers an average bonus of about $340,000 after reaching a tentative deal with its union, according to Bloomberg (paywalled). The deal ended a standoff that "could have cost the economy as much as 1 trillion won ($658 million) daily, with losses potentially multiplying to 100 trillion won ($68 billion) if in-progress semiconductor wafers were rendered unusable," reports Quartz. From the report: The agreement, subject to a union ratification vote running May 22 through May 27, calls for Samsung to direct 10.5% of operating profit into stock bonuses along with a separate 1.5% cash component, according to Bloomberg. The program runs for 10 years, contingent on the company meeting profit thresholds. One-third of the stock award can be liquidated right away, with the rest parceled out in installments across the next two years, Bloomberg reported. The first payout is expected in early 2027. Not all workers will fare equally. As an illustration, Reuters cited a union source estimating that someone in the memory chip unit earning an 80-million-won base salary could take home roughly 626 million won in total bonuses this year. By comparison, workers at SK Hynix stand to collect upward of 700 million won should their employer post annual profit of 250 trillion won, Reuters calculated. Unlike at Samsung, SK Hynix employees are not limited to stock payouts and may instead opt for cash, Reuters reported.

Read more of this story at Slashdot.

Virtual Pwned Network

Au terme d’une enquête ouverte fin 2021, les enquêteurs des polices française, néerlandaise et de 14 autres pays ont saisi et démantelé un service de VPN qui était « presque exclusivement » promu sur les forums de cybercriminels russophones. Son infrastructure aurait été préalablement compromise par les autorités, et plusieurs milliers de ses utilisateurs identifiés.

First VPN, un service « utilisé dans la quasi-totalité des grandes enquêtes sur la cybercriminalité menées avec le soutien d’Europol ces dernières années » pour dissimuler des attaques par ransomware, des vols de données et d’autres infractions graves, a été démantelé lors d’une opération internationale menée par la France et les Pays-Bas, avec le soutien d’Europol et d’Eurojust.

Laure Beccuau, procureure de la République, précise qu’une enquête avait été ouverte en décembre 2021 par la section de lutte contre la cybercriminalité du parquet de Paris, « devant le constat récurrent de l’utilisation de ce service VPN pour la commission de nombreuses infractions au préjudice de victimes françaises ».

Son communiqué souligne que le service « faisait de la publicité exclusivement sur des forums cybercriminels ». Celui (.pdf) de l’Internet Crime Complaint Center (IC3) du FBI qu’ « au moins 25 groupes de ransomwares, tels qu’Avaddon Ransomware », ont utilisé l’infrastructure First VPN Service pour effectuer des reconnaissances et des intrusions.

« Nous ne sommes soumis à aucune juridiction »

First VPN ne faisait au surplus « presque exclusivement » de publicité de ses services que sur des forums criminels connus du dark web tels que Exploit[.]in et XSS[.]is, deux des plus importants forums et places de marché noir dédiés aux cybercriminels en langue russe.

Pendant des années, il a été présenté sur des forums de cybercriminalité russophones comme « un outil fiable permettant d’échapper aux forces de l’ordre », relève Europol, proposant à ses utilisateurs des paiements anonymes, une infrastructure dissimulée et des services « spécialement conçus pour des activités criminelles ».

Dans sa FAQ, First VPN indiquait ne conserver aucun log de ses utilisateurs, mais également que « Nous ne sommes soumis à aucune juridiction », et donc qu’« aucune circonstance ne nous obligerait à divulguer des informations concernant nos utilisateurs » :

« Nous ne conservons aucun journal qui permettrait, à nous-mêmes ou à des tiers, d’associer une adresse IP à un utilisateur de notre service pour une période donnée. Les seules données que nous conservons sont l’adresse e-mail et le nom d’utilisateur, mais il est impossible de relier l’activité de l’utilisateur sur Internet à un utilisateur spécifique de notre service. »

Le principal administrateur était localisé en Ukraine

Les investigations diligentées par la brigade de lutte contre la cybercriminalité de la Direction de la Police Judiciaire et par l’Office anti-cybercriminalité (OFAC) ont permis d’établir que ce service, qui existait depuis 2014, avait pu être utilisé par plus de 5 000 comptes, et de recueillir des éléments intéressant des enquêtes sur des ransomwares, comme Phobos.

Eurojust explique avoir ouvert une enquête à la demande des autorités françaises en mai 2022. Une équipe d’enquête conjointe avait été mise en place en novembre 2023, permettant aux autorités françaises et néerlandaises d’échanger des éléments de preuve et des informations, et de définir une stratégie en matière de poursuites.

Eurojust avait depuis organisé 16 réunions de coordination entre les autorités concernées afin de préparer l’opération coordonnée qui a permis la saisie des serveurs, des noms de domaine et le démantèlement de l’infrastructure les 19 et 20 mai.

Les États-Unis, le Canada, et l’Allemagne ont également contribué à l’enquête. L’Ukraine, la Suisse, le Royaume-Uni, le Luxembourg et la Roumanie ont quant à eux participé à la journée d’action.

Le principal administrateur, localisé en Ukraine, y a été entendu à la demande du juge d’instruction français, en présence des enquêteurs de la brigade de lutte contre la cybercriminalité. Les différents communiqués ne précisent pas s’il a aussi été inculpé, ni incarcéré, ni les peines qu’il encourrait.

Des milliers d’utilisateurs identifiés

Les utilisateurs de First VPN ont également été informés de la fermeture et du fait qu’ils avaient été identifiés, souligne Europol, qui avance aussi que « les enquêteurs ont identifié des milliers d’utilisateurs impliqués dans des activités de cybercriminalité ».

Les renseignements recueillis ont également « généré des pistes opérationnelles » en rapport avec des attaques par ransomware, des stratagèmes frauduleux et d’autres infractions graves à l’échelle mondiale.

Partagés au sein d’un groupe de travail réunissant des enquêteurs de 16 pays, ils auraient d’ores et déjà donné lieu à des résultats concrets au niveau d’Europol, qui mentionne la diffusion de 83 dossiers de renseignements, le partage à l’échelle internationale d’informations concernant 506 utilisateurs, et le fait que 21 enquêtes ont progressé grâce aux renseignements obtenus.

Europol ne précise ni pourquoi les enquêteurs auraient mis 5 ans avant de pouvoir démanteler l’infrastructure, ni comment ils auraient mis moins de 48 heures à exploiter les données saisies.

BleepingComputer avance cela dit que les enquêteurs avaient réussi à s’infiltrer dans l’infrastructure VPN avant qu’elle ne soit mise hors ligne, récupérer la base de données des utilisateurs et identifier les connexions VPN utilisées par les cybercriminels lors de leurs attaques.

Un site web dédié, operation-saffron.eu, arbore les logos des 13 unités impliquées dans l’enquête, et propose également un petit dessin animé ironisant sur le fait qu’elles seraient bel et bien parvenues à pirater l’infrastructure de First VPN, et à récupérer les données de ses utilisateurs.

Virtual Pwned Network

Au terme d’une enquête ouverte fin 2021, les enquêteurs des polices française, néerlandaise et de 14 autres pays ont saisi et démantelé un service de VPN qui était « presque exclusivement » promu sur les forums de cybercriminels russophones. Son infrastructure aurait été préalablement compromise par les autorités, et plusieurs milliers de ses utilisateurs identifiés.

First VPN, un service « utilisé dans la quasi-totalité des grandes enquêtes sur la cybercriminalité menées avec le soutien d’Europol ces dernières années » pour dissimuler des attaques par ransomware, des vols de données et d’autres infractions graves, a été démantelé lors d’une opération internationale menée par la France et les Pays-Bas, avec le soutien d’Europol et d’Eurojust.

Laure Beccuau, procureure de la République, précise qu’une enquête avait été ouverte en décembre 2021 par la section de lutte contre la cybercriminalité du parquet de Paris, « devant le constat récurrent de l’utilisation de ce service VPN pour la commission de nombreuses infractions au préjudice de victimes françaises ».

Son communiqué souligne que le service « faisait de la publicité exclusivement sur des forums cybercriminels ». Celui (.pdf) de l’Internet Crime Complaint Center (IC3) du FBI qu’ « au moins 25 groupes de ransomwares, tels qu’Avaddon Ransomware », ont utilisé l’infrastructure First VPN Service pour effectuer des reconnaissances et des intrusions.

« Nous ne sommes soumis à aucune juridiction »

First VPN ne faisait au surplus « presque exclusivement » de publicité de ses services que sur des forums criminels connus du dark web tels que Exploit[.]in et XSS[.]is, deux des plus importants forums et places de marché noir dédiés aux cybercriminels en langue russe.

Pendant des années, il a été présenté sur des forums de cybercriminalité russophones comme « un outil fiable permettant d’échapper aux forces de l’ordre », relève Europol, proposant à ses utilisateurs des paiements anonymes, une infrastructure dissimulée et des services « spécialement conçus pour des activités criminelles ».

Dans sa FAQ, First VPN indiquait ne conserver aucun log de ses utilisateurs, mais également que « Nous ne sommes soumis à aucune juridiction », et donc qu’« aucune circonstance ne nous obligerait à divulguer des informations concernant nos utilisateurs » :

« Nous ne conservons aucun journal qui permettrait, à nous-mêmes ou à des tiers, d’associer une adresse IP à un utilisateur de notre service pour une période donnée. Les seules données que nous conservons sont l’adresse e-mail et le nom d’utilisateur, mais il est impossible de relier l’activité de l’utilisateur sur Internet à un utilisateur spécifique de notre service. »

Le principal administrateur était localisé en Ukraine

Les investigations diligentées par la brigade de lutte contre la cybercriminalité de la Direction de la Police Judiciaire et par l’Office anti-cybercriminalité (OFAC) ont permis d’établir que ce service, qui existait depuis 2014, avait pu être utilisé par plus de 5 000 comptes, et de recueillir des éléments intéressant des enquêtes sur des ransomwares, comme Phobos.

Eurojust explique avoir ouvert une enquête à la demande des autorités françaises en mai 2022. Une équipe d’enquête conjointe avait été mise en place en novembre 2023, permettant aux autorités françaises et néerlandaises d’échanger des éléments de preuve et des informations, et de définir une stratégie en matière de poursuites.

Eurojust avait depuis organisé 16 réunions de coordination entre les autorités concernées afin de préparer l’opération coordonnée qui a permis la saisie des serveurs, des noms de domaine et le démantèlement de l’infrastructure les 19 et 20 mai.

Les États-Unis, le Canada, et l’Allemagne ont également contribué à l’enquête. L’Ukraine, la Suisse, le Royaume-Uni, le Luxembourg et la Roumanie ont quant à eux participé à la journée d’action.

Le principal administrateur, localisé en Ukraine, y a été entendu à la demande du juge d’instruction français, en présence des enquêteurs de la brigade de lutte contre la cybercriminalité. Les différents communiqués ne précisent pas s’il a aussi été inculpé, ni incarcéré, ni les peines qu’il encourrait.

Des milliers d’utilisateurs identifiés

Les utilisateurs de First VPN ont également été informés de la fermeture et du fait qu’ils avaient été identifiés, souligne Europol, qui avance aussi que « les enquêteurs ont identifié des milliers d’utilisateurs impliqués dans des activités de cybercriminalité ».

Les renseignements recueillis ont également « généré des pistes opérationnelles » en rapport avec des attaques par ransomware, des stratagèmes frauduleux et d’autres infractions graves à l’échelle mondiale.

Partagés au sein d’un groupe de travail réunissant des enquêteurs de 16 pays, ils auraient d’ores et déjà donné lieu à des résultats concrets au niveau d’Europol, qui mentionne la diffusion de 83 dossiers de renseignements, le partage à l’échelle internationale d’informations concernant 506 utilisateurs, et le fait que 21 enquêtes ont progressé grâce aux renseignements obtenus.

Europol ne précise ni pourquoi les enquêteurs auraient mis 5 ans avant de pouvoir démanteler l’infrastructure, ni comment ils auraient mis moins de 48 heures à exploiter les données saisies.

BleepingComputer avance cela dit que les enquêteurs avaient réussi à s’infiltrer dans l’infrastructure VPN avant qu’elle ne soit mise hors ligne, récupérer la base de données des utilisateurs et identifier les connexions VPN utilisées par les cybercriminels lors de leurs attaques.

Un site web dédié, operation-saffron.eu, arbore les logos des 13 unités impliquées dans l’enquête, et propose également un petit dessin animé ironisant sur le fait qu’elles seraient bel et bien parvenues à pirater l’infrastructure de First VPN, et à récupérer les données de ses utilisateurs.

En ce 22 mai 2026, Riot Games a publié sur X un message plein d'ironie destiné à un groupe de tricheurs sur le jeu Valorant : congrats to the owners of a brand new $6k paperweight https://t.co/3rjZVQntrc pic.twitter.com/fS3JC0FL0p — Riot Games (@riotgames) May 21, 2026 Riot Games félicite "les...