ChipSoft, l'éditeur qui fournit le logiciel de dossiers médicaux à environ 80 % des hôpitaux aux Pays-Bas, vient d'être touché par un ransomware. Le site de l'entreprise est hors ligne depuis le 7 avril, et on ne sait pas encore si des données de patients ont été volées.
L'attaque a été confirmée le 7 avril par Z-CERT, l'agence néerlandaise qui surveille la sécurité informatique dans le secteur de la santé. ChipSoft développe le logiciel HiX, qui gère les dossiers médicaux de patients dans la grande majorité des hôpitaux du pays. Le site web de l'entreprise est tombé dans la journée et reste inaccessible.
Z-CERT a envoyé un mémo confidentiel aux clients de ChipSoft pour leur demander de couper leur connexion VPN vers les systèmes de l'éditeur. Onze hôpitaux ont déconnecté leurs systèmes par précaution. Les autres ont indiqué que leurs données patients étaient en sécurité et que leurs services continuaient de fonctionner.
ChipSoft a confirmé qu'il y avait eu un "incident de données" avec un "possible accès non autorisé". L'entreprise ne peut pas garantir que des données de patients n'ont pas été consultées ou copiées. Le groupe de hackers derrière l'attaque n'a pas été identifié, et aucun montant de rançon n'a été rendu public.
Plusieurs hôpitaux, dont le Rijnstate Hospital, l'Antoni van Leeuwenhoek (spécialisé en cancérologie) et le Franciscus Hospital ont déclaré ne pas être affectés. Mais la portée réelle de l'attaque reste floue.
Z-CERT classe les ransomwares et l'extorsion comme les menaces principales pour les organisations de santé néerlandaises dans son rapport annuel.
Le secteur reste une cible privilégiée parce que les données médicales ont une valeur élevée sur le marché noir, et que les hôpitaux ne peuvent pas se permettre de rester longtemps sans accès à leurs systèmes.
Quand un seul éditeur gère les dossiers médicaux de 80 % des hôpitaux d'un pays, une attaque sur cet éditeur prend une dimension un peu inquiétante.
Pour l'instant les dégâts semblent contenus, mais le fait que ChipSoft ne puisse pas exclure un vol de données, c'est quand même un gros point d'interrogation. Et ça rappelle qu'un système de santé aussi centralisé, ça peut vite devenir une faiblesse.
Source : NL Times
Après le test du Yoto Player Gen 3 , on a voulu voir ce que valait la version portable. La Yoto Mini coûte environ 70 euros, tient dans une poche et promet 20 heures d'autonomie. On l'a confiée au même testeur de 4 ans, le fils d'une amie. Et on a été plutôt convaincus.
La Yoto Mini fait 7 cm de côté. C'est un petit bloc dense, qui a l'air de pouvoir survivre à peu près à tout, surtout avec sa protection en silicone : chute sur le bitume, fond de sac à dos, mains d'un enfant de 4 ans. On retrouve les deux gros boutons rotatifs orange pour le volume et la navigation, pas d'écran tactile, pas de lumière bleue. Juste de la mécanique simple que notre cobaye a prise en main tout de suite.
Elle se recharge en USB-C et affiche une autonomie d'environ 20 heures, de quoi traverser la France sans trop de stress. Et point important : la Mini fonctionne toute seule. Pas besoin d'avoir le gros modèle pour l'utiliser, c'est un appareil indépendant. Pour les parents qui hésitent à mettre 100 euros dans le cube de salon, c'est une bonne entrée en matière à 70 euros.
La vraie différence avec le modèle de salon, c'est la prise jack. On branche un casque, et l'enfant écoute ses histoires sans imposer le générique de ses dessins animés à tout le wagon. La qualité audio est très bonne pour un si petit appareil, on n'est pas sur un jouet qui crachote. Et en Bluetooth, la Mini peut tout à fait servir de petite enceinte une fois arrivé à destination.
Côté contenu, on retrouve le système de cartes physiques Yoto. Les cartes vierges "Make Your Own" sont d'ailleurs le vrai bon plan : en quelques clics sur l'application, on peut y lier un flux RSS de podcast ou des MP3, et l'enfant se balade avec sa propre bibliothèque. Un peu comme nos baladeurs cassettes dans les années 90.
Les cartes ne contiennent pas les données audio, elles servent de clés. Pour écouter en avion, en train ou en rase campagne, il faut juste que le contenu ait été téléchargé dans la mémoire de la Mini avant de partir.
Rien de compliqué : on la laisse sur le Wi-Fi à la maison la veille du départ, et c'est réglé. L'application mobile gère tout le reste : bridage du volume (indispensable sous un casque pour un enfant), état des téléchargements, et le Yoto Daily, un petit podcast matinal gratuit qui est devenu un rituel chez notre testeur.
Pour 70 euros, la Yoto Mini fait le job et elle le fait bien. Solide, simple à utiliser, 20 heures d'autonomie et une vraie qualité audio pour sa taille. Le système de cartes personnalisables est malin, et la prise jack résout le problème numéro un des trajets en famille : le bruit.
Que ce soit en complément du gros cube ou comme premier appareil Yoto, c'est franchement difficile de trouver mieux dans cette catégorie. Un achat qu'on ne regrette pas, pour peu que vous ayez un enfant bien sûr. Disponible par ici sur Amazon !
J'sais pas si vous vous en rendez compte mais les agents IA qui codent sur votre machine ont accès à vos clés SSH, vos credentials AWS, votre Keychain et compagnie. Ils ont accès à TOUT ! C'est comme filer les clés de votre appart à un gars que vous avez croisé sur le parking de Leclerc y'a pas 5 min.
Hazmat
prend le problème à l'envers : au lieu de demander poliment à l'agent de se tenir tranquille, il l'enferme dans un compte macOS séparé. Du coup, vos ~/.ssh, ~/.aws, votre Keychain deviennent structurellement inaccessibles. Pour en profiter, faut faire un
Connexion
brew install dredozubov/tap/hazmat
puis
cd /tmp
hazmat init --bootstrap-agent claude
Et hop, 10 minutes plus tard votre agent tourne dans sa cage. (le premier snapshot est ultra loooong mais après c'est de l'incrémental donc ça ira plus vite)
L'isolation repose sur 3 couches indépendantes, un peu comme les sas d'un sous-marin. Il y a d'abord un utilisateur agent dédié (vos fichiers perso deviennent alors hors de portée, point). Ensuite, une politique seatbelt générée dynamiquement à chaque session qui consiste à ce que le kernel de macOS vérifie chaque accès fichier et refuse tout ce qui n'est pas explicitement autorisé pour cette session précise.
Et par-dessus, des règles pf firewall qui empêchent l'agent d'envoyer du trafic SMTP, IRC, FTP, Tor ou VPN. Comme ça, un agent qui tentera d'exfiltrer vos données par mail se retrouvera bloqué net au niveau du noyau.
Côté supply chain, Hazmat force npm ignore-scripts=true par défaut. Comme ça, par exemple
le fameux hack axios
qui livrait un RAT via un hook postinstall en 2 secondes chrono n'est plus possible ici ! Y'a aussi une blocklist DNS qui redirige les services de tunnel connus (ngrok, pastebin, webhook.site) vers localhost. Contre un domaine perso fraîchement enregistré, ça passera mais les vecteurs d'exfiltration classiques, ça devrait résister.
Hazmat utilise TLA+, le même formalisme que les ingés d'Amazon utilisent pour vérifier les protocoles de DynamoDB. Genre, l'installation des règles sudoers AVANT le firewall (évidemment, ça crée une fenêtre de vulnérabilité), les restrictions qui bloquaient les lectures mais pas les écritures, ou encore une restauration cloud sans vérifier qu'un snapshot existait...etc, c'est le genre de truc qu'aucun test unitaire n'aurait chopé.
Ça supporte Claude Code (y compris le fameux --dangerously-skip-permissions), OpenCode et Codex. Attention par contre, si votre projet utilise Docker, y'a deux cas de figure : soit le daemon Docker est privé au projet et Hazmat le route automatiquement vers un mode Docker Sandbox, soit c'est un daemon partagé et là faudra passer --docker=none explicitement.
La commande hazmat explain montre aussi exactement ce que le sandbox autorise avant de lancer quoi que ce soit... et ça, c'est pas du luxe quand on sait pas trop ce qu'on va lâcher dans la nature. Le hazmat diff qui affiche les changements faits par l'agent depuis le dernier snapshot Kopia, c'est plutôt bien pensé. Et si l'agent casse un truc ? hazmat restore et c'est reparti, comme un Ctrl+Z géant pour tout votre projet.
Si vous avez déjà configuré votre Mac avec teaBASE pour sécuriser votre env de dev, c'est un complément logique.
Côté limites, faut être honnête, Seatbelt n'est pas documenté par Apple depuis macOS 10.5 et c'est du defense-in-depth, et pas une vraie frontière de VM. Quand à l'exfiltration HTTPS elle n'est pas bloquée car l'agent peut toujours curl n'importe quoi sur le port 443. C'est logique mais bon, c'est pas étanche à 100% quoi...
Et surtout c'est macOS only pour l'instant (le port Linux est en chantier), et bien sûr le /tmp partagé entre les comptes locaux reste un vecteur potentiel. J'aurais aimé aussi que le réseau soit coupé par défaut sauf whitelist, mais bon, faudra attendre. Après entre ça et laisser Claude Code en roue libre avec les pleins pouvoirs sur votre machine... y'a pas photo.
Bref, pour du vibe coding sur Mac, c'est le minimum vital.
La chaîne YouTube Asianometry vient de publier une vidéo qui retrace l'histoire du VLIW, une architecture de processeur née dans les années 80 et longtemps considérée comme un échec. Sauf que cette technologie, enterrée avec l'Itanium d'Intel, refait surface dans les puces dédiées à l'intelligence artificielle. Et elle est peut-être déjà dans votre smartphone.
Si vous ne connaissez pas Asianometry, c'est une chaîne qui décortique l'histoire des semi-conducteurs avec un vrai talent de vulgarisation, et cette vidéo sur le VLIW (pour Very Long Instruction Word) ne fait pas exception.
L'idée est assez simple sur le papier. Un processeur classique exécute ses instructions une par une, ou les réordonne à la volée avec du matériel dédié (c'est ce que font les puces modernes avec l'exécution "out-of-order").
Le VLIW fait l'inverse : c'est le compilateur, le logiciel qui transforme le code en instructions machine, qui regroupe à l'avance plusieurs opérations dans un seul "mot" très long. Du coup, le processeur n'a plus qu'à exécuter le paquet en une seule fois, sans se pose la moindre question. Le matos est de fait plus simple, moins gourmand en énergie, et plus rapide.
Le problème, c'est que tout repose sur le compilateur. S'il ne trouve pas assez d'opérations à paralléliser, le processeur tourne à vide. Et écrire un compilateur capable de faire ça correctement, c'est un casse-tête qui a occupé des chercheurs pendant des décennies.
Les premières tentatives commerciales datent des années 80 avec Multiflow et Cydrome, deux entreprises qui ont fait faillite. Intel a sorti le i860 en 1989, un processeur VLIW quasi impossible à programmer. Et puis il y a eu l'Itanium. Développé avec HP à partir de 1994 sous le nom IA-64, ce processeur devait remplacer le x86 et dominer les serveurs. Les analystes prédisaient la fin des architectures classiques.
Quand l'Itanium est sorti en 2001 après dix ans de développement, les performances étaient décevantes, la compatibilité avec les logiciels existants était catastrophique, et AMD avait entre-temps lancé le x86-64 qui faisait tout pareil en restant compatible avec l'ancien. L'Itanium est devenu un produit de niche avant de disparaître. La presse tech l'a rebaptisé "Itanic", en référence au Titanic.
Le VLIW n'a jamais complètement disparu. Texas Instruments l'utilise dans ses processeurs de traitement du signal depuis 1997 avec la famille TMS320C6000. Le DSP Hexagon de Qualcomm, celui qui gère l'inférence IA dans les puces Snapdragon, est lui aussi basé sur du VLIW.
Et Groq, la startup qui fait beaucoup parler d'elle pour la vitesse de ses puces d'inférence, utilise une architecture VLIW où le matériel ne prend aucune décision à l'exécution.
L'inférence de réseaux de neurones, c'est justement le type de calcul idéal pour le VLIW : des opérations régulières, prévisibles, massivement parallèles.
Pas besoin de réordonnancer quoi que ce soit, le compilateur peut tout planifier en amont. Des chercheurs travaillent d'ailleurs sur des extensions RISC-V qui intègrent des principes VLIW pour combiner le meilleur des deux mondes.
C'est quand même amusant de voir une technologie enterrée il y a vingt ans revenir grâce à l'IA. Le VLIW a échoué dans les années 2000 parce que le code des logiciels classiques est trop imprévisible pour être optimisé par un compilateur.
Mais l'inférence IA, c'est l'exact opposé : tout est prévisible et régulier. Du coup, l'architecture qui devait remplacer le x86 se retrouve à alimenter les accélérateurs IA de votre Snapdragon. Comme quoi, en informatique, rien ne meurt vraiment.
Source : Hackaday
A photograph of Ed Fries.
Ed Fries served as Microsoft's vice president of game publishing and an Xbox executive until he left the company in 2004.
Halo Studios master chief and elite
Master Chief dueling an Elite in the Unreal Engine 5 tech demo shown when 343 Industries rebranded to Halo Studios. This concept would ultimately evolve into Halo: Campaign Evolved.
Lenovo Yoga 7 tent display.
The Lenovo Yoga 7 in its "Tent" mode.
Images showing off new Xbox Achievements update for April 2026
Images showing off new Xbox Achievements update for April 2026
Screenshot and mockup of Ubuntu's new RAM requirements comparing it to Windows 11
Screenshot and mockup of Ubuntu's new RAM requirements comparing it to Windows 11
In this photo illustration OpenAI ChatGPT icon is displayed on a mobile phone screen in Ankara, Turkiye on August 13, 2024.
In this photo illustration OpenAI ChatGPT icon is displayed on a mobile phone screen in Ankara, Turkiye on August 13, 2024.
A Steam Deck OLED handheld gaming console on a solid purple background
<p>Helldivers 2 runs pretty well on Steam Deck, all things considered.</p>
Batteries in an Xbox controller.
Xbox controllers usually come with batteries, but Microsoft shipped a ton that were missing batteries since Winter. Microsoft has got your back, though.
The all-new 2025 Dell 14 Premium replaces last year's Dell XPS 14. Though it looks the same, it has updated internal hardware.
Once an XPS in everything but name, the laptop formerly known as the Dell 14 Premium is now called the Dell XPS 14 (2025).
