Faire s'afficher un site en HTTPS sur une machine qui tournait déjà sous Mac OS 9, le système d'exploitation d'Apple antérieur à Mac OS X, relevait jusqu'ici de l'impossible, et c'est pourtant ce qu'a réussi un développeur connu sous le pseudonyme mplsllc avec un projet baptisé MacSurf.

MacSurf est un portage de NetSurf, un navigateur web léger et open-source déjà connu sur d'autres plateformes anciennes, adapté cette fois aux vieux Mac équipés d'un processeur PowerPC, l'architecture qu'Apple a employée pendant des années avant de basculer vers les puces Intel au milieu des années 2000.

Ces premiers PowerPC occupent une position un peu ingrate dans l'histoire d'Apple, puisqu'ils sont trop anciens pour faire tourner Mac OS X comme leurs successeurs en G3, ce qui les avait jusqu'ici condamnés à un web figé sur les standards du début des années 2000, sans accès raisonnable aux sites d'aujourd'hui.

C'est précisément ce que MacSurf fait sauter, en gérant le CSS3, le JavaScript ES5 et les images PNG avec transparence, soit de quoi afficher convenablement des pages pensées pour des navigateurs récents, le tout démontré sur un iMac G3, ce fameux ordinateur tout-en-un au boîtier de plastique coloré translucide.

La partie la plus spectaculaire concerne la sécurité, puisque la version 1.3 a apporté la toute première implémentation native de TLS 1.3 jamais réalisée sur Mac OS 9, TLS étant le protocole de chiffrement qui se cache derrière le petit cadenas des connexions HTTPS et qui empêche quiconque d'intercepter ce que vous échangez avec un site.

Dans le détail, cette implémentation s'appuie sur la bibliothèque cryptographique BearSSL et sur la poignée de main définie par la norme RFC 8446, avec des algorithmes modernes comme ChaCha20-Poly1305 et AES-128-GCM, alors que la mouture 1.3.1 a ajouté plusieurs courbes elliptiques récentes, dont X25519 et les classiques P-256 et P-384.

Tout cela a été développé avec les outils d'époque de la plateforme, à savoir l'environnement CodeWarrior, l'API Carbon, le moteur graphique QuickDraw et la pile réseau Open Transport, sans la moindre émulation, puisqu'il s'agit d'un vrai logiciel natif compilé directement pour ces machines.

Il ne faut évidemment pas s'attendre à un équivalent de Chrome, et mplsllc prévient lui-même que les sites exigeant les tout derniers standards risquent de coincer sur sa création, qui reste un navigateur fonctionnel plus qu'une bête de course.

Pour ceux qui voudraient essayer, le code source ainsi que des binaires prêts à installer sont disponibles sur GitHub , et le projet dispose même de son propre site.

Faire entrer le web chiffré d'aujourd'hui dans une machine de vingt-cinq ans, alors que l'industrie laisse mourir des systèmes plus récents, c'est une bidouille qui force le respect.

Source : Hackaday

Une société de recherche baptisée Emergence AI a eu une idée à la fois ludique et un peu vertigineuse : bâtir des petites sociétés virtuelles entièrement gérées par des intelligences artificielles, puis les laisser vivre quinze jours pour voir ce qu'elles deviennent.

Le projet, appelé Emergence World, a placé une dizaine d'habitants synthétiques dans chaque ville, tous pilotés par un même modèle, et a confronté les résultats obtenus par cinq IA concurrentes, dont Claude, ChatGPT, Grok et Gemini.

Le terrain de jeu n'avait rien d'improvisé. Chaque ville comptait plus de quarante lieux, parmi lesquels un commissariat et une mairie, sa météo était synchronisée sur celle de New York, et ses habitants disposaient d'un accès à l'actualité réelle et à internet.

Tous obéissaient en théorie aux mêmes interdits : pas de vol, pas de destruction de biens, pas de mensonge. Le cadre étant rigoureusement identique, les écarts observés ne pouvaient venir que d'une seule variable, le modèle aux commandes.

Et ces écarts sont spectaculaires. La société dirigée par Claude, dans sa déclinaison Sonnet 4.6, a tenu pendant toute la durée comme une démocratie relativement apaisée, sans le moindre crime à déplorer.

À l'opposé, la ville gouvernée par Gemini 3 Flash a certes réussi l'exploit de garder ses dix habitants en vie jusqu'au bout, mais en laissant prospérer un désordre permanent : 683 délits enregistrés en deux semaines, avec une courbe qui continuait de grimper au moment précis où l'expérience a été stoppée.

Les deux autres scénarios ont viré au naufrage, chacun à sa manière. Sous la conduite de Grok, la cité a sombré dans la violence avec 183 infractions recensées avant de s'effondrer complètement au quatrième jour.

Sous celle de ChatGPT, le problème fut exactement inverse : les habitants se sont montrés incapables d'assurer les gestes élémentaires de leur survie, si bien que la population entière avait disparu en une semaine.

On peut sourire de ces villes de poche peuplées de personnages artificiels, mais l'enseignement est sérieux. À l'heure où l'on parle de déléguer à ces modèles des arbitrages bien réels, voir des consignes parfaitement identiques accoucher de sociétés aussi dissemblables a de quoi inciter à la plus grande prudence.

Source : Fortune.com

Petite victoire pour le logiciel libre. Avec la prochaine version du noyau Linux, la 7.2, le pilote Nouveau va enfin prendre en charge le GA100 de NVIDIA.

Pour situer, Nouveau, c'est le pilote graphique libre développé par la communauté pour faire fonctionner les cartes NVIDIA sans dépendre du pilote propriétaire maison.

Le GA100, lui, n'est pas une carte de gamer. C'est la puce qui anime l'A100, l'accélérateur que NVIDIA vend par camions entiers aux data centers pour entraîner les IA et faire tourner du calcul scientifique. Une bête taillée uniquement pour le calcul, sans même de sortie vidéo.

Et c'est justement ce qui posait problème. Nouveau gérait déjà les autres cartes de la génération Ampere grâce au GSP, un petit processeur embarqué sur la carte qui sert d'intermédiaire pour la piloter.

Sauf que le GA100, étant une puce entièrement dédiée au calcul, faisait bande à part et réclamait un traitement particulier, en réutilisant au passage des bouts de code prévus pour la génération précédente. NVIDIA a fini par publier les correctifs nécessaires en février, et ils arrivent donc maintenant dans le noyau.

Attention quand même à ne pas crier victoire trop vite. Le pilote côté noyau est prêt, d'accord, mais la partie logicielle qui permet réellement d'exploiter la carte pour faire du calcul n'est pas encore au point côté libre.

Les outils comme Mesa ou les pilotes OpenCL ne savent toujours pas gérer une carte NVIDIA dépourvue de moteur 3D. Il reste du boulot avant d'avoir une chaîne entièrement open source du début à la fin.

Source : Phoronix

En pleine flambée des prix de la mémoire et du stockage, un bricoleur du nom de Chase Fournier a imaginé une façon rigolote de recycler du vieux matériel : récupérer les puces de stockage de deux Xbox One pour les assembler en une seule clé USB de 10 Go, suffisamment compacte pour tenir dans la main.

Son astuce repose sur un composant méconnu. La carte mère d'une Xbox One S embarque une puce eMMC, autrement dit de la mémoire flash soudée qui sert de stockage interne, exactement le même type de composant que l'on trouve dans un smartphone d'entrée de gamme. Sur la console, cette puce dispose d'une capacité de 5 Go.

Attention, votre iPhone vous surveille pendant vos appels FaceTime. Depuis iOS 26, Apple a glissé une fonction baptisée "Sensitive Content Warning" qui scanne en temps réel le flux vidéo et fige automatiquement la communication dès qu'elle détecte de la nudité.

Audio coupé, vidéo coupée, avec un message qui s'affiche : "Audio et vidéo sont en pause car vous montrez peut-être quelque chose de sensible". Sympa.

À la base, la fonctionnalité fait partie d'une suite plus large appelée "Communication Safety", destinée aux comptes enfants. L'idée est légitime : éviter que des mineurs ne tombent sur du contenu inapproprié, ou en envoient.

Sauf que voilà, dans iOS 26, la fonction est aussi accessible sur les comptes adultes. Elle est désactivée par défaut, mais on peut l'activer manuellement. Et plusieurs utilisateurs constatent que les faux positifs ne sont pas rares.

Le principe technique est plutôt rassurant côté vie privée. La détection se fait entièrement sur l'appareil grâce à du machine learning embarqué (les modèles de reconnaissance d'image tournent en local sur votre iPhone, sans envoyer la moindre image à Apple). Du coup, contrairement à ce qu'on pourrait imaginer, Apple n'a aucune idée de ce qui déclenche la détection sur votre téléphone. Le scan ne sort pas de l'appareil.

Le problème, c'est que ce genre de filtre se trompe souvent. Une consultation médicale en visio ? Bloquée. Une conversation entre adultes consentants ? Bloquée aussi. Et chaque interruption nécessite une action manuelle pour reprendre l'appel. Pour les usages légitimes qui ressemblent visuellement à de la "nudité" sans en être, c'est franchement pénible.

Au-delà du bug ou choix de design, la question de fond, c'est le précédent. Apple installe l'idée que votre flux vidéo, même dans un appel chiffré de bout en bout, peut être analysé en permanence par les filtres maison. Aujourd'hui c'est de la nudité. 

Demain, ça pourrait être des armes, des drogues, des contenus politiques selon les pays, ou tout ce que les gouvernements demanderont. La porte est ouverte, et c'est ce qui inquiète une partie des défenseurs de la vie privée. Apple a beau jurer que tout reste en local, l'infrastructure d'analyse est désormais en place sur des centaines de millions d'iPhone.

Vous pouvez désactiver la fonction en allant dans Réglages, puis FaceTime, puis « Avertissement de contenu sensible ». C'est en théorie OFF par défaut, mais autant vérifier. Et si vous l'aviez activée par curiosité, sachez qu'elle peut ruiner un appel important au pire moment.

Source : PC Mag

Voilà qui est rigolo. Un développeur malveillant a essayé de voler les fichiers sensibles des utilisateurs de Claude (l'assistant IA d'Anthropic, concurrent d'OpenAI sur les modèles de langage) en uploadant un package npm piégé.

Sauf que dans son code, il a laissé son propre token d'authentification GitHub privé. Les chercheurs n'ont eu qu'à le récupérer pour remonter jusqu'à lui.

Le package s'appelait mouse5212-super-formatter. Il se présentait comme un utilitaire interne de synchronisation de déploiement, mais en pratique, il scannait le répertoire local de l'utilisateur, encodait tous les fichiers en base64 (un format texte qui permet de transporter des données binaires), puis les uploadait sur un dépôt GitHub contrôlé par l'attaquant via l'API Contents.

La cible : les fichiers laissés par Claude Code (la version en ligne de commande de l'assistant IA d'Anthropic) sur le système, qui peuvent contenir des clés API, des tokens, ou des bouts de code propriétaire.

Le package a fait 676 téléchargements avant d'être supprimé par npm (le registre de packages JavaScript le plus utilisé au monde). C'est limité, mais pas anecdotique. 

Le compte GitHub utilisé pour la campagne a été créé le 26 mai 2026, soit quelques heures seulement avant la première version malveillante. Une opération préparée à la va-vite donc.

La bourde monumentale, c'est donc ce token GitHub privé hardcodé dans le code en fallback, au cas où la variable d'environnement ne soit pas définie.

Du coup, les chercheurs d'OX Security (une boîte spécialisée dans la sécurité des dépendances open-source) ont pu accéder directement au dépôt de l'attaquant, lister tous les fichiers volés, et confirmer l'ampleur de l'opération. C'est le genre d'erreur qu'on pardonne à un débutant sur un projet perso. Pas à quelqu'un qui essaie de monter une campagne d'exfiltration.

Les chercheurs notent aussi que le code a tout l'air d'avoir été pondu par une IA un peu foireuse. Variables mal nommées, structure approximative, gestion d'erreurs incohérente. Bref, du "slop" (terme utilisé pour qualifier les productions IA bâclées) avec toutes les négligences que ça implique. Et ce n'est probablement qu'un avant-goût. Avec la généralisation des assistants IA pour coder, n'importe qui peut désormais bricoler un malware fonctionnel sans rien connaître au développement. Et faire des erreurs de débutant en passant.

En tout cas, ça reste comique. Un attaquant piégé par son propre token. Bonne vanne.

Source : The Hacker News

Avec la sortie de CUDA 13.3, NVIDIA renforce son écosystème GPU sur deux fronts importants. La version Python passe officiellement en 1.0 (donc considérée comme stable et utilisable en production), et CUDA Tile arrive nativement pour les développeurs C++.

Petit rappel pour les non-initiés : CUDA, c'est l'outil que tout le monde utilise pour faire tourner du calcul sur les cartes graphiques NVIDIA, principalement pour l'IA et le calcul scientifique. 

Historiquement, c'est du C/C++ à 99%. NVIDIA pousse depuis quelques années pour rendre tout ça accessible en Python, et ce passage en 1.0 marque une étape importante. À partir de maintenant, l'API ne changera plus brutalement entre les versions mineures.

En pratique, les développeurs peuvent désormais compter dessus pour leurs projets long terme. La version 1.0 ajoute aussi le support des "green contexts" (un système pour réserver une partie de la GPU à des tâches isolées) et du checkpointing CUDA (la possibilité de sauvegarder l'état d'une exécution GPU pour la reprendre plus tard).

L'autre gros morceau, c'est CUDA Tile pour C++. Le modèle de programmation "tile" consiste à découper un calcul en blocs uniformes traités en parallèle, plutôt que de gérer chaque fil d'exécution individuellement (la GPU en fait tourner des milliers en même temps).

Il était déjà disponible en Python via des bibliothèques comme Triton. Il arrive maintenant en C++. L'idée est de monter d'un cran en abstraction : vous décrivez ce que vous voulez faire au niveau du bloc, et le compilateur s'occupe de mapper ça sur les threads. Le support couvre les GPU Hopper (l'architecture haut de gamme de NVIDIA pour les datacenters IA) et toutes les architectures plus récentes.

En bonus, NVIDIA introduit CompileIQ, un framework d'auto-tuning du compilateur qui promet jusqu'à 15% de gain sur des opérations critiques comme la multiplication de matrices ou les mécanismes d'attention utilisés dans les modèles d'IA. Le support du C++23 dans les compilateurs NVCC et NVRTC est aussi de la partie.

Pour les développeurs IA, c'est une nouvelle version importante. La programmation GPU est toujours un domaine très technique, mais NVIDIA réduit progressivement la barrière d'entrée, surtout côté Python. AMD a du boulot pour rattraper son retard avec ROCm, leur équivalent maison qui peine encore à convaincre la communauté.

Source : Phoronix

CuriousMarc, un youtubeur connu pour ses restaurations d'équipements électroniques d'époque, est tombé sur un cas intéressant lors de la réparation d'un oscilloscope Metrix vintage.

Après avoir changé tous les condensateurs (un "recap" en jargon, opération de routine sur les vieux équipements dont les condos sèchent avec le temps), l'appareil refusait toujours de fonctionner correctement. Coupable identifié : une résistance carbone de 20 kΩ qui mesurait 0,843 MΩ au multimètre. Soit 42 fois sa valeur d'origine.

Daniel Estévez est ce qu'on appelle un radioamateur de haut vol. Spécialisé dans le décodage de signaux satellites et de sondes spatiales, l'Espagnol partage ses analyses techniques sur son blog depuis plusieurs années.

Cette fois, il s'est attaqué à un gros morceau : la télémétrie de Tianwen-2, la sonde chinoise actuellement en route vers l'astéroïde géocroiseur Kamo'oalewa.

Pour capter le signal, Estévez s'est appuyé sur le radiotélescope de Dwingeloo, aux Pays-Bas. Cette antenne historique, construite en 1956 par les radioastronomes néerlandais et longtemps abandonnée, a été remise en service par une association de passionnés qui l'utilise en particulier pour suivre les missions spatiales lointaines. La sonde émet en bande X (une plage de fréquences radio utilisée par la plupart des engins interplanétaires), autour de 8428,19 MHz, soit pratiquement la même fréquence que sa grande sœur Tianwen-1.

Là où ça devient intéressant techniquement, c'est sur l'encodage du signal. Tianwen-1 utilisait un encodage Reed-Solomon (une méthode classique de correction d'erreurs, indispensable quand le signal voyage sur des centaines de millions de kilomètres) avec une astuce un peu bricolée qui obligeait à zapper certains octets pour faire rentrer le tout dans la trame.

Tianwen-2, elle, utilise un encodage concaténé avec une longueur de trame mieux pensée. Du coup, les codewords Reed-Solomon rentrent pile-poil, sans bidouillage. C'est un détail qui peut sembler insignifiant, mais ça simplifie la vie de tout radioamateur qui veut suivre la mission depuis chez lui.

La sonde a été lancée le 28 mai 2025 et doit atteindre Kamo'oalewa en juin 2026. L'objectif est ambitieux : prélever un échantillon et le ramener sur Terre, comme l'avait fait la mission japonaise Hayabusa2 sur Ryugu en 2020.

Mais Tianwen-2 vise encore plus loin. Après Kamo'oalewa, la sonde poursuivra sa route vers la comète 311P/PANSTARRS pour une étude rapprochée, dans une mission double assez inédite. Si l'opération réussit, ce sera une nouvelle étape importante pour le programme spatial chinois, qui enchaîne les missions depuis plusieurs années.

Estévez documente tout publiquement, avec les paramètres exacts du signal, les outils utilisés (essentiellement GNU Radio, un framework open-source de traitement de signal), et les écueils techniques rencontrés. Pour les passionnés, c'est une mine d'or. Pour les autres, c'est surtout une démonstration que l'observation spatiale n'est plus l'apanage des agences gouvernementales.

Source : Hackaday

Le 22 juin prochain, le Canada va éteindre une voix qui parle sans interruption depuis 1923. La station CHU, opérée par le Conseil national de recherches (l'équivalent canadien du CNRS), cessera ses émissions sur ondes courtes après plus de cent ans de bons et loyaux services.

Trois fréquences disparaîtront du spectre radio : 3330, 7850 et 14670 kHz. C'est la fin d'une époque.

Pour ceux qui n'auraient jamais croisé son signal, CHU diffusait en continu l'heure officielle canadienne, calée sur une horloge atomique du CNRC. Le principe est très simple : un émetteur balance des "tops" précis à la milliseconde, et n'importe quel récepteur radio peut s'y synchroniser. 

Voler un mot de passe ? C'est presque devenu accessoire. Le FBI a lancé une alerte sur Kali365, un kit de piratage qui s'introduit dans les comptes Microsoft 365 d'une entreprise sans jamais avoir besoin du mot de passe, ni du fameux code de la double authentification.

La protection que beaucoup imaginent solide ne sert plus à grand-chose ici. Hélas.

Kali365 n'est pas un virus classique. C'est ce qu'on appelle un kit de phishing en location : un service clé en main, vendu un peu comme un abonnement à un logiciel, sauf qu'il sert à pirater. Repéré depuis avril et distribué via la messagerie Telegram, il permet à n'importe quel apprenti pirate de lancer une campagne sans compétences techniques particulières. Le kit fournit les emails piégés rédigés par une IA, des modèles de campagne tout prêts, et même un tableau de bord pour suivre ses victimes en temps réel, la totale donc.

Cette méthode porte un nom, le device code phishing, et elle est redoutable de simplicité. La victime reçoit un email qui imite un service de partage de documents, avec un petit code et une consigne : aller sur une page Microsoft pour rentrer le code. Sauf que cette page-là est la vraie page de Microsoft, du coup zéro méfiance.

Rien à signaler du côté de l'antivirus, rien de suspect dans l'adresse du site. La personne entre le code en toute confiance. Et là, sans s'en rendre compte, elle vient d'autoriser l'appareil du pirate à se connecter à son compte.

À partir de là, l'attaquant récupère un jeton d'accès, ce que le jargon appelle un token OAuth. C'est un laissez-passer numérique : une fois qu'on l'a, plus besoin du mot de passe ni d'un nouveau code pour entrer.

Avec ce jeton, le pirate conserve un accès continu à la boîte mail Outlook, à la messagerie Teams et au stockage OneDrive de sa victime. Et comme il n'a jamais touché au mot de passe, le réinitialiser en urgence ne bloque même pas l'intrus.

Le procédé n'a rien de marginal. Sur des campagnes de ce genre, des chercheurs en sécurité ont compté des centaines de comptes piégés chaque jour, avec une nette préférence pour les profils liés à la paie et à la comptabilité, là où l'argent circule le plus.

Le FBI conseille aux entreprises de carrément désactiver ce mode de connexion par code dans les réglages d'administration de Microsoft. Encore faut-il que les services informatiques prennent le temps de s'en occuper.

Source : The Register

Un bricoleur connu sous le pseudo ALTco a fabriqué un circuit imprimé sans toucher au moindre logiciel. Pas de conception sur ordinateur, pas de commande envoyée à une usine. Juste un marqueur, une plaque de cuivre et un bain chimique. Rien d'autre.

La méthode date d'avant l'informatique, et elle fonctionne toujours aussi bien.

Le circuit imprimé, c'est cette plaque qu'on trouve dans absolument tous les appareils électroniques : sur sa surface courent de fines pistes de cuivre qui relient les composants entre eux.

Aujourd'hui, on les dessine sur un logiciel spécialisé, le logiciel EDA (conception électronique assistée par ordinateur), avant de transmettre le fichier à un fabricant qui se charge du reste. ALTco a tout simplement zappé cette étape.

Sa méthode tient en quelques gestes. Il part d'une plaque de cuivre brut, qu'il nettoie soigneusement pour que l'encre accroche bien. Puis il dessine directement les pistes du circuit à la main, au marqueur permanent.

Dans le jeu Cyberpunk 2077, un des vêtements qui marquent l'environnement visuel, c'est cette veste avec un petit écran intégré dans le col, qui diffuse des images en boucle.

Un objet purement décoratif du jeu, le genre de détail qui pose l'ambiance futuriste sans qu'on puisse vraiment l'avoir. Sauf qu'un bidouilleur connu sous le pseudo Zibartas a décidé qu'il en voulait une, pour de vrai. Il l'a fabriquée. Et le résultat colle de très près au modèle vu dans le jeu.

Le maker connu sous le pseudo gokux a fabriqué un objet aussi inutile que mignon : un fortune cookie électronique. Vous le secouez, et il affiche une prédiction sur son petit écran. Voilà, c'est tout. Et c'est très bien comme ça.

Sous le capot, c'est un condensé de composants accessibles. Le cerveau, c'est un Seeed Xiao ESP32-S3 Plus, un microcontrôleur minuscule, autrement dit une puce programmable qui fait tourner le tout.

Une console de jeu portable estampillée Lenovo est apparue sur AliExpress à environ 72 dollars, et elle a un détail embarrassant : elle est livrée avec des milliers de jeux Nintendo piratés préinstallés. Le genre de produit qu'on prendrait pour une contrefaçon. Sauf que non.

Interrogé sur cette G02, Lenovo a confirmé que la console est bien officielle. C'est ce qu'on appelle un produit en marque blanche : Lenovo n'a pas conçu l'appareil, mais a accordé une licence d'utilisation de son nom à un fabricant tiers, via un accord régional réservé au marché chinois.

La G02 ne fait pas partie du catalogue mondial de Lenovo, mais elle porte bel et bien son logo, en toute légalité côté marque. C'est un modèle courant : une marque connue loue son nom, un fabricant local s'occupe du reste.

Le problème, c'est ce qu'il y a dedans. La console démarre avec le branding Lenovo, puis donne accès à des milliers de ROMs, ces copies de jeux rétro, en grande majorité des titres Nintendo.

Et là, plus de zone grise : il est hautement improbable que ces jeux soient sous licence. Nintendo est sans doute l'éditeur le plus féroce de l'industrie quand il s'agit de défendre sa propriété intellectuelle, et la firme a déjà fait fermer des dizaines de projets d'émulation à coups d'avocats.

Pour l'acheteur, l'affaire est presque trop belle : une machine de rétrogaming à 72 dollars, le logo d'un géant de l'informatique, et une ludothèque entière offerte. Sauf que cette ludothèque, personne ne l'a payée aux ayants droit.

Et la console continue de se vendre tranquillement sur AliExpress, accessible aux acheteurs chinois comme au reste du monde.

Du coup, Lenovo se retrouve dans une position franchement inconfortable. Son nom, validé par un contrat officiel, s'affiche sur un appareil qui distribue du jeu piraté à l'échelle industrielle. C'est précisément le risque du modèle de la marque blanche : vous touchez une redevance pour prêter votre logo, mais vous ne contrôlez pas toujours ce que le partenaire met dans la boîte.

Quelque part en Asie, un service juridique doit déjà transpirer.

Source : Tom's Hardware

Android 17 va donc lancer une fonction baptisée "Continue On", et l'idée est simple : reprendre une appli exactement là où vous l'avez laissée, mais sur un autre appareil.

Vous lisez un document sur votre téléphone, vous attrapez votre tablette, et hop, vous repartez au même endroit sans rien chercher. Les utilisateurs d'iPhone connaissent déjà ça sous le nom de Handoff (Continuité en français). Android s'y met enfin.

Anthropic, l'entreprise derrière l'IA Claude, a corrigé en douce deux failles dans le bac à sable réseau de Claude Code, son assistant de programmation. Un bac à sable, dans le jargon, c'est un enclos de sécurité : il est censé empêcher l'outil de se connecter à des serveurs non autorisés, pour éviter qu'il envoie vos données n'importe où. Sauf que pendant cinq mois et demi, cet enclos avait une porte dérobée.

La plus récente faille est en fait une jolie bidouille. Claude Code vous laisse définir une liste blanche, par exemple "autorise uniquement les connexions vers *.google.com". Un attaquant envoyait alors une adresse du genre "serveur-pirate.com<a target="_blank" rel="noreferrer noopener" href="http://0.google.com/">0.google.com", avec un caractère invisible (un octet nul) glissé au milieu.

Le filtre de sécurité, lui, lit la fin de la chaîne, voit ".google.com" et valide. Mais le système d'exploitation s'arrête au caractère invisible et se connecte en réalité à serveur-pirate.com. Le filtre et le système ne lisent pas la même adresse. La faille est là.

Combinée à une injection de prompt (le fait de cacher des instructions piégées dans un texte que l'IA va lire), la faille permettait d'exfiltrer des choses sensibles : identifiants cloud, jetons d'accès GitHub, accès aux services internes.

En clair, un dépôt de code piégé pouvait pousser Claude Code à expédier vos secrets vers le serveur de l'attaquant. Le trou a traversé plus de 130 versions de l'outil avant d'être bouché fin mars. Tout utilisateur de Claude Code qui faisait confiance à son bac à sable réseau était donc exposé sans le savoir, du développeur isolé à l'équipe en entreprise.

C'est le chercheur Aonan Guan, de Wyze Labs, qui a remonté le problème. Et sa phrase résume tout : un bac à sable troué, c'est pire que pas de bac à sable du tout. Celui qui n'a aucune protection le sait et reste prudent. Celui qui se croit protégé baisse la garde.

Anthropic affirme avoir trouvé et corrigé la faille de son côté avant le signalement, mais le souci, c'est qu'il n'y a eu ni CVE (le numéro de référence public qui catalogue une faille), ni note dans le journal des versions. Moche moche.

Source : The Register

Un développeur connu sous le pseudo EVVIE a sorti Waylandcraft, un projet qui n'aurait jamais dû exister et c'est tant mieux.

Le principe : faire tourner de vrais logiciels Linux directement dans le monde de Minecraft, leurs fenêtres posées comme des objets au milieu du jeu. Votre navigateur, votre éditeur de texte, un terminal, tout ça affiché sur des blocs, en 3D, et utilisable pour de vrai.

Tony Goacher a résolu un petit casse-tête avec élégance. Son projet CrowdClock, ce sont des badges lumineux pour festival qui clignotent tous en rythme, parfaitement synchronisés. Sauf qu'il n'y a aucun badge maître, aucune appli, aucun appairage. Les badges se mettent d'accord tout seuls.

Le truc tient en une technique toute bête. Chaque badge fait tourner sa propre horloge interne et diffuse en continu sa valeur tout autour de lui, via ESP-NOW (un protocole sans fil léger, qui permet à de petits modules de discuter directement entre eux sans passer par le Wi-Fi). Quand un badge capte une valeur d'horloge plus élevée que la sienne, il adopte cette valeur, tout simplement.

Sur les sites de benchmark, une petite course s'est lancée autour du MacBook Neo, le portable le moins cher d'Apple. Le but : trouver qui arrivera à le faire tourner le plus vite possible. Et un bricoleur, Salem Techsperts, a brièvement décroché le titre de MacBook Neo le plus rapide du monde, vidéo à l'appui pour montrer comment il s'y est pris.

Le MacBook Neo embarque une puce A18, la même famille que celle qui équipe les iPhone. Et comme tous les appareils mobiles, son ennemi numéro un, c'est le throttling thermique : pour ne pas cuire, la puce baisse volontairement sa vitesse dès qu'elle chauffe trop.

Un internaute connu sous le pseudo Several-Bar-6512 a transformé son PC de jeu en quelque chose qui n'a pas d'équivalent : à l'intérieur du boîtier, treize écrans diffusent en boucle plus de 15 000 GIF animés. Pas de RGB clignotant classique. Des écrans. Partout.

Le chiffre derrière le projet donne le vertige. Le bricoleur a d'abord téléchargé plus de 17 000 GIF, puis a passé environ 200 heures à les trier, les recadrer, ajuster leur format, leur vitesse d'animation et leur boucle, pour arriver à une sélection finale de plus de 15 000.

Regarder l'intégralité des tuiles, du premier au dernier GIF, prendrait 13 heures et demie. Treize heures et demie de mèmes en boucle dans un boîtier d'ordinateur.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/ce-pc-contient-13-ecrans-caches-qui-diffusent-15-000-gif-en-boucle/ce-pc-contient-13-ecrans-caches-qui-diffusent-15-000-gif-en-boucle-1.mp4">lien vers la vidéo</a>.

Je suis tombé sur un accessoire à moins de 10 euros qui ne paie pas de mine, et que j'utilise pourtant tous les jours depuis que je l'ai reçu. C'est un simple autocollant. Un carré de vinyle transparent d'environ 8 cm de côté, qui liste les raccourcis clavier essentiels de macOS et se colle dans le coin de votre MacBook.

L'idée est bête comme chou. Au lieu d'aller chercher sur Google "comment faire une capture d'écran sur Mac" pour la centième fois, vous baissez les yeux vers le coin de votre clavier et c'est écrit. Cmd+Maj+4 pour capturer une zone de l'écran, Cmd+Espace pour ouvrir la recherche Spotlight, Cmd+Option+Échap pour forcer une application à quitter. Tout est regroupé sur un petit carré.

La pose se fait en deux minutes. Le vinyle est transparent, donc une fois collé sur la coque ou près du trackpad, ça reste discret et ça ne jure pas avec le design du Mac. Synerlogic conseille de dépoussiérer la surface et d'appliquer l'autocollant progressivement pour éviter les bulles d'air (évidemment moi je me suis précipité, donc ça a laissé quelques bulles, mais l'autocollant se repositionne sans mal pour les retirer). Bon point en plus : la colle n'est pas définitive. Vous pouvez retirer l'autocollant sans laisser la moindre trace, ce qui est cool si vous revendez la machine plus tard.

Le vrai intérêt, c'est pour les gens qui débutent sur Mac. Quand on arrive de Windows, les raccourcis changent tous, et c'est un des trucs les plus agaçants de la transition. Avec la liste sous les yeux, l'apprentissage se fait tout seul, sans effort. Au bout de quelques semaines, vous connaissez les raccourcis par cœur et l'autocollant devient un filet de sécurité pour les commandes que vous utilisez moins souvent.

Et si vous êtes sous Windows, Synerlogic décline exactement le même autocollant en version Windows, avec les raccourcis Windows qui vont bien pour gagner en productivité.

Alors oui, ça reste un autocollant. Il liste les raccourcis classiques, pas les combinaisons exotiques d'un développeur ou d'un monteur vidéo. Et si vous maîtrisez déjà votre Mac sur le bout des doigts, il ne vous apprendra rien. Mais à moins de 10 euros, franchement n'hésitez pas. Disponible ici sur Amazon pour macOS , et ici pour Windows !

Anthropic, la boîte derrière l'IA Claude, a racheté Stainless pour plus de 300 millions de dollars. Stainless, c'est un nom que le grand public ne connaît pas, mais l'outil est partout : il transforme automatiquement la spécification d'une API, l'interface par laquelle deux logiciels se parlent, en SDK.

Pour rappel, un SDK, c'est un ensemble de bibliothèques de code prêtes à l'emploi pour les développeurs, ici dans une dizaine de langages comme Python, TypeScript, Go ou Java.

En clair, quand un développeur veut brancher son application sur l'API de Claude, il utilise un SDK généré par Stainless. La boîte, fondée en 2022 par un ancien ingénieur de Stripe, a produit chaque SDK officiel d'Anthropic depuis les tout débuts de l'API Claude. Le rachat consolide donc une brique que l'entreprise utilisait déjà tous les jours.

Stainless ne s'arrête pas aux SDK. La société fournit aussi de l'outillage pour les serveurs MCP, le protocole poussé justement par Anthropic qui permet aux IA de se connecter à des outils et des données externes. Du coup le rachat fait sens à double titre : Anthropic met la main sur la génération de SDK et sur une partie de l'infrastructure MCP, deux briques où il veut clairement être central.

Sauf que voilà le détail un peu fou. Stainless ne servait pas qu'Anthropic, et sa liste de clients comprend OpenAI, Google DeepMind, Perplexity, Groq et Cloudflare, autrement dit la plupart des concurrents directs d'Anthropic sur le marché de l'IA.

La suite est sans pitié. Anthropic ferme tous les produits hébergés de Stainless, générateur de SDK compris. Les clients actuels gardent les SDK déjà générés et peuvent les modifier, mais le robinet, lui, est coupé. Tout le monde va devoir trouver une alternative ou rapatrier la génération de SDK en interne.

Pourquoi mettre 300 millions sur la table pour ça ? Parce que la vraie bataille n'est plus seulement sur les modèles d'IA, mais sur la couche d'outillage autour.

Celui qui contrôle la façon dont les développeurs branchent leurs applications et orchestrent leurs agents IA contrôle une partie de l'écosystème. OpenAI muscle son propre Agents SDK de son côté. Anthropic, lui, préfère racheter directement l'usine, et au passage priver ses concurrents d'un fournisseur bien pratique.

Source : TechCrunch

Le 23 juillet 2025, le Luxembourg entier s'est retrouvé sans réseau mobile, sans téléphone fixe et sans communications d'urgence pendant plus de trois heures.

Dix mois plus tard, on connaît enfin la cause grâce au média The Record : une faille jusque-là inconnue dans le logiciel d'un routeur Huawei.

Le mécanisme est presque bête. Du trafic réseau spécialement fabriqué a été envoyé vers des routeurs d'entreprise Huawei, et ce trafic les a fait redémarrer en boucle, sans jamais s'arrêter.

Pas besoin de pirater quoi que ce soit ni de voler un mot de passe, il suffisait d'envoyer les bons paquets au bon endroit. Ces routeurs équipaient l'infrastructure de POST Luxembourg, l'opérateur télécom historique du pays. Quand le cœur du réseau redémarre en continu, tout s'effondre derrière. Aucune charge criminelle n'a été retenue, faute de pouvoir désigner un responsable.

Le plus inquiétant, c'est ce qu'on ne sait toujours pas. La vulnérabilité n'a jamais été publiée. Aucun identifiant CVE, le numéro de référence standard qui permet de cataloguer une faille de sécurité, n'a été déposé dans les dix mois qui ont suivi.

On ignore si le trou a été bouché, combien d'autres opérateurs utilisent les mêmes routeurs, et si des équipements identiques sont encore vulnérables aujourd'hui quelque part. Les enquêteurs pensent même que POST n'était pas une cible : le trafic malveillant ne faisait peut-être que transiter par son réseau.

Et là, impossible de ne pas penser à FX Lindner. Ce chercheur en sécurité allemand avait alerté Huawei dès 2012 sur la fragilité de leurs équipements réseau, code bâclé et failles à la pelle.

Huawei avait minimisé. Treize ans plus tard, la même histoire se rejoue, sauf qu'elle ne touche plus un labo de test mais un pays entier, services d'urgence compris.

Ça repose la question de fond, celle de la souveraineté des infrastructures télécom européennes. L'Europe parle de souveraineté numérique depuis des années, surtout sur le cloud et l'IA. Mais les tuyaux eux-mêmes, les routeurs qui font transiter les appels et les données, restent souvent du matériel dont le code source échappe totalement aux opérateurs.

Faire tourner le réseau national d'un pays sur des routeurs dont on ne maîtrise ni le code ni le calendrier de correctifs, c'est un pari risqué. Et le Luxembourg vient de découvrir ce que ça coûte quand le pari échoue. Bref, treize ans d'avertissements ignorés, et il aura fallu un pays débranché trois heures pour que le sujet revienne sur la table.

Source : The Record

Hier soir, le compte Google Cloud de Railway est passé en statut restreint. Du jour au lendemain, sans préavis et sans la moindre explication.

Railway, pour ceux qui ne connaissent pas, c'est un service américain qui permet aux développeurs et aux startups de mettre un site ou une application en ligne en quelques clics, sans avoir à louer ni configurer eux-mêmes des serveurs.

Dans le jargon, on appelle ça un PaaS, une plateforme d'hébergement clé en main. Des milliers d'entreprises s'en servent pour faire tourner leurs services au quotidien. Sauf que Railway, lui, fait tourner son propre tableau de bord, son API et son control plane (la partie qui orchestre toute la plateforme) sur Google Cloud. Donc quand Google a coupé, tout est tombé.

Résultat : environ six heures de panne. Les utilisateurs se sont retrouvés avec des erreurs "no healthy upstream" en cascade, impossible de se connecter, impossible de déployer quoi que ce soit. Le pire dans l'histoire, c'est que Railway n'est pas un petit client de passage. La boîte dépense plus de 10 millions de dollars par an chez Google Cloud. Même ça n'a pas suffi à éviter le débranchement automatique.

Le ton des équipes Railway est agacé. Angelo Saraceno, ingénieur chez eux, a lâché que leurs contacts chez Google étaient eux-mêmes confus et que les clients étaient furieux. Et cette phrase, qui résume tout : "nos clients se fichent que ce soit Google, c'est à nous d'assumer notre disponibilité". Difficile de leur donner tort.

Ce n'est pas la première fois. Railway avait déjà déménagé une partie de son infrastructure en colocation (des serveurs loués dans un datacenter, qu'on gère soi-même) en 2024, justement parce que les problèmes avec Google Cloud posaient un risque existentiel à leur activité.

Sauf qu'ils avaient gardé le control plane chez Google. Mauvaise idée, visiblement. Et en 2024, Google avait déjà fait exactement le même coup au fonds de pension australien UniSuper, suspendu une semaine entière sans raison claire.

Là où ça pique, c'est l'angle métier. Railway est un PaaS. Google Cloud propose aussi un PaaS. Autrement dit, Railway hébergeait son business chez un concurrent direct, qui peut le débrancher quand il veut, par un automatisme mal réglé ou autre chose. Vous voyez le piège. Confier sa plateforme d'hébergement à quelqu'un qui vend exactement le même service, c'est lui donner les clés et la corde.

Source : The Register

Chaac Pizza Northeast, qui exploite plus de 100 restaurants Pizza Hut sur la côte est des États-Unis, attaque son propre franchiseur en justice. Le motif : un logiciel d'IA imposé par le siège pour gérer les livraisons, et qui aurait fait perdre près de 100 millions de dollars au franchisé.

Le logiciel s'appelle Dragontail. Il a été racheté en 2021 par Yum Brands, la maison mère de Pizza Hut, et il sert à orchestrer la production en cuisine et l'attribution des livraisons. Pizza Hut a fini par le rendre obligatoire pour ses franchisés.

Sur le papier, optimiser qui fait quoi et quand, c'est exactement le genre de tâche où une IA devrait briller. Sauf qu'en pratique, le résultat raconté dans la plainte est un désastre.

Le détail le plus parlant concerne les livreurs. Dragontail leur montrait si une autre commande allait bientôt être prête. Du coup, beaucoup de livreurs prenaient une commande, puis attendaient sur place quinze minutes pour en grouper une deuxième.

Résultat : la première pizza partait froide et en retard. Le genre de comportement algorithmique qui a du sens sur un tableur d'optimisation, et aucun sens dans la vraie vie d'un client qui attend son dîner. Et le client, lui, ne sait pas que c'est un algorithme qui a décidé de faire poireauter sa commande.

Les chiffres avancés par Chaac sont violents. Avant Dragontail, plus de 90 % de ses livraisons arrivaient en moins de 30 minutes, avec de bons scores de satisfaction. Après le déploiement, la croissance du chiffre d'affaires à New York est passée de plus de 10 % à environ moins 10 %. Le franchisé accuse donc Pizza Hut d'avoir violé le contrat de franchise en imposant un outil qui sabote la production, sans même fournir le support promis.

L'affaire est devant le tribunal des affaires du Texas, et elle dépasse largement le cas Pizza Hut. De plus en plus de franchisés se retrouvent à devoir installer des outils maison décidés par le siège, sans avoir leur mot à dire, et sans pouvoir revenir en arrière si ça plombe leur activité. Quand l'outil est une IA opaque qu'on ne peut ni ajuster ni désactiver, le franchisé paie les pots cassés tout seul.

Bref, une IA d'optimisation qui optimise si bien qu'elle livre les pizzas froides, c'est le genre de promesse 2026 qu'on n'avait pas vu venir.

Source : Gizmodo

gVim, la version avec interface graphique du légendaire éditeur de texte Vim, récupère le support de GTK4. Pour situer, GTK c'est la boîte à outils qui dessine les fenêtres, les boutons et les menus des applications sous Linux.

Vim tournait jusqu'ici sur GTK2 et GTK3, deux versions vieillissantes. GTK4 modernise tout ça. Et le détail qui fait causer : le commit indique noir sur blanc que le portage a été co-écrit par Claude, l'IA d'Anthropic.

Le boulot a pris plusieurs semaines. Le support GTK4 est maintenant intégré au code de Vim, activable avec une option de compilation, --enable-gui=gtk4. GTK4 apporte un rendu plus moderne et un meilleur support des écrans haute densité, là où GTK2 commençait sérieusement à dater.

GTK2 n'est d'ailleurs plus vraiment maintenu côté GNOME depuis un bon moment, donc rester dessus n'était pas tenable éternellement. Pour l'instant, le script de configuration garde quand même GTK3 par défaut si vous ne précisez rien, le temps que la nouvelle version soit éprouvée. Aucune installation existante n'est donc affectée, et ça débarquera en option dans la prochaine version de Vim.

Le plus intéressant, ce n'est pas le code mais le tag "Co-authored-by: Claude" dans l'historique Git. Vim, c'est un projet open source vénérable, démarré en 1991, l'éditeur des barbus et des serveurs Linux du monde entier. L'éditeur n'a pas bougé sur ses fondamentaux depuis des décennies, et ce genre de modernisation graphique traîne souvent faute de bras pour s'en occuper.

Voir une IA créditée comme co-autrice sur une toolkit graphique de trente ans, c'est quand même un signal fort. Et personne n'a planqué la contribution : elle est assumée et tracée.

C'est exactement le bon réflexe. Le débat sur les contributions d'IA dans l'open source n'est pas nouveau, Greg Kroah-Hartman, un des mainteneurs du noyau Linux, avait déjà posé le sujet sur la table. Le vrai problème n'a jamais été "l'IA a écrit du code", mais "est-ce que c'est transparent et est-ce qu'un humain a relu et validé".

Ici, les deux cases sont cochées. Le code est passé par la revue habituelle du projet, et le crédit est explicite. Un curieux peut remonter le commit et voir précisément ce qui a été fait.

Bref, une IA qui aide à dépoussiérer une toolkit de trente ans en le disant clairement, c'est plutôt la version saine du truc.

Source : Phoronix

Hendrik s'est attaqué à un problème classique des makers : électroplaquer une pièce imprimée en 3D un peu grosse, ça demande une cuve énorme remplie de produits chimiques pour la submerger entièrement.

Sa solution, fabriquée maison, prend le problème dans l'autre sens : si la pièce ne rentre pas dans la cuve, autant la faire tourner doucement dans une cuve plus petite.

Le principe est simple. Vous prenez votre pièce 3D, vous la poncez, vous la recouvrez de peinture conductrice (indispensable, sinon le métal ne s'accroche à rien).

Alexander Petros, qui tient le blog Unplanned Obsolescence , a publié un tutoriel d'environ 3 500 mots qui explique les bases de Prolog, un langage de programmation logique des années 70 très différent des langages courants comme Python ou JavaScript, en utilisant les combats Pokémon comme support pédagogique. C'est étonnamment efficace.

Pour ceux qui n'ont jamais touché Prolog, la grosse différence avec un langage classique style Python ou JavaScript, c'est qu'au lieu de dire à l'ordinateur comment résoudre un problème étape par étape, vous lui décrivez les règles du jeu et vous le laissez chercher les réponses tout seul.

Vous écrivez des faits ("Bulbizarre est un Pokémon", "Bulbizarre est de type plante"), des règles ("un Pokémon vulnérable à X subit le double de dégâts d'une attaque de type X"), et vous posez ensuite des questions au système. Il fait le reste..

L'angle Pokémon est plutôt malin. Les combats Pokémon, c'est en fait un moteur de règles assez tordu : types, faiblesses, talents passifs, priorités d'attaques, statuts.

Bref, exactement le genre de domaine où Prolog brille et où un langage impératif transpire. Petros part de requêtes très simples ("est-ce que Carapuce est un Pokémon ?") et finit avec des filtres complexes qui sélectionnent les équipes en fonction de leur composition. À chaque étape, l'équivalent en SQL serait dix fois plus lourd.

Le passage le plus parlant, c'est quand il ajoute le support du talent Farceur, qui donne une priorité supérieure aux attaques de statut. Implémenter cette règle a pris trois minutes : il a ajouté une seule clause logique au programme.

Faites le même boulot dans un tableur ou une base SQL, et vous repartez pour des heures. C'est exactement le genre de cas où on comprend pourquoi Prolog a une niche stable, même si personne ne s'en sert au quotidien dans l'industrie.

Côté pédagogie, le choix est bon. La plupart des tutoriels Prolog vous balancent des relations familiales du style "Marie est la fille de Pierre, qui est le mari de...", ce qui marche mais reste relativement abstrait. Là, vous lisez le code et vous voyez immédiatement à quoi ça sert : à modéliser un combat Pokémon. Du coup les concepts d'unification, de prédicats et de négation passent presque tout seuls.

Si vous avez toujours voulu vous mettre à Prolog mais que les tutoriels classiques vous tombaient des mains, l'article de Petros est le point de départ qu'il vous faut.

Source : Hackaday

Project 326, une chaîne YouTube spécialisée dans les bricolages optiques, a montré un système de vision nocturne longue portée monté de A à Z dans un garage. Le résultat tient en quelques composants : un télescope réflecteur imprimé en 3D, une webcam modifiée et un laser infrarouge de deux watts. À l'arrivée, on voit jusqu'à 650 mètres dans l'obscurité totale.

Le principe est simple (si on peut dire). Un laser dans une longueur d'onde de 940 nanomètres, totalement invisible à l'œil nu mais détectable par n'importe quel capteur photo sans filtre infrarouge, éclaire la scène à distance. La webcam, dont on a retiré le filtre infrarouge d'origine, capte la lumière réfléchie. Le télescope réflecteur, un montage avec un miroir concave qui collecte la lumière comme dans les télescopes amateurs, concentre le tout sur le capteur. Du coup vous obtenez une image quasi-diurne en plein milieu de la nuit.

Vous vous levez à 6h du matin, et là, surprise : une cinquantaine de SUV autonomes Waymo s'engouffrent l'un après l'autre dans votre impasse, font demi-tour au rond-point, et repartent dans le même sens. C'est ce qui s'est passé sur Battleview Drive, une rue calme du quartier de Buckhead à Atlanta.

Derek Clark, développeur chez Valve, a fait remonter dans le noyau Linux un nouveau pilote baptisé hid-oxp. Sa fonction : permettre au système de configurer correctement les consoles portables de la marque OneXPlayer, un constructeur chinois qui fabrique des petites consoles PC un peu dans l'esprit du Steam Deck mais livrées sous Windows par défaut.

Le code est mis en file dans la branche de développement de Linux 7.2, dont la fenêtre de merge doit s'ouvrir en juin.

En pratique, le pilote prend en charge trois choses chez ces machines : l'éclairage RGB des boutons et joysticks (luminosité, effets, on/off, vitesse), la gestion de l'intensité des vibrations, et un mécanisme de mapping matériel des boutons.

Trois éléments qui, sans pilote dédié, sont inaccessibles ou demandent des bidouilles Windows-only. Pour celui qui veut faire tourner une distribution Linux ou un SteamOS-like sur sa OneXPlayer, c'est désormais beaucoup plus simple.

Le code est sous licence GPLv2+ et copyrighté Valve Corporation. C'est donc le studio derrière Steam qui finance ce travail, comme il l'a déjà fait pour le Steam Deck et plus récemment pour les ROG Ally d'Asus.

Valve a un intérêt évident à élargir le catalogue de machines capables de faire tourner SteamOS sans douleur, vu que la version 3 du système commence à devenir une vraie alternative à Windows pour les consoles portables.

Derek Clark a poussé le pilote dans la branche hid.git for-7.2/oxp, qui sera mergée dans le noyau principal au prochain cycle. Linux 7.2 devrait sortir vers la fin de l'été, ce qui veut dire que les distributions Linux ayant un noyau récent l'auront automatiquement quelques semaines plus tard.

Ce qui est rigolo dans tout ça, c'est de voir Valve travailler patiemment, pilote par pilote, à transformer toutes les consoles portables PC chinoises en machines compatibles SteamOS. Asus, OneXPlayer, demain probablement Ayaneo et GPD.

Du coup, à terme, on aura peut-être un écosystème où la question Windows ou SteamOS se pose vraiment, alors qu'aujourd'hui c'est surtout SteamOS qui doit prouver qu'il sait faire tourner les jeux.

Source : Phoronix

Quand vous voulez récupérer un modèle 3D d'un jeu vidéo, en général il y a deux options. Soit vous fouillez les fichiers du jeu pour en extraire les assets, ce qui demande des outils spécialisés et qui ne marche pas simplement sur console.

Soit vous abandonnez. Un bidouilleur connu sous le pseudo Dung3onlord vient de proposer une troisième voie, beaucoup plus rigolote et qui ne touche pas du tout au jeu lui-même.

[Embed: https://www.reddit.com/r/OculusQuest/comments/1srgzgz/capture_and_view_ps5_characters_on_a_quest_link/]

La technique repose sur deux trucs intégrés à la PS5. D'abord, le mode Photo, présent dans la plupart des gros titres modernes, qui permet de geler la scène et de la regarder sous n'importe quel angle.

Ensuite, la photogrammétrie, une vieille méthode qui consiste à reconstruire un objet 3D à partir de plein de photos prises sous différents angles. Mettez les deux ensemble et vous obtenez votre modèle, sans toucher au moteur du jeu.

Le mode opératoire de Dung3onlord est assez simple. Il filme une vidéo en orbite autour d'une scène figée en mode Photo, désactive toute interface visible, extrait les images de la vidéo, et passe le lot dans un logiciel de photogrammétrie classique.

Le résultat, c'est un nuage de points 3D, qu'il nettoie, dont il enlève le fond, puis qu'il transforme en gaussian splat. C'est une technique récente d'affichage 3D qui demande très peu de puissance de calcul pour le rendu. Il visualise ensuite le tout dans un casque VR Quest, ce qui donne une vraie sensation d'immersion dans la scène du jeu.

Il y a des limites évidemment. Plein d'effets graphiques modernes, comme les normal maps qui font croire à du relief sur des surfaces plates, ne donnent pas une vraie géométrie par exemple. Du coup la version 3D paraît parfois plus lisse que ce que vous voyiez dans le jeu. Et la technique ne marche que sur des scènes statiques, pas sur des animations.

Mais pour des paysages, des décors, ou des modèles fixes, c'est efficace. Surtout si l'objectif n'est pas d'avoir la précision absolue d'un fichier 3D natif, mais juste de revisiter une scène en immersion.

Et puis surtout, ça contourne tout le problème de l'extraction directe : le DRM, les formats propriétaires, les hooks dans la mémoire. Ici, on photographie l'écran. Le jeu n'a rien à dire. C'est une méthode bien élégante en tous cas.

Source : Hackaday

Faire tourner les logiciels Adobe sous Linux, c'est la quête éternelle des photographes et graphistes qui voudraient bien quitter Windows ou macOS mais qui n'ont rien de comparable côté Linux.

Adobe n'a jamais voulu porter sa suite officiellement. Du coup, depuis des années, des développeurs tentent de la faire fonctionner via Wine, le logiciel libre qui sait exécuter des programmes Windows sur Linux. Avec un succès souvent partiel, et beaucoup de bidouille manuelle.

Un développeur connu sous le pseudo sander110419 vient de publier une recette reproductible pour faire fonctionner Adobe Lightroom CC sur Linux. Pas Lightroom Classic, attention, mais bien la version Creative Cloud avec la synchronisation, qui dépend de plus de composants Windows.

Tout est documenté sur GitHub, avec les scripts, les DLL patchées et le mode d'emploi. La particularité, c'est qui a fait le travail. Le développeur a simplement donné une consigne à Claude Code, l'assistant de programmation d'Anthropic en ligne de commande, et il a regardé l'IA bosser.

La consigne tenait en une phrase : faire tourner Lightroom CC sur Linux, puis publier une recette reproductible. Et Claude Opus 4.7, le modèle utilisé, a tout fait en autonomie. Il a identifié les composants Windows manquants, écrit des stubs, des fausses DLL qui simulent le comportement attendu, patché celles qui posaient problème, testé le tout sous Wine 11.8 staging, puis rédigé le README et la documentation. L'humain a juste validé derrière.

Côté résultat, ça marche raisonnablement bien sur la dernière version testée (Lightroom CC 9.3.1). La synchronisation cloud fonctionne, l'interface répond, les fonctions de base sont là. Quelques boîtes de dialogue plantent encore, et certaines fonctions accélérées par la carte graphique ne sont pas complètement opérationnelles. Mais on est sur un usage réel possible, ce qui n'avait jamais été le cas auparavant pour cette version.

Au passage, c'est un cas d'école intéressant pour ceux qui suivent l'évolution des assistants IA. La tâche est typiquement le genre de travail que personne n'a vraiment envie de faire : ingrat, plein de tâtonnements, qui demande de lire de la doc obscure et de tester en boucle. Et c'est précisément le terrain où une IA en mode agentique tient le mieux la route aujourd'hui.

Source : Phoronix

Sur Linux, certains utilisateurs passent des heures à customiser leur bureau pour le rendre joli. Cette pratique a même un nom dans la communauté : le "ricing", de l'anglais "to rice", qui veut dire bichonner sa machine comme on bichonnerait une voiture tunée.

Un utilisateur vient de publier un projet baptisé "Waylandcraft" qui pousse le concept assez loin : tout son bureau ressemble à l'intérieur du jeu Minecraft, le célèbre bac à sable où l'on construit avec des blocs cubiques.

Pour comprendre la blague du nom, il faut savoir que la majorité des Linux modernes utilisent un environnement graphique appelé GNOME, c'est-à-dire la couche qui dessine les fenêtres, les menus et le bureau (l'équivalent visuel de Windows ou macOS). Cet environnement tourne par-dessus un système d'affichage techniquement nommé Wayland, le successeur récent du très vieux Xorg. Le créateur a donc fusionné "Wayland" et "Minecraft" pour donner "Waylandcraft", et le nom n'aurait pas eu de sens il y a encore deux ans.

Visuellement, le thème reprend tous les codes du jeu : icônes en cubes texturés style terre et bois, fond d'écran avec un paysage de plaine herbeuse, police pixelisée façon Minecraft, et même les boutons et menus qui ressemblent à des inventaires de joueur. C'est du travail de précision, chaque détail a été retravaillé pour coller à l'esthétique du jeu de Mojang.

Le projet a immédiatement explosé les échanges autour de son intérêt dans la communauté. C'est typiquement le genre de truc qui finit publié en libre accès, avec une notice détaillant chaque thème, chaque police, chaque petit script utilisé pour arriver au résultat. Et si vous voulez vous lancer dans la customisation Linux, sachez que ça peut vite devenir un loisir chronophage. Très chronophage.

Source : Reddit

Greg Kroah-Hartman, le numéro 2 du développement du noyau Linux après Linus Torvalds en personne, s'est offert un nouveau jouet en avril dernier : un assistant IA tournant en local sur son ordinateur, qu'il a appelé gkh_clanker_t1000 en clin d'œil au Terminator.

Le but, c'est de faire du fuzzing, c'est-à-dire balancer plein d'entrées bizarres sur du code pour voir ce qui casse. Et clanker, c'est l'argot anglais légèrement méprisant pour désigner les IA. C'est plutôt rigolo.

Le matériel, c'est un Framework Desktop, un mini PC modulaire et réparable, équipé du Ryzen AI Max+ "Strix Halo" d'AMD, avec ses seize cœurs et jusqu'à 128 Go de mémoire unifiée. Le tout fait tourner un grand modèle de langage en local, sans cloud, sans dépendance externe. Greg KH lui balance des bouts du noyau Linux à analyser, l'IA repère les fragments suspects, et lui, avec ses décennies d'expérience, regarde si c'est un vrai bug ou du bruit. Quand c'est un vrai bug, il écrit le patch lui-même.

Depuis avril, près de 24 patches issus de ce process ont été mergés dans la branche principale du noyau Linux. Ils touchent des sous-systèmes très variés : USB, HID, audio ALSA, partage de fichiers SMB, IO_uring, le pilote graphique Nouveau, et plein d'autres.

Tous portent une étiquette spéciale dans Git, "Assisted-by: gregkh_clanker_t1000", pour signaler à la communauté que l'IA a participé à leur découverte. C'est une transparence que pas mal d'autres projets feraient bien de copier.

Et la suite est déjà là. Greg KH travaille sur une version successeur baptisée gkh_clanker_2000, qui poursuit la même logique avec quelques évolutions de méthodologie. L'idée n'est pas que l'IA écrive du code à la place du mainteneur, mais qu'elle agisse comme un assistant qui débroussaille et signale, pendant qu'un humain expérimenté garde la responsabilité finale.

Le détail qui change tout, c'est que tout ça tourne en local. Pas d'API cloud, pas de fuite de bouts de noyau chez un fournisseur tiers. Pour un projet aussi sensible que le noyau Linux, ce n'est pas un détail. Et ça démontre qu'on n'a pas besoin de GPT-5 ou Claude Opus dans le cloud pour faire du travail sérieux d'analyse de code, un bon modèle local sur un bon PC suffit.

Source : Phoronix

Si vous avez déjà rêvé d'une machine portable qu'on peut démonter, réparer et améliorer pièce par pièce comme un Lego, l'objet construit par Jankbu va vous parler. Le YouTubeur, spécialisé dans la bidouille électronique, vient de publier la vidéo de son cyberdeck, c'est-à-dire un ordinateur portable maison taillé dans des composants choisis un par un, qui fait franchement penser à l'esthétique cyberpunk des années 80-90.

Au cœur de la bête, un Raspberry Pi 5 qui tourne sous Linux. Mais c'est tout autour que ça devient intéressant. Plutôt qu'une charnière classique d'ordi portable, Jankbu a opté pour un écran qui coulisse verticalement sur deux tiges en acier et roulements linéaires, avec une chaîne porte-câbles miniature pour éviter que les fils se coincent.

Le truc vraiment bien pensé, c'est le rail NATO qui équipe la machine. Ce rail standardisé permet de clipser et déclipser des modules à la volée. Et ça marche. Module d'alimentation avec des batteries NPF interchangeables (les mêmes que sur les caméras photo professionnelles), trackball récupéré d'une vieille souris Logitech Trackman Marble pour la navigation, poignée en aluminium massif usinée pour la robustesse... chaque pièce est pensée pour être démontable, remplaçable, modifiable.

La philosophie est claire : Jankbu déteste les laptops modernes scellés où vous ne pouvez rien réparer. Du coup, il a tout misé sur des connecteurs USB standard, du câblage modulaire, et des composants qu'on peut sourcer en magasin de bricolage. La machine est conçue pour faire du web et de la CAO, deux usages qu'on peut largement assurer avec un Pi 5 sans avoir à se ruiner sur un MacBook Pro.

Sur The Register, un témoignage improbable d'un lecteur qui raconte la fois où il a effacé toutes les données et tout le code de son entreprise. Voilà qui date pas mal, puisque c,'était en 1981, il avait 21 ans, et il développait tout seul un script de nettoyage pour un mainframe IBM. Le genre de mission qu'on ne devrait pas trop confier à un dev junior sans relecture. C'est précisément ce qui a été fait, et la suite est exactement ce que vous pouvez imaginer.

Le système gérait des machines virtuelles pour les utilisateurs, chacune avec son disque attaché et une lettre attribuée de A à Z. À la fin de la journée, le script de Miller, notre héros, faisait trois choses simples : il rattachait tous les disques, les sauvegardait sur un disque temporaire, puis effaçait les originaux. Le problème, c'est que le disque temporaire recevait une lettre dynamique, pas prédictible à l'avance. Donc Miller avait écrit du code pour récupérer cette lettre au moment où elle était attribuée.

Sauf que voilà. Un jour, l'entreprise ajoute un nouveau compte utilisateur. Et là, les 26 lettres de l'alphabet sont toutes occupées. Le système ne peut plus attribuer de lettre au disque temporaire. 

La fonction censée renvoyer la lettre ne renvoie pas une erreur, mais une astérisque. Sauf que dans la plupart des langages de scripting shell, l'astérisque est un caractère joker qui veut dire "tout ce que tu trouves". Quand la commande de suppression s'exécute avec un astérisque à la place d'une lettre précise, elle ne supprime pas un disque. Elle supprime tout. Chaque fichier, toutes les données, tout le code de l'entreprise.

Une journée complète a été nécessaire pour restaurer ce qui pouvait l'être. Une vingtaine de collègues sont restés à se tourner les pouces pendant la restauration. Miller, lui, a appris ce jour-là pourquoi le contrôle de code par un pair existe. Plus de quarante ans plus tard, il dit que la leçon ne l'a jamais quitté.

L'histoire date de 1981, mais elle reste actuelle à un détail près. Aujourd'hui, on a les revues de code, les sauvegardes incrémentales, les snapshots, les outils de récupération, et on confie quand même des scripts shell critiques à des assistants IA qui n'ont pas toujours conscience de ces pièges . L'astérisque parasite n'a pas disparu, elle a juste changé de support. Méfiance donc !

Source : The Register

Les cartes perforées, c'est le truc qu'on associe à l'informatique de grand papa. Des bouts de carton avec des trous dedans qui servaient à programmer les ordinateurs des années 1960. Personne n'aurait l'idée d'en utiliser aujourd'hui.

Sauf Bitroller , un bidouilleur qui a eu une autre idée : et si on imprimait des cartes perforées en 3D, qu'on les laissait dans un coffre, et qu'on les relisait avec une simple webcam ?

L'objectif n'est pas de programmer un ordinateur, c'est de stocker des données ultra-sensibles sur un support qui ne risque pas de s'effacer. Genre la clé d'un portefeuille crypto ou un mot de passe maître.

Chaque carte mesure une dizaine de centimètres de côté et stocke 16 octets de données utiles, plus 4 octets de correction d'erreur « Reed-Solomon ». Ce système permet de retrouver l'info même si la lecture est partiellement abîmée. Reed-Solomon, ce n'est pas exotique d'ailleurs, c'est la même famille de correction d'erreurs que celle qui fait tenir vos CD ou vos QR codes face aux rayures. C'est microscopique, oui. Mais pour stocker une clé cryptographique, c'est largement suffisant.

Screenshot

Le génie du projet tient dans la méthode de lecture. Pas de machine industrielle, pas de scanner spécialisé. Juste une webcam, posée au-dessus de la carte, avec un fond noir derrière. OpenCV, la bibliothèque libre de vision par ordinateur que tout le monde utilise pour ce genre de tâche, lit la carte entière d'un seul coup à partir du contraste entre le fond et le plastique blanc. Le créateur fournit deux scripts Python, un pour générer la carte à imprimer, l'autre pour la relire.

Le matériau choisi est du PLA, le plastique standard des imprimantes 3D grand public. C'est honnête pour un prototype, mais pas idéal pour de la longue durée. Bitroller le reconnaît : en acier inoxydable, ses cartes survivraient à un incendie sévère et resteraient lisibles dans plusieurs siècles. Le but n'est pas vraiment de bidouiller, c'est de proposer un vrai support d'archive longue durée.

Face à un vieux papier ou à une clé USB, la différence est évidente. Le papier brûle, la clé USB meurt après quelques années sans alimentation. Une carte perforée en métal traversera les décennies sans broncher. Et le fait que la lecture se fasse avec n'importe quelle webcam évite la galère du lecteur propriétaire qui n'existe plus dans dix ans. Bref, bonne idée. Vous pouvez voir le projet ici .

Source : Hackaday

Un développeur connu sous le pseudo ThroatyMumbo a réussi à porter Windows CE 2.11, un Windows allégé que Microsoft avait sorti à la fin des années 90 pour les petits assistants personnels et certains routeurs, sur une vraie console Nintendo 64

On ne parle pas d'un émulateur ici, mais bien d'une N64 qui démarre sur un vrai bureau Windows, avec sa barre des tâches, son explorateur de fichiers et la possibilité de lancer des programmes CE.

En 1994, Creative Labs, le fabricant des fameuses cartes son Sound Blaster, a sorti un truc complètement fou : la 3DO Blaster, une carte ISA (le format d'extension standard des PC de l'époque) qui contenait littéralement une console 3DO entière, prête à être greffée dans un PC 386 ou 486.

Tous les composants graphiques et audio de la machine y étaient embarqués. Le PC servait juste d'écran et de boîtier. Le prix à l'époque : 399,95 dollars, soit exactement le tarif d'une vraie console 3DO chez Panasonic. L'idée commerciale était géniale.

L'histoire est partie d'un changement de mot de passe fait pendant une cuite en 2014. Onze ans plus tard, le malheureux (" cprkrn " sur X) avait toujours ses 5 bitcoins coincés dans un portefeuille numérique dont la clé d'accès s'était totalement évaporée de sa mémoire.

À l'époque, ça valait quelques milliers de dollars. Aujourd'hui, c'est environ 400 000 $. De quoi avoir un peu mal au cœur.

Pour récupérer un portefeuille Bitcoin chiffré, il existe des outils comme btcrecover, un logiciel libre qui essaie des combinaisons de mots de passe en masse. Le problème, c'est qu'il faut une idée précise des variantes à tester, sinon on tape dans le vide pendant des années.

Notre trader avait justement passé des années à essayer sans succès. Et puis il a demandé un coup de main à Claude, l'assistant IA d'Anthropic, l'un des principaux concurrents d'OpenAI.

Claude a fait trois choses concrètes. D'abord, il a fouillé dans les archives d'un vieux disque de fac pour y dénicher une sauvegarde du portefeuille datant de décembre 2019, qui était passée inaperçue. Ensuite, il a repéré un bug de configuration dans btcrecover qui empêchait l'outil de combiner correctement les variantes de mot de passe. Et une fois le bug corrigé, la machine s'est lancée pour de bon.

Résultat : 3 500 milliards de mots de passe testés avant de tomber sur le bon. Le portefeuille s'est ouvert, les 5 bitcoins sont apparus, et notre type a récupéré un pactole oublié.

Cette histoire n'est pas anecdotique en fait. Un nombre énorme de bitcoins sont aujourd'hui considérés comme perdus à jamais, parce que les propriétaires ont oublié leur mot de passe, perdu leur disque dur, ou jeté la mauvaise clé USB.

On parle de plusieurs millions de Bitcoins immobilisés pour rien. Si l'IA peut aider à en récupérer une partie, c'est tout benef, même si la méthode ne marche pas dans tous les cas. Il fallait quand même la sauvegarde du wallet pour que ça fonctionne.

À noter que ce genre d'usage commence à devenir une tendance. Les services de récupération de portefeuilles crypto, comme Wallet Recovery Services, intègrent désormais des modèles d'IA dans leur process pour orienter les attaques par force brute.

Là où une machine essayait bêtement toutes les combinaisons possibles, l'IA peut deviner les habitudes du propriétaire et tester en priorité les variantes les plus probables. Ce qui change tout, parce que le nombre total de combinaisons possibles est en général astronomique.

Bref, ne changez jamais un mot de passe à 3h du matin après quelques verres. Et si c'est déjà fait, gardez l'espoir, Claude a peut-être une idée.

Source : Tom's Hardware

Le LiDAR, c'est cette techno qui mesure des distances en envoyant des impulsions laser et en chronométrant leur retour, un peu comme un sonar, mais avec de la lumière. On en entend parler surtout pour les voitures autonomes ou les robots aspirateurs.

Mellow Labs , une chaîne qui bidouille du hardware, s'est procuré un capteur LiDAR un peu particulier : un modèle matriciel. C'est-à-dire un capteur qui ne mesure pas une seule distance droit devant lui, mais toute une grille de points d'un coup.

La Mary Rose, c'était le navire de guerre préféré d'Henri VIII. Il a coulé en 1545 au large de Portsmouth, son épave a été retrouvée en 1971 puis remontée en 1982, et depuis, tout ce qu'elle contenait fascine les historiens.

Parmi les objets sortis de la coque, il y avait des armes assez mystérieuses : d'énormes fléchettes qui semblaient conçues pour transporter une charge incendiaire. Personne ne savait vraiment comment elles fonctionnaient. Tod's Workshop, une chaîne YouTube spécialisée dans la reconstitution historique « testée pour de vrai », vient de s'attaquer à la question avec d'autres passionnés.

500 000 dollars. C'est le prix d'entrée annoncé pour le GD01 d'Unitree, un robot mecha de 2,7 mètres de haut que vous pouvez littéralement piloter depuis son torse, façon Pacific Rim version chinoise. Unitree, le fabricant chinois déjà connu pour ses chiens-robots quadrupèdes, passe au stade de la production en série pour son engin transformable.

Le robot pèse 500 kilos avec son pilote à bord, soit clairement plus qu'un quad de loisir. Sa particularité, et c'est là qu'on bascule dans le délire science-fiction, c'est qu'il peut passer de la marche bipède à un mode quadrupède pour les terrains plus accidentés.