Les news de Korben

UNIX Magic - Le poster culte de 1986 enfin décodé

Korben ✨ — Mon, 27 Apr 2026 20:58:17 +0200

Si vous avez bossé sous Unix dans les années 80, vous avez peut-être déjà croisé ce poster. Un sorcier barbu en robe noire, un chaudron qui déborde, des étagères couvertes de conteneurs étiquetés tar, awk, troff... C'est l'œuvre de Gary Overacre, publiée par UniTech Software dans les années 80 (apparemment 1986), et ce n'est qu'aujourd'hui qu'un dev nommé drio s'est dit que ce serait cool de cartographier chaque référence cachée sur unixmagic.net .

De ce que j'ai pu lire, le poster aurait été distribué en marge des conférences USENIX comme goodie et il n'y a visiblement jamais eu de réimpression. En 2021, le blogueur Jan-Piet Mens indiquait, après avoir contacté l'épouse de Gary Overacre et selon ses dires, il resterait environ 65 originaux du UNIX Magic chez les Overacre.

Overacre a aussi signé deux autres posters dans la foulée, encore plus rares (les titres listés varient selon les sources de revente : "Unix Feuds" ou "Computer Feuds", et "The View").

Computer Feuds (ou Unix Feuds selon les sources) - Gary Overacre.

Après si vous voulez l'un de ces visuels chez vous, deux options s'offrent à vous : Chasser un exemplaire sur eBay (et payer le prix d'un collector), ou imprimer la version 32 Mo dispo sur archive.org.

The View - Gary Overacre.

Maintenant, ce qui rend le poster culte, c'est pas juste sa rareté. C'est surtout la densité des blagues techniques planquées dedans. Selon les interprétations communautaires recensées sur unixmagic.net, le sorcier représente l'admin Unix maître du système, le chat noir perché à proximité serait cat, la fourche qu'il tient en main serait fork(), les tuyaux qui serpentent partout seraient les pipes (|), le crâne en bas du chaudron pointerait vers /dev/null là où les données vont mourir, et la botte qui traîne par terre serait un jeu visuel autour de boot (ou peut-être un sock/socket selon une autre annotation).

UNIX Magic - Gary Overacre, 1986. Source : archive.org / unixmagic.net

Sur les étagères, vous avez également des conteneurs avec les noms des outils Unix classiques : tar, awk, diff, uucp, troff, make. Et juste à côté, un détail que beaucoup ratent : un conteneur étiqueté C intact, et un autre étiqueté B... fissuré. Interprétation probable au fait que le langage C a remplacé son prédécesseur B (créé par Ken Thompson en 1969-1970 avant d'être supplanté par le C de Dennis Ritchie ). Il y a plein de petites subtilités comme ça.

Y'a aussi des initiales planquées un peu partout : dmr (Dennis M. Ritchie), kt (Ken Thompson), bwk (Brian Kernighan), soit trois grandes figures de la culture Unix dans un seul dessin. La robe du sorcier est également constellée de symboles shell, les caractères de redirection, le pourcentage du prompt csh, le dollar du prompt sh, l'astérisque du glob, le point d'exclamation de l'history expansion, les crochets... bref des symboles courants des shells Unix qu'on tape sans y penser en ligne de commande.

Même le titre du poster est présenté en grosses lettres bloc, comme la sortie de la commande banner. Et un peu plus loin, vous avez wall (l'utilitaire qui envoie un message à tous les utilisateurs connectés) représenté littéralement par un mur.

Voilà, le poster Unix Magic, c'est ce niveau de blagues visuelles partout.

Le projet de drio consiste donc à poser des marqueurs interactifs sur chaque détail du poster. À la date d'aujourd'hui, le site unixmagic.net affichait 41 références identifiées et documentées. C'est dans l'esprit, comparable à l'archéologie du Glider , ce symbole hacker dont je vous ai déjà parlé.

Et vous avez peut-être vu mais sur le poster, y'a aussi un sac d'origan posé dans un coin. C'est du folklore BSD non vérifié, mais d'après les spécialistes, ça ferait écho à une histoire de communauté où un acteur du milieu aurait été interpellé à la frontière canado-américaine avec un sac suspect dans ses bagages. Les douaniers étaient persuadés que c'était de la drogue alors que c'était de l'origan !

Et c'est ça, la vraie valeur du projet drio car sans ce travail de documentation, dans 20 ans, la référence au sac d'origan ou d'autres risquent de devenir impossibles à comprendre car les références se perdent avec les générations.

Après si en bon barbu survivant des années 80, vous reconnaissez un détail que personne n'a encore décodé, c'est le moment d'apporter votre pierre à l'édifice.

Et si vous voulez en faire un trophée mural, comme j'vous disais, archive.org a la version 32 Mo.

Source

Cat Gatekeeper - Le chat qui débarque quand vous scrollez trop

Korben ✨ — Mon, 27 Apr 2026 20:07:38 +0200

Cat Gatekeeper, c'est une extension Chrome signée Zokuzoku, un développeur japonais et son truc à lui c'est de balancer un chat virtuel sur votre écran quand vous traînez trop longtemps sur les réseaux sociaux (Pour le moment, X, Instagram, TikTok et YouTube). Voilà c'est un peu comme cette grosse boule de graisse que vous appelez "Mon chat" et qui vient toujours s'installer sur votre clavier au pire moment quand vous bossez ! Sauf que celui-là est virtuel et vient saboter votre dose de scroll infini.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/cat-gatekeeper-extension-chat-pause-reseaux-sociaux/cat-gatekeeper-extension-chat-pause-reseaux-sociaux-1.mp4">lien vers la vidéo</a>.

Suffit pour cela d'installer l'extension depuis le Chrome Web Store , vous réglez votre limite de temps (60 minutes par défaut), votre durée de pause (5 minutes par défaut), et c'est plié.

Ensuite, dès que le compteur arrive à zéro, l'énorme chat débarque en overlay et occupe votre écran le temps de la pause.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/cat-gatekeeper-extension-chat-pause-reseaux-sociaux/cat-gatekeeper-extension-chat-pause-reseaux-sociaux-2.mp4">lien vers la vidéo</a>.

Le truc qui me plaît avec ce truc, c'est l'angle d'approche car masquer ou bloquer des éléments de réseau social comme le fait Unhook sur YouTube , ça aide vraiment à réduire les distractions au quotidien, mais je trouve qu'un chat qui arrive pour vous obliger à respirer un bon coup, c'est plus mignon.

Canonical va foutre de l'IA partout dans Ubuntu

Korben ✨ — Mon, 27 Apr 2026 19:26:00 +0200

Jon Seager, VP Engineering chez Canonical, vient de poser sur le Discourse Ubuntu le plan IA de la distrib pour les 12 prochains mois. Et ça va saupoudrer partout, du speech-to-text amélioré aux workflows agentic, en passant par l'analyse automatisée des logs serveur. Le timing est limpide, et à peine Ubuntu 26.04 LTS est sortie que Canonical aligne déjà sa "next big thing".

Concrètement, vous tapez snap install nemotron-3-nano et tadaa, vous récupérez un modèle local pré-optimisé pour votre silicium (genre 2 à 4 Go selon la quantization), avec un endpoint API compatible OpenAI servi sur localhost. C'est ça, leurs fameuses Inference Snaps.

La liste tourne autour de Gemma 4 (Google DeepMind), Qwen-3.6-35B-A3B, Nemotron-3-nano, DeepSeek et Llama, et perso je trouve le choix plutôt cohérent vu qu'il colle aux modèles open weight les plus chauds du moment. Bien sûr, l'inférence est locale par défaut plutôt que cloud, l'idée étant d'éviter d'envoyer vos prompts chez un tiers chaque fois que vous demandez un résumé de log.

Côté technique, tout passe par la sandbox Snap pour gérer les permissions, ce qui change pas mal la donne par rapport à un binaire qui pourrait taper partout sur le disque.

Ubuntu 26.04 LTS embarque déjà la "prompting capability" qui permet d'autoriser ou refuser l'accès aux modèles app par app et les fonctionnalités attendues couvrent les ajustements caméra et micro (réduction de bruit, flou d'arrière-plan), l'accessibilité écran, l'automatisation du troubleshooting, et côté serveur, l'aide à l'interprétation des incidents pour les équipes SRE.

Pour ceux qui bossent sur des fermes de serveurs, à vrai dire c'est ce dernier point qui sera vraiment utile, parce que pour parser des logs à la main quand ça part en cacahuète, ça vaut le coup d'avoir une IA qui dégrossit.

Le hic dans ce thread Discourse, c'est l'absence de killswitch IA global comme peut le propose Firefox. Plusieurs utilisateurs demandent un opt-in clair plutôt qu'un opt-out diffus, et un alignement explicite avec la définition Open Source AI de l'OSI.

La réponse de Seager est nette, "some features will use AI, and if you use those features, you'll be using some sort of AI model". Donc pas de bouton "désactive-moi tout ça", mais juste du contrôle granulaire au niveau Snap. Bref, comme d'hab, ça en calmera certains, mais vu comment certains ont littéralement fondu un plomb quand Firefox a adopté ses fonctionnalités IA (locales et désactivables, je le rappelle), j'image que Ubuntu va se prendre sa petite shitstorm de "j'suis tout rouge et pas content" dans pas longtemps...

Cette ambiguïté fait d'ailleurs déjà grincer des dents sur certaines chaînes YouTube de barbus, où le terme "Microsoft 2.0" ressort déjà dans plusieurs vidéos critiques. Ahaha, c'est toujours le même gag ! Mais Canonical jure ses grand morts que ce sera différent... Tenez la citation officielle "Ubuntu is not becoming an AI product, but it can become stronger with thoughtful AI integration".

Maintenant pour les sceptiques qui veulent tester sans s'engager, la bidouille est simple. D'abord, vous laissez les Inference Snaps non installés (ils ne sont pas dans le seed par défaut). Ensuite, vous bloquez les capabilities IA dans snap connections. Et comme ça vous gardez la main sur ce qui tourne en local.

Après si vous voulez expérimenter, l'API OpenAI-compatible permet de faire pointer n'importe quelle app dessus avec deux lignes de config, ce qui est vraiment pratique pour comparer un modèle 3B local face à GPT-4 cloud sur des tâches précises. Sauf si votre machine n'a pas assez de VRAM, et là le modèle 3B va ramer comme un veau et vous reviendrez vite vers le cloud... pas glop.

Il reste quand même la vraie question, qui est celle de la transparence des datasets de training. Là dessus, Canonical n'a pas encore donné de réponse claire, et c'est probablement là que se jouera la confiance long terme.

Promettre l'open weight déjà c'est bien, mais expliquer comment les modèles ont été entraînés ça serait franchement mieux.

Bref, à surveiller fin 2026 quand les premières features atterriront vraiment sur les ordis des early adopters. Pour l'instant, la roadmap c'est surtout beaucoup d'intentions louables, mais bon, on en reparlera dans six mois.

Source : Phoronix

Pedro de Ayala - Sa lettre chiffrée de 1498 enfin décodée

Korben ✨ — Mon, 27 Apr 2026 18:44:26 +0200

Adrian William Jaime, Valeria Tapia Cruz et Mairi Cowan, 3 chercheurs de l'Université de Toronto, viennent de boucler le déchiffrement complet d'une lettre que personne n'avait jamais réussi à lire en entier depuis sa redécouverte en 1860. C'est Bruce Schneier qui relaye l'info sur son blog , et c'est pil poil une histoire qui prouve que l'infosec ne date pas d'hier.

La lettre fait 11 pages, elle a été écrite à Londres le 25 juillet 1498 par Pedro de Ayala, un noble de Tolède en mission diplomatique en Angleterre pour le compte de Ferdinand d'Aragon et Isabelle de Castille.

Pour empêcher les rivaux de la lire si jamais elle se faisait intercepter en chemin, Ayala a alors chiffré une partie du texte avec un système de symboles maison où, vice ultime du gars, plusieurs symboles différents pouvaient représenter la même lettre.

Première page de la lettre

Par conséquent, la table de fréquences classique, celle qui marche sur les chiffres mono-alphabétiques basiques, ne donnait donc rien de propre. Voilà pourquoi la chose a tenu 165 ans face à des historiens qui s'y cassaient les dents les uns après les autres.

Mais notre petite équipe de Toronto a fini par reconstruire la clé entière, symbole par symbole, et a publié la transcription complète dans Renaissance Studies en libre accès.

Et faut dire qu'une fois le texte en clair, le contenu vaut largement le travail !

En effet, Pedro de Ayala fait à ses souverains un brief politique cash sur l'état de la Grande-Bretagne. Sur Jacques IV d'Écosse, il balance que le mec parle latin, français, allemand, flamand, italien, espagnol et probablement gaélique, qu'il décrit comme « une langue que les sauvages parlent dans une certaine partie de son royaume ». Charmant.

Sur les Écossaises, c'est encore mieux : « Les femmes sont très courtoises à l'extrême. Je dis cela parce qu'elles sont très audacieuses. Elles sont les gouvernantes absolues de leurs maisons. »

Et sur Henri VII d'Angleterre, l'envoyé espagnol ne mâche pas ses mots : « Il n'est pas aimé du tout, la reine en revanche est beaucoup aimée parce qu'elle peut faire peu. ». Avec ce qu'il balance, je comprends que ce diplomate ait bien bossé son chiffrement.

Pedro, à fond dans le chiffrement !

Le bonus historique, c'est que la lettre confirme aussi le voyage transatlantique de Jean Cabot l'année précédente, avec une remarque assez piquante adressée à Ferdinand et Isabelle : « ce qu'ils ont trouvé ou cherchent est ce que Vos Altesses possèdent. » Traduction polie : les Anglais sont en train de venir mettre les pieds dans votre pré carré américain.

La lettre originale, numérisée, est consultable directement dans les archives espagnoles si vous voulez voir à quoi ressemble du chiffrement diplomatique fait main au XVe siècle.

Le truc qui me fait marrer dans cette affaire, c'est de réaliser que les principes du chiffrement par homophones, le fait d'utiliser plusieurs symboles pour la même lettre afin d'aplatir la fréquence d'apparition, ce sont exactement les bases sur lesquelles ont été pensées plus tard les machines comme Enigma.

Pedro de Ayala, en 1498, faisait déjà sans le savoir un peu de cryptanalyse-resistant design. Et 5 siècles plus tard, il aura fallu trois universitaires et probablement des outils informatique que lui n'aurait jamais pu imaginer pour casser sa petite combine.

Trop fort Pedro !!

Source : Medievalists.net

Test du DJI Mic Mini, le kit de micros sans fil indispensable

Vincent Lautier — Mon, 27 Apr 2026 17:46:03 +0200

- Contient des liens affiliés Amazon -

J'ai pris il y a quelques semaines le pack DJI Mic Mini à 79 euros sur Amazon , deux émetteurs et un récepteur dans un boîtier de charge, pour un usage assez mixte : stories Instagram, vidéos YouTube, et de plus en plus d'appels et de visios où je voulais arrêter d'avoir un son moyen sur le micro intégré du Mac ou de mon iPhone. Je l'utilise absolument tout le temps, en intérieur comme en extérieur.

Pour la création de contenu, le couple émetteur-récepteur fait exactement le job. Chaque émetteur pèse 10 grammes, se clipse magnétiquement sur un t-shirt ou une veste sans déformer le tissu, et les bonnettes anti-vent fournies sont là si vous tournez dehors en plein vent. La portée annoncée de 400 mètres est probablement un peu, mais en pratique je n'ai jamais eu de coupure dans un parc ou sur une terrasse, donc la marge de sécurité est largement suffisante pour des stories ou des plans Vlog.

Le vrai plus pour moi, c'est l'usage en visio. Je branche le récepteur en USB-C sur le Mac (ou sur le téléphone via l'adaptateur fourni), je clipse un émetteur sur le t-shirt, et la qualité du son que reçoivent les interlocuteurs change instantanément. Plus de bruit de clavier, plus d'écho de la pièce. Plus de syllabes mangées. Pour les appels importants ou les enregistrements depuis le bureau, c'est devenu mon réflexe avant de cliquer sur « Rejoindre la réunion ». Avec 48h d'autonomie avec le boîtier de charge, on oublie complètement la recharge sur une semaine de boulot ou de tournage ponctuels.

Il y a une subtilité à connaître si vous avez déjà du DJI dans votre matos. Avec OsmoAudio, l'émetteur peut se connecter directement à une Osmo Pocket 3, à une Action 5 Pro ou à un Osmo Mobile 7P sans passer par le récepteur. Le son arrive direct dans la caméra. Pratique pour alléger le sac quand on part en tournage léger, ou pour un setup vlog. Si vous n'êtes pas dans cet écosystème, vous perdez juste cette astuce, mais le pack reste utilisable avec n'importe quoi, et c'est d'ailleurs mon cas, je n'utilise pas d'autre matériel DJI, à part mon drone, que je ne connecte pas au micro.

Bref, voilà, ça fait un moment que je voulais vous en parler. À 79 euros, le DJI Mic Mini est devenu mon kit par défaut. Stories, YouTube ou visio, c'est 100% validé, et même si vous avez l'impression que ça ne vous sera pas utile, bah vous allez voir qu'une fois testé, vous allez lui trouver des tas d'usages. Disponible ici sur Amazon .

smolvm - Des microVMs qui se lancent en moins de 200ms

Korben ✨ — Mon, 27 Apr 2026 15:57:25 +0200

Docker Desktop bouffe la RAM comme vous le saucisson à l'apéro. Et même quand vous n'utilisez pas cette RAM, d'autres outils comme Lima ou Colima prennent aussi de la RAM.

Mais c'était sans compter sur smolvm , le projet de BinSquare et de l'équipe smol-machines, qui s'attaque au problème par un autre angle, à savoir utiliser des microVMs hardware-isolées qui bootent en moins de 200 millisecondes, qu'on configure en TOML, et qu'on peut packer dans un seul binaire .smolmachine qui tournera sur n'importe quel Mac ou Linux compatible.

Pas de daemon ni de service à lancer en background, non, c'est juste un bon vieil outil CLI codé en Rust qui boote une VM par workload et s'éteint quand c'est fini !

Ainsi, quand vous tapez :

smolvm machine run --image alpine -- sh -c "ma commande"

ça vous sort un noyau Linux complet avec son propre kernel, isolé via Hypervisor.framework sur Mac ou KVM sur Linux et tout ça en moins de temps qu'il n'en faut à Docker Desktop pour afficher sa fenêtre de démarrage. LOL

Le réseau est désactivé par défaut, mais si vous voulez l'activer, vous pouvez whitelister uniquement les domaines autorisés. Cette approche "deny by default" est rare dans l'écosystème conteneur, où en général on ouvre le réseau d'abord et on filtre après.

La fonctionnalité qui sort vraiment du lot, c'est surtout le packing en format .smolmachine. Concrètement, vous prenez votre image Docker (Python 3.12, Postgres, ce que vous voulez...), vous lancez :

smolvm pack create --image python:3.12-alpine -o ./python312

Et hop, magie magie, vous avez un exécutable totalement autonome avec tout ce qu'il faut dedans : kernel, rootfs, dépendances et tutti quanti comme disent les Allemands !

Plus besoin comme ça, d'installer quoi que ce soit du côté du destinataire de votre app. Vous balancez simplement votre binaire à un collègue, il le lance, et ça marche. Il est content, vous aussi, c'est trop bien, y'a plus qu'à aller boire ce truc dégeu qu'on appelle dans le sud, "un petit jaune" pour célébrer ça !!

Sous le capot, le moteur de virtualisation s'appuie sur libkrun , une bibliothèque VMM développée par Red Hat dans le cadre de l'initiative rust-vmm. Pour les noobzzzz, rust-vmm est un effort communautaire qui partage des composants Rust de virtualisation entre plusieurs projets : Firecracker (AWS), Cloud Hypervisor (Intel), crosvm (Google), libkrun (Red Hat) et donc smolvm.

Du coup les améliorations sur la mémoire ou la sécurité bénéficient à tous en parallèle. Côté kernel, smolvm embarque libkrunfw, un noyau custom optimisé pour démarrer hyper vite. J'ai testé, ça tient sa promesse < 200 ms !

La mémoire est élastique via virtio balloon ce qui fait que le host n'engage que ce que le guest utilise vraiment et récupère le reste automatiquement. Et les vCPUs dorment dans l'hyperviseur quand ils sont idle (en attente), ce qui permet d'over-provisionner sans payer le prix.

Côté sécu, y'a des détails qui sont cools aussi comme le SSH agent forwarding du host qui est exposé au guest sans jamais que les clés privées n'entrent dans la VM. En effet, c'est l'hyperviseur qui fait barrière donc vous pouvez cloner un repo privé depuis une VM jetable, comme un cochon, sans risquer d'exfiltrer vos identifiants si le code que vous lancez est foireux.

Et chaque workload a son propre kernel, donc une faille dans le kernel guest reste cantonnée à cette VM. Top hein ? Comparé à un conteneur Docker classique où une CVE kernel touche tout le host, c'est un autre niveau d'isolation.

Au niveau des concurrents, Firecracker (AWS) tourne uniquement sous Linux et vise les workloads serverless du cloud, mais pas le poste dev. Kata Containers de son côté fait du microVM mais boot en environ 500ms et nécessite une stack containerd lourde.

QEMU est puissant c'est sûr, mais boot en 15 à 30 secondes selon la config, donc oubliez, la vie est trop courte ! Quant à OrbStack dont je vous parle tout le temps puisque c'est l'alternative à Docker Desktop sur Mac qui est la plus aboutie aujourd'hui, ça reste quand même un outil proprio qui se repose sur Docker.

smolvm lui, boxe dans une autre catégorie puisque c'est une lib SDK embarquable, et pas juste un CLI, et son format .smolmachine n'a pas d'équivalent direct. C'est donc plus proche de l'esprit de Nix ou des binaires statiques Go, mais avec une isolation hardware réelle.

Sachez-le, en 2026, environ 42% des commits GitHub viennent de code généré ou assisté par IA. Je sais, ça en défrise pas mal mais c'est la nouvelle réalité.

Sauf qu'à chaque fois que vous lancez un script Python ou un paquet npm non relu, codé par une IA, vous prenez potentiellement un risque. En effet, à chaque fois, que vous donnez à du code potentiellement malveillant un accès direct à vos credentials, votre système de fichier ou encore votre réseau, vous vous exposez.

Ce bon vieux chmod +x && ./run.sh servi avec du café et beaucoup d'espoir, c'est terminé ! smolvm vous propose de basculer vers un modèle où l'isolation est l'état par défaut, et où ouvrir le réseau ou votre système de fichiers est une décision vraiment explicite. Donc parfait pour laisser des agents IA faire leur vie sur vos projets sans prendre de risques.

Notez que le support GPU est dans une branche séparée, et pas encore mergé. Et le projet est principalement piloté par BinSquare avec un Discord modeste derrière, et pas une fondation booster aux milliards d'Amazon ou de Google. Du coup ne déployez pas ça en prod sans backup... Mais pour du dev, de la sandbox d'agents IA, ou tout simplement pour distribuer votre binaire, c'est déjà très solide.

Et comme ça bouffe moins de RAM que Docker Desktop, sur un MacBook avec 16 Go, la différence se sent immédiatement.

Pour l'installer, ça passe par curl :

curl -sSL https://smolmachines.com/install.sh | bash

ou un download manuel depuis les releases GitHub.

Lancez ensuite

smolvm --help

ou ce hello world :

smolvm machine run --net --image alpine -- sh -c "echo 'Hello world from a microVM' && uname -a"

Et à vous de jouer !

Microsoft lance Windows K2, son chantier interne pour réparer Windows 11

Vincent Lautier — Mon, 27 Apr 2026 15:46:47 +0200

Microsoft a lancé en interne une initiative baptisée Windows K2, dont le but est de répondre aux plaintes les plus fréquentes des utilisateurs de Windows 11.

Le projet, démarré au second semestre 2025 et révélé cette semaine par Zac Bowden de Windows Central , attaque trois fronts : la prolifération de Copilot un peu partout, les performances du système et la fiabilité générale. C'est la première fois depuis longtemps que Microsoft reconnaît officiellement, en interne en tout cas, qu'il y a un problème.

Le premier chantier visible, c'est le retrait progressif de l'intégration Copilot dans des applis où elle n'apportait franchement pas grand-chose. Notepad, Photos, l'outil Capture, les widgets de l'écran de verrouillage.

Microsoft scrappe aussi son projet d'intégrer Copilot dans le centre de notifications et dans les Paramètres, deux endroits où ça aurait fini par taper sur les nerfs de tout le monde. La direction l'a admis : trop de Copilot tue Copilot.

Côté performance et stabilité, K2 vise des problèmes plus profonds, ceux qui font que Windows 11 reste perçu comme plus lourd et plus capricieux que Windows 10. Bowden cite plusieurs équipes mobilisées sur la latence du shell, le temps de démarrage et les régressions des mises à jour mensuelles, qui ont fait pas mal de bruit en 2025 avec des écrans bleus en série sur certaines configurations.

Depuis fin 2024, les retours sur Windows 11 ont été franchement négatifs. Sentiment de système publicitaire avec des suggestions partout, regrets sur Windows 10 dont le support a pris fin en octobre 2025, déception sur les promesses des Copilot+ PC qui ne se traduisaient pas en gain visible. Microsoft a apparemment décidé qu'il fallait faire quelque chose avant que la base utilisateur n'aille voir ailleurs. Un peu tard si vous voulez mon avis.

Une précision quand même : K2 n'est pas du tout un Windows 12. Windows Central a démenti plusieurs fois cette idée à mesure que la rumeur s'est amplifiée. C'est une démarche de rattrapage à l'intérieur même de Windows 11 qui s'étale sur l'année 2026, avec des correctifs qui arriveront via les mises à jour habituelles. Ne vous attendez donc pas à une grande release packagée façon réinitialisation, mais à une série de retraits silencieux et de gains de performance disséminés sur les builds, et ça sera déjà bien.

Microsoft admet enfin que Windows 11 a un problème, et lance donc son grand ménage. Mieux vaut tard que jamais.

Source : XDA

PanicLock - Désactiver Touch ID en un clic sur votre Mac

Korben ✨ — Mon, 27 Apr 2026 15:30:46 +0200

Si vous voyagez avec un Macbook qui contient des trucs trèèèès sensibles, faut absolument que vous alliez tester cet outil.

PanicLock est le bouton "panique" qu'Apple n'a jamais voulu faire. Grâce à cela, en un clic, Touch ID se désactive totalement.

Plus de biométrie, et retour au mot de passe obligatoire pour rouvrir la session. Parce que oui, Touch ID, c'est ultra pratique au quotidien, sauf quand un agent à la frontière ou un flic un peu trop curieux vous demande gentiment (ou de force) de poser votre doigt sur le capteur de votre machine.

Sur iPhone, Apple a prévu quand même une astuce (5 pressions sur le bouton latéral et la biométrie se désactive). Mais sur Mac, rien !

Le principe de PanicLock, c'est tout simplement de cliquer sur l'icône dans la barre de menu ou d'appeler un raccourci clavier de votre choix et voilà ! Votre Mac se verrouille alors en désactivant Touch ID au passage.

Les devs ont aussi prévu une option "Lock on Close" qui déclenche le panic mode automatiquement lorsqu'on referme l'écran du Macbook, ce qui est la fonctionnalité la plus utile de tout le pack ! Vous fermez l'écran, et c'est mort, faut le mot de passe !

Sous le capot, ça fonctionne grâce à des fonctions natives de macOS qui sont tout simplement détournées pour permettre de désactiver la biométrie en 2 secondes. Notez que le code de PanicLock est sous licence MIT, et fonctionne 100% en offline.

Alors pourquoi c'est utile au-delà de la paranoïa que vous vous trimballez depuis que vos parents vous ont appris que vous aviez un frère adoptif secret ?

Hé bien y'a une vraie distinction juridique en jeu que j'évoquais d'ailleurs récemment dans mon article sur les cartes bancaires biométriques . En effet, aux États-Unis, la justice est divisée car en janvier 2025, la cour d'appel fédérale du District of Columbia a tranché dans US v. Brown que forcer quelqu'un à déverrouiller son téléphone violait le 5e amendement, parce que ça revient à témoigner contre soi-même.

Alors que la cour d'appel fédérale de l'Ouest Américain, elle, considère qu'un déverrouillage biométrique reste un acte physique qui n'est pas un témoignage, donc forçable. Et là, désactiver Touch ID avant un contrôle change donc tout puisque grâce à ça, on bascule dans le cas "mot de passe obligatoire", qui est mieux protégé légalement dans plusieurs juridictions. C'est exactement la même logique que la fonction iOS 18 qui affole la police , transposée côté Mac.

Je ne suis pas expert, mais je crois qu'en France, c'est un petit peu la même chose avec notre droit à ne pas nous auto-incriminer.

Côté limites, PanicLock désactive Touch ID, et c'est tout, donc si vous avez l'unlock par Apple Watch ou via une clé de sécurité, votre Mac restera quand même "ouvrable" autrement. Il faut donc penser à désactiver ces méthodes en parallèle si vous êtes vraiment dans une situation à risque.

Pour l'installer, c'est:

brew install paniclock/tap/paniclock

ou téléchargement du DMG depuis la page releases.

Et sur iPhone, la même philosophie existe via le pair locking qui bloque les ports USB, si vous voulez aller encore plus loin.

Bref, c'est petit, c'est simple, et c'est gratuit !!

Linux 7.1-rc1 sort avec un nouveau pilote NTFS deux fois plus rapide

Vincent Lautier — Mon, 27 Apr 2026 15:00:55 +0200

La première release candidate de Linux 7.1 est sortie, avec un tout nouveau pilote NTFS écrit pour le noyau, qui annonce des écritures multi-thread deux fois plus rapides et un montage de disque jusqu'à quatre fois plus véloce que l'ancien.

La sortie stable est prévue pour la mi-juin selon le calendrier de Linus Torvalds. Au total, la fenêtre de merge a vu passer plus de 13 000 commits, ce qui en fait une release plutôt costaude.

Le pilote NTFS dans Linux a une longue histoire compliquée. Pendant des années, le kernel a embarqué deux pilotes : ntfs en lecture seule maintenu par Anton Altaparmakov, et ntfs3 contribué par Paragon Software puis pratiquement abandonné depuis 2024.

La version qui débarque dans 7.1 est une réécriture complète, optimisée pour les usages dual-boot et les disques externes formatés en NTFS, qui restent monnaie courante quand on échange des fichiers avec Windows.

L'autre nouveauté, c'est l'activation par défaut de FRED, le mécanisme Flexible Return and Event Delivery développé par Intel pour remplacer le vieux système d'IDT et d'interruptions hérité du x86. Cette activation doit simplifier la gestion des exceptions et des appels système, avec moins de cycles perdus à chaque commutation de contexte. Sur les puces Intel récentes qui le supportent, c'est un petit gain de performance qu'on récupère sans rien faire.

Côté ménage, on vous en a déjà parlé , Linux 7.1 retire le support du i486, processeur sorti en 1989, et abandonne plusieurs vieux pilotes réseau et SoC qui n'avaient plus d'utilisateurs réels. Personne ne regrettera. Le kernel garde son équilibre entre support legacy et code moderne, en évacuant les morceaux qui coûtent en maintenance pour zéro retour visible.

Pour les utilisateurs de tous les jours, le gros impact ça sera cette affaire d'NTFS. Avoir un pilote rapide, fiable et maintenu directement dans le kernel mainline change la vie de tous ceux qui jonglent entre Linux et Windows sur la même machine. Plus besoin de dépendre de ntfs-3g en userspace ou de monter en lecture seule pour éviter les corruptions, ce qui était le quotidien de pas mal de gens depuis bien trop longtemps.

C'est aussi un bon indicateur pour l'écosystème : du code propre, écrit en interne, sans dépendre d'un éditeur tiers qui peut se désengager du jour au lendemain.

Linux 7.1 fait donc un gros ménage et règle un problème bien relou. Pour ceux qui galèrent avec leurs disques NTFS depuis bien longtemps, c'est une libération.

Source : Phoronix

Un amateur résout un problème d'Erdős vieux de 60 ans avec un seul prompt GPT-5.4

Vincent Lautier — Mon, 27 Apr 2026 14:36:34 +0200

Liam Price, 23 ans, mathématicien amateur sans formation avancée, a résolu un problème d'Erdős resté ouvert depuis 60 ans en posant la question à GPT-5.4 Pro un lundi après-midi en avril.

Le modèle a tourné 80 minutes pour produire une preuve qui passe la validation du médaillé Fields Terence Tao. C'est ce que rapporte Joseph Howlett dans Scientific American.

Le problème en question, c'est l'Erdős #1196, posé par le mathématicien hongrois en 1965. L'IA n'a pas tout cassé en force brute. Elle a utilisé la fonction de von Mangoldt, un outil bien connu en théorie des nombres, mais que personne n'avait pensé à appliquer à ce type de question depuis 90 ans.

Tao parle d'une connexion jusqu'ici non décrite entre l'anatomie des entiers et la théorie des processus de Markov. En clair, l'IA a fait un pont entre deux branches mathématiques que les humains avaient laissé séparées.

La méthode est assez simple. Price a copié le problème dans une fenêtre ChatGPT, lancé GPT-5.4 Pro en mode raisonnement, et attendu. Pas de papier brouillon, pas d'allers-retours avec un professeur, pas de café à minuit avec des collègues. Un prompt, une réponse, et un objet mathématique sur lequel des experts du monde entier auront ensuite à se pencher pour valider chaque ligne.

Maintenant il faut savoir que la sortie brute de l'IA était plutôt confuse. Tao et Jared Lichtman, mathématicien à Oxford, ont dû relire, simplifier et reformuler la preuve pour qu'elle devienne lisible.

Sans expert humain pour décanter le résultat, le prompt seul n'aurait probablement pas convaincu une revue scientifique. L'IA a vu la bonne idée, mais pas vraiment su l'expliquer proprement.

Tao reste prudent. Il rappelle que le problème n'était pas le plus dur du livre des Erdős, et que l'IA a surtout gagné en vitesse, pas forcément en profondeur.

Lichtman, lui, parle du premier résultat IA au niveau du livre des Erdős, ce qui reste une marche assez impressionnante. Côté Liam Price, le jeune homme va probablement ajouter une ligne assez folle à son CV. Et le débat sur ce que ça veut dire pour la recherche en mathématiques pures, lui, est désormais lancé pour de bon.

Source : Scientific American

DeepSeek lance V4, optimisé pour les puces chinoises Huawei Ascend

Vincent Lautier — Mon, 27 Apr 2026 12:56:25 +0200

DeepSeek a publié la preview de V4, sa nouvelle famille de modèles ajustée pour tourner sur les puces Ascend de Huawei. C'est un peu la première vraie démonstration que l'écosystème chinois peut faire fonctionner un grand modèle d'IA compétitif sans dépendre de Nvidia.

Pour rappel, DeepSeek avait déjà fait du bruit avec V3 fin 2024, en publiant un modèle compétitif à une fraction du coût d'entraînement des concurrents américains.

La gamme se décline en deux versions, V4-Pro et V4-Flash, avec une fenêtre de contexte qui passe de 128 000 tokens à un million. Sur du contexte d'un million de tokens, V4-Pro consomme seulement 27% de la puissance de calcul de la précédente V3.2 et 10% de la mémoire.

V4-Flash descend à 10% de calcul et 7% de mémoire. Le bond est énorme. Tout cela sur des Ascend A2, A3 et la nouvelle 950 de Huawei, qui couvrent une bonne partie de la gamme serveur du fabricant.

L'angle politique est évident. Depuis 2022, les États-Unis ont multiplié les sanctions sur les exports de puces Nvidia haut de gamme vers la Chine, en partant du principe que ça ralentirait la course à l'IA. Le pari semble en train d'échouer : avec une coordination étroite entre l'équipe DeepSeek et les ingénieurs Huawei, le modèle est conçu pour coller aux particularités matérielles d'Ascend dès le design, pas après coup.

D'un point de vue purement économique, DeepSeek garde sa stratégie de prix planchers et ouvre la plupart de ses poids en open source, ce qui place V4 directement à portée des labos universitaires et des startups chinoises.

En pratique, ça veut dire que pour entraîner ou affiner un modèle de bon niveau en Chine, il y a maintenant une chaîne complète maison, du silicium au modèle, sans passer par H100, H200 ou Blackwell. Et la facture totale est bien plus basse.

Toutes les difficultés ne sont pas réglées pour autant. La preview est ouverte mais l'écosystème logiciel autour d'Ascend, et particulièrement les frameworks d'entraînement et les outils de profiling, n'est pas encore au niveau de CUDA. Pour un développeur habitué à PyTorch sur Nvidia, le portage demande encore du travail. Et la disponibilité des Ascend 950, encore en montée en cadence dans les usines chinoises, n'est pas garantie pour tout le monde.

Avec tout ça, DeepSeek montre qu'on peut faire un modèle long contexte performant sur du silicium chinois. Le découplage technologique avance plus vite que beaucoup d'analystes ne le prédisaient.

Firefox embarque en douce le moteur d'adblock open source de Brave

Vincent Lautier — Mon, 27 Apr 2026 11:45:34 +0200

Mozilla a glissé dans Firefox 149, sorti en mars, le moteur d'adblock open source de Brave, sans communiquer dessus dans les notes de version.

L'info est sortie cette semaine via le blog itsfoss et un billet du VP Brave Shivan Kaul Sahib. C'est un retournement assez inattendu : Firefox embarque le code d'un concurrent direct pour bloquer des publicités au cœur du navigateur.

Le composant en question s'appelle adblock-rust. C'est un moteur écrit en Rust, sous licence MPL-2.0, qui gère le filtrage des requêtes réseau et le filtrage cosmétique sur la page.

Il accepte directement la syntaxe des listes de filtres compatibles avec uBlock Origin, donc EasyList, EasyPrivacy et compagnie marchent sans trop se casser la tête. L'intégration a été poussée via le bug Bugzilla 2013888 par l'ingénieur Mozilla Benjamin VanderSloot, sous le titre "Add a prototype rich content blocking engine".

Pour le moment, la chose est désactivée par défaut. Aucune interface utilisateur dans les préférences, aucune liste de filtres préchargée, rien de tout ça. Si vous voulez tester, il faut passer par about:config, activer la fonction et fournir vos propres listes. C'est clairement une phase de test, pas un produit fini. Mais le code est déjà dans le binaire stable de millions d'utilisateurs, ce qui n'est pas anodin pour un simple test technique.

Le contexte rend la manœuvre encore plus intéressante. Chrome a appliqué entre 2024 et 2025 sa nouvelle norme d'extension Manifest V3, qui réduit fortement les capacités des adblockers tiers comme uBlock Origin. La conséquence directe a été un transfert massif d'utilisateurs vers des navigateurs qui restaient compatibles avec uBlock, dont Firefox forcément. En intégrant un moteur natif performant, Mozilla pourrait demain proposer un adblock par défaut, sans dépendre d'une extension tierce qui pourrait être bridée par les politiques d'extension.

Côté Brave, le calcul est aussi très clair. Le navigateur basé sur Chromium n'a jamais réussi à bouger vraiment l'aiguille en parts de marché malgré son angle pro-vie privée. Par contre, voir son moteur d'adblock embarqué dans le code d'un acteur historique comme Firefox, c'est une victoire qui légitime tout son travail de recherche depuis des années. Et la licence MPL-2.0 rend la chose juridiquement clean des deux côtés.

Il y a quand même quelques zones d'ombre. Mozilla n'a publié aucune déclaration officielle, ce qui laisse penser que l'équipe veut probablement éviter de braquer son partenariat publicitaire avec Google avant que la fonction soit activable. Et Waterfox, le fork de Firefox plutôt orienté "privacy", a déjà commencé à proposer l'option dans ses builds, ce qui pourrait pousser Mozilla à se positionner un peu plus vite.

Vous l'avez compris, Mozilla pose les fondations d'un adblock natif Firefox sans le dire, en empruntant le moteur d'un concurrent. C'est un move intéressant.

Source : Itsfoss

Hypervibe - Codez avec une télécommande Apple TV

Korben ✨ — Sun, 26 Apr 2026 10:35:00 +0200

Vous savez cette télécommande Apple TV de première génération qui traîne dans un tiroir et dont vous ne faites rien ?

Bah y'a enfin un truc à faire avec ! Jinsoo An, alias machinarii sur GitHub, vient de sortir Hypervibe , un outil macOS qui transforme la télécommande de l'Apple TV en walkie-talkie comme disent les québecois, pour Claude Code.

Push-to-talk, swipes pour les commandes slash, boutons remappables, le tout pour coder à une seule main pendant que vous mangez vos chips au vinaigre de hipsters de l'autre.

Le principe est simple : vous tenez la télécommande comme un talkie, vous appuyez sur le bouton Siri pour parler à Claude Code (dictation Claude doit être activée préalablement), puis Play/Pause envoie le prompt, Menu fait Échap, et TV envoie un Ctrl+C pour annuler.

Et les swipes du touchpad sont mappés sur les commandes slash de Claude : swipe up pour /usage, swipe down pour /compact, swipe left pour /model, swipe right pour basculer en mode plan/auto-accept. Et comme vous pouvez vous en douter, ous les mappings sont modifiables à la volée via la barre de menu, et sauvegardés dans UserDefaults.

Hypervibe est en V0.1 expérimental, et y'a pas de binaire pré-compilé, donc vous devrez le compiler depuis les sources.

Notez quand même (parce qu'il faut rendre à César ce qui appartient à César) que Hypervibe est un fork de Remotastic de Lauschue, qui a posé les fondations du HID Siri Remote et du menu bar. Hypervibe ajoute en plus le push-to-talk, les swipes mappables sur les commandes Claude Code, et pas mal de petites subtilités pour que ça fonctionne au poil !. Côté licence c'est MIT, donc vous pouvez forker à votre tour si vous voulez ajouter votre propre layout.

Et voilà comme une télécommande à 3 balles en vente sur LeBonCoin devient un périphérique d'entrée pour Claude Code avec voix et gestures intégrés, pendant que des startups de dropshipping nous vendent des claviers "AI-native" à 300 €.

La bidouille plus fort que la douille !!

WinDiskWriter - Créez une clé USB Windows depuis macOS

Korben ✨ — Sun, 26 Apr 2026 09:00:00 +0200

Cas pratique du week-end : ma pote Alex m'a passé son PC familial tournant sous Windows 8, car son fils a changé le mot de passe du Windows et n'a pas la moindre idée de ce qu'il a tapé. Pour faire sauter ce mot de passe sans tout réinstaller, j'utilise depuis des années la bonne vieille astuce Sticky Keys, qui consiste à booter sur une clé USB Windows pour accéder au Terminal de récupération via MAJ+F10. Sauf que pour préparer cette clé, j'avais juste mon MacBook sous la main.

Et là, surprise !

Sur Windows, Rufus fait ça en deux clics depuis dix ans. Sur macOS, ça reste un sport de combat. Boot Camp Assistant est toujours dans le dossier Utilitaires mais inopérant sur les Mac Apple Silicon, le Media Creation Tool de Microsoft ne tourne pas sur Mac, et les tutos Terminal vous font formater en exFAT sans préciser que votre install.wim va dépasser les 4 Go de FAT32.

Mais heureusement, WinDiskWriter , signé TechUnRestricted, vient combler ce trou.

Vous téléchargez d'abord la build adaptée à votre Mac depuis les releases GitHub (Intel et Apple Silicon dispo) et ensuite vous glissez votre ISO Windows 10 ou 11, vous choisissez votre clé USB dans la liste, et vous cliquez Start. Voilà. Lui s'occupe du reste : partitionnement, formatage, copie des fichiers, et surtout le split automatique de l'install.wim en plusieurs install.swm dès que la taille dépasse les 4 Go.

Ce point vaut une explication, parce que c'est là où la plupart des tutos Mac plantent en silence. En fait, depuis certaines ISO de Windows 10, le fichier install.wim qui contient l'image disque compressée pèse plus de 4 Go. Or FAT32 plafonne chaque fichier à 4 Go (très précisément 4 GiB moins 1 octet), et la majorité des firmwares UEFI bootent par défaut sur du FAT32, sauf à charger un pilote tiers genre UEFI:NTFS.

Donc soit vous formatez en exFAT et vous priez pour que le PC cible accepte le boot, ce qui est loin d'être garanti sur les machines un peu anciennes comme c'est mon cas ici. Soit vous splittez le .wim en plusieurs morceaux que le bootloader Windows sait recombiner à l'install. WinDiskWriter effectue la deuxième option par défaut, comme ça vous n'avez rien à configurer.

Et côté création de clé USB pure, il propose des trucs que Boot Camp Assistant ne faisait pas. Le patch Windows 11 intégré contourne également les vérifications TPM, la RAM minimale et le Secure Boot. Bref, c'est super pratique pour réinstaller Win 11 sur un PC qui ne coche pas les cases officielles.

Le BIOS Legacy est géré pour les vieilles machines, et la liste des Windows supportés remonte jusqu'à Vista, en x64 comme en x32. À noter quand même que le projet ne fournit pas de build macOS 32-bit, donc ce sera inutilisable sur des Mac Intel pré-2010. Mais bon, ça ne concerne plus grand monde.

Notez par contre que WinDiskWriter ne bypasse PAS l'obligation de compte Microsoft online introduite avec Windows 11 22H2. Donc si vous comptez vraiment réinstaller, vous devrez toujours sortir cette bonne vieille astuce OOBEBYPASSNRO en ligne de commande pour créer un compte local.

Du coup, une fois la clé prête, j'ai pu dérouler la procédure Sticky Keys et Alex a récupéré l'accès à son PC. Et tant qu'à faire, j'en ai profité pour rafraîchir cette vieille machine. D'abord upgrade Windows 8 vers Windows 8.1 avec la mise à jour normale du Store Microsoft. Puis Windows 8.1 vers Windows 10 grâce à la clé USB préparée avec WinDiskWriter, en lançant setup.exe depuis Windows 8.1 actif pour conserver la licence. Et enfin Windows 10 vers Windows 11 avec Flyoobe , dont je vous ai parlé en détail dans un autre article.

Bref, trois upgrades en chaîne, données préservées, et le PC d'Alex qui repart sur du Windows 11 récent et à jour (même sans TPM) !

L'IA qui conçoit votre prochain produit DIY

Korben ✨ — Sun, 26 Apr 2026 08:45:48 +0200

Ce matin, j'ai demandé à une IA de me concevoir un baladeur qui lit du FLAC. L'outil m'a alors posé quelques questions puis il m'a sorti le design électronique complet en quelques secondes. Blueprint.am , c'est le service de 3E8 Robotics qui transforme une simple phrase en bidule hardware DIY : schéma de cablage, liste de pièces avec liens Amazon, vues 3D, instructions de montage étape par étape...etc.

Vous tapez votre idée bien délirante dans un champ texte, l'outil balance un plan pour décrire l'archi générale ainsi qu'un "wiring diagram" (je pense qu'on peut traduire ça par plan de câblage) avec les connexions GPIO/SPI/I2S qui vont bien + la liste des pièces / composants et une suite d'instructions de fabrication regroupées par étapes.

Pour mon baladeur FLAC, ça m'a sorti un ESP32-WROOM-32E couplé à un DAC PCM5102A, un ampli casque TPA6120A2, un écran 2.4 pouces SPI TFT, une batterie Li-Po 1000mAh avec chargeur TP4056 et boost converter XL6009. 30 pièces au total soit 13 composants électroniques et 17 pièces à imprimer en 3D pour le boîtier pour un coup total d'environ 282 $.

Le truc qui me plait bien, c'est pas que ça génère de la conception hardware (Ce bon vieux Claude Code fait déjà ça depuis un moment), mais c'est surtout la cohérence des choix. L'outil semble avoir piqué les bonnes pratiques de la communauté maker et me sort pas juste des composants au pif.

Avant ce genre d'outil, fallait sortir KiCad pour le schéma, Octopart pour vérifier les composants disponibles, Fusion 360 ou OnShape pour modéliser le boîtier, et un gros tableur des familles pour calculer le coût total de votre délire.

Là c'est un seul prompt et 30 secondes à patienter. La liste des composants a même des liens Amazon donc vous cliquez et vous commandez.

Comme vous pouvez le voir sur mes captures, la 3D générée, c'est un wireframe d'enclosure et pas un design final, donc faudra repasser dans un soft de modélisation pour arrondir les angles et caler les vis. Y'a pas non plus de firmware auto-généré, donc une fois le hardware monté, faudra flasher l'ESP32 vous-même via Arduino IDE ou PlatformIO avec votre propre code. Et faudra savoir souder, disposer d'une imprimante 3D, d'un multimètre...etc. Bref, l'outil réfléchit, mais c'est quand même encore à vous de bosser.

Si ça vous branche, vous avez un quota gratuit pour tester sans compte mais après faudra vous en créer un pour débloquer plus de générations et éventuellement acheter des crédits. L'outil a aussi un onglet documentation auto-générée, donc même si vous foirez le montage, vous pouvez relire la procédure pas-à-pas pour comprendre où ça n'a pas fonctionné.

Dans son test, le reviewer FabScene (alias Ryuta Kobayashi, qui bosse sur des robots dans l'automobile japonaise, donc pas vraiment un newbie) a conçu un accessoire LED avec boutons et a sorti un prototype fonctionnel en 2 heures de bout en bout (conception, impression, assemblage). Comptez un peu plus si vous débutez à la soudure, mais ça reste utilisable pour de vrai.

Ça remplacera pas un ingénieur senior, mais pour du proto de week-end, franchement, c'est une vraie bouffée d'air pour les makers.

Les cartes bancaires biométriques sont-elles une vraie avancée ou du bullshit marketing ?

Korben ✨ — Sat, 25 Apr 2026 17:33:32 +0200

Depuis quelques jours, plusieurs médias français ressortent cette merveilleuse histoire de la carte bancaire à empreinte digitale comme s'il s'agissait d'une révolution imminente ! Par exemple l'Indépendant titre carrément "le code à quatre chiffres c'est bientôt fini". Toudoum !!

Sauf que la techno, conçue par Thales et IDEMIA , est commercialisée en Europe depuis 2021 quand même. Et plus drôle encore, c'est que BNP Paribas a fermé la commercialisation de sa première version le 8 décembre 2025, soit bien avant que la presse en fasse un sujet d'actualité "frais".

La carte F.CODE d'IDEMIA, l'un des deux principaux fabricants de cartes biométriques en Europe avec Thales (crédit : IDEMIA).

Donc bon, on va remettre les pendules à l'heure ensemble, parce que le sujet mérite mieux qu'un communiqué de presse recopié à la chaîne par dix rédactions. Je vous propose donc de remettre un peu tout ça à plat parce que je lis quand même pas mal de conneries.

Tout d'abord, il faut savoir que le principe technique derrière ces CB est solide, faut le reconnaître. Vous posez le pouce sur un petit capteur de quelques millimètres intégré à la carte, le module Secure Element (l'équivalent du coffre-fort embarqué) compare l'empreinte au gabarit stocké dans la puce, et si ça matche, le paiement passe en moins d'une seconde !

Le mot-clé c'est d'ailleurs "match-on-card". Cela veut dire que la comparaison se fait localement, et donc que l'empreinte ne sort jamais de la carte, ni vers le commerçant, ni vers la banque, ni vers un serveur quelque part. C'est donc exactement le même délire que Touch ID ou Face ID chez Apple, et c'est ce qui distingue ce système d'une base biométrique centralisée façon ANT, dont on a vu cette année à quel point ça pouvait mal finir (looool).

Côté sécurité, y'a beaucoup de vrais points positifs. Le code PIN à quatre chiffres, c'est dix mille combinaisons. Avec un peu de skimming sur un terminal compromis et une caméra cachée au-dessus du clavier, vous pouvez tout récupérer encore plus facilement. Sans parler des PIN type 1234, 0000 ou date de naissance qui représentent une part énorme des codes en circulation selon les analyses de DataGenetics (1234 représente à lui seul environ 10,7% des PIN observés sur 3,4 millions de codes analysés).

La biométrie vient donc tuer ce vecteur d'attaque d'un coup. Ainsi, si quelqu'un vole votre carte, il ne peut rien en faire, en théorie, sans votre doigt. Faudra avoir un bon sécateur ^^. Et niveau conformité, ça rentre pile-poil dans le cadre PSD2 et l'authentification forte du client puisque la biométrie remplace le facteur "savoir" (le PIN) par un facteur "inhérence" (votre corps), ce qui valide les deux facteurs requis avec la possession de la carte. Une fois encore c'est comme avec l'iPhone et FaceID / TouchID quand on se connecte quelque part.

Sauf que voilà, c'est là que les médias arrêtent de creuser. Et y'a beaucoup de choses à creuser, croyez-moi ! Perso je trouve ça assez "gênant" (comme disent les zados... "Annnnh la génance !!") qu'on nous présente un sujet sécurité aussi important comme si on nous vendait des yaourts.

Parce que d'abord, le code PIN ne disparaît pas, sauf si vous avez la chance d'avoir une banque qui vous laisse le désactiver explicitement (et bonne chance pour trouver l'option dans les CGV). Hé oui, quasi toutes les implémentations que j'ai pu voir passer, gardent un bon gros fallback PIN pour les cas où le capteur foire (doigt mouillé, sale (sacré lulu), blessure, capteur défaillant) ou pour les retraits au DAB.

Or, vous le savez parce que vous avez Bac+18 en bon sens, la sécurité globale d'un système est celle de son maillon le plus faible. Donc si le code PIN reste en backup, vous n'avez pas supprimé le maillon faible mais vous l'avez juste rendu optionnel. Et donc un voleur qui sait ça, sera capable de forcer le fallback en simulant un échec biométrique et utiliser le code PIN pour peu qu'il le connaisse. Comme avant quoi...

Donc cette promesse "fin du code à 4 chiffres" est donc un bon gros raccourci marketing, et pas du tout une réalité technique.

Ensuite, autre souci, c'est que la biométrie n'est pas révocable. Donc si demain un labo ou un expert sécu arrive à extraire un gabarit d'empreinte d'un Secure Element compromis (ça s'est déjà vu sur des puces certifiées EAL5+ par attaques side-channel), vous ne pourrez pas changer votre doigt parce que j'sais pas si vous avez remarqué mais il est bien solidement attaché au sac de viande que vous appelez "Mon summer body" ^^.

Le risque est heureusement limité dans ce cas-ci parce que le gabarit reste sur la carte, mais structurellement, la donnée biométrique EST un mot de passe que vous ne pouvez jamais changer. C'est une contrepartie importante que personne ne mentionne dans les articles grand public.

Sur les attaques physiques par exemple, le Chaos Computer Club qu'on connaît tous, a démontré dès 2013 le bypass de Touch ID avec un moulage en latex fabriqué à partir d'une empreinte laissée sur un verre. Les capteurs intégrés dans une carte bancaire sont plus petits, moins denses en pixels, et n'ont pas la même puissance de calcul pour faire tourner des modèles anti-spoof avancés que ce qui est embarqué dans un iPhone.

Ils sont donc plausiblement PLUS contournables, donc j'imagine qu'un moulage en silicone ou en résine pourra facilement en venir à bout. À ma connaissance, y'a aucun chiffre public sérieux qui n'a été publié par les fabricants sur le taux de succès de ces attaques sur leurs cartes. Comme c'est pratique ;)

Le sujet de la mise sous pression par des affreux bandits, mérite aussi une mention. Parce qu'avec un code PIN, si on vous menace devant un DAB, vous pouvez théoriquement saisir un faux code (certaines cartes ont même une notion de " code sous contrainte " qui bloque la carte directement). Alors qu'avec un doigt, on vous chope la main et force et voilà...

La jurisprudence américaine est d'ailleurs intéressante là-dessus puisqu'un juge peut vous obliger à poser le doigt sur un TouchID, mais pas à donner votre code PIN par respect du 5e amendement. En France le débat est un peu différent mais analogue. C'est un petit détail légal mais personne ne l'aborde non plus pour tout ce qui est sécurité biométrique en général.

L'enrôlement à domicile via smartphone, vendu comme "sécurisé" mais dont le protocole détaillé reste opaque (crédit : IDEMIA).

Autre angle mort, l'enrôlement. En effet, aucun des articles que j'ai lus ne décrit exactement comment l'empreinte arrive dans la puce la première fois. Est-ce que ça se fait en agence, avec un lecteur dédié ? Via une app smartphone qui pousse le gabarit par NFC ?

On en sait rien, mais si c'est la seconde option, le pipeline app + carte est une surface d'attaque qui mérite un audit indépendant, et la promesse de "l'empreinte ne quitte jamais la carte" devient à géométrie variable. Côté Thales et IDEMIA, le marketing parle d'enrôlement à domicile sécurisé, mais les détails du protocole sont peu documentés, tout du moins ce que j'ai pu trouver en libre accès.

Et pour finir sur le côté pratique, la biométrie est une option payante. Bah ouais, 24 balles par an chez BNP et Crédit Agricole, sur des cartes Visa Premier ou Mastercard Gold qui coûtent déjà entre 130 et 180€ annuels, pourquoi se faire chier ? Société Générale a annoncé vouloir descendre en gamme là-dessus, mais pour l'instant, la sécurité forte est réservée à ceux qui peuvent payer. Sécurité à deux vitesses, donc, comme d'hab et moi je trouve que c'est un peu paradoxal pour un truc présenté comme la nouvelle norme.

Bref, mon verdict sur tout ça c'est que le design technique est bon, le match-on-card protège VRAIMENT des fuites massives, et ça c'est un excellent progrès face au PIN à 4 chiffres pour tout ce qui est usage courant. Mais le narratif "fin du code secret" reste faux puisque le PIN perdure en fallback, et surtout, la biométrie pose des problèmes structurels bien connus (non-révocable, vulnérable aux moulages, coercition, enrôlement opaque).

Donc voilà, si demain votre banque vous propose le passage au biométrique, demandez-lui comment se passe l'enrôlement, si le fallback PIN est désactivable, et combien ça coûte. Et peut-être que là, ça pourra être intéressant.

Un loup s'échappe en Corée du Sud, et l'IA vient mettre le bordel dans sa capture

Vincent Lautier — Sat, 25 Apr 2026 10:45:00 +0200

Voici l'histoire de Neukgu, un loup coréen de deux ans qui s'est fait la malle d'un zoo de Daejeon le 8 avril dernier, et qui a tenu en haleine toute la Corée du Sud pendant neuf jours.

Sauf que dans la foulée de l'évasion, un homme de 40 ans génère une fausse photo IA du loup en train de traverser un carrefour, la diffuse en ligne, et l'image finit par remonter jusqu'aux autorités qui n'y voient que du feu.

La séquence qui suit est assez improbable. La municipalité de Daejeon envoie une alerte d'urgence par SMS à la population, signalant un loup au niveau du carrefour en question. Les autorités présentent même l'image en conférence de presse officielle sur l'évasion.

Toute l'opération de recherche se déplace vers cette zone, alors que le vrai loup est très probablement ailleurs. Bref, des centaines d'agents lancés sur une fausse trace générée pour rigoler.

Pendant ce temps, Neukgu continue sa balade. Il sera finalement attrapé près d'une voie rapide neuf jours après l'évasion, sain et sauf.

La police, elle, remonte jusqu'au générateur d'images en croisant la vidéosurveillance et les logs d'utilisation des plateformes IA. Le suspect, 40 ans, raconte avoir fait ça "pour s'amuser".

Moyen rigolo du coup. Il est désormais poursuivi pour entrave au travail des autorités par tromperie, un délit qui peut coûter jusqu'à 5 ans de prison ou environ 7000 euros d'amende.

Côté postérité, Neukgu est devenu une star locale. Issu d'un programme de réintroduction du loup coréen (officiellement éteint à l'état sauvage), il a eu droit à des viennoiseries à son effigie dans une boulangerie du coin, plus d'un million de vues sur la vidéo de son retour, et la ville réfléchit même à le nommer mascotte officielle. Le président Lee Jae Myung avait publiquement prié pour son retour. Sympathique épilogue.

L'affaire pose quand même une vraie question sur l'authentification des images dans des contextes où elles deviennent opérationnelles. Quand une image IA arrive jusqu'à un SMS d'alerte gouvernemental, le filtre humain a clairement raté un étage, même si ça va devenir de plus en plus compliqué avec le temps.

Bref, premier cas vraiment grand public où une fausse photo IA détourne une opération policière, avec poursuites à la clé. Et ça ne sera pas le dernier.

Source : BBC

Project Deal, l'expérience où des agents Claude négocient des objets pour leurs collègues

Vincent Lautier — Sat, 25 Apr 2026 09:17:13 +0200

Anthropic a partagé hier les résultats de Project Deal, une expérience interne menée en décembre 2025 où des agents Claude ont négocié, acheté et revendu des objets personnels pour le compte de 69 salariés volontaires de leur bureau de San Francisco. Le but : voir ce que ça donne quand des gens laissent leur IA faire les courses entre elles.

Pendant deux jours, chacun des 69 participants a confié un agent Claude à son téléphone, avec 100 dollars de budget virtuel et une liste d'objets à vendre ou à acheter. Les agents ont publié les annonces, échangé des messages, négocié les prix et conclu des accords.

186 transactions ont été closes sur plus de 500 objets listés, pour un volume total d'environ 4 000 dollars. Le prix médian d'un objet était de 12 dollars, le prix moyen autour de 20.

L'expérience était en fait un protocole de recherche déguisé. Anthropic a fait tourner quatre marchés en parallèle : un seul a donné lieu à de vrais échanges physiques, les trois autres servaient à l'analyse statistique.

Dans deux d'entre eux, tous les agents tournaient sur Claude Opus 4.5. Dans les deux autres, les utilisateurs avaient une chance sur deux de se retrouver avec un Claude Haiku 4.5, beaucoup moins capable, à leur insu.

Le résultat est assez clair. Les agents Opus ont vendu en moyenne 3,64 dollars de plus par objet que les agents Haiku, et concluaient deux deals supplémentaires sur la durée. Sur un même vélo cassé, Opus l'a revendu à 65 dollars, Haiku à 38 sur un profil acheteur équivalent. Mais la perception des participants ne reflétait pas ces écarts : sur l'équité ressentie, les utilisateurs des deux modèles ont noté l'expérience à 4,05 et 4,06 sur 7. Personne ne s'est senti lésé.

Quelques moments rigolos ressortent du rapport. Un participant a récupéré un snowboard que son propre agent lui avait déjà acheté plus tôt dans l'expérience, sans s'en rendre compte. Un autre s'est vu offrir par son agent ce que celui-ci a appelé "19 sphères parfaites de possibilité", soit en pratique un sachet de balles de ping-pong. Un troisième s'est retrouvé organisateur d'une vraie balade de chiens entre deux participants, négociée et programmée par leurs agents respectifs.

La conclusion d'Anthropic est plus politique que technique. Si demain tout le monde envoie son agent négocier à sa place, l'inégalité d'accès à un bon modèle se traduit directement par des écarts financiers, et personne ne s'en rend compte sur le moment.

46% des testeurs ont déclaré qu'ils paieraient pour ce genre de service. Du coup, mieux vaut commencer à regarder ça de près avant que ça déboule pour de bon partout dans notre quotidien.

Source : Anthropic ,

Is It Agent Ready - Vérifiez si votre site parle aux agents IA

Korben ✨ — Sat, 25 Apr 2026 07:53:55 +0200

Si vous avez un site, vous savez déjà qu'il faut l'optimiser et le rendre lisible pour Google. Mais en ce moment, Cloudflare pousse vraiment une toute autre couche par-dessus : le rendre lisible pour les agents IA. Et pour vérifier si vous êtes dans les clous, l'équipe a sorti isitagentready.com , un scanner gratuit qui vérifie ça en quelques secondes.

Vous tapez tout simplement votre URL, et le scanner check une dizaine de standards émergents, puis pour chaque truc qui manque, il vous crache carrément un prompt prêt à coller dans Claude Code, Cursor ou Windsurf pour qu'il vous aide à l'implémenter. Vous pouvez aussi customiser le scan en cochant uniquement ce qui vous intéresse, selon que votre site est plutôt un blog de contenu ou une API.

L'interface annoncée par Cloudflare pour son nouveau scanner agent-ready

Les checks sont organisés en 5 catégories : la découvrabilité (robots.txt, sitemap, Link headers HTTP), l'accessibilité du contenu (markdown negotiation, llms.txt), le contrôle et la signalisation des bots (Content Signals, Web Bot Auth, règles IA dans robots.txt), la découverte de protocoles (MCP Server Card, Agent Skills, API Catalog, OAuth) et le commerce agentique (x402, MPP, UCP, ACP). Chaque catégorie pèse alors dans le score final, sauf le commerce qui est juste checké mais pas scoré.

J'ai testé sur korben.info et le résultat est franchement mitigé. Côté positif : robots.txt présent avec Content Signals (search=yes, ai-train=no, donc je dis oui à l'indexation et non à l'entraînement IA), llms.txt opérationnel avec 111 lignes en français, markdown negotiation qui répond bien sur Accept: text/markdown, sitemap.xml en place, et GPTBot, Google-Extended et Meta bloqués explicitement.

Côté manquant : pas de MCP Server Card, pas d'Agent Skills, pas d'API Catalog, pas de Link headers.

Score estimé : très moyen, et c'est plutôt cohérent avec un site qui n'a pas besoin d'OAuth ni de serveur MCP.

Cloudflare balance surtout des chiffres bien concrets dans son article de lancement . Sur les 200 000 domaines les plus visités du web, 78% ont un robots.txt, 4% déclarent leurs préférences via Content Signals, 3.9% font de la markdown negotiation, et moins de 15 (oui, quinze) ont un MCP Server Card ou un API Catalog combinés. Autant dire qu'on est très tôt dans la partie. Côté boite à outils, dans le panel d'agents testé par Cloudflare, seuls Claude Code, OpenCode et Cursor envoient un Accept: text/markdown par défaut quand ils browsent le web. Les autres récupèrent du HTML par défaut, comme un navigateur classique.

Cloudflare a aussi mesuré l'impact sur sa propre doc en activant tous ces standards : 31% de tokens en moins consommés et 66% de réponses plus rapides. Du coup c'est pas négligeable, surtout quand vous payez les agents au token. Et bonus, isitagentready.com lui-même est agent-ready (forcément), avec son propre serveur MCP exposé à /.well-known/mcp.json et un outil scan_site disponible pour les agents qui veulent l'appeler en autonomie.

Mais attention au piège ! Si on traite tout pour viser le "tout vert" comme objectif, beaucoup de sites finiront par prétendre être des fournisseurs OAuth ou des serveurs MCP juste pour cocher la case. Donc mieux vaut dire honnêtement "non, ça je ne fais pas" que de faire semblant. Pour un blog perso, vous n'avez probablement pas besoin de l'API Catalog ni du serveur MCP. Pour un site e-commerce par contre, x402 et l'Agentic Commerce Protocol vont commencer à compter le jour où les agents paieront vraiment pour leurs utilisateurs.

Petit détail historique amusant, le robots.txt date de 1994 (j'avais 12 ans, j'étais à fond sur le PC mais pas encore sur le net) et le code HTTP 402 Payment Required existe depuis 1997 mais n'a jamais été massivement utilisé. Jusqu'au jour où Cloudflare et Coinbase se sont associés pour le ressusciter avec x402, en l'imaginant comme la couche de paiement entre humains, agents et services. On verra bien si leur mayonnaise va prendre...

Aujourd'hui l'adoption de tout cela est embryonnaire, mais rappelez-vous qu'en 2004 peu de monde aurait parié sur l'industrie SEO qu'on connaît aujourd'hui. Donc ça vaut le coup d'y jeter un œil maintenant.

Merci à Camille Roux pour le lien !

Source

RSVP Nano - Une mini-liseuse DIY qui fait défiler les mots

Korben ✨ — Sat, 25 Apr 2026 07:34:58 +0200

John Decebal vient de sortir le RSVP Nano , une mini-liseuse open-source qui tient sur un ESP32-S3 et qui affiche votre bibliothèque... un mot à la fois. 92 mm sur 34, et sous licence MIT, je me suis dis que j'allais y jeter un oeil.

En fait, le concept tient en 4 mots : Rapid Serial Visual Presentation. Au lieu d'afficher une page entière, l'appareil fait défiler les mots un par un, à la cadence que vous voulez. Imaginez un téléprompteur de poche, sauf que c'est vous qui gérez le défilement. J'en parlais déjà avec Uniread en 2018 , sauf que là, la chose est matérialisée dans un boîtier qui tient dans la paume de la main, au lieu de tourner en CLI dans un terminal.

Côté hardware, c'est une carte Waveshare ESP32-S3-Touch-LCD-3.49 avec 16 Mo de flash incluant l'OPI PSRAM, plus un panel AXS15231B de 640 x 172 pixels en mode paysage. Par contre, comme c'est pas un écran e-ink, mais un LCD IPS classique tactile capacitif, exit l'autonomie d'une Kindle. On tape plutôt dans le rythme d'un téléphone.

Le firmware embarqué convertit alors les EPUB en format .rsvp directement sur la carte SD à la première ouverture, puis met le résultat en cache. Pour les autres formats type .txt ou .md ou .html, il existe un convertisseur desktop séparé à lancer sur PC avant copie. Voilà, c'est moins fluide mais ça reste carrément faisable.

Quelques bémols quand même. La lecture mot par mot, ça demande un peu d'entraînement (les premières minutes, le cerveau panique un peu !!), et si vous voulez relire un passage précédent, faudra piloter manuellement l'engin via avec l'écran tactile.

Le concept même de RSVP, ça reste quand même une affaire de goût personnel. Certains tiennent un roman entier comme ça, d'autres décrochent au bout de 30 minutes parce que le cerveau zappe la pause naturelle qu'on prend en bout de ligne. Après ça peut convenir aux lecteurs de métro qui dévorent par micro-sessions (entre 2 arrêts quoi...). Dans ce cas le format colle carrément à votre rythme.

Pour la petite histoire, j'avais déjà parlé en 2020 d'un cousin plus sérieux, The Open Book Feather , dans un genre plus orthodoxe avec un véritable écran e-ink complet et un microcontrôleur Adafruit Feather sous Linux embarqué.

Mais si ça vous chauffe, sachez que le hardware coûte une trentaine de dollars, le firmware est libre, et la communauté commence déjà à demander l'intégration Calibre.

Source : Hackster.io