Si vous avez déjà tapé [ss -tulnp](https://www.it-connect.fr/lister-les-ports-en-ecoute-sous-linux-avec-lsof-netstat-et-ss/) dans un terminal, vous savez que c'est moche. Genre, VRAIMENT moche. Les colonnes qui se chevauchent, les adresses tronquées, bref c'est un festival du bordel. Mais c'était sans compter sur ce dev qui a pondu Snitch , un outil en Go sous licence MIT qui vient concurrencer ss et netstat... sauf que pour une fois, c'est lisible, regardez :

L'interface de Snitch en action, sobre et lisible

En gros, c'est un ss moderne avec une interface TUI interactive. Vous lancez la commande dans votre terminal et tadaaa, vous avez un tableau propre avec toutes vos connexions réseau, les processus associés, les ports, les protocoles... le tout avec des couleurs et une navigation au clavier. Rien à voir donc avec le pavé monochrome habituel !

Le truc cool aussi ce sont les filtres. Vous pouvez taper snitch ls proto=tcp state=listen pour ne voir que les sockets TCP en écoute, ou snitch ls proc=nginx pour traquer votre serveur web. Y'a même un filtre contains= pour chercher dans les adresses... genre contains=google pour voir tout ce qui cause avec Mountain View.

D'ailleurs, côté commandes c'est en fait bien fichu. snitch ls pour un tableau statique, snitch json pour du JSON brut si vous voulez scripter, et snitch watch -i 1s pour streamer les connexions en temps réel. Du coup ça s'intègre nickel dans vos pipelines.

La TUI elle-même vaut le détour. Vous naviguez avec j/k (comme dans Vim, forcément), vous basculez TCP/UDP avec t/u, et le plus jouissif... vous pouvez killer un processus directement avec la touche K. Plus besoin de noter le PID et d'ouvrir un autre terminal ! Sauf que attention, sur Linux faut quand même lancer en root pour avoir les infos complètes sur les processus, parce que l'outil va lire dans /proc/net/*. Ça ne marche pas non plus sur Windows, c'est Linux et macOS uniquement.

Pour ceux qui aiment personnaliser leur terminal (oui, je vous connaîs...), y'a une quinzaine de thèmes, Catppuccin, Dracula, Nord, Tokyo Night, Gruvbox... la config se fait dans ~/.config/snitch/snitch.toml et l'outil peut aussi conserver vos préférences de filtres entre les sessions (faut activer remember_state dans la config).

Côté installation, c'est pas la mer à boire. brew install snitch sur macOS, go install github.com/karol-broda/snitch@latest si vous avez Go, yay -S snitch-bin sur Arch, et y'a même des images Docker pour les plus prudents !

Donc si vous êtes du genre à surveiller votre trafic réseau ou à garder un oeil sur vos outils de diagnostic Linux , c'est clairement à tester.

Perso, pour du debug réseau rapide, je trouve que c'est carrément plus agréable que de se taper un ss -tulnp.

MinIO, tout le monde ou presque connaît car c'est LE truc quand on veut du stockage objet S3-compatible auto-hébergé sous Linux. Sauf que voilà... la licence AGPL, ça pique pour pas mal de boîtes qui ne veulent pas se retrouver à devoir ouvrir leur code.

Du coup, y'a un nouveau projet qui débarque dans le tiek et qui devrait en intéresser plus d'un. C'est RustFS , codé en Rust (comme le nom le laisse deviner mes petits Sherlock) et 100% compatible S3. En gros, vous prenez votre stack MinIO existante, vous remplacez par ce truc, et en fait tout continue de fonctionner pareil... Vos buckets, vos applis, vos scripts Python, boto3... tout pareil !

docker run -d -p 9000:9000 -p 9001:9001 -v $(pwd)/data:/data -v $(pwd)/logs:/logs rustfs/rustfs:latest

Les Ray-Ban Meta, c'est quand même le gadget parfait pour les voyeurs technophiles. Ce sont quand même des lunettes qui filment, prennent des photos et diffusent en live... le tout sans que PERSONNE autour ne s'en rende compte (ou presque). Alors forcément, quelqu'un a fini par coder une app pour les détecter !

Nearby Glasses , c'est une application Android développée par Yves Jeanrenaud qui scanne en permanence les signaux Bluetooth Low Energy autour de vous. Chaque appareil BLE diffuse en fait des trames pour s'annoncer avec un identifiant constructeur et les lunettes caméra de Meta utilisent les IDs 0x01AB et 0x058E (Meta Platforms) ainsi que 0x0D53 (Luxottica/Ray-Ban). Donc cette app écoute ces identifiants et vous balance une alerte dès qu'elle en capte un.

La détection repose sur le RSSI, en gros la puissance du signal reçu et par défaut, le seuil est à -75 dBm, soit environ 10-15 mètres en extérieur et 3-10 mètres en intérieur. Donc c'est pas foufou non plus mais c'est configurable, évidemment. Vous pouvez donc le durcir un peu pour ne choper que les lunettes vraiment proches, ou l'assouplir pour ratisser large (au prix de faux positifs en pagaille).

Les faux positifs, parlons-en d'ailleurs... Les casques Meta Quest utilisent les mêmes identifiants constructeur, du coup ça ne marche pas à tous les coups. Par exemple, si votre voisin joue en VR, votre téléphone va sonner ! L'app détecte aussi les Snap Spectacles (0x03C2)... pour les trois personnes qui en portent encore ^^.

Ah et l'app est UNIQUEMENT pour Android. La version iOS serait "on the way" selon le développeur... faut donc pas être pressé mais au moins c'est open source (AGPL-3.0), du coup n'importe qui peut vérifier ce que l'app fait de vos données Bluetooth.

Si le sujet vous parle, vous connaissez peut-être Ban-Rays , un projet hardware à base d'Arduino et de LEDs infrarouges qui détecte les Ray-Ban Meta via infrarouge et Bluetooth ! Hé bien Nearby Glasses, c'est l'approche 100% logicielle plutôt que hardware, ce qui est plus accessible mais forcément plus limitée... pas besoin de fer à souder, cela dit ^^.

C'est une rustine mais bon, c'est mieux que de se retrouver à poil sans permission sur le web.

Source

Bonne nouvelle pour ceux qui en ont ras la casquette de se taper des allers-retours entre Figma et VS Code ! Parce qu'avec Onlook , l'éditeur visuel open source qui vous permet de modifier le design de vos apps React directement dans le navigateur, vous allez pouvoir cliquer simplement sur un élément de design, et en changer la couleur, la typo...etc et hop, ça modifiera le code derrière.

Pas mal, non ?

Vous ouvrez votre projet Next.js dans Onlook, et vous vous retrouvez avec une interface à la Figma, sauf que c'est branché sur votre code source. Vous sélectionnez un titre, un bouton, n'importe quel composant, et vous modifiez son style visuellement... couleurs, padding, marges, polices, tout y passe.

Et en fait, le truc qui change tout par rapport à un inspecteur CSS classique, c'est que quand vous cliquez sur "Publish", les modifications atterrissent DIRECTEMENT dans vos fichiers .tsx. C'est donc du vrai code propre, pas du CSS inline dégueulasse.

Côté technique, l'outil gère nativement TailwindCSS (parce que bon, en 2026, si vous faites du React sans Tailwind, vous aimez forcément le cuir qui claque et la souffrance). Vous éditez en mode visuel, ça génère les bonnes classes Tailwind, et vous gardez un contrôle total. Y'a aussi un mode LLM intégré... "rends ce bouton bleu avec des coins arrondis" et hop, c'est fait. Comme ça, pas besoin de chercher si c'est rounded-lg ou rounded-xl dans la doc.

Cet article a été réalisé en collaboration avec ONLYOFFICE

Pas besoin de confier ses données aux géants de la tech pour être productif et efficace : ONLYOFFICE propose des solutions clés en main pour les particuliers, collectivités, associations et entreprises qui souhaitent créer, éditer, réviser ou partager des documents de manière fiable et sécurisée.

Cet article a été réalisé en collaboration avec ONLYOFFICE

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Disponible sur le Google Play Store, l'application « Nearby Glasses », développée par un amateur, attire l’attention. Elle permet à ses utilisateurs d’être avertis si des personnes à proximité portent des lunettes « intelligentes », comme les lunettes Ray-Ban de Meta.

Si vous bossez sur des serveurs distants, vous connaissez cette douleur... D'un côté, vous avez votre terminal local aux petits oignons, vos alias, vos plugins... et hop, un petit ssh root@serveur et vous vous retrouvez avec un shell tout pourri, tout basique. Mais c'était sans compter sur Joknarf qui a pondu TheFly , un gestionnaire de plugins shell qui téléporte votre environnement via SSH ou sudo en un instant.

Le principe est pas bête du tout vous allez voir. En fait, vous installez vos plugins et dotfiles dans ~/.fly.d/ sur votre machine, et quand vous lancez flyto user@serveur, tout est empaqueté et envoyé dans /tmp/.fly.$USER/ distant. Prompt perso, alias, fonctions... tout débarque avec vous, un peu comme un sac à dos pour votre shell.

Et le truc bien, c'est que ça ne modifie RIEN sur le serveur distant car tout vit dans /tmp, donc quand vous vous déconnectez... pouf, tout a disparu. Pas de fichier qui traîne, pas de .bashrc modifié donc c'est plutôt safe pour les environnements de prod où vous ne voulez pas laisser de traces.

Ça marche avec bash, zsh et même ksh (pour les nostalgiques). L'installation, c'est un curl en une ligne (à relire comme d'hab), ou alors brew, dnf, paquets .deb... y'a le choix. C'est du pur shell POSIX, donc y'a ZÉRO dépendance externe. Attention par contre, si votre ~/.fly.d/ dépasse 128 Ko, ça risque de ramer sur des connexions un peu lentes.

Ah et y'a aussi flyas pour faire pareil en sudo (attention, ça téléporte aussi vos plugins, donc vérifiez que ça colle avec votre politique de sécu), et flysh pour switcher de shell sans perdre vos réglages. Et puis flypack génère une archive auto-extractible pour avoir un script shell qui s'installe tout seul. Pas mal donc aussi pour partager votre config.

Côté plugins, c'est pas Oh My Zsh avec ses 350+ plugins, mais y'a l'essentiel. Un prompt custom (nerdp), un historique amélioré (redo), de la navigation de répertoires (seedee)... et shell-ng qui regroupe le tout d'un coup. Perso, c'est bien suffisant je trouve.

D'ailleurs si vous êtes du genre à customiser votre shell au millimètre, TheFly s'intègrera bien dans votre workflow. En plus c'est sous licence, open source, et ça tourne sur Linux, macOS et même SunOS (bon ok, je sais, quasi personne utilise SunOS en 2026 mais bon...).

Voilà, comme ça si vous gérez une dizaine de serveurs au quotidien, ça vous fera gagner un paquet de temps !

Amusez-vous bien !

Si vous avez lu mon article sur Meshtastic , vous savez déjà que les réseaux mesh LoRa, c'est le genre de truc qui fait rêver tous les geeks en manque de hors-piste numérique. Mais y'a un cran au-dessus, et ça s'appelle Reticulum .

En gros, c'est une stack réseau chiffré de bout en bout qui fonctionne sur n'importe quel support physique : LoRa, WiFi, Ethernet, liaison série, radio amateur en packet... TOUT y passe. Du coup, là où Meshtastic reste avant tout taillé pour les messages texte sur LoRa, ici vous pouvez faire transiter des fichiers, des appels vocaux, des pages web et même un shell distant à travers votre mesh. En fait au début je pensais que c'était juste un Meshtastic sous stéroïdes, mais non... c'est carrément une couche réseau complète.

Sideband, l'app de messagerie mesh pour Reticulum

L'avantage c'est surtout la flexibilité car plutôt que d'être coincé sur un seul médium, vous pouvez mixer LoRa longue portée et WiFi courte portée dans le même réseau via un simple fichier ~/.reticulum/config, et les paquets se débrouillent tout seuls comme des grands pour trouver le chemin le plus efficace.

Côté chiffrement, c'est du lourd : X25519 pour l'échange de clés, Ed25519 pour les signatures, AES-256-CBC pour le chiffrement symétrique, et du forward secrecy par-dessus. Le truc malin, c'est que les paquets ne contiennent aucune adresse source. Votre identité sur le réseau, c'est juste une paire de clés au niveau du protocole, donc personne ne peut remonter à l'expéditeur.

L'écosystème d'apps est même plutôt costaud. Y'a Sideband, une app dispo sur Android via F-Droid, Linux et macOS, qui gère les messages, les appels vocaux, le transfert de fichiers et même les cartes, le tout à travers le mesh. Y'a aussi NomadNet pour héberger des pages sur un réseau totalement hors-ligne, et rnsh qui permet de lancer un shell distant (oui, du SSH sans Internet, sur le port que vous voulez... ça fait rêver ^^).

D'ailleurs pour les radioamateurs, tout ça tourne nickel sur des bonnes vieilles liaisons packet radio en AX.25. Modems KISS, TNCs classiques... tout est supporté, j'vous dit !

Et pour l'installer, c'est d'une simplicité presque suspecte : un pip install rns et hop, vous avez votre noeud Reticulum dans /home/user/.reticulum/. Ça tourne sur un Raspberry Pi 3 ou 4, un vieux laptop sous Debian, votre téléphone via Sideband... et si vous voulez du LoRa, vous branchez un RNode sur l'USB et c'est parti.

Attention quand même, sous Windows c'est un poil plus compliqué (Faut passer par WSL2, sauf si vous avez déjà un Python 3.x bien configuré dans le PATH), et la doc est intégralement en anglais.

Notez que la bande passante s'adapte sans problème au support, de 150 bps en LoRa longue portée sur 868 MHz (faut pas s'attendre à du Netflix non plus) jusqu'à 500 Mbps en Ethernet local. Et un lien chiffré s'établit en seulement 3 paquets pour 297 octets. C'est pas gourmand.

Vos photos dans iCloud, c'est une synchronisation, et pas un backup et même si la nuance est mince, quand on s'en rend compte, il est souvent trop tard... C'est pourquoi même si vous avez une confiance aveugle en Apple, si demain votre compte est supprimé pour une raison ou une autre, vous perdrez l'accès à vos précieuses photos. Et ça, on ne le veut pas ! Alors aujourd'hui, on va apprendre à en faire une sauvegarde.

Pour cela, on va utiliser osxphotos , une bibliothèque Python open source (MIT) qui lit directement la base SQLite de Photos.app pour en exporter tout le contenu. Ça tourne sur macOS de Sierra à Sequoia, et même sur Linux.

L'installation :

brew tap RhetTbull/osxphotos
brew install osxphotos

Et pour exporter tout votre catalogue de photos vers un disque externe il suffit d'entrer la commande suivante :

osxphotos export /Volumes/MonDisque/Photos --download-missing --update

--download-missing forcera le téléchargement depuis iCloud des photos pas encore présentes en local et --update fera le boulot incrémental, ne retraitant que les nouvelles photos ou celles modifiées depuis le dernier lancement.

Du coup, le premier export peut prendre des heures, et les suivants quelques secondes. L'outil génère d'ailleurs un .osxphotos_export.db dans le dossier de destination pour tracker ce qui a déjà été exporté. Je trouve ça un peu plus simple que d'exporter toute la grosse photothèque .photoslibrary à chaque coup.

Ensuite, pour automatiser, un cron suffit (vérifiez votre chemin avec which osxphotos - /opt/homebrew/bin/ sur Apple Silicon, /usr/local/bin/ sur Intel) :

0 3 * * * /opt/homebrew/bin/osxphotos export /Volumes/MonDisque/Photos --download-missing --update

Moi je l'ai mis tous les jours à 3h du mat ! Mais attention, disque non monté = 0 export, 0 erreur visible. Donc à moins que vous ayez un script de vérification du montage, vérifiez les logs de temps en temps. Pour une gestion plus propre des conditions de montage, launchd est quand même préférable, mais pour commencer, le cron fera très bien l'affaire.

Après si vous n'utilisez pas Photos.app mais juste iCloud depuis votre iPhone, regardez plutôt du côté de la sauvegarde iPhone sur disque externe . Et si vous voulez aussi mettre en sécurité vos données Apple Notes , ou les migrer sur Obsidian, c'est possible aussi.

Vous avez vu le bazar chez VMware depuis que Broadcom a racheté la boîte ? Les prix qui flambent, les licences qui changent tous les quatre matins, les clients historiques qui reçoivent des factures multipliées par je sais pas combien... C'est la panique générale dans les DSI !

Et pendant ce temps-là, y'a une boîte française basée à Grenoble qui se frotte les mains. Pas par schadenfreude hein, mais parce qu'ils bossent depuis 2012 sur une alternative open source à VMware. Vous l'aurez compris, je parle de Vates et de leur stack complète baptisée Vates VMS.

J'ai donc eu l'occasion de mettre les mains dans le cambouis avec leur lab de test la semaine dernière. Ils m'ont prêté 3 serveurs HPE Moonshot rien que pour moi, avec accès VPN, et carte blanche pour faire mumuse. J'avoue, au début je pensais galérer avec la config réseau... Eh bah non. J'installe XCP-ng en une dizaine de minutes, je configure le VLAN qui va bien, et c'est parti.

Mais avant, je vous propose de poser un peu les bases pour ceux qui débarquent. Vates VMS, c'est une suite complète qui comprend XCP-ng (l'hyperviseur bare-metal de Type 1, basé sur Xen... oui oui, le même Xen qui fait tourner AWS depuis des lustres) et Xen Orchestra (l'interface web pour tout gérer). Le tout en 100% open source, hébergé par la Linux Foundation.

Et là vous allez me dire "ouais mais open source, c'est souvent la version bridée avec les vraies features payantes". Eh bien non, chez Vates c'est différent ! En fait, tout est dispo gratos sur GitHub. Leur modèle économique repose sur le support et l'accompagnement, et pas sur des licences à la c*n facturées au core ou au socket. Un prix fixe par serveur physique, point barre. Comme ça y'a pas de surprise sur la facture, ni de calculette à sortir quand vous ajoutez de la RAM.

D'ailleurs, ils viennent de sortir Xen Orchestra 6, entièrement réécrit en Vue.js. Et pour l'avoir testé, je peux vous dire que l'interface est vraiment fluide, moderne, et surtout pensée pour qu'on s'y retrouve sans avoir besoin d'un doctorat en VMwarologie. Vous gérez vos VMs, vos backups, vos migrations, votre monitoring... tout ça depuis un navigateur sur n'importe quel OS.

Et y'a même XO Lite, une version ultra-légère embarquée directement dans XCP-ng pour les opérations de base. Bon, faut pas s'attendre à tout gérer avec ça car c'est vraiment pour le dépannage quand vous n'avez pas accès au serveur principal. Mais c'est pratique quand vous êtes en déplacement et qu'il faut redémarrer une VM en urgence.

Pour les boîtes qui veulent se barrer de VMware, ils ont également développé des outils de migration V2V. Ça fonctionne pour 90% des usages VMware existants (attention quand même aux configs exotiques avec du vSAN ou des plugins proprio, là faut prévoir un peu plus de boulot). Et l'architecture est suffisamment proche de VMware pour que la transition se fasse sans tout réinstaller from scratch.

Côté fonctionnalités avancées, y'a également XOSTOR pour ceux qui veulent faire de l'hyperconvergence. C'est leur SAN virtuel basé sur DRBD qui transforme vos disques locaux en stockage partagé avec réplication et haute disponibilité. Comme ça, plus besoin de SAN externe hors de prix, puisque vos serveurs XCP-ng deviennent un cluster de stockage distribué.

Pour les DevOps, c'est aussi la fête ! Terraform, Pulumi, Ansible, API REST, CLI... tout y est. J'ai pas eu le temps de tester Terraform en profondeur, mais le provider XO existe bien sur le registry HashiCorp. Ils ont même un projet Pyrgos pour déployer Kubernetes directement depuis Xen Orchestra. Bref, c'est cloud-native ready.

Perso, ce qui m'a vraiment convaincu durant mes tests, c'est qu'on n'a pas 15 outils différents avec lesquels jongler. J'ai bien sûr testé la création de VM, les snapshots, les backups incrémentaux... tout passe par la même interface. Un seul éditeur qui maîtrise toute la stack, de l'hyperviseur jusqu'aux sauvegardes, c'est quand même le kiff. Sans oublier la doc qui est claire comme de l'eau de roche et le support répond vraiment (enfin pour ceux qui prennent un contrat, sinon y'a la communauté qui est plutôt active sur le forum).

Côté références, ils ont plus d'un millier de clients dans le monde entier. Même la NASA utilise les outils de Vates (hé ouais quand même, c'est la classe !), sans oublier des universités, des hôpitaux, l'ANSSI... C'est du sérieux !

Et pour les administrations françaises qui doivent passer par les marchés publics, Vates est référencé chez CAIH, CANUT et UGAP. Du coup pas besoin de monter un appel d'offres complexe, vous pouvez commander directement via les catalogues. Et si vous vous demandez comment ça se compare à ESXi ou à Proxmox , sachez que l'architecture est vraiment proche de VMware (donc migration facilitée), mais avec la philosophie open source en plus.

Alors oui, c'est un article sponsorisé, mais sincèrement si vous êtes sur VMware et que vous regardez vos factures arriver avec des sueurs froides depuis le rachat par Broadcom, ça vaut vraiment le coup de jeter un œil. C'est français, c'est open source, c'est maintenu par une équipe d'une centaine de personnes et ça fait très bien le taf.

Y'a même un essai d'un mois pour tester avant de se décider, histoire de ne pas acheter chat en poche (oui c'est une vraie expression du XVe siècle que je viens de découvrir alors je vous la transmets, faites en bon usage).

Bref, si la souveraineté numérique et l'indépendance technologique c'est votre truc (ou si vous en avez juste marre de vous faire racketter), allez voir ce qu'ils proposent , c'est top !

La souveraineté numérique n’est plus seulement un objectif stratégique optionnel pour les entreprises européennes, mais une exigence de conformité. Les différents cadres réglementaires en vigueur (NIS2, DORA, Cyber Resiliency Act au niveau européen, SecNumCloud au niveau local…) incluent des exigences précises en matière de transparence, de traçabilité et de réversibilité des infrastructures numériques.

Pour les intégrer à leur stratégie et se mettre en conformité, l’open source apparaît comme l’une des approches technologiques les plus viables pour les entreprises, car elle adresse trois piliers fondamentaux de la souveraineté numérique : offrir des solutions pour s’aligner avec la conformité réglementaire, faciliter la résilience opérationnelle et favoriser l’indépendance technologique. Le choix de l’open source, en plus d’aider à protéger les entreprises des risques réglementaires actuels, constitue une solution d’avenir sur le long terme.

Conformité réglementaire et obligations légales

L’Union européenne impose désormais un cadre réglementaire qui structure les choix technologiques des entreprises : NIS2 a pour objectif de minimiser les risques pour les SI des organisations essentielles (états, fournisseurs d’énergie ou télécoms) et impose une gestion auditable de la sécurité ; DORA, sa déclinaison pour les institutions financières, met en avant la résilience tant technique que opérationnelle et impose à ce titre de diversifier les fournisseurs tout en démontrant la réversibilité des briques de son SI ; enfin, le Cyber Resiliency Act (CRA) exige une cartographie exhaustive des composants logiciels, incluant leur cycle de vie et la mise à disposition des correctifs de sécurité.

Suivant leur secteur ou leurs enjeux en termes de souveraineté, les organisations et les entreprises peuvent être tenues de permettre un basculement rapide vers un autre prestataire de services en cas d’incident – ce qui nécessite d’éviter toute concentration chez un même fournisseur – ou encore à privilégier la portabilité des données et des applications dans un souci de réversibilité.

L’open source aide à répondre à ces obligations, car le code source ouvert permet l’auditabilité par des tiers indépendants; les licences encadrant l’usage de l’open source permettent également de continuer à utiliser les technologies indépendamment de l’existence d’un contrat de support avec des éditeurs ; enfin, la nature même du logiciel open source et la mise à disposition d’outils spécifiques facilitent grandement l’inventaire et l’audit des composants logiciels fréquemment exigés dans le cadre des réglementations.

Résilience opérationnelle et indépendance technologique

Les entreprises considérées comme critiques – notamment le secteur bancaire dans le contexte de DORA – ont l’obligation d’intégrer la notion de risques liés aux fournisseurs, et donc à éviter de concentrer leurs actifs informatiques auprès d’un seul opérateur de cloud, afin d’éviter de subir une interruption de service sur leurs activités.

Les exigences peuvent parfois être plus fortes, notamment pour les secteurs sensibles et critiques comme la défense, où les contraintes de sécurité et de souveraineté peuvent imposer de pouvoir continuer à fonctionner en cas de coupure totale d’internet, ce qui signifie que les services habituellement fournis par un cloud hyperscaler doivent pouvoir être répliqués en interne (mode “air-gapped”).

Une exigence que l’open source permet d’appliquer, car il fonctionne indépendamment d’une connexion internet ou d’une relation contractuelle avec un fournisseur, peut être déployé sur des datacenters souverains opérés par des prestataires européens, et offre une disponibilité technologique même si le fournisseur cesse ses activités.

Transparence, traçabilité et auditabilité

Sur le plan technologique, la souveraineté repose sur trois piliers : la transparence, la traçabilité et la réversibilité. Si les solutions propriétaires ne donnent pas l’accès au code source, limitant ainsi l’audit aux seuls comportements observables, les fournisseurs tout comme les utilisateurs ont beaucoup plus de difficultés à détecter les vulnérabilités cachées ; une opacité qui n’est pas acceptable pour les entreprises considérées comme critiques.

De son côté, l’open source permet l’auditabilité : le code est consultable par des tiers indépendants, les modifications sont documentées et traçables, et les vulnérabilités découvertes peuvent être corrigées sans devoir attendre la réaction du fournisseur.

Grâce à l’open source, les entreprises dont l’activité commerciale est centrée sur le logiciel peuvent également générer de façon automatique une cartographie complète de leurs composants applicatifs, une responsabilité qui leur incombe vis à vis de leurs clients et leurs utilisateurs selon les exigences du Cyber Resiliency Act, et ainsi identifier systématiquement les vulnérabilités.

Face aux risques de sécurité, aux exigences réglementaires toujours plus précises et strictes, et à la menace d’amendes prononcées par les autorités pour sanctionner les cas de non-conformité, les entreprises ont encore trop souvent tendance à choisir des solutions propriétaires. Si l’approche open source représente un territoire inconnu, notamment pour les organisations qui ne l’ont pas encore déployée et qui manquent de maturité en la matière, elle offre une véritable flexibilité.

L’Union européenne soutient d’ailleurs activement cette voie par des initiatives (notamment l’European Open Digital Ecosystem Strategy). Dans ce contexte, investir dans le logiciel open source, en particulier pour les organisations critiques et d’importance stratégique, permet de faire face aux risques réglementaires actuels et de demain.

*David Szegedi est Chief Architect – Field CTO Organisation chez Red Hat

The post { Tribune Expert } – Souveraineté numérique : le virage open source que les entreprises ne peuvent plus ignorer appeared first on Silicon.fr.

Je suis complètement passé à côté de ce truc jusqu'à ce que David (merci à lui !) m'envoie un petit message pour me dire : "Hé Korben, t'as vu Anytype ? C'est comme Notion mais en mieux". Du coup, j'ai testé et j'ai vraiment halluciné.

Si vous êtes du genre à noter tout ce qui vous passe par la tête dans Notion ou Evernote, vous connaissez le problème. Vos données sont hébergées on ne sait où, et le jour où la boite décide de changer ses conditions d'utilisation ou de fermer boutique, vous êtes marron.

Hé bien Anytype, c'est la réponse à cette angoisse.

C'est une application local-first et chiffrée de bout en bout qui permet de créer votre propre "internet personnel". Petite nuance importante : Anytype n'est pas "open source" au sens strict de l'OSI. Leurs protocoles (notamment AnySync) sont bien open source sous licence MIT, mais les applications elles-mêmes sont distribuées sous une licence "source available" ( Any Source Available License 1.0 ). Concrètement, le code est consultable et modifiable, mais l'utilisation commerciale est restreinte. C'est pas du tout la même chose, et c'est important de ne pas confondre pour éviter l'openwashing. Cela dit, l'équipe est transparente là-dessus , ce qui est appréciable.

En gros, tout ce que vous créez (notes, tâches, documents, tableaux) est stocké localement sur votre machine. Pas de cloud obscur, pas de tracking, c'est votre disque dur, vos règles.

Leur point fort, c'est leur protocole AnySync car ça permet de synchroniser vos données entre vos appareils (ordi, téléphone, tablette) en peer-to-peer comme ça y'a pas besoin de serveur central. Vos appareils discutent directement entre eux, un peu comme si vous aviez votre propre réseau privé.

Au niveau de l'interface, on retrouve ce système de blocs qu'on aime bien chez la concurrence, mais avec une approche "objet". Dans AnyType comme chez Ikea, tout est un objet : une tâche, une personne, une note, un livre. Et vous pouvez lier tous ces objets entre eux pour créer un véritable graphe de connaissances tel un grand architecte de la matrice du dimanche).

Ce qui est cool aussi, c'est que l'équipe a déjà ajouté une fonction de publication web (vos pages peuvent devenir des pages publiques statiques) et propose une API côté desktop qui tourne en local. Elle travaille aussi sur l'intégration d'une IA locale . Parce que oui, avoir une IA qui vous aide à trier vos notes sans envoyer vos données à l'autre bout du monde, c'est quand même plus rassurant.

Si vous voulez aller encore plus loin, vous pouvez même héberger votre propre "noeud" de sauvegarde sur un serveur à la maison. D'ailleurs si vous aimez ce genre d'outils souverains, jetez un oeil à Local Deep Research pour vos recherches. Comme ça, vous avez une copie de secours chiffrée, accessible 24/7, sans dépendre de personne.

Bref, si vous cherchez une alternative souveraine pour gérer votre vie numérique, foncez voir ça. C'est gratuit jusqu'à 100 MB de stockage, c'est beau, et ça respecte votre vie privée. Que demande le peuple ?

Merci encore à David pour la découverte et à Alexandre pour la précision sur la licence !

Source

Sur le GitHub de l’ANSSI, les projets seront bientôt classés par « niveau d’ouverture ».

L’agence le signale désormais sur la page qui présente sa politique open source. Elle utilisera la classification qu’a élaborée la DINUM :

• Contributif (contributions extérieures activement recherchées et traitées)
• Ouvert (contributions extérieures traitées mais non activement recherchées)
• Publié (contributions extérieures non traitées)

Autre nouveauté sur la page en question : l’évocation de l’open source en tant que levier d’action de la politique industrielle de l’ANSSI. Par ce lien « récent et en développement », l’agence cherche à favoriser la disponibilité de solutions cyber alignées sur les besoins.

Par rapport à l’ancienne version de la page, l’aspect « liste de projets » est moins marqué. L’ANSSI insiste davantage sur les licences, le transfert de projets et sur sa propre utilisation de solutions open source. Elle a ajouté des références à la communauté BlueHats ainsi qu’à celle des OSPO français.

Une partie des projets auparavant mentionnés se retrouvent sur la page d’accueil de l’organisation GitHub ANSSI-FR. Entre autres, DFIR ORC (outils de recherche de compromission), WooKey (micronoyau + environnement de dev pour le prototypage de solutions IoT) et CLIP OS (système d’exploitation Linux durci). Le premier est d’une envergure suffisante pour avoir sa propre orga GitHub. Les deux autres ont aussi la leur, mais parce qu’ils sont archivés.

Audit CSPN réussi pour Barbican, Suricata et KeePassXC

L’ANSSI évoque toujours son financement d’évaluations de sécurité, ad hoc ou sur les critères CSPN.

En 2018 avait démarré l’évaluation CSPN de Barbican (service de gestion de clés de la pile OpenStack), finalement certifié. La même année avait commencé celle de Suricata (détection et prévention d’intrusion), qui avait lui aussi réussi l’audit.

S2OPC (implémentation du protocole de communication OPC UA), nftables (sous-système Linux de filtrage de paquets) et KeePassXC (gestionnaire de mots de passe) ont également obtenu la CSPN.

Par deux fois, la version « originale » de KeePass (pour Windows) n’a pas réussi l’audit CSPN. Ça n’est pas non plus passé pour Keystone et Ansible (en 2018), strongSWAN (2019), Secretin, Belenios et Sudo (2021), ainsi que WireGuard (2023).

Les derniers audits ad hoc ont permis d’identifier 4 vulnérabilités dans CAS, 1 dans step-ca… et aucune dans HAProxy.

Illustration générée par IA

The post L’ANSSI affirme l’open source comme levier de sa politique industrielle appeared first on Silicon.fr.

Vous connaissez tous Kali Linux , Metasploit et compagnie… Mais est-ce que vous avez déjà vu une IA faire un pentest toute seule ? Genre, VRAIMENT toute seule. Shannon , c'est un framework open source qui lâche un agent IA sur votre code, et qui enchaîne recon, analyse de vulns, et exploitation, tout ça sans intervention humaine.

En gros, vous lui filez une URL cible et l'accès à votre code source (faut que le repo soit accessible, c'est la base), et l'agent se débrouille. Il commence alors par analyser le code en statique… puis lance des attaques dynamiques sur l'app en live. Pour cela, il déploie plusieurs sous-agents spécialisés qui bossent en parallèle via Temporal, un moteur de workflow.

Un agent pour la reconnaissance, un pour chercher les injections SQL, un autre pour les XSS, un pour les SSRF, un pour les problèmes d'authentification… Bref, chacun fait son taf et tout remonte dans un rapport final au format JSON.

Le truc, c'est que Shannon ne se contente pas de scanner bêtement comme un Nessus ou un Burp. L'agent COMPREND votre code. Il lit les routes, les middlewares, les requêtes SQL, et il construit ses attaques en fonction. Du coup, il trouve des trucs que les scanners classiques loupent complètement, genre une injection NoSQL planquée dans un endpoint obscur ou un bypass d'auth via un cookie mal valide. Attention par contre, si votre app utilise un framework un peu exotique ou du code obfusqué, y'a des chances que l'agent passe à côté… comme tout scanner, hein.

Pour ceux qui se demandent combien coute un test d'intrusion classique, ça va de 3 000 € à plusieurs dizaines de milliers d'euros. Shannon, c'est open source et ça tourne sur Docker, par contre, faudra compter environ 50 dollars en tokens API Anthropic par run… c'est pas gratuit mais c'est quand même 60 fois moins cher qu'un audit humain.

Cote installation, c'est Docker + Docker Compose, un fichier .env avec votre cle API Anthropic (la variable ANTHROPIC_API_KEY, classique), et hop, un docker compose up pour lancer le tout. Le workflow complet prend entre 1 h et 1 h 30 selon la taille de votre base de code. Vous pouvez suivre la progression en temps réel via l'interface web Temporal sur localhost:8233. (perso, j'aime bien voir les agents bosser en parallèle, ça a un côté satisfaisant).

Et attention, Shannon exécute de VRAIES attaques. C'est mutatif. Ça veut dire que si l'agent trouve une injection SQL, il va l'exploiter pour de vrai pour prouver que ça marche. Du coup, on le lance sur du code à soi, en local ou sur un environnement de test. Mais jamais en prod. JAMAIS !!!

Bon, sauf si vous aimez vivre dangereusement et que votre boss est en vacances… ^^

Les agents d'exploitation (Auth, SSRF, XSS, AuthZ) en parallèle sur la timeline Temporal

Pour en avoir le cœur net, je l'ai lancé sur une app Node.js/Express maison avec 27 endpoints d'API. 2 heures de scan, 287 transitions d'état, 7 agents qui ont bossé en parallèle… et une facture Anthropic qui pique un peu. Parce que oui, chaque agent consomme des tokens Claude à chaque étape d'analyse et d'exploitation, et ça s'additionne vite. Comptez une cinquantaine de dollars pour un run complet. Bref, c'est pas gratuit de se faire hacker par une IA.

Cote résultats par contre, plutôt parlant. Zero injection SQL exploitable, les 23 paramètres utilisateur ont été tracés jusqu'aux requêtes et Shannon a confirmé que tout était paramétré correctement. Bien joué. Par contre, il a détecté 6 failles SSRF liées à des contournements IPv6, des XSS stockées via innerHTML sans aucun échappement dans le frontend, et surtout… ZERO authentification sur les 27 endpoints. Genre, n'importe qui peut purger ma base ou cramer vos crédits API Claude sans se connecter. Bon après, c'est un outil que je me suis dev, qui est un proto local, donc c'est pas exposé sur internet.

Le rapport final est plutôt bien foutu, je trouve. Pour chaque vuln trouvée, vous avez la sévérité CVSS (critique, haute, moyenne), le vecteur d'attaque utilisé, une preuve d'exploitation avec les payloads, et surtout des recommandations de correction. Shannon va jusqu'à vous montrer la ligne de code fautive, expliquer pourquoi le bypass fonctionne, et proposer le fix. Si vous utilisez déjà des outils comme Sploitus pour votre veille secu, Shannon c'est le complément parfait pour passer de la théorie à la pratique sur votre propre code.

Le projet est encore jeune, c'est vrai, mais l'approche est intéressante. Plutôt que d'automatiser bêtement des scans, on a donc un agent qui raisonne sur le code et adapte sa stratégie. Ça change des outils qui balancent des milliers de requêtes à l'aveugle et qui vous noient sous les faux positifs.

Alors après, je vous vois venir, vous allez me dire : est-ce que ça vaut un vrai pentester qui connait votre infra par cœur et qui sait où chercher les trucs tordus ?

Pas vraiment, mais pour un premier audit à moindre coût, ça fait le taf.

Source

Les algorithmes de recommandation, vous connaissez bien je pense... YouTube, TikTok, Instagram... ces trucs qui vous gardent scotché à l'écran durant des heures en aspirant toutes vos données au passage. Hé bien un dev de bon goût a décidé de prouver qu'on pouvait faire la même chose sans machine learning et sans collecter la moindre info perso.

Son arme secrète ? Les 270 000 articles de Simple Wikipedia.

Xikipedia , c'est un pseudo réseau social qui vous balance des articles de Simple Wikipedia sous forme de feed, exactement comme votre fil TikTok préféré. Sauf que derrière, y'a pas de ferme de serveurs qui analyse votre comportement mais juste un petit algorithme local en JS qui tourne dans votre navigateur.

En gros, le système fonctionne avec un scoring par catégorie côté client, stocké en localStorage. Vous scrollez un article sans le lire ? Moins 5 points pour cette catégorie. Vous likez ? Plus 50 points, avec un bonus qui augmente si vous n'avez pas liké depuis longtemps (genre un mécanisme anti-binge plutôt malin). Vous cliquez sur l'article complet ? 75 points. Sur une image ? 100 points !!

Et c'est comme ça qu'au bout de quelques minutes de scroll, le feed commence à comprendre vos centres d'intérêt et vous propose des trucs de plus en plus pertinents. J'ai testé en likant 3-4 articles sur l'astronomie... au début je pensais que ça serait du random total, mais au bout de 5 minutes j'avais quasiment que des trucs sur l'espace et la physique. Plutôt efficace pour un algo sans IA.

D'ailleurs, le truc qui est assez cool c'est la répartition des contenus. 40% de sélection pondérée par vos scores, 42% du contenu le mieux noté, et 18% complètement aléatoire. Ce dernier bout de hasard, c'est ce qui évite de s'enfermer dans une bulle de filtre (prends-en de la graine, YouTube !!).

La page d'accueil avec ses catégories - sobre mais efficace

Le tout tourne en PWA, c'est-à-dire que ça s'installe comme une app sur votre téléphone ou votre ordi et ça fonctionne même hors ligne après le premier chargement. Les ~34 Mo de données compressées de Simple Wikipedia sont stockées localement via IndexedDB dans votre navigateur. Vous pouvez créer plusieurs profils (pratique si vous partagez un appareil), consulter vos stats d'engagement perso, et même basculer entre thème clair et sombre.

Et le code est sous licence AGPLv3, dispo sur GitHub .

Petit bémol quand même si vous êtes sur iPhone, y'a des restrictions mémoire imposées par Apple sur Safari qui peuvent poser problème avec les ~34 Mo de données. Attention aussi, le premier chargement prend un moment vu qu'il faut tout télécharger d'un coup... sauf si vous êtes en 4G pourrie, là ça peut carrément planter en plein milieu. Et pas moyen de reprendre, faut tout relancer. Prévoyez donc du Wi-Fi.

Pour ceux qui se demandent à quoi ça sert concrètement... c'est juste un moyen sympa de tomber sur des sujets que vous n'auriez jamais cherchés, le tout sans que personne ne sache que vous avez passé 45 minutes à lire des articles sur les pieuvres géantes du Pacifique.

Voilà, j'aurais pas parié dessus au départ... mais après avoir scrollé une bonne demi-heure, je dois avouer que c'est plutôt malin comme approche.

Amusez-vous bien !

Bonne nouvelle pour tous les dev qui n'ont pas peur de l'IA : GitHub vient de sortir gh-aw, une extension CLI qui permet d’écrire des workflows agentiques… en markdown. Au chiotte le YAML à rallonge pour vos pipelines CI/CD, vous rédigez vos instructions en langage naturel et c'est une IA (Copilot, Claude ou Codex au choix) qui se charge de les exécuter dans GitHub Actions.

En gros, vous décrivez ce que vous voulez dans un fichier .md, genre"em>fais-moi un rapport quotidien des issues ouvertes" ou "refactorise les fonctions trop longues", et l'agent s'en occupe. Il analyse le contexte de votre dépôt, prend des décisions et livre le résultat sous forme de pull request. Par contre, attention, si votre prompt dans le fichier .md est trop vague genre "améliore le code ", l'agent risque de partir dans tous les sens et vous pondre une PR de 200 fichiers. Faut être précis dans vos instructions, sinon c'est la loterie.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/gh-aw-github-agents-ia-pipelines/gh-aw-github-agents-ia-pipelines-1.mp4">lien vers la vidéo</a>.

Si vous bossez sur Mac, vous connaissez sûrement la galère des Spaces. C'est sympa sur le papier, mais les animations natives d'Apple sont d'une lenteur... y'a de quoi se taper la tête contre les murs quand on veut switcher rapidement entre ses outils de dev et son navigateur. (Et ne me parlez pas du temps de réaction sur un vieux processeur Intel, c'est l'enfer). Bref, moi perso j'utilise pas trop ces trucs là parce que je trouve que c'est pas agréable.

Mais c'est là que FlashSpace entre en piste. Ce petit utilitaire open source, partagé par Vince (merci pour le tuyau !), a une mission simple : proposer un système de workspaces ultra-réactifs pour remplacer l'usage des Spaces natifs. L'idée déchire car au lieu de subir les transitions mollassonnes de macOS, on passe d'un environnement à l'autre de manière quasi instantanée.

Attention par contre, le fonctionnement est un peu particulier. J'ai d'abord cru qu'il créait de nouveaux Spaces dans Mission Control, mais en fait non, c'est plutôt un jeu de "j'affiche ou j'affiche pas les applications dont t'as besoin"... Pour que ça bombarde, FlashSpace recommande de regrouper toutes vos apps sur un seul et même Space macOS (par écran). L'outil gère ensuite des "workspaces virtuels" en masquant ou affichant les apps selon vos besoins. Résultat, une réactivité impressionnante même si ce n'est pas techniquement du "zéro latence" (faut bien que les fenêtres s'affichent quand même).

Pour ceux qui connaissent AeroSpace , FlashSpace se pose comme une alternative solide. Là où AeroSpace tend vers le tiling window management pur et dur à la i3, FlashSpace reste plus proche de l'esprit initial des Spaces mais en version survitaminée. C'est moins radical, plus invisible, mais perso je trouve ça tout aussi efficace pour rester dans le flow.

L'excitation quand on passe enfin d'un bureau à l'autre sans attendre 3 secondes ( Meme )

Côté fonctionnalités, c'est plutôt complet puisqu'on y retrouve du support du multi-écran (un petit clic dans Réglages Système > Bureau et Dock pour activer "Les écrans disposent de Spaces distincts"), gestionnaire de focus au clavier, et intégration avec SketchyBar . Y'a même un mode Picture-in-Picture expérimental (plutôt pour les navigateurs en anglais pour le moment) pour garder une vidéo sous le coude.

Petit bémol à connaître, il gère les applications, pas les fenêtres individuelles. Si vous avez trois fenêtres Chrome, elles bougeront donc toutes ensemble vers le workspace assigné. C'est un choix de design, faut juste s'y habituer mais grâce à ça on gagne encore quelques secondes de vie par jour.

brew install flashspace

Vous rêvez de pouvoir dire à une IA "va sur ce site, remplis ce formulaire avec mes infos, et clique sur le gros bouton rouge" et que ça se fasse tout seul pendant que vous allez vous chercher un café ? Hé bien c'est exactement la promesse de BrowserWing , un petit outil open source qui fait le pont entre vos modèles de langage (via les API d'OpenAI, Claude, DeepSeek...) et votre navigateur Chrome ou Chromium.

En fait BrowserWing va enregistrer vos actions dans le navigateur (clics, saisies, navigation), les transformer en scripts, puis les convertir en commandes MCP (Model Context Protocol). Pour ceux qui débarquent, le MCP c'est le nouveau standard qui permet aux IA de discuter avec des outils externes. Vraiment c'est super pratique comme protocole. Je l'utilise tous les jours, et je vous recommande vraiment de vous y intéresser.

Du coup, grâce à ça, vos agents IA peuvent ensuite rejouer ces actions. C'est comme si vous créiez des macros pour le web, mais intégrables dans un flux piloté par l'intelligence artificielle.

Attention toutefois, on est sur une version très précoce (v0.0.1), donc le jeu de commandes est encore limité et les choses peuvent bouger mais l'idée est là...

Voilà, c'est parfait pour simplifier l'automatisation de toutes ces tâches répétitives et reloues qu'on se cogne quotidiennement sur le web. On peut envisager du scraping, du remplissage de formulaires, ou même des workflows qui enchaînent plusieurs sites et l'avantage par rapport à un script Selenium ou Playwright classique, c'est que l'IA peut potentiellement mieux digérer les petits changements visuels et comprendre le contexte de la page.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/browserwing-automatisation-navigateur-ia-mcp/browserwing-automatisation-navigateur-ia-mcp-1.mp4">lien vers la vidéo</a>.

chmod +x ./browserwing
./browserwing --port 8080

./browserwing.exe --port 8080