Google, iVerify et Lookout viennent de mettre au jour un kit d'exploitation baptisé DarkSword, capable de prendre le contrôle total d'un iPhone en enchaînant six failles iOS dont trois zero-day. Espions russes, vendeurs de surveillance turcs et hackers saoudiens s'en sont servis. Apple a corrigé le tir avec iOS 26.3, mais jusqu'à 270 millions d'appareils restent exposés.

Six failles, trois zero-day et un iPhone grand ouvert

Pour tout vous dire, DarkSword, avec son nom qui fait peur, n'est pas un petit malware de plus qui pointe le bout de son nez. C'est une chaîne d'exploitation complète écrite en JS, qui cible tous les iPhone qui tournent sous iOS, de la version 18.4 à la 18.7.

Le principe : vous tombez sur une page web piégée dans Safari, une iFrame charge du code malveillant, et c'est parti.

Ensuite, il contourne les protections du bac à sable via le processus GPU, escalade les privilèges jusqu'au noyau, et finit par injecter un module dans le daemon mediaplaybackd. Six vulnérabilités au total, dont trois étaient des zero-day au moment de leur exploitation : CVE-2026-20700, CVE-2025-43529 et CVE-2025-14174.

Et les données aspirées ne sont pas anecdotiques : e-mails, fichiers iCloud, contacts, SMS, historique Safari, mots de passe, photos, données de localisation, et même les messages Telegram et WhatsApp.

Les portefeuilles crypto aussi sont visés. Le tout en quelques secondes à peine, avec nettoyage des traces après exfiltration. Du travail soigné, d'après les chercheurs, même si le code n'est curieusement pas du tout obfusqué.

Espions russes, vendeurs de surveillance et sites ukrainiens piégés

Trois groupes distincts ont utilisé DarkSword depuis novembre 2025. Le premier, UNC6353, est un groupe d'espionnage présumé russe qui a ciblé des utilisateurs ukrainiens via des sites web compromis. Le deuxième, UNC6748, a utilisé un faux domaine Snapchat pour piéger des cibles en Arabie saoudite.

Et le troisième n'est autre que PARS Defense, un vendeur turc de solutions de surveillance commerciale. Chacun déploie sa propre variante de malware : GHOSTBLADE, GHOSTKNIFE ou GHOSTSABER selon le cas.

DarkSword est d'ailleurs le deuxième kit d'exploit iOS découvert en un mois, après Coruna. Les deux partagent une partie de leur infrastructure, mais sont développés par des équipes différentes.

Selon iVerify, jusqu'à 270 millions d'iPhone seraient potentiellement vulnérables, et Lookout estime que 15 % des appareils iOS en circulation tournent encore sur des versions antérieures à iOS 26.

Mettez à jour, et vite

Apple a corrigé l'ensemble des failles avec iOS 26.3, sorti plus tôt ce mois-ci. La version la plus récente est iOS 26.3.1. Si vous n'avez pas encore fait la mise à jour, c'est le moment.

Pour les profils les plus exposés — journalistes, militants, chercheurs en sécurité — Apple recommande aussi d'activer le mode Isolement, qui limite les surfaces d'attaque en désactivant certaines fonctionnalités de Safari et des services de messagerie.

Deux kits d'exploit iOS découvert en l'espace d'un mois, avec des acteurs aussi variés que des espions russes et des boîtes de surveillance turques, ça fait quand même beaucoup. On savait que l'iPhone n'était pas invulnérable, mais là on parle de chaînes complètes qui fonctionnent sur des versions récentes d'iOS, pas sur de vieux iPhone 6 oubliés dans un tiroir.

Bon, au moins, Apple a réagi et les correctifs sont là. Mais entre le moment où ces failles ont été exploitées, fin 2025, et leur correction complète, il s'est passé plusieurs mois. Franchement, si vous repoussez les mises à jour iOS depuis des semaines, c'est peut-être le bon moment d'appuyer sur le bouton.

"Something need doing ?" Si cette réplique vous file un frisson nostalgique, alors vous allez adorer Peon Ping !!

Il s'agit d'un outil CLI open source qui joue des voix de personnages de jeux vidéo quand vos agents IA ont besoin de votre attention. Vous lancez Claude Code, vous passez sur autre chose, et le moment venu, un peon de Warcraft III vous gueule "Work complete!" quand c'est terminé.

Concrètement, ce truc s'intercale via des hooks entre vous et votre IDE, comme ça, chaque événement (démarrage de session, fin de tâche, erreur, demande de permission) déclenche une réplique différente. Du coup le peon dit "Something need doing?" quand l'agent attend un input, et "I can't do that!" quand y'a une erreur.

Ça marche avec Claude Code, Cursor, Codex, et une dizaine d'autres outils (Kiro, Windsurf, Copilot, Gemini CLI, OpenCode, Antigravity, Rovo Dev CLI...), tout ça livré avec plus de 160 packs sonores dans 14 langues, de GLaDOS à StarCraft en passant par Zelda, Red Alert 2 ou Team Fortress 2.

Installation

Deux options principales. La plus propre, via Homebrew :

brew install PeonPing/tap/peon-ping

Sinon, le bon vieux curl :

curl -fsSL https://raw.githubusercontent.com/PeonPing/peon-ping/main/install.sh | bash

Et pour Windows, y'a un script PowerShell :

Invoke-WebRequest -Uri "https://raw.githubusercontent.com/PeonPing/peon-ping/main/install.ps1" -UseBasicParsing | Invoke-Expression

Par défaut, l'installeur télécharge 5 packs (Warcraft, StarCraft, Portal). Si vous voulez tout d'un coup :

curl -fsSL https://raw.githubusercontent.com/PeonPing/peon-ping/main/install.sh | bash -s -- --all

Attention par contre, sous WSL2, il faudra installer ffmpeg au préalable pour lire les formats audio autres que WAV.

Configuration

Une fois installé, lancez le setup :

peon-ping-setup

Ça détectera votre environnement, configurera les hooks et téléchargera les packs sonores en local. Ensuite, dès votre prochaine session Claude Code, vous entendrez un joli "Ready to work?" au démarrage.

Maintenant, si Warcraft c'est pas votre truc et que vous voulez changer de voix, genre passer à GLaDOS (une IA qui vous insulte pendant que vous codez avec une IA... ahahah), ça se fait en une commande :

peon packs use glados

Vous pouvez binder un pack à un dossier spécifique avec peon packs bind glados, comme ça, chaque projet a sa propre ambiance sonore, et si vous êtes du genre à aimer les trucs en français, il y a aussi des packs dans la langue du roi Arthur.

Moi j'en ai rien à foutre, j'installe les packs Age of Empires + Red Alert ou rien !!

Les commandes utiles

Tout passe par la commande peon :

peon status # Vérifier si c'est actif
peon volume 0.7 # Régler le volume
peon pause # Couper le son (réunion...)
peon resume # Remettre le son
peon packs list # Voir les packs installés
peon packs next # Passer au pack suivant
peon preview # Écouter un aperçu

Petit détail bien pensé, le système de "no repeats" fait qu'il ne jouera jamais le même son deux fois de suite dans la même catégorie. Et vous pouvez activer/désactiver chaque catégorie individuellement (greeting, acknowledge, complete, error, annoyed) si y'a des sons qui vous cassent les pieds.

En bonus, le terminal affiche le nom du projet et son statut dans le titre de l'onglet, avec un petit point indicateur quand c'est terminé. De grosses bannières desktop s'afficheront aussi quand un événement se produit, même si vous êtes sur une autre app.

Et si vous bossez en SSH ou dans un devcontainer, y'a un mode relay qui renvoie l'audio sur votre machine locale via peon relay --daemon. Pas mal du tout, hein ?

Le mode Peon Trainer

Maintenant, c'est là que ça part complètement en cacahuète car Peon Ping intègre un mode fitness qui vous rappelle de faire des pompes et des squats pendant que vous codez. L'objectif : 300 reps par jour, rien que ça !!

Dès que vous ouvrez une session, le Peon vous accueille avec un "Pushups first, code second! Zug zug!". Ensuite, toutes les 20 minutes environ, il vous relance. Et si vous ignorez, ça escalade jusqu'à "You sit too long! Peon say do pushups NOW!".

Pour logger vos reps en pleine session de code, pas besoin de quitter le terminal :

peon trainer on # Activer le mode trainer
/peon-ping-log 25 pushups # Logger 25 pompes
/peon-ping-log 30 squats # Logger 30 squats

Quand vous atteignez les 300, le Peon célèbre avec un "THREE HUNDRED! Human strong like orc now!" et vous laisse tranquille pour le reste de la journée. Pas mal comme incentive pour bouger un peu entre deux refactorisations, non ?

Pour ceux qui utilisent Claude Code au quotidien , y'a aussi un serveur MCP intégré qui permet à l'agent de choisir lui-même quel son jouer. L'agent qui communique en répliques de Warcraft... on vit une époque formidable !

D'ailleurs, les plus motivés peuvent carrément créer leurs propres packs via openpeon.com . Le format suit la spec ouverte CESP (Coding Event Sound Pack), comme ça n'importe quel IDE peut l'adopter.

Le Peon Pet

Et le truc le plus mignon du projet c'est ce petit orc animé qui squatte un coin de votre écran. Ce Peon Pet réagit en temps réel aux événements de Claude Code. Il dort quand rien ne se passe, se réveille au démarrage d'une session, tape frénétiquement du clavier quand l'agent bosse, et fait sa danse de la victoire quand la tâche est terminée. C'est du Electron + Three.js, le tout en open source bien sûr.

En résumé, c'est votre Tamagotchi de développeur, sauf qu'au lieu de le nourrir, c'est lui qui vous engueule pour bosser.

Voilà, si checker votre terminal toutes les 30 secondes pour voir si Claude Code a avancé dans sa life, ça vous saoule, c'est le genre de petit outil con mais génial qui change la vie.

Zug zug !

llamafile est un projet complètement barré qui va vous permettre de transformer des modèles de langage en exécutables. Derrière se cache en fait la fusion de deux projets bien badass : llama.cpp , un framework open source de chatbot IA, et Cosmopolitan Libc , une libc portable pour compiler des programmes C multiplateformes. En combinant astucieusement ces deux technos, les petits gars de Mozilla ont réussi à pondre un outil qui transforme les poids de modèles de langage naturel en binaires exécutables.

Imaginez un peu, vous avez un modèle de langage qui pèse dans les 4 gigas, dans un format .gguf (un format couramment utilisé pour les poids de LLM). Et bien avec llamafile, vous pouvez le transformer en un exécutable standalone qui fonctionnera directement sur le système sur lequel il est sans avoir besoin d'installer quoi que ce soit. Ça va permettre de démocratiser l'utilisation et la diffusion des LLM.

Et niveau portabilité, c'est le feu puisque ça tourne sur six OS, de Windows à FreeBSD en passant par macOS. Les devs ont bien bossé pour que ça passe partout, en résolvant des trucs bien crados comme le support des GPU et de dlopen() dans Cosmopolitan et croyez-moi (enfin, croyez-les) ça n'a pas été une mince affaire !

Niveau perf aussi c'est du brutal ! Sur Linux llamafile utilise pledge() et SECCOMP pour sandboxer le bousin et empêcher les accès fichiers non désirés et avec les derniers patchs de Justine Tunney , la perf CPU pour l'inférence en local a pris un boost de malade du genre 10 fois plus rapide qu'avant. Même sur un Raspberry Pi on peut faire tourner des petits modèles à une vitesse honnête.

Mise à jour : llamafile 0.10

Bonne nouvelle, le projet est loin d'être mort puisque la version 0.10 vient de sortir (mars 2026) et elle apporte pas mal de changements. Déjà, le projet a migré de Mozilla Ocho vers Mozilla.ai , ce qui montre que Mozilla prend le truc au sérieux côté IA.

Le gros morceau de cette release, c'est un tout nouveau build system. Fini le bazar monolithique, maintenant llama.cpp, whisper.cpp et Stable Diffusion sont intégrés comme des sous-modules Git. L'avantage c'est que ça permet de suivre beaucoup plus facilement les dernières versions de llama.cpp et donc de supporter les modèles les plus récents dès leur sortie.

Côté utilisation, on a maintenant trois modes bien distincts :

• Mode TUI (Terminal User Interface) : vous chattez directement dans votre terminal avec le modèle, avec même un mode "think" pour le raisonnement étendu
• Mode CLI : pour poser une question rapide en one-shot, genre llamafile "c'est quoi un llamafile ?" et hop, la réponse arrive direct
• Mode serveur : avec le flag --server, ça lance le serveur llama.cpp classique pour exposer une API compatible OpenAI

Autre truc cool, le support multimodal est là avec le nouvel argument --image. Vous pouvez balancer une image au modèle et il l'analyse. Ça marche avec des modèles comme Qwen3-VL, LLaVA 1.6 ou Ministral 3.

Côté GPU, Metal fonctionne nativement sur macOS (ARM64) sans bidouille, et le support CUDA est restauré sur Linux. Par contre, le GPU sur Windows n'est pas encore de la partie, et le sandboxing via pledge()/SECCOMP a été temporairement retiré dans cette version.

Bref, si vous aviez testé llamafile il y a un moment et que vous aviez trouvé ça un peu limité, c'est peut-être le moment de retélécharger la bête et de voir ce que ça donne avec les modèles de 2026. C'est toujours aussi simple : un fichier, on le rend exécutable, on le lance, et c'est parti.

Alors on dit merci qui ?

Merci Mozilla ! 🙏🦊

Des chercheurs de l'université d'État de l'Oregon ont cultivé des pommes de terre dans un sol qui reproduit la composition du régolite lunaire. Les tubercules ont poussé, mais avec pas mal d'aide terrestre et quelques surprises un peu moins réjouissantes côté métaux lourds.

Du compost de vers pour compenser la poussière de Lune

Le régolite lunaire, c'est cette couche de poussière et de roche broyée qui recouvre la surface de la Lune. Problème : il ne contient aucune matière organique. Pour simuler ce sol en laboratoire, l'équipe de David Handy, biologiste spatial, a utilisé un mélange de minéraux broyés et de cendres volcaniques qui reproduit la composition chimique lunaire. Et pour donner une chance aux patates, les chercheurs ont ajouté du vermicompost, un engrais organique produit par des vers de terre.

Avec un ratio de 70 % de régolite simulé pour 30 % de compost, les résultats étaient quasi identiques à ceux obtenus en terre normale. Avec seulement 5 % de compost, les pommes de terre poussaient quand même, mais elles étaient plus petites et visiblement plus stressées.

Des patates lunaires, mais pas vraiment mangeables

Après environ deux mois de croissance, les tubercules ont été récoltés, lyophilisés et analysés. L'ADN des plantes montrait une activation claire de gènes liés au stress. Et surtout, les pommes de terre contenaient des concentrations plus élevées en cuivre et en zinc que celles cultivées sur Terre, à un niveau qui pourrait les rendre dangereuses pour la consommation humaine. Par contre, leur valeur nutritionnelle globale restait comparable à celle des pommes de terre classiques, ce qui a surpris les chercheurs eux-mêmes.

L'étude, publiée en prépublication sur bioRxiv, reste à ce stade un travail de laboratoire. Il ne s'agit pas de vrai sol lunaire mais d'une simulation, et les conditions de gravité et de radiation de la Lune n'ont pas été reproduites. On est encore très loin d'un potager lunaire fonctionnel.

C'est le genre d'étude qui fait marrer et qui fait rêver en même temps. On pense forcément à Seul sur Mars et à Matt Damon qui faisait pousser ses patates, sauf qu'ici c'est la Lune et c'est en labo dans l'Oregon. Le fait que les pommes de terre poussent quand même dans un sol aussi hostile est encourageant pour les futures missions longue durée, même si le problème des métaux lourds va demander pas mal de travail. On en est encore aux toutes premières étapes, mais si un jour on mange des frites sur la Lune, on saura d'où c'est parti.

Source : Slashdot

Framasoft a publié aujourd'hui 2 articles sur le numérique public. Le premier, c'est un dossier ultra costaud (impressionnant !) qui tenez-vous bien, défend la Suite numérique de l'État (Tchap, visio LiveKit, France Transfert, Grist, assistant Mistral...) face à ses détracteurs.

Et le second, c'est une tribune parue dans l'Humanité, qui explique pourquoi le fantasme de l'"Airbus du numérique" est une impasse.

Sur la Suite numérique, Framasoft remet en fait les pendules à l'heure. OUI, le développement a coûté 9,3 millions d'euros, mais comparé au système de paie Louvois qui a coûté 500 millions ou à l' ONP qui a coûté un peu moins de 350 millions, on est clairement sur une autre échelle ! Ainsi, dans son article, Framasoft calcule que le coût annuel revient à 75€ par agent public. Franchement c'est pas "cher" quand on sait que c'est plutôt 300 à 590€ pour une licence Microsoft 365 ou un Google Workspace. Donc en fait, cette suite numérique, c'est pas forcément délirant comme investissement.

Ah et sur le fameux "Airbus du numérique", leur tribune est, elle aussi, limpide puisqu'elle nous explique que créer un champion européen du cloud, ça reviendrait à reproduire les mêmes erreurs que les GAFAM mais avec de l'argent public.

Le problème de cette approche en fait, c'est qu'on reste prisonnier du même modèle de centralisation des données, donc pour Framasoft, la seule vraie alternative, ce sont les communs numériques à savoir tout ce qui est logiciels libres, serveurs décentralisés, gouvernance collective...etc.

Après ça ne veut pas dire que c'est facile à mettre en place, mais au moins c'est pas du greenwashing à la con ou appelez ça comme vous voulez.

Voilà, si vous suivez ce blog depuis un moment, vous savez que c'est un sujet qui me tient à cœur. J'en parle ici depuis des années, que ce soit quand Framasoft a lancé Dégooglisons Internet ou plus récemment avec le guide pour larguer Google . Et je suis assez attristé de voir que finalement, ce débat n'a pas bougé d'un pouce dans le cerveau de certaines personnes alors que de mon point de vue et de celui de Framasoft, c'est plutôt une bonne chose que l’État s'y mette enfin !

Bref, allez lire leurs deux articles, vous allez apprendre plein de trucs : Le dossier complet et la tribune !

Vous vous souvenez quand je vous parlais de Geohot et de sa voiture autonome en 2015 ? Le mec bidouillait une Acura avec des caméras à 13 balles et rêvait de vendre son kit à 1000 balles. Hé bien 10 ans plus tard, c'est fait ! Et si je vous reparle de ça aujourd'hui, c'est parce que sa société comma.ai sort la v0.11 d' openpilot ainsi qu'un nouveau boîtier qui tient dans la main, le Comma 4 !

Vous vous souvenez de Stitch, l'outil de Google Labs qui transformait vos gribouillis d'enfant de maternelle en interfaces pour votre prochain site de dropshipping à plusieurs millions ?

Hé bien la bestiole a sacrément grandi depuis septembre dernier avec un canvas infini (comme l'univers et la connerie humaine, hein), un agent de design dopé, et même un mode voix, prototypage instantané... Cette mise à jour transforme enfin ce prototype d'outil en une vraie plateforme de design, propulsée par les derniers modèles Gemini. Et c'est toujours gratuit ! Avec Google, je ne suis pas surpris... s'ils veulent bouffer Figma, Canva et tous les designers du monde, y'a pas le choix.

Tout d'abord, l'interface a été entièrement repensée autour d'un canvas spatial infini de type node-based. Vous pouvez y balancer des screenshots PNG, du code React, un brief Notion de 10 pages, et cela permet à l'IA de "raisonner" sur l'ensemble du contexte. Y'a aussi un "Agent Manager" qui permet de lancer plusieurs directions de design en parallèle, chacune avec son propre agent. Genre vous explorez 3 variantes de landing page pendant que le café coule !

Le truc le plus dingue, c'est le mode voix dont je vous parlais qui est encore en preview mais que je trouve très prometteur. En gros, vous parlez à Stitch , il "voit" ce sur quoi vous bossez et ce que vous cliquez, puis il modifie le design en temps réel. "Change-moi ce menu", "montre-moi 3 palettes de couleurs"... et voilà c'est torché. Il peut même vous interviewer pour comprendre vos besoins et générer un brief produit directement sur le canvas. Franchement, j'ai testé, et même si la dame IA parle en anglais, on peut lui causer en français et elle capte et fait les modifs, donc c'est top !

Piloter une maquette à la voix pendant qu'on griffonne des notes sur un carnet, c'est le genre de workflow qu'on ne voyait nulle part il y a encore quelques mois. Et ce fichu "vibe design" qu'on nous vend depuis l'arrivée des outils comme v0 ou Bolt, Google l'attaque par un angle différent. Ce n'est plus juste du code généré, mais un vrai environnement de création visuelle avec des agents qui bossent pour vous dans la joie et la bonne humeur.

Je lui ai demandé une petite refonte de mon extension Firefox Korben et y'a de bonnes idées je trouve...

Côté prototypage, un clic sur "Play" et vos maquettes statiques deviennent un prototype interactif. La plateforme connecte donc automatiquement vos écrans dans un ordre logique, et si vous cliquez quelque part où il manque un écran, il le génère à la volée. D'ailleurs, ça va plus loin que le prototype cliquable... l'outil peut maintenant cracher une app React fonctionnelle, exportable vers AI Studio (l'atelier IA de Google) !

Et tiens, le petit détail qui va parler aux devs : le concept DESIGN.md. C'est comme un README.md mais pour le design. Celà permet pour chaque projet de démarrer automatiquement avec un design system cohérent (adieu les boutons qui changent d'un écran à l'autre), et ces règles sont partagées via un fichier lisible par d'autres outils grâce à un SDK et un serveur MCP . Du coup voilà, fini les allers-retours Figma-Slack sur la bonne nuance de bleu.

Pour ceux qui avaient testé la première version et trouvé ça un peu brut, bah c'est un autre animal quoi, donc allez jeter un oeil. C'est sur stitch.withgoogle.com , gratuit, accessible dans plus de 200 pays avec un compte Google (mais pas forcément toutes les fonctions partout).

Pour ma part je pense que je vais l'utiliser parce que de toute façon je fais tout moi-même maintenant, depuis plusieurs années, et que je suis toujours à la recherche de nouvelles idées pour rendre les choses un petit peu plus jolies. Et ce genre d'outil me permet de traduire ma diarrhée mentale sans jargon technique en quelque chose de concret et d'utilisable dans le monde réel. J'ai pas besoin de plus.

Voilà entre le mode voix et l'export React, j'avoue que Figma a du souci à se faire...

Il y a un an, je vous parlais de shadPS4 , un émulateur PS4 open source encore balbutiant qui faisait tourner quelques jeux indés. Eh bien les amis, le projet a sacrément mûri depuis et la liste des jeux compatibles a de quoi faire saliver.

Là où il y a un an on parlait de Peggle 2 et Super Meat Boy (sympathiques mais bon...), shadPS4 fait maintenant tourner des trucs comme Bloodborne, Dark Souls Remastered, Red Dead Redemption, Yakuza 0, Hatsune Miku Project DIVA Future Tone ou encore DRIVECLUB. Oui, Bloodborne sur PC. Le Saint Graal que FromSoftware refuse de nous porter officiellement, des passionnés l'ont rendu possible via l'émulation.

Bien sûr, on parle toujours d'un émulateur en développement actif, donc attendez-vous à des bugs, des crashs et des performances variables selon les titres. Mais quand même, le bond en avant est impressionnant.

Côté technique, le projet tourne en C++20 avec un rendu Vulkan et reste compatible Windows, Linux et macOS. Par contre, attention pour les utilisateurs Mac : il faut désormais macOS 15.4 minimum, et les Mac Intel souffrent de gros bugs GPU. Autant dire que c'est surtout pour les Apple Silicon.

Depuis la dernière fois, pas mal de nouveautés ont débarqué :

• Support natif des manettes Xbox et DualShock avec émulation des motion controls
• Mapping clavier/souris entièrement personnalisable (jusqu'à 3 touches par action, config sauvegardée par jeu)
• Audio 3D via le backend SDL3
• Émulation des signal handlers et support kqueue/kevent (ça parle aux devs Unix)
• Stack réseau améliorée (sockets, HTTP, SSL) pour les jeux qui en ont besoin
• Shader recompiler enrichi avec support des tessellation shaders et opérations atomiques
• Montage des fonts système PS4 et chargement des modules firmware

Ce qui fait la force de shadPS4, c'est toujours sa communauté. Le projet bénéficie de l'expertise d'autres émulateurs reconnus : l'équipe de Panda3DS pour l'exécution native du code x64, les créateurs de fpPS4 pour le reverse-engineering du système PS4, et le compilateur de shaders s'inspire des travaux de yuzu . Le projet felix86 contribue aussi à l'émulation x86-64 vers RISC-V.

La version actuelle est la v0.15.0 (sortie le 17 mars 2026) et les mises à jour tombent à un rythme soutenu avec des commits quasi quotidiens. Si vous voulez tester ou suivre la compatibilité des jeux, tout se passe sur le dépôt GitHub du projet .

Article initialement publié le 8 mars 2025, mis à jour le 19 mars 2026.

Kenneth Reitz, si vous ne le connaissez pas, c'est le gars qui se trouve derrière Requests , la librairie HTTP Python la plus téléchargée au monde. Ce projet a généré des milliards de downloads sur PyPI et aujourd'hui, Kenneth a publié un post de blog qui devrait, je pense, être lu par tous ceux qui donnent de leur temps sur Internet.

Le titre qu'il a choisi résume tout, je trouve : "Open Source Gave Me Everything Until I Had Nothing Left to Give." En gros, le libre lui a tout apporté… jusqu'à ce qu'il n'ait plus rien à donner.

Le parcours de Kenneth, c'est celui d'un mec qui a planté ses études (1,14 de moyenne, excusez du peu !), qui ensuite a bossé chez McDo, et qui finalement a trouvé dans le code libre la validation que personne ne lui donnait. Pour lui, chaque étoile GitHub, c'était quelqu'un qui finalement lui disait : "Tu existes et ce que tu fais a de la valeur."

Alors quand Requests a explosé, Kenneth a "fusionné" avec son projet. Le mainteneur et sa lib Python sont en quelque sorte devenus une seule entité.

Et ça c'est pas bon car quand votre identité repose uniquement sur votre projet, chaque critique devient personnelle, chaque bug report vous ronge, et surtout, y'a plus aucune soupape de décompression. C'est ce qu'il appelle dans son post le "design flaw". Et le plus dingue, c'est que cette immense pression qu'il ressentait lui était en grande majorité infligée par lui-même. En fait, personne ne le forçait. Il s'est juste consumé tout seul, pendant que ses collègues et ses amis saluaient sa productivité "impressionnante" !

Kenneth Reitz

L'histoire pourrait s'arrêter là, mais derrière, en coulisse, et sans qu'il le sache, un trouble bipolaire non diagnostiqué le rongeait. Il a subi à différentes reprises des épisodes maniaques, dont un lors d'une conférence en Suède, et un autre qui l'a mis à l'hôpital durant 12 jours. L'intensité de cet homme lui permettait de coder des choses brillantes mais provoquait chez lui des crises psychiatriques de plus en plus nombreuses. Un moteur en surchauffe qui faisait autant de dégâts que de jolies contributions au monde de l'open source.

Vous vous en doutez, j'ai vu un parallèle assez flagrant avec mon activité et ce que je ressens depuis un bon moment. Je n'ai pas ce type de troubles, certes, mais la pression auto-infligée est bien là, et j'avoue que c'est quasi impossible de ne pas succomber à cette fusion avec son "projet"… donc oui, je peux dire que je vois trèèès bien de quoi parle Kenneth.

Et même si, contrairement à lui, j'ai appris à dire non, ce n'est pas facile de ne pas se laisser bouffer par ceux qui pensent que tout leur est dû (parce que oui, y'a malheureusement cette mentalité du"tu donnes, c'est sympa, du coup on va tout te prendre !").

Tout ceci reste une drogue, une vaine recherche de cette foutue validation qu'on n'a jamais réussi à vraiment obtenir plus jeune d'un père ou d'une mère. On doit être des millions comme ça et le gros problème, c'est que toute cette intensité, c'est hyper destructeur et le moindre petit grain de sable peut tout faire dérailler. Et pourtant, même à genoux, on continue quand même… Allez savoir pourquoi.

Et ce que dit aussi Kenneth, et que j'élargirais au-delà de la sphère open source, à tous ceux qui partagent des choses en ligne, que ce soient les blogueurs, les vidéastes, les podcasteurs ou les mainteneurs de code, c'est simple : Séparez votre identité de votre projet. Moi j'y arrive pas encore, ça me semble impossible mais ça a vraiment l'air d'être la seule voie possible. Et surtout, votre sécurité financière ne devrait jamais dépendre de la bienveillance de votre communauté. Parce que la gentillesse et la reconnaissance des gens, c'est cool mais ça ne paie pas le loyer.

À la fin de son texte, Kenneth écrit un truc qui franchement me déchire le cœur.

Il dit : "Je ne sais pas si je le referai."

Ce gars doit tout à l'open source et l'open source lui doit aussi beaucoup, et en arriver à lâcher ça, ça montre quand même la souffrance qu'il éprouve. Force à lui, franchement !

Bref, allez lire ce texte parce que je pense que c'est important ! Et c'est pas juste pour les devs, ou pour tous ceux qui donnent leur vie à Internet en quelque sorte.

Non, c'est aussi pour tous ceux qui consomment tout cela sans y penser.

Linux sur un Mac Apple Silicon en 2026 serait-ce enfin une option viable ?

En effet, Fedora Asahi Remix 43 vient de sortir et la réponse est... ça dépend de votre Mac. Si vous êtes sur M1 ou M2, ça commence à être sérieux. M3 ? Ça boote depuis janvier mais c'est pas encore utilisable au quotidien. M4, on en est loin. Et M5, ils ne connaissent pas encore...

Du coup, pour ceux qui se demandent quel Linux installer sur un Mac à base de puce Apple, c'est clairement le choix le plus abouti du moment. La grosse news de cette version, c'est l'arrivée du support Mac Pro (le gros desktop à plusieurs milliers d'euros, oui oui). Y'a aussi les micros qui fonctionnent enfin sur les MacBook Pro et Max en M2, et le 120Hz qui débarque sur les MacBook Pro 14 et 16 pouces. Côté bureau, c'est KDE Plasma 6.6 par défaut avec GNOME 49 en alternative, et sous le capot, RPM 6.0 et le backend DNF5 pour la gestion des paquets.

Pour l'installer, c'est toujours la même commande magique :

curl https://fedora-asahi-remix.org/install | sh

Pour faire tourner du JavaScript côté serveur, y'a pas que Node.js dans la vie. Y'a maintenant workerd (prononcez "worker-dee"), qui est le runtime open source de Cloudflare, celui-là même qui fait tourner les Workers en prod (le service tourne depuis 2017, le runtime est open source depuis 2022), et que vous pouvez l'installer sur votre Debian, votre Mac ou même votre PC Windows avec un simple npx.

Mais alors pourquoi s'embêter avec un énième runtime JS ?

Hé bien parce que celui-ci n'est pas un runtime généraliste. C'est un vrai serveur HTTP pur et dur, basé sur le moteur V8 de Chrome, conçu pour recevoir des requêtes et y répondre. Pas de filesystem, pas d'accès disque sauvage... ici, votre code vit dans un isolate V8, bien cloisonné, et communique avec l'extérieur uniquement via des bindings explicites qu'on appelle des "capabilities". En gros, votre Worker ne peut accéder qu'aux ressources qu'on lui a branchées dans son fichier de config Cap'n Proto .

Et cela a plein d'avantages ! Par exemple, les attaques SSRF classiques c'est mort ! Et n'oubliez pas que c'est du JavaScript pur, donc y'a pas d'affreux require('fs') ni de child_process qui traîne.

Et le concept qui tue, ce sont les nanoservices. En fait, faut imaginer des microservices, mais qui tournent tous dans le même processus Linux, sur le même thread. Comme ça quand un nanoservice en appelle un autre, y'a zéro latence TCP, c'est un juste appel de fonction local !

Et vous pouvez en faire tourner des centaines sur un seul serveur parce que les API sont implémentées en C++ natif et tous les isolates V8 partagent le même code compilé en mémoire. C'est carrément pas intuitif, mais visiblement, ça tient la route.

Côté rétrocompatibilité, c'est cool puisque chaque Worker déclare une "date de compatibilité" dans son fichier .capnp. Comme ça, vous fixez compatibilityDate = "2024-06-15" et le runtime vous garantit que les API fetch() et WebCrypto se comporteront toujours comme à cette date-là, même si le binaire a été recompilé 200 fois depuis. Des releases sortant tous les jours, cette garantie n'est pas anecdotique !

Cap'n Proto, un format de sérialisation binaire créé par Kenton Varda, le même gars qui est derrière Protocol Buffers chez Google (excusez du peu). C'est un poil déroutant au début si vous êtes habitués au YAML ou au JSON, mais c'est très efficace et hyper rapide. Et pour ceux qui bossent déjà avec l'écosystème Cloudflare parce que vous avez l'Amérique qui coule dans les veines, sachez le runtime s'intègre nickel avec l'outil CLI Wrangler pour le dev local.

Par contre, attention, ce n'est PAS un sandbox sécurisé. Cloudflare le dit cash : si vous faites tourner du code potentiellement malveillant, faudra l'isoler dans une VM KVM ou un conteneur Docker. Hé oui les amis, en prod chez Cloudflare, y'a des couches de sécurité supplémentaires (isolation kernel Linux, patching V8 en urgence, segmentation par profil de risque) que le runtime seul ne fournit pas.

Le problème, c'est surtout Spectre et les bugs du moteur V8... car ça reste du code C++ compilé avec clang derrière. Après, pour du self-hosting de vos propres Workers sur votre VPS Ubuntu, c'est largement suffisant.

Maintenant pour tester concrétement c'est mui rapido.

npx workerd serve config.capnp

Si vous avez un site web et que vos illustrations ressemblent comme sur mon site, à un joyeux bordel de screenshots pixelisés, de photos libres de droits et d'images IA plus ou moins réussies, y'a peut-être un moyen de donner une certaine cohérence visuelle à tout ça. L'outil s'appelle Dither , ça a été créé par Shpigford , et c'est un générateur de tramage vectoriel qui tourne directement dans Chrome, Firefox ou Safari, sans inscription ni installation.

L'interface de Dither avec ses réglages d'algorithme et de palette

Le principe est simple... Vous balancez un fichier JPEG ou PNG et hop, le moteur JavaScript le transforme en utilisant des algorithmes de dithering comme Bayer (en 2x2, 4x4 ou 8x8), du halftone, des lignes, des croix, des points ou encore des écailles.

Neuf algorithmes au total et ce qui est vraiment cool, c'est qu'il y a des palettes prédéfinies dont une palette Game Boy qui donne ce rendu vert olive mythique qu'on avait sur l'écran LCD 160x144 de la jolie brique de Nintendo. Y'a aussi du CGA et du Sepia pour ceux qui veulent varier les ambiances et pour le coup, ça envoie bien du rétro !

Pour les djeuns, sachez que le dithering c'est en fait cette vieille technique qui remonte aux années 70-80 permettant de simuler des dégradés quand on n'a que quelques teintes disponibles. En gros, au lieu d'un dégradé lisse en 16 millions de couleurs RGB, on place des petits points de 2 à 8 couleurs qui, vus de loin, donnent l'illusion d'un mélange. C'est exactement ce qu'on voyait sur les écrans CGA 320x200 des vieux PC IBM XT ou sur la Game Boy sortie en 1989.

L'intérêt d'un outil comme Dither, c'est qu'en plus de jouer avec les 9 algorithmes, vous pouvez régler pas mal de paramètres via l'interface. Par exemple, la taille des cellules en pixels (8px par défaut, mais j'ai trouvé que 12px donne un bon compromis lisibilité/esthétique sur des photos 1024x768), l'angle de rotation du motif à 45 degrés, l'échelle à 1.0, et même choisir entre cercle, carré ou diamant pour la forme du rendu.

Vous pouvez aussi partir d'un gradient linéaire, radial ou conique au lieu d'une image existante... pas mal pour générer des fonds d'écran rétro sur macOS ou Linux !

Et surtout, l'export se fait en SVG ou en PNG. Le SVG c'est super pratique si vous voulez intégrer le résultat dans un site web via une balise <img> sans perte de qualité, vu que c'est du vectoriel.

Par contre, attention, le mode Sepia a tendance à écraser les contrastes sur les photos sombres en dessous de 128 de luminosité moyenne... du coup préférez le mode B/W ou CGA sur ce type d'images.

Sachez aussi que les photos avec beaucoup de détails fins (genre une photo de foule ou un paysage urbain en 4000x3000) perdent carrément en lisibilité avec les petites cellules de 4px ou 8px. Montez la taille à 16px ou 32px dans ce cas, vous verrez, ça change tout.

Bon après, est-ce que je vais mettre toutes les images de mon site en mode pixel art tramé ? Non, clairement pas, car ça deviendrait monotone à force. Mais pour un projet perso, un portfolio, un zine en ligne ou même une série d'articles thématiques, ça peut donner un look uniforme sympa.

Bref, allez jeter un oeil, c'est gratuit et ça tourne dans le navigateur.

Merci à Lorenper pour la découverte !

ClamAV, tout le monde connaît. C'est le moteur antivirus open source qui tourne sur à peu près tous les serveurs mail de la planète. Sauf que côté bureau Linux, à part ClamTk qui commence à dater, les options pour le piloter avec une interface graphique sont plutôt limitées.

Heureusement, ClamUI vient corriger le tir avec une vraie application desktop qui se présente comme une interface GNOME native bien léchée pour scanner vos fichiers, gérer la quarantaine et garder un oeil sur la sécurité de votre bécane. Un petit

flatpak install flathub io.github.linx_systems.ClamUI

...et c'est réglé !

Bon, vous allez me dire "Un antivirus sous Linux, pour quoi faire ? Moi j'ai une vraie barbe, je bois de la chouffe cul-sec et suffit de pas installer n'importe quoi, c'est tout !!! Linux ça se mérite les moldus !" tout en embrassant vos biceps ramollis ^^.

Mais vous oubliez que si vous partagez des fichiers avec des machines Windows, si vous gérez un serveur de mails ou un NAS familial, scanner ce qui transite c'est pas du luxe. Et ClamUI rend la chose carrément accessible, là où avant fallait jongler avec des outils en ligne de commande comme ceux qu'on trouve dans les distributions d'analyse de malwares .

Côté fonctionnalités, c'est d'ailleurs plutôt complet ! L'appli détecte automatiquement les clés USB et disques externes quand vous les branchez, et peut les scanner direct sans que vous leviez le petit doigt (un peu comme CIRCLean sur Raspberry Pi , mais sans le matériel dédié). Y'a aussi l'intégration VirusTotal pour les fichiers véritablement louches (il faut juste une clé API gratuite), du coup vous pouvez croiser les résultats avec une soixantaine de moteurs de détection en un clic.

Une chose bien pensée aussi, c'est l'intégration dans les gestionnaires de fichiers comme Nautilus, Dolphin, Nemo... un clic droit sur n'importe quel répertoire et vous lancez un scan. Ça s'installe également dans le system tray avec des notifications en temps réel, genre "scan terminé, zéro menace détectée" ou "attention, fichier suspect déplacé en quarantaine".

Pour les bidouilleurs, ClamUI propose deux backends au choix, c'est-à-dire soit le daemon clamd, plutôt que clamscan en direct, parce que clamd garde les signatures en mémoire et scanne beaucoup plus vite. Mais si vous voulez pas d'un service qui tourne en permanence, clamscan fait le job. Vous pouvez aussi programmer des scans automatiques via systemd ou cron, donc même un vieux serveur Debian peut tourner en pilote automatique.

Y'a aussi une CLI complète derrière l'interface graphique, idéale pour l'intégrer à vos scripts. clamui scan, clamui quarantine, clamui profile, clamui status... tout sort en JSON si vous voulez scripter le truc. Les codes retour sont d'ailleurs très propres : 0 si c'est clean, 1 si y'a des menaces, 2 si erreur. "Èzé" comme dirait Booba ! De quoi intégrer ça dans un pipeline de vérification maison sans se prendre la tête !

Le projet est sous licence MIT, tourne avec Python 3.11+ et les sources sont sur GitHub .

Merci à Lorenper pour la découverte !

Un chercheur indépendant vient de présenter le 5500FP, un processeur qui ne fonctionne pas en binaire mais en ternaire. Là où nos puces actuelles raisonnent en 0 et 1, celui-ci ajoute un troisième état : le -1. Le tout tourne sur un FPGA classique, et c'est le premier matériel ternaire généraliste depuis les années 1960.

Trois états au lieu de deux

Nos processeurs fonctionnent tous en binaire : chaque bit vaut 0 ou 1. Le système ternaire, lui, remplace le bit par un trit, qui peut valoir -1, 0 ou +1. Sur le papier, un trit stocke environ 1,58 fois plus de données qu'un bit. L'idée n'est pas nouvelle : le célèbre informaticien Donald Knuth a décrit le système ternaire comme le plus élégant des systèmes numériques.

Dans les années 1950, une équipe de l'Université de Moscou avait construit le Setun, le premier ordinateur ternaire. Mais la technologie binaire a pris le dessus, et depuis les années 1960, plus personne n'avait fabriqué de matériel ternaire fonctionnel.

Le 5500FP, un processeur RISC à 24 trits

Claudio Lorenzo La Rosa, chercheur indépendant, a conçu le 5500FP : un processeur RISC de 24 trits qui fonctionne à 20 MHz sur un FPGA classique. Il dispose de 120 instructions et gère la synchronisation atomique en natif. La carte de développement est en open hardware.

Comme le Setun avant lui, le 5500FP simule la logique ternaire à partir de composants binaires : chaque trit est représenté par deux portes logiques. Ce n'est donc pas aussi efficace qu'un vrai circuit ternaire, mais ça a un avantage de taille : on peut le construire avec des composants disponibles dans le commerce, et il communique sans problème avec le reste du monde informatique, qui reste 100% binaire.

Pourquoi c'est intéressant ?

Le ternaire équilibré simplifie certaines opérations que le binaire gère mal. Les nombres négatifs, par exemple, se manipulent sans bit de signe dédié : il suffit d'inverser tous les trits. La représentation des chiffres est aussi plus compacte.

Mais bon, le 5500FP reste un prototype de recherche à 20 MHz, on est très loin d'un concurrent pour les puces que l'on trouve dans nos Mac ou nos iPhone. L'objectif de La Rosa est de passer à terme du FPGA au silicium, ce qui permettrait d'atteindre des fréquences bien plus élevées.

C'est le genre de projet qui rappelle que l'informatique aurait pu prendre un chemin totalement différent. Le binaire s'est imposé dans les années 1960 pour des raisons industrielles plus que scientifiques, et depuis, personne n'a vraiment remis en question ce choix.

Source : Zenodo

Les boîtiers KVM IP, c'est le genre de matos qu'on branche dans un rack et qu'on oublie dans un coin pendant des années. Hé bien va falloir vous souvenir de où vous les avez mis les copains parce que des chercheurs d'Eclypsium viennent de retourner de fond en comble 4 modèles populaires... et c'est pas joli joli. A l'intérieur il y on trouvé pas moins de 9 failles, dont une qui score à 9.8 sur 10 en gravité CVSS. Autant dire qu'on n'est plus dans le "petit bug rigolo oh oh" qui fait marrer votre admin sys.

Pour ceux qui débarquent, ces petits appareils dont l'acronyme veut dire "Keyboard Video Mouse", permettent de contrôler un serveur à distance via le réseau, clavier, souris et écran compris, comme si vous étiez physiquement devant la machine. Hyper pratique donc pour gérer un homelab ou une salle serveur, et ça coûte entre 50 et 200 euros sur Amazon. Du coup, y'en a partout !!!

Les chercheurs Paul Asadoorian et Reynaldo Vasquez Garcia ont passé au crible le GL-iNet Comet RM-1, le JetKVM, le Sipeed NanoKVM et l'Angeet ES3 et ça fait mal : authentification manquante sur des fonctions critiques, injection de commandes OS, ports UART qui filent un accès root direct, et des firmwares qu'on peut remplacer sans aucune vérification de signature. En gros, c'est la fête du slip côté sécu !

Le truc vraiment relou avec ce type d'appareils, c'est qu'en fait ils opèrent en dessous de votre OS. Pas d'antivirus, pas d'EDR, rien ne les voit. Un attaquant qui compromet votre switch de contrôle distant peut alors injecter des frappes clavier, booter depuis une clé USB (bye bye le chiffrement de disque et le Secure Boot), contourner l'écran de verrouillage, et planquer une backdoor directement dans le firmware du boîtier. Tout ça sans que votre machine ne bronche car un KVM compromis, c'est pas un stupide gadget IoT de plus sur votre réseau... Là je vous parle vraiment d'un accès direct et silencieux à toutes les machines qu'il contrôle.

Et c'est pas juste théorique puisqu'en 2025, des travailleurs nord-coréens infiltrés dans des boîtes américaines utilisaient des PiKVM et TinyPilot pour contrôler à distance les laptops d'entreprise depuis des "laptop farms". Voilà le genre de scénario qu'on rend possible quand le firmware n'a même pas de signature. C'est un peu comme ces caméras IoT bourrées de failles sur lesquelles un chercheur faisait tourner DOOM... sauf qu'ici, l'attaquant prend le contrôle de vos serveurs, pas d'un flux vidéo.

Et histoire de parfaire le tableau, côté correctifs c'est la jungle intégral !! JetKVM a patché en v0.5.4, Sipeed en v2.3.1, GL-iNet promet un fix en v1.8.1 beta et pour l'Angeet ES3, qui cumule les 2 failles les plus sévères (scores 9.8 et 8.8), y'a aucun correctif prévu. Oupsy oups...

Donc si vous avez un de ces boîtiers qui traîne, voilà ce qu'il faut faire. D'abord isolez-le sur un VLAN de management dédié (jamais sur le réseau principal), coupez-lui l'accès Internet, activez le MFA si c'est supporté, et vérifiez que votre appareil n'est pas exposé publiquement via un scan de votre IP. Mettez également le firmware à jour, sauf si c'est un Angeet... là, franchement, faut débrancher.

Bref, si vous avez un de ces machins dans votre rack, traitez-le comme un point d'accès critique... parce que c'en est un !

Source

Telnet en big 2026... bah oui ça existe encore les amis ! Et surtout c’est toujours aussi troué ! J'en veux pour preuve le daemon telnetd de GNU InetUtils qui vient de se prendre une 2ème faille critique en l’espace de deux mois, et celle-là, elle pique de fou !

Il s'agit de la CVE-2026-32746 , elle permet d’obtenir un shell root sur n’importe quel serveur Linux ou BSD exposant le port 23, et l’attaque se fait avant même que le prompt de login n’apparaisse. Pas besoin de mot de passe, pas besoin de compte. Juste une bonne vieille connexion TCP et un paquet SLC malformé et c'est parti mon kiki !

En fait, le bug se planque dans le handler SLC (Set Local Characters) du code source C de telnetd. Ainsi, quand un client ouvre une socket TCP sur le port 23, y’a une phase de négociation d’options avant l’authentification. L’attaquant envoie alors un paquet SLC contenant un nombre anormal d'octets, et ça déclenche un buffer overflow de type out-of-bounds write dans la mémoire du processus. Et boom, exécution de code arbitraire avec les privilèges root ! Et ça, ça donne un score CVSS de 9.8 sur 10 soit quasi la note maximale !

Toutes les versions de GNU InetUtils telnetd jusqu’à la 2.7 sont touchées. Toutes vulnérables, et pour le moment, aucun patch n’est disponible à ce jour. C’est la boîte de cybersécurité israélienne Dream, via son chercheur Adiel Sol, qui a découvert le pot aux roses et publié l’advisory le 11 mars dernier. Le patch officiel du mainteneur GNU est attendu pour le 1er avril (et non, c’est pas un poisson).

Ça craint surtout qu'il y a à peine 2 mois, une autre faille critique dans le même daemon, la CVE-2026-24061 (aussi scorée 9.8), avait déjà été divulguée. Et celle-là, la CISA l’a depuis ajoutée à son catalogue de vulnérabilités activement exploitées dans la nature. Ça me rappelle carrément la faille RCE dans cups-browsed l’an dernier... Ces vieux services réseau, c’est dingue comme ça revient régulièrement.

systemctl stop telnet.socket && systemctl disable telnet.socket

iptables -A INPUT -p tcp --dport 23 -j DROP

Google vient de rendre public Sashiko, un outil de revue de code par intelligence artificielle qui analyse automatiquement les correctifs soumis au noyau Linux. Sur un échantillon de 1 000 bugs récents, l'IA en a détecté 53 %, alors que les relecteurs humains les avaient tous ratés sans exception.

Comment fonctionne Sashiko

Sashiko a été développé en interne par l'équipe Linux de Google, sous la direction de Roman Gushchin. Le principe : chaque correctif envoyé sur la liste de diffusion du noyau Linux est automatiquement analysé par une IA qui cherche les erreurs, les incohérences et les bugs potentiels.

Sans surprise, c'est Gemini Pro 3.1 qui fait tourner l'outil, mais il est aussi capable de tourner avec d'autres modèles, comme Claude.

Ce projet s'appuie sur les recherches de Chris Mason, un développeur qui rédige des prompts de revue de code pour l'IA depuis fin 2025. Sashiko va encore plus loin, car il automatise l'intégralité du processus.

D'ailleurs, l'outil est open source et est hébergé sur GitHub. Son transfert vers la Linux Foundation est d'ailleurs en cours, et Google continue à financer l'infrastructure ainsi que les coûts d'usage de l'IA.

100 % des bugs détectés

Le chiffre qui retient l'attention, c'est que 100 % des bugs détectés par Sashiko avaient échappé aux développeurs humains. Sur les 1 000 correctifs récents qui portaient la mention de correction de bug, l'IA a repéré plus de la moitié des problèmes.

Le noyau Linux reçoit des milliers de contributions chaque mois, et les mainteneurs n'ont pas toujours le temps de tout vérifier avec la même rigueur. Sashiko ne remplace pas la relecture humaine, mais il ajoute une couche de vérification qui manquait.

L'interface web est accessible publiquement et couvre l'ensemble des soumissions envoyées à la liste de diffusion du noyau. Tout le monde peut consulter les analyses générées par l'IA.

Le noyau Linux, c'est la base d'Android, de Chrome OS, du cloud de Google, d'Amazon et de Microsoft, et d'à peu près tous les serveurs qui font tourner Internet.

Que Google investisse pour fiabiliser ce code avec de l'IA, c'est plutôt logique. Par contre, on imagine bien que certains développeurs vont tiquer à l'idée qu'une machine relise leur travail et pointe des erreurs qu'ils n'ont pas vues.

La question n'est pas de savoir si l'IA va remplacer les développeurs, mais plutôt combien de temps il faudra avant que ce genre d'outil devienne la norme dans tous les gros projets open source.

Source : Phoronix

Electronic Arts recrute un ingénieur senior pour adapter son système anti-triche Javelin aux processeurs ARM64. La priorité va aux PC Windows sur ARM, mais l'offre d'emploi mentionne aussi un futur support de Linux et de Proton. 

De quoi intéresser les joueurs sur Steam Deck et, pourquoi pas, sur Mac.

Un anti-triche qui arrive sur ARM

EA vient de publier une offre d'emploi pour un poste d'ingénieur senior anti-triche ARM64 au sein de son équipe SPEAR (Secure Product Engineering and Anti-Cheat Response). L'objectif principal : développer un driver natif ARM64 pour EA Javelin, le système anti-triche d'EA qui fonctionne au niveau du noyau du système d'exploitation.

La cible immédiate, ce sont les appareils Windows sur ARM, un segment qui prend de l'ampleur avec l'arrivée de consoles portables basées sur des puces ARM, et les futures puces Nvidia N1 et N1X qui se profilent dans le monde du PC portable.

Ce qui est intéressant, c'est une ligne un peu plus discrète dans l'offre d'emploi : le candidat devra "tracer une voie pour qu'EA Javelin supporte d'autres systèmes d'exploitation et matériels à l'avenir, comme Linux et Proton". C'est la couche de compatibilité de Valve qui permet de faire tourner des jeux Windows sur Linux, et donc sur le Steam Deck.

EA et Linux, une relation compliquée

Il faut quand même rappeler qu'EA a retiré le support Linux et Steam Deck d'Apex Legends fin 2024, en expliquant que la nature ouverte de Linux facilitait la triche. Du coup, des jeux comme Battlefield ou EA Sports FC ne fonctionnent tout simplement pas sur Linux.

Cette offre d'emploi va dans le sens inverse, ce qui est plutôt un bon signal, même si on parle bien d'un objectif à long terme et pas d'un lancement imminent.

EA n'est d'ailleurs pas le seul éditeur à avoir eu un rapport tendu avec Linux. Rockstar a coupé le support Linux de GTA V après avoir mis en place BattlEye, et Roblox a bloqué Wine complètement en 2023 avec son système Hyperion.

Le problème de fond reste le même : les anti-triche au niveau du noyau sont très difficiles à adapter sur Linux, où le système est par nature plus ouvert et plus personnalisable.

Un autre point d’intérêt est pour les joueurs Mac, qui pourraient suivre cette annonce de loin. Si EA finit par supporter Proton, ça pourrait aussi faciliter le fonctionnement de ses jeux via CrossOver ou le Game Porting Toolkit d'Apple, qui reposent sur la même base technique.

Bon maintenant attention, on parle ici d'un système de lutte contre la triche qui s'installe au niveau du noyau de votre système, ce qui pose forcément quelques questions de vie privée et de sécurité.

Source : Gaming on Linux

Niantic, le studio derrière Pokémon Go, a collecté plus de 30 milliards d'images prises par ses joueurs au fil des années.

Ces photos servent aujourd'hui à guider les robots livreurs de Coco Robotics dans les rues de Los Angeles, Chicago ou Helsinki, avec une précision au centimètre près. Les joueurs qui scannaient des statues pour gagner des récompenses, eux, n'en savaient pas grand-chose.

30 milliards de photos en jouant

Depuis le lancement de Pokémon Go, les joueurs arpentent les rues le téléphone à la main, en photographiant des monuments, des statues et des points d'intérêt. En 2020, Niantic a ajouté une fonction "Field Research" qui demandait aux joueurs de scanner des lieux réels avec leur caméra en échange de récompenses dans le jeu.

Le résultat : 30 milliards d'images accumulées au fil du temps, prises sous tous les angles, par tous les temps, à différentes heures de la journée. Niantic a utilisé tout ça pour entraîner son Visual Positioning System, un outil de navigation visuelle capable de localiser un appareil à quelques centimètres près rien qu'en analysant les bâtiments autour de lui.

Des robots livreurs au centimètre près

Niantic Spatial, la filiale dédiée, vient de s'associer à Coco Robotics, une startup qui déploie environ 1 000 petits robots livreurs à Los Angeles, Chicago, Jersey City, Miami et Helsinki. Ces robots transportent jusqu'à huit grandes pizzas ou quatre sacs de courses, et circulent sur les trottoirs.

Le GPS est peu fiable dans les zones urbaines denses, où les signaux rebondissent sur les immeubles, et c'est là que le VPS de Niantic change la donne : les robots se positionnent au centimètre près devant un restaurant ou une porte d'entrée, sans dépendre des satellites.

De Google à la livraison de pizzas

Niantic est née comme une équipe interne de Google spécialisée dans les données de localisation, avant de devenir un studio indépendant. La collecte d'images était mentionnée dans les conditions d'utilisation de Pokémon Go, mais personne ne lit ces pages.

Les joueurs qui scannaient des statues pour gagner des Poké Balls n'imaginaient probablement pas qu'ils construisaient une carte du monde pour des robots livreurs. Niantic parle d'une "carte vivante" qui s'améliore en continu, alimentée par ses millions de joueurs actifs.

C'est quand même un peu fort. Des millions de joueurs ont passé des heures à scanner des monuments et des trottoirs en pensant attraper des Pokémon, et en fait ils bossaient gratuitement pour entraîner des robots livreurs. 

Niantic avait prévu le coup depuis le début, l'air de rien, en transformant chaque partie en session de cartographie. C'est malin, mais on aimerait bien que les éditeurs de jeux soient un peu plus clairs quand ils transforment leurs joueurs en main-d'œuvre gratuite.

Source : PetaPixel