L'IA Claude Mythos (Preview) est parvenue à identifier 271 vulnérabilités dans Firefox 150, la toute dernière version du navigateur de Mozilla.
Le post Claude Mythos a découvert 271 failles de sécurité dans Firefox 150 a été publié sur IT-Connect.
Microsoft vient d'annoncer la prise en charge du Markdown (fichiers .md) au sein de OneDrive et SharePoint, avec l'intégration d'un éditeur en ligne moderne.
Le post Microsoft 365 : l’édition native Markdown débarque dans OneDrive et SharePoint a été publié sur IT-Connect.
Anthropic a dévoilé Claude Design, un outil IA pour créer des visuels, des prototypes et même des présentations interactives à partir d'un simple prompt.
Le post Claude Design : le nouvel outil IA pour créer des visuels et des prototypes a été publié sur IT-Connect.
Bonjour à tous,
J’espère que vous allez bien. Les beaux jours sont enfin de retour et certains d’entre vous sont peut-être déjà en vacances… je dois avouer que je vous envie un peu 
Mais pas d’inquiétude, mon tour arrive bientôt… J’ai aussi prévu de lever le pied quelques jours.
Du côté de Cachem, j’ai fait quelques petits ajustements récemment. Rien de révolutionnaire, mais des petites optimisations pour garder un site toujours aussi rapide et agréable à parcourir. Le thème que j’utilise continue d’évoluer régulièrement depuis 2019.
Suite à mon article sur mes doutes, plusieurs idées intéressantes ont émergé. Parmi elles : une newsletter. Je vous le dis franchement, je n’ai jamais été un grand adepte… même si j’en lis quelques-unes. Tout le monde ne passe pas sur Cachem tous les jours (ni même toutes les semaines). Cette newsletter mensuelle sera donc là comme un rappel simple et pratique : l’essentiel à ne pas manquer, sans spam ni blabla inutile. L’objectif ? Vous partager les nouveautés, quelques trouvailles, et remettre en avant certains contenus passés entre les mailles du filet ou plus ancien mais toujours d’actualité comme ce guide pour nettoyer votre NAS. En résumé : un concentré de Cachem (mais pas seulement), avec une petite touche de fun en plus.
Vérifiez votre boite de réception ou votre dossier d’indésirables pour confirmer votre abonnement. Après confirmation, vous recevrez le guide sous 10 minutes...
Côté séries TV, j’ai enchaîné ces derniers temps : la dernière saison de Bad Sisters, toujours aussi réussie ; The Rookie, qui se laisse regarder tranquillement ; Shrinking, qui reste clairement l’une de mes favorites (bonne nouvelle : une saison 4 a déjà été commandée par Apple).
Je vous laisse en vous souhaitant une bonne semaine,
FX
.png)
Asus dévoile le ProArt PA40SU, un boîtier SSD externe pensé pour les créateurs. Compatible USB 4 il est doté d’un refroidissement actif et d’un design ultra-fin.
Cet article ProArt PA40SU, un boîtier SSD externe qui promet vitesse, silence et endurance ! a été publié en premier par GinjFo.
Microsoft prépare un changement dans la signature des pilotes Windows. Les fichiers inclus dans un package driver mais non référencés dans l’INF ne seront bientôt plus signés.
Cet article Windows va changer la vie des fabricants de pilotes a été publié en premier par GinjFo.
Le lancement du Ryzen 9 9950X3D2 d’AMD se tend. Plusieurs médias spécialisés dont GinjFo affirment ne pas avoir reçu d’échantillon de test.
Cet article Ryzen 9 9950X3D2 : AMD verrouille-t-il les tests ? le lancement vire à la polémique a été publié en premier par GinjFo.
Le fabricant français Kubb lance le Kubb Spectre, une station de travail compacte pensée pour la création, la production et l’intelligence artificielle
Cet article Kubb Spectre : la France veut bousculer les stations de travail a été publié en premier par GinjFo.
Mozilla a corrigé 271 failles de sécurité dans la dernière version de Firefox grâce à l'IA Mythos d'Anthropic, marquant le début d'une ère où l'automatisation par l'IA impose une révision massive et urgente du code source des logiciels.
L’article Une IA a trouvé 271 failles dans Firefox que les humains n’avaient pas vues est apparu en premier sur Tom’s Hardware.
Le fabricant sud-coréen de semi-conducteurs envisage de distribuer en moyenne 477 000 dollars par salarié, une décision qui suscite des réactions mitigées dans le pays.
L’article Ces ingénieurs vont toucher plus de 400 000 dollars de prime, quand on paie la RAM 4 fois plus cher est apparu en premier sur Tom’s Hardware.
La chaîne YouTube Works By Design vient de sortir un projet qui fait pas mal jaser chez les passionnés de crochetage : une serrure dont le cylindre se met littéralement en position fermée après que la clé ait été tournée, rendant l'accès aux goupilles quasi impossible pour n'importe quel individu qui tente de la manipuler sans la bonne clé.
Le principe est assez simple. Quand vous glissez la clé dans la serrure, elle se fixe grâce à un système de magnétisme commutable. C'est le genre de mécanisme qu'on trouve sur les bases magnétiques utilisées en usinage.
Une fois tournée, la clé bascule l'ensemble dans une configuration où le canal d'entrée est masqué. Du coup, même un crocheteur expérimenté avec ses tensors et ses picks classiques se retrouve face à une paroi complètement aveugle. Works By Design a aussi ajouté un système anti-bumping pour couper court à une éventuelle attaque par percussion.
Avant d'arriver à la version définitive, le créateur a imprimé plusieurs prototypes en 3D pour valider le mécanisme, puis il a fini par usiner la version finale en métal en CNC. Un serrurier à qui il avait envoyé le modèle CAO en amont n'avait pas réussi à identifier de vulnérabilité évidente. Premier bon signe.
Sauf que voilà, quand les serrures tests ont été distribuées à la communauté Lock Pickers United (qui rassemble une bonne partie des meilleurs crocheteurs amateurs du monde), certains ont pointé une faille potentielle : l'attaque par impressioning, où l'attaquant utilise une clé vierge pour marquer progressivement l'empreinte des goupilles.
Côté solidité, plusieurs commentateurs doutent de la fiabilité du système magnétique sur le long terme, surtout avec l'usure et la poussière qui viendraient s'y loger.
La serrure reste donc en phase d'évaluation à grande échelle. Historiquement, les innovations en serrurerie finissent quasi toutes par tomber, c'est une question de temps avant que quelqu'un trouve l'angle d'attaque. Mais l'approche de cacher physiquement le canal de la clé plutôt que de multiplier les goupilles est assez originale pour mériter qu'on la suive.
C'est clairement le genre de projet qui ne révolutionnera pas forcément le marché là maintenant tout de suite, mais qui peut faire un peu avancer le schmilblick côté conception mécanique et sécurité.
Source : Hackaday
Monter un Jellyfin dans Docker, ça prend 3 minutes. Mais retrouver dans 18 mois une image encore maintenue, c'est plus le même kung fu ! En effet, beaucoup d'images populaires sur Docker Hub ont déjà pris 2 ou 3 ans de retard sur leur app upstream, et quand c'est un mainteneur solo qui a lâché l'affaire à cause d'un burn out, vous vous retrouvez rapidement avec un putain de Dockerfile cassé à débugger un dimanche à 23h. Chouette programme de vie hein ?
LinuxServer.io , c'est le collectif qui résout ce problème. 17 bénévoles répartis sur différents fuseaux horaires, maintenant 313 dépôts publics sur GitHub, et des images Docker standardisées qui alimentent un paquet de homelabs à travers le monde. Plex, Jellyfin, Sonarr, Radarr, WireGuard, SWAG, Home Assistant, Nextcloud... leur catalogue couvre à peu près tout ce qu'un self-hoster peut demander.
Ce qu'ils proposent c'est une véritable standardisation puisque la plupart de leurs images partagent la même base (Alpine ou Ubuntu le plus souvent, parfois Debian ou Arch selon le cas), utilisent
s6-overlay
(v3 désormais) pour gérer les processus sur Linux, et exposent le même système PUID/PGID avec un volume /config pour la persistance.
Si vous avez déjà galéré avec des fichiers créés en root dans vos volumes Docker, vous voyez de quoi je cause. Là, 2 variables d'environnement et c'est plié :
Connexionenvironment:
- PUID=1000 # votre UID, récupéré via id $user
- PGID=1000 # votre GID, pareil
Faites moi confiance, vous allez voir, le jour où vous avez 15 conteneurs qui tournent en simultannée, c'est tout simplement un vrai soulagement.
Un id $user dans le terminal pour récupérer vos identifiants réels, vous les collez dans le docker-compose, et vos fichiers appartiennent alors bien à votre propre utilisateur. Terminées les galères de permissions à rattraper à coups de sudo chown.
Côté registry, leurs images se récupèrent via ce genre d'URL lscr.io/linuxserver/jellyfin (par exemple), qui redirige vers GHCR avec Docker Hub en miroir.
Côté architectures, leurs images ciblent x86_64 et arm64 en standard, avec du RISC-V 64-bit sur les baseimages Alpine récentes. Ils ont tiré un trait sur l'ARM 32-bit en 2024 donc les Pi 2 ou Pi 3 en mode 32-bit ne sont plus éligibles. Certaines images très spécifiques (Chrome, par exemple) restent amd64-only, mais la grande majorité du catalogue couvre les deux archis principales sans problème.
Et dans leur catalogue, y'a des pépites. Je pense par exemple à leur SWAG qui remplace carrément toute la tambouille Nginx + Certbot + fail2ban que vous vous tapez à la main. C'est super pratique. Après Pangolin reste une alternative intéressante si vous voulez proxy, tunnels et auth intégrés dans le même stack... mais SWAG est un classique éprouvé.
Leur WireGuard est balèze aussi, parfait pour monter un VPN maison en quelques lignes de YAML. Et si vous voulez mettre vos conteneurs en veille entre deux usages, ContainerNursery se marie bien avec.
Faut savoir que pour réussir à maintenir tout ce bordel, ils ont entièrement automatisé leur pipeline de build. Ainsi, quand une app upstream ou ses dépendances changent, l'image est reconstruite et poussée vers GHCR et Docker Hub dans la foulée. Comme ça les mises à jour de la base OS tombent chaque semaine sur leurs 313 repos, et tout ça sans qu'aucun mainteneur n'ait à cliquer sur un bouton. Bien fichu non ?
Du coup, un petit docker-compose pull && docker-compose up -d de temps en temps et votre stack reste à jour sans stress.
Après vous voulez pinner une version précise en prod, c'est possible mais faudra aller checker les tags dispos sur Docker Hub avant de déployer, sinon un pull un peu trop agressif cassera tout.
Le modèle économique est 100% bénévole et l'équipe est financée par des dons via Open Collective, avec notamment DigitalOcean comme partenaire infrastructure principal, des supporters institutionnels genre Pine64, QNAP, Synology ou Unraid, et une cinquantaine de sponsors individuels actifs sur GitHub Sponsors.
Pas d'investisseur à rassurer donc ni de version Pro à la con qui planque de bonnes fonctionnalités derrière un paywall (je déteste les paywalls !!). Ce sont des passionnés qui construisent tout simplement pour le plaisir de bien faire et qui partagent tout en open source.
Voilà, si vous en avez marre des images Docker qui lâchent au bout de 18 mois, ça vaut clairement le coup d'aller faire un tour chez LinuxServer.io . Des gens bons (vous l'avez ?) qui font du bon boulot depuis des années ! Merci à eux et merci à Maxime pour le tuyau !
Lovable, l'étoile montante du vibe coding (vous savez, ces plateformes où vous décrivez une app en langage naturel et une IA vous génère le code), traverse un sale moment.
Un chercheur en sécurité, répondant au doux pseudo de @weezerOSINT, a découvert une faille BOLA (Broken Object Level Authorization) qui permettait à n'importe qui de lire les identifiants, les historiques de chat et le code source de tous les projets créés avant novembre 2025 sur la plateforme.
Bienveillant, le chercheur a envoyé son rapport via HackerOne début mars. Le rapport a été fermé, au motif que les partenaires HackerOne estimaient que l'accès aux chats de projets publics était en fait "le comportement attendu".
Sauf qu'il ne s'agissait pas de projets publics mais de données privées, c'est ballot. Six mois de données se sont retrouvées exposées pendant que le ticket dormait.
Quand l'info est remontée publiquement, la société Lovable a d'abord sorti un premier communiqué. Voilà la version officielle : "c'est du comportement intentionnel" et "notre documentation manquait de clarté". Oui alors bof comme explication...
La gronde est donc montée, en particulier du côté des boîtes comme Uber, Zendesk ou Deutsche Telekom qui utilisent Lovable et se sont retrouvées à devoir expliquer à leurs équipes sécurité ce que faisait leur code source sur une plateforme, à cause de contrôles d'accès défaillants.
Il y a donc eu un second communiqué, avec un rétropédalage complet. Lovable reconnaît désormais que le premier post "n'adressait pas correctement notre erreur" et pointe désormais HackerOne comme responsable du fait que la faille n'ait pas été corrigée plus tôt...
On est donc là sur une stratégie de com qui consiste à balancer sous le bus son propre prestataire de bug bounty, alors que HackerOne n'est que le canal de réception des rapports.
Le vrai sujet dans tout ça, c'est qu'une plateforme qui propose de générer du code à la volée pour des clients enterprise aurait dû avoir des contrôles d'autorisation de base depuis le premier jour. Le vibe coding est une très belle promesse commerciale, mais les boîtes qui hébergent les projets générés doivent gérer la sécurité comme les vrais hébergeurs cloud.
Ce genre d'incident rappelle que la vitesse de génération ne remplace pas les fondamentaux... Bref, on est là sur une triple faute : vulnérabilité de base, gestion du rapport cassée, com de crise désastreuse.
Source : The Register
