La 0.17.3 de GAIA, le framework open-source d'AMD pour faire tourner des agents IA en local sur puces Ryzen AI, débarque avec une fonction assez attendue. Vous pouvez désormais exporter vos agents personnalisés et les réimporter sur une autre machine en quelques clics.

Très concrètement, vous packagez vos agents dans un installeur GAIA custom, et au premier lancement sur la nouvelle machine, tout est déjà là, pré-configuré, directement prêt à tourner. Sous Windows, AMD a particulièrement bossé le sujet, pour qu'un seul fichier d'install suffise à tout transporter, même les prompts systèmes.

C'est le genre de détail qui paraît anodin mais qui change la donne quand vous configurez une flotte de PC ou que vous voulez juste refiler votre setup à un collègue sans passer deux heures à tout reconfigurer. La version embarque aussi quelques changements côté sécurité qui méritent qu'on s'y arrête.

Le cache RAG, qui stockait ses données via Pickle (la sérialisation native de Python connue pour être un gros vecteur d'attaque), passe désormais en JSON avec signature HMAC-SHA256.

En clair, plus de risque de voir un agent partagé déclencher du code arbitraire à l'ouverture du cache. Pour un framework pensé justement pour faire circuler des agents entre machines, c'était quand même devenu intenable de rester sur Pickle.

La bibliothèque C++ préserve maintenant les URLs compatibles OpenAI, ce qui permet aux agents de taper sur des back-ends d'inférence alternatifs sans perdre la config au moment du transfert.

Et la gestion documentaire a été revue pour que les agents qui traitent des fichiers s'en sortent mieux avec les PDF, Word et autres formats structurés. Bref, AMD continue de solidifier GAIA version après version plutôt que de sortir des gros coups marketing.

Petit rappel pour ceux qui découvrent : GAIA tourne en local, sur votre matos Ryzen AI, sans dépendance cloud. Vous construisez vos agents, ils fonctionnent chez vous, et absolument personne ne voit passer vos requêtes ni vos documents.

C'est clairement une approche à contre-courant de ce que font OpenAI et consorts, et ça colle avec la stratégie d'AMD de pousser l'IA embarquée sur les PC plutôt que de laisser Microsoft et Nvidia se partager le gâteau du silicium IA. Pour les développeurs qui bricolent déjà avec GAIA, la 0.17.3 est dispo dès maintenant sur le GitHub du projet.

L'import/export d'agents, c'est ce qui manquait pour que des agents GAIA custom circulent dans la communauté. Affaire à suivre.

Source : Phoronix

TRELLIS est un modèle IA capable, à partir d'un texte ou d'une image tout ce qu'il y a de plus normal, de générer un modèle en 3D. C'est développé par Microsoft Research et c'est assez génial. D'ailleurs j'en avait parlé en février dernier quand la bête ne tournait encore que sur des cartes NVIDIA.

Sauf que voilà, ça ne fonctionnait pas sur Apple Silicon, mais uniquement sur les machines compatibles CUDA. Enfin, jusqu'à aujourd'hui, puisque grâce au développeur Shivam Kumar, on dispose maintenant d'un portage pour les architectures Apple via PyTorch MPS.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/trellis-mac-limage-to-3d-de-microsoft-passe-sur-apple-silicon/trellis-mac-limage-to-3d-de-microsoft-passe-sur-apple-silicon-1.mp4">lien vers la vidéo</a>.

Ce matin en buvant mon café, je suis tombé sur un dépôt qui m'a fait tiquer et j'aimerai prendre quelques minutes pour vous en parler. Ça s'appelle Open Slopware , c'est hébergé sur Codeberg, et ça recense tous les projets open source qui ont eu le "malheur" de laisser l'IA s'approcher de leur code.

En fait, c'est une grande liste organisée par types de reproches, allant du projet qui autorise les contributions faites avec des LLM, à celui qui intègre une fonctionnalité IA, en passant par ceux qui acceptent du sponsoring d'entreprises IA ou qui ont un bot qui répond aux issues. Plus de 100 projets sont épinglés pour le moment, avec à chaque fois une alternative "AI-free" proposée. Forkée après que le repo original ait été supprimé par son créateur, la version actuelle est aujourd'hui maintenue par un collectif baptisé "small-hack".

Dans cette liste, on retrouve par exemple rsync, cet outil que j'utilise depuis bientôt 20 ans pour synchroniser mes backups et autres joyeusetés. Et l'unique grief qu'on les anti-IA contre Rsync, c'est qu'ils ont trouvé 2 contribs Claude Code dans leur dépôt. Autrement dit, rsync autorise ses contributeurs à utiliser des LLM, à condition que ce soit documenté et transparent. C'est ça, leur crime. C'est pas du code pourri, c'est pas une faille injectée par un vibe coder pressé à 3h du mat'... Non, ce qui vaut à Rsync d'être qualifié de slopware, c'est juste une politique d'ouverture explicite.

Perso, je trouve ça sain d'avoir une politique qui encadre l'usage de l'IA, même si je sais que je vais me faire allumer ^^. Parce que soyons réalistes 2 secondes, aucun mainteneur de projet libre ne peut empêcher un contributeur de balancer un patch généré par Claude ou ChatGPT. Ce qu'il peut faire, par contre, c'est exiger que ce soit déclaré. Rsync a choisi cette voie. Godot Engine aussi. Comme ça, plutôt que d'avoir des gens qui se planquent pour pousser du code IA en douce, on a un cadre clair où chacun annonce la couleur.

Je pense qu'interdire pousse à cacher, alors qu'autoriser avec des règles strictes et claires permet de filtrer et de ne garder que le meilleur. C'est pas sorcier.

Ces projets posent des règles, des process, des obligations de déclaration. Bref, ils prennent en compte le monde réel, celui où les contributeurs utilisent déjà ces outils tous les jours, au lieu de s'enfermer dans des fantasmes utopistes qui voudraient qu'on revienne à la compilation à la bougie. Et en retour, ils se font malheureusement coller une étiquette de slopware par des randoms anonymes.

Alors qu'on ait des réserves sur l'IA, je le comprends totalement mais je trouve ça regrettable de venir chier dans les bottes des seuls qui essaient de poser un cadre. C'est tellement à côté de la plaque.

Le vrai slop les amis, il est ailleurs, dans les repos vite faits balancés sur GitHub par des gens qui n'ont jamais touché au code qu'ils publient. Pas chez rsync.

Et puis faut voir concrètement ce qu'il vous faudrait remplacer pour respecter leur doctrine. Un clone buggy de Rsync ? Un retour à tar ou à un client FTP des années 2000 ? Bon courage pour synchroniser 300 Go de photos avec ça sans que votre NAS chauffe tout le salon.

Pour Godot, il faudra migrer vers Pandemonium Engine, qui est un chouette fork mais maintenu quasi-exclusivement par une seule personne. Quand à Firefox ? Là c'est carrément open bar, puisque le projet est affiché à la fois pour sa politique de contribution et pour ses fonctionnalités IA intégrées. Du coup bon courage pour trouver un navigateur moderne qui n'ait pas touché à l'IA d'une manière ou d'une autre.

Et leur liste est sans fin puisqu'elle embarque aussi le noyau Linux, WordPress, Vim, Neovim et VS Code, histoire de bien finir le boulot.

Ils auraient plus vite fait de lister des projets garantis sans IA, ça consommerait moins de bande passante ^^, parce que là, ceux qu'ils balancent, c'est ceux qui ont communiqué sur le sujet mais allez savoir combien sont les projets "vertueux garantis sans LLM" dont les dev maquillent le code que l'IA leur a sorti.

Je tiens à rappeler quand même que le mot slop, à la base, désigne du contenu IA généré à la chaîne sans aucun contrôle humain. Coller cette étiquette sur des projets vieux de trente ans qui font juste évoluer leurs règles de contribution, c'est soit de la paresse intellectuelle, soit un procès d'intention. Et les mainteneurs ont beau préciser que leur liste n'est pas un outil de harcèlement, une fois qu'un projet est publiquement classé comme slopware, le mal est fait.

Ces projets, on les a quand même tous utilisés, souvent pendant des années, sans jamais rien donner en échange, ni un rond, ni une issue. Rsync a sauvé la vie à des millions d'admins sys qui n'ont jamais poussé la moindre ligne de code en retour. Firefox a tenu le web ouvert pendant vingt ans pendant qu'on migrait tous sur Chrome sans rien leur donner. Le noyau Linux fait tourner la moitié d'Internet. Les voir se faire taper dessus par des gens qui, dans leur grande majorité, n'ont jamais contribué non plus, juste parce qu'ils ont adapté leurs règles de contrib au monde actuel, je trouve ça assez irrespectueux en fait.

C'est facile de gueuler comme un putois sur les joueurs, quand on est en haut, bien au chaud dans les gradins.

Et visiblement, je suis loin d'être le seul à le ressentir comme ça. Plusieurs développeurs épinglés dans la liste ont publiquement parlé de chasse aux sorcières, et l'ambiance est tellement devenue toxique que l'auteur original du dépôt a fini par le supprimer après avoir reçu une avalanche de harcèlement des deux bords. Seth Larson, security developer-in-residence à la Python Software Foundation, a publié en février un billet intitulé Automated public shaming of open source maintainers , où il dénonce le shaming systématisé des bénévoles qui osent poser des règles sur l'IA. Et côté politiques officielles, Debian vient de passer 2 mois à débattre de l'acceptation des contributions IA pour finalement ne pas trancher, pendant que Gentoo et QEMU choisissaient l'interdiction pure et la Linux Foundation l'autorisation encadrée.

Bref, tout le monde tâtonne, personne n'a LA bonne réponse, et ça n'empêche pas Open Slopware de distribuer les mauvaises notes avec l'assurance d'un inspecteur du fisc.

Après, si vous avez pleiiiin de temps libre et que vous voulez reconstruire votre stack de A à Z autour de projets qui refusent tout contact avec des LLM, cette liste vous aidera à vivre selon votre religion. Mais retirer Rsync de sa boîte à outils parce qu'ils ont validé des contribs utiles poussées par un humain assisté par Claude Code, perso, je trouve ça un peu sévère.

Bref, les projets libres s'adaptent, comme ils l'ont toujours fait et les qualifier de slop parce qu'ils évoluent, je trouve ça moche.

Source

Vercel, c'est la plateforme d'hébergement web utilisée par des milliers de développeurs et d'entreprises pour déployer leurs sites et applications (c'est eux qui font Next.js, entre autres).

Un de leurs employés s'est inscrit sur Context.ai, un assistant IA pour la bureautique, en utilisant son compte professionnel Google. Au moment de l'installation, l'app a demandé l'accès à ses emails, ses fichiers, son agenda, bref tout le Google Workspace de la boîte. Il a cliqué "autoriser tout". Erreur classique.

Sauf que Context.ai s'est fait pirater en février. Un de leurs propres employés a chopé un malware (Lumma, un voleur de mots de passe) en téléchargeant des scripts de triche pour Roblox. Le genre de bêtise qui ouvre la porte à tout le reste.

L'attaquant a récupéré l'accès que Context.ai avait sur le Google Workspace de Vercel, avec des permissions très larges : emails, fichiers internes, infrastructure de déploiement.

ShinyHunters, un groupe de pirates connu, a revendiqué le coup sur un forum et mis en vente des clés d'accès, du code source, des données de bases et des clés API de Vercel.

Le PDG de Vercel estime que le nombre de clients touchés est "assez limité", sans donner de chiffres. Mais côté crypto, plusieurs projets hébergés sur la plateforme ont quand même lancé en urgence un changement de tous leurs mots de passe et clés d'accès, ce qui donne une idée de l'ambiance.

Ce qui rend cette affaire intéressante, c'est le mécanisme. Personne chez Vercel n'a été directement attaqué. C'est un outil tiers, un outil IA installé par un employé, qui a servi de pont. L'employé donne un accès large à un service externe, le service se fait pirater trois mois plus tard, et tout le contenu professionnel de l'entreprise se retrouve exposé.

C'est exactement le scénario que les experts en sécurité décrivent depuis un an quand ils parlent des outils IA qui demandent des permissions tentaculaires sur vos comptes pro.

Bref, le vrai problème n'est pas Vercel. C'est le "autoriser tout" sur un outil IA qu'un employé a installé sans se poser de questions.

Source : SecurityWeek

L'ANTS vient de se faire hacker... 19 millions de fiches dans la nature, récupérées via une faille IDOR (Insecure Direct Object Reference, pour les intimes). Pour ceux qui connaissent pas le terme, IDOR c'est l'exercice qu'on donne aux étudiants le deuxième jour d'un cours de cybersécurité !

En clair, l'attaquant envoyait une requête sur l'API en remplaçant l'identifiant de son profil par un autre. Et hop, le serveur lui renvoyait le dossier d'un citoyen français en face, sans jamais vérifier qu'il avait le droit de le consulter. Aucun contrôle d'autorisation sérieux, aucun rate-limiting, et visiblement aucune alerte quand une IP aspire 19 millions de fiches. Que dalle !

Le gars qui a découvert le truc s'appelle Seblatombe, il tient le blog FrenchBreaches et il a balancé l'info ce 20 avril. Les données fuitées, ce sont vos noms, prénoms, dates de naissance, adresses postales, emails, numéros de téléphone, identifiants ANTS et numéros d'accréditation pro. Par contre, les mots de passe et les données bancaires n'ont pas filé, et c'est bien le seul truc qui sauve ce dossier du naufrage complet.

Quoiqu'il en soit, ce n'est pas un accident isolé puisque qu'en mars 2024, France Travail se fait éventrer avec 36,8 millions de victimes. Avant ça, en janvier 2024, Viamedis et Almerys lâchent 33 millions d'assurés sociaux. En novembre 2024, Pajemploi expose 1,2 million de dossiers. Et plus récemment en décembre 2025, la CAF perd 8,6 millions de comptes.

Et maintenant l'ANTS, avec 19 millions de plus.

Faites le cumul les amis. Près de 100 millions de lignes fuitées depuis début 2024, avec évidemment des doublons puisqu'un même citoyen est fiché sur plusieurs services. Pour un pays de 68 millions d'habitants, c'est un joli record je trouve ! On devrait avoir une médaille !

Perso, ce qui me fait halluciner, c'est le communiqué officiel de l'ANTS. Leur conseil aux citoyens c'est, je cite, que vous "n'avez aucune démarche à accomplir". LOL ! France Travail, au moins, avait pris la peine de prévenir les victimes une par une et de publier un plan de remédiation, parce qu'ils s'étaient fait visiblement taper sur les doigts par la CNIL. Avec l'ANTS, c'est à vous de gérer le bordel qu'ils ont créé.

Alors concrètement, qu'est-ce que vous pouvez faire ? Déjà, allez vérifier si votre email traîne déjà dans la nature sur haveibeenpwned.com. Ensuite, changez le mot de passe de votre compte ANTS et activez la 2FA partout où elle est dispo.

Attention aussi aux mails ou SMS qui mentionnent votre nom et votre date de naissance, c'est le jackpot des arnaqueurs pour ressembler à un vrai service. Et surveillez vos comptes bancaires parce qu'avec nom + adresse + date de naissance + téléphone, une demande de crédit frauduleuse passe comme une lettre à la poste.

D'ailleurs, j'avais déjà fait un bilan des hacks français en 2025 qui résumait l'ambiance. Visiblement rien n'a changé. Les mêmes failles basiques, les mêmes audits inexistants, les mêmes communiqués minimalistes. L'État a transformé vos données personnelles en open bar pour cybercriminels, et le seul vrai plan de remédiation qu'on nous propose c'est de croiser les doigts.

Bref, une IDOR sur une agence qui gère les données de 19 millions de Français, franchement, c'est selon moi pas une erreur mais clairement une faute grave.

Source

5 euros. C'est le prix du tracker Bluetooth qu'un journaliste néerlandais a caché dans une carte postale et envoyé à une frégate de la marine royale des Pays-Bas. Le navire, le HNLMS Evertsen, est un bâtiment de défense antiaérienne affecté à la protection du porte-avions français Charles de Gaulle en Méditerranée. Sa valeur est estimée à 585 millions de dollars.

Le journaliste, de la chaîne régionale Omroep Gelderland, a simplement utilisé le système postal officiel que le ministère de la Défense néerlandais met à disposition pour envoyer du courrier aux soldats et marins en mission.

Les instructions sont publiques, détaillées, et librement accessibles en ligne. Les cartes postales et enveloppes ne sont pas passées aux rayons X, contrairement aux colis. Du coup, le tracker est arrivé à bord sans être détecté.

Le tracker a fonctionné pendant environ 24 heures. Il a montré le navire quittant le port d'Héraklion en Crète, naviguant d'abord vers l'ouest le long de la côte, puis bifurquant vers l'est en direction de Chypre. Pour un groupe aéronaval en mission, la position d'un navire d'escorte est une information opérationnelle sensible, et un adversaire qui sait où se trouve l'Evertsen peut en déduire la zone probable du porte-avions Charles de Gaulle.

Le ministère de la Défense a réagi en interdisant les cartes de voeux contenant des piles dans le courrier militaire, forcément. C'est la réponse directe au test bien sûr, mais bon, l'info qui gêne le plus c'est que le système de courrier militaire néerlandais ne filtre pas le contenu des enveloppes classiques, c'est un peu étonnant.

Bref, seulement 5 euros de matériel et un timbre ont suffi à localiser un navire de guerre en pleine mission. Le rapport coût-efficacité est quand même étonnant.

Source : Business AM

Ma Hyundai Ioniq 5 est belle.

Elle est confortable, spacieuse, l'autonomie tient la route, la recharge rapide envoie vraiment du lourd, et la conduite au quotidien est chill.

Bref, sur le papier, j'aurais dû être ce client conquis pour 10 ans.

Sauf qu'en vrai, cette voiture me stresse. Et ce n'est pas juste une impression puisqu'après 1 an d'utilisation, c'est un enchaînement de bugs, de pannes et de comportements routiers douteux qui m'a fait regretter carrément ma Toyota. Voici donc un retour honnête sur ce modèle 2025, après 1 an et bientôt 30 000 kilomètres au compteur.

Le plus flippant d'abord, c'est le contrôle de stabilité (l'ESP) qui décide de ralentir une seule roue arrière à bonne vitesse sur autoroute sans que je comprenne pourquoi... Et quand ça arrive, l'arrière de la voiture se met à chasser... La première fois que ça m'est arrivé, j'ai super flippé... j'ai coupé le régulateur, j'ai ralenti, et ça a recommencé au bout de quelques centaines de mètres. Ça m'est arrivé plusieurs fois à différents moment et pour régler le problème, il faut s'arrêter, rebooter, et prier pour que ça ne recommence pas avant d'arriver à la maison. Heureusement, ce n'est pas très fréquent mais sur une voiture de presque deux tonnes lancée à 110, c'est moyennement rassurant, j'avoue.

Le tableau de bord lui me fait autre chose. De temps en temps, de manière aléatoire, il s'éteint totalement puis se rallume et s'éteint...etc. Plus d'indicateur de vitesse, plus de niveau de batterie, plus rien. Juste un écran noir, voire parfois un message en rouge disant : "NO DISPLAY". Là encore, la solution c'est le reboot.

J'ai l'impression de conduire une bêta permanente.

Le moindre de mes problèmes mais un problème quand même, c'est également le niveau de liquide de lave-glace est toujours affiché comme bas, alors que le réservoir est plein à ras bord.

Et puis il y a les craquements. Dès que je passe sur une route un peu cabossée, ma Ioniq 5 fait un bruit de vieux plancher en bois. Ce sont les jointures métalliques ou les plastiques autour du coffre qui travaillent et qui craquent. Pour un véhicule électrique à ce prix, qui est censé être d'un silence monacal, c'est assez pénible je dois dire. J'ai presque envie de mettre la musique plus fort juste pour ne pas l'entendre.

Enfin, le bouquet final de y'a à peine 2 semaines c'est la panne sèche. Un matin, en emmenant les enfants à l'école, en redémarrant dans un rond point, d'un coup, plus aucune puissance. Dépanneuse, remorquage, direction le garage agréé. Verdict officiel : Les batteries sont OK mais tout s'est réinitialisé de lui-même. C'est ce qu'on m'a expliqué.

Ils ont reflashé, remis à jour, fait des trucs comme ça, puis repassé le diagnostic complet. Aucun souci détecté selon eux. Et pour le tableau de bord qui s'éteint ? Ils n'ont pas trouvé non plus. Quand à l'ESP qui fait valser l'arrière, on m'a dit d'attendre une mise à jour et j'attends toujours.

Bref, je dois dire que c'est pas des petits problèmes, et c'est assez stressant au quotidien.

Maintenant, pour être honnête la Ioniq 5 a de vraies qualités. La motorisation est une réussite technique complète. La recharge rapide en 15-20 minutes sur borne CCS est toujours un moment de plaisir, surtout comparé à la concurrence. L'autonomie annoncée est à peu près conforme à la réalité si on respecte les limitations. Le petit coffre à l'avant où je range les câbles de recharge + l'habitacle spacieux et modulable, les finitions plutôt chouettes, le confort général : tout ça est au rendez-vous. Et la conduite est effectivement chill, à condition d'accepter que la voiture décide parfois de prendre des initiatives cheloues.

Mais bon tout ça, ça ne suffit pas à compenser le stress parce que conduire, ce n'est pas juste rouler. C'est avoir confiance dans sa voiture, et là clairement, on n'y est pas. Surtout que d'un point de vue analyse au garage, y'a rien d'étrange qui ressort...

Bref, ma Ioniq 5 ne me rassure pas, et c'est peut-être le pire reproche que je puisse faire à un véhicule.

Je regrette carrément ma Toyota. Pas pour la techno, qui était plus simple, mais pour la fiabilité silencieuse. Pour cette impression qu'une voiture doit juste faire son boulot. Hyundai a clairement les compétences techniques sur l'électrique, mais tant que la partie "automobile" + "soft" autour de la batterie ne sera pas au même niveau, la promesse ne sera pas tenue.

Bref, je suis encore coincé avec un petit moment malheureusement. J'espère que des mises à jour viendront régler ces soucis.

Merci à Jacques qui m'a suggéré de faire un retour.

Quand une startup ferme, ses conversations Slack, ses emails, ses tickets Jira et ses téraoctets de Google Drive ne disparaissent pas. Et maintenant, certaines les revendent.

SimpleClosure, une boîte spécialisée dans la fermeture d'entreprises, propose aux fondateurs de monétiser ce qu'elle appelle l'"exhausteur opérationnel" de leur défunte société en le vendant comme données d'entraînement pour des modèles d'IA.

C'est ce qu'a fait Shanna Johnson, l'ancienne patronne de cielo24, une entreprise de sous-titrage et transcription qui a fermé après 13 ans d'activité. Conversations internes, échanges clients, documentation technique, tout est parti dans le lot.

SimpleClosure supprime les données personnelles identifiables avant la vente, mais le contenu des échanges reste intact. En un an, la boîte a bouclé une centaine de transactions de ce type et récupéré plus d'un million de dollars pour les fondateurs concernés, avec des prix entre 10 000 et 100 000 dollars par entreprise.

SimpleClosure lance d'ailleurs Asset Hub, une plateforme dédiée où les sociétés en fermeture peuvent mettre en vente leurs dépôts de code, leurs archives Slack, leurs emails et leurs documents internes. Le marché se structure.

Le problème évident, c'est que les gens qui ont écrit ces messages ne savaient pas qu'ils finiraient dans un jeu de données d'entraînement. Marc Rotenberg, fondateur du Center for AI and Digital Policy, résume assez bien : "Les problèmes de vie privée ici sont quand même conséquents."

Un employé qui discute de son salaire, de ses problèmes personnels ou d'un conflit avec un collègue sur Slack n'a jamais donné son accord pour que ça serve à calibrer un modèle de langage.

Côté juridique, c'est complètement le flou. Les données appartiennent à l'entreprise, pas aux employés, et quand l'entreprise est en liquidation, le liquidateur ou le fondateur dispose de fait des actifs.

Du coup, dans les faits rien n'interdit aujourd'hui la revente de conversations internes anonymisées aux États-Unis, même si le RGPD en Europe pose des limites que les boîtes américaines n'ont pas.

Bref, si votre ancienne startup a coulé, vos messages Slack sont peut-être déjà dans un dataset quelque part.

Source : TechSpot

Ruby Central, l'association qui gère l'écosystème Ruby (RubyGems, Bundler, les conférences RubyConf et RailsConf), est en "vrai péril financier".

Le conseil d'administration l'a annoncé en se séparant de sa directrice exécutive, Shan Cureton, dans le cadre d'un plan de réduction des coûts. Les finances de l'organisation dépendaient trop "du timing optimiste de la réception des fonds par rapport aux dates fixes de nos dépenses", selon les administrateurs.

Le contexte, c'est un conflit qui dure depuis des mois. Fin 2025, Ruby Central a retiré plusieurs mainteneurs historiques de RubyGems et Bundler sans les prévenir.

Les mainteneurs concernés ont visiblement mal pris ce move, et ont lancé un fork rival appelé Gem Cooperative (gem.coop). Dans la foulée, ils ont publiquement accusé Ruby Central de prise de contrôle autoritaire. L'ancienne directrice avait en fait justifié les retraits par des demandes de sponsors et d'entreprises dépendantes de Ruby, inquiètes de problèmes de supply chain et de gestion des accès.

Le résultat, c'est un écosystème fracturé. D'un côté, Ruby Central avec le registre officiel RubyGems.org et les conférences. De l'autre, des mainteneurs expérimentés partis avec leur savoir-faire et une partie de la communauté. Et entre les deux, des sponsors qui hésitent à mettre de l'argent dans une organisation en crise de gouvernance.

Le conseil a voté en avril la transition vers un "working board" bénévole, ce qui veut dire moins de salariés et plus de travail non rémunéré. C'est le genre de restructuration qui peut effectivement sauver les finances à court terme, mais qui fatigue forcément les contributeurs au bout d'un moment.

Pour les développeurs Ruby, c'est quand même préoccupant. RubyGems est l'équivalent de npm pour JavaScript ou pip pour Python, c'est l'infra de base sur laquelle tournent des milliers de projets en production. Une association gestionnaire en péril financier et en conflit avec ses propres mainteneurs, ça fragilise clairement toute la chaîne.

Bref, Ruby Central doit trouver un modèle viable sans ses mainteneurs historiques et sans directrice. Pas simple.

Source : The Register

En Indonésie, avant de vendre un jeu vidéo, les éditeurs doivent le soumettre à un organisme de classification (l'IGRS) pour obtenir une note d'âge, un peu comme le PEGI en Europe.

Pour obtenir leurs notes, les éditeurs envoient des vidéos de gameplay, des infos sur le contenu du jeu, et leurs coordonnées professionnelles. Le tout est stocké sur un serveur géré par le gouvernement indonésien.

Sauf que voilà, ce serveur était mal configuré. Un utilisateur Reddit, Me_Finity, a découvert qu'en tapant les bonnes adresses web, il pouvait accéder à la totalité des fichiers déposés par les éditeurs, sans mot de passe, sans vérification, sans rien du tout.

Il a récupéré environ 1 000 adresses email de développeurs (dont des gros studios) et surtout des vidéos de jeux pas toujours annoncés : 007 First Light, Echoes of Aincrad (le futur Sword Art Online de Bandai Namco), Castlevania Belmont's Curse, et le remake d'Assassin's Creed Black Flag.

En clair, les éditeurs avaient envoyé ces vidéos en toute confiance pour une simple formalité administrative, et n'importe qui pouvait les consulter depuis l'extérieur. Le système n'avait en fait aucune protection d'accès.

Le ministère indonésien de la Communication a lancé une enquête le 17 avril et coupé l'accès au système en attendant. Les développeurs concernés n'ont visiblement pas été prévenus avant, et plusieurs ont découvert la fuite en même temps que tout le monde.

Pour les éditeurs, c'est un double problème. D'abord les vidéos de jeux secrets qui se retrouvent sur Internet.

Et puis les adresses email pro exposées, qui peuvent servir à envoyer des tentatives de piratage ciblées à des gens qui travaillent sur des projets confidentiels.

Bref, un site gouvernemental mal protégé qui se transforme en plus grosse fuite jeu vidéo de l'année, rien de très étonnant.

Source : The Register

GIMP 3.2.4 est sorti le 19 avril avec une fournée de corrections de bugs, dont une qui remonte à 1999 dans le code de gestion du format XCF, le format natif de GIMP. 26 ans. Le bug traînait dans le code source depuis les premières versions du logiciel et n'avait jamais été repéré ni corrigé.

Pour ceux qui ne connaissent pas, XCF est au GIMP ce que PSD est à Photoshop : le format de fichier natif qui stocke calques, masques, chemins et métadonnées.

Un bug dans le parsing XCF, même mineur, peut entraîner des pertes silencieuses de données ou des comportements incohérents à la réouverture d'un projet commencé des mois plus tôt.

La version précédente, GIMP 3.2.2, avait en fait introduit une régression en essayant de corriger un autre problème. Certains calques de texte devenaient impossibles à éditer après avoir été rechargés depuis un fichier XCF. GIMP 3.2.4 corrige ça, et corrige au passage le bug historique de 1999 qui était à l'origine de comportements erratiques dans le parsing du format.

L'autre correction notable concerne la fonction "Ouvrir en tant que calques" avec des fichiers XCF multi-calques. Les noms de calques étaient modifiés à l'import, ce qui posait des problèmes dans les workflows automatisés ou les scripts qui comptent sur des noms stables.

Le projet GIMP fête ses 30 ans cette année, et le passage à la branche 3.x était le plus gros chantier depuis son lancement. Ici on est sur une release de maintenance, pas de nouvelles fonctions, mais corriger des bugs de fond dans le format de fichier natif quand on est en pleine transition majeure, ça évite que les utilisateurs se retrouvent avec des fichiers corrompus ou des calques cassés sur la durée.

Bref, si vous bossez avec GIMP et des fichiers XCF, la mise à jour est recommandée.

Source : Phoronix

Quelqu'un a fait tourner l'interface Steam sur une Nintendo Switch. Pas via un hack douteux ni un émulateur bricolé, mais en utilisant la beta officielle de Proton 11 que Valve a publiée avec, pour la première fois, le support des appareils ARM sous Linux.

Le résultat a été posté sur BlueSky ( par ici ) par AAGaming, qui a aussi partagé les fichiers pour reproduire la manip chez vous.

[Embed: https://bsky.app/profile/did:plc:owu62bybwircbrojnru5axov/post/3mjnka7iur22l]

Concrètement, Proton 11.0-Beta1 embarque FEX 2604, un traducteur d'instructions x86 vers ARM qui permet de faire tourner du code Windows x86 sur un appareil ARM sous Linux. C'est ce qui rend le tout possible. Cette Switch rootée tourne sous Ubuntu, Proton s'installe par-dessus, et l'UI Steam parvient bien à se lancer. Alors, certes, pour l'instant, on en est surtout au stade de la démonstration, et pas franchement au stade "jouer à Elden Ring sur sa Switch", mais le client fonctionne.

Si Valve a bossé sur ce support ARM, c'est en fait pour le Steam Frame, son casque de jeu qui tourne sur un Snapdragon 8 Gen 3 avec 16 Go de LPDDR5X. L'appareil avait été montré en novembre dernier, présenté comme un appareil de streaming d'abord, mais avec la capacité de faire tourner des jeux en local aussi.

Lors d'une démo, un représentant Valve avait fait tourner Hades 2 en standalone à 1400p sur ARM, avec des performances correctes. "C'est du Linux, sur ARM", avait-il précisé. Du coup, le support public dans Proton n'est que la suite logique.

L'intérêt va au-delà de la Switch. Tous les handhelds ARM sous Linux (Retroid, AYN, Ayaneo, et les futurs modèles) deviennent des cibles potentielles pour Steam. Valve travaille d'ailleurs sur un système de certification "Verified" pour le matériel ARM, comme ce qui existe déjà sur Steam Deck. 

Les joueurs sauront quels jeux tournent bien en local et lesquels il vaut mieux streamer.

Côté jeux, la beta Proton 11 certifie aussi une fournée de titres pour SteamOS : Resident Evil, Dino Crisis, Warhammer Vermintide 2, SHOGUN Total War, Breath of Fire IV, entre autres. Et Valve a corrigé le Steam Overlay qui ne marchait pas avec les jeux EA, un bug qui traînait depuis un moment.

Bref, Steam sur Switch c'est surtout un proof of concept pour l'instant, mais Valve pose les bases d'un écosystème ARM qui pourrait devenir très concret avec le Steam Frame.

Source : Tom's Hardware

Attention les amis, si vous avez une chaîne YouTube, vous allez probablement recevoir ce mail d'un certain "Edward Evans" ou autre qui vous explique très poliment que vous avez utilisé sa musique dans une vidéo, qu'il a déposé une plainte, et qu'il serait ravi de résoudre ça "peacefully".

Surtout ne répondez pas !

J'en ai reçu un hier sur ma boite mail... Un message courtois où le type explique qu'il y a eu une petite incompréhension et qu'on va arranger ça entre gens biens. Sauf que ce mail, c'est en fait le premier étage d'une arnaque bien ficelée qui a pour but final de dérober votre compte Google et de détourner votre chaîne.

Le premier red flag qui saute tout de suite quand on clique sur le nom de l'expéditeur c'est le display name qui affiche "Edward Evans", mais dont l'adresse réelle derrière est sigourneyphoebe1847@gmail.com. Deux prénoms féminins + 4 chiffres au pif, c'est très typique d'un Gmail jetable créé pour la campagne.

Perso, je m'en fous qu'un ayant droit utilise Gmail, car ça arrive. Par contre, un nom totalement différent entre ce qui est affiché et la vraie boîte mail, ça c'est un premier signal probable qu'on vous balade !

Le deuxième truc qui trahit l'arnaque, c'est le vide complet du mail. Aucune URL de la vidéo incriminée, aucun nom de morceau, aucun timestamp... juste "my audio track/music" bien générique. Le problème, c'est qu'un vrai détenteur de droits qui contacte en direct fournit généralement la vidéo exacte, l'œuvre concernée avec son numéro d'enregistrement et le passage précis.

Là, y'a rien.

Le mail est en fait volontairement flou pour maximiser les réponses, peu importe le contenu réel de votre chaîne. Par acquit de conscience, je suis allé chercher le gars sur GitHub, Twitter, Reddit, Gravatar, et compagnie mais zéro trace nulle part. C'est un pur Gmail fantôme créé juste pour l'occasion.

Et si vous répondez un truc du genre "bonjour, quelle vidéo exactement ?", ce que j'ai failli faire avant de me raviser, vous recevrez un deuxième mail avec un lien vers un prétendu dossier de preuve. Le hic, c'est que le lien pointe vers dmca-notification[.]info ou une variante, un site documenté récemment par Malwarebytes .

En fait le site clone l'interface YouTube, récupère votre vraie photo de profil, vos vrais subs, votre dernière vidéo, et vous invite très naturellement à vous connecter avec Google pour "consulter la réclamation". Et peu importe que vous soyez sur macOS, Windows ou Linux, le piège fonctionnera dans n'importe quel navigateur. Et si vous tombez dans le panneau, BAM, ça part en credentials volés, et donc en compte Google récupéré, et dont la chaîne est ensuite souvent renommée, pillée et détournée, tout ça en quelques heures !

L'arnaque fonctionne en mode Phishing-as-a-Service. Plusieurs attaquants partagent le même backend, chacun avec son affiliate ID. Un peu comme Uber Eats, mais pour l'extorsion... sympa hein ? Selon l'analyse Malwarebytes, le kit cible spécifiquement les chaînes sous les 3 millions d'abonnés plutôt que les gros YouTubeurs, parce qu'au-dessus les créateurs ont des contacts directs chez YouTube et le kit se fait démonter trop vite. Du coup, attention si vous bossez sur votre chaîne sans équipe juridique derrière comme moi, vous êtes clairement pile dans la cible.

Voici donc ce qu'il faut faire si vous recevez ce mail. Premier réflexe, ne pas répondre et signaler comme phishing directement dans Gmail. Ensuite, il faut bloquer l'expéditeur pour couper les relances. Enfin, vérifiez que votre compte Google a bien la double authentification activée, idéalement avec une clé physique type YubiKey au lieu d'un SMS (plus costaud parce qu'un SIM swap, ça peut se faire en quelques minutes avec un minimum d'ingénierie sociale.

Allez faire aussi un tour sur myaccount.google.com/security pour lister les sessions actives et les apps autorisées, et virez tout ce que vous ne reconnaissez pas. Ne zappez pas non plus les gestionnaires tiers sur votre chaîne dans YouTube Studio, y'a souvent des vieilles autorisations qui traînent.

Et n'oubliez pas, LA source de vérité pour tout problème de copyright, c'est YouTube Studio, dans l'onglet Contenu, colonne Restrictions. Si y'a pas de restriction affichée en Studio, alors le mail c'est du phishing de merde, point.

Voilà, si vous avez une chaîne ou pas, parlez-en aussi à vos potes créateurs autour de vous car cette arnaque tourne fort en ce moment.

Source

Les processeurs Core Series 3 d'Intel sont en vente, et ce qui est intéressant ici, c'est moins les specs que l'endroit où ils sont fabriqués.

Ces puces sortent des usines Intel de Hillsboro (Oregon) et Chandler (Arizona), sur le procédé 18A, l'équivalent du 2 nm chez Intel. Pas de TSMC dans la boucle. En 2024, une bonne partie des processeurs Intel pour PC portables était encore gravée chez le fondeur taiwanais. Ce n'est plus le cas.

Côté technique, on est sur de l'entrée de gamme assumée. 6 coeurs (2 performance Cougar Cove + 4 basse consommation Darkmont), 2 coeurs GPU Xe3, un NPU à 17 TOPS et une prise en charge mémoire en simple canal. Du budget pas cher donc.

Les fréquences montent entre 4,3 et 4,8 GHz selon les modèles, avec Thunderbolt 4, Wi-Fi 7 et Bluetooth 6. Intel annonce quand même +47% en mono-coeur et +41% en multi-coeur par rapport au Tiger Lake de 11e génération, ce qui n'est pas rien vu que ces puces datent de 2020.

Le vrai sujet, c'est la technologie 18A elle-même. Le procédé utilise RibbonFET (l'architecture Gate-All-Around qui remplace les FinFET) et PowerVia, la première implémentation industrielle de la distribution d'énergie par l'arrière de la puce.

Intel dit avoir environ un an d'avance sur TSMC sur ce point. C'est cette avance qui pourrait attirer des clients fonderie, et c'est probablement pour ça qu'Intel commence par montrer que le 18A fonctionne en production sur des puces commerciales, même d'entrée de gamme. La démonstration compte autant que le produit.

D'autant plus que le contexte s'y prête. Avec les milliards du CHIPS Act, Intel a massivement investi dans ses usines américaines pour ne plus dépendre de TSMC. Le Core Series 3 est la preuve que cette stratégie commence à se concrétiser sur des produits grand public, pas seulement sur des prototypes de labo.

Plus de 70 modèles de PC portables sont prévus chez Acer, Asus, Dell, HP, Lenovo, MSI et Samsung d'ici la fin de l'année. Les premiers systèmes sont déjà disponibles, les configurations edge suivront au deuxième trimestre.

C'est la suite logique des Core Ultra Series 3 (Panther Lake), les puces haut de gamme annoncées au CES en janvier et déjà en vente, elles aussi fabriquées sur 18A.

Bref, Intel qui refabrique ses puces sur sol américain et qui montre que son 18A tourne en production, c'est probablement plus important que les specs des puces elles-mêmes.

Source : The Register

L'interface web de Proxmox (l'outil de virtualisation que tout bon homelabber connaît), c'est bien... pour UN serveur. Dès que vous commencez à empiler les nodes et les clusters, ça devient vite le bazar avec 15 onglets ouverts. PegaProx , c'est tout simplement un dashboard open source qui unifie tout ça dans un seul écran. Et vous allez voir, le truc cool, c'est que ça gère aussi les clusters XCP-ng !

L'interface de PegaProx - une vue unifiée de tous vos clusters Proxmox et XCP-ng

Concrètement, vous branchez tous vos hyperviseurs sur cette interface web (port 5000) et hop, vous avez la vue complète. VMs, conteneurs, métriques de perf... tout remonte en temps réel via Server-Sent Events. Du coup, plus besoin de jongler entre les interfaces de chaque node pour savoir quel serveur rame.

Côté fonctionnalités, accrochez-vous les amis parce que pour une beta, c'est déjà bien garni ! Migration live de VMs entre nodes, gestion du stockage Ceph, consoles navigateur via noVNC et xterm.js, et même de la migration cross-hypervisor entre ESXi, Proxmox VE 8.0 et XCP-ng (encore expérimental côté ESXi, mais ça avance). Y'a aussi des règles d'affinité pour placer vos VMs, du rolling update avec évacuation automatique, et des alertes sur les seuils CPU/RAM/disque. Pour une beta, c'est assez dingue ce qu'ils ont déjà mis dedans.

Côté sécurité, c'est pas en reste non plus. Y'a du RBAC avec 3 rôles (Admin, Operator, Viewer, pas plus pas moins), du TOTP pour le 2FA, de l'intégration LDAP et OIDC compatible Active Directory, Entra ID, Keycloak ou Google Workspace, du chiffrement AES-256-GCM pour stocker les credentials en base, et même du scan de CVE via debsecan. Autrement dit, ils ont pensé aux admins sérieux. Pour ceux qui ont déjà configuré un provider OIDC sur leur homelab , ça se branche directement.

Pour l'installer, le plus simple c'est Docker. Un docker compose up -d, 30 secondes d'attente, et c'est plié.

Mais y'a aussi un script de déploiement automatique, un repo APT communautaire maintenu par gyptazy, ou le classique git clone + pip pour les puristes. Une fois lancé, vous pointez votre navigateur sur https://votre-ip:5000, et un assistant vous accueille avec les identifiants par défaut (pegaprox/admin, à changer immédiatement bien sûr). L'interface est dispo en 5 langues : français, anglais, allemand, espagnol et portugais.

D'ailleurs, si vous utilisez déjà ProxMenux pour administrer votre Proxmox en terminal, les deux sont en fait complémentaires. Disons que ProxMenux couvre l'admin système en ligne de commande, alors que le dashboard apporte la vue unifiée multi-clusters en web. Initialement j'aurais dit que c'était redondant, mais non, ça se marie plutôt bien. Et y'a même un système de plugins avec un portail client pour vos utilisateurs et une page de statut publique à la StatusGator.

Attention c'est comme je vous le disais, encore une beta. L'OIDC avec Authentik par exemple, ça fonctionne pour le login mais les groupes ne remontent pas encore correctement (retour d'un lecteur qui l'utilise au quotidien).

Par contre si vous n'avez qu'un seul serveur Proxmox, honnêtement c'est un peu overkill, l'interface native suffit largement. Quelques glitchs traînent ici ou là, et l'API Token pour se connecter à la place de root n'est pas super bien documenté. Mais le projet avance vite donc c'est plutôt bon signe !

Bref, ça promet pas mal. Merci à Maxime pour la découverte !

MZLA, la filiale de la Mozilla Foundation qui gère Thunderbird, sort un client IA open source auto-hébergeable baptisé Thunderbolt. Multi-plateforme, compatible MCP et Agent Client Protocol, avec intégration du framework Haystack de deepset pour le RAG et les agents. Le tout doit pouvoir tourner sur votre infra, pas chez OpenAI.

Le positionnement est clair. Ryan Sipes, le patron de MZLA, résume : "Est-ce que vous voulez vraiment construire vos workflows IA sur un service propriétaire d'OpenAI ou d'Anthropic, avec toutes les données internes de votre boîte qui transitent par leurs serveurs ?"

La question est vite répondue pour pas mal de DSI en ce moment, surtout en Europe où la souveraineté des données est devenue un sujet bouillant.

Thunderbolt utilise des modèles au choix de l'utilisateur et peut tourner sur une seule machine, sans cluster à gérer. Côté protocoles, la compatibilité MCP (Model Context Protocol) et ACP (Agent Client Protocol) ouvre l'interopérabilité avec les serveurs et agents du marché.

L'intégration de Haystack, le framework d'orchestration IA de deepset (boîte allemande), gère le RAG, les applications multimodales et les agents. Du coup, Thunderbolt ne fait pas que du chat, il peut chercher dans vos documents, croiser des sources, et exécuter des tâches.

La cible, c'est les entreprises qui veulent un Copilot ou un ChatGPT Enterprise sans donner leurs fichiers à Microsoft ou OpenAI. Le code est sur GitHub, et MZLA travaille aussi sur une version hébergée pour les petites équipes qui n'ont pas d'infra à déployer.

Côté crédibilité, MZLA a l'avantage du track record Thunderbird, un projet open source géré proprement depuis des années, avec une communauté active et un financement stable via la Mozilla Foundation. Ce n'est pas un énième side project IA lancé par une startup de quatre personnes. La base de contributeurs existe déjà.

Bref, si vous cherchez un client IA d'entreprise qui ne finit pas chez OpenAI, Thunderbolt est une piste sérieuse.

Source : The Register

200 000 serveurs. C'est le nombre de machines potentiellement exposées à l'exécution de commandes système arbitraires via une faille de conception dans le SDK MCP d'Anthropic, d'après les chercheurs d'OX Security.

L'interface STDIO du protocole permet de créer des sous-processus sans contrôle, ce qui ouvre la porte à n'importe quelle commande OS sur la machine hôte.

Le problème touche tous les langages supportés par le SDK : Python, TypeScript, Java, Rust. Et les packages concernés totalisent plus de 150 millions de téléchargements. Les chercheurs ont documenté quatre classes de vulnérabilité. D'abord de l'injection de commandes non authentifiée, testée sur LangFlow (toutes les versions) et GPT Researcher

Ensuite des contournements de sécurité sur Upsonic et Flowise. Et puis de l'injection de prompt zero-click dans des IDE comme Windsurf, Cursor, Gemini-CLI et GitHub Copilot. Et enfin du "marketplace poisoning" : 9 marketplaces MCP sur 11 testées ont accepté un serveur malveillant de démonstration sans broncher.

10 CVE de niveau élevé ou critique ont été émis. OX Security a mené plus de 30 processus de divulgation responsable depuis novembre 2025, avant de rendre les résultats publics en avril.

La réponse d'Anthropic est celle qui fait grincer des dents. La boîte considère que le comportement est "attendu" et a refusé de modifier l'architecture du SDK. Elle a publié des recommandations de sécurité mises à jour, mais selon les chercheurs, "ça n'a rien corrigé". En clair, Anthropic estime que la sécurité de l'interface STDIO est du ressort de l'utilisateur qui déploie, pas du protocole lui-même.

C'est quand même un positionnement gênant, MCP est devenu un standard de facto pour connecter des modèles IA à des outils externes, et des milliers d'entreprises et de développeurs l'ont adopté.

Si le SDK officiel laisse passer de l'exécution de code arbitraire par design, et que la réponse officielle est "c'est voulu, sécurisez vous-mêmes", la responsabilité est déplacée vers l'aval sans filet.

Bref, si vous déployez du MCP en prod, les recommandations d'OX Security valent le détour. Anthropic ne corrigera pas à votre place.

Source : The Register

1 000 fractures. C'est le nombre de cycles de cassure et de réparation qu'un nouveau composite à fibres a encaissé en labo, sans perdre sa capacité à tenir la route.

Les ingénieurs de NC State University ont créé un matériau qui se "re-soude" tout seul, et qui pourrait durer entre 125 et 500 ans au lieu des 15 à 40 ans habituels pour un composite classique.

Le fonctionnement est assez simple. Le matériau est un composite polymère renforcé de fibres (verre ou carbone), avec deux ajouts. D'abord un agent de cicatrisation thermoplastique (du EMAA, un polymère) imprimé en 3D directement sur les couches de fibres, ce qui rend le composite deux à quatre fois plus résistant à la délamination de base.

Ensuite, des couches chauffantes en carbone intégrées dans la structure. Quand on fait passer un courant électrique, la chaleur fond l'agent thermoplastique, qui coule dans les fissures et re-colle les interfaces séparées. La pièce se répare sans intervention manuelle.

En test, le composite a tenu 1 000 cycles de fracture-réparation en 40 jours continus. La résistance à la fracture commence à 175 % du niveau d'un composite standard, puis descend progressivement jusqu'à 60 % après mille cycles, à cause de l'accumulation de débris de fibres et de la baisse des réactions chimiques.

Ça reste quand même exploitable, et largement au-dessus de la limite de fin de vie d'un composite non-réparant.

Les applications visées sont les ailes d'avion, les pales d'éoliennes, les structures automobiles et les engins spatiaux, bref tout ce qui utilise du composite et subit de la fatigue mécanique sur des décennies.

Si la réparation est faite une fois par trimestre, les chercheurs estiment la durée de vie à 125 ans. Une fois par an, on monte à 500 ans. C'est évidemment théorique, mais l'ordre de grandeur change complètement la donne par rapport aux 15 à 40 ans actuels.

Les travaux ont été publiés en janvier dans les Proceedings of the National Academy of Sciences. La technologie est brevetée et licenciée via Structeryx, une startup fondée par l'équipe de recherche.

Le passage du labo à l'industriel n'est pas gagné (c'est le cas de tous les matériaux), mais les chiffres sont suffisamment parlants pour que l'aéronautique et l'éolien y regardent de près.

Bref, un composite qui dure des siècles au lieu de quelques décennies, ça changerait complètement les calculs de maintenance dans l'aéro et l'éolien.

Source : Ecoticias

Plus de 230 modèles de points d'accès Wi-Fi Cisco ont un problème. Les versions 17.12.4 à 17.12.6a de IOS XE embarquent une bibliothèque qui génère un fichier log, cnssdaemon.log, à raison de 5 Mo par jour. Le fichier ne sert à rien. Et impossible de le supprimer depuis la ligne de commande.

5 Mo par jour. Ça paraît rien. Sauf qu'un point d'accès Wi-Fi n'a pas un disque de 500 Go. La mémoire flash de ces appareils est limitée, et au bout de quelques semaines ou mois, elle sature.

Quand c'est plein, plus moyen de télécharger ou d'installer une mise à jour logicielle. La borne fonctionne encore, mais elle est figée sur sa version actuelle, sans possibilité de patch de sécurité ou de correction de bug.

Et c'est là que le piège se referme. Pour corriger le problème, il faut mettre à jour IOS XE. Mais si la mémoire flash est déjà pleine, la borne n'a pas la place pour stocker la nouvelle image système.

Cisco prévient que tenter la mise à jour dans cet état peut provoquer un bootloop, la borne redémarre en boucle sans jamais finir le boot. Du coup, l'admin se retrouve avec un appareil qu'il ne peut ni patcher ni laisser en l'état.

Cisco a publié un bulletin avec les procédures de test et de remédiation. Il faut d'abord vérifier la version IOS XE, puis libérer de l'espace manuellement avant de tenter la mise à jour.

Ça se fait, mais c'est du travail manuel sur chaque borne, et dans un réseau d'entreprise avec des centaines de points d'accès, la facture en heures de boulot est salée.

Ce genre de bug est particulièrement agaçant parce qu'il est silencieux. Personne ne surveille l'espace disque d'une borne Wi-Fi au quotidien, le problème se découvre en général le jour où une mise à jour échoue, c'est-à-dire trop tard.

Et le fait que la suppression du fichier soit impossible en CLI est quand même un oubli difficile à excuser sur du matériel vendu aux entreprises.

Bref, si vous avez du Cisco en IOS XE 17.12.x, vérifiez vos bornes avant qu'elles ne se bloquent toutes seules.

Source : The Register

Quand on fait du self-hosting, y'a toujours ce moment où on se dit "tiens, y'aurait pas un truc open source pour ça". Tenez par exemple, là je suis en train de chercher un machin open source pour un mariage qui permet aux invités de balancer leurs photos sur un serveur en scannant un QR Code. Et donc je me retrouve à scroller awesome-selfhosted sur GitHub, qui est une liste fleuve de +1500 projets, en essayant de deviner lesquels sont encore vivants.

Et c'est exactement ce problème qu'a voulu résoudre Ethan Sholly en lançant selfh.st/apps en 2024. En gros, c'est un annuaire d'applications auto-hébergées avec des vrais filtres, du tri, et surtout des indicateurs d'activité. Le mec est aussi derrière la newsletter Self-Host Weekly.

L'interface de selfh.st/apps, avec fiches, filtres et indicateurs d'activité

Comme ça, au lieu de vous taper une liste brute, vous avez des fiches pour chaque app avec le nombre d'étoiles GitHub, la licence, le langage, les tags, et surtout un code couleur sur la date de dernière activité. Vert si le projet a reçu un commit dans les 6 derniers mois, jaune entre 6 et 12 mois, rouge au-delà d'un an. Pratique pour éviter d'installer un truc que plus personne ne maintient, genre un serveur Plex alternatif mort depuis 2022 !

Et le tri par défaut, c'est pas juste les étoiles GitHub sinon les gros projets à 50 000 étoiles écraseraient tout. L'algo prend en compte l'âge du repo, la date du dernier commit, et même l'intérêt Google Trends pour les projets non-GitHub. Du coup un outil avec 200 stars mais hyper actif peut remonter devant un dinosaure à 30k stars qui dort depuis 18 mois. J'ai trouvé ça pas bête comme filtrage.

D'ailleurs, chaque projet a son propre flux RSS filtré qui ne remonte que les releases stables. Pas de bêtas, pas de RC... juste les versions prêtes pour la prod. Comme ça, vous branchez ça dans votre FreshRSS ou Miniflux et vous êtes au courant des mises à jour sans checker chaque repo GitHub à la main ! Par contre, si vous aimez vivre dangereusement sur les nightly, là faudra passer par les flux officiels GitHub.

Le site va également plus loin que la simple liste d'apps puisqu'il propose aussi une section "companions", contenant des apps compagnons qui étendent d'autres logiciels auto-hébergés (genre les extensions navigateur pour Linkedin ou les clients tiers pour Immich...etc).

La collection d'icônes pour personnaliser votre Homarr ou Dashy

Et surtout, y'a selfh.st/icons avec des milliers d'icônes de dashboard en SVG, PNG et WebP, toutes en 512x512 ratio 1:1, indispensable pour personnaliser votre page d'accueil sur Homarr ou Dashy !

Le catalogue d'apps est sous licence CC0-1.0 (domaine public) et mis à jour tous les matins à 5h du mat' heure de New York (les icônes, elles, sont en CC-BY-4.0, donc pensez à créditer si vous les réutilisez). En 2 minutes de fouille j'y ai trouvé trois projets que je connaissais pas. Et si vous voulez ajouter le vôtre, le repo est ouvert sur https://github.com/selfhst .

Et si vous connaissez un outil pour mon projet de QR Code d'upload de photo de mariage, n'hésitez pas à me contacter.

Voilà, pour ceux qui font de l'auto-hébergement au quotidien, c'est clairement un bookmark à garder sous le coude. Que vous cherchiez une alternative à Notion, un dashboard pour votre homelab, ou juste un truc pour remplacer un service cloud qui vous gonfle, y'a de quoi fouiller ! Et si vous cherchez des pistes pour commencer, OpenCloud ou Pocket ID sont de bons points de départ.

Bref, une mine d'or pour les homelabbers.

Merci à Maxime pour le lien !