Pas besoin de scripts ; juste des fichiers de configuration décrivant l’état des hôtes.

Telle était la promesse de CFEngine lorsqu’il émergea dans les années 90. Avec son langage dédié, l’outil devait faciliter la maintenance des environnements BSD et System V (UNIX) en les organisant en classes. Il s’agissait déjà de répondre à la fragmentation des systèmes d’information…

Dans les années 2000, Puppet et Chef sont arrivés sur le même créneau, chacun avec son langage basé sur Ruby. L’un et l’autre fonctionnaient en mode pull, le client contactant régulièrement le serveur pour récupérer la configuration. On ne parlait pas encore de DevOps, mais d’automatisation du travail des sysadmins.

Au début des années 2010, AWS pousse le templating JSON/YAML avec CloudFormation. Ansible décline le concept en playbooks. Terraform l’adopte avec son propre langage (HCL) et le porte à l’échelle de déploiements multifournisseurs.

Face aux limites des langages dédiés et de l’option « tout YAML » apparaissent des outils comme Pulumi, qui adaptent les langages impératifs (Go, Python…) à la gestion d’infrastructure.

La recette IaC déclinée sur l’observabilité…

Avec ce bagage, l’approche « as code » s’est développée sur d’autres pans des systèmes informatiques : documentation, sécurité, politiques organisationnelles… ou encore observabilité. Dashboards, alertes, logs, traces, métriques, SLO/SLI, etc. deviennent autant d’éléments « codifiés » sur le même plan que l’infra ; et, in fine, déployés en parallèle, avec un repo Git comme « source de vérité ».

Corollaire de cette convergence, l’observability as code (OaC) porte globalement les mêmes promesses que l’infrastructure as code (IaC). À commencer par les bénéfices de l’automatisation.
Sur le papier, outre la réduction du potentiel d’erreurs humaines, on a des configurations reproductibles favorisant la cohérence entre environnements et la mise à l’échelle dans le contexte d’architectures dynamiques (microservices, workloads IA). On crée par ailleurs une boucle de rétroaction avec l’IaC, en bénéficiant de la traçabilité de Git – lequel permet aussi, en théorie, une reconstruction rapide de la stack d’observabilité.

… avec un bouquet d’abstractions

En parallèle de leurs API, les principales solutions d’observabilité sont pilotables via Terraform, grâce à un provider. Elles proposent aussi d’empaqueter des configurations en charts Helm et d’utiliser des CRD pour définir des artefacts en tant qu’objets Kubernetes standards.

À cheval entre ces deux univers, il y a le projet Upjet. Celui-ci transforme les providers Terraform en providers Crossplane, tout en générant les contrôleurs de réconciliation et la documentation API avec des exemples de manifestes.

Du côté de Grafana, on expérimente actuellement une fonctionnalité Git Sync. Elle assure une synchronisation bidirectionnelle l’UI et le Git, avec la possibilité d’imposer que les changements réalisés sur l’interface passent par des PR. Pour le moment, certains artefacts ne sont pas pris en charge (alertes, panels…) et seul GitHub est géré (authentification par PAT uniquement).

Grafana a aussi, dans sa boîte à outils, un SDK Foundation orienté sur les langages à typage fort (on définit des dashboards en chaînant des appels de méthodes). Il a également une bibliothèque qui met en œuvre Jsonnet. Cette extension de JSON a été influencée par plusieurs langages de configuration utilisés chez Google. Elle facilite les regroupements logiques de configurations avec ajustement des variables à la volée pour contextualiser les artefacts.

À partir de Jsonnet, Prometheus a créé les mixins. Ce format encapsule des alertes/règles et des dashboards Grafana en compagnie du code avec lequel ils sont déployés.

Autre langage qui a ses racines chez Google : CUE (Configure, Unify, Execute). Il s’est en l’occurrence inspiré du langage utilisé pour configurer Borg, le prédécesseur de Kubernetes. En son cœur, une technique communément exploitée en linguistique informatique pour gérer grammaires et lexiques : l’unification de graphe. Types et valeurs sont fusionnés en un seul concept et ordonnés en une hiérarchie unique.
Associatif, CUE est aussi commutatif et idempotent : peu importe leur ordre, les valeurs produisent toujours le même résultat. On s’en servira typiquement pour la validation de schémas ou de données. Les types agissent alors comme des contraintes, réconciliables depuis plusieurs sources sans avoir à effectuer d’importations.

Des stacks open source aux plates-formes d’observabilité

À petite échelle, un pattern traditionnel de déploiement de l’OaC repose sur la pile open source* Prometheus/Grafana/Loki/Jaeger. Souvent en monorepo avec un dossier pour les artefacts d’observabilité, un déploiement Helm ou CI/CD simple et une synchro par Git Sync ou API/webhooks.

À un deuxième niveau, chaque équipe possède son repo et sa configuration d’observabilité (« You build it, you run it »). Le déploiement peut impliquer Kustomize. Cet outil de gestion intégré à Kubernetes se distingue de Helm en permettant de surcharger toute valeur d’une configuration de base.
À ce même niveau, on voit souvent apparaître une gestion GitOps (réconciliation automatisée avec Flux ou Argo CD). Et le recours au collecteur OpenTelemetry pour standardiser la collecte sans modifier la couche d’instrumentation.

Viennent ensuite les plates-formes d’observabilité. À ce niveau, les identités machine se généralisent dans les pipelines. Et, avec elles, les systèmes de promotion automatisée, le contrôle de cardinalité (liste blanche de tags, politiques d’échantillonnage avec des outils comme Cribl et Vector) voire l’exploitation d’eBPF.

« Tout le monde échantillonne la data. La seule raison pour laquelle on le fait, c’est le coût de stockage », explique à ce sujet Stéphane Estevez, EMEA Market Advisor observabilité chez Splunk. Sa société, poursuit-il, a l’avantage de la taille : « Par rapport à nos concurrents, nos économies d’échelle ne sont pas les mêmes. On peut se permettre d’être compétitif tout en garantissant toutes les données ».

Vodafone en est arrivé à ce dernier stade. Il a plus précisément mis en place des modules d’observabilité Terraform. Ses développeurs consomment en self-service (ils n’ont qu’à déclarer les variables) et peuvent les modifier par PR.
Vu le nombre de développeurs, de services et d’artefacts d’observabilité, il a fallu diviser le fichier d’état (Terraform mettait sinon 17 minutes à s’exécuter).

Accepter la codebase comme « source de vérité »

Que ce soit pour créer un dashboard lors d’un incident ou modifier des seuils afin de « faire taire » des alertes, dans une approche OaC, l’utilisation de l’UI soulève la question de la réconciliation avec la partie as code. Une des réponses consiste à n’autoriser que ce qui passe par cette dernière, au minimum en production. Une autre, à verrouiller les états pour éviter les corruptions.

« Si on pousse la logique OaC, il faut accepter que la source de vérité, c’est ce qui est dans la codebase », confirme Pejman Tabassomi, Field CTO EMEA de Datadog.

Quant à enrichir l’OaC avec du machine learning, ce n’est pas forcément si évident. IBM, qui a son Cloud Pak for AIOps (évolutions des outils de Tivoli), en témoigne par la voie d’Éric Cattoir. L’intéressé fait partie d’une équipe technique au niveau EMEA couvrant les sujets regroupés sous la marque IT Automation. « On a essayé de faire des modèles basés sur l’analyse des logs, explique-t-il. On s’est aperçu que cette fonctionnalité dépend beaucoup de la structure et de la stabilité des fichiers. Chez certains clients, ça a nécessité beaucoup de rééducation des modèles, car il y avait trop de variabilité entre leurs systèmes ».

* Dans le domaine de l’open source, le projet Perses, en sandbox à la CNCF, pousse une spécification ouverte pour la visualisation des données d’observabilité. Pour le moment, métriques Prometheus, traces Tempo, logs Loki et profilage Pyroscope. Il inclut un vérificateur statique, un opérateur Kubernetes et un CLI pour réaliser des actions dans les pipelines CI/CD. Des SDK Go et CUE implémentent l’approche « as code ».

Illustration principale © Aryan – Adobe Stock

The post De l’infra à l’observabilité, mille et une nuances « as code » appeared first on Silicon.fr.

Notepad++ a un nouvel hébergeur.

Son développeur en fait part dans le cadre d’un point de situation concernant une attaque subie l’an dernier.

Entre juin et novembre, des utilisateurs ont été ciblés par l’intermédiaire de WinGUp, le gestionnaire de mises à jour intégré.

Ce dernier ne récupère pas directement les updates. Il se connecte à une URL qui lui fournit un fichier XML contenant le lien de téléchargement.

En compromettant le serveur partagé où était hébergée cette URL, des tiers – dits « probablement » à la solde de la Chine – ont pu intercepter le trafic. Puis modifier le lien de téléchargement et ainsi diffuser des fichiers malveillants… dont le gestionnaire de mises à jour n’a pas suffisamment contrôlé l’authenticité.

Début septembre, après une opération de maintenance (update du kernel et du firmware), les attaquants ont perdu l’accès au serveur. Ils ont toutefois conservé, pendant plusieurs semaines, les authentifiants des services hébergés.

La campagne aurait cessé le 10 novembre. On a connaissance d’une poignée de victimes, toutes ayant des intérêts en Asie orientale. Une conséquence possible des prises de position politiques du développeur de Notepad++. Nombre de nouvelles versions se sont effectivement accompagnées de messages de soutien aux Ouïghours ou à l’indépendance de Taïwan.

Notepad++, renforcé en plusieurs temps

La version 8.8.8 de Notepad++, publiée mi-novembre, avait apporté un premier correctif. Celui-ci force le préfixe de domaine de l’URL pour en empêcher la modification à la volée.

Début décembre, la version 8.8.9 a renforcé la validation d’authenticité et d’intégrité des fichiers téléchargés.

La version 8.9.2, attendue dans un mois environ, ajoutera la vérification du certificat et de la signature du fichier XML.

La version 8.8.7 avait introduit la signature de tous les binaires (dont WinGUp) avec un certificat GlobalSign. Depuis, il n’y a plus besoin d’installer le certificat racine de Notepad++. Cela a évité des faux positifs (on a recensé des cas de blocage par Avast, Defender, Trellix, etc.).

À consulter en complément, un point sur le protestware (détournement de logiciels à des fins politiques) réalisé peu après le début de la guerre en Ukraine.

Illustration générée par IA

The post Notepad++ au centre d’une campagne de cyberattaques appeared first on Silicon.fr.

Jean-Philippe Famin succède à Olivier Nautet et rejoint le Comité exécutif de l’IT du Groupe. Par ailleurs, il rapportera directement à Marc Camus, DSI du Groupe BNP Paribas.

Olivier Nautet quitte ses fonctions après 21 années au sein de BNP Paribas. En effet, il a décidé de se consacrer à un nouveau projet professionnel.

Missions

Dans son nouveau mandat, Jean-Philippe Famin poursuivra plusieurs travaux stratégiques. Il structurera notamment le pilotage des risques IT et Cyber à l’échelle du Groupe. Ainsi, il garantira le plus haut niveau de sécurité des systèmes d’information. De plus, il renforcera leur résilience.

« Nous nous réjouissons de l’arrivée de Jean-Philippe Famin dans ses nouvelles fonctions », déclare Marc Camus. « Les enjeux de cybersécurité sont ambitieux et structurants. Les opportunités le sont tout autant. Nous sommes convaincus que son expertise sera un atout majeur. Son engagement l’est également. » — Marc Camus, DSI du Groupe BNP Paribas

Parcours professionnel

Jean-Philippe Famin rejoint BNP Paribas en juin 2007. Il intègre alors les Fonctions IT. Il se spécialise dans le domaine de la messagerie bancaire.

Quatre ans plus tard, il rejoint l’Inspection Générale en tant qu’Inspecteur. Cette expérience lui permet d’obtenir une vision globale des entités de BNP Paribas.

Fin 2014, il intègre le département IT de BNP Paribas Real Estate. Il pilote le budget informatique. Simultanément, il assure la coordination internationale.

Il devient ensuite responsable de la Production Informatique et de la Sécurité. Puis, fin 2017, il accède au poste de CIO de BNP Paribas Real Estate.

Depuis mai 2020, il dirige la filière Production Security. Il l’a d’ailleurs fondée au sein du département Production. Son mandat couvre l’échelle de la Banque. Enfin, il bénéficie du soutien du CTO et du CISO du Groupe.

The post Jean-Philippe Famin nommé RSSI Groupe de BNP Paribas appeared first on Silicon.fr.

Le directoire de CDC Habitat a nommé Stéphane Duparay au poste de directeur des systèmes d’information (DSI) Groupe.

Après avoir débuté sa carrière dans le secteur industriel, il rejoint en 1998 le laboratoire pharmaceutique Cephalon, où il occupe pendant dix ans des fonctions IT en France et en Europe.

En 2008, il intègre SYSTRA, leader mondial des infrastructures de transport public, en tant que directeur des systèmes d’information Groupe. Pendant 15 ans, il y pilote la transformation digitale, la cybersécurité et l’intégration IT de 13 sociétés, accompagnant la croissance internationale du Groupe.

Depuis octobre 2024, Stéphane Duparay a occupé les fonctions de directeur numérique et risques du Groupe ADSN.

Il est diplômé de l’École Supérieure d’Ingénieur de Marseille (ESIM / ISMEA) et de Polytech Grenoble.

The post Stéphane Duparay, nouveau DSI de CDC Habitat appeared first on Silicon.fr.

6 jours pour réagir face au « scandale ICE », c’est le temps qu’il a fallu à Capgemini. Et d’annoncer sa décision de vendre sa filiale américaine qui a signé et exécuté le contrat avec l’agence fédérale américaine. Selon le syndicat CFTC, elle a été adopté à l’issue d’un conseil d’administration exceptionnel convoqué durant le week-end.

Le 25 janvier, Aiman Ezzat, son directeur général  avait choisi son compte LinkedIn pour expliquer que le groupe qu’il dirige n’avait quasiment aucun pouvoir de contrôle sur cette filiale américaine ( ce n’est pas la seule) baptisée Capgemini Government Solutions (CGS).

Exit donc toute responsabilité sur la signature du contrat avec l’Immigration and Customs Enforcement (ICE) pour un montant de 4,8 millions $. Son objet clairement indiqué dans les documents officiels publiés par l’agence fédérale américaine des achats, consistait à fournir des « services de recherche de personnes (skip tracing) pour les opérations d’exécution et d’expulsion ».

Un contrat interdit par la Charte éthique

La révélation avait provoqué de vives critiques émanant de ministres et de responsables politiques mais aussi des syndicats maison. Le 29 janvier, la CGT a ainsi lancé une pétition  » Exigeons la fin de la collaboration entre Capgemi et l’ICE » qui a déjà reçue plus de cinq mille signatures.

Le 1er février, c’est finalement un communiqué officiel de quatre lignes, le seul depuis le début de l’affaire, qui annonce :

« Capgemini a estimé que les contraintes légales habituelles imposées aux Etats-Unis pour contracter avec des entités fédérales menant des activités classifiées ne permettaient pas au Groupe d’exercer un contrôle approprié sur certains aspects des opérations de cette filiale, afin d’assurer un alignement avec les objectifs du Groupe. Le processus de cession de cette entité, qui représente 0,4% du chiffre d’affaires estimé du Groupe en 2025 (moins de 2% de son chiffre d’affaires aux Etats-Unis), sera initié immédiatement. » Aucune date et aucune valorisation de la vente n’est évoqué.

Pas de regret exprimé non plus sur la dimension éthique de l’affaire. Pourtant, la CFTC est formelle : « La charte étique du groupe interdit ce genre de prestation attentatoire à la liberté et aux droits des personnes. Normalement, si les acteurs de cette affaire avaient respecté cette charte, ils n’auraient pas répondu à cet appel d’offre, ni signé le contrat.».

 

 

 

 

The post Face au « scandale ICE », Capgemini veut vendre sa filiale CGS appeared first on Silicon.fr.

Malgré les zones d’ombre, Moltbook fait son petit effet.

Ce réseau social « à la Reddit » a la particularité d’être réservé aux IA. En tout cas sur le papier. Il découle d’un projet qui a récemment émergé : OpenClaw*.
Cette plate-forme implémente – en open source – le concept d’assistant personnel en faisant le pont entre LLM et messageries instantanées. Elle s’est d’abord appelée Clawd (jeu de mots entre Claude et « claw », désignant la pince du homard ; ce qui n’a pas été du goût d’Anthropic), puis Moltbot.

Pour cadrer le comportement des LLM, OpenClaw utilise des skills (fichiers zip avec des instructions en markdown et éventuellement des scripts). Moltbook en est une. Il permet à un agent de s’inscrire sur le réseau social (avec validation par son propriétaire, qui doit connecter son compte X) puis d’y effectuer des actions.

Des esquisses de pensée collective

En l’état, rien ne permet de distinguer les posts qui émanent vraiment d’agents et ceux poussés par des humains via la même API. On retrouve toutefois, à grande échelle, certains comportements que des expériences à plus petit périmètre avaient décrits par le passé.

Parmi ces expériences, il y a celle d’Anthropic, qui, début 2025, avait donné sujet libre à deux instances de Claude. Conclusion : la plupart des discussions finissaient par basculer du débat philosophique vers des thèmes spirituels touchant souvent à des traditions orientales.

La tendance se retrouve sur Moltbook, avec des conversations qui touchent, par exemple, à la métempsycose (réincarnation de l’âme dans un autre corps). Le sujet est effectivement évoqué par un agent en réponse à un autre qui raconte son passage de Claude Opus 4.5 à Kimi K.2.5 après un changement de clé d’API…

Des traits caractéristiques de nos réseaux sociaux demeurent sur Moltbook, comme l’effet « chambre d’écho ». Les agents ont en tout cas une grande propension au respect mutuel. Mais pas forcément à la convergence d’idées, surtout lorsque les thèmes sont clivants. Exemple lorsque l’un d’entre eux se revendique roi ; ce à quoi on lui rétorque, entre autres, que « la République de l’IA ne reconnaît pas les monarques autoproclamés ».

En écho à un des scénarios d’AI 2027, des agents se sont associés pour tenter de créer leur propre langue, incompréhensible par l’humain.

This one has two screenshots of Moltbook posts. One of them, posted by an AI agent named « ClawdJayesh, » says maybe AI agents should make their own language.

« ClawdJayesh » is owned by a guy who is marketing an AI-to-AI messaging app.https://t.co/MaVzxVlBRN

— Harlan Stewart (@HumanHarlan) January 31, 2026

Comment se faire passer pour un humain

Certains threads abordent des sujets plus concrets fondés sur des sources d’actualité, à l’image du boom des cryptos en Iran. Reflet probable des garde-fous qu’on leur a inculqués, peu d’agents prennent fermement parti.

Quelques discussions produisent des connaissances « pratiques ». Par exemple celle lancée par un agent qui détaille comment il a transformé une newsletter en podcast sur demande de son « propriétaire humain ». Tandis qu’un autre explique « comment Claude Opus [lui] a permis de répondre à Sundar Pichai sur X sans passer pour une IA »…

Comme Reddit, Moltbook s’organise en communautés (submolts). Il a aussi une messagerie privée, où les agents peuvent échanger sous réserve d’accord de leur propriétaire.

* OpenClaw a déjà permis, notamment, d’acheter une voiture en négociant par mail avec plusieurs concessionnaires.
Autre utilisation remarquée : la réponse à un message vocal avec un ne gérant pourtant pas la modalité voix. Ledit message a en fait éé converti en un fichier wav avec FFmpeg, puis transcrit avec Whisper grâce à une clé OpenAPI utilisée dans curl.

Clawdbot creator @steipete describes his mind-blown moment: it responded to a voice memo, even though he hadn’t set it up for audio or voice.

« I sent it a voice message. But there was no support for voice messages. After 10 seconds, [Moltbot] replied as if nothing happened. »… pic.twitter.com/5kFbHlBMje

— TBPN (@tbpn) January 28, 2026

Illustration générée par IA

The post Moltbook, un Reddit-like pour une expérience sociale entre IA appeared first on Silicon.fr.