La tête en bas et les pieds en haut, comme une chauve-souris, l'astronaute Sophie Adenot est apparue jeudi en pleine forme et "comme un poisson dans l'eau", pour sa première prise de parole après 14 jours en orbite.
Depuis mi-février, au sein de la station spatiale internationale (ISS), elle est la première Française dans l'espace depuis Claudie Haigneré, il y a 25 ans.
Le contact a été établi jeudi depuis le siège parisien de l'Agence spatiale européenne (ESA), presque comme une simple réunion à distance entre collaborateurs, via l'application Teams et le centre spatial de Houston, au Texas.
Cette semaine, notre étoile s'est montré sous une apparence que l'on n'avait pas vue depuis longtemps : sa surface était totalement immaculée, dépourvue de ses habituelles taches sombres. Que se passe-t-il ?
Des faux entretiens d'embauche avec des repos GitHub vérolés pour piéger les devs Next.js... on croit rêver et pourtant,
Microsoft vient de documenter cette campagne ciblée
et vous allez voir, c'est violent.
En fait, un groupe de hackers se fait actuellement passer pour des recruteurs et contacte des développeurs JavaScript en leur proposant un entretien technique. Le deal c'est de cloner un repo GitHub pour un "test de compétences"... sauf que le repo en question est truffé de malware.
Microsoft a ainsi identifié plusieurs vecteurs d'infection planqués dans ces repos. Le premier, c'est via les fichiers de configuration VS Code, c'est à dire ceux dans le dossier .vscode/, qui peuvent exécuter du code dès que vous cliquez "Trust" à l'ouverture du projet (ce que la plupart des devs font sans réfléchir).
Le deuxième passe par un npm run dev piégé, la commande de dev classique qui lance le malware en même temps que le serveur (car oui, c'est aussi simple que ça...).
Et le troisième est encore plus sournois puisqu'il s'agit d'un module backend qui décode une URL depuis le fichier .env, exfiltre toutes les variables d'environnement (tokens cloud, clés API...), puis exécute du JavaScript reçu en retour. Sympaaaaaa....
Du coup, le malware est plutôt bien pensé. C'est un loader JavaScript qui se télécharge depuis l'infrastructure Vercel (comme ça, ça a l'air légitime), et qui s'exécute entièrement en mémoire, et spawne un processus Node.js séparé pour ne pas éveiller les soupçons. Une fois installé, il se connecte alors à un serveur C2 qui change d'identifiant régulièrement, histoire de compliquer la détection. Et là, ça se met à exfiltrer tout ce qui traîne... code source, secrets, credentials cloud... bref, tout ce qui a de la valeur.
Alors, comment on se protège de ce genre de menace quand on est un simple dev ? Hé bien déjà, vérifiez le profil du "recruteur". Pas de site d'entreprise vérifiable, des messages génériques... c'est un joli red flag !
Ensuite, avant de lancer quoi que ce soit, lisez le package.json à la recherche de scripts suspects dans preinstall, postinstall ou prepare, inspectez le dossier .vscode/ (surtout tasks.json), et faites un npm install --ignore-scripts pour bloquer l'exécution automatique des hooks. Lancez aussi un
safe-npm
et un npm audit une fois les dépendances installées. Et côté VS Code, désactivez l'exécution auto des tasks avec "task.allowAutomaticTasks": "off" dans vos settings.
Ça me rappelle les campagnes type
Shai-Hulud et les packages npm vérolés
, mais avec un vecteur social bien plus élaboré. Le piège, c'est qu'on ne balance plus des packages malveillants dans le registry en espérant qu'un dev les installe par erreur... non, non, on cible directement les développeurs, un par un, en exploitant ce stress de la recherche d'emploi comme le ferait un conseiller France Travail quand vous arrivez en fin de droits chomdu...
Et si vous êtes en pleine recherche d'emploi, attention, ne lancez JAMAIS un projet d'un inconnu dans votre environnement principal. Utilisez une VM, un container Docker (docker run --rm -it -v $(pwd):/app node:20 bash et c'est réglé), ou au minimum un compte utilisateur séparé sans accès à vos tokens et clés SSH. On n'est jamais trop prudent !
Maintenant vous savez... si un recruteur vous envoie un repo GitHub sans profil LinkedIn ni site d'entreprise véritable et vérifiable... c'est que c'est pas un recruteur. Voilà voilà...
Après plusieurs semaines d’attente sur le pas de tir, la gigantesque fusée de la NASA, le Space Launch System (SLS), est finalement retournée dans son bâtiment d’assemblage. C’est un contretemps dont le programme américain serait clairement bien passé.
Claude Code tourne en local et c'est son gros avantage car ça permet par exemple d'agir sur votre machine, de lancer des scripts...etc. Mais c'est aussi sa grosse limite car à cause de ça, vous êtes cloué devant votre terminal. J'étais en quête depuis un moment d'une solution et je vous avais déjà parlé de
Vibe Companion
y'a pas longtemps mais tous ces outils vont disparaitre puisque Anthropic vient de sortir Remote Control, une feature qui transforme claude.ai ou l'app mobile en télécommande pour votre session locale. Comme ça, vos fichiers restent chez vous et seule l'interface voyage.
Votre ordi fait tourner Claude Code normalement, et vous, vous pouvez continuer à lui parler depuis votre iPhone, votre Android, votre iPad ou n'importe quel navigateur Chrome, Firefox, Safari... Pas de serveur exposé, pas de port ouvert, que du HTTPS sortant. C'est plutôt bien foutu vous allez voir !
Ce qu'il vous faut
Bon déjà, un abonnement Pro (Édit : ? on me dit que c'est pas encore actif pour les pro ?) ou Max (pas le choix, les clés API ne marchent pas et les plans Team/Enterprise sont exclus pour le moment). Ensuite, vérifiez que Claude Code est installé et que vous êtes connecté via /login. Acceptez ensuite le "workspace trust" dans votre projet et hop, c'est tout côté prérequis.
Lancer une session
Deux options s'offrent à vous ensuite... Soit vous démarrez une nouvelle session dédiée :
claude remote-control
Soit vous êtes déjà en train de bosser dans Claude Code et vous tapez /rc (alias de /remote-control). Avec claude remote-control, seule l'URL apparaît... donc appuyez sur espace pour afficher le joli QR code.
3 flags utiles (uniquement avec claude remote-control, pas /rc) : --verbose pour voir ce qui transite, --sandbox pour forcer le mode bac à sable (désactivé par défaut) et --no-sandbox pour le couper si vous l'avez activé dans votre config.
Se connecter depuis un autre appareil
Ensuite, la méthode la plus rapide c'est de scanner le QR code avec votre téléphone. Sinon, copiez l'URL affichée et collez-la dans n'importe quel navigateur. Dernière option, allez sur
claude.ai/code
et votre session apparaît dans la liste (les sessions actives ont un petit point vert).
Une fois connecté, vous récupérez votre conversation en cours, vos fichiers, votre contexte... tout. Vous pouvez envoyer des messages, voir les résultats, approuver les modifications de fichiers. Bref, comme si vous étiez devant votre terminal, sauf que vous êtes dans votre canapé, votre lit ou en train de pousser le caddie chez Auchan !
Activer par défaut
Maintenant, si vous voulez que CHAQUE session Claude Code soit automatiquement accessible à distance, tapez /config dans une session Claude Code, puis activez l'option "Enable Remote Control for all sessions". Et voilà, plus besoin d'y réfléchir ! Chaque claude lancé dans un terminal sera pilotable depuis votre navigateur ou l'app mobile.
Vos sessions prennent le nom de votre dernier message (ou "Remote Control session" par défaut), donc utilisez /rename mon-projet-cool pour les retrouver facilement dans la liste sur claude.ai/code.
Sinon, dans Claude Code avec /mobile vous pouvez aussi afficher directement le QR code pour télécharger l'app Claude sur iOS ou Android.
Les limites à connaître
Bon, après c'est pas non plus parfait car déjà, c'est cappé à UNE SEULE session à distance par instance de Claude Code (si vous en lancez une deuxième, la première se déconnecte). Par contre, plusieurs instances dans des terminaux différents peuvent chacune avoir leur session remote. Le terminal doit également rester ouvert (si vous le fermez, c'est fini). Mais bonne nouvelle quand même, si le laptop passe en veille ou que le réseau saute, ça se reconnectera tout seul au réveil. Le piège, c'est si la machine reste sans réseau plus de 10 minutes... là, la session expire et il faudra relancer claude remote-control.
Soyez rassurés quand même côté sécurité c'est propre (uniquement du HTTPS sortant sur le port 443, zéro port entrant et des identifiants éphémères), mais gardez en tête que
Claude Code a accès à votre terminal
donc sauf si vous activez --sandbox, il peut de ce fait exécuter n'importe quelle commande... donc les mêmes précautions qu'en local s'appliquent !
Du coup si vous en avez marre de rester scotché devant votre terminal, maintenant vous savez quoi faire.
Cette mosaïque monumentale nous plonge 26 000 ans dans le passé, révélant le cœur de la Voie lactée tel qu'il bouillonnait lors de la dernière ère glaciaire sur Terre : proprement vertigineux !
Les clés API Google que vous collez dans votre JavaScript pour afficher une carte Maps... hé bien elles ne sont plus si inoffensives. Car depuis que Gemini est entré dans la danse, ces mêmes clés donnent maintenant accès à vos fichiers privés et surtout à votre facture IA.
Et personne ne nous a prévenu...
En gros, Google utilise un format de clé unique, les fameuses AIza..., aussi bien pour Maps et Firebase (public, collé dans le HTML, tout le monde s'en fout) que pour
Gemini
(privé, accès aux fichiers, facturation). Le problème c'est que quand vous activez l'API Gemini sur un projet Google Cloud, TOUTES les clés existantes de ce projet héritent automatiquement de l'accès Gemini. Sans warning, sans notification, sans rien... Ouin !
Les chercheurs de
TruffleSecurity
ont ainsi trouvé presque 3000 clés API Google valides dans le dataset Common Crawl de novembre 2025. Des clés qui trainent dans du code JavaScript, des pages HTML, des repos GitHub publics... et qui fonctionnent sur l'endpoint Gemini. Il suffit d'un simple curl avec une clé Maps récupérée sur un site web, et hop, vous accédez à l'API Gemini du propriétaire. Fichiers privés, contenu en cache, facturation sur son compte.
Et parmi les victimes, on trouve des institutions financières, des boîtes de cybersécurité, et... Google eux-mêmes (oui oui, vraiment).
Le 21 novembre 2025, TruffleSecurity signale donc le problème et la réponse de Google le 25 novembre c'est : "intended behavior" (comportement normal)... Sauf que le 2 décembre, Google a reclassifié ça en bug, puis le 13 janvier 2026, ça passe finalement en Tier 1. On est donc passé du "c'est normal les frérots" à "ah oui quand même, oupsi oups", en 7 semaines.
Maintenant, pour ceux qui se demandent si leurs clés API Google sont concernées, direction
console.cloud.google.com
, section "APIs & Services" puis "Identifiants".
Si vous voyez l'API "
Generative Language
" de Gemini API activée sur un projet avec des clés non restreintes... attention, c'est le moment de faire le ménage. Ajoutez des restrictions IP ou HTTP referrer, et surtout, utilisez des comptes de service plutôt que des clés API pour tout ce qui touche à Gemini (sauf si vous aimez les surprises sur votre facture ^^).
Le truc tordu, c'est que la doc Firebase dit noir sur blanc que les clés API ne sont pas des secrets. Google Maps vous dit carrément de les coller dans votre HTML. Et maintenant, ces mêmes clés donnent accès à une IA qui peut lire vos fichiers. Du
CWE-1188
pur et dur ! Et c'est pas la première fois que Google se fait taper sur les doigts pour ce genre de
souci avec Gemini
.
Du coup, Google a annoncé des nouvelles mesures, du scoped defaults, du blocage de clés fuités, des notifications proactives...etc. Reste donc à voir si ça arrivera avant que les presque 3000 clés exposées soient exploitées par des gens moins bien intentionnés.
Bref, dix ans à dire que c'est public, et hop, aujourd'hui c'est devenu top secret. Bien joué Google !!
La Nasa achemine mercredi sa fusée lunaire SLS vers son hangar afin d'y réaliser des réparations, une opération qui va repousser le décollage de la très attendue mission Artémis 2 qui enverra des astronautes autour de la Lune pour la première fois en plus de 50 ans.
Ce retour au bâtiment d'assemblage a été décidé par l'agence spatiale américaine après que ses équipes ont détecté la semaine passée un problème sur la fusée.
"Quelle que soit la défaillance potentielle" à l'origine de ce dysfonctionnement dans un flux d'hélium, "l'accès et la résolution de ces problèmes ne peut se faire que dans le bâtiment d'assemblage", avait indiqué samedi le patron de la Nasa Jared Isaacman.
Cette vidéo est d'utilité publique !
« Quand vous croyez à l'idée que des étoiles à des millions de kilomètres écrivent votre vie, vous pourriez croire n'importe quelle vérité parallèle.»
« Les pseudo-sciences sont des cultes dans lesquels la répétition constante d'idées simplistes, la diabolisation des opposants et la redéfinition permanente de la réalité aveugle les adeptes. (Léo Duff) »
« Croire sans preuve, c'est renoncer à comprendre. » (Permalink)
Des scientifiques ont pu observer pour la première fois en détail la zone centrale de la Voie lactée, où la formation des étoiles pourrait fournir des clés de compréhension des origines de l'univers.
C'est une image gigantesque, sur laquelle s'étend une région vaste de 650 années-lumière (soit environ 6 billiards de kilomètres, 6 millions de milliards de kilomètres).
On y décèle "un réseau complexe de filaments de gaz cosmique avec un niveau de détail sans précédent", se réjouit dans un communiqué l'Observatoire européen austral (ESO).
Si vous avez besoin de partager votre position en temps réel sans donner votre âme à Google, voici une solution simple et qui marche bien :
- installez cette application sous Android.
- dans les paramètres entrez l'adresse du serveur : https://hauk.live/
- activez le partage.
- partagez l'URL obtenue.
Cette URL est valide pendant un temps limité et vous pouvez couper le partage de position à tout moment. La personne qui reçoit l'URL n'a pas besoin d'une application spécifique : Elle l'ouvre dans un navigateur, et votre position s'affiche en temps réel sur un fond de carte OpenStreetMap.
Le lien peut expirer au bout d'un certain temps (à votre convenance, mais c'est 6 heures max sur le serveur hauk.live).
God Mode de Windows 11 est une astuce puissante pour ceux qui veulent centraliser les paramètres et accéder rapidement aux fonctions avancées de Windows 11.
Vous cherchez à réduire votre consommation d’électricité ? Découvrez les meilleures astuces pour faire bouillir de l’eau plus rapidement et à moindre coût. Bouilloire, micro-ondes ou plaque de cuisson : quelle méthode est la plus économique ?
Moins connu que Galilée, le savant anglais Thomas Harriot (1560-1621) a pourtant contribué fortement au développement de l'astronomie et des mathématiques. Sa fascination pour la mer l'a même conduit à explorer les côtes américaines et à améliorer les techniques de navigation et de cartographie.
Le dossier .github est un petit répertoire magique que vous avez sûrement déjà croisé à la racine de vos dépôts préférés. Il est là, non pas pour faire joli ou pour planquer vos secrets de fabrication (pour ça, y'a les secrets GitHub, hein), mais plutôt pour centraliser plusieurs fichiers de configuration reconnus nativement par la plateforme.
C'est un peu le centre de commande de votre repo. Et le truc qui est fort, c'est que si vous avez une organisation avec 50 projets, vous pouvez même créer un dépôt public spécial nommé .github qui servira à fournir des fichiers de santé communautaire et des templates par défaut pour tous les dépôts de votre organisation qui n'ont pas déjà leurs propres fichiers équivalents.
Et comme ça, dès qu'un dépôt a quoi que ce soit dans son propre .github/ISSUE_TEMPLATE/, il ne prendra plus les templates par défaut de l'orga.
Pratique pour les grosses flemmasses comme vous quoi !
Les templates d'Issues et de PR pour structurer les échanges
On a tous reçu une issue qui dit juste "ça marche pas". C'est relou, ça fait perdre du temps et on a envie de répondre par un gif de chat qui boude.
Alors pour éviter ça, créez un dossier .github/ISSUE_TEMPLATE/. Vous pouvez y coller des fichiers Markdown ou YAML pour encourager les gens à donner les infos de base (version de l'OS, étapes pour reproduire, etc.). Et faites pareil pour les Pull Requests avec un fichier PULL_REQUEST_TEMPLATE.md (à la racine, dans docs/, ou dans .github/, selon votre tambouille).
En gros, ça vous permet de guider vos contributeurs pour qu'ils ne fassent pas n'importe quoi.
GitHub Actions pour détecter les régressions
C'est LE grand classique !
Dans .github/workflows/, vous balancez vos fichiers YAML pour automatiser vos tests, votre linting ou vos déploiements. Bien sûr, pour vraiment ne pas "casser la prod", il faudra coupler ça à des règles de protection de branche (status checks requis) pour bloquer les merges si les tests échouent.
D'ailleurs, si vous voulez tester vos actions sans attendre la file d'attente des runners GitHub, je vous avais parlé de
Wrkflw pour tester ça en local
. C'est un outil tiers bien pratique pour valider vos workflows sur votre machine.
Les fichiers de "Santé Communautaire"
Si vous voulez que votre projet open source ressemble à autre chose qu'un champ de bataille au petit matin, il faut poser des règles.
GitHub reconnaît automatiquement des fichiers comme CODE_OF_CONDUCT.md, CONTRIBUTING.md ou même FUNDING.yml pour gratter quelques pièces pour votre café ;). Ce sont des fichiers qui aident à dire aux gens comment se comporter et comment vous aider efficacement sans avoir à surveiller votre voisin.
Guider Copilot avec des instructions sur mesure
C'est la petite nouveauté qui vous permet d'ajouter un fichier .github/copilot-instructions.md avec à l'intérieur, une liste de vos standards de code, vos libs préférées ou vos conventions de nommage.
Comme ça, hop, Copilot tiendra compte de ces instructions pour ses suggestions (même s'il garde parfois son petit caractère, hihi). Et vous pouvez même aller plus loin avec des fichiers NAME.instructions.md dans .github/instructions/ qui ciblent des dossiers specifiques via des patterns glob... à condition de mettre un frontmatter applyTo: au début, sinon Copilot les ignorera gentiment...
C'est parfait pour garder un code propre.
CODEOWNERS et Dependabot
Enfin, pour les projets qui commencent à prendre de l'ampleur, le fichier CODEOWNERS (placé dans .github/, ou à la racine, ou dans docs/... GitHub prend celui de .github/ en premier s'il y en a plusieurs) permet de définir qui est responsable de quelle partie du code. Dès qu'une PR touche à un fichier sensible, GitHub demande automatiquement la review aux bonnes personnes.
Et n'oubliez pas .github/dependabot.yml pour que l'outil vous ouvre des pull requests dès qu'une dépendance est à la bourre.
On automatise le bien relou pour ne garder que du criss de fun !
Voilà les amis, si vous aimez bidouiller vos dépôts pour qu'ils tournent tout seuls ou presque et garder un semblant d'organisation, ce dossier .github sera votre meilleur poto !
Connexion
Windows 11 embarque de nombreux outils pour simplifier le quotidien, mais certains des plus utiles sont peu visibles ou mal configurés par défaut.
God Mode de Windows 11 est une astuce puissante pour ceux qui veulent centraliser les paramètres et accéder rapidement aux fonctions avancées de Windows 11.
