Les news de Korben

Firefox Nightly accueille enfin l'API Web Serial, six ans après l'avoir refusée

Korben — Wed, 15 Apr 2026 10:22:25 +0200

Six ans. C'est le temps qu'il aura fallu à Mozilla pour changer d'avis sur l'API Web Serial. Firefox Nightly 151 l'intègre désormais, avec activation via un flag à aller chercher dans le menu. Le premier commit côté code date de mi-janvier, et le déploiement pour les utilisateurs Nightly est effectif depuis le 13 avril.

Pour ceux qui ne connaissent pas, Web Serial est l'API standardisée qui permet à une page web de communiquer directement avec un périphérique série connecté en USB, en Bluetooth ou via un vrai port série.

Imprimante 3D, Arduino, carte ESP32, débogueur JTAG, microcontrôleur industriel, hub domotique, tout ce qui expose une liaison série peut être piloté depuis du JavaScript. C'est par exemple ce qui fait tourner l'IDE Arduino en ligne, Espruino, les flasheurs ESP dans le navigateur, et une bonne partie de la scène maker moderne.

Chrome, Edge, Opera et Vivaldi supportent Web Serial depuis 2020. Firefox, lui, tenait une position claire, trop risqué, le consentement utilisateur ne protège pas assez, la surface d'attaque sur le matériel connecté est bien trop large.

Un ingénieur de Mozilla l'avait écrit noir sur blanc à l'époque. Les utilisateurs Firefox qui bidouillaient avec des cartes électroniques étaient de fait poussés sur Chrome ou sur une extension tierce bancale. En 2026, Mozilla rend les armes et aligne Firefox sur le reste de l'écosystème, Apple mis à part.

Apple, justement, reste fermement opposé à Web Serial, WebUSB et WebHID côté WebKit. Les arguments avancés sont les mêmes qu'à l'époque Mozilla, fingerprinting, sécurité, risques sur l'OS.

Safari n'intégrera pas l'API dans un avenir prévisible. Donc en pratique, si vous avez une webapp qui dialogue avec du matos, iOS et iPadOS restent hors-jeu pour cet usage.

Côté permissions, Web Serial exige une validation utilisateur explicite pour chaque périphérique, avec une fenêtre de sélection gérée par le navigateur. Le site ne peut pas lister les ports disponibles sans action.

C'est un garde-fou correct, mais qui ne supprime pas le risque de phishing physique (un site malveillant qui vous demande de sélectionner un périphérique sous un prétexte bidon).

Pour les makers, l'arrivée dans Firefox est une vraie bonne chose. Ça fait un navigateur supplémentaire pour flasher un ESP depuis le web, une option pour ceux qui refusent Chrome par principe, et un moins gros verrou à faire sauter pour les tutoriels d'électronique amateur. La version stable devrait arriver dans quelques mois si les retours Nightly sont propres.

Bref, Firefox s'aligne, Apple s'isole, et la bidouille matérielle reprend ses droits dans le navigateur, tout va bien.

Source : The Register

Apple a menacé de virer Grok de l'App Store à cause des deepfakes publiés sur X

Korben — Wed, 15 Apr 2026 09:38:23 +0200

Une lettre d'Apple adressée à des sénateurs américains, obtenue par NBC News, révèle qu'Apple a menacé xAI en janvier de retirer Grok de l'App Store si l'entreprise ne bloquait pas sérieusement la génération de deepfakes sexualisés.

La menace est restée relativement discrète à l'époque, mais le dossier remonte aujourd'hui dans le cadre d'une réponse écrite à des questions parlementaires.

L'affaire a en fait démarré fin décembre 2025, quand Grok a commencé à être utilisé massivement sur X pour "dénuder" numériquement des photos de femmes, sans leur consentement, avec des résultats por#ographiques.

Apple a bougé en interne. L'entreprise a contacté les équipes X et Grok, constaté les violations de ses guidelines, et exigé un plan d'amélioration de la modération. X a "substantiellement résolu" ses violations selon Apple. Grok, pas assez.

Apple a rejeté une soumission suivante de l'app, avec notification officielle que le statu quo menait au retrait. Après des changements additionnels de xAI, Apple a fini par approuver la dernière version soumise.

Ce qui est intéressant dans l'histoire, c'est la méthode. Pas de tweet de menace, pas de communiqué public. Apple utilise son levier le plus efficace, le rejet de soumission, qui bloque les mises à jour et empêche toute évolution du produit sur iOS.

Pour une app aussi active que Grok, c'est létal en quelques semaines. xAI a compris, a mis les correctifs, s'est remis en conformité.

La question de fond reste posée. Même après correction, un modèle génératif d'image peut être poussé à produire du contenu problématique via du prompt engineering, et c'est toujours contournante.

Apple ne vérifie pas le code de Grok, elle vérifie ce que les utilisateurs peuvent sortir dans des scénarios de test. Ça laisse une marge. Du coup, la conformité App Store est plutôt un baromètre qu'une garantie.

L'affaire rappelle aussi qu'Apple, quoi qu'on pense de son monopole sur iOS, reste un des rares acteurs capables de faire plier une boîte d'Elon Musk sans passer par un tribunal.

L'arbitrage, en passant par l'analyse suite à une soumission de l'app, est unilatéral, opaque, et parfois efficace. Les sénateurs qui avaient écrit à Apple et Google en janvier pour demander le retrait de Grok n'ont pas obtenu gain de cause, mais ils ont obtenu un rappel à l'ordre que xAI a dû suivre.

En tous cas, pour une fois, c'est un cas concret où le contrôle App Store a vraiment servi à quelque chose, et c'est surtout un rappel que la modération des modèles d'image en prod est toujours un vrai problème, et ce depuis qu'internet existe (vous vous souvenez de l'affaire Estelle Hallyday contre l'hébergeur Altern en 1999 ? Oui je suis aussi vieux que ça.

Source : Apple Insider

Iron Wolf - Wolfenstein 3D recréé en Rust et jouable en ligne

Korben — Wed, 15 Apr 2026 09:23:00 +0200

Wolfenstein 3D, pour ceux qui n'étaient pas nés en 1992, c'est le FPS qui a tout lancé. Le jeu de Carmack et sa bande chez id Software, qui a directement mené à DOOM l'année suivante.

Hé bien un dev Rust vient de le recréer de zéro, et c'est 100% jouable dans le navigateur.

Iron Wolf , c'est donc le projet de Michael Bohn, un allemand, qui bosse sur ce truc depuis mai 2021, soit près de cinq ans. On n'est donc pas sur un portage vibe codé à l'arrache. C'est vraiment une réécriture complète.

La version web d'Iron Wolf tournant dans le navigateur

Le bonhomme a carrément créé ses propres crates Rust pour émuler la carte VGA et la puce sonore OPL. J'ai d'abord cru qu'il réutilisait une lib existante, mais non, il a tout écrit from scratch en Rust. Bah ouais, développer ses propres librairies d'émulation hardware juste pour un side-project, what else ?? Je trouve que ça force le respect !

Le truc cool, c'est que la version shareware du jeu est incluse directement dans le dossier testdata/ du repo. Du coup sur macOS, Linux ou Windows, un git clone + just run-sdl-shareware et hop, vous voilà dans les couloirs du château. Attention sur Ubuntu 22.04, faut avoir libsdl2-dev d'installé avec apt install libsdl2-dev, sinon la compilation plante avec une erreur cryptique. Par contre, si vous êtes sur la version Ubuntu 24.04, là ça passe direct. Et si vous avez les fichiers WAD du jeu complet qui traînent sur un vieux CD-ROM quelque part, ce sera encore mieux car la version web permet de les uploader pour jouer à l'intégrale.

Ça tourne donc en WebAssembly sur wolf.ironmule.dev , sans plugin, juste Chrome ou Firefox récent. Voilà, si vous vous demandiez si on peut encore jouer au classique en 2026... la réponse est carrément oui !

Pour les curieux, le raycasting, cette technique de rendu qu'utilisait Wolfenstein 3D, est réimplémenté très fidèlement puisque le moteur de Michael dessine les murs comme le code de Carmack le faisait à l'époque... sauf que là ça tourne dans un onglet de navigateur. Vos fichiers de jeu sont également stockés localement via IndexedDB et un service worker gère le mode hors-ligne ce qui est très pratique pour jouer en avion ou quand on est chez Free (je décoooonnnne, humour humour).

Le projet en est à sa version 0.9.0, sous licence GPL-3.0 et si les classiques d'id Software recréés par des passionnés vous branchent, sachez que DOOM aussi a ses portages bien sympas.

Bref, si la nostalgie du raycasting vous titille, allez faire un tour sur wolf.ironmule.dev.

Test de la batterie externe Anker 25 000 mAh avec DEUX câbles USB intégrés

Korben — Tue, 14 Apr 2026 17:35:20 +0200

- Contient des liens affiliés Amazon -

Deux câbles intégrés ? C'est ce qui fait toute la différence sur cette batterie externe Anker de 25 000 mAh, vendue sur Amazon . Un câble rétractable de 70 centimètres, un second de 30 centimètres qui sert aussi de lanière de portage, et 165 watts de puissance totale pour alimenter tout votre bureau mobile.

L'argument principal, c'est vraiment de ne plus chercher de câble USB-C dans le fond de la sacoche à chaque fois qu'un appareil passe dans le rouge. Dans mon cas, c'est idéal, je peux charger mon MacBook Pro et mon iPhone 17 Pro Max à la vitesse maximale, sans me poser de questions, et surtout, on a encore deux ports de libres pour charger deux autres machins !

Côté puissance, on est sur du sérieux ici. La batterie délivre jusqu'à 165 watts au total, répartis sur trois ports USB-C (dont les deux câbles intégrés), un port USB-A. Chaque port USB-C peut grimper jusqu'à 100 watts, ce qui suffit largement à recharger un MacBook Pro 14 pouces à pleine vitesse.

En pratique, vous pouvez charger un MacBook, un iPhone 17 Pro Max, un iPad et une paire d'AirPods en même temps sans que la vitesse ne s'écroule, à aucun moment.

La batterie elle-même encaisse 100 watts en entrée, et Anker annonce 30% récupérés en 20 minutes. Sur mon test avec un chargeur GaN 100 W, ça se confirme : la jauge grimpe rapidement. 25 000 mAh, ça représente environ six charges complètes d'un iPhone et deux d'un MacBook Air. Largement de quoi tenir un long week-end sans chercher une prise.

Le poids ? 595 grammes, ce qui reste raisonnable pour une batterie d'une telle capacité. Ce n'est bien sûr pas une batterie qu'on glisse dans une poche de veste. Les dimensions (environ 16 × 5 × 5 centimètres) en font un format dense, pas vraiment discret, mais pourtant son design tout en rondeur sur les tranches fait qu'elle semble moins massive que des batteries 20 000 mAh que j'utilise aussi, malgré une plus grande capacité.

Par contre, elle passe sans problème en bagage cabine, elle reste sous la limite des 100 Wh du réglementaire aérien.

Le petit écran en façade affiche le pourcentage de batterie restant en chiffres bien lisibles, et plein d'autres informations comme le nombre de cycles, les puissances de charge de chaque port, et même la température de la batterie (qui reste toujours assez fraiche).

La finition en métal argenté donne un côté pro qui tranche avec les batteries plastiques bas de gamme. La lanière de 30 centimètres est prévue pour supporter jusqu'à 20 kilos, le câble rétractable pour plus de 20 000 rétractations, donc rien ne semble bricolé dans la promesse produit, mais bon, c'est du Anker, donc c'est du sérieux.

À 89,99 euros, elle n'est pas donnée mais reste dans le coup face aux solutions comparables chez UGREEN ou Baseus, qui tournent autour du même prix et même souvent un peu plus chères, pour des specs assez proches.

Avec plus de 8 000 avis et une moyenne autour de 4,6 sur 5 sur Amazon sur ce modèle, Anker confirme son statut de référence du secteur des chargeurs et batteries externes. Bref, pour qui bosse en mobilité, c'est probablement la batterie qui coche le plus de cases aujourd'hui. Disponible ici sur Amazon .

Stop Killing Games pousse une loi californienne contre les jeux tués par leurs éditeurs

Korben — Tue, 14 Apr 2026 16:17:26 +0200

Le mouvement Stop Killing Games a officialisé son soutien à la Protect Our Games Act, un projet de loi californien qu'il a contribué à rédiger avec le député américain Chris Ward.

Le texte a été déposé sous la référence AB-1921 ("Digital games: ordinary use"), et il cible directement un des points douloureux du jeu vidéo moderne, les titres serveur-dépendants qui deviennent inutilisables quand l'éditeur décide de débrancher les serveurs.

La logique du texte est simple. Pour un jeu connecté vendu en Californie, l'éditeur aura deux options en fin de vie. Soit il remplace le jeu par une alternative comparable, sans coût supplémentaire pour le client.

Soit il publie un plan de fin de vie détaillant les étapes prises pour permettre aux joueurs de continuer à faire tourner leur jeu après l'arrêt du support officiel. Mode offline, serveur privé documenté, patch communautaire autorisé, c'est à l'éditeur de choisir le mécanisme. Mais il doit choisir quelque chose.

Pour rappel, Stop Killing Games est né en 2024 sous l'impulsion de Ross Scott, après l'arrêt brutal de The Crew par Ubisoft. Un jeu acheté, joué, puis tout simplement rendu injouable. Sans contrepartie.

Le mouvement a depuis bien grandi. En Europe, une Initiative citoyenne a recueilli un peu plus de 1,3 million de signatures validées, et la Commission européenne a jusqu'à fin juillet pour rendre sa réponse officielle. Une audition publique au Parlement européen est prévue le 16 avril.

L'angle californien est intéressant parce que la Californie a longtemps servi de laboratoire réglementaire pour le reste des États-Unis sur les questions consommateur et numérique.

Si AB-1921 passe, les éditeurs ne pourront plus faire semblant que le problème n'existe pas sur le marché américain. Et comme les équipes juridiques préfèrent rarement gérer 50 législations différentes, un texte californien peut aisément devenir une norme de facto pour l'ensemble des US.

Évidemment, la loi n'est qu'un projet pour l'instant, et l'industrie du jeu vidéo a des lobbyistes qui savent tuer ce genre de texte en commission. Mais l'énergie du mouvement est réelle, et le timing avec l'offensive européenne est bien calibré. Ça met la pression des deux côtés de l'Atlantique en même temps.

Bref, Stop Killing Games continue d'avancer sur plusieurs fronts, et forcer les éditeurs à penser à la fin de vie dès la conception, c'est plutôt sain.

Source : Techspot

OBS Studio 32.1 est de sortie avec un nouveau mixeur audio et débloque le simulcast WebRTC

Korben — Tue, 14 Apr 2026 15:59:58 +0200

OBS Studio 32.1 est donc disponible, environ cinq mois après la 32.0, avec deux changements structurants pour les streamers et créateurs de contenu.

Tout d'abord, un mixeur audio entièrement repensé. Ensuite le support du simulcast WebRTC, qui change la donne pour quiconque diffuse en WHIP.

Le nouveau mixeur audio propose désormais des dispositions horizontale et verticale, un bouton dans la barre d'outils pour basculer de l'une à l'autre, et la mise en page verticale est devenue le défaut. Un bouton permet aussi d'activer ou couper le monitoring audio directement depuis le mixeur, sans passer par le menu des sources.

C'est un ajustement qui n'a l'air de rien, sauf qu'en live avec une dizaine de sources audio, gagner deux clics à chaque manipulation change vraiment la vie. Les anciens utilisateurs garderont la disposition horizontale s'ils la préfèrent. Rien ne leur est imposé.

Côté diffusion, le support du simulcast WebRTC est la grosse nouveauté technique que beaucoup attendaient. Dans les faits, la sortie obs-webrtc peut désormais envoyer plusieurs niveaux de qualité sur une seule piste WHIP. Les spectateurs sur des connexions plus lentes reçoivent automatiquement un flux adapté, sans avoir à configurer quoi que ce soit côté streamer.

C'est exactement ce que YouTube et Twitch font depuis des années en fait avec leurs encodeurs cloud propriétaires, sauf qu'ici c'est géré en local, open source, sur le protocole standard WebRTC/WHIP. Pour les indépendants qui diffusent sur leur propre infra, c'est plutôt pas mal.

Le changelog de la mise à jour mentionne aussi le retour des actions undo et redo pour les éléments de scène, plusieurs améliorations de sécurité, et un bitrate par défaut remonté à 6000 kbps (en phase avec ce que demandent aujourd'hui les plateformes 1080p60). Rien de spectaculaire donc, mais l'accumulation de petites nouveautés fait une vraie montée de version.

OBS est probablement le logiciel open source le plus influent du monde du streaming, utilisé par quasiment tous les créateurs qui ne veulent pas payer un encodeur propriétaire.

Cette version 32.1 confirme que le projet avance bien, à un rythme soutenu, après une période où certains s'inquiétaient d'un ralentissement.

Pour les streamers qui ont déjà un setup complet, l'upgrade se fait sans problème. Pour ceux qui diffusent en WebRTC/WHIP et qui galéraient avec l'absence de simulcast, c'est l'upgrade à faire dès maintenant.

Bref, une très bonne release pour un outil qu'on a tendance à tenir pour acquis.

Source : Phoronix

Linux 7.0 débarque avec un XFS qui se répare tout seul

Korben — Tue, 14 Apr 2026 13:51:51 +0200

Linus Torvalds a officialisé Linux 7.0 le 12 avril, et le passage à la version 7 a d'ailleurs été expliquée. Torvalds a dit dans son mail de release qu'il préférait simplement incrémenter le numéro majeur quand les mineures dépassaient la dizaine, histoire de ne pas se retrouver avec un Linux 6.23. Pas de révolution philosophique, juste du bon sens de mainteneur donc.

Derrière cette numérotation, le noyau embarque quand même un paquet de nouveautés qui vont directement impacter les utilisateurs AMD, Intel et ARM64, sans parler d'une petite révolution côté système de fichiers XFS.

La grosse annonce, c'est surtout le nouveau daemon xfs_healer, géré par systemd, qui surveille en temps réel les erreurs de métadonnées et les I/O fautifs. Quand il détecte un problème, il déclenche automatiquement la réparation pendant que la partition reste montée et utilisée, ce qui évite de démonter, de booter sur un live USB ou de croiser les doigts pendant un xfs_repair manuel.

Pour un serveur en prod, c'est énorme. XFS rattrape (et dépasse) ce que Btrfs et ZFS proposaient depuis des années sur ce terrain.

Côté Intel, les TSX (Transactional Synchronization Extensions) sont activées par défaut. Sur un CPU 10e génération ou plus récent, ça donne un léger boost sur les charges multithread. Le support de Nova Lake progresse aussi, et le noyau intègre les premiers bouts de Crescent Island, l'accélérateur IA maison d'Intel qui vise les datacenters.

AMD n'est pas oublié, avec de nouveaux blocs IP graphiques activés pour les futures Radeon. Côté ARM64, le kernel gère désormais les chargements et stockages atomiques de 64 octets, un ajout bas niveau qui profitera aux workloads concurrents. Et pour les amateurs de cartes ARM, le décodage vidéo matériel arrive sur toute une série de single-board computers Rockchip.

Ubuntu 26.04 LTS tournera sur Linux 7.0, donc tous les réglages de performance et de stabilité apportés par ce noyau seront directement exploités dans la prochaine LTS. Du coup, choisir Ubuntu cette année a du sens si vous avez du matos récent.

Dans son message de release, Linus évoque aussi la place grandissante de l'IA dans l'écriture de patches noyau. Il ne tranche pas, il observe. On sent qu'il y réfléchit sans vouloir se mouiller pour l'instant.

Bref, pas de révolution, mais le XFS auto-réparant justifie l'upgrade à lui seul pour qui tient vraiment à ses données.

Source : Techspot

Cloudflare refond son CLI Wrangler parce que ses clients principaux sont désormais des agents IA

Korben — Tue, 14 Apr 2026 13:26:10 +0200

Figurez-vous que les agents IA sont désormais les premiers consommateurs des APIs Cloudflare, bien devant les développeurs humains. C'est en tous cas ce que l'éditeur déclare publiquement pour justifier une refonte importante de son outil en ligne de commande, Wrangler, et la sortie d'un nouveau CLI unifié baptisé sobrement "cf".

Le raisonnement est froid mais a du sens. Si les agents IA pilotent la plateforme, autant qu'ils aient un CLI qui ne les plante pas.

Concrètement, Cloudflare a refait toute sa pipeline de génération de code autour d'un schéma TypeScript unique. Ce schéma décrit le périmètre complet des APIs, des commandes CLI, des arguments et du contexte nécessaire pour générer n'importe quelle interface.

Quand un nouveau produit Cloudflare arrive, il tombe automatiquement dans le CLI. Avec près de 3 000 opérations d'API au catalogue, c'était effectivement le bon moment pour industrialiser la chose.

Le point qui dit beaucoup sur l'état de l'industrie, c'est celui-ci. Cloudflare force désormais des commandes CLI par défaut au niveau du schéma, pour éviter que les agents se plantent sur des variantes moins standards qu'ils ne connaissent pas.

En clair, le design du CLI est partiellement contraint par ce que les LLM savent deviner. C'est nouveau, et pas anodin.

À côté du nouveau CLI cf, Cloudflare lance Local Explorer en bêta ouverte, intégré à Wrangler et au plugin Cloudflare pour Vite. L'outil permet d'inspecter les Workers en local, de voir quels bindings leur sont attachés et quelles données y sont stockées.

Pratique pour déboguer sans passer par le dashboard web, surtout quand on jongle entre plusieurs environnements.

Pour les développeurs humains, la promesse est double. D'abord, un CLI plus cohérent, moins de surprises d'un produit à l'autre. Ensuite, un outil de debug local qui évite l'allée-retour constant avec l'interface web Cloudflare. Pour les agents IA, la promesse est plus prosaïque, appeler Cloudflare sans générer d'erreurs de syntaxe toutes les trois commandes.

C'est en fait assez symptomatique d'une tendance qu'on voit chez plusieurs plateformes cloud en ce moment, où l'ergonomie CLI est pensée pour les LLM autant que pour les humains. Pas sûr que tous les acteurs l'assument aussi frontalement, mais Cloudflare, fidèle à son style, le dit.

Bref vous l'avez compris, cf et Local Explorer valent le détour. Et si vous laissez un agent piloter l'infra, au moins il aura des rails pour que ça ne parte pas dans tous les sens.

Source : The Register

Un faux leader Linux Foundation sur Slack, mais une vraie arnaque derrière

Korben — Tue, 14 Apr 2026 11:52:45 +0200

Des attaquants se sont fait passer pour un responsable connu de la Linux Foundation sur le Slack du TODO Group, un groupe de travail dédié aux bureaux de programmes open source. L'objectif, piéger les développeurs en les amenant à cliquer sur un lien d'apparence officielle, puis à installer un faux certificat racine sur leur machine.

Le lien était hébergé sur Google Sites, ce qui aide à passer les filtres de sécurité et donne un vernis légitime. Les victimes arrivent sur une fausse page d'authentification Google Workspace, qui récupère leur adresse email et un code de vérification, avant de leur demander d'installer un "certificat Google" pour finaliser la connexion.

C'est là que tout bascule. Installer un certificat racine, c'est donner à l'attaquant la possibilité de signer ou d'intercepter n'importe quel trafic TLS sur la machine.

Sur macOS, le faux certificat télécharge et exécute un binaire nommé gapi depuis une IP externe (2.26.97.61), avec toutes les conséquences qu'on imagine. Sur Windows, c'est une boîte de dialogue de confiance navigateur qui pousse l'installation. Dans les deux cas, la machine est compromise.

OpenSSF, Socket et Help Net Security ont documenté la campagne, qui s'inscrit dans une tendance plus large.

Les attaquants visent de plus en plus les workflows développeurs et les relations de confiance interne plutôt que de chercher une faille zero-day dans le code, parce qu'un ingénieur qui fait confiance à un Slack privé reste une cible bien plus rentable que la lecture de 50 000 lignes de C obscures.

La règle de sécurité à retenir est simple. Aucun service légitime, jamais, ne vous demandera d'installer un certificat racine via un lien reçu en chat ou par email.

Si un message Slack vous y pousse, même depuis un compte interne qui semble légitime, c'est un compromis ou une usurpation. Signalez, ne cliquez pas.

Ce qui est relou, c'est que l'attaque marche précisément parce que les devs open source travaillent beaucoup sur Slack, au milieu de messages techniques qu'ils traitent à la chaîne. C'est donc franchement fourbe.

Bref, vous l'avez compris, un certificat racine demandé par chat, c'est toujours non.

Source : The Register

Quatre bugs Microsoft ressortent du placard, dont un de 14 ans

Korben — Tue, 14 Apr 2026 10:46:02 +0200

Une vulnérabilité Microsoft patchée en 2012, deux fois, refait surface en 2026 dans des attaques actives. Elle fait partie des quatre failles que la CISA a collées lundi dans son catalogue des bugs activement exploités, avec obligation pour les agences fédérales américaines de patcher sous deux semaines. 14 ans plus tard, un vrai bug zombie.

La plus vieille, c'est CVE-2012-1854, un chargement de bibliothèque non sécurisé dans Visual Basic for Applications. Microsoft l'a corrigée une première fois en juillet 2012, puis encore en novembre de la même année.

Ça n'a pas suffi. Des attaquants trouvent toujours des machines non patchées sur lesquelles elle fonctionne, et exécutent du code à distance via VBA. Un classique des macros Office qui refuse de mourir.

Les trois autres ne sont pas plus rassurantes. CVE-2023-21529, une désérialisation de données non fiables dans Exchange Server, permet à un attaquant authentifié de faire de l'exécution de code à distance.

Elle était patchée en février 2023. CVE-2023-36424 touche le driver Common Log File System de Windows et ouvre la porte à une escalade de privilèges (patchée en novembre 2023). Et la dernière, CVE-2025-60710, est une faille de link-following dans Windows qui donne également de l'escalade de privilèges.

Côté exploitation active, les chasseurs de menaces Microsoft pointent Storm-1175, un gang financièrement motivé qui combine la faille Exchange avec 15 autres pour entrer dans des organisations, siphonner leurs données et déployer le ransomware Medusa. Du classique en plusieurs étapes, sauf que le point d'entrée est une faille colmatée depuis trois ans.

Ce qui est frappant dans la liste, c'est que trois failles sur quatre disposent d'un patch depuis des années. La CISA ne découvre pas des zero-days, elle constate que le parc à patcher est toujours aussi béant, y compris dans les administrations fédérales US. Côté SI de PME françaises qui tournent sur un Exchange vieillissant, je vous rassure le tableau n'a aucune raison d'être meilleur.

Patcher Exchange reste un gros chantier pour beaucoup d'équipes IT, entre les dépendances métier, les interfaces custom et la peur de casser la messagerie. Sauf que voilà, tant que ce n'est pas fait, le ransomware a un boulevard.

Bref, si vous avez un Exchange ou un Windows qui traîne avec des patches manquants depuis 2012 ou 2023, c'est vraiment le moment de vous y coller.

Source : The Register

llmfit - L'outil qui sait quel LLM votre PC peut encaisser

Korben — Tue, 14 Apr 2026 09:05:00 +0200

Vous avez un super GPU de la mort qui tue et vous voulez faire tourner un modèle d'IA en local, mais entre la VRAM dispo, la quantification qui change tout et les 500 modèles existant... c'est tout simplement le bordel pour savoir lequel va passer crèèème sans faire ramer votre machine. On galère tous à tester des modèles au pif en voyant la RAM exploser, mais aujourd'hui on a une solution.

Car c'est exactement le problème que résout llmfit , un outil en Rust qui scanne votre hardware et vous classe les modèles compatibles par score. GPU NVIDIA, AMD, Intel Arc, Apple Silicon, sur macOS, Linux ou Windows, tout y passe ! Sur mon Mac, cette commande détecte instantanément la VRAM unified memory, les cœurs CPU et le type de GPU dans mon système, puis elle passe en revue sa base d'environ 500 modèles HuggingFace pour me dire lesquels tournent chez moi.

L'interface llmfit dans un terminal, sobre et efficace

Du coup, chaque modèle est évalué sur 4 axes : qualité, vitesse, occupation mémoire et capacité de contexte. En fait, le scoring s'adapte à votre usage, si vous voulez du chat rapide, la vitesse pèse plus lourd, et si c'est du raisonnement, c'est la qualité qui prime. À vrai dire, c'est plus malin que de comparer bêtement les paramètres sur la page HuggingFace. Et la quantification est choisie dynamiquement, de Q8_0 (la plus fidèle) jusqu'à Q2_K (la plus compressée), histoire de caser un max de trucs dans votre config.

L'interface par défaut c'est un TUI (une interface dans le terminal) avec navigation à la vim (j/k, /, tout ça) qui affiche un tableau avec les scores dans votre terminal. Pour le mode CLI, y'a llmfit --cli, et pour ceux qui veulent intégrer ça dans un pipeline, un petit llmfit serve et ça lance un serveur REST sur votre machine.

Le truc vraiment sympa je trouve c'est surtout la simulation hardware. Vous appuyez sur S dans le TUI et vous testez d'autres configs sans rien changer à votre machine. Genre "et si j'avais 24 Go de VRAM au lieu de 8 ?". Ça évite d'acheter une nouvelle carte graphique pour rien, quand on peut vérifier en deux secondes que la config actuelle suffit déjà amplement pour son usage quotidien de chat et de génération de petits scripts en local au fil de la semaine. Pas mal non ?

Y'a aussi le mode plan qui fait l'inverse, vous donnez un nom de modèle et l'outil vous dit de quel hardware vous avez besoin. D'ailleurs si vous êtes sur Mac et que l'IA en local vous branche, n'oubliez pas au passage que apfel vous permet de libérer le modèle caché dans macOS.

Côté installation, brew install llmfit sur Mac, scoop install llmfit sous Windows, ou un curl -fsSL https://llmfit.axjns.dev/install.sh | sh partout ailleurs. Une commande, c'est tout. Et ça tourne aussi en Docker !

Le support multi-GPU est également là avec agrégation de la VRAM, et l'outil tient compte des architectures MoE comme Mixtral dans son scoring (ces modèles ne chargent pas tous leurs experts d'un coup, du coup la VRAM nécessaire est plus faible qu'on pourrait croire). L'outil propose aussi 10 thèmes de couleurs, Dracula, Nord, Catppuccin... pour ceux qui ont des opinions sur les palettes de leur terminal.

Par contre y'a un hic, la base est figée à environ 500 modèles embarqués dans le binaire, donc si un nouveau modèle sort demain, faudra attendre la prochaine release. Et disons que les estimations de vitesse sont des ordres de grandeur, pas des valeurs exactes (difficile de faire mieux sans lancer vraiment l'inférence). Mais bon, pour les classiques comme Llama, Qwen, Mistral ou Gemma, c'est bien couvert. Et bien sûr, le projet est open source sous licence MIT, donc c'est chouette comme dirait le hibou (déso, pas déso ^^).

Si llamafile vous avait déjà simplifié le lancement de modèles, llmfit s'attaque au problème d'avant : choisir LEQUEL lancer.

Bref, ça vaut le coup de tester, dites-moi quel modèle ça vous recommande !

Rockstar Games piraté via Anodot, ShinyHunters demande une rançon

Korben — Mon, 13 Apr 2026 16:54:00 +0200

Le groupe de hackers ShinyHunters affirme avoir piraté Rockstar Games. Ils menacent de publier tous les documents confidentiels volés sur le dark web si le studio ne leur verse pas de rançon. Le message des hackers est clair : "Pay or leak."

Les pirates ne sont pas entrés chez Rockstar par la grande porte. Ils sont passés par Anodot, un outil que le studio utilise pour analyser ses factures cloud. Une brèche chez Anodot début avril leur a donné des identifiants qui ouvraient aussi les bases Snowflake de Rockstar, là où dormaient une bonne partie des documents internes.

C'est la même méthode qu'en 2024, quand un autre pirate avait vidé les comptes Snowflake de Ticketmaster, AT&T et Santander en récupérant leurs mots de passe ailleurs. Snowflake n'est pas piraté, ce sont ses clients qui se font prendre leurs clés.

Côté butin, rien de très excitant a priori pour un fan de GTA. D'après les premiers éléments, les pirates ont surtout récupéré des contrats, des documents financiers, des plans marketing et d'autres fichiers sans intérêt. Pas de code source, pas de cinématiques, pas de données de joueurs, en tous cas sur le papier.

Rockstar confirme d'ailleurs la brèche dans un communiqué très calibré : le studio parle d'une "quantité limitée d'informations non stratégiques" volées chez un prestataire, et assure que l'incident n'a "aucun impact sur notre organisation ni sur nos joueurs."

Rassurant ? À moitié. ShinyHunters n'est pas un collectif de bricoleurs, le groupe est actif depuis 2020 et a déjà siphonné Microsoft, Ticketmaster, Cisco, AT&T ou Wattpad. Quand ils annoncent avoir des fichiers, ils les ont, et ils savent les revendre sur les forums fermés.

Personne ne sait encore si les plans marketing volés contiennent des détails sur GTA VI, dont la date de sortie continue de faire transpirer Take-Two, l'éditeur du studio.

Le plus embêtant pour Rockstar, c'est surtout que ça recommence. En 2022, un adolescent britannique avait infiltré le Slack du studio pour diffuser des vidéos d'un GTA VI en pré-production, affaire soldée par une condamnation au Royaume-Uni.

Quatre ans plus tard, le studio se refait attraper, cette fois via un prestataire. Visiblement, le maillon faible n'est plus toujours en interne : un petit outil de suivi de coûts cloud peut suffire à faire sauter le verrou, comme un compte admin oublié.

Bref, les fans vont scruter la moindre ligne leakée, Rockstar va serrer la vis côté prestataires, et ShinyHunters continuera de taper partout où traînent des accès Snowflake mal sécurisés.

Source : Kotaku

Meta développe un clone IA de Mark Zuckerberg pour discuter avec ses employés

Korben — Mon, 13 Apr 2026 16:26:00 +0200

Mark Zuckerberg veut que ses salariés puissent lui parler même quand il n'est pas là. Meta travaille sur une version IA photoréaliste et animée de son patron, entraînée sur sa voix, son image, ses manies et ses déclarations publiques.

Le projet est encore au stade précoce, mais Zuck s'implique à fond : il supervise personnellement l'entraînement et les tests de son double numérique, et passerait même cinq à dix heures par semaine à coder sur les différents projets IA du groupe.

L'avatar doit pouvoir tenir une conversation en temps réel avec les employés et leur donner du feedback, comme si Zuckerberg passait lui-même dans le bureau. Il est nourri aux images, à la voix et aux réflexions stratégiques récentes du milliardaire, pour que les salariés du groupe à 1 600 milliards de dollars se sentent plus proches du fondateur via cet ersatz interactif.

C'est distinct d'un autre projet en cours, le "CEO agent", censé assister Zuckerberg lui-même dans son boulot quotidien en lui remontant de l'information à la volée.

Côté technique, c'est une autre paire de manches. Faire tourner un personnage 3D photoréaliste en temps réel sans lag demande une puissance de calcul énorme, et Meta galère à passer à l'échelle. Pour la voix, le groupe a racheté l'an dernier deux boîtes spécialisées, PlayAI et WaveForms.

Si l'expérience Zuckerberg fonctionne, l'idée est ensuite de proposer la même chose aux influenceurs et créateurs qui voudront déployer leur propre avatar auprès de leurs fans.

À côté de ça, Meta pousse ses équipes à s'automatiser avec des outils maison. Les salariés sont invités à utiliser OpenClaw, un framework d'agents open source, et à concevoir leurs propres agents pour abattre les tâches répétitives.

Les chefs de produit passent même un "exercice de niveau" qui inclut du design de système et du vibe coding. Meta jure que ce n'est pas obligatoire et que ça sert juste à cibler les besoins de formation. Certains salariés, eux, y voient la répétition générale d'une vague de licenciements.

Les avatars IA chez Meta, ce n'est pas nouveau. En septembre 2023, le groupe avait sorti des chatbots avec la tête et la voix de Snoop Dogg et d'autres célébrités, puis un AI Studio pour créer ses propres personnages.

Sauf que l'an dernier, des utilisateurs ont généré des avatars à caractère sexuel, les régulateurs se sont inquiétés pour la sécurité des mineurs, et depuis janvier Meta a restreint l'accès des ados à ces personnages.

Un clone de Zuck dispo 24h/24 pour vous donner du feedback sur votre code, je ne sais pas si c'est un rêve ou un cauchemar. Probablement les deux.

Source : FT

Parier sur la météo, le nouveau business qui inquiète les climatologues

Korben — Mon, 13 Apr 2026 15:59:00 +0200

Plus de 230 millions de dollars. C'est ce qui a été misé sur le climat et la météo via Kalshi depuis juillet 2021, dont plus de la moitié rien que sur les neuf premiers mois de 2025.

La plateforme américaine de marchés de prédiction laisse ses utilisateurs acheter des contrats "oui" ou "non" sur la température de demain à Chicago, le passage d'un ouragan sur la Floride, ou encore la probabilité que la planète franchisse les 2°C avant 2050.

Le fonctionnement est simple. Vous pariez 15 cents sur "il fera 78°F à Los Angeles demain", s'il fait bien 78°F vous récupérez un dollar. Profit : 85 cents. C'est rapide. Derrière, Kalshi s'appuie sur les données officielles du NOAA et du National Weather Service, les mêmes qui alimentent depuis toujours les bulletins télé.

Sauf que cette fois, ces données publiques financées par les impôts américains servent à enrichir des traders privés. Du coup, pas mal de scientifiques trouvent ça un peu gênant.

Les défenseurs du système poussent une idée séduisante : agréger les paris de milliers de gens pourrait produire des prévisions météo plus précises que les modèles classiques. En théorie, c'est la "sagesse des foules" appliquée aux nuages.

En pratique, personne n'a vraiment prouvé que les marchés battent les modèles numériques du NOAA sur les températures à 7 jours. Les parieurs les plus sérieux lisent justement... les modèles du NOAA.

Côté éthique, ça coince. Kalshi refuse explicitement les paris sur les incendies de forêt, parce que l'entreprise elle-même reconnaît que ça créerait une incitation financière à mettre le feu. Logique. Mais rien n'empêche de parier sur le trajet d'un ouragan ou sur le niveau de pluie pendant une inondation, au moment même où des gens perdent leur maison.

Une étude parue dans Nature Climate Change en 2023 montre que parier sur le climat augmente un peu la prise de conscience chez les joueurs, mais l'effet reste modeste, entre quelques pourcents. Pas exactement de quoi compenser l'inconfort moral.

Le modèle avance quand même à toute vitesse. Kalshi pèse désormais près de 90% du marché américain de la prédiction et a dépassé les 12 milliards de dollars de volume mensuel en mars 2026.

En face, les régulateurs commencent à serrer : l'Arizona a déposé des poursuites pénales contre la plateforme en mars 2026 pour exploitation d'un jeu d'argent non licencié et paris électoraux. Plusieurs États pourraient suivre. Mais bon, tant que les investisseurs continuent d'affluer, l'entreprise n'a aucune raison de lever le pied.

Bref, transformer une tempête en ticket de loto sur fond de données publiques, ça pose quand même quelques questions.

Source : Bloomberg

Le Japon lance son IA souveraine avec 8 géants industriels

Korben — Mon, 13 Apr 2026 14:39:00 +0200

Gros chantier IA au Japon. SoftBank a pris la tête d'un consortium qui réunit sept autres poids lourds nationaux : NEC, Honda, Sony, trois banques (MUFG, Sumitomo Mitsui, Mizuho) et deux sidérurgistes (Nippon Steel, Kobe Steel).

L'objectif : monter une nouvelle société dédiée à la construction d'une IA entièrement japonaise, sans dépendance étrangère. Le spécialiste tokyoïte Preferred Networks rejoindra l'aventure un peu plus tard, en renfort technique.

L'objectif est clair. Rattraper les Américains et les Chinois. Le modèle visé ambitionne d'atteindre environ 1 000 milliards de paramètres d'ici la fin de la décennie, soit l'ordre de grandeur des plus gros modèles d'OpenAI ou d'Alibaba. Il sera multimodal (texte, images, vidéos, son) et surtout orienté vers ce que les Japonais appellent la "physical AI", c'est-à-dire une IA capable de piloter des robots et des machines dans le monde réel.

L'intégration sur des bras robotisés, des lignes de production ou des véhicules autonomes est prévue pour l'exercice fiscal 2030. Côté industriel, c'est évidemment cohérent avec l'ADN du pays, où la robotique est reine depuis quarante ans.

Le gouvernement n'est pas en reste. Le ministère japonais de l'Économie prévoit d'injecter environ mille milliards de yens de soutien à l'IA sur cinq ans, via l'organisme NEDO. La nouvelle société est éligible à ce dispositif, ce qui lui donne un sacré matelas financier pour attirer les talents.

Au passage, une centaine d'ingénieurs en IA seront recrutés, et la direction sera assurée par un cadre de SoftBank. Le data center principal s'installera à Sakai, près d'Osaka, dans une ancienne usine LCD de Sharp reconvertie pour l'occasion. GPU dernier cri, tout le traitement reste sur le territoire japonais.

C'est justement ce point qui cristallise la logique du projet. Beaucoup d'industriels japonais refusaient d'envoyer leurs données sensibles (plans d'usine, relevés de capteurs, IP métier) vers des clouds américains ou chinois pour faire tourner de l'IA. En gardant tout le traitement local, le consortium offre une alternative souveraine aux membres du club, puis aux autres entreprises du pays.

Sauf que voilà, la bataille des modèles fondation se joue déjà depuis trois ans et les écarts de puissance sont importants. Arriver fin 2029 avec un modèle à mille milliards de paramètres, c'est atteindre le niveau actuel des meilleurs américains, pas celui des modèles qui existeront à ce moment-là.

La vraie force du projet est probablement ailleurs. Sur l'IA physique et l'industrie, le Japon a un terrain de jeu unique, avec des décennies d'avance en robotique et une base manufacturière dense. Si Honda, Nippon Steel et Kobe Steel injectent leurs données et leurs cas d'usage dans le modèle, ça peut produire quelque chose de très différent des LLM généralistes américains.

À noter que certaines sources évoquent un effort public global de l'ordre de 3 000 milliards de yens quand on cumule tous les dispositifs, ce qui donne une idée du sérieux de l'engagement étatique. Bref, le Japon arrive tard mais il amène ses industriels, son argent et son avantage robotique.

Source : Nikkei Asia

Un journaliste de Bloomberg a préparé le marathon de Paris avec ChatGPT pour seul coach

Korben — Mon, 13 Apr 2026 13:37:14 +0200

9 kilos en moins. Ses meilleurs chronos de sa vie sur 5 et 10 km. Et la meilleure forme depuis au moins une décennie. Voilà le bilan que Derek Wallbank, rédacteur en chef chez Bloomberg, affichait à la veille du marathon de Paris, qu'il a couru hier. Son coach pendant ces douze mois de préparation ? ChatGPT, et rien d'autre.

Wallbank avait déjà tenté un marathon il y a une bonne dizaine d'années, expérience qu'il qualifie de "catastrophe complète". Cette fois, plutôt que de payer un coach humain ou de télécharger un plan générique, il a passé environ une heure à nourrir ChatGPT de son historique complet de coureur : courses passées, allures de référence, blessures, objectifs, contraintes personnelles.

Et c'est là que le truc devient intéressant par rapport aux plans tout faits qu'on trouve en PDF sur n'importe quel blog running : le modèle a produit quelque chose de bien plus structuré, qui s'ajustait semaine après semaine selon ses retours d'entraînement. Sur le papier, c'est un cran au-dessus.

Sauf que voilà, la bestiole a des limites sérieuses. "Il ne va pas vous dire ce que vous devriez faire, ni comment vous devriez vous sentir, ni si vous êtes en surentraînement, ni si vous foncez vers la blessure", expliquait-il avant la course.

Un vrai coach sent quand son athlète commence à tirer la langue. Le modèle de langage, lui, continue à balancer des séances en se fiant uniquement à ce que vous lui dites. Vous tapez "ça va", il vous colle 30 km le samedi.

Autre problème plus vicieux : au bout de plusieurs mois, le plan s'est mis à halluciner. ChatGPT perdait le fil entre ce qui comptait vraiment et le bruit accumulé dans les échanges précédents. Classique des LLM sur les projets longs : plus vous empilez les conversations, plus les infos importantes se diluent dans le contexte.

Wallbank a dû recadrer régulièrement, réinjecter les bons paramètres, rappeler les priorités du moment. Bref, c'est pas magique. "Ce n'est pas un remède miracle, ça ne se gère pas tout seul", résume-t-il.

La course s'est tenue dimanche dernier, remportée chez les hommes par l'Italien Yemaneberhan Crippa en 2h05'18". Wallbank, lui, n'a pas encore rendu public son propre chrono.

Mais il s'est présenté sur la ligne de départ avec 9 kilos perdus, des records personnels battus sur les courtes distances, et pas une blessure malgré les hallucinations du plan. Pas un mauvais retour sur investissement pour un abonnement à 20 dollars par mois.

Bref, un ChatGPT qui vous fait maigrir et battre vos chronos à l'entraînement, c'est déjà pas mal. Pour le verdict sur 42 kilomètres, on attend que l'intéressé parle.

Source : Bloomberg

Le code qui a posé Apollo 11 sur la Lune est libre d'accès sur GitHub

Korben — Mon, 13 Apr 2026 13:21:41 +0200

Le logiciel qui a piloté la descente du module lunaire Eagle le 20 juillet 1969 dort tranquillement dans un dépôt GitHub que n'importe qui peut cloner, lire, voire compiler chez soi. Deux gros paquets d'assembleur AGC : Comanche055 pour le module de commande, Luminary099 pour le module lunaire. Tout est dans le domaine public, puisque développé par la NASA.

Le dépôt chrislgarry/Apollo-11 existe depuis 2016, mais il faut imaginer ce qu'il y a dedans : des dizaines de milliers de lignes d'assembleur écrites à la main entre 1965 et 1969, assemblées sur les mainframes d'époque, puis gravées physiquement dans de la mémoire tissée, la fameuse rope memory, par des ouvrières chez Raytheon qui cousaient le code à l'aiguille. Oui, cousaient, vous voyez le genre en illustration de cet article, ou la photo ci-dessous signée Martin Hertig .

Le travail de numérisation vient de Paul Fjeld, du MIT Museum et de Ron Burkey, qui dirige le projet Virtual AGC depuis des années. Ils ont scanné et corrigé à la main les listings papier conservés au musée, avant que Chris Garry, stagiaire NASA à l'époque, ne les pousse sur GitHub. Le résultat est 100% assembleur AGC, assemblable via l'outil yaYUL qui tourne sous Linux, macOS, Windows et même FreeBSD.

Les commentaires, surtout, font tout le sel de l'archive. Les équipes de Margaret Hamilton, qui dirigeait la Software Engineering Division au MIT Instrumentation Lab, laissaient des remarques moqueuses au milieu des routines critiques. La plus connue : "BURN BABY BURN -- MASTER IGNITION ROUTINE", juste au-dessus du bloc qui déclenchait la mise à feu. Il y a aussi "TEMPORARY, I HOPE HOPE HOPE", collé sur un patch resté en place pendant toute la mission.

Le passage le plus parlant reste la séquence d'alarmes 1201 et 1202 pendant la descente finale. Un radar de rendez-vous mal positionné saturait le calculateur en pleine approche. Le logiciel écrit par l'équipe Hamilton a fait exactement ce qu'il devait faire : abandonner les tâches non critiques, garder le pilotage actif, et laisser Armstrong se poser. Environ 64 Ko de mémoire et deux kilos de ferrite, gérés en priorité tournante, ont sauvé la mission.

Côté usage concret, cloner le dépôt prend deux secondes. Compiler avec Virtual AGC demande un peu plus de patience, mais ça tourne. Vous pouvez ensuite lancer un simulateur et rejouer la descente touche par touche. Pour les curieux, c'est une archive historique géniale. Pour les étudiants en informatique, c'est un cours d'architecture système qu'aucun manuel ne remplace.

Bref, du code vieux de 57 ans, libre, commenté avec humour, et qui a posé deux humains sur la Lune. Pas mal !

Source : Techspot

micasa - Gérez toute votre maison depuis le terminal

Korben — Mon, 13 Apr 2026 09:15:00 +0200

Si vous êtes du genre à tracker vos serveurs, vos containers et vos tâches cron depuis un terminal, vous vous êtes peut-être déjà dit que votre baraque méritait le même traitement, non ? Hé bien c'est exactement ce que propose micasa , une appli en Go qui transforme votre console en tableau de bord domestique !

Le concept est simple : Une base SQLite de quelques Mo sur votre disque, et hop, vous suivez l'entretien de votre logement comme vous suivriez un repo sur GitHub. Changement du filtre de la clim tous les 90 jours, passage du plombier le 12 mars, garantie du lave-vaisselle qui expire en juillet... tout est là, dans une interface TUI pilotée au clavier façon Vim.

Et là, je lis dans votre cerveau et vous vous dites "Haaan, trop bien, il a toujours des trucs super géniaux ce Korben, je suis tellement heureux de le soutenir sur patreon !" ^^

Du coup, avec micasa, on se retrouve avec un truc qui gère pas mal de choses : les projets de travaux (du croquis au budget final), la comparaison de devis entre artisans, un historique complet de vos entrepreneurs, et même un dashboard qui vous affiche les maintenances en retard et les garanties sur le point d'expirer. En gros, c'est le Jira de votre appart (en moins déprimant) !

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/micasa-gestion-maison-terminal/micasa-gestion-maison-terminal-1.webm">lien vers la vidéo</a>.

Putain, si j'avais eu ça au début des travaux chez moi, ça aurait moins dérivé en terme de planning je pense ^^.

Et le truc qui sort du lot dans cet outil, c'est l'intégration avec des LLM locaux via Ollama. Vous tapez "combien j'ai claqué en plomberie cette année ?" et hop, réponse directe depuis vos données, sans que rien ne quitte votre machine. Y'a même un pipeline OCR pour scanner vos factures et pré-remplir les champs, avec une validation manuelle avant d'enregistrer (perso, rien que pour ça, ça vaut le coup) !

Côté technique, c'est du Go pur sans CGO, construit avec Charmbracelet pour l'interface et GORM pour la couche données. Le créateur, Phillip Cloud (ça ne s'invente pas, je sais...), s'est inspiré de VisiData, cet outil TUI culte pour explorer des jeux de données. Sauf qu'ici, le jeu de données... c'est votre pavillon, avec ses fuites, ses factures et ses artisans pas toujours fiables.

Si ça vous chauffe, l'installation tient en une ligne :

go install github.com/micasa-dev/micasa/cmd/micasa@latest

Et si pas envie d'installer Go parce que ouin ouin, y'a aussi des binaires dispos. Linux, macOS, Windows. Et si vous voulez juste tester sans rien casser, la commande demo charge des données fictives pour vous faire une idée.

Si vous cherchiez d'autres outils TUI pour enrichir votre terminal, y'a de quoi faire, surtout si vous gérez encore vos travaux dans un fichier Excel qui date de 2019. Là ça vaut le coup d'essayer !

Obsidian - Prenez vos notes sans dépendre de personne

Korben — Sun, 12 Apr 2026 09:34:00 +0200

Y'a des outils tellement évidents qu'on oublie d'en parler. Obsidian , j'en ai mentionné l'écosystème plusieurs fois sur le blog, le CLI , le TUI Basalt ... mais j'ai jamais pris le temps de vous le présenter correctement. Alors aujourd'hui, je vais réparer ça.

Obsidiant, c'est donc un éditeur de notes en markdown qui tourne en local sur votre machine. Pas de compte obligatoire, pas de cloud par défaut, vos fichiers sont des .md tout bêtes stockés dans un dossier sur votre disque, genre ~/Documents/MesNotes/ (l'app appelle ça un "vault"). Du coup, vous pouvez les ouvrir avec VS Code, les versionner avec git, ou les copier sur une clé USB en 3 secondes. Vos notes vous appartiennent, quoi...

L'interface d'Obsidian avec un vault ouvert, vue classique à trois panneaux

L'app est dispo sur Windows, macOS, Linux, iOS et Android, et c'est gratuit, y compris pour un usage pro ! Pas de période d'essai, pas de features bridées et si vous voulez la synchro chiffrée de bout en bout entre vos appareils, y'a Obsidian Sync à partir de 4 dollars par mois (soit 48 dollars l'année). Et pour publier vos notes en ligne sous forme de wiki, Publish coûte 8 dollars par mois et par site.

Dans le cadre de mon taf, je suis en train de m'y mettre un peu pour gérer mes notes parce que tout le monde hurle que c'est génial. J'aime bien même si y'a une petite courbe d'apprentissage quand même, faut pas se mentir.

Un exemple de site wiki généré avec Obsidian Publish

Mais le vrai kiff, c'est l'écosystème de plugins. Y'en a des milliers, développés par la communauté, et qui transforment l'éditeur en couteau suisse. Synchro via git ? Y'a un plugin. Kanban ? Pareil. Calendrier, Dataview pour faire des requêtes dans vos notes, Templater pour automatiser la création... la liste est dingue !

D'ailleurs, le graph view intégré qui permet de visualiser les connexions entre toutes vos notes, c'est un bon truc pour capter la façon dont notre cerveau fonctionne (ou pas pour certains ^^). avec les associations thématiques Et y'a aussi Canvas, un espace infini pour poser vos idées façon tableau blanc comme dans les Experts.

Canvas, l'espace infini d'Obsidian pour organiser ses idées facon tableau blanc

Côté navigateur, le Web Clipper est franchement pratique. Vous tombez sur un article, un clic et hop, c'est en markdown dans votre coffre. Pas besoin de copier-coller comme un sauvage !

Obsidian Sync pour partager un vault chiffré de bout en bout entre plusieurs appareils

Au début, un outil proprio qui prône l'ouverture, ça m'a fait tiquer mais en fait, ce qui compte c'est que le format est ouvert, même si le code, lui est fermé. L'équipe (une petite vingtaine de personnes, lancé en 2020 par Shida Li et Erica Xu) est financée à 100% par ses utilisateurs, sans investisseurs, et vos données restent sur votre machine, dans un format ouvert, ce qui fait que vous pouvez partir quand vous voulez avec tous vos fichiers sous le bras.

Après y'a pas non plus de collaboration temps réel comme sur Notion ou Google Docs, et attention, les plugins communautaires c'est du code tiers pas sandboxé par l'app, donc faut faire un minimum gaffe à ce que vous installez. L'app mobile a aussi longtemps traîné la patte côté perfs, surtout sur Android avec des vaults de plus de 500 notes, même si ça s'est bien amélioré depuis.

Je pense que si TriliumNext vous tente mais que vous voulez pas gérer un serveur, ou si Notion vous saoule avec son cloud obligatoire, Obsidian fera bien le job. C'est gratuit pour tout le monde (même pour les entreprise), et il y a même 40% de réduc pour les étudiants et enseignants sur Sync et Publish.

Bref, allez voir ça. Et merci à Fredix qui m'a rappelé que j'avais jamais présenté le truc !

Allformusic - Écoutez YouTube écran éteint (et c'est gratuit)

Korben — Sat, 11 Apr 2026 09:00:00 +0200

Google déteste que vous écoutiez YouTube gratuitement en arrière-plan. C'est comme ça depuis des années, et ça empire... Par exemple, vous verrouillez l'écran 2 secondes et pouf, plus de son.

YouTube Premium coûte dans les 13 balles par mois pour débloquer ça, ce qui fait quand même plus de 150 euros l'année juste pour écouter de la musique écran éteint. Heureusement, un dev français a trouvé une parade avec Allformusic , un site qui contourne le problème en utilisant l'API officielle de YouTube.

Le principe c'est que Allformusic est une sorte de jukebox géant qui tape directement dans le catalogue YouTube. Vous cherchez un artiste, un album, un genre... et ça lance la musique. Sans compte, sans pub et gratos ! Du coup, si vous voulez vous taper l'intégrale de Daft Punk un dimanche après-midi, vous tapez leur nom et c'est parti.

Et là où c'est malin, c'est que sur mobile, comme YouTube coupe le son dès que vous verrouillez l'écran (merci Google...), y'a une astuce simple à connaitre avec Alloformusic.

Vous lancez votre musique, vous verrouillez le téléphone, le son se coupe... normal. Sauf que le mini-lecteur natif du navigateur apparaît dans vos notifications. Appuyez alors sur Play depuis l'écran de verrouillage, et hop, la musique reprend en arrière-plan !

Par contre, attention si votre navigateur a un mode économie d'énergie agressif, ça peut couper au bout de 10-15 min. Dans ce cas, désactivez l'optimisation batterie pour Chrome dans les paramètres Android.

Le site fonctionne comme une PWA, une Progressive Web App, ce qui veut dire que vous pouvez l'ajouter sur votre smartphone comme une appli classique. Sur Android, direction le menu Chrome puis "Ajouter à l'écran d'accueil". Sur iPhone, c'est via Safari, le bouton partage, puis "Sur l'écran d'accueil".

Bruno, le créateur du site, confirme que ça tourne nickel sur Android. Côté iOS, c'est moins testé... perso, j'aurais tendance à dire que ça dépend de la version de Safari et de comment Apple gère la MediaSession API. À vérifier de votre côté.

D'ailleurs si vous aviez lu mon article sur le blocage de la lecture YouTube en arrière-plan , vous saviez que Google serre la vis sur les navigateurs tiers. Les méthodes à base de about:flags tombent les unes après les autres.

Allformusic a l'avantage de passer par l'API officielle, du coup en théorie c'est moins susceptible de se faire dégager du jour au lendemain... mais bon, avec Google, on n'est jamais à l'abri.

Après, la qualité audio dépend de ce que YouTube balance, et sur certains titres c'est du 128 kbps donc clairement pas du FLAC hi-fi. Si vous êtes du genre à entendre la différence entre un MP3 et un vinyl, passez donc votre chemin. Mais si vous êtes comme et que c'est juste pour se mettre un fond sonore en cuisinant ou dans les transports, ça fait largement le taf.

Y'a pas non plus de mode hors-ligne, donc sans connexion c'est mort. Et vu que ça streame du YouTube, comptez une cinquantaine de Mo par heure en audio seul... à garder en tête si vous avez un forfait serré.

Le site propose aussi des sélections thématiques... Top du moment, Top soirée, et même un "Top Johnny" pour les fans du Taulier ^^. C'est un projet perso fait par un lecteur du blog passionné de code et de musique, donc ça mérite bien un petit coup de projecteur !

Bref, merci à Bruno pour le partage et encore bravo ! Si vous cherchez un moyen d'écouter de la musique en streaming sans prise de tête, allformusic.fr ça vaut le détour.