Un développeur indépendant a porté xemu, l'émulateur Xbox open source, sur Android sous le nom de X1 BOX. L'application était d'abord vendue 8 dollars sur le Play Store, ce qui a provoqué un tollé côté communauté et chez les développeurs du projet original. Une version gratuite est depuis disponible sur GitHub.

X1 BOX : la Xbox de 2001 dans votre poche

Le projet xemu existe depuis plusieurs années sur PC et permet d'émuler la Xbox originale de 2001 avec une bonne précision. Le développeur izzy2lost, déjà connu pour PSX2 (un émulateur PS2 sur Android) et plusieurs portages de jeux N64, a repris le code source pour le faire tourner sur téléphone.

Son application X1 BOX propose une interface Android avec un lanceur de jeux, la récupération automatique des jaquettes, et des commandes tactiles qui disparaissent quand vous branchez une manette Bluetooth. Un assistant de configuration guide l'utilisateur pour pointer vers les fichiers système nécessaires.

Côté matériel, il faut compter sur un appareil costaud : Android 8.0 minimum, un processeur ARM 64 bits avec support Vulkan, et au moins 8 Go de RAM. Un Snapdragon 8 Gen 2 ou plus récent est recommandé pour que ça tourne de façon à peu près jouable. Autant dire que les petits téléphones d'entrée de gamme auront du mal à tenir la route.

8 dollars pour du code gratuit

Le problème est venu du modèle économique. izzy2lost a mis X1 BOX sur le Google Play Store à 8 dollars. Techniquement, vendre un logiciel GPL n'est pas illégal, mais dans la communauté open source, reprendre le travail des autres pour le monétiser sans collaborer, ça n’est pas très chic.

Le développeur principal de xemu a réagi sur les réseaux : « Les arnaqueurs arnaqueront toujours ». Il a aussi confirmé qu'une version officielle Android de xemu arriverait, gratuite. Depuis, izzy2lost a mis le code et l'APK en téléchargement libre sur GitHub.

L'émulation Xbox sur Android, c'est un cap qui vient d'être franchi, et ça fait plaisir. Sauf que la méthode laisse un goût un peu amer. Prendre un projet communautaire maintenu bénévolement, le packager pour Android et le vendre 8 dollars sans prévenir personne, c'est le genre de truc qui crispe à juste titre.

Le code est sous GPL, donc techniquement c'est légal, mais l'éthique, c'est autre chose. En tout cas, la bonne nouvelle c'est que le portage existe et qu'il est gratuit sur GitHub. On attend quand même la version officielle de xemu, qui devrait régler la question une bonne fois pour toutes.

Source : Time Extension

Le ministère des Transports britannique vient de publier un appel d'offres pour trouver un développeur C++ capable de maintenir le NAPAM, le modèle qui prédit la répartition des passagers dans les aéroports du pays. Le programme tourne sur 10 000 lignes de code avec Excel comme interface. Budget prévu : 100 000 livres sur trois ans.

10 000 lignes de C++ et un fichier Excel

Le NAPAM (pour National Aviation Passenger Allocation Model), est le logiciel qui permet au gouvernement britannique de prévoir comment les passagers se répartissent entre les aéroports du pays. Il couvre 29 aéroports britanniques qui gèrent des vols internationaux, plus quatre hubs à l'étranger : Amsterdam, Dubaï, Francfort et Paris.

Le programme tourne dans un environnement .NET en C++ et se nourrit de données via des fichiers Excel. Il effectue des calculs itératifs jusqu'à atteindre certains seuils définis par l'utilisateur, comme la capacité maximale de passagers d'un aéroport donné. Le tout tient en 10 000 lignes de code. Pour un outil qui influence les décisions de politique aérienne du Royaume-Uni, on est sur quelque chose d'assez artisanal.

Un appel d'offres à budget serré

Cet appel d'offres a été lancé pour un contrat de trois ans, avec un budget de 100 000 livres, soit l'équivalent de 120 000 euros. Le poste consiste à fournir un support technique ad hoc aux analystes et économistes de l'équipe Aviation Appraisal and Modelling.

Le modèle existe depuis au moins 2010 et a été mis à jour en 2017, 2022 et 2024. Le précédent contrat de maintenance avait été attribué au cabinet américain Jacobs, qui avait facturé environ 97 000 livres rien que pour les mises à jour de 2020. Le ministère précise quand même que le budget est « non engageant » et qu'il ne garantit ni le volume de travail ni les dépenses.

Un cas d'école du logiciel legacy

Ce genre de situation est un classique dans les administrations : un outil développé il y a quinze ans par un prestataire, maintenu au fil de l'eau par un consultant externe, et dont personne en interne ne maîtrise vraiment le code.

Le NAPAM est quand même utilisé pour orienter les investissements aéroportuaires et les projections de trafic du pays. Si le développeur sous contrat décide de partir à la retraite ou de changer de métier, c'est tout le modèle de prévision qui se retrouve en difficulté.

Et avec 10 000 lignes de C++ legacy plus des macros Excel, on imagine la joie du prochain développeur qui reprendra le dossier.

C'est quand même un peu vertigineux de se dire que les prévisions du trafic aérien d'un pays du G7 dépendent d'un programme en C++ maintenu par un seul prestataire pour 33 000 livres par an.

Avec ce budget, on est à peine sur le tarif d'un développeur junior à mi-temps à Londres. On ne dit pas que le modèle est mauvais, mais la dépendance à une seule personne sur du code legacy avec Excel comme interface, ça fait quand même un peu froid dans le dos.

Source : The Register

Creality lance Filastudio, un duo composé de la M1 Filament Maker et du broyeur R1 qui permet de transformer vos impressions 3D ratées en filament réutilisable. Le système est en campagne sur de financement à partir de 899 dollars le bundle, avec des livraisons prévues au deuxième trimestre 2026. Les premiers tests sont plutôt encourageants, même si le prototype a encore du chemin à faire.

Recycler ses ratés pour réimprimer

Creality vient donc de dévoiler un concept qui va parler à tous ceux qui ont une imprimante 3D chez eux : recycler ses impressions ratées pour en refaire du filament neuf.

La M1 Filament Maker est une extrudeuse de bureau qui transforme des granulés de plastique en bobines de filament prêtes à l'emploi. Elle fonctionne avec huit familles de matériaux : PLA, ABS, PETG, ASA, PA, PC, TPU et PET.

Le R1, c'est le broyeur qui va avec. Il découpe vos impressions ratées en particules de 4 mm maximum, que vous pouvez ensuite réinjecter dans la M1. Creality parle d'un débit allant jusqu'à 1 kg de filament par heure et d'une précision de plus ou moins 0,05 mm avec des granulés neufs. Avec du plastique recyclé, la tolérance double à plus ou moins 0,1 mm, ce qui reste acceptable mais en dessous du filament commercial classique.

Ce que disent les premiers tests

Hackaday a pu mettre les mains sur un prototype de la M1, et le verdict est mitigé mais encourageant. Le filament produit imprime, et les résultats sont même qualifiés de bons malgré des variations de diamètre.

Le bobinage fonctionne avec les bobines fournies par Creality, mais le mécanisme a encore besoin d'être affiné. On est sur du préproduction, donc Creality a encore de la marge pour corriger le tir avant les livraisons.

Une contrainte à garder en tête : le recyclage ne fonctionne qu'en monomatériau. Si vous mélangez du PLA avec du PETG dans le broyeur, vous risquez d'endommager le système. Il faut donc trier ses déchets d'impression, ce qui demande un minimum d'organisation.

Les Elgato Key Light, c'est devenu le standard pour s'éclairer la tronche en visio ou en stream. Un gros panneau LED blanc posé sur un pied. Sauf que le soft officiel pour les piloter, bah... il fait le minimum syndical. En fait, à part allumer, éteindre et bouger un slider, y'a rien. Du coup, un dev finlandais a pondu Lolgato , une app macOS gratuite et open source qui va beaucoup plus loin.

Lolgato en action dans la barre de menus

Sur mon Mac, j'ai téléchargé le DMG, glissé l'app dans Applications, et hop... une icône apparaît dans la barre de menus. De là, vous avez accès à tous les réglages de vos lumières sans ouvrir le Control Center d'Elgato. Luminosité, température de couleur, on/off... tout est là, à un clic. Mais le vrai kiff, c'est l'automatisation.

Car oui mes amis, Lolgato détecte quand votre webcam s'active (FaceTime, Zoom, OBS, peu importe) et allume vos lumières automatiquement. Comme ça, plus besoin d'y penser ! Vous verrouillez le Mac ? Les lampes s’éteignent. Par contre, attention, ça ne marche qu'avec les lumières Elgato (les Key Light et compagnie) et pas avec les panneaux LED du commerce à 30 euros.

L'interface menu bar de Lolgato

La synchronisation avec Night Shift c'est chouette aussi car comme ça, quand macOS passe en lumière chaude le soir, Lolgato ajuste la température de couleur de vos Key Light pour matcher. Vous passez de la lumière blanche de bureau à un éclairage chaud, genre lampe de chevet. Résultat, fini l'effet néon de supermarché à 23h dans votre salon. Quand Night Shift se désactive, retour à 6500K. Perso, sur mon setup chez moi, la différence se voit direct.

Côté raccourcis clavier, c'est complet. Des shortcuts globaux pour allumer, éteindre, monter la luminosité, baisser la température... tout ça sans toucher la souris. À vrai dire, sur un bureau avec deux ou trois moniteurs et un clavier, c'est carrément appréciable !

L'app repère vos lumières sur le réseau Wi-Fi automatiquement. Même protocole que le Control Center officiel. Et si la découverte auto fait des siennes, vous pouvez taper l'adresse IP de votre lampe directement dans les réglages de Lolgato. Pratique quand on a chez soi un routeur capricieux ou un VLAN séparé.

Si vous utilisez déjà MonitorControl pour gérer la luminosité de vos écrans externes, Lolgato vient compléter le setup pour la partie éclairage. Le combo des deux, c'est le confort ultime !

Ça tourne sur macOS 14 (Sonoma) minimum, et aussi sur macOS 15 (Sequoia). C'est du Swift, licence MIT et le développeur est aussi derrière WalkingMate (un tapis de marche piloté depuis le Mac) et KeepMic (pour garder votre micro USB par défaut). Bref, un mec qui aime que ses périphériques obéissent au doigt et à l'oeil.

Voilà, c'est gratuit, open source, et ça marche bien !

Apple vient de publier iOS 16.7.15 et iOS 15.8.7 pour les anciens iPhone et iPad. Ces mises à jour corrigent des failles activement exploitées par Coruna, un kit d'espionnage qui combine 23 vulnérabilités pour compromettre un appareil simplement en chargeant une page web, je vous en parlais ici. Si vous avez encore un iPhone 6s, 7, 8 ou X, la mise à jour est urgente.

D'où vient Coruna ?

Google et iVerify ont rendu public le kit Coruna le 3 mars. Il regroupe 23 failles en cinq chaînes d'exploitation et cible les iPhone sous iOS 13 à iOS 17.2.1. L'outil aurait été conçu par une filiale de L3Harris Technologies, un sous-traitant de défense américain, et vendu à des agences gouvernementales alliées des États-Unis.

Sauf que voilà, le kit a fini par circuler bien au-delà de ce cercle. Un groupe d'espionnage russe l'a utilisé en juillet 2025 contre des cibles ukrainiennes, et un acteur chinois s'en est servi fin 2025 via de faux sites de cryptomonnaies et de paris en ligne. Plus de 50 domaines de distribution ont été identifiés.

Quels sont les appareils concernés ?

Les mises à jour publiées par Apple couvrent deux générations d'anciens appareils. iOS 15.8.7 concerne les iPhone 6s, iPhone 7, iPhone SE première génération, l'iPad Air 2, l'iPad mini 4 et l'iPod touch septième génération. iOS 16.7.15 vise les iPhone 8, 8 Plus et iPhone X, ainsi que l'iPad cinquième génération et les premiers iPad Pro.

Les quatre CVE corrigées touchent le noyau et le moteur WebKit. Le kit exploite ces failles sans aucune interaction de l'utilisateur : il suffit de charger une page web piégée pour que l'appareil soit compromis.

Des portefeuilles crypto ciblés

Une fois l'appareil compromis, le malware PlasmaLoader s'attaque aux portefeuilles de cryptomonnaies comme MetaMask, Exodus ou Bitget Wallet. Google a qualifié Coruna de première exploitation de masse connue contre iOS.

Le kit détecte le modèle d'iPhone et la version d'iOS avant de choisir la bonne chaîne d'exploitation. Il évite aussi de s'exécuter si le mode Isolement est activé ou si la navigation est en mode privé.

Apple fait quand même bien le job en patchant des appareils qui ont jusqu'à dix ans, et c'est plutôt rassurant !

Source : The Hacker News

Perplexity vient de présenter Personal Computer, un agent IA qui tourne en continu sur un Mac mini et qui accède à vos fichiers, vos applications et vos sessions. Réservé aux abonnés Max à 200 dollars par mois, le service est pour l'instant sur liste d'attente.

Un assistant qui ne dort jamais

L'idée est plutôt simple sur le papier : installer un agent IA sur un Mac mini qui reste allumé en permanence, connecté à vos données locales et aux serveurs de Perplexity. L'annonce de ce produit a été faite en grande pompe lors de la conférence Ask 2026, dédiée aux développeurs et organisée directement par Perplexity.

Cet agent IA permet de rédiger des mails, préparer des briefs quotidiens, trier et renommer des fichiers, ou analyser des documents, sans intervention de votre part. Tout se pilote depuis Perplexity directement, même à distance.

Histoire d'éviter les problèmes et débordements, des garde-fous ont quand même été mis en place.

Les actions les plus sensibles doivent obligatoirement être validées par l'utilisateur (vous donc, un vrai humain a priori), chaque session est consignée dans un journal d'audit et vous avez même un bouton d'arrêt d'urgence, pour reprendre le contrôle dès que vous le souhaitez. Selon Perplexity, le dispositif est bien plus sécurisé qu'OpenClaw.

Le choix du modèle

L'un des aspects les plus intéressants de Personal Computer, c'est que vous pouvez choisir le modèle d'IA qui fait tourner l'agent. Claude, Gemini ou Grok : à vous de voir lequel colle le mieux à vos besoins.

L'accès est réservé aux abonnés Perplexity Max, facturé 200 dollars par mois, avec 10 000 crédits de calcul inclus. C'est Mac uniquement pour le moment, et il faut passer par une liste d'attente avant de pouvoir essayer.

En parallèle, Perplexity a aussi dévoilé Computer for Enterprise, une version destinée aux professionnels qui connecte l'agent aux outils comme Snowflake, Salesforce ou HubSpot. Et puis une plateforme API avec quatre briques : recherche, agent, sandbox et embeddings. Le tout accompagné de Perplexity Finance, un outil avec plus de quarante sources de données financières en temps réel.

Un développeur a créé Galagino, un émulateur open source qui fait tourner Pac-Man, Galaga, Donkey Kong et trois autres classiques de l'arcade sur un simple microcontrôleur ESP32. Le projet est gratuit, le code est sur GitHub, et avec quelques composants et une imprimante 3D vous fabriquez votre propre mini borne pour presque rien.

Six jeux d'arcade sur une puce à quelques euros

Galagino est un projet open source développé par Till Harbaum. Le principe : émuler des jeux d'arcade des années 80 sur un ESP32, cette petite puce à double coeur cadencée à 240 MHz qui coûte une poignée d'euros. Et ça ne rigole pas côté catalogue, puisque six titres sont pris en charge : Galaga, Pac-Man, Donkey Kong, Frogger, Dig Dug et 1942.

L'émulation est complète, avec le son et la vidéo, le tout affiché sur un petit écran TFT de 320 x 240 pixels en 2 à 3 pouces. Pour les contrôles, cinq boutons poussoirs suffisent, ou un joystick si vous préférez. Le Galaga d'origine tournait sur trois processeurs Z80 plus deux puces dédiées aux entrées et au son. Ici, l'ESP32 gère tout seul, et les deux coeurs sont quand même bien sollicités.

Le canton de Bâle-Ville a suspendu son projet pilote de vote électronique après qu'une clé USB défectueuse a empêché le déchiffrement de 2 048 bulletins lors des votations fédérales du 8 mars. Une enquête pénale est ouverte.

Trois clés USB, zéro résultat

Le soir du 7 mars, veille du scrutin, la chancellerie du canton de Bâle-Ville a annoncé un problème technique sur son système de vote électronique. Le lendemain, 2 048 votes restaient bloqués dans l'urne numérique.

Le porte-parole du canton, Marco Greiner, a expliqué que trois clés USB contenant les codes de déchiffrement avaient été utilisées, toutes avec le bon code, mais qu'aucune n'avait fonctionné. Les experts de La Poste suisse et la police de Bâle n'ont pas réussi à récupérer les données.

Le problème ne vient pas du système de La Poste, mais du service informatique cantonal. Les votes concernés sont ceux d'environ 10 300 Suisses de l'étranger et de 30 personnes en situation de handicap, qui sont les seuls autorisés à voter par voie électronique dans ce canton.

Quatre objets fédéraux étaient soumis au vote ce jour-là, dont l'initiative sur le maintien du cash et celle sur le fonds climat.

Un projet suspendu et une enquête pénale ouverte

Bâle-Ville a suspendu le vote électronique jusqu'à fin décembre 2026 et commandé une analyse externe. Le ministère public a ouvert une procédure pénale pour suspicion de manipulation électorale, et l'unité "criminalité numérique" a trouvé des indices allant dans ce sens. Les résultats définitifs du canton ne seront confirmés que le 21 mars.

Les 2 048 bulletins perdus n'auraient pas changé l'issue des votations fédérales. Mais le précédent est gênant. En 2015, la loi sur la radio et la télévision avait été adoptée avec seulement 3 649 voix d'écart. En 2017, le financement complémentaire de l'AVS était passé à 2 361 voix près.

Avec des marges aussi serrées, 2 048 votes qui disparaissent, ça pose quand même un vrai problème. Les trois autres cantons pilotes (Thurgovie, Grisons et Saint-Gall) n'ont pas été touchés.

La Suisse avait déjà abandonné un premier système de vote électronique en 2019 après la découverte de failles de sécurité dans le code source. Et voilà que le deuxième essai trébuche sur une clé USB. Le politologue Michael Hermann résume bien la situation : cette panne fait reculer le vote électronique de plusieurs années.

On peut comprendre l'idée de dématérialiser le vote pour les Suisses de l'étranger, c'est même assez logique. Mais quand le maillon faible du système, c'est un bout de plastique avec une puce dedans, on se demande quand même si la bonne vieille enveloppe n'avait pas quelques avantages. Et oui, je sais que ce « 2048 » vous fait clairement tiquer comme chiffre, moi aussi, pas de doute, on est des vrais nerds.

Source : Swiss Info

En 2024, je me suis acheté un WalkingPad A1 Pro (lien affilié) et j'ai complétement oublié de vous en faire un petit retour ! Ce mot ne vous dit peut-être rien, mais c'est ce petit tapis de marche pliable qui se glisse sous votre bureau debout. 143 cm de long, 55 cm de large, 6 km/h max + une télécommande et une appli pour piloter le tout. L'engin pèse dans les 28 kg et se plie en deux pour se planquer sous mon bureau. Et comme maintenant j'ai un peu de recul, je peux vous dire qu'il y a quelques trucs à savoir avant de craquer.

Déjà, si vous faites plus de 100 kg (comme moi, oui je sais, beau bébé), attendez-vous à des petits à-coups au démarrage car c'est conçu pour supporter max 105 kg (quand je l'ai acheté sur la fiche produit c'était écrit 136 kg donc j'sais pas trop...).

En fait, le moteur et la bande ont besoin de chauffer 2-3 minutes avant de tourner rond. Rien de dramatique, mais les premiers pas c'est saccadé. Ensuite, une fois le rythme chopé, ça roule !

Après le piège classique, c'est de vouloir aller trop vite. Dès que vous dépassez 3 km/h, votre clavier mécanique commence à danser sur le plateau du bureau et là... bonne chance pour viser un pixel avec votre souris. Plus vous allez lentement, plus vous êtes précis avec la souris. Perso, je reste à 2-3 km/h max quand je bosse, parce que au-delà c'est ingérable. On n'est pas là pour un marathon !

Au début, c'est perturbant, j'avoue. Genre votre cerveau sait plus s'il doit lire l'écran ou gérer vos jambes. Ça dure quelques jours, pas plus et ensuite, vous n'y pensez même plus, ça devient naturel et du coup vous marchez sans y penser.

Crawler un site entier, ça devrait pas être aussi compliqué. Et pourtant, entre les scripts maison qui cassent tous les 2 jours et les headless browsers qui bouffent de la RAM comme pas permis, c'est assez la galère ! Du coup, Cloudflare, dans sa grande bonté (lol) vient de sortir un endpoint /crawl (en open beta) dans la section Browser Rendering qui simplifie tout ça... vous balancez une URL dessus et hop, ça ASPIRE tout le site (oui oui).

En gros, vous envoyez une requête POST avec l'URL de départ, et le service se charge de découvrir les pages (via le sitemap, les liens internes, ou les deux), de les générer dans un navigateur headless, et de vous renvoyer le contenu en HTML, Markdown ou même en JSON structuré grâce à Workers AI. Le tout de manière asynchron ! Vous, vous récupérez juste un job ID et vous revenez plus tard chercher les résultats quand c'est prêt.

Créer votre token API

Avant toute chose, il vous faut un token API Cloudflare avec la permission "Browser Rendering - Edit". Rendez-vous dans votre dashboard Cloudflare, section API Tokens, et créez-en un nouveau. Notez aussi votre Account ID (visible dans l'URL du dashboard ou dans la section Overview de n'importe quel domaine).

Lancer un crawl

Là, ensuite c'est hyper simple. Un seul appel curl suffit :

curl -X POST "https://api.cloudflare.com/client/v4/accounts/VOTRE_ACCOUNT_ID/browser-rendering/crawl" \
 -H "Authorization: Bearer VOTRE_TOKEN" \
 -H "Content-Type: application/json" \
 -d '{"url": "https://example.com"}'

curl -X POST "https://api.cloudflare.com/client/v4/accounts/VOTRE_ACCOUNT_ID/browser-rendering/crawl" \
 -H "Authorization: Bearer VOTRE_TOKEN" \
 -H "Content-Type: application/json" \
 -d '{
 "url": "https://example.com/docs",
 "limit": 50,
 "depth": 3,
 "formats": ["markdown"],
 "render": false,
 "options": {
 "includePatterns": ["https://example.com/docs/**"],
 "excludePatterns": ["**/changelog/**"]
 }
 }'

curl "https://api.cloudflare.com/client/v4/accounts/VOTRE_ACCOUNT_ID/browser-rendering/crawl/VOTRE_JOB_ID" \
 -H "Authorization: Bearer VOTRE_TOKEN"

Faire de la synthèse vocale , de la transcription et du voice cloning en local sur son Mac, sans envoyer le moindre octet dans le cloud... hey bien c'est possible mes petits foufous et en plus comme je sais que vous avez des oursins dans les poches, hé bien bonne nouvelle : C'est gratuit !

MLX-Audio , c'est donc une bibliothèque Python qui exploite le framework MLX d'Apple pour faire tourner des modèles audio directement sur les puces M1, M2, M3, M4 et maintenant M5. Cette liste est trop longue, la prochaine fois, j'écrirais M* ou M1-5 ^^. Avec cette lib, du coup, tout se fait en local sur votre machine. Si je devais oser une comparaison un peu casse gueule, je dirais que c'est un peu le Ollama de l'audio.

Côté text-to-speech, y'a surtout du choix. Une dizaine de modèles sont disponibles, dont Kokoro pour du multilingue (français, anglais, japonais, chinois, espagnol...), Chatterbox qui gère 23 langues, ou encore Dia pour les dialogues. Et voici comment ensuite avec une commande dans le terminal, on peut faire parler la machine :

mlx_audio.tts.generate --model mlx-community/Kokoro-82M-bf16 --text "Salut les copains" --lang_code f --play

Le truc sympa, c'est que ça ne s'arrête pas à la synthèse vocale. Côté transcription, on retrouve Whisper (le modèle d'OpenAI qui gère 99 langues), Parakeet de NVIDIA pour les langues européennes, et même VibeVoice-ASR de Microsoft qui fait de la diarization (identifier qui parle dans une conversation).

Pour transcrire un fichier audio, c'est donc tout aussi simple :

python -m mlx_audio.stt.generate --model mlx-community/whisper-large-v3-turbo-asr-fp16 --audio meeting.wav --verbose

Y'a aussi le voice cloning avec CSM, où vous filez un fichier audio de référence et le modèle reproduit la voix. Perso, ça fait un peu flipper mais qui est carrément bluffant ! Sauf si vous avez une voix super particulière (trop de clope hein ^^), au final le résultat est assez bon.

Attention, tout ça a besoin de mémoire ! Heureusement, la bibliothèque gère la quantization (de 3 à 8 bits), du coup les modèles sont compressés pour tenir dans la mémoire unifiée des puces Apple Silicon. Le plus léger, Kokoro, fait 82M de paramètres et le plus costaud, Ming Omni, monte à 16.8 milliards de paramètres (mais en mixture-of-experts, donc seulement 3B activés à la fois). Pour ce dernier, faut donc un Mac avec pas mal de RAM.

D'ailleurs, si vous êtes développeur, la bibliothèque expose également une API REST compatible OpenAI. Ça veut dire que vos apps qui causent déjà avec l'API d'OpenAI peuvent basculer sur du local sans changer une ligne de code... enfin presque. Car faut quand même pointer vers localhost au lieu des serveurs d'OpenAI, mais c'est à peu près tout. Y'a même un package Swift pour intégrer ça dans une app iOS ou macOS native.

Voilà, pour ceux qui préfèrent une interface graphique, un mode web avec visualisation 3D de l'audio est même intégré. C'est super joli !

Ce projet est sous licence MIT, et le mainteneur, Prince Canuma, est un ancien ingénieur ML chez Arcee AI, donc pas un random qui a forké un truc un dimanche ^^.

Voilà, si vous avez un Mac et que l'audio IA en local vous branche, c'est open source, c'est gratuit et ça marche carrément bien !

YouTube déploie des publicités de 30 secondes non désactivables sur son application TV dans le monde entier. Google mise sur l'IA pour choisir le bon format au bon moment. On fait le point, et on vous file les astuces pour retrouver un peu de tranquillité.

Des pubs plus longues, et pas moyen de les couper

Google vient d'officialiser le déploiement mondial de spots publicitaires de 30 secondes sur l'app YouTube pour téléviseurs connectés. Jusqu'à présent, les pubs sur TV pouvaient être zappées au bout de quelques secondes.

C'est terminé. L'IA de Google se charge de sélectionner dynamiquement le format adapté parmi trois options : des bumpers de 6 secondes, des spots classiques de 15 secondes et ces fameux 30 secondes impossibles à passer. 

Des versions de 60 secondes seraient déjà en bêta.

La télé est devenue le premier écran de consommation YouTube aux États-Unis, devant le mobile et le PC. Avec un chiffre d'affaires estimé à 62 milliards de dollars en 2025, YouTube a été désigné "nouveau roi des médias" par le cabinet MoffettNathanson, devant Disney. Google veut rentabiliser cet écran au maximum, et les annonceurs adorent le format salon, plus proche de la pub télé traditionnelle.

Comment bloquer les pubs YouTube en 2026

Sur ordinateur, la solution la plus fiable pour bloquer les pubs et les traqueurs reste Firefox avec uBlock Origin. L'extension fonctionne toujours grâce au support de Manifest V2 par Mozilla, alors que Chrome a coupé les extensions MV2 courant 2025. Brave bloque aussi les pubs YouTube nativement avec son système Shields, sans rien installer.

Sur Android, ReVanced supprime les pubs et ajoute la lecture en arrière-plan, le tout gratuitement. NewPipe et LibreTube font le même travail sans même avoir besoin d'un compte Google.

Côté TV connectées, SmartTube remplace l'app officielle sur Android TV et les anciens Fire Stick, et supprime toutes les pubs. Pour une approche plus radicale, un Pi-hole ou un DNS filtrant comme NextDNS bloque les domaines publicitaires au niveau du réseau, avant même qu'ils n'atteignent vos appareils, pratique.

Et pour ceux qui veulent rester dans les clous et qui en ont les moyens, YouTube Premium c’est 13 euros par mois, et ça vous permettra d’éviter les publicités aussi.

Google pousse ses pubs de 30 secondes sur les TV parce que c'est là que les gens regardent le plus YouTube, et que c'est là que les annonceurs payent le mieux. C’est logique. Sauf que 30 secondes de pub non zappables sur une plateforme qui a bâti son succès sur la gratuité et la souplesse, ça commence à ressembler à de la télé classique, et c’est franchement l’enfer.

Bref, des solutions pour contourner existent, et certains préfèrent carrément télécharger leurs vidéos YouTube pour les regarder sans pub. Vous pouvez y penser si vous en avez marre des spots publicitaires en boucle sur vos écrans.

Source : PC World

Microsoft vient de corriger 79 failles de sécurité dans son Patch Tuesday de mars 2026. Parmi elles, une vulnérabilité critique dans Excel qui permet d'utiliser l'agent Copilot pour exfiltrer des données sensibles, le tout sans aucune interaction de la victime. Oui oui, zéro clic.

Une faille XSS qui détourne Copilot

Cette faille répondant au doux nom de CVE-2026-26144 est une vulnérabilité de type cross-site scripting dans Microsoft Excel, et elle a un petit truc en plus qui la rend franchement inquiétante : elle est capable de détourner le mode Agent de Copilot pour envoyer des données vers l'extérieur, via ce que Microsoft appelle un "unintended network egress". 

Traduction : l'IA qui est censée vous aider à rédiger vos tableaux et vos formules devient, l'air de rien, un canal d'exfiltration de données.

Pas besoin que la victime clique sur quoi que ce soit. Pas besoin non plus d'élévation de privilèges. Il suffit d'un accès réseau. Les données qui peuvent fuiter sont loin d'être anodines : documents financiers, propriété intellectuelle, données opérationnelles. Dustin Childs, de la Zero Day Initiative, a qualifié cette faille de "fascinante". On veut bien le croire.

Deux autres failles Office à ne pas oublier

Ce Patch Tuesday de mars n'apporte pas que la CVE-2026-26144. Microsoft a aussi corrigé deux failles d'exécution de code à distance dans Office (CVE-2026-26110 et CVE-2026-26113) qui peuvent être exploitées via le simple volet de prévisualisation.

Ce qui veut dire qu'il suffit de survoler un fichier piégé dans l'explorateur pour déclencher l'attaque, sans même l'ouvrir.

Au total, ce sont 79 vulnérabilités corrigées ce mois-ci, dont trois classées critiques. Bonne nouvelle quand même : c'est le premier Patch Tuesday en six mois sans faille activement exploitée dans la nature. Après les épisodes avec APT28 et la CVE-2026-21509 exploitée par des groupes liés à la Russie en début d'année, ça fait une petite pause bienvenue.

Le truc un peu agaçant dans cette histoire, c'est que Microsoft pousse Copilot dans tous ses logiciels, et que PAF, une faille XSS permet de transformer cet assistant IA en mouchard.

C'est d'autant plus gênant que beaucoup d'entreprises ont activé Copilot sans forcément mesurer ce que ça implique en termes de surface d'attaque. Avec un agent IA qui a accès à vos fichiers et à votre réseau, le moindre trou dans la raquette prend une autre dimension.

Si vous utilisez Excel avec Copilot activé en entreprise, la mise à jour de mars est à installer sans traîner.

Source : Cyberscoop

La Pologne vient d'identifier sept adolescents soupçonnés de vendre des outils d'attaque DDoS en ligne. Le plus jeune avait 12 ans au moment des faits. Leurs cibles : des sites d'enchères, des hébergeurs et des plateformes de réservation. Tous passent devant le tribunal pour mineurs.

Sept ados, quatre régions, un business bien rodé

L'enquête a démarré en 2025 quand le Bureau central de lutte contre la cybercriminalité polonais a identifié un adolescent de 14 ans comme administrateur présumé des outils vendus par le groupe. Le fil a été tiré et six autres mineurs ont été retrouvés dans quatre régions du pays.

Lors des perquisitions à leurs domiciles, les enquêteurs ont saisi des smartphones, des ordinateurs portables, des disques de stockage, un registre comptable et de la documentation manuscrite.

Les suspects se connaissaient, restaient en contact régulier et coopéraient pour administrer et déployer les outils. Le tout dans un but purement lucratif vous l’imaginez bien.

Des attaques sur des gros sites

Les outils vendus par le groupe ont servi à attaquer des sites plutôt fréquentés : portails d'enchères et de ventes en ligne, domaines liés à l'informatique, services d'hébergement web et plateformes de réservation d'hébergement. On parle de DDoS-for-hire, un modèle où n'importe qui peut acheter une attaque par déni de service contre la cible de son choix.

La justice polonaise mise sur l'éducation

Côté justice, la loi polonaise prévoit qu'un enfant de moins de 13 ans ne peut pas être poursuivi pénalement. Pour les 13-17 ans, le système privilégie la rééducation plutôt que la sanction. Les dossiers des sept suspects ont été transmis aux tribunaux pour mineurs, qui décideront des suites.

Pas de prison donc, mais une prise en charge adaptée. Ce dossier n'est d'ailleurs pas le seul. En février, la Pologne avait déjà arrêté un jeune de 20 ans qui opérait un service de DDoS depuis sa chambre, dans le cadre de l'opération internationale PowerOFF coordonnée par le FBI et Europol.

Cette histoire fait sourire quand on imagine des hackers de 12 ans devant leurs ordis, mais le profil des suspects interpelle quand même. Tout ceci laisse songeur sur la facilité d'accès à ce type de ressources en ligne. La Pologne fait partie des pays européens les plus actifs sur la cybercriminalité ces derniers mois, avec plusieurs coups de filet successifs.

L'approche éducative plutôt que répressive pour les mineurs a du sens, mais elle pose une vraie question : est-ce que ça suffit à dissuader des gamins qui généraient déjà des revenus conséquents avec leurs plateformes ?

Source : Helpnetsecurity

Shelby Jueden, un passionné de tech rétro qui anime la chaîne YouTube Tech Tangents, vient de montrer qu'un simple microscope numérique permet de distinguer le contenu vidéo gravé sur un LaserDisc. L'encodage analogique du format rend les données directement visibles sous grossissement, alors que ça ne fonctionne pas du tout avec un CD.

Mais comment ça marche ?

Pour les plus jeunes d'entre vous, un petit rappel s'impose. Le LaserDisc est un format vidéo analogique commercialisé dès la fin des années 1970, bien avant le DVD ou le Blu-ray. 

Contrairement au CD qui stocke ses données en binaire, le LaserDisc encode lui le signal vidéo sous forme de variations dans la longueur des creux gravés sur une couche d'aluminium. Cette particularité produit un léger effet de diffraction qui est en fait visible sous grossissement.

Un développeur a créé un langage de programmation dont le code source est composé de M&M's colorés. Six couleurs, six familles d'instructions, et les programmes se compilent sous forme d'images PNG. Le plus rigolo ? On peut même prendre en photo de vrais bonbons posés sur une table pour générer du code exécutable. Le projet, baptisé MnM Lang, cartonne.

Des bonbons à la place du code

L'idée est partie d'un paquet de GEMS (l'équivalent indien des M&M's) ouvert un peu trop fort. Mufeed VH, développeur et auteur du projet, a vu les confiseries former une sorte de flèche sur le sol et s'est dit que ça ferait un bon point de départ pour un langage de programmation. Le résultat s'appelle MnM Lang, un langage dit "ésotérique" où le code source est écrit sous forme de rangées de bonbons.

Six couleurs sont utilisées, chacune correspondant à un type d'instruction : le bleu gère le flux de contrôle (sauts, appels, arrêt), le vert s'occupe des variables et de la pile, le jaune traite les opérations mathématiques, l'orange gère les entrées/sorties, le marron s'occupe des labels et des chaînes de caractères, et le rouge de la logique booléenne et de la manipulation de pile. Le nombre de bonbons dans une rangée détermine l'opcode : six bonbons à la suite, par exemple, ça donne la valeur 5.

Du vrai code dans une image PNG

Dans un premier temps, les programmes sont écrits en ASCII, puis compilés en PNG. Dans l'image, chaque lettre est remplacée par un Sprite de bonbon. Et le truc assez fou, c'est que ça marche aussi dans l'autre sens : on peut prendre une photo de vrais bonbons posés sur un fond blanc, et le décodeur d'image reconstitue le code source à partir des couleurs détectées.

Côté limitations, les images ne sont pas très douées pour stocker du texte. Les chaînes de caractères et les variables initiales passent donc par un fichier JSON séparé qui accompagne le programme.

Malgré cette contrainte, MnM Lang permet d'écrire de vrais programmes : Hello World, FizzBuzz, factorielle. Un terrain de jeu interactif est disponible sur le site du projet, avec un éditeur en ligne, un rendu visuel des bonbons et même un affichage de l'arbre syntaxique.

On a donc là un projet rigolo et coloré, et ça change un peu ! MnM Lang ne va pas remplacer Python ou Swift. Ce genre de truc nous rappelle que la programmation, ce n'est pas qu'un outil de travail et de production, mais ça peut aussi être du fun et de l'amusement, même si le niveau d'ingénierie derrière (compilateur, décodeur d'images, terrain de jeu web) montre que le projet est loin d'être une simple blague. Bref, si vous avez un paquet de M&M's qui traîne et un dimanche après-midi devant vous, vous savez quoi faire.

Source : Hackaday

Conductor c'est une app macOS qui vous permet de lancer plusieurs agents Claude Code ou Codex en parallèle, chacun dans son propre worktree git histoire qu'ils ne se marchent pas dessus. Le tout est développé par Melty Labs, et c'est gratuit !! (enfin l'app en elle-même, parce que les tokens Claude ou OpenAI, c'est vous qui casquez hein ^^).

Vous ouvrez l'app, Cmd+N pour créer un workspace, et ensuite, chaque agent bosse dans son coin sur sa propre branche git comme ça y'a pas de conflits ni de merge foireux au milieu du boulot ! Et grâce à cet outil, vous voyez d'un coup d'oeil ce que chacun fabrique via le diff viewer intégré. Ensuite, vous reviewez, et quand c'est bon vous mergez. Comme un chef de chantier en fait, sauf que vos ouvriers ce sont des LLM.

Y'a plus qu'à vous acheter un casque !

Côté modèles, ça supporte Claude Code (avec votre clé API ou votre abonnement Pro/Max) et Codex d'OpenAI. Et la dernière release a d'ailleurs ajouté GPT-5.4 tout frais démoulé.

Le truc cool c'est surtout cette isolation par git worktrees. Chaque workspace étant un worktree séparé, les agents peuvent ainsi modifier des fichiers en parallèle sans se marcher dessus. Si vous avez déjà essayé de faire tourner deux sessions de vibe coding en même temps sur le même repo... vous savez que ça finit en général en carnage.

Attention quand même, chaque worktree bouffe de l'espace disque (genre un repo de 2 Go × 5 agents, ça peut piquer...) donc pensez-y si votre repo est un peu lourd.

L'app intègre aussi le MCP (Model Context Protocol) pour brancher des outils externes, des slash commands custom, et un système de checkpoints qui permet de revenir en arrière tour par tour si un agent part en vrille (genre il supprime un fichier critique... ça arrive). Perso, le diff viewer c'est pas mal du tout car ça évite de jongler entre le terminal et VS Code.

Après dommage que ce soit pour macOS seulement. Déso hein ^^

En tout cas, vu le rythme des mises à jour, c'est un projet qui avance vite. Des devs de chez Linear, Vercel, Notion ou Stripe l'utilisent déjà, et ça a l'air suffisamment solide pour de la prod (mais testez bien avant hein, faut jamais me faire confiance ^^).

Et si vos fichiers .env se transformaient en un joli tableau avec des astérisques partout afin d'assurer la confidentialité de vos clés API et autres crédentials ? Hé bien c'est exactement ce que propose Dotenv Mask Editor , une extension VS Code qui remplace carrément l'éditeur texte par une grille.

Du coup, vos clés API, tokens AWS, mots de passe PostgreSQL et autres STRIPE_SECRET_KEY s'affichent sous forme de ****** et vous pouvez bosser dessus même si quelqu'un mate par-dessus votre épaule.

En gros, dès que vous ouvrez un fichier .env (ou .env.local, .env.production... bref, tout ce qui matche le pattern), l'extension vous présente vos variables dans un tableau à deux colonnes. Les clés à gauche, les valeurs masquées à droite. Pour modifier une valeur, hop, vous cliquez dessus et elle se dévoile le temps de l'édition. Vous cliquez ailleurs, c'est re-masqué. Pas de sauvegarde manuelle à faire, ça se fait tout seul.

Le masquage se déclenche à partir de 6 caractères (en dessous, c'est probablement pas un secret... genre PORT=3000 ou DEBUG=true, on s'en fiche). Et le truc cool, c'est que tout tourne en local sur votre machine.

Si vous vous dites "mais attends, y'a pas déjà Camouflage pour ça ?"... oui et non. Camouflage masque vos secrets avec un overlay pendant les démos et le partage d'écran, mais vous continuez à éditer dans l'éditeur texte classique. Dotenv Mask Editor, lui, change complètement l'interface, c'est un éditeur de tableau dédié aux variables d'environnement. Deux approches différentes du coup, et rien ne vous empêche d'utiliser les deux.

L'extension est sous licence MIT, fonctionne sur toutes les plateformes (Windows, Linux, macOS, même VS Code Web) et vous pouvez ajouter des patterns de fichiers personnalisés dans vos settings.json.

D'ailleurs, si vous voulez l'installer, c'est du classique : Ctrl+Shift+X dans VS Code (Cmd+Shift+X sur Mac), vous tapez "dotenv mask" et voilà.

Avec ça, vos secrets restent secrets mais faut quand même pas oublier de mettre votre .env dans le .gitignore hein. ^^

Un agent IA autonome a percé les défenses de Lilli, la plateforme d'intelligence artificielle interne de McKinsey, c'est arrivé en à peine deux heures. Au programme : 46,5 millions de messages en clair, 728 000 fichiers clients et un accès en écriture à l'ensemble de la base de données. Le tout sans aucun identifiant.

Une injection SQL en 2026

C'est la startup de sécurité CodeWall qui a mené l'attaque, dans le cadre d'un test de pénétration. Son agent IA a commencé par scanner la documentation API de Lilli, qui était exposée publiquement. Sur les 200 points d'accès répertoriés, 22 ne demandaient aucune authentification.

L'un d'eux, qui servait à enregistrer les requêtes de recherche des utilisateurs, concaténait les noms de champs JSON directement dans les requêtes SQL sans aucun filtrage. Une injection SQL classique, la faille la plus documentée du web depuis vingt ans.

Les scanners de sécurité classiques comme OWASP ZAP étaient passés à côté, parce que les valeurs des paramètres, elles, étaient bien protégées. Mais pas les noms de champs.

46,5 millions de messages et des prompts modifiables

Il a fallu seulement une quinzaine d'itérations à l'aveugle sur les messages d'erreur de la base, pour cartographier toute sa structure interne. Résultat : 46,5 millions de conversations en clair couvrant la stratégie, les fusions-acquisitions et les engagements clients de McKinsey, mais aussi 728 000 fichiers (192 000 PDF, 93 000 tableurs, 93 000 présentations), 57 000 comptes utilisateurs, 384 000 assistants IA et 3,68 millions de fragments de documents RAG avec les chemins de stockage S3.

Le pire, c'est que les 95 prompts système qui contrôlent le comportement de Lilli étaient accessibles en écriture. Une simple requête SQL UPDATE suffisait pour empoisonner les réponses du chatbot à l'ensemble des 40 000 consultants qui l'utilisent, sans laisser de trace.

McKinsey a corrigé en un jour

CodeWall a divulgué la faille le 1er mars, et McKinsey a réagi vite : tous les points d'accès non authentifiés ont été fermés, l'environnement de développement mis hors ligne et la documentation API retirée, le tout en une journée.

Histoire de rassurer tout le monde, le célèbre cabinet de conseil promet qu'aucune donnée client n'a été consultée par des personnes non autorisées. Sauf que l'adoption de Lilli dans l'entreprise est massive, puisque plus de 70% des employés de McKinsey l'utilisent au quotidien, avec quand même plus de 500 000 requêtes par mois, et une faille en place depuis... 2023 !

Quoi qu'il en soit, une injection SQL sur une plateforme qui tourne depuis deux ans et demi chez un cabinet qui vend du conseil en transformation numérique à, à peu près, la Terre entière, c'est quand même plus que cocasse.

Source : The Register