2 chercheurs en sécurité, Yaron Dinkin et Eyal Kraft, viennent de publier les résultats d'une expérience qui devrait donner des sueurs froides à pas mal de monde... Ils ont découvert 521 vulnérabilités dans les pilotes du noyau Windows, dont une bonne centaine exploitables pour de l'escalade de privilèges. Et tout ça ne leur a coûté que 600 dollars !

Mais comment ont ils fait ? Hé bien ils se sont construit un pipeline en 5 étapes. D'abord, il a fallut récupérer 1654 pilotes uniques depuis le catalogue Microsoft Update ainsi que depuis les sites des constructeurs.

Ensuite, ils ont lancé un prétraitement automatique pour classer les cibles par surface d'attaque. Pour faire simple, dans Windows, quand un logiciel veut causer à un pilote du noyau, il lui envoie des commandes appelées IOCTL (Input/Output Control)... c'est un peu la sonnette d'entrée entre le monde utilisateur et le monde noyau. Leur pipeline analysait donc la complexité des fonctions qui répondent à ces commandes (les "handlers IOCTL"). Plus un handler est complexe, plus il y a de chances qu'une erreur s'y planque.

Et ils cherchaient en priorité les pilotes qui utilisent un mode de transfert de données appelé METHOD_NEITHER, c'est à dire le mode "démerde-toi". Car contrairement aux autres modes où Windows joue les intermédiaires et vérifie un minimum ce qui transite, ici le pilote reçoit directement les pointeurs bruts depuis l'espace utilisateur, sans aucun filet de sécurité du noyau. C'est ensuite au développeur du pilote de tout vérifier lui-même… et spoiler : beaucoup ne le font pas correctement ! Bref, c'est le genre de truc qui sent la vuln à plein nez.

Ensuite pour la recherche de vulnérabilité, c'est à dire vraiment le cœur de leur système, ils ont mis en place un conseil de 3 agents LLM avec chacun un rôle bien défini. Un agent décompile d'abord le binaire et renomme les fonctions, ensuite un autre identifie la surface d'attaque, et enfin le troisième audite chaque fonction pour trouver des corruptions mémoire. Le tout via OpenRouter , en mixant les modèles pour optimiser le ratio vulnérabilités par token. Coût moyen par cible : 3 dollars.

Et les résultats obtenus sont assez crazy loco car sur 202 binaires analysés, ils ont trouvé 521 vulns au total dont 45% de bugs de lecture/écriture mémoire arbitraire. Et 70% de ces vulnérabilités sont classées High ou Critical.

Mais évidemment y'a du faux positif (environ 60%), donc ils ont du faire une review manuelle de chacun de ces bugs. Mais même après le tri ça laisse plus de 100 bugs réellement exploitables pour de l'escalade de privilèges sur Windows 11 ! Et les vendeurs concernés, c'est pas des petits joueurs : AMD, Intel, NVIDIA, Dell, Lenovo, IBM, Fujitsu...

D'ailleurs, le cas du driver AMD Crash Defender (amdfendr.sys) est parlant. Le device est accessible en écriture par n'importe quel utilisateur, expose des IOCTLs sans validation de taille correcte et permet de la corruption heap. Avec un peu de pool grooming, on arrive donc à de l'exécution de code kernel. Et quand on sait que ce driver tourne sur les instances AWS EC2 Windows avec processeurs AMD, on comprend vite que la surface d'attaque s'étend largement jusqu'au cloud.

(En parlant de reverse engineering assisté par IA, perso en ce moment, je suis en train de faire joujou avec Claude Code et Ghidra pour un projet dont je vous parlerai peut-être plus tard si j'y arrive, et franchement ça marche troooop bien c'est fou ! Les chercheurs de l'étude notent d'ailleurs qu'aujourd'hui, ils utiliseraient probablement "juste Claude Code avec des skills custom" plutôt que leur pipeline maison. C'est dire si l'outil d'Anthropic est fou !

Après le plus flippant dans cette histoire, comme d'habitude c'est pas les bugs. Non, ce sont les réactions des constructeurs car sur 15 vulnérabilités confirmées et rapportées à 8 vendeurs, toutes avec un score CVSS (gravité de la faille, sur 10) supérieur à 7, un seul a patché ! Il s'agit de Fujitsu, avec la CVE-2025-65001 . Les autres ont rejeté les rapports ou baissé les priorités malgré des vidéos de proof-of-concept montrant par exemple un BSOD depuis un compte utilisateur standard !

Le problème c'est que certains de ces produits hardware sont en fin de vie. Donc y'a plus de support. Mais ils ne révoquent pas les certificats de signature du driver. Du coup, ces pilotes restent utilisables pour des attaques BYOVD (Bring Your Own Vulnerable Driver), où un attaquant chargerait volontairement un driver signé mais vérolé pour compromettre le noyau.

Si vous bossez en sécurité, les chercheurs ont publié une liste de 234 hashes en double-SHA256 pour vérifier si vos machines contiennent des drivers affectés. Pour checker vos drivers, c'est simple :

sha256sum driver.sys | awk '{print $1}' | tr -d '\n' | sha256sum

Casio vient de dévoiler la S100X Urushi, une version laquée à la main de sa calculatrice haut de gamme. Produite en 650 exemplaires par des artisans japonais, elle sera disponible le 9 avril pour 99 000 yens, soit environ 600 euros. Un petit budget donc. Mais pourquoi est-elle si chère ?

À cause de la laque pardi !

Allez je vous dis tout. Cette S100X Urushi est recouverte de laque urushi, une technique japonaise vieille de plusieurs siècles. La laque est appliquée à la main par les artisans de Yamakyu Shikko, un atelier de laquerie qui a presque 95 ans d'existence. Le procédé prend environ un mois par unité, entre les couches de laque, le séchage et l'inspection finale.

Le résultat est un reflet quasi miroir sur le boîtier noir, avec de légères variations d'une pièce à l'autre puisque chaque application est unique. Casio indique d'ailleurs que la laque vieillit bien avec le temps, ce qui est plutôt logique et bien heureux, vu la réputation de cette technique au Japon.

Une base déjà très haut de gamme

La S100X qui sert de base à cette édition n'est pas n'importe quelle calculatrice. Elle est fabriquée à l'usine Yamagata Casio, la seule unité de production de la marque au Japon, et utilise un corps en aluminium usiné avec des bords diamantés.

L'écran LCD incliné affiche 12 chiffres dans un bleu-noir qui rappelle l'encre de stylo-plume, et le clavier à structure pantographe offre des touches basses avec un retour tactile précis. Le tout pèse 265 grammes pour 183 x 110,5 x 17,8 mm. La version standard est vendue elle 38 500 yens au Japon, soit environ 235 euros, mais votre comptabilité vaut mieux que ça non ?

650 exemplaires dans le monde

La S100X Urushi sera mise en vente le 9 avril 2026 au prix de 99 000 yens, soit à peu près 600 euros. Elle est livrée dans un coffret avec des détails dorés et le logo Casio en feuille d'or. La production est limitée à 650 unités dans le monde, et on imagine bien que les collectionneurs japonais vont se ruer dessus.

Bon, 600 euros pour une calculatrice, ça fait quand même lever un sourcil. Mais on n'est clairement pas dans le même registre qu'une Casio de bureau à 10 balles. L'angle artisanal est sincère : un mois de travail par pièce, de la laque naturelle posée par des artisans avec presque un siècle de savoir-faire, ça a un prix.

Casio fait ici ce que les horlogers japonais comme Seiko pratiquent depuis longtemps, appliquer un savoir-faire ancestral à un objet technique. Reste que 650 exemplaires à ce tarif, ça va partir très vite, même si on aime bien l'idée.

Source : Hypebeast

Une startup spécialisée dans le dessalement de l'eau a perdu 200 000 dollars et quatre mois de recherche après avoir fait confiance à ChatGPT et Grok pour un choix de matériaux. Du coup, l'équipe a développé Rozum, un moteur de raisonnement qui fait tourner plusieurs modèles d'IA en parallèle et vérifie leurs réponses avant de les livrer.

Une erreur qui a fait très mal

L'histoire commence chez Waterline Development, une entreprise californienne qui travaille sur la désalinisation de l'eau. L'équipe devait choisir entre deux types d'électrodes en carbone pour son procédé. Elle a demandé à ChatGPT et à Grok de l'aider à trancher. Les deux modèles ont recommandé le tissu de carbone. Sauf que ce choix était le mauvais : mauvaise conductivité, problèmes de rétention d'eau, durabilité insuffisante. Derek Bednarski, le fondateur (passé par Tesla pendant huit ans), résume la situation : les modèles se sont trompés avec aplomb, et ça leur a coûté quatre mois et 200 000 dollars.

Et voilà que l'équipe a décidé de construire son propre outil. En janvier 2026, le projet est devenu une entreprise à part entière : Rozum Corporation, basée à San Mateo en Californie. Le nom vient du slave, il veut dire "raison".

Comment ça fonctionne

Rozum fait tourner plusieurs modèles d'IA en même temps sur une même question. Chaque réponse passe ensuite par un système de vérification qui utilise des outils déterministes : exécution de code, outils de chimie comme RDKit, mathématiques symboliques. Le système détecte les erreurs, les hallucinations, les calculs faux et les citations inventées.

Sur un test de 1 000 questions de niveau doctorat, cette vérification a signalé des affirmations non fondées dans 76,2 % des réponses des modèles. Et 21,3 % des sources citées par ces modèles n'existaient tout simplement pas. Sur le test de référence Humanity's Last Exam, Rozum affiche 65,7 % de bonnes réponses, soit 7 points de plus que le meilleur score connu publiquement.

Pas pour tout le monde

Le service est accessible sur liste d'attente. Il coûte plus cher qu'un modèle classique et prend beaucoup plus de temps, de quelques minutes à plusieurs heures par requête. Rozum ne vise pas le grand public. La cible, ce sont les ingénieurs, les chercheurs et les analystes qui prennent des décisions où chaque erreur coûte des millions.

Sur le papier, c'est malin. Quand on sait que trois quarts des réponses des meilleurs modèles contiennent des affirmations non vérifiées, on comprend que certains secteurs ne puissent pas se contenter d'un ChatGPT brut. Bon par contre, un outil qui met des heures à répondre et qui coûte plus cher, ça limite forcément l'usage au quotidien. On est clairement sur un produit de niche, pour ceux qui investissent des millions sur une analyse technique. Pour le commun des mortels qui demande une recette de gâteau à ChatGPT, on est tranquilles, a minima.

Source : Globenewswire

Google, iVerify et Lookout viennent de mettre au jour un kit d'exploitation baptisé DarkSword, capable de prendre le contrôle total d'un iPhone en enchaînant six failles iOS dont trois zero-day. Espions russes, vendeurs de surveillance turcs et hackers saoudiens s'en sont servis. Apple a corrigé le tir avec iOS 26.3, mais jusqu'à 270 millions d'appareils restent exposés.

Six failles, trois zero-day et un iPhone grand ouvert

Pour tout vous dire, DarkSword, avec son nom qui fait peur, n'est pas un petit malware de plus qui pointe le bout de son nez. C'est une chaîne d'exploitation complète écrite en JS, qui cible tous les iPhone qui tournent sous iOS, de la version 18.4 à la 18.7.

Le principe : vous tombez sur une page web piégée dans Safari, une iFrame charge du code malveillant, et c'est parti.

Ensuite, il contourne les protections du bac à sable via le processus GPU, escalade les privilèges jusqu'au noyau, et finit par injecter un module dans le daemon mediaplaybackd. Six vulnérabilités au total, dont trois étaient des zero-day au moment de leur exploitation : CVE-2026-20700, CVE-2025-43529 et CVE-2025-14174.

Et les données aspirées ne sont pas anecdotiques : e-mails, fichiers iCloud, contacts, SMS, historique Safari, mots de passe, photos, données de localisation, et même les messages Telegram et WhatsApp.

Les portefeuilles crypto aussi sont visés. Le tout en quelques secondes à peine, avec nettoyage des traces après exfiltration. Du travail soigné, d'après les chercheurs, même si le code n'est curieusement pas du tout obfusqué.

Espions russes, vendeurs de surveillance et sites ukrainiens piégés

Trois groupes distincts ont utilisé DarkSword depuis novembre 2025. Le premier, UNC6353, est un groupe d'espionnage présumé russe qui a ciblé des utilisateurs ukrainiens via des sites web compromis. Le deuxième, UNC6748, a utilisé un faux domaine Snapchat pour piéger des cibles en Arabie saoudite.

Et le troisième n'est autre que PARS Defense, un vendeur turc de solutions de surveillance commerciale. Chacun déploie sa propre variante de malware : GHOSTBLADE, GHOSTKNIFE ou GHOSTSABER selon le cas.

DarkSword est d'ailleurs le deuxième kit d'exploit iOS découvert en un mois, après Coruna. Les deux partagent une partie de leur infrastructure, mais sont développés par des équipes différentes.

Selon iVerify, jusqu'à 270 millions d'iPhone seraient potentiellement vulnérables, et Lookout estime que 15 % des appareils iOS en circulation tournent encore sur des versions antérieures à iOS 26.

Mettez à jour, et vite

Apple a corrigé l'ensemble des failles avec iOS 26.3, sorti plus tôt ce mois-ci. La version la plus récente est iOS 26.3.1. Si vous n'avez pas encore fait la mise à jour, c'est le moment.

Pour les profils les plus exposés — journalistes, militants, chercheurs en sécurité — Apple recommande aussi d'activer le mode Isolement, qui limite les surfaces d'attaque en désactivant certaines fonctionnalités de Safari et des services de messagerie.

Deux kits d'exploit iOS découvert en l'espace d'un mois, avec des acteurs aussi variés que des espions russes et des boîtes de surveillance turques, ça fait quand même beaucoup. On savait que l'iPhone n'était pas invulnérable, mais là on parle de chaînes complètes qui fonctionnent sur des versions récentes d'iOS, pas sur de vieux iPhone 6 oubliés dans un tiroir.

Bon, au moins, Apple a réagi et les correctifs sont là. Mais entre le moment où ces failles ont été exploitées, fin 2025, et leur correction complète, il s'est passé plusieurs mois. Franchement, si vous repoussez les mises à jour iOS depuis des semaines, c'est peut-être le bon moment d'appuyer sur le bouton.

"Something need doing ?" Si cette réplique vous file un frisson nostalgique, alors vous allez adorer Peon Ping !!

Il s'agit d'un outil CLI open source qui joue des voix de personnages de jeux vidéo quand vos agents IA ont besoin de votre attention. Vous lancez Claude Code, vous passez sur autre chose, et le moment venu, un peon de Warcraft III vous gueule "Work complete!" quand c'est terminé.

Concrètement, ce truc s'intercale via des hooks entre vous et votre IDE, comme ça, chaque événement (démarrage de session, fin de tâche, erreur, demande de permission) déclenche une réplique différente. Du coup le peon dit "Something need doing?" quand l'agent attend un input, et "I can't do that!" quand y'a une erreur.

Ça marche avec Claude Code, Cursor, Codex, et une dizaine d'autres outils (Kiro, Windsurf, Copilot, Gemini CLI, OpenCode, Antigravity, Rovo Dev CLI...), tout ça livré avec plus de 160 packs sonores dans 14 langues, de GLaDOS à StarCraft en passant par Zelda, Red Alert 2 ou Team Fortress 2.

Installation

Deux options principales. La plus propre, via Homebrew :

brew install PeonPing/tap/peon-ping

Sinon, le bon vieux curl :

curl -fsSL https://raw.githubusercontent.com/PeonPing/peon-ping/main/install.sh | bash

Et pour Windows, y'a un script PowerShell :

Invoke-WebRequest -Uri "https://raw.githubusercontent.com/PeonPing/peon-ping/main/install.ps1" -UseBasicParsing | Invoke-Expression

Par défaut, l'installeur télécharge 5 packs (Warcraft, StarCraft, Portal). Si vous voulez tout d'un coup :

curl -fsSL https://raw.githubusercontent.com/PeonPing/peon-ping/main/install.sh | bash -s -- --all

Attention par contre, sous WSL2, il faudra installer ffmpeg au préalable pour lire les formats audio autres que WAV.

Configuration

Une fois installé, lancez le setup :

peon-ping-setup

Ça détectera votre environnement, configurera les hooks et téléchargera les packs sonores en local. Ensuite, dès votre prochaine session Claude Code, vous entendrez un joli "Ready to work?" au démarrage.

Maintenant, si Warcraft c'est pas votre truc et que vous voulez changer de voix, genre passer à GLaDOS (une IA qui vous insulte pendant que vous codez avec une IA... ahahah), ça se fait en une commande :

peon packs use glados

Vous pouvez binder un pack à un dossier spécifique avec peon packs bind glados, comme ça, chaque projet a sa propre ambiance sonore, et si vous êtes du genre à aimer les trucs en français, il y a aussi des packs dans la langue du roi Arthur.

Moi j'en ai rien à foutre, j'installe les packs Age of Empires + Red Alert ou rien !!

Les commandes utiles

Tout passe par la commande peon :

peon status # Vérifier si c'est actif
peon volume 0.7 # Régler le volume
peon pause # Couper le son (réunion...)
peon resume # Remettre le son
peon packs list # Voir les packs installés
peon packs next # Passer au pack suivant
peon preview # Écouter un aperçu

Petit détail bien pensé, le système de "no repeats" fait qu'il ne jouera jamais le même son deux fois de suite dans la même catégorie. Et vous pouvez activer/désactiver chaque catégorie individuellement (greeting, acknowledge, complete, error, annoyed) si y'a des sons qui vous cassent les pieds.

En bonus, le terminal affiche le nom du projet et son statut dans le titre de l'onglet, avec un petit point indicateur quand c'est terminé. De grosses bannières desktop s'afficheront aussi quand un événement se produit, même si vous êtes sur une autre app.

Et si vous bossez en SSH ou dans un devcontainer, y'a un mode relay qui renvoie l'audio sur votre machine locale via peon relay --daemon. Pas mal du tout, hein ?

Le mode Peon Trainer

Maintenant, c'est là que ça part complètement en cacahuète car Peon Ping intègre un mode fitness qui vous rappelle de faire des pompes et des squats pendant que vous codez. L'objectif : 300 reps par jour, rien que ça !!

Dès que vous ouvrez une session, le Peon vous accueille avec un "Pushups first, code second! Zug zug!". Ensuite, toutes les 20 minutes environ, il vous relance. Et si vous ignorez, ça escalade jusqu'à "You sit too long! Peon say do pushups NOW!".

Pour logger vos reps en pleine session de code, pas besoin de quitter le terminal :

peon trainer on # Activer le mode trainer
/peon-ping-log 25 pushups # Logger 25 pompes
/peon-ping-log 30 squats # Logger 30 squats

Quand vous atteignez les 300, le Peon célèbre avec un "THREE HUNDRED! Human strong like orc now!" et vous laisse tranquille pour le reste de la journée. Pas mal comme incentive pour bouger un peu entre deux refactorisations, non ?

Pour ceux qui utilisent Claude Code au quotidien , y'a aussi un serveur MCP intégré qui permet à l'agent de choisir lui-même quel son jouer. L'agent qui communique en répliques de Warcraft... on vit une époque formidable !

D'ailleurs, les plus motivés peuvent carrément créer leurs propres packs via openpeon.com . Le format suit la spec ouverte CESP (Coding Event Sound Pack), comme ça n'importe quel IDE peut l'adopter.

Le Peon Pet

Et le truc le plus mignon du projet c'est ce petit orc animé qui squatte un coin de votre écran. Ce Peon Pet réagit en temps réel aux événements de Claude Code. Il dort quand rien ne se passe, se réveille au démarrage d'une session, tape frénétiquement du clavier quand l'agent bosse, et fait sa danse de la victoire quand la tâche est terminée. C'est du Electron + Three.js, le tout en open source bien sûr.

En résumé, c'est votre Tamagotchi de développeur, sauf qu'au lieu de le nourrir, c'est lui qui vous engueule pour bosser.

Voilà, si checker votre terminal toutes les 30 secondes pour voir si Claude Code a avancé dans sa life, ça vous saoule, c'est le genre de petit outil con mais génial qui change la vie.

Zug zug !

llamafile est un projet complètement barré qui va vous permettre de transformer des modèles de langage en exécutables. Derrière se cache en fait la fusion de deux projets bien badass : llama.cpp , un framework open source de chatbot IA, et Cosmopolitan Libc , une libc portable pour compiler des programmes C multiplateformes. En combinant astucieusement ces deux technos, les petits gars de Mozilla ont réussi à pondre un outil qui transforme les poids de modèles de langage naturel en binaires exécutables.

Imaginez un peu, vous avez un modèle de langage qui pèse dans les 4 gigas, dans un format .gguf (un format couramment utilisé pour les poids de LLM). Et bien avec llamafile, vous pouvez le transformer en un exécutable standalone qui fonctionnera directement sur le système sur lequel il est sans avoir besoin d'installer quoi que ce soit. Ça va permettre de démocratiser l'utilisation et la diffusion des LLM.

Et niveau portabilité, c'est le feu puisque ça tourne sur six OS, de Windows à FreeBSD en passant par macOS. Les devs ont bien bossé pour que ça passe partout, en résolvant des trucs bien crados comme le support des GPU et de dlopen() dans Cosmopolitan et croyez-moi (enfin, croyez-les) ça n'a pas été une mince affaire !

Niveau perf aussi c'est du brutal ! Sur Linux llamafile utilise pledge() et SECCOMP pour sandboxer le bousin et empêcher les accès fichiers non désirés et avec les derniers patchs de Justine Tunney , la perf CPU pour l'inférence en local a pris un boost de malade du genre 10 fois plus rapide qu'avant. Même sur un Raspberry Pi on peut faire tourner des petits modèles à une vitesse honnête.

Mise à jour : llamafile 0.10

Bonne nouvelle, le projet est loin d'être mort puisque la version 0.10 vient de sortir (mars 2026) et elle apporte pas mal de changements. Déjà, le projet a migré de Mozilla Ocho vers Mozilla.ai , ce qui montre que Mozilla prend le truc au sérieux côté IA.

Le gros morceau de cette release, c'est un tout nouveau build system. Fini le bazar monolithique, maintenant llama.cpp, whisper.cpp et Stable Diffusion sont intégrés comme des sous-modules Git. L'avantage c'est que ça permet de suivre beaucoup plus facilement les dernières versions de llama.cpp et donc de supporter les modèles les plus récents dès leur sortie.

Côté utilisation, on a maintenant trois modes bien distincts :

• Mode TUI (Terminal User Interface) : vous chattez directement dans votre terminal avec le modèle, avec même un mode "think" pour le raisonnement étendu
• Mode CLI : pour poser une question rapide en one-shot, genre llamafile "c'est quoi un llamafile ?" et hop, la réponse arrive direct
• Mode serveur : avec le flag --server, ça lance le serveur llama.cpp classique pour exposer une API compatible OpenAI

Autre truc cool, le support multimodal est là avec le nouvel argument --image. Vous pouvez balancer une image au modèle et il l'analyse. Ça marche avec des modèles comme Qwen3-VL, LLaVA 1.6 ou Ministral 3.

Côté GPU, Metal fonctionne nativement sur macOS (ARM64) sans bidouille, et le support CUDA est restauré sur Linux. Par contre, le GPU sur Windows n'est pas encore de la partie, et le sandboxing via pledge()/SECCOMP a été temporairement retiré dans cette version.

Bref, si vous aviez testé llamafile il y a un moment et que vous aviez trouvé ça un peu limité, c'est peut-être le moment de retélécharger la bête et de voir ce que ça donne avec les modèles de 2026. C'est toujours aussi simple : un fichier, on le rend exécutable, on le lance, et c'est parti.

Alors on dit merci qui ?

Merci Mozilla ! 🙏🦊

Des chercheurs de l'université d'État de l'Oregon ont cultivé des pommes de terre dans un sol qui reproduit la composition du régolite lunaire. Les tubercules ont poussé, mais avec pas mal d'aide terrestre et quelques surprises un peu moins réjouissantes côté métaux lourds.

Du compost de vers pour compenser la poussière de Lune

Le régolite lunaire, c'est cette couche de poussière et de roche broyée qui recouvre la surface de la Lune. Problème : il ne contient aucune matière organique. Pour simuler ce sol en laboratoire, l'équipe de David Handy, biologiste spatial, a utilisé un mélange de minéraux broyés et de cendres volcaniques qui reproduit la composition chimique lunaire. Et pour donner une chance aux patates, les chercheurs ont ajouté du vermicompost, un engrais organique produit par des vers de terre.

Avec un ratio de 70 % de régolite simulé pour 30 % de compost, les résultats étaient quasi identiques à ceux obtenus en terre normale. Avec seulement 5 % de compost, les pommes de terre poussaient quand même, mais elles étaient plus petites et visiblement plus stressées.

Des patates lunaires, mais pas vraiment mangeables

Après environ deux mois de croissance, les tubercules ont été récoltés, lyophilisés et analysés. L'ADN des plantes montrait une activation claire de gènes liés au stress. Et surtout, les pommes de terre contenaient des concentrations plus élevées en cuivre et en zinc que celles cultivées sur Terre, à un niveau qui pourrait les rendre dangereuses pour la consommation humaine. Par contre, leur valeur nutritionnelle globale restait comparable à celle des pommes de terre classiques, ce qui a surpris les chercheurs eux-mêmes.

L'étude, publiée en prépublication sur bioRxiv, reste à ce stade un travail de laboratoire. Il ne s'agit pas de vrai sol lunaire mais d'une simulation, et les conditions de gravité et de radiation de la Lune n'ont pas été reproduites. On est encore très loin d'un potager lunaire fonctionnel.

C'est le genre d'étude qui fait marrer et qui fait rêver en même temps. On pense forcément à Seul sur Mars et à Matt Damon qui faisait pousser ses patates, sauf qu'ici c'est la Lune et c'est en labo dans l'Oregon. Le fait que les pommes de terre poussent quand même dans un sol aussi hostile est encourageant pour les futures missions longue durée, même si le problème des métaux lourds va demander pas mal de travail. On en est encore aux toutes premières étapes, mais si un jour on mange des frites sur la Lune, on saura d'où c'est parti.

Source : Slashdot

Framasoft a publié aujourd'hui 2 articles sur le numérique public. Le premier, c'est un dossier ultra costaud (impressionnant !) qui tenez-vous bien, défend la Suite numérique de l'État (Tchap, visio LiveKit, France Transfert, Grist, assistant Mistral...) face à ses détracteurs.

Et le second, c'est une tribune parue dans l'Humanité, qui explique pourquoi le fantasme de l'"Airbus du numérique" est une impasse.

Sur la Suite numérique, Framasoft remet en fait les pendules à l'heure. OUI, le développement a coûté 9,3 millions d'euros, mais comparé au système de paie Louvois qui a coûté 500 millions ou à l' ONP qui a coûté un peu moins de 350 millions, on est clairement sur une autre échelle ! Ainsi, dans son article, Framasoft calcule que le coût annuel revient à 75€ par agent public. Franchement c'est pas "cher" quand on sait que c'est plutôt 300 à 590€ pour une licence Microsoft 365 ou un Google Workspace. Donc en fait, cette suite numérique, c'est pas forcément délirant comme investissement.

Ah et sur le fameux "Airbus du numérique", leur tribune est, elle aussi, limpide puisqu'elle nous explique que créer un champion européen du cloud, ça reviendrait à reproduire les mêmes erreurs que les GAFAM mais avec de l'argent public.

Le problème de cette approche en fait, c'est qu'on reste prisonnier du même modèle de centralisation des données, donc pour Framasoft, la seule vraie alternative, ce sont les communs numériques à savoir tout ce qui est logiciels libres, serveurs décentralisés, gouvernance collective...etc.

Après ça ne veut pas dire que c'est facile à mettre en place, mais au moins c'est pas du greenwashing à la con ou appelez ça comme vous voulez.

Voilà, si vous suivez ce blog depuis un moment, vous savez que c'est un sujet qui me tient à cœur. J'en parle ici depuis des années, que ce soit quand Framasoft a lancé Dégooglisons Internet ou plus récemment avec le guide pour larguer Google . Et je suis assez attristé de voir que finalement, ce débat n'a pas bougé d'un pouce dans le cerveau de certaines personnes alors que de mon point de vue et de celui de Framasoft, c'est plutôt une bonne chose que l’État s'y mette enfin !

Bref, allez lire leurs deux articles, vous allez apprendre plein de trucs : Le dossier complet et la tribune !

Vous vous souvenez quand je vous parlais de Geohot et de sa voiture autonome en 2015 ? Le mec bidouillait une Acura avec des caméras à 13 balles et rêvait de vendre son kit à 1000 balles. Hé bien 10 ans plus tard, c'est fait ! Et si je vous reparle de ça aujourd'hui, c'est parce que sa société comma.ai sort la v0.11 d' openpilot ainsi qu'un nouveau boîtier qui tient dans la main, le Comma 4 !

Vous vous souvenez de Stitch, l'outil de Google Labs qui transformait vos gribouillis d'enfant de maternelle en interfaces pour votre prochain site de dropshipping à plusieurs millions ?

Hé bien la bestiole a sacrément grandi depuis septembre dernier avec un canvas infini (comme l'univers et la connerie humaine, hein), un agent de design dopé, et même un mode voix, prototypage instantané... Cette mise à jour transforme enfin ce prototype d'outil en une vraie plateforme de design, propulsée par les derniers modèles Gemini. Et c'est toujours gratuit ! Avec Google, je ne suis pas surpris... s'ils veulent bouffer Figma, Canva et tous les designers du monde, y'a pas le choix.

Tout d'abord, l'interface a été entièrement repensée autour d'un canvas spatial infini de type node-based. Vous pouvez y balancer des screenshots PNG, du code React, un brief Notion de 10 pages, et cela permet à l'IA de "raisonner" sur l'ensemble du contexte. Y'a aussi un "Agent Manager" qui permet de lancer plusieurs directions de design en parallèle, chacune avec son propre agent. Genre vous explorez 3 variantes de landing page pendant que le café coule !

Le truc le plus dingue, c'est le mode voix dont je vous parlais qui est encore en preview mais que je trouve très prometteur. En gros, vous parlez à Stitch , il "voit" ce sur quoi vous bossez et ce que vous cliquez, puis il modifie le design en temps réel. "Change-moi ce menu", "montre-moi 3 palettes de couleurs"... et voilà c'est torché. Il peut même vous interviewer pour comprendre vos besoins et générer un brief produit directement sur le canvas. Franchement, j'ai testé, et même si la dame IA parle en anglais, on peut lui causer en français et elle capte et fait les modifs, donc c'est top !

Piloter une maquette à la voix pendant qu'on griffonne des notes sur un carnet, c'est le genre de workflow qu'on ne voyait nulle part il y a encore quelques mois. Et ce fichu "vibe design" qu'on nous vend depuis l'arrivée des outils comme v0 ou Bolt, Google l'attaque par un angle différent. Ce n'est plus juste du code généré, mais un vrai environnement de création visuelle avec des agents qui bossent pour vous dans la joie et la bonne humeur.

Je lui ai demandé une petite refonte de mon extension Firefox Korben et y'a de bonnes idées je trouve...

Côté prototypage, un clic sur "Play" et vos maquettes statiques deviennent un prototype interactif. La plateforme connecte donc automatiquement vos écrans dans un ordre logique, et si vous cliquez quelque part où il manque un écran, il le génère à la volée. D'ailleurs, ça va plus loin que le prototype cliquable... l'outil peut maintenant cracher une app React fonctionnelle, exportable vers AI Studio (l'atelier IA de Google) !

Et tiens, le petit détail qui va parler aux devs : le concept DESIGN.md. C'est comme un README.md mais pour le design. Celà permet pour chaque projet de démarrer automatiquement avec un design system cohérent (adieu les boutons qui changent d'un écran à l'autre), et ces règles sont partagées via un fichier lisible par d'autres outils grâce à un SDK et un serveur MCP . Du coup voilà, fini les allers-retours Figma-Slack sur la bonne nuance de bleu.

Pour ceux qui avaient testé la première version et trouvé ça un peu brut, bah c'est un autre animal quoi, donc allez jeter un oeil. C'est sur stitch.withgoogle.com , gratuit, accessible dans plus de 200 pays avec un compte Google (mais pas forcément toutes les fonctions partout).

Pour ma part je pense que je vais l'utiliser parce que de toute façon je fais tout moi-même maintenant, depuis plusieurs années, et que je suis toujours à la recherche de nouvelles idées pour rendre les choses un petit peu plus jolies. Et ce genre d'outil me permet de traduire ma diarrhée mentale sans jargon technique en quelque chose de concret et d'utilisable dans le monde réel. J'ai pas besoin de plus.

Voilà entre le mode voix et l'export React, j'avoue que Figma a du souci à se faire...

Il y a un an, je vous parlais de shadPS4 , un émulateur PS4 open source encore balbutiant qui faisait tourner quelques jeux indés. Eh bien les amis, le projet a sacrément mûri depuis et la liste des jeux compatibles a de quoi faire saliver.

Là où il y a un an on parlait de Peggle 2 et Super Meat Boy (sympathiques mais bon...), shadPS4 fait maintenant tourner des trucs comme Bloodborne, Dark Souls Remastered, Red Dead Redemption, Yakuza 0, Hatsune Miku Project DIVA Future Tone ou encore DRIVECLUB. Oui, Bloodborne sur PC. Le Saint Graal que FromSoftware refuse de nous porter officiellement, des passionnés l'ont rendu possible via l'émulation.

Bien sûr, on parle toujours d'un émulateur en développement actif, donc attendez-vous à des bugs, des crashs et des performances variables selon les titres. Mais quand même, le bond en avant est impressionnant.

Côté technique, le projet tourne en C++20 avec un rendu Vulkan et reste compatible Windows, Linux et macOS. Par contre, attention pour les utilisateurs Mac : il faut désormais macOS 15.4 minimum, et les Mac Intel souffrent de gros bugs GPU. Autant dire que c'est surtout pour les Apple Silicon.

Depuis la dernière fois, pas mal de nouveautés ont débarqué :

• Support natif des manettes Xbox et DualShock avec émulation des motion controls
• Mapping clavier/souris entièrement personnalisable (jusqu'à 3 touches par action, config sauvegardée par jeu)
• Audio 3D via le backend SDL3
• Émulation des signal handlers et support kqueue/kevent (ça parle aux devs Unix)
• Stack réseau améliorée (sockets, HTTP, SSL) pour les jeux qui en ont besoin
• Shader recompiler enrichi avec support des tessellation shaders et opérations atomiques
• Montage des fonts système PS4 et chargement des modules firmware

Ce qui fait la force de shadPS4, c'est toujours sa communauté. Le projet bénéficie de l'expertise d'autres émulateurs reconnus : l'équipe de Panda3DS pour l'exécution native du code x64, les créateurs de fpPS4 pour le reverse-engineering du système PS4, et le compilateur de shaders s'inspire des travaux de yuzu . Le projet felix86 contribue aussi à l'émulation x86-64 vers RISC-V.

La version actuelle est la v0.15.0 (sortie le 17 mars 2026) et les mises à jour tombent à un rythme soutenu avec des commits quasi quotidiens. Si vous voulez tester ou suivre la compatibilité des jeux, tout se passe sur le dépôt GitHub du projet .

Article initialement publié le 8 mars 2025, mis à jour le 19 mars 2026.

Kenneth Reitz, si vous ne le connaissez pas, c'est le gars qui se trouve derrière Requests , la librairie HTTP Python la plus téléchargée au monde. Ce projet a généré des milliards de downloads sur PyPI et aujourd'hui, Kenneth a publié un post de blog qui devrait, je pense, être lu par tous ceux qui donnent de leur temps sur Internet.

Le titre qu'il a choisi résume tout, je trouve : "Open Source Gave Me Everything Until I Had Nothing Left to Give." En gros, le libre lui a tout apporté… jusqu'à ce qu'il n'ait plus rien à donner.

Le parcours de Kenneth, c'est celui d'un mec qui a planté ses études (1,14 de moyenne, excusez du peu !), qui ensuite a bossé chez McDo, et qui finalement a trouvé dans le code libre la validation que personne ne lui donnait. Pour lui, chaque étoile GitHub, c'était quelqu'un qui finalement lui disait : "Tu existes et ce que tu fais a de la valeur."

Alors quand Requests a explosé, Kenneth a "fusionné" avec son projet. Le mainteneur et sa lib Python sont en quelque sorte devenus une seule entité.

Et ça c'est pas bon car quand votre identité repose uniquement sur votre projet, chaque critique devient personnelle, chaque bug report vous ronge, et surtout, y'a plus aucune soupape de décompression. C'est ce qu'il appelle dans son post le "design flaw". Et le plus dingue, c'est que cette immense pression qu'il ressentait lui était en grande majorité infligée par lui-même. En fait, personne ne le forçait. Il s'est juste consumé tout seul, pendant que ses collègues et ses amis saluaient sa productivité "impressionnante" !

Kenneth Reitz

L'histoire pourrait s'arrêter là, mais derrière, en coulisse, et sans qu'il le sache, un trouble bipolaire non diagnostiqué le rongeait. Il a subi à différentes reprises des épisodes maniaques, dont un lors d'une conférence en Suède, et un autre qui l'a mis à l'hôpital durant 12 jours. L'intensité de cet homme lui permettait de coder des choses brillantes mais provoquait chez lui des crises psychiatriques de plus en plus nombreuses. Un moteur en surchauffe qui faisait autant de dégâts que de jolies contributions au monde de l'open source.

Vous vous en doutez, j'ai vu un parallèle assez flagrant avec mon activité et ce que je ressens depuis un bon moment. Je n'ai pas ce type de troubles, certes, mais la pression auto-infligée est bien là, et j'avoue que c'est quasi impossible de ne pas succomber à cette fusion avec son "projet"… donc oui, je peux dire que je vois trèèès bien de quoi parle Kenneth.

Et même si, contrairement à lui, j'ai appris à dire non, ce n'est pas facile de ne pas se laisser bouffer par ceux qui pensent que tout leur est dû (parce que oui, y'a malheureusement cette mentalité du"tu donnes, c'est sympa, du coup on va tout te prendre !").

Tout ceci reste une drogue, une vaine recherche de cette foutue validation qu'on n'a jamais réussi à vraiment obtenir plus jeune d'un père ou d'une mère. On doit être des millions comme ça et le gros problème, c'est que toute cette intensité, c'est hyper destructeur et le moindre petit grain de sable peut tout faire dérailler. Et pourtant, même à genoux, on continue quand même… Allez savoir pourquoi.

Et ce que dit aussi Kenneth, et que j'élargirais au-delà de la sphère open source, à tous ceux qui partagent des choses en ligne, que ce soient les blogueurs, les vidéastes, les podcasteurs ou les mainteneurs de code, c'est simple : Séparez votre identité de votre projet. Moi j'y arrive pas encore, ça me semble impossible mais ça a vraiment l'air d'être la seule voie possible. Et surtout, votre sécurité financière ne devrait jamais dépendre de la bienveillance de votre communauté. Parce que la gentillesse et la reconnaissance des gens, c'est cool mais ça ne paie pas le loyer.

À la fin de son texte, Kenneth écrit un truc qui franchement me déchire le cœur.

Il dit : "Je ne sais pas si je le referai."

Ce gars doit tout à l'open source et l'open source lui doit aussi beaucoup, et en arriver à lâcher ça, ça montre quand même la souffrance qu'il éprouve. Force à lui, franchement !

Bref, allez lire ce texte parce que je pense que c'est important ! Et c'est pas juste pour les devs, ou pour tous ceux qui donnent leur vie à Internet en quelque sorte.

Non, c'est aussi pour tous ceux qui consomment tout cela sans y penser.

Linux sur un Mac Apple Silicon en 2026 serait-ce enfin une option viable ?

En effet, Fedora Asahi Remix 43 vient de sortir et la réponse est... ça dépend de votre Mac. Si vous êtes sur M1 ou M2, ça commence à être sérieux. M3 ? Ça boote depuis janvier mais c'est pas encore utilisable au quotidien. M4, on en est loin. Et M5, ils ne connaissent pas encore...

Du coup, pour ceux qui se demandent quel Linux installer sur un Mac à base de puce Apple, c'est clairement le choix le plus abouti du moment. La grosse news de cette version, c'est l'arrivée du support Mac Pro (le gros desktop à plusieurs milliers d'euros, oui oui). Y'a aussi les micros qui fonctionnent enfin sur les MacBook Pro et Max en M2, et le 120Hz qui débarque sur les MacBook Pro 14 et 16 pouces. Côté bureau, c'est KDE Plasma 6.6 par défaut avec GNOME 49 en alternative, et sous le capot, RPM 6.0 et le backend DNF5 pour la gestion des paquets.

Pour l'installer, c'est toujours la même commande magique :

curl https://fedora-asahi-remix.org/install | sh

Pour faire tourner du JavaScript côté serveur, y'a pas que Node.js dans la vie. Y'a maintenant workerd (prononcez "worker-dee"), qui est le runtime open source de Cloudflare, celui-là même qui fait tourner les Workers en prod (le service tourne depuis 2017, le runtime est open source depuis 2022), et que vous pouvez l'installer sur votre Debian, votre Mac ou même votre PC Windows avec un simple npx.

Mais alors pourquoi s'embêter avec un énième runtime JS ?

Hé bien parce que celui-ci n'est pas un runtime généraliste. C'est un vrai serveur HTTP pur et dur, basé sur le moteur V8 de Chrome, conçu pour recevoir des requêtes et y répondre. Pas de filesystem, pas d'accès disque sauvage... ici, votre code vit dans un isolate V8, bien cloisonné, et communique avec l'extérieur uniquement via des bindings explicites qu'on appelle des "capabilities". En gros, votre Worker ne peut accéder qu'aux ressources qu'on lui a branchées dans son fichier de config Cap'n Proto .

Et cela a plein d'avantages ! Par exemple, les attaques SSRF classiques c'est mort ! Et n'oubliez pas que c'est du JavaScript pur, donc y'a pas d'affreux require('fs') ni de child_process qui traîne.

Et le concept qui tue, ce sont les nanoservices. En fait, faut imaginer des microservices, mais qui tournent tous dans le même processus Linux, sur le même thread. Comme ça quand un nanoservice en appelle un autre, y'a zéro latence TCP, c'est un juste appel de fonction local !

Et vous pouvez en faire tourner des centaines sur un seul serveur parce que les API sont implémentées en C++ natif et tous les isolates V8 partagent le même code compilé en mémoire. C'est carrément pas intuitif, mais visiblement, ça tient la route.

Côté rétrocompatibilité, c'est cool puisque chaque Worker déclare une "date de compatibilité" dans son fichier .capnp. Comme ça, vous fixez compatibilityDate = "2024-06-15" et le runtime vous garantit que les API fetch() et WebCrypto se comporteront toujours comme à cette date-là, même si le binaire a été recompilé 200 fois depuis. Des releases sortant tous les jours, cette garantie n'est pas anecdotique !

Cap'n Proto, un format de sérialisation binaire créé par Kenton Varda, le même gars qui est derrière Protocol Buffers chez Google (excusez du peu). C'est un poil déroutant au début si vous êtes habitués au YAML ou au JSON, mais c'est très efficace et hyper rapide. Et pour ceux qui bossent déjà avec l'écosystème Cloudflare parce que vous avez l'Amérique qui coule dans les veines, sachez le runtime s'intègre nickel avec l'outil CLI Wrangler pour le dev local.

Par contre, attention, ce n'est PAS un sandbox sécurisé. Cloudflare le dit cash : si vous faites tourner du code potentiellement malveillant, faudra l'isoler dans une VM KVM ou un conteneur Docker. Hé oui les amis, en prod chez Cloudflare, y'a des couches de sécurité supplémentaires (isolation kernel Linux, patching V8 en urgence, segmentation par profil de risque) que le runtime seul ne fournit pas.

Le problème, c'est surtout Spectre et les bugs du moteur V8... car ça reste du code C++ compilé avec clang derrière. Après, pour du self-hosting de vos propres Workers sur votre VPS Ubuntu, c'est largement suffisant.

Maintenant pour tester concrétement c'est mui rapido.

npx workerd serve config.capnp

Si vous avez un site web et que vos illustrations ressemblent comme sur mon site, à un joyeux bordel de screenshots pixelisés, de photos libres de droits et d'images IA plus ou moins réussies, y'a peut-être un moyen de donner une certaine cohérence visuelle à tout ça. L'outil s'appelle Dither , ça a été créé par Shpigford , et c'est un générateur de tramage vectoriel qui tourne directement dans Chrome, Firefox ou Safari, sans inscription ni installation.

L'interface de Dither avec ses réglages d'algorithme et de palette

Le principe est simple... Vous balancez un fichier JPEG ou PNG et hop, le moteur JavaScript le transforme en utilisant des algorithmes de dithering comme Bayer (en 2x2, 4x4 ou 8x8), du halftone, des lignes, des croix, des points ou encore des écailles.

Neuf algorithmes au total et ce qui est vraiment cool, c'est qu'il y a des palettes prédéfinies dont une palette Game Boy qui donne ce rendu vert olive mythique qu'on avait sur l'écran LCD 160x144 de la jolie brique de Nintendo. Y'a aussi du CGA et du Sepia pour ceux qui veulent varier les ambiances et pour le coup, ça envoie bien du rétro !

Pour les djeuns, sachez que le dithering c'est en fait cette vieille technique qui remonte aux années 70-80 permettant de simuler des dégradés quand on n'a que quelques teintes disponibles. En gros, au lieu d'un dégradé lisse en 16 millions de couleurs RGB, on place des petits points de 2 à 8 couleurs qui, vus de loin, donnent l'illusion d'un mélange. C'est exactement ce qu'on voyait sur les écrans CGA 320x200 des vieux PC IBM XT ou sur la Game Boy sortie en 1989.

L'intérêt d'un outil comme Dither, c'est qu'en plus de jouer avec les 9 algorithmes, vous pouvez régler pas mal de paramètres via l'interface. Par exemple, la taille des cellules en pixels (8px par défaut, mais j'ai trouvé que 12px donne un bon compromis lisibilité/esthétique sur des photos 1024x768), l'angle de rotation du motif à 45 degrés, l'échelle à 1.0, et même choisir entre cercle, carré ou diamant pour la forme du rendu.

Vous pouvez aussi partir d'un gradient linéaire, radial ou conique au lieu d'une image existante... pas mal pour générer des fonds d'écran rétro sur macOS ou Linux !

Et surtout, l'export se fait en SVG ou en PNG. Le SVG c'est super pratique si vous voulez intégrer le résultat dans un site web via une balise <img> sans perte de qualité, vu que c'est du vectoriel.

Par contre, attention, le mode Sepia a tendance à écraser les contrastes sur les photos sombres en dessous de 128 de luminosité moyenne... du coup préférez le mode B/W ou CGA sur ce type d'images.

Sachez aussi que les photos avec beaucoup de détails fins (genre une photo de foule ou un paysage urbain en 4000x3000) perdent carrément en lisibilité avec les petites cellules de 4px ou 8px. Montez la taille à 16px ou 32px dans ce cas, vous verrez, ça change tout.

Bon après, est-ce que je vais mettre toutes les images de mon site en mode pixel art tramé ? Non, clairement pas, car ça deviendrait monotone à force. Mais pour un projet perso, un portfolio, un zine en ligne ou même une série d'articles thématiques, ça peut donner un look uniforme sympa.

Bref, allez jeter un oeil, c'est gratuit et ça tourne dans le navigateur.

Merci à Lorenper pour la découverte !

ClamAV, tout le monde connaît. C'est le moteur antivirus open source qui tourne sur à peu près tous les serveurs mail de la planète. Sauf que côté bureau Linux, à part ClamTk qui commence à dater, les options pour le piloter avec une interface graphique sont plutôt limitées.

Heureusement, ClamUI vient corriger le tir avec une vraie application desktop qui se présente comme une interface GNOME native bien léchée pour scanner vos fichiers, gérer la quarantaine et garder un oeil sur la sécurité de votre bécane. Un petit

flatpak install flathub io.github.linx_systems.ClamUI

...et c'est réglé !

Bon, vous allez me dire "Un antivirus sous Linux, pour quoi faire ? Moi j'ai une vraie barbe, je bois de la chouffe cul-sec et suffit de pas installer n'importe quoi, c'est tout !!! Linux ça se mérite les moldus !" tout en embrassant vos biceps ramollis ^^.

Mais vous oubliez que si vous partagez des fichiers avec des machines Windows, si vous gérez un serveur de mails ou un NAS familial, scanner ce qui transite c'est pas du luxe. Et ClamUI rend la chose carrément accessible, là où avant fallait jongler avec des outils en ligne de commande comme ceux qu'on trouve dans les distributions d'analyse de malwares .

Côté fonctionnalités, c'est d'ailleurs plutôt complet ! L'appli détecte automatiquement les clés USB et disques externes quand vous les branchez, et peut les scanner direct sans que vous leviez le petit doigt (un peu comme CIRCLean sur Raspberry Pi , mais sans le matériel dédié). Y'a aussi l'intégration VirusTotal pour les fichiers véritablement louches (il faut juste une clé API gratuite), du coup vous pouvez croiser les résultats avec une soixantaine de moteurs de détection en un clic.

Une chose bien pensée aussi, c'est l'intégration dans les gestionnaires de fichiers comme Nautilus, Dolphin, Nemo... un clic droit sur n'importe quel répertoire et vous lancez un scan. Ça s'installe également dans le system tray avec des notifications en temps réel, genre "scan terminé, zéro menace détectée" ou "attention, fichier suspect déplacé en quarantaine".

Pour les bidouilleurs, ClamUI propose deux backends au choix, c'est-à-dire soit le daemon clamd, plutôt que clamscan en direct, parce que clamd garde les signatures en mémoire et scanne beaucoup plus vite. Mais si vous voulez pas d'un service qui tourne en permanence, clamscan fait le job. Vous pouvez aussi programmer des scans automatiques via systemd ou cron, donc même un vieux serveur Debian peut tourner en pilote automatique.

Y'a aussi une CLI complète derrière l'interface graphique, idéale pour l'intégrer à vos scripts. clamui scan, clamui quarantine, clamui profile, clamui status... tout sort en JSON si vous voulez scripter le truc. Les codes retour sont d'ailleurs très propres : 0 si c'est clean, 1 si y'a des menaces, 2 si erreur. "Èzé" comme dirait Booba ! De quoi intégrer ça dans un pipeline de vérification maison sans se prendre la tête !

Le projet est sous licence MIT, tourne avec Python 3.11+ et les sources sont sur GitHub .

Merci à Lorenper pour la découverte !

Un chercheur indépendant vient de présenter le 5500FP, un processeur qui ne fonctionne pas en binaire mais en ternaire. Là où nos puces actuelles raisonnent en 0 et 1, celui-ci ajoute un troisième état : le -1. Le tout tourne sur un FPGA classique, et c'est le premier matériel ternaire généraliste depuis les années 1960.

Trois états au lieu de deux

Nos processeurs fonctionnent tous en binaire : chaque bit vaut 0 ou 1. Le système ternaire, lui, remplace le bit par un trit, qui peut valoir -1, 0 ou +1. Sur le papier, un trit stocke environ 1,58 fois plus de données qu'un bit. L'idée n'est pas nouvelle : le célèbre informaticien Donald Knuth a décrit le système ternaire comme le plus élégant des systèmes numériques.

Dans les années 1950, une équipe de l'Université de Moscou avait construit le Setun, le premier ordinateur ternaire. Mais la technologie binaire a pris le dessus, et depuis les années 1960, plus personne n'avait fabriqué de matériel ternaire fonctionnel.

Le 5500FP, un processeur RISC à 24 trits

Claudio Lorenzo La Rosa, chercheur indépendant, a conçu le 5500FP : un processeur RISC de 24 trits qui fonctionne à 20 MHz sur un FPGA classique. Il dispose de 120 instructions et gère la synchronisation atomique en natif. La carte de développement est en open hardware.

Comme le Setun avant lui, le 5500FP simule la logique ternaire à partir de composants binaires : chaque trit est représenté par deux portes logiques. Ce n'est donc pas aussi efficace qu'un vrai circuit ternaire, mais ça a un avantage de taille : on peut le construire avec des composants disponibles dans le commerce, et il communique sans problème avec le reste du monde informatique, qui reste 100% binaire.

Pourquoi c'est intéressant ?

Le ternaire équilibré simplifie certaines opérations que le binaire gère mal. Les nombres négatifs, par exemple, se manipulent sans bit de signe dédié : il suffit d'inverser tous les trits. La représentation des chiffres est aussi plus compacte.

Mais bon, le 5500FP reste un prototype de recherche à 20 MHz, on est très loin d'un concurrent pour les puces que l'on trouve dans nos Mac ou nos iPhone. L'objectif de La Rosa est de passer à terme du FPGA au silicium, ce qui permettrait d'atteindre des fréquences bien plus élevées.

C'est le genre de projet qui rappelle que l'informatique aurait pu prendre un chemin totalement différent. Le binaire s'est imposé dans les années 1960 pour des raisons industrielles plus que scientifiques, et depuis, personne n'a vraiment remis en question ce choix.

Source : Zenodo

Les boîtiers KVM IP, c'est le genre de matos qu'on branche dans un rack et qu'on oublie dans un coin pendant des années. Hé bien va falloir vous souvenir de où vous les avez mis les copains parce que des chercheurs d'Eclypsium viennent de retourner de fond en comble 4 modèles populaires... et c'est pas joli joli. A l'intérieur il y on trouvé pas moins de 9 failles, dont une qui score à 9.8 sur 10 en gravité CVSS. Autant dire qu'on n'est plus dans le "petit bug rigolo oh oh" qui fait marrer votre admin sys.

Pour ceux qui débarquent, ces petits appareils dont l'acronyme veut dire "Keyboard Video Mouse", permettent de contrôler un serveur à distance via le réseau, clavier, souris et écran compris, comme si vous étiez physiquement devant la machine. Hyper pratique donc pour gérer un homelab ou une salle serveur, et ça coûte entre 50 et 200 euros sur Amazon. Du coup, y'en a partout !!!

Les chercheurs Paul Asadoorian et Reynaldo Vasquez Garcia ont passé au crible le GL-iNet Comet RM-1, le JetKVM, le Sipeed NanoKVM et l'Angeet ES3 et ça fait mal : authentification manquante sur des fonctions critiques, injection de commandes OS, ports UART qui filent un accès root direct, et des firmwares qu'on peut remplacer sans aucune vérification de signature. En gros, c'est la fête du slip côté sécu !

Le truc vraiment relou avec ce type d'appareils, c'est qu'en fait ils opèrent en dessous de votre OS. Pas d'antivirus, pas d'EDR, rien ne les voit. Un attaquant qui compromet votre switch de contrôle distant peut alors injecter des frappes clavier, booter depuis une clé USB (bye bye le chiffrement de disque et le Secure Boot), contourner l'écran de verrouillage, et planquer une backdoor directement dans le firmware du boîtier. Tout ça sans que votre machine ne bronche car un KVM compromis, c'est pas un stupide gadget IoT de plus sur votre réseau... Là je vous parle vraiment d'un accès direct et silencieux à toutes les machines qu'il contrôle.

Et c'est pas juste théorique puisqu'en 2025, des travailleurs nord-coréens infiltrés dans des boîtes américaines utilisaient des PiKVM et TinyPilot pour contrôler à distance les laptops d'entreprise depuis des "laptop farms". Voilà le genre de scénario qu'on rend possible quand le firmware n'a même pas de signature. C'est un peu comme ces caméras IoT bourrées de failles sur lesquelles un chercheur faisait tourner DOOM... sauf qu'ici, l'attaquant prend le contrôle de vos serveurs, pas d'un flux vidéo.

Et histoire de parfaire le tableau, côté correctifs c'est la jungle intégral !! JetKVM a patché en v0.5.4, Sipeed en v2.3.1, GL-iNet promet un fix en v1.8.1 beta et pour l'Angeet ES3, qui cumule les 2 failles les plus sévères (scores 9.8 et 8.8), y'a aucun correctif prévu. Oupsy oups...

Donc si vous avez un de ces boîtiers qui traîne, voilà ce qu'il faut faire. D'abord isolez-le sur un VLAN de management dédié (jamais sur le réseau principal), coupez-lui l'accès Internet, activez le MFA si c'est supporté, et vérifiez que votre appareil n'est pas exposé publiquement via un scan de votre IP. Mettez également le firmware à jour, sauf si c'est un Angeet... là, franchement, faut débrancher.

Bref, si vous avez un de ces machins dans votre rack, traitez-le comme un point d'accès critique... parce que c'en est un !

Source

Telnet en big 2026... bah oui ça existe encore les amis ! Et surtout c’est toujours aussi troué ! J'en veux pour preuve le daemon telnetd de GNU InetUtils qui vient de se prendre une 2ème faille critique en l’espace de deux mois, et celle-là, elle pique de fou !

Il s'agit de la CVE-2026-32746 , elle permet d’obtenir un shell root sur n’importe quel serveur Linux ou BSD exposant le port 23, et l’attaque se fait avant même que le prompt de login n’apparaisse. Pas besoin de mot de passe, pas besoin de compte. Juste une bonne vieille connexion TCP et un paquet SLC malformé et c'est parti mon kiki !

En fait, le bug se planque dans le handler SLC (Set Local Characters) du code source C de telnetd. Ainsi, quand un client ouvre une socket TCP sur le port 23, y’a une phase de négociation d’options avant l’authentification. L’attaquant envoie alors un paquet SLC contenant un nombre anormal d'octets, et ça déclenche un buffer overflow de type out-of-bounds write dans la mémoire du processus. Et boom, exécution de code arbitraire avec les privilèges root ! Et ça, ça donne un score CVSS de 9.8 sur 10 soit quasi la note maximale !

Toutes les versions de GNU InetUtils telnetd jusqu’à la 2.7 sont touchées. Toutes vulnérables, et pour le moment, aucun patch n’est disponible à ce jour. C’est la boîte de cybersécurité israélienne Dream, via son chercheur Adiel Sol, qui a découvert le pot aux roses et publié l’advisory le 11 mars dernier. Le patch officiel du mainteneur GNU est attendu pour le 1er avril (et non, c’est pas un poisson).

Ça craint surtout qu'il y a à peine 2 mois, une autre faille critique dans le même daemon, la CVE-2026-24061 (aussi scorée 9.8), avait déjà été divulguée. Et celle-là, la CISA l’a depuis ajoutée à son catalogue de vulnérabilités activement exploitées dans la nature. Ça me rappelle carrément la faille RCE dans cups-browsed l’an dernier... Ces vieux services réseau, c’est dingue comme ça revient régulièrement.

systemctl stop telnet.socket && systemctl disable telnet.socket

iptables -A INPUT -p tcp --dport 23 -j DROP