Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 1 juillet 2026Flux principal

Claude Desktop - L'appli officielle débarque enfin sur Linux

Par : Korben ✨
30 juin 2026 à 19:55

Amis linuxiens, je viens vous quérir d'une charmante nouvelle qui va faire frisoter votre barbe. Anthropic vient de sortir son application Claude Desktop pour Linux, et cette fois c'est une beta officielle, qui plus est, installable directement depuis un dépôt apt maison. Vous y retrouvez donc les mêmes onglets Chat, Cowork et Code que sur macOS et Windows : sessions parallèles , revue visuelle des diffs, terminal et éditeur intégrés, et preview de l'app en direct.

C'est le même Claude Code que d'habitude, mais dans une vraie fenêtre de bureau au lieu de votre terminal.

Pour l'installer, il vous faudra Ubuntu 22.04 ou plus récent, ou Debian 12 ou plus, en x86_64 ou arm64. Vous ajoutez la clé de signature et le dépôt d'Anthropic, et vous laissez apt bosser :

sudo curl -fsSLo /usr/share/keyrings/claude-desktop-archive-keyring.asc https://downloads.claude.ai/claude-desktop/key.asc
echo "deb [arch=amd64,arm64 signed-by=/usr/share/keyrings/claude-desktop-archive-keyring.asc] https://downloads.claude.ai/claude-desktop/apt/stable stable main" | sudo tee /etc/apt/sources.list.d/claude-desktop.list
sudo apt update && sudo apt install claude-desktop

Et voilà !

L'intérêt de passer par le dépôt plutôt que par un fichier, c'est que les mises à jour arrivent avec vos apt upgrade habituels, sans rien re-télécharger à la main.

Y'a bien un .deb à récupérer sur claude.com/download si vous ne pouvez pas utiliser le dépôt, mais celui-là ne se mettra jamais à jour tout seul.

Alors cette news pourrait vous étonner mais jusqu'ici, pour avoir Claude Desktop sur Linux, fallait passer par des projets communautaires pas toujours très bien maintenus. Le plus costaud et le plus connu, c'était aaddrick/claude-desktop-debian qui pourtant n'était pas magique puisqu'il téléchargeait l'installeur Windows, en extrayait l'app Electron (le fameux app.asar), virait les modules natifs Windows-only pour les remplacer par des stubs Linux, recompilait node-pty, patchait les verrous de plateforme et repackageait tout ça en .deb.

Vous faisiez donc tourner le JavaScript prévu pour Windows, avec une bonne dose de bricolage et bizarrement ça marchait bien. Mais bon ça restait un repack par-dessus un binaire qui n'était pas conçu pour le manchot...

Toutefois, une beta restant une beta, le Computer Use (le contrôle de votre écran et de vos applis) n'est pas dispo ni la dictée vocale. Faudra passer par le CLI pour ça.

Et surtout, Anthropic ne couvre pour le moment que les distributions basées sur Debian. Pas de Fedora, RHEL, Arch ou Nix, alors que le projet communautaire balançait des .rpm, des AppImage, un paquet AUR et un flake Nix. Snif...

Donc oui, l'app officielle débarque, mais elle boite un peu. Maintenant, j'sais pas vous mais je préfère quand même largement le CLI Claude Code à cette app et elle a le mérite de très bien fonctionner sur bien plus de distributions.

En attendant, si vous êtes sur Debian ou Ubuntu, l'install prend deux minutes et la doc complète est par ici .

PS : Et au moment où je finalise cet article, je vois qu' Anthropic a sorti Claude Science qui promet d'accompagner la recherche scientifique... Je vous laisse aller voir ça, moi je crois que j'ai assez parlé d'eux pour auj. ^^

À partir d’avant-hierFlux principal

AUR Arch Linux - 400 paquets vérolés, êtes-vous touché ?

Par : Korben ✨
12 juin 2026 à 17:54

MÀJ du 12 juin : quand j'ai publié cet article, on en était à 400 paquets vérolés. Sauf que le chiffre n'a pas arrêté de grimper dans la journée. Quelques heures plus tard on parlait de 900, puis en fin de journée la liste recensait déjà 1579 paquets touchés, et les devs d'Arch précisent eux-mêmes que cette liste contient "beaucoup, mais pas tous" les paquets concernés. Bref, le décompte bouge en permanence, et il a même été suivi d'une seconde vague d'attaque encore plus sophistiquée. Donc si vous voyez circuler 400, 1500 ou 2000, c'est juste que chacun a pris la photo à un instant différent. La bonne nouvelle, c'est que les développeurs d'Arch ont depuis supprimé tous les commits malveillants qu'ils ont identifiés et estiment l'incident sous contrôle.

Si vous tournez sous Arch Linux et que vous piochez vos paquets dans l'AUR, lâchez ce que vous faites 2 minutes et lisez mon article. Car plus de 400 paquets de l'Arch User Repository ont été vérolés ce 11 juin, et le truc qu'ils embarquent ne rigole pas du tout. En effet, des chercheurs de Sonatype ont repéré une campagne baptisée Atomic Arch où un seul attaquant a réussi à glisser un stealer (un voleur d'identifiants quoi) dans des centaines de paquets d'un coup.

Mais bonne nouvelle avant de paniquer quand même, les dépôts officiels d'Arch (core, extra, multilib) ne sont pas concernés. C'est l'AUR, et uniquement l'AUR.

Si vous avez installé ou mis à jour un paquet AUR ces derniers jours, vous devez donc vérifier si vous n'êtes pas infecté. Des noms comme alvr, gnome-randr-rust ou ipfs-desktop-bin font partie de la liste, et elle est sacrément longue. Le signe qui doit vous mettre la puce à l'oreille, c'est par exemple un paquet qui n'a rien à voir avec du JavaScript et qui se mettrait pourtant à lancer un npm install durant son installation.

Pour sortir la liste de tout ce qui vient de l'AUR sur votre machine, un petit pacman -Qm fera le job, et le forum de CachyOS propose également un script qui compare vos paquets à la liste des vérolés connus. Méfiez-vous quand même, car ce script repère juste les noms de paquets piégés, et ne vérifie pas l'intégrité de votre système. Un résultat propre veut dire qu'aucun paquet connu n'est installé chez vous, mais pas que vous êtes tiré d'affaire, alors on reste concentré.

Alors comment ce malware s'est retrouvé dans autant de paquets ?

Eh bien l'attaquant n'a même pas eu besoin de pirater quoi que ce soit puisque l'AUR permet à n'importe qui "d'adopter" les paquets orphelins, c'est-à-dire ceux que leur mainteneur d'origine a laissés tomber. Il a donc récupéré la propriété de centaines de ces paquets abandonnés via la procédure normale, puis modifié leur PKGBUILD pour qu'à l'installation, un hook télécharge en douce un paquet npm piégé du genre atomic-lockfile. Ce paquet déploie ensuite un binaire baptisé deps, et ce deps, c'est une vraie saloperie.

Parce que ce deps, comme je vous le disais, c'est un voleur d'identifiants mais vraiment taillé pour cibler les développeurs. Dans le dos de la victime, il récupère vos clés SSH privées, vos tokens GitHub, vos identifiants npm, Docker et Podman, vos tokens HashiCorp Vault, les cookies et mots de passe de vos navigateurs, vos sessions Slack, Discord ou Telegram, vos configs VPN et même tout votre historique de commandes shell. En clair, toutes les clés de votre vie de dev qui, une fois dans la nature, ouvrent grand la porte vers d'autres systèmes.

Et si vous avez lancé le paquet en root, il installe en prime un rootkit eBPF qui se planque carrément dans le noyau pour masquer ses processus. Le fonctionnement même de ce truc fait alors qu'il est quasi impossible de détecter à l'œil nu si on est infecté ou pas. On est sur la même logique que le ver Shai-Hulud planqué dans des paquets , sauf qu'ici l'échelle a pris une autre dimension.

Alors que faire pour se protéger ?

Eh bien si vous avez le moindre doute, partez du principe que la machine est compromise, surtout si le paquet a tourné avec les droits root. Et supprimer le paquet ne suffira pas car le rootkit, lui, reste planté.

Donc on fait comme d'hab, on régénère tous ses secrets, nouvelles clés SSH, révocation et régénération des tokens GitHub, npm, Docker et Vault, changement des mots de passe stockés dans le navigateur et compagnie... Et pour la suite, comme d'hab, faites attention à ce que vous installez et prenez l'habitude de lire les PKGBUILD avant de valider, parce qu'un script post-install qui fait autre chose qu'un simple echo, ça doit vous faire tiquer direct.

Quoi qu'il en soit, l'AUR n'a jamais été audité, c'est même l'un des principes du truc et tout le monde le sait... mais des centaines voire plus d'un millier de paquets piégés d'un coup avec un rootkit qui vise vos accès, ça change fortement l'échelle du problème.

Bref, vérifiez vos paquets et faites tourner vos secrets aussi bien que vous faites tourner les serviettes quand c'est le jour du beaujolais au taf !

Et un grand merci à Maximilien pour le lien !

Source

La beta de macOS 27 fait disparaître Asahi Linux des Mac

11 juin 2026 à 16:16

Mauvaise surprise pour les utilisateurs d'Asahi Linux, le projet qui fait tourner Linux nativement sur les Mac équipés de puces Apple Silicon (les fameuses M1, M2 et suivantes). La première beta développeur de macOS 27, alias "Golden Gate", distribuée le 8 juin juste après la keynote de la WWDC (la grande conférence annuelle d'Apple), fait disparaître leur partition Linux du menu de démarrage.

Le coupable est un changement dans la façon dont le boot picker (l'écran qui permet de choisir sur quel système démarrer à l'allumage du Mac) et l'application Disque de démarrage détectent les volumes jugés valides. Avec macOS 27, la partition Asahi, c'est à dire la zone du disque où Linux est installé, n'est plus reconnue comme un système amorçable.

Elle est toujours là, intacte, avec toutes vos données. Sauf que voilà. Impossible de démarrer dessus.

L'équipe du projet a publié un avertissement très clair sur Mastodon : ne mettez PAS à jour vers macOS 27 si vous utilisez Asahi. Et pour éviter les accidents, l'installateur a été modifié pour refuser de s'exécuter sur une machine déjà passée sous la nouvelle beta. Ceux qui passent outre sont prévenus, il n'y aura pas de support.

Personne ne crie au complot pour autant. L'équipe Asahi penche pour une modification accidentelle plutôt que pour une volonté délibérée d'Apple de chasser Linux de ses machines, et un rapport de bug a été déposé sous la référence FB22994760.

D'autant que la régression dépasse le seul cas de Linux : des testeurs qui gardent une ancienne version de macOS sur une partition séparée se retrouvent avec le même sélecteur amnésique. C'est donc toute la mécanique du multi-boot qui semble cassée dans cette première beta, pas une attaque ciblée contre Linux.

Une parade existe d'ailleurs pour les plus téméraires. Si une copie de macOS 26 traîne sur un second volume, il suffit de la définir comme disque de démarrage par défaut : le sélecteur se lance alors depuis cette partition, où la logique de détection fonctionne encore, et Asahi réapparaît comme par magie.

Pour rappel, Asahi Linux est né d'un travail de rétro-ingénierie assez dingue. Apple ne documente ni la séquence de démarrage de ses machines, ni le fonctionnement de ses puces graphiques, et l'équipe a tout reconstruit à la main pour aboutir à Fedora Asahi Remix, la distribution de référence quand on veut du Linux sur un Mac récent. Le projet a traversé une année 2025 agitée, avec le départ de son fondateur Hector Martin, mais c'est toujours la meilleure option pour faire vivre Linux sur ces machines.

La version finale de macOS 27 n'arrivera qu'à l'automne, ce qui laisse plusieurs mois à Apple pour corriger le tir. Le bug est signalé, la balle est dans le camp de Cupertino.

Bref, dépendre d'un sélecteur de démarrage qu'Apple peut casser à chaque beta, c'est toute la fragilité du Linux sur Mac résumée en une mise à jour.

Source : The Register

Linux va enfin faire tourner le GA100 de NVIDIA avec un pilote 100% libre

29 mai 2026 à 11:03

Petite victoire pour le logiciel libre. Avec la prochaine version du noyau Linux, la 7.2, le pilote Nouveau va enfin prendre en charge le GA100 de NVIDIA.

Pour situer, Nouveau, c'est le pilote graphique libre développé par la communauté pour faire fonctionner les cartes NVIDIA sans dépendre du pilote propriétaire maison.

Le GA100, lui, n'est pas une carte de gamer. C'est la puce qui anime l'A100, l'accélérateur que NVIDIA vend par camions entiers aux data centers pour entraîner les IA et faire tourner du calcul scientifique. Une bête taillée uniquement pour le calcul, sans même de sortie vidéo.

Et c'est justement ce qui posait problème. Nouveau gérait déjà les autres cartes de la génération Ampere grâce au GSP, un petit processeur embarqué sur la carte qui sert d'intermédiaire pour la piloter.

Sauf que le GA100, étant une puce entièrement dédiée au calcul, faisait bande à part et réclamait un traitement particulier, en réutilisant au passage des bouts de code prévus pour la génération précédente. NVIDIA a fini par publier les correctifs nécessaires en février, et ils arrivent donc maintenant dans le noyau.

Attention quand même à ne pas crier victoire trop vite. Le pilote côté noyau est prêt, d'accord, mais la partie logicielle qui permet réellement d'exploiter la carte pour faire du calcul n'est pas encore au point côté libre.

Les outils comme Mesa ou les pilotes OpenCL ne savent toujours pas gérer une carte NVIDIA dépourvue de moteur 3D. Il reste du boulot avant d'avoir une chaîne entièrement open source du début à la fin.

Source : Phoronix

❌
❌