La réutilisation des mots de passe représente une menace sérieuse pour les environnements Active Directory : découvrez pourquoi et comment s'en protéger.
Le post Active Directory : les dangers avec les mots de passe compromis a été publié sur IT-Connect.
Et si je vous disais qu'on pouvait faire tourner Firefox dans un terminal ? Et pas un navigateur en mode texte, hein. Non, le véritable Firefox, avec ses onglets, les images, la totale... Hé oui c'est possible et que ça fonctionne via SSH, donc depuis un serveur distant. Bienvenue dans le futur (ou le passé, j'sais plus trop) !
Term.everything c'est un compositeur Wayland construit from scratch en Go qui, au lieu de balancer l'image sur votre écran, la convertit en caractères ANSI et l'affiche dans le terminal. Du coup, n'importe quelle app GUI Linux peut tourner là-dedans. Firefox, un gestionnaire de fichiers, un lecteur vidéo... et même Doom (parce que si ça peut pas faire tourner Doom, ça compte pas). Le binaire fait une poignée de Mo, c'est sous licence AGPL-3.0, et y'a zéro dépendance externe.
L'outil propose 2 modes d'affichage. Le mode basique qui convertit les pixels en blocs Unicode, et dont la qualité dépend du nombre de lignes et colonnes de votre terminal. Plus vous zoomez out (Ctrl+- sur Alacritty), plus c'est net... mais plus ça rame. Donc si votre terminal supporte le protocole image, genre Kitty ou iTerm2, l'autre mode, c'est du rendu pleine résolution et là non seulement c'est pas dégeu mais en plus ça marche bien !
Le truc vraiment dingue, c'est surtout le SSH parce que si vous avez un serveur Linux distant, vous vous connectez dessus en SSH, vous lancez term-everything firefox et hop, Firefox s'affiche dans votre terminal local. Pas de X11 forwarding relou à mettre en place ni de VNC / RDP zarbi.
Pour les admins sys qui gèrent des serveurs headless, c'est quand même sympa ! D'ailleurs si vous aimez les outils SSH bien pensés , celui-ci aussi va vous plaire.
Par contre, on est encore en bêta et certaines apps vont planter ou refuser de se lancer. C'est normal, c'est un compositeur Wayland complet écrit par un seul gars (chapeau l'artiste !). Ce n'est donc pas le genre de truc qu'on met en prod, mais pour du dépannage sur un serveur Debian distant ou juste pour la beauté du geste, ça envoie du pâté.
Le créateur de term.everything est d'ailleurs le même qui avait codé Fontemon , un jeu vidéo caché dans une police de caractères. On est donc clairement dans la catégorie "parce qu'on peut le faire et que c'est marrant".
Bref, si vous voulez épater vos collègues en lançant KDE dans un terminal par-dessus SSH, ou juste jouer à Doom dans tmux, c'est par là que ça se passe.
Amusez-vous bien et merci à Lorenper pour l'info !
Une coalition d'entreprises européennes vient de lancer Euro-Office, une suite bureautique open source qui ambitionne de concurrencer Microsoft 365. Le problème, c'est que le projet est un fork d'OnlyOffice, et ce dernier accuse Nextcloud et IONOS de violer sa licence.
Euro-Office a été dévoilé le 27 mars à Berlin, directement au Bundestag. Derrière le projet, on retrouve huit organisations européennes : IONOS, Nextcloud, Eurostack, XWiki, OpenProject, Soverin, Abilian et BTactic.
L'idée est de proposer une suite bureautique capable d'éditer documents, tableurs et présentations, avec une compatibilité Microsoft complète, le tout sous contrôle européen.
Plutôt que de repartir de zéro, la coalition a choisi de forker le code open source d'OnlyOffice, jugé plus moderne et performant dans un navigateur que les alternatives dérivées de LibreOffice. Une préversion est d'ailleurs déjà proposée sur GitHub, et la première version stable est annoncée pour cet été.
Et voilà que ça se complique. Deux jours après l'annonce, OnlyOffice a publié un billet de blog accusant Nextcloud et IONOS de violer les conditions de sa licence AGPL v3.
Le reproche est précis : Euro-Office aurait supprimé toutes les références à la marque OnlyOffice, alors que la licence impose de conserver le logo et les attributions dans les travaux dérivés. Ces conditions supplémentaires ont été ajoutées en mai 2021 via la section 7 du fichier LICENSE.txt.
Côté Nextcloud, on se défend en affirmant que les forks font partie de l'ADN de l'open source. L'entreprise dit avoir consulté Bradley M. Kuhn, le créateur de la licence AGPL, qui soutiendrait leur position "à 100 %".
La Free Software Foundation serait aussi de leur côté. Nextcloud avance par ailleurs que la collaboration directe avec OnlyOffice était compliquée, la société étant basée en Russie.
Le timing n'est pas anodin. Partout en Europe, des administrations et des entreprises cherchent à réduire leur dépendance aux outils américains.
Euro-Office arrive avec un argument fort : une suite bureautique développée et hébergée en Europe, sans dépendance vis-à-vis d'acteurs non européens. C'est exactement ce que réclament plusieurs gouvernements depuis des années.
C'est quand même un drôle de démarrage pour un projet censé incarner la souveraineté numérique européenne. On lance une alternative à Microsoft en se basant sur le code d'une entreprise russe, et trois jours plus tard on se retrouve avec une accusation de violation de licence sur les bras.
Le fond du débat juridique est intéressant : est-ce qu'on peut forker un logiciel AGPL et retirer les mentions de la marque originale ?
Source : OnlyOffice.com
Jack Reacher n’a pas fini de distribuer les mandales. Alors que l’attente grimpe autour du retour d’Alan Ritchson, la série phénomène de Prime Video vient de réaliser un véritable hold-up sur les classements mondiaux.
Alors que le décollage d'Artémis II approche à grands pas, il est temps de se pencher sur tous les records qui vont être battus lors de cette mission historique. Un décollage qui signe également un bon nombre de premières fois.
Depuis la sortie de Pokémon Pokopia, les fans de Pokémon s'acharnent à optimiser leur île grâce aux outils à leur disposition et à la grande liberté de construction. Une liberté presque trop grande, finalement.
Cet article a été réalisé en collaboration avec Zendure
Avec sa dernière génération d'appareils Zendure renforce sa gamme et promet encore plus d'économies sur vos factures d'électricité, et ce, quelle que soit la surface de votre logement. Le constructeur vous permet de vous équiper du meilleur à partir de 719 euros en promotion.
Cet article a été réalisé en collaboration avec Zendure
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
En ce début d'année 2026, nous avons connu pour la première fois la douloureuse sensation de payer un kit de RAM au prix d'une carte graphique. Soyons clairs : ce n'est pas le meilleur moment. Cependant, l'accalmie se profile et certains prix commencent à « baisser ». Il vaut donc mieux préparer le terrain dès maintenant et savoir exactement quel kit cibler une fois que le marché sera redevenu normal.
SpaceX a annoncé la perte d'un satellite Starlink qui évoluait sur une orbite terrestre basse, à environ 560 km d'altitude. L'engin a créé un nuage de débris, qui n'est a priori pas menaçant ni pour l'ISS ni pour Artémis II.
La courbe de recharge d'une voiture électrique est souvent décrite comme la clé pour savoir si le véhicule est un champion de la borne ou non. Qu'est-ce qui se cache derrière cette notion importante de la mobilité électrique ?
Microsoft vient de publier la mise à jour optionnelle KB5086672 pour Windows 11 (26200.8117), quelques jours seulement après avoir retiré la KB5079391 en raison de graves problèmes d’installation.
Cette nouvelle mise à jour d’avril 2026 marque un correctif rapide après un mois de mars particulièrement chaotique pour Windows Update, avec notamment des erreurs 0x80073712 empêchant totalement l’installation de la précédente preview.
La principale raison du déploiement de KB5086672 est la correction de l’erreur 0x80073712.
Ce bug empêchait totalement l’installation de la précédente mise à jour, en signalant des fichiers manquants ou corrompus.
Microsoft a donc publié cette nouvelle version pour :
Contrairement à KB5079391, KB5086672 s’installe normalement sur les systèmes compatibles.
A lire : Erreur 0x80073712 sur KB5079391 : Microsoft suspend la mise à jour
KB5086672 n’est pas qu’un correctif technique : il s’agit d’une mise à jour cumulative complète.
Elle intègre :
Elle est publiée sous forme de build :
Cela confirme qu’il s’agit bien d’une base stable pour les prochaines mises à jour.
Microsoft continue de renforcer Smart App Control, son système de protection basé sur la réputation.
Des ajustements ont été apportés pour :
Cette évolution s’inscrit dans la stratégie globale de sécurisation de Windows 11.
KB5086672 améliore la gestion des écrans à très haute fréquence, notamment :
C’est une amélioration notable pour les configurations haut de gamme.
Des correctifs ont été apportés à Windows Hello, notamment :
Ces problèmes avaient été signalés sur certaines machines après les dernières mises à jour.
La mise à jour inclut aussi plusieurs optimisations de l’interface :
Ces changements visent à rendre l’expérience plus fluide au quotidien.
Microsoft a intégré plusieurs correctifs internes :
Ces ajustements sont essentiels pour éviter la répétition des problèmes rencontrés en mars.
| Composant | Amélioration | Impact |
|---|---|---|
| Performances globales | Optimisations générales du système | Meilleure stabilité et fluidité |
| Mode sans échec | Correction de bugs (barre des tâches, comportement instable) | Démarrage plus fiable en mode dépannage |
| Windows RE (ARM64) | Corrections liées à l’environnement de récupération | Meilleure compatibilité sur appareils ARM |
| Windows Hello | Amélioration de la reconnaissance d’empreinte | Authentification plus fiable |
| Menu Démarrer | Correction des stratégies (GPO) | Meilleure gestion en environnement pro |
| Audio (MIDI) | Amélioration de la gestion des messages MIDI | Compatibilité accrue avec périphériques audio |
| SFC /scannow | Correction d’une erreur affichée à tort | Diagnostic système plus fiable |
| Windows Update | Corrections sur l’installation des mises à jour (.msu) | Moins d’échecs |
KB5086672 reste une mise à jour facultative.
Elle est proposée uniquement si :
Comme toutes les preview, elle sera intégrée :
Lien direct pour télécharger Windows 11 KB5086672 : 64-bit and ARM-64
| Build Number | Size | OS Version | Architecture |
|---|---|---|---|
| 26200.8117 | 5104.9 MB | Windows 11 25H2 | x64-based |
| 26200.8117 | 5104.9 MB | Windows 11 25H2 | arm64-based |
| 26100.8117 | 4592.8 MB | Windows 11 24H2 | x64-based |
| 26100.8117 | 4592.8 MB | Windows 11 24H2 | arm64-based |
Le déploiement rapide de KB5086672 montre que Microsoft a réagi rapidement au problème.
Plutôt que de corriger silencieusement la mise à jour existante, l’entreprise a préféré :
Cette approche limite les risques pour les utilisateurs tout en maintenant le calendrier des améliorations.
Cet épisode confirme une tendance récente : malgré les efforts de Microsoft, Windows Update reste un point sensible.
Ces dernières semaines ont été marquées par :
Même si KB5086672 corrige le tir, cet enchaînement souligne que la fiabilité des mises à jour reste un chantier en cours.
Dans la plupart des cas, il est recommandé d’attendre.
Cette mise à jour étant optionnelle, elle s’adresse surtout :
Pour un usage classique, il est plus prudent d’attendre la version stable intégrée au Patch Tuesday.
A consulter sur le sujet :
Avec KB5086672, Microsoft corrige rapidement une mise à jour problématique et rétablit une situation instable en quelques jours.
Cet enchaînement montre à la fois la capacité de réaction de l’éditeur, mais aussi les limites persistantes du modèle de mises à jour Windows.
Alors que Microsoft continue d’introduire de nouvelles fonctionnalités, l’équilibre entre innovation et stabilité reste un enjeu central pour 2026.
L’article Windows 11 : KB5086672 déployée après le fiasco de la mise à jour KB5079391 est apparu en premier sur malekal.com.
IA et intelligence humaine, verdict contre Meta et YouTube, sécurité des routeurs Wi-Fi, IA Claude d'Anthropic, défis d'Epic Games.
❤️ Me soutenir sur Patreon
📺 Me retrouver sur YouTube
💬 On discute ensemble sur Discord
Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.
À l'occasion du Forum InCyber, Numerama a souhaité approfondir les discussions autour des menaces grandissantes pour les entreprises. Parmi elles, le « Shadow AI », et deux questions centrales face à ce défi : quelle stratégie adopter, et quelles responsabilités en cas de fuite de données internes ?
Anthropic a accidentellement publié le code source de son célèbre outil Claude Code sur la plateforme NPM. Une boulette importante qui secoue le monde de l'IA.
Le post Anthropic : le code source de l’outil Claude Code fuite sur le Web ! a été publié sur IT-Connect.
En analysant le code source de Vim, l'IA Claude est parvenue à identifier une faille : CVE-2026-34714. Dans la foulée, une faille dans Emacs a été identifiée.
Le post L’IA Claude a identifié une faille RCE importante dans Vim (et Emacs) a été publié sur IT-Connect.
60 Mo de source maps (ces fichiers qui permettent de remonter du code minifié à l'original) ont été oubliés dans un paquet npm. Et voilà comment Anthropic a involontairement balancé en public le code source complet de Claude Code, son outil à 2.5 milliards de dollars de revenus annuels.
Alors qu'est-ce qui s'est passé exactement ?
Hé bien hier, la version 2.1.88 du package @anthropic-ai/claude-code sur le registre npm embarquait un fichier .map de 59.8 Mo. Un truc normalement réservé au debug interne, sauf que ce fichier .map contenait les pointeurs vers les 1 900 fichiers TypeScript originaux, en clair. Chaofan Shou, un développeur chez Solayer Labs, a alors repéré la boulette et l'a partagée sur X. Le temps qu'Anthropic réagisse, le code était déjà mirroré partout sur GitHub, avec 41 500+ forks en quelques heures. Autant dire que le dentifrice ne rentrera pas dans le tube !
Pour ma part, j'avais un petit dépôt à moi assez ancien avec quelques trucs relatifs à Claude Code, qui n'avait rien à voir avec tout ça, qui s'est même retrouvé striké... Ils ratissent large avec leur DMCA donc.
Et là, c'est la fête pour les curieux comme moi parce que les entrailles de l'outil révèlent pas mal de surprises. Côté architecture, on découvre environ 40 outils internes avec gestion de permissions, un moteur de requêtes de 46 000 lignes de TypeScript, un système multi-agents capable de spawner des essaims de sous-tâches en parallèle, et un pont de communication entre le terminal et votre éditeur VS Code ou JetBrains. Le tout tourne sur Bun (pas Node.js ^^) avec Ink pour l'interface terminal. Par contre, pas de tests unitaires visibles dans le dump.
Côté mémoire, c'est plutôt bien pensé puisqu'au lieu de tout stocker bêtement dans la fenêtre de contexte du modèle, l'outil utilise un fichier texte MEMORY.md ultra-léger (genre 150 caractères par entrée) qui sert d'index de pointeurs. Les vraies données, elles, sont distribuées dans des fichiers thématiques chargés à la demande, et les transcripts bruts ne sont jamais relus entièrement, mais juste fouillés à la recherche d'identifiants précis. L'agent traite en fait sa propre mémoire comme un "hint" ce qui le force à vérifier toujours le vrai code avant d'agir. En gros, il a une mémoire sceptique, et pour moi c'est clairement le truc le plus intéressant du dump.
Y'a aussi un truc qui s'appelle KAIROS (mentionné 150 fois dans le code) qui est un genre de mode daemon autonome. En fait, pendant que vous allez chercher votre café, l'agent tourne en arrière-plan et fait ce qu'ils appellent autoDream : il consolide sa mémoire dans des fichiers JSON, vire les contradictions et transforme les observations vagues en données structurées. Comme ça, quand vous revenez devant votre écran, le contexte est nettoyé.
Et puis le code balance aussi la roadmap interne d'Anthropic (bon courage au service comm ^^). On y trouve les noms de code des modèles... Capybara pour un variant de Claude 4.6, Fennec pour Opus 4.6, et un mystérieux Numbat qui n'est pas encore sorti. D'ailleurs, les commentaires internes révèlent que Capybara v8 a un taux de fausses affirmations qui tourne autour de 30%, ce qui est une grosse régression par rapport aux 17% de la v4. Y'a même un "Undercover Mode" qui permet à l'agent de contribuer à des repos publics sans révéler d'infos internes (c'est sympa pour les projets open source).
Anthropic a confirmé la fuite : "C'était un problème de packaging lié à une erreur humaine, pas une faille de sécurité. Aucune donnée client n'a été exposée." Mouais, attention quand même, parce que le code est déjà partout et n'en repartira pas. Et même si aucun secret client n'a fuité, exposer l'architecture complète d'un agent IA à 2.5 milliards de revenus, c'est pas rien non plus.
Bon, et maintenant qu'est-ce qu'on peut en faire ? Bah pas mal de choses en fait.
Par exemple, le système de mémoire auto-correcteur est un pattern directement réutilisable pour vos propres agents IA. L'architecture "index léger + fichiers à la demande" résout élégamment le problème de la pollution de contexte qui fait halluciner les LLM sur les longues sessions. Les +40 outils internes permettent aussi de comprendre comment structurer un système de permissions granulaires dans un agent autonome . Et le concept KAIROS/autoDream, la consolidation mémoire pendant l'idle, c'est une idée qu'aucun outil open source n'implémente encore. Autant dire que les alternatives open source à Claude Code ou Codex vont monter en gamme dans les jours qui viennent. Et le code est déjà nettoyé, réécris en Rust et mis sur GitHub si vous voulez fouiller. Bon, pas sûr que le pattern autoDream soit simple à reimplémenter, mais le système de mémoire oui.
Je trouve ça assez marrant que le code proprio d'une boite qui a aspiré tout l'open source du monde voire plus, sans autorisation, pour le revendre sous la forme de temps machine / tokens, devienne lui aussi en quelque sorte "open source" sans qu'on leur demande leur avis ^^. La vie est bien faite.
Maintenant, pour les développeurs qui publient sur npm, la leçon est limpide : Vérifiez votre .npmignore et votre champ files dans package.json. Ou plutôt, lancez la commande npm pack --dry-run dans votre terminal avant chaque publish. Ç prend 2 secondes et ça vous montre exactement ce qui sera inclus dans le paquet. Ça aurait évité 60 Mo de secrets industriels qui partent en public.
Bref, un .npmignore bien configuré, ça coûte 0 euro. Alors qu'une fuite de propriété intellectuelle évaluée à 2.5 milliards... un peu plus !
La bibliothèque JavaScript Axios, téléchargée plus de 100 millions de fois par semaine, a été compromise. Un attaquant a détourné le compte du mainteneur principal pour y glisser un malware multiplateforme qui vise aussi bien macOS que Windows et Linux.
Tout est parti du compte npm de jasonsaayman, le mainteneur principal d'Axios. L'attaquant a réussi à prendre le contrôle du compte, a changé l'adresse mail vers un ProtonMail anonyme, et a publié deux versions malveillantes : axios 1.14.1 et axios 0.30.4.
Les deux ont été mises en ligne en l'espace de 39 minutes, et pas via le processus habituel. Au lieu de passer par GitHub Actions, le pipeline d'intégration continue du projet, les paquets ont été poussés directement avec la ligne de commande npm. Un détail qui aurait pu alerter plus tôt, mais qui est passé entre les mailles du filet pendant deux à trois heures avant que npm ne retire les versions concernées.
Le plus vicieux dans l'affaire, c'est la méthode. Plutôt que de modifier directement le code d'Axios, l'attaquant a ajouté une dépendance fantôme appelée plain-crypto-js. Elle n'est jamais importée dans le code source, son seul rôle est d'exécuter un script d'installation qui fonctionne comme un programme d'installation de malware.
Ce qui veut dire que dès que vous faites un npm install, le script contacte un serveur de commande en moins de deux secondes et télécharge un programme malveillant adapté à votre système : un daemon déguisé sur macOS, un script PowerShell sur Windows, une porte dérobée en Python sur Linux. Et une fois le malware déployé, le script se supprime, remplace son propre fichier de configuration par une version propre, et fait comme si de rien n'était. Même un npm list affiche alors un numéro de version différent pour brouiller les pistes.
StepSecurity et Socket.dev ont été les premiers à repérer la compromission. Selon Ashish Kurmi, CTO de StepSecurity, ce n'est pas du tout une attaque opportuniste. La dépendance malveillante avait été préparée 18 heures à l'avance, trois programmes malveillants différents étaient prêts pour trois systèmes d'exploitation, et les deux branches de publication ont été touchées en moins de 40 minutes.
Elastic a de son côté relevé que le binaire macOS présente des similitudes avec WAVESHAPER, une porte dérobée en C++ déjà documentée par Mandiant et attribué à un acteur nord-coréen identifié sous le nom UNC1069. Pour les chercheurs en sécurité, le message est clair : si vous avez installé axios 1.14.1 ou axios 0.30.4, considérez votre machine comme compromise. Il faut supprimer la dépendance, faire tourner les identifiants, et dans certains cas, réinstaller la machine.
Franchement, c'est le genre d'attaque qui fait froid dans le dos. Axios, c'est une brique de base pour à peu près tous les projets JavaScript qui font des appels réseau. Et là, en deux heures, un attaquant a réussi à transformer cette brique en porte d'entrée pour un cheval de Troie, y compris sur Mac.
Le plus déroutant, c'est que le système de publication npm permet encore de pousser un paquet manuellement sans que personne ne bronche. Bon par contre, il faut reconnaître que StepSecurity et Socket.dev ont fait du bon boulot en détectant le problème aussi vite.
Sans eux, la fenêtre d'exposition aurait pu être bien plus large, c'est faramineux quand on y pense. Et quand on sait que la piste nord-coréenne revient de plus en plus souvent dans ce genre d'opérations, on se dit que la sécurité de la chaîne logicielle mérite qu'on s'y intéresse de près.
Source : The Register
Connexion