NVIDIA avait corrigée la vulnérabilité CVE-2024-0132 avec un joli score de 9 dans le niveau critique. La correction se révèle incomplète et permet, en cas d'exploitation réussie, de mettre les données en danger. Cette faille permet d'avoir un accès non autorisée d'un conteneur. La vulnérabilité avait été dévoilée en septembre 2024 et rapidement patchée. Trend Micro a vérifié la résolution et conclut que le fix proposé n'est pas complet et qu'une faille est toujours présente. 

Elle concerne Docker sur Linux et permet de faire un déni de service. La faille est numérotée CVE-2025-23359. Plus grave, cette faille peut exposer les infrastructures et les données. Trend Micro a publié une analyse de la faille et propose même un exemple d'utilisation. 

En attendant une correction complète, Trend Micro conseille :

- réduire les accès API Docker

- désactiver tout ce qui n'est pas essentiel

- mettre en place un contrôle d'accès plus strict

- faire un audit des conteneurs et des interactions avec le système

Pour en savoir plus : https://www.trendmicro.com/en_us/research/25/d/incomplete-nvidia-patch.html

Alors que la version 5.3.4 avait été déployée le 3 avril dernier, la 5.3.5 a déployé dès le 5. Une régression fonctionnelle dans Autoprefixer pouvait apparaître dans Firefox à cause d'une sortie CSS non attendue. Pour le régler, un bug fix a été rapidement préparé. 

Pour rappel la 5.3.4 fixait plusieurs bugs connus. 

Annonce : https://blog.getbootstrap.com/2025/04/04/bootstrap-5-3-5/

Grosse frayeur hier : l'arrêt du financement du programme CVE (Common Vulnerabilities and Exposures), une des bases de données références des failles et vulnérabilités. MITRE est à l'origine du projet. Mais le contrat liant MITRE et le développement de CVE devait prendre fin. Après quelques heures de confusion, il a été annoncé que le gouvernement fédéral américain continuerait à financer CVE au moins pour les 11 prochains mois. Entre l'annonce de la fin du financement et la reprise du financement, une certaine panique s'est emparée des communautés sécurité.

Sans doute une réorganisation du projet sera nécessaire pour assurer l'avenir de la base CVE qui recense des milliers des failles et qui est consultée par les développeurs, les experts en sécurité, les éditeurs, etc. 

PyCharm 2025.1 est une mise à jour majeure. L'éditeur annonce l'unification des différentes éditions en combinant les versions Community et Professional en une seule édition. Cela va simplifier la gamme incluant le support de Jupyter. Les fonctions de base sont gratuites, les fonctions avancées seront accessibles avec une souscription Pro. 

Cette version propose aussi Junie, un agent de codage créé par JetBrains. Il est disponible via JetBrains AI. Il peut écrire, corriger et tester du code. L'éditeur mise sur l'IA dans les différents IDE dont PyCharm. Pour faire tourner les projets de machine learning, nous pouvons maintenant utiliser Cadence, une infrastructure hardware en mode cloud et tout est fait pour simplifier son usage. Pour la manipulation des données, PyCharm introduit Data Wrangler. Pour la gestion des projets Python, l'outil introduit le support de Hatch. Il peut migrer automatiquement les configurations, créer des environnements isolés, etc. 

Côté PHP, PhpStorm 2025.1 est disponible. L'outil améliore les annotations, la complétation du code. Côté debug, l'outil simplifie la configuration de Xdebug. Par exemple si Xdebug n'est pas installé, PhpStorm s'en occupe... La version 2025.1 peut maintenant découvrir elle-même le chemin de son Worpress et l'ajouter automatiquement dans les paramètres. A noter aussi des évolutions sur le support de Vue et Nuxt. 

JetBrains a publié un post sur l'état actuel de K2 Mode dans IntelliJ IDEA 2025.1. L'éditeur a introduit une nouvelle implémentation de Kotlin. Il s'agit d'une évolution majeure pour le support de Kotlin dans l'IDE. Ce travail a permis d'améliorer les performances et surtout d'avoir une fondation solide pour les futures évolutions. 

K2 Mode est, comme le rappel l'éditeur, un effort de long terme sur le support du langage dans l'IDE. Cette nouvelle implémentation doit faciliter l'intégration des évolutions du langage plus rapidement et de manière plus stable. Et surtout, l'éditeur mise tout sur K2 : cela signifie que les nouvelles fonctionnalités de Kotlin seront disponibles que dans K2. Par défaut, IntelliJ IDEA 2025.1 propose par défaut K2 Mode. Il est aussi disponible sur Android Studio. 

Post complet : https://blog.jetbrains.com/idea/2025/04/k2-mode-in-intellij-idea-2025-1-current-state-and-faq/

Nous faisons le point sur l'actualité de Suse avec Cyril Cuvier. Nous parlerons IA, Rancher, Suse en France, etc.

VirtualBox 7.1.8 prépare l'arrivée du noyau Linux 6.14. Il s'agit pour le moment d'un 1er support. L'outil de virtualisation open source est disponible sur Linux, macOS et Windows. Le support de Linux 6.14 est possible sur les machines virtuelles Linux s'exécution sur VirtualBox. Cette version corrige aussi des bugs. 

Outre Linux 6.14, VirtualBox supporte aussi le noyau RHEL 9.4. 

Note de version : https://www.virtualbox.org/wiki/Changelog

Pinta est un logiciel de dessins et de retouches d'images open source. Il peut remplacer Paint ou Gimp, éventuellement Photoshop. La v3 est un changement majeur : nouvelle interface, plus moderne, plus cohérence, migration vers GTK4 et libadwaita. GTK est un ensemble complet pour créer des interfaces. La migration vers GTK4 a permis de remettre à niveau l'interface du logiciel. La v3 corrige des dizaines de bugs. 

La gestion des calques a été améliorée : par exemple, à la sauvegarde, on est enfin prévenu si un risque de fusion existe... Pinta 3 réintroduit les extensions. Et on bénéficie aussi de nouveaux effets et filtres. Cette v3 ajoute un installeur Arm64 sur Apple Silicon.

Site : https://www.pinta-project.com/

Python sait tout faire ou presque. Alors, pourquoi pas faire directement du Python sur les navigateurs ? Plusieurs outils permettent de le faire. Un des plus connus est brython (Browser Python).  Il s'agit d'une implémentation de Python 3 destinée à s'exécuter sur son navigateur. Brython supporte la syntaxe Python 3 et les modyles CPython. Il s'interface avec DOM et on insère le code Python dans les balives HTML5. 

Pour : Python 3, DOM

Contre : les performances, peu répandu, ne remplace pas tout le front

L'autre solution est de faire une transcompilation de Python vers JavaScript. C'est le principe de Transcrypt. Il promet de meilleures performances et un accès aux libs JS et même une intégration avec React. Transcrypt met en avant : la clarté de la syntaxe, la montée ne charge et le fait de passer par un seul langage. Site : https://www.transcrypt.org/

Pyodide est un portage de CPython vers WebAssembly / Emscripten. Il permet donc d'exécuter des packages Python sur le navigateur avec micropip. Il vient avec une interface JS - Python pour mixer les deux mondes en minisant les frictions. Site : https://pyodide.org/en/stable/

Bref, 3 outils, 3 approches différentes pour une même cible : faire tourner du code Python sur son navigateur.

Source : https://dev.to/maryalice/python-browser-compilers-5dg5 

Il y a 30 ans, les Amiga sombraient avec la faillite de Commodore. En 2025, des développeurs continuent à maintenir l'AmigaOS. Le 10 avril dernier, la version 3.2 update 3 a été déployée par le belge Hyperion Entertainment. AmigaOS 3.2 a été lancé en 2021. Cette version cible les modèles à processeur 680x0 et propose aussi des améliorations pour les cartes PiStorm. 

Cette version a connu des soucis de conception suite à problèmes financiers de l'éditeur. La 3.2.3 propose des couleurs en haute résolution, une refonte de nombreuses classes et API, un TextEditor plus souple avec la possibilité d'ajouter un menu personnalisé. La ROM KickStart arrive lui aussi en version 3.2.3. En tout, plus de 50 bugs ont été corrigés.

Cette mise à jour est disponible pour les utilisateurs enregistrés.  

Annonce : https://www.hyperion-entertainment.com/index.php/news/1-latest-news

.Net 10 est en plein développement. La Preview 3 est disponible depuis le 10 avril. Cette version propose de nombreuses évolutions : 

- introduction d'un AOT Safe Construction pour ValidationContext

- OpenTelemetry : support des Schema URL dans ActivitySource et Meter

- Dans la CLI --interactive devient interactif

- complétion dans les scriptions : dans la CLI

- support Microsoft Testing Platform dans dotnet test, CLI

- peu d'évolutions sur C# et F#, rien sur VB

- MAUI : des API sont dépréciées (ListView, Cell et TableView), sur Android, possibilité de faire de la lecture vidéo en plein écran, sur la partie Apple, support de Xcode 16.3

- Windows Form : correction de bugs

- WPF : correction de bugs, performances améliorées, nouveaux contrôles Fluent

Note de version complète : https://github.com/dotnet/core/tree/main/release-notes/10.0/preview/preview3

Google annonce Firebase Studio pour créer des apps  avec Firebase et Gemini. Firebase est un environnement utilisé par des millions de développeurs. Durant la conférence Next, Google a dévoilé Firebase Studio, en préversion pour le moment. C'est un outil cloud utilisant les agents IA et s'appuyant sur Gemini. Tout est fait pour pouvoir créer des applications IA de qualité. Pour Google, Firebase Studio est un mélange de Firebase et de Gemini. 

Pour faciliter le travail du développeur, plus de 60 modèles sont disponibles. Notre premier contact est un prompt pour définir ce que l'on veut créer. A partir du prompt, le studio propose une réponse cela convient, on peut lancer le prototype (bouton prototype thsi app). De là, une fenêtre éditeur s'affiche et on voit tout ce qui est généré. Quand le travail est fini, on peut visualiser le code et publier l'app. Attention : le déploiement nécessite un compte de facturation. La génération n'est pas forcément propre. Des erreurs apparaissent dans la génération. Plusieurs langages sont supportés. 

On peut créer du code, modifier un code existant, travailler avec nos outils. Il faut s'habituer un peu à l'interface mais Firebase Studio est plutôt bien pensé. 

Google introduit aussi un GenKit pour ajouter de la GenAI dans les apps Node, Python et Go. Il permet de construire des templates pour Firebase Studio. 

Annonce : https://cloud.google.com/blog/products/application-development/firebase-studio-lets-you-build-full-stack-ai-apps-with-gemini?hl=en

La communauté Python a rendez-vous du 30 octobre au 2 novembre à Lyon. Cette conférence est organisée par l'AFPy. La conférence se scinde en 2 parteis : 

- 30 & 31 octobre : Les développeurs et développeuses de différents projets open source se rejoignent pour coder ensemble. Chaque personne est la bienvenue pour contribuer, et nous cherchons également à accompagner les débutantes. Participez au développement de votre projet préféré !

- 1er & 2 2 novembre : journées dédiées aux conférences, bonnes pratiques et ateliers

Site : https://www.pycon.fr/2025/fr/

Veux-tu coder tes apps multiplateforme en Python et les déployer en Flutter ? C'est la promesse du framework Flet. Flet UI est construit sur Flutter mais cherche à en simplifier le développement et son utilisation. Flet simplifie aussi l'architecture : on utilise Python. Mais d'autres langages sont prévus : Go et C#. Pour l'utiliser : un éditeur de texte suffit (pas exemple nano). Il faut juste installer Python, Flutter, Flet, pas besoin de SDK supplémentaires. L'application générée sur mobile est une PWA.

Le projet est jeune. La v1 est attendue pour cette année. Actuellement, la 0.27 est utilisable. Flet est en développement depuis 3 ans. 

Flet se définit comme un framwork pour créer des apps web, desktop et mobile en utilisant Python, sans besoin de maîtriser le front. Les composants UI de Flet s'appuient sur Flutter. 

L'installation est rapide :

pip install flet

Attention : si vous êtes sur Mac, mettez pip3 et non pip (merci Python 3). Nous créons l'exemple counter.py, pour le run, nous passons par python3 county.py, et non le flet run.

Flet n'est pas sec ni complet mais l'idée de lier Python et Flutter. Maintenant, reste à passer en version stable et voir si la communauté suit ou non. 

Découvrir Flet : https://flet.dev/

OpenSSL passe en version 3.5.0. Cette version corrige quelques bugs mais la liste est courte. Mais attention : cette version apporte des changements qui peuvent casser les déploiements actuels. Réaliser un PoC avec de mettre à place.

Quelques changements : 

- pour les apps req, cms et smime, le projet utilise aes-256-cbc à la place de des-ede3-cbc

- les listes groupes TLS incluent les groupes hybrides PQC KME. Attention : les groupes non utilisés seront retirés de la liste par défaut

- support du serveur side QUIC

- nouveaux algos PQC

- toutes les fonctions BIO_meth_get_*() sont dépréciées

Note de version : https://github.com/openssl/openssl/releases/tag/openssl-3.5.0

FreeDOS est un OS compatible MS-DOS et les autres variantes de DOS. Il est open source. L'idée est de pouvoir utiliser les logiciels et les jeux MS-DOS et pourquoi pas écrire de nouveaux logiciels... 

La version 1.4 est le dernière en date. Cette version inclut une mise à jour de FreeCOM, un installeur et une aide au format HTML. La 1.4 améliore aussi FIDSK, JEMM, le ZIP, etc. Les nouveautés sont très intéressantes : https://freedos.org/download/announce.html

Vous pouvez l'installer sur une machine physique ou l'utiliser avec VirtualBox, 86Box, Qemu, etc. 

L'ANSSI publie toute sorte de conseils et de bonnes pratiques. Aujourd'hui, l'ANSSI te propose 10 règles d'hygiène numériqe pour son smartphone. 

Devoxx est le événement développeur du printemps. Durant 3 jours, des centaines de conférences vous attendent. Petite sélection de sessions :

- L’INTELLIGENCE ARTIFICIELLE N’EXISTE PAS : 16 avril à 9h

- LES LLMS REVENT-ILS DE CAVALIERS ÉLECTRIQUES ? : 18 avril à 9h35

- session "mode éco" dans son app avec le plugin flutter eco mode, 16 avril ) 13h

- session "Hacker-Proof : renforcez la sécurité de votre code en 15 minutes", 16 avril 12h35

- marre des null en Java, découvrez nullwaway, 17 avril à 17h

- coder avec peu, une session Nintendo ! 16 avril 10h30

- 30 ans d'hello world en java, 18 avril 10h30

- générateurs et itérateurs en Go, 16 avril 12h35

- booster le démarrage des apps Java, 17 avril à 11h35

- une librairie de composants UI sur mobile, 17 avril à 11h35

- TUI pour tout le monde, 17 avril, 13h30

-  Jib : Dockerless pour vos projets Java, 17 avril, 17h

- DuckDB, 18 avril à 10h30

Programmez! est partenaire média de Devoxx. Et nous serons présents sur le stand Technosaures avec beaucoup de surprises vintage !

Rendez-vous au stand G05

Site : https://www.devoxx.fr/

Tu aimes TypeScript ? Le meetup Paris TypeScript revient le 13 mai avec 3 sessions !

Talk #1 : Prise de parole en public, comment réussir son talk ?

Talk #2 : Tests d'acceptance fiables et lisibles en TypeScript

Talk #3 : Détecter les bugs depuis son IDE: TSDoc et autres recettes pratiques

Quand : 13 mai à partir de 19h

Où : Algolia 55 Rue d'Amsterdam · Paris

Détails : https://www.meetup.com/fr-FR/paris-typescript/events/307201552/

Les datacenters se multiplient. Le journal the Guardian explique que ces nouveaux sites s'installent dans des zones au risque l'eau manque ou en faiblesse hydrique. Or, avec le free cooling et le liquid cooling, l'eau est indispensable au refroidissement. Le journal anglais dit que les nouveaux projets sont nombreux dans les zones géographiques stressées : Arizona, Afrique du Sud, Golfe et Arabie, Espagne, Inde du nord, etc. 

La publication du Guardian s'appuie sur l'étude de SourceMaterial, une ONG. L'eau est un réel problème car plus le datacenter est grand et situé dans une zone où les températures sont élevées, plus il faut refroidir les infrastructures même si la température de fonctionnement est bien plus élevée qu'il y a 15 ans. 

Selon les données publiées par le journal anglais, plus de 270 nouveaux datacenters sont en projets ou en constructions. Cependant, il est dommage de parler uniquement d'Amazon, Microsoft et Google car de nombreux datacenters sont construits et opérés en dehors de ces fournisseurs. Il faut pondérer les données : les nouveaux datacenters dans les zones en déficit d'eau (actuel ou à venir) représentent actuellement environ 8 % des projets en développement et 10 % des sites en production. 

Plusieurs raisons expliquent ces constructions dans ces zones : les espaces disponibles, les avantages fiscaux et les facilités d'investissements ou encore l'ensoleillement. Ces sites bénéficient, notamment dans les Etats américains, d'autorisations d'usage de l'eau avec des quotas officiels. Pourquoi pas ne pas construire dans des zones tempérées où la température moyenne permettrait de réduire l'usage d'eau ? Les espaces disponibles sont moins nombreux et moins grands et la densité des datacenters y est parfois déjà élevé ainsi que la densité urbaine.

En parlant datacenter, où en sont les 35 nouveaux sites français promis en février dernier ?

Source : https://www.theguardian.com/environment/2025/apr/09/big-tech-datacentres-water?fbclid=IwY2xjawJkD7lleHRuA2FlbQIxMQABHtfHUpR1ulEZG-vNhSGtPXY3RFa4yvnYEgms4d6F4FPSDrMWzjamXUISwQyL_aem_VKoCv0afrY2-7feIZRJZtg

AWS Summit est l'événement annuel à Paris du géant du cloud. Sans surprise, AWS poursuit sa marche en avant sur l'IA. Les principales annonces :

- disponibilité du LLM Pixtral Large 25.02 de Mistral dans Bedrock

- Nova Sonic : un modèle d'IA pour créer des applications et agents vocaux

- Q Developer : accessible dans plusieurs langues

- Llama 4 est disponible sur AWS

Q Developer est l'outil d'AWS pour créer les documentations, les architectures, générer le code, etc. Le service supporte maintenant l'Anglais, le Chinois, l'Hindi et l'Espagnol. Toujours pas le Français par contre. Q Developer est disponible sur son IDE et les CLI. Sur Nova Sonic, c'est le nouveau modèle de la gamme Nova. Nova Sonic se dédie au speech-to-speech. Il cible les chats et le streaming. 

En poussant l'IA sur les services, AWS réaffirme en même temps son engagement en France pour promouvoir l'IA et la GenIA en général. Plus spécifiquement, AWS annonce un partenaire avec Safran pour innover en aéronautique et sur le spatial, grâce à l'IA. "La façon dont Safran adopte l'IA générative illustre parfaitement comment ces technologies avancées peuvent transformer l'industrie aéronautique," souligne Julien Groues, Directeur Général d'AWS France. "En combinant l'expertise métier de Safran avec la puissance du cloud et de l'IA d'AWS, nous ouvrons la voie à des innovations qui redéfiniront les standards de performance et de sécurité dans l'aviation." 

L'AWS Summit a été l'occasion de montrer le dynamisme de l'écosystème AWS que ce soit dans l'infrastructure, les bases de données ou encore les ESN et intégrateurs. Trois bémols : une partie purement développeur noyée dans la masse, l'absence du quantique qui est pourtant un des chantiers stratégiques et une partie green it / éco conception trop peu visible.  

Rider 2025.1 sera disponible très bientôt. La RC a été distribuée ce jour. Cette version supporte les préversions de .Net 10 et C# 14 ainsi que VB 17.13. Avec cette version, le développement distant sur un host Windows est disponible via JetBrains ToolBox App. On dispose aussi d'une nouvelle vue des fichiers dans l'explorateur de solution. On y gagne en clarté. Sur Roslyn, on peut explorer la structure du code C# comme l'arbre syntaxique en temps réel ou encore appliquer les suggestions de modification à travers les fichiers et les projets, en une unique étape. 

JetBrains continue à améliorer l'assistant IA : support des modèles GPT 4.5, Claude 3.7, Gemini 2. On peut aussi utiliser un modèle local (Ollama ou LM Studio). 

De nombreux nouveautés sont proposées : support du framework Noesis, mise à jour d'Unreal Engine, intégration d'Unity Profiler

Pour en savoir plus : https://blog.jetbrains.com/dotnet/2025/04/09/rider-2025-1-rc/

Profiler CPU Usage et Instrumentation supportent maintenant l'analyse multi-process dans une vue unique. Cela permet de voir l'activité CPU selon les différents processu en cours. On voit très rapidement l'activité avec des graphs permettant de visualiser les consommations et les ressources de chaque process. Cet exercice n'est pas toujours très facile. 

Désormais, on peut :

- avoir des graphiques distincts par couleur

- les détails de chaque process

- visualiser le process qui consomme le plus

- des filtres pour affiner l'affichage et les recherches de problèmes

- Identifiez plus rapidement les problèmes interprocessus grâce à une vue unifiée et simplifiée.

Post de l'équipe Visual Studio : https://devblogs.microsoft.com/visualstudio/multi-process-cpu-usage-analysis-in-visual-studio/

Voilà une bonne nouvelle : l'extension Genesis Code pour Visual Studio Code est disponible en version 1.5.2. Elle permet de coder "simplement" des jeux Sega Genesis (= Mega Drive) sur son éditeur favori. Genesis-code s'appuie sur SGDK/GENDEV ou MARSDEV. La configuration n'est pas forcément simple, notamment à cause des différentes variables d'environnement. 

L'extension permet de compiler et de builder les fichiers ROM, exécution le code via un émulateur, créer un nouveau projet, complétion de code, debug via GDB. 

Il faut installer un SDK Sega Genesis, configurer GDB et l'environnement. L'émulateur est directement acessible via l'extension. 

L'excellent SGDK est disponible en version 2.11. 

Site : https://marketplace.visualstudio.com/items?itemName=zerasul.genesis-code

Connaissez-vous le moteur d'animation anime.js ? Non ? C'est peut-être le bon moment pour le découvrir. La version 4.0.0 est disponible depuis quelques jours. Rien que les démos sont impressionnantes à voir : c'est rapide avec un rendu de haute qualité ! Il utilise les proprités CSS, SVG, les attributs DOM. L'installation est rapide et rapide : npm install animejs

anime.js se veut léger et totalement personnalisable tout en restant très polyvalent dans les usages. C'est assez bluffant. 

Il s'agit d'une version majeure : réécriture du projet, une nette amélioration des performances et de nombreuses nouveautés (times, animation, timeline, WAAP, SVG, etc.). Attention : la réécriture d'anime.js introduit aussi de nouveaux syntaxes et donc de la casse de codes.

Note de version : https://github.com/juliangarnier/anime/releases

A découvrir d'urgence : https://animejs.com/

Le projet JHipster passe en version 8.10.0. Cette évolution apporte plus de 455 pull requests et corrections. Les principales évolutions sont : Spring Boot 3.4.4, Gradle 8.13, Node 22.14.0, TypeScript 5.8.2. Un important travail de clean a été fait dans le code code ainsi que des corrections de bugs.

Cette version est dans la continuité des versions précédentes. A noter que l'environnement supporte Java 17, 21 et 24. 

Les principaux changements : https://github.com/jhipster/generator-jhipster/releases/tag/v8.10.0

WordPress 6.8 ne va pas tarder. La RC2 est disponible depuis quelques jours. Cette version ne doit pas être mise en production. Pas d'évolution depuis la liste des changements de la bêta 1. Cependant, l'équipe WordPress met en avant : le chargement spéculatif, le bcrypt pour le hashage des mots de passe, les améliorations sur les évolutions UI. 

La version finale de la 6.8 est attendue pour le 15 avril. 

Note de version de la bêta 1 : https://wordpress.org/news/2025/03/wordpress-6-8-beta-1/

Annonce RC2 : https://wordpress.org/news/2025/04/wordpress-6-8-release-candidate-2/

PhyX est un puissant framework / SDK pour la modélisation et la simulation en prenant en compte la physique des éléments. Il permet de reproduire la physique d'un objet, d'un système, d'un élément. Ces simulations exigent de la puissance de calculs et une implémentation profonde de la physique réel. NVIDIA cible les usages dans la robotique et les systèmes autonomes.

PhysX est disponible sur GitHub. En plus de PhysX, le SDK inclut : Flow et Blast. FLow est une librairie dédiée aux fluides. Blast est une librairie de GameWorks destruction qui remplace le module APEX Destruction. A noter que l'accélération GPU est incluse dans cette ouverture. 

Portail officiel : https://developer.nvidia.com/physx-sdk

Le navigateur est un point d'accès pour les hackers, les virus, les portes dérobées, etc. VirtualBrowser protège le navigateur en isolant les accès web. L'éditeur appelle cela le Remote Browser Isolation. En fait, la navigation sur les sites est envoyée sur un environnement isolé distant et notre navigateur ne reçoit que l'affichage (le rendu pixel). "Contrairement aux solutions de filtrage web traditionnelles qui se limitent à autoriser ou bloquer l’accès à des sites, VirtualBrowser protège l’utilisateur et son poste de travail de toute exécution de code malveillant en déportant physiquement l’exécution de la navigation internet sur un serveur distant." précise l'éditeur. 

L'outil met en avant :

- rendu rapide

- protection proactive

- "lecteur seule"

On peut interdire tout accès aux sites non référencés, ajuster les politiques d'accès. La solution peut être en mode SaaS. Dans ce cas, OOdrive s'occupe de tout, soit vous exécutez sur vos serveurs. 

Comment ça fonctionne ? "Depuis une simple URL, VirtualBrowser permet d’accéder à vos applications sensibles (SaaS ou sur site) via une session de navigation jetable sécurisée accessible depuis n’importe quel terminal, même non maîtrisé (BYOD, sous-traitants). Sans modifier l'infrastructure, le web application isolation de VirtualBrowser protège vos données sensibles en isolant la navigation et en contrôlant les interactions permises aux utilisateurs. Cela évite toute exposition à des menaces externes ou des violations de données, tout en simplifiant l'accès sécurisé depuis des appareils distants (ZeroTrust)." précise VirtualBrowser.

Il peut remplacer un VPN. 

Site : https://www.virtualbrowser.com/

NumSpot dévoile des services concrets et opérationnels. Ce sont les premières briques de son offre cloud public. Les entreprises et le secteur public sont les premières cibles de NumSpot. 

Le scaleur propose en cloud public  :

• Kubernetes : Système open-source permettant d'automatiser le déploiement, la mise à l'échelle et la gestion des applications conteneurisées.
• OpenShift : Orchestrateur de conteneurs, OpenShift automatise le déploiement, la gestion et la mise à l'échelle des applications conteneurisées en veillant à ce que les applications soient hautement disponibles et facilement évolutives. Le service managé OpenShift proposé par NumSpot respecte les pratiques les plus exigeantes pour garantir un espace dédié et cloisonné.
• Base de données PostgreSQL : Moteur de base de données relationnelles et objet open source, réputé pour sa robustesse et ses performances.

L'objectif est d'être certifié SecNumCloud. "“NumSpot, acteur 100% européen, apporte aujourd’hui avec sa plateforme de services une alternative au marché en matière de cloud public. Les entreprises et les administrations souhaitant avoir la certitude de pouvoir conserver le contrôle de leurs données et garder l’agilité du cloud pour accélérer leur transformation numérique ont désormais une solution pérenne à leur disposition. La plateforme NumSpot propose un portefeuille de solutions Cloud avec une expérience utilisateur intégrée incluant les services d’infrastructure d’Outscale (filiale de son actionnaire Dassault Systèmes). Aujourd’hui, il s’agit d’une première étape, notre plateforme va être amenée à s’enrichir rapidement et régulièrement avec des nouveaux services répondant aux enjeux stratégiques de nos clients”. explique Eric Haddad, le président de NumSpot. 

Aujourd'hui, NumSpot propose des services de gestions, du compute, du conteneur, du réseau, du stockage, de la base de données et de la sécurité et identifié. Une partie de ces services est disponible. D'autres sont en cours de développement. La partie développeur n'est pas disponible et se réduit à des blueprints et au CI/CD.  

Site : https://numspot.com/

WinRAR subit de nouveau une importante faille de sécurité. Référence : CVE-2025-31334. Elle concerne TOUTES LES VERSIONS de l'utilitaire, sauf la plus récente ! La faille permet de bypasser la sécurité Mark to the Web et son avertissement et de pouvoir exécuter un code malveillant quand l'utilisateur ouvre une archive, un fichier contenu dans l'archive sur son poste Windows. Et ainsi, un code illicite peut s'exécuter en arrière-plan.

La fonction Mark to the Web permet d'avertir si un fichier provenant du web semble suspect ou non. Si Mark to the Web considère le fichier suspecté, un avertissement sera généré quand on essaie de l'ouvrir et le fichier est marqué. La faille permet de bypasser ce warning. 

Mettez à jour votre WinRAR avec la version la plus récente.

Nouveau mois = mise à jour. April 2025 release est disponible depuis quelques jours. Elle concerne Python, Pylance et Jupyter. Le développement avec Copilot et Notebooks  est amélioré : Copilot supporte l'édition des notebook. Côté Jupyter, VS Code permet maintenant :

- mode édition avec chat.edits2.enabled:true

- mode Agent pour faire du peer programming autonome

- mode Ask utilise la commande  /newNotebook pour créer plus rapidement un notebook

Côté Pylance, VS Code peut résoudre les problèmes de chemins d'import pour les paquets avec le mode édition des installs : pip install -e. Il s'appuie sur la recommandation PEP 660. 

Note de version complète : https://devblogs.microsoft.com/python/python-in-visual-studio-code-april-2025-release/

Annoncé en novembre dernier, Microsoft commercialise officiellement son Windows 365 Link. Comme un Chromebook ou un cube desktop Amazon, Microsoft propose une machine s'appuyant sur le cloud computing. L'idée est simple : Windows 365 Link est juste un client léger pour se connecter à un Windows en ligne, Windows 365. Il se destine aux entreprises. Pour fonctionner, il a besoin de Windows 365 et Microsoft Intune pour son administration. 

Windows 365 Link ne fait aucun stockage local : aucune donnée, aucun fichier. Rien ! Tout est stocké sur son Windows 365. Il posséde tout de même 65 Go de stockage mais c'est pour les opérations de fonctionnement rien de plus. Il embarque 8 Go de RAM. Comme tout se fait sur ce cloud, ce n'est pas très important. Il propose un port Ethernet (sans doute 1 Gb/s et non 10) et du WiFi 6E (correct mais un WiFi 7 aurait été bien meilleur). 

Il est annoncé aux Etats-Unis, Angleterre, Australie, Canada, Allemagne, Japon et la Nouvelle Zélande. Pour le France : aucune annonce. 

Nous aurions préféré un véritable desktop pour les développeurs, par exemple en faisant évoluer le Windows Dev Kit 2023. 

Mauvaises périodes pour les gestionnaires de paquets. NPM subit une nouvelle attaque de paquets malicieux . Les chercheurs de Reversing Labs ont découvert le problème. Ils ont découverts que les 2 paquets s'appellent ethers-providers2 et "ethers-providerz. Le premier ressemble à un paquet ssh2 mais le fichier install diffère et introduit du code malveillant. Le second permet d'installer un cheval de Troie. 

Une fois installée, l'attaque déploie une porte dérobée sur le poste de travail et pointe vers une IP malicieuse. 

Analyse complète : https://www.reversinglabs.com/blog/malicious-npm-patch-delivers-reverse-shell

En mars 2024, la fondation Linux avait annoncé le lancement du projet Valkey, un fork de Redis. Ce fork avait été motivé par le changement de licences de Redis. Le fork a été fait sur Redis 7.2.4 et en maintenant la licence BSD 3. 

Aujourd'hui, la fondation Linux annonce la version 8.1. La 8.0 était sortie en septembre dernier. La 8.1 doit améliorer les performances, la disponibilité de l'outil. Il s'agit d'une mise à jour mineure. Une des améliorations est l'utilisation des instructions SIMD. Le projet annonce aussi une nouvelle gestion mémoire qui profitera au hash et au TLS. Un journal des commandes permet aussi de voir les commandes qui consomment le plus de ressources réseau.

Sur la partie observabilité, on trouve des ajustements sur le format des logs.

Note de version complète : https://valkey.io/blog/valkey-8-1-0-ga/ 

Rust est disponible en version 1.86.0. L'annonce a été faite le 3 avril. Pour mettre à jour : rustup update stable. Cette version inclut une fonctionnalité attendue depuis longtemps selon les équipes du langage : trait upcasting. Le trait joue un rôle important dans le langage et cette fonctionnalité apporte une souplesse d'utiliser.

"Un trait en langage Rust peut être vu comme une collection de méthodes partageable entre différents types. Cela permet ainsi de partager d’une certaine manière des comportements communs. La notion de trait participe, avec la notion déjà abordée de générique, à offrir au langage Rust ce que l’on appelle en informatique le polymorphisme. On peut donc voir le trait Rust comme une sorte d’interface C# ou comme une classe abstraite en langage C++.On peut bien sûr développer ses propres traits. Par ailleurs, le langage Rust, dans sa librairie standard, regorge d’exemples d’utilisation de traits, que l’on appelle parfois les traits prédéfinis." (Benoît Prieur, Rust, aux Editions ENI)

La nouvelle version renforce la sécurité. Ainsi, il est possible d'utiliser d'utiliser des fonctions de sécurité avec l'attribut #[target_feature]. Cet attribut est utilisé pour marquer une fonction comme utiliser une fonction ou une instruction spécifique du CPU (AVX2, SSE 4.2, etc.). Il est utilisé pour vectoriser ou pour optimiser les performances du code. Dans la 1.86.0, une fonction safe marquée avec cet attribut ne peut être appelée en toute sécurité que par d'une autre fonction avec la même target_feature. Ainsi, on renforce la sécurité au coeur du code.

Rust annonce aussi la dépréciation de i586-pc-windows-msvc. Cette cible de build sera retirée avec la 1.87.0. Si vous utilisez le i586, il faut migrer vers le i686.

Note de version : https://blog.rust-lang.org/2025/04/03/Rust-1.86.0.html

Début mars, HP déploie un firmware pour certaines imprimantes laser (gamme LaserJet). Jusque-là, tout est normal. Mais rapidement, les problèmes s'accumulent pour des utilisateurs : le firmware brique littéralement l'imprimante et ne reconnait pas les cartouches d'origine HP ! Et impossible d'utiliser des cartouches non officielles. Le firmware 20250209 est la version problématique. 

Selon The Register et Arstechnica, les messages d'erreur 11 se sont multiplient. HP a répondu à The Register : "nous sommes informés d'un problème de firmware affectant un nombre limité d'imprimantes LaserJet 200. Nos équipes travaillent à trouver une solution". Ce n'est pas la première qu'un problème de firmware touche des imprimantes chez HP. Le 18 mars, HP a précisé à The Register qu'une mise à jour de la mise à jour a été déployée pour les LaserJet 200. Et l'assistant HP est là pour aider les utilisateurs bloqués à mettre à jour l'imprimante briquée. L'opération n'est pas simple à réaliser, nous avons une expérience similaire avec une OfficeJet Pro... Il a fallu plusieurs jours pour tenter une mise à jour manuelle...

Il faut l'avouer, manipuler un fichier .csv n'a jamais été notre passion. Heureusement, il existe un outil en ligne de commande surpuissant et particulièrement pratique si on ne veut pas utiliser un tableur : Xan. Il est écrit en Rust.

Son installation est très simple : 

1 Installer Rust

2 brew install xan (sur mac)

L'installation prend un peu de temps à cause des dépendances et du build nécessaire. Ensuite tout se passe en ligne de commande. 

Le grand intérêt de Xan est de pouvoir manipuler comme on le veut les fichiers .csv. Il est taillé pour les très gros fichiers .csv. On peut prévisualiser, agréger des données, faire des tris, croiser les données, créer des graphes, etc. Xan nécessite un peu de pratique mais franchement, quand on maîtrise les commandes et les agrégations de commandes / fonctions, il est incomparable. 

L'autre intérêt de Xan est sa rapidité. Tout se fait plus vite. Et surtout, on ne manipule pas un UI qui peut vite prendre du temps. Si le fichier n'est pas trop mal formé, un simple xan view permet de voir la structure et le contenu de son fichier. 

Il propose de nombreuses commandes : la commande help est votre amie. Pour pousser les traitements et la manipulation, Xan intègre son propre langage d'expressions s'inspirant de JavaScript et de Python.

Site : https://github.com/medialab/xan

Linus n'est pas toujours tendre avec les contributeurs Linux. Il a dit tout le bien qu'il pensait d'un code pour des tests hdrtest laissé sur une préversion de Linux 6.15 : c'est horrible à voir !

Vous avez sans doute entendu parlé du Vibe Coding. Une réalité s'impose depuis l'explosion de la GenIA : le code généré par les assistants IA est partout. Les IDE, les éditeurs poussent. Google annonce que 25 % des codes internes sont générés par des IA. 

Le terme Vibe coding a été donné par Andrej Karpathy. Le vibe coding est  le code généré par une GenIA sans que les développeurs se préoccupent de le comprendre ni de soucier réellement de sa qualité ou de sa sécurité. Bref : si le code généré fonctionne, ou semble fonctionner, qu'il ne génère pas de blocages ou d'erreurs bloquantes, pourquoi chercher à comprendre ce qu'il fait. On l'accepte et on passe à autre chose. Cela rappelle un peu les codes snippets que l'on récupèrait sans toujours vérifier son origine ou sa qualité. 

Début février, Andrej explique ainsi cette tendance : "Il existe un nouveau type de codage que j'appelle le « codage d'ambiance » (vibe coding), où l'on se laisse aller à l'ambiance,  et où l'on oublie même l'existence du code. C'est possible parce que les LLM (par exemple, Cursor Composer avec Sonnet) sont de plus en plus performants. De plus, je communique avec Composer avec SuperWhisper, ce qui fait que je touche à peine au clavier. Je demande les choses les plus stupides, comme « diminuer de moitié la marge intérieure de la barre latérale », parce que je suis trop paresseux pour les trouver. J'accepte tout systématiquement, je ne lis plus les différences. Quand j'obtiens des messages d'erreur, je les copie et les colle sans commentaire, ce qui règle généralement le problème. Le code devient trop complexe pour ma compréhension habituelle ; il me faudrait le relire attentivement pendant un certain tempst. Parfois, les LLM ne corrigent pas un bug, alors je le contourne ou je demande des modifications aléatoires jusqu'à ce qu'il disparaisse. Ce n'est pas si mal pour des projets de week-end à la va-vite, mais c'est quand même assez amusant. Je construis un projet ou une application Web, mais ce n'est pas vraiment du codage - je vois simplement des choses, je dis des choses, j'exécute des choses et je copie et colle des choses, et cela fonctionne généralement."

Bref, le développeur abandonne son coeur de métier : écrire du code, le comprendre, l'optimiser, le corriger si nécessaire. Là, Andrej laisse totalement l'assistant de codage créer le code et il copie bêtement les réponses et quand un problème apparaît, il demande à l'assistant IA de le corriger... Il assume donc le fait de plus chercher une solution ou de comprendre ce que fait le code. Il se laisse porter par le code généré.  

Cela rejoint le retour terrain d'un développeur sur le fait que l'IA est en train de créer une génération de développeurs incapables de comprendre le code et même de créer par soi-même un code fonctionnelle : https://www.programmez.com/actualites/lia-fabrique-t-elle-des-developpeurs-incapables-de-coder-par-eux-memes-37466

Les vibes codeuers sont-ils une réalité ? Oui. Combien sont-ils difficiles à dire mais des IDE IA tels que Cursor sont des dizaines de milliers d'utilisateurs.

Le vibe coding est très bien pour tester une idée ou créer un prototype très vide ou même pour des projets personnels. Mais le faire sans aucun contrôle dans des projets en production, là c'est beaucoup plus problématique. Comme souvent, il s'agit d'un équilibre à trouver. 

"Soyez rigoureux et réfléchissez régulièrement avec votre assistant IA. Visez une « couverture conceptuelle à 100 % » : comprenez clairement chaque élément de votre système au niveau conceptuel. Cette discipline évite les pièges coûteux et favorise une croissance durable en tant que développeur. N'oubliez pas : un bon logiciel, comme une bonne gestion, exige à la fois une vision à 9 000 mètres et une précision de 90 mètres." expliquait Christian Ulstrup (dans son post "is vibe coding really a bad idea or is it just misunterstood")

Styrolite est un runtime de conteneurs bas niveau. Styrolite est là pour aider à mieux sécuriser les conteneurs en proposant un outil sandbox programmable. Il est là pour proposer des sandbox légers pour les conteneurs qui y sont exécutés. L'outil est créé par Edera. Il est open source et est dédié à Linux. En effet, Styrolite contrôle les flux et liens entre les conteneurs et les namespaces du noyau Linux. Il se place en dessus de la couche Open Container Initiative. 

Styrolite est là pour mieux sécurisés les environnements conteneurs. Les vulnérabilités et attaques se multiplient contre les couches basses du noyau (DirtyCow, DirtyPipe).

Styrolite est similaire au Container Runtime Interface mais il se concentre sur les interactions avec le noyau. Par exemple, il doit sécuriser la manière dont les images sont montées dans les espaces namespaces précise Ariadne Conill. Ainsi, les administrateurs ont une meilleure vue et contrôle sur les ressources et les interactions bas niveau. 

Une exemple de conteneurs créés :

// Create a basic container with Styrolite

let mut request = CreateRequestBuilder::new()

.with_rootfs("/path/to/container/rootfs")

.set_executable(“/bin/sh”)

.set_arguments(vec![“-i”])

.set_working_directory(“/”)

.push_namespace(Namespace::User)

.push_namespace(Namespace::Mount)

.push_namespace(Namespace::Pid) .to_request();

// Launch a process in the container

let runner = Runner::new(“styrolite”);

runner.run(request)?;

Bref l'outil fournit une syntaxe claire, courte et plus facile à maintenir. 

Styrolite cible les usages suivantes :

- sécuriser les microservices

- les applications utilisant une sandbox

- personnaliser les environnements CI/CD

Annonce : https://edera.dev/stories/styrolite

Mozilla distribue une bêta publique de Firefx 138. La version finale est attendue pour le 29 avril. La liste des modifications et nouveautés est longue, voici quelques points à retenir :

- on peut regrouper les onglets en groupe : cette fonction avait été introduite dans la 137. On peut dans la 138 créer un nouvel onglet directement dans un groupe ou le retirer

- introduction d'un nouveau paramètre des couleurs et des contrastes

- support des certifcats d'authentification TLS sur Android

- Devtools : support de l'extension error.captureStackTrace pour éviter les incompatibilités avec d'autres navigateurs, support du Error.isError, support d'Import Attributs pour spécifier les metadonnées additionnelles quand on importe un module

- le mode desktop est activé par défaut sur les tablettes

Android Authority évoque une fonctionnalité qui peut paraître insolite : redémarrer automatiquement un smartphone sous Android 16 si le terminal reste inactif 3 jours. Google reprend une fonction introduite dans iOS et GrapheneOS. 

Nous savons que Google travaille sur un mode de protection avancée sur Android 16. Ce reboot automatique complète les mesures prises. Le but est simple : si votre smartphone est inactif 3 jours, le système va automatiquement redémarrer pour redemander le mot de passe, le PIN, etc. Si le téléphone est volé, le voleur devra casser les protections rapidement.

Sur iOS 18, cette fonctionnalité a été introduire avec la mise à jour 18.1 en novembre 2024. 

La version 11 de Wing, IDE Python, est actuellement en développement. Il est déjà possible de tester la bêta. Comme tous les autres IDE du marché, l'IA est omniprésent. La version 11 concerne Wing Pro, Personal et Wing 101. 

Les principales nouveautés de Wing 11 :

- le développement assisté par l'IA évolue avec 2 outils séparés : AI Coder et AI Chat. AI Coder peut être utilisé pour récrire, réécrire du code. Cette version améliore également la configuration du contexte des requêtes IA, permettant ainsi d'associer les éléments de contexte sélectionnés et décrits, automatiquement ou manuellement, à une requête IA. Les contextes des requêtes IA peuvent désormais être stockés, facultativement partagés par tous les projets, et utilisés indépendamment avec différentes fonctionnalités IA. Si plusieurs modèles seront possibles, pour le moment, seul OpenAI est supporté.

- support du gestionnaire de paquet uv

- amélioration de l'analyse de codes

Annonce : https://wingware.com/news/2025-04-01

Equinix annonce l'ouverture d'une formation avec l'AFPA et les plombiers du numérique. Il s'agit d'une formation certifiante pour les métiers du datacenter. 

Il s'agit de former aux différents métiers du datacenter (maintenance, gestion, énergtie, climatisation, etc.). La formation est de 19 mois mêlant théorie et pratique. a formation, accueillant quatorze candidats sur 19 mois, débute par une POEI de trois mois, suivie d’un contrat d’apprentissage de seize mois. À terme, les apprenants décrocheront le titre TMCVC (Technicien de Maintenance en Climatisation, Ventilation et Chauffage), une qualification prisée dans les datacenters.

Un des outils phares de cette formation est le LABO. Situé sur le site PA2 à Saint-Denis, le LABO d’Equinix immerge les stagiaires dans les réalités d’un datacenter. Cet espace de 100 m² leur permet de maîtriser le génie climatique (maintenance CVC), la sécurité incendie et l’exploitation des systèmes de maintenance des bâtiments. Soutenu par des partenaires comme Vertiv, qui a fourni un Liebert XDU (solution de refroidissement liquide), le LABO permet de se former aux enjeux de la gestion thermique et de l’efficacité énergétique.

En partenariat avec Qbyte Magazine

JetBrains annonce la version 0.6.0 d'Amper. Amper est un outil expérimentaire de configuration des projet et un outil de build. Il supporte les OS cibles, Kotlin Mutiplatform, Java, Kotlin, Compose, etc. 

La 0.6.0 annonce :

- les templates peuvent partager une configuration commune entre plusieurs modules et de nouvelles fonctions de refactoring sur les templates. On peut par exemple extraire une configuration d'un module pour l'utiliser ailleurs.

- utilisation des alias pour certains paramètres : utile quand on ne connait pas tous les noms

- conversation automatique des dépendances : si on copie les dépendances spécifiques avec une syntaxe Gradle, elles sont converties au bon format. 

- nouveau design de l'arborescence projet pour tenir compte des modules Amper

- diverses améliorations sur la CLI notamment sur les commandes show et init, autocomplétion facilitée avec la touche tabulation

- mise à jour vers Kotlin 2.1.20, la 2.2 est en version expérimentale

Note de version : https://blog.jetbrains.com/amper/2025/04/amper-update-april-2025/

Le moteur web 3D, Babylon.js, passe en version 8.0. "Notre mission est de créer l'un des moteurs de rendu web les plus puissants, esthétiques, simples et ouverts au monde. Aujourd'hui, le graphisme et le rendu web passent à la vitesse supérieure avec la sortie de Babylon.js 8.0." annonce la page du projet.

La v8 apporte d'importantes évolutions et nouveautés :

- Image-Based Lighting shadow : il s'agit d'une technique pour gérer la lumière basée sur une image. Cette technologie est largement utilisée par les créateurs 3D et d'animation. Si cette approche était déjà disponible, la v8 propose le support des ombres (shadows). Ainsi il sera possible de mixer lumières et ombres dans l'IBL

- Aera Lights : cette fonction complète la gestion des lumières dans les scènes Babylon.js. Par exemple avec des éléments 2D : https://playground.babylonjs.com/#TZQ4G7%235

- Node Render Graph : Babylon.js donne un contrôle complet des flux de rendus. Ainsi, on peut mieux personnaliser et observer les flux dans le traitement de rendu. Fonction en alpha. 

- Lightweight Viewer : Babylon.js propose un nouvel outil pour créer et voir très rapidement un objet 3D sur une page web en cachant la complexité du code. 

- Babylon.js supporte WebGPU depuis la v1. Mais pour les shaders, le moteur était uniquement écrit en GLSL (langage de shading de WebGL) et non en WGSL pour mieux supporter le WebGPU. C'est maintenant chose faite. GLSL reste disponible. 

Annonce : https://blogs.windows.com/windowsdeveloper/2025/03/27/announcing-babylon-js-8-0/

Space X annonce une véritable révolution dans les voyages spatiaux avec le moteur Warp. Le constructeur veut pouvoir utiliser la vitesse de distorsion au plus tard en 2063 pour faciliter l'accès à Mars et à la Lune avant de viser au-delà du système solaire. 

Warp 1.0 devrait être capable d'atteindre la distorsion 2 soit 2 fois la vitesse de la lumière. "Le moteur Warp est une révolution technologique incroyable. 500 ingénieurs et chercheurs ont regardé tous les épisodes de Star Trek pour comprendre cette technologie" précise la société. Zefram Cochrane, le responsable du projet, est particulièrement excité par cette technologie : "ouhais, même pas peur". Les premiers tests pourraient se dérouler avant 2030.

Les scientifiques s'inquiètent déjà des conséquences : et si le moteur Warp créait un trou de ver ?

"Space X prendra très au sérieux la sécurité de la Terre. Nous sommes en train de modéliser les contraintes et les zones de sécurité. Par exemple, à quelle distance de la Terre le moteur Warp pourra être allumé. Nous devons aussi garantir que les bonds warp ne se terminent pas dans une planète et éviter les comètes et astéroïdes durant la vitesse warp." a précisé Nyota Uhura, porte-parole du projet Warp. Vers l'infini et au-delà.

Bon 1er avril avec Programmez!

Ceci est une révolution ! Microsoft a annoncé cette nuit un nouveau Copilot : Word Copilot without you. Sous ce drôle de nom, Microsoft veut purement et simplement remplacer l'utilisateur sur les logiciels Office. Vous n'aurez même plus besoin de taper votre texte ou de remplir un tableau Excel. "Nous passons à une autre dimension avec Word Copilot without you. Notre objectif est de simplifier toujours plus l'utilisation des logiciels Office. Nos logiciels sauront fonctionner sans l'utilisateur. PC+Copilot saura analyser le contexte, l'heure de création, vos émotions grâce à notre nouvelle Camera+Copilot+PC-User. Notre capteur infrarouge analysera le corps de l'utilisateur pour détecter les émotions et créer le contenu en conséquence, tout en analyser tous les contenus du PC et les données personnelles.". commente Satya Nadella. 

Côté sécurité, pas de souci à avoir, Microsoft promet une sécurité aussi forte que la fonctionnalité Recall. Microsoft précise que pour affiner le fonctionnement de Word Copilot without User, il faudra autoriser l'accès à toutes les données et tous les comptes (santé, impôts, magasins, abonnements, téléphones, etc.). 

Bon 1er avril à toutes et tous !

"C'est super amusant de voir les gens adorer les images dans ChatGPT. Mais nos GPU fondent.Nous allons introduire temporairement des limites de débit pendant que nous travaillons à l'améliorer. Espérons que ce ne sera pas long ! La version gratuite de ChatGPT proposera bientôt 3 générations par jour." a écrit Sam Altman le 27 mars dernier.

On pourrait presque en rire. Avec GPT-40, le dernier LLM de l'éditeur, les utilisateurs ont généré en masse des images et des vidéos et notamment des Ghibli ! Or, cette demande a été tellement forte qu'elle a surchargé les serveurs et les GPU. GPT-40 s'est rapidement imposé comme un LLM de génération d'images de référence. Mais ce LLM exige une grande puissance de calculs. 

Pour éviter un crash des datacenters, OpenAI limite son usage, particulièrement dans l'offre gratuite : pas plus de 3 images par jour. Ces limitations seront temporaires dixit OpenAI. 

L'extension C++ de Visual Studio Code se met à jour :-) Et il y a d'excellentes nouvelles :

1 / un démarrage plus rapide des projets et de la configuration IntelliSense : les benchs publiés divisent par 3 le temps de démarrage d'un projet. Linux et Windows sont désormais à égalité, idem sur macOS.

2 / cette amélioration de performances se ressent aussi sur d'autres fonctions, par exemple, la colorisation à l'ouverture des fichiers est plus rapide, ouf ! jusqu'à 3,5

3 / Intellisense est aussi plus véloce et réactif

4 / réduction de la mémoire nécessaire par l'extension C++

Pour en savoir plus : https://devblogs.microsoft.com/cppblog/vs-code-c-extension-updates-4x-faster-colorization-3-5x-faster-project-startup/

Chrome 135 introduit une évolution majeure de l'élément <select> dans les CSS. Le développeur peut désormais personnaliser tous les aspects de <select> : le contenu, les visuels, la forme, l'affichage de la liste, etc. On peut aller très loin dans la personnalisation. Chrome 135 introduit ainsi appearance: base-select qui configure le style et l'affichage.

Comme le précise l'annonce, cette propriété CSS débloque :

- changer le parser HTML pour le contenu à l'intérieur de l'élément

- changer le rendu interne

- apparance minimale 

- nouvelles options

Pour les équipes de Chrome, il s'agit d'être le plus flexible possible comme exemple utiliser des images ou un fichier SVG dans l'élément <selecter>. Honnêtement, les ajouts sont impressionnants et autorisent une grande souplesse dans l'usage des listes <select>. 

ATTENTION : la nouvelle propriété introduite par Chrome 135 n'est pas standard et est utilisable UNIQUEMENT sur Chrome 135. Tant qu'elle n'est pas introduite dans la spécification CSS et supportée par les autres navigateurs, cela obige à utiliser Chrome 135 ou à faire plusieurs codes selon le navigateur. 

Présentation : https://developer.chrome.com/blog/a-customizable-select

Whisper.cpp est l'implémentation open source de Whisper d'OpenAI. Il s'agit d'un modèle de reconnaissance vocale de l'éditeur de GPT. Le projet permet d'accéder aux fonctionnalités de lecture de texte, de synthèse vocale, etc. Il est gratuit et en open source. 

Deux contraintes :

1 Whisper.cpp nécessite une compréhension minimale de C++ et des CLI

2 il faut une toolchain C++

Le projet évolue régulièrement. La version 1.7.4 est la dernière stable disponible. Il est optimisé pour Apple Silicon, Metal et Core ML côté Apple. Ils supportent les fonctions bas niveaux des processeurs Intel, les GPU NVIDIA, Vulkan, OpenVINO, etc. Il fonctionne sur macOS, iOS, Android, Java, WebAssembly, Pi, Windows, Docker. 

Vous pouvez l'installer simplement avec : git clone https://github.com/ggerganov/whisper.cpp.git

Attention : selon le modèle, les besoins en ressources varient. Le plus petit modèle nécessite 75 Mo de disque et 273 Mo de RAM, le modèle le plus complet pèse 2,9 Go sur le disque et presque 4 Go de RAM. Il faudra donc faire des compromis. 

GitHub : https://github.com/ggerganov/whisper.cpp

Meetup du magazine Programmez ! : 1er avril. Accueil à 18h30. Début vers 18h45

Résumé : On entend souvent que le no-code, c'est peu flexible, peu performant, couteux et fermé. Est-ce toujours le cas en 2025, et quels sont les avantages pour les développeurs ?

Petit historique de l'évolution des abstractions et de l'utilisation du visual scripting (notamment dans Fortnite !). 

Suivi d'une démo technique de Luna Park (https://luna-park.app), un framework web basé sur le visual scripting. Intervenant : Hugo Attal

Où :

ovhcloud

VMware Toos pour Windows est une suite d'outils pour l'environnement de virtualisation VMware. Une importante faille de sécurité a été publiée : la CVE-2025-2230. L'attaque est classique : le hacker pouvait obtenir les droits sur les machines virtuelles via une faille de sécurité. Le hacker pouvait contourner l'authentification à VMware Tools. Ce bypass était possible en utilisant d'autres chemins d'accès normalement interdits. 

La faille a été notée 7,8, soit une faille importante. 

La faille est présente sur les versions 12.x.x et 11.x.x uniquement sur Windows. La mise à jour 12.5.1 fixe cette CVE.

Les versions Linux et macOS ne sont pas concernés. 

Note de Broadcom : https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518

Le n°268 est disponible ! Dans ce nouveau numéro, Programmez! vous propose un grand dossier autour du cloud français avec les équipes d'OVHcloud.

Les autres thèmes : 

- performances en C# et Python

- un point sur les nouveautés PHP 8.4

- comprendre la récursivité

- BabylonJS partie 2

- les singaux en Angular

- IA avec le suite du dossier Voyager (Minecraft)

Programmez! 268 est disponible en kiosque, en version papier et version PDF, sur des kiosques numériques et sur abonnement (1 an ou 2 ans)

Sommaire complet : https://www.programmez.com/magazine-papier/programmez-268

Le hasard fait bien les choses. Il y a quelques jours, on apprenait un développement privé d'Android par Google, et Microsoft annonce "Introducing the Windows 11 roadmap". Microsoft veut par cette initiative être transparent sur les grands mouvements à venir sur l'OS. 

Contrairement à ce que l'on pourrait croire, ce n'est pas une vision sur le futur de Windows, mais plutôt sur l'état du développement et l'introduction des nouveautés dans Windows et Copilot+PC. Le site répertorie toutes les fonctionnalités en développement ou disponibles, selon les différents canaux de Windows (Windows Insider, version finale). 

Pour Microsoft, il s'agit d'apporter une meilleure information sur les nouvelles fonctionnalités et l'avancement des développements. 

Site : https://www.microsoft.com/en-us/windows/business/roadmap

Pour OpenAI, 2025 est sous le signe des agents IA. L'éditeur annonce plusieurs API pour les développeurs pour créer et déployer les agents :

• La nouvelle API Responses qui simplifie la création d'agents et constitue la première brique pour exploiter les outils intégrés d'OpenAI afin de construire des agents. Il suffit de moins de quatre lignes de code pour démarrer – elle est conçue pour les développeurs qui souhaitent combiner aisément les modèles d'OpenAI et les outils intégrés dans leurs applications, sans la complexité d'intégrer plusieurs API ou fournisseurs externes.

• L'API Responses intègre désormais des outils tels que la recherche sur le web, la recherche de fichiers et l'utilisation de l'ordinateur – les mêmes modèles qui alimentent la recherche dans ChatGPT et Operator – offrant aux agents un accès direct à des informations et fonctionnalités pertinentes.

• Pour simplifier davantage le développement, le kit de développement logiciel (SDK) Agents permet aux développeurs de gérer facilement les flux de travail des agents ou de coordonner plusieurs agents ensemble.

OpenAI prend en charge le Model Context Protocol, MCP. MCP s'impose comme un standard (et non une norme). Il a été développé par Anthropic. MCP doit faciliter l'accès aux informations de multiples sources de données. Il doit permettre d'améliorer la qualité des réponses des assistants et agents. MCP est un protocole permettant aux apps de fournir un contexte aux LLM. Le SDK Agents supporte MCP. 

OpenAI annonce aussi de nouveaux modèles pour la reconnaissance vocale et la synthèse vocale :

• Les deux derniers modèles de reconnaissance vocale établissent un nouveau standard de pointe, surpassant les solutions existantes sur des critères tels que le taux d'erreur de mots (WER) en anglais ainsi que dans plusieurs autres grandes langues.

• Nous introduisons également un nouveau modèle de synthèse vocale avec une meilleure capacité de guidage. Pour la première fois, les développeurs peuvent également demander au modèle de synthèse vocale de parler d'une manière spécifique.

Post de blog sur la partie audio : https://openai.com/index/introducing-our-next-generation-audio-models/

Une étude Checkmarx / Censuswide révèle que les développeurs interrogés disent être meilleurs en sécurité, avec une compétence plus grande. Mais il y a énorme mais qui pondère ce sentiment d'amélioration : le manque de temps pour être efficace et réellement appliquer le secure by design.

L'étude DevSecOps Evolution : from DevEx to DevSecOps analyse les pratiques des équipes de développement dans les grandes entreprises. L’étude révèle que, malgré une certaine progression, les équipes de développement et de sécurité peinent à aligner flux de travail et métriques associées. Bref : il y a un peu de mieux mais le fossé reste colossal. 

Quelques chiffres qui font réflêchir : 

• 21 % des développeurs interrogés déclarent que la sécurité est leur priorité absolue lors du codage
• 99,6 % des participants ont eu accès à des formations dédiées à la sécurité, 90 % d'entre eux estimant l’efficacité de ces dernières de moyenne ou élevée
•  41,53 % déclarent comprendre les tickets de vulnérabilité qu'ils reçoivent, ainsi que la manière dont ces vulnérabilités se manifestent lors de l'exécution, entre 41 et 60 % du temps
• 72 % des développeurs consacrent plus de 17 heures par semaine à des tâches liées à la sécurité et un sur quatre y consacre plus de 25 heures

Checkmarx préconise 4 étapes pour faire du DevSecOps :

• Étape 0 - Sécurité réactive : l’AppSec est « intégré » au développement, créant un goulot d'étranglement et agissant comme un frein au déploiement.
• Étape 1 - Axé sur la sécurité : l’AppSec détecte et transmet les vulnérabilités aux développeurs, qui sont bombardés d'alertes sans recevoir aucune aide à la remédiation.
• Étape 2 – Axé sur le DevEx : les outils sont directement intégrés à l'environnement de développement (IDE), ce qui permet aux développeurs de corriger les vulnérabilités à l'aide de conseils de remédiation sans perturber leur flux de travail.
• Étape 3 – DevSecOps mature : la culture DevSecOps est désormais solidement ancrée. Les équipes de sécurité et de développement partagent une vision commune en matière de politiques, de gouvernance et de collaboration. La formation, dispensée directement dans l’environnement de développement IDE au moment opportun, assure une montée en compétences ciblée. Par ailleurs, des objectifs clairs et des indicateurs de performance harmonisés permettent de suivre efficacement les progrès.

Un autre élément de l'étude pointe que 28 % du temps consacré à la sécurité sont pour la résolution et la fixation des failles. 45 % du temps est dédié à faire du code sécurisé (reste à savoir où et comment). 

« En 2024, le DevSecOps a connu une phase de transition en France, portée par une prise de conscience croissante et des efforts pour intégrer la sécurité à chaque étape du développement. Pourtant, des défis persistent, notamment le manque de ressources, des budgets contraints et des organisations encore cloisonnées. Si des avancées ont été réalisées, 2025 sera une année clé pour structurer et généraliser durablement le DevSecOps en France face à un cadre réglementaire de plus en plus exigeant. » conclut Fabien Petiau, Country Manager France de Checkmarx.

Pour aller plus loin :

Hors série sécurité & hacking édition 2025 : https://www.programmez.com/magazine/programmez-hors-serie-16-pdf

DevCon sécurité de novembre 2024 : 

TinyGo annonce la disponibilité de la version 0.37. Pour rappel, TinyGo est un compilateur Go taillé pour les microcontrôleurs, WebAssembly (wasm/wasi) et les CLI. La nouvelle version annonce des corrections de bugs, une mise à jour de WASI avec les dernières évolutions du ByteCode Alliance. 

Cette version doit améliorer le support et les performances du PIO sur les cartes RP2350. Le PIO est l'interface matérielle supportant les I/O (bus parallèle, I2C, SDIO, SPI, UART, DPI, etc.). 

Release note : https://github.com/tinygo-org/tinygo/releases/tag/v0.37.0

Google a décidé de développer Android en mode privé. Android Authority détaille cette "révolution" : Android garde le code ouvert mais le développement ne sera plus public. Cela signifie que le code de l'OS sera disponible après la build finale. 

En soi, ce changement n'aura pas de conséquence. Pour Google, c'est aussi le moyen d'être plus serein dans le développement et d'être maître des évolutions et de la roadamp. La branche open source sera actualisée après la disponibilité de la version. Pour Google, cela simplifie l'organisation : une seule branche de codes sera utilisée. Jusqu'à présent, il y avait la branche interne et la branche AOSP. 

Quand on fait une démo en conférence ou à distance, il arrive que des données sensibles s'affichent (secrets, mots de passe, etc.) en grand sur l'écran ! Pas top pour la sécurité et la confidentialité. Heureusement, sur Visual Studio Code, il y a une extension qui permet de cacher nos petits secrets : Camouflage. 

"Camouflage est une extension VS Code qui aide à protéger les variables sensibles en les cachant. C'est parfait en partage d'écran, en enregistrement." explique le créateur Ahmet Zeybek.

L'extension propose plusieurs fonctionnalités intéressantes :

- masquage automatique des valeurs / données

- personnalisation du masquage et des variables concernées

La personnalisation du camouflage se fait dans un fichier .env. C'est là que l'on indique les variables à cacher. Il suffit de configurer le masquage. L'extension est très souple dans la configuration et ce que l'on y met. Par exemple :

// Enable selective hiding
"camouflage.selective.enabled": true,

// Define patterns for keys to hide
"camouflage.selective.keyPatterns": [
"*KEY*", // Contains "KEY" anywhere (e.g., API_KEY, KEY_VALUE, MY_KEY_HERE)
"API*", // Starts with "API" (e.g., API_KEY, API_SECRET)
"*SECRET", // Ends with "SECRET" (e.g., JWT_SECRET, CLIENT_SECRET)
"PASSWORD", // Exact match only (only "PASSWORD", not "DB_PASSWORD")
"DB*", // Starts with "DB" (e.g., DB_HOST, DB_USER)
"*DB*", // Contains "DB" anywhere (e.g., MONGODB_URI, RDS_DB_NAME)
"DATABASE*", // Starts with "DATABASE" (e.g., DATABASE_URL)
"*DATABASE*", // Contains "DATABASE" anywhere (e.g., MY_DATABASE_PASSWORD)
"PORT" // Exact match only (only "PORT", not "REPORT")
],

// Define patterns for keys to never hide
"camouflage.selective.excludeKeys": [
"PUBLIC*", // Starts with "PUBLIC" (e.g., PUBLIC_URL, PUBLIC_KEY)
"*_TEST", // Ends with "_TEST" (e.g., API_TEST, SECRET_TEST)
"DEBUG" // Exact match only (only "DEBUG")
]

Lien vers l'extension : https://marketplace.visualstudio.com/items?itemName=zeybek.camouflage

Pour l'installer : VS Vode -> Panneau extension -> taper Camouflage -> cliquer dessus -> bouton install

Pour en savoir plus, voici la petite démo de Korben qui nous explique tout :

Il y a un an, XZ Utils subissait une faille de sécurité critique : une porte dérobée au coeur de l'utilitaire open source. Heureusement, la vulnérabilité avait été totalement fixée dans la version 5.6.2. Aujourd'hui, XZ Utils est disponible en version 5.8.0. Pour rappel, XZ Utils permet de compresser et décompresser des fichiers xe, lzma. C'est la 1ere évolution majeure depuis 1 an. 

Cette version introduit une fonctionnalité pour mieux garantir la compression sans pertes de données. Sur les architectures x86 et x86_64, le projet utilise SSE2. Ce support doit améliorer le temps de décompression / compression. Jusqu'à 15 % selon les développeurs. Ces améliorations de performances viennent des évolutions des librairies liblzma et sur la toolchain CMake / GCC. Les performances ont été améliorées sur l'ensemble des plateformes supportées. 

Quelques autres nouveautés :

- sur xz : Ajouter de --no-sync pour désactiver le comportement de synchronisation avant suppression

- support de Landlock ABI 5 et 6 sur Linux (xz et xzdec)

- mise à jour sur plusieurs localisations

Note de version : https://github.com/tukaani-project/xz/releases/tag/v5.8.0

OpenTofu et Terraform sont des solutions d'Infrastructure as Code (IaC). Ils sont à la fois similaires et différents. On peut écrire l'infrastructure, les ressources, les déploiements et gérer l'infrastructure. Rappelons que OpenTofu est un fork de Terraform 1.6.x. Il peut créer, déployer et génrer les ressources coud.

Des différences existent :

- licence : licence open source Mozilla vs licence fermée

- même langage IaC : HashiCorp Configuration Language

- même support IDE limité

- même niveau de supports des fournisseurs de cloud

- support du cloud native

- réutilisation des modules d'infrastructure Terraform. Terraform peut réutiliser les modules OpenTofu

- les tests sont intégrés dans les 2 cas

- OpenTofu chiffre les états, pas Terraform

OpenTofu est un fork récent mais il gagne en popularité grâce à son côté Open Source et bénéficie aussi des revirements d'HashiCorp sur Terraform. Le rachat d'HashiCorp par IBM n'est pas forcément une bonne nouvelle pour Terraform même si le projet reste très populaire sur GitHub. Cependant, OpenTofu, avec 13 mois d'existance, a réussi à fédérer une communauté qui ne cesse de croître. Le nombre de contributions dépasse les 160. Si Terraform possède plus de 1 800 contributeurs, plus ou moins actifs, ce n'est pas pour autant que le projet reçoit du sang neuf pour se renouveller. 

Il est intéressant de constater qu'OpenTofu a reçu 32 000 commits en 13 mois, ce qui est considérable. Terraform fait à peine mieux. Le soutien d'éditeurs est un autre gage de réussir pour OpenTofu même le boost viendra du soutien de grands éditeurs. Le projet cherche aussi à se démarquer de Terraform, pour ne pas rester un simple fork ce qui ne serait pas pertinent sur le long terme. 

Attention, Terraform n'est pas mort et OpenTofu ne va pas le remplacer. Mais Terraform peut clairement perdre du terrain face à OpenTofu qui mise sur son côté Open Source et le dynamisme de sa jeunesse. 

"La question de savoir si l’on doit adopter OpenTofu à la place de Terraform dépend largement des priorités et des besoins spécifiques de chaque organisation. OpenTofu représente une alternative solide pour ceux qui recherchent un outil open source sans les restrictions commerciales imposées par HashiCorp. Sa gouvernance communautaire et ses nouvelles fonctionnalités, telles que l’encryption native de l’état et l’évaluation anticipée des variables, en font un choix attractif pour les entreprises souhaitant une flexibilité maximale et une participation active dans le développement de l’outil.

Si vos projets utilise déjà Terraform en profondeur, passer à OpenTofu pourrait être une bonne option. Cela permettrait de les poursuivre sans problème, tout en évitant les restrictions de la Business Source License (BSL). Cependant, cette décision nécessite une évaluation approfondie des risques et des avantages, notamment en termes de support, de compatibilité future et d’engagement communautaire." (https://blog.stephane-robert.info/post/opentofu-adoption/)

Stéphane Robert optait à l'automne 2024 pour OpenTofu pour l'open source, le chiffrement natif de l'état et les avantages propres à OpenTofu. 

Source : Matt Asay d'InfoWorld, https://www.pulumi.com/docs/iac/concepts/vs/terraform/opentofu/

Apple vient de dévoiler les dates de sa conférence mondiale, WWDC. Elle aurait lieu du 9 au 13 juin. Visiblement, la WWDC redevient (enfin) un événement majeur pour Apple qui n'a pas fait de conférences sur les nouveaux produits 2025. Avec les énormes retards du prochain Siri et un démarrage d'Apple Intelligence parfois poussif, Apple doit rassurer et convaincre les développeurs. Comme chaque année, les nouveaux versions d'iOS, macOS seront dévoilées. On attend aussi VisionOS 3. 

Les rumeurs se multipient sur une refonte profonde l'interface d'iOS, peut-être influencé par VisionOS. Apple va-t-il engager un alignement des interfaces avec un langage design le plus commun possible ? On attend aussi Apple sur le futur de Swift qui se fait discret. Quid de Xcode ? Ne sera-t-il pas tant de proposer un nouvel environnement plus modulaire, moins lourd ? Xcode hérite directement des outils NeXT des années 90. 

Sur la partie matérielle, nous ne savons pas trop à quoi s'attendre :

- une évolution du Vision Pro ?

- un nouveau Mac Pro

- de nouveaux matériels ? Les rumeurs sont nombreuses

Réponses le 9 juin prochain. 

Google lance les premiers LLM Gemini 2.5. Le modèle Pro est actuellement en version expérimentale. Il se veut à l'état de l'art de l'IA et des LLM. "Dans le domaine de l'IA, la capacité de « raisonnement » d'un système ne se limite pas à la classification et à la prédiction. Elle désigne sa capacité à analyser l'information, à tirer des conclusions logiques, à intégrer le contexte et les nuances, et à prendre des décisions éclairées." indique l'éditeur.

Gemini 2.5 Pro est disponible sur Google AI Studio et Gemini app (utilisateur avancé). Et sera bientôt disponible sur Vertex AI. La tarification n'est pas encore annoncée ni les limitations des différents modèles à venir. 

Selon un benchmark publié par les équipes AI de Google, Gemini 2.5 promet des réponses de meilleures qualités et du mieux dans le raisonnement des réponses sur certains domaines (mathématique, traduction, analyse d'image). Même si parfois, la progression semble faible, cela a nécessité un long apprentissage. La partie codage est un des axes importants de ces nouveaux modèles : améliorer les performances de codage, un code généré de meilleure qualité.

Programmez! vous propose les replays des sessions de la conférence DevCon de mars 2025 à 42. 

Keynote d’ouverture : les nouveautés Surface et les Copilot+PC pour les développeurs / Frédéric Wickert (Microsoft France)

Session 1 : Génération d'images locales avec Stable Diffusion / Raphaël Semeteys (Worldline)

Session 2 : délivrez vos LLM en serverless / Guillaume Blaquiere

Session 3 : Comment je me suis remplacé par mes agents (AgentIA) / Aymeric Weinbach

Session 4 : Coder avec des Agents : Démo Live et Transformation du Métier / Frédéric Malo (Checkmarx)

Session 5 : L'IA face au Diktat du Court Terme / Adel Chaibi (Ingénieur AI chez Intel)

Merci à nos partenaires :

- à notre sponsor : FIPARCO 42 et aux équipes de 42

- Microsoft partenaire du hors série IA de décembre 2024

wwww.programmez.com

" Se tenir au courant des dernières mises à jour, fonctionnalités et ressources de Visual Studio peut parfois sembler un travail à temps plein. Nous l'avons souvent entendu : vous recherchez un moyen plus simple de rester informé sans avoir à parcourir des articles de blog, des notes de version et des mises à jour sur les réseaux sociaux. C'est pourquoi nous avons créé Visual Studio Hub, une destination unique pour vous aider à trouver rapidement ce qui compte le plus. Que vous recherchiez les dernières fonctionnalités, les ressources GitHub Copilot, les événements à venir ou les conseils d'experts de nos équipes produit, le Hub vous permet de rester facilement connecté à toute l'actualité de l'écosystème Visual Studio."

Visual Studio Hub est là pour centraliser sur un portail unique toutes les annonces, les nouveautés, les mises à jour liées à Visual Studio. Il est parfois fastidieux de trouver les bonnes informations ou tout simplement une mise à jour. 

Plusieurs rubriques thématiques sont proposées : 

- les dernières nouveautés

- GitHub Copilot

- les événements

- les ressources 

- les derniers posts de blogs

L'ergonomie est agréable et rapide à prendre en main. 

Site : https://visualstudio.microsoft.com/hub/?rwnlp=fr

Surfshark a publié un état des lieux des données collectées par les assistants IA et GenIA. Il y a de bonnes et de mauvaises surprises. Le constat est clair : "Toutes les applications de chatbots IA collectent des données des utilisateurs. Le nombre moyen de données collectées est de 11 sur 35 pour les applications analysées. 40 % d'entre elles collectent la localisation des utilisateurs. 30 % d'entre elles suivent les données utilisateur. Le suivi consiste à associer les données utilisateur ou appareil collectées par l'application à des données tierces à des fins de publicité ciblée ou de mesure publicitaire, ou à les partager avec un courtier en données"

Les principaux types de données collectées : contact, localisation, contenu de l'utilisateur, historique de navigateur / recherche, identifiants, diagnostics, données de l'utilisateur, achat, diverses données. 

Les principales IA :

- Gemini (Google) collecte 22 types de données sur 35 listées : localisation, nom, mail, téléphone, historiques divers, etc. 

- Poe collecte 14 types de données

- Claude : 13 types de données

- Copilot : 12 types de données

- DeepSeek : 11 types de données

- ChatGPT (OpenAI) collecte 10 types de données sur 35. Ces données sont effacées après 30 jours ou quand la requête est supprimée. 

Ce n'est pas une surprise que les IA collectent des données pour compléter les bases de données et continuer à apprendre. Il faudrait plus de transparence sur ces collectes. 

Site : https://surfshark.com/research/chart/ai-chatbots-privacy

Il y a quelques jours, nous vous parlions de Clonezilla. Rescuezilla est une interface graphique au-dessus de Clonezilla. L'avantage de cette GUI est de simplifier l'usage de Clonezilla. C'est un projet open source totalement compatible avec Clonezilla. Mais l'outil n'est pas qu'une simple GUI... Rescuezilla est un fork du projet Redo Backup and Recevory, projet longtemps abandonné.

Il peut gérer les images disques, faire un backup de son poste de travail. Il s'occupe de la restauration du bakcup dans l'état exact des fichiers à l'instant du backup. "Rescuezilla vous permet d'effectuer des sauvegardes, des restaurations et des récupérations, même si vous ne pouvez pas démarrer votre système d'exploitation habituel. Que vous utilisiez Windows, Mac ou Linux, même si vous ne pouvez pas vous connecter, cela n'a aucune importance. Téléchargez et gravez l'ISO sur une clé USB, puis redémarrez votre ordinateur. Votre ordinateur chargera un mini-système d'exploitation complet avec une interface utilisateur par pointer-cliquer dans sa mémoire, sans rien enregistrer sur votre disque dur." indique le projet. 

Les + de l'outil : 

- interface complète

- pas d'installation : un clé USB suffit pour exécuter l'outil

- backup et restauration des machines Linux, Mac, Windows

- support complet de Clonezilla

- support des images VirtualBox, VMware, Qemu

- permetre de restaurer les images, fichiers et documents supprimés 

La dernière version est la 2.6. 

Site officiel : https://rescuezilla.com/

Présentation de clonezilla : https://www.programmez.com/actualites/clonezilla-un-cloneur-de-disques-et-de-partitions-37438

MSTest, ou Microsoft Testing Framework, a pour mission d'aider les développeurs à mieux tester les apps .net. Il s'ingère à Visual Studio et VS Code. Il supporte l'ensemble des plateformes supportées par .Net. La version 3.8 est disponible depuis quelques jours. Les principales nouveautés sont :

- filtrage amélioré avec découverte des tests (-list-tests). Fonctionnalité attendue

- exécuter des tests avec MSBluid : support étendu avec t:Test et /t:Test. 

- amélioration de l'itération 

- support de .Net 9 dans UWP

- introduction de nouvelles API d'assertion

- reprise automique des tests après un arrêt non prévu

- introduction des tests conditionnels

- MSTestAnalysisMode : permet de contrôler le niveau de sévérités des analyseurs de code inclus dans les projets de tests. Vous pouvez déterminer quels analyseurs sont activés et leurs niveaux de gravité correspondants.

Note de version : https://devblogs.microsoft.com/dotnet/mstest-3-8-highlights/

Raspberry Pi continue à sortir des accessoires, plus ou moins utiles. Depuis La Pi3B+, les supportent l'alimentation par Ethernet (PoE). Désormais, un PoE+ Injector est proposé à 25 $. Avec ce switch 2 ports, on peut alimenter en Ethernet plusieurs matériels compatibles. Il propose en sortie 30W. L'avantage du PoE est d'apporter l'électricité nécessaire mais aussi de transporter les données. 

Site : https://www.raspberrypi.com/products/poe-plus-injector/

La fondation Eclipse annonce du nouveau dans les IDE avec deux version de Theia :

• Theia AI (version publique) – un environnement ouvert qui permet aux constructeurs d’outils d’intégrer de manière transparente les Grands Modèles Linguistiques (LLM) de leur choix dans des outils et des IDE personnalisés, facilitant des flux de travail basés sur agents, des suggestions d’IA conscientes du contexte et une assistance intelligente adaptée à leurs besoins uniques.

• IDE Theia IA (version alpha) – Un environnement de développement logiciel open source basé sur Theia AI, qui offre des fonctionnalités avancées d'IA conçues pour améliorer la productivité des développeurs avec un contrôle total.

Theia AI est un environnement open source qui donne aux concepteurs d'outils un contrôle sur la façon dont l'IA est intégrée . Il permet aux développeurs de gérer tous les aspects des fonctionnalités de l'IA, de la sélection du LLM le plus approprié, qu'il soit basé sur le cloud, auto-hébergé ou entièrement local, à l'orchestration de l'ensemble du flux d'ingénierie rapide, afin de définir les comportements agentiques et de déterminer les sources de données et de connaissances utilisées. Ce niveau de personnalisation garantit une transparence et une adaptabilité totales, permettant aux développeurs d’ajuster les interactions IA pour les aligner parfaitement sur leurs besoins stratégiques.

Les fonctionnalités mises en avant :

• Améliorer la productivité des développeurs 
• Supporter la sélection LLM flexible 
• S'intègrer avec des outils externes et des données contextuelles 
• L’intégration de SCANOSS qui analyse le code généré par l’IA pour la conformité aux licences Open Source, aidant les développeurs à atténuer les risques juridiques et opérationnels lors de l’incorporation du code généré par l’IA.

La CVE-2025-24813 à peine dévoilée est déjà exploitée. Elle permet d'exécuter du code distant : une requête peut donner le contrôle du serveur au hacker. Le PoC a été publié par des chercheurs en sécurité de Wallarm. Ce qui inquiète n'est pas la publication d'une nouvelle faille mais la rapidité de son utilisation... Cette faille touche les version 9.0.x, 10.1.x et 11.0.x. 

Ce faille peut être exploiter si :

- une version impactée est en production

- si le serveur autorise les requêtes PUT

- déclentissement de la désérialisation 

- Java installée sur la machien cible

Pour régler le problème :

- reset de la configuration pour rétablir la configuration par défaut du servlet

- désactivier les requêtes PUT

- pas de données critiques dans le répertoire public

- mettre à jour

Il faut patcher au plus vite votre Apache Tomcat si la version utilisée est concernée : https://tomcat.apache.org/security-11.html

Le PoC : https://github.com/absholi7ly/POC-CVE-2025-24813

Il n'est pas toujours simple de savoir comment monter en compétence sur une technologie, nouvelle ou non. Pour vous aider à vous organiser et savoir comment s'y prendre et quoi apprendre, developer-roadmap propose une série roadmaps sur des technologies, des langages, des OS. Ces roadmaps sont des organigrammes très détailées sur les modules, les fonctionnalités, ce qu'il faut voir apprendre, les options, etc. 

C'est clair et très bien fait. Et vous pouvez au fur et à mesure, indiquer l'état d'avancement de votre montée en compétence. Pour chaque étape, la roadmap propose les ressources liées. Par exemple, sur Android, on trouve 105 éléments, 93 sur TypeScript. 

Site : https://roadmap.sh/

JavaOne est la grand'messe du monde Java. Comme pour rassurer, Chad Arimura, un des responsables Java d'Oracle, a rappelé que Java était simple, robuste, portable, sécurisé, neutre et performant. L'accent a été mis sur l'évolution régulière du Java. Une petite nostalgie a pointé durant la keynote avec Scott MacNealy (fondateur de Sun) et un rappel sur le rôle de James Gosling. 

Malgré les nouveaux langages et les modes, JavaOne était là pour rappeler que Java reste un des langages les plus utilisés. De longues minutes ont servi à démonter les arguments contre-Java : difficile à apprendre, un garbage collector trop lent, des performances en retrait, etc. Au contraire, l'objectif a été de montrer que Java est toujours bien présent et qu'il peut rélever les défis actuels et de demain. Des démos ont été montrés sur Oracle Database, SQL, JSON. 

Naturellement, Java 24 a été la grande vedette de la conférence, ainsi que les 30 ans du langage :

NVIDIA ne voit pas de ralentissements de la demande des puces IA, au contraire. Les besoins en GPU continueront à soutenir le marché. Pour preuve, NVIDIA a dévoilé une roadmap ambitieuse pour les 3 prochaines années :

- 2026 : architecture Rubin

- 2027 : Rubin Ultra

- 2028 : nouvelle architecture Feynman

Rubin doit fournir une puissance x3 par rapport à Blackwell. Les premères Rubin doit fournir 3,6 exaflops. Cette architecture prendra la relève à Grave. Elle embarquera 88 coeurs. Le pivot technologique sera sans doute en 2028 avec Feynman qui doit apporter une nouvelle architecture, une nouvelle génération de gestion de la mémoire. 

Au-delà des performances, NVIDIA a bien compris que son défi est dans la consommation énergétique. Le fondeur promet des puces de faire mieux avec moins de Watt avec un meilleur ratio watt / puissance. Sur scène, Huang a montré comment l'architecture GPU permet de réduire l'énergie consommée sur un modèle de 10 000 GPU : + 1 000 GW/h en architecture Pascal (2018) à 3 GWh en architecture Blackwell (2024). 

Oracle a distribué Java 24 le 19 mars dernier. Cette version propose de nombreuses JEP en version finale ou en préversion / incubation. L'éditeur a fait un récap des nouveautés :

Fonctionnalités du langage 

●     JEP 488 : Types primitifs dans les patterns, instanceof et switch (second aperçu) : aide les développeurs à augmenter leur productivité en rendant le langage Java plus uniforme et plus expressif. Cette fonctionnalité aide les développeurs à améliorer la correspondance de modèles en supprimant les restrictions relatives aux types primitifs que les développeurs rencontrent lors de l’utilisation du pattern matching, d’instanceof et de switch. Il autorise également les modèles de type primitif dans tous les contextes de modèle et étend instanceof et switch pour fonctionner avec tous les types primitifs. Les développeurs d’applications qui intègrent l’inférence d’IA bénéficieront notamment de la prise en charge des types primitifs.

●   JEP 492 : Corps de constructeurs flexibles (troisième aperçu) : aide les développeurs à améliorer la fiabilité du code grâce à l’introduction de deux phases distinctes de prologue et d’épilogue dans un corps de constructeur. Cela permet aux développeurs de placer plus naturellement la logique qu’ils doivent actuellement prendre en compte dans des méthodes statiques auxiliaires, des constructeurs intermédiaires auxiliaires ou des arguments de constructeur. De plus, cette approche préserve la sauvegarde existante selon laquelle le code dans un constructeur de sous-classe ne peut pas interférer avec l’instanciation de superclasse, ce qui rend une classe plus fiable en cas de remplacement des méthodes.

●  JEP 494 : Déclarations d’importation de modules (deuxième aperçu) : permet aux développeurs d’améliorer leur productivité en leur permettant d’importer rapidement et facilement tous les packages exportés par un module, sans que le code d’importation ne doive se trouver dans un module lui-même. Cela simplifie la réutilisation des bibliothèques modulaires pour tous les développeurs et aide les débutants à utiliser plus facilement des bibliothèques tierces et des classes Java fondamentales sans la nécessité de savoir où elles se trouvent dans une hiérarchie de packages. Cette fonctionnalité bénéficie également aux développeurs qui souhaitent intégrer rapidement la logique métier avec des appels d’inférence d’IA native, à une bibliothèque ou à des services.

●     JEP 495 : Fichiers sources simples et méthodes principales d’instance (quatrième aperçu) :aide les apprenants à écrire leurs premiers programmes sans avoir à comprendre les fonctionnalités de langage conçues pour les grands programmes en offrant une migration fluide vers la programmation Java. En conséquence, les enseignants et les instructeurs peuvent introduire des concepts progressivement et les apprenants peuvent écrire des déclarations rationalisées pour les programmes de classe unique et étendre leurs programmes de manière transparente avec des fonctionnalités plus avancées au fur et à mesure que leurs compétences se développent. En outre, les développeurs Java expérimentés peuvent écrire de petits programmes succinctement et efficacement sans avoir besoin d’utiliser des outils conçus pour des projets plus importants.

Bibliothèques

●    JEP 485 : Collecteurs de flux : aide les développeurs à devenir plus efficaces dans la lecture, l’écriture et la maintenance du code Java en améliorant l’API de flux pour prendre en charge les opérations intermédiaires personnalisées, ce qui permet aux pipelines de flux de transformer les données d’une manière difficilement réalisable avec les opérations intermédiaires intégrées existantes. 

●  JEP 484 : API de fichier de classe : aide les développeurs à améliorer leur productivité en fournissant une API standard pour l’analyse, la génération et la transformation des fichiers de classe Java et le suivi du format de fichier de classe défini par la spécification Java Virtual Machine. 

●     JEP 487 : Valeurs ciblées (quatrième aperçu) : améliore l’ergonomie, la compréhensibilité, les performances et la robustesse des projets des développeurs en permettant le partage de données immuables au sein des threads et entre eux. 

●  JEP 489 : API de vecteur (neuvième incubation) : aide les développeurs à améliorer la productivité en introduisant une API pour communiquer les calculs de vecteurs qui effectuent une compilation fiable lors de l’exécution pour vectoriser les instructions sur les architectures de processeurs prises en charge. Les développeurs peuvent ainsi obtenir des performances supérieures aux calculs scalaires équivalents, qui sont souvent utilisés dans les scénarios d’inférence et de calcul de l’IA.

●    JEP 499 : Accès simultané structuré (quatrième aperçu) : aide les développeurs à améliorer la maintenabilité, la fiabilité et l’observabilité du code multithread en simplifiant la programmation simultanée via une nouvelle API pour les accès simultanés structurés. En traitant les groupes de tâches connexes exécutées dans différents threads comme une seule unité de travail, la simultanéité structurée peut aider à réduire les risques courants découlant de l’annulation et de l’arrêt, tels que les fuites de threads et les retards d’annulation.

Bibliothèques de sécurité

●   JEP 478 : API de fonction de dérivation de clé (aperçu) : permet aux développeurs de se préparer aux environnements de calcul quantique émergents en offrant une sécurité cryptographique pour les données en transit. Cela améliore la confidentialité et l’intégrité de la communication.

●    JEP 496 : Quantum-Resistant Module-Lattice-Based Key Encapsulation Mechanism : permet d’augmenter la sécurité des applications Java en fournissant une implémentation du mécanisme « Quantum-Resistant Module-Lattice-Based Key Encapsulation Mechanism » (ML-KEM). Cette fonctionnalité est une étape importante vers la préparation post-quantique et la fourniture éventuelle de la prise en charge de la cryptographie post-quantique (PQC, « Post Quantum Crypto ») pour la plateforme Java, car les mécanismes d’encapsulation de clé sont utilisés pour sécuriser les clés symétriques sur les canaux de communication non sécurisés à l’aide de la cryptographie à clé publique. 

●   JEP 497 : Quantum-Resistant Module-Lattice-Based Digital Signature Algorithm : permet d’augmenter la sécurité des applications Java en fournissant une implémentation de l’algorithme « Quantum-Resistant Module-Lattice-Based Digital Signature Algorithm » (ML-DSA). Comme avec JEP 496, cette fonctionnalité est une étape importante vers la préparation post-quantique et la fourniture éventuelle de la prise en charge PQC pour la plateforme Java, car les signatures numériques sont utilisées pour détecter les modifications non autorisées des données et pour authentifier l’identité des signataires. ML-DSA est conçu pour se protéger contre les futures attaques de calcul quantique, et il a été normalisé par le National Institute of Standards and Technology (NIST) des États-Unis dans la norme FIPS 204.

Outils

●    JEP 493 : Liaison d’images d’exécution sans JMOD : permet aux développeurs d’accroître leur efficacité en permettant à l’outil jlink de créer des images d’exécution personnalisées sans utiliser les fichiers JMOD du JDK, ce qui peut réduire la taille du JDK d’environ 25 %. Les développeurs peuvent ainsi lier une image d’exécution à partir de modules, que ces modules soient des fichiers JMOD autonomes, des fichiers JAR modulaires ou une partie d’une image d’exécution précédemment liée. Cette fonctionnalité doit être activée lors de la création du JDK ; elle ne sera pas activée par défaut et certains fournisseurs de JDK peuvent choisir de ne pas l’activer.

Mises à jour de performances et de temps d’exécution

●    JEP 450 : En-têtes d’objet compacts (expérimental) : permet aux développeurs d’augmenter leur productivité en réduisant la taille des en-têtes d’objet dans la JVM HotSpot de 96 et 128 bits à 64 bits sur les architectures 64 bits. Cela permet de réduire la taille de la portion de mémoire, d’améliorer la densité de déploiement et d’augmenter la localisation des données.

●     JEP 475 : Extension de barrière tardive pour G1 : permet aux développeurs d’augmenter leur efficacité en déplaçant l’extension des barrières du processus de nettoyage de la mémoire G1 du début du pipeline de compilation de C2 JIT vers une version ultérieure, ce qui peut réduire la surcharge si elle se produit après des optimisations indépendantes de la plateforme et l’allocation de registre. En simplifiant l’implémentation des barrières du nettoyage de la mémoire G1, cette fonctionnalité permet d’augmenter l’efficacité, la lisibilité, la résilience et la qualité du code généré par C2. 

●     JEP 483 : Chargement et liaison de classes en avance : permet aux développeurs d’augmenter la productivité et d’améliorer le temps de démarrage en rendant instantanément les classes d’une application disponibles dans un état chargé et lié au démarrage de la machine virtuelle Java Virtual Machine HotSpot. Cette fonctionnalité ne nécessite pas l’utilisation des outils jlink ou jpackage, et ne nécessite aucune modification de la façon dont les applications sont démarrées à partir de la ligne de commande ou toute modification du code des applications, bibliothèques ou frameworks. Elle contribue ainsi à jeter les bases d’améliorations continues du temps de démarrage et d’échauffement.

●     JEP 490 : ZGC : suppression du mode non générationnel : permet aux développeurs de réduire le coût de maintenance de la prise en charge de deux modes différents en supprimant le mode non générationnel du Z Garbage Collector (ZGC).

●    JEP 491 : Synchroniser les threads virtuels sans association : permet aux développeurs d’augmenter la productivité en étendant l’évolutivité du code Java et des bibliothèques qui utilisent des méthodes et des instructions synchronisées. En permettant aux threads virtuels de libérer les threads de plateforme sous-jacents, cette fonctionnalité permet aux développeurs d’accéder à davantage de threads virtuels pour gérer les workloads de leurs applications. 

Divers

●      JEP 404 : Generational Shenandoah (expérimental) : aide les développeurs à augmenter la productivité grâce à l’amélioration du collecteur de déchets Shenandoah avec des fonctionnalités de collecte générationnelle expérimentales qui améliorent le débit durable, la résilience de pic de charge et l’utilisation de la mémoire.

●      JEP 479  : Suppression du port x86 Windows 32 bits : aide les développeurs à augmenter leur efficacité en supprimant le code source et la prise en charge du port x86 Windows 32 bits, ce qui simplifie l’infrastructure de création et de test du JDK.

●      JEP 501  : Dépréciation du port x86 32 bits en vue de sa suppression : aide les développeurs à augmenter leur productivité en dépréciant le port x86 32 bits en vue de le supprimer dans une prochaine version. Cela permet aux développeurs d’accéder à de nouvelles fonctionnalités qui nécessitent une prise en charge propre à la plateforme sans avoir à implémenter des solutions pour les plateformes x86 32 bits.

Le navigateur Vivaldi est disponible en version 7.2. "Dans Vivaldi 7.2, la barre d’adresses fournit des résultats plus rapides et plus pertinents. Nous avons affiné les suggestions, amélioré la précision de la recherche et veillé à ce que la recherche de ce dont vous avez besoin se fasse en toute transparence." explique l'éditeur. Cette version améliore les raccourics et vous pouvez mieux les paramétrer. Fonction pratique : on transforme en événement agenda un mail reçu. 

Les autres évolutions :

• Nouveau module Devises  ce nouveau module Devises permet les conversions en temps réel sur votre tableau de bord.

• Espaces de travail dans les commandes rapides   vous pouvez trouver vos espaces de travail encore plus rapidement en utilisant les commandes rapides.

• Tri des comptes de messagerie  Pour ceux qui gèrent plusieurs comptes de messagerie, Vivaldi rend la vie plus facile en permettant la réorganisation de vos comptes dans Vivaldi Courrier.

Site : https://vivaldi.com/fr/