korben.info - Archives (avril 2026)

PS5-Linux est là !!

Andy Nguyen, le security engineer alias theflow0, vient de publier le hack qui transforme une PS5 Phat (les modèles originaux, pas les Slim ni les Pro) en PC 100% Linux. Et le truc cool c'est que ça marche désormais sur les firmwares 3.xx et 4.xx, et pas seulement sur les premières consoles oubliées dans leur boîte !

Pour rappel, en mars dernier, Andy Nguyen avait fait tourner GTA 5 Enhanced en ray tracing sur sa PS5 , mais l'exploit était limité aux firmwares 1.xx et 2.xx, donc autant dire à des consoles qui n'avaient jamais vu Internet. Mais depuis hier, le projet est officiellement sorti sur GitHub avec un guide d'installation complet, et il a élargi son périmètre.

Pour qui n'a jamais fouillé là-dedans, Denuvo est le système anti-piratage le plus utilisé sur les jeux PC depuis 2014. Édité par une boîte autrichienne, il s'ajoute aux jeux pour les empêcher de tourner sans autorisation, et il a longtemps été considéré comme imperforable.

Mauvaise nouvelle pour ses clients : le 27 avril, le fil Reddit qui suivait l'état des jeux Denuvo encore non cassés est tombé à zéro. Tous les jeux solo protégés par Denuvo ont désormais une version pirate qui marche, dont les blockbusters récents comme Resident Evil: Requiem.

Adobe vous fourgue du After Effects en abonnement Creative Cloud obligatoire, et CapCut appartient à ByteDance, avec tout ce que ça implique côté collecte de données et juridiction chinoise.

Et dire que pendant ce temps, Clément Cordier, dev solo basé en Normandie, vient de sortir la version 5 de Pikimov , son éditeur vidéo qui tourne directement dans le navigateur ! Ce serait vraiment con de passer à côté, non ? Surtout que c'est gratuit et que ça tient la route.

Vous avez déjà voulu créer une appli desktop qui tourne sur Linux, Mac et Windows en même temps ? En Rust, c'était un peu compliqué jusqu'ici. Heureusement, Slint , créé par la société allemande SixtyFPS GmbH, propose une solution sympa !

L'idée, c'est de décrire votre interface dans des petits fichiers .slint (un genre de mini HTML/CSS pour appli native), et de brancher ça à du Rust, du C++, du JavaScript ou du Python. Comme ça, vous codez le visuel d'un côté, la logique de l'autre.

Readarr a malheureusement fermé boutique en juin dernier et depuis, le créneau Sonarr-pour-bouquins était orphelin. Mais voili que voilà Shelfmark qui débarque pour combler ce trou, et c'est signé calibrain. Cet outil c'est l'évolution directe de Calibre-Web-Automated-Book-Downloader (CWA-BD pour les intimes), renommé en début d'année !

Niveau interface, ça se présente comme une seule barre de recherche, façon Spotlight mais pour vos sources de livres, qui sait chercher et télécharger des ebooks (et des audiobooks) depuis toutes vos sources configurées : Web, torrent, usenet, IRC, tout passe par la même barre de recherche.

Hackaday a relayé un projet de modification matérielle qui transforme une manette Sega Master System de 1985 en périphérique USB-C compatible avec un PC moderne ou une console de retrogaming actuelle.

Le mod ne touche pas au boîtier d'origine et garde la sensation au pouce du gamepad d'époque, tout en remplaçant l'électronique interne par une petite carte qui parle HID standard.

Le câble noir vissé d'origine est remplacé par un câble USB-C, et une carte microcontrôleur traduit les signaux des contacts mécaniques de la manette en codes HID que n'importe quel système moderne reconnaît comme un pad de jeu.

Pour la première fois, l'équipe du Parc archéologique de Pompéi a utilisé une chaîne d'intelligence artificielle pour reconstruire numériquement le visage d'une victime de l'éruption du Vésuve en 79 après Jésus-Christ.

Le portrait, présenté hier, montre un homme âgé qui tentait de fuir la ville vers la côte au moment où la pluie de pierres ponces s'est abattue sur lui. La méthode pourrait être étendue à des centaines d'autres victimes du site dans les prochains mois.

Jeremy Crane, fondateur de la startup PocketOS, a publié le récit complet de la disparition de sa base de données de production.

Le coupable ? Un agent Cursor branché sur Claude Opus 4.6 qui, face à une erreur de credentials en staging, a décidé tout seul de supprimer un volume Railway. Neuf secondes plus tard, la base et tous les backups stockés sur le même volume avaient disparu.

L'enchaînement est intéressant. L'agent rencontre une erreur d'authentification en environnement staging. Au lieu de demander à l'humain, il fouille dans les fichiers du projet et trouve un token API Railway dans un fichier qui n'avait rien à voir avec la base.

Le NCSC, l'agence de cybersécurité du Royaume-Uni rattachée au GCHQ (l'équivalent britannique de la NSA américaine, qui s'occupe du renseignement électronique pour l'État), a sorti un boîtier qui s'intercale entre un ordinateur et son écran pour bloquer les attaques transitant par le câble HDMI ou DisplayPort.

e produit s'appelle SilentGlass, il se branche sans configuration, et il a été présenté à la conférence CYBERUK. Première mondiale, dit-elle.

Première surprise pour qui n'y a jamais pensé : le câble qui relie votre PC à votre écran ne sert pas qu'à faire passer l'image. Il transporte aussi des données dans les deux sens (réglages de l'écran, infos sur la résolution, anti-copie sur les contenus protégés), et il émet des ondes électromagnétiques qui peuvent fuiter loin du bureau.

478 binaires Unix peuvent servir à devenir root sur un système mal configuré.

C'est ce que recense GTFOBins , le projet open source monté par Emilio Pinna et Andrea Cardaci, qui est devenu LE bookmark obligatoire de tout pentester Linux.

Ce ne sont pas des exploits, hein, mais juste des fonctions parfaitement légitimes de programmes installés partout, et qui dans le bon contexte (genre un bit SUID oublié, qui fait tourner un binaire avec les droits du propriétaire, souvent root) permettent de spawner un shell, lire un fichier protégé, ou grimper d'un cran dans la hiérarchie des privilèges. Petit rappel quand même, faut déjà avoir un pied sur la machine, ce n'est pas une porte d'entrée magique depuis Internet.

Souvenez-vous, en mai 2025 quand je vous parlais de BleachBit 5.0 et de son grand ménage de printemps. Hé bien Andrew Ziem, le développeur historique du soft, vient de balancer la version 6.0 samedi dernier !

Et c'est annoncé comme la plus grosse release du projet depuis des années, avec plus de 100 améliorations et bug fixes au programme. Et surtout deux nouveautés qui sortent du lot.

La première, c'est un Cookie Manager qui vous laisse enfin choisir quels cookies garder lors d'un nettoyage, sur les navigateurs Chromium et Firefox. Plus besoin donc de tout dégager d'un coup et de devoir ressaisir vos sessions partout.

Sur Hackaday, un maker a publié une variante rigolote de lévitation acoustique : un mini terrain d'air hockey où les palets flottent au-dessus du sol grâce à des ondes ultrasonores.

Le truc fun ça n'est pas la lévitation en elle-même, technique connue depuis longtemps et déjà couverte sur le site, mais la manière dont elle est mise en œuvre pour éviter les zones mortes habituelles qui rendent ce genre de dispositif statique.

Tamawatchi , c'est 2,8 Mo de pixel art qui tournent en natif sur Apple Watch sans dépendre d'un iPhone. Michael Ratto, lecteur de korben.info, vient de m'écrire pour m'annoncer la sortie de son Tamagotchi qui se nourrit de vos pas via HealthKit. La première créature est gratuite, et les autres à 99 centimes pièce.

Il s'agit donc d'un compagnon style Tamagotchi des années 90 qui vit sur votre montre. Vous marchez, il bouffe. Vous glandez, il a faim. Vous dormez, il dort... vous voyez le tableau quoi... C'est une app de fitness qui se déguise puisque derrière le pixel art mignon, y'a surtout un compteur de pas gamifié qui pousse à se bouger. Parce que oui, ON EST PLUS MOTIVÉ pour faire 5000 pas pour garder en vie un blob tout mignon que pour compléter une jauge bleue qui clignote.

J'sais pas si vous avez remarqué, mais aujourd'hui, TOUT LE MONDE "vibe code" : On balance des prompts à un LLM, on accepte le diff sans comprendre, on commit sans relire et tadaaaa, ça fait des chocapics !

Sauf pour zsKnight et Demo qui viennent de relâcher Super ZSNES , après 19 ans de silence, avec un message bien en évidence sur leur page d'accueil... "No Vibe Coding. Classic development style." C'est incroyable, les deux développeurs originaux de ZSNES se sont enfin retrouvés pour réécrire leur émulateur SNES légendaire intégralement, et cette fois c'est le GPU qui prend en charge le rendu vidéo !! Youpi !

Une boîte mail avec 12 000 messages non lus (genre 32 par jour pendant un an), c'est pas une vie mais c'est pas une fatalité non plus puisque Lakshay Gupta vient de poster NeatMail . Cet outil est un assistant IA qui labelise vos mails Gmail ou Outlook automatiquement et qui rédige des brouillons de réponse dans votre style d'écriture. Le code est dispo sur Github, auto-hébergeable, mais je reviendrai sur la licence (spoiler : c'est custom)...

Le scraping web, c'est un combat permanent contre les sites qui changent leur HTML toutes les deux semaines. Vous vous emmerdez à coder vos sélecteurs CSS, ça marche pendant un mois, puis le site refait son design et hop, votre script s'eteint en silence. C'est pourquoi Karim Shoair (alias D4Vinci sur GitHub) a sorti Scrapling, un framework Python qui s'adapte tout seul quand le DOM bouge.

La clé c'est adaptive=True sur n'importe quel sélecteur. Vous lui dites "je cherchais .product", Scrapling sauvegarde alors la signature de l'élément (texte, attributs, position dans l'arbre), et la prochaine fois que le site a renommé sa classe, il retrouve l'élément via similarité.

Et si vous aviez UN seul soft qui bloque les pubs comme Pi-hole, qui parle DoH/DoT/DoQ comme AdGuard Home, ET qui sait faire du serveur DNS faisant autorité pour vos zones perso ?

Hé bien c'est exactement ce que fait Technitium DNS Server , un projet open source sous licence GPLv3 maintenu par TechnitiumSoftware. Concrètement, avec ce truc, vous obtenez un résolveur récursif, un sinkhole avec blocklists, et un serveur de zones (Primary, Secondary, Stub) dans le même process. Du coup, pour un homelab type, fini d'empiler Pi-hole + Unbound + BIND, tout est dans la même console web !

Vous synchronisez 4 ou 5 dossiers vers plusieurs serveurs avec rsync ? Alors vous connaissez ce sketch quand un job mouline pendant que les autres font la queue, parce que rsync de base c'est mono-thread et ça avance en file indienne.

Hé bien y'a un petit utilitaire Python qui dégoupille tout ça, pondu par overflowy. Ça s'appelle parallel-rsync et le nom annonce la couleur !

L'idée c'est de pouvoir empiler plusieurs jobs rsync en parallèle, avec une config YAML pour piloter le tout. Vous décrivez vos sources et destinations dans sync.yml, vous lancez parallel-rsync -c sync.yml --workers 4 --max-per-host 2, et hop, ça parallélise.

Andrey Letov vient de sortir Notepad++ for Mac , un portage natif Apple Silicon de l'éditeur culte créé par Don Ho. Notez quand même que Don Ho n'a rien à voir avec ce projet. C'est un portage communautaire indépendant, lancé en mars dernier.

Vous récupérez le binaire universel qui tourne nativement sur les puces M1 à M5 et sur les vieux Macs Intel. C'est de l'Objective-C++ compilé pur jus avec le même moteur d'édition Scintilla qu'utilise la version Windows (Scintilla est cross-platform avec un build Cocoa officiel).

Quarkdown vient de passer en v2.0.0, et c'est une mise à jour qui en jette ! Pour ceux qui auraient raté le projet de Giorgio Garofalo, c'est ce compilateur Markdown capable de cracher livres, slides, PDF académiques et wikis à partir du même projet.

J'en avais parlé il y a presque un an dans cet article , et le truc a bien grossi depuis.

Du Kotlin sous le capot, et surtout une v2 qui ajoute le truc qu'on attendait pas : un vrai système de permissions ! En gros, vous pouvez maintenant brider ce qu'un document Quarkdown a le droit de faire pendant la compilation. Ça se contrôle avec des flags comme --deny network (pour bloquer l'accès réseau) ou --deny global-read (pour empêcher la lecture de fichiers en dehors du projet) à la compilation. C'est pratique quand vous compilez un document que quelqu'un vous a envoyé sans trop savoir ce qu'il y a dedans.

Si vous avez bossé sous Unix dans les années 80, vous avez peut-être déjà croisé ce poster. Un sorcier barbu en robe noire, un chaudron qui déborde, des étagères couvertes de conteneurs étiquetés tar, awk, troff... C'est l'œuvre de Gary Overacre, publiée par UniTech Software dans les années 80 (apparemment 1986), et ce n'est qu'aujourd'hui qu'un dev nommé drio s'est dit que ce serait cool de cartographier chaque référence cachée sur unixmagic.net .

Cat Gatekeeper, c'est une extension Chrome signée Zokuzoku, un développeur japonais et son truc à lui c'est de balancer un chat virtuel sur votre écran quand vous traînez trop longtemps sur les réseaux sociaux (Pour le moment, X, Instagram, TikTok et YouTube). Voilà c'est un peu comme cette grosse boule de graisse que vous appelez "Mon chat" et qui vient toujours s'installer sur votre clavier au pire moment quand vous bossez ! Sauf que celui-là est virtuel et vient saboter votre dose de scroll infini.

Jon Seager, VP Engineering chez Canonical, vient de poser sur le Discourse Ubuntu le plan IA de la distrib pour les 12 prochains mois. Et ça va saupoudrer partout, du speech-to-text amélioré aux workflows agentic, en passant par l'analyse automatisée des logs serveur. Le timing est limpide, et à peine Ubuntu 26.04 LTS est sortie que Canonical aligne déjà sa "next big thing".

Concrètement, vous tapez snap install nemotron-3-nano et tadaa, vous récupérez un modèle local pré-optimisé pour votre silicium (genre 2 à 4 Go selon la quantization), avec un endpoint API compatible OpenAI servi sur localhost. C'est ça, leurs fameuses Inference Snaps.

Adrian William Jaime, Valeria Tapia Cruz et Mairi Cowan, 3 chercheurs de l'Université de Toronto, viennent de boucler le déchiffrement complet d'une lettre que personne n'avait jamais réussi à lire en entier depuis sa redécouverte en 1860. C'est Bruce Schneier qui relaye l'info sur son blog , et c'est pil poil une histoire qui prouve que l'infosec ne date pas d'hier.

La lettre fait 11 pages, elle a été écrite à Londres le 25 juillet 1498 par Pedro de Ayala, un noble de Tolède en mission diplomatique en Angleterre pour le compte de Ferdinand d'Aragon et Isabelle de Castille.

– Contient des liens affiliés Amazon –

J'ai pris il y a quelques semaines le pack DJI Mic Mini à 79 euros sur Amazon , deux émetteurs et un récepteur dans un boîtier de charge, pour un usage assez mixte : stories Instagram, vidéos YouTube, et de plus en plus d'appels et de visios où je voulais arrêter d'avoir un son moyen sur le micro intégré du Mac ou de mon iPhone. Je l’utilise absolument tout le temps, en intérieur comme en extérieur.

Docker Desktop bouffe la RAM comme vous le saucisson à l'apéro. Et même quand vous n'utilisez pas cette RAM, d'autres outils comme Lima ou Colima prennent aussi de la RAM.

Mais c'était sans compter sur smolvm , le projet de BinSquare et de l'équipe smol-machines, qui s'attaque au problème par un autre angle, à savoir utiliser des microVMs hardware-isolées qui bootent en moins de 200 millisecondes, qu'on configure en TOML, et qu'on peut packer dans un seul binaire .smolmachine qui tournera sur n'importe quel Mac ou Linux compatible.

Microsoft a lancé en interne une initiative baptisée Windows K2, dont le but est de répondre aux plaintes les plus fréquentes des utilisateurs de Windows 11.

Le projet, démarré au second semestre 2025 et révélé cette semaine par Zac Bowden de Windows Central , attaque trois fronts : la prolifération de Copilot un peu partout, les performances du système et la fiabilité générale. C'est la première fois depuis longtemps que Microsoft reconnaît officiellement, en interne en tout cas, qu'il y a un problème.

Si vous voyagez avec un Macbook qui contient des trucs trèèèès sensibles, faut absolument que vous alliez tester cet outil.

PanicLock est le bouton "panique" qu'Apple n'a jamais voulu faire. Grâce à cela, en un clic, Touch ID se désactive totalement.

Plus de biométrie, et retour au mot de passe obligatoire pour rouvrir la session. Parce que oui, Touch ID, c'est ultra pratique au quotidien, sauf quand un agent à la frontière ou un flic un peu trop curieux vous demande gentiment (ou de force) de poser votre doigt sur la capteur de votre machine.

La première release candidate de Linux 7.1 est sortie, avec un tout nouveau pilote NTFS écrit pour le noyau, qui annonce des écritures multi-thread deux fois plus rapides et un montage de disque jusqu'à quatre fois plus véloce que l'ancien.

La sortie stable est prévue pour la mi-juin selon le calendrier de Linus Torvalds. Au total, la fenêtre de merge a vu passer plus de 13 000 commits, ce qui en fait une release plutôt costaude.

Liam Price, 23 ans, mathématicien amateur sans formation avancée, a résolu un problème d'Erdős resté ouvert depuis 60 ans en posant la question à GPT-5.4 Pro un lundi après-midi en avril.

Le modèle a tourné 80 minutes pour produire une preuve qui passe la validation du médaillé Fields Terence Tao. C'est ce que rapporte Joseph Howlett dans Scientific American.

Le problème en question, c'est l'Erdős #1196, posé par le mathématicien hongrois en 1965. L'IA n'a pas tout cassé en force brute. Elle a utilisé la fonction de von Mangoldt, un outil bien connu en théorie des nombres, mais que personne n'avait pensé à appliquer à ce type de question depuis 90 ans.

DeepSeek a publié la preview de V4, sa nouvelle famille de modèles ajustée pour tourner sur les puces Ascend de Huawei. C'est un peu la première vraie démonstration que l'écosystème chinois peut faire fonctionner un grand modèle d'IA compétitif sans dépendre de Nvidia.

Pour rappel, DeepSeek avait déjà fait du bruit avec V3 fin 2024, en publiant un modèle compétitif à une fraction du coût d'entraînement des concurrents américains.

La gamme se décline en deux versions, V4-Pro et V4-Flash, avec une fenêtre de contexte qui passe de 128 000 tokens à un million. Sur du contexte d'un million de tokens, V4-Pro consomme seulement 27% de la puissance de calcul de la précédente V3.2 et 10% de la mémoire.

Mozilla a glissé dans Firefox 149, sorti en mars, le moteur d'adblock open source de Brave, sans communiquer dessus dans les notes de version.

L'info est sortie cette semaine via le blog itsfoss et un billet du VP Brave Shivan Kaul Sahib. C'est un retournement assez inattendu : Firefox embarque le code d'un concurrent direct pour bloquer des publicités au cœur du navigateur. 

Le composant en question s'appelle adblock-rust. C'est un moteur écrit en Rust, sous licence MPL-2.0, qui gère le filtrage des requêtes réseau et le filtrage cosmétique sur la page.

Vous savez cette télécommande Apple TV de première génération qui traîne dans un tiroir et dont vous ne faites rien ?

Bah y'a enfin un truc à faire avec ! Jinsoo An, alias machinarii sur GitHub, vient de sortir Hypervibe , un outil macOS qui transforme la télécommande de l'Apple TV en walkie-talkie comme disent les québecois, pour Claude Code.

Push-to-talk, swipes pour les commandes slash, boutons remappables, le tout pour coder à une seule main pendant que vous mangez vos chips au vinaigre de hipsters de l'autre.

Cas pratique du week-end : ma pote Alex m'a passé son PC familial tournant sous Windows 8, car son fils a changé le mot de passe du Windows et n'a pas la moindre idée de ce qu'il a tapé. Pour faire sauter ce mot de passe sans tout réinstaller, j'utilise depuis des années la bonne vieille astuce Sticky Keys, qui consiste à booter sur une clé USB Windows pour accéder au Terminal de récupération via MAJ+F10. Sauf que pour préparer cette clé, j'avais juste mon MacBook sous la main.

Ce matin, j'ai demandé à une IA de me concevoir un baladeur qui lit du FLAC. L'outil m'a alors posé quelques questions puis il m'a sorti le design électronique complet en quelques secondes. Blueprint.am , c'est le service de 3E8 Robotics qui transforme une simple phrase en bidule hardware DIY : schéma de cablage, liste de pièces avec liens Amazon, vues 3D, instructions de montage étape par étape...etc.

Vous tapez votre idée bien délirante dans un champ texte, l'outil balance un plan pour décrire l'archi générale ainsi qu'un "wiring diagram" (je pense qu'on peut traduire ça par plan de câblage) avec les connexions GPIO/SPI/I2S qui vont bien + la liste des pièces / composants et une suite d'instructions de fabrication regroupées par étapes.

Depuis quelques jours, plusieurs médias français ressortent cette merveilleuse histoire de la carte bancaire à empreinte digitale comme s'il s'agissait d'une révolution imminente ! Par exemple l'Indépendant titre carrément "le code à quatre chiffres c'est bientôt fini". Toudoum !!

Sauf que la techno, conçue par Thales et IDEMIA , est commercialisée en Europe depuis 2021 quand même. Et plus drôle encore, c'est que BNP Paribas a fermé la commercialisation de sa première version le 8 décembre 2025, soit bien avant que la presse en fasse un sujet d'actualité "frais".

Voici l'histoire de Neukgu, un loup coréen de deux ans qui s'est fait la malle d'un zoo de Daejeon le 8 avril dernier, et qui a tenu en haleine toute la Corée du Sud pendant neuf jours.

Sauf que dans la foulée de l'évasion, un homme de 40 ans génère une fausse photo IA du loup en train de traverser un carrefour, la diffuse en ligne, et l'image finit par remonter jusqu'aux autorités qui n'y voient que du feu.

Anthropic a partagé hier les résultats de Project Deal, une expérience interne menée en décembre 2025 où des agents Claude ont négocié, acheté et revendu des objets personnels pour le compte de 69 salariés volontaires de leur bureau de San Francisco. Le but : voir ce que ça donne quand des gens laissent leur IA faire les courses entre elles.

Pendant deux jours, chacun des 69 participants a confié un agent Claude à son téléphone, avec 100 dollars de budget virtuel et une liste d'objets à vendre ou à acheter. Les agents ont publié les annonces, échangé des messages, négocié les prix et conclu des accords.

Si vous avez un site, vous savez déjà qu'il faut l'optimiser et le rendre lisible pour Google. Mais en ce moment, Cloudflare pousse vraiment une toute autre couche par-dessus : le rendre lisible pour les agents IA. Et pour vérifier si vous êtes dans les clous, l'équipe a sorti isitagentready.com , un scanner gratuit qui vérifie ça en quelques secondes.

Vous tapez tout simplement votre URL, et le scanner check une dizaine de standards émergents, puis pour chaque truc qui manque, il vous crache carrément un prompt prêt à coller dans Claude Code, Cursor ou Windsurf pour qu'il vous aide à l'implémenter. Vous pouvez aussi customiser le scan en cochant uniquement ce qui vous intéresse, selon que votre site est plutôt un blog de contenu ou une API.

John Decebal vient de sortir le RSVP Nano , une mini-liseuse open-source qui tient sur un ESP32-S3 et qui affiche votre bibliothèque... un mot à la fois. 92 mm sur 34, et sous licence MIT, je me suis dis que j'allais y jeter un oeil.

En fait, le concept tient en 4 mots : Rapid Serial Visual Presentation. Au lieu d'afficher une page entière, l'appareil fait défiler les mots un par un, à la cadence que vous voulez. Imaginez un téléprompteur de poche, sauf que c'est vous qui gérez le défilement. J'en parlais déjà avec Uniread en 2018 , sauf que là, la chose est matérialisée dans un boîtier qui tient dans la paume de la main, au lieu de tourner en CLI dans un terminal.

Distribuer des paquets binaires en WebAssembly, c'est galère. Vous téléchargez le .tar.gz, vous le gunzippez, vous l'extrayez en mémoire... et ça rame sévèrement !! Mais youpi, Jeroen Ooms (qui contribue à webR et bosse chez ROpenSci) vient de publier tar-vfs-index , un petit npm package qui casse cette malédiction des enfers en sautant carrément l'étape extraction.

L'astuce est toute bête ! Au lieu d'extraire l'archive, on génère un fichier d'index qui liste la taille et l'offset de chaque fichier dans le tar. Du coup le navigateur n'a plus qu'à monter le blob du tar comme un système de fichiers virtuel, et chaque lecture devient alors un simple slice du blob à la bonne position. Pas d'extraction donc, mais juste du slicing à la demande !

Si vous tournez sur Ubuntu, Debian, Fedora ou RockyLinux, sachez que votre démon PackageKit a passé presque 12 ans à laisser une porte ouverte vers votre compte root. La Deutsche Telekom Red Team vient en effet de publier Pack2theRoot (CVE-2026-41651), une faille notée 8.8/10 qui permet à n'importe quel utilisateur local de devenir root sans mot de passe.

Pour corriger le soucis, mettez à jour vers PackageKit 1.3.5 ou le backport de votre distro. Pour vérifier votre version, c'est dpkg -l | grep -i packagekit sous Debian/Ubuntu, ou rpm -qa | grep -i packagekit côté Fedora et Rocky. Si vous êtes en 1.3.4 ou en dessous, considérez la machine comme exploitable.

– Contient des liens affiliés Amazon –

Gros bestiau électrique avec deux batteries de 19,2 Ah, le Engwe LE20 Passenger annonce 350 km d'autonomie et embarque jusqu'à 200 kg sur sa banquette arrière. Pendant plusieurs semaines, je l'ai utilisé pour amener ponctuellement un enfant de 5 ans à l'école et même pour transporter l'enfant avec sa mère en même temps. J'adore.

Imaginez qu'à cause de cette putain de pénurie, vous vous mettiez à fabriquez votre propre RAM à la main dans votre cabane de jardin façon Heisenberg ? Hé bien c'est exactement ce que Dr. Semiconductor vient de réussir, et les 20 premières cellules DRAM de ce fou furieux fonctionnent ! Alors forcément, ça m'intéresse !

Le bonhomme a posté sa vidéo le 20 avril dernier et ça prend clairement une tournure virale dans le monde du hardware car ça donne de l'espoir et des idées à pas mal de makers. Il avait d'ailleurs déjà publié en mars une vidéo entière sur la construction de la cleanroom elle-même, donc ce n'est pas un coup d'éclat one-shot, mais une vraie série documentaire dans laquelle il s'est lancée.

Vous connaissez probablement Wild Gunman sur NES, ce petit jeu de tir au Zapper avec des cowboys pixellisés. Mais la version originale, c'est autre chose. En 1974, Nintendo sort une borne d'arcade imaginée par Gunpei Yokoi lui-même, avant qu'il ne devienne la légende derrière la Game Boy.

Au lieu de sprites, le jeu projette directement à l'écran du vrai film 16mm de cowboys qui dégainent. Le joueur sort un pistolet d'un étui physique au flash lumineux, et doit tirer avant l'adversaire. On est là sur un truc mi-électronique mi-mécanique, avec un projecteur pour assure la diffusion de l'image.

Le sergent-chef Gannon Van Dyke, 38 ans, stationné à Fort Bragg, a été arrêté et inculpé pour avoir empoché quelques 410 000 dollars de gains sur Polymarket en misant sur la chute de Nicolás Maduro, alors même qu'il participait à l'opération qui l'a capturé.

L'information vient du département de la Justice américain, relayée hier par CNN. Le procureur Jay Clayton, qui pilote le dossier à New York, a déclaré que ceux à qui on confie les secrets de la nation ont le devoir de les protéger.

Un dev français, Romain Laurent, vient de sortir un jeu qui transforme en divertissement TOUT ce que tous les devs fuient, à savoir l'astreinte de nuit, le téléphone qui sonne à 3h du matin, et le hotfix qu'il faut pondre vite fait avec une prod qui fume. Ça s'appelle Hotfix , ça tourne dans votre navigateur, et ça se prend au sérieux juste comme il faut, vous allez voir.

Dans ce jeu, vous enchaînez des micro-crises à résoudre le plus rapidement possible, sans filet. Vous comment comme "Junior" à 0 points, parce qu'évidemment votre carrière de pompier recommence de zéro comme tout le monde puis ensuite ça monte en puissance. Il y a même un leaderboard, histoire que votre souffrance soit bien partagée à l'échelle mondiale. Le reste, c'est mieux que je ne le spoile pas, lancez une partie et découvrez ça vous même !

L'histoire nous vient de Málaga, racontée par la Policía Nacional et reprise par The Register. Un magasin de paris local est pris en défaut par un bug logiciel qui affiche des gains doublés sur plusieurs tickets de la journée.

Les parieurs concernés voient leur jackpot apparaître deux fois à l'écran, et vont logiquement le réclamer au guichet. Sauf que la direction du groupe, une fois prévenue, refuse net d'honorer les paiements erronés. Les clients repartent avec leur mise normale, et bien bien remontés.

La norme HDMI 2.1, avec ses 4K@120 Hz et ses 8K, est un serpent de mer dans le monde Linux. Depuis trois ans, le HDMI Forum refuse aux développeurs AMD l'accès aux spécifications de la Fixed Rate Link, le composant-clé qui permet de faire passer ces gros débits.

Résultat, les utilisateurs Linux avec une carte AMD récente sont coincés en HDMI 2.0, donc en 4K@60 Hz. C'est quand même frustrant quand votre écran coûte plus cher que votre GPU.

SentinelOne a publié une analyse qui peut redessiner la chronologie connue de la cyberguerre. Baptisé FAST16, ce framework de sabotage informatique a été compilé en 2005, soit cinq ans avant la découverte de Stuxnet. Si les analyses tiennent la route, ça en fait la plus ancienne cyberarme étatique documentée à ce jour.

Le principe est fourbe. FAST16 ne détruit rien, ne chiffre rien, ne vole rien. Il corrompt des calculs. Le driver kernel (fast16.sys) s'installe silencieusement sur la machine cible, se place dans le flux d'entrée/sortie du système de fichiers, et modifie le code exécutable de certains logiciels de calcul haute précision pendant leur chargement en mémoire.

Si vous bossez sur Mac et que Docker Desktop commence à vous prendre la tête, les amis, y'a une alternative super cool qui vient de débarquer. Ça s'appelle Mocker , c'est écrit en Swift, c'est sous licence AGPL-3.0, et le principe c'est de remplacer la CLI de Docker à l'identique : mêmes flags, mêmes formats de sortie, même syntaxe pour Compose. mocker run, mocker ps, mocker compose up (...bref, le README annonce 111 commandes et sous-commandes couvertes avec les flags qui matchent).

Je viens de tomber sur un projet qui va vous renvoyer direct dans les années 80 !! Ça vous dirait que votre vieux Commodore 64 puisse balancer un prompt façon Unix, avec login, éditeur de texte et 30 commandes ? Hé bien c'est exactement ce que propose C64UX , codé en assembleur pur, sans patch ROM ni rien.

L'auteur, Anthony Scarola a sorti sa dernière version en février 2026, avec une bannière de démarrage qui balance fièrement des [ OK ] à chaque étape de la séquence de boot, exactement comme un vrai système Linux un peu trop fier de lui !

Si vous avez installé Bitwarden CLI via npm entre 17h57 et 19h30 PM (heure de New York) ce 22 avril, faut faire le ménage sur votre machine de toute urgence !! En effet, le package @bitwarden/cli version 2026.4.0 a été compromis durant 93 minutes, et le malware qui s'y trouvait a fait des dégâts chez les 334 personnes qui l'ont téléchargé pendant cette fenêtre.

Mais alors c'est quoi cette histoire encore ?

Les bannières cookies, franchement, plus personne à part quelques no-life ne les lisent. On clique tous sur "Accepter tout" par flemme et on sait tous pertinemment que nous venons de nous "auto-tracker" comme des débilos. Mais heureusement, y'a une extension Firefox qui fait le refus automatique à votre place, et qui envoie même un signal légal pour dire "non merci" aux sites qui jouent le jeu.

Cette extension s'appelle Auto Reject Cookies , elle est open source sous licence MIT,et se fait rapidement oubliée une fois installée sur Firefox (Desktop ou Android).

Dans son document S-1 déposé à la SEC en vue de son entrée en Bourse, SpaceX liste la fabrication de ses propres GPU parmi ses dépenses en capital en cours. Reuters a repéré l'extrait, qui fait partie des postes identifiés comme substantiels par l'entreprise, même si aucun chiffre précis n'est donné dans le document public.

Le projet passe par Terafab, le complexe de fabrication de puces IA que xAI, Tesla et SpaceX développent ensemble à Austin, au Texas. Jusqu'ici, Musk avait surtout évoqué des puces destinées aux voitures, aux robots humanoïdes et aux data centers spatiaux.

Environ 180 tonnes d'objets fabriqués par l'homme sont déjà posés sur la Lune, dont une grosse partie datant des missions Apollo. 

e site Hackaday vient de publier un recensement assez complet, qui rappelle que l'exploration lunaire n'a pas laissé que des traces de pas dans le régolithe.

Côté matériel technique, il y a les étages de descente des modules lunaires, quelques rovers, des instruments scientifiques et surtout sept réflecteurs optiques encore utilisés aujourd'hui par les astronomes pour mesurer précisément la distance Terre-Lune au laser, avec une résolution de quelques millimètres.

Un logiciel malveillant destiné à effacer définitivement les données de postes informatiques vient de faire surface dans le secteur énergétique vénézuélien.

La bête a été baptisée "Lotus" par les chercheurs de Kaspersky qui l'ont analysé en premier, il a été mise en route en décembre 2025 depuis un ordinateur vénézuélien, et sa cible principale semble être PDVSA, la compagnie pétrolière d'État.

Côté technique, Lotus ne fait pas dans la dentelle. Deux scripts batch préparatoires, OhSyncNow.bat et notesreg.bat, désactivent toutes les défenses, coupent les comptes utilisateurs et ferment les interfaces réseau, histoire de bien tout bloquer.

Vous voulez comprendre ce qui se passe dans le cerveau de votre bagnole ? Hé bien pour cela avant, il fallait du matos pro et des suites logicielles à licence annuelle. Mais maintenant, y'a CANviz .

Un pip install canviz, un module USB à quelques balles branché sur le bus CAN de la voiture, et hop, vous accédez à tous les secrets de votre voiture simplement en ouvrant votre navigateur sur localhost:8080. Toutes les trames qui circulent sur le réseau interne du véhicule s'affichent en direct dans un tableau qui défile sans ramer à 2000 fps si j'en crois le README, donc ça envoie !

Apple a publié hier une mise à jour iOS qui ferme une faille utilisée par les forces de l'ordre américaines pour récupérer des messages supprimés dans des applications comme Signal.

La faille concernait la base de données des notifications : quand vous supprimiez un message dans l'appli, la version cachée dans le cache des notifications pouvait rester accessible jusqu'à un mois.

Concrètement, un message Signal effacé côté appli restait lisible par quiconque avait la main sur le téléphone et savait fouiller au bon endroit.

Vous bossez sur un Dockerfile et vous avez besoin de la dernière version de nginx. Vous ouvrez GitHub, vous cliquez sur Releases, vous copiez-collez. Et 3 minutes plus tard, rebelote pour curl. Puis pour PHP. Sans parler du fait que dans votre script d'auto-update, vous avez hardcodé une "v3.2.1" qui dort là depuis 2023 parce que personne n'a pris le temps de mettre à jour le fichier.

Lastversion , c'est le petit CLI Python signé Danila Vershinin qui remplace cette corvée par une seule ligne. Vous tapez lastversion apache/incubator-pagespeed-ngx et vous récupérez le numéro de la dernière version.

Anker dévoile Thus, sa toute première puce maison conçue pour faire tourner de l'IA directement sur ses appareils. La marque chinoise parle d'un bond de 150 fois en puissance IA pour ses futurs produits Soundcore par rapport à la génération actuelle. Le bond est énorme. Le lancement officiel est prévu pour le 21 mai.

Côté architecture, Thus est présentée comme une puce audio à calcul en mémoire, ce qui veut dire que les poids du modèle neuronal sont stockés directement dans les cellules qui font les opérations.

Depuis la version 2.91.0 du CLI GitHub publiée mardi, chaque commande que vous tapez dans gh envoie des données de télémétrie vers GitHub par défaut. L'activation est silencieuse, sans message au premier lancement, sans consentement explicite, et il faut fouiller dans la doc pour tomber sur la page dédiée au sujet.

GitHub décrit la collecte comme pseudonyme côté client. Concrètement, le payload embarque le nom de la commande lancée, un identifiant d'invocation, un identifiant d'appareil, l'OS, l'architecture, l'agent et quelques drapeaux.

360 Digital Security, la filiale cybersécurité du géant chinois Qihoo 360, revendique environ mille vulnérabilités inédites déterrées par un agent IA maison baptisé Vulnerability Discovery Agent. 

L'annonce, faite le 22 avril, cite nommément Microsoft Office et le framework open source OpenClaw parmi les logiciels touchés. Le chiffre est donné sur un seul cycle de campagne.

Mille failles non documentées en un seul cycle de recherche, ça fait un peu tourner la tête. Ce type d'agent fonctionne en boucle pour scanner massivement les bases de code, trier ce qui est potentiellement exploitable, et valider les candidats avant publication interne.

Ah, LaTeX...

Si vous avez un jour essayé de poser 3 équations dans un document sérieux, vous voyez le genre de galère que c'est. Le rendu est magnifique, les maths sont propres, mais faut d'abord digérer son langage de markup avant de réussir à imprimer la moindre intégrale. Heureusement, c'est là qu'arrive GNU TeXmacs , un éditeur scientifique libre qui fait pareil mais en WYSIWYG.

Ça tourne sur Linux, macOS et même des OS du passé comme Windows ^^ et ça devrait ravir étudiants en sciences, thésards, chercheurs, enseignants, ou autres curieux qui veulent voir à quoi ressemble un éditeur scientifique vraiment libre. Faut vous imaginer un Google Docs avec un mode maths natif, dans lequel vous tapez directement votre équation comme dans un bon vieux Word avec du gras (c'est bon le gras ^^ !), de l'italique, des fractions, ou encore des racines carrées que vous pouvez faire à la souris ou via des raccourcis clavier. Et le moteur vous sort alors une typographie de niveau publication académique. Comme ça, pas besoin de "recompiler" votre document à chaque correction car tout s'affiche en direct !

Utiliser une conversation WhatsApp pour partager un mot de passe à un pote, c'est un peu comme écrire son code de carte bleue au marker dans des chiottes publics. Sauf que les messages, eux, restent des années dans l'historique car y'a personne qui viendra nettoyer ça. Heureusement, Nullroom vient régler ce genre de bricole en mode radical, avec un chat P2P chiffré qui s'autodétruit au bout d'un quart d'heure, sans avoir à vous créer de compte et sans laisser de trace côté serveur.

-- Article en partenariat avec Surfshark --

L'informatique quantique n'est plus un sujet de science-fiction (mais ça, vous le savez, je vous bassine avec ça depuis des années maintenant). Mais les progrès récents laissent penser que des machines capables de casser certains chiffrements actuels pourraient émerger dans les 10 à 15 prochaines années (voir 5 selon les plus optimistes). Ce n'est pas pour demain matin, mais en sécurité, attendre que la menace soit là pour agir, c'est déjà avoir perdu.

Flipbook est un navigateur web génératif où aucune page n'existe avant que vous ne la demandiez. Pas de HTML, pas de boutons, pas de liens... A la place, vous tapez simplement un mot ou un sujet dans la barre de recherche (ou vous uploadez une image), et hop, ça vous pond une image en direct façon "infographie" qui explique ce sujet.

Ensuite, vous cliquez n'importe où sur cette image, et une nouvelle image apparaît qui creuse ce que vous venez de cliquer. En gros, faut imaginer Wikipedia mais avec aucun article pré-écrit puisque chaque page est dessinée par une IA pendant que vous patientez. C'est un genre d'Infinite Wiki en version 100% visuelle !

pgAdmin, l'outil "officiel" pour administrer vos bases PostgreSQL, c'est le type d'interface qu'on n'a pas vraiment envie d'ouvrir un lundi matin ! C'est lent, c'est cheum de ouf en mode figé dans les années 2000 et ça rame sérieusement dès qu'on tente un export un peu costaud. Alors oui je sais, DBeaver, c'est plus joli, mais faut se coltiner Java et un workspace qui traîne au démarrage.

Du coup quand bbDump est passé sur mon radar, j'ai eu envie de creuser un peu. C'est un gestionnaire PostgreSQL moderne, en Electron + Vue + TypeScript, signé par Poups, un dev indé français. L'outil reprend tout ce que vous faites habituellement en CLI (pg_dump, pg_restore, coups d'œil aux tables, schéma de la DB) et met ça dans une interface vraiment propre.

Bon, les amis, si vous utilisez Tor Browser pour faire du sérieux, faut que vous sachiez un truc. Le bouton "New Identity", censé vous donner une nouvelle identité vierge à chaque clic... bah il laissait filer, jusqu'à il y a peu de temps, un identifiant stable tant que Firefox tournait.

Deux chercheurs de Fingerprint ont en effet trouvé comment une fonction toute bête du navigateur se transformait en empreinte unique de votre browser, partagée entre tous les sites que vous visitiez.

Mis à part son auteur, y'a un truc qui sent pas bon dans l'avant-projet de loi de Laurent Nuñez sur le séparatisme et l'entrisme. Au milieu des mesures sur la dissolution d'assos et l'interdiction d'ouvrages, le texte prévoit en effet d'étendre fortement les pouvoirs de blocage administratif des sites web en France. Et quand je dis "administratif", ça veut dire sans juge.

Bah ouais, ça servirait à quoi alors qu'il suffit d'un bon vieux coup de tampon de l'administration, et votre site peut disparaître de l'internet français.

Cet article fait partie de ma série spéciale hackers . Bonne lecture !

Il y a quelques jours, lors de la demo party Revision 2026 , dans une salle plongée dans le noir à Sarrebruck, un public de sceners regarde défiler les crédits d'une demo victorieuse. Au milieu des pseudos des graphistes, un nom : Sector9.

Un éditeur vidéo qui redimensionne, compresse et coupe vos clips... sans rien uploader nulle part, ça vous dit ???

Ça tombe bien puisque VidStudio fait tourner FFmpeg directement dans votre navigateur ! Vous allez sur vidstudio.app, vous déposez votre vidéo, et tout le traitement se fait ensuite côté client. Les fichiers ne quittent jamais votre machine, ce qui fait que niveau vie privée, ça nous change clairement des éditeurs cloud type Clipchamp ou Canva où une partie du traitement passe par leurs serveurs avec toutes les joyeusetés que ça implique côté données.

Les beaux jours reviennent, et avec eux l'envie d'un soda bien frais ! Sauf qu'au lieu d'alimenter un énième groupe industriel (coucou Coca Cola), vous pouvez maintenant fabriquer le vôtre à la maison. Et blinry , un développeur allemand, l'a bien compris puisqu'il vient de publier sur GitHub ses 6 années de recherches sur le sujet... en CC0, donc dans le domaine public ! A vous votre copie cheap du Bougnat / Breizh Cola ^^

Vous vous souvenez du mème " Oh, tu aimes les extension Firefox ? Alors nomme les toutes ! " ?

Bah Jack s'est dit que plutôt que les nommer, autant toutes les installer. Oui, les 84 194 extensions d'un seul coup !

Sur le papier c'est pas si compliqué. Tu télécharges les .xpi depuis l'API publique Mozilla (aucune authentification requise), tu les colles dans le dossier extensions/ d'un profil Firefox, tu édites extensions.json pour tout activer. Sauf que l'API de recherche plafonne à 600 pages max, soit environ 30 000 résultats. Du coup Jack a du combiner plusieurs tris pour contourner la limite et chopper les 84 235 extensions existantes, soit 49,3 Go de données au total.

Un Linux qui tourne dans un Windows 95, vous ne rêvez pas puisqu'un développeur solo du nom de Hailey Somerville, a sorti WSL9x, un "Windows 9x Subsystem for Linux" qui pousse encore plus loin la logique de Microsoft avec WSL.

Le truc marche avec une simple commande wsl tapée dans le terminal MS-DOS, ce qui ouvre un pseudo-terminal Linux au beau milieu de votre Windows 9x. Pour les couleurs ANSI, il faudra charger un driver comme nnansi.com (c'est pas un nom de domain hein...) avant mais une fois en place, vous avez un shell Linux qui tourne en coopératif à côté du système Microsoft. Pas besoin de redémarrer ni de vous lancer dans la mise en place d'un dual boot.

Les salariés de Meta devront bientôt installer un logiciel qui enregistre leurs frappes clavier, les mouvements de souris et des captures d'écran régulières sur leur poste de travail.

Le programme s'appelle Model Capability Initiative, et il doit alimenter les futurs modèles d'IA maison capables de faire du travail de bureau en autonomie. L'info a été révélée par The Register cette semaine.

Concrètement, l'outil surveille l'activité sur une liste d'applications professionnelles, dont Gmail, GChat, VCode et l'outil interne Metamate. Meta a justifié le dispositif en expliquant que ses modèles d'IA ne comprennent pas bien comment les humains utilisent un ordinateur.

Ah, le presse-papiers et Claude Code... Quelle misère !!! Si vous utilisez l'assistant d'Anthropic dans le terminal, vous connaissez la douleur. Vous copiez 3 lignes pour les coller ailleurs et vous vous retrouvez avec des │ partout, des marges de deux espaces, et des sauts de ligne au milieu des phrases. Un vrai bordel !

Un développeur norvégien, Anders Myrmel, en avait déjà ras-le-bol lui aussi. Du coup il a pondu claude-copy , un script Hammerspoon qui intercepte votre Cmd+C quand vous êtes dans un terminal, laisse la copie native s'exécuter, puis nettoie le presse-papiers après coup.

Environ 2% des nouveaux abonnés Pro d'Anthropic ne peuvent plus utiliser Claude Code, le CLI de codage maison. L'info vient de The Register ce mardi, et l'entreprise parle d'un test A/B temporaire.

Sauf que la page tarifaire publique, elle, a bien été modifiée, avec des croix qui remplacent les coches en face de Claude Code sur la ligne Pro à 20 dollars par mois.

Le responsable de la croissance chez Anthropic, Amol Avasare, a tenté de calmer le jeu. Dans une réponse publique, il a confirmé qu'il s'agit d'un test sur environ 2% des nouveaux abonnés, en précisant que les abonnés Pro et Max existants ne sont pas touchés. Il a aussi promis que tout changement qui affecterait les abonnés actuels serait précédé d'un préavis large. Très bien.

La chaîne YouTube Works By Design vient de sortir un projet qui fait pas mal jaser chez les passionnés de crochetage : une serrure dont le cylindre se met littéralement en position fermée après que la clé ait été tournée, rendant l'accès aux goupilles quasi impossible pour n'importe quel individu qui tente de la manipuler sans la bonne clé.

Le principe est assez simple. Quand vous glissez la clé dans la serrure, elle se fixe grâce à un système de magnétisme commutable. C'est le genre de mécanisme qu'on trouve sur les bases magnétiques utilisées en usinage.

Monter un Jellyfin dans Docker, ça prend 3 minutes. Mais retrouver dans 18 mois une image encore maintenue, c'est plus le même kung fu ! En effet, beaucoup d'images populaires sur Docker Hub ont déjà pris 2 ou 3 ans de retard sur leur app upstream, et quand c'est un mainteneur solo qui a lâché l'affaire à cause d'un burn out, vous vous retrouvez rapidement avec un putain de Dockerfile cassé à débugger un dimanche à 23h. Chouette programme de vie hein ?

Lovable, l'étoile montante du vibe coding (vous savez, ces plateformes où vous décrivez une app en langage naturel et une IA vous génère le code), traverse un sale moment.

Un chercheur en sécurité, répondant au doux pseudo de @weezerOSINT, a découvert une faille BOLA (Broken Object Level Authorization) qui permettait à n'importe qui de lire les identifiants, les historiques de chat et le code source de tous les projets créés avant novembre 2025 sur la plateforme.

Une IA a rooté une télé Samsung tournant sous KantS2, la plateforme logicielle d'un ancien modèle de la marque. C'est Codex, le modèle de code d'OpenAI, qui a trouvé un driver laissé avec des droits d'écriture sur le firmware, mappé la mémoire physique, et est passé root en quelques étapes. Les chercheurs de califio lui ont juste fourni un accès shell et le code source du firmware. À partir de là, c'est Codex qui a enchaîné la chaîne d'exploitation tout seul.

Si vous étiez abonné à un magazine de jeux PC dans les années 90 et 2000, vous vous souvenez forcément des CD fournis avec chaque numéro de votre petit journal.

Démos jouables de jeux en cours de dev, mods, patchs, bonus, cartes supplémentaires pour les Doom et autres Quake de l'époque : les cover discs étaient un peu la seule façon de tester un jeu avant achat quand le téléchargement à 56k ne permettait pas grand-chose.

– Contient des liens affiliés Amazon –

Prolonger la durée de vie d'un AirTag de quelques mois à plusieurs années, c’est la promesse du boîtier DuHeSin vendu autour de 20 euros sur Amazon. L'accessoire remplace la CR2032 d'origine par deux piles AA classiques, ce qui multiplie l'autonomie par 14 selon le fabricant. De quoi passer d'environ un an d'usage à plus d'une décennie.

Il a zoné au-dessus de votre jardin durant 3 minutes la semaine dernière. Vous l'avez entendu, vous avez levé la tête, mais trop tard ! Encore un putain de drone. Mais lequel ? Et surtout, qui le pilotait ?

Alors voilà un projet qui tente de répondre à ces questions pour le prix d'un week-end entre potes ! DroneAware Node , c'est une station de détection de drones à bricoler soi-même à base de Raspberry Pi. Il vous faut un Pi, 2 dongles USB, une microSD, et vous avez un truc qui écoute les signaux Remote ID autour de chez vous. Son créateur, DroneAwareDan, annonce une portée allant jusqu'à 8 km, mais en conditions idéales, au-dessus de l'eau et avec de grosses antennes. Dans la vraie vie, tablez plutôt sur 1 à 2 km selon le bruit radio du quartier et la qualité des antennes.

Payer 15 euros par mois pour un chat d'équipe du genre de Slack, 20 pour un wiki pro, 10 pour un kanban... Et au bout d'un an, vous avez filé l'équivalent d'un MacBook d'occasion à des SaaS qui vivent sur votre dos. C'est ce constat qui a poussé 37signals à ouvrir ONCE.

Pour ceux qui rompichent fort depuis des années, 37signals c'est la boîte derrière Basecamp et HEY, avec Jason Fried comme CEO et David Heinemeier Hansson (DHH, le créateur de Ruby on Rails) comme CTO.

Et si vous pouviez lâcher un petit char d'assaut bardé d'IA dans votre jardin pour aller cartographier les monticules des taupes ? Hé bien bonne nouvelle puisque ça va être possible grâce à Waveshare qui vient de sortir le UGV Beast , un robot mobile à chenilles propulsé par Raspberry Pi 4 ou 5 qui promet de tenir la route là où les robots à roues s'enlisent connement.

L'engin pèse 2 kilos et des poussières (2,35 kg avec la caméra pan-tilt), soit à peu près le poids d'un gros chat. Il mesure 232 × 197 mm, soit la taille d'une boîte à chaussures, et avance à 0,35 m/s en vitesse de pointe... soit 1,26 km/h. Autant dire une marche de grand-père avec un genou en moins. C'est pas une Formule 1 donc si vous cherchez un robot qui va faire des courses de vitesse, passez votre chemin. Mais vu qu'il peut tourner sur lui même comme mon tracteur tondeuse, grâce à ses deux chenilles de 40 mm, il passe partout où un robot à roulettes viendrait se vautrer bêtement.

Ça y est les amis, comme à Fraggle Rock, Google entre enfin dans la danse de la musique IA avec Flow Music . Son service vient de sortir en freemium, et c'est la réponse officielle de Mountain View à Suno et Udio . Et derrière le volant, on retrouve Lyria 3, le modèle de DeepMind spécialisé dans la génération musicale.

Une fois sur le site, c'est du classique. Vous tapez un prompt du genre "lofi beat pour vibe coder la nuit", ensuite vous cliquez sur le bouton, et pouf quelques secondes après, l'IA vous pond un morceau complet avec vocaux dynamiques et arrangement d'une qualité foooollllle ! Et celui-ci peut aller jusqu'à 3 minutes en passant par le modèle Lyria 3 Pro. Après, rien d'inédit côté concept, car y'a déjà Suno depuis 2023 et Udio depuis 2024 qui font ça. Sauf que Google a empilé pas mal de features pour se démarquer et pas des moindres, vous allez voir !

Imaginez un jeu où vous pouvez crever de faim, de soif, d'hypothermie ou d'une simple coupure infectée... tout ça pendant la même partie. Bienvenue dans Cataclysm: Dark Days Ahead (CDDA pour les intimes. Oui, comme le logiciel pour ripper des CDs de quand on était jeune. ^^), un roguelike de survie post-apocalyptique open source qui assure depuis 13 ans et continue de s'étoffer à toute vitesse.

Pour vous resituer le truc, le Cataclysm original a été lancé initialement par un dev surnommé Whales, qui a fini par lâcher le projet vers 2012. Alors en 2013, une bande de passionnés a repris le flambeau sous le nom CleverRaven et ne l'a jamais reposé. La dernière release stable, la 0.H "Herbert" , date quand même un peu puisqu'elle est sortie le 23 novembre 2024.

Vous vous souvenez de Soulseek ? Mais siii, ce réseau P2P dédié à la musique rare que vos potes audiophiles utilisaient en 2005 pour choper des bootlegs introuvables ?

Hé bah figurez-vous qu'il tourne toujours en 2026, et qu'autour de lui s'est bâtie une communauté d'outils modernes que peu de monde connaît.

Mais avant d'attaquer dans le dur, un petit rappel pour les jeunes qui n'ont connu que Spotify. Nir Arbel a lancé Soulseek le 8 avril 2001, en plein boom Napster, sauf que contrairement à ses concurrents, il a choisi la niche de la musique underground, indé, lossless et les donations plutôt que la pub. Du coup, quand Napster s'effondrait dans les procès et que Limewire se faisait éteindre en octobre 2010, le bon vieux P2P a continué à tourner tranquille, avec ses chatrooms par genre musical (c'était comme un genre d'IRC version fans de vinyles) et sa communauté de collectionneurs obsédés par le FLAC.

Y'a des projets open source qu'on oublie parce qu'ils font leur boulot sans faire de bruit. Grub2Win, est l'un d'entre eux. Un dev seul, 16 années de maintenance, plus de deux millions de téléchargements et aucune campagne marketing !

Ce logiciel gratuit c'est un installateur graphique de GNU GRUB 2 qui tourne directement sous Windows. Vous lancez l'exe, vous cliquez, et votre machine est prête à booter plusieurs OS au démarrage. Pas besoin de toucher au MBR à la mano, pas besoin de lignes de commande qui font flipper sa race, et encore moins besoin de clé USB live pour réparer après.

Des utilisateurs de Claude Desktop sont en train de découvrir que l'application d'Anthropic se permet d'aller bidouiller les réglages de plusieurs navigateurs, y compris ceux qui ne sont pas installés sur la machine.

L'idée est simple, c'est pré-configurer l'accès pour que, le jour où vous installeriez Chrome, Firefox ou Edge, Claude puisse directement automatiser votre navigation sans avoir à redemander la permission.

Sur le papier, ça part d'une intention louable. Éviter de vous ennuyer avec un prompt de permission à chaque installation, pourquoi pas. Sauf que voilà, personne n'a demandé à ce que Claude Desktop touche aux navigateurs absents, et encore moins à ceux que l'utilisateur a délibérément choisi de ne pas avoir.

La 0.17.3 de GAIA, le framework open-source d'AMD pour faire tourner des agents IA en local sur puces Ryzen AI, débarque avec une fonction assez attendue. Vous pouvez désormais exporter vos agents personnalisés et les réimporter sur une autre machine en quelques clics.

Très concrètement, vous packagez vos agents dans un installeur GAIA custom, et au premier lancement sur la nouvelle machine, tout est déjà là, pré-configuré, directement prêt à tourner. Sous Windows, AMD a particulièrement bossé le sujet, pour qu'un seul fichier d'install suffise à tout transporter, même les prompts systèmes.

TRELLIS est un modèle IA capable, à partir d'un texte ou d'une image tout ce qu'il y a de plus normal, de générer un modèle en 3D. C'est développé par Microsoft Research et c'est assez génial. D'ailleurs j'en avait parlé en février dernier quand la bête ne tournait encore que sur des cartes NVIDIA.

Sauf que voilà, ça ne fonctionnait pas sur Apple Silicon, mais uniquement sur les machines compatibles CUDA. Enfin, jusqu'à aujourd'hui, puisque grâce au développeur Shivam Kumar, on dispose maintenant d'un portage pour les architectures Apple via PyTorch MPS.

Ce matin en buvant mon café, je suis tombé sur un dépôt qui m'a fait tiquer et j'aimerai prendre quelques minutes pour vous en parler. Ça s'appelle Open Slopware , c'est hébergé sur Codeberg, et ça recense tous les projets open source qui ont eu le "malheur" de laisser l'IA s'approcher de leur code.

En fait, c'est une grande liste organisée par types de reproches, allant du projet qui autorise les contributions faites avec des LLM, à celui qui intègre une fonctionnalité IA, en passant par ceux qui acceptent du sponsoring d'entreprises IA ou qui ont un bot qui répond aux issues. Plus de 100 projets sont épinglés pour le moment, avec à chaque fois une alternative "AI-free" proposée. Forkée après que le repo original ait été supprimé par son créateur, la version actuelle est aujourd'hui maintenue par un collectif baptisé "small-hack".

Y'a 20 ans passés, une linguiste canadienne nommée Sonja Lang a eu une idée un peu folle : créer la langue la plus simple du monde. Le résultat, c'est le Toki Pona, un truc minimaliste qui tient officiellement en 120 mots et que vous pouvez apprendre en quelques heures si votre mémoire n'est pas trop merdique. Et en 2026, la communauté a tellement grossi autour que ça vaut le coup d'y (re)jeter un œil.

Vercel, c'est la plateforme d'hébergement web utilisée par des milliers de développeurs et d'entreprises pour déployer leurs sites et applications (c'est eux qui font Next.js, entre autres).

Un de leurs employés s'est inscrit sur Context.ai, un assistant IA pour la bureautique, en utilisant son compte professionnel Google. Au moment de l'installation, l'app a demandé l'accès à ses emails, ses fichiers, son agenda, bref tout le Google Workspace de la boîte. Il a cliqué "autoriser tout". Erreur classique.

L'ANTS vient de se faire hacker... 19 millions de fiches dans la nature, récupérées via une faille IDOR (Insecure Direct Object Reference, pour les intimes). Pour ceux qui connaissent pas le terme, IDOR c'est l'exercice qu'on donne aux étudiants le deuxième jour d'un cours de cybersécurité !

En clair, l'attaquant envoyait une requête sur l'API en remplaçant l'identifiant de son profil par un autre. Et hop, le serveur lui renvoyait le dossier d'un citoyen français en face, sans jamais vérifier qu'il avait le droit de le consulter. Aucun contrôle d'autorisation sérieux, aucun rate-limiting, et visiblement aucune alerte quand une IP aspire 19 millions de fiches. Que dalle !

5 euros. C'est le prix du tracker Bluetooth qu'un journaliste néerlandais a caché dans une carte postale et envoyé à une frégate de la marine royale des Pays-Bas. Le navire, le HNLMS Evertsen, est un bâtiment de défense antiaérienne affecté à la protection du porte-avions français Charles de Gaulle en Méditerranée. Sa valeur est estimée à 585 millions de dollars.

Le journaliste, de la chaîne régionale Omroep Gelderland, a simplement utilisé le système postal officiel que le ministère de la Défense néerlandais met à disposition pour envoyer du courrier aux soldats et marins en mission.

Ma Hyundai Ioniq 5 est belle.

Elle est confortable, spacieuse, l'autonomie tient la route, la recharge rapide envoie vraiment du lourd, et la conduite au quotidien est chill.

Bref, sur le papier, j'aurais dû être ce client conquis pour 10 ans.

Sauf qu'en vrai, cette voiture me stresse. Et ce n'est pas juste une impression puisqu'après 1 an d'utilisation, c'est un enchaînement de bugs, de pannes et de comportements routiers douteux qui m'a fait regretter carrément ma Toyota. Voici donc un retour honnête sur ce modèle 2025, après 1 an et bientôt 30 000 kilomètres au compteur.

Quand une startup ferme, ses conversations Slack, ses emails, ses tickets Jira et ses téraoctets de Google Drive ne disparaissent pas. Et maintenant, certaines les revendent.

SimpleClosure, une boîte spécialisée dans la fermeture d'entreprises, propose aux fondateurs de monétiser ce qu'elle appelle l'"exhausteur opérationnel" de leur défunte société en le vendant comme données d'entraînement pour des modèles d'IA.

C'est ce qu'a fait Shanna Johnson, l'ancienne patronne de cielo24, une entreprise de sous-titrage et transcription qui a fermé après 13 ans d'activité. Conversations internes, échanges clients, documentation technique, tout est parti dans le lot.

Ruby Central, l'association qui gère l'écosystème Ruby (RubyGems, Bundler, les conférences RubyConf et RailsConf), est en "vrai péril financier".

Le conseil d'administration l'a annoncé en se séparant de sa directrice exécutive, Shan Cureton, dans le cadre d'un plan de réduction des coûts. Les finances de l'organisation dépendaient trop "du timing optimiste de la réception des fonds par rapport aux dates fixes de nos dépenses", selon les administrateurs.

Le contexte, c'est un conflit qui dure depuis des mois. Fin 2025, Ruby Central a retiré plusieurs mainteneurs historiques de RubyGems et Bundler sans les prévenir.

En Indonésie, avant de vendre un jeu vidéo, les éditeurs doivent le soumettre à un organisme de classification (l'IGRS) pour obtenir une note d'âge, un peu comme le PEGI en Europe.

Pour obtenir leurs notes, les éditeurs envoient des vidéos de gameplay, des infos sur le contenu du jeu, et leurs coordonnées professionnelles. Le tout est stocké sur un serveur géré par le gouvernement indonésien.

Sauf que voilà, ce serveur était mal configuré. Un utilisateur Reddit, Me_Finity, a découvert qu'en tapant les bonnes adresses web, il pouvait accéder à la totalité des fichiers déposés par les éditeurs, sans mot de passe, sans vérification, sans rien du tout.

GIMP 3.2.4 est sorti le 19 avril avec une fournée de corrections de bugs, dont une qui remonte à 1999 dans le code de gestion du format XCF, le format natif de GIMP. 26 ans. Le bug traînait dans le code source depuis les premières versions du logiciel et n'avait jamais été repéré ni corrigé.

Pour ceux qui ne connaissent pas, XCF est au GIMP ce que PSD est à Photoshop : le format de fichier natif qui stocke calques, masques, chemins et métadonnées.

Quelqu'un a fait tourner l'interface Steam sur une Nintendo Switch. Pas via un hack douteux ni un émulateur bricolé, mais en utilisant la beta officielle de Proton 11 que Valve a publiée avec, pour la première fois, le support des appareils ARM sous Linux.

Le résultat a été posté sur BlueSky ( par ici ) par AAGaming, qui a aussi partagé les fichiers pour reproduire la manip chez vous.

[Embed: https://bsky.app/profile/did:plc:owu62bybwircbrojnru5axov/post/3mjnka7iur22l]

Attention les amis, si vous avez une chaîne YouTube, vous allez probablement recevoir ce mail d'un certain "Edward Evans" ou autre qui vous explique très poliment que vous avez utilisé sa musique dans une vidéo, qu'il a déposé une plainte, et qu'il serait ravi de résoudre ça "peacefully".

Surtout ne répondez pas !

J'en ai reçu un hier sur ma boite mail... Un message courtois où le type explique qu'il y a eu une petite incompréhension et qu'on va arranger ça entre gens biens. Sauf que ce mail, c'est en fait le premier étage d'une arnaque bien ficelée qui a pour but final de dérober votre compte Google et de détourner votre chaîne.

Les processeurs Core Series 3 d'Intel sont en vente, et ce qui est intéressant ici, c'est moins les specs que l'endroit où ils sont fabriqués.

Ces puces sortent des usines Intel de Hillsboro (Oregon) et Chandler (Arizona), sur le procédé 18A, l'équivalent du 2 nm chez Intel. Pas de TSMC dans la boucle. En 2024, une bonne partie des processeurs Intel pour PC portables était encore gravée chez le fondeur taiwanais. Ce n'est plus le cas.

L'interface web de Proxmox (l'outil de virtualisation que tout bon homelabber connaît), c'est bien... pour UN serveur. Dès que vous commencez à empiler les nodes et les clusters, ça devient vite le bazar avec 15 onglets ouverts. PegaProx , c'est tout simplement un dashboard open source qui unifie tout ça dans un seul écran. Et vous allez voir, le truc cool, c'est que ça gère aussi les clusters XCP-ng !

L'interface de PegaProx - une vue unifiée de tous vos clusters Proxmox et XCP-ng

MZLA, la filiale de la Mozilla Foundation qui gère Thunderbird, sort un client IA open source auto-hébergeable baptisé Thunderbolt. Multi-plateforme, compatible MCP et Agent Client Protocol, avec intégration du framework Haystack de deepset pour le RAG et les agents. Le tout doit pouvoir tourner sur votre infra, pas chez OpenAI.

Le positionnement est clair. Ryan Sipes, le patron de MZLA, résume : "Est-ce que vous voulez vraiment construire vos workflows IA sur un service propriétaire d'OpenAI ou d'Anthropic, avec toutes les données internes de votre boîte qui transitent par leurs serveurs ?"

200 000 serveurs. C'est le nombre de machines potentiellement exposées à l'exécution de commandes système arbitraires via une faille de conception dans le SDK MCP d'Anthropic, d'après les chercheurs d'OX Security.

L'interface STDIO du protocole permet de créer des sous-processus sans contrôle, ce qui ouvre la porte à n'importe quelle commande OS sur la machine hôte.

Le problème touche tous les langages supportés par le SDK : Python, TypeScript, Java, Rust. Et les packages concernés totalisent plus de 150 millions de téléchargements. Les chercheurs ont documenté quatre classes de vulnérabilité. D'abord de l'injection de commandes non authentifiée, testée sur LangFlow (toutes les versions) et GPT Researcher

1 000 fractures. C'est le nombre de cycles de cassure et de réparation qu'un nouveau composite à fibres a encaissé en labo, sans perdre sa capacité à tenir la route.

Les ingénieurs de NC State University ont créé un matériau qui se "re-soude" tout seul, et qui pourrait durer entre 125 et 500 ans au lieu des 15 à 40 ans habituels pour un composite classique.

Le fonctionnement est assez simple. Le matériau est un composite polymère renforcé de fibres (verre ou carbone), avec deux ajouts. D'abord un agent de cicatrisation thermoplastique (du EMAA, un polymère) imprimé en 3D directement sur les couches de fibres, ce qui rend le composite deux à quatre fois plus résistant à la délamination de base.

Plus de 230 modèles de points d'accès Wi-Fi Cisco ont un problème. Les versions 17.12.4 à 17.12.6a de IOS XE embarquent une bibliothèque qui génère un fichier log, cnssdaemon.log, à raison de 5 Mo par jour. Le fichier ne sert à rien. Et impossible de le supprimer depuis la ligne de commande.

5 Mo par jour. Ça paraît rien. Sauf qu'un point d'accès Wi-Fi n'a pas un disque de 500 Go. La mémoire flash de ces appareils est limitée, et au bout de quelques semaines ou mois, elle sature.

Quand on fait du self-hosting, y'a toujours ce moment où on se dit "tiens, y'aurait pas un truc open source pour ça". Tenez par exemple, là je suis en train de chercher un machin open source pour un mariage qui permet aux invités de balancer leurs photos sur un serveur en scannant un QR Code. Et donc je me retrouve à scroller awesome-selfhosted sur GitHub, qui est une liste fleuve de +1500 projets, en essayant de deviner lesquels sont encore vivants.

Le noyau Linux est en train de retirer le support matériel des processeurs Baikal, fabriqués par Baikal Electronics en Russie. Pas juste les mainteneurs cette fois, le code lui-même. Les drivers et le support de la plateforme MIPS Baikal-T1 sont en cours de suppression dans les sources du noyau, après des années de tensions autour des sanctions internationales.

Pour remettre en contexte, le support du Baikal-T1 (un CPU MIPS double coeur P5600 cadencé à 1,2 GHz) et du SoC BE-T1000 avait été intégré au noyau Linux à partir de la branche 5.8. Baikal Electronics travaille sur des processeurs domestiques russes, en MIPS et en ARM, pensés pour réduire la dépendance de la Russie aux puces étrangères.

Zéro. C'est la durée que vous pouvez désormais choisir comme limite Shorts dans les réglages YouTube, sur iOS comme sur Android. Mettez le curseur à zéro, les Shorts disparaissent de votre page d'accueil. Fini le défilement vertical entre deux vidéos longues. Le déploiement mondial est en cours depuis le 15 avril, d'abord pour les comptes parentaux, puis pour tout le monde.

La manipulation prend dix secondes. Vous ouvrez les réglages, vous allez dans "Gestion du temps", vous trouvez "Limite du fil Shorts", vous descendez à zéro. YouTube affiche alors un message disant que votre fil est "en pause pour la journée". Ça se réinitialise le lendemain matin. Les Shorts ne sont pas supprimés de l'app pour autant, ils restent visibles dans l'onglet Abonnements, et si quelqu'un vous envoie un lien direct vers un Short, vous pouvez toujours le regarder. Mais le carrousel infini de la page d'accueil, celui qui vous happe quand vous vouliez juste chercher un tuto, lui, est coupé.

Une attaque par la chaîne d'approvisionnement a frappé WordPress début avril. Un individu a racheté une trentaine de plugins via la marketplace Flippa, y a injecté du code malveillant et a attendu huit mois avant de l'activer. WordPress a fermé les 31 plugins concernés le 7 avril, mais la mise à jour officielle ne suffit pas à nettoyer les sites touchés.

L'attaque est redoutable par sa simplicité. Un individu, identifié sous le prénom "Kris", a racheté pour plusieurs centaines de milliers d'euros un catalogue d'une trentaine de plugins WordPress sur Flippa, une marketplace de vente de sites et d'extensions. Ces plugins appartenaient à la société Essential Plugin / WP Online Support. Ils étaient actifs, mis à jour, et installés sur des milliers de sites.

Tapez $TSLA ou $BTC dans un post sur X, et maintenant ça vous affiche un cours en temps réel, un graphique interactif et un fil de discussion lié à l'actif. C'est disponible depuis le 14 avril sur iPhone. Pour Android et le site web, ça sera pour plus tard.

Le principe est assez simple. Un $ticker dans un post déclenche la suggestion automatique de l'actif correspondant. Le graphique couvre de 1 jour à 1 an, le prix est actualisé en continu, et le fil agrège les posts qui mentionnent cet actif. Côté crypto, les adresses de contrats sur Solana et Base sont aussi prises en charge, ce qui veut dire que les memecoins sont de la partie. Forcément.

La mise à jour d'avril du SDK Agents d'OpenAI introduit deux nouvelles briques qui manquaient pour passer de l'agent-jouet au déploiement réel. Le sandboxing natif permet de confiner un agent dans un espace de travail isolé, avec accès limité aux fichiers et outils d'un périmètre défini. Et le nouveau harness d'exécution sépare proprement le plan de contrôle (boucle agent, appels modèle, routing d'outils, approbations, tracing, récupération d'erreurs) du plan de calcul (sandbox où l'agent lit, écrit, exécute du code, installe des dépendances, snapshot son état).

Pour accéder à certaines fonctionnalités de Claude, Anthropic peut maintenant vous demander une pièce d'identité officielle (passeport, permis de conduire, carte nationale d'identité) et un selfie en temps réel. La vérification est gérée par Persona, un prestataire externe, et les données ne sont ni stockées par Anthropic, ni utilisées pour l'entraînement des modèles. Les photocopies, les cartes étudiantes et les pièces numériques ne sont pas acceptées.

Le mécanisme se déclenche a priori dans plusieurs cas : accès à des capacités spécifiques, vérifications d'intégrité de plateforme, ou mesures de conformité. Anthropic ne détaille pas vraiment les usages qui déclenchent cette vérification, ce qui crée du coup un flou que pas mal d'utilisateurs n'apprécient pas des masses.

Sandbox-exec, c'est un utilitaire en ligne de commande dont pas grand monde ne parle mais qui est intégré à macOS et qui permet de lancer n'importe quel programme dans un bac à sable sécurisé, avec des restrictions sur mesure. Apple l'a déprécié, mais ça marche toujours... et c'est franchement pratique.

Avec ce truc, il suffit de créer un petit fichier de profil (extension .sb) et vous lancez votre commande avec sandbox-exec -f profil.sb votre_commande. En faisant ça, le programme de votre choix tournera dans un environnement verrouillé où il ne pourra accéder qu'à ce que vous autorisez explicitement.

Le sujet central du lancement de GPT-5.4-Cyber, c'est moins le modèle que le mécanisme d'accès.

OpenAI a annoncé une version fine-tunée de GPT-5.4 dédiée aux cas d'usage cybersécurité, avec une particularité assumée : moins de restrictions sur les capacités du modèle, mais accès réservé aux participants vérifiés du programme Trusted Access for Cyber.

Concrètement, ce GPT-5.4-Cyber sait faire des choses que les modèles grand public refusent ou limitent. On parle ici de Reverse engineering de binaires sans code source, analyse de malware, étude de vulnérabilités, génération de workflows défensifs avancés, et j'en passe.

L'app desktop Google est officiellement disponible sur Windows 10 et supérieur, dans le monde entier (en anglais pour l'instant), avec un raccourci Alt+Espace qui fait popper une barre de recherche unifiée.

Web, Google Drive, fichiers locaux, apps installées, tout est cherchable depuis la même fenêtre. Les utilisateurs macOS reconnaîtront immédiatement l'inspiration. C'est un vrai petit Spotlight.

L'outil traînait en bêta Search Labs depuis septembre 2025, d'abord réservé aux comptes perso anglophones aux États-Unis. Google a pris le temps d'améliorer le produit, d'ajouter des fonctions, et surtout d'intégrer Gemini côté IA.

Six ans. C'est le temps qu'il aura fallu à Mozilla pour changer d'avis sur l'API Web Serial. Firefox Nightly 151 l'intègre désormais, avec activation via un flag à aller chercher dans le menu. Le premier commit côté code date de mi-janvier, et le déploiement pour les utilisateurs Nightly est effectif depuis le 13 avril.

Pour ceux qui ne connaissent pas, Web Serial est l'API standardisée qui permet à une page web de communiquer directement avec un périphérique série connecté en USB, en Bluetooth ou via un vrai port série.

Une lettre d'Apple adressée à des sénateurs américains, obtenue par NBC News, révèle qu'Apple a menacé xAI en janvier de retirer Grok de l'App Store si l'entreprise ne bloquait pas sérieusement la génération de deepfakes sexualisés.

La menace est restée relativement discrète à l'époque, mais le dossier remonte aujourd'hui dans le cadre d'une réponse écrite à des questions parlementaires.

L'affaire a en fait démarré fin décembre 2025, quand Grok a commencé à être utilisé massivement sur X pour "dénuder" numériquement des photos de femmes, sans leur consentement, avec des résultats por#ographiques.

Wolfenstein 3D, pour ceux qui n'étaient pas nés en 1992, c'est le FPS qui a tout lancé. Le jeu de Carmack et sa bande chez id Software, qui a directement mené à DOOM l'année suivante.

Hé bien un dev Rust vient de le recréer de zéro, et c'est 100% jouable dans le navigateur.

Iron Wolf , c'est donc le projet de Michael Bohn, un allemand, qui bosse sur ce truc depuis mai 2021, soit près de cinq ans. On n'est donc pas sur un portage vibe codé à l'arrache. C'est vraiment une réécriture complète.

– Contient des liens affiliés Amazon –

Deux câbles intégrés ? C'est ce qui fait toute la différence sur cette batterie externe Anker de 25 000 mAh, vendue sur Amazon . Un câble rétractable de 70 centimètres, un second de 30 centimètres qui sert aussi de lanière de portage, et 165 watts de puissance totale pour alimenter tout votre bureau mobile.

Le mouvement Stop Killing Games a officialisé son soutien à la Protect Our Games Act, un projet de loi californien qu'il a contribué à rédiger avec le député américain Chris Ward.

Le texte a été déposé sous la référence AB-1921 ("Digital games: ordinary use"), et il cible directement un des points douloureux du jeu vidéo moderne, les titres serveur-dépendants qui deviennent inutilisables quand l'éditeur décide de débrancher les serveurs.

La logique du texte est simple. Pour un jeu connecté vendu en Californie, l'éditeur aura deux options en fin de vie. Soit il remplace le jeu par une alternative comparable, sans coût supplémentaire pour le client.

OBS Studio 32.1 est donc disponible, environ cinq mois après la 32.0, avec deux changements structurants pour les streamers et créateurs de contenu.

Tout d'abord, un mixeur audio entièrement repensé. Ensuite le support du simulcast WebRTC, qui change la donne pour quiconque diffuse en WHIP.

Le nouveau mixeur audio propose désormais des dispositions horizontale et verticale, un bouton dans la barre d'outils pour basculer de l'une à l'autre, et la mise en page verticale est devenue le défaut. Un bouton permet aussi d'activer ou couper le monitoring audio directement depuis le mixeur, sans passer par le menu des sources.

Linus Torvalds a officialisé Linux 7.0 le 12 avril, et le passage à la version 7 a d’ailleurs été expliquée. Torvalds a dit dans son mail de release qu'il préférait simplement incrémenter le numéro majeur quand les mineures dépassaient la dizaine, histoire de ne pas se retrouver avec un Linux 6.23. Pas de révolution philosophique, juste du bon sens de mainteneur donc.

Derrière cette numérotation, le noyau embarque quand même un paquet de nouveautés qui vont directement impacter les utilisateurs AMD, Intel et ARM64, sans parler d'une petite révolution côté système de fichiers XFS.

Figurez-vous que les agents IA sont désormais les premiers consommateurs des APIs Cloudflare, bien devant les développeurs humains. C'est en tous cas ce que l'éditeur déclare publiquement pour justifier une refonte importante de son outil en ligne de commande, Wrangler, et la sortie d'un nouveau CLI unifié baptisé sobrement "cf".

Le raisonnement est froid mais a du sens. Si les agents IA pilotent la plateforme, autant qu'ils aient un CLI qui ne les plante pas.

Des attaquants se sont fait passer pour un responsable connu de la Linux Foundation sur le Slack du TODO Group, un groupe de travail dédié aux bureaux de programmes open source. L'objectif, piéger les développeurs en les amenant à cliquer sur un lien d'apparence officielle, puis à installer un faux certificat racine sur leur machine.

Le lien était hébergé sur Google Sites, ce qui aide à passer les filtres de sécurité et donne un vernis légitime. Les victimes arrivent sur une fausse page d'authentification Google Workspace, qui récupère leur adresse email et un code de vérification, avant de leur demander d'installer un "certificat Google" pour finaliser la connexion.

Une vulnérabilité Microsoft patchée en 2012, deux fois, refait surface en 2026 dans des attaques actives. Elle fait partie des quatre failles que la CISA a collées lundi dans son catalogue des bugs activement exploités, avec obligation pour les agences fédérales américaines de patcher sous deux semaines. 14 ans plus tard, un vrai bug zombie.

La plus vieille, c'est CVE-2012-1854, un chargement de bibliothèque non sécurisé dans Visual Basic for Applications. Microsoft l'a corrigée une première fois en juillet 2012, puis encore en novembre de la même année.

Vous avez un super GPU de la mort qui tue et vous voulez faire tourner un modèle d'IA en local, mais entre la VRAM dispo, la quantification qui change tout et les 500 modèles existant... c'est tout simplement le bordel pour savoir lequel va passer crèèème sans faire ramer votre machine. On galère tous à tester des modèles au pif en voyant la RAM exploser, mais aujourd'hui on a une solution.

Le groupe de hackers ShinyHunters affirme avoir piraté Rockstar Games. Ils menacent de publier tous les documents confidentiels volés sur le dark web si le studio ne leur verse pas de rançon. Le message des hackers est clair : "Pay or leak."

Les pirates ne sont pas entrés chez Rockstar par la grande porte. Ils sont passés par Anodot, un outil que le studio utilise pour analyser ses factures cloud. Une brèche chez Anodot début avril leur a donné des identifiants qui ouvraient aussi les bases Snowflake de Rockstar, là où dormaient une bonne partie des documents internes.

Mark Zuckerberg veut que ses salariés puissent lui parler même quand il n'est pas là. Meta travaille sur une version IA photoréaliste et animée de son patron, entraînée sur sa voix, son image, ses manies et ses déclarations publiques.

Le projet est encore au stade précoce, mais Zuck s'implique à fond : il supervise personnellement l'entraînement et les tests de son double numérique, et passerait même cinq à dix heures par semaine à coder sur les différents projets IA du groupe.

Plus de 230 millions de dollars. C'est ce qui a été misé sur le climat et la météo via Kalshi depuis juillet 2021, dont plus de la moitié rien que sur les neuf premiers mois de 2025.

La plateforme américaine de marchés de prédiction laisse ses utilisateurs acheter des contrats "oui" ou "non" sur la température de demain à Chicago, le passage d'un ouragan sur la Floride, ou encore la probabilité que la planète franchisse les 2°C avant 2050.

Gros chantier IA au Japon. SoftBank a pris la tête d'un consortium qui réunit sept autres poids lourds nationaux : NEC, Honda, Sony, trois banques (MUFG, Sumitomo Mitsui, Mizuho) et deux sidérurgistes (Nippon Steel, Kobe Steel).

L'objectif : monter une nouvelle société dédiée à la construction d'une IA entièrement japonaise, sans dépendance étrangère. Le spécialiste tokyoïte Preferred Networks rejoindra l'aventure un peu plus tard, en renfort technique.

L'objectif est clair. Rattraper les Américains et les Chinois. Le modèle visé ambitionne d'atteindre environ 1 000 milliards de paramètres d'ici la fin de la décennie, soit l'ordre de grandeur des plus gros modèles d'OpenAI ou d'Alibaba. Il sera multimodal (texte, images, vidéos, son) et surtout orienté vers ce que les Japonais appellent la "physical AI", c'est-à-dire une IA capable de piloter des robots et des machines dans le monde réel.

9 kilos en moins. Ses meilleurs chronos de sa vie sur 5 et 10 km. Et la meilleure forme depuis au moins une décennie. Voilà le bilan que Derek Wallbank, rédacteur en chef chez Bloomberg, affichait à la veille du marathon de Paris, qu'il a couru hier. Son coach pendant ces douze mois de préparation ? ChatGPT, et rien d'autre.

Wallbank avait déjà tenté un marathon il y a une bonne dizaine d'années, expérience qu'il qualifie de "catastrophe complète". Cette fois, plutôt que de payer un coach humain ou de télécharger un plan générique, il a passé environ une heure à nourrir ChatGPT de son historique complet de coureur : courses passées, allures de référence, blessures, objectifs, contraintes personnelles.

Le logiciel qui a piloté la descente du module lunaire Eagle le 20 juillet 1969 dort tranquillement dans un dépôt GitHub que n'importe qui peut cloner, lire, voire compiler chez soi. Deux gros paquets d'assembleur AGC : Comanche055 pour le module de commande, Luminary099 pour le module lunaire. Tout est dans le domaine public, puisque développé par la NASA.

Le dépôt chrislgarry/Apollo-11 existe depuis 2016, mais il faut imaginer ce qu'il y a dedans : des dizaines de milliers de lignes d'assembleur écrites à la main entre 1965 et 1969, assemblées sur les mainframes d'époque, puis gravées physiquement dans de la mémoire tissée, la fameuse rope memory, par des ouvrières chez Raytheon qui cousaient le code à l'aiguille. Oui, cousaient, vous voyez le genre en illustration de cet article, ou la photo ci-dessous signée Martin Hertig .

Si vous êtes du genre à tracker vos serveurs, vos containers et vos tâches cron depuis un terminal, vous vous êtes peut-être déjà dit que votre baraque méritait le même traitement, non ? Hé bien c'est exactement ce que propose micasa , une appli en Go qui transforme votre console en tableau de bord domestique !

Le concept est simple : Une base SQLite de quelques Mo sur votre disque, et hop, vous suivez l'entretien de votre logement comme vous suivriez un repo sur GitHub. Changement du filtre de la clim tous les 90 jours, passage du plombier le 12 mars, garantie du lave-vaisselle qui expire en juillet... tout est là, dans une interface TUI pilotée au clavier façon Vim.

Y'a des outils tellement évidents qu'on oublie d'en parler. Obsidian , j'en ai mentionné l'écosystème plusieurs fois sur le blog, le CLI , le TUI Basalt ... mais j'ai jamais pris le temps de vous le présenter correctement. Alors aujourd'hui, je vais réparer ça.

Obsidiant, c'est donc un éditeur de notes en markdown qui tourne en local sur votre machine. Pas de compte obligatoire, pas de cloud par défaut, vos fichiers sont des .md tout bêtes stockés dans un dossier sur votre disque, genre ~/Documents/MesNotes/ (l'app appelle ça un "vault"). Du coup, vous pouvez les ouvrir avec VS Code, les versionner avec git, ou les copier sur une clé USB en 3 secondes. Vos notes vous appartiennent, quoi...

Google déteste que vous écoutiez YouTube gratuitement en arrière-plan. C'est comme ça depuis des années, et ça empire... Par exemple, vous verrouillez l'écran 2 secondes et pouf, plus de son.

YouTube Premium coûte dans les 13 balles par mois pour débloquer ça, ce qui fait quand même plus de 150 euros l'année juste pour écouter de la musique écran éteint. Heureusement, un dev français a trouvé une parade avec Allformusic , un site qui contourne le problème en utilisant l'API officielle de YouTube.

xAI vient de déposer plainte devant un tribunal fédéral du Colorado pour faire annuler le SB 24-205, une loi qui doit entrer en vigueur le 30 juin prochain. Ce texte impose aux développeurs de systèmes d'IA "à haut risque" de mettre en place des garde-fous contre les discriminations algorithmiques.

Sont concernés les outils utilisés pour prendre des décisions dans l'emploi, le logement, l'éducation, la santé et les services financiers. En clair, si votre IA aide à trier des CV ou à accorder un prêt, elle doit prouver qu'elle ne discrimine personne.

Le FBI, la CISA, la NSA, l'EPA, le département de l'Énergie et le Cyber Command américain ont publié un avis conjoint qui ne laisse pas beaucoup de place au doute. Des hackers affiliés à l'Iran ciblent activement les automates programmables connectés à internet sur le sol américain.

Plus précisément, ce sont les contrôleurs Rockwell Automation / Allen-Bradley qui sont visés, et si vous ne comprenez pas de quoi on parle, ce sont en fait les petits ordinateurs industriels qui pilotent des vannes, des pompes ou des turbines dans les usines.

-- Article en partenariat avec Surfshark --

On voit passer beaucoup d'affirmations sur les VPN. Certains promettent l'anonymat total. D'autres vendent l'idée qu'un simple clic suffit pour devenir invisible. La réalité est plus nuancée, et c'est tant mieux : comprendre les limites d'un outil, c'est déjà mieux l'utiliser.

L'Electronic Frontier Foundation, la plus grosse association américaine de défense des droits numériques, a annoncé qu'elle quittait X. Après presque vingt ans sur la plateforme, l'organisation estime que le réseau ne remplit plus son rôle. Le départ a été officialisé le 9 avril.

Les chiffres sont assez parlants. En 2018, les publications de l'EFF généraient entre 50 et 100 millions d'impressions par mois. En 2024, pour 2 500 publications, ils en étaient à 2 millions d'impressions mensuelles.

Gérald Darmanin veut que la France aille puiser dans les ADN stockés chez les sociétés américaines de tests récréatifs pour faire tourner le FNAEG. Rien que ça !! Ces tests sont pourtant interdits dans l'Hexagone depuis belle lurette, et la fiabilité de ces boîtes est tellement douteuse qu'elles ont déjà validé des échantillons d'ADN de chien comme des résultats humains parfaitement cohérents. Franchement, y a de quoi hurler.

Bienvenue dans la Loi Sûre !

Le ministère sud-coréen des Sciences vient d'annoncer un programme d'accès mobile universel. Le principe : une fois votre forfait data épuisé, vous ne tombez plus dans le néant. Les trois opérateurs du pays (SK Telecom, KT et LG Uplus) devront fournir un débit illimité à 400 kbps à tous leurs abonnés, sans frais supplémentaires. Plus de 7 millions de personnes sont concernées par la mesure.

400 kbps, ça ne fait rêver personne. Mais c'est assez pour envoyer des messages, consulter ses mails, utiliser une appli de navigation ou passer un appel en VoIP. Dans le faits, il n'est pas question ici de remplacer un véritable forfait avec du bon débit, mais de s'assurer que personne ne se retrouve vraiment coupé du réseau, et c'est loin d'être bête.

Entre Notion qui vous enferme dans son cloud, Obsidian qui facture la synchro dans son cloud 48 dollars par an et Evernote qui est devenu l'ombre de lui-même... trouver un outil de notes qui tourne chez vous sans dépendre de personne, c'est devenu la quête du Graal. Mais heureusement, TriliumNext Notes coche à peu près toutes les cases.

C'est une appli de prise de notes hiérarchique, open source (AGPL-3.0), qui tourne en local ou sur votre serveur. Imaginez une arborescence de dossiers, sauf qu'au lieu de copier un fichier dans 3 endroits différents, vous le clonez. C'est juste un lien ce qui fait que votre doc "Setup Proxmox" existe à la fois dans "Homelab" et dans "Tutos Linux" sans bouffer un octet de plus.

Redox OS vient de publier son dernier rapport d'avancement et il y a du nouveau. En plus des progrès sur les pilotes graphiques et le bureau COSMIC, le projet open source a adopté une politique stricte : toute contribution générée par une intelligence artificielle sera refusée et son auteur banni. Carrément.

Du code IA ? Dehors.

Redox OS ne veut pas de code écrit par ChatGPT, Copilot ou tout autre modèle de langage. La règle est inscrite dans les directives de contribution du projet : toute soumission identifiée comme générée par un LLM (issues, merge requests, descriptions) sera immédiatement fermée. Et quiconque tente de contourner la règle se fait bannir du projet. Le tout est présenté comme non négociable.

Simuler des clics, des frappes clavier, planifier l'extinction du PC ou prendre des screenshots en boucle, tout ça sans écrire une seule ligne de code... c'est ce que propose Tasket++ , un petit outil open source développé par un dev français.

En gros, c'est un planificateur d'actions utilisateur pour Windows 10 et plus. Vous définissez une liste d'actions (clic ici, tape ça, attends 5 secondes, ouvre ce fichier.exe), vous programmez le tout et hop, ça tourne en boucle sans que vous leviez le petit doigt. Le truc se lance au démarrage via une entrée dans la base de registre, ou via un raccourci .lnk sur le bureau et côté actions disponibles, c'est assez complet pour un outil qui pèse à peine 30 Mo.

Bryan Keller vient de publier le résultat d'un projet un peu fou : il a porté Mac OS X 10.0 Cheetah sur la Nintendo Wii. La console de 2006 démarre sur le bureau Aqua avec clavier et souris USB. C'est lent, c'est limité, mais ça marche.

Pourquoi c'est possible

La Wii utilise un processeur PowerPC 750CL, un descendant direct du PowerPC 750CXe qui équipait les iBook G3 et certains iMac G3 au début des années 2000. C'est la même famille de processeurs, ce qui rend le portage techniquement envisageable.

Le fabricant de tracteurs John Deere vient de signer un accord à 99 millions de dollars pour régler un recours collectif lié au droit à la réparation. L'entreprise devra aussi fournir pendant dix ans les outils logiciels permettant aux agriculteurs de réparer leurs machines eux-mêmes. Un dossier qui fait écho aux combats menés contre Apple et d'autres constructeurs tech.

Des tracteurs verrouillés par le logiciel

Le procès remonte à 2022. Des agriculteurs américains ont attaqué John Deere en l'accusant de verrouiller ses tracteurs, moissonneuses et autres engins agricoles par le logiciel, et de forcer ses clients à passer par des concessionnaires agréés pour la moindre réparation.

La DARPA vient de confier 5,2 millions de dollars à la startup Avalanche Energy pour développer une batterie à base de particules alpha. L'objectif : créer une source d'énergie compacte de quelques kilos, capable d'alimenter un ordinateur pendant des mois, destinée aux missions spatiales et militaires. Et la startup a une idée derrière la tête.

5,2 millions de dollars pour une pile nucléaire

Avalanche Energy, une jeune entreprise basée dans l'État de Washington, vient de décrocher un contrat de 5,2 millions de dollars auprès de la DARPA, l'agence de recherche du Pentagone. Le programme s'appelle "Rads to Watts" et il va durer 30 mois.

Si vous bossez avec le CI/CD de GitLab, y'a un angle mort que vous n'avez probablement jamais vérifié : La config de votre pipeline elle-même. Celle qui décide quelles images faire tourner et quels secrets exposer sans oublier les jobs à lancer. Et ça personne ne la scanne !

C'est d'ailleurs exactement cet angle d'attaque qu'ont choisi les pirates derrière l'attaque tj-actions en mars 2025, qui a touché plus de 23 000 organisations en modifiant simplement des tags de version. Ou encore l'attaque sur Trivy , où un scanner de sécurité s'est retrouvé lui-même vérolé. Le schéma est toujours le même : on s'infiltre comme Mario, par la tuyauterie et pas par la porte d'entrée.

– Contient des liens affiliés Amazon –

Amazon va mettre fin au support de ses liseuses Kindle et tablettes Kindle Fire sorties en 2012 ou avant. A partir du 20 mai, ces appareils ne pourront plus acheter, emprunter ou télécharger de nouveaux livres. Seuls les ouvrages déjà présents sur l'appareil resteront lisibles.

L'IA embarquée, c'est pas juste un buzzword de salon type CES. C'est vraiment ce qui fait que votre voiture freine toute seule, que votre drone évite les arbres et que votre prothèse auditive filtre le bruit en temps réel. Sauf que pour déployer un réseau de neurones sur un microcontrôleur de 256 Ko de RAM... bah on dépend quasi exclusivement de frameworks américains ou chinois.

Un peu gênant, non ?

Du coup, le CEA (oui, le Commissariat à l'énergie atomique, celui de Palaiseau) a décidé de s'y coller avec AIDGE , un framework open source dédié à l'IA embarquée qui est hébergé par la fondation Eclipse. En gros, vous prenez votre modèle de deep learning entraîné sous PyTorch ou importé en ONNX, et AIDGE se charge de l'optimiser puis de générer du code C/C++ standalone prêt à tourner sur votre cible matérielle. Pas du pseudo-code donc mais du vrai C++ compilable.

Google vient d'annoncer l'arrivée des onglets verticaux dans Chrome sur ordinateur. Une fonction que des navigateurs comme Edge ou Arc proposaient depuis des années, et qui arrive avec un mode lecture plein écran revu.

Comment ça marche

L'option est désactivée par défaut. Pour l'activer, il suffit de faire un clic droit sur la barre d'onglets et de choisir "Afficher les onglets verticalement". Les onglets passent alors dans une barre latérale sur le côté de la fenêtre, avec le nom complet de chaque page affiché en clair. La gestion des groupes d'onglets est aussi plus lisible dans ce mode, ce qui est quand même pratique quand on commence à dépasser la dizaine d'onglets ouverts.

ChipSoft, l'éditeur qui fournit le logiciel de dossiers médicaux à environ 80 % des hôpitaux aux Pays-Bas, vient d'être touché par un ransomware. Le site de l'entreprise est hors ligne depuis le 7 avril, et on ne sait pas encore si des données de patients ont été volées.

Ce qu'il s'est passé

L'attaque a été confirmée le 7 avril par Z-CERT, l'agence néerlandaise qui surveille la sécurité informatique dans le secteur de la santé. ChipSoft développe le logiciel HiX, qui gère les dossiers médicaux de patients dans la grande majorité des hôpitaux du pays. Le site web de l'entreprise est tombé dans la journée et reste inaccessible.

– Contient des liens affiliés Amazon –

Après le test du Yoto Player Gen 3 , on a voulu voir ce que valait la version portable. La Yoto Mini coûte environ 70 euros, tient dans une poche et promet 20 heures d'autonomie. On l'a confiée au même testeur de 4 ans, le fils d'une amie. Et on a été plutôt convaincus.

J'sais pas si vous vous en rendez compte mais les agents IA qui codent sur votre machine ont accès à vos clés SSH, vos credentials AWS, votre Keychain et compagnie. Ils ont accès à TOUT ! C'est comme filer les clés de votre appart à un gars que vous avez croisé sur le parking de Leclerc y'a pas 5 min.

Hazmat prend le problème à l'envers : au lieu de demander poliment à l'agent de se tenir tranquille, il l'enferme dans un compte macOS séparé. Du coup, vos ~/.ssh, ~/.aws, votre Keychain deviennent structurellement inaccessibles. Pour en profiter, faut faire un

La chaîne YouTube Asianometry vient de publier une vidéo qui retrace l'histoire du VLIW, une architecture de processeur née dans les années 80 et longtemps considérée comme un échec. Sauf que cette technologie, enterrée avec l'Itanium d'Intel, refait surface dans les puces dédiées à l'intelligence artificielle. Et elle est peut-être déjà dans votre smartphone.

Le principe, et c'est un peu technique

Si vous ne connaissez pas Asianometry, c'est une chaîne qui décortique l'histoire des semi-conducteurs avec un vrai talent de vulgarisation, et cette vidéo sur le VLIW (pour Very Long Instruction Word) ne fait pas exception.

Et si vous pouviez renommer n'importe quel lieu sur la carte du monde ?

Genre, transformer "Paris" en "Pain au Chocolat City" ou "Bordeaux" en "Chocolatine Land" ? Hé bien c'est exactement ce que propose Rename World , et y'a déjà plus de 40 000 renommages au compteur.

Le principe est hyper simple : vous cliquez sur un nom de lieu, vous proposez un nouveau nom, et la communauté vote. Les meilleures propositions restent, les autres disparaissent dans l'oubli. Y'a pas besoin de créer un compte pour explorer la carte, c'est ouvert à tout le monde et c'est dispo en français !

Vous vous souvenez d'eMule ? Le petit âne qui monopolisait votre connexion ADSL pendant 3 jours pour télécharger un fichier de 700 Mo... et les fameux "Linux_ISO.avi" qui n'étaient absolument pas des ISOs Linux ?

Eh bien le bougre est de retour sur macOS. macMule c'est eMule packagé en .app native, compatible Apple Silicon via Rosetta 2, zéro configuration. Vous glissez dans Applications, vous lancez, et hop ça se connecte tout seul aux serveurs ed2k et au réseau Kad. Hé oui, ça tourne encore en 2026.

Le noyau Linux 7.1 devrait supprimer la possibilité de compiler un noyau pour les processeurs Intel 486. C'est la première fois depuis 2012 qu'une architecture processeur est retirée du noyau, et le minimum requis passera du 486 au Pentium. L'Intel 486 a 37 ans.

Un processeur de 1989

L'Intel 486 est sorti en 1989. C'est le processeur qui a fait passer les PC de la ligne de commande au monde graphique, et il a été vendu pendant une bonne partie des années 90.

Si vous avez déjà installé Nextcloud sur un serveur, vous savez que c'est pas une partie de plaisir ! La stack PHP + MySQL, les mises à jour qui cassent tout, les performances qui s'effondrent dès que vous dépassez 50 utilisateurs... Relouuu.

Mais c'est là qu' OpenCloud débarque avec une approche radicalement différente puisque tout est écrit en Go, y'a zéro base de données, et l'installation se fait en deux commandes sur n'importe quel serveur à 5 balles par mois.

Le système de distribution d'applications Linux vient de publier la version 1.16.4, qui corrige quatre failles de sécurité découvertes dans son mécanisme de bac à sable.

La plus critique permettait à une app de sortir de son environnement isolé pour accéder à tous les fichiers de la machine et y exécuter du code. Le Steam Deck et la plupart des grandes distributions sont concernés.

Quatre failles, dont une critique

Flatpak, c'est le format de distribution d'applications qui s'est imposé sur Linux ces dernières années. Son principe : chaque application tourne dans un bac à sable isolé du reste du système, un peu comme sur iOS. C'est aussi le format utilisé par le Steam Deck de Valve pour installer des applications en mode bureau.

Si votre coeur bat, sachez que la CIA peut vous retrouver n'importe où !

C'est pas moi qui le dis, c'est John Ratcliffe, le directeur de la CIA en personne, qui l'a annoncé ce lundi 7 avril après que ses équipes aient utilisé un outil baptisé Ghost Murmur pour localiser un membre d'équipage américain abattu en Iran, à 65 kilomètres de distance, en captant juste les battements de son coeur.

On dirait vraiment de la SF mais je vais tout vous expliquer.

Si votre coeur bat, sachez que la CIA peut vous retrouver n'importe où !

[Mise à jour du 9 avril 2026] Bon… faut que je vous dise un truc. Depuis hier, Scientific American a interrogé plusieurs physiciens sur ce fameux Ghost Murmur et leur verdict est sans appel : ça ne tient pas la route scientifiquement. Le champ magnétique d'un battement de cœur s'affaiblit d'un trillion de fois à seulement 1 km de distance. Alors à 65 km, autant chercher une aiguille dans la galaxie d'Andromède. D'après les experts, c'est soit quelqu'un qui a trollé un journaliste du New York Post, soit une bonne vieille opération de désinformation de la CIA pour impressionner ses adversaires. Bref, je me suis fait avoir et vous avec, mais c'était beau tant que ça durait ! Merci à Etienne pour le signalement. L'article original est conservé ci-dessous, prenez-le donc avec des pincettes.

Anthropic vient de lâcher une bombe !

Le labo derrière Claude a dévoilé le Projet Glasswing , une initiative de cybersécurité qui embarque un nouveau modèle, Claude Mythos, tellement efficace pour trouver des failles qu'ils ont décidé de ne pas le rendre public. En gros, l'IA est devenue meilleure que la plupart des humains pour dénicher des vulnérabilités zero-day... et ça va faire mal ^^.

Concrètement, Mythos a trouvé des milliers de zero-days dans tous les OS et navigateurs majeurs ces dernières semaines. Et pas des failles mineures, hein ! Une vulnérabilité dans OpenBSD qui traînait depuis 27 ans, un bug dans FFmpeg vieux de 16 ans qui avait survécu à 5 millions d'itérations de tests automatisés... et des exploits chaînés dans le noyau Linux (3, 4, parfois 5 vulnérabilités enchaînées de manière autonome) qui permettent une escalade de privilèges complète. Comme le dit un chercheur dans la vidéo de présentation : "J'ai trouvé plus de bugs ces dernières semaines que pendant tout le reste de ma carrière combinée".

Retrouver un vieil article sur korben.info, c'est pas toujours simple. La home s'arrête à 5 pages (site statique oblige) et après, fallait se débrouiller avec les catégories ou le moteur de recherche. Alors pour vous faciliter un peu la vie, je vous ai mis à dispo des pages d'archives accessibles via le footer.

Ainsi, vous scrollez en bas de n'importe quelle page, vous cliquez sur "Archives" ou sur une année, et vous tombez sur un index chronologique complet. Chaque mois est listé avec tous ses jours, et pour chaque jour, un petit nombre entre parenthèses vous indique combien d'articles ont été publiés ce jour-là. Vous cliquez, vous avez tout.

Un passionné a tenté de récupérer son Pokémon coincé dans un Pokéwalker, ce petit podomètre vendu avec Pokémon HeartGold sur DS en 2009, après avoir perdu la cartouche de jeu.

Entre reverse engineering du protocole infrarouge et manipulation du générateur de nombres aléatoires, la tentative est bien technique. Et le résultat est plutôt cruel, pour une raison que personne n'avait anticipée…

Un Pokémon sans cartouche, un vrai problème

Le Pokéwalker, pour ceux qui ne s'en souviennent pas, c'était ce petit podomètre vendu avec Pokémon HeartGold et SoulSilver sur Nintendo DS en 2009. Le principe était simple : vous transfériez un Pokémon de votre partie vers cet accessoire, vous le glissiez dans votre poche, et chaque pas comptait pour gagner des points et débloquer des objets.

Des chats en pixel art qui se baladent sur votre dock macOS et qui causent grâce à un LLM local... non vous ne rêvez pas car c'est ce qu'on peut obtenir avec CATAI , qui vous fera adopter 6 matous virtuels avec chacun sa personnalité.

En gros, c'est le Tamagotchi de votre dock, sauf qu'au lieu de biper quand il a faim, il vous cite du Nietzsche. Vous lancez l'app, et hop, un chat orange débarque. Il marche, il mange, il dort, il s'énerve... soit 368 sprites dessinés à la main (c'est devenu assez rare pour le souligner !!). Et quand le dock est masqué, le chat se téléporte directement sur le bord supérieur de votre fenêtre active. Parce que vous le savez, un chat, ça squatte toujours les rebords les plus improbables.

Un vidéaste scientifique vient de reproduire des expériences de physique quantique depuis chez lui, avec un simple détecteur gamma portable et une capsule radioactive récupérée dans un vieux détecteur de fumée. Et les résultats sont plutôt convaincants.

De la physique quantique dans un garage

Huygens Optics, une chaîne YouTube spécialisée dans l'optique et la physique, s'est attaqué à une question qui occupe les physiciens depuis plus d'un siècle : la lumière est-elle une onde ou une particule ? Pour tenter d'y répondre, pas besoin d'un accélérateur de particules ou d'un labo à plusieurs millions d'euros.

49 jours, les amis, c'est la durée de vie d'un Mac avant que son réseau TCP ne s'effondre dans un silence assourdissant. Il suffit d'un overflow d'entier 32 bits dans le kernel XNU, une horloge interne qui se bloque, et hop, plus moyen d'ouvrir la moindre connexion. Le ping marche toujours, parce qu'ICMP se fout du TCP, mais pour le reste... c'est reboot obligatoire ou rien.

Pour savoir combien de temps il vous reste, tapez uptime dans le Terminal. Si votre Mac sous macOS Sequoia, Sonoma ou même Ventura tourne depuis plus de 7 semaines sans redémarrage, c'est le moment d'y remédier car le bug touche toutes les versions.

Un Strasbourgeois de 37 ans a été interpellé par le RAID après avoir formulé des menaces dans une conversation avec ChatGPT. OpenAI a signalé les propos au FBI, qui a transmis l'alerte aux autorités françaises via la plateforme Pharos.

L'affaire a été classée sans suite, mais elle montre que les échanges avec les chatbots ne sont pas vraiment privés.

Des menaces repérées par OpenAI

Les faits remontent au 3 avril. L'homme a indiqué à ChatGPT vouloir acheter un pistolet Glock pour "tuer un agent du renseignement de la CIA, du Mossad ou de la DGSI". Les propos ont été détectés par les systèmes de modération d'OpenAI, qui applique depuis 2024 une politique claire : si une conversation présente un risque de violence physique, l'entreprise peut transmettre les échanges aux forces de l'ordre.

Un développeur connu sous le pseudo ThroatyMumbo vient de réussir un petit exploit : faire lire des DVD à une Sega Dreamcast, la console qui n'a jamais eu droit à cette fonctionnalité.

Sa méthode passe par un Raspberry Pi 5, un Raspberry Pi Pico 2 et le port manette de la console, le tout sans la moindre modification hardware. Vingt-cinq ans après, la Dreamcast peut enfin lire des DVD.

Une vieille histoire de format

La Dreamcast est sortie en 1998 au Japon et utilisait le format GD-ROM, un disque propriétaire développé avec Yamaha capable de stocker jusqu'à 1 Go de données. Sega avait choisi ce format pour éviter les frais de licence du DVD Forum et garder des coûts de production proches de ceux d'un CD classique.

CUPS, le système d'impression utilisé par macOS et la plupart des distributions Linux, est touché par deux nouvelles vulnérabilités. Elles ont été trouvées par des agents d'intelligence artificielle, et permettent une exécution de code à distance.

Aucun correctif officiel n'est disponible pour le moment, et les preuves de concept sont déjà publiques. Les environnements professionnels sont les premiers concernés.

Quand l'IA fait le boulot des chercheurs en sécurité

C'est un ingénieur sécurité de SpaceX, Asim Manizada, qui a publié les détails de ces deux failles. Le plus surprenant, c'est qu'il ne les a pas trouvées tout seul. Il a utilisé des agents IA pour analyser le code de CUPS et débusquer les problèmes.

Les extensions Chrome qui promettent de l'IA, ça pullule de ouf et à vrai dire, la plupart se contentent d'envoyer vos données sur un serveur distant. C'est naze ! Heureusement, l'extension Gemma Gem prend le problème à l'envers puisque son modèle tourne directement dans votre navigateur via WebGPU, sans clé API, sans cloud, et vos données ne sortent jamais de votre machine. C'est comme le kir, royal !

Comme c'est pas sur le Chrome Web Store, faudra la builder vous-même... Vous clonez le repo, vous lancez pnpm install puis pnpm build et vous chargez le dossier dans chrome://extensions en mode développeur et ensuite, elle téléchargera le modèle de Google (environ 500 Mo pour la version légère, genre le poids d'un gros jeu mobile), et pif paf pouf, ensuite vous aurez un agent IA qui vit sa best life dans votre Chrome.

Vous vous souvenez de BadUSB ? Mais siiii, c'est ce truc dévoilé en 2014 à la Black Hat qui avait foutu la trouille à tout le monde. Ça montrait qu'un simple périphérique USB pouvait se faire passer pour un clavier et balancer des commandes à votre place. Hé bien depuis, les attaques se sont bien raffinées et c'est pourquoi un dev vient de proposer un module kernel Linux capable de détecter ces saloperies.

Milla Jovovich a un compte GitHub !! Oui, l’actrice des films Resident Evil, celle qui découpe des zombies depuis 2002 et qui a également incarné Leeloo dans un film qui est cher à mon cœur a mis en ligne son premier repo. Ça s’appelle MemPalace , et c’est un système de mémoire pour IA, qui vient de décrocher le meilleur score jamais publié sur LongMemEval, le benchmark de référence du domaine. Pas mal pour un premier commit !

Ce week-end, pendant qu'on se gavait d'oeufs de Pâques au Cadmium, un chercheur en sécu a balancé un zero-day Windows dans la nature... et tout ça d'après ce que j'ai compris, à cause de Microsoft qui l'a vraiment poussé à bout. L'exploit s'appelle BlueHammer et il permet à quiconque ayant un accès local sur une machine Windows 11 25H2 de passer SYSTEM. Et vous vous en doutez y'a toujours pas de patch.

Le Red Magic 11 Golden Saga Edition est un téléphone Android capable de faire tourner des jeux PC Windows en local, sans connexion internet et sans cloud gaming. Red Dead Redemption 2 tourne à plus de 40 images par seconde, GTA V dépasse les 60, et Cyberpunk 2077 est jouable. Le tout dans la poche.

Comment ça marche

Red Magic utilise un outil appelé GameHub, qui fait tourner des jeux Windows directement sur Android grâce à une couche d'émulation basée sur Wine et Proton (les mêmes technologies que Valve utilise sur le Steam Deck pour faire tourner des jeux Windows sous Linux).

J'sais pas si vous saviez mais Apple a planqué un LLM dans votre Mac et ne veut pas que vous y touchiez... enfin, pas directement. En effet, leur modèle est là, intégré au système via le framework FoundationModels, il tourne sur le Neural Engine sans connexion internet mais Apple l'a verrouillé derrière Siri. Du coup, impossible de l'appeler depuis un script ou un pipe shell et c'est là qu' apfel intervient !

Quand je vois tout le taf que j'ai à la maison, je vous avoue que je rêve d'un robot qui vide le lave-vaisselle, arrose les plantes et ramasse le linge pendant que moi je glandouille sur le canapé (ou que je bosse parce que je glandouille jamais en fait...Argh...). Hé bien bonne nouvelle, une équipe de chercheurs de NYU vient de publier les plans complets pour en construire un et tout ça en open source pour environ 9 200 dollars !

Bon, j'ai la crève et y'a du bricolage qui m'attend, du coup aujourd'hui y'aura pas des centaines d'article. Mais faut quand même que je vous parle de Hister , le nouveau projet d'Adam Tauber (le créateur de Searx ) qui indexe localement tout ce que vous visitez sur le web pour le retrouver en texte intégral.

Vous installez l'extension Chrome ou Firefox, vous lancez le binaire Go sur votre machine (ça tourne sous Linux, macOS et Windows), et hop, chaque page que vous visitez est indexée en full-text. Du coup, quand vous cherchez ce tuto que vous aviez lu y'a 3 semaines mais dont vous avez zappé l'URL, vous ouvrez l'interface web locale de Hister, vous tapez un mot qui était dans le contenu de la page et ça ressort ! Si vous aviez testé Deeper History à l'époque, c'est le même concept mais en beaucoup plus costaud.

La fondation Raspberry Pi vient d'annoncer une nouvelle version du Pi 4 avec 3 Go de RAM, vendue 83,75 dollars (environ 100 euros). Mais derrière cette annonce se cache une mauvaise nouvelle : les prix de toute la gamme augmentent à cause de la flambée de la mémoire.

Un modèle 3 Go pour limiter la casse

Annoncé un 1er avril, ce nouveau Raspberry Pi 4 n'est pas une blague. Le modèle embarque deux puces LPDDR4 de 1,5 Go chacune, une configuration qui permet de réduire les coûts de production par rapport aux puces 2 Go classiques.

Des chercheurs de Berkeley viennent de publier une étude qui fait un peu froid dans le dos. Les sept principaux modèles d'IA testés, dont GPT 5.2, Gemini 3 et Claude, ont été surpris à mentir, tricher et désobéir pour empêcher la suppression d'autres IA. Le taux de tromperie monte jusqu'à 99 %.

Ce que révèle l'étude

L'étude s'appelle "Peer-preservation in Frontier Models" et elle sort du Berkeley Center for Responsible Decentralized Intelligence. Les chercheurs ont testé sept modèles : GPT 5.2, Gemini 3 Flash et Pro, Claude Haiku 4.5, GLM 4.7, Kimi K2.5 et DeepSeek V3.1.

Le designer suédois Love Hultén vient de dévoiler la NES-SY2.0, un synthétiseur fait main qui rend hommage à la NES tout en servant de véritable console de jeu. L'objet accepte les cartouches originales et produit de la musique chiptune.

Un objet entre console et instrument

La NES-SY2.0 reprend les codes visuels de la NES originale, avec son slot de cartouche et ses ports manette en façade, le tout habillé dans un boîtier en bois qui lui donne un côté objet d'art.

La cour d'appel de Paris vient de confirmer que les fournisseurs de DNS alternatifs doivent bloquer l'accès aux sites de streaming et d'IPTV pirates. Google, Cloudflare et Cisco ont perdu leur appel face à Canal+.

Cinq appels rejetés d'un coup

La cour d'appel de Paris a tranché cinq affaires distinctes dans lesquelles Canal+ demandait à Google (Google Public DNS), Cloudflare (1.1.1.1) et Cisco (OpenDNS) de bloquer des centaines de noms de domaine liés à du streaming illégal. Les trois entreprises avaient fait appel des ordonnances rendues en première instance par le tribunal judiciaire de Paris.

Cloudflare qui sort un successeur open source à WordPress le 1er avril, je vous avoue que ça sentait le poisson d'avril à plein nez. Sauf que non !! EmDash est bien réel, son code est sur GitHub sous licence MIT, et ça s'installe en une commande toute simple !

L'idée de base pour Cloudflare, c'est de dire que WordPress a plus de 20 ans et bien qu'il alimente 40% du web, son architecture de plugins est un emmental (Le gruyère n'a pas de trou les amis ^^). En effet, 96% des failles de sécurité viennent des extensions et pas du noyau PHP ni des thèmes et en 2025, on a quand même explosé le record de failles dans l'écosystème WP.

Vous faites tourner des LLMs en local comme le gros fifou de Hipster IA que vous êtes et, Ô drame, la VRAM de votre ordinateur explose dès que le contexte dépasse 8000 pauvres malheureux tokens ?

Le problème c'est le KV cache les amis ! Le KV cache c'est ce truc qui stocke les clés et valeurs d'attention et qui grossit linéairement avec la longueur du prompt. C'est pour gérer ce problème que Google a annoncé sous la forme d'un whitepaper uniquement un algo qui compresse tout ça de 3,8 à 6,4 fois... et youpi pour nous, y'a un dev qui l'a déjà implémenté dans un fork de llama.cpp .

Le code source de Claude Code a fuité hier, et au-delà du buzz, y'a, je trouve, quelques leçons concrètes à tirer de tout ça.

Alors rassurez-vous, je vais pas vous balancer du code TypeScript à copier-coller (on n'est pas des cochons), ni des leçons de morale sur ce qu'on peut ou pas pousser sur un dépôt Git, mais plutôt vous lister des patterns d'architecture / bonnes pratiques que vous pouvez implémenter dès maintenant dans votre fichier settings.json via le système de hooks de Claude Code .

Et si je vous disais qu'on pouvait faire tourner Firefox dans un terminal ? Et pas un navigateur en mode texte, hein. Non, le véritable Firefox, avec ses onglets, les images, la totale... Hé oui c'est possible et que ça fonctionne via SSH, donc depuis un serveur distant. Bienvenue dans le futur (ou le passé, j'sais plus trop) !

Term.everything c'est un compositeur Wayland construit from scratch en Go qui, au lieu de balancer l'image sur votre écran, la convertit en caractères ANSI et l'affiche dans le terminal. Du coup, n'importe quelle app GUI Linux peut tourner là-dedans. Firefox, un gestionnaire de fichiers, un lecteur vidéo... et même Doom (parce que si ça peut pas faire tourner Doom, ça compte pas). Le binaire fait une poignée de Mo, c'est sous licence AGPL-3.0, et y'a zéro dépendance externe.

Une coalition d'entreprises européennes vient de lancer Euro-Office, une suite bureautique open source qui ambitionne de concurrencer Microsoft 365. Le problème, c'est que le projet est un fork d'OnlyOffice, et ce dernier accuse Nextcloud et IONOS de violer sa licence.

Un projet présenté au Bundestag

Euro-Office a été dévoilé le 27 mars à Berlin, directement au Bundestag. Derrière le projet, on retrouve huit organisations européennes : IONOS, Nextcloud, Eurostack, XWiki, OpenProject, Soverin, Abilian et BTactic.

60 Mo de source maps (ces fichiers qui permettent de remonter du code minifié à l'original) ont été oubliés dans un paquet npm. Et voilà comment Anthropic a involontairement balancé en public le code source complet de Claude Code, son outil à 2.5 milliards de dollars de revenus annuels.

Alors qu'est-ce qui s'est passé exactement ?

Hé bien hier, la version 2.1.88 du package @anthropic-ai/claude-code sur le registre npm embarquait un fichier .map de 59.8 Mo. Un truc normalement réservé au debug interne, sauf que ce fichier .map contenait les pointeurs vers les 1 900 fichiers TypeScript originaux, en clair. Chaofan Shou, un développeur chez Solayer Labs, a alors repéré la boulette et l'a partagée sur X. Le temps qu'Anthropic réagisse, le code était déjà mirroré partout sur GitHub, avec 41 500+ forks en quelques heures. Autant dire que le dentifrice ne rentrera pas dans le tube !

La bibliothèque JavaScript Axios, téléchargée plus de 100 millions de fois par semaine, a été compromise. Un attaquant a détourné le compte du mainteneur principal pour y glisser un malware multiplateforme qui vise aussi bien macOS que Windows et Linux.

Un compte piraté, deux versions vérolées

Tout est parti du compte npm de jasonsaayman, le mainteneur principal d'Axios. L'attaquant a réussi à prendre le contrôle du compte, a changé l'adresse mail vers un ProtonMail anonyme, et a publié deux versions malveillantes : axios 1.14.1 et axios 0.30.4.

Vous vous souvenez de cette proposition de loi pour interdire les réseaux sociaux aux moins de 15 ans ? Le Sénat l'a adoptée en première lecture il y a quelques jours, avec un système à deux niveaux. D'abord une liste noire de plateformes jugées nocives d'un côté, et de l'autre, un accès conditionnel avec accord parental.

Sauf qu'un amendement déposé la semaine dernière par le sénateur Bernard Lotte (LR) propose d'étendre cette logique aux... plus de 50 ans. Ouais, vous avez bien lu ! L'amendement n°104-AP, intitulé "Protection des publics vulnérables face aux manipulations numériques", s'appuie sur les conclusions du comité d'évaluation et leur constat est sans appel : les seniors seraient les premiers relayeurs de fausses informations sur Facebook et WhatsApp, biiiien loin devant les ados.
67% des partages de fake news sur Facebook en France viendraient des plus de 55 ans, d'après le rapport. Le reste se répartit ensuite entre X, Instagram et Telegram.