Je sais que le mot "IA" sur LinuxFr, c'est un peu comme prononcer "systemd" en 2015 ; ça ne laisse personne indifférent. Et je comprends. La merdification est réelle, la bulle est réelle, les externalités sont réelles. Je n'ai aucune envie d'en rajouter une couche. Mais voilà, les lignes sont devenues floues, et j'ai pris le virage du coding assisté. D'abord avec curiosité et prudence, et maintenant les deux pieds dans le plat : ça ne remplace pas ma façon de penser, mais ça m'a ouvert des portes : des concepts que je ne maîtrisais pas, des langages que je n'aurais pas pris le temps de toucher avant ; l'assistant me permet d'explorer, de comprendre, et de construire des outils qui m'aident. Et j'espère qu'ils aident d'autres personnes aussi.

Sauf que voilà. Au début, j'étais prudent. Je vérifiais chaque commande, chaque accès. Et puis petit à petit, j'ai lâché prise. J'ai désactivé les confirmations, laissé l'agent tourner sans supervision, accepté les permissions sans lire. On connaît tous ce moment où on clique "Allow" les yeux fermés parce que c'est la quinzième fois qu'il demande. J'ai fait exactement ce qu'on ne devrait jamais faire en sécurité : faire confiance par défaut.

Et un jour, je me suis dit : je n'ai aucune idée de ce que cet agent envoie sur le réseau. Aucune.

Alors j'ai construit un proxy un peu.. particulier.

Sommaire

• Le constat
• Greywall et greyproxy
• Ce que j'ai observé
• Pourquoi ça compte
• Et après : vers un proxy sémantique
• Pour essayer
• La question

Cher journal,

Ça fait un bail que je n'ai pas vraiment contribué à l'open source. Mes derniers vrais projets publics, c'était Kivy et les projets autour… ça remonte à quelques années maintenant, et j'ai pris ma "retraite" sur ces projets.

Mais je n'ai jamais arrêté de coder. J'ai juste réalisé un truc sur moi-même : le code, c'est un peu comme la musique pour moi. J'aime construire des choses. Je m'exprime mieux avec un éditeur et un terminal qu'avec ma voix ou mes mots. C'est probablement pour ça que je suis là à t'écrire un journal au lieu de faire un talk quelque part.

Le constat

On a passé des années à construire des pare-feux, des IDS, du monitoring pour nos serveurs de prod. Sur des entreprises plus grandes, on traque les connexions suspectes… Et puis un agent IA débarque sur notre machine de dev, on lui dit "tiens, refactore-moi ce module", et il fait ce qu'il veut sur le réseau sans qu'on le sache.

C'est quand même un peu absurde, non ?

Le truc, c'est qu'il n'existe pas vraiment d'équivalent à tcpdump ou iptables pour les agents IA sur nos machines. Pas de couche d'observabilité entre l'agent et Internet. Ou on contrôle, on se fait notre liste d'outils qu'on accepte, ou on fait confiance parce que bon, la sécurité, c'est pas si important… vraiment ?

Greywall et greyproxy

Avec l'équipe de Greyhaven, on a construit deux outils open source :

Greywall est un bac à sable deny-by-default pour les agents IA. Pas de Docker, pas de VM. Ça utilise directement les mécanismes du noyau Linux (namespaces, Landlock, Seccomp, eBPF) pour isoler le processus. Sur Linux, l'isolation réseau passe par un device TUN dans un namespace réseau dédié ; le processus sandboxé ne peut structurellement pas contourner le proxy. Sur macOS, c'est un peu moins élégant en utilisant des variables d'environnement pour forcer un proxy socks5h, si l'outil ne le supporte pas, il ne peut quand même pas sortir. Ça fait le job pour la plupart des outils.

Greyproxy est le plan de contrôle réseau. Un proxy SOCKS5/HTTP avec un dashboard web temps réel. Chaque connexion sortante de l'agent apparaît dans le dashboard. Si aucune règle ne matche, la connexion reste en attente et tu peux l'autoriser ou la refuser en direct, sans relancer la session.

Concrètement, ça donne :

greywall -- claude

Et hop, Claude Code tourne dans son bac à sable. Tu ouvres http://localhost:43080 et tu vois en direct chaque domaine qu'il tente de contacter. Tu autorises api.anthropic.com, tu autorises github.com pour les pushes, tu refuses le reste. Tout est interactif, tout est visible.

Ce que j'ai observé

Au début, c'était juste des connexions supplémentaires. Tiens, c'est quoi ces appels à opencode.ai quand je démarre opencode ? Tiens, pourquoi Claude appelle 2x toutes les 4 minutes un domaine chez Google ? Entre de la télémétrie que l'on ne peut pas désactiver, ou des requêtes qui font "office" de regarder si une nouvelle version est disponible… 2x toutes les 4 minutes. Ce n'est pas le meilleur argument, mais contrairement aux autres sandboxes, au moins ici je le vois en temps réel, et je peux dire oui ou non sur ce que peut accéder la commande.

Le dashboard de greyproxy rend tout ça visible. Tu vois passer les requêtes DNS, les connexions TCP, les domaines contactés. Tu peux construire progressivement une liste d'autorisations adaptée à ton projet. Il y a même un mode apprentissage qui trace les accès filesystem avec strace et génère automatiquement un profil de sécurité.

Ce n'est pas un outil pour les paranos. C'est un outil pour ceux qui pensent que l'observabilité, c'est un droit, pas un luxe.

Pourquoi ça compte

Je sais que l'enthousiasme pour l'IA est réellement différent en fonction des gens. Les questions sur la qualité du code généré, la consommation énergétique, la centralisation chez les GAFAM ; tout ça est légitime.

Mais justement. Si on utilise ces outils (et beaucoup d'entre nous le font, même ceux qui restent prudents), autant le faire avec les yeux ouverts. Greywall, c'est pas un outil pour promouvoir l'usage des agents IA. C'est un outil pour que, si tu en utilises un, tu gardes le contrôle.

Il y a une phrase qu'on a mise sur le site et qui résume bien l'idée :

"The security layer around your tools should be independent of the company selling you the AI."

La couche de sécurité autour de tes outils ne devrait pas dépendre de la boîte qui te vend l'IA. Claude a son propre sandbox intégré, Codex a le sien. Mais tu fais confiance aux entreprises pour te protéger d'elles-mêmes ? C'est un problème d'indépendance, pas de technologie.

Greywall est agnostique. Ça marche avec Claude Code, Codex, Cursor, Aider, Goose, Gemini CLI, Cline, et une dizaine d'autres. Tu changes d'agent, ta couche de sécurité reste la même.

Et après : vers un proxy sémantique

Le greyproxy actuel travaille au niveau des connexions : il voit les domaines, les ports, les IPs. Il ne déchiffre pas le TLS, il ne lit pas le contenu. C'est déjà très utile pour contrôler les accès réseau.

Mais là où ça devient vraiment intéressant, c'est quand on commence à reconstruire les conversations LLM qui passent par le proxy. Pas en cassant le chiffrement ; en instrumentant le flux côté client. L'idée, c'est de construire un proxy sémantique qui comprend ce que l'agent envoie et reçoit, qui peut faire du remplacement de variables d'environnement à la volée (pour ne jamais exposer tes vrais secrets à l'API du LLM), et qui te donne une vision complète de ce que l'IA fait en ton nom.

On en est au début, mais la direction est claire : remettre l'humain au milieu du système. Pas comme un goulot d'étranglement, mais comme un observateur informé qui peut intervenir quand c'est nécessaire. C'est ce qui manque cruellement à des systèmes comme OpenClaw et à la plupart des outils d'orchestration d'agents.

Pour essayer

Installation rapide :

# Homebrew
brew tap greyhavenhq/tap && brew install greywall

# Ou via curl (pas taper)
curl -fsSL https://raw.githubusercontent.com/GreyhavenHQ/greywall/main/install.sh | sh

Ça tourne sur Linux et macOS. Sur Linux, il te faut bubblewrap et socat comme dépendances. Greyproxy s'installe comme service systemd si tu veux qu'il tourne en permanence.

Si tu veux comprendre les détails techniques de l'architecture (les 5 couches de sécurité, pourquoi on a abandonné Docker, comment fonctionne la capture réseau transparente), on a écrit un article technique détaillé ici : https://greyhaven.co/insights/why-we-built-our-own-sandboxing-sytem

La question

J'ai une vraie question pour la communauté. Ceux d'entre vous qui utilisent des agents IA pour coder (même occasionnellement, même à contrecœur) : comment vous gérez la sécurité ? Vous faites confiance par défaut ? Vous avez mis en place quelque chose ? Ou vous préférez ne pas y penser ?

Et pour ceux qui n'utilisent pas d'agents IA : est-ce que le manque de transparence et de contrôle fait partie des raisons ?

Ça m'intéresse vraiment de savoir :)

Depuis la dernière dépêche en 2024, Android se renferme et Sailfish OS s'ouvre lentement mais sûrement tout en restant une vraie alternative au duopole actuel. Voici un récapitulatif des nouveautés.

Sommaire

• SFOS 5.0
  • Libération du code
    • Météo
    • Notes
    • Camera
    • Nextcloud
• Les thèmes qui fâchent
  • Le navigateur Sailfish Browser
  • Qt
• Nouveaux supports (Matériel)
  • Sony Xperia 10 IV + Xperia 10 V
  • Le C2
  • Community ports
  • Le J2
• Nouvelles licences ? Anciennes licences !
  • Souscription volontaire
• Quelques nouvelles applications
  • SailPipe
• Et la communauté dans tout ça ?
  • FOSDEM 2025 et 2026
  • Hackathon à Prague
  • Journée francophone des utilisateurs de Sailfish OS à Lyon le 21 mars 2026.
• Conclusion

SFOS 5.0

Lors de la dernière dépêche, en juin 2024, la version 4.6.0.13 venait juste d'être publiée.

Les premières versions 5 de Sailfish OS ont initialement été destinées au Jolla C2 dont nous parlerons un peu plus bas dans cette dépêche. Son principal fait d'arme est le support du C2 ainsi que certaines modifications visuelles liées à l'encoche sur l'écran du C2 pour la caméra frontale.

Ce n'est qu'avec la version 5.0.0.55, publiée le 30 janvier 2025, que tous les appareils sont passés à la même version 5. Elle apporte plusieurs grosses nouveautés comme :

• La mise à jour du moteur de rendu Gecko vers la version ESR91
• Une meilleure intégration de microG
• Le blocage des appels indésirables
• Le support de Wiregard
• Le support du mode paysage pour l'affichage de l'accueil, des événements et de l'écran de verrouillage.

Ensuite, la version 5.0.0.71. apporte une amélioration du support Android, nommé Android App Support (ci-après AAS) mais elle a fait apparaître de nouveaux bugs nécessitant pour certains de ne pas lancer automatiquement l'AAS pour obtenir un fonctionnement normal. Une nouvelle version corrective, la 5.0.0.72, a été publiée le 11 novembre 2025 et corrige en effet le bug de la .71. Cette dernière corrige également un bug de la .71 sur certains XA2.

La version 5.0.0.73 pointe le bout de son nez et elle est pour le moment réservée aux « Early Access ». Cette dernière mise à jour (lors de la rédaction de cette dépêche), apporte plusieurs correctifs liés au support d'Android et apporte Android 13 (API niveau 33) pour une compatibilité accrues avec les applications Android.

Prochainement, le support Bluetooth avec Android sera intégralement disponible avec le déploiement d'une application à installer depuis le Jolla Store.
Concernant la partie GPS, l'arrêt de Mozilla Location Service (MLS) a causé la fin du support du A-GPS. Depuis, la migration vers BeaconDB est en cours.

Libération du code

Pendant que certains se « merdifient » à grande vitesse, d'autres changent petit à petit de cap et exécutent leur promesse de libérer le code.
En effet, comme mentionné dans la dépêche précédente une procédure de sauvegarde a été initiée par Jolla afin de retirer l'actionnariat russe. Cette démarche a donné un nouveau coup de souffle et permis d'initier la libération des sources de divers composants. Ci-dessous, la liste des dernières applications libérées.

Météo

L'application météo, Sailfish Weather, qui faisait partie des logiciels de base fournis par jolla et par conséquent parfaitement intégrée dans Sailfish OS s'est brutalement arrêtée de fonctionner en août 2023 suite au non-renouvellement du contrat avec Foreca. Depuis, une solution de contournement a été trouvée avec l'application Meecast.

Jolla a libéré le code de Sailfish Weather sous licence BSD-3. Cette libération a permis d'apporter une demande de fusion et est en cours de polissage.

Notes

Cette application de simple prise de note a également été libérée une semaine après Sailfish Weather. Le code source de cette application est disponible chez Github sous licence BSD-3. Ainsi, une demande de fusion a été soumise pour synchroniser les notes avec Nextcloud.

Camera

La libération du code de Camera a été faite le 06 octobre 2025 toujours sous licence BSD-3. Le code source est disponible chez Github.

A noter que le travail sur le support de camera2 API est toujours en cours de développement. Cela améliorera considérablement la qualité des photographies et ajoutera ainsi un meilleur support des caméras sur les appareils Android récents. Le non-support de cette API occasionne un support des objectifs du X10 III, X10 IV et X10 V loin d'être complet.

Nextcloud

Les projets relatifs à Nextcloud (gestion du compte, synchronisation des photos, etc.) ont été libérés. Permettant dans un futur proche une meilleure intégration native.

Les thèmes qui fâchent

Le navigateur Sailfish Browser

Lors de la dernière dépêche de 2024, nous indiquions que Sailfish Browser était encore basé sur la version ESR 78 de Firefox. David Llewellyn-Jones (alias flypig) avait pris les choses en mains pour migrer à la version ESR91 et c'est désormais choses faite ! Pour rappel flypig est un ancien salarié de Jolla, restant néanmoins un contributeur régulier de Sailfish.
Le travail de cette montée de version a été un très gros projet documenté dans son blog.

Actuellement, Jolla travaille désormais sur la version ESR 102. Cela a été confirmé lors du Fosdem 2025. Malheureusement, nous sommes cependant bien d'accord que le navigateur natif aura toujours du retard. Comme alternative, il est possible d'utiliser Angelfish ou la version Android de Firefox si l'on dispose du AppSupport. En parallèle, une meilleure intégration du protocole XDG shell, en cours de développement, permettrait d'utiliser la version bureau de Firefox.

Qt

Malheureusement aucune nouveauté à annoncer. Sailfish reste coincé avec la version 5.6 de Qt. Des réflexions sont posées pour fournir une version plus moderne de Silica, le module QML apportant les divers composants propre à l'interface graphique de Sailfish OS. L'idée serait de créer une version open-source avec Qt 6 et une autre propriétaire en 5.6 destinée aux entreprises. Rappelons-le que le frein au passage à Qt 6 est lié au changement de licence chez Qt. Cette modification impose l'achat d'une licence si le code source reste propriétaire.
En attendant des changements, cela n'a pas empêché la communauté d'intégrer le support de Qt 6 à Sailfish !

Nouveaux supports (Matériel)

Dans un premier temps, Sailfish OS a été disponible pour les X10 IV et X10 V sans l'AppSupport (AAS). Puis lors de la sortie de la version 5.0.0.55, AAS a été mis à disposition de ces deux appareils en version 13. Les Sony X10 II et X10 III ont suivi avec la version 5.0.0.73.

Sony Xperia 10 IV + Xperia 10 V

Annoncé le 18 avril 2024, le support de Sailfish n'est toujours pas complet sur les X10 IV et X10 V. Malheureusement, Jolla rencontre des difficultés avec Sony en raison des blobs d'AOSP/SOSP fournis par elle. Pour en savoir plus vous pourrez lire cette page : https://forum.sailfishos.org/t/new-binaries-blobs-for-xperia-v-and-iv-what-is-happening-actually/22584/182

Le C2

Les caractéristiques peuvent être trouvées ici (dans la section Specifications).

Le C2, nouvel appareil à destination de la communauté des utilisateurs de la même manière qu'a été le C1.
Pour rappel le C1 était le quasi clone de l'Intex Aquafish commercialisé en Inde en 2016. Le C1 était le fruit d'une collaboration entre Jolla et le fabricant indien Intex. Cette fois-ci, le C2 est une collaboration avec l'entreprise turque Reeder et basé sur leur modèle le Reeder S19 Max Pro S. La livraison du C2 auprès des acheteurs a été effectuée à partir d'octobre 2024.

Cette livraison n'a pas été sans soucis pour certains utilisateurs : chez certains, l'ordiphone est arrivé avec une batterie quasi vide faisant planter le smartphone le rendant impossible son initialisation. Jolla a alors repris les appareils concernés pour corriger le problème puis les a renvoyé.

Cet appareil, plutôt moyen de gamme, n'a pas de capteur digital pour permettre son déverrouillage, ni de NFC. Sa taille d'écran de 6' en fait un smartphone de grande taille. Ces caractéristiques ont pu rebuter certains utilisateurs mais pas suffisamment pour démarrer un second lot. Néanmoins, suite au renchérissement du prix de la RAM et des retards de livraisons auprès du fournisseur, Jolla a décidé de ne pas ouvrir un lot supplémentaire.

Nous devons préciser que de nouveaux utilisateurs sont apparus ! Nous pensons que cela fait suite à la volonté des consommateurs de vouloir acheter « européen » ou trouver des solutions plus souveraines.

En dépit de ses caractéristiques (taille de l'écran trop grande pour certains, absence de capteur digital de déverrouillage), ce C2 semble a été un succès puisqu'un second lot a été ouvert. Néanmoins, avec la montée des prix des composants il n'est pas envisagé d'ouvrir un troisième lot.

Community ports

Une des particularités de Sailfish est la possibilité de porter l'OS sur d'autres appareils. Des développeurs s'aventurent dans ce projet. Récemment plusieurs téléphones ont été rendus compatibles, comme :

• le Xiaomi Pad 6 par Mister_Magister
• les Xperia 1 IV et Xperia 5 IV par rinigus et vlagged
• les Fairphone 4 et 5 sont supportés par mal, un employé de Jolla. Le support de la version 6 sera bientôt publiée
• le Volla Quintus et le Volla Tablet par piggz

Des discussions ont lieu pour fournir AAS sur les appareils non-officiels, car elle est pour l'instant mieux aboutie et mieux intégrée à Sailfish OS que Waydroid.

Le J2

Le projet a démarré avec un premier sondage auprès des utilisateurs actifs, leur demandant les spécifications du nouvel appareil. Une démarche qualifiée de « Do It Together » où Jolla s'est montré à l'écoute des utilisateurs, tout en restant pragmatique dans le choix des composants.

La commercialisation a été estimée viable avec la pré-vente de 2'000 d'ici début janvier 2026 avec un tarif préférentiel de 499 €. En moins de 48 heures, les bons d'achat ont été dévalisés forçant Jolla a augmenter le lot en deux fois pour atteindre 10'000 appareils en pré-vente.
Afin de stimuler les ventes, il a été promis d'intégrer et de libérer le code lié au concept de « The Other Half » disponible avec le premier Jolla.
Pour rappel, « The Other Half » est une interface I3C et NFC au dos du téléphone permettant d'étendre ses fonctionnalités physiques.

Et fin février, ce sont 10'000 pré-ventes qui ont été effectués. Ce qui n'empêche pas de démarrer un 4ème lot avec 1'000 appareils ! En raison de la volatilité actuelle du marché des composants électroniques, Jolla a décidé de vendre un modèle 8 Go avec une option supplémentaire à 50 € pour obtenir 12 Go de RAM.

Les principales caractéristiques sont pour les appareils achetés depuis le 1er mars 2026 :

• 5G avec double nano-SIM
• 8 Go de RAM et 256 Go de stockage extensible jusqu'à 2 To. Option de mise à niveau à 12 Go de RAM disponible (c'était 12 Go pour les acheteurs des premières séries avant le 1er mars)
• Écran : 6.36” ~390ppi FullHD AMOLED, aspect ratio 20:9, Gorilla Glass
• Sailfish OS 5
• Prise en charge des applications Android avec Jolla AppSupport
• Coque arrière remplaçable par l'utilisateur avec plusieurs couleurs au choix
• Batterie remplaçable par l'utilisateur (à priori 5500 mAh)
• Commutateur physique de confidentialité

A noter que le J2 sera assemblé en Finlande à Salo, la ville où se trouvait une des usines Nokia.

Nouvelles licences ? Anciennes licences !

Il a été question fin 2024 ou début 2025 de rendre les licences payantes mensuellement (abonnement). Mais face aux difficultés à porter Sailfish OS sur les X10 IV et X10 V, Jolla a renoncé à cette initiative.

Souscription volontaire

Les utilisateurs peuvent désormais faire des dons en participant à une souscription volontaire.
Pour plus d'informations, vous pourrez aller sur cette page du forum. Jolla est assez discret et nous souhaiterions bien un peu de transparence sur le résultat de cette souscription.

Quelques nouvelles applications

SailPipe

Il s'agit d'une interface libre et légère basé sur NewPipe pour le streaming. Tout comme NewPipe, SailPipe permet de récupérer les flux sur Youtube, Bandcamp, Soundclound et media.ccc.de.

C'est un nouveau projet en Java + C++ + QML mené par flypig. Un journal est tenu par son auteur de la même manière que son journal sur la montée de version d'ESR68 à ESR91 pour le navigateur.

Une version beta a été publiée par flypig sur openrepos le 19 novembre.

Et la communauté dans tout ça ?

FOSDEM 2025 et 2026

La communauté se réunit de manière très régulière (une fois par mois) à l'initiative de Jolla. Le dernier « Community meeting » s'est tenu le 20 novembre et le prochain se tiendra le 4 décembre. Un calendrier des réunion à venir est disponible au format .ics.

À noter la présence de Jolla sur le stand Linux Mobile lors du Fosdem 2025 et lors de l'édition de 2026.

Vous pourrez notamment retrouver ici les deux conférences données par David Llewelyn Jones.

Le rédacteur de ces lignes, bien que simple utilisateur depuis 2014 et non développeur, a pu constater sur place un réel intérêt pour Sailfish OS, beaucoup de personnes ayant examiné de près ce système. Nous pouvons espérer à nouveau la présence de Jolla lors du Fosdem 2026. Et encore de nouveaux utilisateurs !

Les rédacteurs de la dépêche n'étaient pas présents au FOSDEM 2026 et il nous sera difficille de vous en parler. Visiblement Sailfish OS a eu un certain succès de la part des visiteurs.

Hackathon à Prague

En septembre 2024 s'est tenu un hackaton à Prague. Rubdos, le développeur de l'application native de Signal, nous en a fait un résumé dans son blog (en anglais).

Journée francophone des utilisateurs de Sailfish OS à Lyon le 21 mars 2026.

Si vous avez envie d’échanger avec des utilisateurs de Sailish OS vous serez les bienvenus dans les locaux de LALIS de 10h à 18h. Le programme est en cours d'élaboration mais nous pourrions avoir un ou deux développeurs d'applications présents. Plus d'information dans ce fil. Nous tenons aussi à remercier l'ALDIL pour son aide précieuse dans l'organisation de cette journée !

Conclusion

Enfin, comme précisé dans nos précédentes dépêches et dans le préambule de cette dépêche, Sailfish OS n'est pas entièrement libre mais reste; en dépit de ses défauts et de ses manques, une des trop rares alternatives sur la marché face au duopole Android/iOS. Il nous semble donc important de vous tenir au courant des évolutions de Sailfish OS. Bien entendu, nous encourageons Jolla a poursuivre la libération du code des « briques » de Sailfish OS.