La NASA a calculé le retard accumulé par le vaisseau Starship de SpaceX, toujours en développement : deux ans. En cause ? Le plan de SpaceX pour aller sur la Lune.
Apple vient de publier iOS 16.7.15 et iOS 15.8.7 pour les anciens iPhone et iPad. Ces mises à jour corrigent des failles activement exploitées par Coruna, un kit d'espionnage qui combine 23 vulnérabilités pour compromettre un appareil simplement en chargeant une page web, je vous en parlais ici. Si vous avez encore un iPhone 6s, 7, 8 ou X, la mise à jour est urgente.
Google et iVerify ont rendu public le kit Coruna le 3 mars. Il regroupe 23 failles en cinq chaînes d'exploitation et cible les iPhone sous iOS 13 à iOS 17.2.1. L'outil aurait été conçu par une filiale de L3Harris Technologies, un sous-traitant de défense américain, et vendu à des agences gouvernementales alliées des États-Unis.
Sauf que voilà, le kit a fini par circuler bien au-delà de ce cercle. Un groupe d'espionnage russe l'a utilisé en juillet 2025 contre des cibles ukrainiennes, et un acteur chinois s'en est servi fin 2025 via de faux sites de cryptomonnaies et de paris en ligne. Plus de 50 domaines de distribution ont été identifiés.
Les mises à jour publiées par Apple couvrent deux générations d'anciens appareils. iOS 15.8.7 concerne les iPhone 6s, iPhone 7, iPhone SE première génération, l'iPad Air 2, l'iPad mini 4 et l'iPod touch septième génération. iOS 16.7.15 vise les iPhone 8, 8 Plus et iPhone X, ainsi que l'iPad cinquième génération et les premiers iPad Pro.
Les quatre CVE corrigées touchent le noyau et le moteur WebKit. Le kit exploite ces failles sans aucune interaction de l'utilisateur : il suffit de charger une page web piégée pour que l'appareil soit compromis.
Une fois l'appareil compromis, le malware PlasmaLoader s'attaque aux portefeuilles de cryptomonnaies comme MetaMask, Exodus ou Bitget Wallet. Google a qualifié Coruna de première exploitation de masse connue contre iOS.
Le kit détecte le modèle d'iPhone et la version d'iOS avant de choisir la bonne chaîne d'exploitation. Il évite aussi de s'exécuter si le mode Isolement est activé ou si la navigation est en mode privé.
Apple fait quand même bien le job en patchant des appareils qui ont jusqu'à dix ans, et c'est plutôt rassurant !
Source : The Hacker News
Pour la première fois, des astronomes ont pu observer la naissance d'un magnétar, une sorte d'étoile à neutrons très particulière. Ces nouvelles données confirment que ces astres sont la cause d'explosions incroyablement brillantes et toujours mystérieuses.
Après une année 2025 difficile, Firefly Aerospace vient de redresser la tête. Sa septième mission avec la fusée Firefly Alpha est un succès.
La NASA a calculé le retard accumulé par le vaisseau Starship de SpaceX, toujours en développement : deux ans. En cause ? Le plan de SpaceX pour aller sur la Lune.
Crawler un site entier, ça devrait pas être aussi compliqué. Et pourtant, entre les scripts maison qui cassent tous les 2 jours et les headless browsers qui bouffent de la RAM comme pas permis, c'est assez la galère ! Du coup, Cloudflare, dans sa grande bonté (lol) vient de sortir un endpoint /crawl (en open beta) dans la section Browser Rendering qui simplifie tout ça... vous balancez une URL dessus et hop, ça ASPIRE tout le site (oui oui).
En gros, vous envoyez une requête POST avec l'URL de départ, et le service se charge de découvrir les pages (via le sitemap, les liens internes, ou les deux), de les générer dans un navigateur headless, et de vous renvoyer le contenu en HTML, Markdown ou même en JSON structuré grâce à Workers AI. Le tout de manière asynchron ! Vous, vous récupérez juste un job ID et vous revenez plus tard chercher les résultats quand c'est prêt.
Avant toute chose, il vous faut un token API Cloudflare avec la permission "Browser Rendering - Edit". Rendez-vous dans votre dashboard Cloudflare, section API Tokens, et créez-en un nouveau. Notez aussi votre Account ID (visible dans l'URL du dashboard ou dans la section Overview de n'importe quel domaine).
Là, ensuite c'est hyper simple. Un seul appel curl suffit :
Connexioncurl -X POST "https://api.cloudflare.com/client/v4/accounts/VOTRE_ACCOUNT_ID/browser-rendering/crawl" \
-H "Authorization: Bearer VOTRE_TOKEN" \
-H "Content-Type: application/json" \
-d '{"url": "https://example.com"}'
Et là, vous récupérez un job ID en retour (genre c7f8s2d9-a8e7-4b6e-...). Par défaut, le crawler va explorer 10 pages max avec une profondeur quasi illimitée. Mais bon, 10 pages c'est vite limité, du coup vous pouvez ajuster tout ça comme ceci :
curl -X POST "https://api.cloudflare.com/client/v4/accounts/VOTRE_ACCOUNT_ID/browser-rendering/crawl" \
-H "Authorization: Bearer VOTRE_TOKEN" \
-H "Content-Type: application/json" \
-d '{
"url": "https://example.com/docs",
"limit": 50,
"depth": 3,
"formats": ["markdown"],
"render": false,
"options": {
"includePatterns": ["https://example.com/docs/**"],
"excludePatterns": ["**/changelog/**"]
}
}'
Le paramètre render: false permet de récupérer le HTML brut sans lancer de navigateur headless, c'est carrément plus rapide pour les sites statiques. Sachez quand même que pendant la beta, ce mode n'est pas facturé ! Youpi !
Une fois le crawl lancé, vous interrogez le job avec un GET :
curl "https://api.cloudflare.com/client/v4/accounts/VOTRE_ACCOUNT_ID/browser-rendering/crawl/VOTRE_JOB_ID" \
-H "Authorization: Bearer VOTRE_TOKEN"
Vous obtenez alors le statut (running, completed, errored...) et la liste des pages crawlées avec leur contenu dans le format demandé. Si le résultat dépasse 10 Mo, un curseur de pagination est inclus pour récupérer la suite.
Y'a quelques paramètres bien pensés pour les cas plus avancés :
modifiedSince et maxAge pour du crawling incrémental (ne re-crawler que les pages modifiées récemment)source: "sitemaps" pour ne suivre que le sitemap au lieu de parser tous les liensjsonOptions avec un prompt Workers AI pour extraire des données structurées automatiquement (genre récupérer le nom, le prix et le stock de 500 fiches produit d'un e-commerce en une seule passe)rejectResourceTypes pour bloquer images, fonts et CSS et accélérer le crawlauthenticate pour les sites protégés par une auth HTTP basiqueAttention quand même, y'a quelques subtilités à savoir. Un job peut tourner 7 jours max et les résultats sont conservés 14 jours seulement, du coup pensez à les récupérer vite. Le crawler respecte le robots.txt (y compris le crawl-delay), et si un site vous bloque, les URLs apparaissent comme "disallowed" dans les résultats. Sauf que ça ne vous dit pas pourquoi, faudra aller checker le robots.txt vous-même.
Voilà, cette "merveille" pour les scrappeurs fous est dispo sur les plans Free et Paid de Workers , et si vous voulez aller plus loin, Cloudflare propose aussi des endpoints pour les screenshots, les PDF et le scraping ciblé .
Voilà, un petit crawler inclus dans le plan Free de Workers, qui respecte le robots.txt et qui sort du Markdown ou du JSON structuré... je vais surveiller ça de près !
La célèbre cérémonie des Ig Nobel, qui récompense les découvertes scientifiques insolites, n'aura pas lieu aux États-Unis cette année. Les organisateurs craignent que de nombreux chercheurs à travers le monde ne puissent pas se rendre sur place à cause des restrictions mises en place par l'administration Trump.
C'est un virage à 180° qui s'opère au sujet du nucléaire. Hormis les pays comme la France qui ont continué à miser dessus au cours des trente dernières années, d'autres ont réduit la voilure, ou abandonné l'atome. Une « erreur stratégique », analyse aujourd'hui Bruxelles. Le temps de la remontée en puissance est venu.
L'entreprise américaine Firefly Aerospace peine à procéder au décollage de sa fusée Firefly Alpha. En un mois, plusieurs tentatives ont été annulées.
Une des sondes de la mission Van Allen Probes va revenir sur Terre. Ou plutôt, elle va se désintégrer en plongeant dans l'atmosphère terrestre. Une fin de vie classique pour un satellite en orbite depuis 14 ans, mais qui se produit bien plus tôt que ce que prévoyaient les modèles.
Le MCP, c'est devenu LE truc standard pour connecter des IA à vos outils. Sauf que voilà... brancher Claude sur n8n, en pratique, c'était encore un peu le bazar avec du JSON à copier-coller dans tous les sens. Mais heureusement, un dev a décidé de faire les choses proprement avec un vrai serveur MCP dédié.
n8n MCP , c'est un serveur MCP open source (sous licence MIT) qui donne à votre IA un accès direct à n8n avec plus de 1 000 nœuds supportés (Gmail, Slack, PostgreSQL, HTTP...), leurs propriétés, leurs opérations, bref tout le bazar. Vous décrivez ce que vous voulez, et youplaboom, l'IA construit le workflow à votre place. Comme ça plus besoin d'exporter du JSON, de l'importer, de corriger les erreurs cryptiques... c'est plié !
Et le truc chouette, c'est son système de mises à jour différentielles. Au lieu de renvoyer tout le workflow à chaque modif (et bouffer vos tokens comme un goinfre), le serveur ne transmet que ce qui a changé. Résultat, 80 à 90% de tokens en moins sur les grosses modifs. Pas mal du tout, hein ?!
Côté compatibilité, c'est large : Claude Desktop, ChatGPT, Cursor, Gemini CLI, Codex CLI... la liste est carrément longue. Via le service hébergé, c'est du OAuth zero-setup pour pas mal de clients, vous cliquez et c'est bon. Pour les IDE comme Cursor ou VS Code (avec une extension MCP), faut une clé API mais rien de bien sorcier. Après, ça ne marchera pas avec tous les clients MCP non plus, donc vérifiez la liste sur leur site avant de vous lancer.
D'ailleurs, si vous avez kiffé OneMCP qui simplifie la gestion des serveurs MCP, ici c'est totalement complémentaire. OneMCP gère la plomberie générale, n8n MCP se spécialise sur un truc précis à savoir donner à l'IA la connaissance COMPLÈTE de n8n (plus de 500 nœuds officiels et autant de nœuds communautaires) pour qu'elle puisse construire des workflows qui marchent du premier coup... enfin presque.
Y'a aussi une bibliothèque de plus de 2 700 templates de workflows prêts à l'emploi avec recherche sémantique. Genre vous dites "je veux un workflow qui surveille mes commits GitHub et m'envoie un récap Slack chaque soir" et l'IA pioche dans les templates existants pour vous pondre un truc fonctionnel.
Après pour l'installation, c'est soit le service hébergé (gratuit pour 100 appels par jour mais rien à configurer), soit en self-hosted via npx n8n-mcp (faut Node.js 18+) ou Docker (~280 Mo l'image, basée sur Alpine). Perso, le mode hébergé suffit largement pour tester, et si vous voulez aller plus loin c'est de la licence MIT donc vous faites ce que vous voulez.
Attention quand même, le projet (tout comme moi) recommande de ne JAMAIS laisser l'IA modifier vos workflows de production directement. Toujours copier, tester en dev, exporter un backup. C'est du bon sens mais ça vaut le coup de le rappeler parce que sinon, le jour où votre IA décide d'"optimiser" votre pipeline de facturation en supprimant des nœuds qu'elle juge inutiles... bah gros caca en perspective !
Et si vous voulez voir comment ça se marie avec d'autres serveurs MCP genre Chrome DevTools MCP , c'est tout à fait possible de combiner les deux pour que votre IA construise un workflow n8n ET debug le front dans Chrome en même temps. La stack IA-augmentée commence à devenir sérieusement sérieuse ! Oui je suis sérieux ^^ !
Bref, plutôt que de bidouiller avec du JSON à la main ou de lancer des OpenClaw sans sécurité en mode gros débilo de Linkedin..., bah vous demandez à Claude et lui fera le job proprement sous votre contrôle !
Les météorites sont des roches extraterrestres, prisées des collectionneurs et des férus d'espace. Mais, qu'est-ce qu'une météorite exactement ? Quelle différence entre météorite, météore, météoroïde et bolide ?
La mission Proba 3 ne répond plus. Cette sonde lancée par l'Agence spatiale européenne (ESA) fin 2024 ne montre aucun signe de vie. Elle devait tester des manœuvres de proximité, mais suite à une anomalie, il est impossible de communiquer avec elle.
SpaceX poursuit sa campagne de calibrage pour le prochain vol de la fusée Starship. Ce week-end, des tests cryogéniques et de résistance à la pression ont eu lieu. Le décollage reste envisagé dans les prochaines semaines.
Habituellement rare en Antarctique, la pluie remplace de plus en plus souvent la neige, en particulier sur la péninsule. Ce n’est pas une bonne nouvelle pour les glaciers, les manchots et même les scientifiques qui travaillent sur le terrain.
Les plans d’armes imprimées en 3D circulent librement en ligne et les saisies se multiplient. Mais ces armes sont-elles vraiment intraçables ? En Australie, une nouvelle étude démontre que leur signature chimique pourrait aider les enquêteurs à remonter les filières.
Découvert fin 2024, l'astéroïde YR4 était au centre de nombreuses spéculations car sa trajectoire avait une faible possibilité de croiser celle de la Terre ou de la Lune. Finalement, de nouvelles observations révèlent que nous sommes bel et bien à l'abri de toute collision.
Le chiffrement complet du disque, tout le monde vous dit que c'est la base. LUKS sous Linux, BitLocker sous Windows, FileVault sous macOS... sauf que personne vous dit quoi faire quand votre serveur reboot à 3h du mat et qu'il attend sagement sa passphrase.
Là, vous êtes coincé !!!!
Parce que oui, le truc vicieux avec le chiffrement intégral, c'est qu'au démarrage, le système ne peut pas lire le disque tant que vous n'avez pas tapé le mot de passe. Du coup, si votre machine est dans un datacenter ou chez un hébergeur, ben... faut se déplacer physiquement. Et ça c'est bien relou !!!
La solution, c'est d'embarquer un serveur SSH directement dans l' initramfs (oui, le mini OS qui tourne AVANT votre vrai système, sur le port 22). En gros, votre machine boot, charge l'initramfs, lance un serveur SSH... et vous n'avez plus qu'à vous connecter à distance pour taper la passphrase. Comme ça le disque se déverrouille et le boot continue. Voilà quoi, c'est simple la vie quand on lit Korben.info !! loool
Alors pour ceux qui débarquent, l'initramfs c'est une archive compressée dans /boot/initramfs-linux.img qui contient un système Linux minimal. Son boulot, c'est de préparer le terrain avant de passer la main au vrai OS, genre charger les modules noyau, détecter le matériel, monter les systèmes de fichiers... et dans notre cas, demander la passphrase LUKS. Genre un second OS, mais en version bonsaï !
Dropbear
, c'est un serveur SSH ultra-léger (environ 110 Ko) parfait pour l'initramfs.
L'article de jyn qui m'a inspiré pour cet article
, recommande Arch Linux avec mkinitcpio, mais sachez que sous Debian/Ubuntu le paquet dropbear-initramfs fait le même boulot avec update-initramfs.
Sur Arch, vous installez mkinitcpio-systemd-extras puis vous modifiez /etc/mkinitcpio.conf pour ajouter les hooks réseau et Dropbear :
HOOKS=(base systemd autodetect microcode modconf kms keyboard sd-vconsole block sd-encrypt filesystems fsck systemd-network dropbear)
Attention, l'ordre des hooks compte. Le réseau doit être configuré AVANT Dropbear, sinon votre serveur SSH démarre sans interface réseau. Pas super utile donc !
Ensuite faut créer un fichier de config réseau dans /etc/systemd/network-initramfs/. En fait, c'est du systemd-networkd classique, donc si vous avez déjà configuré ça, c'est pareil. Un simple fichier .network avec DHCP fait le job en Ethernet (et pour un serveur, c'est clairement recommandé). Pour les plus paranos, une IP statique marche aussi, sauf que faudra pas oublier de la mettre à jour si vous changez de réseau.
Après si votre serveur est derrière un NAT ou un firewall, bah... le SSH classique ne passe pas. Du coup, jyn a eu la bonne l'idée d'embarquer Tailscale dans l'initramfs aussi. Comme ça, la machine rejoint votre réseau privé Tailscale dès le boot, même avant le déchiffrement du disque.
Vous lancez setup-initcpio-tailscale, ça vous donne un lien d'authentification sur login.tailscale.com et c'est réglé. Après faut penser à configurer les ACL Tailscale pour que SEULE votre machine d'admin puisse se connecter à l'initramfs car OUI ON NE LAISSE PAS UN PUTAIN DE SSH ouvert sur un système pré-boot sans protection, HEIN ?? HEIN ?? Donc faites ça !!
Vous vous en doutez, y'a quand même quelques pièges à éviter. D'abord, les clés SSH de Dropbear dans l'initramfs (stockées dans /etc/dropbear/) doivent être DIFFÉRENTES de celles d'OpenSSH dans /etc/ssh/. Parce que l'initramfs n'est pas chiffré (bah oui, il doit tourner avant le déchiffrement), donc ces clés sont techniquement accessibles à quelqu'un qui a un accès physique au disque.
Ensuite, attention, limitez ce que Dropbear peut faire. Pas de shell complet, juste la commande systemd-tty-ask-password-agent qui sert uniquement à taper la passphrase. Comme ça, même si quelqu'un arrive à se connecter, il ne peut rien faire d'autre.
Et désactivez aussi l'expiration des clés Tailscale pour la machine initramfs via --auth-key avec un token non-éphémère, sinon votre serveur va se retrouver éjecté du réseau au pire moment.
Une fois tout configuré, un petit mkinitcpio -P pour reconstruire l'initramfs et c'est bon. Si ça ne marche pas du premier coup, vérifiez les logs avec journalctl -b. Mais attention, testez ça sur une VM ou une machine avec accès console (IPMI, iDRAC, KVM-over-IP) d'abord, parce que si le réseau de l'initramfs ne monte pas, votre serveur devient une brique inaccessible... et là, c'est le vrai drame de votre vie qui commence (et la découverte de France Travail) !
Au prochain reboot, votre serveur va donc démarrer, charger l'initramfs, se connecter à Tailscale, lancer Dropbear... et attendre patiemment que vous tapiez la passphrase depuis votre canapé.
Si vous gérez des serveurs chiffrés à distance, c'est le genre de setup un peu touchy à la base mais qui change la vie. Comme ça, plus besoin de supplier / soudoyer / menacer (chacun sa technique) le technicien du datacenter d'astreinte de brancher un clavier ^^.
Découvrir le tuto complet de Jyn ici !
