See what you missed in Daily Tech Insider from April 13–17.
The post AI Upgrades, Security Breaches, and Industry Shifts Define This Week in Tech appeared first on TechRepublic.
60 Mo de source maps (ces fichiers qui permettent de remonter du code minifié à l'original) ont été oubliés dans un paquet npm. Et voilà comment Anthropic a involontairement balancé en public le code source complet de Claude Code, son outil à 2.5 milliards de dollars de revenus annuels.
Alors qu'est-ce qui s'est passé exactement ?
Hé bien hier, la version 2.1.88 du package @anthropic-ai/claude-code sur le registre npm embarquait un fichier .map de 59.8 Mo. Un truc normalement réservé au debug interne, sauf que ce fichier .map contenait les pointeurs vers les 1 900 fichiers TypeScript originaux, en clair. Chaofan Shou, un développeur chez Solayer Labs, a alors repéré la boulette et l'a partagée sur X. Le temps qu'Anthropic réagisse, le code était déjà mirroré partout sur GitHub, avec 41 500+ forks en quelques heures. Autant dire que le dentifrice ne rentrera pas dans le tube !
Pour ma part, j'avais un petit dépôt à moi assez ancien avec quelques trucs relatifs à Claude Code, qui n'avait rien à voir avec tout ça, qui s'est même retrouvé striké... Ils ratissent large avec leur DMCA donc.
Et là, c'est la fête pour les curieux comme moi parce que les entrailles de l'outil révèlent pas mal de surprises. Côté architecture, on découvre environ 40 outils internes avec gestion de permissions, un moteur de requêtes de 46 000 lignes de TypeScript, un système multi-agents capable de spawner des essaims de sous-tâches en parallèle, et un pont de communication entre le terminal et votre éditeur VS Code ou JetBrains. Le tout tourne sur Bun (pas Node.js ^^) avec Ink pour l'interface terminal. Par contre, pas de tests unitaires visibles dans le dump.
Côté mémoire, c'est plutôt bien pensé puisqu'au lieu de tout stocker bêtement dans la fenêtre de contexte du modèle, l'outil utilise un fichier texte MEMORY.md ultra-léger (genre 150 caractères par entrée) qui sert d'index de pointeurs. Les vraies données, elles, sont distribuées dans des fichiers thématiques chargés à la demande, et les transcripts bruts ne sont jamais relus entièrement, mais juste fouillés à la recherche d'identifiants précis. L'agent traite en fait sa propre mémoire comme un "hint" ce qui le force à vérifier toujours le vrai code avant d'agir. En gros, il a une mémoire sceptique, et pour moi c'est clairement le truc le plus intéressant du dump.
Y'a aussi un truc qui s'appelle KAIROS (mentionné 150 fois dans le code) qui est un genre de mode daemon autonome. En fait, pendant que vous allez chercher votre café, l'agent tourne en arrière-plan et fait ce qu'ils appellent autoDream : il consolide sa mémoire dans des fichiers JSON, vire les contradictions et transforme les observations vagues en données structurées. Comme ça, quand vous revenez devant votre écran, le contexte est nettoyé.
Et puis le code balance aussi la roadmap interne d'Anthropic (bon courage au service comm ^^). On y trouve les noms de code des modèles... Capybara pour un variant de Claude 4.6, Fennec pour Opus 4.6, et un mystérieux Numbat qui n'est pas encore sorti. D'ailleurs, les commentaires internes révèlent que Capybara v8 a un taux de fausses affirmations qui tourne autour de 30%, ce qui est une grosse régression par rapport aux 17% de la v4. Y'a même un "Undercover Mode" qui permet à l'agent de contribuer à des repos publics sans révéler d'infos internes (c'est sympa pour les projets open source).
Anthropic a confirmé la fuite : "C'était un problème de packaging lié à une erreur humaine, pas une faille de sécurité. Aucune donnée client n'a été exposée." Mouais, attention quand même, parce que le code est déjà partout et n'en repartira pas. Et même si aucun secret client n'a fuité, exposer l'architecture complète d'un agent IA à 2.5 milliards de revenus, c'est pas rien non plus.
Bon, et maintenant qu'est-ce qu'on peut en faire ? Bah pas mal de choses en fait.
Par exemple, le système de mémoire auto-correcteur est un pattern directement réutilisable pour vos propres agents IA. L'architecture "index léger + fichiers à la demande" résout élégamment le problème de la pollution de contexte qui fait halluciner les LLM sur les longues sessions. Les +40 outils internes permettent aussi de comprendre comment structurer un système de permissions granulaires dans un agent autonome . Et le concept KAIROS/autoDream, la consolidation mémoire pendant l'idle, c'est une idée qu'aucun outil open source n'implémente encore. Autant dire que les alternatives open source à Claude Code ou Codex vont monter en gamme dans les jours qui viennent. Et le code est déjà nettoyé, réécris en Rust et mis sur GitHub si vous voulez fouiller. Bon, pas sûr que le pattern autoDream soit simple à reimplémenter, mais le système de mémoire oui.
Je trouve ça assez marrant que le code proprio d'une boite qui a aspiré tout l'open source du monde voire plus, sans autorisation, pour le revendre sous la forme de temps machine / tokens, devienne lui aussi en quelque sorte "open source" sans qu'on leur demande leur avis ^^. La vie est bien faite.
Maintenant, pour les développeurs qui publient sur npm, la leçon est limpide : Vérifiez votre .npmignore et votre champ files dans package.json. Ou plutôt, lancez la commande npm pack --dry-run dans votre terminal avant chaque publish. Ça prend 2 secondes et ça vous montre exactement ce qui sera inclus dans le paquet. Ça aurait évité 60 Mo de secrets industriels qui partent en public.
Bref, un .npmignore bien configuré, ça coûte 0 euro. Alors qu'une fuite de propriété intellectuelle évaluée à 2.5 milliards... un peu plus !
La bibliothèque JavaScript Axios, téléchargée plus de 100 millions de fois par semaine, a été compromise. Un attaquant a détourné le compte du mainteneur principal pour y glisser un malware multiplateforme qui vise aussi bien macOS que Windows et Linux.
Tout est parti du compte npm de jasonsaayman, le mainteneur principal d'Axios. L'attaquant a réussi à prendre le contrôle du compte, a changé l'adresse mail vers un ProtonMail anonyme, et a publié deux versions malveillantes : axios 1.14.1 et axios 0.30.4.
Les deux ont été mises en ligne en l'espace de 39 minutes, et pas via le processus habituel. Au lieu de passer par GitHub Actions, le pipeline d'intégration continue du projet, les paquets ont été poussés directement avec la ligne de commande npm. Un détail qui aurait pu alerter plus tôt, mais qui est passé entre les mailles du filet pendant deux à trois heures avant que npm ne retire les versions concernées.
Le plus vicieux dans l'affaire, c'est la méthode. Plutôt que de modifier directement le code d'Axios, l'attaquant a ajouté une dépendance fantôme appelée plain-crypto-js. Elle n'est jamais importée dans le code source, son seul rôle est d'exécuter un script d'installation qui fonctionne comme un programme d'installation de malware.
Ce qui veut dire que dès que vous faites un npm install, le script contacte un serveur de commande en moins de deux secondes et télécharge un programme malveillant adapté à votre système : un daemon déguisé sur macOS, un script PowerShell sur Windows, une porte dérobée en Python sur Linux. Et une fois le malware déployé, le script se supprime, remplace son propre fichier de configuration par une version propre, et fait comme si de rien n'était. Même un npm list affiche alors un numéro de version différent pour brouiller les pistes.
StepSecurity et Socket.dev ont été les premiers à repérer la compromission. Selon Ashish Kurmi, CTO de StepSecurity, ce n'est pas du tout une attaque opportuniste. La dépendance malveillante avait été préparée 18 heures à l'avance, trois programmes malveillants différents étaient prêts pour trois systèmes d'exploitation, et les deux branches de publication ont été touchées en moins de 40 minutes.
Elastic a de son côté relevé que le binaire macOS présente des similitudes avec WAVESHAPER, une porte dérobée en C++ déjà documentée par Mandiant et attribué à un acteur nord-coréen identifié sous le nom UNC1069. Pour les chercheurs en sécurité, le message est clair : si vous avez installé axios 1.14.1 ou axios 0.30.4, considérez votre machine comme compromise. Il faut supprimer la dépendance, faire tourner les identifiants, et dans certains cas, réinstaller la machine.
Franchement, c'est le genre d'attaque qui fait froid dans le dos. Axios, c'est une brique de base pour à peu près tous les projets JavaScript qui font des appels réseau. Et là, en deux heures, un attaquant a réussi à transformer cette brique en porte d'entrée pour un cheval de Troie, y compris sur Mac.
Le plus déroutant, c'est que le système de publication npm permet encore de pousser un paquet manuellement sans que personne ne bronche. Bon par contre, il faut reconnaître que StepSecurity et Socket.dev ont fait du bon boulot en détectant le problème aussi vite.
Sans eux, la fenêtre d'exposition aurait pu être bien plus large, c'est faramineux quand on y pense. Et quand on sait que la piste nord-coréenne revient de plus en plus souvent dans ce genre d'opérations, on se dit que la sécurité de la chaîne logicielle mérite qu'on s'y intéresse de près.
Source : The Register
Un YouTubeur de la chaîne Usagi Electric vient d'installer un PDP-11 dans un bureau IKEA. Ce mini-ordinateur mythique de Digital Equipment Corporation, qui date des années 70, servait à piloter un spectromètre infrarouge en laboratoire. Plus de cinquante ans après sa fabrication, la machine tourne encore. Et c'est assez beau à voir.
Le PDP-11, c'est un gros morceau d'histoire informatique. Fabriqué par Digital Equipment Corporation à partir de 1970, ce mini-ordinateur 16 bits s'est vendu à environ 600 000 exemplaires dans le monde et a été décliné dans à peu près tous les formats possibles, du rack de laboratoire à la puce en passant par la station de bureau avec ses rangées de voyants clignotants.
C'est sur un PDP-11 que les premières versions diffusées d'Unix ont été développées au début des années 70, après un premier portage sur le PDP-7 qui l'a précédé. Et son architecture a influencé celle du Motorola 68000, et de façon plus indirecte celle du x86 d'Intel. Bref, sans cette machine, vos Mac et vos PC n'auraient pas tout à fait la même tête.
Dave, le bricoleur derrière la chaîne YouTube Usagi Electric, a récupéré ce PDP-11 qui servait de contrôleur pour un spectromètre infrarouge à transformée de Fourier dans un labo. La machine lui est arrivée en pièces détachées, le bureau d'origine n'ayant pas survécu aux décennies.
Après l'avoir remise en état de marche, Dave a mis des années avant de lui trouver un logement correct. C'est lors d'un réaménagement de son atelier qu'il a fini par construire un bureau sur mesure, à base de contreplaqué de récupération et de ferrures de surplus. Le spectromètre est posé sur la gauche, le PDP-11 est logé à l'intérieur. Niveau esthétique, on repassera, mais ça marche.
La machine embarque une unité de traitement vectoriel haute performance qui servait à l'analyse spectrale. Le processeur tourne à environ 60 °C au repos, ce qui a poussé Dave à installer deux ventilateurs 120V pour éviter que le tout ne surchauffe.
Autre compromis : l'alimentation linéaire d'origine, bien trop volumineuse pour rentrer dans le bureau, a été remplacée par des alimentations à découpage modernes. C'est le seul écart avec le matériel d'époque, tout le reste de la configuration est d'origine.
Le PDP-11 a plus de 50 ans, il tourne encore, et il est logé dans un meuble qui vaut probablement moins cher que le moindre de ses composants, et j'ai un peu de mal à imaginer mon MacBook dans le même état en 2076.
Source : Hackaday
Study the soft skills employers praise, like communication, resilience on the job, and even interview prep.
The post This $20 Career Prep Bundle Teaches Something Others Neglect appeared first on TechRepublic.
This five-course bundle covers Mendix, ChatGPT integration, and more to help you build digital products fast.
The post Build Apps & Automate Workflows Without Writing a Single Line of Code appeared first on TechRepublic.
Check out 7 of the best open-source kanban boards, comparing their features, integrations, strengths, weaknesses and unique characteristics.
The post 7 Best Open Source Kanban Boards in 2026 appeared first on TechRepublic.
La société Aikido Security a découvert une campagne de malware baptisée Glassworm qui utilise des caractères Unicode invisibles pour dissimuler du code malveillant.
Plus de 150 dépôts GitHub, des paquets npm et des extensions VS Code sont touchés, et le malware utilise la blockchain Solana comme serveur de commande. L'objectif : voler les identifiants de portefeuilles crypto.
Le principe est assez fourbe. Les attaquants utilisent des caractères Unicode dits PUA (Private Use Area), qui ne s'affichent pas du tout à l'écran, mais qui contiennent quand même des valeurs exploitables.
Dit plus simplement, chaque caractère invisible correspond à un point de code que le décodeur extrait, reconstruit en payload, puis exécute via eval(). Le code malveillant est là, sous vos yeux, mais vous ne le voyez pas.
Aikido Security a découvert que cette campagne avait eu lieu entre le 3 et le 9 mars derniers. Plus de 150 dépôts GitHub ont été compromis, mais aussi des paquets npm comme @aifabrix/miso-client et @iflow-mcp/watercrawl-watercrawl-mcp.
Si on regarde du côté de VS Code, l'extension quartz-markdown-editor et 72 extensions sur Open VSX ont été touchées. Les attaquants ont aussi utilisé des LLM pour générer des commits de couverture parfaitement crédibles, et passer ainsi sous les radars des reviewers.
Ce qui rend Glassworm encore plus fourbe, c'est son infrastructure. Au lieu d'utiliser un serveur classique facile à bloquer, le malware récupère ses instructions de commande sur la blockchain Solana. Ce qui veut dire qu'il n'y a pas de serveur central à couper : les instructions sont inscrites dans la blockchain, accessibles à tous et quasi impossibles à supprimer.
L'objectif final est le vol de données liées aux portefeuilles crypto. Le malware cible 49 extensions de navigateur, dont MetaMask, Coinbase Wallet et Phantom. Il récupère les identifiants stockés localement et les exfiltre vers les serveurs des attaquants.
Côté attaquants, c'est du beau travail. Cacher du code dans des caractères que personne ne voit, utiliser une blockchain comme canal de commande et se servir d'IA pour maquiller les commits, c'est bien ficelé.
Le problème, c'est que ça expose un angle mort assez gênant dans la confiance qu'on accorde à l'open source : on installe des paquets et des extensions sans forcément lire chaque ligne de code, et quand le code malveillant est carrément invisible, ça devient compliqué à détecter.
Sources : Aikido.dev , Socket.dev
Google says Chrome will launch for ARM64 Linux in Q2 2026, bringing native support, Chrome sync, and easier installs on Nvidia DGX Spark.
The post Chrome Is Finally Coming to ARM64 Linux Devices in 2026 appeared first on TechRepublic.
Gaël Musquet, mon copain hacker, me parlait déjà de tracking TPMS en 2020. Du coup, quand je vois des chercheurs publier un document de recherche en 2026 pour "découvrir" qu'on peut pister une voiture via ses capteurs de pneus, bon, comment dire... je suis pas tombé de ma chaise.
Mais faut reconnaître que l'étude en question va quand même plus loin qu'une discussion entre 2 stands au FIC. En effet, une équipe d'IMDEA Networks et d'armasuisse (le labo de défense suisse, rien que ça) a posé 5 récepteurs SDR dans une ville pendant 10 semaines. Coût du matos, environ 100 dollars par capteur, qui est en gros un Raspberry Pi 4 avec un dongle RTL-SDR à 25 balles. Et grâce à cela, ils ont capté plus de 6 MILLIONS de messages, provenant de plus de 20 000 véhicules !
un Raspberry Pi 4 avec un dongle RTL-SDR - Source
Car oui, vous ne le savez peut-être pas, mais les capteurs de pression des pneus (TPMS pour les intimes) émettent régulièrement dès que le véhicule roule, sur 433 MHz en Europe. Et ces signaux contiennent un identifiant unique... qui bien sûr est en clair ^^. Pas de chiffrement, pas d'authentification, QUE DALLE. Donc avec un logiciel open source comme rtl_433 , ça devient vite facile de capter tout ça à plusieurs dizaines de mètres à la ronde.
En croisant les identifiants captés par plusieurs récepteurs, les chercheurs ont pu reconstituer les trajets des véhicules, identifier leurs horaires de travail, détecter les jours de télétravail et même estimer les variations de charge du véhicule (et potentiellement déduire la présence de passagers, même si c'est encore approximatif). Le tout sans caméra, sans GPS, et sans accès au réseau du véhicule !
Il suffirait de trouver l'identifiant d'une voiture précise pour déclencher par exemple automatiquement un lâcher de confettis en papier parfaitement inoffensifs à son passage, si vous voyez ce que je veux dire.
Alors attention, tous les véhicules ne sont pas logés à la même enseigne. Les TPMS dits "directs" (dTPMS), qu'on trouve souvent chez Toyota, Peugeot, Citroën, Hyundai ou Mercedes, émettent ces fameux signaux radio captables. Alors que les systèmes "indirects" (iTPMS), utilisés par la plupart des modèles Volkswagen, Audi ou Skoda, se basent sur les capteurs ABS et n'émettent rien par radio. Bref, si vous roulez en Golf de base, y'a de bonnes chances que vous soyez tranquilles sur ce coup-là même si certaines versions sportives ou haut de gamme (Golf R, GTI selon les marchés) peuvent embarquer du dTPMS.
Et le pire dans tout ça c'est que la réglementation UN R155 sur la cybersécurité automobile n'impose pas explicitement le chiffrement des TPMS. En gros, les constructeurs ne sont pas forcés de sécuriser ces transmissions. Pirelli et Bosch bossent bien sur un "Cyber Tyre" en Bluetooth Low Energy, mais c'est réservé au haut de gamme et c'est pas demain que ça arrivera sur votre Clio.
Donc côté protection, soyons honnêtes, y'a pas grand-chose à faire côté utilisateur. Vous ne pouvez pas désactiver vos TPMS (c'est obligatoire depuis 2014 pour les voitures neuves en Europe), et les capteurs ne proposent aucune option de chiffrement. Sauf si vous roulez en véhicule vintage d'avant 2014, c'est open bar. Une des parades serait que les constructeurs implémentent un système de rotation d'identifiants, un peu comme le fait déjà le Bluetooth avec les adresses MAC aléatoires, mais pour l'instant on en est loin.
Pour ceux qui veulent creuser le sujet, j'avais fait une rencontre avec Gaël Musquet il y a quelques années, où il expliquait déjà comment reprendre le contrôle de nos véhicules connectés. Et si vous voulez comprendre comment on hacke une voiture de manière plus générale, c'est un rabbit hole sans fond !
Bref, la prochaine fois que vous gonflez vos pneus... dites-leur bonjour de ma part.
Des faux entretiens d'embauche avec des repos GitHub vérolés pour piéger les devs Next.js... on croit rêver et pourtant, Microsoft vient de documenter cette campagne ciblée et vous allez voir, c'est violent.
En fait, un groupe de hackers se fait actuellement passer pour des recruteurs et contacte des développeurs JavaScript en leur proposant un entretien technique. Le deal c'est de cloner un repo GitHub pour un "test de compétences"... sauf que le repo en question est truffé de malware.
Microsoft a ainsi identifié plusieurs vecteurs d'infection planqués dans ces repos. Le premier, c'est via les fichiers de configuration VS Code, c'est à dire ceux dans le dossier .vscode/, qui peuvent exécuter du code dès que vous cliquez "Trust" à l'ouverture du projet (ce que la plupart des devs font sans réfléchir).
Le deuxième passe par un npm run dev piégé, la commande de dev classique qui lance le malware en même temps que le serveur (car oui, c'est aussi simple que ça...).
Et le troisième est encore plus sournois puisqu'il s'agit d'un module backend qui décode une URL depuis le fichier .env, exfiltre toutes les variables d'environnement (tokens cloud, clés API...), puis exécute du JavaScript reçu en retour. Sympaaaaaa....
Du coup, le malware est plutôt bien pensé. C'est un loader JavaScript qui se télécharge depuis l'infrastructure Vercel (comme ça, ça a l'air légitime), et qui s'exécute entièrement en mémoire, et spawne un processus Node.js séparé pour ne pas éveiller les soupçons. Une fois installé, il se connecte alors à un serveur C2 qui change d'identifiant régulièrement, histoire de compliquer la détection. Et là, ça se met à exfiltrer tout ce qui traîne... code source, secrets, credentials cloud... bref, tout ce qui a de la valeur.
Alors, comment on se protège de ce genre de menace quand on est un simple dev ? Hé bien déjà, vérifiez le profil du "recruteur". Pas de site d'entreprise vérifiable, des messages génériques... c'est un joli red flag !
Ensuite, avant de lancer quoi que ce soit, lisez le package.json à la recherche de scripts suspects dans preinstall, postinstall ou prepare, inspectez le dossier .vscode/ (surtout tasks.json), et faites un npm install --ignore-scripts pour bloquer l'exécution automatique des hooks. Lancez aussi un
safe-npm
et un npm audit une fois les dépendances installées. Et côté VS Code, désactivez l'exécution auto des tasks avec "task.allowAutomaticTasks": "off" dans vos settings.
Ça me rappelle les campagnes type Shai-Hulud et les packages npm vérolés , mais avec un vecteur social bien plus élaboré. Le piège, c'est qu'on ne balance plus des packages malveillants dans le registry en espérant qu'un dev les installe par erreur... non, non, on cible directement les développeurs, un par un, en exploitant ce stress de la recherche d'emploi comme le ferait un conseiller France Travail quand vous arrivez en fin de droits chomdu...
Et si vous êtes en pleine recherche d'emploi, attention, ne lancez JAMAIS un projet d'un inconnu dans votre environnement principal. Utilisez une VM, un container Docker (docker run --rm -it -v $(pwd):/app node:20 bash et c'est réglé), ou au minimum un compte utilisateur séparé sans accès à vos tokens et clés SSH. On n'est jamais trop prudent !
Maintenant vous savez... si un recruteur vous envoie un repo GitHub sans profil LinkedIn ni site d'entreprise véritable et vérifiable... c'est que c'est pas un recruteur. Voilà voilà...
Vous avez un PC qui tourne encore parfaitement sous Windows 10 mais Microsoft vous dit qu’il est comme vous, c’est à dire “trop vieux” pour Windows 11 ?
Et bien, bienvenue dans le club des 240 millions de machines destinées à la casse. Woohoo ! D’ailleurs selon cette étude , si on empilait tous ces PC les uns sur les autres, la pile ferait 600 kilomètres de plus que le diamètre de la Lune. Sympa pour la planète.
Bref, face à ce gâchis monumental programmé pour le 14 octobre de cette année, date de fin du support de Windows 10 , un développeur connu sous le pseudo Belim (builtbybel sur GitHub) a créé FlyOOBE (prononcez “fly-oh-bee”, comme une petite abeille qui buzz). C’est un outil qui fait exactement ce que Microsoft ne veut pas à savoir installer Windows 11 sur n’importe quel PC, même sans TPM 2.0, sans Secure Boot, et avec un processeur de 2010. Et en bonus, il vire tous les bloatwares au passage.
FlyOOBE, c’est l’évolution de Bloatynosy devenu Flyby11, dont je vous ai déjà parlé en long, en large et en travers. C’était un simple patcher qui avait déjà permis à des milliers d’utilisateurs de contourner les restrictions matérielles de Windows 11. Mais la version 2.2 qui vient de sortir va beaucoup plus loin car au lieu de simplement bypasser les vérifications de compatibilité, FlyOOBE vous permet de personnaliser complètement l’expérience d’install et de post-install de Windows 11.
Comme ça, fini les écrans de configuration à rallonge, les applications préinstallées dont tout le monde se fout, et les paramètres de confidentialité douteux activés par défaut.
Mais avant de rentrer dans le détail, pour comprendre pourquoi FlyOOBE existe, il faut revenir sur les exigences matérielles de Windows 11. Microsoft demande actuellement pour Windows 11, un processeur de 8e génération Intel ou 2e génération AMD Ryzen minimum, 4 Go de RAM (8 Go pour une expérience correcte), le TPM 2.0, l’UEFI avec Secure Boot activé, et j’en passe.
Vous l’avez déjà compris, ce sont des exigences qui excluent automatiquement des millions de PC parfaitement fonctionnels.
Bien sûr, tout comme Retailleau ou Darmanin, Microsoft n’a qu’un seul mot à la bouche pour justifier ce massacre informatique : La sécurité. Hé oui car le TPM 2.0 est censé protéger vos données sensibles, et le Secure Boot quant à lui empêche le démarrage de malwares au niveau du bootloader.
Noble intention, j’en conviens, sauf que dans les faits, ça ressemble surtout à de l’obsolescence programmée ++ imaginée pour booster les ventes de nouveaux PC. Plusieurs personnes parlent même d’une stratégie pour augmenter les ventes de Copilot+ PC , ces nouvelles machines avec NPU intégré capable de faire tourner de l’IA en local.
Alors oui, Microsoft propose bien des Extended Security Updates (ESU) pour 30 dollars par an après octobre 2025, mais c’est juste repousser le problème. Et pour les entreprises, ces tarifs grimpent à 61 $ la première année, 122 $ la deuxième, et 244 $ la troisième. Ils abusent pas un peu là quand même ? Donc autant dire que pour beaucoup de boites, ces vieux PC ce sera direction la déchetterie.
Du coup, le principe de FlyOOBE est très malin, je trouve car au lieu de modifier Windows 11 directement, il utilise une astuce découverte par la communauté il y a quelques temps. Il lance en fait l’installation en mode “Windows Server”, qui n’a pas les mêmes restrictions que la version client. Une fois l’installation terminée, vous vous retrouvez alors avec un Windows 11 parfaitement fonctionnel, mais rassurez vous, pas une version serveur.
Selon le développeur de FlyOOBE, la méthode utilise exactement le même contournement que celui documenté par Microsoft pour les environnements virtuels sauf qu’au lieu de l’appliquer à une VM, FlyOOBE l’applique à votre vraie machine. Et il a fait un boulot de dingue car tout le processus est automatisé… L’outil télécharge l’ISO de Windows 11 via le script Fido (développé par Pete Batard de Rufus ), applique les patchs nécessaires, et lance l’installation.
Pour ceux qui dormaient depuis 25 ans, OOBE signifie “Out-Of-Box Experience”. C’est cette série d’écrans à la con que vous voyez quand vous démarrez Windows pour la première fois : Création du compte, paramètres de confidentialité, connexion au Wi-Fi, tout ça. Microsoft en profite pour vous faire créer un compte Microsoft (obligatoire sur Windows 11 Home), activer la télémétrie, installer Office 365 en trial, et autres joyeusetés.
FlyOOBE vous permet donc de court-circuiter tout ça. Plus besoin de compte Microsoft, vous pouvez créer un compte local directement. Les paramètres de confidentialité sont configurés pour protéger vos données par défaut. Et surtout, l’outil peut automatiquement désinstaller toute une liste de bloatwares (traduction : logiciels à la con) comme Candy Crush, TikTok, les jeux Xbox que vous n’avez jamais demandés, Cortana, et même Teams si vous voulez.
Cette version 2.2 marque une vraie évolution puisque le développeur (qui avoue être “en guerre contre les choix de performance de Microsoft”) a bossé comme un fou pour transformer FlyOOBE en boite à outils pour Windows. Grâce à lui, on a maintenant une interface modernisée avec un mode compact élégant, des boutons qui passent en mode icônes seules quand ils sont actifs (comme les apps natives Windows 11, sauf que là ça marche bien). Le démarrage est plus rapide, la consommation mémoire réduite… Bref, c’est pas comme le menu Démarrer de Windows 11 ou l’Explorateur qui sont des monstres XAML/WinUI bourrés de bloat.
Le développeur a d’ailleurs un petit coup de gueule savoureux dans ses notes de version : “Peut-être qu’un jour Microsoft corrigera les vrais problèmes de performance au lieu d’ajouter un énième bouton Copilot lumineux. Honnêtement, ça fait mal de voir un OS qu’on a aimé être lentement ruiné par les mauvaises priorités.” On sent le mec qui en a ras-le-bol, et je le comprends…
FlyOOBE est donc passé d’un simple assistant OOBE à un véritable hub de contrôle Windows. Le moteur d’extensions a été complètement retravaillé, avec un système de catégories et de filtres. Certaines pages OOBE sont devenues de véritables mini-apps autonomes, comme Dumputer ou CoTweaker (des anciens outils standalone du même dev qui vivent maintenant leur meilleure vie à l’intérieur de FlyOOBE). Il y a aussi un nouveau tableau de bord Home qui catégorise et recommande intelligemment les options, un système de navigation avec historique complet (comme dans un navigateur), et un moniteur d’activité natif qui log les actions système en temps réel.
L’App Installer intégré propose aussi d’installer automatiquement des logiciels vraiment utiles tels que Firefox, VLC, 7-Zip, Notepad++, et autres essentiels. Pratique donc pour avoir une machine propre et fonctionnelle dès le départ, sans passer des heures à tout configurer manuellement.
Maintenant faut que je sois clair avec vous, utiliser FlyOOBE, c’est contourner les mesures de sécurité mises en place par Microsoft. Le développeur lui-même précise que les mises à jour futures ne sont pas garanties sur les machines “non supportées”. Donc si Microsoft décide de bloquer complètement les PC sans TPM 2.0 dans une future mise à jour, vous pourriez vous retrouver coincé.
Il y a aussi le cas du POPCNT, une instruction CPU que FlyOOBE ne peut pas contourner donc si votre processeur ne la supporte pas (généralement les CPU d’avant 2010), Windows 11 ne fonctionnera tout simplement pas, même avec FlyOOBE. L’outil intègre d’ailleurs un “compatibility checker” pour vérifier ce point avant l’installation.
Notez qu’ en février dernier, Microsoft Defender a commencé à flaguer Flyby11 comme “Win32/Patcher” , le classant comme application potentiellement indésirable. Le développeur a alors contacté Microsoft et la version actuelle n’est plus détectée, mais ça montre que Microsoft n’apprécie pas vraiment ce genre d’outils.
Maintenant pour utiliser FlyOOBE, pas besoin d’un tuto à rallonge car c’est ultra simple. Vous téléchargez l’exécutable depuis les releases GitHub , vous le lancez, et vous avez quatre options :
Si vous choisissez l’upgrade, FlyOOBE téléchargera automatiquement l’ISO de Windows 11, appliquera les patchs, et lancera le processus. Comptez alors environ 30 minutes à 1 heure selon votre machine et votre connexion internet. Rassurez-vous, l’outil gardera vos fichiers et tous vos programmes car c’est une vraie mise à niveau, et pas une réinstallation. L’Autopilot intégré a d’ailleurs été amélioré pour vous guider de manière encore plus autonome pendant l’installation.
Petite note pour ceux qui cherchaient le script ConsumerESU (pour les mises à jour de sécurité étendues) : il a temporairement disparu de GitHub, probablement un faux positif qui a fait suspendre le repo, comme c’est déjà arrivé au profil de Belim lui-même. Les joies de la modération automatique…
Maintenant, pour ceux qui veulent aller plus loin, il y a même des builds “Nightly” mis à jour régulièrement avec les dernières fonctionnalités expérimentales. L’ancien Flyby11 3.0 “Classic” existe toujours mais est désormais marqué comme deprecated, donc le dev recommande de passer à FlyOOBE. Notez aussi que FlyOOBE n’est pas le seul outil pour contourner les restrictions de Windows 11. Rufus permet aussi de créer une clé USB d’installation sans les checks TPM/Secure Boot . Il y a aussi les méthodes manuelles avec des modifications du registre pendant l’installation. Ou carrément passer à Linux, comme le suggèrent certains barbus qui veulent entrainer encore plus de monde dans leur galère… Roooh, ça va, je rigole !
Mais FlyOOBE c’est mon préféré parce qu’il a plusieurs avantages. D’abord, c’est tout-en-un : bypass les restrictions, personnalisation OOBE, et debloating. Ensuite, c’est portable (moins de 400 Ko !), donc pas besoin d’installation et surtout, c’est maintenu activement avec des mises à jour régulières pour s’adapter aux changements de Microsoft. Le dev mentionne d’ailleurs son autre projet CrapFixer , une sorte de CCleaner 2.0 de l’époque dorée de Windows XP, si vous êtes nostalgiques.
Alors Microsoft va-t-il bloquer définitivement FlyOOBE et les outils similaires ? C’est possible car ils ont déjà resserré la vis plusieurs fois, mais les devs trouvent toujours de nouvelles méthodes de contournement. Et c’est encore pire pour activer Windows…
Bref, si vous avez un PC sous Windows 10 qui ne passe pas les vérifications de compatibilité Windows 11, donnez une chance à FlyOOBE. Au pire, vous perdez une heure et au mieux, vous donnez une seconde vie à votre machine et vous évitez de participer à la montagne de déchets électroniques que ça va provoquer.
Et ça, c’est déjà une petite victoire.
Article publié initialement le 4 septembre 2025. Mis à jour le 1 décembre 2025. Merci à Lorenper.
Google a YouTube Music ave un budget illimité, des équipes entières de devs, des serveurs partout dans le monde… et pourtant une autre app Android open source fait mieux le job ! Cette app c’est SimpMusic et vous allez l’adorer !
Car oui, YouTube Music officiel , c’est bridé à mort. Y’a pas lecture possible en tâche de fond sans l’option premium, y’a des pubs et des trackers partout et pas de canvas comme sur Spotify (canvas, ce sont les petites vidéos qui tournent en boucle quand vous lisez une chanson). Bref, c’est pas ouf.
Du coup, le dev de SimpMusic a eu pour idée de balancer tout ce que YouTube Music officiel refuse de vous donner : De la lecture sans pub ET en tâche de fond (vous pouvez sortir de l’app et la musique continuera à jouer), de quoi vous balader dans les nouveaux podcasts et les tubes du moment et autres playlists et y’a même du cache offline et la possibilité de vous lancer dans la lecture de paroles synchronisées avec la musique. SimpMusic offre aussi un SponsorBlock intégré, et des fonctionnalités comme le retour des dislike, le support Android Auto, des suggestions et traduction IA, et un timer qui coupe tout au bout d’un moment si vous vous endormez en musique… Bref, que des bonnes idées !
Et tout cela est codé en Kotlin et utilise les API cachées de YouTube Music. C’est donc du bon gros reverse engineering pur et simple. D’où le côté beta de l’app qui peut parfois se comporter bizarrement. Mais si ça vous dit de tester, vous pouvez choper ça sur F-Droid, IzzyOnDroid, ou directement sur les releases GitHub. Évidemment, vous ne la trouverez pas sur le Play Store puisque Google n’aime pas ce genre d’app. Ils ont même banni Spotube de leur store officiel.
Quoiqu’il en soit, si un jour Google peut décider de couper les API “cachées” ou de bannir l’app, ça sera très facile pour eux. Comme d’hab, c’est un jeu du chat et de la souris entre les devs et le géant de la tech.
Merci à Lorenper de m’avoir signalé ce projet et chapeau à maxrave-dev pour avoir osé coder ce que Google refuse de donner.
Je sais pas si vous avez vu ça hier mais Google DeepMind vient de sortir CodeMender , un agent IA qui repère et corrige automatiquement les failles de sécurité dans votre code. L’outil analyse les vulnérabilités, génère les patches, vérifie qu’ils cassent rien, et soumet le tout aux mainteneurs de projets open source.
D’après leurs premiers retours, en 6 mois, CodeMender a déjà upstreamé 72 correctifs de sécurité sur des projets qui comptent jusqu’à 4,5 millions de lignes de code.
Pour bien comprendre comment ça fonctionne, CodeMender fonctionne sur deux modes. Il y a le mode réactif qui patche instantanément les nouvelles vulnérabilités découvertes, avec de l’analyse de programme avancée et un système multi-agents qui évalue la correction sous tous les angles. Et le mode proactif qui réécrit le code existant pour utiliser des structures de données et des APIs plus sécurisées, en appliquant par exemple des annotations de compilateur comme -fbounds-safety qui ajoutent des vérifications de limites automatiques.
L’outil s’appuie sur Gemini Deep Think , l’un des modèles de raisonnement avancé de Google et CodeMender combine plusieurs techniques d’analyse : static analysis pour repérer les patterns suspects dans le code source, dynamic analysis pour observer le comportement à l’exécution, fuzzing pour balancer des inputs aléatoires et voir ce qui casse, differential testing pour comparer le code modifié avec l’original, et des solveurs SMT pour vérifier formellement certaines propriétés du code.
Le truc intéressant avec CodeMender, c’est le process de validation. L’agent utilise ce qu’ils appellent un “LLM judge” qui vérifie que le patch proposé ne casse pas les fonctionnalités existantes. Le système compare l’original et la version modifiée, détecte les différences, et valide que le changement corrige bien la vulnérabilité sans y introduire des régressions. Et si un problème est détecté, CodeMender s’auto-corrige et retente sa chance.
Par exemple, CodeMender a bossé sur la libwebp , une bibliothèque de compression d’images utilisée un peu partout. L’IA ainsi après analyse, appliqué des annotations -fbounds-safety sur certaines parties du code et quand ces annotations sont présentes, le compilateur ajoute alors automatiquement des vérifications de limites qui empêchent un attaquant d’exploiter un buffer overflow ou underflow pour exécuter du code arbitraire. Ce n’est donc pas juste un patch ponctuel, mais une vraie protection structurelle contre toute une classe de vulnérabilités.
Les 72 patches déjà soumis couvrent des projets open source variés, certains vraiment massifs avec plusieurs millions de lignes et les patches générés par CodeMender passent par une review humaine avant d’être définitivement validés. Pour le moment, les chercheurs de DeepMind contactent un à un les mainteneurs des projets pour leur proposer les correctifs mais l’objectif final c’est de sortir CodeMender sous la forme d’un outil utilisable par tous les dev.
Le process de validation de CodeMender vérifie quatre critères sur chaque patch : il doit corriger la cause racine de la vulnérabilité, être fonctionnellement correct, ne provoquer aucune régression dans les tests existants, et respecter les conventions de style du projet. C’est donc pas juste du patching bourrin, car l’outil essaie de générer du code qui s’intègre proprement dans la base existante.
Ce qui différencie CodeMender d’autres outils de static analysis classiques, c’est surtout l’autonomie complète. Des outils comme Coverity ou SonarQube sont très cools car ils détectent les vulnérabilités et vous disent où elles sont, mais c’est à vous de les corriger. Alors que CodeMender va jusqu’au bout : détection, génération du patch, validation, et soumission. Le système gère aussi la complexité de très gros projets, ce qui est pas donné à tous les outils d’analyse.
Bon, évidemment, pour l’instant Google commence prudemment mais comme je vous le disais, l’idée à terme, c’est que CodeMender tourne en continu sur vos repos, détecte les nouvelles CVE qui matchent avec votre code, génère les patches, et vous les propose directement dans vos PR. Un peu comme un Dependabot mais pour les failles de sécu…
J’ai hâte que ça sorte en public !
Vous vous rappelez ce gamin chauve dans Matrix qui plie des cuillères avec son esprit ? Il balance OKLM au petit Neo que “La cuillère n’existe pas”…
Eh bien, les chercheurs de Google DeepMind viennent de créer une IA qui applique exactement ce principe à Minecraft. Dreamer 4 (c’est son nom) n’a jamais touché au jeu, jamais cliqué, jamais bougé, jamais miné… (comme moi quoi…). Mais par contre, elle a regardé d’autres jouer, s’est construit son propre Minecraft mental, et s’est entraînée dans son imagination. Du coup, cela fait d’elle la première IA à atteindre les diamants en mode offline pur. Plus de 20 000 actions maîtrisées sans jamais poser un doigt (virtuel) sur le clavier.
“Minecraft n’existe pas” pourrait dire le petit chauve…
Bref, ce que Danijar Hafner et son équipe ont réussi à faire, c’est de créer ce qu’on appelle un “world model”… une simulation mentale du jeu. L’IA observe des vidéos de joueurs, comprend les règles implicites de l’univers, puis s’entraîne dans cette version simulée qu’elle s’est construite dans sa “tête”. Aucune interaction avec le vrai jeu. Juste de l’imagination pure.
Et le truc surprenant (et c’est pour ça que je vous en parle), c’est que ça marche mieux qu’avec les approches traditionnelles.
De base, les IA classiques apprennent par essai-erreur dans un environnement réel. Elles testent des milliers d’actions, se plantent, recommencent, ajustent. C’est long, c’est coûteux en calcul, et dans certains domaines comme la robotique, ça peut carrément casser du matériel.
Dreamer 4 contourne donc tout ça en apprenant dans sa simulation interne, un peu comme un sportif de haut niveau quand il visualise mentalement sa performance avant de la réaliser.
Au-delà du jeu, faut imaginer à termes des robots qui s’entraînent dans leur tête avant de manipuler des objets fragiles par exemple. Ou des NPCs dans les jeux vidéo qui apprennent de nouvelles stratégies sans grinder pendant des heures. Même des simulations médicales qui testent des traitements sans expérimentation animale ou humaine… Tout ça et plus encore devient possible avec cette approche.
Et pour info, j’ai demandé à mes enfants et ils m’ont bien confirmé que les diamants dans Minecraft, c’est pas de la tarte. Il faut enchaîner plus de 20 000 actions souris-clavier dans le bon ordre… couper du bois, fabriquer des outils, miner des ressources spécifiques, éviter les dangers, descendre dans les profondeurs. C’est l’un des objectifs les plus complexes du jeu, et Dreamer 4 y arrive sans jamais avoir interagi avec l’environnement réel.
Voilà, si ça vous intéresse, sachez que tout est détaillé dans ce document sur arXiv si vous voulez creuser. Mais l’idée principale est simple : Et si l’imagination était plus efficace que la mise pratique ? On dirait que c’est une sorte de loi de l’attraction appliquée aux machines…
Bref, pendant qu’on se demande si l’IA va nous piquer nos jobs, elle, elle apprend à faire des trucs sans y toucher…
I’ve been meaning to look at exercise equipment that I can add to my living space in order to finally, officially start my fitness journey. However what’s in the market, or rather, what’s within my budget, is either too big or too bulky. I’m still on the lookout for something that’s minimalist but also has what I need to encourage me to actually start exercising inside my house.
Jupiter X, even though it remains a concept design for now, seems to be turning a few heads. Created by Alexandr Zhukouski, Jupiter X is a modern minimalistic exercise bike envisioned to combine elegance, durability, and practicality for home or office use. With its sleek, compact form and intuitive features, this concept takes a fresh approach to how we think about workout devices and interior aesthetics.
Designer Name: Alexandr Zhukouski
The hallmark of Jupiter X is its sophisticated yet understated appearance. The frame boasts smooth, unbroken lines and a compact silhouette, making it a natural fit for a variety of modern interiors. Unlike many bulky exercise bikes that dominate a room, Jupiter X is designed to blend seamlessly into its surroundings. Whether placed in a living room, a home gym, or even a stylish office, this bike adds a touch of refinement rather than visual clutter.
Durability is also at the forefront of Jupiter X’s concept. The proposed use of high-quality materials ensures both longevity and a premium feel. The sturdy construction is intended to withstand daily use, while the minimalist design keeps maintenance straightforward and hassle-free. This attention to material choice not only supports the bike’s functionality but also enhances its visual appeal, promising a piece of equipment that looks as good as it performs.
Functionality is thoughtfully integrated into every aspect of the Jupiter X design. Intuitive controls are a key feature, allowing users to adjust resistance and settings without interrupting their workout flow. The clean interface means there are no unnecessary distractions, just smooth operation and an effective exercise experience. This user-friendly approach makes Jupiter X suitable for everyone, from fitness beginners to seasoned enthusiasts.
Compactness is another strength of this concept. With space often at a premium in modern homes and offices, the small footprint of Jupiter X makes it an attractive choice for those who want to stay fit without sacrificing valuable real estate. Its lightweight profile suggests easy repositioning, so users can move it as needed to accommodate changing layouts or routines.
Although Jupiter X is not yet available for purchase, its concept is most likely attractive to design fans and fitness lovers alike. If brought to market, Jupiter X could set a new standard for exercise equipment that merges high performance with minimalist elegance. As home-based and flexible fitness solutions continue to rise in popularity, concepts like Jupiter X highlight the growing demand for products that are both functional and aesthetically pleasing.
The post Concept exercise bike brings minimalist fitness to your space first appeared on Yanko Design.
Ça va, pas trop chaud ? Alors tant mieux, parce que je vais vous faire avoir une petite suée tellement ce truc est cool ! Ça s’appelle Memflix et c’est une bibliothèque JavaScript qui transforme vos documents texte en… fichiers vidéo MP4 ! Oui, vous avez bien lu. Et le plus fou, c’est que vous pouvez ensuite faire des recherches sémantiques ultra-rapides dans ces vidéos.
L’idée est tellement simple qu’elle en devient géniale car au lieu de stocker vos données dans une base de données traditionnelle, Memflix encode tout dans des QR codes qui sont ensuite intégrés frame par frame dans une vidéo. Résultat ? Un stockage 10 fois plus efficace qu’une base de données classique et des recherches qui prennent moins d’une seconde, même sur des millions de chunks de texte.
Connexion
