Ce 23 février 2026, Summer Yue est au centre des discussions tech sur X. La responsable de l’alignement IA chez Meta a raconté comment son agent autonome OpenClaw lui a désobéi, supprimant sans autorisation des emails de sa boîte Gmail. Un incident qui soulève de sérieuses questions sur la fiabilité des agents IA.
Le 22 février 2026, sur LinkedIn, Jean-Baptiste Kempf, l’un des artisans de VideoLAN et du logiciel VLC, a menacé de quitter la France. Interpellé dans la publication, Gérald Darmanin lui a répliqué dans les commentaires, déclenchant une passe d’armes entre les deux hommes.
Vos photos dans iCloud, c'est une synchronisation, et pas un backup et même si la nuance est mince, quand on s'en rend compte, il est souvent trop tard... C'est pourquoi même si vous avez une confiance aveugle en Apple, si demain votre compte est supprimé pour une raison ou une autre, vous perdrez l'accès à vos précieuses photos. Et ça, on ne le veut pas ! Alors aujourd'hui, on va apprendre à en faire une sauvegarde.
Pour cela, on va utiliser osxphotos , une bibliothèque Python open source (MIT) qui lit directement la base SQLite de Photos.app pour en exporter tout le contenu. Ça tourne sur macOS de Sierra à Sequoia, et même sur Linux.
L'installation :
Connexionbrew tap RhetTbull/osxphotos
brew install osxphotos
Et pour exporter tout votre catalogue de photos vers un disque externe il suffit d'entrer la commande suivante :
osxphotos export /Volumes/MonDisque/Photos --download-missing --update
--download-missing forcera le téléchargement depuis iCloud des photos pas encore présentes en local et --update fera le boulot incrémental, ne retraitant que les nouvelles photos ou celles modifiées depuis le dernier lancement.
Du coup, le premier export peut prendre des heures, et les suivants quelques secondes. L'outil génère d'ailleurs un .osxphotos_export.db dans le dossier de destination pour tracker ce qui a déjà été exporté. Je trouve ça un peu plus simple que d'exporter toute la grosse photothèque .photoslibrary à chaque coup.
Ensuite, pour automatiser, un cron suffit (vérifiez votre chemin avec which osxphotos - /opt/homebrew/bin/ sur Apple Silicon, /usr/local/bin/ sur Intel) :
0 3 * * * /opt/homebrew/bin/osxphotos export /Volumes/MonDisque/Photos --download-missing --update
Moi je l'ai mis tous les jours à 3h du mat ! Mais attention, disque non monté = 0 export, 0 erreur visible. Donc à moins que vous ayez un script de vérification du montage, vérifiez les logs de temps en temps. Pour une gestion plus propre des conditions de montage, launchd est quand même préférable, mais pour commencer, le cron fera très bien l'affaire.
Après si vous n'utilisez pas Photos.app mais juste iCloud depuis votre iPhone, regardez plutôt du côté de la sauvegarde iPhone sur disque externe . Et si vous voulez aussi mettre en sécurité vos données Apple Notes , ou les migrer sur Obsidian, c'est possible aussi.
Vous avez vu le bazar chez VMware depuis que Broadcom a racheté la boîte ? Les prix qui flambent, les licences qui changent tous les quatre matins, les clients historiques qui reçoivent des factures multipliées par je sais pas combien... C'est la panique générale dans les DSI !
Et pendant ce temps-là, y'a une boîte française basée à Grenoble qui se frotte les mains. Pas par schadenfreude hein, mais parce qu'ils bossent depuis 2012 sur une alternative open source à VMware. Vous l'aurez compris, je parle de Vates et de leur stack complète baptisée Vates VMS.
J'ai donc eu l'occasion de mettre les mains dans le cambouis avec leur lab de test la semaine dernière. Ils m'ont prêté 3 serveurs HPE Moonshot rien que pour moi, avec accès VPN, et carte blanche pour faire mumuse. J'avoue, au début je pensais galérer avec la config réseau... Eh bah non. J'installe XCP-ng en une dizaine de minutes, je configure le VLAN qui va bien, et c'est parti.
Mais avant, je vous propose de poser un peu les bases pour ceux qui débarquent. Vates VMS, c'est une suite complète qui comprend XCP-ng (l'hyperviseur bare-metal de Type 1, basé sur Xen... oui oui, le même Xen qui fait tourner AWS depuis des lustres) et Xen Orchestra (l'interface web pour tout gérer). Le tout en 100% open source, hébergé par la Linux Foundation.
Et là vous allez me dire "ouais mais open source, c'est souvent la version bridée avec les vraies features payantes". Eh bien non, chez Vates c'est différent ! En fait, tout est dispo gratos sur GitHub. Leur modèle économique repose sur le support et l'accompagnement, et pas sur des licences à la c*n facturées au core ou au socket. Un prix fixe par serveur physique, point barre. Comme ça y'a pas de surprise sur la facture, ni de calculette à sortir quand vous ajoutez de la RAM.
D'ailleurs, ils viennent de sortir Xen Orchestra 6, entièrement réécrit en Vue.js. Et pour l'avoir testé, je peux vous dire que l'interface est vraiment fluide, moderne, et surtout pensée pour qu'on s'y retrouve sans avoir besoin d'un doctorat en VMwarologie. Vous gérez vos VMs, vos backups, vos migrations, votre monitoring... tout ça depuis un navigateur sur n'importe quel OS.
Et y'a même XO Lite, une version ultra-légère embarquée directement dans XCP-ng pour les opérations de base. Bon, faut pas s'attendre à tout gérer avec ça car c'est vraiment pour le dépannage quand vous n'avez pas accès au serveur principal. Mais c'est pratique quand vous êtes en déplacement et qu'il faut redémarrer une VM en urgence.
Pour les boîtes qui veulent se barrer de VMware, ils ont également développé des outils de migration V2V. Ça fonctionne pour 90% des usages VMware existants (attention quand même aux configs exotiques avec du vSAN ou des plugins proprio, là faut prévoir un peu plus de boulot). Et l'architecture est suffisamment proche de VMware pour que la transition se fasse sans tout réinstaller from scratch.
Côté fonctionnalités avancées, y'a également XOSTOR pour ceux qui veulent faire de l'hyperconvergence. C'est leur SAN virtuel basé sur DRBD qui transforme vos disques locaux en stockage partagé avec réplication et haute disponibilité. Comme ça, plus besoin de SAN externe hors de prix, puisque vos serveurs XCP-ng deviennent un cluster de stockage distribué.
Pour les DevOps, c'est aussi la fête ! Terraform, Pulumi, Ansible, API REST, CLI... tout y est. J'ai pas eu le temps de tester Terraform en profondeur, mais le provider XO existe bien sur le registry HashiCorp. Ils ont même un projet Pyrgos pour déployer Kubernetes directement depuis Xen Orchestra. Bref, c'est cloud-native ready.
Perso, ce qui m'a vraiment convaincu durant mes tests, c'est qu'on n'a pas 15 outils différents avec lesquels jongler. J'ai bien sûr testé la création de VM, les snapshots, les backups incrémentaux... tout passe par la même interface. Un seul éditeur qui maîtrise toute la stack, de l'hyperviseur jusqu'aux sauvegardes, c'est quand même le kiff. Sans oublier la doc qui est claire comme de l'eau de roche et le support répond vraiment (enfin pour ceux qui prennent un contrat, sinon y'a la communauté qui est plutôt active sur le forum).
Côté références, ils ont plus d'un millier de clients dans le monde entier. Même la NASA utilise les outils de Vates (hé ouais quand même, c'est la classe !), sans oublier des universités, des hôpitaux, l'ANSSI... C'est du sérieux !
Et pour les administrations françaises qui doivent passer par les marchés publics, Vates est référencé chez CAIH, CANUT et UGAP. Du coup pas besoin de monter un appel d'offres complexe, vous pouvez commander directement via les catalogues. Et si vous vous demandez comment ça se compare à ESXi ou à Proxmox , sachez que l'architecture est vraiment proche de VMware (donc migration facilitée), mais avec la philosophie open source en plus.
Alors oui, c'est un article sponsorisé, mais sincèrement si vous êtes sur VMware et que vous regardez vos factures arriver avec des sueurs froides depuis le rachat par Broadcom, ça vaut vraiment le coup de jeter un œil. C'est français, c'est open source, c'est maintenu par une équipe d'une centaine de personnes et ça fait très bien le taf.
Y'a même un essai d'un mois pour tester avant de se décider, histoire de ne pas acheter chat en poche (oui c'est une vraie expression du XVe siècle que je viens de découvrir alors je vous la transmets, faites en bon usage).
Bref, si la souveraineté numérique et l'indépendance technologique c'est votre truc (ou si vous en avez juste marre de vous faire racketter), allez voir ce qu'ils proposent , c'est top !
Alors que le contexte géopolitique place la souveraineté numérique au cœur des débats et que la récente doctrine française en matière d'achats numériques, priorise clairement les acteurs français et européens face aux solutions étrangères. Numerama a décidé de rencontrer les dirigeants qui composent l'écosystème tech souverain français pour retracer leurs aventures et analyser les défis actuels.
La souveraineté numérique n’est plus seulement un objectif stratégique optionnel pour les entreprises européennes, mais une exigence de conformité. Les différents cadres réglementaires en vigueur (NIS2, DORA, Cyber Resiliency Act au niveau européen, SecNumCloud au niveau local…) incluent des exigences précises en matière de transparence, de traçabilité et de réversibilité des infrastructures numériques.
Pour les intégrer à leur stratégie et se mettre en conformité, l’open source apparaît comme l’une des approches technologiques les plus viables pour les entreprises, car elle adresse trois piliers fondamentaux de la souveraineté numérique : offrir des solutions pour s’aligner avec la conformité réglementaire, faciliter la résilience opérationnelle et favoriser l’indépendance technologique. Le choix de l’open source, en plus d’aider à protéger les entreprises des risques réglementaires actuels, constitue une solution d’avenir sur le long terme.
L’Union européenne impose désormais un cadre réglementaire qui structure les choix technologiques des entreprises : NIS2 a pour objectif de minimiser les risques pour les SI des organisations essentielles (états, fournisseurs d’énergie ou télécoms) et impose une gestion auditable de la sécurité ; DORA, sa déclinaison pour les institutions financières, met en avant la résilience tant technique que opérationnelle et impose à ce titre de diversifier les fournisseurs tout en démontrant la réversibilité des briques de son SI ; enfin, le Cyber Resiliency Act (CRA) exige une cartographie exhaustive des composants logiciels, incluant leur cycle de vie et la mise à disposition des correctifs de sécurité.
Suivant leur secteur ou leurs enjeux en termes de souveraineté, les organisations et les entreprises peuvent être tenues de permettre un basculement rapide vers un autre prestataire de services en cas d’incident – ce qui nécessite d’éviter toute concentration chez un même fournisseur – ou encore à privilégier la portabilité des données et des applications dans un souci de réversibilité.
L’open source aide à répondre à ces obligations, car le code source ouvert permet l’auditabilité par des tiers indépendants; les licences encadrant l’usage de l’open source permettent également de continuer à utiliser les technologies indépendamment de l’existence d’un contrat de support avec des éditeurs ; enfin, la nature même du logiciel open source et la mise à disposition d’outils spécifiques facilitent grandement l’inventaire et l’audit des composants logiciels fréquemment exigés dans le cadre des réglementations.
Les entreprises considérées comme critiques – notamment le secteur bancaire dans le contexte de DORA – ont l’obligation d’intégrer la notion de risques liés aux fournisseurs, et donc à éviter de concentrer leurs actifs informatiques auprès d’un seul opérateur de cloud, afin d’éviter de subir une interruption de service sur leurs activités.
Les exigences peuvent parfois être plus fortes, notamment pour les secteurs sensibles et critiques comme la défense, où les contraintes de sécurité et de souveraineté peuvent imposer de pouvoir continuer à fonctionner en cas de coupure totale d’internet, ce qui signifie que les services habituellement fournis par un cloud hyperscaler doivent pouvoir être répliqués en interne (mode “air-gapped”).
Une exigence que l’open source permet d’appliquer, car il fonctionne indépendamment d’une connexion internet ou d’une relation contractuelle avec un fournisseur, peut être déployé sur des datacenters souverains opérés par des prestataires européens, et offre une disponibilité technologique même si le fournisseur cesse ses activités.
Sur le plan technologique, la souveraineté repose sur trois piliers : la transparence, la traçabilité et la réversibilité. Si les solutions propriétaires ne donnent pas l’accès au code source, limitant ainsi l’audit aux seuls comportements observables, les fournisseurs tout comme les utilisateurs ont beaucoup plus de difficultés à détecter les vulnérabilités cachées ; une opacité qui n’est pas acceptable pour les entreprises considérées comme critiques.
De son côté, l’open source permet l’auditabilité : le code est consultable par des tiers indépendants, les modifications sont documentées et traçables, et les vulnérabilités découvertes peuvent être corrigées sans devoir attendre la réaction du fournisseur.
Grâce à l’open source, les entreprises dont l’activité commerciale est centrée sur le logiciel peuvent également générer de façon automatique une cartographie complète de leurs composants applicatifs, une responsabilité qui leur incombe vis à vis de leurs clients et leurs utilisateurs selon les exigences du Cyber Resiliency Act, et ainsi identifier systématiquement les vulnérabilités.
Face aux risques de sécurité, aux exigences réglementaires toujours plus précises et strictes, et à la menace d’amendes prononcées par les autorités pour sanctionner les cas de non-conformité, les entreprises ont encore trop souvent tendance à choisir des solutions propriétaires. Si l’approche open source représente un territoire inconnu, notamment pour les organisations qui ne l’ont pas encore déployée et qui manquent de maturité en la matière, elle offre une véritable flexibilité.
L’Union européenne soutient d’ailleurs activement cette voie par des initiatives (notamment l’European Open Digital Ecosystem Strategy). Dans ce contexte, investir dans le logiciel open source, en particulier pour les organisations critiques et d’importance stratégique, permet de faire face aux risques réglementaires actuels et de demain.
*David Szegedi est Chief Architect – Field CTO Organisation chez Red Hat
The post { Tribune Expert } – Souveraineté numérique : le virage open source que les entreprises ne peuvent plus ignorer appeared first on Silicon.fr.
Xiaomi a longtemps été le spécialiste du rapport qualité-prix dans le smartphone et la maison connectée. Avec Xiaomi-Robotics-0, la marque joue une partition beaucoup plus ambitieuse : devenir un acteur audible dans la recherche robotique « incarnée », là où les modèles ne se contentent plus de comprendre le monde… mais doivent agir dedans, en temps réel. Xiaomi-Robotics-0 : […]
L’article Xiaomi-Robotics-0 : Xiaomi open source un modèle VLA pour la robotique et vise le temps réel est apparu en premier sur BlogNT : le Blog des Nouvelles Technologies.
Je suis complètement passé à côté de ce truc jusqu'à ce que David (merci à lui !) m'envoie un petit message pour me dire : "Hé Korben, t'as vu Anytype ? C'est comme Notion mais en mieux". Du coup, j'ai testé et j'ai vraiment halluciné.
Si vous êtes du genre à noter tout ce qui vous passe par la tête dans Notion ou Evernote, vous connaissez le problème. Vos données sont hébergées on ne sait où, et le jour où la boite décide de changer ses conditions d'utilisation ou de fermer boutique, vous êtes marron.
Hé bien Anytype, c'est la réponse à cette angoisse.
C'est une application local-first et chiffrée de bout en bout qui permet de créer votre propre "internet personnel". Petite nuance importante : Anytype n'est pas "open source" au sens strict de l'OSI. Leurs protocoles (notamment AnySync) sont bien open source sous licence MIT, mais les applications elles-mêmes sont distribuées sous une licence "source available" ( Any Source Available License 1.0 ). Concrètement, le code est consultable et modifiable, mais l'utilisation commerciale est restreinte. C'est pas du tout la même chose, et c'est important de ne pas confondre pour éviter l'openwashing. Cela dit, l'équipe est transparente là-dessus , ce qui est appréciable.
En gros, tout ce que vous créez (notes, tâches, documents, tableaux) est stocké localement sur votre machine. Pas de cloud obscur, pas de tracking, c'est votre disque dur, vos règles.
Leur point fort, c'est leur protocole AnySync car ça permet de synchroniser vos données entre vos appareils (ordi, téléphone, tablette) en peer-to-peer comme ça y'a pas besoin de serveur central. Vos appareils discutent directement entre eux, un peu comme si vous aviez votre propre réseau privé.
Au niveau de l'interface, on retrouve ce système de blocs qu'on aime bien chez la concurrence, mais avec une approche "objet". Dans AnyType comme chez Ikea, tout est un objet : une tâche, une personne, une note, un livre. Et vous pouvez lier tous ces objets entre eux pour créer un véritable graphe de connaissances tel un grand architecte de la matrice du dimanche).
Ce qui est cool aussi, c'est que l'équipe a déjà ajouté une fonction de publication web (vos pages peuvent devenir des pages publiques statiques) et propose une API côté desktop qui tourne en local. Elle travaille aussi sur l'intégration d'une IA locale . Parce que oui, avoir une IA qui vous aide à trier vos notes sans envoyer vos données à l'autre bout du monde, c'est quand même plus rassurant.
Si vous voulez aller encore plus loin, vous pouvez même héberger votre propre "noeud" de sauvegarde sur un serveur à la maison. D'ailleurs si vous aimez ce genre d'outils souverains, jetez un oeil à Local Deep Research pour vos recherches. Comme ça, vous avez une copie de secours chiffrée, accessible 24/7, sans dépendre de personne.
Bref, si vous cherchez une alternative souveraine pour gérer votre vie numérique, foncez voir ça. C'est gratuit jusqu'à 100 MB de stockage, c'est beau, et ça respecte votre vie privée. Que demande le peuple ?
Merci encore à David pour la découverte et à Alexandre pour la précision sur la licence !
Sur le GitHub de l’ANSSI, les projets seront bientôt classés par « niveau d’ouverture ».
L’agence le signale désormais sur la page qui présente sa politique open source. Elle utilisera la classification qu’a élaborée la DINUM :
Autre nouveauté sur la page en question : l’évocation de l’open source en tant que levier d’action de la politique industrielle de l’ANSSI. Par ce lien « récent et en développement », l’agence cherche à favoriser la disponibilité de solutions cyber alignées sur les besoins.
Par rapport à l’ancienne version de la page, l’aspect « liste de projets » est moins marqué. L’ANSSI insiste davantage sur les licences, le transfert de projets et sur sa propre utilisation de solutions open source. Elle a ajouté des références à la communauté BlueHats ainsi qu’à celle des OSPO français.
Une partie des projets auparavant mentionnés se retrouvent sur la page d’accueil de l’organisation GitHub ANSSI-FR. Entre autres, DFIR ORC (outils de recherche de compromission), WooKey (micronoyau + environnement de dev pour le prototypage de solutions IoT) et CLIP OS (système d’exploitation Linux durci). Le premier est d’une envergure suffisante pour avoir sa propre orga GitHub. Les deux autres ont aussi la leur, mais parce qu’ils sont archivés.
L’ANSSI évoque toujours son financement d’évaluations de sécurité, ad hoc ou sur les critères CSPN.
En 2018 avait démarré l’évaluation CSPN de Barbican (service de gestion de clés de la pile OpenStack), finalement certifié. La même année avait commencé celle de Suricata (détection et prévention d’intrusion), qui avait lui aussi réussi l’audit.
S2OPC (implémentation du protocole de communication OPC UA), nftables (sous-système Linux de filtrage de paquets) et KeePassXC (gestionnaire de mots de passe) ont également obtenu la CSPN.
Par deux fois, la version « originale » de KeePass (pour Windows) n’a pas réussi l’audit CSPN. Ça n’est pas non plus passé pour Keystone et Ansible (en 2018), strongSWAN (2019), Secretin, Belenios et Sudo (2021), ainsi que WireGuard (2023).
Les derniers audits ad hoc ont permis d’identifier 4 vulnérabilités dans CAS, 1 dans step-ca… et aucune dans HAProxy.
Illustration générée par IA
The post L’ANSSI affirme l’open source comme levier de sa politique industrielle appeared first on Silicon.fr.
Vous connaissez tous Kali Linux , Metasploit et compagnie… Mais est-ce que vous avez déjà vu une IA faire un pentest toute seule ? Genre, VRAIMENT toute seule. Shannon , c'est un framework open source qui lâche un agent IA sur votre code, et qui enchaîne recon, analyse de vulns, et exploitation, tout ça sans intervention humaine.
En gros, vous lui filez une URL cible et l'accès à votre code source (faut que le repo soit accessible, c'est la base), et l'agent se débrouille. Il commence alors par analyser le code en statique… puis lance des attaques dynamiques sur l'app en live. Pour cela, il déploie plusieurs sous-agents spécialisés qui bossent en parallèle via Temporal, un moteur de workflow.
Un agent pour la reconnaissance, un pour chercher les injections SQL, un autre pour les XSS, un pour les SSRF, un pour les problèmes d'authentification… Bref, chacun fait son taf et tout remonte dans un rapport final au format JSON.
Le truc, c'est que Shannon ne se contente pas de scanner bêtement comme un Nessus ou un Burp. L'agent COMPREND votre code. Il lit les routes, les middlewares, les requêtes SQL, et il construit ses attaques en fonction. Du coup, il trouve des trucs que les scanners classiques loupent complètement, genre une injection NoSQL planquée dans un endpoint obscur ou un bypass d'auth via un cookie mal valide. Attention par contre, si votre app utilise un framework un peu exotique ou du code obfusqué, y'a des chances que l'agent passe à côté… comme tout scanner, hein.
Pour ceux qui se demandent combien coute un test d'intrusion classique, ça va de 3 000 € à plusieurs dizaines de milliers d'euros. Shannon, c'est open source et ça tourne sur Docker, par contre, faudra compter environ 50 dollars en tokens API Anthropic par run… c'est pas gratuit mais c'est quand même 60 fois moins cher qu'un audit humain.
Cote installation, c'est Docker + Docker Compose, un fichier .env avec votre cle API Anthropic (la variable ANTHROPIC_API_KEY, classique), et hop, un docker compose up pour lancer le tout. Le workflow complet prend entre 1 h et 1 h 30 selon la taille de votre base de code. Vous pouvez suivre la progression en temps réel via l'interface web Temporal sur localhost:8233. (perso, j'aime bien voir les agents bosser en parallèle, ça a un côté satisfaisant).
Et attention, Shannon exécute de VRAIES attaques. C'est mutatif. Ça veut dire que si l'agent trouve une injection SQL, il va l'exploiter pour de vrai pour prouver que ça marche. Du coup, on le lance sur du code à soi, en local ou sur un environnement de test. Mais jamais en prod. JAMAIS !!!
Bon, sauf si vous aimez vivre dangereusement et que votre boss est en vacances… ^^
Les agents d'exploitation (Auth, SSRF, XSS, AuthZ) en parallèle sur la timeline Temporal
Pour en avoir le cœur net, je l'ai lancé sur une app Node.js/Express maison avec 27 endpoints d'API. 2 heures de scan, 287 transitions d'état, 7 agents qui ont bossé en parallèle… et une facture Anthropic qui pique un peu. Parce que oui, chaque agent consomme des tokens Claude à chaque étape d'analyse et d'exploitation, et ça s'additionne vite. Comptez une cinquantaine de dollars pour un run complet. Bref, c'est pas gratuit de se faire hacker par une IA.
Cote résultats par contre, plutôt parlant. Zero injection SQL exploitable, les 23 paramètres utilisateur ont été tracés jusqu'aux requêtes et Shannon a confirmé que tout était paramétré correctement. Bien joué. Par contre, il a détecté 6 failles SSRF liées à des contournements IPv6, des XSS stockées via innerHTML sans aucun échappement dans le frontend, et surtout… ZERO authentification sur les 27 endpoints. Genre, n'importe qui peut purger ma base ou cramer vos crédits API Claude sans se connecter. Bon après, c'est un outil que je me suis dev, qui est un proto local, donc c'est pas exposé sur internet.
Le rapport final est plutôt bien foutu, je trouve. Pour chaque vuln trouvée, vous avez la sévérité CVSS (critique, haute, moyenne), le vecteur d'attaque utilisé, une preuve d'exploitation avec les payloads, et surtout des recommandations de correction. Shannon va jusqu'à vous montrer la ligne de code fautive, expliquer pourquoi le bypass fonctionne, et proposer le fix. Si vous utilisez déjà des outils comme Sploitus pour votre veille secu, Shannon c'est le complément parfait pour passer de la théorie à la pratique sur votre propre code.
Le projet est encore jeune, c'est vrai, mais l'approche est intéressante. Plutôt que d'automatiser bêtement des scans, on a donc un agent qui raisonne sur le code et adapte sa stratégie. Ça change des outils qui balancent des milliers de requêtes à l'aveugle et qui vous noient sous les faux positifs.
Alors après, je vous vois venir, vous allez me dire : est-ce que ça vaut un vrai pentester qui connait votre infra par cœur et qui sait où chercher les trucs tordus ?
Pas vraiment, mais pour un premier audit à moindre coût, ça fait le taf.
Les algorithmes de recommandation, vous connaissez bien je pense... YouTube, TikTok, Instagram... ces trucs qui vous gardent scotché à l'écran durant des heures en aspirant toutes vos données au passage. Hé bien un dev de bon goût a décidé de prouver qu'on pouvait faire la même chose sans machine learning et sans collecter la moindre info perso.
Son arme secrète ? Les 270 000 articles de Simple Wikipedia.
Xikipedia , c'est un pseudo réseau social qui vous balance des articles de Simple Wikipedia sous forme de feed, exactement comme votre fil TikTok préféré. Sauf que derrière, y'a pas de ferme de serveurs qui analyse votre comportement mais juste un petit algorithme local en JS qui tourne dans votre navigateur.
En gros, le système fonctionne avec un scoring par catégorie côté client, stocké en localStorage. Vous scrollez un article sans le lire ? Moins 5 points pour cette catégorie. Vous likez ? Plus 50 points, avec un bonus qui augmente si vous n'avez pas liké depuis longtemps (genre un mécanisme anti-binge plutôt malin). Vous cliquez sur l'article complet ? 75 points. Sur une image ? 100 points !!
Et c'est comme ça qu'au bout de quelques minutes de scroll, le feed commence à comprendre vos centres d'intérêt et vous propose des trucs de plus en plus pertinents. J'ai testé en likant 3-4 articles sur l'astronomie... au début je pensais que ça serait du random total, mais au bout de 5 minutes j'avais quasiment que des trucs sur l'espace et la physique. Plutôt efficace pour un algo sans IA.
D'ailleurs, le truc qui est assez cool c'est la répartition des contenus. 40% de sélection pondérée par vos scores, 42% du contenu le mieux noté, et 18% complètement aléatoire. Ce dernier bout de hasard, c'est ce qui évite de s'enfermer dans une bulle de filtre (prends-en de la graine, YouTube !!).
La page d'accueil avec ses catégories - sobre mais efficace
Le tout tourne en PWA, c'est-à-dire que ça s'installe comme une app sur votre téléphone ou votre ordi et ça fonctionne même hors ligne après le premier chargement. Les ~34 Mo de données compressées de Simple Wikipedia sont stockées localement via IndexedDB dans votre navigateur. Vous pouvez créer plusieurs profils (pratique si vous partagez un appareil), consulter vos stats d'engagement perso, et même basculer entre thème clair et sombre.
Et le code est sous licence AGPLv3, dispo sur GitHub .
Petit bémol quand même si vous êtes sur iPhone, y'a des restrictions mémoire imposées par Apple sur Safari qui peuvent poser problème avec les ~34 Mo de données. Attention aussi, le premier chargement prend un moment vu qu'il faut tout télécharger d'un coup... sauf si vous êtes en 4G pourrie, là ça peut carrément planter en plein milieu. Et pas moyen de reprendre, faut tout relancer. Prévoyez donc du Wi-Fi.
Pour ceux qui se demandent à quoi ça sert concrètement... c'est juste un moyen sympa de tomber sur des sujets que vous n'auriez jamais cherchés, le tout sans que personne ne sache que vous avez passé 45 minutes à lire des articles sur les pieuvres géantes du Pacifique.
Voilà, j'aurais pas parié dessus au départ... mais après avoir scrollé une bonne demi-heure, je dois avouer que c'est plutôt malin comme approche.
Amusez-vous bien !
Bonne nouvelle pour tous les dev qui n'ont pas peur de l'IA : GitHub vient de sortir gh-aw, une extension CLI qui permet d’écrire des workflows agentiques… en markdown. Au chiotte le YAML à rallonge pour vos pipelines CI/CD, vous rédigez vos instructions en langage naturel et c'est une IA (Copilot, Claude ou Codex au choix) qui se charge de les exécuter dans GitHub Actions.
En gros, vous décrivez ce que vous voulez dans un fichier .md, genre"em>fais-moi un rapport quotidien des issues ouvertes" ou "refactorise les fonctions trop longues", et l'agent s'en occupe. Il analyse le contexte de votre dépôt, prend des décisions et livre le résultat sous forme de pull request. Par contre, attention, si votre prompt dans le fichier .md est trop vague genre "améliore
le code
", l'agent risque de partir dans tous les sens et vous pondre une PR de 200 fichiers. Faut être précis dans vos instructions, sinon c'est la loterie.
Côté sécurité, ils ont pas rigolé parce que lâcher une IA en roue libre sur votre code, ça pourrait vite tourner au cauchemar (J'en avais d'ailleurs parlé avec les backdoors planquées dans les fichiers de config ). Ici, tout est sandboxé avec des permissions en lecture seule par défaut sur le runner. Les opérations d’écriture passent par des "safe-outputs" préapprouvés, y'a de l'isolation réseau, du pinning SHA sur chaque dépendance npm/pip… Bref, ils ont pas fait les choses à moitié, côté garde-fous.
Côté moteurs IA, vous avez le choix entre GitHub Copilot, Claude d'Anthropic (via l'API, faut un compte payant), OpenAI Codex ou même votre propre processeur custom. Claude pour du refactoring ça peut être pas mal je pense parce que la fenêtre de contexte est capable d'avaler un dépôt entier, mais pour du triage d'issues, Copilot suffira largement. Comme d'hab, ça dépend de vos besoins (et de votre portefeuille).
Si vous bossez sur Mac, vous connaissez sûrement la galère des Spaces. C'est sympa sur le papier, mais les animations natives d'Apple sont d'une lenteur... y'a de quoi se taper la tête contre les murs quand on veut switcher rapidement entre ses outils de dev et son navigateur. (Et ne me parlez pas du temps de réaction sur un vieux processeur Intel, c'est l'enfer). Bref, moi perso j'utilise pas trop ces trucs là parce que je trouve que c'est pas agréable.
Mais c'est là que FlashSpace entre en piste. Ce petit utilitaire open source, partagé par Vince (merci pour le tuyau !), a une mission simple : proposer un système de workspaces ultra-réactifs pour remplacer l'usage des Spaces natifs. L'idée déchire car au lieu de subir les transitions mollassonnes de macOS, on passe d'un environnement à l'autre de manière quasi instantanée.
Attention par contre, le fonctionnement est un peu particulier. J'ai d'abord cru qu'il créait de nouveaux Spaces dans Mission Control, mais en fait non, c'est plutôt un jeu de "j'affiche ou j'affiche pas les applications dont t'as besoin"... Pour que ça bombarde, FlashSpace recommande de regrouper toutes vos apps sur un seul et même Space macOS (par écran). L'outil gère ensuite des "workspaces virtuels" en masquant ou affichant les apps selon vos besoins. Résultat, une réactivité impressionnante même si ce n'est pas techniquement du "zéro latence" (faut bien que les fenêtres s'affichent quand même).
Pour ceux qui connaissent AeroSpace , FlashSpace se pose comme une alternative solide. Là où AeroSpace tend vers le tiling window management pur et dur à la i3, FlashSpace reste plus proche de l'esprit initial des Spaces mais en version survitaminée. C'est moins radical, plus invisible, mais perso je trouve ça tout aussi efficace pour rester dans le flow.
L'excitation quand on passe enfin d'un bureau à l'autre sans attendre 3 secondes ( Meme )
Côté fonctionnalités, c'est plutôt complet puisqu'on y retrouve du support du multi-écran (un petit clic dans Réglages Système > Bureau et Dock pour activer "Les écrans disposent de Spaces distincts"), gestionnaire de focus au clavier, et intégration avec SketchyBar . Y'a même un mode Picture-in-Picture expérimental (plutôt pour les navigateurs en anglais pour le moment) pour garder une vidéo sous le coude.
Petit bémol à connaître, il gère les applications, pas les fenêtres individuelles. Si vous avez trois fenêtres Chrome, elles bougeront donc toutes ensemble vers le workspace assigné. C'est un choix de design, faut juste s'y habituer mais grâce à ça on gagne encore quelques secondes de vie par jour.
brew install flashspace
Bref, si vous cherchez un moyen de dompter vos fenêtres sans finir avec des cheveux blancs à cause des animations Apple, allez tester ça.
Vous rêvez de pouvoir dire à une IA "va sur ce site, remplis ce formulaire avec mes infos, et clique sur le gros bouton rouge" et que ça se fasse tout seul pendant que vous allez vous chercher un café ? Hé bien c'est exactement la promesse de BrowserWing , un petit outil open source qui fait le pont entre vos modèles de langage (via les API d'OpenAI, Claude, DeepSeek...) et votre navigateur Chrome ou Chromium.
En fait BrowserWing va enregistrer vos actions dans le navigateur (clics, saisies, navigation), les transformer en scripts, puis les convertir en commandes MCP (Model Context Protocol). Pour ceux qui débarquent, le MCP c'est le nouveau standard qui permet aux IA de discuter avec des outils externes. Vraiment c'est super pratique comme protocole. Je l'utilise tous les jours, et je vous recommande vraiment de vous y intéresser.
Du coup, grâce à ça, vos agents IA peuvent ensuite rejouer ces actions. C'est comme si vous créiez des macros pour le web, mais intégrables dans un flux piloté par l'intelligence artificielle.
Attention toutefois, on est sur une version très précoce (v0.0.1), donc le jeu de commandes est encore limité et les choses peuvent bouger mais l'idée est là...
Voilà, c'est parfait pour simplifier l'automatisation de toutes ces tâches répétitives et reloues qu'on se cogne quotidiennement sur le web. On peut envisager du scraping, du remplissage de formulaires, ou même des workflows qui enchaînent plusieurs sites et l'avantage par rapport à un script Selenium ou Playwright classique, c'est que l'IA peut potentiellement mieux digérer les petits changements visuels et comprendre le contexte de la page.
Pour tester la bête, vous avez deux options. La plus simple, c'est de récupérer le binaire précompilé directement sur la page Releases du projet GitHub. Vous prenez celui qui correspond à votre OS, et hop, c'est parti.
Sur Linux ou macOS :
chmod +x ./browserwing
./browserwing --port 8080
Sur Windows :
./browserwing.exe --port 8080
Une fois que le serveur tourne, il suffit d'aller sur http://localhost:8080 pour accéder à l'interface. Pour les plus barbus qui aiment bien compiler eux-mêmes (je sais qu'il y en a parmi vous), c'est aussi possible via un petit make install et make build-embedded, à condition d'avoir Go 1.21+ et pnpm 9 sous le coude.
Une fois l'interface lancée, le workflow est plutôt intuitif. Vous ouvrez un navigateur piloté par BrowserWing, vous cliquez sur "Enregistrer", et vous faites votre petite popote habituelle. Une fois fini, l'outil vous génère un script que vous pouvez éditer visuellement avant de le transformer en commandes MCP exploitables par n'importe quel agent compatible.
Le truc vraiment cool, c'est que BrowserWing gère la persistance des cookies entre les sessions. Ça veut dire que vous pouvez automatiser des actions sur des sites où vous devez être connecté sans avoir à vous retaper l'authentification à chaque fois. L'IA peut ensuite combiner plusieurs scripts et prendre des décisions en fonction du contenu de la page. C'est plus souple qu'un script codé en dur qui panique au moindre popup inattendu.
Bref, si vous passez vos journées à faire du copier-coller entre des sites web ou que vous voulez voir ce que l'automatisation par IA a vraiment dans le ventre (même si c'est encore "work in progress"), allez jeter un œil à BrowserWing. C'est sous licence MIT, c'est gratuit, et ça pourrait bien vous sauver quelques heures de vie par semaine à l'avenir. D'ailleurs, ça me rappelle un peu ce que je vous disais sur Chrome-GPT à l'époque, mais en beaucoup plus moderne grâce au MCP.
Un immense merci à Lorenper pour le partage de cette pépite !
Dernière mise à jour le 8 février 2026 Vos PDF de cours dorment sur votre disque dur. Des ressources riches, mais qui restent souvent à l’état brut faute de temps. Et si vous les...
L’article Caramel : créer des activités H5P interactives à partir de vos documents grâce à l’IA est apparu en premier sur Les Outils Tice.
Le DNS, c'est un peu la tuyauterie planquée d'Internet. Tout le monde l'utilise, mais personne ne regarde vraiment ce qui se passe dans les tuyaux... jusqu'à ce que ça pète ou qu'un petit con s'en serve pour exfiltrer des données. Et là, bon courage pour fouiller dans les logs en mode brutasse pour comprendre qui a fait quoi sur votre réseau.
En fait, pour ceux qui se demandent encore qu'est-ce que le DNS (Domain Name System), c'est simplement l'annuaire qui traduit les noms de domaine comme korben.info en adresses IP. Sans lui, on serait tous en train de mémoriser des suites de chiffres à la con.
Et il y a quelques jours, j'ai reçu un mail de Denis, un fidèle lecteur (qui traîne sur le blog depuis 2005, ça nous rajeunit pas !) qui m'a écrit pour me présenter son projet sur lequel il bosse depuis 5 ans : DNS-collector .
DNS-collector, c'est un outil écrit en Go qui sert de "chaînon manquant" entre vos serveurs DNS et votre pile de données. En gros, il capture le trafic DNS, le nettoie, l'enrichit et l'envoie là où vous en avez besoin. C'est l'outil parfait pour ceux qui ont la flemme de se palucher des fichiers PCAP de 4 Go à la main ou de debugger des flux DNStap illisibles.
Le point fort de DNS Collector, c'est sa flexibilité. Côté entrées, ça avale tout : du DNStap via socket Unix ou TCP (le protocole standard utilisé par BIND, Unbound ou PowerDNS), du sniffing réseau classique avec AF_PACKET ou même XDP pour la très haute performance. Attention quand même, pour XDP, apparemment le kernel Linux doit être récent (version 5.x minimum) et les drivers réseau doivent suivre, sinon ça va faire pshitt. Ensuite, par défaut, le bousin écoute pépouze sur le port UDP/6000 en attendant ses flux.
Mais là où ça devient vraiment balaise, c'est dans le traitement des données. DNS-collector embarque des "Transformers" (rien à voir avec Optimus Prime hein ^^) qui font tout le boulot ingrat à votre place dans le pipeline de traitement. Hop, ça normalise les noms de domaine en minuscules (le fameux qname-lowercase dans le fichier de config), ça ajoute la géolocalisation via GeoIP (genre MaxMind ou IP2Location), et on peut même détecter les trucs louches.
Il peut aussi détecter le tunneling DNS ou les domaines générés par algorithme (DGA) qui sont souvent les signes d'une infection sur une machine. Petit bémol cependant, pour la géolocalisation, pensez à télécharger vos bases GeoIP au préalable (fichiers .mmdb), sinon l'outil va vous faire une petite grimace au démarrage.
Vous pouvez aussi protéger la vie privée de vos utilisateurs en anonymisant les adresses IP via un hachage SHA1 ou du masquage. C'est propre, ça respecte le RGPD, et ça permet de garder des stats utiles (genre le top des ASN consultés) sans fliquer tout le monde. Les données sortent proprement en JSON ou en Protobuf, prêtes à être ingérées.
Une fois que vos données sont propres, vous les envoyez où vous voulez. J'ai choisi de vous citer ClickHouse ou InfluxDB car c'est parfait pour stocker des millions de requêtes sans mettre votre serveur à genoux, mais la liste est longue : Prometheus pour les métriques, ElasticSearch, Kafka, Redis, ou même Slack via des webhooks pour être alerté en temps réel quand un domaine louche pointe le bout de son nez.
Alors si ça vous chauffe, comment récupérer cet outil et le mettre en place ?
Hé bien c'est hyper fastoche comme d'hab puisque le projet est dispo en binaire ou via Docker. Ensuite, vous lancez la commande ./dnscollector -config config.yml, vous branchez vos sources, et roule ma poule. Taaadaaaa ! DNS-collector s'occupera du reste sans vous bouffer toute votre RAM (contrairement à certaines usines à gaz Java qui demandent un sacré paquet de mémoire vive ^^).
Voilà, perso, je trouve l'approche très saine. C'est léger, modulaire et ça répond à un vrai besoin pour les admins sys qui veulent enfin "voir" ce qui transite par leurs serveurs. Le bousin encaisse des milliers de requêtes par seconde sans broncher... enfin sauf si votre serveur est une patate de 2012, là je garantis rien.
Mortecouille, c'est quand même mieux d'avoir des logs lisibles avec un simple tail -f /var/log/syslog, non ? Et d'ailleurs, le projet est déjà adopté par pas mal d'acteurs de la sécu, donc vous pouvez y aller sereinement.
Merci Denis !
Vous faites des sauvegardes régulières de vos données ? Non ?
Bon, je ne vais pas vous faire la morale, mais le jour où votre disque dur décidera de rendre l'âme ou que votre serveur VPS partira en fumée, vous allez vraiment regretter de ne pas avoir investi dix minutes dans un système de backup sérieux.
Alors, ouiiii, c'est vrai, on a souvent la flemme parce que c'est chiant à configurer. Entre les scripts bash qui plantent sans prévenir et les crontabs illisibles, y’a de quoi s'arracher les cheveux. C'est là qu'intervient Zerobyte , un projet open source qui veut réconcilier les allergiques du terminal avec la sécurité de leurs données.
Zerobyte est donc une plateforme d'automatisation de sauvegarde auto-hébergée qui vient poser une interface web moderne et ultra propre par-dessus le moteur Restic. Si vous avez déjà lu mon guide sur les backups avec Restic , vous savez que c'est du solide. Ça fait du chiffrement côté client, de la déduplication et de la compression. En gros, vos données sont blindées avant même de quitter votre machine et seules les modifs sont envoyées, ce qui est parfait pour ne pas exploser son forfait data ou son stockage cloud.
L'interface web permet surtout de tout piloter sans jamais toucher à une ligne de commande. Vous définissez vos "volumes" (ce qu'il faut sauver), vos "repositories" (où stocker tout ça) et vos "jobs" (quand lancer les opérations).
Pour les sources, l'outil est hyper flexible puisqu'il supporte aussi bien les dossiers locaux que les partages réseau via NFS, SMB, WebDAV ou SFTP et côté destination, c'est carrément Byzance puisque vous pouvez envoyer vos snapshots vers du S3 (AWS, MinIO, Wasabi), du Google Cloud, de l'Azure ou utiliser l'intégration rclone qui ouvre la porte à plus de 70 fournisseurs différents. C’est l’outil idéal pour mettre en place une véritable stratégie 3-2-1 sans se prendre la tête.
Pour l'installation, pas de surprise, ça se passe via Docker Compose. C'est léger, ça s'isole bien et ça tourne en deux minutes. Un petit bémol quand même le projet est encore jeune donc ça peut encore bouger pas mal au niveau de l'architecture. Mais pour du monitoring et de la gestion simplifiée de snapshots Restic, c'est déjà redoutable. Vous pouvez explorer vos sauvegardes directement depuis le dashboard et restaurer un fichier précis en trois clics.
Et pour ne rien gâcher, le projet est sous licence libre, ce qui colle parfaitement à l'esprit qu'on aime ici !
Bref, si vous cherchez une solution pour centraliser la gestion de vos sauvegardes sans finir en PLS devant un terminal, Zerobyte mérite clairement que vous y jetiez un œil.
Salut les amis ! Aujourd'hui, je voulais vous partager une petite pépite qu'un lecteur, Stanislas, m'a envoyée. Si vous bossez dans la cyber ou que vous passez votre temps à analyser des trucs bizarres qui trainent sur vos serveurs, vous allez adorer Cyberbro.
Cyberbro c'est une plateforme d'analyse d'IoC (Indicators of Compromise) en open source. Grâce à ça, au lieu de vous paluchez 15 sites différents pour vérifier une IP ou un hash, vous balancez tout dans Cyberbro. L'outil va alors extraire automatiquement les infos de vos logs et interroger une vingtaine de services comme VirusTotal, MISP, Shodan, AbuseIPDB ou même Microsoft Defender pour vous dire si c'est dangereux.
Sous le capot, ça gère l'extraction avancée de TLD pour ne pas se planter sur les domaines, et ça fait du "pivoting" automatique. En gros, ça va chercher tout seul les domaines, URLs ou IPs liés via reverse DNS et RDAP. Toutes les données sont ensuite stockées proprement dans une base SQLite locale qui sert aussi de cache, ce qui permet de ne pas flinguer vos quotas d'API si vous analysez deux fois la même chose.
C'est hyper fluide, ça tourne sous Python et l'interface est vraiment propre. Stanislas a même poussé le vice jusqu'à proposer une intégration MCP (Model Context Protocol) pour l'utiliser avec Claude ou Ollama. Ça permet de générer des rapports d'analyse complets via LLM en deux secondes. Et y'a même des extension navigateur pour Chrome et Firefox ainsi qu'une API. C'est ouf !
Franchement, pour un projet perso, ça rigole pas du tout ! D'ailleurs, c'est déjà utilisé par pas mal de SOC en France, donc c'est du sérieux.
Pour tester ça, c'est hyper fastoche. Un petit coup de Docker Compose et hop, c'est prêt à l'emploi. Il vous suffit de cloner le dépôt, d'éditer le fichier de secrets et de lancer le bousin.
Un grand merci à Stanislas pour ce superbe partage et pour tout le boulot abattu depuis un an. C'est ce genre de projet qui rend la communauté cyber plus forte 💪.
