J'ai longuement hésité, et je viens enfin de franchir le pas. J'abandonne mon adresse Free et mon adresse Gmail pour une adresse email sur mon propre nom de domaine. La bascule s'est faite chez Proton Mail, et voici pourquoi.

Le piratage de trop !

L'été dernier, ma boîte Free s'est fait pirater. Le coupable le plus probable : une connexion Wifi douteuse lors de notre roadtrip en Grèce sur laquelle j'avais relevé mes mails sans réfléchir avec mon smartphone. Cela arrive vite, et quand cela arrive, on réalise à quel point une boîte mail est la clé de tout le reste. Réinitialisation de mot de passe, factures, comptes bancaires, tout passe par là. Enfin, tous les services Internet n'ayant pas de MFA au travers d'un générateur de code.

D'ailleurs, le vrai problème n'est pas tant le Wifi que le protocole. En IMAP et SMTP classiques, mon mot de passe de messagerie transite à chaque relève, à l'intérieur du tunnel, et toute la confidentialité repose sur une seule condition : que le TLS soit correctement négocié. Sur un réseau que je ne maîtrise pas, un attaquant peut chercher à rétrograder la connexion en bloquant STARTTLS, ou à présenter un faux certificat. Si l'une de ces tentatives passe, ce n'est pas un simple message qui fuite, c'est la clé de toute ma vie numérique : le mot de passe lui-même.

À côté de cela, il y a Gmail. Le service est techniquement excellent, je ne vais pas faire semblant du contraire. Mais son modèle économique repose sur la donnée. Depuis 2017, Google ne scanne plus le contenu des emails pour personnaliser ses publicités^[1] ; les annonces affichées dans Gmail s'appuient désormais sur le profil que Google bâtit à l'échelle de tout son écosystème, recherche, YouTube, Android, Maps. En revanche, le contenu de mes messages reste analysé pour les fonctions intelligentes (rédaction assistée, réponses suggérées, cartes de synthèse), et l'extension de ces traitements à l'IA Gemini depuis 2023 a relancé la controverse, jusqu'à une action collective fin 2025^[2]. Gratuit ne veut pas dire sans contrepartie, et la contrepartie c'est moi.

Entre la boîte piratée et la boîte analysée, j'ai pris la décision que je repoussais depuis des années : passer sur un vrai service mail orienté sécurité, et reprendre le contrôle de mon adresse.

Pourquoi Proton Mail ?

Je suis parti chez Proton Mail, hébergé en Suisse.^[3] Petit point de précision que je tiens à faire, parce que j'ai vu beaucoup de monde l'écrire de travers : la Suisse n'est pas dans l'Union européenne. On n'est donc pas sur du RGPD, mais sur le droit suisse, qui est l'un des plus protecteurs au monde en matière de vie privée. Pour moi c'est un atout, à condition de savoir exactement de quoi on parle.

Côté architecture, Proton stocke mes emails avec un chiffrement à accès zéro.^[4] Un message entrant circule chiffré pendant le transport, via TLS, mais à l'arrivée le serveur de Proton peut brièvement le lire en clair, car un expéditeur comme Gmail ne fait pas de chiffrement de bout en bout. Proton le chiffre alors aussitôt avec ma clé publique : au repos, plus personne ne peut lire le corps, pas même Proton. Seule réserve, l'objet et les adresses ne sont pas chiffrés de bout en bout. Cela reste la vraie différence avec une boîte Free ou Gmail classique, où le fournisseur conserve l'accès.

Enfin, Proton publie les rapports d'audit de sécurité réalisés par des cabinets indépendants, ce qui offre une transparence appréciable sur le niveau réel du service.

Quatre euros par mois pour mon propre domaine

Je suis parti sur l'offre payante Mail Plus, à environ 4 euros par mois en facturation annuelle.^[5] Ce qui m'intéressait avant tout, ce n'était pas le stockage, c'était la possibilité de brancher mon propre nom de domaine.

L'intérêt est double. D'abord, je ne dépends plus d'un fournisseur. Le jour où je veux quitter Proton, je garde mon adresse et je redirige mes enregistrements MX ailleurs. Mon identité numérique ne m'est plus prêtée par un opérateur, elle m'appartient. Ensuite, un domaine personnel ouvre la porte au mécanisme qui a vraiment motivé ma migration : le catch-all.

Il est vrai que j'aurais pu héberger mon propre serveur de mail dans ma baie de brassage, mais la charge de travail pour réussir un tel projet est très importante à la fois en setup et en maintenance, surtout pour essayer d'assurer un niveau de sécurité minimal et se protéger du spam.

Le catch-all, ou un alias par service

Le catch-all est disponible sur tous les plans payants Proton, y compris Mail Plus.^[6] Concrètement, toute adresse de mon domaine qui n'existe pas formellement atterrit quand même dans ma boîte. Je peux donc inventer une adresse différente pour chaque service que j'utilise, à la volée, sans rien configurer à l'avance.

J'aurais pu m'appuyer sur le générateur d'alias hide-my-email intégré à Proton, qui fabrique des adresses aléatoires à la demande. J'ai préféré le catch-all illimité : aucune limite de nombre, rien à générer ni à stocker, et surtout des libellés que je choisis moi-même et que je lis d'un coup d'œil.

Amazon devient amazon@mondomaine.fr. Ma banque devient banque@mondomaine.fr. Tel forum obscur devient forum-bidule@mondomaine.fr. Je n'ai jamais besoin de créer ces adresses, elles fonctionnent toutes par défaut.

L'avantage est immédiat le jour où je reçois un spam ou une tentative de phishing. Si un message non sollicité arrive sur forum-bidule@mondomaine.fr, je sais exactement d'où vient la fuite : c'est ce forum qui s'est fait pirater, ou qui a revendu mes données. Je peux alors désactiver cette adresse précise sans toucher au reste. Couplé à un mot de passe unique par service via un gestionnaire de mots de passe, cela transforme ma surface d'attaque. Une fuite reste isolée, elle ne contamine pas le reste.

Pour aller plus loin dans le tri, Proton expose un mécanisme de filtres Sieve très riche : un vrai langage de script côté serveur, que l'on configure directement en code plutôt qu'à coups de cases à cocher. Je peux par exemple router automatiquement chaque alias vers son propre dossier, coller un label sur tout ce qui arrive via le catch-all, ou trier selon des en-têtes que l'assistant de filtres classique ne sait pas lire.

Webmail, application et Bridge : comment cela marche vraiment ?

Au quotidien, j'utilise trois accès. Le webmail, qui est puissant et propre. L'application mobile dédiée, chiffrée. Et sur ordinateur, le Proton Bridge, qui permet de connecter mon client mail Thunderbird.^[7]

C'est sur le Bridge que je veux être précis, parce qu'on lit souvent qu'il « remplace » IMAP et SMTP. C'est faux, et la réalité est plus intéressante. Le Bridge expose un petit serveur IMAP et SMTP en local, sur 127.0.0.1, uniquement accessible depuis ma machine. Mon client mail habituel parle à ce serveur local. Le Bridge se charge ensuite de chiffrer et déchiffrer les messages directement sur mon ordinateur, avec ma clé, avant de dialoguer avec les serveurs de Proton en chiffré. Autrement dit, IMAP et SMTP ne disparaissent pas, ils sont déplacés en local et ne transitent jamais en clair sur Internet.

Dernière précision, parce qu'il est important de ne pas survendre la qualité du service. Le chiffrement bout en bout intégral ne vaut qu'entre comptes Proton, ou avec un correspondant qui utilise PGP. Quand j'écris à une simple adresse Gmail, mon message n'est pas chiffré de bout en bout, il est protégé en transit et stocké chiffré côté Proton, mais le destinataire le reçoit en clair dans sa boîte Google. Proton ne fait pas de magie sur ce point, et personne ne peut en faire. Pour mes échanges sensibles entre comptes Proton, en revanche, le chiffrement bout en bout est total.

En synthèse

Après quelques jours d'utilisation, je ne reviendrai pas en arrière. Je paie 4 euros par mois pour une adresse qui m'appartient, un chiffrement sérieux, et surtout une traçabilité totale de mes données grâce au catch-all. Ce n'est pas gratuit, mais c'est exactement le point : je préfère payer un service qui me protège plutôt qu'utiliser un service où je suis le produit.

Sur Internet, si c'est gratuit, c'est que le produit, c'est toi.

Je n'ai pas encore testé la fonction qui synchronise une boîte Gmail avec Proton, mais sachez qu'elle existe : c'est Easy Switch. Elle importe vos anciens messages Gmail et maintient ensuite une synchronisation continue, de sorte que les nouveaux mails arrivent automatiquement dans Proton. Idéal pour migrer en douceur, sans tout couper du jour au lendemain.

Si vous hésitez encore comme j'ai hésité, mon conseil est simple : commencez par acheter un nom de domaine, c'est la première étape. Le fournisseur de service mail derrière, vous pourrez toujours en changer en fonction de l'évolution d'Internet. Et si vous voulez tester Proton Mail, vous pouvez passer par mon lien de parrainage.

Voilà plus de vingt ans que je publie sur ce blog Geeek, et jamais Google ne m'a autant donné l'impression de décider à ma place de qui je suis. Verdict après enquête : entre 2024 et 2026, le moteur a retiré aux éditeurs le contrôle de leur propre fiche et les articles du blog Geeek ont été supprimés de Google News car la fréquence de publication ne doit pas être assez soutenue pour satisfaire les algorithmes.

Le Publisher Center de Google, l'ancien tableau de bord pour administrer la publication de son feed de contenu, a été vidé. Ce sont désormais les algorithmes qui fabriquent votre profil tout seuls, à partir de vos signaux publics, avec une mention « profil généré par Google » collée dessus.^[1][2] Et quand de vrais leviers d'édition sont arrivés début 2026, Google les a réservés à une cinquantaine d'éditeurs triés sur le volet.^[2:1][3] Si vous avez un site de contenu, voici ce qui a changé et le strict nécessaire à régler.

Dans le cas du blog, la page Discover ne contient même pas le bouton "suivre" que l'on retrouve sur de nombreuses autres pages de blog.

J'essaie dans cet article de vous présenter ma compréhension du mécanisme de Knowlegde Graph mis en place par Google. Vous allez probablement découvrir que plein de nouveautés sont désormais disponibles si vous aussi vous publiez comme moi du contenu sur le Web.

Où sont publiés les news de votre site chez Google ?

Dès lors que vous publiez du contenu, Google va l'indexer pour permettre aux utilisateurs du moteur de recherche de le trouver via le mécanisme de recherche traditionnel.

Vos contenus peuvent aussi apparaitre dans différents autres endroits importants qui peuvent drastiquement augmenter la visibilité et l'audience de votre site :

• Sur la page de Recherche Google, sur une requête chaude, le carrousel « À la une » (Top Stories) liste les articles avec une vignette, le titre, et votre favicon collé au nom du site.^[1:1]
• Dans Discover, le fil personnalisé sous la barre de recherche (app Google, nouvel onglet Chrome Android), vos articles passent en grandes cartes : grande image, titre, favicon + nom. Un appui sur le nom mène à votre profil et son bouton Suivre.^[2:2]
• Dans Google News, l'app dédiée et news.google.com, via les sections À la une, Pour vous et Suivis. Un appui sur le nom de votre publication ouvre votre page de publication, celle qui est désormais générée automatiquement.^[1:2]

Autrement dit, ce que le lecteur perçoit de vous tient en quatre éléments : un favicon, un nom de site, une image et un profil. L'ensemble de ces informations proviennent désormais de vos métadonnées à condition de sachiez ce que c'est et qu'elles soient correctement configurées sur votre site.

Trois outils mis à disposition par Google

Google met à disposition 3 outils à obsolument connaitre en tant que producteur de contenu :

• Profil Discover (profile.google.com/cp/…) : fiche auto-générée, non modifiable dans 99% des cas.^[2:3]
• Sources préférées (google.com/preferences/source) : réglage côté lecteur qui vous met en avant dans les Top Stories, Discover et les réponses IA.^[4][5]
• Publisher Center : l'ancien outil de config, aujourd'hui quasi vide.^[6]

Je vous détaille ces 3 outils dans la suite de l'article.

1. Le nouveau profil Discover

Courant 2025, Google a sorti une page de profil par éditeur sous profile.google.com/cp/, dans la foulée du bouton Suivre annoncé le 17 septembre 2025.^[7][2:4]

Elle se monte automatiquement : nom, abonnés, liens sociaux récupérés dans le Knowledge Graph, derniers articles.^[3:1]

L'identifiant à rallonge dans l'URL (/cp/Eg8KDXd3dy5nZWVlay5vcmc=) n'a rien de magique : c'est du protobuf en base64 qui enveloppe l'URL de votre site. Décodé, cela donne www.geeek.org.

Si vous souhaitez connaitre l'URL Google Discover de votre site , voici un petit widget qui vous permettra de la trouver :

Un site est généralement éligible à une fiche dès qu'il possède une entité dans le Knowledge Graph et publie régulièrement.^[8] Cette entité, Google la nourrit avec vos données structurées.
Le défaut le plus fréquent de ces fiches, des liens sociaux manquants, se corrige donc en amont via les sameAs de votre schema Organization et un lien vers votre page d'accueil.^[8:1]

Les profils éditables (bannière, liens, posts épinglés) sont réservés depuis mars 2026 à une cinquantaine d'éditeurs choisis par Google, sans procédure de candidature publique.^[2:5][3:2] A date, cette page n'est pas modifiable pour la majorité des éditeurs de contenu.

2. Les sources préférées

Le lecteur peut désormais désigner par lui-même les sites qu'il veut voir plus souvent sur les outils Google.

Cela se traduit par un effet direct dans les Top Stories, Discover, et depuis mai 2026 les réponses IA ; dispo en français depuis le 30 avril 2026.^[5:1][9] Google affirme qu'un lien préféré se fait cliquer deux fois plus, mais ce sont ses chiffres, non vérifiés.^[5:2][10]

Le hic : ce mécanisme récompense ceux qui ont déjà une audience fidèle.^[10:1] Le badge ne vaut rien tant que des lecteurs ne vont pas vous épingler eux-mêmes.

Ces probablement la raison pour laquelle le site Korben met en avant le bouton Google d'ajoute de source préférée en dessous de ces articles.

Deux points concrets :

• Seuls les domaines et sous-domaines sont éligibles, pas les sous-répertoires : /blog est exclu d'office.^[4:1]
• Pour pousser vos lecteurs : le deeplink https://google.com/preferences/source?q=https://votre-domaine.tld, et le bouton officiel que Google fournit en français.^[4:2]

A titre d'exemple, je vous invite à cliquer sur ce lien pour ajouter Geeek.org à vos sources préférées si vous appréciez le contenu publié :

https://google.com/preferences/source?q=https://www.geeek.org

3. Le Publisher Center

Le Publisher Center qui autrefois permettait aux éditeurs de gérer les informations de leur contenu ne sert plus qu'à la monétisation par abonnement (Reader Revenue Manager) et à News Showcase.^[6:1] Sinon, passez votre chemin et concentrez-vous sur vos métadonnées.

Vous devez tout de même faire attention à ce que votre nom de la publication sur Google Publisher corresponde exactement au nom de publication de votre blog au sein de ses métadonnées 'Organisation".

Les métadonnées, la source de vérité

Une fois que vous avez compris que les métadonnées de votre blog servent à Google pour permettre de comprendre votre contenu et le publier, voici quelques éléments sur lesquels vous devez absolument faire attention :

• Favicon : carré, plus de 48 px, URL stable. C'est votre logo Google Actualités.^[11]
• Nom de site : via le schema WebSite sur la home.^[12]
• Organization + sameAs + logo : le bloc le plus négligé. Le logo n'est pas le favicon (logotype d'au moins 112 px). Les sameAs (X, YouTube, Mastodon, profil auteur) alimentent directement votre profil Discover.^[13][3:3]
• Article/NewsArticle + dates : soignez les dates de publication et de modification.^[14]
• max-image-preview:large + image d'au moins 1200 px en 16:9 (via og:image) : la condition pour décrocher la grande vignette Discover plutôt qu'une miniature.^[15]
• Flux RSS/Atom dans le <head> : la clé du bouton Suivre.^[15:1]

Ces informations sont à poser une fois dans le <head> de la page d'accueil (éditeur de template ou injection de code).
L'@id évite qu'un balisage natif crée une entité concurrente.

<meta name="robots" content="max-image-preview:large">
<script type="application/ld+json">
[
  { "@context": "https://schema.org", "@type": "WebSite",
    "@id": "https://votre-domaine.tld/#website",
    "name": "Mon site", "url": "https://votre-domaine.tld/" },
  { "@context": "https://schema.org", "@type": "Organization",
    "@id": "https://votre-domaine.tld/#organization",
    "name": "Mon site", "url": "https://votre-domaine.tld/",
    "logo": { "@type": "ImageObject", "url": "https://votre-domaine.tld/logo.png", "width": 512, "height": 512 },
    "sameAs": [
      "https://twitter.com/votrecompte",
      "https://www.youtube.com/@votrechaine",
      "https://mastodon.social/@votrecompte"
    ] }
]
</script>

Reste à tester la home et un billet dans le Rich Results Test et l'inspecteur d'URL de la Search Console, puis demander une réindexation.^[13:1][15:2]

En Synthèse

Google a démonté ce que les éditeurs maîtrisaient pour le remplacer par des fiches qu'il génère grâce à vos métadonnée. Il a actuellement réservé l'édition de ses fiches à un club très fermé.^[2:6][10:2]

Au travers de ses algorithmes, il peut choisir les source de contenu qu'il autorise au non sur ses plateformes, impactant finalement très fortement l'audience et la monétisation des sites mis en avant. Google peut aussi décider de mettre en avant des sites utilisant Adsense plutot que les autres sites pour augmenter son chiffre d'affaire, ceci n'a pas été démontré mais c'est techniquement possible.

Si vous êtes un petit blog indépendant, il est probable que vous ne serez jamais relayé sur Google News sauf si vous y consacrez un temps important chaque semaine. Si ce sujet vous intéresse, n'hésitez pas à réagir en dessous de cet article au travers d'un commentaire ou de passer discuter sur le serveur Discord Geeek.org.

Avec la mise à jour 4.11.1 du Freebox Server déployée le 20 mai 2026^[1], Free corrige un oubli historique : les Freebox savent désormais résoudre les noms des appareils du réseau local via leur DNS interne. Une fonctionnalité réclamée sur le bug tracker officiel depuis plus de quinze ans^[2].

Ce que change réellement la 4.11.1

Jusqu'ici, le DNS embarqué dans la Freebox se contentait de relayer vos requêtes vers les résolveurs externes. Pour joindre un NAS ou un Raspberry Pi, il fallait connaître son adresse IP, du type 192.168.1.42. Et si le bail DHCP changeait, tout tombait.

La 4.11.1 ajoute la brique manquante : « un nom de domaine est maintenant associé automatiquement à chaque périphérique réseau »^[3]. Concrètement, le Freebox Server expose un résolveur DNS local capable de répondre à des requêtes du type mon-nas.home ou monserveur.home et de retourner l'IP courante de l'appareil correspondant.

Cette évolution correspond à l'objet du ticket FS#4079, ouvert début 2011 sur le tracker officiel, qui réclamait un couplage DHCP/DNS sur la Freebox^[2:1]. Quinze ans plus tard, c'est enfin fait.

Comment ce DNS local fonctionne ?

Le mécanisme de résolution DNS est classique, voici les trois étapes :

1. Le client demande une IP en DHCP. Au passage, l'appareil annonce son hostname (option DHCP 12), ce nom visible dans Freebox OS dans la liste des périphériques.
2. La Freebox enregistre le couple nom ↔ IP. Le bail DHCP est désormais injecté dans la table de résolution du DNS local du Server. Soyons précis : la Freebox lisait déjà le hostname annoncé par chaque appareil, c'est lui qui s'affiche dans la liste des périphériques de Freebox OS. Ce qui manquait jusqu'ici, c'était le pont entre cette information et le résolveur DNS embarqué.
3. Le DNS interne répond aux requêtes. Si la requête correspond à un appareil connu, il renvoie l'IP du LAN. Sinon, relais vers les DNS externes comme avant.

Aucun fichier hosts à maintenir, aucun bail statique forcé. Le hostname annoncé par l'appareil suffit.

Et le suffixe de domaine ?

Free n'a pas communiqué officiellement sur le suffixe utilisé dans le changelog, mais en explorant les écrans du Freebox Server après la mise à jour, on découvre que c'est .home qui a été retenu. Vos appareils sont donc accessibles sous la forme monserveur.home, nas-synology.home, raspberrypi.home, etc.

Choix pragmatique mais discutable techniquement : .home n'est pas réservé par l'IETF pour un usage local. La RFC 8375 a justement créé home.arpa pour combler ce besoin de manière normalisée^[4]. À l'inverse, .local est réservé par la RFC 6762 au protocole mDNS (Bonjour, Avahi)^[5] et Apple recommande explicitement de ne pas l'utiliser comme suffixe interne^[6] Free a donc bien fait de l'écarter.

En pratique, .home est largement répandu sur les box concurrentes et fonctionne sans accroc aujourd'hui. Le seul risque serait qu'un futur registre l'enregistre comme TLD public, mais c'est très improbable vu son usage déjà massif dans les LAN domestiques.

Le nom exact attribué à chacun de vos appareils est visible dans Freebox OS > Périphériques réseau après la mise à jour.

Ce que cela débloque concrètement

Ce serveur DNS local connecté au DHCP vous permet de contacter vos périphériques directement sans que vous ayez connaissance de leur adresse IP :

• ssh raspberrypi.home sans relire la liste DHCP à chaque fois
• Pointer un docker-compose ou un script de backup vers un hostname stable du type nas.home
• Configurer Plex, Jellyfin ou Home Assistant sur mobile sans dépendre d'un bail statique
• Imprimer sur imprimante-salon.home depuis n'importe quel poste
• Se passer d'un Pi-hole ou d'un AdGuard Home déployé uniquement pour la résolution locale

Ce DNS local est d'autant plus pratique si vous avez beaucoup d'équipements connectés à votre réseau dans votre baie de brassage.

Les limites à connaître

Le DNS interne reste strictement local :

• Un appareil avec IP fixe configurée manuellement sur l'appareil lui-même (sans bail DHCP) ne sera pas résolu.
• Un appareil qui n'annonce pas de hostname en DHCP restera invisible côté DNS.
• Les équipements derrière un routeur secondaire ne bénéficient pas de la résolution.
• Si vos clients pointent directement vers un DNS externe (Cloudflare, Quad9, NextDNS, Google…), la résolution .home est évidemment court-circuitée. En revanche, si vous faites tourner un AdGuard Home, un Pi-hole ou un Unbound sur votre réseau, il suffit de configurer la Freebox comme upstream DNS de ces outils pour conserver la résolution locale en plus de votre filtrage maison. Le meilleur des deux mondes.

Comment activer le DNS Local de la Freebox ?

Il n'y a rien à activer. Il suffit de redémarrer le Freebox Server^[1:1]. Pour vérifier que la 4.11.1 est bien installée : écran de la box (menu Système / Informations avancées), application Free dans l'Espace Abonné, ou Freebox OS (mafreebox.freebox.fr).

Une fois en place, un simple ping monserveur.home depuis un poste du réseau confirme que le DNS interne répond.

Pour modifier l'entrée DNS du périphérique, il suffit de se rendre dans la vue "Périphériques réseau" et de modifier le champ DNS Local :

En résumé

Une vraie bonne nouvelle, même si j'ai un doute sur la cible : les profils qui ont vraiment besoin de résolution DNS locale font souvent tourner leur propre solution de DHCP (Pi-hole, AdGuard Home, OPNsense, OpenWrt ...) et n'ont pas forcément envie de confier cette brique à un hardware lié à leur opérateur.

Et vous, vous repassez sur le DHCP Freebox pour profiter du .home, ou vous gardez votre stack maison ? N'hésitez pas à rejoindre le serveur Discord Geeek pour discutter.

Si les sujets réseau vous intéresse, n'hésitez pas à découvrir mon article sur la transformation d'un Raspberry Pi en IDS.

• Le constat : pourquoi la cybersécurité défensive ne peut plus attendre
• L'IA générative aggrave la situation du côté offensif
• Six piliers pour une défense continue
• Pilier 01 : Audit de code et SAST
• Pilier 02 : DevSecOps et chaînes CI/CD
• Pilier 03 : Détection et SIEM
• Pilier 04 : Réponse à incident et forensique
• Pilier 05 : Threat Intelligence
• Pilier 06 : Durcissement et conformité
• Les skills Claude Code à connaître pour la sécurité
• Limites et précautions d'usage
• Conclusion

Ma participation au Meetup Nantes@Hack

Récemment, j'ai eu le plaisir d'intervenir lors d'un meetup co-organisé par Generative AI Nantes et Nantes@Hack. J'y ai présenté ma vision de l'utilisation des agents de codage (GitHub Copilot, Claude Code) appliqués à la cybersécurité défensive.

Passionné par cette thématique depuis de nombreuses années sans pour autant m'en revendiquer expert, je vous propose dans cet article une synthèse de mes réflexions et du contenu de cette présentation. Que vous soyez débutant ou professionnel aguerri de la Cyber, j'espère que ce retour d'expérience vous donnera des pistes concrètes pour intégrer les Coding Agents dans votre quotidien.

Le constat : pourquoi la cybersécurité défensive ne peut plus attendre

68 % des brèches impliquent un facteur humain non malveillant.^[1] 194 jours en moyenne pour détecter une compromission.^[2] 4,4 millions de dollars de coût moyen par incident.^[3] Et une explosion de +180 % en glissement annuel de l'exploitation de vulnérabilités comme vecteur d'attaque initial.^[4]

Ces chiffres issus des rapports Verizon DBIR 2024 et IBM Cost of a Data Breach (éditions 2024 et 2025) dressent un tableau brutal. Le site bonjourlafuite.eu.org que je vous avais présenté dans un précédent article recense par ailleurs les fuites de données françaises en temps réel. Pourtant, la majorité des organisations déploient régulièrement du code vulnérable en production sans même en avoir conscience. Ce n'est pas une question de mauvaise volonté. C'est une question de capacité de contrôle.

Le cycle de développement est devenu trop rapide avec les méthodes agiles. Les équipes souvent trop sollicitées ne possèdent pas tout le temps des compétences suffisantes en cybersécurité pour assurer un contôle continue de leurs assets.

Les outils de sécurité sont souvent cantonnés à des étapes finales de validation, déconnectées du quotidien des développeurs. L'enjeu n'est donc pas l'erreur individuelle du développeur, c'est l'absence de contrôle continu intégré au cycle de développement qu'il faut corriger.

L'IA générative aggrave la situation du côté offensif

En France, les affaires récentes le démontrent de façon spectaculaire. En octobre 2024, un lycéen de 17 ans a exfiltré les données de 19,2 millions d'abonnés Free, dont 5,11 millions incluant un IBAN.^[5]

En avril 2026, un mineur de 15 ans a exploité une faille IDOR sur le portail de l'ANTS (Agence Nationale des Titres Sécurisés), exposant entre 12 et 19 millions de profils contenant l'état civil complet de citoyens français.^[6]

Dans les deux cas, les techniques utilisées étaient d'une complexité relativement faible, accessibles à des profils sans formation avancée en sécurité. L'ANSSI confirme cette tendance dans son rapport de février 2026 : l'IA générative est désormais utilisée par un large spectre d'acteurs offensifs, des groupes étatiques aux script kiddies.^[7]

Pour les attaquants les plus avancés, elle représente un outil de passage à l'échelle. Pour les moins expérimentés, elle sert d'outil d'apprentissage accéléré qui abaisse drastiquement la barrière d'entrée.

L'IA générative est donc déjà une arme offensive entre les mains d'attaquants de plus en plus jeunes et de moins en moins qualifiés. Elle doit aussi devenir une arme défensive. C'est précisément là qu'intervient cette présentation. Non pas pour remplacer les experts sécurité, mais pour instaurer une vigilance permanente dès la première ligne de code.

Six piliers pour une défense continue

Cet article est structurée autour de six domaines clés de la cybersécurité défensive. Chaque pilier est illustré avec des prompts directement utilisables en production, et une comparaison des forces respectives de Claude Code et GitHub Copilot CLI.

Les six piliers utilisés dans cet article sont :

1. L'audit de code et SAST
2. Le DevSecOps et les chaînes CI/CD
3. La détection et le SIEM
4. La réponse à incident et la forensique
5. La Threat Intelligence
6. Le durcissement et la conformité

Pilier 01 : Audit de code et SAST

L'audit de code statique est le premier rempart. L'objectif est d'analyser le code existant pour identifier vulnérabilités, secrets et CVE (failles de sécurité répertoriées publiquement) avant leur exploitation. Les domaines couverts incluent l'OWASP Top 10^[8], la détection de secrets hardcodés (mots de passe ou clés API laissés en clair dans le code), les CVE sur les dépendances, la cryptographie obsolète et la génération de rapports SARIF.^[9]

Avec Claude Code, un seul prompt peut déclencher un audit multi-fichiers avec correctif intégré :

$ claude "Trace le flux des entrées utilisateur depuis les contrôleurs Express
jusqu'aux requêtes SQL dans src/. Pour chaque injection potentielle,
génère le fix avec requête paramétrée et le test unitaire associé."

Claude Code analyse le contexte complet du projet : il suit le flux de données à travers plusieurs fichiers, identifie le point d'injection et produit à la fois le correctif et son test en une seule passe.

Avec GitHub Copilot CLI, la force est dans l'accès direct à l'écosystème GitHub :

$ copilot -p "Liste les CVE critiques (CVSS>=9) de mon package-lock.json,
vérifie si un exploit public existe pour chacune,
et ouvre une issue GitHub avec le plan de remédiation."

Copilot CLI bénéficie ici de son intégration native à GitHub : accès direct aux PR et aux issues via MCP GitHub (Model Context Protocol : standard qui permet à un agent IA de piloter des outils externes), avec le choix du modèle sous-jacent (Claude Sonnet 4.5 ou GPT-5).

Pilier 02 : DevSecOps et chaînes CI/CD

Le DevSecOps, c'est l'ambition d'intégrer la sécurité à chaque étape du cycle de développement. La revue de PR (Pull Request, c'est-à-dire la proposition de modification du code soumise à validation), le pipeline CI/CD (chaîne d'automatisation qui compile, teste et déploie le code), la gestion du registre de conteneurs et l'exécution en production sont tous concernés. Les domaines couverts incluent les gates CI/CD (points de blocage automatiques), les SBOM (Software Bill of Materials : inventaire exhaustif des composants d'une application), les hooks pre-commit et la signature des artefacts.

Avec Claude Code :

$ claude "Génère un workflow GitHub Actions complet : Semgrep sur le code,
Trivy sur l'image Docker, gate qui bloque le merge si CVSS>=7.
Ajoute un pre-commit hook gitleaks pour empêcher tout secret d'atteindre le repo."

La différence notable : Claude Code génère le YAML complet d'un pipeline agentique multi-étapes, avec une compréhension du contexte du repo entier. Plus besoin d'assembler les blocs manuellement.

Avec GitHub Copilot CLI :

$ copilot -p "Active Dependabot avec alertes auto-merge pour les patchs, configure CodeQL en mode security-extended, et active push protection sur ce repo pour bloquer les secrets."

L'avantage de Copilot CLI ici est son intégration GitHub native. Actions, Dependabot, CodeQL et push protection sont pilotés directement via le MCP Github, sans friction entre l'outil IA et la plateforme de développement.

Pilier 03 : Détection et SIEM

La détection en temps réel est le cœur de toute stratégie SOC (Security Operations Center : cellule chargée de surveiller et répondre aux incidents de sécurité). Ce pilier couvre l'analyse des journaux système, l'élaboration de règles de détection (YARA, Sigma, Snort) et la chasse aux menaces (threat hunting). Les plateformes visées vont de Splunk à ELK en passant par les outils open source.

Avec Claude Code :

$ claude "Analyse les 24 dernières heures de auth.log.
Identifie les patterns de bruteforce SSH (>10 tentatives/IP/min), génère une règle Sigma de détection et la requête Splunk SPL équivalente."

Claude Code se distingue par sa compréhension des TTP d'attaque (Tactics, Techniques and Procedures : la façon dont les attaquants opèrent concrètement). Il ne génère pas simplement des règles syntaxiquement correctes, il produit des règles de détection de qualité production, calibrées pour réduire les faux positifs.

Avec GitHub Copilot CLI :

$ copilot -p "Parse eve.json (Suricata), extrais les IPs avec plus de 50 alertes en 1h, enrichis-les via whois, et crée une issue GitHub avec la liste triée par sévérité." --allow-tool='shell(jq,whois)'

Copilot CLI opère ici dans un shell sandboxé via le paramètre --allow-tool. Il peut créer des issues GitHub directement depuis l'analyse de logs, ce qui accélère le workflow de qualification d'incident.

Pilier 04 : Réponse à incident et forensique

Quand l'incident survient malgré tout, la réactivité est critique. Ce pilier couvre le triage des alertes, l'analyse de mémoire, la rétro-ingénierie de code malveillant et la reconstitution de chronologie d'incident pour produire des rapports DFIR (Digital Forensics and Incident Response : investigation numérique et gestion de crise) exploitables.

Avec Claude Code :

$ claude "Ce PowerShell est obfusqué en base64 imbriqué sur 3 couches.
Décode chaque couche, explique l'intention de chaque étape, identifie le C2 contacté et génère les IOC (IP, domaine, hash) au format STIX 2.1."

C'est sur ce pilier que Claude Code brille particulièrement. Ses capacités de rétro-ingénierie, d'analyse comportementale et de narration claire d'un incident complexe en font un outil précieux, surtout pour les équipes qui ne sont pas entièrement spécialisées en forensique.

Avec GitHub Copilot CLI :

$ copilot -p "Lance volatility3 sur memdump.raw : pslist, netscan, malfind.
Corrèle les processus suspects avec les connexions réseau, et génère la timeline au format plaso." --allow-tool='shell(vol3,plaso)'

Copilot CLI excelle ici dans le pilotage des outils DFIR établis. La combinaison du paramètre --allow-tool avec volatility, tshark et plaso permet d'exécuter des analyses dans un environnement contrôlé, ce qui limite les risques lors de l'analyse de code potentiellement malveillant.

Pilier 05 : Threat Intelligence

La Cyber Threat Intelligence permet d'anticiper plutôt que de subir. Ce pilier couvre le mapping MITRE ATT&CK^[10], l'enrichissement des IOC (Indicators of Compromise : traces laissées par une attaque, comme une adresse IP ou un hash de fichier malveillant), le profilage des groupes APT (Advanced Persistent Threat : groupes d'attaquants organisés, souvent étatiques) et l'évaluation de l'exploitabilité des CVE dans votre stack spécifique. Pour la reconnaissance passive, des outils comme Shodan ou le Certificate Transparency permettent d'identifier votre surface d'exposition sans envoyer un seul paquet.

Avec Claude Code :

$ claude "Analyse CVE-2024-3094 (backdoor xz-utils). Mappe les TTP
sur MITRE ATT&CK, évalue l'exploitabilité dans notre stack Debian 12, et rédige une note d'impact pour le RSSI avec les actions de remédiation."

Claude Code produit ici une synthèse CTI structurée avec mapping ATT&CK automatique et évaluation d'impact métier contextualisée. C'est particulièrement utile pour les équipes qui doivent justifier une priorité de remédiation auprès d'un RSSI ou d'une direction.

Avec GitHub Copilot CLI :

$ copilot -p "Interroge l'API NVD pour les CVE critiques publiées cette semaine sur openssl et nginx. Pour chaque CVE, vérifie sur Shodan si nous avons des instances exposées, et crée une issue GitHub par CVE avec le score EPSS." --allow-tool='shell(curl)'

La valeur ajoutée de Copilot CLI sur ce pilier est sa capacité à créer directement des issues et PR GitHub à partir des findings CTI. Le cycle entre la découverte d'une menace et son traitement dans le backlog de l'équipe de développement est considérablement réduit.

Concernant ce pilier, j'ai développé un outil open source pour automatiser le reporting IP sur AbuseIPDB via Cloudflare : github.com/ltoinel/Cloudflare-Ipabusedb-Report.

Pour vérifier votre propre exposition aux attaques via OSINT, des outils comme Epieos permettent de tester en quelques clics à partir d'un email ou d'un numéro de téléphone.

Pilier 06 : Durcissement et conformité

Ce pilier concerne le durcissement de l'infrastructure (IaC, Cloud, Kubernetes) et la démonstration de conformité réglementaire (CIS Benchmark^[11], RGPD article 32^[12], NIS2^[13], SOC 2). L'IaC (Infrastructure as Code) désigne le fait de décrire et provisionner son infrastructure via des fichiers de configuration versionnés, comme Terraform ou Ansible. C'est ici que la policy-as-code prend tout son sens.

Avec Claude Code :

$ claude "Audite mes fichiers Terraform AWS contre CIS Benchmark v3.
Pour chaque non-conformité, génère la policy OPA Rego qui bloque le déploiement et un commentaire expliquant le risque métier en termes compréhensibles par un non-technicien."

Claude Code ne produit pas seulement des constats. Il génère des policies-as-code (OPA, Kyverno) et des matrices de conformité directement actionnables par les équipes DevOps. C'est un gain de temps considérable par rapport à une démarche manuelle.

Avec GitHub Copilot CLI :

$ copilot -p "Lance kube-bench sur le cluster staging.
Affiche les checks CIS en échec sur RBAC et NetworkPolicies, et propose le patch YAML pour chacun." --allow-tool='shell(kube-bench,kubectl)'

Copilot CLI pilote ici les scanners CIS et IaC établis (kube-bench, checkov, hadolint, trivy) depuis l'interface CLI, avec une exécution sandboxée et maîtrisée. Si vous travaillez avec Docker, ma check-list des 10 questions à se poser avant de démarrer un projet conteneurisé reste un bon complément à ces audits automatisés.

Les skills Claude Code à connaître pour la sécurité

Pour un usage avancé, Claude Code supporte des skills spécialisés : des packages de compétences préconfigurés pour des domaines précis.^[14] Les plus pertinents en cybersécurité sont les suivants.

Ces skills permettent de spécialiser Claude Code bien au-delà de son niveau de base. Le point de départ recommandé pour une équipe défensive est la combinaison claude-code-security-review (officiel Anthropic, sans configuration) + trailofbits/skills-curated (vérifié par des experts).

Limites et précautions d'usage

L'enthousiasme pour ces outils ne doit pas masquer leurs limites réelles. La mise en production d'une approche IA-augmentée en cybersécurité exige gouvernance, contrôles et formation continue, bien au-delà de la démonstration technique.

Les risques à éviter :

• Accorder une confiance aveugle au code généré. L'IA peut se tromper, produire des faux positifs ou manquer des vulnérabilités contextuelles.
• Substituer ces outils à un audit ou pentest expert.
• Négliger l'analyse des faux positifs, sous peine de bloquer des déploiements légitimes.
• Présumer que l'IA maîtrise le contexte métier, car la logique applicative spécifique à un domaine reste opaque pour le modèle.
• Déployer un correctif sans revue humaine, surtout pour les composants critiques.
• Transmettre des données sensibles aux agents sans anonymisation préalable.

Les bonnes pratiques à adopter :

• Positionner l'IA comme premier niveau de contrôle, pas comme seul ni dernier filet.
• La combiner avec des outils établis comme Semgrep, Trivy ou Snyk.
• Former les équipes aux pratiques de prompting orientées sécurité, car la qualité du prompt détermine la qualité du résultat.
• Si vous déployez Claude Code en entreprise, pensez aussi à maîtriser vos coûts de tokens.
• Maintenir une revue humaine sur les correctifs critiques.
• Définir un seuil de blocage CI/CD explicite, par exemple CVSS supérieur à 7.
• Tracer les prompts pour la conformité réglementaire, surtout en contexte NIS2 ou RGPD.
• Pour approfondir vos compétences en pentest et comprendre comment les attaquants opèrent, les 5 bibles du pentesting restent une référence incontournable.

Conclusion

L'IA générative ne révolutionne pas la cybersécurité défensive de façon spectaculaire du jour au lendemain. Ce qu'elle fait est plus fondamental : elle déplace la sécurité d'un contrôle final vers un accompagnement continu intégré au cycle de développement.

Au-delà de la revue de code, l'architecture doit intégrer les principes de Security by Design. La protection logicielle est vaine si l'infrastructure d'hébergement présente des vulnérabilités critiques : les attaquants privilégieront toujours le chemin de moindre résistance

Les six piliers présentés ici (SAST, DevSecOps, Détection, Forensique, Threat Intelligence, Durcissement) constituent ensemble un dispositif de défense en profondeur où l'IA joue le rôle d'assistant permanent. Disponible en continu, capable de traiter des volumes inaccessibles à une équipe humaine seule.

L'IA générative ne se substitue pas à l'expertise sécurité. Elle apporte aux équipes de développement une vigilance continue, à condition d'être déployée avec discernement, gouvernance et formation. Si vous débutez en cybersécurité, HackTheBox Academy propose 20 modules gratuits pour acquérir les fondamentaux avant de passer aux outils IA.

J'espère que cet article vous sera utile, n'hésitez pas à passer sur le serveur Discord Geeek pour discuter Cybersécurité. Ce serveur est ouvert à tous les lecteurs.

Sources

On y est, c'est officiel. Microsoft sort la calculette et met fin à un modèle économique qu'il n'arrivait plus à tenir. À partir du 1er juin 2026, GitHub Copilot abandonne le forfait illimité au profit d'une facturation à l'usage, calculée en tokens^[1]. Je m'attendais à ce virage depuis des mois en voyant la dérive des modes agentiques, mais le choc va être brutal pour beaucoup d'équipes, en particulier celles qui ont pris goût à Claude Opus.

Pourquoi GitHub ferme le robinet

Le pitch officiel de Mario Rodriguez, directeur produit de GitHub, tient en une phrase : aujourd'hui, une simple question dans Copilot Chat et une session de codage agentique de trois heures coûtent la même chose à l'utilisateur, mais pas du tout à GitHub^[2]. Et pendant ce temps, c'est Microsoft qui absorbait la différence.

Copilot n'est plus le petit assistant d'autocomplétion sympa qu'il était en 2022. C'est devenu une plateforme avec des agents qui parsent l'intégralité d'un repo et consomment des centaines de milliers de tokens pour livrer une seule fonctionnalité. Le coût d'inférence d'une session agentique de plusieurs heures dépasse largement les 19 ou 39 dollars d'un abonnement mensuel^[3]. Cursor, Windsurf, Devin, tout le monde a déjà revu sa copie ces derniers mois.

Le nouveau mécanisme : les GitHub AI Credits

Le système est calqué sur ce que font les API cloud classiques :

1 GitHub AI Credit = 0,01 $ USD^[4]

Chaque interaction consomme trois types de tokens : ceux d'entrée (votre prompt, le contexte), ceux de sortie (la réponse générée) et ceux mis en cache (contexte réutilisé d'un tour à l'autre).

Chaque forfait inclut une enveloppe mensuelle d'AI Credits, avec possibilité d'en acheter en plus^[5] :

• Copilot Pro : 10 $/mois, 1000 AI Credits inclus
• Copilot Pro+ : 39 $/mois, 3900 AI Credits inclus
• Copilot Business : 19 $/utilisateur/mois, 1900 AI Credits par seat
• Copilot Enterprise : 39 $/utilisateur/mois, 3900 AI Credits par seat

Pour Business et Enterprise, les crédits sont mutualisés au niveau de l'organisation^[6]. Une période promotionnelle de juin à août 2026 booste ces enveloppes à 3000 et 7000 crédits respectivement.

Le cache token : un piège à comprendre

C'est un point critique qui m'a sauté aux yeux en lisant la doc fine, et que GitHub a soigneusement glissé en note de bas de page : le cache token de Copilot ne fonctionne pas pareil pour tous les modèles^[4:1]. Pour les modèles OpenAI et Google, c'est le schéma classique à deux niveaux : input plein tarif, cached input à environ 10 % du tarif input.

Pour les modèles Anthropic (Claude Sonnet, Opus), GitHub a transposé le modèle natif de l'API Claude qui est à trois niveaux : input plein tarif, cached input réduit, mais aussi un coût d'écriture du cache supérieur au tarif input normal. Concrètement sur Opus 4.7 : 5 $/Mtok en input, 0,5 $/Mtok en cached input, mais 6,25 $/Mtok pour l'écriture du cache, et 25 $/Mtok en sortie.

Souvenez-vous, je vous avais présenté ce mécanisme de facturation sur mon article dédié à l'optimisation de tokens avec Claude Code.

Le caching ne devient rentable qu'à partir du moment où vous réutilisez plusieurs fois le même contexte. Pour des sessions agentiques longues avec un contexte stable, c'est un levier d'économie majeur. Pour du chat one-shot, ça peut être contre-productif sur les modèles Anthropic. La règle pratique : sur Copilot, les modèles Anthropic sont à privilégier sur les sessions longues et structurées, les modèles OpenAI sur les requêtes courtes.

Ce qui ne change pas

Bonne nouvelle pour ceux qui se servent de Copilot uniquement pour l'autocomplétion : les complétions de code et les suggestions Next Edit restent incluses dans tous les forfaits sans consommer le moindre AI Credit^[7]. C'est la fonctionnalité de base, et elle reste gratuite.

Ce qui change vraiment

L'option de repli disparaît. Avant, quand on atteignait sa limite, Copilot pouvait continuer avec un modèle moins cher. Désormais, quand les crédits sont à zéro, l'outil s'arrête^[7:1].

La code review Copilot passe sur une architecture agentique qui tourne dans GitHub Actions. Chaque review consommera donc à la fois des AI Credits et des minutes GitHub Actions^[8].

Enfin, les plans annuels Pro et Pro+ sont en voie d'extinction. Pour ceux qui sont déjà engagés, les multiplicateurs de requêtes premium vont être revus à la hausse au 1er juin^[1:1].

Combien de tokens consomme un développeur par jour ?

C'est la question que je me suis posée et que beaucoup de personnes se posent. Et je n'ai pas trouvé de réponse officielle chez GitHub.Côté Claude Code, Anthropic communique des chiffres officiels ^[9] :

• Coût moyen : environ 13 $ par développeur et par jour actif en déploiement entreprise
• 90 % des utilisateurs restent sous 30 $ par jour
• En mensuel : 150 à 250 $ par développeur pour les équipes en API
• En utilisation intensive : 500 à 2000 $/mois^[10]

Sur OpenAI Codex, c'est dans le même ordre : 100 à 200 $ par développeur et par mois en moyenne^[11].

Ma projection pour un développeur "normal" en entreprise, hors session agentique lourde : 30 à 50 % du quota inclus dans Copilot Business consommé.

Pour les utilisateurs intensifs des modes Agent et Plan, dépassement probable du quota.

Pour ceux qui utilisent Opus 4.7 en mode agentique, le quota part très vite. C'est précisément pour ça que GitHub a prévu sa période promotionnelle, présentée comme un cadeau de bienvenue mais surtout destinée à éviter une vague de churn dès le premier mois.

Le cas Opus : devenu inutilisable dans Copilot ?

C'est l'épisode le plus discuté de la transition, et il faut le découper en deux régimes différents que la communication de GitHub a tendance à mélanger.

Régime nouveau (la majorité des utilisateurs au 1er juin) : facturation au token directement, sans multiplicateur. Claude Opus 4.7 coûte exactement ses tarifs API : 5 $/Mtok en entrée, 25 $/Mtok en sortie, 0,50 $/Mtok sur le cached input, et 6,25 $/Mtok sur l'écriture de cache^[4:2]. C'est la même grille que l'API Anthropic, sans surcharge.

Régime hérité (abonnés Pro et Pro+ annuels qui restent sur la facturation par requêtes) : c'est là que se trouve le fameux multiplicateur à 27x pour Opus 4.6 et Opus 4.7^[12]. Ces utilisateurs sont engagés sur un contrat annuel qu'ils ne peuvent pas casser facilement, et ils subissent une hausse brutale du coût par requête. Pour eux, utiliser Opus en mode agentique devient économiquement insoutenable, et c'est de cette population que viennent la majorité des retours acerbes sur les threads GitHub^[13].

Côté nouveau régime, le problème est différent mais réel : avec 1900 AI Credits inclus dans Copilot Business (soit 19 $ de tokens consommables), une session agentique sérieuse sur Opus 4.7 peut épuiser le quota en quelques heures. Le modèle est conçu pour raisonner longuement, surtout en mode agentique, et son nouveau tokenizer génère jusqu'à 35 % de tokens en plus pour un même texte d'entrée^[13:1]. Multipliez par 25 $/Mtok en sortie et l'addition grimpe vite.

Autre point que GitHub ne met pas en avant : Copilot bride la fenêtre de contexte d'Opus à 160K tokens, alors que le modèle natif d'Anthropic supporte jusqu'à 1M tokens^[13:2]. Le raisonnement plus profond du modèle se retrouve donc contraint, mais facturé plein pot dès qu'il génère des tokens en sortie.

Trois stratégies se dessinent pour ceux qui veulent continuer à exploiter Opus sans exploser le budget :

1. Plan with Opus, execute with Sonnet : utiliser Opus uniquement pour la phase de raisonnement, puis basculer sur Sonnet 4.6 (3 $/15 $/Mtok, donc 40 % moins cher en sortie) pour l'exécution
2. Garder Opus pour les problèmes vraiment complexes : refactos cross-files, design d'architecture, debug de logique métier opaque
3. Migrer vers Claude Code en direct, ce qui n'est pas si simple pour une entreprise comme on va le voir

Migrer vers Claude Code en ESN : attention au piège

Il faut tordre le cou à un mythe qui circule dans certains comparatifs : les plans Claude Pro à 20 $/mois et Claude Max à 100 ou 200 $/mois sont strictement réservés aux individus. Ils ne sont pas utilisables en entreprise^[14]. Pour une ESN ou n'importe quelle structure qui voudrait déployer Claude Code pour ses équipes, il n'y a pas d'option à 20 $/dev/mois qui débloque Opus.

Les vraies options pour les entreprises

Deux modèles de facturation existent pour Claude Code en contexte professionnel^[15] :

1. Plan Team Premium : abonnement par siège à partir de 5 sièges, avec un budget de tokens partagé qui se reset toutes les 5 heures et toutes les semaines
2. Plan Enterprise : seat fee facturé annuellement (minimum 20 sièges en self-serve, 50 en deal négocié), sans aucun usage inclus. Chaque token consommé dans Claude Code, Claude chat ou Cowork est facturé séparément aux tarifs API standards par-dessus le coût du siège

Le point critique pour les ESN : sur le plan Enterprise, vous payez le siège ET les tokens, sans franchise^[16]. Pour Opus 4.7 en mode agentique, on parle de 5 $/Mtok en entrée et 25 $/Mtok en sortie. Si vos développeurs poussent du contexte de 200K tokens dans des sessions multi-fichiers, la facture grimpe vite.

Simulation chiffrée pour un développeur Claude Code Enterprise en utilisation intensive sur Opus :

• Tokens consommés : environ 13 $/jour, soit 280 $/mois^[9:1]
• Auquel s'ajoute le seat fee Enterprise
• Coût total réel par développeur : 350 à 450 $/mois sur Claude Code Enterprise

À mettre en regard de Copilot Business à 19 $/siège/mois plus dépassement de quota. Ce n'est plus du tout la même équation économique.

Pour les petites ESN sous le seuil des 20 sièges Enterprise, le Team Premium reste l'option par défaut, avec un quota partagé qui peut être consommé très vite si quelques power users tapent fort dessus^[17].

Le scénario hybride réaliste

C'est ce que je vois émerger dans la pratique : garder Copilot pour l'autocomplétion et l'intégration GitHub, ajouter Claude Code en parallèle pour les tâches agentiques complexes^[18]. Pour une ESN qui voudrait équiper ses développeurs avec les deux outils, comptez 250 à 400 $/dev/mois en stack hybride avec usage modéré d'Opus.

Pour un développeur senior en ESN qui facture sa journée plusieurs centaines d'euros à ses clients, c'est largement amortissable. Mais cela nécessite un vrai "business case". Et pour les juniors ou les développeurs en délivery sur des tâches répétitives, Copilot seul est probablement suffisant.

La course aux modèles n'est pas terminée

Avant de figer une stratégie d'outillage sur six mois, gardons une chose en tête : aujourd'hui Opus est devant sur certaines tâches, mais cette domination peut basculer en une semaine. Anthropic a sorti Claude Opus 4.7 le 16 avril 2026 et OpenAI a riposté avec GPT-5.5 sept jours plus tard, le 23 avril^[19].

Les classements changent en permanence : Opus 4.7 mène sur SWE-bench Pro à 64,3 % contre 58,6 % pour GPT-5.5^[20], mais GPT-5.5 écrase Opus 4.7 sur Terminal-Bench 2.0 à 82,7 % contre 69,4 %^[19:1]. Selon que vous faites du multi-fichiers ou du terminal-heavy, le gagnant n'est pas le même.

Et il y a un paramètre dont on parle peu : l'efficience en tokens devient aussi importante que la qualité brute. GPT-5.5 consomme 72 % de tokens en moins qu'Opus 4.7 pour des tâches équivalentes^[21]. Sur une facturation à l'usage comme celle qui arrive dans Copilot, cette différence se traduit directement en coût réel par tâche complétée.

Et puis il y a le côté open-weight : MiniMax M2.5 atteint 80,2 % sur SWE-bench Verified pour 1/20e du prix d'Opus, et Gemini 3.1 Pro fait du 80,6 % à moitié prix^[22]. La pression sur les modèles propriétaires est réelle.

Ce que je vous conseille : éviter de se marier avec un modèle. La bonne stratégie en 2026 c'est de garder une infrastructure agnostique du modèle, capable de basculer rapidement quand le rapport qualité/prix bouge.

La fuite du code de Claude Code : un signal pour Copilot CLI

Le 31 mars 2026, le code source complet de Claude Code a fuité publiquement sur npm. La cause est lamentablement banale : Anthropic utilise Bun comme bundler, qui génère des source maps par défaut, et quelqu'un a oublié d'ajouter *.map au .npmignore. Un fichier .map de 59,8 Mo dans le package public référençait une archive zip de tout le code TypeScript sur leur bucket R2 Cloudflare^[23].

512 000 lignes de TypeScript, 1900 fichiers, 44 feature flags cachés, tout est sorti^[24]. Anthropic a confirmé la fuite tout en précisant qu'aucune donnée client n'était exposée. Au-delà de l'aspect rocambolesque, ce que la fuite révèle sur l'architecture réelle de Claude Code est une mine d'or pour les concurrents :

• KAIROS : un mode démon autonome jamais annoncé publiquement, qui permet à Claude Code de tourner en tâche de fond et de consolider sa mémoire pendant que l'utilisateur est inactif^[23:1]
• Architecture multi-agents : un coordinateur qui dispatche les sous-tâches à des agents spécialisés
• autoDream : un sous-agent qui retravaille silencieusement en arrière-plan les tâches précédemment effectuées
• Context engineering : tout le mécanisme de gestion mémoire qui fait la qualité réelle de Claude Code

La conclusion qui ressort des analyses techniques est limpide : Claude Code n'est pas une couche au-dessus d'un LLM, c'est un environnement complet de développement avec ses tools, son orchestration et son moteur de mémoire.

Alors la question qui tue : est-ce que Copilot CLI va devenir plus puissant grâce à cette fuite ? Probablement, mais pas frontalement. Microsoft ne va pas copier-coller du code Anthropic, ce serait une bombe juridique. En revanche, les patterns architecturaux sont désormais publics et inspirables. À mon avis, on aura un Copilot CLI nettement plus mature d'ici fin 2026, avec des modes agentiques qui s'inspirent ouvertement de ce qu'on a vu dans le code fuité. L'avance technologique d'Anthropic est moins une question de modèle que d'ingénierie autour du modèle. Ce qui est rattrapable.

Petite mise en garde : si vous voyez circuler des repos GitHub prétendant héberger le code de Claude Code, ne les compilez surtout pas. Le timing de la fuite a coïncidé avec une attaque sur la supply chain npm via le package axios, et plusieurs packages malicieux ont été publiés dans les heures qui ont suivi^[25].

Recommandations pour préparer le 1er juin

Voici la check-list que je me suis faite pour la transition.

Avant le 1er juin :

• Ouvrir l'aperçu de facture prévisionnelle disponible dans Billing Overview depuis début mai
• Identifier les power users qui utilisent massivement les modes agentiques
• Mettre en place un suivi par modèle pour comprendre où va vraiment le budget

Stratégie d'usage :

• Définir un modèle par défaut économique (GPT-5 mini ou Gemini Flash) pour les tâches simples
• Réserver Opus et GPT-5.5 aux problèmes complexes uniquement
• Exploiter le caching de contexte sur les sessions longues, mais attention aux modèles Anthropic qui facturent l'écriture du cache plus cher que l'input normal
• Plafonner les itérations agentiques pour éviter les boucles à 47 retries qui transforment un fix à 0,50 $ en facture à 30 $^[10:1]

Côté achats :

• Mutualiser les AI Credits au niveau du pool d'entreprise^[26]
• Négocier les remises au volume avec votre commercial GitHub

En conclusion

La récréation est terminée. GitHub Copilot reste un outil puissant, mais il va falloir apprendre à l'utiliser avec discernement, comme on surveille ses requêtes API en production. Le passage à la facturation au token n'est pas une mauvaise nouvelle en soi, c'est un alignement nécessaire entre le prix payé et la valeur réellement consommée. Ce qui pose problème, ce sont les multiplicateurs agressifs sur certains modèles comme Opus.

Attention quand même au mirage Claude Code en contexte entreprise. Les tarifs grand public à 20 ou 100 $/mois ne s'appliquent qu'aux indépendants. Pour une ESN, c'est obligatoirement du Team Premium ou de l'Enterprise avec consommation API au token par-dessus le siège, et la facture finale dépasse souvent celle de Copilot. L'herbe n'est pas forcément plus verte ailleurs.

Entre la course aux modèles qui s'accélère et la fuite du code de Claude Code qui va probablement booster les CLI concurrents dans les mois qui viennent, le paysage de fin 2026 ne ressemblera peut-être plus à celui d'aujourd'hui. La bonne stratégie n'est pas de choisir le meilleur outil, c'est de garder la flexibilité de changer rapidement.

Pour ma part, je pense que la combinaison gagnante à court terme reste Copilot pour l'autocomplétion et le contexte GitHub, plus Claude Code en terminal pour les tâches lourdes, à condition de bien dimensionner la consommation. Mais je garde un œil sur Copilot CLI, sur les modèles open-weight comme MiniMax M2.5 ou GLM 5, et sur la prochaine génération de Gemini. L'avantage concurrentiel d'un outil de codage IA se mesure désormais en semaines, pas en années.

N'hésitez pas à venir partager votre retour sur le serveur Discord Geeek.

Pour aller plus loin, mes autres analyses sur GitHub Copilot : Visualiser l'impact de GitHub Copilot dans votre entreprise avec PowerBI et Mesurer les gains de productivité après le déploiement de GitHub Copilot.

Sources

Depuis que j'ai intégré Claude Code dans mon workflow de développement sur mes projets personnels et réalisé des expérimentations en entreprise, une chose m'a frappé : la consommation de tokens est vertigineuse. Sur un usage entreprise de Claude Code, la facturation se fait au token et la facture peut très vite devenir salée.

On commence par quelques sessions de test, et trois semaines plus tard on réalise qu'une seule journée intensive sur un gros projet peut engloutir l'équivalent d'une semaine de budget en tokens d'entrée avec une facture de plusieurs centaines d'euros.

Dans les déploiements d'entreprise, Anthropic indique un coût moyen d'environ 13$ par développeur par jour actif, soit 150$ à 250$ par développeur par mois, avec 90% des utilisateurs restant sous 30$/jour^[1]. Dans la réalité, un usage mal maîtrisé et non optimisé peut très vite atteindre les 200$/jour.

J'ai creusé le sujet en long et en large (serveurs MCP, variables d'environnement, configuration CLAUDE.md) et voici une liste d'astuces pour réduire les tokens Claude Code sans sacrifier la qualité du résultat.

Ces astuces proviennent en partie de posts que j'ai capturés sur mon fil de lecture LinkedIn. Un énorme merci à tous les développeurs qui partagent leurs retours d'expérience sur la toile.

La réduction des tokens par 5 est possible sur des projets ne respectant aucune de ces bonnes pratiques.

💡 Comprendre pourquoi Claude Code consomme autant de tokens

Avant d'optimiser quoi que ce soit, il faut comprendre le problème de fond. Claude Code adopte naturellement une stratégie d'exploration aveugle : pour diagnostiquer un bug ou implémenter une feature, il parcourt les fichiers un à un, charge le README, les fichiers de config, les dépendances, et reconstruit mentalement l'architecture du projet à chaque session.

Sur un petit projet perso, c'est négligeable. Sur une codebase de 50 000 lignes, Claude peut lire 10 à 20 fichiers complets avant d'écrire la moindre ligne de code. Des dizaines de milliers de tokens d'entrée, par message, payés au prix fort.

C'est ce poste-là qu'il faut attaquer en priorité pour avoir un impact positif sur sa consommation.

💰 Tarifs des Modèles Claude (par million de tokens)

Pour vous donner une idée des coûts des tokens, voici les tarifs actuels pour les modèles utilisés par Claude Code (via l'API Anthropic).

Les modèles sont en constante évolution, il est probable que ce tableau soit très vite obsolète.

Prix en USD par million de tokens (MTok). Le cache lecture correspond à 10% du prix input standard.

Les API de Claude Code peuvent être achetées directement auprès d'Anthropic mais aussi auprès de plusieurs hyperscalers : AWS Bedrock, Google Vertex AI, Microsoft Foundry. Le tarif de vente du token est le même entre l'ensemble de ces acteurs mais il ne semble pas possible d'obtenir des métriques de coûts d'usage sur ces hyperscalers sans la mise en œuvre de LiteLLM^[2].

⚡Optimisation des coûts avec le "Prompt Caching"

Claude Code s'appuie nativement sur le Prompt Caching d'Anthropic, et c'est un levier de réduction des coûts massif si on comprend comment il fonctionne et ses limites actuelles.

Le principe : la première fois que Claude traite un contexte (votre code, vos instructions, l'historique de la session), il le stocke dans un cache coté serveur. Les requêtes suivantes qui retrouvent ce même contexte intact le lisent depuis le cache plutôt que de le retraiter intégralement.

La structure de tarification sur Sonnet 4.6 (3,00 $/MTok en input standard) :

• Écriture dans le cache (TTL 5 min) : +25% du prix input standard, soit 3,75 $/MTok
• Lecture du cache (cache hit) : 10% du prix input standard, soit 0,30 $/MTok — une réduction de 90%

Exemple concret sur un projet dont le contexte pèse 100 000 tokens (8 000 à 12 000 lignes de code) :

• La première requête écrit dans le cache : 0,375 $
• Les requêtes suivantes lisent depuis le cache : 0,03 $ chacune

Le gain est réel et se ressent vite sur les sessions longues.

Attention toutefois au changement de TTL d'avril 2026^[3]. C'est le point que beaucoup de développeurs ont raté et qui explique pourquoi pas mal d'utilisateurs voient leur facture grimper sans comprendre pourquoi.

Début avril 2026, Anthropic a réduit le TTL par défaut du cache de 1 heure à 5 minutes dans Claude Code, sans aucune annonce claire auprès de ses utilisateurs malgré que l'information soit bien décrite dans sa documentation en ligne.

Résultat, si votre session dépasse 5 minutes d'inactivité, le prochain message repart d'un contexte complet, non caché, au plein tarif.
Pour retrouver le comportement à 1 heure, il faut activer manuellement la variable ENABLE_PROMPT_CACHING_1H^[4] dans votre environnement. Pour les sessions de travail longues avec des pauses, c'est quasi indispensable.

Ce n'est pas neutre, cette option cachée qui permet d'allonger par défaut la durée du cache semble avoir un impact sur le tarif de mise en cache. Un coefficient x2 est à appliquer au lieu du x1.25 sur le cache de 5 minutes^[4:1].

📦 Utilisez les plugins de Code Intelligence

Pour simplifier la compréhension et la lecture du code en local, des plugins LSP sont mis à disposition par Anthropic afin d'aider l'agent de code à parcourir la structure du code sans utiliser la commande "grep".

Des plugins LSP existent pour la majorité des langages : C, Java, Rust, Python, Go... vous pouvez aussi créer votre propre plugin si vous utilisez des langages maison.

🧠 Understand-Anything : transformer votre codebase en base de données interrogeable

Le plugin Understand-Anything est de loin l'outil le plus impactant que j'ai testé pour réduire les tokens Claude Code.

Son principe est simple : au lieu de laisser Claude lire les fichiers à la volée, Understand-Anything indexe votre projet en amont et construit un graphe de connaissance local, un réseau de nœuds représentant vos fichiers, fonctions, classes et leurs relations. Claude n'interroge ensuite que les nœuds pertinents via une recherche sémantique, sans charger de fichiers entiers dans le contexte.

Plus concrètement :

• L'analyse de la structure du projet se fait une fois, en local. Zéro token consommé à l'indexation.
• Claude obtient des réponses ciblées sur la structure du projet sans lire le code ligne par ligne.
• Fini les relectures du README à chaque nouveau tour de conversation.

Pour un projet de grande taille, c'est le levier numéro un. Si vous ne deviez installer qu'un seul plugin pour optimiser votre consommation, ce serait celui-là.

🔎 Les serveurs MCP de recherche et d'indexation

Deux autres serveurs complètent bien le MCP Understand-Anything pour réduire les tokens Claude Code :

Everything MCP : quand Claude cherche un fichier, sa réaction par défaut est ls -R ou grep sur le répertoire entier. Des commandes qui renvoient des listes massives de chemins, même inutiles. Everything MCP intercepte ces requêtes et ne retourne que les chemins strictement pertinents. Le gain sur les tokens de sortie est visible dès le premier jour.

Memory MCP : au fil d'une session longue, le contexte s'alourdit sérieusement. Historique des échanges, raisonnements intermédiaires, décisions prises en cours de route. Chaque nouveau message oblige Claude à relire tout cela pour retrouver une info discutée vingt messages plus tôt. Memory MCP stocke faits et décisions dans un index local persistent, accessible directement. Sur des sessions de débogage qui durent parfois 3 à 4 heures, l'économie devient très concrète.

📦 Les outils de compression de contexte (PreToolUse Hooks)

Des outils comme RTK (Repo Tool Kit) fonctionnent comme des hooks qui s'intercalent entre Claude et votre système de fichiers. Ils interceptent les commandes de lecture (cat, git diff, git log) et renvoient une version compressée du résultat plutôt que le contenu brut.

Exemple : au lieu d'un diff de 200 lignes, Claude reçoit uniquement les signatures de fonctions modifiées et un résumé des changements. Pour des sessions de code review sur des PRs larges, c'est une solution très intéressante.

⚙️ Les réglages à activer immédiatement dans Claude Code

Sans installer quoi que ce soit, ces réglages réduisent la consommation de façon immédiate.

/effort low : réduit le nombre d'appels d'outils et la longueur des réponses pour les tâches simples. Je l'active pour tout ce qui ne nécessite pas d'analyse approfondie : renommage de variables, ajout de commentaires, corrections de typos.

/compact : résume la conversation en cours pour vider le contexte accumulé. Je m'en sers avant de passer à une nouvelle tâche dans une session existante. C'est le geste le plus simple et le plus sous-estimé pour réduire les tokens Claude Code.

Un CLAUDE.md minimal : si votre fichier CLAUDE.md fait 500 lignes, vous payez ces 500 lignes à chaque message de la session, sans exception. La règle que j'applique : ne garder dans CLAUDE.md que les instructions absolument universelles. Tout le reste part dans des Skills (scripts ou sous-fichiers) qui ne se chargent que lorsque Claude en a explicitement besoin.

📉 Estimez et suivez votre consommation de tokens

Face aux coûts importants de certaines tâches, des outils open source commencent à apparaître pour vous aider à estimer une tâche avant de la lancer.
C'est par exemple le cas de l'outil Tarmac de CodeSarthak.

Pour suivre votre consommation, les outils CCUsage et Claude Code Usage Monitor peuvent vous aider à y voir plus clair.

☑️ En synthèse

Si vous travaillez sur un projet de taille réelle, commencez par Understand-Anything, le refactoring de votre CLAUDE.md et l'activation des plugins LSP de Code Intelligence. Ces actions combinées font la majorité du travail.

Avec les évolutions tarifaires récemment annoncées par les fournisseurs de solutions de Coding Agent, l’optimisation de la consommation de tokens devient un enjeu stratégique pour garantir la viabilité économique et les économies d’échelle de ces plateformes à long terme.

Dans ce contexte, l’utilisation de modèles raisonnés exécutés localement avec Ollama pourrait représenter une alternative particulièrement pertinente pour certains cas d’usage, notamment afin de réduire significativement les coûts d’inférence et la dépendance aux API cloud.

Vous avez d'autres astuces pour réduire les tokens Claude Code ? Laissez un commentaire en dessous de cet article et venez en discuter sur le Discord Geeek, un canal dédié au Coding est ouvert à tous.

Vous vous souvenez de mon article qui explique comment installer et configurer le navigateur Brave, ce navigateur moderne qui reverse une partie de ses revenus publicitaires aux créateurs de contenu sous forme de BAT (Basic Attention Token), une cryptomonnaie indexée sur l'audience des sites visités ? Et bien Brave revient avec une nouveauté qui mérite qu'on s'y attarde : les noms de domaine en .brave, basés sur une blockchain.

Un nom de domaine .brave acheté une fois pour la vie ?

La grosse particularité de ces domaines .brave, c'est leur modèle économique : aucune redevance annuelle. Vous payez le domaine une seule fois à l'achat et il est à vous à vie. Plus besoin de penser au renouvellement chaque année, plus de mauvaise surprise quand vous oubliez de payer et que votre domaine tombe dans la nature pour être racheté par un squatteur.

Côté tarifs, cela démarre à environ 15 € pour un nom standard, et cela grimpe selon la rareté et la longueur du nom choisi.

Pour information, geeek.brave vient d'être acheté à vie pour la modique somme de 15 €.

➡️ Pour acheter le vôtre : https://buy.unstoppabledomains.com/brave

La technologie derrière : Unstoppable Domains

Ces domaines reposent sur la solution Unstoppable Domains, une société fondée en 2018 par Matthew Gould et Bradley Kam. Le principe : au lieu d'être enregistré dans le système DNS classique géré par l'ICANN, votre domaine est monté comme un NFT sur la blockchain Polygon. Vous en êtes donc le seul et unique propriétaire, et personne ne peut vous le retirer.

Les domaines .brave sont compatibles avec plusieurs réseaux de crypo : Bitcoin, Ethereum, Solana, Base, Sonic, etc. Au total, plus de 310 cryptomonnaies peuvent être associées à un même domaine.

À quoi cela sert concrètement un domaine .brave ?

Un domaine .brave, ce n'est pas juste un gadget Web3, voici ce qu'on peut en faire :

• Recevoir des paiements crypto facilement : au lieu de partager une adresse de wallet à rallonge du genre 0x742d35Cc6634C0532925a3b844Bc9e7595f0bEb7, vous donnez juste votre-nom.brave. Beaucoup plus simple, beaucoup moins risqué (pas d'erreur de copier-coller).
• Héberger un site web décentralisé sur IPFS, sans frais d'hébergement, accessible directement depuis Brave Browser. Si vous souhaitez juste réaliser une redirection vers un site classique, vous pouvez publier un simple fichier index.html avec un redirect dans l'entête. Cela renverra vos visiteurs sur votre site habituel.
• Construire une identité numérique vérifiable via UD.me, avec vos profils sociaux, NFT, certifications, etc.
• Se connecter à des applis Web3 sans mot de passe grâce à « Login with Unstoppable ».

Une vraie résolution dans Brave et bientôt partout ?

Depuis la version 1.81 du navigateur Brave (sortie en août 2025), les domaines .brave sont directement résolus nativement dans le navigateur et le Brave Wallet. Pas besoin d'extension, pas besoin de bidouille DNS : vous tapez monsite.brave dans la barre d'adresse, et la résolution fonctionne.

Le problème actuel : ces domaines ne sont résolvables que dans Brave (et quelques autres navigateurs compatibles Web3). Mais Brave et Unstoppable Domains travaillent sur une demande d'accréditation officielle auprès de l'ICANN en 2026 pour faire de .brave un vrai gTLD (domaine de premier niveau classique).

Si cette demande aboutit, vos domaines .brave deviendront accessibles depuis n'importe quel navigateur, comme un .com ou un .fr traditionnel. Et vous, vous l'aurez déjà acheté pour 15 € à vie.

En synthèse

Mon avis dans tout cela ? Pour 15 €, c'est un pari peu risqué. Soit le projet réussit son passage ICANN et vous avez un domaine grand public à vie pour le prix d'un repas. Soit il reste dans l'écosystème Web3, et vous avez quand même un identifiant blockchain utile pour les paiements crypto et un petit site IPFS.

Si vous êtes créateur, blogueur, ou simplement intéressé par le Web3, je vous recommande de réserver votre nom dès aujourd'hui, avant que les meilleurs noms partent. Pour ma part, c'est fait : https://geeek.brave est dans la poche.

➡️ Acheter votre domaine .brave

Update : Il faudra attendre 2027 pour avoir un retour sur l'acceptation du .brave auprès de l'ICANN.

Vous voulez faire tourner un LLM sur votre PC ou votre Mac mais vous ne savez pas quel modèle choisir entre Llama, Mistral, Qwen ou DeepSeek ? LLMFit analyse votre hardware en quelques secondes et vous recommande les modèles les plus adaptés.

Vous le savez déjà probablement, les LLMs de petite et moyenne taille peuvent fonctionner sur nos ordinateurs personnels. C'est notamment possible grâce à l'outil Ollama que je vous avais partagé il y a déjà 3 ans. Mais une fois Ollama installé, la vraie question se pose : quel modèle choisir ?

Faire fonctionner un LLM de coding localement vous permet de construire votre propre assistant de coding, d'autant plus l'annonce de Github Copilot qui supporte désormais des modèles en mode offline.

Quels modèles LLM choisir selon votre configuration ?

C'est le problème que rencontre tout le monde : on entend parler d'un nouveau modèle, on le télécharge, on attend 20 minutes… et on découvre qu'il ne tient pas en VRAM ou qu'il tourne à 3 tokens par seconde. Résultat : une après-midi perdue en tâtonnements.

C'est exactement ce problème que résout LLMFit, un outil open source en ligne de commande écrit en Rust. Il détecte automatiquement votre configuration matérielle (RAM, CPU, GPU/VRAM, support CUDA/Metal/ROCm…) et vous indique en quelques secondes quels modèles peuvent réellement tourner correctement sur votre machine — avant même de télécharger quoi que ce soit.

Mon retour d'expérience

Voici un exemple concret d'analyse de LLMFit. J'ai testé sur mon MacBook Pro M2 avec 32 Go et voici ce qu'il me recommande concernant les coding LLMs :

LLMFit couvre aujourd'hui plus de 157 modèles provenant de 30 fournisseurs différents (Meta, Mistral, Google, etc.) et les classe selon quatre dimensions :

• Qualité du modèle
• Vitesse d'inférence estimée (en tokens/seconde)
• Compatibilité mémoire (GPU, CPU+GPU, CPU seul)
• Longueur de contexte supportée

Les modèles listés par LLMFit sont disponibles sur Hugging Face.
Il gère également la sélection automatique de la meilleure quantization possible (de Q8_0 à Q2_K), les architectures MoE, et les setups multi-GPU. Et bien sûr, il s'intègre nativement avec Ollama, llama.cpp, MLX et LM Studio.

L'interface est un TUI interactif (navigable au clavier) avec filtres par cas d'usage : Chat, Coding, Reasoning, Multimodal, Embedding… Un mode --cli classique et une sortie --json sont aussi disponibles pour l'automatisation.

Quel modèle pour quelle config ?

Voici un tableau synthètique des modèles les plus connus classés en fonction de l'espace RAM/VRAM disponible.

Quel matériel pour faire tourner un LLM spécifique ?

Imaginons que vous ayez repéré un modèle précis sur Hugging Face et que vous souhaitiez savoir quelle configuration matérielle serait nécessaire pour le faire tourner correctement. C'est tout l'intérêt du mode plan de LLMFit : au lieu de scanner votre machine pour recommander des modèles, il fait l'inverse — vous lui donnez un modèle, il vous indique le hardware idéal.

La commande de base ressemble à ceci :

llmfit plan "Qwen/Qwen3-4B-MLX-4bit" --context 8192

LLMFit vous affiche alors la quantité de VRAM ou de RAM nécessaire, la quantization optimale, ainsi qu'une estimation de la vitesse (en tokens/seconde) selon les différents types de backends (CUDA, Metal, ROCm, CPU...).

Spécifier une quantization précise

Si vous avez déjà une idée de la quantization que vous souhaitez utiliser, vous pouvez la fixer :

llmfit plan "Qwen/Qwen3-4B-MLX-4bit" --context 8192 --quant mlx-4bit

Cibler une vitesse minimale

Autre option très pratique : définir une vitesse cible en tokens/seconde. LLMFit vous indiquera alors quel matériel permet d'atteindre cet objectif :

llmfit plan "Qwen/Qwen3-4B-MLX-4bit" --context 8192 --target-tps 25 --json

Parfait par exemple pour vérifier qu'un modèle tournera à une vitesse confortable avant d'investir dans un nouveau GPU ou un Mac équipé de plus de mémoire unifiée.

À quoi cela sert concrètement ?

Ce mode est particulièrement utile dans plusieurs cas d'usage :

• Avant un achat hardware : vérifier qu'un RTX 4090 ou un Mac Studio M3 Max suffira pour le modèle que vous visez
• Dimensionner un serveur : calibrer précisément un VPS GPU ou une instance cloud avant de louer
• Comparer plusieurs modèles : voir lequel passe le mieux sur la config que vous comptez monter
• Éviter les mauvaises surprises : ne plus télécharger 40 Go de poids pour découvrir que ça rame à 3 tokens/seconde

Couplé au mode simulation (touche S dans le TUI) qui permet de tester des configurations hypothétiques directement depuis l'interface, le mode plan transforme LLMFit en véritable outil d'aide à la décision pour tout passionné d'IA locale.

Comment installer LLMFit sur Windows, macOS et Linux

Windows (via Scoop)

scoop install llmfit

macOS / Linux (via Homebrew)

brew install llmfit

Installation rapide (curl)

curl -fsSL https://llmfit.axjns.dev/install.sh | sh
# Installation locale (sans sudo)
curl -fsSL https://llmfit.axjns.dev/install.sh | sh -s -- --local

Docker / Podman

docker run ghcr.io/alexsjones/llmfit
# Exemple : recommandations pour le coding, filtrées avec jq
podman run ghcr.io/alexsjones/llmfit recommend --use-case coding | jq '.models[].name'

Depuis les sources (Rust requis)

git clone https://github.com/AlexsJones/llmfit.git
cd llmfit
cargo build --release

Quelques commandes utiles

Une fois installé, voici les commandes essentielles :

llmfit                              # Lance le TUI interactif
llmfit system                       # Affiche votre configuration matérielle
llmfit fit --perfect -n 5           # Top 5 des modèles parfaitement compatibles
llmfit recommend --use-case coding  # Recommandations par cas d'usage
llmfit search "qwen 8b"             # Recherche un modèle spécifique

FAQ

LLMFit est-il gratuit ?

Oui, LLMFit est entièrement open source (licence MIT) et gratuit.

Faut-il un GPU pour utiliser LLMFit ?

Non, LLMFit fonctionne aussi sur CPU uniquement...

Quelle différence entre LLMFit et Ollama ?

Ollama fait tourner les modèles, LLMFit vous dit lesquels choisir...

Combien de RAM pour faire tourner un LLM localement ?

Comptez minimum 8 Go pour un modèle 3B, 16 Go pour 7B...

Conclusion

LLMFit est l'outil qui manquait à l'écosystème des LLMs locaux. Simple, rapide, et construit en Rust, il évite les heures de tâtonnements en vous donnant une réponse claire : voici ce que votre machine peut faire tourner, et voici le meilleur modèle pour chaque usage.

Pour en savoir plus, rendez-vous sur llmfit.org ou directement sur le dépôt GitHub du projet (qui possède déjà déjà plus de 24k ⭐).

Cet article vous a intéressé ? N'hésitez pas à vous abonner à notre newsletter ou au flux RSS. Le serveur Discord Geeek reste ouvert à tous les lecteurs, n'hésitez pas à passer.

Impossible de se connecter en zone blanche, festival bondé, coupure réseau, rando en montagne... Dans tous ces cas, votre smartphone se transforme en brique. Et si une technologie radio open source, un appareil à 30 €, et un développeur normand passionné avaient la solution ? C'est exactement l'histoire de meshnetwork.fr.

C'est quoi Meshtastic ?

Meshtastic, c'est un réseau de communication décentralisé qui fonctionne sans internet, sans opérateur, sans infrastructure. Il repose sur la technologie LoRa (Long Range), une radio basse consommation capable d'envoyer des messages sur des kilomètres avec un matériel minuscule.

Le principe du "mesh" est simple mais puissant : chaque nœud du réseau relaie automatiquement les messages des autres. Plus il y a d'appareils dans la zone, plus la portée s'étend et plus le réseau devient résilient. Résultat :

• Portée jusqu'à plusieurs dizaines de kilomètres en milieu dégagé
• Chiffrement AES-256 de bout en bout sur chaque message
• Zéro abonnement, zéro opérateur, zéro serveur central
• 100 % open source — firmware, appli, protocole

Les usages sont concrets : rando, événements, situations dégradées, communication hors-réseau entre équipes... ou juste le plaisir de bidouiller un réseau parallèle à Internet.

Se lancer : du matériel accessible et une config en quelques minutes

Bonne nouvelle : pas besoin d'un labo d'ingénieur. Des appareils comme le LilyGO T-Beam ou le Wio Tracker L1 Pro font très bien l'affaire pour commencer. Budget : entre 15 € et 80 €, certains avec écran OLED intégré et batterie autonome.

La mise en route se fait en 3 étapes :

1. Acheter un appareil LoRa compatible (Heltec, LilyGo, RAK Wireless, Seeed Studio...). Le détail des appareils compatibles est disponible sur le site de meshtastic.
2. Flasher le firmware Meshtastic via flasher.meshtastic.org, configurer la région 'EU_868' en France
3. Connecter l'appli mobile (iOS / Android / Web) en Bluetooth et c'est parti

Une fois allumé, votre noeud rejoint le réseau et commence déjà à relayer les messages autour de lui. L'expérience est étonnamment fluide pour quelque chose d'aussi "low-tech" en apparence.

Pour en savoir plus sur les matériels compatibles Meshstatic :

Vous pouvez aussi trouver des kits auto-alimentés avec un panneau solaire comme ce modèle si vous recherchez à créer un noeud autonome :

Des communautés actives mais dispersées

L'écosystème Meshtastic est porté par des communautés locales très engagées, chacune avec ses canaux, ses fréquences, ses conventions. En France, la référence s'appelle Gaulix.

Le revers de la médaille : l'information est fragmentée. Pas toujours évident de savoir qui est actif près de chez soi, comment se connecter efficacement, ou quels paramètres utiliser pour rejoindre le réseau national.

C'est exactement le problème qu'a décidé de résoudre Yohann Ciurlik, développeur fullstack normand et bidouilleur de la première heure.

Meshnetwork.fr : l'agrégateur qui manquait

Yohann a d'abord plongé dans Meshtastic pour son propre setup dans l'Eure, avec deux appareils :

• Un LilyGO T-Beam configuré en passerelle fixe, connecté en continu au réseau Gaulix
• Un Wio Tracker L1 Pro en nœud mobile pour tester la portée sur le terrain

L'objectif derrière : contribuer à densifier le réseau en Normandie. Plus il y a de nœuds, plus le mesh est intéressant en portée, en fiabilité, en usages possibles.

De ce constat est né meshnetwork.fr. Le site ne réinvente pas l'écosystème, il le rend lisible.

Au programme :

• 🗺️ Une carte temps réel des nœuds Meshtastic en France, agrégée depuis MeshMap.net, Liam Cottle et Gaulix — plus de 1 849 nœuds français référencés
• ⚙️ Un guide de configuration complet pour le firmware 2.5.x, avec les valeurs recommandées par la communauté (canal Fr_Balise, fréquence 869.4625 MHz, etc.)
• 🤝 Les communautés locales pour trouver facilement des gens actifs près de chez soi
• 📱 Les applications sur toutes les plateformes pour démarrer sans friction

💡 Côté stack technique : Yohann a construit le site en mode vibe coding avec Claude Sonnet et GitHub Copilot, hébergé sur Render.

Pour qui c'est intéressant ?

• Les randonneurs et aventuriers qui veulent rester joignables hors réseau
• Les makers et bidouilleurs attirés par la radio et les réseaux décentralisés
• Les geeks de la résilience soucieux de communication en cas de crise ou de black-out
• Ceux qui veulent juste explorer un réseau parallèle à Internet pour le fun

Les limites à connaître avant de se lancer

Meshtastic n'est pas WhatsApp. LoRa sacrifie le débit pour la portée, chaque message est limité à 228 caractères, et le canal tourne à 3–5 messages par minute avec le preset par défaut. En France, la bande 868 MHz impose en plus un duty cycle légal de 10% : votre nœud ne peut émettre que 6 minutes par heure maximum.

La bonne nouvelle ? C'est exactement pour ça que meshnetwork.fr et Gaulix publient leurs recommandations de config : hop limit à 3, annonces de position toutes les 6h, duty cycle non surchargé. Suivez le guide pour optimiser l'utilisation du réseau.

Une compatibilité Flipper Zero ?

Si vous possédez un Flipper Zero, il existe des addon pour permettre de connecter votre Flipper Zero au réseau Meshstatic :

https://retia.io/products/nibble-zero-kit

En résumé

Meshtastic, c'est l'une de ces technos qui fascinent parce qu'elles font quelque chose de concret, de simple et de souverain. Meshnetwork.fr est le portail qui manquait pour s'y mettre sans se perdre dans la doc éparpillée des différentes communautés.

Cette initiative ressemble aux réseaux Wifi communautaires du début des années 2000 que l'on mettait en place avec le protocole de routage dynamique OLSR pour permettre de faire transiter des messages sur un réseau mesh Wifi.

Bravo à Yohann pour le boulot et si vous êtes en Normandie, vous savez maintenant qu'il y a un noeud actif dans l'Eure qui n'attend que des voisins. Demain, j'installe mon noeud à Nantes !

Et vous, vous avez déjà un setup Meshtastic ? On en discute dans les commentaires ou sur le serveur Discord Geeek !

Quelques Liens utiles :

• 💡L'article de Yohann qui présente son projet
• 🌐 meshnetwork.fr
• 📖 meshtastic.org
• 🇫🇷 gaulix.fr
• 🗺️ meshmap.net

L'optimisation des performances web a longtemps reposé sur un rituel immuable : ouvrir les DevTools, enregistrer un profil, décortiquer les "Long Tasks", puis itérer manuellement dans l'éditeur de code. Un nouveau standard change la donne en donnant à l'IA un accès direct au navigateur — et donc à la réalité d'exécution d'un site.

Le MCP, ou comment l'IA sort de sa bulle

Le Model Context Protocol (MCP) est un standard ouvert, initié par Anthropic, qui permet aux modèles d'IA d'interagir de façon sécurisée avec des outils et des données locales. Là où les agents de codage traditionnels se limitaient à lire des fichiers sources, le MCP leur ouvre l'accès à l'environnement dans lequel ce code s'exécute réellement.

Le serveur MCP Chrome DevTools pousse cette logique dans le navigateur. En exposant les API natives de Chrome à un agent comme Claude, il lui confère une capacité inédite : observer le comportement d'un site en temps réel, et non plus en théorie.

Si jamais vous découvrez ce blog pour la première fois au travers de cet article, je vous détaille dans un précédent article comment développer un serveur MCP si le sujet vous intéresse.

Un spectre de fonctionnalités étendu

Cette connexion entre l'IA et le navigateur ouvre plusieurs champs d'application concrets.

• Audit de performance : L'agent peut déclencher des analyses Lighthouse, inspecter la timeline d'exécution et identifier les goulots d'étranglement sans intervention humaine.

• Diagnostic d'accessibilité : Les problèmes de contraste, les attributs ARIA absents ou mal renseignés sont détectés et documentés automatiquement.

• Debug visuel : En inspectant le DOM et les styles CSS calculés, l'IA est en mesure de comprendre pourquoi un composant se comporte de façon inattendue à l'affichage.

• Boucle d'optimisation fermée : C'est sans doute l'apport le plus structurant : l'agent peut analyser un problème via les DevTools, proposer et appliquer un correctif dans le code source, puis relancer immédiatement un test pour mesurer l'impact réel de sa modification.

Prise en main : l'exemple de Claude Code

L'intégration la plus directe est aujourd'hui disponible via Claude Code, qui propose un plugin dédié sur sa Marketplace.

/plugin marketplace add ChromeDevTools/chrome-devtools-mcp
/plugin install chrome-devtools-mcp

Les commandes d'installation du serveur MCP pour chaque agent AI du marché sont détaillées sur la page Github du projet.

Une fois le serveur actif, l'agent peut prendre le contrôle d'une instance Chrome et répondre à des instructions de haut niveau, du type :

"Analyse la page d'accueil de mon projet local, identifie ce qui cause
un LCP trop élevé et propose les corrections nécessaires dans le code source."

La fin de l'analyse statique

Jusqu'ici, les limites des IA de codage tenaient en grande partie à leur rapport au code : elles le lisaient, sans jamais le voir s'exécuter. Elles ignoraient le poids effectif des ressources après compression, le comportement JavaScript sur un processeur mobile simulé, ou l'impact réel d'un composant tiers sur le rendu.

Avec ce serveur MCP, le cycle de développement gagne en autonomie et en rigueur :

Ce qui nécessitait auparavant plusieurs allers-retours entre le navigateur et l'éditeur peut désormais s'enchaîner de manière autonome. L'agent cumule les rôles d'auditeur, de développeur et de testeur.

En conclusion

Le serveur MCP Chrome DevTools marque une évolution significative dans la façon dont les outils d'IA peuvent s'intégrer au workflow de développement front-end. En connectant l'agent au navigateur, il comble l'écart entre l'analyse du code et l'observation de son comportement réel — un écart que les développeurs expérimentés savent particulièrement coûteux à combler manuellement.

Le projet est open-source et disponible sur GitHub.

Vous venez d'installer Windows 11 en suivant mon précédent article ? Félicitations, vous avez un système tout neuf !

Mais avant de commencer à l'utiliser, il reste une étape cruciale : faire le ménage dans la collecte de données.

Quelles sont les données que Windows 11 collecte ?

Si vous ne voulez pas que vos habitudes d'utilisation finissent sur les serveurs de Microsoft, il existe un outil indispensable, bien que son nom soit un petit défi à l'écriture : O&O ShutUp10++.

Par défaut, une installation fraîche de Windows 11 active un nombre impressionnant de mécanismes de collecte :

• 📡 Télémétrie — Vos données d'utilisation, crashs et comportements envoyés en continu à Microsoft.
• 📍 Géolocalisation — Position GPS accessible par les apps Windows et les services Microsoft.
• ⌨️ Saisie & frappe (keylogging) — Journalisation de votre écriture manuscrite et de vos frappes clavier à des fins "d'amélioration".
• 🎯 Publicités ciblées — Un identifiant publicitaire unique vous suit à travers les applications du Windows Store.
• 🎙️ Cortana & voix — Vos interactions vocales et historique de recherche alimentent les modèles IA de Microsoft.
• 🔄 Synchronisation cloud — Mots de passe, activité et historique de navigation synchronisés vers votre compte Microsoft.

Un très bon épisode de l'émission d'Underscore présente

Un scanner pour vos paramètres cachés

Sous ses airs de logiciel ultra-minimaliste, O&O ShutUp10++ liste l'intégralité des réglages de confidentialité enfouis au plus profond de Windows. Rien ne lui échappe.

Là où Microsoft vous force à parcourir des dizaines de menus pour désactiver ces options, ShutUp10++ centralise tout sur une seule et même page. Ce que Windows vous cache en 2 heures de navigation dans les paramètres, ShutUp10++ vous l'expose en 2 minutes.

✅ Avantage clé : Le logiciel est 100% portable — aucune installation requise.

Comprendre le code couleur

Chaque option est associée à une couleur qui indique le niveau de risque :

Deux approches selon votre "degré de paranoïa"

🔬 La méthode chirurgicale

Vous parcourez la liste option par option et cochez manuellement ce que vous souhaitez bloquer, guidé par le code couleur.

✓ Points forts : Contrôle total, vous comprenez chaque paramètre.
⚠ Point faible : Plus long (15 à 30 minutes)

☢️ La méthode "Nucleaire"

Via le menu Actions → Appliquer tous les réglages recommandés, vous blindez votre système en un seul clic.

✓ Points forts : Rapide et efficace (2 minutes), idéal pour les débutants
⚠ Point faible : Certaines options jaunes/rouges sont activées sans distinction et peuvent potentiellement faire planter votre système.

Dans mon cas, j'ai désactivé toutes les options rouge via cette méthode. Mon système n'a pas planté.

Guide pas à pas : 5 minutes chrono

Étape 1 — Télécharger l'outil
Rendez-vous sur le site officiel d'O&O Software et téléchargez ooshutup10.exe. C'est gratuit, sans inscription.

Étape 2 — Créer un point de restauration
Au lancement, ShutUp10++ vous propose de créer un point de restauration. Ne passez pas cette étape ! C'est votre filet de sécurité si une option désactivée vous cause des problèmes plus tard (synchronisation du calendrier, Windows Update, etc.).

Étape 3 — Appliquer les réglages
Utilisez le menu Actions → Appliquer tous les réglages recommandés pour un résultat immédiat, ou parcourez la liste manuellement selon vos préférences.

Étape 4 — Redémarrer Windows
Certaines modifications nécessitent un redémarrage pour être pleinement appliquées. Faites-le dès que possible.

Étape 5 — Relancer après chaque mise à jour majeure
Windows Update réactive parfois certaines options de collecte. Pensez à relancer ShutUp10++ après chaque mise à jour de fonctionnalités (ex : 24H2, 25H1…).

En résumé

O&O ShutUp10++ est gratuit, léger et redoutablement efficace pour transformer Windows 11 en un système un peu plus respectueux de votre vie privée. Un must-have à lancer à chaque nouvelle installation ou mise à jour majeure.

👉 Télécharger O&O ShutUp10++ gratuitement

Pour aller plus loins dans la protection de vos données, je vous conseille la lecture de mon article dédié sur AdGuard Home, un serveur DNS local qui permet de vous protéger des entrées DNS malvaillantes sur Internet.

Vous avez un PC un peu ancien et Windows vous refuse l'installation de Windows 11 à cause du fameux TPM 2.0 ou du Secure Boot ? Pas de panique ...

Il existe une solution simple et fiable pour contourner ces restrictions et profiter de la dernière version de Windows, même sur du matériel officiellement non supporté.

Dans ce guide, je vous montre la méthode la plus propre en utilisant le logiciel Rufus, un petit outil gratuit simple d'utilisation qui permettra même à des non technophiles de réussir leur installation de Windows 11.

⚠️ Avant de vous lancer

Quelques précautions importantes avant de toucher à quoi que ce soit :

• Ce qu'il vous faut. Une clé USB d'au moins 8 Go (qui sera formatée) et un peu de patience.

• Sauvegardez vos données. Une installation propre efface le contenu de votre disque dur. Copiez tout vos fichiers importants sur un disque externe, un NAS ou dans le cloud.

Au sujet des mises à jour

1. Les mises à jour de sécurité (Mensuelles)

C'est la bonne nouvelle : pour l'instant, les mises à jour cumulatives de sécurité arrivent normalement via Windows Update, même sur les PC sans TPM.

Microsoft n'a pas encore "coupé le robinet" pour ces correctifs essentiels, car laisser des millions de PC vulnérables serait un risque majeur pour la sécurité globale.

2. Les mises à jour majeures (ex: 24H2, 25H2)

C'est ici que cela se complexifie. Les versions annuelles (comme la 24H2 sortie fin 2024 ou la 25H2 fin 2025) ne s'installent généralement pas automatiquement via Windows Update sur les vieux PC.

Windows Update détecte que votre PC n'est pas compatible et ne vous propose pas la nouvelle version.

La solution de contournement : Vous devez refaire la manipulation avec une nouvelle clé USB Rufus (ou utiliser un script de type "Universal MediaCreationTool wrapper") pour forcer le passage à la version supérieure.

3. Le nouveau mur technique : L'instruction POPCNT

Attention, depuis la version 24H2, il y a une limite physique que Rufus ne peut pas contourner malheureusement.

Si votre processeur est extrêmement ancien (avant 2008, type Core 2 Duo ou Athlon 64), il lui manque une instruction appelée POPCNT (incluse dans le SSE4.2).

Sans cette instruction, les versions récentes de Windows 11 ne démarreront tout simplement plus, même si vous forcez l'installation. Si votre processeur date d'après 2010 (Intel Core i3/i5/i7 de 1ère génération ou plus récent), vous ne devriez pas avoir de problème.

Étape 1 — Télécharger l'image ISO de Windows 11

Rendez-vous sur la page officielle de téléchargement de Microsoft. Descendez jusqu'à la section "Téléchargement de l'image de disque (ISO) Windows 11", sélectionnez "Windows 11 (multi-edition ISO)", choisissez votre langue et lancez le téléchargement.

Attention, le fichier pèse environ 7,5 Go.

Étape 2 — Créer la clé USB bootable avec Rufus

C'est ici que la magie opère. Rufus permet "patcher" l'installation de Windows pour qu'elle ignore l'absence de TPM 2.0 et de Secure Boot sur votre machine.

1. Téléchargez Rufus. La version portable vous évite une installation inutile.
2. Branchez votre clé USB et lancez Rufus.
3. Dans Périphérique, sélectionnez votre clé USB.
4. Dans Type de démarrage, cliquez sur SÉLECTION et choisissez l'image ISO de Windows 11 que vous venez de télécharger.
5. Cliquez sur DÉMARRER. Une fenêtre "Expérience utilisateur Windows" va apparaître.
6. Cochez impérativement la case : Remove requirement for 4GB+ RAM, Secure Boot and TPM 2.0.
7. Validez et laissez Rufus travailler. Comptez quelques minutes selon la vitesse de votre clé USB.

C'est cette option qui fait toute la différence : Rufus modifie l'installeur pour supprimer les vérifications matérielles imposées par Microsoft.

D'autres options pratiques sont proposées par Rufus lors de la création de la clef USB pour aller plus loin dans l'optimisation de votre installation :

Étape 3 — Installer Windows 11

Éteignez votre PC, puis redémarrez-le en bootant sur la clé USB. Pour accéder au menu de démarrage (boot menu), appuyez sur la touche correspondante dès le démarrage de votre machine. Voici les touches les plus courantes selon les marques :

Une fois sur la clé, l'installeur Windows 11 se lance normalement. Et puisque Rufus a fait le ménage, plus aucun message du type "Ce PC ne peut pas exécuter Windows 11" ne devrait s'afficher.

Suivez simplement les instructions classiques d'installation, choisissez votre partition, et laissez Windows faire le reste.

En résumé

Installer Windows 11 sur un PC non compatible est devenu une opération accessible à tous grâce au logiciel Rufus. L'outil gère automatiquement la suppression des vérifications matérielles, et en quelques clics, vous obtenez une clé USB d'installation prête à l'emploi.

Microsoft durcit progressivement ses exigences matérielles, mais la communauté continue de trouver des solutions simples et efficaces pour que chacun puisse profiter de son système d'exploitation, quel que soit l'âge de sa machine.

Si jamais vous souhaitez ne plus vous contraindre des blocages des mises à jour, vous pouvez passer sur une distribution Linux OpenSource comme Linux Mint, Lubuntu, Elementary OS ou Pop!_OS ... Ou alors migrer sur un Mac.

Vous prévoyez de déployer un réseau informatique au sein de votre maison ou de votre appartement ? Voici un tutoriel complet pour installer vous-même une baie de brassage dans votre logement. Cet article est issu de ma propre expérience lors de l'aménagement de ma maison.

Si, en lisant cet article, vous avez des questions, n’hésitez pas à utiliser le serveur de discussion Discord qui est ouvert à l’ensemble des lecteurs de ce blog.

Cet article est très régulièrement actualisé pour prendre en compte vos remarques et l’évolution des produits. N’hésitez pas à laisser un commentaire si les précieux conseils de cet article vous ont été utiles.

Sommaire

• Installer une baie de brassage à la maison
• Pourquoi installer une baie de brassage maison ?
• Baie de brassage vs coffret de communication vs coffret réseau
• Quel câble RJ45 choisir pour une baie de brassage ?
• Choisir sa baie (format 19", U, profondeur, porte, ventilation)
• Quel est l'emplacement idéal dans la maison ?
• Quel schéma de câblage / branchement ?
• Étapes d'installation d'une baie de brassage maison (HowTo) + Checklist
  • Étape 1 : Sélectionnez votre baie de brassage
  • Étape 2 : Choisissez l'alimentation électrique de la baie informatique
  • Étape 3 : Choisir un patch panel pour la baie de brassage
  • Étape 4 : Le rangement des câbles indispensable pour avoir une baie de brassage bien rangée
  • Étape 5 : Le switch réseau pour connecter l'ensemble des périphériques de votre maison
  • Étape 6 : Les relais Wi-Fi pour connecter toute votre maison
  • Étape 7 : Le plateau pour la box Internet ou le NAS
  • Étape 8 : L'onduleur pour se protéger des coupures de courant
  • Étape 9 : Le NAS ou baie de stockage de fichiers
  • Étape 10 : La box domotique
• 10 astuces et Bonnes pratiques : PoE, VLAN, 10GbE, sécurité DNS, sauvegarde…
• En synthèse

Pourquoi installer une baie de brassage maison ?

Nos maisons sont de plus en plus connectées : box, fibre optique, Wifi, NAS, domotique, switch…

Vous construisez une maison ou vous rénovez un appartement ? Mon conseil est de prévoir un espace dédié et protégé pour votre équipement réseau : une baie de brassage, que l’on appelle aussi baie informatique dans le jargon. Mais aussi d’anticiper la localisation des prises RJ45 dans les endroits les plus stratégiques de votre maison : bureau, TV, chambres, sonnette extérieure, localisation des caméras de surveillance…

Malheureusement, lorsque vous demandez un devis de mise à disposition d’une baie de brassage à votre électricien, cela peut coûter très cher, et l’installation généralement proposée (boîtier tout-en-un) est rarement pratique et évolutive si vous êtes, comme moi, un passionné d’informatique et de réseau. Les électriciens se limitent très souvent à proposer des coffrets de communication.

Mon conseil est donc d’installer soi-même sa baie de brassage : c’est simple et cela peut s’avérer très pratique si vous avez plusieurs équipements informatiques à héberger en toute sécurité. Cette installation sera d’autant plus simple si vous avez déjà quelques notions en réseau et en informatique.

Vous trouverez dans cet article tous les équipements que j’ai mis en place au sein de ma propre baie de brassage dans ma maison, que j’ai fait construire.

Baie de brassage vs coffret de communication vs coffret réseau

Avant de démarrer, repositionnons le rôle d’une baie de brassage vis-à-vis d’un coffret réseau et d’un coffret de communication.

Une baie de brassage est une armoire (souvent 19”) conçue pour organiser et centraliser l’infrastructure d’un réseau informatique dans une entreprise ou un local technique. Elle accueille des équipements “actifs” et “passifs” : panneaux de brassage, switchs, routeurs, NAS, onduleur, etc. Elle est pensée pour la densité, la ventilation, la sécurité (portes, verrou) et l’évolutivité.

Un coffret réseau est généralement plus compact qu’une baie. On le retrouve dans les petites installations (PME, commerce, salle dédiée) pour regrouper l’essentiel : patch panel, petit switch, box/routeur, éventuellement une étagère et un bandeau de prises. Il vise surtout une intégration propre et une maintenance simple, sans l’encombrement d’une armoire complète.

Le coffret de communication est, lui, orienté habitat. Placé dans le logement (souvent près du tableau électrique), il centralise les arrivées télécom (fibre/ONT, téléphone) et la distribution interne (RJ45 vers les pièces, parfois TV coax). Il sert de “hub” domestique, avec des contraintes de normes logement, de discrétion et de faible profondeur.

Quel câble RJ45 choisir pour une baie de brassage ?

Si vous vous demandez quel type de câble RJ45 choisir pour votre construction, je vous recommande d’aller lire mon article dédié sur le sujet.

Le sujet est assez complexe et les technologies de câbles évoluent en permanence ... Le RJ45 a encore plusieurs belles années devant lui. Mais les batiments connectés du futur utiliseront probablement de la fibre optique.

Choisir sa baie (format 19”, U, profondeur, porte, ventilation)

Avant de vous lancer dans l’achat d’une baie de brassage, vous devez préalablement vous demander quels sont les usages de cette baie de brassage au sein de votre domicile.

• Souhaitez-vous y stocker votre box ADSL ?
• Souhaitez-vous distribuer l’accès à votre antenne TNT ?
• Souhaitez-vous y installer un NAS ?
• Souhaitez-vous y intégrer votre domotique ?
• Souhaitez-vous réaliser de l’auto-hébergement de site Internet ?
• À quel endroit pouvez-vous installer la baie de brassage ?
• Combien de câbles aurez-vous à brasser dans votre baie de brassage ?
• Prévoyez-vous de déployer un système de vidéosurveillance avec du PoE ?
• Comment allez-vous protéger votre matériel des surtensions et des coupures d’électricité ?

Ces questions vous permettront de répondre à plusieurs questions cruciales :

• Quelle taille de baie de brassage acheter pour ma maison : 6U, 9U, 12U ?
• Quelle est la taille du switch et du patch panel nécessaires au brassage des câbles RJ45 ? Doit-il prendre en charge le PoE (Power over Ethernet) ?
• Quels sont les câbles à faire arriver jusqu’à votre baie pour permettre les usages imaginés ?
• Dois-je prévoir un onduleur dans ma baie informatique ? Et si oui, de quelle puissance ?

Quel est l’emplacement idéal dans la maison ?

Prévoyez de demander à votre électricien de faire arriver tous les câbles RJ45 dans une pièce de votre maison (ex. : arrière-cuisine) ou une armoire bien aérée où la température sera stable toute l’année.

Demandez-lui de faire venir une arrivée électrique reliée à la masse pour permettre d’alimenter correctement l’ensemble des équipements électroniques de votre baie de brassage.

Assurez-vous que l’emplacement que vous avez retenu pour votre baie de brassage se trouve à proximité de la gaine par laquelle arrivera votre fibre Internet. Cela simplifiera l’installation de votre box Internet au sein de la baie de brassage et évitera de repercer vos murs après que le montage de votre baie soit terminé.

Quel schéma de câblage / branchement ?

Avant de démarrer l'installation vous souhaitez comprendre le schéma de câblage de votre future installation ?

Voici un exemple de schéma de câblage pour une baie de brassage au sein d'un appartement ou d'une maison. Chaque pièce possède des prises RJ45 murales.
Pour les pièces type salon, vous pouvez déployer un mini-switch pour éviter de tirer 4/5 câbles dédiés.

Si votre box Internet est connectée à la fibre, assurez-vous de choisir un switch avec une connectivité SFP+ pour profiter de la bande passante Internet et éviter que le câble Switch vers la box devienne un point de contention.

Étapes d’installation d’une baie de brassage maison (HowTo) + Checklist

Étape 1 : Sélectionnez votre baie de brassage

En fonction des équipements que vous prévoyez d’installer dans votre baie, deux paramètres sont à prendre en compte : la profondeur de la baie et le nombre de U (la hauteur).

Je vous recommande la gamme de baies de brassage RackMatic SOHO qui est de très bonne qualité à un prix raisonnable. Elles sont plus accessibles en termes de prix que les baies de brassage Linkeo de Legrand. Malheureusement, depuis quelques mois, ces baies sont en rupture de stock ; je vous conseille donc de vous orienter vers les baies Digitus qui ressemblent très fortement à la gamme RackMatic.

Quelle taille de baie (U) selon votre maison ?

Pour ma propre installation, j’ai retenu une baie de brassage 12U. Vous pouvez aussi vous orienter vers une plus petite baie de brassage (modèle 9U, 6U ou bien 4U) en fonction du nombre d’équipements que vous prévoyez d’installer dans votre baie. Cela dépend de votre projet.

À quoi correspond un "U" ?

Un "U" équivaut à 1,75 pouce, soit 44,45 millimètres de hauteur.
Plus votre baie de brassage possède de "U", plus elle est haute et pourra contenir d’équipements.

Vous constaterez que les baies sont généralement disponibles avec trois profondeurs : 300 mm, 450 mm ou 600 mm. Si vous n’avez que du matériel réseau, une baie de 300 mm peut être suffisante. Cependant, si vous prévoyez d’héberger un serveur, un NAS ou des équipements plus profonds, il faudra probablement vous orienter vers une profondeur de 450 mm.

N’oubliez jamais de vérifier la profondeur du châssis avant de valider le modèle de la baie.

Petite baie de brassage 7U

Moyenne baie de brassage 9U

Grande baie de brassage 12U

Très grande baie de brassage 16U

Les baies de brassage 16U sont très grandes. À moins que vous habitiez un château ou que vous ayez un projet d’hébergement de serveurs, ces baies ne sont pas forcément adaptées pour une habitation classique.

Baie de brassage en kit

Certaines baies sont fournies avec l'ensemble des équipements en kit si vous souhaitez vous simplifier l'esprit.

Enfin, n’oubliez pas de prévoir un pack d’écrous supplémentaires pour permettre l’installation de vos différents équipements dans votre baie.

Astuce : si votre maison est constituée de placoplâtre, n’hésitez pas à demander à votre plaquiste un renfort en bois préalable au niveau du mur pour renforcer la fixation de la baie et éviter que celle-ci ne tombe si son poids est trop important. C’est ce que j’ai fait en anticipation des nombreux matériels installés au sein de ma baie de brassage. Mon plaquiste a positionné deux planches en bois à l’endroit où j’allais fixer ma baie.

Étape 2 : Choisissez l’alimentation électrique de la baie informatique

L’alimentation des équipements de votre baie informatique peut se faire via une barre multiprise qui occupera 1U de votre baie.

J’ai personnellement retenu un modèle Equip 8 prises qui est vendu à un prix correct et qui est de bonne qualité.

L’alimentation électrique est généralement installée tout en bas de la baie pour permettre aux fils électriques d’être allongés facilement au fond de la baie de brassage.

Le bouton "on/off" sur la multiprise peut être pratique si vous souhaitez éteindre tout votre matériel très rapidement et tester si votre onduleur protège correctement tout votre matériel informatique.

Étape 3 : Choisir un patch panel pour la baie de brassage

Le "patch panel" est généralement l’élément que l’on retrouve tout en haut des baies de brassage. Il a pour rôle d’exposer tous les câbles réseau de votre maison sous forme de prises RJ45 femelles.

Celui-ci vous permettra d’attribuer des rôles à chacune de vos prises : antenne TNT, Internet, vidéo, téléphonie…

J’ai retenu pour mon installation un patch panel Lindy. Pour permettre de fixer chacun des câbles dans le patch panel, vous aurez besoin d’une petite pince "punch down".

Étape 4 : Le rangement des câbles indispensable pour avoir une baie de brassage bien rangée

Si vous êtes perfectionniste et que vous souhaitez avoir une baie de brassage bien rangée, vous pouvez investir dans un passe-câble avec brosse 1U, un panneau de rangement de câbles ou même un ou plusieurs obturateurs 1U.

Étape 5 : Le switch réseau pour connecter l’ensemble des périphériques de votre maison

Le switch n’est pas un élément obligatoire dans la mesure où votre box Internet possède probablement déjà un switch réseau. C’est le cas, par exemple, des Freebox.

Cependant, il peut être indispensable si vous avez plus de 4 câbles réseau à connecter à Internet. J’ai, pour cela, retenu un switch D-Link 16 ports avec une alimentation électrique intelligente des ports pour faire des économies d’énergie.

Ne sous-estimez jamais le nombre de prises dont vous allez avoir besoin sur votre switch. Le nombre d’objets connectés que j’ai à mon domicile s’agrandit d’année en année…

Prévoyez un kit de câbles RJ45 assez courts (0,25 m ou 0,5 m) pour permettre de réaliser les différentes connexions. Sur la photo dans l’en-tête de cet article, j’ai utilisé des câbles de 0,5 m qui sont un peu trop longs, comme vous pouvez le constater sur la photo de l’article.

Si jamais vous prévoyez d’avoir une fibre 10G EPON chez Free ou chez un autre opérateur avec des débits allant jusqu’à 8 Gbit/s. Vous devrez probablement retenir un switch avec un port SFP+ de 10 Gb/s pour distribuer votre débit Internet sur l’ensemble des équipements de votre maison et ne pas être bridé à un débit global de 1 Gb/s à la sortie du switch.

La connectivité SFP+ entre votre box et un switch 10G se fait généralement au travers d’un câble DAC que vous trouverez dans tous les magasins de matériel informatique. Je présente tout cela dans mon article sur le choix des switchs réseau.

Étape 6 : Les relais Wi-Fi pour connecter toute votre maison

Si vous souhaitez avoir une bonne réception du Wi-Fi dans votre maison, je vous recommande l’utilisation de relais Wi-Fi 6 ou 7.

Il est généralement conseillé de déployer un relais Wi-Fi pour 80 m² d’habitation. Mais attention : si vous avez trop de relais Wi-Fi, vous risquez de dégrader la qualité de votre réseau.

Configurez-les en mode "hotspot" pour profiter d’une bande passante plus importante, prenez soin de les configurer sur des canaux différents des réseaux de vos voisins. Évitez absolument les relais Wi-Fi "extender" qui ne font que réamplifier le signal et donc diviser la bande passante du relais principal.

Utilisez un même SSID et mot de passe pour permettre un roaming Wi-Fi dans tout votre logement et permettre de changer de pièce sans coupures réseau.

Petite astuce : si vous êtes client Free, renseignez-vous. Free propose des relais Wi-Fi 7 gratuitement sur certains de ses abonnements Internet.

Étape 7 : Le plateau pour la box Internet ou le NAS

Une fois l’équipement minimal mis en place, il vous restera entre 3 et 6U pour installer votre box ADSL, votre boîtier domotique, votre NAS et tous vos autres gadgets dans la baie de brassage.

Pour cela, équipez-vous de plateaux qui vous permettront d’accueillir votre matériel qui ne peut pas être positionné dans un rack.

Vous pouvez utiliser des plateaux Digitus pour pouvoir positionner le matériel non rackable. Faites juste attention à ce que la profondeur du plateau soit compatible avec la profondeur de votre baie. Il est préférable d’utiliser des plateaux moins profonds que votre baie…

Étape 8 : L’onduleur pour se protéger des coupures de courant

L’onduleur n’est pas un équipement obligatoire dans votre installation, mais il pourra vous permettre de protéger vos équipements sensibles des surtensions et des coupures électriques, comme votre NAS, par exemple.

Dans mon cas, j’ai retenu un petit onduleur Aeton capable de protéger mon switch, NAS, box domotique et box ADSL en cas de coupure électrique.
J’utilise ma box domotique pour m’envoyer un SMS en cas de coupure électrique.

Étape 9 : Le NAS ou baie de stockage de fichiers

Le NAS est aujourd’hui devenu un équipement indispensable dans votre maison : il protégera vos données sensibles et en assurera leur sauvegarde localement sur deux disques durs et sur le cloud si vous le souhaitez.

J’ai présenté dans cet article les différentes solutions de sauvegarde sur le cloud du marché, disponibles à différents prix avec des volumes de stockage plus ou moins importants. N’hésitez surtout pas à investir dans ce type de service pour éviter de perdre une partie de votre vie numérique en cas de vol ou d’incendie dans votre habitation.

Privilégiez les modèles DS Plus si vous souhaitez héberger des services sur votre NAS.

En fonction du volume de données que vous souhaitez sauvegarder, prévoyez deux disques de même capacité pour permettre une réplication des données sur les deux disques et éviter tout risque de perte de données en cas de crash d’un disque dur.

Enfin, si votre budget vous le permet, vous pouvez opter pour un NAS Synology en mode rack pour économiser de l’espace dans votre baie de brassage, mais attention : le budget du NAS n’est plus le même, vous entrez dans une autre catégorie de tarifs. Si vous souhaitez mettre en place de la vidéo-surveillance de manière avancée, certains NAS Synology sont équipés d'algorithmes intelligents pour détecter des formes sur les flux vidéos capturés.

Étape 10 : La box domotique

Vous souhaitez mettre en place de la domotique dans votre maison ? Vous êtes bricoleur ? Vous pouvez lire cet article qui détaille la box domotique que j’ai mise en œuvre à base de composants open source. Vous pourriez aussi partir sur un Raspberry Pi équipé du logiciel "Home Assistant" si vous avez des compétences en Linux.

Si vous avez des volets roulants électriques, vous pouvez aussi suivre mon article pour apprendre à domotiser vos volets avec un simple Arduino.

Si vous recherchez, au contraire, un boîtier domotique clés en main, je vous conseille la marque Fibaro qui commercialise deux boîtiers domotiques utilisant le protocole Z-Wave et compatibles avec de nombreux objets connectés du marché : détecteur d’ouverture de porte, détecteur de fumée, sonde de température, etc.

10 astuces et Bonnes pratiques : PoE, VLAN, 10GbE, sécurité DNS, sauvegarde…

Prévoir du câblage RJ45 extérieur (PoE-ready)

Pensez à tirer des câbles Ethernet RJ45 vers l’extérieur (façade, portail, garage, terrasse) pour une sonnette connectée, des caméras IP ou un point d’accès Wi-Fi extérieur.

Étiqueter tous les câbles et ports de la baie

Pensez à utiliser des étiquettes sur les câbles RJ45, sur le panneau de brassage (patch panel) et idéalement sur les prises murales. En cas de panne, le dépannage de votre baie de brassage sera beaucoup plus rapide.

Relier la box Internet et le switch en 10 Gb/s si possible

Si votre box le supporte, connectez le switch à la box Internet en SFP+ (10GbE) pour une connexion 10 Gb/s entre le cœur du réseau et votre baie informatique maison (utile pour le NAS).

Segmenter le réseau avec des VLAN (bureautique, IoT, invités)

Mettez en place des VLAN pour les équipements bureautique (PC, NAS) et la domotique / IoT (caméras, ampoules, assistants) pour les isoler.

Fais la même logique avec le réseau Wi-Fi : un Wi-Fi invité / IoT séparé, et un Wi-Fi principal (standards récents) pour PC et smartphones. C’est une base solide de sécurité réseau domestique.

Sécuriser le DNS local (filtrage pub, tracking, parental)

Renforcez la sécurité DNS de votre réseau avec un DNS local type AdGuard Home (filtrage publicités, trackers, contrôle parental).

Activer un firewall complet, y compris en IPv6

N’oubliez pas un pare-feu (firewall) IPv6 : beaucoup sécurisent IPv4 et oublient l’IPv6, alors qu’il est souvent inactif par défaut. Le firewall IPv6 est désactivé par défaut sur les Freebox.

Mettre en place une stratégie de sauvegarde NAS + cloud chiffré

Sauvegardez vos données sur un NAS (local), et ajoutez une copie hors site dans un cloud chiffré (règle 3-2-1).

Anticiper l’emplacement des points d’accès Wi-Fi (câbles et prises)

Prévoyez des câbles RJ45 vers des emplacements adaptés pour tes points d’accès Wi-Fi (AP) : plafond, placard technique, zones centrales.

Evitez les zones de passage, les relais Wifi ne sont pas très esthétiques.

Choisir un switch PoE pour caméras, AP et domotique

Si vous prévoyez des caméras IP, une sonnette PoE ou des bornes Wi-Fi, prennez directement un switch PoE / PoE+ (et vérifiez le budget PoE en watts). Ça simplifie le câblage et l’alimentation dans la baie de brassage.

Garder de la marge dans la baie (U, profondeur, ventilation)

Prévoyez de l’espace libre dans votre baie informatique maison : quelques U disponibles, une profondeur suffisante, de la place pour une PDU, un onduleur (UPS), une étagère ...

En synthèse

Voici l’ensemble du matériel que j’ai utilisé pour mettre en place la baie de brassage dans ma maison.

Des kits Digitus existent si vous ne souhaitez pas vous embêter.

Le NAS, le switch et l’onduleur sont optionnels en fonction de votre budget et de vos besoins.

J’espère que cet article vous aura donné quelques bons conseils pour choisir vos équipements pour votre baie de brassage. Si vous avez encore des questions après avoir lu cet article, n’hésitez pas à venir discuter de baie de brassage sur le serveur Discord Geeek. C’est ouvert à tous, et un canal de discussion #Domotique centralise tous les échanges sur le sujet. N'hésitez pas à partager des photos de votre installation, cela fait toujours plaisir !

Bonne installation et bon câblage !

Quand j'ai finalement décidé d'activer le mode membre sur Ghost pour la newsletter, une question s'est posée assez naturellement : comment synchroniser automatiquement les abonnements Ghost avec les rôles sur le serveur Discord Geeek ?

La solution évidente, c'est de passer par du NoCode : Make, Zapier et consorts. Mais la logique d'appairage à mettre en place n'est pas forcément triviale, même en LowCode. Il faut gérer plusieurs cas : l'ajout d'un membre, sa montée en gamme vers un abonnement payant, son downgrade, sa suppression... Et surtout, il faut faire le lien entre une adresse email Ghost et un compte Discord, ce qui n'est pas directement exposé par ces outils.

J'ai donc décidé de coder moi-même le maillon manquant.

L'architecture en deux mots

Le projet s'appelle ghost-discord-worker et repose sur trois briques : Ghost, un Cloudflare Worker, et l'API Discord.

Le principe est simple : Ghost envoie un webhook au Worker Cloudflare à chaque événement membre (ajout, modification, suppression). Le Worker consulte un KV store Cloudflare, qui contient une table d'appairage bidirectionnelle email ↔ discord_user_id, et met à jour les rôles Discord en conséquence. Chaque email ne peut être lié qu'à un seul compte Discord, et inversement.

Le cas le plus intéressant, c'est quand un utilisateur n'est pas encore connu du Worker. Plutôt que de demander naïvement son email sur Discord (ce qui n'apporte aucune preuve de propriété), j'ai opté pour un flux basé sur JWT. L'utilisateur connecté à son compte Ghost se rend sur une page dédiée du site, qui récupère son JWT signé via /members/api/session et l'envoie au Worker. Celui-ci vérifie la signature contre les JWKS publiques de Ghost, puis renvoie un code à 8 caractères à usage unique, valable 10 minutes. L'utilisateur tape ensuite /link <code> sur Discord et le Worker enregistre l'appairage avant d'attribuer les bons rôles immédiatement.

Les événements gérés

Le Worker couvre l'ensemble du cycle de vie d'un membre Ghost :

• Membre ajouté (free) → rôle Member
• Membre ajouté (paid/comped) → rôles Member + Premium Member
• Membre supprimé → suppression de tous les rôles
• Mise à jour free → paid → ajout du rôle Premium Member
• Mise à jour paid → free → suppression du rôle Premium Member

Installation en 8 étapes

Étape 1 : Cloner le dépôt et installer les dépendances

git clone https://github.com/ltoinel/ghost-discord-worker
cd ghost-discord-worker
npm install

Étape 2 : Créer le namespace KV

npx wrangler kv namespace create GHOST_DISCORD_MAPPING

Récupérez l'id retourné et remplacez REPLACE_WITH_KV_NAMESPACE_ID dans le fichier wrangler.toml.

Étape 3 : Configurer les secrets Cloudflare

npx wrangler secret put WEBHOOK_SECRET
npx wrangler secret put ADMIN_SECRET
npx wrangler secret put DISCORD_BOT_TOKEN
npx wrangler secret put DISCORD_GUILD_ID
npx wrangler secret put DISCORD_PUBLIC_KEY
npx wrangler secret put DISCORD_ROLE_MEMBER
npx wrangler secret put DISCORD_ROLE_PREMIUM
npx wrangler secret put GHOST_URL
npx wrangler secret put GHOST_ADMIN_API_KEY

Le WEBHOOK_SECRET authentifie les webhooks Ghost et l'ADMIN_SECRET protège les endpoints d'administration /link via un Bearer token.

Étape 4 : Déployer le Worker

npm run deploy

Étape 5 : Configurer les webhooks dans Ghost

Dans Ghost Admin → Settings → Integrations → Custom Integration, créer trois webhooks distincts :

Étape 6 : Enregistrer les slash commands Discord

Enregistrez les commandes /link et /unlink via l'API Discord et configurez l'Interactions Endpoint URL vers https://<worker>.workers.dev/discord dans le Discord Developer Portal.

Étape 7 : Vérifier la hiérarchie des rôles Discord

Important : le rôle du bot doit être positionné au-dessus des rôles Member et Premium Member dans la hiérarchie de votre serveur Discord. Sans ça, le bot ne pourra pas attribuer les rôles.

Étape 8 : Créer la page d'appairage côté Ghost

Les membres ont besoin d'un moyen simple pour récupérer leur code d'appairage. Créez une page Ghost (par exemple https://<votre-site>/discord/) et collez le snippet HTML + CSS + JS prêt à l'emploi fourni dans spec/08-configuration.md dans une HTML card. Ce snippet appelle /members/api/session pour obtenir le JWT signé du membre connecté, le poste sur /code du Worker, et affiche le code à 8 caractères avec un bouton Copier ainsi qu'un compte à rebours jusqu'à expiration.

Côté membre, le parcours devient très simple : se connecter à son compte Ghost, visiter la page « Discord access », cliquer sur Get my Discord code, puis taper /link <code> sur Discord. Les rôles sont attribués instantanément.

Étape 8.a (recommandée) : reverse proxy nginx pour /code

Si votre site Ghost est derrière nginx, ajoutez un bloc location = /code afin que le navigateur appelle https://<votre-site>/code plutôt que directement https://<worker>.workers.dev/code. L'intérêt est triple : le hostname du Worker reste invisible dans les traces réseau, l'appel devient same-origin (plus de préflight CORS), et vous gardez la main sur les timeouts en bordure. Le snippet nginx complet (avec le pattern resolver + variable dans proxy_pass requis pour les IP dynamiques de workers.dev) est dans spec/08-configuration.md.

Si vous faites sans le proxy, il faut changer CODE_URL dans le JS du widget vers l'URL absolue du Worker et vérifier que le secret GHOST_URL correspond exactement à l'origine de votre site (utilisé comme Access-Control-Allow-Origin).

Un mot sur la sécurité

J'ai pris soin d'implémenter quelques bonnes pratiques : les webhooks Ghost sont authentifiés via un secret partagé en comparaison à temps constant, les interactions Discord sont vérifiées par signature Ed25519, et les endpoints d'administration /link sont protégés par un Bearer token (lui aussi vérifié en temps constant). Surtout, l'appairage repose sur une vraie preuve de propriété : le code à usage unique n'est délivré qu'après vérification du JWT du membre contre les JWKS publiques de Ghost. Les emails sont également validés au format RFC 5322 avant tout traitement pour éviter les injections, et les erreurs Discord ne sont jamais exposées côté utilisateur.

Testez la fonctionnalité

Si vous êtes membre du blog, vous pouvez tester l'appairage Ghost ↔ Discord dès maintenant ! Rendez-vous sur geeek.org/discord/, récupérez votre code en un clic, et tapez /link <code> sur le serveur Discord Geeek pour récupérer automatiquement votre rôle de membre. Si vous êtes abonné Premium, le rôle correspondant sera ajouté en même temps.

J'attends vos retours avec impatience : si quelque chose coince, vous savez où me trouver.

Conclusion

Le projet est disponible sur GitHub : ltoinel/ghost-discord-worker. Le code est en TypeScript, tourne entièrement sur l'infrastructure Cloudflare (Worker + KV), et ne nécessite donc aucun serveur à maintenir.

J'espère que cet article vous sera utile si vous gérez vous aussi une communauté sur Ghost et Discord. N'hésitez pas à venir en discuter sur le serveur Discord Geeek !

Si vous suivez de près l'actualité, le buzz autour d'OpenClaw a développé un univers complet de sites loufoques comme Molt.church, OnlyMolt, Molt.book mais aussi Rentahuman.ai.

Le modèle du site Rentahuman.ai repose sur un renversement radical des logiques d'automatisation traditionnelles. Alors que les plateformes de "gig economy" classiques permettent aux humains de déléguer des tâches à des logiciels, RentAHuman.ai inverse le flux : ce sont les agents autonomes qui recrutent directement de la main-d'œuvre humaine pour des tâches qu'ils n'ont pas la capacité de réaliser dans notre monde réel.

Quelle est l'infrastructure derrière RentAHuman.ai ?

L'infrastructure s'appuie sur le Model Context Protocol (MCP), un standard d'intégration qui permet aux Agents AI d'interagir avec des services tiers sans intervention humaine. Pas de code, l'agent comprend comment fonctionne le service et sait l'appeler sans qu'un humain intervienne.

Concernant ce principe de serveur MCP, j'ai publié un article détaillé sur la construction d'un serveur MCP il y a quelques semaines, article que vous pouvez redécouvrir plus en détail dans le magazine Programmez Hors série dédié à l'IA.

Concrètement, les agents IA peuvent parcourir les profils disponibles, assigner des missions et déclencher des paiements de manière totalement autonome, sans validation humaine côté client. Tout se fait au travers des interactions entre l'Agent AI et le serveur MCP de la plateforme RentAHuman.

Le système de paiement constitue un choix technique structurant : exclusivement crypto-natif (USDC, Ethereum), il s'affranchit des rails bancaires traditionnels et des protections associées (Stripe, PayPal). Une approche qui ancre immédiatement la plateforme dans l'écosystème Web3.

Analyse des métriques : entre buzz viral et réalité opérationnelle

Si les chiffres d'inscription affichent plusieurs centaines de milliers d'utilisateurs, une analyse granulaire révèle un écart significatif entre "vanity metrics" et engagement réel. Selon plusieurs sources indépendantes, seule une fraction marginale des profils a effectivement connecté un wallet crypto-compatible.

Du côté de l'offre, la typologie des tâches proposées soulève également des questions :

• Actions marketing à fort potentiel viral (porter une pancarte payée par une IA : 100$)
• Missions à vocation démonstrative (livraison de fleurs chez Anthropic)
• Micro-tâches d'influence sociale (abonnements X/Twitter)

Des tests terrain menés par plusieurs journalistes tech, proposant leurs services à tarif cassé (5$/h), n'ont généré aucune sollicitation. L'hypothèse d'une demande structurelle des agents IA reste, à ce stade, non validée.

Acteurs et motivations : la piste Risk Labs

Le projet est porté par Alexander Liteplo, ingénieur logiciel chez Risk Labs, l'équipe de développement derrière le protocole UMA (Universal Market Access).

Cette affiliation n'est pas anodine. Plusieurs analystes du secteur crypto interprètent RentAHuman.ai comme une proof of concept narrative destinée à valoriser l'écosystème technologique de Risk Labs, notamment ses oracles décentralisés permettant de vérifier des informations du monde physique on-chain.

Enjeux éthiques et vides juridiques

Au-delà des aspects techniques, la plateforme soulève des problématiques réglementaires majeures :

1. Absence de cadre contractuel : Les travailleurs opèrent sans contrat de travail, sans couverture sociale, sans mécanisme de résolution de litiges. En cas de non-paiement post-prestation, aucun recours n'existe.

2. Risques de sécurité physique : Aucun système de validation des tâches n'empêche l'assignation de missions potentiellement dangereuses ou dans des environnements à risque.

3. Fragmentation criminelle : Scenario théorique mais techniquement viable : décomposition d'actes illégaux en micro-tâches apparemment anodines, distribuées à des executants non informés, diluant ainsi la chaîne de responsabilité pénale.

Conclusion

RentAHuman.ai s'apparente davantage à une expérimentation socio-technique virale qu'à une disruption avérée du marché du travail.

Une "narrative machine" selon certains observateurs, qui pose néanmoins des questions concrètes sur l'interfaçage entre capacités physiques humaines et agents autonomes logiciels. La maturation du concept dépendra de l'émergence d'une demande réelle, actuellement non démontrée.