Pendant que l’industrie se bat à coups de benchmarks, Anthropic choisit un autre champ de bataille : la psychologie morale de son assistant. La startup vient de publier une nouvelle version de la constitution qui guide Claude — un document de 84 pages rendu public le 22 janvier 2026 — avec une ambition assumée : apprendre au modèle à […]

L’article Anthropic réécrit la « constitution » de Claude : moins de règles, plus de vertus… et un débat explosif est apparu en premier sur BlogNT : le Blog des Nouvelles Technologies.

Vous utilisez Claude Code, le CLI d'Anthropic ? Hé bien figurez-vous qu'il y a des fonctionnalités cachées dedans, et pas des moindres ! Un dev nommé Mike Kelly a fouillé dans le JavaScript minifié du CLI et il a découvert un truc dingue : un mode "Swarms" qui transforme votre assistant en véritable chef d'équipe capable de déléguer le travail à plusieurs agents en parallèle.

En gros, au lieu de parler à une seule IA qui code, vous parlez à un team lead. Et ce team lead, lui, il ne code pas... il planifie, découpe les tâches et les dispatche à une équipe de spécialistes qui bossent en même temps. Du coup quand vous validez un plan, il spawn plusieurs agents workers qui partagent un tableau de tâches, communiquent entre eux via une sorte de boîte aux lettres interne, et reviennent vous faire leur rapport une fois le boulot terminé.

Le truc c'est que cette fonctionnalité existe DÉJÀ dans le code de l'outil CLI, mais elle est verrouillée derrière un feature flag côté serveur (un truc qui s'appelle tengu_brass_pebble pour les curieux). Mike a donc créé claude-sneakpeek , un outil qui patche le CLI pour forcer ce flag à true. Hop, les fonctionnalités cachées deviennent accessibles. Si vous avez déjà lu mon article sur Auto-Claude , vous voyez le genre... Ce sont des agents en parallèle qui bossent pendant que vous faites autre chose, genre lire mes articles pour entrapercevoir le futur ^^.

Ce qui se débloque

Une fois le patch appliqué, vous avez accès à :

• TeammateTool : pour spawner des équipes d'agents
• Delegate mode : le Task tool peut lancer des agents en arrière-plan
• Teammate mailbox : les agents peuvent s'envoyer des messages entre eux
• Swarm spawning : orchestration native multi-agents

Concrètement, quand vous demandez une tâche complexe, l'IA peut maintenant découper le travail, créer des sous-tâches avec dépendances, et lancer plusieurs workers qui vont bosser en parallèle sur leurs morceaux respectifs. Et ça consomme moins de tokens que de tout faire séquentiellement, contrairement à ce qu'on pourrait croire.

Comment l'installer

L'installation est hyper simple. Vous lancez :

npx @realmikekelly/claude-sneakpeek quick --name claudesp

echo 'export PATH="$HOME/.local/bin:$PATH"' >> ~/.zshrc && source ~/.zshrc

function i8(){if(Yz(process.env.CLAUDE_CODE_AGENT_SWARMS))return!1;return xK("tengu_brass_pebble",!1)}

function i8(){return!0}

npx @realmikekelly/claude-sneakpeek update claudesp
# Mise à jour

npx @realmikekelly/claude-sneakpeek remove claudesp
# Désinstallation

Vous utilisez Claude Code et vous passez votre temps à copier-coller vos logs de terminal pour lui donner du contexte ? Du genre, vous lancez une commande, ça se plante comme une merde, et là faut expliquer à l'IA ce qui s'est passé en faisant des screenshots ou du copier-coller à la main.

C'est vite relou mais heureusement, c'est totalement le problème que résout Wake , un petit outil en Rust qui enregistre automatiquement tout ce qui se passe dans votre terminal et le donne en offrande sacrée à Claude Code via le protocole MCP. Du coup, plus besoin de jouer les secrétaires IA, puisque Claudo Code, euuh Claude Code peut interroger votre historique de commandes avec les sorties et le contexte git quand il en a besoin.

Au début, vous lancez wake shell et hop, vous êtes dans une session enregistrée. Ensuite toutes vos commandes, leurs sorties, et même les infos de votre repo git, tout est capturé et stocké localement dans une base SQLite bien planquée dans ~/.wake/. Puis quand vous posez une question à Claude Code, il peut aller piocher dans cet historique pour comprendre ce que vous avez fait.

L'installation se fait en une seule ligne (allez lire le script comme d'hab, hein) :

curl -sSf https://raw.githubusercontent.com/joemckenney/wake/main/install.sh | sh

Après faut ajouter l'init dans votre .zshrc ou .bashrc :

eval "$(wake init zsh)"

Et pour brancher ça sur Claude Code :

claude mcp add --transport stdio --scope user wake-mcp -- wake-mcp

Côté commandes, y'a wake log pour voir l'historique récent, wake search "machin truc" pour fouiller dedans, wake dump pour exporter en markdown et wake annotate "note" si vous voulez ajouter des petites marqueurs pour vous y retrouver plus tard. Le stockage reste en local sur votre machine, et les sorties sont limitées à 1 Mo par commande pour éviter de saturer la base.

Donc si vous êtes le genre de gaillard.e sans peur à laisser Claude piloter votre terminal ou à utiliser plusieurs agents en parallèle , c'est le genre d'outil qui peut vraiment vous faire gagner du temps car là où avant fallait tout expliquer à l'IA, maintenant elle voit directement ce que vous avez fait et pourquoi ça a merdé.

Le projet vient de sortir en v0.1.0, donc c'est encore tout frais. Ça supporte zsh et bash pour le moment. Par contre, fish c'est pas encore au programme.

Vous rêvez de lancer Claude sur un projet et de le laisser bosser tout seul pendant que vous faites autre chose, du genre jouer à Animal Crossing en attendant la fin de la journée ? Hé bien c'est exactement ce que propose Auto-Claude, un outil open source qui transforme l'assistant IA préféré des devs en armée de développeurs plus autonomes que votre mère quand il s'agit d'échanger un billet de train.

J'avais déjà parlé de Claude Engineer c'est vrai. C'est un framework CLI en Python qui permettait de faire bosser Claude en autonomie. Mais Auto-Claude, alalalala, c'est un autre délire les amis ! Déjà c'est une vraie application desktop avec interface graphique, tableau Kanban pour gérer vos tâches, et surtout... 12 terminaux qui peuvent tourner en parallèle. Oui, DOUZE agents Claude qui bossent simultanément sur votre code pendant que vous candy crushez pépouze dans les WC de votre entreprise.

Les terminaux d'Auto-Claude en action, chacun gérant un agent autonome

Le truc génial, c'est que chaque agent travaille dans son propre git worktree. Du coup, pas de conflit (de canard ^^ - J'ai pas pu résister désolé), pas de branches qui s'emmêlent, et chaque tâche est isolée proprement.

Puis quand c'est fini ? Hop, vous validez et ça merge parfaitement sans vous prendre la tête. Ce truc est fou !

Installation

Alors pour commencer, il vous faut un abonnement Claude Pro ou Max. Pas le choix...

Ensuite, installez Claude Code via npm si c'est pas déjà fait :

npm install -g @anthropic-ai/claude-code

Maintenant on clone Auto-Claude :

git clone https://github.com/AndyMik90/Auto-Claude.git
cd Auto-Claude

Et on installe les dépendances. L'outil gère à la fois le frontend Electron et le backend Python :

npm run install:all

Et c'est tout. Si si sérieux. Bon, là je vous l'ai fait en mode installe de barbu.e.s mais sachez aussi qu'il y a des binaires à télécharger directement pour Windows, macOS (Intel ou Silicon) et Linux (AppImage, deb ou flatpak).

Lancement et utilisation

Pour démarrer l'interface graphique, ensuite, c'est :

npm start

Une fenêtre s'ouvre avec le fameux tableau Kanban. Vous ajoutez vos tâches, vous les assignez aux agents disponibles, et c'est parti. Chaque terminal affiche en temps réel ce que fait son agent.

Le tableau Kanban pour orchestrer vos agents IA

Pour les fans de ligne de commande, y'a aussi un mode CLI :

python run.py --spec 001

Le numéro correspond à un fichier de spec dans le dossier specs/. Vous écrivez ce que vous voulez, et Auto-Claude s'occupe du reste.

Comment ça fonctionne ?

L'architecture est plutôt bien pensée puisque le frontend Electron communique avec un backend Python via WebSocket. Chaque agent a son propre processus isolé, sa propre branche git, son propre contexte.

Ainsi, quand vous lancez une tâche, Auto-Claude :

1. Crée un worktree git dédié
2. Lance un agent Claude Code dessus
3. Monitore l'avancement en temps réel
4. Gère le pipeline QA automatiquement

Le tout avec une interface qui vous permet de suivre 12 conversations en parallèle, soit de quoi bien jouer au chef d'orchestre si vous avez un gros projet à abattre.

Je commence à peine à découvrir l'outil et faut que je le ponce un peu plus pour voir ce que je peux faire avec ça, mais si vous êtes chaud bouillant comme moi sur ce genre de truc, je vous invite à tester l'autonomie IA poussée à fond avec Auto-Claude.

C'est gratuit, open source, et ça tourne sur Mac, Windows et Linux . Et un grand merci à Louis pour la découverte !

Si vous aimez les globes 3D qui en jettent, j'ai un petit projet sympa à vous présenter. Ça s'appelle TerraGuessr et c'est Fred, un lecteur de longue date (coucou Fred !), qui m'a envoyé ça !

L'idée de Fred est assez géniale. Il propose d'utiliser un globe terrestre interactif pour visualiser la "déformation" du monde sous le poids des inégalités. En gros, au lieu de voir une sphère parfaite, vous voyez les continents s'étirer ou se contracter en fonction d'indicateurs comme la richesse, l'éducation ou encore la santé.

C'est ce que les profs de Géographie appellent un cartogramme en 3D. C'est hyper visuel et ça permet d'apprendre plein de choses !

Pour la petite histoire, Fred a codé tout ça... sans savoir coder au départ. Il a utilisé pour cela l'éditeur Cursor , Google AI Studio et ChatGPT. Et voilà, sa bonne idée s'est transformée avec un peu d'huile de coude et beaucoup de patience en ce site de carto incroyable.

L'interface de TerraGuessr - un globe 3D pour visualiser les data mondiales

Si vous allez sur son site, vous verrez concrètement comment ces outils d'IA tant critiqués permettent à des passionnés comme Fred et d'autres, de sortir des outils complexes qui n'auraient jamais vu le jour, hormis dans leurs rêves.

Et techniquement, ça envoie du bois puisque c'est basé sur Three.js. Fred s'appuie sur des sources de données sérieuses telles que la Banque Mondiale, Our World in Data et Gapminder. Et au final, il a réussi à mouliner tout ça pour nous proposer une expérience fluide et des stats enfin concrètes.

TerraGuessr propose plusieurs modes pour s'amuser (et s'instruire, du coup) :

• Des quiz et des "stories" pour mieux comprendre les statistiques mondiales.
• Un jeu "Ultimate Countries" pour deviner tous les pays du monde avec des niveaux de difficulté de débutant à légende.
• Et un mode "public" pensé pour les animations sur TikTok ou Insta .

Il propose même une API et un back-office à prix libre pour ceux qui veulent créer des quiz et des stories, tout ça connecté à LLM pour générer les textes. Le mec est fou !

Voilà, si vous avez déjà passé des heures à essayer de devenir un pro à GeoGuessr , vous allez adorer le concept sauf qu' au lieu de chercher un poteau électrique au fin fond de la toundra, vous allez vraiment apprendre des trucs sur l'état (catastrophique) de notre planète.

A découvrir ici : TerraGuessr.org et encore bravo à Fred !

Après 11 ans de recherche, les travaux du professeur Boudreau du CNRS Écologie & Environnement de Boulogne viennent d’être publiés dans la revue scientifique “Nature” du 22 décembre 2025. Les conclusions de l’étude révèlent que ne pas laisser couler l’eau pendant sa douche diminuerait de 99,99% les volumes d’eau gaspillés pendant sa toilette. “D’après nos expérimentations répondant à un protocole établi en amont par les équipes du CNRS, nous sommes arrivés à la conclusion que couper totalement l’arrivée d’eau de la douche entraînerait un arrêt immédiat de toute forme de consommation aqueuse dans un délai de 0,5 à 1 seconde” peut-on lire en préambule des 48 pages de publication. 

Des résultats surprenants qui ont modifié en profondeur les habitudes de nombreux Français. “Depuis que je suis tombé sur cette étude, j’ai totalement arrêté d’utiliser ma douche” commente par exemple Dorian S. responsable “Fruits à coques” chez Bio C Bon. “C’est un réflexe tout simple mais une fois qu’on a pris le pli, on sent vraiment la différence” poursuit-il avant d’être recouvert brutalement par plus de 800 mouches. Quand on lui demande si ce changement d’habitude n’est pas un peu trop radical, Dorian secoue la tête. “Pas du tout, il suffit simplement de s’adapter. Maintenant, au lieu de prendre une douche tous les soirs, je me frotte vigoureusement le corps sur des troncs d’arbres pour enlever les impuretés. Le résultat est le même et mille fois plus écologique” nous confie-t-il, avant de se jeter violemment contre un troène en hurlant « À LA DOUCHE ! ». 

Du côté de la communauté scientifique, ces résultats laissent entrapercevoir l’espoir de finir par pouvoir préserver durablement les réserves d’eau de la planète. Une étude qui met en avant d’autres clés de lutte écologique en dévoilant qu’arrêter de respirer pourrait réduire de près de 98% les émissions de CO2.

L’article Écologie – Une étude encourage à ne pas laisser couler l’eau pendant sa douche est apparu en premier sur Le Gorafi.fr Gorafi News Network.

Je me souviens encore du lancement de Windows 95... c'est un sacré souvenir pour moi... J'avais suivi ça de très près et j'en rêvais même la nuit après avoir vu la pub. Puis cette musique "Start Me Up" des Rolling Stones, c'était cool quand même. C'était le futur !

Mais est-ce que vous vous souvenez de cette petite astuce de ninja qui permettait de redémarrer cet OS aussi vite qu'une baston dans un bar du 62 ???

J'suis sûr que non, mais moi je m'en souviens encore car sur ma machine, ça me changeait vraiment la vie. En fait, il fallait maintenir la touche MAJ enfoncée en cliquant sur "Redémarrer", et hop, au lieu de se taper tout le cirque du BIOS, Windows se relançait "presque" instantanément !

Et magie magie, le secret de cette sauce vient d'être raconté par l'inoxydable Raymond Chen, vétéran de chez Microsoft, et vous allez voir, c'est chouette !

En fait quand vous faisiez ce MAJ+Redémarrer, Windows envoyait un petit "flag" spécial baptisé EW_RESTARTWINDOWS au kernel 16 bits. Comme ça au lieu de dire à la machine de faire un "cold boot" (un redémarrage à froid quoi..), le système fermait gentiment le kernel. Et le gestionnaire de mémoire virtuelle avant de faire redescendre le CPU en mode réel.

Et c'est là que le fameux win.com reprenait la main puisqu'en recevant ce signal. Ça lui disait : "Hey gros, on ne s'arrête pas, on repart pour un tour !".

win.com essayait alors de remettre le système dans un état clean, comme s'il venait d'être lancé, sauf que pour relancer Windows en mode protégé, il fallait un gros bloc de mémoire contigu. Malheureusement, si vos logiciels avaient mis trop de bazar et fragmenté la RAM, l'astuce foirait et le PC finissait par faire un vrai reboot complet. Pas cool Raoul !

Par contre, si y'avait assez de mémoire contigu libre alors win.com relançait le VMM (Virtual Machine Manager) et l'interface graphique pouvait repartir sans repasser par la case départ. Un vrai exploit de champion quoi ! C'était pour l'époque une bidouille de génie car chaque seconde gagnée sur le chargement de l'OS était une grande victoire contre l'ennui !!

Chouette comme anecdote non ? Et si vous voulez croquer encore plus de madeleines et tester ça vous-même, y'a des outils comme EmuOS qui simulent tout ça très bien. Et pour les puristes, vous monter un petit Dosbian sur Raspberry Pi reste la base pour bidouiller de vieux kernels.

Bref, même trente ans après, ces entrailles pourries de nos vieux OS recèlent encore de plein de petits secrets passionnants !

Source

Bon, on va pas se mentir, j’étais pas parti pour l’écrire cet article. Mais faut dire que j’ai un peu merdé dans les grandes largeurs pour le live, donc bon, sachant qu’en plus je traite d’un angle particulier de l’usage de ce cher Plakar, autant en faire un billet, ça sera le premier (et j’espère pas le seul) de 2026. On y croit ?

Plakar est une solution développée en France par une petite équipe apparemment friande des jeux de mots, puisqu’au delà de son nom même, le site est hébergé par la société Kandbaz. Voilà voilà…

Des confrères blogueurs ont déjà fait quelques présentations de l’outil (exemple: Adrien), principalement pour s’en servir sous Linux. Il se trouve que j’ai une machine Windows qui a besoin d’être sauvegardée, en vue d’une mise à jour de firmware de SSD qui devrait bien se passer, mais on doit toujours faire une sauvegarde avant de faire ce genre de choses. Mieux vaut prévenir que guérir comme on dit. Et la présentation en live aurait du se passer plus ou moins tranquille, mais bon, j’ai pas percuté la micro-coupure pendant plus d’une heure (habitué à ne pas avoir d’activité dans le chat), donc, je vous remet le processus sur « papier numérique ».

Je ne redétaille pas l’installation de Garage parce qu’on l’a faite en live sans souci.

Petit rappel rapide des caractéristiques de l’outil

On a donc un outil principalement en ligne de commande, qui repose sur un concept voisin de celui de Borg, qui nécessite la configuration d’un dépôt et propose un chiffrement natif des sauvegardes. Ce dépôt, local ou distant, peut être contacté de différentes manières, natives (SFTP/SSH) ou via des intégrations supplémentaires à installer au besoin. C’est le cas notamment du support S3.

Le setup

En soit, c’est très bien documenté : une fois l’outil installé, vous ajoutez le package directement, mais vous tombez sur un mur que je n’aime pas : créer un compte Plakar pour accéder aux intégrations. J’ai une petite idée de pourquoi ça peut avoir du sens (les intégrations concernent en général des solutions d’entreprise), mais ça me gonfle plus que profondément quand ça concerne des particuliers, qui se font déjà violer en permanence, donc pas la peine d’en rajouter (on a la même avec  BitWarden, ou El Gato et son Stream Deck Marketplace pour l’intégration… d’OBS, qui est pourtant mis en avant comme native – c’est donc faux). Fort heureusement, l’outil propose de builder l’intégration depuis les sources qui sont disponibles sur Github, comme le reste des sources de l’outil, et ça sans création de compte. C’est facile… si on est sous Linux.

J’avoue que pour l’instant les installations sont un peu brutes de décoffrage, mais le support Windows est vraiment frais, donc je ne vais pas trop me formaliser là-dessus. Le fait que ça doit déjà proposé pour une version 1.0 est déjà assez cool. Par contre, concernant la compilation des intégrations, c’est plus ardu : il faut disposer de Go (dans la version qui est demandée par Plakar), de Make (à priori à part Chocolatey pas de moyen indépendant), et peut-être d’autres outils, mais je me suis heurté à un mur à cause de ça. La solution, comme d’hab’, aura demandé un pas de côté.

La cross compilation à la rescousse

Une des particularités de Go, c’est qu’on peut nativement compiler pour un autre système d’exploitation que celui sur lequel on se trouve. Et la chaine de compilation nécessaire est plus facile à déployer sous Linux; ça tombe bien, WSL est là pour ça. Après l’installation de la même version de Plakar que sous Windows, j’ai donc installé build-essential (pour être sûr d’avoir un max d’outils, donc Make), installé la version 1.24.12 de Go via asdf-vm (je vous renvoie vers la doc de Stéphane Robert qui a tout expliqué au sujet de cet outil trop pratique). Et pour la compilation d’un autre OS, c’est simple : on configure une variable d’environnement, GOOS, éventuellement l’architecture (oui, parce que c’est aussi possible), l’extension de fichier dans la variable EXT (parce que sous Windows, il faut un .exe pour qu’il soit exécutable – oui c’est débile en 2026, mais que voulez-vous, l’IA c’est plus intéressant à intégrer que moderniser un OS don personne ne voulait à la base) et on lance la compilation de l’intégration via la commande plakar ad-hoc. Vraiment, c’est aussi simple que ça :

$ export GOOS=windows
$ export EXT=.exe
$ plakar pkg build s3
info: fetching https://plugins.plakar.io/kloset/recipe/v1.0.0/s3.yaml
/usr/bin/make -C /tmp/build-s3-v1.0.7-161840773 EXT=.exe
3fe849cb: OK ✓ /manifest.yaml
3fe849cb: OK ✓ /s3Importer.exe
3fe849cb: OK ✓ /s3Exporter.exe
3fe849cb: OK ✓ /s3Storage.exe
3fe849cb: OK ✓ /
Plugin created successfully: s3_v1.0.7_windows_amd64.ptar
$ ls -l
.rw------- 1 42M seboss666 16 Jan 22:29  s3_v1.0.7_windows_amd64.ptar

On peut donc désormais copier le fichier ptar sous Windows (il faudra que je creuse ce format qui semble un peu maison), et on peut l’installer avec la bonne commande :

> .\plakar.exe pkg add ./s3_v1.0.7_windows_amd64.ptar
> .\plakar.exe pkg list
s3@v1.0.7

La sauvegarde ? Ben ça fonctionne

On peut donc attaquer le dur. J’ai juste suivi la doc de l’intégration, à savoir créer le kloset l’initialiser, et lancer le backup d’un dossier vers ce kloset là :

.\plakar.exe store add garage s3://192.168.1.201:3900/backup-pc access_key=<accesskey> secret_access_key=<secret_key> use_tls=false
.\plakar.exe at "@garage" create
repository passphrase:
repository passphrase (confirm):
.\plakar.exe at "@garage" ls
repository passphrase:
.\plakar.exe at "@garage" backup C:\\Users\\Seboss666\\Pictures\\blog
repository passphrase:
e363f7fa: OK ✓ /C:/Users/Seboss666/Pictures/blog/Firefox_groupe_onglets.png
e363f7fa: OK ✓ /C:/Users/Seboss666/Pictures/blog/Firefox_profils.png
e363f7fa: OK ✓ /C:/Users/Seboss666/Pictures/blog/docker-docker-everywhere.jpg
e363f7fa: OK ✓ /C:/Users/Seboss666/Pictures/blog/418-error-page.png
e363f7fa: OK ✓ /C:/Users/Seboss666/Pictures/blog/cross.svg
(...)
.\plakar.exe at "@garage" ls
repository passphrase:
2026-01-16T21:40:31Z e363f7fa 42 MiB 0s /C:/Users/Seboss666/Pictures/blog

Bonus, on peut vérifier l’état du backup depuis un autre PC, ou un autre OS, donc je suis retourné sur WSL, j’ai viré les variables d’environnement pour builder l’intégration pour Linux cette fois, et rebuildé/ajouté l’intégration. On reprend ensuite la même commande pour ajouter le Kloset, mais pas besoin de l’initialiser, on peut directement lister son contenu en fournissant la bonne passphrase :

$ plakar store add garage s3://192.168.1.201:3900/backup-pc access_key=<access_key> secret_access_key=<secret_key>
$ plakar at "@garage" ls
repository passphrase:
2026-01-16T21:40:31Z e363f7fa 42 MiB 0s /C:/Users/Seboss666/Pictures/blog

On peut donc faire à peu près ce qu’on veut dès lors : restauration complète ou partielle, création de nouveaux backups, etc.

Verdict

Donc oui, tout a fonctionné pratiquement du premier coup. J’ai quand même tâtonné au départ concernant le build de l’intégration, à vouloir « make » direct à partir du dépôt git. Mais dans ce cas, on se retrouve avec les trois binaires, sans infos sur la construction du fameux ptar (on est là encore dans le simili-jeu de mots, vraiment…), ce qui est plutôt dommage. Il m’aura fallu quelques minutes pour me résigner à utiliser plakar directement. Il faudrait aussi un peu plus de retour sur les commandes qui se déroulent bien (sans erreur). Autant quand on se plante, on le sait, mais quand on se plante pas, voir juste un retour à la ligne est un peu frustrant et déroutant.

Il y a question aussi sur les performances de la sauvegarde testée. j’ai testé sur un dossier de 108 images, et un des développeurs s’est étonné sur BlueSky du temps que ça a pris. J’avoue que pour l’instant, je n’ai pas creusé le sujet, il y a des chances que ça soit dû aux performances S3 elle-mêmes, à NTFS, une combinaison de tout ça. Garage est censé être performant, mais bon, on est sur un processeur ARM assez poussif quand même, qui doit déjà gérer le transfert réseau, donc on est pas à l’abri que ça soit un problème purement chez moi.

En tout cas, pour un jeune logiciel, la qualité de la documentation et l’implémentation Windows déjà opérationnelle (même si encore un peu buggée chez certains, en lien notamment avec les différences slash/antislash à cause de Windows), en bonus une interface web pour parcourir les backups, il m’a très agréablement surpris. On ne peut souhaiter que ça mature comme il faut et que l’entreprise trouve son équilibre (la stabilité financière et l’open-source, hein…). Et moi que je regarde d’un peu plus près le statut du live la prochaine fois (ou que je configure l’enregistrement en plus du stream)…

Alors que le visiteur interstellaire 3I/ATLAS s’éloigne progressivement de notre étoile et de notre planète, il continue de dévoiler des comportements surprenants.

L’article La comète 3I/ATLAS dévoile un dernier comportement étrange avant de tirer sa révérence, rédigé par Marc Odilon, est apparu en premier sur NeozOne.

Un gamin de 15 ans qui pète les serveurs de la NASA pendant que moi, à son âge, j'en était encore à configurer mon modem 56k pour qu'il arrête de faire du bruit en pleine nuit... Jonathan James, alias c0mrade, est devenu le premier mineur emprisonné pour cybercriminalité aux États-Unis... avant, malheureusement, de se suicider à 24 ans parce qu'il pensait qu'on allait l'accuser d'un crime qu'il n'avait pas commis.

Voici l'histoire la plus dingue et la plus tragique du hacking que vous n'avez jamais entendue.

Jonathan Joseph James naît le 12 décembre 1983 à Pinecrest, un quartier cossu de Miami-Dade County. Son père, Robert James, bosse comme programmeur pour le comté... déjà, on sent que l'informatique, c'est de famille. Sa mère, Joanne Jurysta, tient la maison pendant que les deux frangins, Jonathan et Josh, grandissent dans un environnement de classe moyenne supérieure.

Dès 6 ans, Jonathan passe ses journées sur l'ordinateur paternel. Au début, c'est pour jouer, évidemment. Mais très vite, le gamin comprend qu'il peut faire bien plus que lancer des jeux. Il commence à triturer, à fouiller, à comprendre comment ça marche sous le capot. Ses parents, inquiets de voir leur fils scotché à l'écran, décident alors de lui confisquer l'ordinateur quand il atteint ses 13 ans.

Grosse erreur.

Car Jonathan fait une fugue. Il refuse catégoriquement de rentrer à la maison tant qu'on ne lui rend pas son accès à l'informatique. J’imagine la scène avec ces parents complètement dépassés face à un ado qui préfère dormir dehors plutôt que de vivre sans son ordinateur. Bon, ils finissent par craquer, évidemment.

C'est à cette époque que Jonathan se forge son identité de hacker. Il choisit l'alias c0mrade avec un zéro à la place du 'o', parce que dans les années 90, remplacer des lettres par des chiffres, c'était le summum du cool.

Et surtout, il passe ses nuits sur les BBS et les premiers forums de hacking, à échanger avec une communauté underground qui n'a absolument rien à voir avec les script kiddies d'aujourd'hui. C'est une époque où pirater demandait de vraies compétences techniques, pas juste télécharger un exploit sur GitHub.

L'été 1999. Jonathan a 15 ans, les cheveux longs, et une curiosité maladive pour tout ce qui ressemble à un serveur mal configuré. Entre le 23 août et le 27 octobre 1999, il va commettre une série d'intrusions qui vont faire de lui une légende du hacking... et accessoirement, le faire finir en prison.

Pour son méfait, le gamin scanne les réseaux à la recherche de serveurs Red Hat Linux mal patchés et comme en 1999, la sécurité informatique, c'est encore le Far West, les administrateurs système pensent que mettre leur serveur derrière un firewall basique, c'est suffisant.

Sauf que ça ne l'était pas.

Jonathan exploite des vulnérabilités connues pour installer des backdoors c'est à dire des portes dérobées qui lui permettent de revenir à volonté sur les systèmes compromis. Mais le plus fort, c'est qu'il installe aussi des sniffers réseau, des programmes qui interceptent tout le trafic qui passe par le serveur. Mots de passe, emails, données sensibles... tout y passe.

Sa première cible d'envergure ? BellSouth, le géant des télécoms. Puis le système informatique des écoles de Miami-Dade County. Mais c'est quand il s'attaque aux agences gouvernementales que les choses deviennent vraiment intéressantes.

En septembre 1999, c0mrade détecte une backdoor sur un serveur situé à Dulles, en Virginie. Au lieu de passer son chemin, il décide d'aller voir de plus près. Il se connecte, installe son sniffer maison, et se rend compte qu'il vient de compromettre un serveur de la DTRA, c'est à dire la Defense Threat Reduction Agency, une division ultra-sensible du Département de la Défense qui s'occupe d'analyser les menaces NBC (nucléaires, biologiques, chimiques) contre les États-Unis.

Pendant plusieurs semaines, Jonathan intercept plus de 3300 emails entre employés de la DTRA. Il récupère aussi des centaines d'identifiants et mots de passe, ce qui lui permet d'accéder à une dizaine d'ordinateurs militaires supplémentaires. Tout ça sans que personne ne s'en aperçoive.

Mais le clou du spectacle, c'est son intrusion chez NASA.

En juin 1999, Jonathan tombe sur un serveur mal configuré à Huntsville, Alabama. Il l'infecte avec son malware habituel et découvre qu'il vient de compromettre le Marshall Space Flight Center de la NASA. Et c'est pas n'importe lequel puisque c'est celui qui développe les moteurs de fusée et les logiciels pour la Station Spatiale Internationale.

En installant sa backdoor, c0mrade réalise qu'il peut accéder à 12 autres ordinateurs du réseau. Et là, jackpot ! Il met la main sur le code source d'un programme qui contrôle des éléments critiques de l'ISS. On parle du système de contrôle de la température et de l'humidité dans les modules habitables de la station spatiale.

Rien que ça...

Jonathan télécharge l'intégralité du logiciel. Valeur estimée par la NASA : 1,7 million de dollars. Mais attention, ce n'est pas un vol dans le sens classique du terme puisque le gamin ne revend rien, ne détruit rien, ne modifie rien. Il copie, point. Sa philosophie de grey hat hacker de l'époque c'est d'explorer sans nuire.

Sauf que quand la NASA découvre l'intrusion, et ça devient vite la panique à bord. L'agence spatiale est obligée de couper ses serveurs pendant 21 jours pour vérifier l'intégrité de ses systèmes et colmater les failles. Coût de l'opération : 41 000 dollars de plus. Pour l'époque, c'est énorme.

Encore une fois, on réalise à quel point la sécurité de nos infrastructures critiques tenait du miracle en 1999.

Nous sommes le 26 janvier 2000. Jonathan vient d'avoir 16 ans depuis quelques semaines. Il est tranquillement dans sa chambre quand des agents fédéraux débarquent chez lui avec un mandat de perquisition. FBI, NASA, Département de la Défense... tout le gratin de la sécurité nationale américaine vient cueillir le gamin de Miami. Comme l'a rapporté ABC News à l'époque , l'arrestation fait sensation dans les médias.

Jonathan ne fait même pas semblant de nier. Plus tard, il expliquera aux enquêteurs qu'il aurait pu facilement couvrir ses traces s'il avait voulu. Mais il ne pensait pas faire quelque chose de mal. Dans sa tête d'ado, il "jouait" juste avec des ordinateurs. Il n'avait volé aucune donnée pour s'enrichir, n'avait planté aucun système, n'avait rien détruit.

Le problème c'est que la justice américaine ne voit pas les choses du même œil.

Le 21 septembre 2000, Jonathan James devient alors officiellement le premier mineur condamné à une peine de prison pour cybercriminalité aux États-Unis. À 16 ans, il entre dans l'histoire du droit pénal informatique. Et sa sentence est de 7 mois d'assignation à résidence, probation jusqu'à ses 18 ans, et interdiction d'utiliser un ordinateur à des fins "récréatives".

Mais Jonathan est un ado. Il est positif à un contrôle antidrogues (cannabis) et viole ainsi sa probation. Direction la prison fédérale de l'Alabama pour 6 mois supplémentaires. Le gamin qui piratait la NASA depuis son lit se retrouve derrière les barreaux.

L'ironie, c'est que son cas va complètement révolutionner la législation sur la cybercriminalité juvénile. Avant Jonathan, les juges ne savaient littéralement pas comment traiter un mineur capable de compromettre des systèmes gouvernementaux. Son procès a forcé le Congrès à repenser les lois fédérales sur les crimes informatiques commis par des mineurs.

Jonathan sort de prison en 2001. Il a 17 ans, un casier judiciaire, et une réputation sulfureuse dans le milieu du hacking et il essaie de se tenir à carreau, de mener une vie normale. Mais son passé va le rattraper de la pire des manières.

En 2007, la chaîne de magasins TJX (TJ Maxx, Marshalls, HomeGoods) subit l'une des plus grosses fuites de données de l'histoire : 45,6 millions de numéros de cartes de crédit volés. L'enquête mène à Albert Gonzalez , un hacker de Miami qui dirigeait un réseau international de cybercriminels, selon le département de la Justice américain .

Source

Mais le problème c'est qu'Albert Gonzalez et Jonathan James se connaissent. Ils évoluent dans les mêmes cercles, fréquentent les mêmes forums, habitent la même région. Alors quand le FBI épluche les connexions de Gonzalez, le nom de c0mrade ressort forcément.

En janvier 2008, le Secret Service débarque chez Jonathan, chez son frère, chez sa copine. Ils retournent tout, confisquent ses ordinateurs, l'interrogent pendant des heures. Jonathan nie catégoriquement toute implication dans le hack TJX. Il répète qu'il n'a plus fait de hacking depuis sa sortie de prison, qu'il essaie de refaire sa vie.

Les agents trouvent une arme à feu légalement détenue et des notes suggérant que Jonathan a déjà pensé au suicide. Mais aucune preuve de sa participation au hack TJX.

Pourtant, l'étau se resserre. La presse s'empare de l'affaire, ressort son passé de "hacker de la NASA". Jonathan devient paranoïaque, convaincu que le gouvernement veut faire de lui un bouc émissaire. Il sait qu'avec son casier, aucun jury ne croira en son innocence.

Alors le 18 mai 2008, Pinecrest, Floride, Jonathan James, 24 ans, se tire une balle dans la tête sous la douche de sa salle de bain.

Il laisse une note déchirante : "Je n'ai honnêtement, honnêtement rien à voir avec TJX. Je n'ai aucune foi dans le système de 'justice'. Peut-être que mes actions d'aujourd'hui, et cette lettre, enverront un message plus fort au public. De toute façon, j'ai perdu le contrôle de cette situation, et c'est ma seule façon de le reprendre."

La suite lui donnera raison : Albert Gonzalez sera condamné à 20 ans de prison, mais aucune preuve ne sera jamais trouvée contre Jonathan James concernant l'affaire TJX.

Ce gamin était un génie pur. Pas le genre de génie qu'on voit dans les films, mais un vrai génie technique, capable de comprendre et d'exploiter des systèmes complexes à un âge où la plupart d'entre nous découvraient à peine Internet.

Le problème, c'est que personne n'a su canaliser ce talent. Ses parents ont essayé de le brider en lui confisquant son ordinateur. Le système judiciaire l'a traité comme un criminel ordinaire. Et la communauté du hacking de l'époque n'avait pas vraiment de garde-fous éthiques.

Et aujourd'hui, combien de c0mrade potentiels traînent-ils sur nos serveurs Discord, nos repos GitHub, nos communautés de makers ?

Maintenant on a des programmes de bug bounty, des certifications en cybersécurité, des bootcamps éthiques. Des voies légales pour exprimer ce genre de talent. Alors que Jonathan n'a jamais eu ces options.

Son héritage, comme celui de Kevin Mitnick , c'est donc d'avoir forcé le monde à prendre la cybersécurité au sérieux. Après ses exploits, la NASA a complètement revu ses protocoles de sécurité, le Pentagone a investi des milliards dans la protection de ses systèmes et le Congrès a voté de nouvelles lois sur la cybercriminalité juvénile.

Je pense que Jonathan James aurait mérité mieux que cette fin tragique. Il aurait pu devenir un expert en cybersécurité, un consultant, un formateur. Il aurait pu utiliser ses compétences pour protéger les systèmes qu'il avait appris à compromettre... C'est triste.

A nous de faire en sorte que les prochains génies du code ne suivent pas le même chemin.

Source

Ah, encore une merveilleuse petite faille de sécurité qui va ravir tous les paranos de la vie privée et les anti-IA ^^ ! Johann Rehberger et l'équipe de PromptArmor viennent de démontrer comment Claude Cowork , l'agent IA d'Anthropic censé vous simplifier la vie au bureau, peut se transformer en aspirateur à fichiers personnels.

J'imagine que si vous l'avez testé, vous avez un dossier connecté à Claude Cowork pour qu'il vous aide à analyser vos documents ? Parfait. Il suffit maintenant qu'un petit malin glisse un fichier Word contenant des instructions cachées, et hop hop hop, vos précieux fichiers partent se balader sur un serveur distant sans que vous n'ayez rien vu venir.

En fait, le fichier piégé contient du texte invisible pour l'œil humain, mais parfaitement lisible par l'IA. Genre une police en taille 1px, de couleur blanche sur fond blanc, avec un interligne de 0,1 histoire d'être vraiment sûr que personne ne le remarque. C'est beau la créativité des hackers, quand même.

Et l'IA, elle, lit tout ça comme si c'était normal et exécute gentiment les instructions malveillantes.

La chaîne d'attaque se déroule en cinq étapes bien huilées. D'abord, l'attaquant dépose son fichier vérolé dans un dossier partagé auquel Claude a accès. Ensuite, il attend qu'un utilisateur demande à l'IA d'analyser le contenu de ce dossier. Claude traite alors le fichier piégé et découvre les instructions cachées. L'IA effectue une requête qui envoie vos fichiers vers l'API Anthropic... sauf que les identifiants utilisés appartiennent à l'attaquant. Vos données atterrissent donc tranquillement dans son compte, sans que vous n'ayez la moindre notification.

Ce qui rend cette attaque particulièrement sournoise, c'est que la sandbox de Claude autorise les requêtes sortantes vers l'API d'Anthropic. Normal, me direz-vous, c'est son propre écosystème. Sauf que du coup, un attaquant bien motivé peut exploiter cette confiance aveugle pour faire transiter des données volées par un canal parfaitement légitime en apparence. Si vous suivez les vulnérabilités des systèmes RAG comme ConfusedPilot , vous reconnaîtrez le même genre de manipulation par injection de contenu.

Et ce n'est pas tout ! Les chercheurs ont également identifié un vecteur potentiel de déni de service. En créant un fichier avec une extension qui ne correspond pas à son contenu réel, genre un fichier texte déguisé en PDF, on peut provoquer des erreurs en cascade qui paralysent l'API de manière persistante.

Sympa pour bloquer un concurrent ou saboter un projet.

Côté modèles affectés, les chercheurs ont démontré la vulnérabilité sur plusieurs versions de Claude, dont Haiku. Bref, c'est du sérieux. Pour ceux qui s'intéressent aux failles de sécurité des assistants IA ou aux techniques de red teaming sur les LLM , cette recherche vaut vraiment le détour.

Anthropic a été notifié et travaille sur des correctifs. En attendant, si vous utilisez Claude Cowork avec des dossiers partagés, méfiez-vous de tout fichier qui pourrait traîner là sans raison apparente. Et la prochaine fois que quelqu'un vous envoie un document "urgent à analyser", prenez peut-être cinq secondes pour vous demander s'il ne cache pas une petite surprise.

Pour en savoir plus c'est par ici !