Une IA a rooté une télé Samsung tournant sous KantS2, la plateforme logicielle d'un ancien modèle de la marque. C'est Codex, le modèle de code d'OpenAI, qui a trouvé un driver laissé avec des droits d'écriture sur le firmware, mappé la mémoire physique, et est passé root en quelques étapes. Les chercheurs de califio lui ont juste fourni un accès shell et le code source du firmware. À partir de là, c'est Codex qui a enchaîné la chaîne d'exploitation tout seul.

Et ce qui est marquant dans cette histoire, je trouve, c'est pas tellement la faille mais le fait qu'un driver laissé en accès libre sur un firmware embarqué des années 2018-2020, ça se trouve à la pelle. Heureusement, Samsung a patché cette TV-là.

Ce qui est super fort, c'est que Codex a fait de l'énumération de surface d'attaque, a lu le code source, a testé ses hypothèses sur l'appareil en live, a pondu un PoC en 2 secondes, puis l'a exploité. 5 petites étapes que des chercheurs humains mettent typiquement des semaines à enchaîner.

Et Codex n'est pas un cas isolé puisque Anthropic a annoncé que son modèle Claude Mythos a trouvé des milliers de vulnérabilités sur Windows, macOS, Linux et les gros navigateurs, dont une partie en critique. De son côté, AISLE a sorti les douze vulnérabilités critiques patchées dans OpenSSL fin janvier de cette année, trouvées également par son système IA. Trend Micro de son côté fait tourner ÆSIR et revendique 21 CVEs sur NVIDIA, Tencent et MLflow depuis mi-2025. Bref, on a basculé dans autre chose niveau cybersec.

Du coup, la question qui me gratte, c'est pas "est-ce que l'IA peut trouver des failles". Pour ça, on connait la réponse. Non, c'est plutôt : Mais qui va tenir le putain de rythme côté défense ?. Parce que les fabricants, eux, patchent toujours à la vitesse d'un humain qui lit un rapport, teste, valide, et pousse quand ils ne sont pas en congés, alors que pendant ce temps, un système IA bien configuré peut passer au scanner le firmware d'un objet connecté en boucle, sans se fatiguer et sans pause café jusqu'à ce qu'il le déboite.

Côté utilisateur, honnêtement, y'a pas grand-chose à faire. La faille Samsung est corrigée par une mise à jour, encore faut-il avoir branché la TV au réseau et accepté les updates. Et pour une TV achetée il y a cinq ans et qu'on rallume uniquement pour Netflix le soir, c'est loin d'être garanti. Le bon réflexe, c'est donc de vérifier les mises à jour sur tout ce qui a un firmware et qui traîne en bout de course. Routeurs, caméras IP, domotique, et tous ces vieux trucs qu'on a oublié de patcher depuis trois ans.

En tout cas, je vous le dis direct, le sujet va revenir encore et encore, vous allez voir... Parce que si une IA de ce niveau peut trouver une escalade root sur une TV avec juste un shell et du code source, elle peut s'attaquer à pas mal d'autres appareils connectés qui partagent les mêmes mauvaises habitudes de permissions. Le hack de TV , en 2012, c'était un passe-temps de chercheur alors qu'en 2026, c'est devenu industrialisable.

Les IA accélèrent vraiment la découverte de 0-days, et l'écart avec les équipes humaines se creuse fortement. Donc si vous avez du matos connecté chez vous, un petit audit ce weekend, ça ne mangera pas de pain.

Source : Califio

Il a zoné au-dessus de votre jardin durant 3 minutes la semaine dernière. Vous l'avez entendu, vous avez levé la tête, mais trop tard ! Encore un putain de drone. Mais lequel ? Et surtout, qui le pilotait ?

Alors voilà un projet qui tente de répondre à ces questions pour le prix d'un week-end entre potes ! DroneAware Node , c'est une station de détection de drones à bricoler soi-même à base de Raspberry Pi. Il vous faut un Pi, 2 dongles USB, une microSD, et vous avez un truc qui écoute les signaux Remote ID autour de chez vous. Son créateur, DroneAwareDan, annonce une portée allant jusqu'à 8 km, mais en conditions idéales, au-dessus de l'eau et avec de grosses antennes. Dans la vraie vie, tablez plutôt sur 1 à 2 km selon le bruit radio du quartier et la qualité des antennes.

Le principe est assez malin. La FAA a imposé le standard Remote ID aux opérateurs américains à partir de septembre 2023 (les constructeurs devaient être prêts un an plus tôt). Et l'EASA a suivi côté européen avec une obligation au 1er janvier 2024. Concrètement, la plupart des drones grand public (au-dessus de 250 g ou classés C1 à C3 en Europe) doivent obligatoirement émettre en continu une sorte de plaque d'immatriculation radio qui balance l'ID de l'appareil, sa position et généralement un point de décollage. Et DroneAware capte ces signaux en Bluetooth Low Energy et en WiFi 2,4 GHz sans rien émettre lui-même, donc du listening purement passif.

Je vois que vous kiffez alors je continue... ^^

Côté matos, faut donc prévoir comme je vous le disais un Raspberry Pi (1 Go de RAM suffit, 2 Go recommandés), un dongle Bluetooth USB un peu costaud (du genre le Sena UD100 avec son chipset CSR qui fait bien le taf), un dongle WiFi qui supporte le mode moniteur en dual-band 2,4 et 5 GHz (comme l'Alfa AWUS036ACM qui coche toutes les cases), une microSD de 16 Go et un chargeur 5V/3A. Les détails exacts des antennes resteront à votre bon vouloir, parce que les "massive antennas" montrées sur les photos du projet font une grosse différence sur la réception. Par exemple une antenne omnidirectionnelle 9 dBi gagne facilement un kilomètre de portée sur install normale.

Concrètement, on flashe d'abord une distrib Raspberry Pi OS Lite sur la microSD, ensuite on branche les deux dongles, et après on lance le script d'install qui configure les interfaces Bluetooth et WiFi en mode moniteur. Et hop, ça tourne. Vos détections remontent alors sur droneaware.io , une plateforme collaborative qui agrège les données des nodes pour former une carte temps réel. Plus il y a de stations, mieux le maillage couvre la zone.

Sauf que... et là c'est le bémol, certains drones plus anciens n'émettent rien du tout tant que leur constructeur n'aura pas poussé une mise à jour Remote ID. Donc votre voisin avec son vieux Mavic Pro de 2016 qui vient vous mater en slip peut très bien rester invisible (à moins qu'il ait collé dessus un module Remote ID... ça coûte dans les 100 balles, et ça rend un drone ancien détectable mais qui fait ça ???). Et si vous partez sur une clé WiFi monobande 2,4 GHz seulement, vous raterez les drones modernes qui émettent en WiFi 5 GHz, raison pour laquelle un adaptateur dual-band évite cet angle mort.

Je trouve que l'approche est assez cool car on n'émet rien, on écoute juste ce que les drones sont déjà obligés de gueuler en clair sur les ondes, et on remet un peu de visibilité du côté du citoyen. Pas mal, non ? D'ailleurs, si vous aimez ce genre de bidouille RF sur Raspberry Pi, j'avais déjà couvert un système de vidéo-surveillance DIY et une caméra de chasse sur Pi qui jouent dans le même registre.

Bref, le code est sur GitHub, et le réseau commence à se densifier. À tester si vous êtes curieux de savoir ce qui survole votre terrain !

Source : Hackster

Payer 15 euros par mois pour un chat d'équipe du genre de Slack, 20 pour un wiki pro, 10 pour un kanban... Et au bout d'un an, vous avez filé l'équivalent d'un MacBook d'occasion à des SaaS qui vivent sur votre dos. C'est ce constat qui a poussé 37signals à ouvrir ONCE.

Pour ceux qui rompichent fort depuis des années, 37signals c'est la boîte derrière Basecamp et HEY, avec Jason Fried comme CEO et David Heinemeier Hansson (DHH, le créateur de Ruby on Rails) comme CTO.

Depuis 2023, ils rament contre l'abonnement à vie façon Microsoft 365, et vendent certains de leurs outils en paiement unique façon Photoshop version boîte physique. Leur modèle commercial n'a pas vraiment décollé, alors le 16 mars dernier, DHH a publié un billet "ONCE Again" pour annoncer le pivot : Leurs apps passent dorénavant en open-source (sous des licences variables, j'y reviens) et 37signals sort une plateforme commune pour simplifier l'auto-hébergement.

Cette plateforme, c'est donc ONCE , officiellement lancée le 17 avril dernier. Il s'agit d'un binaire unique écrit en Go, sous licence MIT, qui transforme n'importe quelle machine Linux ou macOS en serveur d'applications Docker auto-hébergées. VPS, Raspberry Pi, vieux laptop qui traîne au grenier, votre MacBook Pro... tout y passe du moment qu'il y a Docker dessus.

Cela dit, si vous comptiez bourrer un vieux Pi 3 avec quatre apps en même temps, faudra pas s'étonner quand même que ça rame.

L'installation tient sur une ligne :

curl https://get.once.com | sh

Le script détecte votre plateforme, installe Docker s'il est absent, colle le binaire au bon endroit et lance une interface TUI qui vous demandera alors quelle application vous voulez installer en premier. Et si vous préférez scripter le truc, le paramètre ONCE_INTERACTIVE=false fera le taf sans poser de questions.

Côté apps intégrées, trois outils 37signals sont livrés d'office. Campfire d'abord, qui est l'outil de chat d'équipe historique de Basecamp, passé en open-source le 21 août dernier. Writebook ensuite, pour publier des ebooks ou de la documentation interne. Et Fizzy, un kanban plus récent, sous une licence maison baptisée "O'Saasy" qui interdit de faire concurrence en mode SaaS mais laisse tout le reste ouvert. 3 bricoles simples à installer chez vous, comme ça vous esquivez Slack, Notion et Trello.

Et si vous voulez installer vos propres apps Docker, c'est possible mais sous condition qu'elles respectent quatre règles :

1. tourner dans un container
2. servir du HTTP sur le port 80
3. exposer un endpoint /up pour le healthcheck
4. et stocker leurs données persistantes dans /storage.

Attention, si votre user n'est pas dans le groupe docker, faudra lancer chaque commande once avec sudo devant, comme c'est marqué dans le README.

ONCE montera alors automatiquement un volume là-dedans et l'incluera dans les backups. Y'a aussi des hooks optionnels comme /hooks/pre-backup pour préparer une copie safe de vos données (genre une base SQLite qu'il vaut mieux ne pas copier à chaud) et /hooks/post-restore pour le cleanup après restauration.

Sous le capot, l'architecture s'appuie sur Kamal Proxy, un autre outil maison 37signals qui gère le routage HTTP et le switch de versions en zero-downtime.

Un détail qui va en sauver plus d'un au passage : si vous êtes derrière Cloudflare Proxy, pensez à passer le mode SSL en "Strict (full)" avant de vous lancer. Si vous loupez ce point, vous allez vous taper des redirect loops incompréhensibles avant de capter d'où ça vient.

Alors évidemment, ONCE reste encore trèèès jeune... Windows n'est pas supporté, et la liste d'applications tierces compatibles est encore limitée. Face à Dokploy qui joue dans la même cour, ONCE mise sur la simplicité radicale (un binaire, un TUI, trois apps fournies) plutôt que sur la polyvalence maximale. Pour un utilisateur solo ou une petite team qui veut juste rapatrier 2 ou 3 outils en interne et faire des économies, c'est franchement pas mal. Mais pour un setup Kubernetes d'entreprise avec 40 services, passez votre chemin, c'est pas le bon outil. OpenCloud sera sans doute plus taillé pour du self-hosting type suite collaborative.

Mais bon, voilà, si vous cherchiez à rapatrier vos outils sur votre machine sans vous taper un cursus DevOps, ONCE mérite qu'on le garde à l'œil. Reste maintenant à voir combien d'apps tierces vont jouer le jeu.

Source : dev.37signals.com

Et si vous pouviez lâcher un petit char d'assaut bardé d'IA dans votre jardin pour aller cartographier les monticules des taupes ? Hé bien bonne nouvelle puisque ça va être possible grâce à Waveshare qui vient de sortir le UGV Beast , un robot mobile à chenilles propulsé par Raspberry Pi 4 ou 5 qui promet de tenir la route là où les robots à roues s'enlisent connement.

L'engin pèse 2 kilos et des poussières (2,35 kg avec la caméra pan-tilt), soit à peu près le poids d'un gros chat. Il mesure 232 × 197 mm, soit la taille d'une boîte à chaussures, et avance à 0,35 m/s en vitesse de pointe... soit 1,26 km/h. Autant dire une marche de grand-père avec un genou en moins. C'est pas une Formule 1 donc si vous cherchez un robot qui va faire des courses de vitesse, passez votre chemin. Mais vu qu'il peut tourner sur lui même comme mon tracteur tondeuse, grâce à ses deux chenilles de 40 mm, il passe partout où un robot à roulettes viendrait se vautrer bêtement.

Sous le capot, même philosophie que le RaspRover dont je vous parlais déjà , mais en plus costaud. D'un côté y'a le Raspberry Pi qui gère l'IA haut niveau (vision, stratégie, interface web), et de l'autre un ESP32 qui s'occupe des moteurs et des capteurs en temps réel. Du coup, chaque ordre est précis parce que personne ne court après deux lièvres à la fois.

Côté perception, on retrouve une caméra grand angle 5 MP à 160° de champ de vision, un IMU 9 axes pour la stabilisation, et des connecteurs pour brancher un lidar (USB ou UART), un micro stéréo et un ampli audio. Bref, y'a de quoi bidouiller.

Si vous prenez la version pan-tilt, le servomoteur balance 30 kg par cm de couple, tourne à 360° en horizontal plus 120° en vertical, avec une LED haute luminosité pour filmer dans le noir. Moi je verrais bien ça en caméra mobile de surveillance dans mon garage, ou en robot qui suit mon chat sans le stresser (enfin, en théorie... parce qu'avec un chat, y'a jamais de garantie).

Le truc qui fait la différence, c'est surtout que le UGV Beast carbure à ROS2 Humble sur Raspberry Pi OS Bookworm, avec OpenCV et MediaPipe préinstallés. Reconnaissance de couleurs, détection de visages, contrôle par gestes, suivi de lignes, le tout en Python via JupyterLab pour apprendre sans prise de tête.

Le pilotage passe ensuite par une appli web Flask avec streaming WebRTC basse latence, donc vous pilotez depuis un navigateur (smartphone, tablette, PC) sans installer d'appli dédiée. L'alimentation se fait sur trois batteries avec module UPS intégré et même un petit capteur pour surveiller la tension.

Le châssis est en alu 2 mm, une suspension en inox, et le GPIO 40 broches reste facilement accessible pour la bidouille. Vous pouvez même lui coller un module 4G LTE ou 5G pour le piloter depuis l'autre bout du monde. Sauf que, à 1,26 km/h, il faudra être patient... Et évidemment, si y'a des marches dans votre terrain, y'aura pas de miracle... le UGV Beast les passera pas.

Niveau tarifs, comptez environ 265 dollars pour le châssis seul sur la boutique Waveshare, 500 euros pour le kit complet avec caméra et Raspberry Pi 4, et jusqu'à 1200 € pour la version Jetson Orin Nano 4GB si vous voulez taper dans le haut du panier. Sur AliExpress ou Amazon, les prix grimpent un peu (370 à 900 dollars selon la config) mais la livraison est plus rapide. Perso, à ce prix-là je préfère carrément la version avec caméra, parce que le châssis nu sans vision, ça sert pas à grand-chose je trouve.

Le Wiki officiel explique pas à pas comment monter l'engin, flasher l'OS et coder vos propres comportements. Bref, c'est un bon gros projet sur lequel vous mettre si vous aimez bidouiller et que vous avez un peu de temps libre.

Reste à voir si votre chat appréciera le nouveau colocataire.

Source : CNX Software

Ça y est les amis, comme à Fraggle Rock, Google entre enfin dans la danse de la musique IA avec Flow Music . Son service vient de sortir en freemium, et c'est la réponse officielle de Mountain View à Suno et Udio . Et derrière le volant, on retrouve Lyria 3, le modèle de DeepMind spécialisé dans la génération musicale.

Une fois sur le site, c'est du classique. Vous tapez un prompt du genre "lofi beat pour vibe coder la nuit", ensuite vous cliquez sur le bouton, et pouf quelques secondes après, l'IA vous pond un morceau complet avec vocaux dynamiques et arrangement d'une qualité foooollllle ! Et celui-ci peut aller jusqu'à 3 minutes en passant par le modèle Lyria 3 Pro. Après, rien d'inédit côté concept, car y'a déjà Suno depuis 2023 et Udio depuis 2024 qui font ça. Sauf que Google a empilé pas mal de features pour se démarquer et pas des moindres, vous allez voir !

D'abord leurs machin baptisé Spaces, c'est le truc qui m'a fait lever un premier sourcil. En fait, au lieu de taper un simple prompt, vous pouvez vibe-coder votre propre outil : un clavier virtuel, un mini-jeu musical, un DAW maison. Vous décrivez ce que vous voulez, puis l'IA génère l'interface, et ensuite vous jouez avec. Sur la homepage, ils montrent par exemple un piano miniature jouable à la souris, genre prototype fait en moins de 10 minutes. En fait l'idée, c'est que chacun se bricole son interface. Suno et Udio ont chacun leur panoplie d'outils plus avancés (mode studio, édition timeline, inpainting), mais l'approche Spaces, clairement, personne d'autre ne la propose pour l'instant !

Autre truc pratique, l'articulation avec Veo, le modèle vidéo maison de Google. En gros, Veo génère directement image et audio de son côté, et Lyria 3 sert de moteur musical dédié quand vous préférez gérer séparément votre bande-son. Pratique pour les créateurs YouTube qui veulent produire vite sans sortir leur caméra. D'ailleurs, Google Vids (l'éditeur vidéo de Workspace) intègre Lyria 3 pour la musique et Veo pour la vidéo, donc les deux univers se parlent déjà.

Côté features plus traditionnelles, vous avez le remix, les effets audio, la séparation des stems pour isoler les pistes, et des crédits journaliers pour la formule gratuite histoire de vous amuser. L'outil apprend aussi votre style au fil des usages, genre playlist Spotify mais en version génération (bonjour la bulle algorithmique).

Le hic qui va faire râler par contre c'est le marquage SynthID d'office. Google pose un watermark imperceptible sur tous les morceaux générés, un peu comme un tampon encreur invisible. L'idée, c'est d'identifier les contenus produits par l'IA Google, sans forcément d'empêcher les usages pénibles.

Côté voix, Suno propose un système de voice profile encadré avec vérification des droits et Flow Music n'a pour le moment aucune fonction équivalente officielle. Et ça ne propose que 3 minutes max par morceau alors que Suno peut monter à 8 minutes. Je pense donc que les musiciens IA "pros" resteront chez les concurrents. Mais c'est pas la même cible alors ça ne me choque pas. Flow Music vise plutôt les créateurs de contenu qui veulent se faire une BO rapide !

Dernier détail, les droits commerciaux restent flous sur la version gratuite. À vous donc de vérifier ça dans les conditions d'utilisation avant de coller votre nouveau morceau dans une vidéo monétisée. Côté dataset d'entraînement, Google dit s'appuyer sur des contenus qu'il estime pouvoir exploiter via ses CGU YouTube et ses accords partenaires sauf que des artistes indépendants ont porté plainte en mars 2026 en contestant cette lecture, donc l'histoire n'est pas encore tranchée.

On verra bien, mais en attendant, c'est gratuit, dispo sans carte bancaire, et en deux clics c'est parti pour que vous commenciez à rêver d'une Victoire de la Musique. Moi de mon côté, je vais aller creuser les Spaces, c'est là que Flow Music se démarque vraiment. J'ai même fait une guitare en spaghetti, ma créativité est tellement sous cotée ^^!

Imaginez un jeu où vous pouvez crever de faim, de soif, d'hypothermie ou d'une simple coupure infectée... tout ça pendant la même partie. Bienvenue dans Cataclysm: Dark Days Ahead (CDDA pour les intimes. Oui, comme le logiciel pour ripper des CDs de quand on était jeune. ^^), un roguelike de survie post-apocalyptique open source qui assure depuis 13 ans et continue de s'étoffer à toute vitesse.

Pour vous resituer le truc, le Cataclysm original a été lancé initialement par un dev surnommé Whales, qui a fini par lâcher le projet vers 2012. Alors en 2013, une bande de passionnés a repris le flambeau sous le nom CleverRaven et ne l'a jamais reposé. La dernière release stable, la 0.H "Herbert" , date quand même un peu puisqu'elle est sortie le 23 novembre 2024.

Mais peu importe car c'est pas un petit roguelike tranquille à votre papi. CDDA, c'est de la simulation post-apo éprouvante. Y'a la faim, la soif, la température corporelle, le moral, les maladies, les mutations, les bioniques à implanter, les addictions à gérer. Bref, tout ce qui peut mal tourner va mal tourner, un peu comme dans votre vraie vie. Rien ne vous est épargné.

Le hic, c'est que dans ce jeu, la "permadeath" est absolue, donc la moindre bêtise vous ramène à la case zéro. Et attention, avec la config par défaut, les premiers jours d'une partie débutant finissent quasi tous dans le sang. La courbe d'apprentissage est raide comme un mur.

C'est volontairement brutal, un peu à la manière d'un Rimworld je trouve.

Le plus dément dans CDDA, c'est la profondeur du crafting. Il y a des milliers de recettes différentes, du sandwich au lance-flammes improvisé, sauf que chaque recette demande des outils précis et des capacités à faire évoluer pour réussir sans tout gâcher. Par exemple, avant de forger un couteau potable, faut d'abord trouver une enclume ou bricoler une forge de fortune avec ce qui traîne.

Vous vous souvenez de Soulseek ? Mais siii, ce réseau P2P dédié à la musique rare que vos potes audiophiles utilisaient en 2005 pour choper des bootlegs introuvables ?

Hé bah figurez-vous qu'il tourne toujours en 2026, et qu'autour de lui s'est bâtie une communauté d'outils modernes que peu de monde connaît.

Mais avant d'attaquer dans le dur, un petit rappel pour les jeunes qui n'ont connu que Spotify. Nir Arbel a lancé Soulseek le 8 avril 2001, en plein boom Napster, sauf que contrairement à ses concurrents, il a choisi la niche de la musique underground, indé, lossless et les donations plutôt que la pub. Du coup, quand Napster s'effondrait dans les procès et que Limewire se faisait éteindre en octobre 2010, le bon vieux P2P a continué à tourner tranquille, avec ses chatrooms par genre musical (c'était comme un genre d'IRC version fans de vinyles) et sa communauté de collectionneurs obsédés par le FLAC.

L'industrie musicale française a tenté de le démonter en 2008, mais le réseau s'en est sorti avec des blacklists à gérer et des CGU précisant qu'il n'encourage pas le partage de matériel copyrighté. Et c'est ainsi que 25 ans plus tard, le client officiel SoulseekQt tourne toujours, sur Linux, macOS et Windows, avec des mises à jour régulières. C'est moche en Qt, ça sent les années 2010, mais bon ça marche au top !

Le client officiel SoulseekQt, interface Qt un peu datée mais qui fait le job depuis des années.

Maintenant le truc cool, c'est tout ce qu'il y a autour car s'il n'y avait que le client officiel je m'ennuierais un peu tellement c'est austère. Mais heureusement, il existe 4 outils qui rendent aujourd'hui l'expérience carrément plus moderne. Le premier réflexe c'est d'abord d'installer Nicotine+ pour avoir une UI clean, puis d'ajouter slskd derrière si vous voulez faire tourner ça depuis un NAS.

Nicotine+ , c'est le client GTK libre qui est ni plus ni moins qu'un fork du vieux projet Nicotine. Ça tourne partout, Linux, BSD, Haiku, illumos, Windows et macOS et la maintenance semble encore active. C'est plus propre et plus vivant que SoulseekQt.

Nicotine+, l'interface GTK moderne qui remplace avantageusement le client officiel.

Ensuite, y'a slskd , qui est un daemon pour le réseau, 100% headless, écrit en C# avec une Web UI accessible dans le navigateur. Y'a même une API REST sur le port 5030, c'est Docker-ready et compatible Prowlarr. Comme ça, vous le collez sur votre NAS ou votre serveur maison, et vous pilotez vos téléchargements depuis n'importe quel navigateur ! Les accès par défaut sont slskd/slskd, donc pensez à les changer avant d'exposer le truc sur Internet, sinon vous allez avoir des surprises.

La Web UI de slskd, pilotable depuis n'importe quel navigateur, idéale pour un déploiement self-hosted.

C'est pas parfait niveau sécurité par défaut, mais une fois configuré proprement derrière un reverse proxy, ça tient bien la route, y compris sur un Raspberry Pi avec un gros disque dur collé au cul pour stocker la musique.

Et pour ceux qui aiment l'automatisation, il y a sldl . C'est un outil CLI qui batch-download depuis le réseau à partir d'une playlist Spotify, YouTube, d'un CSV, d'un lien Bandcamp ou MusicBrainz. Vous lui filez une URL Spotify par exemple, et ensuite il va chercher chaque morceau en privilégiant le FLAC et en retombant sur du lossy si rien n'est trouvé. C'est comme si vous aviez un bot qui recréait votre bibliothèque Spotify en qualité CD. Attention par contre, sldl demande un compte séparé pour éviter les conflits de connexion avec votre client principal.

Et pour les statisticiens avec des grosses lunettes et une moustache, y'a aussi Slsk-Upload-Stats-Tracker , un petit utilitaire C# qui parse les logs de SoulseekQt (faut activer "Show diagnostics" dans les prefs) et qui vous sort un dashboard des uploads, des top downloaders et des dossiers populaires. C'est clairement niche, mais parfait si vous seedez activement !

Le dashboard de Slsk-Upload-Stats-Tracker avec top downloaders et dossiers populaires.

Côté légal, après rien n'a changé. Le logiciel est légal, et ce que vous partagez dessus l'est ou pas selon le contenu. Donc si vous uploadez du copyrighté, vous êtes exposé aux mêmes sanctions que sur n'importe quel P2P. Pas forcément la meilleure idée en France avec Hadopi qui traîne encore tel un zombie au milieu de l'A86 un jour de départ en vacances. Mais pour les vrais chasseurs de musique, les demos, les live sets, les bootlegs et les raretés qui n'arriveront jamais sur Spotify , la plateforme reste l'un des derniers refuges avec une vraie culture de curation humaine.

Bref, Soulseek n'est pas mort et c'est assez dingue de le voir encore debout en 2026.

Y'a des projets open source qu'on oublie parce qu'ils font leur boulot sans faire de bruit. Grub2Win, est l'un d'entre eux. Un dev seul, 16 années de maintenance, plus de deux millions de téléchargements et aucune campagne marketing !

Ce logiciel gratuit c'est un installateur graphique de GNU GRUB 2 qui tourne directement sous Windows. Vous lancez l'exe, vous cliquez, et votre machine est prête à booter plusieurs OS au démarrage. Pas besoin de toucher au MBR à la mano, pas besoin de lignes de commande qui font flipper sa race, et encore moins besoin de clé USB live pour réparer après.

Ce truc est maintenu depuis 2010 par drummerdp et une fois que vous l'aurez installé, vous l'oublierez parce qu'il a fait son boulot.

Sous le capot, il embarque GRUB 2.12 et détecte automatiquement les OS présents : Windows, Linux (Ubuntu, Debian, Fedora, Kali, Mint, Arch, Manjaro et compagnie), Android-x86, PhoenixOS, ou OpenCore pour les Hackintosh. Ça gère aussi bien les vieilles machines BIOS que les configs UEFI modernes, ce qui est rare, la plupart des bootloaders graphiques choisissent leur camp. Et côté disque GPT moderne, vous pouvez empiler jusqu'à 128 partitions et des volumes qui montent à 40 To.

Côté personnalisation, vous pouvez changer l'image de fond du menu, régler l'ordre des OS, le timeout avant boot par défaut, et même réorganiser l'ordre EFI du firmware sans passer par le setup au démarrage. Un truc que rEFInd ou EasyBCD ne font pas aussi simplement depuis Windows ! L'interface est old-school, ça ressemble à du Win95 avec du bleu moche, mais tout est là et ça marche très bien.

Y'a quand même deux-trois limites à connaître. En effet, les antivirus signalent parfois un faux positif parce que l'exe touche au secteur de boot, alors je vous le dit tout de suite, c'est pas la peine de m'écrire parce que c'est normal pour ce genre d'outil ! Faut juste le whitelister. Si vous êtes en UEFI avec Secure Boot activé, faudra aussi le désactiver dans le firmware avant d'installer, sinon le chargeur GRUB ne se lancera pas. Et si une install GRUB traîne déjà sur la machine, Grub2Win ne saura pas toujours l'écraser proprement donc essayez de partir d'une config propre si vous le pouvez.

Pour quelqu'un qui veut tester une distrib Linux sur un vieux portable sans cramer son install Windows, c'est le chemin le plus court. Vous installez votre Linux sur une partition libre, vous lancez Grub2Win, il détecte tout, il construit le menu, vous redémarrez, vous choisissez sur quoi booter et hop, encore un humain de plus sur la planète avec le sourire !

Voilà, pour bidouiller du multiboot sans se prendre la tête, Grub2Win reste une des options les plus fiables du genre. C'est par ici les bidouilleurs !

Y'a 20 ans passés, une linguiste canadienne nommée Sonja Lang a eu une idée un peu folle : créer la langue la plus simple du monde. Le résultat, c'est le Toki Pona, un truc minimaliste qui tient officiellement en 120 mots et que vous pouvez apprendre en quelques heures si votre mémoire n'est pas trop merdique. Et en 2026, la communauté a tellement grossi autour que ça vaut le coup d'y (re)jeter un œil.

L'idée derrière cette langue inventée en 2001, c'est de réduire la pensée à l'essentiel, un peu à la manière du taoïsme. Sonja Lang l'a créée au départ pour simplifier ses propres pensées, et ça s'est transformé en un truc adopté par une communauté internationale active. Pas une alternative à l'anglais ou à l'espéranto (ça ne vaut pas la langue des anciens ), juste une langue qui vous force à décrire le monde avec ce que vous avez sous la main.

Le nom Toki Pona vient de toki (dérivé de Tok Pisin , lui-même issu de l'anglais "talk") et de pona qui vient du bona espéranto pour dire "bon". Donc littéralement "Langue du bien" ou "Langue simple", ce qui colle pas mal avec l'intention.

Le truc, c'est qu'avec 120 mots officiels listés dans le livre Pu que Sonja Lang a publié en 2014, et 14 phonèmes (5 voyelles a e i o u et 9 consonnes j k l m n p s t w), vous couvrez tout ce dont un humain a besoin pour communiquer. Ça se prononce comme en français sauf le j qui fait "y", le e qui fait "é" et le u qui fait "ou". Depuis 2021, un second livre appelé ku étend le vocabulaire à 137 mots pour les usages plus pointus, mais le cœur reste le Pu.

Prenons le mot kasi. Kasi, c'est un végétal. Mais lequel ? Si je vous dis kasi kiwen, c'est un arbre car kiwen indique quelque chose de solide. Je peux aussi dire kasi suli pour dire que c'est un végétal de grande taille, donc un arbre aussi. À voir selon le contexte évidemment.

Maintenant si je dis kasi kule, j'indique que ce végétal est coloré, donc probablement une fleur. Et si j'associe kasi (végétal) avec ma (terre), ça donne ma kasi qui signifie un sol végétalisé, donc un jardin. Et si c'est un ma kasi kiwen, on parle probablement d'une forêt. Voilà, vous voyez le délire.

Pour apprendre ça aujourd'hui, y'a plusieurs routes selon votre style. Le site officiel tokipona.org vend les livres de Sonja Lang (Pu, ku, plus quelques autres) et c'est la référence absolue. Si vous préférez un truc en ligne gratuit et structuré, wasona.com propose 29 leçons dispos en 13 langues dont le français, qui vont des bases au niveau avancé, sans gamification chiante, juste du texte et des exos bien foutus.

Pour compléter, y'a Wikibooks qui a pas mal de contenu, linku.la qui fait dictionnaire en ligne collaboratif, et si vous voulez le livre papier officiel, Pu est dispo sur Amazon . Et si vous préférez apprendre une langue en jouant , il existe aussi des approches ludiques qui marchent bien.

Côté communauté, le vrai hub c'est le Discord "ma pona pi toki pona" qui dépasse les 19 500 membres en 2026. Des gens qui parlent exclusivement en Toki Pona, traduisent des films, écrivent de la poésie, font des mèmes en sitelen pona... un vrai petit écosystème. C'est d'ailleurs cette communauté qui a contribué aux données du ku en 2021.

Parlons écriture justement, parce que là aussi y'a eu du mouvement. Trois systèmes coexistent. Sitelen Lasina, c'est juste l'alphabet latin classique que j'utilise depuis le début de l'article. Sitelen Pona est l'écriture logographique officielle de Sonja Lang où chaque mot a son petit pictogramme (genre un rond pour le soleil, une ligne qui monte pour l'escalier). Et Sitelen Sitelen, c'est la version artistique créée par Jonathan Gabel, beaucoup plus complexe et franchement magnifique.

Et comme la syntaxe du Toki Pona est super basique, on peut l'adapter à d'autres systèmes d'écriture, genre l'alphabet runique.

Ou littéralement à tout et n'importe quoi. En bon geek, je vous propose de découvrir le Toki Pona version Emoji. Chaque mot correspond à une ou plusieurs emojis.

Pour reprendre mon exemple de jardin ma kasi, il suffit d'écrire 🌍🌴. Fastoche non ? Vous trouverez la liste officielle des emojis Toki Pona sur ce tableur .

Sur le site Sitelen Emoji , vous trouverez également des outils pour Windows, macOS et Linux qui vous donnent un clavier emoji dédié au Toki Pona.

Allez, je vous laisse un petit message perso :

👈❤️💕👉🤙 🚆👍🧪⚙️🧠🧑‍🤝‍🧑

Y'a un traducteur Emoji / Toki Pona ici pour les galériens.

Bref, si vous cherchez une langue qui se glisse dans le cerveau en un week-end et qui vous force à reformuler vos idées de manière minimale, le Toki Pona est un excellent candidat. Et en prime, vous rejoindrez une communauté de dingues adorables. Amusez-vous bien !

Article publié initialement le 20 juillet 2023 et mis à jour le 21 avril 2026.

TRELLIS est un modèle IA capable, à partir d'un texte ou d'une image tout ce qu'il y a de plus normal, de générer un modèle en 3D. C'est développé par Microsoft Research et c'est assez génial. D'ailleurs j'en avait parlé en février dernier quand la bête ne tournait encore que sur des cartes NVIDIA.

Sauf que voilà, ça ne fonctionnait pas sur Apple Silicon, mais uniquement sur les machines compatibles CUDA. Enfin, jusqu'à aujourd'hui, puisque grâce au développeur Shivam Kumar, on dispose maintenant d'un portage pour les architectures Apple via PyTorch MPS.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/trellis-mac-limage-to-3d-de-microsoft-passe-sur-apple-silicon/trellis-mac-limage-to-3d-de-microsoft-passe-sur-apple-silicon-1.mp4">lien vers la vidéo</a>.

Ce matin en buvant mon café, je suis tombé sur un dépôt qui m'a fait tiquer et j'aimerai prendre quelques minutes pour vous en parler. Ça s'appelle Open Slopware , c'est hébergé sur Codeberg, et ça recense tous les projets open source qui ont eu le "malheur" de laisser l'IA s'approcher de leur code.

En fait, c'est une grande liste organisée par types de reproches, allant du projet qui autorise les contributions faites avec des LLM, à celui qui intègre une fonctionnalité IA, en passant par ceux qui acceptent du sponsoring d'entreprises IA ou qui ont un bot qui répond aux issues. Plus de 100 projets sont épinglés pour le moment, avec à chaque fois une alternative "AI-free" proposée. Forkée après que le repo original ait été supprimé par son créateur, la version actuelle est aujourd'hui maintenue par un collectif baptisé "small-hack".

Dans cette liste, on retrouve par exemple rsync, cet outil que j'utilise depuis bientôt 20 ans pour synchroniser mes backups et autres joyeusetés. Et l'unique grief qu'on les anti-IA contre Rsync, c'est qu'ils ont trouvé 2 contribs Claude Code dans leur dépôt. Autrement dit, rsync autorise ses contributeurs à utiliser des LLM, à condition que ce soit documenté et transparent. C'est ça, leur crime. C'est pas du code pourri, c'est pas une faille injectée par un vibe coder pressé à 3h du mat'... Non, ce qui vaut à Rsync d'être qualifié de slopware, c'est juste une politique d'ouverture explicite.

Perso, je trouve ça sain d'avoir une politique qui encadre l'usage de l'IA, même si je sais que je vais me faire allumer ^^. Parce que soyons réalistes 2 secondes, aucun mainteneur de projet libre ne peut empêcher un contributeur de balancer un patch généré par Claude ou ChatGPT. Ce qu'il peut faire, par contre, c'est exiger que ce soit déclaré. Rsync a choisi cette voie. Godot Engine aussi. Comme ça, plutôt que d'avoir des gens qui se planquent pour pousser du code IA en douce, on a un cadre clair où chacun annonce la couleur.

Je pense qu'interdire pousse à cacher, alors qu'autoriser avec des règles strictes et claires permet de filtrer et de ne garder que le meilleur. C'est pas sorcier.

Ces projets posent des règles, des process, des obligations de déclaration. Bref, ils prennent en compte le monde réel, celui où les contributeurs utilisent déjà ces outils tous les jours, au lieu de s'enfermer dans des fantasmes utopistes qui voudraient qu'on revienne à la compilation à la bougie. Et en retour, ils se font malheureusement coller une étiquette de slopware par des randoms anonymes.

Alors qu'on ait des réserves sur l'IA, je le comprends totalement mais je trouve ça regrettable de venir chier dans les bottes des seuls qui essaient de poser un cadre. C'est tellement à côté de la plaque.

Le vrai slop les amis, il est ailleurs, dans les repos vite faits balancés sur GitHub par des gens qui n'ont jamais touché au code qu'ils publient. Pas chez rsync.

Et puis faut voir concrètement ce qu'il vous faudrait remplacer pour respecter leur doctrine. Un clone buggy de Rsync ? Un retour à tar ou à un client FTP des années 2000 ? Bon courage pour synchroniser 300 Go de photos avec ça sans que votre NAS chauffe tout le salon.

Pour Godot, il faudra migrer vers Pandemonium Engine, qui est un chouette fork mais maintenu quasi-exclusivement par une seule personne. Quand à Firefox ? Là c'est carrément open bar, puisque le projet est affiché à la fois pour sa politique de contribution et pour ses fonctionnalités IA intégrées. Du coup bon courage pour trouver un navigateur moderne qui n'ait pas touché à l'IA d'une manière ou d'une autre.

Et leur liste est sans fin puisqu'elle embarque aussi le noyau Linux, WordPress, Vim, Neovim et VS Code, histoire de bien finir le boulot.

Ils auraient plus vite fait de lister des projets garantis sans IA, ça consommerait moins de bande passante ^^, parce que là, ceux qu'ils balancent, c'est ceux qui ont communiqué sur le sujet mais allez savoir combien sont les projets "vertueux garantis sans LLM" dont les dev maquillent le code que l'IA leur a sorti.

Je tiens à rappeler quand même que le mot slop, à la base, désigne du contenu IA généré à la chaîne sans aucun contrôle humain. Coller cette étiquette sur des projets vieux de trente ans qui font juste évoluer leurs règles de contribution, c'est soit de la paresse intellectuelle, soit un procès d'intention. Et les mainteneurs ont beau préciser que leur liste n'est pas un outil de harcèlement, une fois qu'un projet est publiquement classé comme slopware, le mal est fait.

Ces projets, on les a quand même tous utilisés, souvent pendant des années, sans jamais rien donner en échange, ni un rond, ni une issue. Rsync a sauvé la vie à des millions d'admins sys qui n'ont jamais poussé la moindre ligne de code en retour. Firefox a tenu le web ouvert pendant vingt ans pendant qu'on migrait tous sur Chrome sans rien leur donner. Le noyau Linux fait tourner la moitié d'Internet. Les voir se faire taper dessus par des gens qui, dans leur grande majorité, n'ont jamais contribué non plus, juste parce qu'ils ont adapté leurs règles de contrib au monde actuel, je trouve ça assez irrespectueux en fait.

C'est facile de gueuler comme un putois sur les joueurs, quand on est en haut, bien au chaud dans les gradins.

Et visiblement, je suis loin d'être le seul à le ressentir comme ça. Plusieurs développeurs épinglés dans la liste ont publiquement parlé de chasse aux sorcières, et l'ambiance est tellement devenue toxique que l'auteur original du dépôt a fini par le supprimer après avoir reçu une avalanche de harcèlement des deux bords. Seth Larson, security developer-in-residence à la Python Software Foundation, a publié en février un billet intitulé Automated public shaming of open source maintainers , où il dénonce le shaming systématisé des bénévoles qui osent poser des règles sur l'IA. Et côté politiques officielles, Debian vient de passer 2 mois à débattre de l'acceptation des contributions IA pour finalement ne pas trancher, pendant que Gentoo et QEMU choisissaient l'interdiction pure et la Linux Foundation l'autorisation encadrée.

Bref, tout le monde tâtonne, personne n'a LA bonne réponse, et ça n'empêche pas Open Slopware de distribuer les mauvaises notes avec l'assurance d'un inspecteur du fisc.

Après, si vous avez pleiiiin de temps libre et que vous voulez reconstruire votre stack de A à Z autour de projets qui refusent tout contact avec des LLM, cette liste vous aidera à vivre selon votre religion. Mais retirer Rsync de sa boîte à outils parce qu'ils ont validé des contribs utiles poussées par un humain assisté par Claude Code, perso, je trouve ça un peu sévère.

Bref, les projets libres s'adaptent, comme ils l'ont toujours fait et les qualifier de slop parce qu'ils évoluent, je trouve ça moche.

Source

L'ANTS vient de se faire hacker... 19 millions de fiches dans la nature, récupérées via une faille IDOR (Insecure Direct Object Reference, pour les intimes). Pour ceux qui connaissent pas le terme, IDOR c'est l'exercice qu'on donne aux étudiants le deuxième jour d'un cours de cybersécurité !

En clair, l'attaquant envoyait une requête sur l'API en remplaçant l'identifiant de son profil par un autre. Et hop, le serveur lui renvoyait le dossier d'un citoyen français en face, sans jamais vérifier qu'il avait le droit de le consulter. Aucun contrôle d'autorisation sérieux, aucun rate-limiting, et visiblement aucune alerte quand une IP aspire 19 millions de fiches. Que dalle !

Le gars qui a découvert le truc s'appelle Seblatombe, il tient le blog FrenchBreaches et il a balancé l'info ce 20 avril. Les données fuitées, ce sont vos noms, prénoms, dates de naissance, adresses postales, emails, numéros de téléphone, identifiants ANTS et numéros d'accréditation pro. Par contre, les mots de passe et les données bancaires n'ont pas filé, et c'est bien le seul truc qui sauve ce dossier du naufrage complet.

Quoiqu'il en soit, ce n'est pas un accident isolé puisque qu'en mars 2024, France Travail se fait éventrer avec 36,8 millions de victimes. Avant ça, en janvier 2024, Viamedis et Almerys lâchent 33 millions d'assurés sociaux. En novembre 2024, Pajemploi expose 1,2 million de dossiers. Et plus récemment en décembre 2025, la CAF perd 8,6 millions de comptes.

Et maintenant l'ANTS, avec 19 millions de plus.

Faites le cumul les amis. Près de 100 millions de lignes fuitées depuis début 2024, avec évidemment des doublons puisqu'un même citoyen est fiché sur plusieurs services. Pour un pays de 68 millions d'habitants, c'est un joli record je trouve ! On devrait avoir une médaille !

Perso, ce qui me fait halluciner, c'est le communiqué officiel de l'ANTS. Leur conseil aux citoyens c'est, je cite, que vous "n'avez aucune démarche à accomplir". LOL ! France Travail, au moins, avait pris la peine de prévenir les victimes une par une et de publier un plan de remédiation, parce qu'ils s'étaient fait visiblement taper sur les doigts par la CNIL. Avec l'ANTS, c'est à vous de gérer le bordel qu'ils ont créé.

Alors concrètement, qu'est-ce que vous pouvez faire ? Déjà, allez vérifier si votre email traîne déjà dans la nature sur haveibeenpwned.com. Ensuite, changez le mot de passe de votre compte ANTS et activez la 2FA partout où elle est dispo.

Attention aussi aux mails ou SMS qui mentionnent votre nom et votre date de naissance, c'est le jackpot des arnaqueurs pour ressembler à un vrai service. Et surveillez vos comptes bancaires parce qu'avec nom + adresse + date de naissance + téléphone, une demande de crédit frauduleuse passe comme une lettre à la poste.

D'ailleurs, j'avais déjà fait un bilan des hacks français en 2025 qui résumait l'ambiance. Visiblement rien n'a changé. Les mêmes failles basiques, les mêmes audits inexistants, les mêmes communiqués minimalistes. L'État a transformé vos données personnelles en open bar pour cybercriminels, et le seul vrai plan de remédiation qu'on nous propose c'est de croiser les doigts.

Bref, une IDOR sur une agence qui gère les données de 19 millions de Français, franchement, c'est selon moi pas une erreur mais clairement une faute grave.

Source

Ma Hyundai Ioniq 5 est belle.

Elle est confortable, spacieuse, l'autonomie tient la route, la recharge rapide envoie vraiment du lourd, et la conduite au quotidien est chill.

Bref, sur le papier, j'aurais dû être ce client conquis pour 10 ans.

Sauf qu'en vrai, cette voiture me stresse. Et ce n'est pas juste une impression puisqu'après 1 an d'utilisation, c'est un enchaînement de bugs, de pannes et de comportements routiers douteux qui m'a fait regretter carrément ma Toyota. Voici donc un retour honnête sur ce modèle 2025, après 1 an et bientôt 30 000 kilomètres au compteur.

Le plus flippant d'abord, c'est le contrôle de stabilité (l'ESP) qui décide de ralentir une seule roue arrière à bonne vitesse sur autoroute sans que je comprenne pourquoi... Et quand ça arrive, l'arrière de la voiture se met à chasser... La première fois que ça m'est arrivé, j'ai super flippé... j'ai coupé le régulateur, j'ai ralenti, et ça a recommencé au bout de quelques centaines de mètres. Ça m'est arrivé plusieurs fois à différents moment et pour régler le problème, il faut s'arrêter, rebooter, et prier pour que ça ne recommence pas avant d'arriver à la maison. Heureusement, ce n'est pas très fréquent mais sur une voiture de presque deux tonnes lancée à 110, c'est moyennement rassurant, j'avoue.

Le tableau de bord lui me fait autre chose. De temps en temps, de manière aléatoire, il s'éteint totalement puis se rallume et s'éteint...etc. Plus d'indicateur de vitesse, plus de niveau de batterie, plus rien. Juste un écran noir, voire parfois un message en rouge disant : "NO DISPLAY". Là encore, la solution c'est le reboot.

J'ai l'impression de conduire une bêta permanente.

Le moindre de mes problèmes mais un problème quand même, c'est également le niveau de liquide de lave-glace est toujours affiché comme bas, alors que le réservoir est plein à ras bord.

Et puis il y a les craquements. Dès que je passe sur une route un peu cabossée, ma Ioniq 5 fait un bruit de vieux plancher en bois. Ce sont les jointures métalliques ou les plastiques autour du coffre qui travaillent et qui craquent. Pour un véhicule électrique à ce prix, qui est censé être d'un silence monacal, c'est assez pénible je dois dire. J'ai presque envie de mettre la musique plus fort juste pour ne pas l'entendre.

Enfin, le bouquet final de y'a à peine 2 semaines c'est la panne sèche. Un matin, en emmenant les enfants à l'école, en redémarrant dans un rond point, d'un coup, plus aucune puissance. Dépanneuse, remorquage, direction le garage agréé. Verdict officiel : Les batteries sont OK mais tout s'est réinitialisé de lui-même. C'est ce qu'on m'a expliqué.

Ils ont reflashé, remis à jour, fait des trucs comme ça, puis repassé le diagnostic complet. Aucun souci détecté selon eux. Et pour le tableau de bord qui s'éteint ? Ils n'ont pas trouvé non plus. Quand à l'ESP qui fait valser l'arrière, on m'a dit d'attendre une mise à jour et j'attends toujours.

Bref, je dois dire que c'est pas des petits problèmes, et c'est assez stressant au quotidien.

Maintenant, pour être honnête la Ioniq 5 a de vraies qualités. La motorisation est une réussite technique complète. La recharge rapide en 15-20 minutes sur borne CCS est toujours un moment de plaisir, surtout comparé à la concurrence. L'autonomie annoncée est à peu près conforme à la réalité si on respecte les limitations. Le petit coffre à l'avant où je range les câbles de recharge + l'habitacle spacieux et modulable, les finitions plutôt chouettes, le confort général : tout ça est au rendez-vous. Et la conduite est effectivement chill, à condition d'accepter que la voiture décide parfois de prendre des initiatives cheloues.

Mais bon tout ça, ça ne suffit pas à compenser le stress parce que conduire, ce n'est pas juste rouler. C'est avoir confiance dans sa voiture, et là clairement, on n'y est pas. Surtout que d'un point de vue analyse au garage, y'a rien d'étrange qui ressort...

Bref, ma Ioniq 5 ne me rassure pas, et c'est peut-être le pire reproche que je puisse faire à un véhicule.

Je regrette carrément ma Toyota. Pas pour la techno, qui était plus simple, mais pour la fiabilité silencieuse. Pour cette impression qu'une voiture doit juste faire son boulot. Hyundai a clairement les compétences techniques sur l'électrique, mais tant que la partie "automobile" + "soft" autour de la batterie ne sera pas au même niveau, la promesse ne sera pas tenue.

Bref, je suis encore coincé avec un petit moment malheureusement. J'espère que des mises à jour viendront régler ces soucis.

Merci à Jacques qui m'a suggéré de faire un retour.

Ruby Central, l'association qui gère l'écosystème Ruby (RubyGems, Bundler, les conférences RubyConf et RailsConf), est en "vrai péril financier".

Le conseil d'administration l'a annoncé en se séparant de sa directrice exécutive, Shan Cureton, dans le cadre d'un plan de réduction des coûts. Les finances de l'organisation dépendaient trop "du timing optimiste de la réception des fonds par rapport aux dates fixes de nos dépenses", selon les administrateurs.

Le contexte, c'est un conflit qui dure depuis des mois. Fin 2025, Ruby Central a retiré plusieurs mainteneurs historiques de RubyGems et Bundler sans les prévenir.

Les mainteneurs concernés ont visiblement mal pris ce move, et ont lancé un fork rival appelé Gem Cooperative (gem.coop). Dans la foulée, ils ont publiquement accusé Ruby Central de prise de contrôle autoritaire. L'ancienne directrice avait en fait justifié les retraits par des demandes de sponsors et d'entreprises dépendantes de Ruby, inquiètes de problèmes de supply chain et de gestion des accès.

Le résultat, c'est un écosystème fracturé. D'un côté, Ruby Central avec le registre officiel RubyGems.org et les conférences. De l'autre, des mainteneurs expérimentés partis avec leur savoir-faire et une partie de la communauté. Et entre les deux, des sponsors qui hésitent à mettre de l'argent dans une organisation en crise de gouvernance.

Le conseil a voté en avril la transition vers un "working board" bénévole, ce qui veut dire moins de salariés et plus de travail non rémunéré. C'est le genre de restructuration qui peut effectivement sauver les finances à court terme, mais qui fatigue forcément les contributeurs au bout d'un moment.

Pour les développeurs Ruby, c'est quand même préoccupant. RubyGems est l'équivalent de npm pour JavaScript ou pip pour Python, c'est l'infra de base sur laquelle tournent des milliers de projets en production. Une association gestionnaire en péril financier et en conflit avec ses propres mainteneurs, ça fragilise clairement toute la chaîne.

Bref, Ruby Central doit trouver un modèle viable sans ses mainteneurs historiques et sans directrice. Pas simple.

Source : The Register

En Indonésie, avant de vendre un jeu vidéo, les éditeurs doivent le soumettre à un organisme de classification (l'IGRS) pour obtenir une note d'âge, un peu comme le PEGI en Europe.

Pour obtenir leurs notes, les éditeurs envoient des vidéos de gameplay, des infos sur le contenu du jeu, et leurs coordonnées professionnelles. Le tout est stocké sur un serveur géré par le gouvernement indonésien.

Sauf que voilà, ce serveur était mal configuré. Un utilisateur Reddit, Me_Finity, a découvert qu'en tapant les bonnes adresses web, il pouvait accéder à la totalité des fichiers déposés par les éditeurs, sans mot de passe, sans vérification, sans rien du tout.

Il a récupéré environ 1 000 adresses email de développeurs (dont des gros studios) et surtout des vidéos de jeux pas toujours annoncés : 007 First Light, Echoes of Aincrad (le futur Sword Art Online de Bandai Namco), Castlevania Belmont's Curse, et le remake d'Assassin's Creed Black Flag.

En clair, les éditeurs avaient envoyé ces vidéos en toute confiance pour une simple formalité administrative, et n'importe qui pouvait les consulter depuis l'extérieur. Le système n'avait en fait aucune protection d'accès.

Le ministère indonésien de la Communication a lancé une enquête le 17 avril et coupé l'accès au système en attendant. Les développeurs concernés n'ont visiblement pas été prévenus avant, et plusieurs ont découvert la fuite en même temps que tout le monde.

Pour les éditeurs, c'est un double problème. D'abord les vidéos de jeux secrets qui se retrouvent sur Internet.

Et puis les adresses email pro exposées, qui peuvent servir à envoyer des tentatives de piratage ciblées à des gens qui travaillent sur des projets confidentiels.

Bref, un site gouvernemental mal protégé qui se transforme en plus grosse fuite jeu vidéo de l'année, rien de très étonnant.

Source : The Register

GIMP 3.2.4 est sorti le 19 avril avec une fournée de corrections de bugs, dont une qui remonte à 1999 dans le code de gestion du format XCF, le format natif de GIMP. 26 ans. Le bug traînait dans le code source depuis les premières versions du logiciel et n'avait jamais été repéré ni corrigé.

Pour ceux qui ne connaissent pas, XCF est au GIMP ce que PSD est à Photoshop : le format de fichier natif qui stocke calques, masques, chemins et métadonnées.

Un bug dans le parsing XCF, même mineur, peut entraîner des pertes silencieuses de données ou des comportements incohérents à la réouverture d'un projet commencé des mois plus tôt.

La version précédente, GIMP 3.2.2, avait en fait introduit une régression en essayant de corriger un autre problème. Certains calques de texte devenaient impossibles à éditer après avoir été rechargés depuis un fichier XCF. GIMP 3.2.4 corrige ça, et corrige au passage le bug historique de 1999 qui était à l'origine de comportements erratiques dans le parsing du format.

L'autre correction notable concerne la fonction "Ouvrir en tant que calques" avec des fichiers XCF multi-calques. Les noms de calques étaient modifiés à l'import, ce qui posait des problèmes dans les workflows automatisés ou les scripts qui comptent sur des noms stables.

Le projet GIMP fête ses 30 ans cette année, et le passage à la branche 3.x était le plus gros chantier depuis son lancement. Ici on est sur une release de maintenance, pas de nouvelles fonctions, mais corriger des bugs de fond dans le format de fichier natif quand on est en pleine transition majeure, ça évite que les utilisateurs se retrouvent avec des fichiers corrompus ou des calques cassés sur la durée.

Bref, si vous bossez avec GIMP et des fichiers XCF, la mise à jour est recommandée.

Source : Phoronix

Quelqu'un a fait tourner l'interface Steam sur une Nintendo Switch. Pas via un hack douteux ni un émulateur bricolé, mais en utilisant la beta officielle de Proton 11 que Valve a publiée avec, pour la première fois, le support des appareils ARM sous Linux.

Le résultat a été posté sur BlueSky ( par ici ) par AAGaming, qui a aussi partagé les fichiers pour reproduire la manip chez vous.

[Embed: https://bsky.app/profile/did:plc:owu62bybwircbrojnru5axov/post/3mjnka7iur22l]

Concrètement, Proton 11.0-Beta1 embarque FEX 2604, un traducteur d'instructions x86 vers ARM qui permet de faire tourner du code Windows x86 sur un appareil ARM sous Linux. C'est ce qui rend le tout possible. Cette Switch rootée tourne sous Ubuntu, Proton s'installe par-dessus, et l'UI Steam parvient bien à se lancer. Alors, certes, pour l'instant, on en est surtout au stade de la démonstration, et pas franchement au stade "jouer à Elden Ring sur sa Switch", mais le client fonctionne.

Si Valve a bossé sur ce support ARM, c'est en fait pour le Steam Frame, son casque de jeu qui tourne sur un Snapdragon 8 Gen 3 avec 16 Go de LPDDR5X. L'appareil avait été montré en novembre dernier, présenté comme un appareil de streaming d'abord, mais avec la capacité de faire tourner des jeux en local aussi.

Lors d'une démo, un représentant Valve avait fait tourner Hades 2 en standalone à 1400p sur ARM, avec des performances correctes. "C'est du Linux, sur ARM", avait-il précisé. Du coup, le support public dans Proton n'est que la suite logique.

L'intérêt va au-delà de la Switch. Tous les handhelds ARM sous Linux (Retroid, AYN, Ayaneo, et les futurs modèles) deviennent des cibles potentielles pour Steam. Valve travaille d'ailleurs sur un système de certification "Verified" pour le matériel ARM, comme ce qui existe déjà sur Steam Deck. 

Les joueurs sauront quels jeux tournent bien en local et lesquels il vaut mieux streamer.

Côté jeux, la beta Proton 11 certifie aussi une fournée de titres pour SteamOS : Resident Evil, Dino Crisis, Warhammer Vermintide 2, SHOGUN Total War, Breath of Fire IV, entre autres. Et Valve a corrigé le Steam Overlay qui ne marchait pas avec les jeux EA, un bug qui traînait depuis un moment.

Bref, Steam sur Switch c'est surtout un proof of concept pour l'instant, mais Valve pose les bases d'un écosystème ARM qui pourrait devenir très concret avec le Steam Frame.

Source : Tom's Hardware

Attention les amis, si vous avez une chaîne YouTube, vous allez probablement recevoir ce mail d'un certain "Edward Evans" ou autre qui vous explique très poliment que vous avez utilisé sa musique dans une vidéo, qu'il a déposé une plainte, et qu'il serait ravi de résoudre ça "peacefully".

Surtout ne répondez pas !

J'en ai reçu un hier sur ma boite mail... Un message courtois où le type explique qu'il y a eu une petite incompréhension et qu'on va arranger ça entre gens biens. Sauf que ce mail, c'est en fait le premier étage d'une arnaque bien ficelée qui a pour but final de dérober votre compte Google et de détourner votre chaîne.

Le premier red flag qui saute tout de suite quand on clique sur le nom de l'expéditeur c'est le display name qui affiche "Edward Evans", mais dont l'adresse réelle derrière est sigourneyphoebe1847@gmail.com. Deux prénoms féminins + 4 chiffres au pif, c'est très typique d'un Gmail jetable créé pour la campagne.

Perso, je m'en fous qu'un ayant droit utilise Gmail, car ça arrive. Par contre, un nom totalement différent entre ce qui est affiché et la vraie boîte mail, ça c'est un premier signal probable qu'on vous balade !

Le deuxième truc qui trahit l'arnaque, c'est le vide complet du mail. Aucune URL de la vidéo incriminée, aucun nom de morceau, aucun timestamp... juste "my audio track/music" bien générique. Le problème, c'est qu'un vrai détenteur de droits qui contacte en direct fournit généralement la vidéo exacte, l'œuvre concernée avec son numéro d'enregistrement et le passage précis.

Là, y'a rien.

Le mail est en fait volontairement flou pour maximiser les réponses, peu importe le contenu réel de votre chaîne. Par acquit de conscience, je suis allé chercher le gars sur GitHub, Twitter, Reddit, Gravatar, et compagnie mais zéro trace nulle part. C'est un pur Gmail fantôme créé juste pour l'occasion.

Et si vous répondez un truc du genre "bonjour, quelle vidéo exactement ?", ce que j'ai failli faire avant de me raviser, vous recevrez un deuxième mail avec un lien vers un prétendu dossier de preuve. Le hic, c'est que le lien pointe vers dmca-notification[.]info ou une variante, un site documenté récemment par Malwarebytes .

En fait le site clone l'interface YouTube, récupère votre vraie photo de profil, vos vrais subs, votre dernière vidéo, et vous invite très naturellement à vous connecter avec Google pour "consulter la réclamation". Et peu importe que vous soyez sur macOS, Windows ou Linux, le piège fonctionnera dans n'importe quel navigateur. Et si vous tombez dans le panneau, BAM, ça part en credentials volés, et donc en compte Google récupéré, et dont la chaîne est ensuite souvent renommée, pillée et détournée, tout ça en quelques heures !

L'arnaque fonctionne en mode Phishing-as-a-Service. Plusieurs attaquants partagent le même backend, chacun avec son affiliate ID. Un peu comme Uber Eats, mais pour l'extorsion... sympa hein ? Selon l'analyse Malwarebytes, le kit cible spécifiquement les chaînes sous les 3 millions d'abonnés plutôt que les gros YouTubeurs, parce qu'au-dessus les créateurs ont des contacts directs chez YouTube et le kit se fait démonter trop vite. Du coup, attention si vous bossez sur votre chaîne sans équipe juridique derrière comme moi, vous êtes clairement pile dans la cible.

Voici donc ce qu'il faut faire si vous recevez ce mail. Premier réflexe, ne pas répondre et signaler comme phishing directement dans Gmail. Ensuite, il faut bloquer l'expéditeur pour couper les relances. Enfin, vérifiez que votre compte Google a bien la double authentification activée, idéalement avec une clé physique type YubiKey au lieu d'un SMS (plus costaud parce qu'un SIM swap, ça peut se faire en quelques minutes avec un minimum d'ingénierie sociale.

Allez faire aussi un tour sur myaccount.google.com/security pour lister les sessions actives et les apps autorisées, et virez tout ce que vous ne reconnaissez pas. Ne zappez pas non plus les gestionnaires tiers sur votre chaîne dans YouTube Studio, y'a souvent des vieilles autorisations qui traînent.

Et n'oubliez pas, LA source de vérité pour tout problème de copyright, c'est YouTube Studio, dans l'onglet Contenu, colonne Restrictions. Si y'a pas de restriction affichée en Studio, alors le mail c'est du phishing de merde, point.

Voilà, si vous avez une chaîne ou pas, parlez-en aussi à vos potes créateurs autour de vous car cette arnaque tourne fort en ce moment.

Source

Les processeurs Core Series 3 d'Intel sont en vente, et ce qui est intéressant ici, c'est moins les specs que l'endroit où ils sont fabriqués.

Ces puces sortent des usines Intel de Hillsboro (Oregon) et Chandler (Arizona), sur le procédé 18A, l'équivalent du 2 nm chez Intel. Pas de TSMC dans la boucle. En 2024, une bonne partie des processeurs Intel pour PC portables était encore gravée chez le fondeur taiwanais. Ce n'est plus le cas.

Côté technique, on est sur de l'entrée de gamme assumée. 6 coeurs (2 performance Cougar Cove + 4 basse consommation Darkmont), 2 coeurs GPU Xe3, un NPU à 17 TOPS et une prise en charge mémoire en simple canal. Du budget pas cher donc.

Les fréquences montent entre 4,3 et 4,8 GHz selon les modèles, avec Thunderbolt 4, Wi-Fi 7 et Bluetooth 6. Intel annonce quand même +47% en mono-coeur et +41% en multi-coeur par rapport au Tiger Lake de 11e génération, ce qui n'est pas rien vu que ces puces datent de 2020.

Le vrai sujet, c'est la technologie 18A elle-même. Le procédé utilise RibbonFET (l'architecture Gate-All-Around qui remplace les FinFET) et PowerVia, la première implémentation industrielle de la distribution d'énergie par l'arrière de la puce.

Intel dit avoir environ un an d'avance sur TSMC sur ce point. C'est cette avance qui pourrait attirer des clients fonderie, et c'est probablement pour ça qu'Intel commence par montrer que le 18A fonctionne en production sur des puces commerciales, même d'entrée de gamme. La démonstration compte autant que le produit.

D'autant plus que le contexte s'y prête. Avec les milliards du CHIPS Act, Intel a massivement investi dans ses usines américaines pour ne plus dépendre de TSMC. Le Core Series 3 est la preuve que cette stratégie commence à se concrétiser sur des produits grand public, pas seulement sur des prototypes de labo.

Plus de 70 modèles de PC portables sont prévus chez Acer, Asus, Dell, HP, Lenovo, MSI et Samsung d'ici la fin de l'année. Les premiers systèmes sont déjà disponibles, les configurations edge suivront au deuxième trimestre.

C'est la suite logique des Core Ultra Series 3 (Panther Lake), les puces haut de gamme annoncées au CES en janvier et déjà en vente, elles aussi fabriquées sur 18A.

Bref, Intel qui refabrique ses puces sur sol américain et qui montre que son 18A tourne en production, c'est probablement plus important que les specs des puces elles-mêmes.

Source : The Register

L'interface web de Proxmox (l'outil de virtualisation que tout bon homelabber connaît), c'est bien... pour UN serveur. Dès que vous commencez à empiler les nodes et les clusters, ça devient vite le bazar avec 15 onglets ouverts. PegaProx , c'est tout simplement un dashboard open source qui unifie tout ça dans un seul écran. Et vous allez voir, le truc cool, c'est que ça gère aussi les clusters XCP-ng !

L'interface de PegaProx - une vue unifiée de tous vos clusters Proxmox et XCP-ng

Concrètement, vous branchez tous vos hyperviseurs sur cette interface web (port 5000) et hop, vous avez la vue complète. VMs, conteneurs, métriques de perf... tout remonte en temps réel via Server-Sent Events. Du coup, plus besoin de jongler entre les interfaces de chaque node pour savoir quel serveur rame.

Côté fonctionnalités, accrochez-vous les amis parce que pour une beta, c'est déjà bien garni ! Migration live de VMs entre nodes, gestion du stockage Ceph, consoles navigateur via noVNC et xterm.js, et même de la migration cross-hypervisor entre ESXi, Proxmox VE 8.0 et XCP-ng (encore expérimental côté ESXi, mais ça avance). Y'a aussi des règles d'affinité pour placer vos VMs, du rolling update avec évacuation automatique, et des alertes sur les seuils CPU/RAM/disque. Pour une beta, c'est assez dingue ce qu'ils ont déjà mis dedans.

Côté sécurité, c'est pas en reste non plus. Y'a du RBAC avec 3 rôles (Admin, Operator, Viewer, pas plus pas moins), du TOTP pour le 2FA, de l'intégration LDAP et OIDC compatible Active Directory, Entra ID, Keycloak ou Google Workspace, du chiffrement AES-256-GCM pour stocker les credentials en base, et même du scan de CVE via debsecan. Autrement dit, ils ont pensé aux admins sérieux. Pour ceux qui ont déjà configuré un provider OIDC sur leur homelab , ça se branche directement.

Pour l'installer, le plus simple c'est Docker. Un docker compose up -d, 30 secondes d'attente, et c'est plié.

Mais y'a aussi un script de déploiement automatique, un repo APT communautaire maintenu par gyptazy, ou le classique git clone + pip pour les puristes. Une fois lancé, vous pointez votre navigateur sur https://votre-ip:5000, et un assistant vous accueille avec les identifiants par défaut (pegaprox/admin, à changer immédiatement bien sûr). L'interface est dispo en 5 langues : français, anglais, allemand, espagnol et portugais.

D'ailleurs, si vous utilisez déjà ProxMenux pour administrer votre Proxmox en terminal, les deux sont en fait complémentaires. Disons que ProxMenux couvre l'admin système en ligne de commande, alors que le dashboard apporte la vue unifiée multi-clusters en web. Initialement j'aurais dit que c'était redondant, mais non, ça se marie plutôt bien. Et y'a même un système de plugins avec un portail client pour vos utilisateurs et une page de statut publique à la StatusGator.

Attention c'est comme je vous le disais, encore une beta. L'OIDC avec Authentik par exemple, ça fonctionne pour le login mais les groupes ne remontent pas encore correctement (retour d'un lecteur qui l'utilise au quotidien).

Par contre si vous n'avez qu'un seul serveur Proxmox, honnêtement c'est un peu overkill, l'interface native suffit largement. Quelques glitchs traînent ici ou là, et l'API Token pour se connecter à la place de root n'est pas super bien documenté. Mais le projet avance vite donc c'est plutôt bon signe !

Bref, ça promet pas mal. Merci à Maxime pour la découverte !