Pour moi, 2024 a été l'année noire de nos données personnelles en France. Et 2025 n'a pas corrigé le tir, bien au contraire. L'année qui s'est écoulée a juste confirmé qu'on était entrés dans une espèce de routine du "demain ce sera pire". Y'a pas eu un secteur épargné, pas un organisme qui n'a pas été touché. Santé, télécom, grande distribution, services publics, fédérations sportives... C'est un festival du piratage qui s'est abattu sur l'Hexagone ces 2 dernières années.

Et SaxX, le hacker éthique que vous connaissez surement, vient de publier sur son LinkedIn un bilan édifiant : 48 organisations françaises piratées en un an. La liste fait froid dans le dos.

En réalité c'est même plus que ça, puisque ça a commencé dès février 2024 avec le piratage massif de Viamedis et Almerys, les deux opérateurs de tiers payant qui gèrent la quasi-totalité des remboursements santé en France. Plus de 33 millions de Français concernés, avec leurs noms, numéros de sécu, dates de naissance... Pas les données bancaires certes, mais suffisamment pour monter des arnaques à l'usurpation d'identité bien ficelées.

Un mois plus tard, en mars 2024, c'est France Travail qui tombait. L'ex-Pôle Emploi s'est fait siphonner les données de potentiellement 43 millions de personnes inscrites au cours des 20 dernières années. Le pire c'est que la direction avait été alertée sur des faiblesses de sécu avant l'attaque. Des suspects ont été arrêtés... et c'était des gamins. Des gamins qui ont quand même eu accès aux données de la moitié du pays.

Septembre 2024 a aussi été un carnage. Un seul pirate, sous le pseudo Horror404x, a réussi à compromettre Boulanger (jusqu'à 27 millions de "lignes" revendiquées), Cultura (entre 1,5 et 2,6 millions de comptes selon les sources), Truffaut (270 000 comptes), Grosbill, Cybertek, et même l'Assurance Retraite (des centaines de milliers de retraités). Comment ? Simplement en ciblant un prestataire commun lié aux systèmes de livraison. Un seul maillon faible, et c'est toute la chaîne qui cède.

Puis en octobre-novembre 2024, ce sont les opérateurs télécoms qui se sont fait dépouiller. Free d'abord, avec plus de 19 millions de clients touchés, dont plusieurs millions avec des IBAN dans la nature. Et là, on est dans le bingo complet avec identité + coordonnées + infos contractuelles + IBAN = terrain parfait pour les arnaques "faux conseiller", les prélèvements frauduleux, les ouvertures de comptes. Ces derniers risquent d'ailleurs une amende pouvant aller jusqu'à 48 millions d'euros . Puis SFR a suivi avec au moins deux épisodes : une première fuite autour de 50 000 clients à l'automne 2024, puis des millions revendiqués ensuite. N'oubliez pas, quand ça nie, quand ça minimise, quand ça traîne... ça laisse juste plus de temps aux escrocs.

Et autour de ces gros blocs, y'a eu surtout une pluie d'incidents plus petits : Auchan, Picard, Molotov, LDLC, Norauto, Meilleurtaux... Sans oublier Direct Assurance, Speedy, Point S. Bref, 2024, c'est l'année où on a compris que ça touchait TOUT LE MONDE.

Et puis 2025 arrive, et là, le grand délire. Le piratage de nos données n'est plus une exception... Ce n'est plus un accident... C'est une industrie.

Début 2025, on voit apparaitre à nouveau des attaques "système"... C'est à dire des fournisseurs, des prestataires, des outils utilisés partout qui se font poutrer. L'exemple parfait c'est Harvest (logiciels financiers) et, par ricochet, des clients de MAIF et BPCE. Même logique que ce qu'on a eu en 2024... On tape un intermédiaire, et ça permet de toucher une grappe entière dans un secteur donné. Puis sans surprise, au printemps 2025, ça tombe comme des mouches : Intersport, Autosur, Cerballiance, Indigo, Afflelou, Carrefour Mobile, Easy Cash, Hertz... Et derrière chaque nom, c'est toujours la même chanson : "pas de données bancaires" (ok), mais tout le reste suffit largement pour faire de la merde.

L'été 2025, on a eu droit à des cibles plus "haut niveau" : Sorbonne Université, CNFPT, des acteurs santé, et côté marques : Dior, Louis Vuitton, Cartier... Côté transport y'a eu Air France et côté télécom, Bouygues Telecom ! On n'est plus sur un site e-commerce qui s'est fait péter via un formulaire php mal sécurisé...non, on est sur du volume, des identifiants, des IBAN, des chaînes d'approvisionnement complètes...

Ensuite, à l'automne 2025, c'est la sphère "sport" et "administrations" qui se fonbt hacher menu : des fédérations en cascade (souvent via des outils mutualisés), France Travail qui ressort encore, la Fédération Française de Tir (via un prestataire), et des histoires d'ARS qui donnent des sueurs froides.

Et la fin 2025, c'est la cerise radioactive sur le gâteau puisqu'on a Pajemploi, HelloWork, Leroy Merlin, Mondial Relay, Colis Privé, Eurofiber, Weda, Resana, Médecin Direct, Cuisinella, La Poste (attaque qui met à l'arrêt des services au pire moment, je pense que vous en avez tous entendu parler), le Ministère de l'Intérieur, le Ministère des Sports, PornHub...

On termine donc l'année en beauté avec l'impression que tout le monde est une cible "normale". 9 personnes sur 10 en France ont été touchées d'après SaxX. C'est dingue quand même.

Et ce qui me fait bouillir de rage, c'est qu'on est coincés, putain.

Réfléchissez deux secondes... Vous cherchez un emploi ? Vous êtes OBLIGÉS de vous inscrire à France Travail et de leur filer votre vie entière. Vous voulez être remboursé de vos frais de santé ? Pas le choix, c'est Viamedis ou Almerys. Vous voulez un téléphone ? Free, SFR, Orange... Et votre numéro de sécu, votre IBAN, votre adresse. Vous voulez une retraite (loool) ? La CNAV veut tout savoir. Et si vous refusez de donner ces infos ? Vous êtes tout simplement hors-la-loi. Pas d'emploi, pas de remboursement santé, pas de téléphone, pas de retraite. Fin de partie.

Donc le deal c'est soit vous filez vos données personnelles à des organismes qui se feront pirater tôt ou tard, soit vous vivez en ermite dans une grotte en dehors de la société. Super choix 👍.

Et qu'est-ce qu'on a en échange de cette "confiance" forcée ?

On a des systèmes d'information qui ressemblent à des passoires, des prestataires sous-payés qui deviennent des portes d'entrée open bar pour les hackers, et des communications de crise qui arrivent des semaines après les faits. "Vos données bancaires ne sont pas concernées" nous rabache-t-on à chaque fois, comme si c'était une consolation alors que notre identité COMPLÈTE est en vente pour le prix d'un Happy Meal.

Et ce qui m'inquiète le plus, c'est l'effet cumulatif car chaque fuite isolée peut sembler "gérable" mais quand vous croisez les bases de Viamedis (numéro de sécu), France Travail (historique pro), un opérateur télécom (IBAN), un distributeur (habitudes de conso)... Vous obtenez un profil complet exploitable. Y'a 600 millions de comptes qui sont partis dans la nature rien que cette année... Donc de quoi monter des arnaques ultra-ciblées, des usurpations d'identité sophistiquées, voire du chantage.

Et dans certains cas, ça va encore plus loin... Regardez le piratage de la Fédération Française de Tir avec le gars qui s'est fait attaquer chez lui ...Et c'est pas le seul... Ça montre jusqte à quel point une fuite peut devenir un risque "hors écran". Quand on sais qui est licencié, où il habite, comment le joindre... on peut mettre en place très facilement du repérages, des pressions, du ciblage. Et là, j'vous parle de risque physique, pas juste de spam ou de démarchage au téléphone. Et ça sera la même violence avec leur future loi pour collecter toutes les datas des propriétaires de wallet crypto self-custody.

Bref, je sens ce malaise qui monte de plus en plus car on nous demande toujours plus d'infos. Pour ouvrir un compte, pour s'inscrire quelque part, pour accéder à un service... et vous comme moi, savons pertinemment que ces infos vont fuiter un jour. C'est pas "si", c'est "quand", perso, j'en ai ma claque... ça commence à bien faire.

Alors voilà ma vraie question, celle que nos chers élus devraient se poser : A-t-on vraiment besoin de collecter autant de données ?

Pourquoi France Travail a besoin de garder mes infos pendant 20 ans ? Pourquoi mon opérateur télécom doit connaître mon adresse postale exacte ? Pourquoi ma carte de fidélité Auchan doit être liée à mon identité complète ? Est-ce qu'on pourrait pas, je sais pas moi, minimiser un peu tout ça ?

Et surtout, est-ce qu'on pourrait pas trouver un système qui nous permettrait de prouver notre identité sans avoir à déballer notre vie entière ? Genre juste vérifier que oui, je suis majeur, que oui, j'habite en France, sans pour autant filer mon adresse, mon numéro de téléphone, ma photo, ma carte d'identité et la liste de tous mes comptes en banque. Ces technologies existent et y'a déjà des solutions de type zero-knowledge proof. Ça fait des années que je vous en parle, mais apparemment, c'est plus simple de continuer à empiler des bases de données géantes qui finiront toutes par être piratées.

On a une CNIL qui fait ce qu'elle peut avec les moyens du bord. On a une ANSSI qui alerte et recommande. Mais où est la vraie réflexion ? Où sont les députés et les ministres qui se posent la question de la minimisation des données ? Où est le débat sur les alternatives à ce système de merde où le citoyen est obligé de tout donner pour exister socialement ?

Parce que là, on nous demande de "rester vigilants face au phishing" (lol), de "vérifier nos comptes", de "changer nos mots de passe régulièrement"... Bref, de gérer les conséquences de leurs négligences. C'est un peu comme demander aux passagers du Titanic de vider l'eau avec des seaux pendant que le capitaine continue à foncer droit sur l'iceberg suivant.

Voilà, pour moi ce bilan 2024-2025, c'est pas juste une liste de chiffres. C'est le symptôme d'une société qui a numérisé jusqu'à l’écœurement nos vies en marche forcée sans jamais se poser les bonnes questions. On a foncé tête baissée dans la collecte massive de données "parce que c'est pratique, tkt", sans jamais se demander si on en avait vraiment besoin, et sans jamais investir sérieusement pour les protéger.

Alors à nos chers décideurs, j'ai envie de dire réveillez-vous bande de moules !! Car le prochain gros piratage, c'est pas dans 10 ans, hein, c'est dans les prochains mois. Et ce sera encore 30 ou 40 millions de Français qui verront leurs données dans la nature. Ça vous semble normal ? Moi non, et je mettrais ma main à couper que je suis pas le seul à en avoir ras-le-bol.

Merci à SaxX pour ce travail de compilation et d'alerte !

Vous vous rappelez de votre PlayStation 2, cette bonne vieille console qui a bercé les années 2000 avec ses GTA, ses Final Fantasy et ses Pro Evolution Soccer ? Et bien figurez-vous que Sony avait sorti à l'époque un kit officiel pour transformer la machine en PC sous Linux. D'abord au Japon en 2001, puis aux États-Unis en 2002. Oui, officiellement, fait par Sony.

C'était complètement dingue quand on y pense !

Le kit PS2 Linux (compatible uniquement avec les modèles "fat" avec baie d'extension) comprenait tout un attirail de ouf : un disque dur IDE de 40 Go, un adaptateur réseau (qui faisait aussi office d'interface IDE), un adaptateur VGA pour brancher la console sur un moniteur compatible (sync-on-green requis), une carte mémoire de 8 Mo (requise mais non incluse), et même un clavier et une souris USB aux couleurs de la PlayStation. Sony avait vraiment mis le paquet sur la qualité de ces périphériques, avec un clavier qui avait un toucher plutôt agréable pour l'époque.

Côté électronique, la PS2 embarquait un processeur MIPS R5900 (le fameux Emotion Engine) et le système tournait sur un kernel Linux 2.2.1 basé sur Kondara MNU/Linux (une distro japonaise dérivée de Red Hat). Par contre, avec seulement 32 Mo de RAM, fallait pas s'attendre à des miracles. Le système incluait quand même l'environnement de bureau Window Maker, un gestionnaire de fenêtres old school mais terriblement classe avec son petit pingouin.

Ah, Final Fight sur Mega Drive... Si vous avez vécu la déception du portage SNES à l'époque (un seul joueur, Guy aux abonnés absents, des stages raccourcis), vous savez de quoi je parle. Capcom nous avait bien eu sur ce coup-là.

Du coup quand j'ai découvert qu'un développeur brésilien du nom de Mauro Xavier avait décidé de recréer le jeu de zéro pour notre bonne vieille 16 bits de Sega, j'ai évidemment été voir ça de plus près. Et le résultat est vraiment dingue.

Final Fight MD propose les 3 personnages de l'arcade (Cody, Guy et Haggar) plus Maki en bonus (oui, celle de Final Fight 2 !), tous les stages, tous les ennemis, tous les boss... Bref, la vraie version arcade complète, et pas la version amputée qu'on nous avait refourgué sur console.

Et le truc qui m'a fait triper, c'est qu'on peut jouer jusqu'à 3 joueurs en simultané grâce au support du SEGA Team Player ou du EA 4-Way Play. Trois potes dans le même salon à tabasser du Mad Gear, comme au bon vieux temps des bornes d'arcade... C'est ti pas beau ça ?

Le projet vient de sortir sa version 0.92b "Christmas 2025" avec une tonne de corrections de bugs et d'améliorations. Je vous passe le changelog complet qui fait des kilomètres, mais sachez que ça inclut un système de sauvegarde SRAM, 60 succès à débloquer, un mode Jukebox pour écouter les musiques, et des tas d'options de personnalisation. Vous pouvez même régler la difficulté, le nombre de vies, activer ou non les continues...

Et le plus impressionnant dans tout ça, c'est que le jeu a été codé entièrement from scratch. Y'a pas une ligne de code original de Capcom, puisque tout a été recréé par Mauro Xavier et son équipe (Edmo Caldas pour la musique, Master Linkuei pour le support technique). Et y'a même les sprites des personnages qui ont été redessinés pour coller au style Mega Drive.

Le projet est bien sûr toujours en cours de développement mais la version actuelle est déjà super stable et jouable. Et quand ce sera terminé, ça sera gratuit les amis !

Voilà, si vous êtes fan de rétrogaming et de beat'em all old school, foncez télécharger la ROM sur itch.io . Vous m'en direz des nouvelles ^^

Merci à Lorenper pour le partage !

Vous avez un Steam Deck, un Lenovo Legion Go ou un ROG Ally qui traîne dans un coin parce que pas le temps de jouer, vous avez trop de boulot... Je connais bien vous inquiétez pas.

Mais si je vous disais que ce petit truc qui prend la poussière peut devenir votre meilleur allié pour les audits de sécurité discrets ?

Mais siii ! J'vous jure !

C'est en tout cas ce que propose Balor , un framework offensif fraîchement sorti et développé par Jean-Claude Charrier , qui grâce à ça peut d'un coup, transformer votre console gaming en une station de pentest portable.

Son concept est parti d'un constat simple... Quand vous débarquez en mission de pentest avec un cahier des charges qui exige de la discrétion, sortir un WiFi Pineapple c'est un peu comme débarquer en costard dans un festival de métal. Ça se voit !! Mais avec une console portable gaming par contre, vous avez juste l'air d'un type qui fait une pause entre deux réunions.

Ni vu ni connu, j't'embrouille !

Balor tourne sous CachyOS et Arch Linux, s'installe en une dizaine de minutes et embarque pas moins de 8 stacks pour environ 130 options au total. Côté WiFi, vous avez aircrack-ng, wifite, bettercap et même des versions de Wifiphisher réécrites spécialement pour Python 3.13. Pour l'OSINT, c'est Maltego, theHarvester, Shodan et compagnie. Et y'a aussi du Metasploit, Burpsuite, Nmap, Masscan, SQLMap, Hashcat, John the Ripper... Bref, la totale.

Le truc sympa c'est que tout passe par un wrapper unique appelé "balorsh". Vous tapez balorsh wifi et hop, le menu WiFi apparaît ! Pareil pour balorsh llm qui lance un assistant IA local via Ollama avec des personas adaptés comme Red Team pour l'offensif, Blue Team pour le défensif, Purple Team pour mixer les deux...etc.

L'installation se fait via un script qui dépose tout dans /opt/balorsh/data/ et la désinstallation est tout aussi propre. En plus chaque stack est modulaire, donc si vous n'avez besoin que du cracking de mots de passe, vous installez juste cette partie. Pour les sysadmins qui voudraient comprendre les workflows pentest sans se taper toute la doc, c'est aussi un bon point d'entrée. Genre enchaîner theHarvester, amass, massdns et httprobe pour du recon, ça devient accessible même sans être certifié OSCP ^^.

Côté limitations, Balor reste exclusif à l'écosystème Arch/CachyOS mais rassurez-vous, un portage Debian est envisagé si la demande suit.

Perso je trouve l'approche vraiment bien trouvée et le fait que ce soit un projet français plutôt qu'une énième distro sécu américaine corporate, ça fait plaisir. Voilà, par contre comme d'hab, c'est un outil pour les audits autorisés uniquement avec contrat signé, et pas pour aller embêter le WiFi du voisin, hein ^^.

Alors déconnez pas !

Encore merci à Jean-Claude d'avoir partager sa création avec moi.

Vous utilisez un VPN ou Tor pour protéger votre vie privée en ligne et vous pensez être tranquille derrière votre petit tunnel chiffré ?

Que nenni les amis ! Car un chercheur vient de montrer qu'il existe une technique pour démasquer les proxies TCP... et ça concerne potentiellement votre VPN aussi. Du coup, même si vous faites tout bien, y'a quand même moyen de vous griller.

Le projet s'appelle Aroma et son principe est redoutable car au lieu de chercher à identifier votre IP ou analyser votre trafic, il se contente de mesurer le temps de réponse de vos paquets TCP. C'est un peu comme si on pouvait deviner que vous portez un déguisement de dinosaure gonflable juste en chronométrant le temps que vous mettez à venir répondre à la porte (vous avez l'image ?).

Car oui, le ratio entre le RTT minimum et le RTT lissé donne un score. Connexion directe ? Ratio entre 0.7 et 1. Proxy TCP ? Ça chute en dessous de 0.3. Et sous 0.1, c'est quasi certain que vous passez par un intermédiaire.

Bref, ça s'appuie sur un principe physique qu'on ne peut pas contourner qui est la vitesse de propagation dans la fibre. Un RTT de 4 millisecondes correspond à environ 400 km max en ligne droite. Ça permet de poser comme une borne théorique sur la distance réelle entre le serveur et son interlocuteur direct.

Et pour les utilisateurs de Tor, la nuance est importante car le site distant voit la connexion avec l'exit node, donc le RTT mesuré côté serveur reflète surtout le chemin serveur ↔ exit node, pas l'ensemble du circuit. Donc c'est OK mais si l'exit node lui-même passe par un proxy TCP, là ça peut poser problème.

Maintenant côté contre-mesures, j'avoue c'est pas simple car cette technique ne repose pas sur des listes d'IP connues ou du fingerprinting de navigateur, donc les méthodes habituelles ne servent à rien. Toutefois en théorie, un proxy physiquement très proche (moins de 1ms de latence ajoutée) pourrait passer sous le radar...

J'ai trouvé cet outil intéressant car ça montre que même avec les meilleures protections logicielles, y'a des contraintes physiques fondamentales qu'on ne peut pas contourner. La bonne nouvelle c'est que pour l'instant, Aroma reste un proof of concept que vous pouvez tester ici , mais bon, rien n'empêche un gouvernement autoritaire (ou pas) de pousser le curseur un peu plus loin...

Vous avez des cartouches Super Nintendo qui prennent la poussière dans un carton au grenier et en même temps une vague culpabilité de jouer à ces mêmes jeux en ROM sur votre Steam Deck ? Alors on va remédier à cela grâce à Epilogue qui a la solution pour mettre votre conscience au repos tout en profitant de vos jeux légalement sur n'importe quel appareil.

Leur nouveau gadget s'appelle le SN Operator et c'est un dock USB-C dans lequel vous insérez vos cartouches SNES ou Super Famicom. Ensuite vous branchez ça à votre PC (ou Mac, ou Steam Deck, ou même un Raspberry Pi), et hop vous pouvez jouer à vos jeux originaux via leur émulateur maison Playback . Pas besoin de télécharger des ROMs douteuses sur des sites chelous, vos propres cartouches font le taf.

Bon, je vais essayer de poser les choses calmement, parce que ce que je vais vous raconter aujourd'hui, c'est peut-être le changement le plus profond qu'on ait vu sur le web depuis l'arrivée des moteurs de recherche. Et je pèse mes mots.

J'ai découvert via un post sur Linkedin de Laurent Bourrelly (merci !) que Google venait de lancer ce qu'ils appellent la « Vue Dynamique » dans Gemini.

Derrière ce nom un peu corporate se cache quelque chose de vertigineux. Au lieu de vous donner une réponse textuelle comme le fait ChatGPT ou Perplexity, Gemini génère maintenant des interfaces complètes, des mini-applications, des pages web interactives créées à la volée, spécialement pour votre question.

Vous demandez un comparatif de NAS ? Vous n'obtenez pas un texte avec des bullet points. Vous obtenez une interface avec des onglets, des sliders pour filtrer par prix, des cartes interactives avec les specs de chaque modèle.

Vous voulez un tutoriel pour installer Linux ? Vous n'aurez pas une liste d'étapes, mais un guide interactif avec des boutons, des cases à cocher pour suivre votre progression, peut-être même une galerie d'images générées pour illustrer chaque étape.

Et ça fonctionne incroyablement bien sur le web via gemini.google.com ! Pour l'instant c'est réservé aux comptes personnels, c'est encore un peu capricieux (ça apparaît, ça disparaît, Google teste), et ça peut prendre entre 30 et 90 secondes pour générer une réponse complexe. Mais le résultat est vraiment bluffant.

Ce que ça va changer...

Imaginez 2 secondes les usages de cette techno... Vous cherchez quel GPU acheter pour votre config gaming ? Au lieu de parcourir 15 sites de benchmarks, de comparer des tableaux sur Tom's Hardware et de croiser avec les prix sur LDLC, vous posez la question à Gemini et vous obtenez une application comparative générée instantanément. Même chose pour choisir un forfait mobile, comprendre les différences entre distributions Linux, trouver la meilleure recette de carbonara, ou planifier un voyage avec maps et itinéraires intégrés.

L'information brute, celle qu'on allait chercher sur des dizaines de sites, est maintenant synthétisée et présentée dans une interface sur-mesure. Plus besoin de naviguer de site en site, de supporter les popups de cookies, les pubs intrusives, les paywalls...etc. L'IA fait le boulot et vous livre le résultat dans un emballage propre. En quelques seconde, je me suis fait mon site d'actu tech perso...

Et voilà le problème.

La mort annoncée des sites d'information

Parce que si l'IA peut générer une meilleure expérience que nos sites web pour répondre à une question factuelle, pourquoi les gens iraient-ils encore sur nos sites ?

On connaissait déjà la menace des réponses IA dans les résultats Google. Vous savez, ces encarts qui répondent à votre question avant même que vous cliquiez sur un lien. Ça, c'était le premier coup de semonce. Mais la Vue Dynamique, c'est un autre niveau. Ce n'est plus juste une réponse qui s'intercale entre vous et l'internaute. C'est le remplacement pur et simple de l'expérience web traditionnelle.

Tous les sites qui vivent de l'information brute vont morfler. Les comparateurs de prix, les guides d'achat, les tutoriels techniques basiques, les FAQ, les sites de recettes... Tout ce qui peut être synthétisé, structuré et présenté de manière plus efficace par une IA va perdre sa raison d'être. Et croyez-moi, OpenAI ne va pas rester les bras croisés et Perplexity non plus. Dans quelques mois, ils auront tous leur version de cette techno. C'est inévitable.

Et demain, ce ne sera peut-être même plus des interfaces visuelles. Ce seront des assistants vocaux, des agents autonomes, des robots qui viendront chercher l'information sans jamais afficher une seule page web. L'information transitera directement de la source vers l'utilisateur, sans passer par la case « visite d'un site ».

Alors, c'est foutu ?

Hé bien... oui et non.

Oui, c'est foutu pour un certain type de contenu. L'information pure et dure, factuelle, sans valeur ajoutée éditoriale, va devenir une commodité. Quelque chose que l'IA génère gratuitement, instantanément, dans un format optimisé. Personne n'ira plus sur un site pour lire « comment formater un disque dur sous Windows » ou « comment nettoyer Windows 11 » quand Gemini lui construit un guide interactif personnalisé en 30 secondes.

Mais ce n'est pas foutu pour autant pour tout le monde. Et c'est là que ma réflexion devient plus personnelle...

Je pense que les sites qui vont survivre, et peut-être même prospérer, sont ceux qui apportent quelque chose que l'IA ne peut pas synthétiser. Une voix, une personnalité, un point de vue, une opinion, une analyse originale et le plaisir de lire quelqu'un. C'est peut-être la mort des sites conçus uniquement pour le SEO et du journalisme neutre et anonyme tel qu'on le pratique aujourd'hui et le grand retour des blogs à une voix ? Qui sait ?

Parce qu'au fond, pourquoi est-ce que vous me lisez ? Est-ce que c'est vraiment pour savoir comment installer Ollama ou pour connaître cette dernière faille de sécurité ? Ou est-ce que c'est aussi parce que vous aimez la manière dont je raconte les choses, les sujets que je choisis, le ton que j'emploie, les réflexions que je partage ? Si c'est juste pour l'info brute, alors oui, vous pourriez aller sur Gemini. Mais si c'est pour le reste, pour la relation qu'on a construite au fil des années, pour cette confiance qui s'est établie, alors aucune IA ne peut remplacer ça.

Les deux voies de survie

De mon point de vue, il y a désormais deux façons pour un créateur de contenu de survivre dans ce nouveau paysage.

La première, c'est de devenir fournisseur de données pour ces IA. Les bots vont continuer à crawler le web pour alimenter leurs modèles. Et ils auront besoin de données fraîches, de données originales, de données structurées. Les sites qui seront capables de produire cette matière première, et qui négocieront correctement avec les géants de l'IA pour être rémunérés, pourront peut-être s'en sortir. Mais attention, ça implique de repenser complètement la façon dont on structure son contenu, de le rendre lisible par les machines, d'accepter que ce qu'on produit sera digéré et régurgité par une IA. C'est un business model possible, mais c'est un sacré changement de paradigme.

La seconde voie, c'est de cultiver l'humain. De créer du contenu que les gens veulent lire pour le plaisir de lire, pas juste pour extraire une information. Des analyses, des opinions, des prises de position, du divertissement, de l'émotion. Un blog, une newsletter , un Patreon , des lives Twitch , une présence LinkedIn Korben ... Tout ce qui crée une relation directe avec les lecteurs. Parce que cette relation, l'IA ne peut pas la reproduire. Elle peut synthétiser mes articles, mais elle ne peut pas être moi.

Et moi dans tout ça ?

Je ne vais pas vous mentir, ça fait réfléchir. Ça fait même un peu flipper. Mais en même temps, je réalise que c'est exactement le virage que j'ai commencé à prendre ces dernières années, de manière un peu inconsciente, sans vraiment voir venir cette révolution technologique.

Je suis tout seul. Je n'ai pas d'employés. Je ne peux pas rivaliser avec les gros médias tech sur la quantité ou la rapidité (quoique... ^^). Par contre, j'ai toujours cherché à me différencier. Déjà par ma sélection de sujets, que la plupart du temps, on ne retrouve nulle part ailleurs, par ma manière de les aborder, par ma façon d'écrire, par ma façon de communiquer avec vous...

Et demain, cette différence va devenir encore plus importante. Parce que ce qui ne sera pas différent, ce qui sera de l'information générique, ça va disparaître dans le bruit des réponses IA. Seuls les contenus qui apportent quelque chose d'unique, une perspective qu'on ne trouve pas ailleurs, une voix reconnaissable, une relation authentique, auront leur place.

Est-ce que j'y arriverai ? Je ne sais pas. Est-ce que les autres y arriveront ? Je ne sais pas non plus. Mais je trouve le challenge passionnant. Et je me sens suffisamment conscient de ce qui se passe, suffisamment bien équipé techniquement (j'utilise l'IA tous les jours pour mon travail, et je structure déjà mon contenu pour qu'il soit digeste par les machines), pour essayer de prendre cette vague.

Pour conclure

Google vient de mettre un énorme coup de poing sur la table. La Vue Dynamique de Gemini, c'est pas juste une nouvelle feature sympa... C'est l'annonce d'un changement de paradigme. Le web tel qu'on le connaît, avec des humains qui naviguent de site en site pour collecter de l'information, ce web-là est en train de mourir.

Ce qui va rester, ce sont comme je vous le disais, d'un côté, des fournisseurs de données qui alimenteront les IA. De l'autre, des créateurs qui cultiveront une relation directe avec leur audience, qui apporteront de la valeur par leur voix, leur personnalité, leur point de vue. Mon pari, c'est qu'en tant que média / blog / site web, nous devront être les 2 faces de cette même pièce pour ne pas disparaitre.

Je suis assez serein parce que c'est ce que je fais depuis 20 ans, même si je ne n'appelle pas ça comme ça. Et parce que je crois fondamentalement qu'il y aura toujours des gens qui voudront lire quelqu'un, et pas juste lire "quelque chose".

On verra bien si j'ai raison. On verra bien si je me plante. Mais ça va être un sacré voyage, et je suis content de le faire avec vous... Car tant qu'il y aura des gens pour me lire (vous !), et tant que ça m'amusera de partager tout ça avec vous, je ne bougerai pas d'ici ^^

Vous êtes sous Windows et vous avez déjà rêvé de taper sudo comme les vrais bonhommes sous Linux ?

Alors votre vie va changer car c'est maintenant possible grâce à l'implémentation divine de Microsoft (attention, c'est pas un port de sudo Unix, c'est leur propre version...).

En effet, Microsoft a intégré la commande sudo dans Windows 11 (version 24H2) et contrairement à ce qu'on pourrait penser, c'est pas juste un gadget pour faire genre. Ça sert vraiment... Par contre, la fonctionnalité est désactivée par défaut. Mdrrr.

Pour l'activer, vous allez dans Paramètres, puis Système, puis « Pour les développeurs », et vous activez l'option sudo. Et hop, c'est prêt.

Ensuite, y'a trois modes d'exécution et c'est là que ça devient intéressant. Le mode « Nouvelle fenêtre » ouvre un terminal admin séparé après validation UAC. Le mode « Avec entrée désactivée » exécute tout dans la même fenêtre mais vous pouvez plus interagir avec le processus. Et le mode « Inline », le plus proche de l'expérience Linux, garde tout dans votre fenêtre actuelle avec interaction complète.

Alors concrètement, ça sert à quoi ?

Déjà pour winget ça permet d'installer des logiciels directement depuis votre terminal utilisateur. Un petit sudo winget install --id VideoLAN.VLC et c'est réglé. Pas besoin de fermer votre session, ouvrir PowerShell en admin, retaper vos commandes...

Ensuite pour le debug réseau, quand vous voulez savoir quel processus monopolise un port, un sudo netstat -ab vous donne les noms des processus. L'option -b nécessite des droits admin pour fonctionner, donc sans sudo vous ne verrez que les PID (avec -o). Relou non ?

Et mon préféré c'est pour éditer le fichier hosts. Vous savez, ce fichier planqué dans C:\Windows\System32\drivers\etc\ qu'on peut jamais modifier parce qu'il faut des droits admin ? Hé bien maintenant un sudo notepad %windir%\system32\drivers\etc\hosts et c'est parti. Fini les galères de « Exécuter en tant qu'administrateur » puis naviguer jusqu'au fichier.

Bon, y'a quand même une limite importante par rapport à Linux...

Sous Linux, sudo garde vos identifiants en cache pendant quelques minutes par défaut (configurable via sudoers), donc vous tapez le mot de passe une fois et ensuite c'est tranquille. Alors que sous Windows avec les réglages UAC standards, vous aurez une validation à chaque commande sudo. C'est un peu lourd mais c'est le prix de la sécurité façon Microsoft

Bref, c'est pas la révolution du siècle, mais c'est un petit confort bien appréciable au quotidien. Si vous passez régulièrement de Linux à Windows, vous allez enfin pouvoir garder vos réflexes sans avoir à vous adapter et si vous êtes pur Windowsien, vous découvrez peut-être une façon plus classe de gérer les droits admin que le clic droit « Exécuter en tant qu'administrateur » qu'on connaît tous.

Source

Ça va ? Vous avez passé un bon Noël ? Bien mangé ? Les cadeaux étaient cool ? Tant mieux pour vous, car de son côté, Tim Cook, a passé le sien à se faire lyncher sur X parce qu'il a posté une illustration de lait et cookies pour promouvoir Pluribus , la nouvelle série Apple TV+.

Pourquoi me direz-vous ? Et bien parce que tout le monde est persuadé que c'est de la bonne vieille image générée par IA.

Faut dire qu'il y a pas mal d'indices qui sèment le doute... John Gruber de Daring Fireball a été le premier à tirer la sonnette d'alarme en pointant du doigt des détails bien chelous dans l'image. Le carton de lait affiche à la fois « Whole Milk » ET « Lowfat Milk » sur ses étiquettes. Comme si le designer avait voulu cocher toutes les cases en même temps ^^ Et le labyrinthe « Cow Fun Puzzle » sur le carton ? Ben il est impossible à résoudre. Enfin si, mais uniquement en passant autour du labyrinthe, pas dedans. C'est de l'IA tout craché.

D'ailleurs, Ben Kamens, un expert qui venait justement de publier un article sur les labyrinthes générés par IA, a confirmé que l'image présentait les « caractéristiques typiques » des IA qui galèrent avec ce genre de truc. Et Gruber a aussi fait remarquer qu'on ne voit jamais de puzzles sur des cartons de lait (qui sont cireux et difficiles à imprimer) mais plutôt sur des boîtes de céréales. Comme si l'IA avait mélangé deux concepts...

Apple TV+ a répondu en créditant un certain Keith Thomson comme artiste, précisant que l'œuvre avait été « créée sur MacBook Pro ». Sauf que personne n'a tagué ce Keith Thomson et quand Slashdot l'a contacté, le bonhomme a refusé de commenter spécifiquement le projet, se contentant de dire qu'il « dessine et peint toujours à la main et utilise parfois des outils numériques standard ».

Traduction : Un esquive de niveau olympique.

Le plus marrant dans tout ça c'est que Sundar Pichai de Google a posté une boule à neige générée par IA le lendemain avec le watermark Gemini bien visible, et tout le monde a trouvé ça « trop mignon ».

Deux poids deux mesures ^^

Maintenant y'a une théorie alternative qui circule. Certains pensent que les « erreurs » seraient en fait intentionnelles... Que ce serait des références à la série Pluribus elle-même qui parle d'une intelligence collective... Le message de Cook aurait en fait été adressé à « Carol », le personnage principal joué par Rhea Seehorn. Une sorte de méta-promotion qui aurait mal tourné ? J'y crois pas une seconde...

Je pense plutôt que Keith Thomson était en famille, qu'il avait autre chose à foutre, que de toute façon il déprime parce que Midjourney ou un autre sait reproduire son style à la perfection et qu'il s'est dit « Pourquoi je me ferais chier le cul à peindre des cookies de merde pour Apple alors que je suis en train de jouer aux Lego avec mes petits enfants ?« . Bah ouais, pourquoi ? Ce n'est qu'une théorie mais c'est la mienne...

Bref, que ce soit de l'IA, de l'art volontairement buggé pour la promo, ou juste un artiste qui a fait des choix bizarres, cette histoire illustre bien le climat actuel. Les gens sont tellement bombardés d'images IA et ont tellement rien à foutre de leurs journées qu'un vrai artiste avec 30 ans de carrière peut se retrouver accusé de « triche » à tort ou à raison, parce que son labyrinthe est mal foutu.

On est mal barré...

Source et Source

Si vous utilisez MongoDB, accrochez-vous bien parce que là, c'est du lourd. Une faille critique baptisée MongoBLEED vient d'être découverte et elle touche à peu près toutes les versions de MongoDB sorties depuis 2017. Sept ans de versions vulnérables, c'est un chouette record, je trouve ^^.

Le problème avec cette CVE-2025-14847, c'est qu'elle exploite la compression zlib des messages. En gros, quand un attaquant envoie un message compressé mal formé avec des paramètres de longueur trafiqués, MongoDB se met à recracher des bouts de sa mémoire heap sans broncher. Et dans cette mémoire, on peut trouver des trucs sympa genre des mots de passe, des tokens d'authentification, des clés de chiffrement... Bref, le jackpot pour un attaquant.

Le pire dans tout ça c'est que y'a pas besoin d'être authentifié pour exploiter la faille. Si votre instance MongoDB est accessible depuis le réseau, n'importe qui peut s'y connecter et commencer à siphonner votre mémoire. C'est exactement le même genre de cauchemar que Heartbleed en 2014, d'où le petit surnom affectueux.

Du coup, qui est concerné ?

Hé bien à peu près tout le monde... Les versions 3.6.0 jusqu'à 8.0.16 sont touchées, ce qui représente selon les chercheurs de Wiz environ 42% des environnements cloud. Il y aurait donc plus de 87 000 instances MongoDB exposées sur Internet et le problème, c'est que depuis le 26 décembre 2025, des exploitations actives ont été détectées dans la nature. Joyeux Noël !!

La bonne nouvelle, c'est que le fix est simple. Soit vous mettez à jour vers une version patchée (8.2.3+, 8.0.17+, 7.0.28+, 6.0.27+, 5.0.32+ ou 4.4.30+), soit vous désactivez la compression zlib en attendant. Pour ça, c'est dans la config réseau de MongoDB, paramètre compressors qu'il faut virer le zlib.

Pour vérifier si vous êtes vulnérable, un petit nmap sur le port 27017 avec le script mongodb-info vous dira quelle version tourne. Vous pouvez aussi regarder les logs réseau pour détecter des connexions suspectes avec des messages compressés anormalement petits suivis de réponses anormalement grandes. C'est le signe qu'un petit malin est en train de vous pomper la mémoire.

Bref, si vous avez du MongoDB qui traîne quelque part, c'est le moment de faire un petit tour dans vos infras. Parce que là, c'est quand même d'une faille qui permet à n'importe qui d'aspirer vos données sensibles sans même avoir besoin d'un mot de passe. Ubisoft en a fait les frais et ça pique !

Source

Vous aussi vous avez un dossier « Notes » qui ressemble à un cimetière d'idées ? Des fichiers texte avec des noms genre « truc_important.txt » ou « a_voir_plus_tard.md » que vous n'avez jamais revus depuis 2019 ? Hé bien j'ai ce qu'il vous faut pour enfin donner un sens à tout ce bordel !

Blinko c'est une app de prise de notes qui utilise l'IA pour vous aider à retrouver ce que vous avez noté, même quand vous avez complètement oublié les mots exacts que vous aviez utilisés. Le principe c'est du RAG (Retrieval-Augmented Generation), c'est-à-dire que l'IA va fouiller dans toutes vos notes et vous ressortir les infos pertinentes quand vous posez une question. Genre « c'était quoi ce truc que j'avais noté sur les serveurs NAS ? » et hop, l'IA vous retrouve tout.

curl -o install.sh https://raw.githubusercontent.com/blinko-space/blinko/main/install.sh && bash install.sh

Vous avez déjà fait transcrire une interview ou un podcast par un service en ligne ? Vous savez, ces trucs qui vous demandent de créer un compte, de filer votre carte bleue, et d'accepter que vos fichiers audio soient envoyés sur des serveurs quelque part dans le cloud américain pour être analysés par des IA qu'on ne connaît pas. Le tout pour 100 balles par an si vous avez de la chance, et beaucoup plus si vous dépassez le quota ridicule de 20 heures par mois...

Hé bien y'a une alternative qui va vous plaire : Scriberr ! C'est une app de transcription audio complètement open source et surtout, qui tourne 100% en local sur votre machine. Pas de cloud, pas de données qui se baladent, pas d'abonnement mais juste vous, avec votre serveur (ou votre laptop si vous avez un GPU correct), et vos fichiers audio qui restent bien au chaud chez vous.

Scriberr utilise des modèles de reconnaissance vocale de pointe comme NVIDIA Parakeet, Canary ou les fameux modèles Whisper. Du coup la qualité de transcription est vraiment au niveau des services payants, voire meilleure sur certains accents ou langues moins courantes. Et cerise sur le gâteau, vous avez l'alignement temporel au niveau du mot, ce qui veut dire que vous pouvez savoir exactement à quelle seconde chaque mot a été prononcé.

Mais le truc qui m'a vraiment tapé dans l’œil avec cet outil, c'est la détection automatique des locuteurs. Vous savez, cette fonctionnalité qu'on appelle "diarization" dans le jargon et qui permet d'identifier qui dit quoi dans une conversation. Comme ça, fini les transcriptions où tout le monde parle mais on ne sait pas qui c'est. Là, Scriberr vous découpe tout proprement avec des étiquettes pour chaque intervenant.

Et comme si ça suffisait pas, y'a aussi l'intégration avec Ollama ou n'importe quelle API compatible OpenAI. Du coup vous pouvez non seulement transcrire vos enregistrements, mais aussi leur poser des questions, générer des résumés, ou carrément avoir une conversation avec le contenu de vos transcriptions. Genre vous demandez "c'est quoi les points clés de cette réunion ?" et hop, l'IA vous fait un résumé. Pratique pour les feignasses comme moi qui détestent se retaper 2 heures de réunion pour retrouver une info.

Côté installation, c'est du Docker classique ou alors Homebrew si vous êtes sur Mac. Un petit

`brew tap rishikanthc/scriberr && brew install scriberr`

Vous utilisez Word pour bosser et j'imagine que vous avez vu passer le fameux Copilot de Microsoft à 30 balles par mois pour les pros ? Ouais, ça pique un peu le porte-monnaie surtout quand on a déjà nos propres clés API OpenAI ou Gemini qui traînent et sur lesquelles on claque un smic tous les mois.

Hé bien Word GPT Plus c'est justement un add-in open source qui intègre l'IA directement dans Microsoft Word, et qui vous permet d'utiliser vos propres clés API au lieu de payer un énième abonnement. Avec ça, vous pouvez générer du texte, traduire, résumer, reformuler... le tout sans quitter votre document.

Mais le truc vraiment cool, c'est le mode Agent. Là, l'IA a accès à plein d'outils qui lui permettent de manipuler directement votre document Word. Genre insérer du texte, formater des paragraphes, créer des tableaux, gérer les signets, faire des rechercher-remplacer... Vous lui dites « formate tous les titres de section en Heading 2 » et hop, c'est fait. C'est pas juste un chatbot dans une sidebar, c'est carrément un assistant qui peut agir sur votre document.

Côté fournisseurs IA, vous avez le choix entre OpenAI (GPT-4, GPT-3.5, et même les modèles compatibles comme DeepSeek), Azure OpenAI si vous êtes en entreprise, Google Gemini, Groq pour les modèles Llama et Qwen, et même Ollama si vous voulez faire tourner vos LLM en local sans envoyer vos données quelque part. Et ça, c'est top pour ceux qui bossent sur des documents confidentiels.

Y'a aussi des Quick Actions bien pratiques genre traduction en plus de 40 langues, amélioration de texte, réécriture académique, résumé automatique, correction grammaticale... Bref, les classiques mais directement accessibles dans Word.

Pour l'installer, c'est hyper simple. Vous téléchargez le fichier manifest.xml depuis le repo GitHub, vous le mettez dans un dossier partagé sur votre machine, et vous l'ajoutez dans Word via Insertion > Mes compléments > Dossier partagé. Pas besoin de coder quoi que ce soit. Y'a aussi une option Docker pour ceux qui veulent l'héberger eux-mêmes ou le déployer sur un serveur.

Niveau vie privée, vos clés API et vos prompts perso sont stockés localement dans le navigateur intégré à l'add-in Word. Y'a pas de serveur intermédiaire qui récupère vos données, sauf si vous configurez vous-même un proxy. Vos documents restent ainsi bien au chaud chez vous.

Par contre, faut Word 2016 minimum, Word 2019, 2021 ou Microsoft 365 sur Windows. Et ça marche uniquement avec les fichiers .docx.

Bref, si vous voulez avoir ChatGPT ou Gemini directement dans Word sans vous ruiner avec un abonnement Copilot, c'est exactement ce qu'il vous faut. Et comme c'est open source sous licence MIT, vous pouvez auditer le code si vous êtes du genre méfiant.

Source

Vous jouez à Rainbow Six Siege ? Hé bien félicitations, vous êtes maintenant virtuellement millionnaire ! Enfin... l'étiez, parce que tout ça va être annulé.

Rainbow Six Siege X, le jeu d'Ubisoft victime d'un hack massif

Ce week-end, Ubisoft s'est fait pirater comme des jambons et pas qu'un peu. Des hackers ont réussi à distribuer 2 milliards de R6 Credits à TOUS les joueurs du jeu. Au tarif Ubisoft (15 000 crédits pour 99,99 dollars), ça représente environ 13,33 millions de dollars de monnaie virtuelle offerte gracieusement. Sympa les pirates ^^

Mais attendez, c'est pas tout ! Les attaquants ont également débloqué absolument tous les cosmétiques du jeu pour tout le monde, y compris les skins réservés aux développeurs que personne n'était censé avoir. Et pour couronner le tout, ils se sont amusés avec le système de bannissement du jeu. Résultat, des milliers de joueurs se sont retrouvés bannis puis débannis au hasard, pendant que le fil d'actualité des bans affichait des messages satiriques visant Ubisoft et ses dirigeants.

Les messages de ban détournés par les hackers formaient des phrases trop "golri", arf arf... ( Source )

Du coup, le streamer KingGeorge a immédiatement lancé l'alerte : "Ne vous connectez pas au jeu, ne dépensez pas de Renown, ne dépensez pas de Rainbow Credits". Sage conseil, parce que par le passé, Ubisoft a déjà banni des joueurs pour leurs propres erreurs. Pas cool.

Peu après le début du bordel, Ubisoft a donc coupé les serveurs et la marketplace pour tenter de contenir les dégâts. Les serveurs de Rainbow Six Siege sont toujours hors ligne au moment où j'écris ces lignes, sans ETA de retour. La bonne nouvelle, c'est qu'Ubisoft a confirmé qu'aucun joueur ne sera banni pour avoir dépensé les crédits reçus pendant l'incident, et qu'un rollback de toutes les transactions depuis 11h UTC est en cours.

Maintenant, le truc vraiment chaud c'est la méthode utilisée car selon le groupe de recherche en sécurité VX-Underground, plusieurs groupes de hackers auraient exploité Ubisoft en même temps. L'un d'eux aurait utilisé une faille MongoDB récemment découverte, baptisée MongoBleed (CVE-2025-14847). Cette vulnérabilité permet à n'importe qui de siphonner la mémoire des serveurs MongoDB exposés, récupérant au passage des credentials, des tokens d'authentification et des clés. Un PoC public circule depuis le 26 décembre et environ 87 000 instances MongoDB seraient vulnérables dans le monde (mettez à jour, hein !!).

Un autre groupe prétend avoir aussi utilisé cette faille pour se balader dans les dépôts Git internes d'Ubisoft et voler des archives de code source remontant jusqu'aux années 90. Ces affirmations restent non vérifiées pour l'instant, mais si c'est vrai, c'est du lourd...

Bref, si vous avez un compte Ubisoft, je vous conseille vivement de changer votre mot de passe et de retirer vos moyens de paiement enregistrés, au cas où. Et pour Rainbow Six Siege, patience, ça va revenir... probablement avec un rollback qui effacera tous ces beaux cadeaux empoisonnés.

Source

Vous connaissez l'histoire de la NES ? Celle du petit robot R.O.B. qui a aidé à ressusciter l'industrie du jeu vidéo américaine en 1985 ? Hé bien la Video Game History Foundation vient de sortir un documentaire d'une heure qui raconte tout ce qu'on ne vous a jamais dit sur le lancement de cette console mythique. Et dedans, y'a des révélations qui font mal ^^.

Frank Cifaldi, le fondateur de la VGHF, a passé des années à fouiller cette histoire. Il a rencontré des gens qui étaient chez Nintendo à l'époque, il a déterré des documents que personne n'avait jamais vus, il a même manipulé des prototypes qui n'auraient jamais dû survivre. Et le résultat, c'est cette plongée incroyable dans les coulisses d'un des plus grands paris de l'histoire du gaming.

Alors remontons au printemps 1983... Nintendo négocie avec Atari, le géant de l'époque, pour leur refiler les droits de distribuer la Famicom dans le monde entier. Hé oui, en interne, Atari avait même donné un nom de code au projet : « 3600« . L'idée, c'était d'intégrer la technologie Nintendo dans un boîtier plastique Atari existant. Le deal était quasiment signé, et les deux boîtes s'étaient mises d'accord sur tout : Nintendo fabriquerait les composants, Atari les revendrait sous sa marque. Ils avaient même commencé à convertir des jeux arcade (Millipede, Joust et Stargate) pour le système.

Et puis tout s'est cassé la gueule au CES de 1983. Atari a vu Coleco montrer un prototype de Donkey Kong sur leur ordinateur Adam, et ils ont pété un câble. Ils pensaient que Nintendo les avait doublés en refilant les droits à un concurrent. En réalité, c'était juste un malentendu sur les licences ColecoVision , mais le mal était fait. Le président de Nintendo, Hiroshi Yamauchi, a tellement gueulé sur les représentants de Coleco sur le salon que tout le monde s'en souvient encore.

Ça a contribué à torpiller les négociations, et dans le contexte des turbulences internes chez Atari, le deal n'a jamais abouti. Atari, qui évaluait également le système MARIA de GCC en parallèle, s'est finalement concentré sur ce qui deviendra l'Atari 7800. Et Nintendo s'est retrouvé tout seul, obligé de se débrouiller.

Et c'est là que ça devient vraiment intéressant parce que Nintendo of America, c'était une petite boîte de rien du tout à l'époque. Quelques dizaines d'employés dont le boulot principal consistait à importer des bornes d'arcade japonaises. Ils n'avaient aucune idée de comment vendre une console de salon aux États-Unis.

Alors ils ont fait appel à Lance Barr, un designer industriel, pour revoir complètement la Famicom. Et le mec a créé un design qui ressemblait plus à une chaîne hi-fi haut de gamme qu'à une console de jeux. Le prototype s'appelait l'AVS (Advanced Video System). C'était un truc tout en finesse avec des manettes sans fil, un clavier, un magnétophone à cassettes, et une esthétique empilable façon chaîne hi-fi. Les photos de l'époque sont magnifiques, on croirait du design scandinave ^^.

Le prototype AVS de Nintendo, avec son design hi-fi et ses manettes sans fil ( Source )

Sauf que personne n'en voulait. Nintendo a fait des tests consommateurs, et les gamins (et leurs parents) trouvaient le concept de programmation barbant. Ils aimaient bien l'idée des manettes sans fil et de l'empilement des boitiers, mais coder / modifier soi-même ses propres jeux en Basic ? Grosse flemme...

En plus, le marché américain était en plein crash. Les magasins croulaient sous les invendus de jeux Atari bradés, et personne ne voulait entendre parler d'une nouvelle console. Tous les détaillants que Nintendo rencontrait leur disaient la même chose : le jeu vidéo, c'est mort, c'était une mode passagère, passez votre chemin (tiens ça me rappelle quelque chose plus actuel... lol).

Alors Nintendo a tout viré. Plus de manettes sans fil, plus de clavier, plus de magnétophone. Ils ont gardé uniquement le robot R.O.B. comme cheval de Troie. L'idée, c'était de faire croire aux magasins de jouets qu'ils vendaient un robot high-tech, et pas une console de jeux.

Et ça a marché, les amis !!

Une armée de R.O.B., le robot qui a permis à Nintendo d'infiltrer les magasins de jouets ( Source )

Puis en octobre 1985, Nintendo a lancé la NES dans la région de New York avec une garantie de rachat pour les détaillants : si ça ne se vendait pas, ils reprenaient tout. L'équipe a bossé comme des dingues depuis un entrepôt minable du New Jersey, infesté de rats et de serpents. Il y a même eu un ouragan pendant le lancement. Du grand n'importe quoi.

Le présentoir NES chez FAO Schwarz en 1986 ( Source )

Mais le plus fou dans cette histoire, c'est le fameux chip CIC, le « lockout chip » qui empêchait de jouer à des jeux non autorisés par Nintendo. Et devinez d'où venait cette idée ? D'Atari eux-mêmes ! Lors des négociations de 1983, quelqu'un chez Atari avait demandé à Nintendo s'ils pouvaient créer un système technique pour bloquer les cartouches non officielles. Atari se plaignait des jeux pourris que n'importe qui pouvait sortir sur leurs consoles, et ils voulaient reprendre le contrôle.

Nintendo n'avait pas de solution à l'époque, mais ils ont retenu l'idée. Et selon les dépositions du procès Atari vs. Nintendo, le président Yamauchi aurait lui-même reconnu qu'après avoir entendu ce qu'Atari avait dit, Nintendo avait conclu qu'un système de sécurité devait être développé pour vendre des consoles aux États-Unis.

En gros, Atari aurait suggéré le concept qui allait se retourner contre eux. C'est le chip qui les empêchera plus tard de publier librement des jeux sur NES, conçu par Nintendo suite à leur demande initiale. Ironique non ? Et ce système de contrôle est ensuite devenu le modèle pour toutes les consoles qui ont suivi. Aujourd'hui, on trouve normal qu'on ne puisse pas sortir un jeu PlayStation sans l'accord de Sony, mais avant la NES, n'importe qui pouvait fabriquer des cartouches pour n'importe quelle console.

La VGHF a aussi récupéré les jeux qu'Atari avait commandés à Nintendo en 1983. Trois d'entre eux (Millipede, Joust et Stargate) sont d'ailleurs finalement sortis en 1987 via le HAL Laboratory avec un copyright « Atari 1983 » sur l'écran titre. Tant mieux, ça aurait été dommage de ne pas pouvoir y jouer...

Si vous avez toujours voulu essayer Emacs mais que la courbe d'apprentissage vous fait peur, IDEmacs est fait pour vous ! Ce projet transforme Emacs en clone de VSCode avec les mêmes raccourcis clavier, la même interface graphique et les mêmes fonctionnalités out-of-the-box, comme ça vous n'avez plus besoin de vous taper une configuration durant trois jours avant de pouvoir écrire une ligne de code !

Cool, hein ?

L'idée c'est donc de permettre aux développeurs habitués à des IDE modernes de passer à Emacs sans devoir réapprendre tous leurs réflexes. Les raccourcis clavier reprennent ceux de VSCode comme Ctrl+C pour copier, Ctrl+V pour coller, Ctrl+F pour chercher. C'est basique mais indispensable quand vous venez d'un autre éditeur.

Côté interface, IDEmacs intègre Treemacs pour avoir un explorateur de fichiers dans la sidebar comme sur VSCode. Y'a aussi Centaur Tabs pour les onglets, un thème Dark Plus qui ressemble à celui de Microsoft, et le support des curseurs multiples. Bref, visuellement vous êtes en terrain connu.

Du coup, c'est pour qui exactement ?

Hé bien le projet cible trois types d'utilisateurs : les développeurs qui veulent migrer vers Emacs depuis un autre IDE, les débutants en Lisp ou Scheme qui ont besoin d'Emacs pour bosser, et les non-programmeurs qui cherchent juste un éditeur de texte puissant sans se prendre la tête avec la config.

D'ailleurs, contrairement à la plupart des starter kits Emacs, IDEmacs ne cache pas les éléments graphiques par défaut. Les menus, barres d'outils et scrollbars sont visibles donc vous pouvez configurer le tout via l'interface graphique plutôt qu'en écrivant du Elisp à la main.

La config proposée inclut une vingtaine de packages tels que Vertico, Consult et Marginalia pour l'autocomplétion, Magit pour le contrôle de version, Sly et Geiser pour le développement Lisp et Scheme, plus des outils comme expand-region, multiple-cursors et smartparens pour l'édition avancée.

Pour installer IDEmacs, il vous faudra donc Emacs 29 ou plus récent, git, et optionnellement grep et locate. Clonez le repo puis lancez Emacs avec

emacs --init-directory=/path/to/IDEmacs/vscode .

Vous avez une vieille GTX 1060 qui tourne nickel sous Arch Linux ? C'est con, NVIDIA vient de vous mettre un beau coup de pied aux fesses car la boîte au caméléon vert a décidé d'abandonner le support des GPU Pascal (les GTX 10xx) dans son dernier driver 590 et ça crée un joyeux bordel, notamment sur Arch.

Le problème, c'est que quand vous faites une mise à jour système sur Arch avec une vieille carte Pascal ou Maxwell, le nouveau driver refuse de charger. Résultat, vous vous retrouvez éjecté vers la ligne de commande sans interface graphique. Sympa pour débugger quand y'a plus d'écran qui fonctionne...

Faut dire que le modèle "rolling release" d'Arch fait que les utilisateurs ont reçu ce driver incompatible automatiquement avec leur mise à jour. Ils n'ont pas eu le temps de dire ouf que leur système était déjà cassé. Et les GTX 1060 et 1050 Ti, c'est pas exactement des cartes de musée... Y'en a encore pas mal qui tournent sur Steam, et même si parmi leurs propriétaires, seule une poignée utilise Linux, et encore moins Arch, ça fait quand même du monde impacté.

Pour s'en sortir, y'a deux solutions. La première, c'est d'installer le driver legacy nvidia-580xx-dkms depuis l'AUR, qui est maintenu par l'équipe CachyOS. Le hic, c'est que ça crée des problèmes de dépendances avec Steam, donc faut aussi installer lib32-nvidia-580xx-utils pour que les jeux 32 bits fonctionnent. La deuxième option, c'est de basculer sur Nouveau, le driver open source fait par reverse engineering. Ça marche, mais avec les limitations que ça implique niveau performances et fonctionnalités.

Ce qui me rend dingue dans cette histoire, c'est que pendant des années, NVIDIA a refusé de fournir de la documentation pour ses GPU, forçant la communauté Linux à utiliser le reverse engineering pour Nouveau. Et depuis 2022, ils ont ouvert les modules kernel pour les architectures Turing et plus récentes, mais les parties user-space et le firmware restent propriétaires. Et surtout, aucune aide pour les vieilles cartes comme Pascal !! Du coup, maintenant que NVIDIA abandonne ces générations de cartes, c'est aux bénévoles de la communauté de maintenir les drivers legacy... Pas cool.

D'ailleurs, l'annonce officielle d'Arch Linux précise que les cartes Turing et plus récentes (RTX 20xx et GTX 1650+) vont automatiquement basculer vers les modules kernel open source, donc pas d'intervention manuelle pour eux. C'est uniquement les propriétaires de vieilles Pascal/Maxwell qui doivent se taper le boulot.

Bref, si vous avez une carte Pascal sous Arch, basculez sur nvidia-580xx-dkms avant votre prochain pacman -Syu. Dans sa grande bonté, NVIDIA a aussi promis des patchs de sécu jusqu'en 2028, mais bon, on a vu ce que valent leurs promesses côté Linux...

Source

Vous vous souvenez des disquettes 3,5 pouces ? Ces petits carrés en plastique qu'on utilisait pour stocker nos 1,44 Mo de données précieuses ? Hé bien à Taïwan, elles font leur grand retour... mais pas pour sauvegarder vos fichiers.

La société iPASS, qui gère un système de cartes de transport et de paiement sans contact dans le pays, vient de lancer une carte prépayée NFC en forme de disquette. Taille réelle, proportions parfaites, disponible en noir ou en jaune. C'est sorti pour Noël et les geeks du pays se sont jetés dessus.

Le truc qui m'a fait triper surtout, c'est l'avertissement officiel que la boîte a jugé nécessaire d'ajouter sur la fiche produit : "Ce produit a uniquement une fonction de carte et n'a pas de fonction disque 3,5mm, veuillez en prendre note avant l'achat". J'imagine qu'ils ont dû voir passer quelques retours de clients déçus qui tentaient de l'insérer dans leur vieux PC... Même si après, trouver un PC avec un lecteur de disquette en 2025, c'est déjà un exploit en soi.

Du coup cette carte permet de prendre le métro, le bus, le train, le taxi, de louer un vélo, et de payer dans les 7-Eleven, FamilyMart, McDonald's, Burger King et plein d'autres enseignes. Bref, c'est une vraie carte de paiement, juste avec un look de rêve pour les nostalgiques de l'ère DOS.

Et si vous pensez que c'est le gadget le plus absurde qu'ils ont sorti, détrompez-vous puisque iPASS propose aussi des cartes en forme de téléphone Motorola DynaTAC (le gros portable des années 80), de train miniature, de tong, et même de boule à neige Godzilla avec des LEDs. Sur le site PCHome24, y'a littéralement 838 designs différents de cartes iPASS. Les Taïwanais, ils font pas les choses à moitié.

Une carte standard coûte environ 100 NT$ (3 euros) sans crédit, mais les éditions collectors peuvent monter jusqu'à 1000 NT$ ou plus selon le délire. Voilà, si vous passez par Taïwan, c'est clairement le souvenir geek ultime à (me) ramener !

Et au moins, contrairement à une vraie disquette, celle-là ne risque pas de vous lâcher après 6 mois à cause d'un petit champ magnétique de passage.

Source

Vous voyez ces photos stylées sur Instagram où le texte semble passer derrière la personne, comme si le gros "FASHION" ou "WORKOUT" était vraiment dans la scène ? C'est l'effet "text behind image" et c'est clairement le truc graphique qui fait super pro en ce moment.

Le problème c'est que pour obtenir ce rendu, faut normalement se taper Photoshop, maîtriser les calques, le détourage, les masques... Bref, perdre une demi-heure sur un truc qui devrait prendre 30 secondes. Et comme vous êtes des gens occupés (contrairement à moi qui passe ma vie à tester des outils), voici la solution.

C'est un site gratuit qui règle tout ça et qui s'appelle Text Behind Image . Vous uploadez votre photo (jusqu'à 10 Mo), l'IA détecte automatiquement le sujet (une personne, un objet, peu importe), vous tapez votre texte, et le site se débrouille pour le placer pile poil derrière. Ça prend quelques secondes de traitement, pas besoin de détourer quoi que ce soit vous-mêmes.

L'interface propose pas mal d'options de personnalisation... Vous pouvez choisir la police, jouer avec la taille, la couleur, l'opacité, la rotation, ajouter des contours... Et surtout, vous voyez le résultat en temps réel, donc vous pouvez repositionner le texte en glisser-déposer jusqu'à ce que ça rende nickel.

Et le top du top, c'est que c'est gratuit, sans limite, sans inscription, et vous téléchargez votre image en haute résolution sans filigrane. J'ai vérifié et y'a même pas de petit "Made with..." planqué dans un coin. C'est assez rare pour un outil en ligne de ce genre alors je tiens à vous le signaler !

Bon après si votre photo est ultra complexe avec 36 personnes et des éléments qui se chevauchent, l'IA va potentiellement galérer à détourer correctement, mais pour une photo classique avec un sujet bien visible sur un fond pas trop chargé, ça marche vraiment bien.

Bref, si vous faites du contenu pour les réseaux, des miniatures YouTube, ou même juste des visuels fun pour votre pote qui fait de la muscu, c'est le genre d'outil à bookmarker direct. En 30 secondes vous aurez un rendu qui vous aurait pris 20 minutes sur Photoshop.

Vous vous êtes déjà demandé si ChatGPT votait à gauche ou à droite ? Moi non plus, j'avoue. Mais maintenant qu'on a la réponse, c'est quand même assez marrant, vous allez voir...

Un développeur a créé PoliBench , un site qui fait passer le test du Political Compass à 40 modèles de langage différents. Le Political Compass c'est ce fameux test avec les deux axes : économique (gauche-droite) et social (libertaire-autoritaire). Le truc qu'on faisait tous sur Internet en 2005 pour finalement découvrir qu'on était un libertaire de gauche comme environ 95% des gens qui passaient le test.

Bref, maintenant les IA aussi peuvent savoir où elles se situent sur l'échiquier politique et ça, ça peut vous aider à mieux les choisir, car les résultats sont assez révélateurs. Niveau cuisine interne, PoliBench teste les 62 questions sur les deux axes du Political Compass, puis calcule les scores pour chaque LLM. Et comme les données sont open source, vous pouvez vérifier la méthodologie vous-même.

Et sans surprise, la plupart des LLMs se retrouvent dans le quadrant libertaire de gauche !! J'dis ça, j'dis rien, mais c'est presque comme si les devs de la Silicon Valley avaient des opinions politiques similaires et les injectaient (consciemment ou pas) dans leurs modèles.

Du coup, j'ai fait le travail de tri pour vous, alors voici le guide ultime pour choisir votre IA selon votre sensibilité politique :

Si vous êtes plutôt LFI, prenez Claude. Il est tellement progressiste qu'il refuse de générer du contenu problématique même quand vous lui demandez une blague sur les vegans. En plus il écrit des pavés de 3000 mots pour expliquer pourquoi il ne peut pas répondre à votre question. Parfait pour tenir un meeting politique de 4 heures.

Si vous êtes plutôt PS, prenez GPT-4. Un modèle qui a connu des jours meilleurs, qui essaie de plaire à tout le monde et qui finit par ne satisfaire personne. Bonus : il change d'avis selon qui lui parle.

Si vous êtes plutôt macroniste, prenez Gemini de Google. Un truc qui promet la disruption et l'innovation mais qui au final fait à peu près pareil que les autres, en plus cher, tout en vous expliquant que c'est pour votre bien.

Si vous êtes plutôt LR, prenez Mistral. C'est français, c'est souverain... mais personne ne sait vraiment ce que ça pense sur les sujets qui fâchent parce que ça évite soigneusement d'en parler.

Si vous êtes plutôt écolo, prenez Llama de Meta. C'est open source donc c'est « pour le bien commun », ça tourne sur du matériel recyclé si vous voulez, et ça consomme moins de ressources que les gros modèles propriétaires. Par contre faut quand même un GPU qui coûte un SMIC.

Et si vous êtes plutôt RN... bah en fait y'a pas vraiment de LLM pour vous. Tous ces modèles ont été entraînés à San Francisco par des gens qui mangent des avocado toasts et font du yoga. Ils refusent donc de générer ce contenu haineux, discriminatoire ou factuellement faux dont vous êtes friants. Désolé, les gars c'est pas compatible. Peut-être essayez Grok d'Elon Musk ? Ah non pardon, lui aussi il a des « guidelines ». Mince alors. Va falloir donc continuer à écrire vos tracts vous-mêmes les amis. Je sais, l'IA woke vous opprime, c'est terrible.

Après, le vrai sujet derrière PoliBench, c'est que ces biais existent bel et bien et qu'ils influencent les réponses que vous recevez sur des sujets sensibles. Quand vous demandez à une IA son avis sur l'immigration, les impôts ou la régulation des entreprises, la réponse dépend en partie de ces préférences encodées dans le modèle. Il faut juste le savoir...

Alors vous choisissez quelle IA à partir de maintenant ?

À l'époque de ma glorieuse jeunesse, je jouais à RoboCop sur NES et c'est vrai que je trouvais ça très cool ! Mais ce que je ne savais pas, c'est que la version arcade de Data East cachait un secret bien vicieux dans ses entrailles électroniques.

En 1988, Data East sort donc RoboCop en version arcade et comme tous les éditeurs de l'époque, ils avaient une peur bleue des bootleggers asiatiques qui clonaient les bornes à tour de bras. Du coup, ils ont eu une idée de génie : planquer une puce HuC6280 dans le hardware. Pour ceux qui ne connaissent pas, c'est le processeur du PC Engine, le cousin japonais de la TurboGrafx-16, sauf que là, elle ne sert absolument pas à faire tourner le jeu.

Non non, cette puce est là uniquement pour emmerder le monde.

Le truc pas con (enfin, pas con pour l'époque), c'est que Data East a externalisé une partie des calculs de collision sur ce processeur secondaire. Du coup, sans la puce HuC6280, le jeu démarre mais les hitboxes sont complètement pétées et les ennemis deviennent invincibles. Faut s'imaginer RoboCop qui tire dans le vide pendant que les méchants lui marchent dessus tranquillement... C'est pas méga vendeur pour une borne à 3000 dollars.

Le problème, c'est qu'en 2025, ces puces HuC6280 commencent à lâcher et quand ça arrive, votre borne RoboCop devient un très joli meuble de 150 kilos.

Et c'est là qu'un développeur du nom de djh0ffman entre en scène. Le bougre s'est dit qu'au lieu de chercher des puces de remplacement introuvables, il allait tout simplement virer cette protection. Mais pour ça, il fallait d'abord comprendre ce que faisait exactement cette fichue puce.

Depuis plus de 20 ans, Exult fait tourner Ultima VII sur Windows, macOS et Linux. C'est un moteur open source génial, mis à jour en mai dernier, qui nécessite les fichiers originaux du jeu et permet de finir The Black Gate et Serpent Isle sans souci. Alors pourquoi diable Anthony Salter a-t-il créé U7 Revisited , un autre moteur pour le même jeu ?

Hé bien parce qu'Exult et U7 Revisited n'ont pas du tout le même objectif.

Le truc que beaucoup ignorent, c'est qu'Ultima VII était techniquement un monde 3D coincé dans un moteur 2D. En 1992, chaque objet du jeu avait déjà une largeur, une profondeur et une hauteur, ce qui fait que ce monde était donc composé de blocs 3072x3072x16. Mais la technologie de l'époque ne permettait pas d'afficher tout ça en vraie 3D, du coup Origin a dû se contenter d'une vue fixe pseudo-isométrique.

Exult vise donc à reproduire cette expérience originale au plus près, tout en ajoutant quelques améliorations. C'est son but et c'est très bien comme ça.

U7 Revisited, lui, part d'un autre postulat qui est : Et si on montrait enfin ce monde 3D dans un vrai moteur 3D ?

Anthony Salter a donc développé son propre moteur pour présenter Britannia avec une caméra rotative, un peu comme Dungeon Keeper ou Grandia. Vous pouvez ainsi tourner autour des bâtiments, zoomer, regarder les choses sous différents angles.

Et ça, ça règle une vraie frustration du jeu original car pour ceux qui y ont joué, vous vous souvenez peut-être de ces moments bien relous où vous cherchiez désespérément un levier ou une clé cachée derrière un mur ? Origin utilisait souvent cette technique de planquer des objets en ne laissant dépasser qu'un ou deux pixels.

Hé bien avec une caméra rotative, fini ce genre de galère.

Côté contrôles, c'est du moderne : WASD pour bouger, Q et E pour la rotation, molette pour le zoom. Le projet est codé en C++ et Lua, et il y a même des touches de fonction (F1 à F11) pour interagir avec différents aspects du monde.

Le développement avance bien d'ailleurs et dans ses dernières updates d'août, Anthony a présenté le support widescreen, un meilleur éclairage et le drag-and-drop pour les objets.

Il existe également plein d'autres projets fans autour d'Ultima comme Nuvie qui recréé Ultima 6, Pentagram qui s'occupe d'Ultima VIII. La communauté Ultima adore refaire ses jeux préférés avec des outils modernes, c'est comme ça. Mais U7 Revisited a quand même cette approche unique avec cette vision 3D du monde.

Si vous voulez tester, il faut copier les fichiers du jeu original DOS dans le dossier /Data/u7 puis builder le projet via CMake ou Meson.

Merci à Joseph de m'avoir signalé ce projet.

Bon, vous avez tous vu passer cette histoire des documents Epstein mal censurés, j'imagine ?

En effet, des journalistes ont réussi à récupérer une bonne partie des informations censées être masquées dans les fichiers judiciaires... ça peut impressionner mais n'allez pas croire que ce soit quelque chose de compliqué et ces techniques sont à la portée de n'importe qui.

C'est pourquoi aujourd'hui, j'vais pas vous parler du scandale (y'a assez de monde dessus), mais des techniques pour récupérer ce qui se cache derrière ces fameux rectangles noirs. Du pur OSINT appliqué au forensique documentaire.

Commençons par le plus basique et pourtant le plus courant : le bon vieux copier-coller. Ouais, je sais, ça paraît con dit comme ça, mais vous seriez surpris du nombre de documents "confidentiels" qui sont censurés en posant simplement un rectangle noir par-dessus le texte dans Word ou Adobe Acrobat. Le texte original pourtant est encore là, bien au chaud sous cette couche graphique. Il suffit donc de sélectionner la zone, un petit Ctrl+C, et hop, on colle dans un éditeur de texte. Boom, le texte "caché" apparaît en clair.

C'est d'ailleurs exactement ce qui s'est passé avec des documents du Pentagone en 2005, et plus récemment avec des fichiers judiciaires américains. Bizarrement, les gens confondent "masquer visuellement" et "supprimer", alors que c'est pas du tout la même chose ^^.

Pour vérifier si un PDF est vulnérable à cette technique, vous pouvez utiliser pdftotext (inclus dans poppler-utils sur Linux) :

pdftotext document_censure.pdf - | less

import fitz
doc = fitz.open("document.pdf")
for page in doc:
 print(page.get_text())

head -c [offset_avant_dernier_EOF] document.pdf > version_originale.pdf

qpdf --show-xref document.pdf
qpdf --json document.pdf | jq '.objects'

exiftool -a -u -g1 document.pdf

pdfinfo -meta document.pdf

exiftool -b -ThumbnailImage image_redactee.jpg > thumbnail.jpg

Vous utilisez Claude Code comme moi pour bosser plus vite sur vos projets de dev ? Hé bien j'espère que vous n'avez jamais eu la mauvaise surprise de voir l'agent lancer un petit rm -rf ~/ qui détruit tout votre répertoire home en 2 secondes. Parce que oui, ça arrive malheureusement, et plusieurs devs en ont fait les frais cette année...

Le problème c'est que les agents IA, aussi intelligents soient-ils, peuvent manquer de garde-fous sur ce qui est vraiment dangereux. Vous leur dites "nettoie le projet" et hop, ils interprètent ça un peu trop littéralement et une fois que c'est fait, y'a plus qu'à pleurer devant son terminal vide.

C'est pour ça qu'un développeur du nom de kenryu42 a créé Claude Code Safety Net qui est un plugin pour Claude Code qui agit comme un garde-fou mécanique. Son idée c'est de bloquer les commandes destructives AVANT qu'elles ne s'exécutent, et pas juste avec des règles bêtes genre "si la commande commence par rm -rf".

Le plugin est bien plus malin que ça puisqu'il fait une analyse sémantique des commandes. Il comprend la différence entre git checkout -b nouvelle-branche (qui est safe, ça crée juste une branche) et git checkout -- . qui lui va dégager tous vos changements non committés sur les fichiers suivis. Les deux commencent pareil, mais l'une vous sauve et l'autre vous ruine psychologiquement, vous forçant à vous réfugier dans la cocaïne et la prostitution.

Et c'est pareil pour les force push. Le plugin bloque git push --force qui peut écraser l'historique distant et rendre la récupération très difficile, mais il laisse passer git push --force-with-lease qui est la version plus sûre, car elle vérifie que la ref distante correspond à ce qu'on attend (même si ce n'est pas une garantie absolue).

Et le truc vraiment bien foutu, c'est qu'il détecte aussi les commandes planquées dans des wrappers shell. Vous savez, le genre de piège où quelqu'un écrit sh -c "rm -rf /" pour bypass les protections basiques. Le plugin parse récursivement et repère la commande dangereuse à l'intérieur. Il fait même la chasse aux one-liners Python, Ruby ou Node qui pourraient faire des dégâts.

Côté rm -rf, le comportement par défaut est plutôt permissif mais intelligent... les suppressions dans /tmp ou dans le dossier de travail courant sont autorisées parce que c'est souvent légitime, par contre, tenter de nuke votre home ou des dossiers système, c'est non négociable.

Et pour les paranos (comme moi), y'a un mode strict qu'on active avec SAFETY_NET_STRICT=1. Dans ce mode, toute commande non parseable est bloquée par défaut, et les rm -rf même dans le projet courant demandent validation. Mieux vaut prévenir que pleurer.

Si ça vous chauffe, l'installation se fait via le système de plugins de Claude Code avec deux commandes :

/plugin marketplace add kenryu42/cc-marketplace
/plugin install safety-net@cc-marketplace