Libre à vous !, l’émission de l’April, l’association de promotion et de défense du logiciel libre. Prenez le contrôle de vos libertés informatiques, découvrez les enjeux et l’actualité du libre.

Au programme de la 279e émission :

• sujet principal : Au café libre (débat autour des actualités du logiciel libre)
• Une Humeur de Gee sur: « Quand est-ce qu'on interdit les lunettes connectées ? »
• Dans sa chronique Le truc que (presque) personne n'a vraiment compris mais qui nous concerne toutes et tous, Benjamin Bellamy nous parle de « La toute dernière innovation états-unienne est disponible en même temps dans tous les pays du monde, pour toutes et tous ! »
• quoi de Libre ? Actualités et annonces concernant l'April et le monde du Libre

Écouter les podcasts

S'abonner au podcast

S'abonner à la lettre d'actus

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [ZDNET] La Commission européenne a reculé sur le logiciel libre, critiquent les libristes
• [Next] Mastodon se lance dans les newsletters
• [Sud Ouest] Saint-Loubès: les logiciels libres s'invitent à la médiathèque
• [ZDNET] L'arrivée d'Euro-Office 1.0 sème la zizanie dans le monde de l'open source: «La compatibilité n'est pas synonyme de souveraineté»
• [Silicon.fr] L'open source n'est plus 'gratuit par défaut'
• [cio-online.com] Open Source: la Cnaf s'engage dans le projet Catala de l'Inria
• [Basta!] «Se soucier des usagers»: un fournisseur d'accès à Internet citoyen veut reprendre SFR à la place de Bouygues, Free et Orange
• [Les Numeriques] Je me suis passé de Google pendant un mois grâce à /e/OS et au Fairphone 6: la vie privée à portée de clics
• [cio-online.com] Walter Arnaud devient Dinum ; l'Etat accélère dans la création de l'Ariane

• lien nᵒ 1 : April
• lien nᵒ 2 : Revue de presse de l'April
• lien nᵒ 3 : Revue de presse de la semaine précédente
• lien nᵒ 4 : 🕸 Fils du Net

[ZDNET] La Commission européenne a reculé sur le logiciel libre, critiquent les libristes

✍ Thierry Noisette, le dimanche 21 juin 2026.

Bien qu’il marque des progrès, le projet de règlement européen publié par la Commission de Bruxelles a reculé, en particulier sur le principe du ’libre par défaut’, dénoncent le CNLL et l’April. La bataille va s’engager dans le ’trilogue’ avec le Parlement européen et le Conseil.

Et aussi:

• [Les Numeriques] Souveraineté numérique: l'Europe renonce à imposer le logiciel libre et choisit… “l'encouragement”

[Next] Mastodon se lance dans les newsletters

✍ Mathilde Saliou, le jeudi 18 juin 2026.

Outre des collections, la version 4.6 de Mastodon propose des newsletters, une fonctionnalité qui permettra aux internautes de suivre les travaux des…

[Sud Ouest] Saint-Loubès: les logiciels libres s'invitent à la médiathèque

✍ Jean-Pierre Nowak, le jeudi 18 juin 2026.

Des bénévoles de l’Association bordelaise des utilisateurs de logiciels libres et de Libre Tic ont animé un atelier pour présenter les avantages de l’informatique ouverte aux usagers de Saint-Loubès

[ZDNET] L'arrivée d'Euro-Office 1.0 sème la zizanie dans le monde de l'open source: «La compatibilité n'est pas synonyme de souveraineté»

✍ Steven Vaughan-Nichols, le mardi 16 juin 2026.

La nouvelle alternative open source basée sur le cloud à Microsoft 365 et Google Workspace est désormais disponible. Les partisans de LibreOffice critiquent vivement sa dépendance vis-à-vis des formats de documents Microsoft.

[Silicon.fr] L'open source n'est plus 'gratuit par défaut'

✍ Philippe Leroy, le mardi 16 juin 2026.

Utiliser un modèle open source implique désormais de comprendre son entraînement, de documenter précisément son usage, de garantir sa conformité avec les exigences réglementaires selon la classification du système.

Et aussi:

• [Le Monde Informatique] La souveraineté numérique est une posture, pas un produit
• [Journal du Net] Open source ou logiciel propriétaire: un débat qui détourne les entreprises des vrais enjeux

[cio-online.com] Open Source: la Cnaf s'engage dans le projet Catala de l'Inria

✍ Emmanuelle Delsol, le lundi 15 juin 2026.

L’administration va contribuer au projet Open Source pour améliorer son moteur de règles et traduire le droit en code pour le calcul des prestations.

[Basta!] «Se soucier des usagers»: un fournisseur d'accès à Internet citoyen veut reprendre SFR à la place de Bouygues, Free et Orange

✍ Rachel Knaebel, le vendredi 12 juin 2026.

Bouygues, Free et Orange ont annoncé un accord pour reprendre, et démanteler, l’entreprise SFR. Il y avait pourtant une offre alternative, à 1 euro, venue d’un fournisseur d’accès à Internet associatif, comme il en existe des dizaines en France.

[Les Numeriques] Je me suis passé de Google pendant un mois grâce à /e/OS et au Fairphone 6: la vie privée à portée de clics

✍ Corentin Bechade, le vendredi 12 juin 2026.

Il n’y a pas qu’iOS et Android dans la vie. Si Google et Apple ont largement vampirisé le marché mobile, il existe une alternative européenne plus respectueuse de vos données personnelles et de votre vie privée: /e/OS. Après un mois d’utilisation, voici mon avis sur cet OS entièrement émancipé des géants du web.

[cio-online.com] Walter Arnaud devient Dinum ; l'Etat accélère dans la création de l'Ariane

✍ Reynald Fléchaux, le vendredi 12 juin 2026.

Les deux chargés de mission, censés repenser les rôles de la Dinum et de la DITP, en prennent la tête, suite au conseil des ministres du 10 juin. Le signe de la volonté du gouvernement d’accélérer dans la reprise en main de la stratégie numérique de l’Etat.

Commentaires : voir le flux Atom ouvrir dans le navigateur

En février 2023, nous avions décrit « les données à caractère personnel traitées, qu’elles soient ou non associées à un compte, le cycle de vie de ses données et le changement de politique concernant ce cycle de vie. » La règle a été mise en place au 28 juin 2023 (la date de dernière activité du compte ayant été mise en place au 31 mai 2023) :

• les comptes inactifs pendant trois ans sont fermés et les données conservées inutiles au service supprimées ;
• les comptes fermés depuis plus d’un an voient les données associées inutiles au service supprimées (cf dépêche d'évaluation 1 an après en 2024)

Depuis trois ans, les comptes fermés (par la personne détenant le compte ou par l’équipe de modération sur les spams par exemple) voient donc leurs données minimisées. La nouveauté cette année était la fermeture des comptes inactifs depuis trois ans.

Quelques chiffres pour donner une idée de l’évolution des comptes

• un an, c’est 961 comptes ouverts (et 286 fermés depuis), entre le 01 octobre 2024 et le 30 septembre 2025 (basées sur les rétrospectives des quinzaines)
• un an, c’est aussi 1607 tentatives de création de comptes, sur la même période (basé sur les identifiants en base de données), dont beaucoup ne sont visiblement jamais confirmés et donc jamais réellement ouverts (spam, erreur d’adresse, erreur sur le pseudo voulu, etc.)

Application de la règle des 3 ans d’inactivité

Regardons les statistiques conservées par archive.org du 11 avril dernier, soit avant l’échéance des trois ans d’inactivité du 31 mai dernier :

• 53599 utilisatrices et utilisateurs ayant ou ayant eu des comptes (et encore présents en base de données)
• 33150 comptes
• 1384 comptes fermés

Et comparons avec les statistiques au moment de l’écriture de la dépêche, en base de données on trouve :

• 38847 utilisatrices et utilisateurs ayant ou ayant eu des comptes (et encore présents en base de données)
• 18397 comptes
• 12380 comptes fermés

Il y a donc eu purge de plus de 14500 comptes et fermeture de plus de 10000 comptes au 31 mai 2026.

Pourquoi certains comptes sont purgés ? Car ils n’avaient aucun contenu public ou commentaire public ou contribution à des contenus publics. Il peut s’agir de personnes n’ayant jamais rien eu à dire sur le site, de spammeurs n’ayant jamais réussi à publier quoi que soit, etc. La volumétrie est aussi due au stock puisque le traitement s’est appliqué à tous les comptes concernés depuis 1999 (année du plus vieux compte en base de données).

Pourquoi certains comptes sont fermés ? Parce qu’ils restent associés un ou plusieurs contenus ou commentaires ou contributions publics. Les cas peuvent être multiples : la personne est décédée, la personne est passée à autre chose, la personne avait juste besoin de poser une question à un moment et n’est donc pas restée, la personne est depuis 3 ans en prison ou en orbite ou dans un sous-marin ou tout autre endroit hors-ligne, etc.

Conséquences techniques ?

Va-t-on réutiliser les identifiants libérés dans la base de données de comptes ? Il n’y a pas vraiment d’intérêt à le faire.

A-t-on gagné sur le volume des sauvegardes ? La table des versions de dépêches pèse ~9 GiB pour ~430000 tuples, celle des commentaires ~3 GiB pour 2M de commentaires. La table des comptes n’est que la 11^e plus volumineuse en base, avec 18 MiB. Donc non on ne gagne rien de significatif. Probablement moins que si on supprimait dès maintenant les encore présents en base 700 contenus non publics et 21900 commentaires non publics.

Est-ce que tout le site va aller plus vite ? Non, ça ne va pas être perceptible sur les requêtes SQL.

Quel serait le cas le plus favorable en termes de réduction des données ? L’anonymisation du compte et de tout ce qui est associé : cela supprime un compte bien sûr, mais ça permettait en théorie de fusionner des éditions de dépêches par exemple : si Anonyme, seul compte contributeur, a 82 éditions d’une même dépêche, alors des années après, on peut sans doute se contenter de ne garder que la première et la dernière édition par exemple (pour préserver dates et attribution). Et même si Anonyme a seulement les éditions 53 à 57 d’une dépêche, on pourrait faire de même sur cette partie contiguë.

Aide sur le sujet

• Quelles sont les données à caractère personnel (DCP) traitées par le site ?
• Quelles sont les données sans caractère personnel relatives au compte traitées par le site ?
• Quelles sont les données inutiles au service qui sont supprimées des comptes fermés ?

P.S. : cette dépêche sera ma 500^e dépêche publiée

Commentaires : voir le flux Atom ouvrir dans le navigateur

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [ZDNET] La Commission européenne a reculé sur le logiciel libre, critiquent les libristes
• [Next] Mastodon se lance dans les newsletters
• [Sud Ouest] Saint-Loubès: les logiciels libres s'invitent à la médiathèque
• [ZDNET] L'arrivée d'Euro-Office 1.0 sème la zizanie dans le monde de l'open source: «La compatibilité n'est pas synonyme de souveraineté»
• [Silicon.fr] L'open source n'est plus 'gratuit par défaut'
• [cio-online.com] Open Source: la Cnaf s'engage dans le projet Catala de l'Inria
• [Basta!] «Se soucier des usagers»: un fournisseur d'accès à Internet citoyen veut reprendre SFR à la place de Bouygues, Free et Orange
• [Les Numeriques] Je me suis passé de Google pendant un mois grâce à /e/OS et au Fairphone 6: la vie privée à portée de clics
• [cio-online.com] Walter Arnaud devient Dinum ; l'Etat accélère dans la création de l'Ariane

[ZDNET] La Commission européenne a reculé sur le logiciel libre, critiquent les libristes

✍ Thierry Noisette, le dimanche 21 juin 2026.

Bien qu’il marque des progrès, le projet de règlement européen publié par la Commission de Bruxelles a reculé, en particulier sur le principe du ’libre par défaut’, dénoncent le CNLL et l’April. La bataille va s’engager dans le ’trilogue’ avec le Parlement européen et le Conseil.

• [Les Numeriques] Souveraineté numérique: l'Europe renonce à imposer le logiciel libre et choisit… “l'encouragement”

[Next] Mastodon se lance dans les newsletters

✍ Mathilde Saliou, le jeudi 18 juin 2026.

Outre des collections, la version 4.6 de Mastodon propose des newsletters, une fonctionnalité qui permettra aux internautes de suivre les travaux des…

[Sud Ouest] Saint-Loubès: les logiciels libres s'invitent à la médiathèque

✍ Jean-Pierre Nowak, le jeudi 18 juin 2026.

Des bénévoles de l’Association bordelaise des utilisateurs de logiciels libres et de Libre Tic ont animé un atelier pour présenter les avantages de l’informatique ouverte aux usagers de Saint-Loubès

[ZDNET] L'arrivée d'Euro-Office 1.0 sème la zizanie dans le monde de l'open source: «La compatibilité n'est pas synonyme de souveraineté»

✍ Steven Vaughan-Nichols, le mardi 16 juin 2026.

La nouvelle alternative open source basée sur le cloud à Microsoft 365 et Google Workspace est désormais disponible. Les partisans de LibreOffice critiquent vivement sa dépendance vis-à-vis des formats de documents Microsoft.

[Silicon.fr] L'open source n'est plus 'gratuit par défaut'

✍ Philippe Leroy, le mardi 16 juin 2026.

Utiliser un modèle open source implique désormais de comprendre son entraînement, de documenter précisément son usage, de garantir sa conformité avec les exigences réglementaires selon la classification du système.

• [Le Monde Informatique] La souveraineté numérique est une posture, pas un produit
• [Journal du Net] Open source ou logiciel propriétaire: un débat qui détourne les entreprises des vrais enjeux

[cio-online.com] Open Source: la Cnaf s'engage dans le projet Catala de l'Inria

✍ Emmanuelle Delsol, le lundi 15 juin 2026.

L’administration va contribuer au projet Open Source pour améliorer son moteur de règles et traduire le droit en code pour le calcul des prestations.

[Basta!] «Se soucier des usagers»: un fournisseur d'accès à Internet citoyen veut reprendre SFR à la place de Bouygues, Free et Orange

✍ Rachel Knaebel, le vendredi 12 juin 2026.

Bouygues, Free et Orange ont annoncé un accord pour reprendre, et démanteler, l’entreprise SFR. Il y avait pourtant une offre alternative, à 1 euro, venue d’un fournisseur d’accès à Internet associatif, comme il en existe des dizaines en France.

[Les Numeriques] Je me suis passé de Google pendant un mois grâce à /e/OS et au Fairphone 6: la vie privée à portée de clics

✍ Corentin Bechade, le vendredi 12 juin 2026.

Il n’y a pas qu’iOS et Android dans la vie. Si Google et Apple ont largement vampirisé le marché mobile, il existe une alternative européenne plus respectueuse de vos données personnelles et de votre vie privée: /e/OS. Après un mois d’utilisation, voici mon avis sur cet OS entièrement émancipé des géants du web.

[cio-online.com] Walter Arnaud devient Dinum ; l'Etat accélère dans la création de l'Ariane

✍ Reynald Fléchaux, le vendredi 12 juin 2026.

Les deux chargés de mission, censés repenser les rôles de la Dinum et de la DITP, en prennent la tête, suite au conseil des ministres du 10 juin. Le signe de la volonté du gouvernement d’accélérer dans la reprise en main de la stratégie numérique de l’Etat.

Initialement terminé le 14 juin dernier, l’appel à conférences du salon Open Source Experience (aka OSXP pour les intimes) est prolongé : les propositions peuvent être soumises jusqu’au 24 juin 2026 à 23 h 59. Quelques jours de plus pour finir le teaser d’un retour d’expérience, affûter un sujet technique ou sortir votre idée de conférence qui traîne dans votre pile À traiter.

Et au passage le village des associations revient en force !

Plus de détails dans la suite de la dépêche.

• lien nᵒ 1 : Appel à conférences Open Source Experience
• lien nᵒ 2 : Site web d'Open Source Experience
• lien nᵒ 3 : Pretalx, logiciel libre de gestion de CFP et de programmes d’événements

Prolongation de l'appel à conférence

Suite aux demandes de plusieurs acteurs de l’écosystème que nous ne nommerons pas, car ils ont procrastinés, les organisateurs d’OSXP repoussent la date limite de soumission. L’appel vise des conférences autour du libre et l’open source (forcément) et de la souveraineté numérique (mot très à la mode), avec une préférence assumée pour le concret :

• Souveraineté numérique, gouvernance et modèles économiques open source
• Infrastructures ouvertes, cloud et plateformes souveraines
• IA ouverte, modèles, data et écosystèmes souverains
• Cybersécurité, confiance et résilience open source
• Plateforme applicative d'entreprise souveraine
• Culture, compétences et métiers de l'open source

Les propositions de conférences sont donc à déposer avant le 24 juin 2026 à 23 h 59 sur la page de l'appel à conférences. Si vous avez un sujet à partager, c’est le moment de le soumettre… ou de pousser gentiment quelqu’un de votre communauté à le faire.

Et bientôt le village des Associations

On profite aussi de cette dépêche pour glisser un petit teasing : l’appel à candidatures pour le village des Associations d’Open Source Experience sera bientôt relancé sur LinuxFr.org.

Et il devrait y avoir de bonnes nouvelles pour les associations du libre. On n’en dit pas plus pour l’instant — oui, c’est vilain, mais c’est pour la bonne cause — et oui, j'utilise des tirets cadratins récursifs pour ne pas les laisser aux IA ;-)

Et rendez-vous les 9 et 10 décembre 2026 à Paris, porte de Versailles.

Commentaires : voir le flux Atom ouvrir dans le navigateur

Encore une table ronde et un pique-nique avant la coupure estivale

L’article Newsletter ALDIL du mois de juillet 2026 est apparu en premier sur ALDIL.

Bienvenue ! Vous venez d'adhérer à l'association et nous vous en remercions ! Pour en savoir plus sur la vie et l'activité de l'association, n'hésitez pas à consulter le présent site mais aussi l'une des deux publications officielles de l'association : les Lettres GUTenberg. Les services et outils Comme vous pourrez le voir par ailleurs, l'association regroupe plusieurs services et outils pour le grand public comme les passionnés de TeX et LaTeX : TeXnique, le forum de (…)

Des bio ordinateurs (sans windows) et sans OGM (GAFAM) !
Dans l'arrière boutique de l'épicerie, sous la houlette de l'équipe informatique de l'association Robin des bio et avec le renfort de quelques membres du collectif Chtinux, venez essayer, installer ou vous former à Linux et aux logiciels libres.
C'est aussi un moment pour partager nos bonnes pratiques informatiques comme par exemple : comment éviter la publicité sur nos ordinateurs, le fichage de nos activités, comment (…)

Des bio ordinateurs (sans windows) et sans OGM (GAFAM) !
Dans l'arrière boutique de l'épicerie, sous la houlette de l'équipe informatique de l'association Robin des bio et avec le renfort de quelques membres du collectif Chtinux, venez essayer, installer ou vous former à Linux et aux logiciels libres.
C'est aussi un moment pour partager nos bonnes pratiques informatiques comme par exemple : comment éviter la publicité sur nos ordinateurs, le fichage de nos activités, comment (…)

Des bio ordinateurs (sans windows) et sans OGM (GAFAM) !
Dans l'arrière boutique de l'épicerie, sous la houlette de l'équipe informatique de l'association Robin des bio et avec le renfort de quelques membres du collectif Chtinux, venez essayer, installer ou vous former à Linux et aux logiciels libres.
C'est aussi un moment pour partager nos bonnes pratiques informatiques comme par exemple : comment éviter la publicité sur nos ordinateurs, le fichage de nos activités, comment (…)

Des bio ordinateurs (sans windows) et sans OGM (GAFAM) !
Dans l'arrière boutique de l'épicerie, sous la houlette de l'équipe informatique de l'association Robin des bio et avec le renfort de quelques membres du collectif Chtinux, venez essayer, installer ou vous former à Linux et aux logiciels libres.
C'est aussi un moment pour partager nos bonnes pratiques informatiques comme par exemple : comment éviter la publicité sur nos ordinateurs, le fichage de nos activités, comment (…)

DarkMoon est un projet libre de cybersécurité publié sous licence GNU GPLv3. Il propose un moteur de test d’intrusion automatisé, lancé en conteneur Docker, qui orchestre des outils de sécurité existants, des agents spécialisés et un modèle de langage configurable.

Concrètement, l’utilisateur donne une cible autorisée. DarkMoon lance des étapes de reconnaissance, identifie des technologies exposées, choisit certains outils ou agents selon le contexte, puis produit des journaux et un rapport de pentest en Markdown.

Le projet est récent. Le premier commit visible sur GitHub date de novembre 2025, le dépôt a été rendu public en mai 2026, et une première release a été publiée récemment. Au moment de la rédaction, les mainteneurs indiquent un peu plus de 500 clonages du dépôt et environ 1300 téléchargements des images Docker. Ces éléments donnent un premier signal d’usage, sans en faire pour autant un outil éprouvé en production.

• lien nᵒ 1 : Dépôt GitHub
• lien nᵒ 2 : Documentation officielle de Dark Moon
• lien nᵒ 3 : Vidéo de démonstration de Dark Moon sur Juice Shop
• lien nᵒ 4 : Site officiel de Dark Moon

Sommaire

• • Ce que fait DarkMoon
  • Un projet libre orienté sécurité offensive contrôlée
  • Architecture générale
  • Installation
  • Choix du modèle de langage
  • Exemple de campagne
  • Démonstration sur OWASP Juice Shop
  • Détection et choix des actions
  • Outils intégrés
  • Journaux et rapport Markdown
  • Cadre d’usage et limites
  • Contribuer

Ce que fait DarkMoon

DarkMoon essaie de répondre à une question simple : peut-on automatiser une partie d’un pentest sans se limiter à lancer un scanner unique ?

Le fonctionnement attendu est le suivant :

1. on fournit une cible autorisée ;
2. le moteur lance des outils de reconnaissance ;
3. il collecte des indices : ports, services, CMS, API, frameworks, chemins, en-têtes, comportements applicatifs ;
4. il choisit les modules utiles selon ce qu’il observe ;
5. il exécute les outils dans un conteneur ;
6. il conserve les journaux ;
7. il génère un rapport Markdown.

Un projet libre orienté sécurité offensive contrôlée

DarkMoon est publié sous licence libre GNU GPLv3. Le dépôt GitHub contient les scripts d’installation, l’orchestration Docker, les composants de l’outil, les configurations et la documentation associée.

Le projet n’a pas vocation à remplacer l’expertise humaine d’un pentester. Il vise plutôt à automatiser des tâches répétitives, à aider à la corrélation des résultats, et à produire des sorties plus facilement exploitables. Dans un audit réel, l’interprétation, la validation des constats, la priorisation et le respect du cadre légal restent des responsabilités humaines.

L’usage prévu est strictement limité aux environnements autorisés: laboratoires, machines volontairement vulnérables, programmes de bug bounty, audits internes ou périmètres contractuels.

Architecture générale

DarkMoon repose sur trois blocs principaux :

• un conteneur Docker qui fournit l’environnement d’exécution.
• un lanceur darkmoon.sh pour démarrer les campagnes et suivre les journaux.
• une logique d’orchestration qui choisit les outils ou agents à lancer selon les éléments détectés.

La séparation entre le modèle, le contrôle et l’exécution est importante. Le modèle peut proposer une stratégie, mais les actions passent par une couche de contrôle avant d’être exécutées dans le conteneur. Cela permet de garder une trace des actions et de limiter l’exécution directe sur l’hôte.

Installation

L’installation documentée repose sur Docker et Docker Compose. L’utilisateur clone le dépôt, rend les scripts exécutables, puis lance l’installation.

Le script prépare l’environnement, construit les images nécessaires et initialise les volumes. Une fois l’installation terminée, DarkMoon peut être lancé depuis la racine du dépôt.

Il est aussi possible de lancer directement une cible depuis la ligne de commande.

Choix du modèle de langage

DarkMoon ne force pas un fournisseur unique de LLM. Lors de l’installation, on peut configurer un fournisseur cloud comme OpenAI, Anthropic ou OpenRouter, mais aussi un modèle local via Ollama, llama.cpp ou une URL compatible avec l’API OpenAI.

C’est un point important pour un outil de sécurité. Selon le contexte, on peut préférer un modèle distant plus performant, ou un modèle local pour éviter d’envoyer des informations de cible, de journaux ou de résultats vers un service externe.

Exemple de campagne

Une campagne DarkMoon commence par la définition d’un périmètre. La forme minimale consiste à fournir une cible :

Une forme plus complète permet de préciser le programme, les cibles incluses, les exclusions, les familles de vulnérabilités à privilégier, le niveau de bruit acceptable et les règles d’engagement.

Après le lancement, l’outil fournit un identifiant de session. Les journaux peuvent ensuite être suivis avec:

Démonstration sur OWASP Juice Shop

Une démonstration vidéo montre DarkMoon exécuté contre OWASP Juice Shop, une application volontairement vulnérable conçue pour l’apprentissage et les tests de sécurité applicative. Ce choix est important: il permet d’illustrer le fonctionnement du moteur sur une cible réaliste, mais explicitement prévue pour l’entraînement, sans viser un système tiers.

La vidéo présente le déroulement général d’une campagne: lancement depuis la ligne de commande, analyse de la cible, collecte de signaux techniques, sélection des actions à mener et production progressive d’observations exploitables. Elle permet aussi de mieux comprendre la logique d’orchestration: DarkMoon ne se limite pas à lancer un unique scanner, mais enchaîne plusieurs étapes selon ce qu’il découvre.

Lien de la démonstration : DarkMoon sur OWASP Juice Shop

L’intérêt de Juice Shop dans ce contexte est double. D’un côté, l’application contient de nombreuses familles de vulnérabilités web connues, ce qui permet de tester la capacité de détection et d’enchaînement du moteur. De l’autre, elle fournit un cadre légal et reproductible pour expérimenter l’outil, comparer les résultats et améliorer les agents sans exposer de service réel.

Détection et choix des actions

Le moteur commence par collecter des signaux techniques : ports ouverts, services exposés, technologies web, frameworks, CMS, API, en-têtes HTTP, chemins visibles ou comportements applicatifs.

Ces informations servent ensuite à choisir les actions suivantes. Une cible WordPress, une API GraphQL ou un environnement Kubernetes ne déclenchent pas les mêmes outils ni les mêmes agents.

Outils intégrés

DarkMoon ne réécrit pas les outils de sécurité existants. Il les regroupe dans une image Docker et les appelle selon le contexte détecté.

Parmi les outils cités dans la documentation ou dans les articles qui présentent le projet, on trouve notamment Naabu, Masscan, Nuclei, ffuf, sqlmap, Arjun, wafw00f, Subfinder, Katana, Waybackurls, httpx, WPScan, CMSeeK, Hydra, dig, ainsi que des outils liés à BloodHound, Impacket, kubectl, Kubescape ou Kubeletctl.

Le point important n’est pas la liste exacte des outils, qui peut évoluer, mais la logique d’orchestration: détecter ce qui est pertinent, lancer l’outil adapté, lire la sortie, puis décider de l’étape suivante.

Journaux et rapport Markdown

Une campagne produit des journaux et des artefacts. L’utilisateur peut suivre l’exécution, consulter les étapes et récupérer les résultats dans les répertoires de sortie prévus.

DarkMoon génère aussi un rapport de pentest en Markdown. Ce choix est simple: le fichier est lisible dans un terminal, versionnable avec Git, relisible dans une forge, modifiable à la main et convertible ensuite en HTML ou en PDF.

Le rapport doit conserver le contexte de la campagne : cible, périmètre, hypothèses, commandes ou actions utiles, preuves collectées, vulnérabilités relevées, criticité, impact potentiel et pistes de correction.

Cadre d’usage et limites

DarkMoon est un outil offensif. Il doit être utilisé uniquement sur des systèmes pour lesquels l’utilisateur dispose d’une autorisation explicite: laboratoire local, machine volontairement vulnérable, programme de bug bounty, audit interne ou périmètre contractuel.

L’automatisation ne réduit pas les responsabilités de l’utilisateur: définir le périmètre, obtenir les autorisations, éviter les impacts de production et manipuler les données avec précaution.

Les limites sont celles de tout outil de pentest automatisé:

• faux positifs possibles.
• faux négatifs possibles.
• dépendance aux outils appelés.
• dépendance au modèle de langage choisi.
• interprétation humaine nécessaire.
• risque de bruit sur les systèmes testés.
• nécessité de tester en environnement maîtrisé avant tout usage sérieux.

Un modèle peut proposer une action inutile, trop large ou mal adaptée au contexte. La couche de contrôle et les journaux sont donc utiles, mais ils ne dispensent pas d’une revue humaine.

Contribuer

Le projet est ouvert aux retours techniques. Les contributions les plus utiles concernent:

• l’installation sur différentes distributions.
• la documentation.
• la reproductibilité des exemples.
• la qualité des rapports Markdown.
• la réduction des faux positifs.
• l’ajout d’agents spécialisés.
• la revue des scripts Docker et shell.
• les garde-fous d’exécution.
• les tests sur des laboratoires vulnérables.
• les issues claires et reproductibles.

Les remarques sur la clarté du fonctionnement sont également bienvenues, surtout pour éviter de présenter l’outil comme plus mature qu’il ne l’est réellement.

Commentaires : voir le flux Atom ouvrir dans le navigateur

Voici Estampille. Estampille vise à remplacer les fichiers tableurs partout où l’installation d’une suite complète de tests (Squash, HPALM…) n’est pas possible. Il est distribué sous licence GNU GPL.

Cet outil permet de rédiger des cas de test composés de pas de tests. Il permet d’exécuter manuellement ces cas de test autant de fois que nécessaire. Un cas de test peut être appelé dans d’autres cas de tests pour factoriser la rédaction des cas. Les résultats d’exécution sont exportables sous forme de dossiers PDF.
Enfin une page de statistiques offre une vue générale de l’avancement des tests.

Contrairement aux suites logicielles de tests existantes, Estampille n’a pas besoin de base de données, ni de serveur dédié. Les tests et exécutions de tests sont stockées sous la forme de fichiers JSON partageables facilement ; que ce soit par courriel, répertoire réseau partagé, synchronisation cloud, etc.

Cet outil ultra léger (<300 ko tests unitaires compris) est écrit en python et utilise flask pour présenter l’interface graphique sur le navigateur web. Il fonctionne indifféremment sous Linux ou Windows.

Voilà déjà la fin d’une dépêche courte pour un outil simple qui répond à un besoin concret.

• lien nᵒ 1 : dépôt de code source

Commentaires : voir le flux Atom ouvrir dans le navigateur

Apple et Google font la promotion de leur technologie de certification de matériel.

Au nom de la sécurité, les deux gros fournisseurs d’OS mobiles sont en train de verrouiller un marché où ils seraient les seuls acteurs mondiaux à décider qui a le droit d’utiliser tel ou tel matériel.

• lien nᵒ 1 : GrapheneOS attestation compatibility guide
• lien nᵒ 2 : Article de l'OFCE sur la constitution des oligopoles par les GAFAMs
• lien nᵒ 3 : Article Wikipédia sur des oligopoles

Le principe

Le but de ces technologies est d’interdire aux gens d’utiliser du matériel et du logiciel non approuvé par Google et Apple.

Faussement présenté comme une fonctionnalité de sécurité, les banques et les gouvernements les adoptent avec enthousiasme, car cela leur permet d’imposer l’usage de logiciels privateurs à leurs clients/citoyens, quitte à sacrifier la souveraineté.

Les technologies

API Play Integrity de Google

Cette API Android permet à une application de vérifier :

1. qu’elle n’a pas été modifiée par l’utilisateur ;
2. que l’utilisateur a bien payé pour l’utiliser ;
3. que l’exécution n’a pas lieu sur un émulateur ;
4. que le matériel sur lequel elle s’exécute est certifié par Google.

Quelques fournisseurs d’Android proposent des alternatives à ce service :

• Unified Attestation, créé par Volla ;
• Android hardware attestation, présenté par Graphene OS comme une alternative à Google’s Play Integrity API plus ouverte.

API App Attest d'Apple

https://developer.apple.com/documentation/devicecheck/preparing-to-use-the-app-attest-service

Privacy Pass

Ce protocole a pour but d’authentifier un utilisateur anonyme. Cela peut sembler contradictoire, mais il s’agit de remplacer les solutions pour stopper les vils bots (captcha, anubis…).

Concrètement l’utilisateur doit obtenir un jeton avant d’accéder à un service.

Malheureusement de vils humains d’Apple et Cloudflare ont trouvé opportun d’implémenter ce système en rendant obligatoire l’usage d’un matériel certifié.

reCAPTCHA

Cette solution de Google impose aussi l’usage des services Google pour vérifier un mobile pour pouvoir accéder à certains services, notamment des sites web.

La certification de matériel du point de vue des utilisateurs

Pour le consommateur, la certification du matériel (appliqué aux ordiphones) revient à :

• limiter son choix de matériel neuf ;
• limiter son choix de matériel d’occasion ;
• accélérer l’obsolescence du matériel possédé.

Bref il faudra plus régulièrement « tout racheter ».

Pour le citoyen, c’est :

• l’usage obligatoire de logiciels privateurs ;
• une inscription forcé et donc l’acceptation des contrats de société “agressives” sur la vie privée et les données personnelles.

Pour les États et l’Union Européenne, c’est un nouvel abandon de souveraineté.

Certifier du matériel, c’est privateur. Certifier des gens c’est pire.

Si vous avez un diplôme d’ingénieur, un permis de chasse, un passe sanitaire ou un tatouage mafieux, vous savez que les organisations adorent certifier les personnes, par exemple pour être bien certaine de recruter un bon tireur pour une mission spéciale en pleine pandémie.

Toutefois si vous êtes un braconnier antivax de l’école 42, vous pouvez aussi télétravailler du côté obscur, par exemple comme développeur Android.

Enfin jusqu’ici, car Google demandera bientôt que tout développeur d’applications Android s’inscrive avec des obligations comme fournir une pièce d’identité officielle et lister tous ses identifiants d’applications actuels et futurs…

Une campagne est en cours pour défendre le droit des braconniers antivax de l’école 42gens normaux de continuer à développer librement sur Android : https://keepandroidopen.org/fr/

Commentaires : voir le flux Atom ouvrir dans le navigateur

Jeudi 18 juin 2026, les Impro’bables ont présenté leur spectacle de fin de saison, l’occasion de partager avec le public le fruit d’une année riche en apprentissages, en créativité et en éclats de rire. Composée d’une vingtaine d’adhérents des Maisons Pop, cette troupe de comédiens amateurs se retrouve chaque semaine pour explorer l’univers de l’improvisation […]

L’article Les Impro’bables clôturent leur saison sur scène ! est apparu en premier sur Les Maisons Pop de Chenôve.

Windows 10 n’est plus supporté? Votre PC s’essouffle? Donnez-lui un coup de jeune!

Installons y Linux !

Le prolongement de la prise en charge de Windows 10 se termine le 14 octobre 2026. Microsoft veut que vous achetiez un nouvel ordinateur.

Mais que se passerait-il si vous pouviez rendre votre ordinateur actuel à nouveau rapide et sécurisé?

Si vous avez acheté votre ordinateur après 2010, il n’y a probablement aucune raison de le jeter. En installant simplement un système d’exploitation Linux récent, vous pouvez continuer à l’utiliser pour des années.
L’installation d’un système d’exploitation peut sembler difficile. Mais, vous n’avez pas à vous lancer tout seul! Il y a des personnes prêtes à vous aider !

Au programme

• Découverte de Linux et des logiciels libres
• Installation de Linux sur votre ordinateur
• Installation d’ « Android dégooglisé » sur votre smartphone

Entrée libre, inscription conseillée (À venir)

Windows 10 n’est plus supporté? Votre PC s’essouffle? Donnez-lui un coup de jeune!

Installons y Linux !

Le prolongement de la prise en charge de Windows 10 se termine le 14 octobre 2026. Microsoft veut que vous achetiez un nouvel ordinateur.

Mais que se passerait-il si vous pouviez rendre votre ordinateur actuel à nouveau rapide et sécurisé?

Si vous avez acheté votre ordinateur après 2010, il n’y a probablement aucune raison de le jeter. En installant simplement un système d’exploitation Linux récent, vous pouvez continuer à l’utiliser pour des années.
L’installation d’un système d’exploitation peut sembler difficile. Mais, vous n’avez pas à vous lancer tout seul! Il y a des personnes prêtes à vous aider !

Au programme

• Découverte de Linux et des logiciels libres
• Installation de Linux sur votre ordinateur
• Installation d’ « Android dégooglisé » sur votre smartphone

Entrée libre, inscription conseillée (À venir)

🏖 L’été se vit ensemble aux Maisons Pop ! Découvrez le programme des vacances ! Envie de bouger, créer, découvrir ou simplement partager un bon moment ? Cet été, les Maisons Pop vous proposent un programme haut en couleurs : escapades en famille, ateliers, défis sportifs, soirées en plein air, découvertes culturelles et activités pour […]

L’article Découvrez le programme des vacances d’été ! est apparu en premier sur Les Maisons Pop de Chenôve.

Quel est le meilleur moment que celui où vous n’avez pas besoin de votre matériel pour en prendre soin ? Laissez-le à l’équipe de l’atelier pendant vos vacances pour le faire durer plus longtemps !

Offrez-vous des vacances déconnectées… et un check-up à votre ordinateur est issu du site itopie informatique.