Vaultwarden 1.35.5 a été publié le 12 avril 2026 : je vous recommande vivement d'appliquer cette mise à jour : elle corrige trois failles de sécurité.
Le post Vaultwarden 1.35.5 corrige trois vulnérabilités dans le Password Manager a été publié sur IT-Connect.
La mise à jour d'avril du SDK Agents d'OpenAI introduit deux nouvelles briques qui manquaient pour passer de l'agent-jouet au déploiement réel. Le sandboxing natif permet de confiner un agent dans un espace de travail isolé, avec accès limité aux fichiers et outils d'un périmètre défini. Et le nouveau harness d'exécution sépare proprement le plan de contrôle (boucle agent, appels modèle, routing d'outils, approbations, tracing, récupération d'erreurs) du plan de calcul (sandbox où l'agent lit, écrit, exécute du code, installe des dépendances, snapshot son état).
L'architecture est pensée pour les agents "long-horizon", ceux qui travaillent sur des tâches complexes en plusieurs étapes, sur des durées longues, avec un besoin de persistance d'état entre les étapes. Le harness gère la coordination, le développeur apporte son propre compute et stockage. C'est une séparation qui permet de brancher le SDK sur n'importe quelle infrastructure, que ce soit Cloudflare, Vercel, Blaxel ou un cluster interne.
Le SDK introduit aussi une abstraction "Manifest" pour décrire un workspace de manière portable. En clair, vous décrivez les outils, les fichiers et les permissions disponibles dans un format standardisé, et le harness sait reconstituer l'environnement ailleurs. C'est utile pour le test, pour la reproductibilité, et pour déployer le même agent dans des environnements différents sans reconfigurer à la main.
Le lancement est Python d'abord, TypeScript prévu après. Classique. Ça peut agacer les équipes full-stack qui bossent en TypeScript, mais c'est quand même très cohérent avec le fait que la majorité des workloads agents en prod tournent encore en Python, surtout côté data et sécurité.
Ce qui est intéressant, c'est le sous-texte. OpenAI pousse un modèle où son SDK est le harness, et le compute est chez le client ou chez un partenaire cloud. C'est un positionnement de plateforme d'orchestration, pas de fournisseur d'infra. Anthropic et Google proposent des approches comparables avec leurs propres SDKs, mais OpenAI a l'avantage du premier écosystème de plugins et d'outils tiers déjà en place.
Bref, pour les devs qui construisent des agents en prod, cette release comble de vrais trous. Sandboxing et harness, c'étaient les deux pièces manquantes.
Source : Techcrunch
Pour accéder à certaines fonctionnalités de Claude, Anthropic peut maintenant vous demander une pièce d'identité officielle (passeport, permis de conduire, carte nationale d'identité) et un selfie en temps réel. La vérification est gérée par Persona, un prestataire externe, et les données ne sont ni stockées par Anthropic, ni utilisées pour l'entraînement des modèles. Les photocopies, les cartes étudiantes et les pièces numériques ne sont pas acceptées.
Le mécanisme se déclenche a priori dans plusieurs cas : accès à des capacités spécifiques, vérifications d'intégrité de plateforme, ou mesures de conformité. Anthropic ne détaille pas vraiment les usages qui déclenchent cette vérification, ce qui crée du coup un flou que pas mal d'utilisateurs n'apprécient pas des masses.
Le timing est franchement gênant. Des millions d'utilisateurs ont migré vers Claude ces derniers mois, après les polémiques sur la surveillance et les accords controversés d'OpenAI avec des agences gouvernementales. "Vous avez quitté OpenAI pour la vie privée. Claude veut maintenant votre passeport", déclarent même certains journalistes. L'image n'est pas fausse.
Anthropic se défend, en expliquant que les images restent chez Persona, Anthropic y accède uniquement sur demande (appel, par exemple), et le prestataire est contractuellement interdit de les utiliser à d'autres fins que la vérification et la prévention des fraudes. Pas de revente, pas de marketing. Sur le papier, c'est propre. En pratique, vous donnez quand même un document d'identité gouvernemental à un sous-traitant pour pouvoir poser des questions à un chatbot.
La vraie question, c'est pourquoi. Anthropic invoque la sécurité et la conformité, mais la pression réglementaire sur les modèles d'IA pousse les éditeurs à vérifier l'âge et l'identité des utilisateurs, surtout quand leurs modèles deviennent plus puissants. On l'a vu avec OpenAI et son programme Trusted Access for Cyber, même logique d'accès vérifié.
Pour les utilisateurs qui utilisent Claude pour du code, de l'écriture ou de la recherche, ça ne changera probablement rien au quotidien. La vérification ne se déclenche pas pour tout le monde, pas tout le temps. Mais si ça tombe sur vous, refuser revient à perdre l'accès aux fonctionnalités concernées. Pas d'alternative proposée.
Bref, il y a là une logique réglementaire, mais le contraste avec l'image "pro-vie privée" d'Anthropic pique un peu.
Source : Helpnetsecurity
Ligier a peut-être perdu la bataille du prix face à la Citroën Ami, mais la marque continue de miser sur un argument simple : offrir à ses clients davantage de voitures électriques sans permis. C’est le cas avec sa nouvelle batterie « haute performance ».
[Deal du jour] Le nouvel épisode de Tomodachi Life a débarqué sur Switch 2, mais sa version physique est rapidement tombée en rupture de stock. Voilà où le trouver, et au meilleur prix.
L'avion supersonique expérimental X-59 enchaine les vols. Le jet en est déjà à son huitième essai, avec cette fois une différence notable : le train d'atterrissage a été rentré.
OpenSSL 4.0 est une nouvelle version majeure qui ajoute de nouvelles fonctionnalités, comme la prise en charge de l'Encrypted Client Hello (ECH).
Le post Nouveautés OpenSSL 4.0 : support d’ECH et nettoyage des options Legacy a été publié sur IT-Connect.
Une étude publiée le 15 avril 2026 dans la revue Nature révèle un phénomène aussi fascinant qu’inquiétant : des modèles d’IA peuvent se transmettre des biais, des préférences -- voire des comportements problématiques -- à travers des données qui n’en contiennent aucune trace visible.
Connexion