Korben

J'avoue, j'ai un peu de mal avec l'univers des start-ups. Vous savez, ce petit monde des levées de fonds à rallonge, des pitchs sur LinkedIn et des banquiers qu'il faut brosser dans le sens du poil... C'est clairement pas mon truc. Je préfère rester dans mon coin, avec mon petit site, mon clavier et des gens qui aiment me lire.

La liberté quoi (en théorie ^^).

Mais bon, c'est pas parce que je n'aime pas l'écosystème que je ne respecte pas le boulot abattu, bien au contraire ! Monter une boîte, c'est un sacerdoce et pas mal de mecs et de filles s'y brûlent les ailes et beaucoup finissent par se planter.

C'est moche, mais c'est la réalité du business, surtout dans la tech !

Toutefois si vous avez créé votre propre startup je viens de trouver un site génial qui s'appelle Loot Drop . En gros c'est le cimetière des startups qui recense, à l'heure où j'écris, plus de 1200 startups qui ont mordu la poussière, soit plus de 48,4 milliards de dollars de capital-risque partis en fumée !!

Le créateur du site, un certain AnsbjergB a créé ça "vibe coding" pur à l'aide d'outils comme Cursor et Supabase pour coder à la vitesse de la lumière sans forcément non plus être un cador du développement pur.

Et son idée derrière Loot Drop, c'est de "piller" ces échecs puisque le site vous donne un score d'opportunité pour chaque "cadavre" tech. Vous pouvez ainsi filtrer par difficulté de reconstruction, par scalabilité ou par potentiel de marché.

Alors pourquoi recenser ces échecs ?

Hé bien parce que souvent, une startup se plante non pas parce que l'idée est mauvaise, mais parce qu'elle était trop gourmande. Trop d'employés, trop de bureaux luxueux, trop de marketing inutile. Alors en récupérant l'idée de la défunte et en la relançant en mode passionné indépendant , sans les 50 millions de levée de fonds, y'a peut être encore moyen de faire un truc super rentable.

J'ai trouvé le design du site est super sympa. Je crois que c'est à la mode en ce moment le "neo-brutalism" parce que j'en vois partout mais celui-ci a un petit côté gamer que j'aime bien. On sent le mec qui s'est fait plaisir sur les couleurs et l'ambiance en mode "loot de fin de donjon", mdr.

Voilà, donc si vous avez envie de trouver une idée de projet pour votre prochain week-end à fond sur Claude Code (loool), ou juste d'admirer le gâchis de thunes monumental de la Silicon Valley, allez y faire un tour.

C'est riche en enseignements et ça vous évitera peut-être de reproduire les mêmes conneries que les autres.

Vous rêvez de lancer Claude sur un projet et de le laisser bosser tout seul pendant que vous faites autre chose, du genre jouer à Animal Crossing en attendant la fin de la journée ? Hé bien c'est exactement ce que propose Auto-Claude, un outil open source qui transforme l'assistant IA préféré des devs en armée de développeurs plus autonomes que votre mère quand il s'agit d'échanger un billet de train.

J'avais déjà parlé de Claude Engineer c'est vrai. C'est un framework CLI en Python qui permettait de faire bosser Claude en autonomie. Mais Auto-Claude, alalalala, c'est un autre délire les amis ! Déjà c'est une vraie application desktop avec interface graphique, tableau Kanban pour gérer vos tâches, et surtout... 12 terminaux qui peuvent tourner en parallèle. Oui, DOUZE agents Claude qui bossent simultanément sur votre code pendant que vous candy crushez pépouze dans les WC de votre entreprise.

Les terminaux d'Auto-Claude en action, chacun gérant un agent autonome

Le truc génial, c'est que chaque agent travaille dans son propre git worktree. Du coup, pas de conflit (de canard ^^ - J'ai pas pu résister désolé), pas de branches qui s'emmêlent, et chaque tâche est isolée proprement.

Puis quand c'est fini ? Hop, vous validez et ça merge parfaitement sans vous prendre la tête. Ce truc est fou !

Installation

Alors pour commencer, il vous faut un abonnement Claude Pro ou Max. Pas le choix...

Ensuite, installez Claude Code via npm si c'est pas déjà fait :

npm install -g @anthropic-ai/claude-code

Maintenant on clone Auto-Claude :

git clone https://github.com/AndyMik90/Auto-Claude.git cd Auto-Claude

Et on installe les dépendances. L'outil gère à la fois le frontend Electron et le backend Python :

npm run install:all

Et c'est tout. Si si sérieux. Bon, là je vous l'ai fait en mode installe de barbu.e.s mais sachez aussi qu'il y a des binaires à télécharger directement pour Windows, macOS (Intel ou Silicon) et Linux (AppImage, deb ou flatpak).

Lancement et utilisation

Pour démarrer l'interface graphique, ensuite, c'est :

npm start

Une fenêtre s'ouvre avec le fameux tableau Kanban. Vous ajoutez vos tâches, vous les assignez aux agents disponibles, et c'est parti. Chaque terminal affiche en temps réel ce que fait son agent.

Le tableau Kanban pour orchestrer vos agents IA

Pour les fans de ligne de commande, y'a aussi un mode CLI :

python run.py --spec 001

Le numéro correspond à un fichier de spec dans le dossier specs/. Vous écrivez ce que vous voulez, et Auto-Claude s'occupe du reste.

Comment ça fonctionne ?

L'architecture est plutôt bien pensée puisque le frontend Electron communique avec un backend Python via WebSocket. Chaque agent a son propre processus isolé, sa propre branche git, son propre contexte.

Ainsi, quand vous lancez une tâche, Auto-Claude :

1. Crée un worktree git dédié
2. Lance un agent Claude Code dessus
3. Monitore l'avancement en temps réel
4. Gère le pipeline QA automatiquement

Le tout avec une interface qui vous permet de suivre 12 conversations en parallèle, soit de quoi bien jouer au chef d'orchestre si vous avez un gros projet à abattre.

Je commence à peine à découvrir l'outil et faut que je le ponce un peu plus pour voir ce que je peux faire avec ça, mais si vous êtes chaud bouillant comme moi sur ce genre de truc, je vous invite à tester l'autonomie IA poussée à fond avec Auto-Claude.

C'est gratuit, open source, et ça tourne sur Mac, Windows et Linux . Et un grand merci à Louis pour la découverte !

J'sais pas vous, mais moi je trouve super dur quand j'utilise des outils comme VS Code ou ce genre de truc, de bien choisir les couleurs de son environnement. En général on prend un peu au pif et on finit souvent avec un mélange de thèmes sombres disparates entre toutes nos applications, qui piquent les yeux à 3h du matin.

Ce genre de dev quoi...

Mais ça, c'était avant.

Car si vous cherchez à unifier votre setup avec quelque chose de vraiment propre, va falloir regarder cet outil : Catppuccin.

Catppucin, c'est un thème communautaire aux tons pastels qui se définit lui-même comme quelque chose d'"apaisant pour les esprits vifs". Et vu l’engouement des devs pour ce truc, faut croire que c'est vrai.

L'ambiance Catppuccin, c'est ça ( Source )

La mission de Catppuccin c'est de vous proposer une identité visuelle cohérente partout. Pas juste dans votre IDE, mais PARTOUT et il existe actuellement plus de 360 ports officiels pour des outils aussi variés que VS Code, Vim, votre terminal, Discord, Firefox, Obsidian...et j'en passe. Vous pouvez littéralement TOUT assortir ! C'est vraiment le bonheur absolu pour les amateurs de "ricing" (c'est à dire la personnalisation extrême de bureau a.k.a. le tuning pour les babus).

D'ailleurs, si vous aviez déjà suivi mon guide pour donner de la couleur à votre terminal , vous savez à quel point un environnement joli motive à bosser !! Du coup, Catppuccin est vraiment indispensable pour renouer avec une certaines joie de vivre et cela même si vous bosser pour Cap Gemini ou Accenture.

Catppuccin se décline en 4 saveurs ("flavors", oui comme les glaces) pour coller à toutes les ambiances :

• Latte : Pour ceux qui aiment la lumière (les fous).
• Frappé : Un thème sombre, mais pas trop.
• Macchiato : On s'approche du noir profond.
• Mocha : Le mode sombre ultime, celui qu'on aime tous parce qu'on n'a pas de personnalité.

Les saveurs disponibles ( Source )

Chaque palette comporte exactement 26 couleurs soigneusement équilibrées et je sais que vous méprisez tout ce qui ressemble de près ou de loin à un graphiste / intermittent du spectacle donc, je vous vois froncer un sourcil (la France a un incroyable talent visiblement).

Mais les gars, ATTENTION, c'est pas juste trois codes hexadécimaux jetés au pif, hein !! Y'a eu une vraie réflexion derrière sur le contraste et l'harmonie. Ça a beaucoup réfléchi fort fort pour procurer de l'amour graphique à tous ceux qui veulent que leur code soit lisible sans ressembler à un sapin de Noël.

Maintenant, l'installation dépend de l'outil, mais c'est généralement très bien documenté sur leur GitHub. Vous clonez, vous copiez le fichier de config, et hop, c'est réglé.

Et si jamais vous bossez sur du front-end, c'est aussi une excellente source d'inspiration car comme je le disais dans mes astuces pour les codes hexa , avoir de bonnes références sous la main, ça change la vie.

Voilà, si ça vous tente de transformer votre écran en arc en ciel pour geek, c'est par là. Et merci à Louis pour l'info !

Source

Le futur du jeu vidéo va être génial ! J'en suis convaincu !

Souvenez-vous, je vous avais parlé de Voyager , ce petit robot qui explorait Minecraft tout seul comme un grand grâce à GPT-4. Eh bien, l'équipe de MineDojo (avec des chercheurs de chez NVIDIA, Caltech et Stanford) ont remis le couvert avec un truc encore plus costaud : NitroGen.

Là où les anciens modèles tâtonnaient ou avaient besoin de lire des tonnes de texte, cette nouvelle IA se base uniquement sur ce qu'elle voit à l'écran. C'est un modèle "vision-action".

Schéma de fonctionnement du modèle NitroGen ( Source )

En gros, elle regarde les pixels du jeu comme vous et moi, et elle en déduit sur quel bouton (virtuel) de gamepad appuyer pour ne pas finir en pâté pour castors sous cocaïne.

Analyse du dataset multi-jeux NitroGen ( Source )

Pour en arriver là, les chercheurs armés de leur gros cerveaux n'ont pas fait les choses à moitié. Leur bousin a été entraîné sur un dataset colossal de 40 000 heures de gameplay piochées sur Internet (ouuuh ça a pératé youteub ^^), couvrant plus de 1 000 jeux différents.

De l'Action-RPG au jeu de plateforme, NitroGen a tout bouffé et ce qu'on obtient à la fin, c'est un agent IA encore plus énervé qu'un streamer Twitch de 15 ans. Cette bestiole est capable de s'adapter à des jeux qu'elle n'a jamais vus, moyennant un petit coup de "post-training" (affinage) pour qu'elle pige les spécificités du titre. On appelle ça le "behavior cloning" (ou apprentissage par imitation pour les intimes) mais à l'échelle d'Internet... Du coup, au lieu de devoir réapprendre chaque règle, l'IA pige les concepts visuels du jeu vidéo et se lance sans filet !

Graphique de la qualité des actions extraites par NitroGen ( Source )

En termes de performances, les mecs annoncent même une amélioration relative de 52 % du taux de succès sur certaines tâches par rapport à un modèle qui partirait de zéro à chaque jeu.

C'est pas rien quand même et si vous voulez mettre les mains dans le cambouis, vous allez devoir d'abord sortir votre doigt du nez et ensuite aller récupérer le code, les poids du modèle (sur Hugging Face) et même le benchmark puisque tout est dispo et ouverts à la communauté. On n'est pas sur un produit de GAFAM fermé, mais bien sur un projet de recherche qui veut faire avancer les "embodied agents" (les agents incarnés, quoi... calmez vous les podologues).

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un <a href="/nitrogen-minedojo-ia-gaming-agent/nitrogen-minedojo-ia-gaming-agent-1.mp4">lien vers la vidéo</a>.

Attention toutefois, "tout est dispo" ne veut pas dire que les jeux sont fournis, hein. Il faudra évidemment posséder vos propres copies de jeux Windows.

Après côté technique, l'installation exige Python 3.12 et un Windows 11 pour l'agent (même si le serveur d'inférence peut tourner sur Linux) et ensuite c'est du classique. On clone le dépôt, un petit coup de pip et hop hop hop, c'est cuit.

git clone https://github.com/MineDojo/NitroGen.git cd NitroGen pip install -e .

Vous pouvez après ça, télécharger le checkpoint et lancer l'agent sur vos titres préférés. Et contrairement à Voyager qui utilisait MineFlayer pour Minecraft, NitroGen pilote directement les exécutables Windows en simulant son propre gamepad. Elle est pas belle la vie ?

Si vous testez, vous verrez, on est encore un peu loin de l'IA qui met une pile à Gotaga mais la marche franchie est énorme déjà !

Alors vous en dites quoi ?? Prêt à laisser NitroGen farmer des ressources pendant que vous dormez en cachette comme un gros faible ?

Source

Disponible sur iOS, Dumb Phone est une application bien sympathique qui va vous permettre de transformer votre iPhone en téléphone minimaliste.

Alors peut-être que ça vous rendra encore plus débile comme je vous l'expliquais hier mais tant pis ! Au moins avec ça, au lieu de vous bouffer le cerveau avec des icônes colorées et des pastilles de notifications qui hurlent à la mort pour avoir votre dose de dopamine, l'app propose une interface complétement épurée via des widgets et des raccourcis hyper sobres comme vous pouvez le voir.

C'est un peu le remède contre le doomscrolling, vous choisissez des applications essentielles, et hop, vous vous retrouvez avec un écran d'accueil 100% textuel. Vous pouvez même créer plusieurs lanceurs (en fait des configurations de widgets) selon votre humeur ou votre activité. Par exemple, vous pouvez en faire un pour le boulot, un pour les loisirs, ou un mode "nuit" pour ne pas finir la soirée à scroller sur TikTok comme le zombie cuit à la Chouffe que vous devenez chaque vendredi soir.

L'interface minimaliste de Dumb Phone - fini le sapin de Noël

Le truc vraiment pas mal avec cette appli, c'est le Detox Mode. En gros, l'app utilise les API de Temps d'écran d'iOS pour "shielder" (c.a.d. bloquer avec un écran de restriction) les applis qui vous font perdre votre temps.

C'est radical mais si en bon TDAH que vous êtes (qui ne l'est pas ?) vous avez tendance à être submergé par les distractions , c'est exactement ce qu'il vous faut pour retrouver un peu de calme mental.

Côté personnalisation, on peut ajuster le style, les couleurs, et même ajouter des contrôles spécifiques dans le centre de contrôle pour les versions récentes d'iOS.

L'app est gratuite mais avec des options pro genre abonnement ou achat à vie et perso, je trouve que c'est une bonne alternative pour ceux qui réfléchissent à l'achat d'un téléphone basique type "Light Phone" qui qui hésitent parce que ça leur ferait perdre la puissance de leur iPhone quand ils en ont besoin.

Bref, si vous voulez faire une petite cure de désintoxication sans pour autant jeter votre doudou à 1000 euros par la fenêtre, allez donc jeter un œil à Dumb Phone , ce serait dommage de vous en priver.

Merci à Lorenper pour le rappel !

Si vous aimez les globes 3D qui en jettent, j'ai un petit projet sympa à vous présenter. Ça s'appelle TerraGuessr et c'est Fred, un lecteur de longue date (coucou Fred !), qui m'a envoyé ça !

L'idée de Fred est assez géniale. Il propose d'utiliser un globe terrestre interactif pour visualiser la "déformation" du monde sous le poids des inégalités. En gros, au lieu de voir une sphère parfaite, vous voyez les continents s'étirer ou se contracter en fonction d'indicateurs comme la richesse, l'éducation ou encore la santé.

C'est ce que les profs de Géographie appellent un cartogramme en 3D. C'est hyper visuel et ça permet d'apprendre plein de choses !

Pour la petite histoire, Fred a codé tout ça... sans savoir coder au départ. Il a utilisé pour cela l'éditeur Cursor , Google AI Studio et ChatGPT. Et voilà, sa bonne idée s'est transformée avec un peu d'huile de coude et beaucoup de patience en ce site de carto incroyable.

L'interface de TerraGuessr - un globe 3D pour visualiser les data mondiales

Si vous allez sur son site, vous verrez concrètement comment ces outils d'IA tant critiqués permettent à des passionnés comme Fred et d'autres, de sortir des outils complexes qui n'auraient jamais vu le jour, hormis dans leurs rêves.

Et techniquement, ça envoie du bois puisque c'est basé sur Three.js. Fred s'appuie sur des sources de données sérieuses telles que la Banque Mondiale, Our World in Data et Gapminder. Et au final, il a réussi à mouliner tout ça pour nous proposer une expérience fluide et des stats enfin concrètes.

TerraGuessr propose plusieurs modes pour s'amuser (et s'instruire, du coup) :

• Des quiz et des "stories" pour mieux comprendre les statistiques mondiales.
• Un jeu "Ultimate Countries" pour deviner tous les pays du monde avec des niveaux de difficulté de débutant à légende.
• Et un mode "public" pensé pour les animations sur TikTok ou Insta .

Il propose même une API et un back-office à prix libre pour ceux qui veulent créer des quiz et des stories, tout ça connecté à LLM pour générer les textes. Le mec est fou !

Voilà, si vous avez déjà passé des heures à essayer de devenir un pro à GeoGuessr , vous allez adorer le concept sauf qu' au lieu de chercher un poteau électrique au fin fond de la toundra, vous allez vraiment apprendre des trucs sur l'état (catastrophique) de notre planète.

A découvrir ici : TerraGuessr.org et encore bravo à Fred !

Qui n'a pas dans sa poche un portefeuille qui ressemble à un sandwich au pastrami triple épaisseur ? Et la faute à qui ? Hé bien aux cartes de fidélité ma bonne dame et mon bon monsieur ! Celle de la salle de sport dans laquelle vous n'allez plus, celle du club de lecture où vous vous étiez inscrit pour rencontrer l'amour, même celle de la boulangerie de là où vous habitiez avant et qui part en miette (roh roh)... Ouais c'est l'enfer.

Alors oui je sais, mes petits blasés de la vie professionnels... Il existe DÉJÀ des apps pour gérer ça. Mais entre celles qui vous traquent jusqu'aux toilettes façon Poutine et celles qui exigent un abonnement juste pour afficher un triste code-barres... Pffff. C'est vite relou.

Heureusement, je vous ai débusqué un petit outil web qui va vous simplifier la vie et qui s'appelle WalletWallet .

Ce que permet de faire WalletWallet, c'est tout simplement de convertir vos vieux codes-barres physiques en passes numériques pour Apple Wallet, tout ça sans vous prendre la tête. L'outil se présente en tant que solution qui respecte votre vie privée puisque le traitement des données se fait uniquement en local dans votre navigateur.

L'interface web de WalletWallet - Sobre et efficace

L'auteur a même pensé à mettre dans son app une option d'expiration pour marquer les vieux coupons de réduc ou ce genre de trucs, histoire de garder votre Apple Wallet un peu ordonné.

C'est hyper fastoche à utiliser en plus. Vous arrivez sur le site, vous scannez votre carte avec la caméra ou vous uploadez une photo du code-barres. Vous pouvez même entrer les chiffres à la main si vous préférez.

Et rassurez-vous, WalletWallet sait lire pas mal de formats : QR Code, Code 128 (le classique des barcodes), PDF417, Aztec ou encore UPC. Et une fois le code avalé, vous personnalisez la couleur de la carte, vous mettez un petite titre...etc et ensuite, vous récupérez le fichier .pkpass.

Ce truc mystérieux, une fois ouvert sur votre iPhone, déclenchera l'app d'Apple Wallet qui vous demandera de confirmer son ajout. La carte sera alors rangée dans votre Wallet iOS prête à être dégainée à la caisse de chez Patapain !

Gardez quand même en tête que ça fonctionne surtout pour les cartes à identifiant statique donc si votre salle de sport utilise des codes tournants ou une validation serveur complexe, ça va coincer. Et c'est pareil si votre commerçant utilise encore son vieux scanner à lecture optique... Parfois c'est un peu capricieux !

Ah et pour les fans d'Apple Watch sachez aussi que le format Code 128 n'est pas toujours supporté sur la montre donc privilégiez le QR Code si vous voulez dégainer votre poignet à la caisse comme un champion de compétition.

Et si vous voulez aller plus loin dans le nettoyage de votre smartphone, allez jeter également un œil à ma sélection de gestionnaires de mots de passe pour iOS . Un peu de ménage, ça ne fait pas de mal !

Bref, c'est gratuit (pour le moment) et c'est super pratique et ça fait le job. L'essayer c'est l'adopter et quand vous verrez votre portefeuille redevenir enfin svelte comme vous dans votre vingtaine, obligé, vous allez verser une petite larme.

Bonne nouvelle pour les fans d'IA (et mauvaise pour Google) ! Il semblerait que nos vieilles habitudes de recherche soient en train de changer... Du moins pour ceux qui ont déjà sauté le pas vers du payant.

C'est ce que suggère en tout cas une étude de Bango qui fait pas mal de bruit. Figurez-vous les amis que 72% des abonnés ChatGPT interrogés aux États-Unis ont paramétré en page d’accueil de leur browser le chatbot d'OpenAI.

Pour ces utilisateurs-là, Google n'est donc plus le point de départ automatique...

Après évidemment c'est juste un sondage et c'est "juste" 1400 users payants aux US (donc un public déjà conquis) qui ont répondu mais n'empêche, le signal est fort.

On est passé en quelques années de "Je cherche un truc -> j'en sais rien -> j'invente une réponse fausse mais crédible dans ma tête de boomer, que je vais ensuite répéter à tout le monde comme étant une vérité" à "Je cherche un truc -> Je tape dans Google -> Je scrolle 800 pubs -> J'ai ma réponse mais pas toujours le recul pour recouper l'info".

Et maintenant c'est "Je demande à l'IA -> J'ai la réponse officielle validée par les américains -> Je comprends rien -> elle m'explique comme si j'avais 5 ans et que j'étais trépané".

Hop, terminé !

Bon oui, j'abuse un peu mais vous me connaissez... L'étude montre aussi que 78% de ces mêmes utilisateurs ont installé le widget ChatGPT directement sur l'écran d'accueil de leur téléphone ou de leur tablette.

ChatGPT est devenu leur maison quoi.

Alors bien sûr, comme je vous le disais, Google essaie de muscler son jeu avec Gemini mais l'habitude est déjà prise pour beaucoup. On assiste à un vrai glissement vers le "AI-first" car les gens veulent une réponse et pas une liste de liens renvoyant vers des sites de merde faits par des référenceurs incapables.

D'ailleurs, 75% des sondés affirment aussi vouloir centraliser leurs tâches quotidiennes dans ChatGPT et 74% disent même qu'ils sont prêts à acheter des trucs directement via l'interface. ChatGPT est donc en train de devenir une sorte de super-app qui fait le café... Le rêve de Sam Altman de faire de ChatGPT l'OS de votre vie est peut-être bien en train de devenir une réalité.

Perso, je trouve ça assez dingue. Si vous êtes du genre à utiliser Google pour tout et n'importe quoi, préparez-vous donc au choc. Bien sûr, Google ne va pas disparaître demain matin mais pour les éditeurs de sites qui dépendent du trafic de recherche (pas mon cas, mon trafic est majoritairement du direct), ça promet quelques sueurs froides.

Bref, on n'arrête pas le progrès (ou la flemme, c'est selon) et reste à voir maintenant si cette tendance va se confirmer côté grand public ou rester un truc de niche pour les gens prêts à lâcher 20 balles par mois.

Source

Si vous utilisez des agents IA en ligne de commande genre Claude Code et que vous leur faites exécuter des scripts téléchargés sur le net, voici un outil qui devrait vous plaire.

Fence est un utilitaire qui permet de lancer vos commandes dans un environnement isolé, sans avoir besoin de Docker ou de conteneurs. L'outil bloque par défaut toutes les connexions réseau sortantes et restreint l'accès au système de fichiers, du coup, si votre agent IA décide de faire des bêtises, il se retrouvera face à un mur.

Concrètement, vous préfixez simplement votre commande par fence comme ceci :

fence curl https://example.com # → 403 Forbidden (bloqué par le sandbox) fence -t code npm install # Utilise le template "code" qui autorise les registres npm

Et c'est tout ! L'outil embarque des templates préconfigurés pour les cas d'usage courants comme le template "code" par exemple qui autorise les connexions vers npm, PyPI et les principaux fournisseurs LLM, tout en bloquant le reste du genre :

fence -c "rm -rf /" # → Hop, c'est bloqué ! Et heureusement !

Vous pouvez aussi créer votre propre config dans ~/.fence.json pour autoriser des domaines spécifiques.

Et petit bonus sympa, y'a même une intégration directe possible avec Claude Code :

fence import --claude -o ~/.fence.json

Comme ça, vos permissions Claude Code seront converties en règles Fence sans vous prendre la tête.

Côté technique, Fence repose sur sandbox-exec sous macOS et bubblewrap sous Linux donc il n'y a pas de daemon qui tourne en permanence, ni de dépendances complexes. Vous installez, vous lancez, et ça marche ! Que demande le peuple ?

Pour l'installation :

# Installation rapide curl -fsSL https://raw.githubusercontent.com/Use-Tusk/fence/main/install.sh | sh # Ou via Go go install github.com/Use-Tusk/fence/cmd/fence@latest

Sous Linux, il faudra installer bubblewrap et socat au préalable (disponibles dans les dépôts des principales distribs) et si vous cherchez d'autres solutions d'isolation pour votre OS, Firejail reste également une bonne référence dans le domaine.

Bref, si vous faites tourner des agents IA qui exécutent du code, Fence ajoutera une couche de sécurité bien sentie ! Et comme quasiment tous les outils dont je parle, celui-ci est open source (licence Apache 2.0).

Source

– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –

Vous le savez peut-être si vous me suivez sur les réseaux et ailleurs, j'ai publié il y a peu un article « prise en main » sur Mac4Ever pour le SiWiQU S3 Max , un dock très complet avec port Ethernet pour la Switch 2. C'était clairement un produit génial si vous avez une Switch 2, mais il y a une suite à cette histoire, q ui m'a fait récupérer aussi ce modèle là…

Mon très cher neveu est passé par là, il a vu la bête et il m'a piqué le dock pour pouvoir trimballer sa Switch 2 chez ses potes. Et du coup bah c'est le drame : plus de dock pour moi, et un tonton trop gentil qui se retrouve sans son dock alternatif. Mon dock principal, encombrant, étant connecté à la TV de mon salon.

Sauf que voilà, j'avais un besoin très précis, à savoir installer un dock secondaire dans ma chambre, connecté à ma TV LG OLED 4K, principalement pour pouvoir jouer à Animal Crossing tard jusqu'au bout de la nuit bien au chaud sous ma couette.

Je n'ai clairement pas besoin de l'ethernet pour cet usage, j'ai donc recontacté la marque SiWiQU, je leur ai demandé s'ils pouvaient m'envoyer leur autre modèle , à savoir la version standard, sans port Ethernet, qui est aussi moins chère. Ils ont accepté. Et ben je peux vous dire que c'est là aussi un super choix.

Au déballage on retrouve la patte de la marque avec ce coloris Rouge et Bleu qui colle très bien avec les Joy-Con de la console. L'accessoire est minuscule et tient vraiment dans la poche. J'avais un peu peur pour la stabilité vu la taille de la Switch 2, mais comme sur le modèle précédent, c'est du solide. Il y a des patins en silicone antidérapants dessous, et surtout ce système ingénieux de connecteur USB-C sur ressorts qui évite de forcer sur le port de la console quand on la pose un peu vite.

L'autre truc bien pratique c'est la présence d'un bouton physique de bascule à l'arrière. C'est une fonctionnalité qui permet, d'une simple pression, de faire revenir l'image sur l'écran de la Switch tout en continuant de l'alimenter via le dock. C'est pratique si quelqu'un veut récupérer la télé pendant que vous finissez votre partie, ou si vous voulez simplement utiliser le dock comme un stand de charge posé sur la table de nuit, avec un angle de vision à 45 degrés.

Une fois connecté à ma LG OLED, l'image est parfaite, comme avec le dock d'origine. Le port HDMI 2.1 gère très bien la 4K l'image est parfaitement fluide, même en 120Hz. L'autre gros point fort par rapport au dock officiel de Nintendo c'est sa conception "ouverte". La Switch 2 n'est pas enfermée entre deux plaques de plastique et le dos reste à l'air libre, ça permet une bien meilleure dissipation de la chaleur.

Autre point important, ce dock n'est pas bridé ou bloqué par Nintendo, il fonctionne, tout simplement, mise à jour après mise à jour de la console.

Bref, si vous n'avez pas besoin de la connexion Ethernet filaire car le Wi-Fi de la Switch 2 vous suffit, cette version allégée du dock SiWiQU est sans doute le meilleur rapport qualité/prix du moment. Pour moins de 30 euros, vous récupérez un dock de voyage fiable, qui gère la charge rapide ( je vous recommande ce chargeur pour aller avec ) et qui ne chauffe pas. Mon neveu est ravi avec le modèle Ethernet, et moi j'ai tout ce qu'il faut pour dealer des navets dans mon lit.

• Disponible sur Amazon pour moins de 30 euros.

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie "Gadgets Tech" , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Devinette du soir : Qu’est-ce qui est pire qu'un secret que vous avez oublié de cacher ?

Réponse : Des dizaines, des millions de secrets qui traînent sur GitHub parce que quelqu'un a eu la flemme de configurer un vrai gestionnaire de variables d'environnement !

Hé oui, les amis ! On a tous fait cette boulette au moins une fois (ou alors vous mentez, ou vous êtes un robot). On crée un petit fichier .env, on oublie de le rajouter au .gitignore, et paf, vos clés AWS se retrouvent à poil. Selon GitHub, c'est plus de 39 millions de secrets qui ont été détectés en fuite sur leurs dépôts en 2024. C'est du délire !

Envmap - Le gestionnaire de variables d'environnement qui tue les fichiers .env ( Source )

Du coup, au lieu de continuer à se farcir du bricolage avec des fichiers qui traînent en clair sur le disque, je vous propose de jeter un œil à Envmap .

C'est un outil écrit en Go dont l'objectif est de réduire au maximum l'écriture de vos secrets sur le disque dur. En mode normal, il va les pomper directement chez les grands manitous du stockage sécurisé comme AWS Secrets Manager, HashiCorp Vault, 1Password ou encore Doppler (même si pour l'instant, certains de ces providers sont encore en cours d'intégration).

Comme ça, au lieu de faire un vieux source .env qui laisse traîner un fichier sensible, vous lancez votre application avec envmap run -- node app.js. L'outil récupère les variables en RAM et les injecte dans le process. C'est propre, c'est net, et ça évite surtout de pousser par erreur votre config sur un repo public.

Pour ceux qui se demandent s'il faut quand même envoyer ses fichiers .env sur GitHub (spoiler : non, jamais !), Envmap propose une commande import pour ingérer vos vieux secrets. Et pour ceux qui ont besoin d'un stockage local, sachez qu'Envmap peut aussi chiffrer vos variables en AES-256-GCM, ce qui est quand même plus sérieux qu'un fichier texte lisible par n'importe qui. Notez aussi qu'il existe une commande sync si vous avez vraiment besoin de générer un fichier .env temporaire.

Perso, ce que je trouve vraiment cool, c'est l'intégration avec direnv. On rajoute une ligne dans son .envrc, et hop, les secrets sont chargés automatiquement quand on entre dans le dossier du projet. C'est magique et ça évite les crises cardiaques au moment du push.

D'ailleurs, si vous voulez aller plus loin dans la sécurisation de vos outils, je vous recommande de lire mon article sur SOPS ou encore ma réflexion sur l'usage de GitLab pour vos projets sensibles.

Bref, c'est open source (sous licence Apache 2.0), et avec ça, vous dormirez sur vos deux oreilles !

Les gars de chez LLNL (Lawrence Livermore National Laboratory) sont des bons ! De vrais spécialistes en sécurité informatique qui ont pondu un outil à essayer si vous passez vos journées dans les entrailles des binaires.

Ça s'appelle OGhidra , et c'est une extension qui fait le pont entre le célèbre framework de reverse engineering Ghidra et la puissance des modèles de langage (LLM).

Comme ça, plutôt que de vous péter les yeux sur des milliers de lignes de code décompilé, vous pouvez simplement "discuter" avec les fonctions ou les strings extraites. Grâce à une intégration avec Ollama, OGhidra permet d'interroger les représentations du binaire en langage naturel pour identifier des vulnérabilités, renommer intelligemment des fonctions ou expliquer des algorithmes complexes. Attention toutefois, comme avec tout LLM, les résultats doivent être validés manuellement (les hallucinations, ça arrive même aux meilleurs !).

Le gros avantage ici, vous l'aurez compris, c'est la privacy car tout tourne en local sur votre ordi. L'extension utilise des techniques comme le RAG (Retrieval-Augmented Generation) pour garder le contexte de vos sessions et le CAG (Cache-Augmented Generation) pour optimiser les performances. Prévoyez quand même une machine solide car pour faire tourner des modèles comme gemma3 confortablement, 32 Go de RAM (et une bonne dose de VRAM) ne seront pas de trop.

Pour que ça envahisse vos machines de reverse engineer, il vous faudra Ghidra 11.3 minimum et JDK 17. L'installation se fait ensuite en deux temps : d'abord le plugin GhidraMCP à ajouter dans Ghidra, puis le composant Python à récupérer sur GitHub :

git clone https://github.com/LLNL/OGhidra.git cd OGhidra pip install -r requirements.txt

Une fois Ollama lancé avec vos modèles préférés, vous allez pouvoir automatiser les tâches les plus reloues. Par exemple grâce aux boutons "Smart Tool" dans l'interface de Ghidra vous allez pouvoir renommer toutes les fonctions d'un coup ou générer un rapport de sécurité (à prendre comme une base de travail, pas comme une vérité absolue, hein ^^).

C'est beau mais ça fait mal quand on pense au temps qu'on a perdu par le passé ! Et si vous kiffez ce genre d'approches, jetez aussi un œil à Cutter qui propose une intégration optionnelle du décompileur de Ghidra, ou encore à DecompAI .

Voilà, j'ai trouvé ça intéressant pour booster Ghidra avec une petite dose d'intelligence locale.

Si vous êtes du genre à avoir passé des heures sur Half-Life 2 à vous en retourner les paupières (et je sais que vous êtes nombreux), oubliez tout ce que vous pensiez savoir sur la stabilité légendaire du Source Engine. Car figurez-vous qu'un bug totalement improbable vient de refaire surface grâce à Tom Forsyth, un ancien de chez Valve, et c'est clairement un truc de fou, vous allez voir...

Tout commence en 2013. À l'époque, Valve bosse sur le portage de HL2 pour le tout premier Oculus Rift (le fameux DK1 qui nous donnait tous envie de vomir au bout de 5 minutes). Pour tester la VR, ils se disent que le mieux, c'est de reprendre un bon vieux classique. Tout se passe bien jusqu'à ce que Tom Forsyth reste bloqué dès l'intro du jeu, juste après la séquence de la canette. Un garde Barney censé vous ouvrir une porte reste planté là, et la porte refuse de bouger. Coincé. Rideau. On ferme.

Le truc qu'il constate alors, c'est qu'en recompilant le code source original de 2004, le bug est là aussi ! Pourtant, personne ne l'avait jamais croisé en neuf ans. Du coup, l'équipe a cru à une sorte de malédiction ou à un bug qui aurait voyagé dans le temps pour infecter l'original. (si si...)

Mais après une journée de spéléologie dans les outils de debug, ils ont fini par trouver le coupable : l'orteil d'un garde PNJ ! Le pauvre couillon était placé un millimètre trop près de la porte et en s'ouvrant, la porte tapait dans son pied, rebondissait et se verrouillait. Imaginez un peu la vie du gars, à se faire matraquer l'orteil depuis +20 ans sans pouvoir crier ou se décaler d'un millimètre... Dur !

Mais alors pourquoi ça marchait en 2004 et plus en 2013 ?

Hé bien la réponse tient en deux mots qui vont rappeler des souvenirs aux plus geeks d'entre vous : ✨ virgule flottante ✨.

Car en 2004, le jeu tournait avec les instructions x87 (80 bits de précision, un beau bordel hérité de l'époque)et en 2013, avec le passage au SSE (32 ou 64 bits), les calculs physiques sont devenus plus "stricts". Dans les deux versions, la porte tape l'orteil mais avec le x87, la micro-rotation infligée au garde suffisait à dégager son pied juste assez pour que la porte passe au millième de seconde suivant. Avec le SSE par contre, le garde pivotait un chouïa moins loin... et paf, collision, porte bloquée !

C'est encore une preuve que même dans un chef-d'œuvre comme Half-Life 2, tout ne tient qu'à un orteil et quelques bits. D'ailleurs, si vous voulez vous replonger dans l'ambiance, sachez que Half-Life a fêté ses 25 ans récemment avec une belle mise à jour, et pour les nostalgiques de la VR qui veulent souffrir avec style, le driver VorpX permet toujours de faire des miracles. Ce serait dommage de passer à côté !

Allez, je vous laisse, je vais vérifier si mon gros orteil ne bloque pas ma porte d'entrée.

Source

OK les amis, là faut qu'on parle de ce qui se passe chez Rockstar. Je pense que vous passez probablement trop de temps à errer dans Los Santos au lieu de bosser, mais ce qui vient de tomber est bien plus inquiétant qu'un braquage de banque qui foire. En effet, d'après une enquête de Variety , Rockstar vient de supprimer des missions créées par des joueurs qui recréaient l'assassinat réel de Charlie Kirk, un fasciste américain tué en septembre dernier.

Le truc, c'est que ce n'est pas juste une petite polémique politique de plus. C'est LE SIGNE que Rockstar Games est en train de réaliser, un peu tard, qu'ils ne contrôlent plus leur propre bébé. Car même si les outils de création existent depuis 2013, une nouvelle fonctionnalité lancée en décembre dernier a visiblement boosté la créativité macabre de certains. Désormais, des joueurs s'improvisent game designer pour injecter des événements du monde réel directement dans le jeu sandbox de Rockstar.

Et là, c'est le drame ! Pour essayer de colmater les brèches, ils ont même dû repenser leur vieux "filtre de grossièretés" interne qui n'est plus juste là pour empêcher les gamins d'écrire des insultes dans le chat, mais pour modérer et bloquer massivement des noms de personnalités ou des événements sensibles. En gros, Rockstar est passé du statut de créateur de mondes virtuels à celui de modérateur de plateforme, un peu comme s'ils géraient un réseau social géant, mais avec des flingues et des bagnoles.

Certains se demandent si l'acquisition de Cfx.re (l'équipe derrière FiveM) en 2023 par Rockstar n'était pas justement un moyen de préparer le terrain avec des technos de contrôle plus musclées. Mais peu importe, car le vrai problème ici est structurel. GTA est devenu une plateforme UGC massive (User Generated Content) et quand on voit à quel point ils galèrent déjà, on peut légitimement se demander comment ils vont gérer le futur multi de GTA 6, prévu pour novembre 2026 ?

Sérieux, je m'inquiète car imaginez l'échelle du prochain titre avec des outils encore plus poussés... Ça va être un combat permanent pour supprimer les contenus problématiques. On est trèèèès loin de l'époque où on s'amusait simplement à regarder Los Santos sous l'eau grâce à un mod. Ici, Rockstar découvre à ses dépends que la liberté offerte aux joueurs est en train de se transformer en leur pire cauchemar de modération.

Allez, bon courage Rockstar, parce que là, vous allez en avoir besoin.

Source

Il y a des combats comme cela auxquels pas grand monde ne pense et qui pourtant sont très importants. Je parle évidemment de la lutte contre le chaos du texte non structuré. Si vous avez déjà essayé d'extraire des données propres d'un tas de PDF (après OCR), de rapports ou de notes griffonnées, vous voyez de quoi je parle : c'est l'enfer ! (oui j'aime me faire du mal en tentant des regex impossibles).

Heureusement, Google a lâché début janvier 2026 une petite pépite en open source (même si c'est pas un produit "officiel") qui s'appelle LangExtract . C'est une bibliothèque Python qui utilise la puissance des LLM pour transformer vos documents textuels en données JSON bien rangées.

Exemple d'extraction sur le texte de Roméo et Juliette ( Source )

Ce qui fait que LangExtract sort du lot par rapport à d'autres outils comme Sparrow , c'est surtout son système de Source Grounding. En gros, chaque info extraite est directement liée à sa position exacte dans le texte source. Ça facilite énormément la vérification et la traçabilité puisque vous pouvez voir visuellement d'où vient la donnée grâce à un système de surlignage automatique.

Sous le capot, l'outil est optimisé pour les documents à rallonge (le fameux problème de l'aiguille dans une botte de foin). Il utilise des stratégies de découpage de texte et de passes multiples pour améliorer le rappel et s'assurer que le maximum d'infos soit capturé.

La visualisation interactive permet de valider les données en un clin d'œil ( Source )

Et cerise sur le gâteau, il permet de générer un fichier HTML interactif pour visualiser les milliers d'entités extraites dans leur contexte original. À la cool !

Côté installation, c'est hyper fastoche :

pip install langextract

Pour faire le job, vous avez le choix des armes : les modèles cloud de Google (Gemini 2.5 Flash/Pro), ceux d'OpenAI (via pip install langextract[openai]), ou carrément du local avec Ollama . Pas besoin de passer des heures à fine-tuner un modèle, il suffit de fournir quelques exemples structurés via le paramètre examples et hop, c'est parti mon kiki.

Voici à quoi ça ressemble sous le capot pour lancer une machine à extraire :

import langextract as lx # 1. On définit les règles du jeu prompt = "Extraire les noms de personnages et leurs émotions." # 2. On donne un exemple (few-shot) pour guider le modèle examples = [ lx.data.ExampleData( text="ROMEO. But soft! What light...", extractions=[lx.data.Extraction(extraction_class="character", extraction_text="ROMEO", attributes={"emotion": "wonder"})] ) ] # 3. On lance l'extraction (nécessite une clé API ou Ollama) results = lx.extract( text_or_documents="votre_texte_brut_ici", prompt_description=prompt, examples=examples, model_id="gemini-2.5-flash" ) # 4. On sauvegarde et on génère la visualisation HTML lx.io.save_annotated_documents(results, output_name="results.jsonl") html_content = lx.visualize("results.jsonl") with open("view.html", "w") as f: f.write(html_content)

Honnêtement, je ne sais pas si ça va remplacer les solutions industrielles de RPA , mais pour un dev qui veut structurer du texte sans se prendre la tête, c'est vraiment impressionnant. Que vous fassiez du Grist ou de l'analyse de données pure, cet outil mérite clairement que vous y jetiez un œil !

Source

Vous pensiez avoir tout vu en matière de projets geeks complètement déjantés ?

Hé bien accrochez-vous à vos slips, parce que des chercheurs, menés par le neuro-ingénieur Viktor Tóth, ont réussi à faire "jouer" des rats à DOOM. Pas en appuyant sur des boutons au hasard, non non, mais avec un casque de réalité virtuelle sur mesure, une boule de déplacement sous leurs pattes, et même une gâchette pour tirer sur les démons !

Je vous jure que c'est vrai. Le projet s'appelle " Rats Play DOOM " et c'est à la croisée de la neuroscience, de la robotique et du game design. L'idée de base, c'est de prouver qu'on peut entraîner des rongeurs à interagir avec des environnements virtuels contrôlés basés sur un moteur de jeu. Et quitte à faire ça, autant le faire avec le jeu le plus iconique des années 90.

Gros plan sur le casque VR panoramique pour rongeurs ( Source )

Le setup est assez dingue. Le rat est équipé d'un casque panoramique intégrant un écran AMOLED pliable qui offre 180 degrés de champ horizontal et 80 degrés de vertical. Il est installé sur une boule sphérique qui détecte ses mouvements via des capteurs, un peu comme une trackball géante. Quand il marche, court ou tourne, ça se traduit directement en déplacements dans le jeu.

Et pour ceux qui se demandent comment un rat peut vraiment dégommer des monstres... Hé bien oui, car Viktor a même fabriqué un levier custom avec un encodeur rotatif que le rat actionne avec ses pattes pour faire feu. Donc oui, les rats tirent sur des démons avec leurs petites papattes !

Le nouveau setup modulaire V2 ( Source )

Pour motiver nos petits rongeurs gamers, y'a évidemment un système de récompense. À chaque action réussie, le système distribue 10 microlitres d'eau sucrée via un solénoïde. C'est pas grand-chose mais pour un rat, c'est le graal. Au bout de deux semaines d'entraînement environ, les rats Todd, Kojima et Gabe (oui, ils ont des noms de légendes du jeu vidéo, on adore l'humour des chercheurs) ont réussi à naviguer dans l'environnement virtuel. Et là, ils ont même appris à déclencher le mécanisme de tir.

Bon, faut être honnête, ils n'ont pas encore terminé le jeu. L'équipe explique que les rats ont vieilli avant de pouvoir passer à l'entraînement avancé. Du coup, c'est plus une preuve de concept qu'un speedrun, mais quand même, c'est impressionnant. On est loin du simple contrôle neuronal de base, là car c'est une vraie interaction avec un moteur de jeu.

Setup V1 du projet Rats Play DOOM ( Source )

Côté technique, tout tourne sur un combo Raspberry Pi pour l'acquisition des capteurs en temps réel, et un PC qui fait tourner une version modifiée de ViZDoom. Le tout communique en TCP et hop, c'est géré par un script Python central. Et comme si ça suffisait pas, le projet est entièrement open source. Vous pouvez récupérer le code, les schémas électroniques et même les fichiers 3D pour imprimer les pièces sur le repo GitHub. Donc si vous avez un rat de compagnie et beaucoup trop de temps libre...

Le projet en est à sa deuxième version. Cette V2 est plus modulaire, avec des composants imprimables en 3D et une électronique plus fiable. C'est typiquement le genre de bidouille qui me rappelle pourquoi j'aime tant farfouiller dans les projets Raspberry Pi les plus improbables ^^.

D'ailleurs, si vous êtes fan de portages improbables, vous vous souvenez peut-être de cet article sur DOOM Retro , mais là avec les rats, on est clairement passé au niveau supérieur.

Bref, on vit vraiment une époque formidable où des gens financent des projets pour apprendre à des rats à buter des démons en VR. Et j'adore l'idée !

Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks qu'il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !

La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l'utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l'attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d'accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.

La deuxième faille, c'était le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu'on trouve sur des millions de sites web ? Eh bien si vous étiez connecté à Facebook, le plugin pouvait révéler si vous aviez liké une page spécifique ou pas. Un attaquant n'avait qu'à mesurer le nombre de frames dans l'iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.

La troisième était plus technique et bien trouvée. Le fichier signals/iwl.js de Facebook utilise Object.prototype pour ses opérations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs différentes selon l'état de connexion de l'utilisateur, et même récupérer son ID Facebook. Ça, ça valait 3 600 dollars.

Et voilà, la quatrième concernait l'identification des employés Meta eux-mêmes via les domaines internes. Celle-là n'a pas rapporté de bounty (juste un "informative"), mais elle montre bien l'étendue du problème.

Au total, Youssef a empoché 8 400 dollars entre décembre 2024 et mai 2025, le temps que Meta corrige tout ça. Alors oui, c'est cool que ces failles soient maintenant corrigées mais ça fait quand même réfléchir sur la quantité de données qui peuvent fuiter sans même qu'on s'en rende compte.

Pour ceux qui veulent creuser le fonctionnement des programmes de bug bounty , c'est vraiment un système génial et hyper vertueux où tout le monde est gagnant. Les chercheurs sont payés pour trouver des failles, les entreprises patchent avant que les méchants n'exploitent. Y'a vraiment de quoi faire dans ce domaine.

Bref, bien joué Youssef Sammouda, grâce à lui quelques failles de moins chez Meta, et ça c'est cool !

Source

Si vous faites partie des curieux qui testent WinBoat (le projet open source de TibixDev pour lancer des applis Windows sous Linux via Docker), sachez qu'une vulnérabilité critique a été identifiée dans l'outil, et le scénario d'attaque est plutôt créatif.

Pour ceux qui ne connaissent pas, WinBoat est une appli Electron qui orchestre tout un petit monde (Docker / Podman, FreeRDP) pour rendre l'expérience Windows "seamless" sur votre bureau Linux. C'est ambitieux, c'est en beta, et forcément, il y a parfois des trous dans la raquette.

D'après le write-up technique publié sur hack.do , le problème venait de l'API locale exposée par WinBoat sur le port 7148. Cette API HTTP n'était pas authentifiée, ce qui est souvent le début des ennuis.

Le scénario décrit par le chercheur est le suivant : un attaquant héberge une page web malveillante et si vous visitez cette page avec votre navigateur (et sous réserve que les sécurités CORS/PNA ne bloquent pas la requête, ce qui dépend de votre config et du navigateur), elle peut envoyer des ordres à cette API locale localhost:7148.

L'API vulnérable (notamment le endpoint /update) permettrait alors de remplacer des composants internes du système invité. En gros, l'attaquant pourrait substituer le binaire guest_server légitime par une version malveillante.

Une fois que l'attaquant a compromis le conteneur Windows, il ne s'arrête pas là. Le chercheur explique que WinBoat permet au conteneur de communiquer des "entrées d'application" à l'hôte Linux. Si le conteneur compromis envoie un chemin forgé spécifiquement et que l'hôte tente de le lancer... c'est l'exécution de code arbitraire (RCE) sur votre machine Linux.

C'est un rappel assez violent que l'isolation, c'est compliqué à faire correctement, surtout quand on veut une intégration transparente entre deux systèmes.

La bonne nouvelle, c'est que le problème a été traité. La faille concernait les versions jusqu'à la v0.8.7. La version v0.9.0 introduit une authentification obligatoire pour cette API locale, avec un mot de passe aléatoire généré au lancement, ce qui coupe l'herbe sous le pied de ce type d'attaque web.

Si vous utilisez WinBoat, la mise à jour est donc plus que recommandée et si le sujet de l'isolation vous intéresse, jetez un œil à mon tuto sur l'installation de WSL 2 ou encore à cette autre faille RCE critique qui a secoué le monde Linux récemment.

Bref, prudence avec les outils en beta qui exposent des ports locaux !

Source

Si vous avez récemment fait une mise à jour vers Windows 11 24H2 et que vous êtes un utilisateur assidu de Plex, vous avez peut-être remarqué un truc étrange. L'image est nickel, tout se lance parfaitement, mais niveau son... c'est le silence radio absolu.

En particulier si vous tentez de lire des médias avec une piste audio EAC3 (Dolby Digital Plus) en 5.1. Vous avez beau monter le volume, vérifier vos câbles ou insulter votre carte son, rien n'y fait. Y'a que dalle...

Alors pas de panique les amis ! Ce n'est pas votre matériel qui est en cause, ni même Plex qui a décidé de bouder. C'est juste Microsoft qui, dans sa grande sagesse (et probablement pour des histoires de licences), a semble-t-il retiré ou cassé la gestion native du codec EAC3 dans cette version de Windows. Un grand classique qui me rappelle l'époque où Windows 8 avait viré la lecture DVD sans prévenir.

Heureusement, Andréa, un fidèle lecteur (merci à lui !), a creusé le sujet et nous partage la solution pour remettre tout ça d'équerre sans avoir besoin de formater ou de passer sous Linux (même si, entre nous, ce serait une excellente idée ^^).

Ce qu'il vous faut

• Un PC sous Windows 11 (version 24H2)
• Le pack "Dolby AC-3 / AC-4 Installer" (voir plus bas)
• 5 minutes devant vous

La solution miracle

Pour corriger ce problème, il faut réinjecter les DLL manquantes dans le système. Et pour ça, un petit utilitaire bien pratique existe sur MajorGeeks.

1. Allez récupérer le Dolby AC-3 / AC-4 Installer disponible ici sur MajorGeeks .
2. Lancez l'installation. Ça va remettre les fichiers nécessaires dans System32 comme au bon vieux temps.
3. Redémarrez votre PC. C'est Windows, ne posez pas de questions ;) .

Une fois que la bête a redémarré, ouvrez votre client Plex.

Allez dans les paramètres Lecteur et assurez-vous d'être en "Réglages de base" (5.1 ou Stéréo) et surtout, désactivez le Passthrough si ce n'est pas indispensable pour votre ampli. Normalement, le son devrait revenir instantanément.

C'est quand même dingue qu'en 2026 on doive encore bidouiller des codecs à la main pour avoir du son, mais bon... Au moins, c'est réparable.

Voilà, si ça vous a sauvé la soirée film, n'hésitez pas à remercier Andréa qui a tout détaillé sur son tuto complet ici .

Et pensez aussi à garder votre Plex Media Server à jour , c'est important pour la sécurité (même si ça ne règle pas les soucis de codecs Windows !).

Vous connaissez Gemma ? Bon, hé bien Google vient de remettre une pièce dans la machine avec TranslateGemma , une nouvelle collection de modèles ouverts dédiés exclusivement à la traduction.

Si vous utilisez Google Translate ou DeepL au quotidien, c'est super, ça marche bien, mais ça demande quand même une connexion internet et vos données partent dans le cloud. Donc pour ceux qui veulent garder leurs petits secrets de fabrication (ou juste les lettres d'amour de leur vieille prof de théâtre) en local, c'est souvent un peu la galère.

Ça tombe bien puisque Google DeepMind semble avoir entendu vos prières puisqu'ils viennent de lâcher dans la nature cette suite de modèles basés sur Gemma 3. Et apparemment, ils ont mis le paquet sur l'efficacité.

L'idée c'est de faire tourner de la traduction haute fidélité sur votre propre matériel, peu importe sa puissance. C'est pourquoi TranslateGemma est dispo en trois tailles : 4 milliards (4B), 12 milliards (12B) et 27 milliards (27B) de paramètres pour fonctionner sur tous types de matos.

Le modèle 4B est optimisé pour le mobile et l'edge computing (comprenez "sur des petits appareils"), le 12B est taillé pour tourner tranquille sur un laptop grand public, et le 27B, c'est pour ceux qui ont du GPU costaud (H100 ou TPU) et qui veulent la qualité maximale.

Ce qui est foufou, c'est que le modèle 12B surpasse le modèle Gemma 3 de base en version 27B sur les benchmarks de traduction. En gros, vous avez une qualité supérieure avec un modèle deux fois plus léger. Ils l'ont vraiment optimisé aux petits oignons.

Pour réussir ce tour de force, Google explique avoir utilisé un processus de "distillation" en deux étapes. D'abord, ils ont fine-tuné les modèles sur un mélange de données traduites par des humains et de données synthétiques générées par leurs gros modèles Gemini. Ensuite, ils ont appliqué une phase de Reinforcement Learning (RL) guidée par des métriques de qualité comme MetricX-QE. C'est comme si Gemini apprenait à son petit frère comment bien traduire, en lui tapant sur les doigts quand il se trompe.

Après côté langues, c'est du solide puisque ça fonctionne en 55 langues rigoureusement testées et validées, couvrant la plupart des besoins courants (Français, Espagnol, Chinois, Hindi...). Et ils ont aussi poussé le bouchon encore plus loin en entraînant le modèle sur près de 500 paires de langues supplémentaires. C'est expérimental certes, mais ça ouvre la porte à des traductions pour des langues dites "faibles ressources" qui sont souvent oubliées par les géants de la tech...

Autre point cool, comme c'est basé sur Gemma 3, ces modèles gardent des capacités multimodales. Ça veut dire qu'ils peuvent potentiellement traduire du texte à l'intérieur d'images, même si ce n'était pas le but premier de l'entraînement spécifique TranslateGemma.

Voilà, maintenant si vous voulez tester ça, c'est disponible dès maintenant sur Hugging Face , Kaggle et Vertex AI . Y'a même un notebook ici pour mettre un peu les mains dans le cambouis. Pour les devs qui veulent intégrer de la traduction locale dans leurs apps sans dépendre d'une API payante, c'est donc une option qui mérite vraiment d'être explorée.

Et si le sujet des modèles Google vous intéresse, jetez un œil à mon test de Gemini 2.5 ou encore à PocketPal AI pour faire tourner tout ça sur votre smartphone.

Bref, à tester !

Source