Revolut is reportedly targeting a $200 billion IPO valuation by 2028, a goal that would put the fintech above BlackRock, UBS, and Charles Schwab.

The post Revolut Reportedly Targets $200B IPO Valuation in Huge Fintech Bet appeared first on TechRepublic.

60 Mo de source maps (ces fichiers qui permettent de remonter du code minifié à l'original) ont été oubliés dans un paquet npm. Et voilà comment Anthropic a involontairement balancé en public le code source complet de Claude Code, son outil à 2.5 milliards de dollars de revenus annuels.

Alors qu'est-ce qui s'est passé exactement ?

Hé bien hier, la version 2.1.88 du package @anthropic-ai/claude-code sur le registre npm embarquait un fichier .map de 59.8 Mo. Un truc normalement réservé au debug interne, sauf que ce fichier .map contenait les pointeurs vers les 1 900 fichiers TypeScript originaux, en clair. Chaofan Shou, un développeur chez Solayer Labs, a alors repéré la boulette et l'a partagée sur X. Le temps qu'Anthropic réagisse, le code était déjà mirroré partout sur GitHub, avec 41 500+ forks en quelques heures. Autant dire que le dentifrice ne rentrera pas dans le tube !

Pour ma part, j'avais un petit dépôt à moi assez ancien avec quelques trucs relatifs à Claude Code, qui n'avait rien à voir avec tout ça, qui s'est même retrouvé striké... Ils ratissent large avec leur DMCA donc.

Et là, c'est la fête pour les curieux comme moi parce que les entrailles de l'outil révèlent pas mal de surprises. Côté architecture, on découvre environ 40 outils internes avec gestion de permissions, un moteur de requêtes de 46 000 lignes de TypeScript, un système multi-agents capable de spawner des essaims de sous-tâches en parallèle, et un pont de communication entre le terminal et votre éditeur VS Code ou JetBrains. Le tout tourne sur Bun (pas Node.js ^^) avec Ink pour l'interface terminal. Par contre, pas de tests unitaires visibles dans le dump.

Côté mémoire, c'est plutôt bien pensé puisqu'au lieu de tout stocker bêtement dans la fenêtre de contexte du modèle, l'outil utilise un fichier texte MEMORY.md ultra-léger (genre 150 caractères par entrée) qui sert d'index de pointeurs. Les vraies données, elles, sont distribuées dans des fichiers thématiques chargés à la demande, et les transcripts bruts ne sont jamais relus entièrement, mais juste fouillés à la recherche d'identifiants précis. L'agent traite en fait sa propre mémoire comme un "hint" ce qui le force à vérifier toujours le vrai code avant d'agir. En gros, il a une mémoire sceptique, et pour moi c'est clairement le truc le plus intéressant du dump.

Y'a aussi un truc qui s'appelle KAIROS (mentionné 150 fois dans le code) qui est un genre de mode daemon autonome. En fait, pendant que vous allez chercher votre café, l'agent tourne en arrière-plan et fait ce qu'ils appellent autoDream : il consolide sa mémoire dans des fichiers JSON, vire les contradictions et transforme les observations vagues en données structurées. Comme ça, quand vous revenez devant votre écran, le contexte est nettoyé.

Et puis le code balance aussi la roadmap interne d'Anthropic (bon courage au service comm ^^). On y trouve les noms de code des modèles... Capybara pour un variant de Claude 4.6, Fennec pour Opus 4.6, et un mystérieux Numbat qui n'est pas encore sorti. D'ailleurs, les commentaires internes révèlent que Capybara v8 a un taux de fausses affirmations qui tourne autour de 30%, ce qui est une grosse régression par rapport aux 17% de la v4. Y'a même un "Undercover Mode" qui permet à l'agent de contribuer à des repos publics sans révéler d'infos internes (c'est sympa pour les projets open source).

Anthropic a confirmé la fuite : "C'était un problème de packaging lié à une erreur humaine, pas une faille de sécurité. Aucune donnée client n'a été exposée." Mouais, attention quand même, parce que le code est déjà partout et n'en repartira pas. Et même si aucun secret client n'a fuité, exposer l'architecture complète d'un agent IA à 2.5 milliards de revenus, c'est pas rien non plus.

Bon, et maintenant qu'est-ce qu'on peut en faire ? Bah pas mal de choses en fait.

Par exemple, le système de mémoire auto-correcteur est un pattern directement réutilisable pour vos propres agents IA. L'architecture "index léger + fichiers à la demande" résout élégamment le problème de la pollution de contexte qui fait halluciner les LLM sur les longues sessions. Les +40 outils internes permettent aussi de comprendre comment structurer un système de permissions granulaires dans un agent autonome . Et le concept KAIROS/autoDream, la consolidation mémoire pendant l'idle, c'est une idée qu'aucun outil open source n'implémente encore. Autant dire que les alternatives open source à Claude Code ou Codex vont monter en gamme dans les jours qui viennent. Et le code est déjà nettoyé, réécris en Rust et mis sur GitHub si vous voulez fouiller. Bon, pas sûr que le pattern autoDream soit simple à reimplémenter, mais le système de mémoire oui.

Je trouve ça assez marrant que le code proprio d'une boite qui a aspiré tout l'open source du monde voire plus, sans autorisation, pour le revendre sous la forme de temps machine / tokens, devienne lui aussi en quelque sorte "open source" sans qu'on leur demande leur avis ^^. La vie est bien faite.

Maintenant, pour les développeurs qui publient sur npm, la leçon est limpide : Vérifiez votre .npmignore et votre champ files dans package.json. Ou plutôt, lancez la commande npm pack --dry-run dans votre terminal avant chaque publish. Ça prend 2 secondes et ça vous montre exactement ce qui sera inclus dans le paquet. Ça aurait évité 60 Mo de secrets industriels qui partent en public.

Bref, un .npmignore bien configuré, ça coûte 0 euro. Alors qu'une fuite de propriété intellectuelle évaluée à 2.5 milliards... un peu plus !

Source

Votre manette qui drift comme dans Fast & Furious, votre clavier qui enfonce des touches fantômes, ou encore votre souris qui double-clique toute seule... Avant de tout balancer par la fenêtre parce que l'esprit malfaisant de papi est revenu hanter votre machine, sachez qu'il y'a peut-être moyen de diagnostiquer le problème facilement !

Comment ? Hé bien avec ControllerTest.io, qui est une suite de trois outils en ligne permettant de tester tout votre matos gaming directement dans le navigateur. C'est gratuit, sans pub et que vous ayez une manette Xbox, une DualSense, des Joy-Con ou un clavier mécanique de bobo à 150 balles, tout se gère depuis Chrome ou Edge sans rien télécharger. Suffit juste d'avoir un navigateur et un câble USB (ou une connexion Bluetooth).

Côté manette, le site détecte le drift des sticks en temps réel. Vous branchez votre pad en USB ou Bluetooth, ensuite vous appuyez sur un bouton, et l'écran affichera alors la position X/Y de vos sticks analogiques. Et si ça bouge alors que vous ne touchez à rien, c'est que c'est un souci de drift.

Y'a aussi un test de vibration avec quatre modes (heavy, light, burst, pulse) qui fait tourner les moteurs gauche et droit séparément. Le polling rate compare filaire vs Bluetooth, par exemple autour de 125 Hz en Bluetooth contre 500 Hz en USB sur une manette Xbox. Le mapping de tous les boutons et axes passe par l'API Gamepad de Chrome.

Pour les claviers, direction KeyboardTest.io . Le test de N-Key Rollover montre visuellement quelles touches sont en conflit quand vous appuyez sur plusieurs en même temps, ce qui est pas mal pour vérifier que votre clavier Cherry MX gère bien les combos en jeu ! Y'a aussi la détection de "chatter" qui se passe quand une touche s'enregistre deux fois d'affilée. C'est d'ailleurs souvent le signe d'un clavier fatigué.

Et pour la souris, MouseTester.io fait bien le boulot aussi. Polling rate en temps réel (le site affiche jusqu'à 8000 Hz, même si dans le navigateur c'est plus une estimation et pas une mesure de labo), détection de double-clic involontaire, et test CPS (test de clics par seconde). Par contre, attention, le test de polling rate ne marche pas toujours sur Firefox, et n'est pas forcément fiable non plus sur Safari, donc utilisez bien Chrome ou Edge pour vos tests. Et surtout ça tourne sur Windows, macOS et Linux sans problème, évidemment, vu que tout passe par le navigateur.

Le gros plus c'est que tout est traité localement dans le navigateur. Aucune donnée n'est envoyée à un serveur extérieur. Le JavaScript tourne en local via les API natives du navigateur, pas via un backend distant. Après y'a quand même une limitation qui est que les triggers adaptatifs de la DualSense ne sont pas supportés parce que l'API Gamepad standard ne le permet pas encore. C'est pas la faute du site, c'est juste le W3C qui traîne à faire évoluer la spec.

Si vous cherchez à tester spécifiquement votre manette, j'avais déjà parlé de Gamepad Tester mais ControllerTest.io va clairement plus loin avec la détection de drift, le polling rate et les tests de vibration séparés par moteur, donc autant passer à celui-là.

Voilà, la prochaine fois que votre gamepad fait des siennes, branchez le câble USB, ouvrez Chrome et allez sur ControllerTest.io . Comme ça, si c'est du drift, vous pouvez toujours tenter d'augmenter la deadzone dans les paramètres Steam ou dans les options du jeu avant de sortir la carte bleue !

Google n'a jamais sorti d'API publique pour NotebookLM , son outil qui transforme vos documents en podcasts, quiz et autres résumés grâce à l'IA. Pas de SDK, pas de CLI, y'a rien du tout alors on est tous triiiiiste. A peine juste une interface web avec ses boutons moches et ses menus déroulants, mais impossible à scripter ou à intégrer dans le moindre pipeline bash.

Mais un dev bien inspiré a reverse-engineeré les endpoints REST internes et a pondu notebooklm-py, une lib Python de 168 Ko qui fait tout ce que le web UI refuse de faire. Franchement, c'était pas trop tôt ! Vous en avez rêvé, lui l'a fait !

Un pip install notebooklm-py et voilà, vous avez accès à toute la machinerie Notebook LM à savoir : créer des notebooks, injecter des sources (URLs, PDF, vidéos YouTube, fichiers Google Drive, documents Word, images PNG), poser des questions à vos docs, et surtout générer du contenu... podcasts audio en MP3, vidéos explicatives en MP4, quiz, flashcards, slides en PPTX, infographies en PNG, mind maps en JSON.

Carrément dingue ! Et tout ça pilotable depuis votre terminal zsh ou en script Python async.

En fait, le vrai bonus c'est que la lib déverrouille des fonctionnalités que l'interface web ne propose même pas comme télécharger tous vos podcasts d'un coup en batch au lieu de cliquer un par un sur chaque fichier MP3, exporter vos 50 flashcards en JSON structuré au lieu de juste les afficher à l'écran ou encore récupérer vos slides en PPTX éditable plutôt que le PDF figé.

Ce genre de features, on avait fini par accepter que Google s'en fiche mais pourtant, extraire l'arbre complet d'une mind map en JSON pour la balancer dans D3.js ou Mermaid... clairement c'est un truc que Google aurait dû proposer depuis le début !

Côté CLI, c'est propre. Vous vous authentifiez une fois via notebooklm login (ça ouvre Chromium via Playwright pour choper les cookies de session Google), puis vous enchaînez les commandes.

notebooklm create "Ma Recherche" pour créer un notebook vide,

notebooklm source add ./mon-rapport.pdf pour balancer vos fichiers,

notebooklm generate audio "rends ça punchy" --wait pour lancer la génération de podcast,

et notebooklm download audio ./podcast.mp3 pour récupérer le MP3 sur votre disque.

On peut même éditer ses slides individuellement avec des prompts en langage naturel, du genre "ajoute un graphique sur cette slide-là" !

Pour ceux qui veulent brancher ça dans leurs pipelines, y'a comme je le disais l'API Python async complète. Vous pouvez donc monter un petit cron qui ingère vos derniers bookmarks le vendredi soir, et génèrer un résumé audio de 5 minutes, puis balancer le MP3 directement sur votre NAS Synology.

D'ailleurs, si vous avez déjà joué avec des outils pour booster votre productivité avec l'IA , c'est un peu dans la même veine... sauf qu'ici on tape directement dans les tripes des serveurs Google, sans intermédiaire. Ça tourne avec du Python, et y'a même un mode "agent" (un skill en fait) pour brancher ça dans Claude Code ou Codex. Pas mal, hein ?

Le fait que ça gère aussi la recherche web et Drive avec import automatique des résultats dans vos notebooks, c'est top, un peu comme Oboe qui génère des cours complets via IA , mais en version terminal. Et surtout, pas d'abonnement mensuel à payer, c'est votre propre compte Google qui fait tourner la machine.

Bien sûr, ça reste du reverse-engineering d'APIs non-documentées de Google, ce qui fait que les endpoints REST peuvent changer du jour au lendemain et tout péter. Le projet le dit clairement, c'est plutôt taillé pour du prototypage, de la recherche ou des projets perso et SURTOUT PAS pour de la prod sur un serveur Nginx en front avec 10 000 utilisateurs prêts à ruer dans les brancards en cas de panne.

Et puis faut quand même s'authentifier via un vrai compte Google avec Playwright et Chromium, donc pas question de faire tourner ça sur un serveur headless sans un minimum de config.

Bref, tant que Google ne coupe pas ses endpoints, c'est open bar.

Profitez-en !

Vous avez une machine à café De'Longhi avec du Bluetooth et vous vous êtes déjà forcément dit "Mais pourquoi je dois me lever si tôt pour appuyer sur un putain de bouton comme un homme des cavernes" ?!

Hé bien bonne nouvelle mes petits accro aux café puisqu'un dev a passé ses soirées à sniffer les paquets BLE de sa Dinamica Plus, à reverse-engineerer le protocole de communication, et il en a fait un projet open source qui transforme votre cafetière en serveur HTTP. Du coup maintenant, un petit curl http://pi:8080/api/brew/espresso depuis le lit et hop, le café coule. En live depuis votre oreiller, vos petits yeux à moitié fermés en moins de 3 secondes.

Aaaaah, le bonheur !

Le projet s'appelle Barista et c'est en fait un bridge BLE-to-HTTP écrit en Python. Vous collez ça sur un Raspberry Pi Zero à 15 euros (ou n'importe quel ordi avec une puce Bluetooth) à côté de votre machine à café, ça se connecte en Bluetooth Low Energy, et ça expose une API REST complète. Ça permet ainsi de contrôler la préparation (espresso, cappuccino, latte, americano...), d'ajuster la force de l'arôme sur 5 niveaux, la température, la quantité en ml, et même d'activer la buse vapeur ou l'eau chaude à distance. Attention par contre, faut pas oublier de mettre une tasse sous le bec avant de lancer la commande depuis votre lit...

Côté technique, c'est du Python async avec la bibliothèque bleak pour la partie radio BLE et aiohttp pour le serveur HTTP local. En fait, le truc intéressant c'est que tout le protocole ECAM est documenté dans le repo... structure des paquets, calcul du CRC-16/CCITT, encodage des ingrédients, lecture et écriture des recettes. Donc si vous avez un autre modèle De'Longhi (Primadonna, Magnifica Evo, Eletta Explore), c'est théoriquement compatible vu que De'Longhi utilise le même protocole BLE sur sa gamme ECAM... mais seule la Dinamica Plus est testée et confirmée pour l'instant.

Le problème, vous l'aurez compris, c'est que De'Longhi ne documente pas son protocole BLE (va savoir pourquoi), donc y'a pas forcément de garantie que ça marchera du premier coup sur votre modèle.

Côté prérequis, il vous faut Python 3.11+ et BlueZ sur votre Raspberry Pi 4 ou 5 (le Bluetooth quoi). Après, l'installation tient en trois commandes : pip install barista-coffee, puis barista scan pour trouver votre machine, et enfin barista start --address AA:BB:CC:DD pour lancer le serveur.

Et là vous aurez une interface web sur le port 8080, avec une grille de boutons, un bouton par boisson... mais surtout une API REST qui permet d'intégrer ça avec à peu près n'importe quoi : Home Assistant , Node-RED, un cron job matinal, un raccourci Siri, un script Python... Perso, l'idée du réveil qui déclenche automatiquement un espresso, c'est quand même pas mal !

Évidemment, tout tourne en local ! Comme ça plutôt que de dépendre de l'app officielle De'Longhi (qui marche uniquement à 2 mètres de la machine ^^ donc autant appuyer sur le bouton à ce stade), là c'est du vrai contrôle réseau.

D'ailleurs si le sujet vous branche, on avait déjà listé une tonne de projets Raspberry Pi dont une machine à café pilotable à distance.

Voilà, si vous avez une De'Longhi avec Bluetooth qui traîne dans la cuisine et un Raspberry Pi qui prend la poussière, vous savez ce qu'il vous reste à faire.

Amusez-vous bien et moi j'vais aller me faire un café du coup !

Google vient de lancer Gemini Embedding 2, son premier modèle d'embedding nativement multimodal. Texte, images, vidéo, audio et documents sont projetés dans un même espace vectoriel, ce qui permet de faire de la recherche sémantique croisée entre différents types de contenus.

Un seul modèle pour tout indexer

Jusqu'à présent, les modèles d'embedding se limitaient au texte. Vous vouliez indexer des images ou de la vidéo, il fallait un autre pipeline. Gemini Embedding 2 fait tout d'un coup : vous lui envoyez du texte, des images (jusqu'à 6), de la vidéo (jusqu'à 120 secondes) ou de l'audio (jusqu'à 80 secondes), et il vous renvoie un vecteur dans le même espace. Le modèle gère plus de 100 langues et prend en charge jusqu'à 8 192 tokens en entrée pour le texte.

Côté technique, le modèle utilise le Matryoshka Representation Learning, ce qui permet de choisir la taille des embeddings entre 128 et 3 072 dimensions. Google recommande 768 dimensions pour un bon compromis entre qualité et stockage, ce qui divise par quatre l'espace disque par rapport à la taille maximale.

Les tarifs et la concurrence

Le texte est facturé 0,20 dollar par million de tokens, avec un mode batch à moitié prix. Les images montent à 0,45 dollar, l'audio à 6,50 dollars et la vidéo à 12 dollars par million de tokens. Un palier gratuit est disponible pour tester.

Côté performances, Google affiche de bons scores sur les benchmarks MTEB : 69,9 en multilingue et 84,0 en code. Mais pour du texte seul, OpenAI reste bien moins cher avec son text-embedding-3-small à 0,02 dollar par million de tokens, soit dix fois moins.

Le modèle est disponible via l'API Gemini et Vertex AI, et compatible avec LangChain, LlamaIndex, Weaviate ou ChromaDB.

Le vrai argument de Google ici, c'est le multimodal. Si vous avez besoin d'indexer des catalogues produits avec photos et descriptions dans le même vecteur, ou de faire de la recherche dans des archives vidéo, il n'y a pas d'équivalent chez OpenAI pour le moment.

Mais pour du texte pur, la différence de prix est quand même importante. On attend de voir comment ça se comporte en production, et si les scores MTEB se confirment sur des cas d'usage réels.

Source : Blog Google

En 2024, je me suis acheté un WalkingPad A1 Pro (lien affilié) et j'ai complétement oublié de vous en faire un petit retour ! Ce mot ne vous dit peut-être rien, mais c'est ce petit tapis de marche pliable qui se glisse sous votre bureau debout. 143 cm de long, 55 cm de large, 6 km/h max + une télécommande et une appli pour piloter le tout. L'engin pèse dans les 28 kg et se plie en deux pour se planquer sous mon bureau. Et comme maintenant j'ai un peu de recul, je peux vous dire qu'il y a quelques trucs à savoir avant de craquer.

Déjà, si vous faites plus de 100 kg (comme moi, oui je sais, beau bébé), attendez-vous à des petits à-coups au démarrage car c'est conçu pour supporter max 105 kg (quand je l'ai acheté sur la fiche produit c'était écrit 136 kg donc j'sais pas trop...).

En fait, le moteur et la bande ont besoin de chauffer 2-3 minutes avant de tourner rond. Rien de dramatique, mais les premiers pas c'est saccadé. Ensuite, une fois le rythme chopé, ça roule !

Après le piège classique, c'est de vouloir aller trop vite. Dès que vous dépassez 3 km/h, votre clavier mécanique commence à danser sur le plateau du bureau et là... bonne chance pour viser un pixel avec votre souris. Plus vous allez lentement, plus vous êtes précis avec la souris. Perso, je reste à 2-3 km/h max quand je bosse, parce que au-delà c'est ingérable. On n'est pas là pour un marathon !

Au début, c'est perturbant, j'avoue. Genre votre cerveau sait plus s'il doit lire l'écran ou gérer vos jambes. Ça dure quelques jours, pas plus et ensuite, vous n'y pensez même plus, ça devient naturel et du coup vous marchez sans y penser.

Crawler un site entier, ça devrait pas être aussi compliqué. Et pourtant, entre les scripts maison qui cassent tous les 2 jours et les headless browsers qui bouffent de la RAM comme pas permis, c'est assez la galère ! Du coup, Cloudflare, dans sa grande bonté (lol) vient de sortir un endpoint /crawl (en open beta) dans la section Browser Rendering qui simplifie tout ça... vous balancez une URL dessus et hop, ça ASPIRE tout le site (oui oui).

En gros, vous envoyez une requête POST avec l'URL de départ, et le service se charge de découvrir les pages (via le sitemap, les liens internes, ou les deux), de les générer dans un navigateur headless, et de vous renvoyer le contenu en HTML, Markdown ou même en JSON structuré grâce à Workers AI. Le tout de manière asynchron ! Vous, vous récupérez juste un job ID et vous revenez plus tard chercher les résultats quand c'est prêt.

Créer votre token API

Avant toute chose, il vous faut un token API Cloudflare avec la permission "Browser Rendering - Edit". Rendez-vous dans votre dashboard Cloudflare, section API Tokens, et créez-en un nouveau. Notez aussi votre Account ID (visible dans l'URL du dashboard ou dans la section Overview de n'importe quel domaine).

Lancer un crawl

Là, ensuite c'est hyper simple. Un seul appel curl suffit :

curl -X POST "https://api.cloudflare.com/client/v4/accounts/VOTRE_ACCOUNT_ID/browser-rendering/crawl" \
 -H "Authorization: Bearer VOTRE_TOKEN" \
 -H "Content-Type: application/json" \
 -d '{"url": "https://example.com"}'

curl -X POST "https://api.cloudflare.com/client/v4/accounts/VOTRE_ACCOUNT_ID/browser-rendering/crawl" \
 -H "Authorization: Bearer VOTRE_TOKEN" \
 -H "Content-Type: application/json" \
 -d '{
 "url": "https://example.com/docs",
 "limit": 50,
 "depth": 3,
 "formats": ["markdown"],
 "render": false,
 "options": {
 "includePatterns": ["https://example.com/docs/**"],
 "excludePatterns": ["**/changelog/**"]
 }
 }'

curl "https://api.cloudflare.com/client/v4/accounts/VOTRE_ACCOUNT_ID/browser-rendering/crawl/VOTRE_JOB_ID" \
 -H "Authorization: Bearer VOTRE_TOKEN"

Google’s $32 billion Wiz acquisition is nearing completion, marking a record Israeli tech exit and a major bet on cloud security.

The post Google’s $32B Wiz Acquisition Set to Become Israel’s Largest Tech Deal Ever appeared first on TechRepublic.

Le MCP, c'est devenu LE truc standard pour connecter des IA à vos outils. Sauf que voilà... brancher Claude sur n8n, en pratique, c'était encore un peu le bazar avec du JSON à copier-coller dans tous les sens. Mais heureusement, un dev a décidé de faire les choses proprement avec un vrai serveur MCP dédié.

n8n MCP , c'est un serveur MCP open source (sous licence MIT) qui donne à votre IA un accès direct à n8n avec plus de 1 000 nœuds supportés (Gmail, Slack, PostgreSQL, HTTP...), leurs propriétés, leurs opérations, bref tout le bazar. Vous décrivez ce que vous voulez, et youplaboom, l'IA construit le workflow à votre place. Comme ça plus besoin d'exporter du JSON, de l'importer, de corriger les erreurs cryptiques... c'est plié !

Et le truc chouette, c'est son système de mises à jour différentielles. Au lieu de renvoyer tout le workflow à chaque modif (et bouffer vos tokens comme un goinfre), le serveur ne transmet que ce qui a changé. Résultat, 80 à 90% de tokens en moins sur les grosses modifs. Pas mal du tout, hein ?!

Côté compatibilité, c'est large : Claude Desktop, ChatGPT, Cursor, Gemini CLI, Codex CLI... la liste est carrément longue. Via le service hébergé, c'est du OAuth zero-setup pour pas mal de clients, vous cliquez et c'est bon. Pour les IDE comme Cursor ou VS Code (avec une extension MCP), faut une clé API mais rien de bien sorcier. Après, ça ne marchera pas avec tous les clients MCP non plus, donc vérifiez la liste sur leur site avant de vous lancer.

D'ailleurs, si vous avez kiffé OneMCP qui simplifie la gestion des serveurs MCP, ici c'est totalement complémentaire. OneMCP gère la plomberie générale, n8n MCP se spécialise sur un truc précis à savoir donner à l'IA la connaissance COMPLÈTE de n8n (plus de 500 nœuds officiels et autant de nœuds communautaires) pour qu'elle puisse construire des workflows qui marchent du premier coup... enfin presque.

Y'a aussi une bibliothèque de plus de 2 700 templates de workflows prêts à l'emploi avec recherche sémantique. Genre vous dites "je veux un workflow qui surveille mes commits GitHub et m'envoie un récap Slack chaque soir" et l'IA pioche dans les templates existants pour vous pondre un truc fonctionnel.

Après pour l'installation, c'est soit le service hébergé (gratuit pour 100 appels par jour mais rien à configurer), soit en self-hosted via npx n8n-mcp (faut Node.js 18+) ou Docker (~280 Mo l'image, basée sur Alpine). Perso, le mode hébergé suffit largement pour tester, et si vous voulez aller plus loin c'est de la licence MIT donc vous faites ce que vous voulez.

Attention quand même, le projet (tout comme moi) recommande de ne JAMAIS laisser l'IA modifier vos workflows de production directement. Toujours copier, tester en dev, exporter un backup. C'est du bon sens mais ça vaut le coup de le rappeler parce que sinon, le jour où votre IA décide d'"optimiser" votre pipeline de facturation en supprimant des nœuds qu'elle juge inutiles... bah gros caca en perspective !

Et si vous voulez voir comment ça se marie avec d'autres serveurs MCP genre Chrome DevTools MCP , c'est tout à fait possible de combiner les deux pour que votre IA construise un workflow n8n ET debug le front dans Chrome en même temps. La stack IA-augmentée commence à devenir sérieusement sérieuse ! Oui je suis sérieux ^^ !

Bref, plutôt que de bidouiller avec du JSON à la main ou de lancer des OpenClaw sans sécurité en mode gros débilo de Linkedin..., bah vous demandez à Claude et lui fera le job proprement sous votre contrôle !

PowerShell can do far more than most users realize. Explore 10 hidden capabilities that save time, improve reporting, and supercharge your workflow.

The post 10 Powerful Ways to Use PowerShell Across Windows, Linux, and macOS appeared first on TechRepublic.

Les clés API Google que vous collez dans votre JavaScript pour afficher une carte Maps... hé bien elles ne sont plus si inoffensives. Car depuis que Gemini est entré dans la danse, ces mêmes clés donnent maintenant accès à vos fichiers privés et surtout à votre facture IA.

Et personne ne nous a prévenu...

En gros, Google utilise un format de clé unique, les fameuses AIza..., aussi bien pour Maps et Firebase (public, collé dans le HTML, tout le monde s'en fout) que pour Gemini (privé, accès aux fichiers, facturation). Le problème c'est que quand vous activez l'API Gemini sur un projet Google Cloud, TOUTES les clés existantes de ce projet héritent automatiquement de l'accès Gemini. Sans warning, sans notification, sans rien... Ouin !

Les chercheurs de TruffleSecurity ont ainsi trouvé presque 3000 clés API Google valides dans le dataset Common Crawl de novembre 2025. Des clés qui trainent dans du code JavaScript, des pages HTML, des repos GitHub publics... et qui fonctionnent sur l'endpoint Gemini. Il suffit d'un simple curl avec une clé Maps récupérée sur un site web, et hop, vous accédez à l'API Gemini du propriétaire. Fichiers privés, contenu en cache, facturation sur son compte.

Et parmi les victimes, on trouve des institutions financières, des boîtes de cybersécurité, et... Google eux-mêmes (oui oui, vraiment).

Le 21 novembre 2025, TruffleSecurity signale donc le problème et la réponse de Google le 25 novembre c'est : "intended behavior" (comportement normal)... Sauf que le 2 décembre, Google a reclassifié ça en bug, puis le 13 janvier 2026, ça passe finalement en Tier 1. On est donc passé du "c'est normal les frérots" à "ah oui quand même, oupsi oups", en 7 semaines.

Maintenant, pour ceux qui se demandent si leurs clés API Google sont concernées, direction console.cloud.google.com , section "APIs & Services" puis "Identifiants".

Si vous voyez l'API " Generative Language " de Gemini API activée sur un projet avec des clés non restreintes... attention, c'est le moment de faire le ménage. Ajoutez des restrictions IP ou HTTP referrer, et surtout, utilisez des comptes de service plutôt que des clés API pour tout ce qui touche à Gemini (sauf si vous aimez les surprises sur votre facture ^^).

Le truc tordu, c'est que la doc Firebase dit noir sur blanc que les clés API ne sont pas des secrets. Google Maps vous dit carrément de les coller dans votre HTML. Et maintenant, ces mêmes clés donnent accès à une IA qui peut lire vos fichiers. Du CWE-1188 pur et dur ! Et c'est pas la première fois que Google se fait taper sur les doigts pour ce genre de souci avec Gemini .

Du coup, Google a annoncé des nouvelles mesures, du scoped defaults, du blocage de clés fuités, des notifications proactives...etc. Reste donc à voir si ça arrivera avant que les presque 3000 clés exposées soient exploitées par des gens moins bien intentionnés.

Bref, dix ans à dire que c'est public, et hop, aujourd'hui c'est devenu top secret. Bien joué Google !!

Source

SaaS provider says layoffs target non-revenue roles as it retools priorities, with costs weighing heavily on near-term financial results.

The post Workday to Lay Off Roughly 400 Customer Support Staff appeared first on TechRepublic.

– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –

Je vais vous parler d’un truc improbable aujourd’hui. Comme je suis passionné de tests à la con et de trucs genre télé-achat, on me qualifie parfois de vendeur de tapis. Eh bien vous savez quoi, je vais le prendre au pied de la lettre, et je vais vous parler d’un tapis que j’ai acheté ha ha.

J’ai déménagé récemment dans un nouvel appartement, avec un chouette bureau, équipé d’un parquet en bois. Jusque-là rien de fou, c’est la première fois que j’ai un bureau avec un parquet. Sauf que littéralement 48 heures après mon emménagement, j’ai eu une lettre de mon voisin du dessous m’expliquant que j’étais un affreux punk qui faisait trop de bruit au-dessus de sa tête. J’ai compris que ma chaise de bureau avec ses roulettes, en plus d’abîmer le parquet, faisait un bruit des enfers chez mon voisin du dessous.

Je me suis souvenu qu’il existait des sortes de tapis en plastique transparent pour ce genre de truc, j’ai déjà eu ça chez certains clients chez qui je travaillais. C’était moche et pas très agréable sous la roulette. Alors j’ai cherché sur Amazon et j’ai trouvé ce truc merveilleux . C’est un petit tapis assez fin en polyester, qui permet tout simplement de cesser le bruit infernal des roulettes sur le parquet, et en plus de le protéger. Il y a plein de designs assez mignons, moi j’ai choisi celui-ci un peu vintage, et franchement, c’est top. C’est fin, c’est dense, les bords ne repiquent pas, et ça évite les traces de votre chaise de bureau.

Le gain au niveau du bruit généré par votre chaise est assez fou, les vibrations aussi sont absorbées, et le tout adhère parfaitement au sol. Si vous décidez de le déplacer, il ne laissera aucune trace, c’est vraiment un tapis, juste avec la bonne texture et la bonne épaisseur. Vous pouvez même le passer à la machine à laver si besoin.

Bref, voilà, si vous avez une chaise de bureau posée sur un sol dur, je recommande très très fort. Disponible ici sur Amazon .

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie "Gadgets Tech" , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Quentin, fidèle lecteur de Korben, développe en solo depuis presque un an un outil qui va parler à tous ceux qui cherchent un appart ou une maison et qui en ont marre de jongler entre quinze onglets pour avoir une vision claire d'un quartier.

1dex.fr c'est une plateforme qui agrège un paquet de données géographiques et immobilières sur n'importe quelle adresse en France. Prix de vente au m², transactions DVF, permis de construire, qualité de l'eau, pollution de l'air, travaux à proximité, écoles... Le tout sur une interface cartographique plutôt bien foutue.

Concrètement, vous entrez une adresse, vous cliquez sur "Analyser cette zone" et hop, la carte se remplit de données. On peut alors visualiser les parcelles alentours, voir les dernières ventes, repérer les chantiers en cours, et même afficher les immeubles avec syndic de copropriété. Y'a même un système de calques pour switcher entre fond de carte classique, vue satellite ou mode sombre.

Perso j'aime bien ce genre d'outil qui met la data à portée de main sans avoir besoin de fouiller data.gouv.fr pendant des heures.

Son modèle est freemium mais rassurez-vous, l'essentiel est gratuit avec une limite journalière d'analyses. Si vous dépassez, soit vous revenez le lendemain, soit vous passez à la caisse pour un accès intensif. Quentin bosse aussi sur une API pour les pros et une extension navigateur qui ajoutera les données 1dex directement sur les annonces immo. Pas mal pour éviter les mauvaises surprises avant même de visiter !

Voilà si vous êtes en recherche de logement ou juste curieux de savoir ce qui se passe autour de chez vous, ça vaut le coup d'œil -> 1dex.fr

Et bravo à Quentin !

Ce matin, je cherchais un moyen simple de tester des webhooks en local sans passer par ce bon vieux Ngrok qui est devenu un peu relou avec ses limites en version gratuite. J'ai d'abord pensé à monter mon propre serveur VPN (coucou Tailscale), mais franchement flemme.

Et puis tout à fait par hasard (aaah les joies de la sérendipité) je suis tombé sur cet outil qui devrait vous plaire, surtout si vous développez des applis qui doivent recevoir des notifications HTTP (GitHub, Stripe, Slack...). Ben oui vous connaissez la galère... votre serveur de dev est sur "localhost", donc inaccessible depuis l'extérieur, du coup, impossible de recevoir ces fameux webhooks sans ouvrir votre routeur ou utiliser un tunnel.

C'est là qu'intervient Webhooks Proxy Tunnel !

Grâce à cet outil, au lieu de multiplier les intermédiaires, vous déployez votre propre tunnel... directement sur l'infrastructure de Cloudflare. Et le meilleur c'est que ça tourne généralement très bien sur leur offre gratuite (dans la limite des quotas Workers évidemment, donc attention si vous bourrinez comme un fifou).

L'outil utilise un Cloudflare Worker couplé à un Durable Object (une sorte de mini-serveur d'état). Le Worker reçoit alors les requêtes publiques sur une URL en HTTPS (genre "truc.workers.dev") et les transmet via une WebSocket à un petit client Node.js qui tourne sur votre machine. Et hop, le trafic arrive sur votre port local.

Perso, je trouve ça brillant car même si le trafic passe techniquement par Cloudflare (puisque c'est leur infra), vous gardez la main sur le code qui s'exécute et vous évitez d'envoyer vos données à un service tiers supplémentaire dont vous ignorez tout.

Pour l'installer, ne plus c'est hyper fastoche. Il vous faut juste un compte Cloudflare et Node.js. J'ai testé l'install en moins de 5 minutes, vous clonez le dépôt, vous installez les dépendances et vous lancez le déploiement (qui vous demandera de vous authentifier) :

git clone https://github.com/peter-leonov/webhooks-proxy-tunnel.git
cd webhooks-proxy-tunnel/worker
npm install
npm run deploy

Vous savez que depuis quelques années, des startups équipent les camions poubelle et les bus de caméras IA pour cartographier automatiquement l'état des routes ? Comme ça, pendant que le chauffeur fait sa tournée, une intelligence artificielle détecte les nids-de-poule, les fissures et autres joyeusetés routières en temps réel. Chaque défaut est géolocalisé, scoré par gravité, et hop, les équipes de maintenance savent exactement où intervenir.

Bon apparemment, là où j'habite, ils n'utilisent pas ça parce que les routes sont des champs de mines, mais si le Maire se chauffe en DIY, ce projet maintenu par un certain Peter va l'intéresser.

C'est sur GitHub et c'est un stack complet pour faire exactement la même chose que les startups spécialisées en nids de poule... un vrai projet end-to-end avec l'entraînement du modèle sur du GPU cloud, une API backend containerisée, et même une app mobile React Native pour scanner les routes depuis votre téléphone.

Le projet s'appelle pothole-detection-yolo et ça utilise YOLOv8, le modèle de détection d'objets qui fait fureur en ce moment dans le domaine de la vision par ordinateur. Concrètement, le modèle a été entraîné sur un dataset de nids-de-poule disponible sur HuggingFace, avec des images de 640x640 pixels. L'entraînement s'est fait sur Nebius Cloud avec des GPUs H100, donc du sérieux, pas du Colab gratuit qui timeout au bout de 20 minutes.

Ce qui est cool avec ce projet, c'est qu'il ne s'arrête pas au modèle. Y'a une API FastAPI complète qui expose deux endpoints : /detect pour envoyer une image et récupérer les bounding boxes avec les scores de confiance, et /health pour vérifier que le service tourne. Le tout est containerisé en Docker avec support GPU automatique. Et si vous avez pas de carte graphique, ça bascule sur CPU.

Et la cerise sur le gâteau, c'est l'app mobile Expo/React Native. Vous ouvrez l'app, vous prenez une photo d'une route avec votre smartphone, l'image est envoyée à l'API, et vous récupérez les détections en temps réel avec les rectangles dessinés autour des nids-de-poule et les pourcentages de confiance affichés. Bref, c'est exactement ce que font les boites tech à plusieurs millions, sauf que là c'est open source sous licence Apache 2.0.

YOLOv8 atteint facilement entre 93 et 99% de précision pour la détection de nids-de-poule selon les variantes utilisées et des chercheurs ont même combiné YOLOv8 avec des données de nuages de points 3D pour atteindre 95.8% de précision sur des tronçons de tests d'environ 5 km. Bref, c'est du solide et ça fonctionne .

Le truc intéressant pour les bricoleurs, c'est que le modèle entraîné est directement téléchargeable sur HuggingFace donc vous pouvez donc skip toute la partie entraînement si vous voulez juste tester le résultat. Une seule commande Docker pour lancer l'API, et vous êtes opérationnel. Pour les plus motivés qui veulent entraîner leur propre modèle avec des données locales de vos routes françaises pleines de cratères, le code d'entraînement est là aussi avec les configs Ultralytics.

Bref, si vous êtes une petite mairie qui veut cartographier l'état de vos routes sans claquer 50 000 euros dans une solution proprio, ou juste un dev curieux de voir comment fonctionne la stack derrière ces caméras intelligentes qu'on voit de plus en plus sur les véhicules de service, ce projet est une mine d'or.

Tout est là , documenté, et ça fonctionne du feu de dieu.

Bon, j’utilise plus vraiment Windows tous les jours, à part quand je veux faire des tests comme aujourd’hui mais je suis quand même encore traumatisé de ces moments horribles où mon PC refusait de démarrer, avec à l’époque, un écran bleu, qui s’enchaine sur une boucle de réparation automatique qui tourne en rond, et moi qui fait ma prière au Dieu de la Tech pour que ça reparte tout seul et que je ne flingue pas encore une journée de boulot.

Et bien Microsoft vient d’ajouter une fonctionnalité dans Windows 11 qui pourrait vous sauver la mise si vous avez la même phobie que moi. Ça s’appelle Quick Machine Recovery , et c’est un système de réparation automatique qui télécharge des correctifs directement depuis les serveurs de Microsoft.

Ainsi, quand votre Windows 11 refuse de booter, après plusieurs tentatives le système va automatiquement se connecter à Internet, envoyer des diagnostics à Microsoft, et télécharger un correctif spécifique pour votre problème. Tout ça sans que vous ayez à sortir une clé USB de récupération ou à appeler le support technique.

Quick Machine Recovery (qu’on va appeler QMR pour aller plus vite) fonctionne différemment selon votre édition de Windows. Sur Windows 11 Home, c’est activé par défaut alors que sur Windows 11 Pro et Enterprise, c’est désactivé par défaut et il faut donc le configurer manuellement.

Et il y a deux modes distincts dans l’outil. Le premier, c’est la réparation par le cloud (Cloud Remediation), c’est-à-dire que Windows va chercher des correctifs sur les serveurs Windows Update. Et le second, c’est la réparation automatique (Auto Remediation), c’est-à-dire que le système va tenter de se réparer tout seul plusieurs fois de suite sans vous demander votre avis.

Vous de votre côté, vous avez juste besoin de :

• Windows 11 version 24H2 ou supérieure
• Une connexion Internet (évidemment, sinon pas de cloud ^^)
• Un compte administrateur pour modifier les paramètres

Ça prend 2 minutes pour s’activer, et entre 5 à 10 minutes en cas de réparation réelle.

Bref, quand votre PC plante au démarrage, voici ce qui se passe en coulisses. Après plusieurs échecs de boot, Windows entre automatiquement dans l’environnement de récupération WinRE (Windows Recovery Environment), c’est-à-dire ce mode minimal de dépannage qui se lance avant le système Windows complet. Le système établit alors une connexion réseau, envoie les données de diagnostic à Microsoft (type d’erreur, fichiers concernés, configuration matérielle), et recherche une solution spécifique sur les serveurs.

Si Microsoft connaît déjà ce problème et dispose d’un correctif, le fix est téléchargé et appliqué automatiquement et le PC redémarre pépouze. Mais si ça ne marche pas du premier coup, le processus se répète jusqu’à la résolution ou jusqu’à ce que le système abandonne et vous propose les options de récupération manuelles classiques.

Le cas d’usage parfait, si je devais en trouver un c’est l’incident CrowdStrike de juillet 2024. Je ne sais pas si vous vous souvenez, mais une mise à jour défectueuse avait planté plus de 8 millions de PC Windows dans le monde. Les machines refusaient de booter et à l’époque si QMR avait existé, tous ces systèmes bloqués pendant 5 jours ou plus auraient été réparés en quelques minutes au lieu de nécessiter une intervention manuelle sur chaque machine.

Maintenant comment est ce qu’on active ça ?

Hé bien, ouvrez les Paramètres Windows avec la combinaison de touches Windows + I puis allez dans Système puis Récupération. Vous allez voir une section “Récupération machine rapide”.

Cliquez alors sur le bouton à côté de “Récupération machine rapide” pour l’activer. Le petit bouton passe au bleu, c’est bon, vous êtes un champion des nouvelles technologies \o.

Et voilà, c’est tout.

Sur ce coup-là, Microsoft a fait simple.

Maintenant si vous ne voyez pas cette option, c’est pas la peine de m’envoyer un email énervé. Vérifiez plutôt que vous êtes bien sur Windows 11 24H2 à minima. Tapez winver dans le menu Démarrer (ou appuyez sur Windows + R, tapez winver et validez) pour voir votre version exacte. Vous devriez voir “Version 24H2” ou supérieure.

Après par défaut, même avec la réparation par le cloud activée, Windows va vous demander une confirmation avant de tenter une réparation donc si vous voulez que le système se débrouille tout seul, vous pouvez aussi activer la réparation automatique.

Toujours dans Système > Récupération > Quick Machine Recovery, activez alors le bouton “Continuez la recherche si aucune solution n’est trouvée”.

Mais attention, une fois que cette option est activée, votre PC va tenter de se réparer seul sans vous consulter. C’est pratique si vous gérez plusieurs machines à distance notamment, mais ça peut être relou si vous ne vous y attendez pas. Le PC va redémarrer plusieurs fois de suite pendant qu’il cherche une solution.

Donc si vous hésitez, laissez cette option désactivée. La réparation seulement via le cloud suffit dans la plupart des cas.

Après QMR ne répare pas TOUS les problèmes du monde non plus… Si votre disque dur est HS, aucun correctif cloud ne va le ressusciter. Si votre RAM est défectueuse, c’est pareil. Et si votre femme et votre chien vous ont quitté, c’est pas non plus de son ressort. En fait, QMR cible uniquement les pannes logicielles : pilotes corrompus, fichiers système endommagés, conflits de mise à jour, registre cassé…etc

Gardez aussi en tête que QMR envoie des données de diagnostic à Microsoft donc si vous êtes dans un environnement où la confidentialité est critique (entreprise avec données sensibles, environnement réglementé…etc), vérifiez que votre politique de sécurité autorise ce genre de télémétrie avant d’activer la fonctionnalité.

Après si vous avez activé QMR et que votre PC continue de planter au boot malgré plusieurs tentatives de réparation, laissez le système essayer 3/4 fois et si après ça le problème persiste, Windows va normalement vous proposer les options avancées (Mode sans échec, Restauration système, Invite de commandes, c’est-à-dire la ligne de commande Windows).

Essayez alors le Mode sans échec, c’est-à-dire un mode de démarrage minimal qui charge uniquement les pilotes essentiels et si le système boote en mode sans échec, le problème vient probablement d’un pilote ou d’un logiciel installé récemment. Désinstallez alors toutes les dernières mises à jour ou pilotes ajoutés récemment.

Et si même le mode sans échec ne fonctionne pas, utilisez une clé USB de récupération Windows 11. Bootez dessus, allez dans Réparer l’ordinateur > Dépannage > Options avancées, et utilisez les outils en ligne de commande comme :

sfc /scannow (System File Checker, c’est-à-dire l’outil de vérification des fichiers système) pour réparer les fichiers système,

DISM /Online /Cleanup-Image /RestoreHealth (Deployment Image Servicing and Management, c’est-à-dire l’outil de maintenance de l’image Windows) pour réparer l’image Windows,

et chkdsk C: /f /r pour vérifier et réparer le disque.

Pour les admin sys qui gèrent un parc de machines, QMR peut également se configurer via Intune, c’est-à-dire l’outil de gestion Microsoft 365, ou les stratégies de groupe (Group Policy). La documentation Microsoft donne tous les détails pour un déploiement centralisé :

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CloudRemediationEnabled (valeur DWORD, c’est-à-dire un nombre entier 32 bits) = 1 pour activer la réparation cloud
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoRemediationEnabled (valeur DWORD) = 1 pour activer la réparation automatique

Attention, ces clés doivent être créées manuellement dans le registre si elles n’existent pas. Ensuite, vous devrez effectuer le petit redémarrage réglementaire après modification. Et faites bien une sauvegarde du registre avant toute modification (Fichier > Exporter dans regedit).

Voilà pour mon topo sur QMR. Sur le papier je trouve que c’est une excellente idée… Ça augmente bien le taux de réussite de récupération d’un PC et surtout, ça fait gagner du temps. Après en pratique, comme d’hab ça dépend de votre situation. En tout cas, ça ne mange pas de pain donc activez la.

Et quoi qu’il arrive, faites des sauvegardes régulières !

Bonne chance !

Source

Vous vous souvenez des débats enflammés sur les vaccins COVID et de ces théories complotistes de “turbo cancer” qui circulaient partout sur les réseaux sociaux ? Bon c’est un peu has been maintenant mais c’était cette fausse idée que les vaccins mRNA provoqueraient des cancers fulgurants…

Et bien accrochez-vous, parce que des chercheurs très sérieux viennent de découvrir EXACTEMENT l’inverse. Vous allez voir, c’est drôle !

Des oncologues de l’Université du Texas et de l’Université de Floride ont analysé les dossiers de plus de 1000 patients atteints de cancers du poumon ou de mélanomes avancés et ils ont remarqué un truc bizarre : les patients qui avaient reçu un vaccin mRNA contre la COVID dans les 100 jours suivant le début de leur immunothérapie vivaient beaucoup plus longtemps que les autres. Genre, 2 fois plus longtemps.

Concrètement, la survie médiane passe de 20 mois sans vaccin à 37 mois avec vaccin et au bout de 3 ans, 56% des patients vaccinés sont toujours en vie, contre seulement 31% chez les non-vaccinés.

Bon alors, comment c’est possible ? Hé bien pour comprendre, faut faire un détour rapide par l’immunothérapie. En effet, depuis une dizaine d’années, on traite certains cancers avec des médicaments qui ne ciblent pas la tumeur directement mais débloquent en réalité le système immunitaire.

Le truc, c’est que les cellules cancéreuses sont malignes (sans mauvais jeu de mots..) puisqu’elles utilisent une protéine appelée PD-L1 pour littéralement désactiver les lymphocytes T, les fameux soldats de notre système immunitaire. Les inhibiteurs de checkpoint comme le pembrolizumab ou le nivolumab empêchent alors cette désactivation et le système immunitaire peut enfin faire son boulot et attaquer la tumeur.

Sauf que ça ne marche pas sur tous les cancers. Il y a ce qu’on appelle les tumeurs “chaudes” et les tumeurs “froides”. Les chaudes ont été repérées par le système immunitaire et ont été infiltrées par des cellules immunitaires. Les froides, par contre, sont invisibles. Aucune cellule immunitaire autour, aucune réaction. Et pour ces tumeurs froides, l’immunothérapie classique ne sert à rien et c’est un cauchemar à combattre.

De leur côté, les vaccins mRNA COVID agissent comme une alarme incendie pour le système immunitaire. Quand vous recevez votre dose de Pfizer ou Moderna, votre corps produit un tsunami d’interféron de type I. C’est une molécule de signal qui met tout le système immunitaire en alerte rouge : Les cellules présentatrices d’antigènes se réveillent, les lymphocytes T se multiplient, et tout le monde passe en mode combat !

Et cette activation généralisée, elle ne se limite pas au virus COVID puisque le système immunitaire en profite pour scanner TOUT ce qui traîne, y compris les cellules cancéreuses qui jusque-là passaient inaperçues. Les tumeurs froides deviennent alors chaudes et se mettent à exprimer du PD-L1 pour tenter de se protéger. Et c’est justement à ce moment-là que les inhibiteurs de checkpoint entrent en jeu et bloquent cette défense.

Les chercheurs ont donc testé ça sur des modèles animaux pour comprendre le mécanisme exact et ont confirmé que le vaccin seul ne suffit pas. Il faut la combinaison vaccin mRNA + immunothérapie pour obtenir l’effet maximal. L’un réveille le système immunitaire, l’autre maintient l’attaque active contre la tumeur.

Le plus fou dans cette histoire, c’est que personne ne cherchait cet effet. Élias Sayour, l’un des chercheurs principaux à l’origine de cette découverte, bossait déjà sur des vaccins mRNA anti-cancer personnalisés depuis 2016 et avait remarqué que les molécules d’ARN messager pouvaient entraîner le système immunitaire même sans cibler des antigènes tumoraux spécifiques. Mais de là à imaginer que les vaccins COVID développés en urgence pour une pandémie auraient ce pouvoir contre le cancer, personne ne l’avait anticipé.

D’ailleurs, il y a eu quelques cas rapportés dans la littérature médicale de patients dont les tumeurs ont spontanément régressé après une vaccination COVID et à l’époque, tout le monde trouvait ça anecdotique… peut-être des coïncidences. Mais avec cette étude portant sur plus de 1000 patients et contrôlant 39 variables différentes (stade du cancer, traitements antérieurs, comorbidités, etc.), c’est difficile de parler de hasard.

Cinq fois plus de chances d’être en vie trois ans après le diagnostic, juste en ajoutant un vaccin qu’on a déjà sous la main et qui a été administré à des milliards de personnes, c’est pas rien.

Maintenant, avant de crier au miracle, quelques précisions importantes quand même. Cette étude est observationnelle, et ce n’est pas un essai clinique randomisé. Ça veut dire que les chercheurs ont analysé des données existantes, et n’ont pas assigné aléatoirement les patients à un groupe ou l’autre. Il pourrait donc y avoir des biais cachés. Par exemple, les patients qui ont choisi de se faire vacciner pendant leur traitement cancer sont peut-être aussi ceux qui suivent mieux leurs protocoles de soin en général ?

Mais les chercheurs ont anticipé cette critique et ont utilisé des techniques statistiques avancées pour éliminer un maximum de facteurs confondants et même avec ça, le signal reste fort. Assez fort en tout cas pour justifier de passer à l’étape d’un vrai essai clinique prospectif.

L’équipe lance donc un essai à grande échelle sur des patients atteints de cancer du poumon, avec 2 groupes : un qui reçoit l’immunothérapie standard, l’autre qui reçoit immunothérapie + vaccin mRNA COVID. Si les résultats confirment ce qu’ils ont observé, on pourrait alors voir les protocoles de traitement évoluer très rapidement.

Et contrairement aux vaccins anti-cancer personnalisés qui nécessitent d’analyser la tumeur de chaque patient pour créer un vaccin sur mesure (c’est cher et complexe…), les vaccins COVID eux sont déjà produits en masse, approuvés, dispo partout, et relativement peu chers.

On savait que non seulement ces vaccins COVID ne causaient pas de cancer mais découvrir qu’en plus ils pourraient bien devenir un outil standard pour TRAITER le cancer, c’est turbo-marrant je trouve… La science nous réserve toujours des surprises, et c’est pour ça qu’elle me passionne !

Si ça vous dit, l’étude a été publiée dans Nature, et vous pouvez la lire en intégralité ici si vous voulez rentrer dans les détails statistiques et biologiques.