Les news de Korben

Hypervibe - Codez avec une télécommande Apple TV

Korben ✨ — Sun, 26 Apr 2026 10:35:00 +0200

Vous savez cette télécommande Apple TV de première génération qui traîne dans un tiroir et dont vous ne faites rien ?

Bah y'a enfin un truc à faire avec ! Jinsoo An, alias machinarii sur GitHub, vient de sortir Hypervibe , un outil macOS qui transforme la télécommande de l'Apple TV en walkie-talkie comme disent les québecois, pour Claude Code.

Push-to-talk, swipes pour les commandes slash, boutons remappables, le tout pour coder à une seule main pendant que vous mangez vos chips au vinaigre de hipsters de l'autre.

Le principe est simple : vous tenez la télécommande comme un talkie, vous appuyez sur le bouton Siri pour parler à Claude Code (dictation Claude doit être activée préalablement), puis Play/Pause envoie le prompt, Menu fait Échap, et TV envoie un Ctrl+C pour annuler.

Et les swipes du touchpad sont mappés sur les commandes slash de Claude : swipe up pour /usage, swipe down pour /compact, swipe left pour /model, swipe right pour basculer en mode plan/auto-accept. Et comme vous pouvez vous en douter, ous les mappings sont modifiables à la volée via la barre de menu, et sauvegardés dans UserDefaults.

Hypervibe est en V0.1 expérimental, et y'a pas de binaire pré-compilé, donc vous devrez le compiler depuis les sources.

Notez quand même (parce qu'il faut rendre à César ce qui appartient à César) que Hypervibe est un fork de Remotastic de Lauschue, qui a posé les fondations du HID Siri Remote et du menu bar. Hypervibe ajoute en plus le push-to-talk, les swipes mappables sur les commandes Claude Code, et pas mal de petites subtilités pour que ça fonctionne au poil !. Côté licence c'est MIT, donc vous pouvez forker à votre tour si vous voulez ajouter votre propre layout.

Et voilà comme une télécommande à 3 balles en vente sur LeBonCoin devient un périphérique d'entrée pour Claude Code avec voix et gestures intégrés, pendant que des startups de dropshipping nous vendent des claviers "AI-native" à 300 €.

La bidouille plus fort que la douille !!

WinDiskWriter - Créez une clé USB Windows depuis macOS

Korben ✨ — Sun, 26 Apr 2026 09:00:00 +0200

Cas pratique du week-end : ma pote Alex m'a passé son PC familial tournant sous Windows 8, car son fils a changé le mot de passe du Windows et n'a pas la moindre idée de ce qu'il a tapé. Pour faire sauter ce mot de passe sans tout réinstaller, j'utilise depuis des années la bonne vieille astuce Sticky Keys, qui consiste à booter sur une clé USB Windows pour accéder au Terminal de récupération via MAJ+F10. Sauf que pour préparer cette clé, j'avais juste mon MacBook sous la main.

Et là, surprise !

Sur Windows, Rufus fait ça en deux clics depuis dix ans. Sur macOS, ça reste un sport de combat. Boot Camp Assistant est toujours dans le dossier Utilitaires mais inopérant sur les Mac Apple Silicon, le Media Creation Tool de Microsoft ne tourne pas sur Mac, et les tutos Terminal vous font formater en exFAT sans préciser que votre install.wim va dépasser les 4 Go de FAT32.

Mais heureusement, WinDiskWriter , signé TechUnRestricted, vient combler ce trou.

Vous téléchargez d'abord la build adaptée à votre Mac depuis les releases GitHub (Intel et Apple Silicon dispo) et ensuite vous glissez votre ISO Windows 10 ou 11, vous choisissez votre clé USB dans la liste, et vous cliquez Start. Voilà. Lui s'occupe du reste : partitionnement, formatage, copie des fichiers, et surtout le split automatique de l'install.wim en plusieurs install.swm dès que la taille dépasse les 4 Go.

Ce point vaut une explication, parce que c'est là où la plupart des tutos Mac plantent en silence. En fait, depuis certaines ISO de Windows 10, le fichier install.wim qui contient l'image disque compressée pèse plus de 4 Go. Or FAT32 plafonne chaque fichier à 4 Go (très précisément 4 GiB moins 1 octet), et la majorité des firmwares UEFI bootent par défaut sur du FAT32, sauf à charger un pilote tiers genre UEFI:NTFS.

Donc soit vous formatez en exFAT et vous priez pour que le PC cible accepte le boot, ce qui est loin d'être garanti sur les machines un peu anciennes comme c'est mon cas ici. Soit vous splittez le .wim en plusieurs morceaux que le bootloader Windows sait recombiner à l'install. WinDiskWriter effectue la deuxième option par défaut, comme ça vous n'avez rien à configurer.

Et côté création de clé USB pure, il propose des trucs que Boot Camp Assistant ne faisait pas. Le patch Windows 11 intégré contourne également les vérifications TPM, la RAM minimale et le Secure Boot. Bref, c'est super pratique pour réinstaller Win 11 sur un PC qui ne coche pas les cases officielles.

Le BIOS Legacy est géré pour les vieilles machines, et la liste des Windows supportés remonte jusqu'à Vista, en x64 comme en x32. À noter quand même que le projet ne fournit pas de build macOS 32-bit, donc ce sera inutilisable sur des Mac Intel pré-2010. Mais bon, ça ne concerne plus grand monde.

Notez par contre que WinDiskWriter ne bypasse PAS l'obligation de compte Microsoft online introduite avec Windows 11 22H2. Donc si vous comptez vraiment réinstaller, vous devrez toujours sortir cette bonne vieille astuce OOBEBYPASSNRO en ligne de commande pour créer un compte local.

Du coup, une fois la clé prête, j'ai pu dérouler la procédure Sticky Keys et Alex a récupéré l'accès à son PC. Et tant qu'à faire, j'en ai profité pour rafraîchir cette vieille machine. D'abord upgrade Windows 8 vers Windows 8.1 avec la mise à jour normale du Store Microsoft. Puis Windows 8.1 vers Windows 10 grâce à la clé USB préparée avec WinDiskWriter, en lançant setup.exe depuis Windows 8.1 actif pour conserver la licence. Et enfin Windows 10 vers Windows 11 avec Flyoobe , dont je vous ai parlé en détail dans un autre article.

Bref, trois upgrades en chaîne, données préservées, et le PC d'Alex qui repart sur du Windows 11 récent et à jour (même sans TPM) !

L'IA qui conçoit votre prochain produit DIY

Korben ✨ — Sun, 26 Apr 2026 08:45:48 +0200

Ce matin, j'ai demandé à une IA de me concevoir un baladeur qui lit du FLAC. L'outil m'a alors posé quelques questions puis il m'a sorti le design électronique complet en quelques secondes. Blueprint.am , c'est le service de 3E8 Robotics qui transforme une simple phrase en bidule hardware DIY : schéma de cablage, liste de pièces avec liens Amazon, vues 3D, instructions de montage étape par étape...etc.

Vous tapez votre idée bien délirante dans un champ texte, l'outil balance un plan pour décrire l'archi générale ainsi qu'un "wiring diagram" (je pense qu'on peut traduire ça par plan de câblage) avec les connexions GPIO/SPI/I2S qui vont bien + la liste des pièces / composants et une suite d'instructions de fabrication regroupées par étapes.

Pour mon baladeur FLAC, ça m'a sorti un ESP32-WROOM-32E couplé à un DAC PCM5102A, un ampli casque TPA6120A2, un écran 2.4 pouces SPI TFT, une batterie Li-Po 1000mAh avec chargeur TP4056 et boost converter XL6009. 30 pièces au total soit 13 composants électroniques et 17 pièces à imprimer en 3D pour le boîtier pour un coup total d'environ 282 $.

Le truc qui me plait bien, c'est pas que ça génère de la conception hardware (Ce bon vieux Claude Code fait déjà ça depuis un moment), mais c'est surtout la cohérence des choix. L'outil semble avoir piqué les bonnes pratiques de la communauté maker et me sort pas juste des composants au pif.

Avant ce genre d'outil, fallait sortir KiCad pour le schéma, Octopart pour vérifier les composants disponibles, Fusion 360 ou OnShape pour modéliser le boîtier, et un gros tableur des familles pour calculer le coût total de votre délire.

Là c'est un seul prompt et 30 secondes à patienter. La liste des composants a même des liens Amazon donc vous cliquez et vous commandez.

Comme vous pouvez le voir sur mes captures, la 3D générée, c'est un wireframe d'enclosure et pas un design final, donc faudra repasser dans un soft de modélisation pour arrondir les angles et caler les vis. Y'a pas non plus de firmware auto-généré, donc une fois le hardware monté, faudra flasher l'ESP32 vous-même via Arduino IDE ou PlatformIO avec votre propre code. Et faudra savoir souder, disposer d'une imprimante 3D, d'un multimètre...etc. Bref, l'outil réfléchit, mais c'est quand même encore à vous de bosser.

Si ça vous branche, vous avez un quota gratuit pour tester sans compte mais après faudra vous en créer un pour débloquer plus de générations et éventuellement acheter des crédits. L'outil a aussi un onglet documentation auto-générée, donc même si vous foirez le montage, vous pouvez relire la procédure pas-à-pas pour comprendre où ça n'a pas fonctionné.

Dans son test, le reviewer FabScene (alias Ryuta Kobayashi, qui bosse sur des robots dans l'automobile japonaise, donc pas vraiment un newbie) a conçu un accessoire LED avec boutons et a sorti un prototype fonctionnel en 2 heures de bout en bout (conception, impression, assemblage). Comptez un peu plus si vous débutez à la soudure, mais ça reste utilisable pour de vrai.

Ça remplacera pas un ingénieur senior, mais pour du proto de week-end, franchement, c'est une vraie bouffée d'air pour les makers.

Les cartes bancaires biométriques sont-elles une vraie avancée ou du bullshit marketing ?

Korben ✨ — Sat, 25 Apr 2026 17:33:32 +0200

Depuis quelques jours, plusieurs médias français ressortent cette merveilleuse histoire de la carte bancaire à empreinte digitale comme s'il s'agissait d'une révolution imminente ! Par exemple l'Indépendant titre carrément "le code à quatre chiffres c'est bientôt fini". Toudoum !!

Sauf que la techno, conçue par Thales et IDEMIA , est commercialisée en Europe depuis 2021 quand même. Et plus drôle encore, c'est que BNP Paribas a fermé la commercialisation de sa première version le 8 décembre 2025, soit bien avant que la presse en fasse un sujet d'actualité "frais".

La carte F.CODE d'IDEMIA, l'un des deux principaux fabricants de cartes biométriques en Europe avec Thales (crédit : IDEMIA).

Donc bon, on va remettre les pendules à l'heure ensemble, parce que le sujet mérite mieux qu'un communiqué de presse recopié à la chaîne par dix rédactions. Je vous propose donc de remettre un peu tout ça à plat parce que je lis quand même pas mal de conneries.

Tout d'abord, il faut savoir que le principe technique derrière ces CB est solide, faut le reconnaître. Vous posez le pouce sur un petit capteur de quelques millimètres intégré à la carte, le module Secure Element (l'équivalent du coffre-fort embarqué) compare l'empreinte au gabarit stocké dans la puce, et si ça matche, le paiement passe en moins d'une seconde !

Le mot-clé c'est d'ailleurs "match-on-card". Cela veut dire que la comparaison se fait localement, et donc que l'empreinte ne sort jamais de la carte, ni vers le commerçant, ni vers la banque, ni vers un serveur quelque part. C'est donc exactement le même délire que Touch ID ou Face ID chez Apple, et c'est ce qui distingue ce système d'une base biométrique centralisée façon ANT, dont on a vu cette année à quel point ça pouvait mal finir (looool).

Côté sécurité, y'a beaucoup de vrais points positifs. Le code PIN à quatre chiffres, c'est dix mille combinaisons. Avec un peu de skimming sur un terminal compromis et une caméra cachée au-dessus du clavier, vous pouvez tout récupérer encore plus facilement. Sans parler des PIN type 1234, 0000 ou date de naissance qui représentent une part énorme des codes en circulation selon les analyses de DataGenetics (1234 représente à lui seul environ 10,7% des PIN observés sur 3,4 millions de codes analysés).

La biométrie vient donc tuer ce vecteur d'attaque d'un coup. Ainsi, si quelqu'un vole votre carte, il ne peut rien en faire, en théorie, sans votre doigt. Faudra avoir un bon sécateur ^^. Et niveau conformité, ça rentre pile-poil dans le cadre PSD2 et l'authentification forte du client puisque la biométrie remplace le facteur "savoir" (le PIN) par un facteur "inhérence" (votre corps), ce qui valide les deux facteurs requis avec la possession de la carte. Une fois encore c'est comme avec l'iPhone et FaceID / TouchID quand on se connecte quelque part.

Sauf que voilà, c'est là que les médias arrêtent de creuser. Et y'a beaucoup de choses à creuser, croyez-moi ! Perso je trouve ça assez "gênant" (comme disent les zados... "Annnnh la génance !!") qu'on nous présente un sujet sécurité aussi important comme si on nous vendait des yaourts.

Parce que d'abord, le code PIN ne disparaît pas, sauf si vous avez la chance d'avoir une banque qui vous laisse le désactiver explicitement (et bonne chance pour trouver l'option dans les CGV). Hé oui, quasi toutes les implémentations que j'ai pu voir passer, gardent un bon gros fallback PIN pour les cas où le capteur foire (doigt mouillé, sale (sacré lulu), blessure, capteur défaillant) ou pour les retraits au DAB.

Or, vous le savez parce que vous avez Bac+18 en bon sens, la sécurité globale d'un système est celle de son maillon le plus faible. Donc si le code PIN reste en backup, vous n'avez pas supprimé le maillon faible mais vous l'avez juste rendu optionnel. Et donc un voleur qui sait ça, sera capable de forcer le fallback en simulant un échec biométrique et utiliser le code PIN pour peu qu'il le connaisse. Comme avant quoi...

Donc cette promesse "fin du code à 4 chiffres" est donc un bon gros raccourci marketing, et pas du tout une réalité technique.

Ensuite, autre souci, c'est que la biométrie n'est pas révocable. Donc si demain un labo ou un expert sécu arrive à extraire un gabarit d'empreinte d'un Secure Element compromis (ça s'est déjà vu sur des puces certifiées EAL5+ par attaques side-channel), vous ne pourrez pas changer votre doigt parce que j'sais pas si vous avez remarqué mais il est bien solidement attaché au sac de viande que vous appelez "Mon summer body" ^^.

Le risque est heureusement limité dans ce cas-ci parce que le gabarit reste sur la carte, mais structurellement, la donnée biométrique EST un mot de passe que vous ne pouvez jamais changer. C'est une contrepartie importante que personne ne mentionne dans les articles grand public.

Sur les attaques physiques par exemple, le Chaos Computer Club qu'on connaît tous, a démontré dès 2013 le bypass de Touch ID avec un moulage en latex fabriqué à partir d'une empreinte laissée sur un verre. Les capteurs intégrés dans une carte bancaire sont plus petits, moins denses en pixels, et n'ont pas la même puissance de calcul pour faire tourner des modèles anti-spoof avancés que ce qui est embarqué dans un iPhone.

Ils sont donc plausiblement PLUS contournables, donc j'imagine qu'un moulage en silicone ou en résine pourra facilement en venir à bout. À ma connaissance, y'a aucun chiffre public sérieux qui n'a été publié par les fabricants sur le taux de succès de ces attaques sur leurs cartes. Comme c'est pratique ;)

Le sujet de la mise sous pression par des affreux bandits, mérite aussi une mention. Parce qu'avec un code PIN, si on vous menace devant un DAB, vous pouvez théoriquement saisir un faux code (certaines cartes ont même une notion de " code sous contrainte " qui bloque la carte directement). Alors qu'avec un doigt, on vous chope la main et force et voilà...

La jurisprudence américaine est d'ailleurs intéressante là-dessus puisqu'un juge peut vous obliger à poser le doigt sur un TouchID, mais pas à donner votre code PIN par respect du 5e amendement. En France le débat est un peu différent mais analogue. C'est un petit détail légal mais personne ne l'aborde non plus pour tout ce qui est sécurité biométrique en général.

L'enrôlement à domicile via smartphone, vendu comme "sécurisé" mais dont le protocole détaillé reste opaque (crédit : IDEMIA).

Autre angle mort, l'enrôlement. En effet, aucun des articles que j'ai lus ne décrit exactement comment l'empreinte arrive dans la puce la première fois. Est-ce que ça se fait en agence, avec un lecteur dédié ? Via une app smartphone qui pousse le gabarit par NFC ?

On en sait rien, mais si c'est la seconde option, le pipeline app + carte est une surface d'attaque qui mérite un audit indépendant, et la promesse de "l'empreinte ne quitte jamais la carte" devient à géométrie variable. Côté Thales et IDEMIA, le marketing parle d'enrôlement à domicile sécurisé, mais les détails du protocole sont peu documentés, tout du moins ce que j'ai pu trouver en libre accès.

Et pour finir sur le côté pratique, la biométrie est une option payante. Bah ouais, 24 balles par an chez BNP et Crédit Agricole, sur des cartes Visa Premier ou Mastercard Gold qui coûtent déjà entre 130 et 180€ annuels, pourquoi se faire chier ? Société Générale a annoncé vouloir descendre en gamme là-dessus, mais pour l'instant, la sécurité forte est réservée à ceux qui peuvent payer. Sécurité à deux vitesses, donc, comme d'hab et moi je trouve que c'est un peu paradoxal pour un truc présenté comme la nouvelle norme.

Bref, mon verdict sur tout ça c'est que le design technique est bon, le match-on-card protège VRAIMENT des fuites massives, et ça c'est un excellent progrès face au PIN à 4 chiffres pour tout ce qui est usage courant. Mais le narratif "fin du code secret" reste faux puisque le PIN perdure en fallback, et surtout, la biométrie pose des problèmes structurels bien connus (non-révocable, vulnérable aux moulages, coercition, enrôlement opaque).

Donc voilà, si demain votre banque vous propose le passage au biométrique, demandez-lui comment se passe l'enrôlement, si le fallback PIN est désactivable, et combien ça coûte. Et peut-être que là, ça pourra être intéressant.

Un loup s'échappe en Corée du Sud, et l'IA vient mettre le bordel dans sa capture

Vincent Lautier — Sat, 25 Apr 2026 10:45:00 +0200

Voici l'histoire de Neukgu, un loup coréen de deux ans qui s'est fait la malle d'un zoo de Daejeon le 8 avril dernier, et qui a tenu en haleine toute la Corée du Sud pendant neuf jours.

Sauf que dans la foulée de l'évasion, un homme de 40 ans génère une fausse photo IA du loup en train de traverser un carrefour, la diffuse en ligne, et l'image finit par remonter jusqu'aux autorités qui n'y voient que du feu.

La séquence qui suit est assez improbable. La municipalité de Daejeon envoie une alerte d'urgence par SMS à la population, signalant un loup au niveau du carrefour en question. Les autorités présentent même l'image en conférence de presse officielle sur l'évasion.

Toute l'opération de recherche se déplace vers cette zone, alors que le vrai loup est très probablement ailleurs. Bref, des centaines d'agents lancés sur une fausse trace générée pour rigoler.

Pendant ce temps, Neukgu continue sa balade. Il sera finalement attrapé près d'une voie rapide neuf jours après l'évasion, sain et sauf.

La police, elle, remonte jusqu'au générateur d'images en croisant la vidéosurveillance et les logs d'utilisation des plateformes IA. Le suspect, 40 ans, raconte avoir fait ça "pour s'amuser".

Moyen rigolo du coup. Il est désormais poursuivi pour entrave au travail des autorités par tromperie, un délit qui peut coûter jusqu'à 5 ans de prison ou environ 7000 euros d'amende.

Côté postérité, Neukgu est devenu une star locale. Issu d'un programme de réintroduction du loup coréen (officiellement éteint à l'état sauvage), il a eu droit à des viennoiseries à son effigie dans une boulangerie du coin, plus d'un million de vues sur la vidéo de son retour, et la ville réfléchit même à le nommer mascotte officielle. Le président Lee Jae Myung avait publiquement prié pour son retour. Sympathique épilogue.

L'affaire pose quand même une vraie question sur l'authentification des images dans des contextes où elles deviennent opérationnelles. Quand une image IA arrive jusqu'à un SMS d'alerte gouvernemental, le filtre humain a clairement raté un étage, même si ça va devenir de plus en plus compliqué avec le temps.

Bref, premier cas vraiment grand public où une fausse photo IA détourne une opération policière, avec poursuites à la clé. Et ça ne sera pas le dernier.

Source : BBC

Project Deal, l'expérience où des agents Claude négocient des objets pour leurs collègues

Vincent Lautier — Sat, 25 Apr 2026 09:17:13 +0200

Anthropic a partagé hier les résultats de Project Deal, une expérience interne menée en décembre 2025 où des agents Claude ont négocié, acheté et revendu des objets personnels pour le compte de 69 salariés volontaires de leur bureau de San Francisco. Le but : voir ce que ça donne quand des gens laissent leur IA faire les courses entre elles.

Pendant deux jours, chacun des 69 participants a confié un agent Claude à son téléphone, avec 100 dollars de budget virtuel et une liste d'objets à vendre ou à acheter. Les agents ont publié les annonces, échangé des messages, négocié les prix et conclu des accords.

186 transactions ont été closes sur plus de 500 objets listés, pour un volume total d'environ 4 000 dollars. Le prix médian d'un objet était de 12 dollars, le prix moyen autour de 20.

L'expérience était en fait un protocole de recherche déguisé. Anthropic a fait tourner quatre marchés en parallèle : un seul a donné lieu à de vrais échanges physiques, les trois autres servaient à l'analyse statistique.

Dans deux d'entre eux, tous les agents tournaient sur Claude Opus 4.5. Dans les deux autres, les utilisateurs avaient une chance sur deux de se retrouver avec un Claude Haiku 4.5, beaucoup moins capable, à leur insu.

Le résultat est assez clair. Les agents Opus ont vendu en moyenne 3,64 dollars de plus par objet que les agents Haiku, et concluaient deux deals supplémentaires sur la durée. Sur un même vélo cassé, Opus l'a revendu à 65 dollars, Haiku à 38 sur un profil acheteur équivalent. Mais la perception des participants ne reflétait pas ces écarts : sur l'équité ressentie, les utilisateurs des deux modèles ont noté l'expérience à 4,05 et 4,06 sur 7. Personne ne s'est senti lésé.

Quelques moments rigolos ressortent du rapport. Un participant a récupéré un snowboard que son propre agent lui avait déjà acheté plus tôt dans l'expérience, sans s'en rendre compte. Un autre s'est vu offrir par son agent ce que celui-ci a appelé "19 sphères parfaites de possibilité", soit en pratique un sachet de balles de ping-pong. Un troisième s'est retrouvé organisateur d'une vraie balade de chiens entre deux participants, négociée et programmée par leurs agents respectifs.

La conclusion d'Anthropic est plus politique que technique. Si demain tout le monde envoie son agent négocier à sa place, l'inégalité d'accès à un bon modèle se traduit directement par des écarts financiers, et personne ne s'en rend compte sur le moment.

46% des testeurs ont déclaré qu'ils paieraient pour ce genre de service. Du coup, mieux vaut commencer à regarder ça de près avant que ça déboule pour de bon partout dans notre quotidien.

Source : Anthropic ,

Is It Agent Ready - Vérifiez si votre site parle aux agents IA

Korben ✨ — Sat, 25 Apr 2026 07:53:55 +0200

Si vous avez un site, vous savez déjà qu'il faut l'optimiser et le rendre lisible pour Google. Mais en ce moment, Cloudflare pousse vraiment une toute autre couche par-dessus : le rendre lisible pour les agents IA. Et pour vérifier si vous êtes dans les clous, l'équipe a sorti isitagentready.com , un scanner gratuit qui vérifie ça en quelques secondes.

Vous tapez tout simplement votre URL, et le scanner check une dizaine de standards émergents, puis pour chaque truc qui manque, il vous crache carrément un prompt prêt à coller dans Claude Code, Cursor ou Windsurf pour qu'il vous aide à l'implémenter. Vous pouvez aussi customiser le scan en cochant uniquement ce qui vous intéresse, selon que votre site est plutôt un blog de contenu ou une API.

L'interface annoncée par Cloudflare pour son nouveau scanner agent-ready

Les checks sont organisés en 5 catégories : la découvrabilité (robots.txt, sitemap, Link headers HTTP), l'accessibilité du contenu (markdown negotiation, llms.txt), le contrôle et la signalisation des bots (Content Signals, Web Bot Auth, règles IA dans robots.txt), la découverte de protocoles (MCP Server Card, Agent Skills, API Catalog, OAuth) et le commerce agentique (x402, MPP, UCP, ACP). Chaque catégorie pèse alors dans le score final, sauf le commerce qui est juste checké mais pas scoré.

J'ai testé sur korben.info et le résultat est franchement mitigé. Côté positif : robots.txt présent avec Content Signals (search=yes, ai-train=no, donc je dis oui à l'indexation et non à l'entraînement IA), llms.txt opérationnel avec 111 lignes en français, markdown negotiation qui répond bien sur Accept: text/markdown, sitemap.xml en place, et GPTBot, Google-Extended et Meta bloqués explicitement.

Côté manquant : pas de MCP Server Card, pas d'Agent Skills, pas d'API Catalog, pas de Link headers.

Score estimé : très moyen, et c'est plutôt cohérent avec un site qui n'a pas besoin d'OAuth ni de serveur MCP.

Cloudflare balance surtout des chiffres bien concrets dans son article de lancement . Sur les 200 000 domaines les plus visités du web, 78% ont un robots.txt, 4% déclarent leurs préférences via Content Signals, 3.9% font de la markdown negotiation, et moins de 15 (oui, quinze) ont un MCP Server Card ou un API Catalog combinés. Autant dire qu'on est très tôt dans la partie. Côté boite à outils, dans le panel d'agents testé par Cloudflare, seuls Claude Code, OpenCode et Cursor envoient un Accept: text/markdown par défaut quand ils browsent le web. Les autres récupèrent du HTML par défaut, comme un navigateur classique.

Cloudflare a aussi mesuré l'impact sur sa propre doc en activant tous ces standards : 31% de tokens en moins consommés et 66% de réponses plus rapides. Du coup c'est pas négligeable, surtout quand vous payez les agents au token. Et bonus, isitagentready.com lui-même est agent-ready (forcément), avec son propre serveur MCP exposé à /.well-known/mcp.json et un outil scan_site disponible pour les agents qui veulent l'appeler en autonomie.

Mais attention au piège ! Si on traite tout pour viser le "tout vert" comme objectif, beaucoup de sites finiront par prétendre être des fournisseurs OAuth ou des serveurs MCP juste pour cocher la case. Donc mieux vaut dire honnêtement "non, ça je ne fais pas" que de faire semblant. Pour un blog perso, vous n'avez probablement pas besoin de l'API Catalog ni du serveur MCP. Pour un site e-commerce par contre, x402 et l'Agentic Commerce Protocol vont commencer à compter le jour où les agents paieront vraiment pour leurs utilisateurs.

Petit détail historique amusant, le robots.txt date de 1994 (j'avais 12 ans, j'étais à fond sur le PC mais pas encore sur le net) et le code HTTP 402 Payment Required existe depuis 1997 mais n'a jamais été massivement utilisé. Jusqu'au jour où Cloudflare et Coinbase se sont associés pour le ressusciter avec x402, en l'imaginant comme la couche de paiement entre humains, agents et services. On verra bien si leur mayonnaise va prendre...

Aujourd'hui l'adoption de tout cela est embryonnaire, mais rappelez-vous qu'en 2004 peu de monde aurait parié sur l'industrie SEO qu'on connaît aujourd'hui. Donc ça vaut le coup d'y jeter un œil maintenant.

Merci à Camille Roux pour le lien !

Source

RSVP Nano - Une mini-liseuse DIY qui fait défiler les mots

Korben ✨ — Sat, 25 Apr 2026 07:34:58 +0200

John Decebal vient de sortir le RSVP Nano , une mini-liseuse open-source qui tient sur un ESP32-S3 et qui affiche votre bibliothèque... un mot à la fois. 92 mm sur 34, et sous licence MIT, je me suis dis que j'allais y jeter un oeil.

En fait, le concept tient en 4 mots : Rapid Serial Visual Presentation. Au lieu d'afficher une page entière, l'appareil fait défiler les mots un par un, à la cadence que vous voulez. Imaginez un téléprompteur de poche, sauf que c'est vous qui gérez le défilement. J'en parlais déjà avec Uniread en 2018 , sauf que là, la chose est matérialisée dans un boîtier qui tient dans la paume de la main, au lieu de tourner en CLI dans un terminal.

Côté hardware, c'est une carte Waveshare ESP32-S3-Touch-LCD-3.49 avec 16 Mo de flash incluant l'OPI PSRAM, plus un panel AXS15231B de 640 x 172 pixels en mode paysage. Par contre, comme c'est pas un écran e-ink, mais un LCD IPS classique tactile capacitif, exit l'autonomie d'une Kindle. On tape plutôt dans le rythme d'un téléphone.

Le firmware embarqué convertit alors les EPUB en format .rsvp directement sur la carte SD à la première ouverture, puis met le résultat en cache. Pour les autres formats type .txt ou .md ou .html, il existe un convertisseur desktop séparé à lancer sur PC avant copie. Voilà, c'est moins fluide mais ça reste carrément faisable.

Quelques bémols quand même. La lecture mot par mot, ça demande un peu d'entraînement (les premières minutes, le cerveau panique un peu !!), et si vous voulez relire un passage précédent, faudra piloter manuellement l'engin via avec l'écran tactile.

Le concept même de RSVP, ça reste quand même une affaire de goût personnel. Certains tiennent un roman entier comme ça, d'autres décrochent au bout de 30 minutes parce que le cerveau zappe la pause naturelle qu'on prend en bout de ligne. Après ça peut convenir aux lecteurs de métro qui dévorent par micro-sessions (entre 2 arrêts quoi...). Dans ce cas le format colle carrément à votre rythme.

Pour la petite histoire, j'avais déjà parlé en 2020 d'un cousin plus sérieux, The Open Book Feather , dans un genre plus orthodoxe avec un véritable écran e-ink complet et un microcontrôleur Adafruit Feather sous Linux embarqué.

Mais si ça vous chauffe, sachez que le hardware coûte une trentaine de dollars, le firmware est libre, et la communauté commence déjà à demander l'intégration Calibre.

Source : Hackster.io

tar-vfs-index - Monter du .tar.gz dans le browser sans l'extraire

Korben ✨ — Sat, 25 Apr 2026 07:22:38 +0200

Distribuer des paquets binaires en WebAssembly, c'est galère. Vous téléchargez le .tar.gz, vous le gunzippez, vous l'extrayez en mémoire... et ça rame sévèrement !! Mais youpi, Jeroen Ooms (qui contribue à webR et bosse chez ROpenSci) vient de publier tar-vfs-index , un petit npm package qui casse cette malédiction des enfers en sautant carrément l'étape extraction.

L'astuce est toute bête ! Au lieu d'extraire l'archive, on génère un fichier d'index qui liste la taille et l'offset de chaque fichier dans le tar. Du coup le navigateur n'a plus qu'à monter le blob du tar comme un système de fichiers virtuel, et chaque lecture devient alors un simple slice du blob à la bonne position. Pas d'extraction donc, mais juste du slicing à la demande !

Sous le capot, ça repose sur 3 propriétés alignées. 1/ le format tar est un layout plat : une suite de headers de 512 octets suivis des données du fichier, le tout contigu et adressable à l'octet près. 2/ Emscripten propose un backend filesystem appelé WORKERFS, prévu pour servir les lectures d'un Blob sans le copier dans le heap WASM. Et 3/ les navigateurs ont une API native, DecompressionStream , qui gunzippe efficacement pendant le téléchargement.

Concrètement, vous installez le truc avec npm install tar-vfs-index (y'a aucune dépendance externe) puis vous lancez npx tar-vfs-index archive.tar.gz. Et hop, le package vous sort un JSON dans ce genre :

{
 "files": [
 { "filename": "mypackage/DESCRIPTION", "start": 512, "end": 548 },
 { "filename": "mypackage/R/code.R", "start": 1536, "end": 1563 }
 ],
 "remote_package_size": 3072
}

Les valeurs start et end sont tout simplement les offsets dans les données tar décompressées, et remote_package_size indique la taille totale (pour que WORKERFS sache combien préallouer). Ensuite, côté navigateur, ça donne du JavaScript du genre :

const [metaRes, dataRes] = await Promise.all([
 fetch('archive.tar.gz.json'),
 fetch('archive.tar.gz'),
]);
const metadata = await metaRes.json();
const blob = await new Response(
 dataRes.body.pipeThrough(new DecompressionStream('gzip'))
).blob();
FS.mkdir('/pkg');
FS.mount(WORKERFS, { packages: [{ metadata, blob }] }, '/pkg');

Le cas d'usage qui a motivé tout ça, c'est webR , le portage du langage R en WebAssembly. Les paquets R sont distribués en .tar.gz et avant cette astuce, charger un paquet voulait dire copier des trucs partout. Maintenant le temps et la mémoire de chargement reviennent à peu près au coût du téléchargement et du gunzip, ce qui est nettement plus léger qu'une extraction complète en RAM. Et ça marche pour n'importe quel bundle distribué en tar.gz : assets de jeu, datasets pour du machine learning, runtimes Python via Pyodide, bref tout ce qui ressemble à une archive lourde côté navigateur !

Y'a également un mode --append qui colle l'index directement à la fin du tarball (le format tar autorise ce genre de bidouille). Ça donne donc un .tar.gz autonome qu'un loader peut monter sans aller chercher un fichier de métadonnées séparé !

Bref, c'est plutôt joli comme façon de faire et ça vaut le coup d'œil si vous trimballez du tar.gz dans du WebAssembly.

Source

Pack2theRoot - 12 ans d'accès root offert dans PackageKit

Korben ✨ — Sat, 25 Apr 2026 07:11:32 +0200

Si vous tournez sur Ubuntu, Debian, Fedora ou RockyLinux, sachez que votre démon PackageKit a passé presque 12 ans à laisser une porte ouverte vers votre compte root. La Deutsche Telekom Red Team vient en effet de publier Pack2theRoot (CVE-2026-41651), une faille notée 8.8/10 qui permet à n'importe quel utilisateur local de devenir root sans mot de passe.

Pour corriger le soucis, mettez à jour vers PackageKit 1.3.5 ou le backport de votre distro. Pour vérifier votre version, c'est dpkg -l | grep -i packagekit sous Debian/Ubuntu, ou rpm -qa | grep -i packagekit côté Fedora et Rocky. Si vous êtes en 1.3.4 ou en dessous, considérez la machine comme exploitable.

Le bug est une race condition classique. En fait PackageKit vérifie vos droits, valide la transaction, mais utilise des données qui ont eu le temps de changer entre les deux. Un appel pkcon install bien chronométré et n'importe quel paquet s'installe en root, sans prompt Polkit . La liste des distros confirmées vulnérables couvre Ubuntu 18.04 à 26.04, Debian Trixie, RockyLinux 10.1, Fedora 43 et tout RHEL avec Cockpit.

Le détail marrant encore une fois c'est la méthode de découverte. La Telekom Red Team a tout simplement dirigé Claude Opus d' Anthropic vers la base de code de PackageKit, et c'est cette session d'audit assistée par IA qui a sorti la vuln. Les LLM commencent donc à trouver des bugs subtils que les audits humains ont laissé passer pendant plus d'une décennie. Tant mieux, ça va faire grimper le niveau de sécurité de nombreux projets !

Cette faille ancienne me rappelle BitPixie et son contournement de BitLocker resté en sommeil durant 20 ans. Le pattern est toujours le même, à savoir un composant système installé partout, qui cache un bug tout bête depuis siiii longtemps que plus personne ne l'audite avec un œil neuf.

Bref, merci Claude ^^

Source

J'ai testé le Engwe LE20 Passenger, le vélo cargo aux 350 km d'autonomie

Vincent Lautier — Fri, 24 Apr 2026 14:40:19 +0200

- Contient des liens affiliés Amazon -

Gros bestiau électrique avec deux batteries de 19,2 Ah, le Engwe LE20 Passenger annonce 350 km d'autonomie et embarque jusqu'à 200 kg sur sa banquette arrière. Pendant plusieurs semaines, je l'ai utilisé pour amener ponctuellement un enfant de 5 ans à l'école et même pour transporter l'enfant avec sa mère en même temps. J'adore.

Avec ses 41,5 kg sur la balance et son long porte-bagages équipé d'un dossier et de repose-pieds pour passager, le LE20 Passenger ne se cache pas : c'est un vélo cargo assumé. La charge utile grimpe à 200 kg, rider inclus, de quoi embarquer deux enfants ou un enfant et sa mère sans broncher. J'ai testé la configuration "fiston plus la maman" plusieurs fois, et le cadre en aluminium 6061 ne bouge pas d'un millimètre. Les pneus 20 x 3,0 pouces anti-crevaison apportent un vrai confort, et la suspension avant gomme les irrégularités du bitume. Bref, c'est stable, rassurant, et ça roule droit même chargé.

Deux batteries Lithium-Ion 48V 19,2 Ah , amovibles, s'emboîtent dans le cadre, pour un total de 1843 Wh d'énergie embarquée. Engwe annonce 350 km en mode éco, et même en usage mixte urbain avec pédalage assisté plus musclé, je tourne autour de 250 km entre deux recharges.

Côté moteur, le 250W avec 100 Nm de couple et capteur de couple fait le job : les côtes clermontoises que je fréquente pas mal passent sans que je force sur les pédales, même avec deux passagers à bord. Le Shimano 7 vitesses et les freins hydrauliques 180 mm complètent un équipement très complet pour moins de 1500 euros.

Affiché à 1449 euros la version double batterie, le LE20 Passenger joue dans la cour des vélos cargo haut de gamme pour un budget qui reste contenu. Ce n'est pas le premier Engwe que je teste : j'utilise aussi un N1 Air au quotidien et j'avais adoré le P20 pliant que j'ai déjà testé sur Korben.info . À chaque fois, même impression de matériel sérieux qui tient la route dans le temps. La marque a bien compris comment proposer des vélos bien pensés sans exploser les prix, et le LE20 Passenger confirme bien ça.

Screenshot

Bref, si vous cherchez un vélo cargo très polyvalent sans lâcher le prix d'une petite voiture, le LE20 Passenger coche vraiment beaucoup de cases. Alors certes, 41 kg à porter dans des escaliers c'est compliqué, mais personne n'achète un cargo pour le monter à l'étage.

Bref, un bon vélo, parfois en stock sur le site d'Engwe , parfois sur Amazon , parfois en boutique chez vos revendeurs de vélos !

Il fabrique de la RAM dans sa cabane

Korben ✨ — Fri, 24 Apr 2026 14:17:11 +0200

Imaginez qu'à cause de cette putain de pénurie, vous vous mettiez à fabriquer votre propre RAM à la main dans votre cabane de jardin façon Heisenberg ? Hé bien c'est exactement ce que Dr. Semiconductor vient de réussir, et les 20 premières cellules DRAM de ce fou furieux fonctionnent ! Alors forcément, ça m'intéresse !

Le bonhomme a posté sa vidéo le 20 avril dernier et ça prend clairement une tournure virale dans le monde du hardware car ça donne de l'espoir et des idées à pas mal de makers. Il avait d'ailleurs déjà publié en mars une vidéo entière sur la construction de la cleanroom elle-même, donc ce n'est pas un coup d'éclat one-shot, mais une vraie série documentaire dans laquelle il s'est lancé.

En gros, il a transformé un abri de jardin en salle blanche de classe 100, construit l'essentiel de ses outils de fabrication à partir de rien, et gravé un array de 5 × 4 cellules de RAM avec des transistors de moins d'un micron de long. Du jamais vu à cette échelle chez un particulier !

La cabane de jardin reconvertie en cleanroom class 100

Alors pourquoi c'est dingue, cette histoire ?

Hé bien parce que la RAM, c'est dominé par trois entreprises qui pèsent des dizaines de milliards, à savoir Micron, Samsung et SK Hynix. Construire une usine moderne, ça coûte autour de 20 milliards de dollars et ça prend facile 4 à 5 ans. Du coup, quand l'IA se met à bouffer une grosse partie de la production disponible, les prix explosent ! Nombreux sont ceux qui ont renoncé à en acheter vu les tarifs actuels.

Mais qui sait, peut-être que maintenant qu'on sait que fabriquer sa propre RAM dans son garage, c'est possible, y'a des choses qui vont peut-être changer ?

Côté process, c'est du semi-conducteur comme à l'usine mais version DIY. Il part d'un wafer de silicium classique, le passe au four à 1100°C pour former une couche d'oxyde, applique de la résine photosensible et expose aux UV à travers des masques maison pour dessiner le motif, puis dope le silicium au phosphore (merci à Projects in Flight pour la technique), et finit par une couche d'aluminium pulvérisée au plasma pour les connexions. Un vrai process industriel miniaturisé, sauf que tout se passe à la maison.

Et ça donne quoi à la mesure ?

Hé bien son capaciteur affiche 12,3 picofarads, pile dans la fourchette qu'il avait calculée. Le transistor charge le capa à 3 volts en quelques centaines de nanosecondes, donc autant dire que c'est propre et net. Par contre, la rétention de charge c'est là où ça coince, avec environ 2 millisecondes avant que la cellule ne perde sa donnée, contre plus de 64 ms pour de la DRAM commerciale. Du coup faut rafraîchir plus souvent, mais ça tient bien.

Le CV plotter affiche 12,3 pF, pile dans la fourchette théorique

Comme le précise Dr. Semiconductor dans sa vidéo, pour l'instant on ne peut pas faire tourner Doom dessus. Avec 20 cellules vous stockez 20 bits, soit de quoi sauver deux octets et demi, donc bon, c'est pas foufou. Mais la preuve est faite qu'un particulier depuis chez lui, peut graver du silicium fonctionnel, et le plan maintenant c'est de combiner plusieurs arrays pour augmenter la capacité, et de connecter ça à un PC.

Perso, c'est le genre de démonstration technique qui se respecte ! Intel qui se passe de TSMC pour ses gammes basses, un fan qui ressuscite un Nokia N900 avec des supercondensateurs , et maintenant ce YouTubeur DIY qui fabrique de la RAM dans son abri de jardin alors que pendant ce temps, les géants de la mémoire nous vendent leurs puces au prix de l'or parce qu'ils ont le monopole... Ça bouge vite et à sa manière, Dr. Semiconductor ridiculise les géants , en montrant que le mur technologique est moins haut qu'on le croyait.

Voilà vous voulez voir les manips en vrai, les amis, je vous mets sa vidéo complète ça vaut vraiment le coup ! Faites chauffer le gros pouce bleu, il a un Patreon et ça reste un taf de dingue financé par ses abonnés.

A voir maintenant s'il arrive à relier correctement ses cellules pour faire tourner un truc dessus. A surveiller de près !

Cinquante ans plus tard, la toute première borne d'arcade Nintendo reprend vie

Vincent Lautier — Fri, 24 Apr 2026 13:28:19 +0200

Vous connaissez probablement Wild Gunman sur NES, ce petit jeu de tir au Zapper avec des cowboys pixellisés. Mais la version originale, c'est autre chose. En 1974, Nintendo sort une borne d'arcade imaginée par Gunpei Yokoi lui-même, avant qu'il ne devienne la légende derrière la Game Boy.

Au lieu de sprites, le jeu projette directement à l'écran du vrai film 16mm de cowboys qui dégainent. Le joueur sort un pistolet d'un étui physique au flash lumineux, et doit tirer avant l'adversaire. On est là sur un truc mi-électronique mi-mécanique, avec un projecteur pour assurer la diffusion de l'image.

Une seule borne originale survivrait encore aujourd'hui, entre les mains d'un collectionneur privé. Trop rare. Trop fragile. Donc quand un youtubeur américain, Callan Brown (alias 74XX Arcade Repair), tombe en juillet 2025 sur une enchère eBay un peu bizarre avec des bobines 16mm estampillées Nintendo, il flaire le bon coup.

Il mise, gagne, trouve un projecteur 16mm dans une école du coin, et découvre que ce sont bien les bobines de cowboys, probablement visionnées pour la première fois en quarante ans.

À partir de là, six mois d'obsession. Il fait scanner en haute définition les bobines, démonte les brevets de 1974 pour reconstituer le fonctionnement, et reconstruit une version moderne du jeu, pistolet, étui et tout le tralala.

On vous l'a dit, la version arcade de 1974 n'a quasi rien à voir avec le Wild Gunman que tout le monde connaît sur NES. La NES, c'est un jeu au Zapper qui tire sur des sprites. L'arcade, c'est une projection de film réel, un système de détection optique, et un vrai pistolet à ressort dans un étui en cuir. Deux jeux, deux générations, le même nom. Dans les deux cas, un pur bijou.

Bref, chapeau bas à Callan quand même. Sauver une pièce aussi rare du patrimoine vidéoludique en partant d'un lot douteux vendu sur eBay, c'est exactement pour ça qu'on aime ce genre de passionnés.

Source : Hackaday

Un soldat des forces spéciales ayant participé à la capture de Maduro arrêté pour avoir parié sur l'opération sur Polymarket

Vincent Lautier — Fri, 24 Apr 2026 13:16:52 +0200

Le sergent-chef Gannon Van Dyke, 38 ans, stationné à Fort Bragg, a été arrêté et inculpé pour avoir empoché quelques 410 000 dollars de gains sur Polymarket en misant sur la chute de Nicolás Maduro, alors même qu'il participait à l'opération qui l'a capturé.

L'information vient du département de la Justice américain, relayée hier par CNN. Le procureur Jay Clayton, qui pilote le dossier à New York, a déclaré que ceux à qui on confie les secrets de la nation ont le devoir de les protéger.

Van Dyke a créé son compte Polymarket en décembre, juste avant l'opération Absolute Resolve qui a exfiltré Maduro du palais présidentiel de Caracas dans la nuit du 3 janvier. Entre le 27 décembre et le 2 janvier, quelques heures avant la prise, il a enchaîné 13 paris avec environ 33 000 dollars de mise pour un gain final de 409 000 dollars. Le timing est quand même franchement foireux, c'est assez dingue qu'il n'ait pas imaginé qu'il allait se faire prendre.

Cinq chefs d'accusation sont retenus contre lui : fraude électronique (jusqu'à 20 ans de prison), transaction monétaire illégale (10 ans), et trois violations du Commodity Exchange Act (10 ans chacune). Le total théorique dépasse largement la retraite.

La CFTC, le régulateur américain des marchés à terme, a également porté plainte au civil. C'est la toute première fois qu'elle inculpe quelqu'un pour délit d'initié sur un marché de prédictions.

Du côté de la plateforme, Polymarket a publié un message sur X expliquant avoir détecté l'utilisateur en train de trader sur une information classifiée et avoir alerté le DOJ de son côté. C'est donc la plateforme elle-même qui a balancé son client.

Polymarket est un marché de prédictions sur blockchain, censé garantir une forme de neutralité et d'anonymat. Sauf que des paris de 33 000 dollars avec un timing chirurgical juste avant une opération militaire classifiée, ça laisse des traces que même la blockchain ne camoufle pas.

L'affaire ouvre une nouvelle catégorie juridique. Jusqu'à présent, l'insider trading s'appliquait aux marchés financiers classiques, pas aux marchés de prédictions basés sur des événements. Avec cette inculpation, la CFTC pose un précédent : parier sur un événement à partir d'informations confidentielles d'État peut désormais vous valoir les mêmes poursuites qu'un délit d'initié sur Wall Street. Pour les juristes spécialisés, c'est un moment assez important..

Bref, parier 33 000 dollars sur Polymarket juste avant de participer soi-même à l'opération qui déclenche le jackpot, c'est quand même pas très intelligent.

Source : CNN

Hotfix - Quand l'astreinte au boulot devient un jeu

Korben ✨ — Fri, 24 Apr 2026 13:10:18 +0200

Un dev français, Romain Laurent, vient de sortir un jeu qui transforme en divertissement TOUT ce que tous les devs fuient, à savoir l'astreinte de nuit, le téléphone qui sonne à 3h du matin, et le hotfix qu'il faut pondre vite fait avec une prod qui fume. Ça s'appelle Hotfix , ça tourne dans votre navigateur, et ça se prend au sérieux juste comme il faut, vous allez voir.

Dans ce jeu, vous enchaînez des micro-crises à résoudre le plus rapidement possible, sans filet. Vous commencez comme "Junior" à 0 points, parce qu'évidemment votre carrière de pompier recommence de zéro comme tout le monde puis ensuite ça monte en puissance. Il y a même un leaderboard, histoire que votre souffrance soit bien partagée à l'échelle mondiale. Le reste, c'est mieux que je ne le spoile pas, lancez une partie et découvrez ça vous-même !

En tout cas, Hotfix parle à une catégorie très précise de techos... Ça parle à ceux qui ont déjà reçu un ping PagerDuty pendant un apéro, à ceux qui ont tapé git push --force sur leur prod à 2h du matin ou encore à ceux qui ont commit "fix" sans savoir précisément ce qu'ils avaient fixé. Les autres joueront aussi, mais ils ne riront pas nerveusement de la même manière.

Bref, c'est à tester entre deux tickets ! Et classez-vous dans le leaderboard pour que je sois fier de ma commu ^^ (Ouais, je parle comme Tibo maintenant)

Un bug de PMU espagnol se termine en kidnapping du gérant pour 50 000 euros

Vincent Lautier — Fri, 24 Apr 2026 11:39:26 +0200

L'histoire nous vient de Málaga, racontée par la Policía Nacional et reprise par The Register. Un magasin de paris local est pris en défaut par un bug logiciel qui affiche des gains doublés sur plusieurs tickets de la journée.

Les parieurs concernés voient leur jackpot apparaître deux fois à l'écran, et vont logiquement le réclamer au guichet. Sauf que la direction du groupe, une fois prévenue, refuse net d'honorer les paiements erronés. Les clients repartent avec leur mise normale, et bien bien remontés.

Parmi ces parieurs floués, visiblement, l'idée du recours en justice n'a pas séduit tout le monde. Un agent de sécurité du magasin lui-même, selon la police, s'associe à un complice non identifié pour monter une combine.

Les deux se présentent aux parieurs lésés comme des "intermédiaires" capables de récupérer l'argent dû, à condition que les clients leur fassent confiance pour la suite. Une petite économie parallèle de compensation, en somme.

Le problème, c'est la méthode choisie pour faire pression sur la direction. Les deux comparses traquent le gérant du magasin, obtiennent son adresse personnelle, lui envoient des SMS et des enregistrements audio d'intimidation, puis finissent par l'enlever.

La rançon demandée est de 50 000 euros, avec des exigences qui évoluent en cours de négociation, vers des acomptes plus petits et plus rapides. Clairement des kidnappeurs qui improvisent.

Heureusement pour le gérant, ça n dure pas. Après une info anonyme, la Policía Nacional localise le point de rendez-vous du premier versement, un fast-food dans un centre commercial de Málaga, et y interpelle les deux suspects en même temps qu'elle libère l'otage. Le tout 90 minutes après l'enlèvement, sans paiement effectué et sans blessé. Les deux hommes sont maintenant en détention pour kidnapping.

Moralité : un bug logiciel plus une mauvaise gestion de la communication client égale un agent de sécurité qui se reconvertit en pseudo-Robin des Bois. Le refus de la direction de payer les erreurs système est discutable commercialement, mais ce n'est clairement pas ce qui justifie d'enlever qui que ce soit.

Bref, un bon audit du logiciel de paris, et une réponse client un peu plus habile, auraient évité tout ce bordel.

Source : The Register

Le pilote Nouveau s'apprête à franchir la barrière HDMI 2.1, bloquée depuis des années sur AMD

Vincent Lautier — Fri, 24 Apr 2026 11:09:57 +0200

La norme HDMI 2.1, avec ses 4K@120 Hz et ses 8K, est un serpent de mer dans le monde Linux. Depuis trois ans, le HDMI Forum refuse aux développeurs AMD l'accès aux spécifications de la Fixed Rate Link, le composant-clé qui permet de faire passer ces gros débits.

Résultat, les utilisateurs Linux avec une carte AMD récente sont coincés en HDMI 2.0, donc en 4K@60 Hz. C'est quand même frustrant quand votre écran coûte plus cher que votre GPU.

Côté NVIDIA, Nouveau (le pilote open-source historique) s'apprête à contourner ce blocage par une pirouette plutôt élégante. Karol Herbst, contributeur de longue date du projet, explique que puisque tout le logiciel HDMI 2.1 de NVIDIA se trouve déjà dans le firmware GSP de la carte (le fameux blob propriétaire que NVIDIA a commencé à distribuer il y a quelques années), il suffit à Nouveau de le charger et de lui dire quoi faire.

L'open-source n'a pas besoin de connaître les spécifications HDMI 2.1, parce que c'est le firmware fermé qui s'en occupe. Le HDMI Forum ne peut rien objecter. Plutôt malin.

C'est la différence-clé avec la situation AMD. Le pilote AMDGPU fait tourner une grosse partie de la logique d'affichage dans le code open-source, justement parce que c'est la philosophie maison. Du coup, implémenter HDMI 2.1 dans AMDGPU reviendrait à exposer des morceaux de la spec que le HDMI Forum protège jalousement.

Sur Nouveau, NVIDIA a externalisé toute cette logique dans le firmware GSP, donc le pilote open-source reste "naïf", et par chance, c'est exactement ce qui le sauve juridiquement.

À noter que la chose n'est pas encore dans le noyau Linux. Herbst est confiant sur le principe, mais il reste du travail pour finaliser l'intégration, gérer les capacités dynamiques du firmware, et s'assurer que ça marche sur toutes les cartes Ampere, Ada et Blackwell.

Les utilisateurs AMD regarderont ça avec une certaine amertume, parce que leur blocage, lui, est juridique, pas technique.

Bref, la philosophie "tout open" d'AMD se retourne contre elle sur ce dossier, et Nouveau s'en sort par une faiblesse architecturale transformée en avantage.

Source : Phoronix

Un malware qui pourrait être la toute première cyberarme de l'histoire

Vincent Lautier — Fri, 24 Apr 2026 10:43:28 +0200

SentinelOne a publié une analyse qui peut redessiner la chronologie connue de la cyberguerre. Baptisé FAST16, ce framework de sabotage informatique a été compilé en 2005, soit cinq ans avant la découverte de Stuxnet. Si les analyses tiennent la route, ça en fait la plus ancienne cyberarme étatique documentée à ce jour.

Le principe est fourbe. FAST16 ne détruit rien, ne chiffre rien, ne vole rien. Il corrompt des calculs. Le driver kernel (fast16.sys) s'installe silencieusement sur la machine cible, se place dans le flux d'entrée/sortie du système de fichiers, et modifie le code exécutable de certains logiciels de calcul haute précision pendant leur chargement en mémoire.

Le logiciel tourne normalement, affiche des résultats cohérents en apparence, mais ils sont légèrement faux. Pendant des mois, voire des années, les ingénieurs prennent des décisions sur des données faussées sans jamais rien voir. Plutôt vertigineux.

Les logiciels visés sont très spécifiques : LS-DYNA 970 pour la simulation de crash et les calculs structurels, PKPM pour le BTP (utilisé essentiellement en Chine), et MOHID pour la modélisation hydrodynamique. LS-DYNA, justement, a des usages documentés dans la recherche nucléaire iranienne. Ce qui ramène toujours au même dossier.

L'architecture est aussi très sophistiquée : un module porteur avec une machine virtuelle Lua 5.0 embarquée qui exécute du bytecode chiffré, le driver de sabotage, et un module de reporting qui passe par les callbacks Windows RAS.

Pour rappel, l'usage d'une VM Lua embarquée précède de trois ans les plus anciens échantillons de Flame (2012). Ces gens étaient très en avance.

Autre signal intéressant, le nom "fast16" apparait dans la fuite ShadowBrokers de 2017, plus précisément dans les composants "Territorial Dispute" attribués à la NSA, accompagné d'une mention cryptique qui disait en substance "rien à voir ici, circulez".

Visiblement, il y avait quelque chose à voir. Le code contient aussi des traces SCCS/RCS, des conventions de versioning Unix des années 70-80, ce qui pointe vers des développeurs issus d'environnements d'ingénierie ancienne école, probablement étatiques.

Bref, SentinelOne n'accuse personne, mais les indices pointent vers les États-Unis ou un allié. Ça repousse de cinq ans la frontière connue de la cyberguerre offensive.

Source : The Register

Mocker - Le clone Docker natif pour Mac Apple Silicon

Korben ✨ — Fri, 24 Apr 2026 09:27:00 +0200

Si vous bossez sur Mac et que Docker Desktop commence à vous prendre la tête, les amis, y'a une alternative super cool qui vient de débarquer. Ça s'appelle Mocker , c'est écrit en Swift, c'est sous licence AGPL-3.0, et le principe c'est de remplacer la CLI de Docker à l'identique : mêmes flags, mêmes formats de sortie, même syntaxe pour Compose. mocker run, mocker ps, mocker compose up (...bref, le README annonce 111 commandes et sous-commandes couvertes avec les flags qui matchent).

Pour l'installer, un brew tap us/tap && brew install mocker et c'est plié !

La plupart des images Docker Hub standards (format OCI) se pullent pareil, et votre fichier docker-compose.yml tourne le plus souvent sans rien retoucher. Attention quand même, si vous avez encore Docker Desktop qui tourne en parallèle, coupez-le avant de jouer avec mocker sinon vos ports vont faire la bagarre !

De plus, certaines features Docker très spécifiques (options de runtime exotiques, images qui tapent dans des sockets Linux particuliers) peuvent planter ou produire un avertissement côté Apple Containerization. Mais sur du stack web classique (nginx, postgres, redis, node), par contre, ça passe crème.

Mais alors, pourquoi ça fonctionne aussi bien ?

Hé bien parce que Mocker ne réinvente pas la roue, il l'enrobe. Rien de plus, rien de moins. En fait, sous le capot, c'est le framework Apple Container qui fait tout le boulot.

Pour rappel, c'est ce truc qu'Apple a sorti à la WWDC 2025 et qui permet ainsi de lancer une petite VM Linux dédiée par conteneur (au lieu de la grosse VM partagée à la Docker Desktop). Mocker délègue alors tout au binaire container d'Apple pour run, stop, exec et logs, tape directement dans le Containerization.ImageStore pour les pulls et les tags, et gère les ports via un petit proxy TCP userspace.

L'état des conteneurs, images, réseaux et volumes est alors stocké en JSON dans le dossier ~/.mocker/ sur votre Mac. Comme y'a rien de magique, vous pouvez tout inspecter à la main, ce qui est plutôt chouette !

Côté perfs, il y a quand même un coût. Selon les benchmarks publiés par le dev sur sa machine Apple Silicon, au démarrage d'un container Docker Desktop tourne à 320 ms, le CLI container d'Apple à 1030 ms, et Mocker à 1153 ms (3,6× plus lent que Docker, ~120 ms d'overhead sur Apple).

Dans la vraie vie, 800 ms de plus au boot c'est transparent si vous relancez 5 containers par jour en dev, mais ça devient clairement pénible si vous faites du CI local intensif avec 50 runs à la chaîne. Sur ces mêmes benchmarks, une fois que le container est up, CPU et mémoire s'en sortent ensuite pareil. Autrement dit, la VM par conteneur coûte au boot, mais pas au runtime. En tout cas, sur cette config de test pour les benchmarks.

Si vous voulez une alternative plus mature et commerciale, OrbStack reste encore une fois la référence sur Mac, mais c'est du freemium. Mocker, lui, est gratuit et open source du début à la fin.

Voilà les amis, si vous êtes sur Mac Apple Silicon et que Docker Desktop vous saoule, ça vaut grave le coup de tester !! Au pire vous revenez à Docker, au mieux vous gardez Mocker et vous arrêtez de payer la licence Business...

C64UX - Un shell Unix-like pour Commodore 64

Korben ✨ — Fri, 24 Apr 2026 09:23:23 +0200

Je viens de tomber sur un projet qui va vous renvoyer direct dans les années 80 !! Ça vous dirait que votre vieux Commodore 64 puisse balancer un prompt façon Unix, avec login, éditeur de texte et 30 commandes ? Hé bien c'est exactement ce que propose C64UX , codé en assembleur pur, sans patch ROM ni rien.

L'auteur, Anthony Scarola a sorti sa dernière version en février 2026, avec une bannière de démarrage qui balance fièrement des [ OK ] à chaque étape de la séquence de boot, exactement comme un vrai système Linux un peu trop fier de lui !

En gros sur votre Commodore 64 , vous bootez normalement sous BASIC puis vous lancez le programme c64ux.prg (un simple LOAD et RUN), vous tapez votre username et votre mot de passe, et hop, vous atterrissez dans un shell qui propose 30 commandes :

LS, CAT, NANO, RM, CP, MV, SAVE, LOAD, THEME, UPTIME, DRIVE, STAT, WRITE, ECHO, SAVEREU, LOADREU, WIPEREU, PASSWD, MEM, DATE, TIME, PWD, RESET, UNAME, VERSION, WHOAMI, CLEAR, DOS, EXIT et HELP.

Et la commande EXIT vous ramène à BASIC.

La config initiale de C64UX : création du compte, date et heure, avant de tomber sur le prompt

Sous le capot de C64UX, c'est de l'assembleur 6502 brut de décoffrage. Et surtout, le projet n'utilise que les routines standard du C64, sans aucune ROM modifiée, ni aucune cartouche spéciale. Du coup ça tourne aussi bien sur un vrai C64 d'époque que sur un Ultimate 64 moderne ou dans l' émulateur VICE .

Mais le vrai morceau de bravoure dans ce projet c'est la persistence REU. Car votre shell avec ses fichiers, vous pouvez le dumper dans l'extension mémoire de l'époque via SAVEREU puis tout restaurer après coup avec LOADREU. Très pratique pour ne pas perdre vos précieux textes à chaque reset ! Par contre, sans extension REU branchée, tout s'efface au redémarrage, faudra donc penser à taper la commande SAVE à la main pour écrire sur disquette.

La sortie de la commande HELP, avec la liste des commandes disponibles

L'éditeur baptisé NANO (inspiré du vrai mais en mode super minimaliste) fait bien le taf aussi. Et les themes changent la couleur de bordure, le fond et le texte d'un coup, entre NORMAL (le bleu royal classique), DARK, ou GREEN pour se la jouer Matrix.

Création d'un fichier avec WRITE, lecture avec CAT, puis STAT et LS pour voir les métadonnées

Sur le forum Lemon64, Scarola balance une nouvelle version à peu près toutes les semaines et reconnaît lui-même être un petit nouveau en assembleur. Mais gros respect pour avoir déjà sorti 10 releases en un peu plus d'un mois quand même ! Notez que comme tout bon développeur qui sait vivre avec son temps (#troll), il s'aide d'un peu d'IA (Claude Code en l'occurrence) pour l'écriture du code.

Voilà, si vous avez un Commodore 64 qui traîne ou juste un émulateur VICE sous la main, foncez tester, c'est sympa !