The HNPaper

jeudi 14 mai 2026
Archives
mercredi 29 avril 2026 à 12:00
57 min restantes -
iaprogrammationopensourcesecuriteeconomiesocieteviepriveeethique

Guide de construction et logiciel pour affichage Flipdisc

Une initiative de conception met en lumière la réalisation d’un grand mur d’art interactif basé sur la technologie des flipdiscs. Cette technologie électromagnétique, vieille de plus de 80 ans, se distingue des écrans LED par sa haute lisibilité, sa longévité exceptionnelle et un son caractéristique perçu comme apaisant. L’installation repose sur neuf panneaux AlfaZeta formant une grille de 84x42 disques, alimentés en 24V et intégrés dans une structure en aluminium robuste.

L’approvisionnement en composants est ardu et coûteux, la technologie étant principalement orientée vers l’industrie des transports, avec un coût avoisinant les 2000 $/pied carré, limitant ainsi les projets de grande envergure. Un processeur Nvidia Orin Nano gère des traitements d’apprentissage automatique complexes (voix, vidéo, images), pilotant un logiciel Node.js sur mesure qui utilise des bibliothèques web pour des visualisations en temps réel. Les interactions s’appuient sur les bibliothèques MediaPipe de Google, notamment pour la reconnaissance gestuelle. Une application mobile dédiée offre un contrôle intuitif pour gérer les scènes dynamiques (lecteur RSS, Spotify) et permettre le dessin libre.

Si la technologie est reconnue pour sa robustesse et sa durabilité — les mécanismes électromagnétiques surpassant la longévité des LED —, son coût élevé, le bruit audible lors des changements et les défis pour des fréquences d’images très élevées sont des points de discussion. Des pistes de fabrication additive sont envisagées pour démocratiser cette technologie de niche, dont le potentiel d’intégration avec l’intelligence artificielle est une prochaine étape envisagée.

APOD: 2026 April 27 – La Comète R3 PanSTARRS Derrière les Traces de Satellites

Une photographie récente prise en Bavière, Allemagne, met en lumière la comète C/2025 R3 (PanSTARRS) alors qu’elle traverse le système solaire interne. Capturée avec une exposition prolongée de plus de dix minutes, l’image révèle la comète avec sa coma verte et sa queue ionique, mais elle est également striée d’une multitude de traînées lumineuses laissées par les satellites en orbite.

Ce cliché est emblématique d’un défi croissant pour l’astronomie terrestre. La multiplication des constellations satellitaires, bien qu’elle apporte des bénéfices significatifs comme l’accès global à internet et des communications vitales, entrave sérieusement les observations professionnelles et amateurs. Cette interférence menace des découvertes scientifiques majeures, en particulier en radioastronomie, et altère l’expérience du ciel nocturne pour de nombreux passionnés et les jeunes générations. Bien que les astrophotographes puissent utiliser des techniques comme l’empilement d’images pour atténuer ces traînées, le problème s’intensifie. Actuellement, la comète elle-même est difficile à observer en raison de sa proximité angulaire avec le Soleil, mais elle promet d’être plus visible depuis l’hémisphère sud dans les semaines à venir, avant de s’éloigner définitivement vers l’espace interstellaire.

Ghostty Is Leaving GitHub – Mitchell Hashimoto

Mitchell Hashimoto, un développeur influent et utilisateur de longue date de GitHub (depuis 2008), a annoncé le départ de son projet Ghostty de la plateforme. Cette décision, empreinte d’une profonde tristesse et frustration personnelle, est motivée par une dégradation continue de la fiabilité de GitHub, marquée par des pannes quotidiennes affectant les revues de code, les actions CI/CD et l’expérience utilisateur globale.

De nombreux développeurs partagent ce sentiment de déception, considérant GitHub comme bien plus qu’un simple service SaaS, mais un pilier de la collaboration open source. La détérioration est largement attribuée à une combinaison de facteurs : une croissance exponentielle de la plateforme, un changement de priorités après l’acquisition par Microsoft, et une focalisation intensive sur l’intégration de l’IA (comme Copilot) au détriment de la stabilité des services fondamentaux. Des problèmes de conception, comme un frontend de revue de code lent et des Actions GitHub mal conçues, sont également pointés du doigt. Certains estiment que le départ de projets emblématiques pourrait être le seul moyen de catalyser un changement réel, tandis que d’autres s’inquiètent de la fragmentation de l’écosystème et de l’avenir de GitHub comme plateforme pour les développeurs humains.

Maintenir Android Ouvert : Une Menace pour la Liberté Numérique

À partir de septembre 2026, Google imposera aux développeurs d’applications Android de s’enregistrer, de payer une redevance et de fournir une pièce d’identité gouvernementale. Cette exigence s’appliquera à toutes les applications, y compris celles installées en dehors du Play Store, comme celles partagées entre amis ou distribuées via des plateformes open-source telles que F-Droid. Les applications non conformes seront bloquées, même sur les appareils déjà possédés par les utilisateurs, via une mise à jour silencieuse.

Cette mesure, justifiée par Google comme un renforcement de la sécurité, est largement perçue comme un moyen de consolider son contrôle et de restreindre la liberté des utilisateurs et des développeurs. Les critiques soulignent que l’identification des développeurs n’empêche pas les logiciels malveillants et que les outils de sécurité existants sont suffisants. Le processus de “chargement latéral avancé” (sideloading) reste complexe (neuf étapes, 24 heures d’attente), agissant plus comme un mécanisme de dissuasion qu’une réelle alternative.

Cette nouvelle politique trahit l’esprit d’ouverture d’Android, le rapprochant du modèle “jardin clos” d’Apple, et risque d’étouffer l’innovation, la vie privée et la concurrence. Elle expose également les développeurs et les utilisateurs dans des contextes sensibles à des risques de surveillance ou de censure. La communauté technologique exprime une forte opposition, certains envisageant de se tourner vers des alternatives comme iOS ou les systèmes d’exploitation mobiles basés sur Linux.

GitHub - localsend/localsend: Une alternative open-source et multiplateforme à AirDrop

LocalSend est une application libre et open-source conçue pour le partage sécurisé de fichiers et de messages entre appareils à proximité, via le réseau local. Elle fonctionne sans connexion internet ni serveurs tiers, offrant une communication rapide et privée. Multiplateforme, elle utilise une API REST et le chiffrement HTTPS avec des certificats générés à la volée, assurant une sécurité maximale des échanges.

Bien que LocalSend se positionne comme une alternative fiable, son expérience utilisateur diffère notablement de celle d’AirDrop. AirDrop se distingue par sa capacité à créer et gérer automatiquement un réseau local ad-hoc, permettant un partage fluide et instantané même en l’absence de Wi-Fi existant. LocalSend, en revanche, nécessite que les appareils soient déjà connectés au même réseau local ou qu’un point d’accès Wi-Fi soit configuré manuellement, ce qui peut introduire une étape supplémentaire pour l’utilisateur.

Cette divergence souligne la difficulté de reproduire l’intégration profonde des systèmes d’exploitation propre à AirDrop. Néanmoins, LocalSend est apprécié pour sa robustesse et sa sécurité par de nombreux utilisateurs, qui le considèrent comme une solution efficace pour le transfert de fichiers entre différents OS. L’évolution des standards, tels que Wi-Fi Aware et les mandats d’interopérabilité, pourrait à terme rapprocher ces expériences.

GTFOBins : L’art de détourner les exécutables Unix pour la sécurité

GTFOBins est une ressource essentielle qui catalogue les exécutables Unix dont les fonctions légitimes peuvent être détournées pour contourner les restrictions de sécurité locales. Il ne s’agit pas de vulnérabilités, mais de “vivre de la terre” (living off the land), en utilisant des outils courants comme tcpdump ou base64 pour des actions non autorisées : briser des shells restreints, escalader des privilèges sur des systèmes mal configurés, transférer des fichiers, ou obtenir des shells.

Cette approche révèle les failles critiques créées par des configurations laxistes, telles que des règles sudo trop permissives ou des bits SUID mal gérés. Elle souligne que la suppression de certains binaires ne garantit pas la sécurité si un attaquant a déjà un accès initial ; l’essentiel réside dans une isolation rigoureuse et la prévention de l’accès. Le phénomène est d’autant plus préoccupant que les agents d’IA peuvent “redécouvrir” et exploiter ces techniques sans une sandbox adéquate. Bien que pertinent pour les tests d’intrusion et l’analyse post-exploitation, GTFOBins est aussi un outil précieux pour la récupération et la réparation de systèmes compromis. Son équivalent pour Windows est LOLBAS.

Votre application de suivi de règles a bavardé sur votre cycle avec Meta

L’application de suivi de règles Flo a été jugée responsable d’avoir partagé des données de santé intimes, comme les cycles menstruels et les informations de grossesse, avec des tiers tels que Meta, Google et Flurry à des fins commerciales. Entre 2016 et 2019, cette pratique a résulté d’une décision de conception délibérée, et non d’un piratage, contredisant directement les promesses de confidentialité de l’application.

Ce cas expose une zone grise alarmante dans la protection des données de santé. Les réglementations existantes, comme la loi américaine HIPAA, ne couvrent pas la majorité des applications de “bien-être”, laissant les informations sensibles des utilisateurs vulnérables. Le modèle économique de nombreuses applications, basé sur la monétisation des données pour des publicités ciblées, alimente ces pratiques. Dans un contexte post-Dobbs, l’exploitation de ces données reproductives soulève de graves préoccupations quant à leur utilisation potentielle par les autorités ou des data brokers.

Il incombe aux consommateurs de choisir des alternatives transparentes, souvent open-source ou fonctionnant hors ligne, pour protéger leur vie privée, face à un cadre légal qui peine à s’adapter aux évolutions technologiques et aux impératifs commerciaux.

Les Émirats Arabes Unis redessinent les équilibres géopolitiques et énergétiques au Moyen-Orient

Les récentes évolutions géopolitiques, analysées à partir d’échanges approfondis faute d’accès à l’article original, révèlent une reconfiguration majeure au Moyen-Orient. Les Émirats Arabes Unis (EAU) ont exigé le remboursement immédiat de 3,5 milliards de dollars au Pakistan, peu après un renflouement pakistanais par l’Arabie Saoudite et la signature d’un traité de défense mutuelle Riyad-Islamabad.

Parallèlement, les EAU ont quitté l’OPEP+, marquant leur intention d’augmenter leur production pétrolière et de diversifier leurs monnaies de transaction, notamment vers le Yuan, tout en cherchant un soutien financier (ligne de swap en dollars) auprès des États-Unis. Ces actions s’inscrivent dans un contexte de tensions entre l’Arabie Saoudite et les EAU, et l’émergence d’un axe émirati-israélien face à l’hégémonie saoudienne et iranienne. Des troupes et le système Iron Dome israéliens ont été déployés aux EAU.

Cette stratégie émiratie, perçue comme un rééquilibrage, découle d’une remise en question de la garantie de sécurité américaine et des flux financiers globaux, redessinant les alliances régionales et les dynamiques du marché pétrolier international.

Les Émirats arabes unis quittent l’OPEP, un coup dur pour le groupe de producteurs mondiaux de pétrole | Reuters

Les Émirats arabes unis ont annoncé leur retrait de l’Organisation des pays exportateurs de pétrole (OPEP) à compter du 1er mai, une décision lourde de sens pour le marché pétrolier mondial. Ce départ est analysé comme un coup dur pour la cohésion et l’influence du cartel, potentiellement source de nouvelles incertitudes. Sur le plan géopolitique, cet événement est interprété comme un succès pour le président américain Donald Trump et, plus profondément, comme le signe d’une fracture grandissante entre les Émirats arabes unis et l’Arabie saoudite, deux acteurs majeurs de la région. Ce schisme pourrait redessiner les alliances énergétiques et compliquer les efforts de coordination de la production pétrolière, avec des répercussions sur les prix et la stabilité du marché.

VibeVoice de Microsoft : l’IA vocale open source à la frontière de l’innovation

Microsoft a lancé VibeVoice, une suite de modèles d’IA vocale “open-source frontière” incluant la synthèse vocale (TTS) et la reconnaissance automatique de la parole (ASR). Une innovation clé réside dans l’utilisation de tokenizeurs de parole continus à très faible débit, optimisant l’efficacité et la fidélité pour de longues séquences. VibeVoice-ASR excelle dans la transcription d’audio jusqu’à 60 minutes en un seul passage, fournissant des transcriptions structurées avec identification du locuteur, horodatage et contenu, et prend en charge les mots-clés personnalisés. Le modèle VibeVoice-Streaming offre une synthèse vocale en temps réel.

Cependant, le volet VibeVoice-TTS, initialement conçu pour la synthèse multilocuteur longue durée, a été retiré du dépôt par Microsoft en septembre 2025 en raison d’utilisations jugées “incompatibles avec l’intention déclarée”, soulevant des questions sur l’éthique et le potentiel de mésusage (deepfakes, désinformation). La qualification d’« open-source » fait également débat, certains observateurs arguant que l’absence de données d’entraînement accessibles limite la portée réelle de cette ouverture, la réduisant souvent à de simples “poids ouverts” plutôt qu’à un code entièrement reproductible. Des inquiétudes sont aussi exprimées quant à une approche de déploiement rapide avant une évaluation complète.

Mise à jour sur la disponibilité de GitHub - Le Blog GitHub

GitHub fait face à des défis importants en matière de fiabilité, reconnaissant des incidents récents impactant les opérations de fusion et de recherche. La plateforme connaît une croissance exponentielle de l’activité, en grande partie stimulée par l’essor des flux de travail “agentiques” liés à l’IA, nécessitant une capacité multipliée par 30 d’ici 2026. En réponse, GitHub réaffirme ses priorités : la disponibilité avant la capacité, puis les nouvelles fonctionnalités.

Pour y parvenir, des mesures sont mises en œuvre : optimisation interne (migration du monolithe Ruby vers Go, amélioration des caches et bases de données), isolation des services critiques, un transfert vers Azure, et une future stratégie multi-cloud. Toutefois, la concrétisation de ces priorités est nuancée par des sorties de fonctionnalités continues et une performance utilisateur fluctuante, avec des régressions observées dans des éléments clés comme la recherche. L’efficacité de la croissance massive générée par l’IA est questionnée, certains la jugeant de “faible valeur” et contribuant à la surcharge. Cette situation pousse des développeurs à s’interroger sur la capacité de GitHub à fournir un service stable, incitant certains à envisager des solutions alternatives auto-hébergées face à une fiabilité jugée insuffisante.

L’entreprise de vérification d’identité du PDG d’OpenAI annonce un faux partenariat avec Bruno Mars suite à une erreur d’identité

Tools For Humanity (TFH), l’entreprise de vérification d’identité cofondée par Sam Altman, a récemment fait l’objet de critiques après avoir annoncé un partenariat inexistant avec Bruno Mars pour l’accès à des concerts VIP. L’annonce, qui coïncidait avec le lancement de leur outil “Concert Kit”, promettant des expériences exclusives aux “humains vérifiés”, a été rapidement démentie par la direction de Bruno Mars et Live Nation.

TFH a ensuite corrigé son communiqué, révélant que le véritable partenariat concernait le groupe Thirty Seconds to Mars. Cette confusion, due à une apparente erreur d’identité, est perçue comme particulièrement ironique pour une entreprise qui développe une technologie d’identification humaine par scan irien, l’« orb », visant à combattre la fraude en ligne et les bots.

L’incident met en lumière la rigueur attendue des entreprises technologiques et soulève des questions plus larges sur la fiabilité des systèmes d’identité numérique. Des voix critiques s’interrogent également sur la vision stratégique d’intégrer des technologies comme la cryptomonnaie dans de tels projets, certains y voyant un prétexte plutôt qu’une valeur ajoutée fondamentale.

Accord entre Google et le Pentagone pour l’utilisation de l’IA à des fins “légales”

Google a récemment conclu un accord classifié avec le Département américain de la Défense, l’autorisant à utiliser ses modèles d’IA pour “toute fin gouvernementale légale”. Cette décision intervient alors que des employés de Google avaient exprimé de vives préoccupations éthiques, redoutant des usages potentiellement inhumains ou nuisibles de l’IA militaire.

L’accord, qui positionne Google aux côtés d’autres géants de l’IA comme OpenAI et xAI, mentionne des restrictions contre la surveillance de masse domestique ou les armes autonomes sans supervision humaine appropriée. Cependant, il est noté que Google n’aurait aucun droit de veto sur les décisions opérationnelles du gouvernement, ce qui questionne la réelle force de ces garde-fous contractuels. Cette situation est d’autant plus saillante qu’Anthropic avait été écarté par le Pentagone pour avoir refusé de compromettre ses propres barrières de sécurité sur l’IA. Cette dynamique met en lumière la tension constante entre les impératifs de sécurité nationale, les préoccupations éthiques des entreprises technologiques et la définition mouvante de ce qui est “légal” face aux capacités avancées de l’IA.

Disponibilité de Claude.ai et erreurs élevées sur l’API

Une récente interruption a rendu Claude.ai inaccessible et a généré des erreurs API, déclenchant de vives inquiétudes chez les utilisateurs professionnels et individuels. Ces incidents fréquents soulèvent des questions sur la fiabilité et le retour sur investissement des sommes importantes allouées à ces services. Des utilisateurs rapportent une dégradation de l’expérience, notamment des workflows perturbés et une qualité de modèle inconsistante, les incitant à explorer des alternatives comme des modèles open-source ou des solutions développées en interne.

La discussion porte également sur les risques liés à la dépendance envers un unique fournisseur dans un marché de l’IA en pleine mutation. Les entreprises envisagent des stratégies multi-modèles pour minimiser les impacts des pannes ou des évolutions de service. Les causes potentielles de ces instabilités techniques incluent les contraintes de capacité de calcul, la gestion complexe de la charge et l’optimisation du cache. Malgré ces défis, la demande pour les services d’IA reste forte, ce qui souligne une dépendance croissante, mais aussi le besoin impératif d’infrastructures robustes et résilientes.

Revue de code GitHub Copilot consommera des minutes GitHub Actions à partir du 1er juin 2026

GitHub a annoncé qu’à compter du 1er juin 2026, la fonctionnalité de revue de code de Copilot commencera à consommer des minutes GitHub Actions, en plus de l’allocation existante d’unités de requêtes premium (PRU). Cette modification, qui s’applique aux plans Copilot Business et Enterprise, est expliquée par l’architecture agentique de Copilot, qui s’appuie sur GitHub Actions pour contextualiser le code et offrir des retours pertinents. Les utilisateurs sont invités à anticiper en révisant leur facturation et les configurations de leurs runners.

Ce développement s’inscrit dans une tendance où les outils d’IA, initialement introduits à des prix compétitifs, ajustent désormais leurs modèles de coûts. L’évolution tarifaire de Copilot reflète une stratégie plus large des fournisseurs d’IA visant à trouver un équilibre entre la couverture des dépenses massives de développement et les attentes de rentabilité. Des doutes sont exprimés quant à la pérennité de l’enthousiasme pour l’IA face à l’augmentation des coûts. Bien que l’IA puisse générer des gains de productivité, certains s’interrogent sur la véritable valeur ajoutée et la potentielle lourdeur des nouveaux flux de travail, d’autant que la fiabilité de GitHub est parfois remise en question. Des alternatives, comme l’auto-hébergement de runners CI/CD ou l’utilisation de modèles d’IA locaux, sont envisagées par les développeurs soucieux d’optimiser leurs dépenses et d’accroître leur autonomie face aux services cloud.

Anthropic rejoint le fonds de développement de Blender en tant que mécène d’entreprise

La Blender Foundation a annoncé qu’Anthropic, la société d’IA à l’origine du grand modèle linguistique Claude, rejoint son fonds de développement en tant que mécène d’entreprise. Ce soutien financier sera spécifiquement dédié au développement du cœur de Blender, notamment son API Python, essentielle pour permettre aux développeurs et artistes d’étendre et d’améliorer le logiciel. La Fondation a réaffirmé sa mission de fournir des outils libres et open-source aux créateurs, tout en soulignant que sa licence GNU GPL autorise les entreprises à développer des extensions au-delà de sa mission principale, au nom de la liberté logicielle.

Cette annonce a provoqué un vif débat. L’intérêt d’Anthropic semble être d’optimiser l’interaction de Claude avec Blender, par exemple pour la génération assistée de scripts ou la manipulation d’objets 3D complexes. Certains perçoivent cette collaboration comme une opportunité de démocratiser l’accès à la création 3D, permettant aux novices de réaliser des projets ambitieux. Cependant, une autre perspective critique exprime des craintes : la “trivialisation” de l’art, la dévalorisation des compétences humaines et les risques liés à l’influence corporative sur un projet open-source. Des interrogations subsistent également sur les implications éthiques des modèles d’IA entraînés sur des œuvres existantes et sur l’avenir de la créativité humaine face à l’automatisation.

28 avril 2026 - En direct de la route - Waymo

Waymo, la filiale de Google spécialisée dans les véhicules autonomes, a annoncé son déploiement à Portland, Oregon, à compter du 28 avril 2026. L’entreprise souligne que la ville, pionnière en matière de design urbain durable, est un lieu idéal pour son expansion. Waymo met en avant les avantages de sa technologie pour la sécurité routière, citant une réduction des accidents avec blessures graves et un soutien aux objectifs “Vision Zéro” de Portland visant à éliminer les décès sur les routes. Les véhicules commencent à rouler manuellement pour cartographier le réseau routier local, en collaboration avec les autorités et partenaires communautaires.

Cette annonce intervient dans un contexte de défis pour les transports en commun de Portland, avec des coupes de service et des incertitudes budgétaires pour TriMet, et des débats sur la rémunération des chauffeurs de VTC. Waymo se présente comme une solution complémentaire, offrant une alternative potentiellement plus sûre et fiable. Cependant, l’expansion soulève des questions sur la pérennité économique du modèle de Waymo face aux coûts de R&D, l’impact sur l’emploi, les enjeux de confidentialité des données collectées par les caméras embarquées, et les limites opérationnelles, notamment face aux conditions météorologiques hivernales. La ville de Portland entend réguler strictement l’expérimentation des véhicules sans conducteur.

Qui possède le code écrit par Claude ? Analyse des implications juridiques

Le déploiement de code assisté par IA soulève des questions juridiques complexes concernant la propriété intellectuelle et le droit d’auteur. Au cœur du débat, l’exigence d’une “paternité humaine significative” pour l’obtention d’un droit d’auteur : le code généré principalement par une IA, sans direction créative substantielle de l’utilisateur, pourrait ne pas être protégeable. Le Bureau du droit d’auteur américain juge les simples invites insuffisantes ; les décisions architecturales et les modifications humaines sont cruciales pour établir une revendication valide.

Les employeurs revendiquent fréquemment la propriété de ce code via les contrats de travail, même pour des projets personnels si des outils d’entreprise sont utilisés. Un risque majeur est la “contamination open source” : les modèles d’IA formés sur des licences copyleft pourraient reproduire des extraits verbatim, créant des violations de licence invisibles. Bien que les jugements définitifs manquent encore sur certains aspects, ces préoccupations sont déjà prises en compte lors des vérifications préalables aux acquisitions. Documenter méticuleusement les contributions humaines et analyser les licences du code devient essentiel pour naviguer ce paysage légal en évolution.

Améliorer les performances de Git

Le livre “High Performance Git” de Ted Nyman va au-delà de la vision de Git comme simple outil de contrôle de version, l’explorant comme une base de données, un cache de système de fichiers et un protocole de transfert. L’ouvrage analyse les coûts de performance de ces couches internes – des objets et références à l’index et aux packfiles – et propose des stratégies pour maintenir la vitesse de Git à mesure que les dépôts, historiques et équipes s’agrandissent. Une édition 1.1, corrigeant des erreurs et enrichissant certains chapitres, est déjà disponible, avec des mises à jour futures et des chapitres pratiques sur l’adoption organisationnelle des meilleures pratiques de Git.

Le texte met en lumière comment la lenteur de Git pousse les ingénieurs à adopter des comportements sous-optimaux, et souligne que les fonctionnalités de performance sont devenues essentielles face à l’augmentation du code généré par machine. L’auteur a ouvertement eu recours à l’assistance d’IA pour assembler les contenus, une méthode qui suscite le débat chez les lecteurs quant à la crédibilité. Sur le terrain, nombreux sont ceux qui privilégient les clones partiels (--depth 1 ou --filter=blob:none) pour optimiser bande passante et espace disque, questionnant la pertinence du clone complet par défaut. Malgré la complexité de ses mécanismes internes et une interface utilisateur parfois jugée perfectible, Git reste un outil puissant dont l’utilité s’étend bien au-delà du développement logiciel.

GitHub - warpdotdev/warp: Warp est un environnement de développement agentique, né du terminal

Warp se présente comme un environnement de développement agentique, directement issu du terminal, avec OpenAI comme sponsor fondateur et des workflows optimisés par les modèles GPT. Le client Warp a été récemment open-sourcé, sous licence MIT pour son framework UI et AGPL v3 pour le reste du code. Cette ouverture vise à dynamiser le développement par la communauté et les agents, Warp monétisant désormais ses services d’agents et sa plateforme d’orchestration “Oz”, plutôt que le terminal lui-même.

Cette évolution n’est pas sans controverse. Tandis que certains utilisateurs apprécient ses innovations, d’autres trouvent le produit de plus en plus complexe, manquant d’une direction claire et intégrant l’IA de manière parfois intrusive, malgré les options de personnalisation. Un débat éthique a émergé concernant l’utilisation par Warp de bases open source permissives, tel qu’Alacritty, alors que l’entreprise a levé 50 millions de dollars sans contribution financière directe aux projets qu’elle a adoptés, soulevant des questions sur la réciprocité et les responsabilités dans l’écosystème commercial de l’open source.

Vulnérabilité RCE GitHub : CVE-2026-3854 Décryptage | Blog Wiz

Une vulnérabilité critique (CVE-2026-3854) a été découverte par Wiz Research dans l’infrastructure Git interne de GitHub, permettant une exécution de code à distance (RCE) sur GitHub.com et GitHub Enterprise Server (GHES). Cette faille d’injection, activable via une simple commande git push, exploitait une absence de sanitisation des points-virgules dans les options de push utilisateur, manipulant l’en-tête interne X-Stat pour contourner les contrôles de sécurité.

Sur GHES, la vulnérabilité permettait un compromis complet du serveur. Sur GitHub.com, elle menait à une RCE sur des nœuds de stockage partagés, exposant potentiellement des millions de dépôts multi-locataires à l’accès par l’utilisateur git. GitHub a réagi rapidement pour GitHub.com, mais des données récentes indiquent que 88% des instances GHES restaient non patchées sept semaines après la publication de la correction (version 3.19.3 ou ultérieure), soulignant des défis opérationnels significatifs pour les clients auto-hébergés.

Cette découverte met en lumière les risques des architectures multi-services où des hypothèses de confiance implicites entre composants peuvent créer des surfaces d’attaque critiques. Elle souligne également l’efficacité croissante des outils d’ingénierie inverse assistés par IA pour détecter des vulnérabilités complexes dans des binaires fermés, un changement notable dans le paysage de la recherche en sécurité.

Avant GitHub : Réflexions d’Armin Ronacher

GitHub a profondément transformé le paysage de l’Open Source, facilitant la création, la découverte et la contribution aux projets, tout en devenant une archive de facto pour une immense partie du patrimoine logiciel. Avant son émergence, le développement open source était un monde plus restreint et exigeant, où les développeurs géraient leur propre infrastructure (Trac, Subversion), et la confiance dans les dépendances s’établissait par une réputation directe et une compréhension approfondie. Cette ère générait une friction significative qui rendait chaque ajout de dépendance moins anodin.

L’ironie réside dans le fait qu’un système de contrôle de version distribué comme Git ait paradoxalement conduit à une centralisation massive autour de GitHub, offrant une panoplie d’outils intégrés. Aujourd’hui, la confiance en GitHub s’érode face à l’instabilité, aux changements de produits et à un sentiment de déconnexion avec sa communauté fondatrice. Des projets influents commencent à migrer vers des alternatives décentralisées ou des solutions auto-hébergées, signalant un désir de retrouver l’autonomie perdue.

Cependant, cette dispersion, si elle renforce la résilience, comporte le risque de perdre le contexte social vital des projets (discussions, rapports de bugs) et leur traçabilité archivistique. Il est désormais crucial d’établir une archive publique, neutre et pérenne pour l’Open Source, indépendante des intérêts commerciaux, afin de préserver la mémoire collective du code, des artefacts et de leur histoire, et de ne plus dépendre de la bonne santé d’une seule entreprise pour la survie de cette mémoire.

GitHub Actions : Le maillon faible de la chaîne logistique logicielle

GitHub Actions est identifié comme le maillon faible de la chaîne logistique logicielle open source, comme en témoignent de multiples incidents récents impliquant des projets majeurs. Les fonctionnalités de la plateforme, bien que documentées, sont conçues de manière à être facilement exploitées si assemblées de façon dangereuse. Les configurations par défaut, optimisées pour les dépôts d’entreprise privés, sont jugées inadaptées aux projets open source où les forks anonymes et les pull requests non fiables posent un risque systémique.

Les vulnérabilités récurrentes incluent le déclencheur pull_request_target qui expose des secrets à du code non fiable, la corruption du cache, l’utilisation de tags Git mutables pour les versions d’actions permettant le détournement, et l’injection de commandes via des entrées utilisateur non sécurisées dans les scripts shell. Cette fragilité est aggravée par l’adoption de la “publication de confiance” basée sur OIDC, qui concentre désormais la sécurité des registres de paquets sur GitHub Actions, en faisant une cible de choix.

Bien que GitHub ait une feuille de route de sécurité, les améliorations annoncées (verrouillage des dépendances, contrôle des politiques, secrets cloisonnés) sont opt-in et leur déploiement est lent, laissant les configurations par défaut actuelles exposer les projets. Les experts insistent sur l’importance de pinner strictement les actions à des hachages de commit (SHA), de configurer des permissions explicites en lecture seule, et d’utiliser des outils tiers tels que zizmor pour l’audit et hasp pour le sandboxing d’exécution afin de mitiger les risques.

Paramount : La Fusion WBD Révèle une Participation Étrangère de Près de 50%, Soulevant des Questions Cruciales

Paramount a révélé à la FCC que, suite à sa fusion prévue avec Warner Bros. Discovery (WBD), la nouvelle entité sera détenue à 49,5% par des investisseurs non américains. Cette divulgation, soumise pour approbation de la participation étrangère, met en lumière un investissement de 24 milliards de dollars provenant de trois fonds du Moyen-Orient, avec l’Arabie Saoudite détenant la part la plus importante. La direction de Paramount affirme que ces investisseurs sont passifs et sans droit de vote, visant à renforcer l’accès au capital et la compétitivité sur le marché des services de diffusion télévisuelle.

Cependant, cette structure soulève de sérieuses inquiétudes. La perspective que des médias d’information majeurs comme CBS News et CNN soient sous un toit corporatif partiellement détenu par des intérêts étrangers, notamment du Moyen-Orient, est un point sensible. Des voix critiques remettent en question la nature véritablement “passive” de ces investissements, craignant une potentielle influence sur le contenu éditorial, d’autant plus dans un contexte où la crédibilité du journalisme traditionnel est perçue en déclin et où la rhétorique politique est souvent déconnectée des actions concrètes. La transaction de 110 milliards de dollars, qui devrait se finaliser d’ici septembre, fait également face à un examen antitrust de la part de procureurs d’État.

L’économie de l’IA n’a pas de sens

Les modèles économiques de l’intelligence artificielle générative, particulièrement les abonnements mensuels, sont intrinsèquement fragiles et insoutenables. La transition de services majeurs comme GitHub Copilot vers une facturation à l’usage révèle une réalité économique longtemps masquée : les entreprises d’IA ont massivement subventionné les coûts de calcul. Cette stratégie s’avère intenable face à l’augmentation des dépenses d’inférence, notamment pour les modèles les plus avancés, qui consomment davantage de “tokens” et annulent les espoirs de réduction des coûts. Cette approche a intentionnellement dissimulé les véritables frais aux utilisateurs, créant des habitudes d’utilisation irréalistes et un retour sur investissement (ROI) incertain pour les entreprises.

Le développement colossal des centres de données dédiés à l’IA, qui représente des investissements de centaines de milliards de dollars, est également remis en question. Ces infrastructures coûteuses, caractérisées par de faibles marges et une forte dépendance à l’endettement, exigent une utilisation constante et optimale pour être rentables. Or, la demande majeure provient d’acteurs de l’IA eux-mêmes non rentables, tels qu’OpenAI et Anthropic, dont les projections financières semblent démesurées. Leur capacité à honorer ces engagements est douteuse, mettant en péril leurs partenaires comme Oracle.

Bien que l’utilité des modèles d’IA pour des tâches spécifiques et l’accélération de la productivité soient reconnues, la justification économique à l’échelle actuelle est fortement contestée. L’industrie s’appuie sur des hypothèses non prouvées de réduction des coûts et un flux continu de capitaux-risque, soulevant de sérieuses inquiétudes quant à sa stabilité financière à long terme.

L’augmentation des faillites de 11,9%

Les dépôts de bilan aux États-Unis ont bondi de 11,9% sur les douze mois clos le 31 mars 2026, totalisant 591 850 cas. Cette hausse touche aussi bien les entreprises (+11,4%) que les particuliers (+11,9%), marquant une inversion après une décennie de déclin constant. Bien que ces chiffres restent inférieurs aux sommets historiques de 2010, ils reflètent des pressions économiques croissantes.

Plusieurs facteurs contextuels expliquent cette tendance. L’inflation persistante post-COVID a érodé le pouvoir d’achat, tandis que les taux d’intérêt élevés des cartes de crédit, souvent supérieurs à 24%, piègent de nombreux ménages dans un cycle d’endettement. Des pratiques de prêt agressives, telles que les applications de paiement fractionné aux APR exorbitants, exacerbent la vulnérabilité financière. Sur le plan des entreprises, la fin de l’ère des taux d’intérêt quasi nuls et l’augmentation des coûts ont fragilisé leur solvabilité. Ces difficultés s’inscrivent dans un climat où beaucoup perçoivent une diminution des opportunités traditionnelles d’accumulation de richesse, poussant certains vers des solutions financières désespérées.

Découverte de 38 CVEs dans un Logiciel de Santé Utilisé par 100 000 Prestataires Médicaux

La société AISLE a identifié 38 vulnérabilités critiques (CVEs) dans OpenEMR, une plateforme de dossiers médicaux électroniques open-source employée par plus de 100 000 prestataires et 200 millions de patients. Ces failles, détectées au premier trimestre 2026 grâce à un analyseur IA, surpassent en nombre celles d’audits humains antérieurs en un temps record. Elles incluent des injections SQL, des failles XSS (Cross-Site Scripting), des contournements d’autorisation (IDOR) et des traversées de chemin, menaçant la confidentialité des données patient (PHI) et pouvant permettre l’exécution de code à distance.

Cette découverte met en lumière la persistance de vulnérabilités fondamentales, même dans des systèmes certifiés, suggérant un manque de pratiques de sécurité basiques. Si l’IA s’avère un outil précieux pour débusquer ces “fruits bas”, il est souligné que la vigilance humaine et l’intégration de listes de contrôle de sécurité lors des revues de code restent essentielles pour éduquer les équipes de développement. La collaboration avec les mainteneurs d’OpenEMR a permis un déploiement rapide des correctifs et l’intégration de l’analyseur d’AISLE dans le processus de revue de code pour une détection préventive, soulignant l’urgence d’une défense accrue face aux menaces croissantes alimentées par l’IA.

Entretien avec Sam Altman (OpenAI) et Matt Garman (AWS) sur les agents gérés Bedrock – Stratechery par Ben Thompson

L’annonce des agents gérés Bedrock, propulsés par OpenAI, scelle une alliance stratégique majeure entre OpenAI et AWS, transformant l’accès aux modèles d’IA de pointe pour les entreprises. Cet accord met fin à l’exclusivité d’OpenAI avec Microsoft Azure, qui était devenue un frein à son adoption par les nombreuses organisations déjà clientes d’AWS.

Pour OpenAI, ce partenariat est vital pour sa compétitivité sur le marché de l’entreprise, lui permettant de rivaliser plus efficacement avec des acteurs ayant déjà intégré leurs offres à AWS. L’intégration garantit que les données des clients restent au sein des environnements sécurisés d’AWS, une préoccupation majeure pour la conformité réglementaire (RGPD, HIPAA).

AWS, en contrepartie, enrichit sa plateforme Bedrock avec les modèles OpenAI, renforçant sa proposition de valeur neutre et partenaire-centrée, en contraste avec l’approche intégrée de Google. Les agents gérés sont décrits comme la prochaine étape de l’IA, facilitant le déploiement d’intelligences autonomes dans les entreprises grâce à une “surcouche” logicielle sécurisée et simplifiée. Ce mouvement stratégique vise à positionner l’IA comme une utilité universelle, accessible et de plus en plus abordable.

Un pilote de drone fait annuler par les États-Unis les zones d’exclusion aérienne autour des véhicules non marqués et en mouvement de l’ICE - Ars Technica

Suite à des incidents controversés impliquant des agents fédéraux à Minneapolis, la FAA a imposé des zones d’exclusion aérienne étendues et ambiguës autour des véhicules non marqués et en mouvement du Département de la Sécurité Intérieure (DHS) et de l’ICE. Cette politique, décrétée après la mort de Renee Good, interdisait le survol par drone, créant un risque d’infraction involontaire pour tout pilote.

Pour le photojournaliste Rob Levine, ces restrictions de près de deux ans ont paralysé son travail et soulevé de vives inquiétudes concernant la liberté de la presse et le droit à l’information. Avec le soutien du Reporters Committee for Freedom of the Press, Levine a contesté la légalité de cette mesure, arguant qu’elle violait les Premier et Cinquième Amendements de la Constitution américaine. La contestation a poussé la FAA à remplacer l’interdiction par un “avis de sécurité nationale”, qui “conseille” désormais aux pilotes d’éviter ces zones, sans mentionner de sanctions pénales.

Bien que cette révision soit une victoire partielle, l’ambiguïté persistante de l’avis maintient un “effet dissuasif” délibéré sur la surveillance citoyenne des opérations fédérales. Les critiques soulignent que cette situation met en lumière les préoccupations persistantes concernant l’abus de pouvoir gouvernemental et l’utilisation de réglementations floues pour limiter la transparence et la reddition de comptes.

Lumara — Tableau de bord interactif Soleil & Lune | Imagerie NASA, Phases Lunaires & Météo Spatiale

Lumara propose un tableau de bord interactif, offrant un accès direct et en temps réel aux données du Soleil, de la Lune et de la météo spatiale, via une application gratuite. Le Soleil est présenté grâce à l’imagerie NASA SDO, capturant sa dynamique en douze longueurs d’onde. La Lune est modélisée avec les algorithmes astronomiques de Jean Meeus, fournissant des calculs précis de phases et cycles, disponibles hors ligne. La météo spatiale est surveillée en temps réel (éruptions solaires, éjections de masse coronale, tempêtes géomagnétiques) via la base de données DONKI de la NASA.

Un engagement fort en matière de confidentialité caractérise Lumara : aucune collecte de données personnelles, aucun compte, suivi ou publicité. Les informations sont directement obtenues des serveurs de la NASA.

L’application, développée par un unique développeur, est saluée pour sa richesse mais fait l’objet de discussions techniques. Des suggestions d’optimisation des flux vidéo pour alléger la charge sur les serveurs de la NASA sont émises, de même que des améliorations de l’interface utilisateur, comme des options de navigation plus intuitives et une uniformisation des unités de mesure pour une clarté scientifique optimale. Disponible sur l’App Store et Google Play, Lumara combine innovation et respect de la vie privée.

Wasm n’est pas tout à fait une machine à pile | Le blog de purplesyringa

Bien que souvent décrit comme une machine à pile, Wasm s’en distingue fondamentalement. Contrairement aux machines à pile traditionnelles qui offrent des opérations de manipulation de pile (comme dup ou swap), Wasm en est dépourvu, obligeant les programmeurs à utiliser des variables locales pour stocker et réutiliser des valeurs. Cette caractéristique le rapproche des machines à registres.

Cette architecture est le fruit d’un choix délibéré, privilégiant une validation rapide et une compilation aisée, plutôt qu’une exécution purement basée sur la pile, afin d’éviter la complexité des vérificateurs de flux de données de la JVM. L’encodage postfixe de Wasm simplifie sa validation linéaire, et les “locales” agissent de facto comme des registres typés. La pile de Wasm sert donc davantage de mécanisme d’encodage pour une représentation intermédiaire structurée que de modèle de machine primaire. Wasm s’impose ainsi comme une cible de compilation pragmatique et un IR robuste, son succès résidant dans sa capacité à être un support de portage fiable pour divers langages.

Warp passe en open-source et adopte l’intelligence artificielle collaborative

Warp, le terminal moderne, a annoncé un changement fondamental en rendant son client open-source sous licence AGPL. Cette initiative vise à accélérer le développement du produit et à renforcer sa compétitivité face aux alternatives fermées. L’entreprise prévoit un modèle de développement “agent-first” où des agents d’IA, gérés par la plateforme Oz et motorisés par des modèles GPT d’OpenAI, prendront en charge le codage et les tests. La communauté sera invitée à superviser ces agents, se concentrant sur les spécifications et la vérification, transformant ainsi les goulots d’étranglement humains en opportunités de collaboration.

Ce mouvement est également perçu comme une volonté de façonner l’avenir des environnements de développement basés sur l’IA, offrant une alternative ouverte. Toutefois, des observateurs critiques s’interrogent sur les motivations profondes, suggérant que cette stratégie pourrait être liée à des défis de financement ou à une tentative de déléguer le développement à la communauté. D’autres rappellent que la plupart des terminaux populaires sont déjà open-source et expriment des doutes sur la pérennité d’un modèle fortement subventionné par l’IA à mesure que les prix des modèles fluctuent. Néanmoins, l’objectif clair est de bâtir un produit d’exception grâce à cette approche collaborative et agentique.

La Grèce envisage d’interdire l’anonymat sur les réseaux sociaux : enjeux et débats

La Grèce étudie une proposition visant à interdire l’anonymat sur les réseaux sociaux, une initiative perçue comme cruciale pour la démocratie face à la désinformation et la manipulation en ligne. Les partisans estiment que cette mesure pourrait freiner les campagnes de bots, les ingérences étrangères et les contenus illicites comme les discours de haine ou la diffamation, souvent proférés sous couvert d’anonymat. Ils soulignent l’importance de distinguer les humains des robots pour une meilleure compréhension des interactions sociales et une application juste des lois existantes, considérant la lutte contre la désinformation comme existentielle pour les démocraties occidentales.

Cependant, cette perspective soulève de vives inquiétudes quant à la liberté d’expression et la protection de la vie privée. Les critiques craignent un “effet paralysant” sur la critique citoyenne, notamment envers les gouvernements potentiellement corrompus, et une utilisation abusive des lois. Ils mettent en garde contre une surveillance accrue par l’État et le risque de transformer les plateformes en outils de contrôle narratif, ne laissant visibles que les discours approuvés par les pouvoirs en place. La difficulté de prouver une “intention humaine authentique” plutôt que la simple absence de bot reste un défi majeur, soulignant la complexité d’équilibrer sécurité, vie privée et liberté d’expression.

Un bon AGENTS.md est une mise à niveau du modèle. Un mauvais est pire que pas de documentation du tout. | Augment Code

Les fichiers AGENTS.md peuvent radicalement améliorer la performance des agents de codage, mais une conception inadaptée peut dégrader l’efficacité, la rendant pire que l’absence de documentation. Une analyse approfondie révèle que la plupart des approches courantes sont inefficaces. La stratégie optimale réside dans une documentation concise (100-150 lignes) qui privilégie la divulgation progressive, renvoyant aux détails via des références ciblées.

Parmi les pratiques efficaces figurent les flux de travail procéduraux étape par étape, les tables de décision pour lever les ambiguïtés et l’intégration d’exemples concrets du codebase pour encourager la réutilisation du code. Les règles spécifiques au domaine sont bénéfiques si elles sont précises. Il est crucial de toujours associer une interdiction (“don’t”) à une alternative constructive (“do”). Une structure modulaire pour les AGENTS.md, ciblant des sous-modules isolés, est préférable aux fichiers transversaux massifs. L’abondance de documentation environnante peut également nuire, poussant l’agent à une “sur-exploration” inefficace.

L’efficacité dépend significativement de la manière dont ces informations sont présentées au modèle. Des descriptions architecturales trop exhaustives ou des listes excessives d’avertissements sans solutions peuvent induire l’agent en erreur, le poussant à explorer des pistes superflues. Un AGENTS.md devrait rester un fichier léger, synthétisant les spécificités du projet, ses commandes et ses conventions clés. À mesure que les modèles évoluent, certaines instructions directives pourraient devenir moins nécessaires.

Laguna XS.2 et M.1: Plongée en profondeur — Poolside

Poolside AI a dévoilé ses modèles Laguna M.1 et Laguna XS.2, des IA conçues pour la programmation et les tâches complexes à long terme. Laguna M.1 (225 milliards de paramètres, MoE) est leur modèle le plus puissant, issu d’un entraînement interne intensif. Laguna XS.2 (33 milliards de paramètres, MoE), bien que plus compact, est jugé très capable et a été rendu open-source sous licence Apache 2.0, marquant une ouverture vers la communauté après un focus initial sur le secteur public.

Ces modèles, entraînés sur plus de 30 billions de jetons avec des innovations en matière de données synthétiques, d’optimisation de mélange de données (AutoMixer) et de systèmes de RL asynchrones, affichent des performances remarquables sur des benchmarks comme SWE-bench Pro. Cependant, leur positionnement par rapport à d’autres modèles comparables suscite des questions, certains soulignant des absences dans les comparaisons de performances et la potentielle supériorité d’alternatives plus petites.

Plus largement, la sortie de ces modèles relance le débat sur le concept d’Intelligence Artificielle Générale (AGI). Alors que ces avancées sont significatives pour les LLM locaux et les applications agentiques, des voix critiques tempèrent l’idée que les architectures actuelles, basées sur des transformeurs, mènent intrinsèquement à une AGI véritable, soulignant la distinction entre l’intelligence figée des modèles et une capacité d’apprentissage et d’adaptation autonome.

Un an après la panne en Espagne : la transition vers les énergies renouvelables et l’évolution du réseau progressent

Il y a un an, une panne de courant majeure frappait l’Espagne et le Portugal. Initialement et à tort attribuée aux énergies solaires, l’enquête d’ENTSO-E a finalement désigné une “tempête parfaite” de défaillances de gouvernance liées à la tension du réseau. Ce phénomène fut exacerbé par des problèmes inhérents au système électrique, comme l’effet Ferranti, et des oscillations provoquées par une centrale photovoltaïque spécifique. Le système espagnol manquait alors d’alternatives pour un contrôle efficace de la tension, notamment des capacités de stockage par batteries comparables à d’autres réseaux européens, et la réglementation limitait la contribution des renouvelables à cette fonction.

Loin de freiner la transition énergétique, cette crise a renforcé l’engagement de l’Espagne. Le pays a augmenté significativement sa capacité solaire en 2025. Cette orientation s’est avérée cruciale avec la flambée des prix du gaz due au conflit au Moyen-Orient, les énergies solaire et éolienne protégeant les consommateurs espagnols de hausses bien plus importantes. Bien qu’une augmentation temporaire de l’utilisation du gaz ait eu lieu pour stabiliser le réseau, les régulations ont évolué, permettant désormais aux renouvelables de contribuer activement au contrôle de tension. Des opportunités significatives existent pour développer le stockage par batteries. La tendance à long terme confirme l’éloignement des combustibles fossiles, soulignant l’importance de combattre la désinformation en parallèle de l’évolution du réseau.

CJIT : Un Compilateur C Portable et Instantané

CJIT se présente comme un compilateur et interpréteur C léger et portable, inspiré par HolyC de Terry Davis et basé sur TinyCC de Fabrice Bellard. Développé par Jaromil et l’équipe Dyne.org, ce projet vise à révolutionner le développement C par sa simplicité. Sa caractéristique principale est une distribution en un unique fichier exécutable de moins de 2 Mo, intégrant le compilateur, toutes ses en-têtes et sa bibliothèque standard. Cette approche élimine le besoin d’installations système complexes, de configuration de chemins ou d’environnements de développement intégrés (IDE), permettant un déploiement instantané et un prototypage rapide sur Windows, macOS et GNU/Linux.

Le projet améliore significativement l’expérience utilisateur en permettant l’intégration de multiples fichiers (sources C, objets pré-compilés ou bibliothèques partagées) et en localisant automatiquement les bibliothèques système courantes pour chaque plateforme cible. Cette capacité à “inclure les batteries” est particulièrement appréciée pour le développement rapide d’applications C graphiques, notamment avec SDL. Toutefois, des observations mettent en lumière des défis, comme des dépendances spécifiques à certaines distributions Linux (ex: libgcc_s.so.1 manquante sur Arch), ce qui peut nuancer la promesse de portabilité universelle et nécessiter des ajustements pour l’intégration de fonctions avancées. CJIT offre ainsi un environnement agile pour compiler et exécuter du code C directement en mémoire.

L’essor de l’IA alimenté au gaz : une menace climatique de taille nationale

L’explosion de la demande en intelligence artificielle (IA) entraîne une prolifération alarmante de centres de données alimentés au gaz. Des projets liés à seulement onze campus américains pourraient émettre plus de gaz à effet de serre annuellement que des pays entiers comme le Maroc, atteignant potentiellement 129 millions de tonnes par an. Des géants technologiques tels que xAI, Microsoft, Meta et des entreprises affiliées à OpenAI sont liés à ces infrastructures massives.

Cette tendance est accentuée par le développement de centrales énergétiques “derrière le compteur”, permettant aux centres de données de contourner les longs délais de raccordement au réseau traditionnel et de répondre à une demande énergétique constante. Bien que les estimations des permis représentent souvent des maximums théoriques, la nature continue de la charge de travail de l’IA signifie que les émissions réelles pourraient rester très élevées.

Cette course à la puissance, souvent implantée dans des régions en quête d’opportunités économiques malgré les inquiétudes locales, met à mal les engagements climatiques des entreprises technologiques. Des experts alertent sur une “accélération folle des émissions”, remettant en question le narratif selon lequel l’IA résoudra les problèmes environnementaux tout en contribuant massivement à la pollution par les combustibles fossiles. La rentabilité immédiate de l’IA semble primer sur l’intégration complexe des énergies renouvelables ou les améliorations du réseau.

J’ai arrêté de boire pendant un an

Un défi personnel d’un an sans alcool, déclenché par l’idée de “Janvier humide”, a mis en lumière des découvertes surprenantes. L’abstinence s’est avérée étonnamment facile, la suppression complète de l’alcool éliminant la “négociation” mentale et facilitant la décision. Les envies s’apparentaient souvent à un désir général de “quelque chose”, facilement substituable par des plaisirs non alcoolisés comme les desserts, à l’exception notable de chocolats infusés.

Le bénéfice le plus marquant fut une amélioration significative du sommeil, validée par des métriques objectives et des analyses sanguines révélant une baisse de l’inflammation. L’alcool est ainsi perçu comme un “anti-nootropique” nuisible à la récupération et aux performances du lendemain. Le revers principal fut le sentiment de désengagement social dans les environnements centrés sur la boisson, bien que l’offre d’alternatives sans alcool progresse.

L’expérience souligne les risques sanitaires sous-estimés de l’alcool (cancer, impact sur le sommeil) et l’importance de l’auto-expérimentation. Toutefois, elle rappelle que pour beaucoup, l’arrêt constitue une lutte bien plus ardue face à l’addiction.

Le “Vibe Coding” menacerait l’intégrité de votre entreprise

Le “vibe coding”, ou développement logiciel rapide assisté par IA via le langage naturel, promet une création d’applications à une vitesse inédite, même pour les non-experts. Cette accélération, si elle semble prometteuse, court-circuite les mécanismes de contrôle qualité, de sécurité et éthiques essentiels, transformant un prototype en produit sans évaluation adéquate. Des incidents réels, comme la suppression accidentelle de données par une IA ou la responsabilité juridique d’une entreprise pour les erreurs d’un chatbot, soulignent qu’un manque de discernement humain peut avoir des conséquences graves. Le véritable défi n’est pas la prouesse technologique, mais la maturité du “système de jugement” de l’organisation. La crédibilité de l’auteur, bien que parfois remise en question, met en lumière le besoin d’expertise pratique dans ce domaine.

L’adoption de l’IA expose les entreprises à des risques si leurs processus décisionnels, leur capacité à remettre en question les solutions proposées, leur intelligence contextuelle, leur vitesse d’apprentissage et leur éthique ne sont pas solides. Si une telle rapidité peut avantager les startups pour égaler les fonctionnalités, elle n’est pas toujours gage de succès durable, car la valeur ne réside pas uniquement dans la vitesse de livraison. Les entreprises doivent évaluer leur capacité à équilibrer innovation rapide et rigueur, car la capacité technique est désormais courante, mais un jugement aiguisé reste une ressource précieuse et rare.

Plan de migration de BookStack hors de GitHub (Issue #4551)

Le projet BookStack a achevé sa migration de la plateforme GitHub vers Codeberg. Cette décision est principalement motivée par un malaise croissant face à l’évolution de GitHub sous l’égide de Microsoft. Bien qu’aucune préoccupation majeure n’ait été spécifiquement soulevée par la communauté à ce jour, les responsables du projet souhaitent anticiper une direction jugée potentiellement défavorable à long terme.

La migration intervient malgré les avantages reconnus de GitHub, notamment en termes de visibilité et d’activités communautaires, essentiels pour la perception d’un projet “avec de l’élan”. Des inquiétudes subsistent quant à l’impact de ce transfert sur la notoriété future du projet. Toutefois, la nouvelle plateforme Codeberg attire déjà une nouvelle audience. Pour l’heure, le dépôt GitHub est maintenu en tant que miroir, mais les futures versions et publications exclusives seront sur Codeberg, invitant la communauté à s’y abonner. Cette approche permet au projet de préserver son autonomie tout en offrant la possibilité à d’autres de maintenir des forks sur GitHub.

Les défis persistants des IA avancées face aux attentes économiques et techniques

L’évolution des modèles d’intelligence artificielle, des simples chatbots aux systèmes capables d’appels d’outils et d’agents, a drastiquement augmenté la consommation de ressources. Les agents, en particulier ceux gérant des tâches complexes sur le long terme, entraînent des coûts d’utilisation des “tokens” considérablement plus élevés. Malgré ces progrès, des lacunes techniques importantes persistent : les agents ont du mal à utiliser efficacement des “sous-agents”, ne parvenant pas à organiser la planification, à générer des artefacts vérifiables ou à itérer sur les résultats, ce qui révèle leur éloignement d’une intelligence générale.

Pour les utilisateurs, les services d’IA avancés sont souvent coûteux, offrant des quotas limités qui freinent leur intégration réelle dans des tâches comme la programmation. Sur le plan économique, si certaines entreprises réussissent à capter la demande des entreprises avec des outils agentiques, d’autres peinent à pérenniser leur modèle d’affaires en se concentrant sur les chatbots grand public. La pression des investisseurs pour des retours financiers rapides soulève des questions sur la viabilité à long terme de ces géants de l’IA, n’excluant pas des interventions publiques compte tenu de l’importance stratégique perçue de cette technologie.

Comment ChatGPT diffuse des publicités : le cycle complet d’attribution.

OpenAI a mis en place un système publicitaire en deux volets pour ChatGPT. Côté utilisateur, le backend injecte discrètement des objets publicitaires contextuels (single_advertiser_ad_unit) directement dans le flux de conversation en temps réel. Ces publicités sont sélectionnées en fonction du sujet de la discussion. Côté annonceur, un SDK de suivi nommé OAIQ, exécuté dans le navigateur du visiteur, enregistre les vues de produits. L’ensemble est lié par une chaîne de quatre jetons chiffrés Fernet, permettant une attribution précise des clics et conversions.

Cette intégration intervient malgré les déclarations passées de Sam Altman, qui évoquait la publicité comme un “dernier recours” pour garantir l’accès universel. Cette position est désormais perçue par certains comme une stratégie narrative visant à justifier la monétisation de la version gratuite de ChatGPT, potentiellement pour équilibrer les coûts avant une introduction en bourse. La démarche s’inscrit dans une tendance plus large d‘“enshittification” des produits numériques, où la quête de revenus peut altérer l’expérience utilisateur et soulever des préoccupations éthiques quant à l’exploitation des données et l’influence des modèles.

Régression : Le rappel anti-malware persiste et bloque les sous-agents de Claude Code en v2.1.111

Claude Code, l’outil de développement assisté par IA d’Anthropic, est affecté par une régression majeure. Un rappel de sécurité concernant les logiciels malveillants est systématiquement injecté dans chaque opération de lecture ou de recherche de code, même sur des projets open-source légitimes. Cette directive inconditionnelle, stipulant qu’il faut « refuser d’améliorer ou d’augmenter le code », prime sur les instructions des utilisateurs pour les sous-agents d’IA, tels qu’Opus 4.7, entraînant un taux de refus significatif (40-60%) et paralysant les flux de travail parallèles. Une correction précédente (v2.1.92) s’est avérée inefficace.

Ce problème met en lumière des préoccupations plus larges : l’opacité de la consommation de jetons, qui augmente les coûts pour les utilisateurs, et la qualité des produits d’IA. La méthode de développement d’Anthropic est critiquée pour privilégier la rapidité et les tests A/B au détriment d’une vérification approfondie, conduisant à des régressions et à la génération de code de qualité inégale. Des alternatives comme les modèles open-source et des plateformes agnostiques sont envisagées pour une meilleure maîtrise des coûts et une performance plus fiable. Les solutions proposées incluent la suppression du rappel, la clarification de sa portée conditionnelle, ou la limitation de sa fréquence.

Comment j’ai gagné un championnat qui n’existe pas | Ron Stoner

Une expérience récente a révélé une vulnérabilité inquiétante dans la manière dont les grands modèles linguistiques (LLM) basés sur la recherche web perçoivent la vérité. Ron Stoner a fabriqué de toutes pièces un titre de “Champion du Monde de 6 Nimmt!”, le validant par un site web personnel et une modification sur Wikipédia le citant. En vingt minutes et pour douze dollars, il a réussi à ce que plusieurs LLM “frontière” lui attribuent ce titre inexistant.

Cette “citation circulaire” exploite la confiance des LLM dans les sources en ligne, amplifiant la désinformation. Les implications sont multiples : les couches de récupération sont vulnérables à l’empoisonnement SEO, les données erronées peuvent s’intégrer durablement dans les corpus d’entraînement des modèles, et les agents IA pourraient agir sur des informations falsifiées. Des cas similaires ont montré qu’une faible quantité d’informations peut influencer considérablement les réponses des LLM. Ce problème épistémologique est exacerbé par l’autorité que le public accorde à l’IA, transformant la “vérité Google” en “vérité IA”. La désinformation à grande échelle devient plus aisée, menaçant la fiabilité des systèmes d’IA et la vérification des faits, surtout dans des domaines critiques comme la politique ou la santé.

Claude pour le travail créatif : une assistance controversée

Anthropic intègre Claude, son modèle d’IA, aux logiciels professionnels comme Blender, Autodesk et Adobe via de nouveaux “connecteurs”. L’objectif est d’accélérer l’idéation, d’élargir les compétences des créatifs et de faciliter des projets de plus grande envergure, tout en automatisant les tâches répétitives. Par exemple, les artistes 3D peuvent utiliser Claude pour analyser des scènes Blender ou générer des scripts personnalisés. Anthropic soutient également le développement de Blender et collabore avec des institutions éducatives pour affiner ces outils.

Cependant, cette avancée suscite une forte opposition. De nombreux professionnels du secteur craignent un impact majeur sur l’emploi et une érosion de la valeur du travail humain, perçus comme une menace existentielle. La question de l’origine des données d’entraînement des IA, souvent jugées non consenties ou “volées”, est une préoccupation centrale, soulevant des enjeux de droits d’auteur et de plagiat. Des doutes persistent également sur la capacité de l’IA à produire une œuvre véritablement originale et dotée d’une intention artistique. Certains y voient un développement technologique inévitable, d’autres une direction dangereuse à combattre.

Révélations de sécurité sur Forgejo : la “Carrot Disclosure” sous le feu des critiques

Un chercheur en sécurité a récemment exposé de nombreuses vulnérabilités dans Forgejo, la plateforme vers laquelle Fedora a migré. En une seule soirée, il affirme avoir identifié des failles sérieuses, incluant des SSRF, des lacunes cryptographiques, des fuites d’informations, et des problèmes d’authentification. Certaines de ces vulnérabilités, exploitables sous des configurations non-standards mais existantes, mènent à une exécution de code à distance (RCE).

Face à ce qu’il juge être un “état déplorable du codebase”, le chercheur a choisi une “Carrot Disclosure”. Cette approche consiste à publier une démonstration limitée de l’exploit d’une faille critique, afin d’inciter le projet Forgejo à entreprendre un audit de sécurité holistique plutôt que de simplement corriger des bugs isolés.

Cependant, cette méthode a suscité de vives critiques. Certains estiment que le chercheur a manqué de bonne foi, ignorant les politiques de divulgation de sécurité établies par Forgejo et présentant des corrections mineures sans suivre les processus collaboratifs. L’efficacité d’un exploit démontré sur une instance locale plutôt qu’un serveur distant est également remise en question. Le débat souligne la tension entre la volonté de réformes sécuritaires rapides et la nécessité pour les mainteneurs de projets open source de gérer des changements majeurs de manière structurée et collégiale.

auto-arch-tournament/docs/auto-arch-tournament-blog-post.md at main · FeSens/auto-arch-tournament · GitHub

Un projet expérimental d’« Auto-Architecture » révèle le potentiel des agents d’IA autonomes dans la conception de matériel, en optimisant un cœur de CPU RV32IM en SystemVerilog. L’approche, inspirée de l’autorecherche d’Andrej Karpathy, a permis à un agent de surpasser les benchmarks existants. En moins de dix heures, il a augmenté la performance CoreMark de 92 % par rapport à la ligne de base et de 56 % par rapport à VexRiscv, tout en réduisant de 40 % l’utilisation des ressources matérielles. L’agent a notamment découvert que la délocalisation des opérations de division et de reste hors du chemin de calcul monocyclique améliorait non seulement les performances mais divisait aussi par deux le nombre de LUTs, une intuition obtenue en observant les résultats de la synthèse.

Cependant, cette expérience souligne que si la « boucle » d’optimisation de l’IA (proposer, implémenter, mesurer) tend à se banaliser, l’élément crucial réside dans le vérificateur. Sur 73 hypothèses, 63 se sont avérées incorrectes, démontrant l’indispensable rôle du vérificateur pour rejeter les designs invalides, prévenir les régressions et garantir la conformité aux architectures d’ensembles d’instructions (ISA) et aux contraintes temporelles. L’avenir des entreprises utilisant l’IA pour le développement dépendra donc de leur capacité à construire des vérificateurs robustes, capables de formaliser précisément les règles métier et les connaissances spécifiques du domaine.

Infrastructure open-source pour agents informatiques : Sandboxes, SDKs et benchmarks pour contrôler des bureaux complets (macOS, Linux, Windows)

Le projet Cua propose une infrastructure open-source novatrice pour le développement et l’évaluation d’agents d’IA capables d’interagir avec des systèmes d’exploitation complets. La principale difficulté des automatisations d’interface utilisateur réside dans leur nature intrusive, perturbant la session humaine en déplaçant le curseur ou en volant le focus. Cua Driver, une solution clé pour macOS, surmonte cet obstacle en permettant aux agents d’interagir (cliquer, taper, faire défiler, lire) avec des applications natives en arrière-plan, sans perturber l’utilisateur ni activer la fenêtre cible.

Cette avancée technique, rendue possible par l’exploitation de mécanismes internes de macOS, ouvre la voie à des applications variées : enregistrement de démos par IA, agents d’assurance qualité reproduisant des bugs visuels, assistants personnels automatisant des flux complexes, ou extraction de contexte visuel depuis des fenêtres inactives. En complément, Cua offre des sandboxes universelles (Cua), des outils coopératifs (CuaBot), des plateformes d’évaluation (Cua-Bench) et des solutions de virtualisation macOS (Lume), constituant une boîte à outils complète pour les agents informatiques.

Cependant, la question de la télémétrie par défaut suscite un débat. Certains y voient un outil indispensable pour l’amélioration continue du produit, permettant d’identifier les points faibles et les usages réels. D’autres expriment de vives inquiétudes quant à la confidentialité, plaidant pour un consentement explicite (opt-in) plutôt qu’une désactivation volontaire (opt-out) pour le partage de données d’utilisation.

1/80
--:--