Après le DMCA, après la DADVSI , après SOPA, après PIPA, après EARN IT... voici le NO FAKES Act ! Bref, un nouveau projet de loi américain pondu par des gens qui visiblement n'ont jamais lancé un git clone de leur vie.

Le texte ( S.1367, 119e Congrès , introduit en avril 2025) part d'une intention louable qui est de protéger les gens contre les deepfakes non consentis. Vous savez, ces vidéos truquées où votre tête se retrouve sur un corps qui n'est pas le vôtre, de préférence à poil...

Mais comme toujours, l'enfer est pavé de bonnes intentions et la méthode choisie va potentiellement atomiser tout l'écosystème de l'IA open source.

En fait, une large partie des services qui hébergent du contenu généré par les utilisateurs devront mettre en place une logique de notice-and-staydown basée sur du "digital fingerprinting" afin de pouvoir retirer le contenu signalé et empêcher que les mêmes œuvres réapparaissent après notification. De quoi faire pleurer donc n'importe quel admin sys qui a déjà dû gérer un serveur de modération.

Et là où ça se corse c'est que contrairement au DMCA et ses exceptions , ce texte ne prévoit pas de véritable mécanisme de contre-notification façon DMCA. Quelqu'un signale votre contenu comme étant un deepfake ? Hop, c'est retiré. Vous pensez que c'est une erreur ? La seule voie prévue pour espérer une remise en ligne passe par une action en justice (sous 14 jours) contre l'expéditeur de la notification. Alors direction le tribunal fédéral, les amis...

Et les coûts de conformité estimés par la CCIA donnent le vertige car en moyenne, ça devrait tourner à environ 1,64 million de dollars la première année pour une simple startup. Et je ne parle même pas des projets open source qui distribuent des modèles d'IA générative... Comment Stable Diffusion ou Whisper pourraient-ils implémenter du fingerprinting sur des modèles que n'importe qui peut télécharger et faire tourner localement ? Mystère et boule de gomme !

Le truc bien moche, c'est que le texte prévoit des dommages et intérêts pouvant grimper jusqu'à 750 000 dollars par œuvre pour les plateformes non conformes. Autrement dit, si une plateforme ne réagit pas correctement après notification, elle peut devenir bien plus exposée à ce que font ses utilisateurs avec des outils d'IA... Voilà donc de quoi sérieusement refroidir les ardeurs de quiconque voudrait partager un petit modèle open weights.

Dans un autre style, ça me rappelle l'affaire youtube-dl où le DMCA avait été utilisé pour faire retirer un outil open source de GitHub sauf que là, on passe à l'échelle supérieure.

Voilà donc encore un lance-flammes législatif imaginé pour tuer une mouche et malheureusement, l'open source risque d'être le dommage collatéral de ce texte mal calibré.

Voilà les amis... l'avenir de l'IA ouverte pourrait bien se jouer dans les mois qui viennent aux US, et ça, ça va faire mal.

Source

Si vous développez un logiciel open source auto-hébergé, vous connaissez sûrement ce dilemme qui est de comment savoir si votre projet est réellement utilisé sans devenir l'affreux Big Brother que vous combattez ? Soit vous ne mesurez rien et vous codez dans le vide, soit vous collez du Google Analytics ou assimilé et vous trahissez l'esprit même du self-hosting.

Benjamin Touchard (que certains d'entre vous connaissent peut-être via son projet Ackify ) a décidé de résoudre ce problème avec SHM, pour Self-Hosted Metrics . Son idée c'est de proposer une télémétrie respectueuse de la vie privée, où chaque instance génère sa propre identité cryptographique dès le premier démarrage.

Concrètement, quand vous intégrez le SDK dans votre application (dispo en Go et Node.js 22+), chaque installation génère une paire de clés Ed25519, un peu comme quand vous générez vos clés SSH pour la première fois. Tous les échanges avec votre serveur SHM sont ensuite signés cryptographiquement, ce qui garantit l'intégrité des requêtes et leur origine. L'instance a une identité persistante (pseudonyme), mais ça n'identifie pas l'utilisateur final.

Côté données collectées, ensuite c'est vous qui décidez. Votre app envoie périodiquement un JSON avec les métriques que vous avez définies, et le dashboard s'adapte dynamiquement. Y'a pas de schéma imposé, pas de PII (données personnellement identifiables) et par défaut, le SDK collecte aussi des infos système (OS, CPU, RAM), mais c'est désactivable.

Pour ceux qui veulent héberger le bouzin, c'est du Docker classique... Vous créez un fichier compose.yml, vous configurez le DSN PostgreSQL, vous récupérez les migrations SQL, et hop un docker compose up -d. Le dashboard est alors accessible par défaut sur le port 8080 et affiche automatiquement vos métriques métier, la distribution des versions, le nombre d'instances actives, etc.

Et pour les utilisateurs finaux qui ne veulent vraiment pas participer, un simple DO_NOT_TRACK=true dans les variables d'environnement désactive complètement la télémétrie.

Le code du serveur est sous licence AGPL (les SDKs ont leur propre licence, vérifiez sur le dépôt) et y'a aussi des badges SVG à coller dans vos pages README pour afficher fièrement le nombre d'instances de votre app qui tournent.

Bref, si vous distribuez un logiciel auto-hébergé et que vous voulez savoir combien d'instances sont actives sans compromettre la vie privée des utilisateurs, c'est le top !

Merci à Benjamin pour le partage !

Quake, le FPS de 1996, vous connaissez forcément. Et si vous êtes du genre à traîner sur les forums de modding, vous savez que la communauté autour de la légende d'id Software refuse obstinément de mourir. Du coup, quand un projet rassemble des dizaines de mappeurs durant un an pour pondre 77 excellentes maps, ça mérite qu'on en parle !

Quake Brutalist Jam III vient de sortir et le résultat est dingue car ce n'est pas un simple pack de cartes, mais d'une vraie conversion totale du jeu avec un arsenal entièrement redessiné, de nouveaux monstres et une refonte visuelle complète du bestiaire original. Bref, c'est un nouveau jeu qui tourne sur le moteur du shooter culte.

L'ambiance béton brut de Quake Brutalist Jam III ( Source )

Le projet a été cuisiné à feu doux pendant plus d'un an par Makkon et Fairweather, les deux co-directeurs. Et en octobre 2025, ils ont lâché leur mod en work-in-progress à la communauté qui s'est ensuite déchaînée pendant 7 semaines pour créer les 77 maps que vous pouvez télécharger aujourd'hui. Et pas qu'un peu déchaînée vu la quantité de contenu !

Côté gameplay, y'a de quoi faire puisque le nouvel arsenal embarque un Rebar Gun, un Invoker et un Flak Gun qui viennent remplacer ou compléter les armes classiques. Les ennemis aussi ont eu droit à du neuf avec les Rocket Soldiers (fodder longue portée bien énervant), les Swarmers et Sploders (petits monstres de mêlée parfaits pour les embuscades), et l'Amalgam... un gros monolithe de béton volant fait de bouches (si si). D'ailleurs, le powerup Vampirism transforme les kills en orbes de vie façon Doom 2016, ce qui encourage à rusher comme un bourrin pour survivre. Les amateurs de DOOM Retro vont adorer.

Si comme moi vous avez une enceinte Bose SoundTouch qui traîne chez vous, vous avez peut-être appris que la bestiole allait bientôt perdre son cerveau "cloud". Bose a en effet annoncé la fin du support pour le 6 mai 2026, et de ce que j'ai compris, ça veut dire que votre enceinte va se transformer en brique connectée qui ne se connecte plus à grand chose.

Sauf que non !

Bose a fait un truc plutôt cool puisqu'ils ont publié la documentation complète de l'API locale de leurs enceintes . Du coup, même quand les serveurs Bose fermeront boutique, vous pourrez continuer à bidouiller votre enceinte en local.

Perso, j'ai une petite SoundTouch 10 qui fait bien le boulot depuis des années, donc cette nouvelle me fait plutôt plaisir ! L'API tourne sur deux ports : le 8090 pour les commandes REST classiques (volume, presets, now_playing...) et le 8080 en WebSocket pour les notifications en temps réel. Le protocole s'appelle "gabbo", et avec ça, y'a de quoi faire le ménage dans vos automatisations.

Un petit curl http://votre-enceinte:8090/volume et vous récupérez le niveau sonore. Un autre sur /presets et vous avez vos stations favorites. Et comme la découverte se fait en SSDP ou MDNS, ça s'intègrera nickel avec n'importe quel système domotique.

Et visiblement la communauté n'a pas attendu pour s'y mettre puisqu'il y a déjà plus d'une centaine de projets sur GitHub qui exploitent cette API. Le plus abouti c'est probablement SoundTouchPlus pour Home Assistant, qui permet de contrôler toute la famille d'enceintes depuis votre dashboard.

Après ce qui va disparaître avec le cloud, c'est surtout les presets synchronisés et le streaming direct depuis l'app Bose. Mais le Bluetooth, l'AirPlay, Spotify Connect et le multiroom resteront fonctionnels et avec l'API locale, vous pouvez recréer vos presets en dur. Ouf !

C'est un peu le même délire que ce qui s'est passé avec les thermostats Nest ... quand le fabricant lâche l'affaire, c'est la communauté qui prend le relais sauf qu'ici, Bose joue le jeu en documentant proprement leur API avant de couper les serveurs. Et ça, c'est suffisamment rare pour être souligné !

Voilà... Si vous avez des SoundTouch, allez jeter un œil à l'API avant mai, histoire de préparer votre migration vers du 100% local.

Source

Vous avez envie de contribuer à l'Open Source, et c'est tout à votre honneur. Alors vous vous dites "Allez, ce week-end, je plie ma première Pull Request". Et là, c'est le drame. Vous arrivez sur GitHub, vous tapez trois mots-clés, et vous vous retrouvez noyé sous des milliers d'issues datant de 2014, des projets abandonnés ou des tâches qui demandent un doctorat en physique quantique.

Décourageant un peu non ?

Parce qu'on connaît tous cette sensation de tourner en rond en cherchant le fameux ticket "Good First Issue" qui ne soit pas juste "corriger une faute de frappe dans le README", j'ai décidé aujourd'hui, de vous aider ! Grâce notamment à une véritable boussole dans cette jungle open source, nommée Contrib.FYI .

L'interface épurée pour trouver votre prochaine mission ( Source )

Ce site c'est un moteur de recherche ultra-minimaliste qui agrège les tâches étiquetées "Help Wanted" et "Good First Issue" à travers tout l'écosystème GitHub.

Développé par un certain k-dash, ça se présente comme un tableau de bord où vous pouvez filtrer les opportunités, et c'est beaucoup plus agréable que la recherche native de GitHub qui est aussi accueillante qu'une administration française un lundi matin.

Vous avez même une fonctionnalité "My Picks" pour mettre de côté les tickets qui vous tapent dans l’œil, histoire de ne pas les perdre si vous devez aller promener le chien entre temps. Une autre feature sympa, c'est l'historique "Recently Viewed" qui permet de retrouver une issue après qu'on ait fermé un onglet par erreur.

Alors oui, des agrégateurs comme ça, il en existe d'autres. Je pense évidemment à GoodFirstIssue.dev ou CodeTriage mais Contrib.FYI a ce petit côté outil fait par un dev pour des devs qui ne cherche pas à vous vendre une formation ou à vous faire rejoindre une newsletter.

Du coup, maintenant vous n'avez plus d'excuse pour ne pas mettre les mains dans le cambouis. Que vous soyez un vétéran du code qui veut juste dépanner sur du Rust ou un débutant qui veut comprendre comment fonctionne une PR, y'a de quoi faire !

Et si vous cherchez d'autres outils pour pimper votre expérience GitHub, je vous avais déjà parlé de Git-Who pour analyser vos contributions ou encore de GitHub2File pour donner du contexte à vos IA préférées. Allez jeter un oeil, ça vous plaira peut-être !

Voilà un outil qui va faire plaisir aux possesseurs de homelabs qui surveillent leur consommation de ressources comme le lait sur le feu !

Car si vous êtes comme moi, vous avez probablement une ribambelle de conteneurs qui tournent H24 sur votre bécane. Et je vous raconte pas tous ceux qui tournent alors que je m'en sers qu'une fois par an... breeeef...

Car même si un processus en "idle" ne consomme pas forcément grand-chose, c'est quand même un peu moisi de laisser tourner des services pour rien, non ? (oui, j'ai une âme d'écologiste de la ressource système). D'ailleurs si vous cherchez une solution d' authentification légère pour vos conteneurs Docker , y'a des solutions qui vont dans le même sens.

C'est là qu'intervient ContainerNursery , un petit utilitaire écrit en Node.js qui se comporte comme un reverse proxy intelligent qui va tout simplement stopper vos instances Docker quand aucune requête HTTP ou connexion WebSocket n'est détectée pendant un certain temps, et les redémarrer d'un coup de baguette magique dès qu'une nouvelle requête pointe le bout de son nez.

Pour ceux qui se demandent s'il est possible de mettre en pause un conteneur proprement, sachez que ContainerNursery va plus loin que le simple docker pause. Il arrête carrément le conteneur pour libérer la RAM et éviter les réveils CPU inutiles. Et il ne fait pas ça à la sauvage puisqu'il vérifie par exemple s'il n'y a pas de connexions WebSocket actives proxifiées avant de tout couper.

Hé oui, quand on n'est pas un connard, on évite de déconnecter un utilisateur en plein milieu de sa session.

docker run \
 --name='ContainerNursery' \
 -v /var/run/docker.sock:/var/run/docker.sock \
 -v /mnt/ContainerNursery/config:/usr/src/app/config \
 ghcr.io/itsecholot/containernursery:latest

Et voici que voilà que voici le grand retour de Multi Theft Auto sur GitHub !!!

Vous vous souvenez peut-être de ce mod légendaire qui a permis à des millions de joueurs de transformer GTA San Andreas en véritable MMO de quartier depuis février 2003. C'est quand même, un projet open source qui a survécu à plus de 20 ans de cohabitation plus ou moins paisible avec Rockstar et sa maison mère Take-Two Interactive.

Le multijoueur de MTA San Andreas en action

Sauf que voilà, en décembre 2025, Take-Two a décidé de sortir l'artillerie lourde en balançant un DMCA sur le dépôt GitHub, prétextant que le code source de MTA contenait du "code source divulgué" de leurs précieux jeux. Une accusation assez débile quand on sait que le projet fonctionne par injection de code dans le jeu original, n'en déplaise aux juristes de Take-Two qui semblent avoir du mal avec les nuances techniques.

Du coup, l'équipe de MTA n'a pas tremblé et a déposé une contre-notification le 22 décembre dernier. Cela à permis à GitHub de laisser 10 à 14 jours ouvrés à l'accusateur pour engager une action en justice et passé ce délai, le repo devait revenir en ligne automatiquement.

Sans surprise, Take-Two n'a jamais donné suite. Le dépôt est donc de retour avec ses centaines de contributeurs qui peuvent enfin respirer, et bien sûr c'est toujours sous licence GPL-3.0, histoire de rappeler que le code appartient à la communauté.

C'est quand même moche ces géants qui tentent d'écraser les projets de préservation alors que ces derniers ne font que maintenir vivante une partie de notre patrimoine gaming, lâchement abandonné par leurs éditeurs.

Allez, une victoire de plus pour les moddeurs, ça fait du bien !

Source

Aujourd’hui, je vous propose de découvrir Pimmich, un cadre photo connecté open source basé sur Raspberry Pi, pensé pour afficher vos souvenirs sans cloud ni abonnement, en restant 100% local. Avec les récents changements côté Google Photos, beaucoup d’entre vous ont dû revoir leurs habitudes… et Aurélien a eu le bon réflexe : s’appuyer sur […]

Cet article Pimmich – Un cadre photo connecté open source basé sur Raspberry Pi a été publié en premier sur Framboise 314, le Raspberry Pi à la sauce française.....

Vous connaissez ce moment relou où vous copiez un truc sur votre PC et vous vous retrouvez comme un idiot devant votre Mac parce que le presse-papier ne suit pas ? Hé bien y'a une solution open source qui règle ce problème, et elle s'appelle CrossPaste .

Vous installez l'app sur tous vos appareils (Windows, macOS, Linux) et hop, tout ce que vous copiez sur l'un se retrouve automatiquement disponible sur les autres. Du texte, des images, des URLs, du HTML, du RTF, des fichiers... Tout y passe. Et le truc cool c'est que ça fonctionne sur votre réseau local en mode "LAN-only serverless", donc vos données ne transitent pas par un serveur central quelque part dans le cloud de Donald Duck, euh Trump.

Car oui, la sécurité c'est pas en option avec CrossPaste. Toutes les données sont chiffrées de bout en bout avec un système de chiffrement asymétrique. Du coup, même si quelqu'un sniffe votre réseau local (votre voisin super haxxor par exemple), il ne verra que du charabia incompréhensible. Et comme y'a pas de serveur central, y'a rien à pirater côté infrastructure non plus.

L'interface est unifiée sur toutes les plateformes grâce à Compose Multiplatform (c'est du Kotlin sous le capot pour les curieux) et vous avez un historique de tout ce que vous avez copié, avec une gestion automatique du stockage pour pas que ça finisse par bouffer tout votre disque dur. Pratique pour retrouver ce lien que vous aviez copié y'a 3 jours et que vous avez oublié de sauvegarder quelque part...

Le projet est sous licence AGPL-3.0, donc c'est du vrai open source avec le code disponible sur GitHub. Si vous êtes du genre à vouloir bidouiller ou simplement vérifier qu'il n'y a pas de cochonneries planquées dedans, vous pouvez compiler vous-même. Y'a juste besoin de Gradle et d'un ./gradlew app:run pour compiler et lancer le tout.

Bref, si vous jonglez entre plusieurs machines au quotidien et que vous en avez marre de vous envoyer des trucs par email ou par Slack juste pour les avoir sur un autre ordi, CrossPaste ça va vous faire économiser pas mal de temps et d'énergie. Et en plus c'est gratuit \o/

Merci à Lorenper pour l'info !

Source

Vous vous êtes déjà demandé ce que cache vraiment un site web ? Genre, au-delà de sa jolie façade ? Hé bien je vous présente Web-Check , un scanner OSINT qui va déshabiller n'importe quel domaine pour vous montrer tout ce qui se passe sous le capot.

Je vous ai déjà parlé d'OSINT.rocks qui centralise pas mal d'outils d'investigation. Et bien là, c'est un peu le même délire mais orienté analyse de sites web. Vous balancez une URL et hop, le projet vous ressort un rapport complet avec tout ce qu'il y a à savoir : certificat SSL, enregistrements DNS, en-têtes HTTP, géolocalisation du serveur, ports ouverts, stack technique utilisée... Bref, une vraie radio du site.

Ce qui est cool avec cette boîte à outils, c'est qu'elle ne se contente pas de gratter la surface puisque ça effectue plus de 30 types d'analyses différentes ! Vous voulez savoir si un site utilise un WAF (Web Application Firewall) ? Vérifier la configuration email (SPF, DKIM, DMARC) ? Voir l'historique du domaine via la Wayback Machine ? Tout est possible ! Et même les Core Web Vitals pour les obsédés de la performance !

Pour l'installer, c'est ultra simple. Si vous êtes team Docker (et vous devriez l'être), une seule commande suffit :

docker run -p 3000:3000 lissy93/web-check

Et vous avez votre instance perso qui tourne sur localhost:3000. Pas besoin de galérer avec des dépendances ou de configurer quoi que ce soit. Du coup, vous pouvez scanner vos propres sites sans que vos requêtes passent par un service tiers.

Pratique pour les paranos de la vie privée !

Le projet tourne sous TypeScript avec Astro en front, et tout le code est disponible sur GitHub sous licence MIT. Ça veut dire que vous pouvez le modifier, l'héberger où vous voulez, et même contribuer si le coeur vous en dit.

La partie détection de stack technique me plait beaucoup. C'est un peu comme ce que fait SSH-Audit pour les serveurs , sauf que l'outil identifie automatiquement les frameworks, CMS, bibliothèques JavaScript et autres composants utilisés par un site. Super utile donc pour les pentesters qui veulent mapper rapidement une cible, ou simplement pour les curieux qui se demandent "tiens, c'est quoi cette techno qu'ils utilisent ?".

Vous avez aussi une démo en ligne sur web-check.xyz si vous voulez tester avant d'installer quoi que ce soit. Mais bon, pour une utilisation régulière, je vous conseille vraiment l'instance locale. C'est plus rapide et vous gardez le contrôle sur vos données.

Voilà, si vous bossez dans la sécu, si vous êtes journaliste d'investigation, ou si vous êtes juste curieux de savoir ce que racontent les sites que vous visitez, ce scanner OSINT devrait rejoindre votre boîte à outils.

Allez jeter un œil, et vous me remercierez je pense !

Vous bossez sur un projet et vous vous dites "Tiens, le site de [insérez ici une grosse boîte] a un design plutôt bien foutu, j'aimerais bien voir comment ils ont structuré leurs css".

Hé bien y'a un outil pour ça, et il s'appelle Dembrandt .

Dembrandt en action

En gros, c'est un petit outil en ligne de commande qui va analyser n'importe quelle URL et en extraire tout le design system : les couleurs (primaires, secondaires, variables CSS), la typographie (familles, tailles, graisses), les espacements, les bordures, les ombres et même les patterns de composants UI.

Le truc s'installe en une ligne avec npm (npm install -g dembrandt) et après vous avez juste à taper dembrandt stripe.com par exemple. En moins d'une seconde, l'outil va alors faire un rendu de la page avec Playwright, analyser le DOM, détecter les styles et vous ressort tout ça bien structuré avec des scores de confiance pour chaque couleur.

Ce que j'aime bien, c'est que ça exporte directement en JSON ou au format W3C Design Tokens si vous voulez l'utiliser avec Style Dictionary. Pratique pour alimenter votre propre design system ou pour documenter celui d'un client qui n'a jamais pris le temps de le faire... (il en faut)

Y'a aussi quelques options sympas comme --dark-mode pour extraire la palette sombre, --mobile pour simuler un viewport iPhone, ou --browser=firefox si le site que vous voulez analyser a des protections Cloudflare qui bloquent Chromium.

Bon, ça marche pas sur les sites qui utilisent Canvas ou WebGL pour le rendu, et faut pas s'attendre à des miracles sur les SPA qui chargent tout en async. Mais pour la majorité des sites, c'est vraiment efficace.

Le projet est open source sous licence MIT, donc vous pouvez l'auditer, le forker, le modifier comme bon vous semble. Et niveau légalité, analyser du HTML/CSS public pour de la veille concurrentielle ou de la documentation, c'est considéré comme du fair use dans la plupart des juridictions, donc vous êtes good !

Bref, si vous faites du design system, de l'audit UX ou juste de la veille sur ce que font les autres, c'est un outil à garder sous le coude.

Merci à Lorenper pour le partage !

• lien nᵒ 1 : Site de Prestashop
• lien nᵒ 2 : Prestashop build

Commentaires : voir le flux Atom ouvrir dans le navigateur

Depuis quelques jours, la communauté Arduino grince des dents : les nouvelles Conditions d’utilisation et la Politique de confidentialité, fraîchement mises en ligne après l’acquisition par Qualcomm, changent sensiblement la donne. Entre collecte élargie de données, droits très étendus sur les contenus publiés et restrictions de rétro-ingénierie, beaucoup s’interrogent : l’esprit open-source d’Arduino est-il en […]

Cet article Arduino change ses Conditions d’utilisation : quels risques pour l’open-source ? Analyse complète a été publié en premier sur Framboise 314, le Raspberry Pi à la sauce française.....

Le 1/1000ème de seconde est sans doute superflu, mais il illustre bien la précision qu’il est possible d’obtenir avec un microcontrôleur moderne comme le Raspberry Pi Pico. Ce projet vous propose de réaliser un chronomètre autonome, pensé pour des jeux ou activités scolaires, doté d’un écran OLED bien lisible et alimenté par une batterie LiPo. […]

Cet article Construire un chronomètre scolaire autonome avec Raspberry Pi Pico et écran OLED a été publié en premier sur Framboise 314, le Raspberry Pi à la sauce française.....