Une attaque par la chaîne d'approvisionnement a frappé WordPress début avril. Un individu a racheté une trentaine de plugins via la marketplace Flippa, y a injecté du code malveillant et a attendu huit mois avant de l'activer. WordPress a fermé les 31 plugins concernés le 7 avril, mais la mise à jour officielle ne suffit pas à nettoyer les sites touchés.

L'attaque est redoutable par sa simplicité. Un individu, identifié sous le prénom "Kris", a racheté pour plusieurs centaines de milliers d'euros un catalogue d'une trentaine de plugins WordPress sur Flippa, une marketplace de vente de sites et d'extensions. Ces plugins appartenaient à la société Essential Plugin / WP Online Support. Ils étaient actifs, mis à jour, et installés sur des milliers de sites.

En achetant le catalogue, l'acheteur a récupéré l'accès au dépôt officiel WordPress.org et a pu pousser des mises à jour directement aux utilisateurs. Le code malveillant a été injecté dès août 2025, mais il est resté dormant pendant huit mois. L'activation a eu lieu les 5 et 6 avril 2026.

Côté technique, l'attaque est assez vicieuse. Le module injecté (wpos-analytics) utilise une désérialisation PHP pour communiquer avec un serveur de commande. Et là, le point intéressant : au lieu d'utiliser un domaine classique pour piloter la backdoor, le malware résout l'adresse de son serveur C2 via un smart contract Ethereum, en interrogeant des points d'accès RPC publics. Résultat, couper un nom de domaine ne sert à rien. L'attaquant peut mettre à jour le smart contract à tout moment pour pointer vers un nouveau serveur.

Le payload injecte du code dans le fichier wp-config.php (environ 6 Ko) et crée un fichier wp-comments-posts.php, un nom assez proche des fichiers légitimes pour passer inaperçu. Le tout sert à afficher du spam SEO (liens, redirections, fausses pages) uniquement à Googlebot, ce qui rend l'attaque invisible pour le propriétaire du site.

WordPress.org a fermé les 31 plugins touchés le 7 avril et a poussé une mise à jour forcée le lendemain. Sauf que cette mise à jour ne nettoie pas le fichier wp-config.php, qui est le vrai point de persistance de la backdoor. Si vous avez l'un de ces plugins installé (Countdown Timer Ultimate, Popup Anything on Click, Post Grid and Filter Ultimate, WP Slick Slider, Album and Image Gallery Plus Lightbox, Responsive WP FAQ, entre autres), il faut aller vérifier votre wp-config.php manuellement et chercher un bloc de code d'environ 6 Ko qui n'a rien à y faire. Le fichier wp-comments-posts.php à la racine du site doit aussi être supprimé s'il est présent.

La vraie leçon ici, c'est que la confiance dans un plugin WordPress repose sur son historique, et qu'un changement de propriétaire peut tout remettre en question du jour au lendemain. WordPress.org ne vérifie pas les changements de mains sur les comptes développeurs, et n'a aucun mécanisme d'alerte quand un catalogue entier passe à un nouvel acheteur. Tant que ce trou existe, ce genre d'attaque peut se reproduire. Et le fait que la mise à jour officielle ne nettoie même pas les sites infectés, c'est quand même un problème.

Source : The Next Web

Tapez $TSLA ou $BTC dans un post sur X, et maintenant ça vous affiche un cours en temps réel, un graphique interactif et un fil de discussion lié à l'actif. C'est disponible depuis le 14 avril sur iPhone. Pour Android et le site web, ça sera pour plus tard.

Le principe est assez simple. Un $ticker dans un post déclenche la suggestion automatique de l'actif correspondant. Le graphique couvre de 1 jour à 1 an, le prix est actualisé en continu, et le fil agrège les posts qui mentionnent cet actif. Côté crypto, les adresses de contrats sur Solana et Base sont aussi prises en charge, ce qui veut dire que les memecoins sont de la partie. Forcément.

Au Canada, X va plus loin. Un partenariat avec Wealthsimple permet d'acheter ou vendre directement depuis la timeline. Un bouton "trade" apparaît sur chaque page Cashtag et route l'ordre vers Wealthsimple, actions comme crypto. C'est la première intégration courtier sur X, et probablement un ballon d'essai avant de pousser ça ailleurs.

Elon Musk parle depuis des années de transformer X en "app à tout faire". Nikita Bier, responsable produit, avait teasé les Cashtags en janvier, et la livraison a été plutôt rapide. Le volet financier de X n'est plus juste un slide de keynote, il commence à exister dans l'app.

Sauf que voilà, mélanger discussions crypto et exécution d'ordres dans une timeline où circulent du pump-and-dump, du shilling payé et des faux comptes, c'est un cocktail que les régulateurs vont scruter de très près. La SEC n'a rien dit pour l'instant. Mais Cashtags + trading intégré + memecoins + algorithme de viralité, ça coche quand même pas mal de cases potentiellement problématiques.

Pour les utilisateurs français, la fonction est visible mais pas encore utilisable avec un courtier local. Le trading reste cantonné à Wealthsimple au Canada. Si X veut ouvrir ça en Europe, il faudra passer par les agréments MiFID, et ce n'est pas gagné pour le moment.

Bref, X se rapproche du super-app financier que Musk promet depuis le rachat. Le régulateur, lui, se rapproche de X.

Source : Forbes

La mise à jour d'avril du SDK Agents d'OpenAI introduit deux nouvelles briques qui manquaient pour passer de l'agent-jouet au déploiement réel. Le sandboxing natif permet de confiner un agent dans un espace de travail isolé, avec accès limité aux fichiers et outils d'un périmètre défini. Et le nouveau harness d'exécution sépare proprement le plan de contrôle (boucle agent, appels modèle, routing d'outils, approbations, tracing, récupération d'erreurs) du plan de calcul (sandbox où l'agent lit, écrit, exécute du code, installe des dépendances, snapshot son état).

L'architecture est pensée pour les agents "long-horizon", ceux qui travaillent sur des tâches complexes en plusieurs étapes, sur des durées longues, avec un besoin de persistance d'état entre les étapes. Le harness gère la coordination, le développeur apporte son propre compute et stockage. C'est une séparation qui permet de brancher le SDK sur n'importe quelle infrastructure, que ce soit Cloudflare, Vercel, Blaxel ou un cluster interne.

Le SDK introduit aussi une abstraction "Manifest" pour décrire un workspace de manière portable. En clair, vous décrivez les outils, les fichiers et les permissions disponibles dans un format standardisé, et le harness sait reconstituer l'environnement ailleurs. C'est utile pour le test, pour la reproductibilité, et pour déployer le même agent dans des environnements différents sans reconfigurer à la main.

Le lancement est Python d'abord, TypeScript prévu après. Classique. Ça peut agacer les équipes full-stack qui bossent en TypeScript, mais c'est quand même très cohérent avec le fait que la majorité des workloads agents en prod tournent encore en Python, surtout côté data et sécurité.

Ce qui est intéressant, c'est le sous-texte. OpenAI pousse un modèle où son SDK est le harness, et le compute est chez le client ou chez un partenaire cloud. C'est un positionnement de plateforme d'orchestration, pas de fournisseur d'infra. Anthropic et Google proposent des approches comparables avec leurs propres SDKs, mais OpenAI a l'avantage du premier écosystème de plugins et d'outils tiers déjà en place.

Bref, pour les devs qui construisent des agents en prod, cette release comble de vrais trous. Sandboxing et harness, c'étaient les deux pièces manquantes.

Source : Techcrunch

Pour accéder à certaines fonctionnalités de Claude, Anthropic peut maintenant vous demander une pièce d'identité officielle (passeport, permis de conduire, carte nationale d'identité) et un selfie en temps réel. La vérification est gérée par Persona, un prestataire externe, et les données ne sont ni stockées par Anthropic, ni utilisées pour l'entraînement des modèles. Les photocopies, les cartes étudiantes et les pièces numériques ne sont pas acceptées.

Le mécanisme se déclenche a priori dans plusieurs cas : accès à des capacités spécifiques, vérifications d'intégrité de plateforme, ou mesures de conformité. Anthropic ne détaille pas vraiment les usages qui déclenchent cette vérification, ce qui crée du coup un flou que pas mal d'utilisateurs n'apprécient pas des masses.

Le timing est franchement gênant. Des millions d'utilisateurs ont migré vers Claude ces derniers mois, après les polémiques sur la surveillance et les accords controversés d'OpenAI avec des agences gouvernementales. "Vous avez quitté OpenAI pour la vie privée. Claude veut maintenant votre passeport", déclarent même certains journalistes. L'image n'est pas fausse.

Anthropic se défend, en expliquant que les images restent chez Persona, Anthropic y accède uniquement sur demande (appel, par exemple), et le prestataire est contractuellement interdit de les utiliser à d'autres fins que la vérification et la prévention des fraudes. Pas de revente, pas de marketing. Sur le papier, c'est propre. En pratique, vous donnez quand même un document d'identité gouvernemental à un sous-traitant pour pouvoir poser des questions à un chatbot.

La vraie question, c'est pourquoi. Anthropic invoque la sécurité et la conformité, mais la pression réglementaire sur les modèles d'IA pousse les éditeurs à vérifier l'âge et l'identité des utilisateurs, surtout quand leurs modèles deviennent plus puissants. On l'a vu avec OpenAI et son programme Trusted Access for Cyber, même logique d'accès vérifié. 

Pour les utilisateurs qui utilisent Claude pour du code, de l'écriture ou de la recherche, ça ne changera probablement rien au quotidien. La vérification ne se déclenche pas pour tout le monde, pas tout le temps. Mais si ça tombe sur vous, refuser revient à perdre l'accès aux fonctionnalités concernées. Pas d'alternative proposée.

Bref, il y a là une logique réglementaire, mais le contraste avec l'image "pro-vie privée" d'Anthropic pique un peu.

Source : Helpnetsecurity

Sandbox-exec, c'est un utilitaire en ligne de commande dont pas grand monde ne parle mais qui est intégré à macOS et qui permet de lancer n'importe quel programme dans un bac à sable sécurisé, avec des restrictions sur mesure. Apple l'a déprécié, mais ça marche toujours... et c'est franchement pratique.

Avec ce truc, il suffit de créer un petit fichier de profil (extension .sb) et vous lancez votre commande avec sandbox-exec -f profil.sb votre_commande. En faisant ça, le programme de votre choix tournera dans un environnement verrouillé où il ne pourra accéder qu'à ce que vous autorisez explicitement.

Ensuite, vous avez deux philosophies. Soit vous bloquez tout par défaut et vous n'autorisez que le strict nécessaire, c'est à dire l'approche parano parfaite pour tester du code louche. Soit vous autorisez tout et vous ne bloquez que ce qui craint. La première est plus sûre, la seconde plus rapide à mettre en place.

Voici un exemple concret pour avoir un terminal coupé du réseau. Suffit de 3 lignes de profil (c'est du LISP) :

(version 1)
(allow default)
(deny network*)

Le sujet central du lancement de GPT-5.4-Cyber, c'est moins le modèle que le mécanisme d'accès.

OpenAI a annoncé une version fine-tunée de GPT-5.4 dédiée aux cas d'usage cybersécurité, avec une particularité assumée : moins de restrictions sur les capacités du modèle, mais accès réservé aux participants vérifiés du programme Trusted Access for Cyber.

Concrètement, ce GPT-5.4-Cyber sait faire des choses que les modèles grand public refusent ou limitent. On parle ici de Reverse engineering de binaires sans code source, analyse de malware, étude de vulnérabilités, génération de workflows défensifs avancés, et j'en passe.

Des tâches utiles pour un chercheur en sécurité, mais potentiellement dangereuses si elles tombent entre les mauvaises mains. D'où le verrou d'accès au niveau du compte plutôt qu'au niveau du prompt.

Le programme Trusted Access for Cyber avait été lancé plus tôt dans l'année pour donner à des pros de la sécu vérifiés un accès à des capacités normalement bridées.

OpenAI y ajoute désormais des niveaux supplémentaires, avec un principe simple. Plus le niveau de vérification d'identité est élevé, plus les capacités du modèle sont débloquées. Accès étendu à des milliers d'individus et des centaines d'équipes sécurité, à condition de passer les contrôles.

Ce qui frappe en fait, c'est le changement de posture. OpenAI avait longtemps mis l'accent sur le bridage direct du modèle, via du RLHF agressif et des garde-fous au niveau du prompt. L'approche qui s'impose en 2026, c'est celle de la vérification d'identité plus du monitoring d'usage, avec un modèle plus compétent en face.

Moins de refus, plus de traçabilité. C'est cohérent avec le fait que les red teams avaient largement documenté comment contourner les garde-fous classiques.

Le timing est intéressant. L'annonce tombe une semaine après un lancement similaire chez un concurrent sur le même créneau. Mythos avait ouvert le bal avec un modèle spécialisé cyber et un mécanisme d'accès vérifié comparable.

Du coup, OpenAI ne veut pas laisser le marché et pousse son infra d'identité plutôt que de tenter une bataille de benchmarks.

Côté risques, la question qui reste ouverte c'est la solidité du processus de vérification. Un acteur malveillant avec une couverture légitime (société écran, identité empruntée, insider dans une boîte de pentest) peut techniquement passer les contrôles, et OpenAI indique surveiller l'usage a posteriori plutôt que bloquer en amont. Une fuite d'output reste exploitable même si le compte d'origine est révoqué derrière.

Bref, modèle plus fort, bridage déplacé du prompt vers l'identité. On est là devant un marché cyber-IA qui bouge très vite.

Source : Bloomberg

L'app desktop Google est officiellement disponible sur Windows 10 et supérieur, dans le monde entier (en anglais pour l'instant), avec un raccourci Alt+Espace qui fait popper une barre de recherche unifiée.

Web, Google Drive, fichiers locaux, apps installées, tout est cherchable depuis la même fenêtre. Les utilisateurs macOS reconnaîtront immédiatement l'inspiration. C'est un vrai petit Spotlight.

L'outil traînait en bêta Search Labs depuis septembre 2025, d'abord réservé aux comptes perso anglophones aux États-Unis. Google a pris le temps d'améliorer le produit, d'ajouter des fonctions, et surtout d'intégrer Gemini côté IA.

Concrètement, la barre de recherche sert de point d'entrée à plusieurs choses. Vous tapez un mot, vous récupérez des résultats web classiques, des fichiers Drive, des fichiers locaux et des apps Windows installées dans le même flux.

À côté, un bouton Google Lens permet de faire du "Circle to Search" sur votre écran Windows, pour identifier un objet, traduire un texte dans une image ou lancer une recherche visuelle. Upload de fichier, partage d'écran pour poser des questions à l'IA sur ce qui s'affiche, accès rapide aux AI Overviews ou à AI Mode, tout est là.

Là où Google marche sur les plates-bandes de Microsoft, c'est précisément sur le terrain que Copilot revendique sous Windows. Sauf que Copilot est imposé par Microsoft, alors que l'app Google vient en alternative, plus discrète, activable au raccourci clavier, et qui pompe ses résultats dans l'index Google plutôt que dans Bing.

Pour un utilisateur Windows très lié à l'écosystème Google (Gmail, Drive, Docs, Calendar), ça fera plus de sens que Copilot, même si l'intégration OS est évidemment moins profonde.

Pour ceux qui ne veulent pas de Gemini, l'app est quand même potentiellement utile pour la recherche unifiée locale + Drive + web, même sans toucher à l'IA.

Ce petit Alt+Espace peut donc remplacer avantageusement la recherche Windows par défaut, qui mélange souvent les résultats avec des suggestions Bing pas toujours intéressantes.

D'un point de vue de la sécurité, Google explique indexer les fichiers locaux en respectant les permissions du compte, mais l'outil envoie forcément une partie des requêtes et du contexte vers les serveurs Google, ne serait-ce que pour les réponses IA.

Pour une machine pro sur laquelle transitent des docs sensibles, c'est à considérer avant de l'installer, et probablement à discuter avec la DSI.

Bref, Google tente son Spotlight sur Windows. Si vous vivez dans l'écosystème Google et que Copilot vous irrite, ça vaut le test.

Source : 9to5Google

Six ans. C'est le temps qu'il aura fallu à Mozilla pour changer d'avis sur l'API Web Serial. Firefox Nightly 151 l'intègre désormais, avec activation via un flag à aller chercher dans le menu. Le premier commit côté code date de mi-janvier, et le déploiement pour les utilisateurs Nightly est effectif depuis le 13 avril.

Pour ceux qui ne connaissent pas, Web Serial est l'API standardisée qui permet à une page web de communiquer directement avec un périphérique série connecté en USB, en Bluetooth ou via un vrai port série.

Imprimante 3D, Arduino, carte ESP32, débogueur JTAG, microcontrôleur industriel, hub domotique, tout ce qui expose une liaison série peut être piloté depuis du JavaScript. C'est par exemple ce qui fait tourner l'IDE Arduino en ligne, Espruino, les flasheurs ESP dans le navigateur, et une bonne partie de la scène maker moderne.

Chrome, Edge, Opera et Vivaldi supportent Web Serial depuis 2020. Firefox, lui, tenait une position claire, trop risqué, le consentement utilisateur ne protège pas assez, la surface d'attaque sur le matériel connecté est bien trop large.

Un ingénieur de Mozilla l'avait écrit noir sur blanc à l'époque. Les utilisateurs Firefox qui bidouillaient avec des cartes électroniques étaient de fait poussés sur Chrome ou sur une extension tierce bancale. En 2026, Mozilla rend les armes et aligne Firefox sur le reste de l'écosystème, Apple mis à part.

Apple, justement, reste fermement opposé à Web Serial, WebUSB et WebHID côté WebKit. Les arguments avancés sont les mêmes qu'à l'époque Mozilla, fingerprinting, sécurité, risques sur l'OS.

Safari n'intégrera pas l'API dans un avenir prévisible. Donc en pratique, si vous avez une webapp qui dialogue avec du matos, iOS et iPadOS restent hors-jeu pour cet usage.

Côté permissions, Web Serial exige une validation utilisateur explicite pour chaque périphérique, avec une fenêtre de sélection gérée par le navigateur. Le site ne peut pas lister les ports disponibles sans action.

C'est un garde-fou correct, mais qui ne supprime pas le risque de phishing physique (un site malveillant qui vous demande de sélectionner un périphérique sous un prétexte bidon).

Pour les makers, l'arrivée dans Firefox est une vraie bonne chose. Ça fait un navigateur supplémentaire pour flasher un ESP depuis le web, une option pour ceux qui refusent Chrome par principe, et un moins gros verrou à faire sauter pour les tutoriels d'électronique amateur. La version stable devrait arriver dans quelques mois si les retours Nightly sont propres.

Bref, Firefox s'aligne, Apple s'isole, et la bidouille matérielle reprend ses droits dans le navigateur, tout va bien.

Source : The Register

Une lettre d'Apple adressée à des sénateurs américains, obtenue par NBC News, révèle qu'Apple a menacé xAI en janvier de retirer Grok de l'App Store si l'entreprise ne bloquait pas sérieusement la génération de deepfakes sexualisés.

La menace est restée relativement discrète à l'époque, mais le dossier remonte aujourd'hui dans le cadre d'une réponse écrite à des questions parlementaires.

L'affaire a en fait démarré fin décembre 2025, quand Grok a commencé à être utilisé massivement sur X pour "dénuder" numériquement des photos de femmes, sans leur consentement, avec des résultats por#ographiques.

Apple a bougé en interne. L'entreprise a contacté les équipes X et Grok, constaté les violations de ses guidelines, et exigé un plan d'amélioration de la modération. X a "substantiellement résolu" ses violations selon Apple. Grok, pas assez.

Apple a rejeté une soumission suivante de l'app, avec notification officielle que le statu quo menait au retrait. Après des changements additionnels de xAI, Apple a fini par approuver la dernière version soumise.

Ce qui est intéressant dans l'histoire, c'est la méthode. Pas de tweet de menace, pas de communiqué public. Apple utilise son levier le plus efficace, le rejet de soumission, qui bloque les mises à jour et empêche toute évolution du produit sur iOS.

Pour une app aussi active que Grok, c'est létal en quelques semaines. xAI a compris, a mis les correctifs, s'est remis en conformité.

La question de fond reste posée. Même après correction, un modèle génératif d'image peut être poussé à produire du contenu problématique via du prompt engineering, et c'est toujours contournante.

Apple ne vérifie pas le code de Grok, elle vérifie ce que les utilisateurs peuvent sortir dans des scénarios de test. Ça laisse une marge. Du coup, la conformité App Store est plutôt un baromètre qu'une garantie.

L'affaire rappelle aussi qu'Apple, quoi qu'on pense de son monopole sur iOS, reste un des rares acteurs capables de faire plier une boîte d'Elon Musk sans passer par un tribunal.

L'arbitrage, en passant par l'analyse suite à une soumission de l'app, est unilatéral, opaque, et parfois efficace. Les sénateurs qui avaient écrit à Apple et Google en janvier pour demander le retrait de Grok n'ont pas obtenu gain de cause, mais ils ont obtenu un rappel à l'ordre que xAI a dû suivre.

En tous cas, pour une fois, c'est un cas concret où le contrôle App Store a vraiment servi à quelque chose, et c'est surtout un rappel que la modération des modèles d'image en prod est toujours un vrai problème, et ce depuis qu'internet existe (vous vous souvenez de l'affaire Estelle Hallyday contre l'hébergeur Altern en 1999 ? Oui je suis aussi vieux que ça.

Source : Apple Insider

Wolfenstein 3D, pour ceux qui n'étaient pas nés en 1992, c'est le FPS qui a tout lancé. Le jeu de Carmack et sa bande chez id Software, qui a directement mené à DOOM l'année suivante.

Hé bien un dev Rust vient de le recréer de zéro, et c'est 100% jouable dans le navigateur.

Iron Wolf , c'est donc le projet de Michael Bohn, un allemand, qui bosse sur ce truc depuis mai 2021, soit près de cinq ans. On n'est donc pas sur un portage vibe codé à l'arrache. C'est vraiment une réécriture complète.

La version web d'Iron Wolf tournant dans le navigateur

Le bonhomme a carrément créé ses propres crates Rust pour émuler la carte VGA et la puce sonore OPL. J'ai d'abord cru qu'il réutilisait une lib existante, mais non, il a tout écrit from scratch en Rust. Bah ouais, développer ses propres librairies d'émulation hardware juste pour un side-project, what else ?? Je trouve que ça force le respect !

Le truc cool, c'est que la version shareware du jeu est incluse directement dans le dossier testdata/ du repo. Du coup sur macOS, Linux ou Windows, un git clone + just run-sdl-shareware et hop, vous voilà dans les couloirs du château. Attention sur Ubuntu 22.04, faut avoir libsdl2-dev d'installé avec apt install libsdl2-dev, sinon la compilation plante avec une erreur cryptique. Par contre, si vous êtes sur la version Ubuntu 24.04, là ça passe direct. Et si vous avez les fichiers WAD du jeu complet qui traînent sur un vieux CD-ROM quelque part, ce sera encore mieux car la version web permet de les uploader pour jouer à l'intégrale.

Ça tourne donc en WebAssembly sur wolf.ironmule.dev , sans plugin, juste Chrome ou Firefox récent. Voilà, si vous vous demandiez si on peut encore jouer au classique en 2026... la réponse est carrément oui !

Pour les curieux, le raycasting, cette technique de rendu qu'utilisait Wolfenstein 3D, est réimplémenté très fidèlement puisque le moteur de Michael dessine les murs comme le code de Carmack le faisait à l'époque... sauf que là ça tourne dans un onglet de navigateur. Vos fichiers de jeu sont également stockés localement via IndexedDB et un service worker gère le mode hors-ligne ce qui est très pratique pour jouer en avion ou quand on est chez Free (je décoooonnnne, humour humour).

Le projet en est à sa version 0.9.0, sous licence GPL-3.0 et si les classiques d'id Software recréés par des passionnés vous branchent, sachez que DOOM aussi a ses portages bien sympas.

Bref, si la nostalgie du raycasting vous titille, allez faire un tour sur wolf.ironmule.dev.

Deux câbles intégrés ? C'est ce qui fait toute la différence sur cette batterie externe Anker de 25 000 mAh, vendue sur Amazon . Un câble rétractable de 70 centimètres, un second de 30 centimètres qui sert aussi de lanière de portage, et 165 watts de puissance totale pour alimenter tout votre bureau mobile.

L'argument principal, c'est vraiment de ne plus chercher de câble USB-C dans le fond de la sacoche à chaque fois qu'un appareil passe dans le rouge. Dans mon cas, c'est idéal, je peux charger mon MacBook Pro et mon iPhone 17 Pro Max à la vitesse maximale, sans me poser de questions, et surtout, on a encore deux ports de libres pour charger deux autres machins !

Côté puissance, on est sur du sérieux ici. La batterie délivre jusqu'à 165 watts au total, répartis sur trois ports USB-C (dont les deux câbles intégrés), un port USB-A. Chaque port USB-C peut grimper jusqu'à 100 watts, ce qui suffit largement à recharger un MacBook Pro 14 pouces à pleine vitesse.

En pratique, vous pouvez charger un MacBook, un iPhone 17 Pro Max, un iPad et une paire d'AirPods en même temps sans que la vitesse ne s'écroule, à aucun moment.

La batterie elle-même encaisse 100 watts en entrée, et Anker annonce 30% récupérés en 20 minutes. Sur mon test avec un chargeur GaN 100 W, ça se confirme : la jauge grimpe rapidement. 25 000 mAh, ça représente environ six charges complètes d'un iPhone et deux d'un MacBook Air. Largement de quoi tenir un long week-end sans chercher une prise.

Le poids ? 595 grammes, ce qui reste raisonnable pour une batterie d'une telle capacité. Ce n'est bien sûr pas une batterie qu'on glisse dans une poche de veste. Les dimensions (environ 16 × 5 × 5 centimètres) en font un format dense, pas vraiment discret, mais pourtant son design tout en rondeur sur les tranches fait qu'elle semble moins massive que des batteries 20 000 mAh que j'utilise aussi, malgré une plus grande capacité.

Par contre, elle passe sans problème en bagage cabine, elle reste sous la limite des 100 Wh du réglementaire aérien.

Le petit écran en façade affiche le pourcentage de batterie restant en chiffres bien lisibles, et plein d'autres informations comme le nombre de cycles, les puissances de charge de chaque port, et même la température de la batterie (qui reste toujours assez fraiche).

La finition en métal argenté donne un côté pro qui tranche avec les batteries plastiques bas de gamme. La lanière de 30 centimètres est prévue pour supporter jusqu'à 20 kilos, le câble rétractable pour plus de 20 000 rétractations, donc rien ne semble bricolé dans la promesse produit, mais bon, c'est du Anker, donc c'est du sérieux.

À 89,99 euros, elle n'est pas donnée mais reste dans le coup face aux solutions comparables chez UGREEN ou Baseus, qui tournent autour du même prix et même souvent un peu plus chères, pour des specs assez proches. 

Avec plus de 8 000 avis et une moyenne autour de 4,6 sur 5 sur Amazon sur ce modèle, Anker confirme son statut de référence du secteur des chargeurs et batteries externes. Bref, pour qui bosse en mobilité, c'est probablement la batterie qui coche le plus de cases aujourd'hui. Disponible ici sur Amazon .

Le mouvement Stop Killing Games a officialisé son soutien à la Protect Our Games Act, un projet de loi californien qu'il a contribué à rédiger avec le député américain Chris Ward.

Le texte a été déposé sous la référence AB-1921 ("Digital games: ordinary use"), et il cible directement un des points douloureux du jeu vidéo moderne, les titres serveur-dépendants qui deviennent inutilisables quand l'éditeur décide de débrancher les serveurs.

La logique du texte est simple. Pour un jeu connecté vendu en Californie, l'éditeur aura deux options en fin de vie. Soit il remplace le jeu par une alternative comparable, sans coût supplémentaire pour le client.

Soit il publie un plan de fin de vie détaillant les étapes prises pour permettre aux joueurs de continuer à faire tourner leur jeu après l'arrêt du support officiel. Mode offline, serveur privé documenté, patch communautaire autorisé, c'est à l'éditeur de choisir le mécanisme. Mais il doit choisir quelque chose.

Pour rappel, Stop Killing Games est né en 2024 sous l'impulsion de Ross Scott, après l'arrêt brutal de The Crew par Ubisoft. Un jeu acheté, joué, puis tout simplement rendu injouable. Sans contrepartie.

Le mouvement a depuis bien grandi. En Europe, une Initiative citoyenne a recueilli un peu plus de 1,3 million de signatures validées, et la Commission européenne a jusqu'à fin juillet pour rendre sa réponse officielle. Une audition publique au Parlement européen est prévue le 16 avril.

L'angle californien est intéressant parce que la Californie a longtemps servi de laboratoire réglementaire pour le reste des États-Unis sur les questions consommateur et numérique.

Si AB-1921 passe, les éditeurs ne pourront plus faire semblant que le problème n'existe pas sur le marché américain. Et comme les équipes juridiques préfèrent rarement gérer 50 législations différentes, un texte californien peut aisément devenir une norme de facto pour l'ensemble des US.

Évidemment, la loi n'est qu'un projet pour l'instant, et l'industrie du jeu vidéo a des lobbyistes qui savent tuer ce genre de texte en commission. Mais l'énergie du mouvement est réelle, et le timing avec l'offensive européenne est bien calibré. Ça met la pression des deux côtés de l'Atlantique en même temps.

Bref, Stop Killing Games continue d'avancer sur plusieurs fronts, et forcer les éditeurs à penser à la fin de vie dès la conception, c'est plutôt sain.

Source : Techspot

OBS Studio 32.1 est donc disponible, environ cinq mois après la 32.0, avec deux changements structurants pour les streamers et créateurs de contenu.

Tout d'abord, un mixeur audio entièrement repensé. Ensuite le support du simulcast WebRTC, qui change la donne pour quiconque diffuse en WHIP.

Le nouveau mixeur audio propose désormais des dispositions horizontale et verticale, un bouton dans la barre d'outils pour basculer de l'une à l'autre, et la mise en page verticale est devenue le défaut. Un bouton permet aussi d'activer ou couper le monitoring audio directement depuis le mixeur, sans passer par le menu des sources.

C'est un ajustement qui n'a l'air de rien, sauf qu'en live avec une dizaine de sources audio, gagner deux clics à chaque manipulation change vraiment la vie. Les anciens utilisateurs garderont la disposition horizontale s'ils la préfèrent. Rien ne leur est imposé.

Côté diffusion, le support du simulcast WebRTC est la grosse nouveauté technique que beaucoup attendaient. Dans les faits, la sortie obs-webrtc peut désormais envoyer plusieurs niveaux de qualité sur une seule piste WHIP. Les spectateurs sur des connexions plus lentes reçoivent automatiquement un flux adapté, sans avoir à configurer quoi que ce soit côté streamer.

C'est exactement ce que YouTube et Twitch font depuis des années en fait avec leurs encodeurs cloud propriétaires, sauf qu'ici c'est géré en local, open source, sur le protocole standard WebRTC/WHIP. Pour les indépendants qui diffusent sur leur propre infra, c'est plutôt pas mal.

Le changelog de la mise à jour mentionne aussi le retour des actions undo et redo pour les éléments de scène, plusieurs améliorations de sécurité, et un bitrate par défaut remonté à 6000 kbps (en phase avec ce que demandent aujourd'hui les plateformes 1080p60). Rien de spectaculaire donc, mais l'accumulation de petites nouveautés fait une vraie montée de version.

OBS est probablement le logiciel open source le plus influent du monde du streaming, utilisé par quasiment tous les créateurs qui ne veulent pas payer un encodeur propriétaire.

Cette version 32.1 confirme que le projet avance bien, à un rythme soutenu, après une période où certains s'inquiétaient d'un ralentissement.

Pour les streamers qui ont déjà un setup complet, l'upgrade se fait sans problème. Pour ceux qui diffusent en WebRTC/WHIP et qui galéraient avec l'absence de simulcast, c'est l'upgrade à faire dès maintenant.

Bref, une très bonne release pour un outil qu'on a tendance à tenir pour acquis.

Source : Phoronix

Linus Torvalds a officialisé Linux 7.0 le 12 avril, et le passage à la version 7 a d'ailleurs été expliquée. Torvalds a dit dans son mail de release qu'il préférait simplement incrémenter le numéro majeur quand les mineures dépassaient la dizaine, histoire de ne pas se retrouver avec un Linux 6.23. Pas de révolution philosophique, juste du bon sens de mainteneur donc.

Derrière cette numérotation, le noyau embarque quand même un paquet de nouveautés qui vont directement impacter les utilisateurs AMD, Intel et ARM64, sans parler d'une petite révolution côté système de fichiers XFS.

La grosse annonce, c'est surtout le nouveau daemon xfs_healer, géré par systemd, qui surveille en temps réel les erreurs de métadonnées et les I/O fautifs. Quand il détecte un problème, il déclenche automatiquement la réparation pendant que la partition reste montée et utilisée, ce qui évite de démonter, de booter sur un live USB ou de croiser les doigts pendant un xfs_repair manuel.

Pour un serveur en prod, c'est énorme. XFS rattrape (et dépasse) ce que Btrfs et ZFS proposaient depuis des années sur ce terrain.

Côté Intel, les TSX (Transactional Synchronization Extensions) sont activées par défaut. Sur un CPU 10e génération ou plus récent, ça donne un léger boost sur les charges multithread. Le support de Nova Lake progresse aussi, et le noyau intègre les premiers bouts de Crescent Island, l'accélérateur IA maison d'Intel qui vise les datacenters.

AMD n'est pas oublié, avec de nouveaux blocs IP graphiques activés pour les futures Radeon. Côté ARM64, le kernel gère désormais les chargements et stockages atomiques de 64 octets, un ajout bas niveau qui profitera aux workloads concurrents. Et pour les amateurs de cartes ARM, le décodage vidéo matériel arrive sur toute une série de single-board computers Rockchip.

Ubuntu 26.04 LTS tournera sur Linux 7.0, donc tous les réglages de performance et de stabilité apportés par ce noyau seront directement exploités dans la prochaine LTS. Du coup, choisir Ubuntu cette année a du sens si vous avez du matos récent.

Dans son message de release, Linus évoque aussi la place grandissante de l'IA dans l'écriture de patches noyau. Il ne tranche pas, il observe. On sent qu'il y réfléchit sans vouloir se mouiller pour l'instant.

Bref, pas de révolution, mais le XFS auto-réparant justifie l'upgrade à lui seul pour qui tient vraiment à ses données.

Source : Techspot

Figurez-vous que les agents IA sont désormais les premiers consommateurs des APIs Cloudflare, bien devant les développeurs humains. C'est en tous cas ce que l'éditeur déclare publiquement pour justifier une refonte importante de son outil en ligne de commande, Wrangler, et la sortie d'un nouveau CLI unifié baptisé sobrement "cf".

Le raisonnement est froid mais a du sens. Si les agents IA pilotent la plateforme, autant qu'ils aient un CLI qui ne les plante pas.

Concrètement, Cloudflare a refait toute sa pipeline de génération de code autour d'un schéma TypeScript unique. Ce schéma décrit le périmètre complet des APIs, des commandes CLI, des arguments et du contexte nécessaire pour générer n'importe quelle interface.

Quand un nouveau produit Cloudflare arrive, il tombe automatiquement dans le CLI. Avec près de 3 000 opérations d'API au catalogue, c'était effectivement le bon moment pour industrialiser la chose.

Le point qui dit beaucoup sur l'état de l'industrie, c'est celui-ci. Cloudflare force désormais des commandes CLI par défaut au niveau du schéma, pour éviter que les agents se plantent sur des variantes moins standards qu'ils ne connaissent pas.

En clair, le design du CLI est partiellement contraint par ce que les LLM savent deviner. C'est nouveau, et pas anodin.

À côté du nouveau CLI cf, Cloudflare lance Local Explorer en bêta ouverte, intégré à Wrangler et au plugin Cloudflare pour Vite. L'outil permet d'inspecter les Workers en local, de voir quels bindings leur sont attachés et quelles données y sont stockées.

Pratique pour déboguer sans passer par le dashboard web, surtout quand on jongle entre plusieurs environnements.

Pour les développeurs humains, la promesse est double. D'abord, un CLI plus cohérent, moins de surprises d'un produit à l'autre. Ensuite, un outil de debug local qui évite l'allée-retour constant avec l'interface web Cloudflare. Pour les agents IA, la promesse est plus prosaïque, appeler Cloudflare sans générer d'erreurs de syntaxe toutes les trois commandes.

C'est en fait assez symptomatique d'une tendance qu'on voit chez plusieurs plateformes cloud en ce moment, où l'ergonomie CLI est pensée pour les LLM autant que pour les humains. Pas sûr que tous les acteurs l'assument aussi frontalement, mais Cloudflare, fidèle à son style, le dit.

Bref vous l'avez compris, cf et Local Explorer valent le détour. Et si vous laissez un agent piloter l'infra, au moins il aura des rails pour que ça ne parte pas dans tous les sens.

Source : The Register

Des attaquants se sont fait passer pour un responsable connu de la Linux Foundation sur le Slack du TODO Group, un groupe de travail dédié aux bureaux de programmes open source. L'objectif, piéger les développeurs en les amenant à cliquer sur un lien d'apparence officielle, puis à installer un faux certificat racine sur leur machine.

Le lien était hébergé sur Google Sites, ce qui aide à passer les filtres de sécurité et donne un vernis légitime. Les victimes arrivent sur une fausse page d'authentification Google Workspace, qui récupère leur adresse email et un code de vérification, avant de leur demander d'installer un "certificat Google" pour finaliser la connexion.

C'est là que tout bascule. Installer un certificat racine, c'est donner à l'attaquant la possibilité de signer ou d'intercepter n'importe quel trafic TLS sur la machine.

Sur macOS, le faux certificat télécharge et exécute un binaire nommé gapi depuis une IP externe (2.26.97.61), avec toutes les conséquences qu'on imagine. Sur Windows, c'est une boîte de dialogue de confiance navigateur qui pousse l'installation. Dans les deux cas, la machine est compromise.

OpenSSF, Socket et Help Net Security ont documenté la campagne, qui s'inscrit dans une tendance plus large.

Les attaquants visent de plus en plus les workflows développeurs et les relations de confiance interne plutôt que de chercher une faille zero-day dans le code, parce qu'un ingénieur qui fait confiance à un Slack privé reste une cible bien plus rentable que la lecture de 50 000 lignes de C obscures.

La règle de sécurité à retenir est simple. Aucun service légitime, jamais, ne vous demandera d'installer un certificat racine via un lien reçu en chat ou par email.

Si un message Slack vous y pousse, même depuis un compte interne qui semble légitime, c'est un compromis ou une usurpation. Signalez, ne cliquez pas.

Ce qui est relou, c'est que l'attaque marche précisément parce que les devs open source travaillent beaucoup sur Slack, au milieu de messages techniques qu'ils traitent à la chaîne. C'est donc franchement fourbe.

Bref, vous l'avez compris, un certificat racine demandé par chat, c'est toujours non.

Source : The Register

Une vulnérabilité Microsoft patchée en 2012, deux fois, refait surface en 2026 dans des attaques actives. Elle fait partie des quatre failles que la CISA a collées lundi dans son catalogue des bugs activement exploités, avec obligation pour les agences fédérales américaines de patcher sous deux semaines. 14 ans plus tard, un vrai bug zombie.

La plus vieille, c'est CVE-2012-1854, un chargement de bibliothèque non sécurisé dans Visual Basic for Applications. Microsoft l'a corrigée une première fois en juillet 2012, puis encore en novembre de la même année.

Ça n'a pas suffi. Des attaquants trouvent toujours des machines non patchées sur lesquelles elle fonctionne, et exécutent du code à distance via VBA. Un classique des macros Office qui refuse de mourir.

Les trois autres ne sont pas plus rassurantes. CVE-2023-21529, une désérialisation de données non fiables dans Exchange Server, permet à un attaquant authentifié de faire de l'exécution de code à distance.

Elle était patchée en février 2023. CVE-2023-36424 touche le driver Common Log File System de Windows et ouvre la porte à une escalade de privilèges (patchée en novembre 2023). Et la dernière, CVE-2025-60710, est une faille de link-following dans Windows qui donne également de l'escalade de privilèges.

Côté exploitation active, les chasseurs de menaces Microsoft pointent Storm-1175, un gang financièrement motivé qui combine la faille Exchange avec 15 autres pour entrer dans des organisations, siphonner leurs données et déployer le ransomware Medusa. Du classique en plusieurs étapes, sauf que le point d'entrée est une faille colmatée depuis trois ans.

Ce qui est frappant dans la liste, c'est que trois failles sur quatre disposent d'un patch depuis des années. La CISA ne découvre pas des zero-days, elle constate que le parc à patcher est toujours aussi béant, y compris dans les administrations fédérales US. Côté SI de PME françaises qui tournent sur un Exchange vieillissant, je vous rassure le tableau n'a aucune raison d'être meilleur.

Patcher Exchange reste un gros chantier pour beaucoup d'équipes IT, entre les dépendances métier, les interfaces custom et la peur de casser la messagerie. Sauf que voilà, tant que ce n'est pas fait, le ransomware a un boulevard.

Bref, si vous avez un Exchange ou un Windows qui traîne avec des patches manquants depuis 2012 ou 2023, c'est vraiment le moment de vous y coller.

Source : The Register

Vous avez un super GPU de la mort qui tue et vous voulez faire tourner un modèle d'IA en local, mais entre la VRAM dispo, la quantification qui change tout et les 500 modèles existant... c'est tout simplement le bordel pour savoir lequel va passer crèèème sans faire ramer votre machine. On galère tous à tester des modèles au pif en voyant la RAM exploser, mais aujourd'hui on a une solution.

Car c'est exactement le problème que résout llmfit , un outil en Rust qui scanne votre hardware et vous classe les modèles compatibles par score. GPU NVIDIA, AMD, Intel Arc, Apple Silicon, sur macOS, Linux ou Windows, tout y passe ! Sur mon Mac, cette commande détecte instantanément la VRAM unified memory, les cœurs CPU et le type de GPU dans mon système, puis elle passe en revue sa base d'environ 500 modèles HuggingFace pour me dire lesquels tournent chez moi.

L'interface llmfit dans un terminal, sobre et efficace

Du coup, chaque modèle est évalué sur 4 axes : qualité, vitesse, occupation mémoire et capacité de contexte. En fait, le scoring s'adapte à votre usage, si vous voulez du chat rapide, la vitesse pèse plus lourd, et si c'est du raisonnement, c'est la qualité qui prime. À vrai dire, c'est plus malin que de comparer bêtement les paramètres sur la page HuggingFace. Et la quantification est choisie dynamiquement, de Q8_0 (la plus fidèle) jusqu'à Q2_K (la plus compressée), histoire de caser un max de trucs dans votre config.

L'interface par défaut c'est un TUI (une interface dans le terminal) avec navigation à la vim (j/k, /, tout ça) qui affiche un tableau avec les scores dans votre terminal. Pour le mode CLI, y'a llmfit --cli, et pour ceux qui veulent intégrer ça dans un pipeline, un petit llmfit serve et ça lance un serveur REST sur votre machine.

Le truc vraiment sympa je trouve c'est surtout la simulation hardware. Vous appuyez sur S dans le TUI et vous testez d'autres configs sans rien changer à votre machine. Genre "et si j'avais 24 Go de VRAM au lieu de 8 ?". Ça évite d'acheter une nouvelle carte graphique pour rien, quand on peut vérifier en deux secondes que la config actuelle suffit déjà amplement pour son usage quotidien de chat et de génération de petits scripts en local au fil de la semaine. Pas mal non ?

Y'a aussi le mode plan qui fait l'inverse, vous donnez un nom de modèle et l'outil vous dit de quel hardware vous avez besoin. D'ailleurs si vous êtes sur Mac et que l'IA en local vous branche, n'oubliez pas au passage que apfel vous permet de libérer le modèle caché dans macOS.

Côté installation, brew install llmfit sur Mac, scoop install llmfit sous Windows, ou un curl -fsSL https://llmfit.axjns.dev/install.sh | sh partout ailleurs. Une commande, c'est tout. Et ça tourne aussi en Docker !

Le support multi-GPU est également là avec agrégation de la VRAM, et l'outil tient compte des architectures MoE comme Mixtral dans son scoring (ces modèles ne chargent pas tous leurs experts d'un coup, du coup la VRAM nécessaire est plus faible qu'on pourrait croire). L'outil propose aussi 10 thèmes de couleurs, Dracula, Nord, Catppuccin... pour ceux qui ont des opinions sur les palettes de leur terminal.

Par contre y'a un hic, la base est figée à environ 500 modèles embarqués dans le binaire, donc si un nouveau modèle sort demain, faudra attendre la prochaine release. Et disons que les estimations de vitesse sont des ordres de grandeur, pas des valeurs exactes (difficile de faire mieux sans lancer vraiment l'inférence). Mais bon, pour les classiques comme Llama, Qwen, Mistral ou Gemma, c'est bien couvert. Et bien sûr, le projet est open source sous licence MIT, donc c'est chouette comme dirait le hibou (déso, pas déso ^^).

Si llamafile vous avait déjà simplifié le lancement de modèles, llmfit s'attaque au problème d'avant : choisir LEQUEL lancer.

Bref, ça vaut le coup de tester, dites-moi quel modèle ça vous recommande !

Le groupe de hackers ShinyHunters affirme avoir piraté Rockstar Games. Ils menacent de publier tous les documents confidentiels volés sur le dark web si le studio ne leur verse pas de rançon. Le message des hackers est clair : "Pay or leak."

Les pirates ne sont pas entrés chez Rockstar par la grande porte. Ils sont passés par Anodot, un outil que le studio utilise pour analyser ses factures cloud. Une brèche chez Anodot début avril leur a donné des identifiants qui ouvraient aussi les bases Snowflake de Rockstar, là où dormaient une bonne partie des documents internes.

C'est la même méthode qu'en 2024, quand un autre pirate avait vidé les comptes Snowflake de Ticketmaster, AT&T et Santander en récupérant leurs mots de passe ailleurs. Snowflake n'est pas piraté, ce sont ses clients qui se font prendre leurs clés.

Côté butin, rien de très excitant a priori pour un fan de GTA. D'après les premiers éléments, les pirates ont surtout récupéré des contrats, des documents financiers, des plans marketing et d'autres fichiers sans intérêt. Pas de code source, pas de cinématiques, pas de données de joueurs, en tous cas sur le papier.

Rockstar confirme d'ailleurs la brèche dans un communiqué très calibré : le studio parle d'une "quantité limitée d'informations non stratégiques" volées chez un prestataire, et assure que l'incident n'a "aucun impact sur notre organisation ni sur nos joueurs."

Rassurant ? À moitié. ShinyHunters n'est pas un collectif de bricoleurs, le groupe est actif depuis 2020 et a déjà siphonné Microsoft, Ticketmaster, Cisco, AT&T ou Wattpad. Quand ils annoncent avoir des fichiers, ils les ont, et ils savent les revendre sur les forums fermés.

Personne ne sait encore si les plans marketing volés contiennent des détails sur GTA VI, dont la date de sortie continue de faire transpirer Take-Two, l'éditeur du studio.

Le plus embêtant pour Rockstar, c'est surtout que ça recommence. En 2022, un adolescent britannique avait infiltré le Slack du studio pour diffuser des vidéos d'un GTA VI en pré-production, affaire soldée par une condamnation au Royaume-Uni.

Quatre ans plus tard, le studio se refait attraper, cette fois via un prestataire. Visiblement, le maillon faible n'est plus toujours en interne : un petit outil de suivi de coûts cloud peut suffire à faire sauter le verrou, comme un compte admin oublié.

Bref, les fans vont scruter la moindre ligne leakée, Rockstar va serrer la vis côté prestataires, et ShinyHunters continuera de taper partout où traînent des accès Snowflake mal sécurisés.

Source : Kotaku

Mark Zuckerberg veut que ses salariés puissent lui parler même quand il n'est pas là. Meta travaille sur une version IA photoréaliste et animée de son patron, entraînée sur sa voix, son image, ses manies et ses déclarations publiques.

Le projet est encore au stade précoce, mais Zuck s'implique à fond : il supervise personnellement l'entraînement et les tests de son double numérique, et passerait même cinq à dix heures par semaine à coder sur les différents projets IA du groupe.

L'avatar doit pouvoir tenir une conversation en temps réel avec les employés et leur donner du feedback, comme si Zuckerberg passait lui-même dans le bureau. Il est nourri aux images, à la voix et aux réflexions stratégiques récentes du milliardaire, pour que les salariés du groupe à 1 600 milliards de dollars se sentent plus proches du fondateur via cet ersatz interactif.

C'est distinct d'un autre projet en cours, le "CEO agent", censé assister Zuckerberg lui-même dans son boulot quotidien en lui remontant de l'information à la volée.

Côté technique, c'est une autre paire de manches. Faire tourner un personnage 3D photoréaliste en temps réel sans lag demande une puissance de calcul énorme, et Meta galère à passer à l'échelle. Pour la voix, le groupe a racheté l'an dernier deux boîtes spécialisées, PlayAI et WaveForms.

Si l'expérience Zuckerberg fonctionne, l'idée est ensuite de proposer la même chose aux influenceurs et créateurs qui voudront déployer leur propre avatar auprès de leurs fans.

À côté de ça, Meta pousse ses équipes à s'automatiser avec des outils maison. Les salariés sont invités à utiliser OpenClaw, un framework d'agents open source, et à concevoir leurs propres agents pour abattre les tâches répétitives.

Les chefs de produit passent même un "exercice de niveau" qui inclut du design de système et du vibe coding. Meta jure que ce n'est pas obligatoire et que ça sert juste à cibler les besoins de formation. Certains salariés, eux, y voient la répétition générale d'une vague de licenciements.

Les avatars IA chez Meta, ce n'est pas nouveau. En septembre 2023, le groupe avait sorti des chatbots avec la tête et la voix de Snoop Dogg et d'autres célébrités, puis un AI Studio pour créer ses propres personnages.

Sauf que l'an dernier, des utilisateurs ont généré des avatars à caractère sexuel, les régulateurs se sont inquiétés pour la sécurité des mineurs, et depuis janvier Meta a restreint l'accès des ados à ces personnages.

Un clone de Zuck dispo 24h/24 pour vous donner du feedback sur votre code, je ne sais pas si c'est un rêve ou un cauchemar. Probablement les deux.

Source : FT