Un YouTubeur a peut-être conçu la serrure la plus dure à crocheter qui existe
La chaîne YouTube Works By Design vient de sortir un projet qui fait pas mal jaser chez les passionnés de crochetage : une serrure dont le cylindre se met littéralement en position fermée après que la clé ait été tournée, rendant l'accès aux goupilles quasi impossible pour n'importe quel individu qui tente de la manipuler sans la bonne clé.
Le principe est assez simple. Quand vous glissez la clé dans la serrure, elle se fixe grâce à un système de magnétisme commutable. C'est le genre de mécanisme qu'on trouve sur les bases magnétiques utilisées en usinage.
Une fois tournée, la clé bascule l'ensemble dans une configuration où le canal d'entrée est masqué. Du coup, même un crocheteur expérimenté avec ses tensors et ses picks classiques se retrouve face à une paroi complètement aveugle. Works By Design a aussi ajouté un système anti-bumping pour couper court à une éventuelle attaque par percussion.
Avant d'arriver à la version définitive, le créateur a imprimé plusieurs prototypes en 3D pour valider le mécanisme, puis il a fini par usiner la version finale en métal en CNC. Un serrurier à qui il avait envoyé le modèle CAO en amont n'avait pas réussi à identifier de vulnérabilité évidente. Premier bon signe.
Sauf que voilà, quand les serrures tests ont été distribuées à la communauté Lock Pickers United (qui rassemble une bonne partie des meilleurs crocheteurs amateurs du monde), certains ont pointé une faille potentielle : l'attaque par impressioning, où l'attaquant utilise une clé vierge pour marquer progressivement l'empreinte des goupilles.
Côté solidité, plusieurs commentateurs doutent de la fiabilité du système magnétique sur le long terme, surtout avec l'usure et la poussière qui viendraient s'y loger.
La serrure reste donc en phase d'évaluation à grande échelle. Historiquement, les innovations en serrurerie finissent quasi toutes par tomber, c'est une question de temps avant que quelqu'un trouve l'angle d'attaque. Mais l'approche de cacher physiquement le canal de la clé plutôt que de multiplier les goupilles est assez originale pour mériter qu'on la suive.
C'est clairement le genre de projet qui ne révolutionnera pas forcément le marché là maintenant tout de suite, mais qui peut faire un peu avancer le schmilblick côté conception mécanique et sécurité.
Source : Hackaday
LinuxServer - Les images Docker que votre homelab mérite
Monter un Jellyfin dans Docker, ça prend 3 minutes. Mais retrouver dans 18 mois une image encore maintenue, c'est plus le même kung fu ! En effet, beaucoup d'images populaires sur Docker Hub ont déjà pris 2 ou 3 ans de retard sur leur app upstream, et quand c'est un mainteneur solo qui a lâché l'affaire à cause d'un burn out, vous vous retrouvez rapidement avec un putain de Dockerfile cassé à débugger un dimanche à 23h. Chouette programme de vie hein ?
LinuxServer.io , c'est le collectif qui résout ce problème. 17 bénévoles répartis sur différents fuseaux horaires, maintenant 313 dépôts publics sur GitHub, et des images Docker standardisées qui alimentent un paquet de homelabs à travers le monde. Plex, Jellyfin, Sonarr, Radarr, WireGuard, SWAG, Home Assistant, Nextcloud... leur catalogue couvre à peu près tout ce qu'un self-hoster peut demander.
Ce qu'ils proposent c'est une véritable standardisation puisque la plupart de leurs images partagent la même base (Alpine ou Ubuntu le plus souvent, parfois Debian ou Arch selon le cas), utilisent
s6-overlay
(v3 désormais) pour gérer les processus sur Linux, et exposent le même système PUID/PGID avec un volume /config pour la persistance.
Si vous avez déjà galéré avec des fichiers créés en root dans vos volumes Docker, vous voyez de quoi je cause. Là, 2 variables d'environnement et c'est plié :
environment:
- PUID=1000 # votre UID, récupéré via id $user
- PGID=1000 # votre GID, pareil
Faites moi confiance, vous allez voir, le jour où vous avez 15 conteneurs qui tournent en simultannée, c'est tout simplement un vrai soulagement.
Un id $user dans le terminal pour récupérer vos identifiants réels, vous les collez dans le docker-compose, et vos fichiers appartiennent alors bien à votre propre utilisateur. Terminées les galères de permissions à rattraper à coups de sudo chown.
Côté registry, leurs images se récupèrent via ce genre d'URL lscr.io/linuxserver/jellyfin (par exemple), qui redirige vers GHCR avec Docker Hub en miroir.
Côté architectures, leurs images ciblent x86_64 et arm64 en standard, avec du RISC-V 64-bit sur les baseimages Alpine récentes. Ils ont tiré un trait sur l'ARM 32-bit en 2024 donc les Pi 2 ou Pi 3 en mode 32-bit ne sont plus éligibles. Certaines images très spécifiques (Chrome, par exemple) restent amd64-only, mais la grande majorité du catalogue couvre les deux archis principales sans problème.
Et dans leur catalogue, y'a des pépites. Je pense par exemple à leur SWAG qui remplace carrément toute la tambouille Nginx + Certbot + fail2ban que vous vous tapez à la main. C'est super pratique. Après Pangolin reste une alternative intéressante si vous voulez proxy, tunnels et auth intégrés dans le même stack... mais SWAG est un classique éprouvé.
Leur WireGuard est balèze aussi, parfait pour monter un VPN maison en quelques lignes de YAML. Et si vous voulez mettre vos conteneurs en veille entre deux usages, ContainerNursery se marie bien avec.
Faut savoir que pour réussir à maintenir tout ce bordel, ils ont entièrement automatisé leur pipeline de build. Ainsi, quand une app upstream ou ses dépendances changent, l'image est reconstruite et poussée vers GHCR et Docker Hub dans la foulée. Comme ça les mises à jour de la base OS tombent chaque semaine sur leurs 313 repos, et tout ça sans qu'aucun mainteneur n'ait à cliquer sur un bouton. Bien fichu non ?
Du coup, un petit docker-compose pull && docker-compose up -d de temps en temps et votre stack reste à jour sans stress.
Après vous voulez pinner une version précise en prod, c'est possible mais faudra aller checker les tags dispos sur Docker Hub avant de déployer, sinon un pull un peu trop agressif cassera tout.
Le modèle économique est 100% bénévole et l'équipe est financée par des dons via Open Collective, avec notamment DigitalOcean comme partenaire infrastructure principal, des supporters institutionnels genre Pine64, QNAP, Synology ou Unraid, et une cinquantaine de sponsors individuels actifs sur GitHub Sponsors.
Pas d'investisseur à rassurer donc ni de version Pro à la con qui planque de bonnes fonctionnalités derrière un paywall (je déteste les paywalls !!). Ce sont des passionnés qui construisent tout simplement pour le plaisir de bien faire et qui partagent tout en open source.
Voilà, si vous en avez marre des images Docker qui lâchent au bout de 18 mois, ça vaut clairement le coup d'aller faire un tour chez LinuxServer.io . Des gens bons (vous l'avez ?) qui font du bon boulot depuis des années ! Merci à eux et merci à Maxime pour le tuyau !
« C'est le comportement attendu » : faille critique et com' désastreuse, la triple faute de Lovable
Lovable, l'étoile montante du vibe coding (vous savez, ces plateformes où vous décrivez une app en langage naturel et une IA vous génère le code), traverse un sale moment.
Un chercheur en sécurité, répondant au doux pseudo de @weezerOSINT, a découvert une faille BOLA (Broken Object Level Authorization) qui permettait à n'importe qui de lire les identifiants, les historiques de chat et le code source de tous les projets créés avant novembre 2025 sur la plateforme.
Bienveillant, le chercheur a envoyé son rapport via HackerOne début mars. Le rapport a été fermé, au motif que les partenaires HackerOne estimaient que l'accès aux chats de projets publics était en fait "le comportement attendu".
Sauf qu'il ne s'agissait pas de projets publics mais de données privées, c'est ballot. Six mois de données se sont retrouvées exposées pendant que le ticket dormait.
Quand l'info est remontée publiquement, la société Lovable a d'abord sorti un premier communiqué. Voilà la version officielle : "c'est du comportement intentionnel" et "notre documentation manquait de clarté". Oui alors bof comme explication...
La gronde est donc montée, en particulier du côté des boîtes comme Uber, Zendesk ou Deutsche Telekom qui utilisent Lovable et se sont retrouvées à devoir expliquer à leurs équipes sécurité ce que faisait leur code source sur une plateforme, à cause de contrôles d'accès défaillants.
Il y a donc eu un second communiqué, avec un rétropédalage complet. Lovable reconnaît désormais que le premier post "n'adressait pas correctement notre erreur" et pointe désormais HackerOne comme responsable du fait que la faille n'ait pas été corrigée plus tôt...
On est donc là sur une stratégie de com qui consiste à balancer sous le bus son propre prestataire de bug bounty, alors que HackerOne n'est que le canal de réception des rapports.
Le vrai sujet dans tout ça, c'est qu'une plateforme qui propose de générer du code à la volée pour des clients enterprise aurait dû avoir des contrôles d'autorisation de base depuis le premier jour. Le vibe coding est une très belle promesse commerciale, mais les boîtes qui hébergent les projets générés doivent gérer la sécurité comme les vrais hébergeurs cloud.
Ce genre d'incident rappelle que la vitesse de génération ne remplace pas les fondamentaux... Bref, on est là sur une triple faute : vulnérabilité de base, gestion du rapport cassée, com de crise désastreuse.
Source : The Register
Codex a rooté une TV Samsung tout seul - Faut s'y préparer
Une IA a rooté une télé Samsung tournant sous KantS2, la plateforme logicielle d'un ancien modèle de la marque. C'est Codex, le modèle de code d'OpenAI, qui a trouvé un driver laissé avec des droits d'écriture sur le firmware, mappé la mémoire physique, et est passé root en quelques étapes. Les chercheurs de califio lui ont juste fourni un accès shell et le code source du firmware. À partir de là, c'est Codex qui a enchaîné la chaîne d'exploitation tout seul.
Et ce qui est marquant dans cette histoire, je trouve, c'est pas tellement la faille mais le fait qu'un driver laissé en accès libre sur un firmware embarqué des années 2018-2020, ça se trouve à la pelle. Heureusement, Samsung a patché cette TV-là.
Ce qui est super fort, c'est que Codex a fait de l'énumération de surface d'attaque, a lu le code source, a testé ses hypothèses sur l'appareil en live, a pondu un PoC en 2 secondes, puis l'a exploité. 5 petites étapes que des chercheurs humains mettent typiquement des semaines à enchaîner.
Et Codex n'est pas un cas isolé puisque Anthropic a annoncé que son modèle Claude Mythos a trouvé des milliers de vulnérabilités sur Windows, macOS, Linux et les gros navigateurs, dont une partie en critique. De son côté, AISLE a sorti les douze vulnérabilités critiques patchées dans OpenSSL fin janvier de cette année, trouvées également par son système IA. Trend Micro de son côté fait tourner ÆSIR et revendique 21 CVEs sur NVIDIA, Tencent et MLflow depuis mi-2025. Bref, on a basculé dans autre chose niveau cybersec.
Du coup, la question qui me gratte, c'est pas "est-ce que l'IA peut trouver des failles". Pour ça, on connait la réponse. Non, c'est plutôt : Mais qui va tenir le putain de rythme côté défense ?. Parce que les fabricants, eux, patchent toujours à la vitesse d'un humain qui lit un rapport, teste, valide, et pousse quand ils ne sont pas en congés, alors que pendant ce temps, un système IA bien configuré peut passer au scanner le firmware d'un objet connecté en boucle, sans se fatiguer et sans pause café jusqu'à ce qu'il le déboite.
Côté utilisateur, honnêtement, y'a pas grand-chose à faire. La faille Samsung est corrigée par une mise à jour, encore faut-il avoir branché la TV au réseau et accepté les updates. Et pour une TV achetée il y a cinq ans et qu'on rallume uniquement pour Netflix le soir, c'est loin d'être garanti. Le bon réflexe, c'est donc de vérifier les mises à jour sur tout ce qui a un firmware et qui traîne en bout de course. Routeurs, caméras IP, domotique, et tous ces vieux trucs qu'on a oublié de patcher depuis trois ans.
En tout cas, je vous le dis direct, le sujet va revenir encore et encore, vous allez voir... Parce que si une IA de ce niveau peut trouver une escalade root sur une TV avec juste un shell et du code source, elle peut s'attaquer à pas mal d'autres appareils connectés qui partagent les mêmes mauvaises habitudes de permissions. Le hack de TV , en 2012, c'était un passe-temps de chercheur alors qu'en 2026, c'est devenu industrialisable.
Les IA accélèrent vraiment la découverte de 0-days, et l'écart avec les équipes humaines se creuse fortement. Donc si vous avez du matos connecté chez vous, un petit audit ce weekend, ça ne mangera pas de pain.
Source : Califio
L'Internet Archive met 758 CD-ROM de démos PC Gamer à disposition du public
Si vous étiez abonné à un magazine de jeux PC dans les années 90 et 2000, vous vous souvenez forcément des CD fournis avec chaque numéro de votre petit journal.
Démos jouables de jeux en cours de dev, mods, patchs, bonus, cartes supplémentaires pour les Doom et autres Quake de l'époque : les cover discs étaient un peu la seule façon de tester un jeu avant achat quand le téléchargement à 56k ne permettait pas grand-chose.
L'Internet Archive vient d'intégrer à sa collection 758 des disques du magazine PC Gamer, soit environ 1,2 To de contenu. La préservation a été orchestrée par Jason Scott (déjà à l'origine de pas mal de sauvetages numériques sur le site) avec une flopée de contributeurs bénévoles.
Chaque CD est dispo en image complète, téléchargeable directement depuis archive.org, sans compte ni inscription. Vous pouvez aussi les lancer dans un émulateur DOS ou Windows vintage si vous voulez l'expérience d'époque.
Dans le lot, il y a quelques pépites. Le disque Quake-O-Rama d'octobre 1997 contient une pelletée de maps Quake et surtout le premier speedrun démo de Quake Done Quick, document historique pour qui s'intéresse à l'histoire du competitive gaming.
Un autre disque de mars 2008 contient un épisode complet de la série Sam & Max de Telltale et une bande-annonce de Duke Nukem Forever.
Au-delà du plaisir de nostalgie, cette collection a une vraie valeur archéologique. Pas mal de ces démos contiennent des versions de jeux qui n'ont jamais été finis, des builds beta qui n'ont pas circulé ailleurs, des mods dont les auteurs ont depuis longtemps laissé leurs sites web mourir.
Bref, de la matière qu'on ne retrouverait nulle part sans ce boulot de numérisation. Jason Scott fait ça depuis plus de vingt ans sur l'Internet Archive, et c'est exactement le genre de travail que personne d'autre ne fait.
Si vous voulez farfouiller, la collection est dispo sur archive.org sous le nom " PC Gamer Demo Disc Collection ". Prévoyez un peu d'espace disque. Et surtout du temps. 758 CD-ROM, ça fait un sacré paquet d'heures à redécouvrir.
Une piqûre de rappel bienvenue sur le fait que les magazines papier étaient, quand même, un sacré vecteur de diffusion culturelle.
Source et visuel : Techspot
Test de cet accessoire qui va étendre l’autonomie de vos AirTags jusqu’à 10 ans !
Prolonger la durée de vie d'un AirTag de quelques mois à plusieurs années, c'est la promesse du boîtier DuHeSin vendu autour de 20 euros sur Amazon. L'accessoire remplace la CR2032 d'origine par deux piles AA classiques, ce qui multiplie l'autonomie par 14 selon le fabricant. De quoi passer d'environ un an d'usage à plus d'une décennie.
Le principe est direct : vous dévissez le couvercle métallique de l'AirTag, vous placez la puce dans le logement dédié, vous insérez les deux piles AA dans le boîtier, et vous refermez l'ensemble avec la clé Allen de 4 mm fournie. Deux minutes. Le tout est en ABS noir, annoncé étanche.
Le fabricant mise aussi sur le côté modulaire avec quatre usages possibles dans la boîte. Vous pouvez suspendre le boîtier à un porte-clés, l'aimanter sur une surface métallique grâce à l'aimant intégré, le fixer avec une bande adhésive ou simplement le ranger tel quel dans un sac. De quoi suivre une voiture, un vélo, une moto, une valise ou un sac photo sans devoir remplacer la pile tous les six mois. C'est surtout pour ces cas de figure que l'objet prend son sens, pour les AirTag qu'on planque dans un véhicule, une remorque ou un équipement qu'on ne veut pas démonter tous les ans.
L'intérêt est évident : ne plus avoir à aller chercher votre AirTag au fond du garage ou dans une remorque difficile d'accès juste pour changer une pile régulièrement. Pour qui laisse un AirTag dans un bateau ou une moto remisée tout l'hiver, c'est un con calcul.
Côté étanchéité, le constructeur parle d'imperméabilité sans préciser de norme IP, donc à tester en conditions réelles avant de le balancer sous la pluie trois jours de suite. La note Amazon tourne autour de 4,5 sur 5 avec une centaine d'avis, mais bien sûr personne n'a encore testé le produit sur 10 ans ! Il va falloir donc tester nous même en condition les amis, ha ha.
Bref, c'est un accessoire quand même bien pensé pour les AirTag qu'on planque et qu'on oublie. J'en ai mis un dans ma voiture, bien planqué, et on va dire que je peux l'oublier maintenant ! Disponible ici sur Amazon , et par ici pour les AirTags !
DroneAware Node - Détecter les drones avec un Raspberry Pi
Il a zoné au-dessus de votre jardin durant 3 minutes la semaine dernière. Vous l'avez entendu, vous avez levé la tête, mais trop tard ! Encore un putain de drone. Mais lequel ? Et surtout, qui le pilotait ?
Alors voilà un projet qui tente de répondre à ces questions pour le prix d'un week-end entre potes ! DroneAware Node , c'est une station de détection de drones à bricoler soi-même à base de Raspberry Pi. Il vous faut un Pi, 2 dongles USB, une microSD, et vous avez un truc qui écoute les signaux Remote ID autour de chez vous. Son créateur, DroneAwareDan, annonce une portée allant jusqu'à 8 km, mais en conditions idéales, au-dessus de l'eau et avec de grosses antennes. Dans la vraie vie, tablez plutôt sur 1 à 2 km selon le bruit radio du quartier et la qualité des antennes.
Le principe est assez malin. La FAA a imposé le standard Remote ID aux opérateurs américains à partir de septembre 2023 (les constructeurs devaient être prêts un an plus tôt). Et l'EASA a suivi côté européen avec une obligation au 1er janvier 2024. Concrètement, la plupart des drones grand public (au-dessus de 250 g ou classés C1 à C3 en Europe) doivent obligatoirement émettre en continu une sorte de plaque d'immatriculation radio qui balance l'ID de l'appareil, sa position et généralement un point de décollage. Et DroneAware capte ces signaux en Bluetooth Low Energy et en WiFi 2,4 GHz sans rien émettre lui-même, donc du listening purement passif.
Je vois que vous kiffez alors je continue... ^^
Côté matos, faut donc prévoir comme je vous le disais un Raspberry Pi (1 Go de RAM suffit, 2 Go recommandés), un dongle Bluetooth USB un peu costaud (du genre le Sena UD100 avec son chipset CSR qui fait bien le taf), un dongle WiFi qui supporte le mode moniteur en dual-band 2,4 et 5 GHz (comme l'Alfa AWUS036ACM qui coche toutes les cases), une microSD de 16 Go et un chargeur 5V/3A. Les détails exacts des antennes resteront à votre bon vouloir, parce que les "massive antennas" montrées sur les photos du projet font une grosse différence sur la réception. Par exemple une antenne omnidirectionnelle 9 dBi gagne facilement un kilomètre de portée sur install normale.
Concrètement, on flashe d'abord une distrib Raspberry Pi OS Lite sur la microSD, ensuite on branche les deux dongles, et après on lance le script d'install qui configure les interfaces Bluetooth et WiFi en mode moniteur. Et hop, ça tourne. Vos détections remontent alors sur droneaware.io , une plateforme collaborative qui agrège les données des nodes pour former une carte temps réel. Plus il y a de stations, mieux le maillage couvre la zone.
Sauf que... et là c'est le bémol, certains drones plus anciens n'émettent rien du tout tant que leur constructeur n'aura pas poussé une mise à jour Remote ID. Donc votre voisin avec son vieux Mavic Pro de 2016 qui vient vous mater en slip peut très bien rester invisible (à moins qu'il ait collé dessus un module Remote ID... ça coûte dans les 100 balles, et ça rend un drone ancien détectable mais qui fait ça ???). Et si vous partez sur une clé WiFi monobande 2,4 GHz seulement, vous raterez les drones modernes qui émettent en WiFi 5 GHz, raison pour laquelle un adaptateur dual-band évite cet angle mort.
Je trouve que l'approche est assez cool car on n'émet rien, on écoute juste ce que les drones sont déjà obligés de gueuler en clair sur les ondes, et on remet un peu de visibilité du côté du citoyen. Pas mal, non ? D'ailleurs, si vous aimez ce genre de bidouille RF sur Raspberry Pi, j'avais déjà couvert un système de vidéo-surveillance DIY et une caméra de chasse sur Pi qui jouent dans le même registre.
Bref, le code est sur GitHub, et le réseau commence à se densifier. À tester si vous êtes curieux de savoir ce qui survole votre terrain !
Source : Hackster
ONCE - La plateforme auto-hébergée open-source de 37signals
Payer 15 euros par mois pour un chat d'équipe du genre de Slack, 20 pour un wiki pro, 10 pour un kanban... Et au bout d'un an, vous avez filé l'équivalent d'un MacBook d'occasion à des SaaS qui vivent sur votre dos. C'est ce constat qui a poussé 37signals à ouvrir ONCE.
Pour ceux qui rompichent fort depuis des années, 37signals c'est la boîte derrière Basecamp et HEY, avec Jason Fried comme CEO et David Heinemeier Hansson (DHH, le créateur de Ruby on Rails) comme CTO.
Depuis 2023, ils rament contre l'abonnement à vie façon Microsoft 365, et vendent certains de leurs outils en paiement unique façon Photoshop version boîte physique. Leur modèle commercial n'a pas vraiment décollé, alors le 16 mars dernier, DHH a publié un billet "ONCE Again" pour annoncer le pivot : Leurs apps passent dorénavant en open-source (sous des licences variables, j'y reviens) et 37signals sort une plateforme commune pour simplifier l'auto-hébergement.
Cette plateforme, c'est donc ONCE , officiellement lancée le 17 avril dernier. Il s'agit d'un binaire unique écrit en Go, sous licence MIT, qui transforme n'importe quelle machine Linux ou macOS en serveur d'applications Docker auto-hébergées. VPS, Raspberry Pi, vieux laptop qui traîne au grenier, votre MacBook Pro... tout y passe du moment qu'il y a Docker dessus.
Cela dit, si vous comptiez bourrer un vieux Pi 3 avec quatre apps en même temps, faudra pas s'étonner quand même que ça rame.
L'installation tient sur une ligne :
curl https://get.once.com | sh
Le script détecte votre plateforme, installe Docker s'il est absent, colle le binaire au bon endroit et lance une interface TUI qui vous demandera alors quelle application vous voulez installer en premier. Et si vous préférez scripter le truc, le paramètre ONCE_INTERACTIVE=false fera le taf sans poser de questions.
Côté apps intégrées, trois outils 37signals sont livrés d'office. Campfire d'abord, qui est l'outil de chat d'équipe historique de Basecamp, passé en open-source le 21 août dernier. Writebook ensuite, pour publier des ebooks ou de la documentation interne. Et Fizzy, un kanban plus récent, sous une licence maison baptisée "O'Saasy" qui interdit de faire concurrence en mode SaaS mais laisse tout le reste ouvert. 3 bricoles simples à installer chez vous, comme ça vous esquivez Slack, Notion et Trello.
Et si vous voulez installer vos propres apps Docker, c'est possible mais sous condition qu'elles respectent quatre règles :
- tourner dans un container
- servir du HTTP sur le port 80
- exposer un endpoint
/uppour le healthcheck - et stocker leurs données persistantes dans
/storage.
Attention, si votre user n'est pas dans le groupe docker, faudra lancer chaque commande once avec sudo devant, comme c'est marqué dans le README.
ONCE montera alors automatiquement un volume là-dedans et l'incluera dans les backups. Y'a aussi des hooks optionnels comme /hooks/pre-backup pour préparer une copie safe de vos données (genre une base SQLite qu'il vaut mieux ne pas copier à chaud) et /hooks/post-restore pour le cleanup après restauration.
Sous le capot, l'architecture s'appuie sur Kamal Proxy, un autre outil maison 37signals qui gère le routage HTTP et le switch de versions en zero-downtime.
Un détail qui va en sauver plus d'un au passage : si vous êtes derrière Cloudflare Proxy, pensez à passer le mode SSL en "Strict (full)" avant de vous lancer. Si vous loupez ce point, vous allez vous taper des redirect loops incompréhensibles avant de capter d'où ça vient.
Alors évidemment, ONCE reste encore trèèès jeune... Windows n'est pas supporté, et la liste d'applications tierces compatibles est encore limitée. Face à Dokploy qui joue dans la même cour, ONCE mise sur la simplicité radicale (un binaire, un TUI, trois apps fournies) plutôt que sur la polyvalence maximale. Pour un utilisateur solo ou une petite team qui veut juste rapatrier 2 ou 3 outils en interne et faire des économies, c'est franchement pas mal. Mais pour un setup Kubernetes d'entreprise avec 40 services, passez votre chemin, c'est pas le bon outil. OpenCloud sera sans doute plus taillé pour du self-hosting type suite collaborative.
Mais bon, voilà, si vous cherchiez à rapatrier vos outils sur votre machine sans vous taper un cursus DevOps, ONCE mérite qu'on le garde à l'œil. Reste maintenant à voir combien d'apps tierces vont jouer le jeu.
Source : dev.37signals.com
UGV Beast - Robot chenillé tout-terrain pour Raspberry Pi 4 et 5
Et si vous pouviez lâcher un petit char d'assaut bardé d'IA dans votre jardin pour aller cartographier les monticules des taupes ? Hé bien bonne nouvelle puisque ça va être possible grâce à Waveshare qui vient de sortir le UGV Beast , un robot mobile à chenilles propulsé par Raspberry Pi 4 ou 5 qui promet de tenir la route là où les robots à roues s'enlisent connement.
L'engin pèse 2 kilos et des poussières (2,35 kg avec la caméra pan-tilt), soit à peu près le poids d'un gros chat. Il mesure 232 × 197 mm, soit la taille d'une boîte à chaussures, et avance à 0,35 m/s en vitesse de pointe... soit 1,26 km/h. Autant dire une marche de grand-père avec un genou en moins. C'est pas une Formule 1 donc si vous cherchez un robot qui va faire des courses de vitesse, passez votre chemin. Mais vu qu'il peut tourner sur lui même comme mon tracteur tondeuse, grâce à ses deux chenilles de 40 mm, il passe partout où un robot à roulettes viendrait se vautrer bêtement.
Sous le capot, même philosophie que le RaspRover dont je vous parlais déjà , mais en plus costaud. D'un côté y'a le Raspberry Pi qui gère l'IA haut niveau (vision, stratégie, interface web), et de l'autre un ESP32 qui s'occupe des moteurs et des capteurs en temps réel. Du coup, chaque ordre est précis parce que personne ne court après deux lièvres à la fois.
Côté perception, on retrouve une caméra grand angle 5 MP à 160° de champ de vision, un IMU 9 axes pour la stabilisation, et des connecteurs pour brancher un lidar (USB ou UART), un micro stéréo et un ampli audio. Bref, y'a de quoi bidouiller.
Si vous prenez la version pan-tilt, le servomoteur balance 30 kg par cm de couple, tourne à 360° en horizontal plus 120° en vertical, avec une LED haute luminosité pour filmer dans le noir. Moi je verrais bien ça en caméra mobile de surveillance dans mon garage, ou en robot qui suit mon chat sans le stresser (enfin, en théorie... parce qu'avec un chat, y'a jamais de garantie).
Le truc qui fait la différence, c'est surtout que le UGV Beast carbure à ROS2 Humble sur Raspberry Pi OS Bookworm, avec OpenCV et MediaPipe préinstallés. Reconnaissance de couleurs, détection de visages, contrôle par gestes, suivi de lignes, le tout en Python via JupyterLab pour apprendre sans prise de tête.
Le pilotage passe ensuite par une appli web Flask avec streaming WebRTC basse latence, donc vous pilotez depuis un navigateur (smartphone, tablette, PC) sans installer d'appli dédiée. L'alimentation se fait sur trois batteries avec module UPS intégré et même un petit capteur pour surveiller la tension.
Le châssis est en alu 2 mm, une suspension en inox, et le GPIO 40 broches reste facilement accessible pour la bidouille. Vous pouvez même lui coller un module 4G LTE ou 5G pour le piloter depuis l'autre bout du monde. Sauf que, à 1,26 km/h, il faudra être patient... Et évidemment, si y'a des marches dans votre terrain, y'aura pas de miracle... le UGV Beast les passera pas.
Niveau tarifs, comptez environ 265 dollars pour le châssis seul sur la boutique Waveshare, 500 euros pour le kit complet avec caméra et Raspberry Pi 4, et jusqu'à 1200 € pour la version Jetson Orin Nano 4GB si vous voulez taper dans le haut du panier. Sur AliExpress ou Amazon, les prix grimpent un peu (370 à 900 dollars selon la config) mais la livraison est plus rapide. Perso, à ce prix-là je préfère carrément la version avec caméra, parce que le châssis nu sans vision, ça sert pas à grand-chose je trouve.
Le Wiki officiel explique pas à pas comment monter l'engin, flasher l'OS et coder vos propres comportements. Bref, c'est un bon gros projet sur lequel vous mettre si vous aimez bidouiller et que vous avez un peu de temps libre.
Reste à voir si votre chat appréciera le nouveau colocataire.
Source : CNX Software
Flow Music - L'IA musicale de Google débarque avec Lyria 3
Ça y est les amis, comme à Fraggle Rock, Google entre enfin dans la danse de la musique IA avec Flow Music . Son service vient de sortir en freemium, et c'est la réponse officielle de Mountain View à Suno et Udio . Et derrière le volant, on retrouve Lyria 3, le modèle de DeepMind spécialisé dans la génération musicale.
Une fois sur le site, c'est du classique. Vous tapez un prompt du genre "lofi beat pour vibe coder la nuit", ensuite vous cliquez sur le bouton, et pouf quelques secondes après, l'IA vous pond un morceau complet avec vocaux dynamiques et arrangement d'une qualité foooollllle ! Et celui-ci peut aller jusqu'à 3 minutes en passant par le modèle Lyria 3 Pro. Après, rien d'inédit côté concept, car y'a déjà Suno depuis 2023 et Udio depuis 2024 qui font ça. Sauf que Google a empilé pas mal de features pour se démarquer et pas des moindres, vous allez voir !
D'abord leurs machin baptisé Spaces, c'est le truc qui m'a fait lever un premier sourcil. En fait, au lieu de taper un simple prompt, vous pouvez vibe-coder votre propre outil : un clavier virtuel, un mini-jeu musical, un DAW maison. Vous décrivez ce que vous voulez, puis l'IA génère l'interface, et ensuite vous jouez avec. Sur la homepage, ils montrent par exemple un piano miniature jouable à la souris, genre prototype fait en moins de 10 minutes. En fait l'idée, c'est que chacun se bricole son interface. Suno et Udio ont chacun leur panoplie d'outils plus avancés (mode studio, édition timeline, inpainting), mais l'approche Spaces, clairement, personne d'autre ne la propose pour l'instant !
Autre truc pratique, l'articulation avec Veo, le modèle vidéo maison de Google. En gros, Veo génère directement image et audio de son côté, et Lyria 3 sert de moteur musical dédié quand vous préférez gérer séparément votre bande-son. Pratique pour les créateurs YouTube qui veulent produire vite sans sortir leur caméra. D'ailleurs, Google Vids (l'éditeur vidéo de Workspace) intègre Lyria 3 pour la musique et Veo pour la vidéo, donc les deux univers se parlent déjà.
Côté features plus traditionnelles, vous avez le remix, les effets audio, la séparation des stems pour isoler les pistes, et des crédits journaliers pour la formule gratuite histoire de vous amuser. L'outil apprend aussi votre style au fil des usages, genre playlist Spotify mais en version génération (bonjour la bulle algorithmique).
Le hic qui va faire râler par contre c'est le marquage SynthID d'office. Google pose un watermark imperceptible sur tous les morceaux générés, un peu comme un tampon encreur invisible. L'idée, c'est d'identifier les contenus produits par l'IA Google, sans forcément d'empêcher les usages pénibles.
Côté voix, Suno propose un système de voice profile encadré avec vérification des droits et Flow Music n'a pour le moment aucune fonction équivalente officielle. Et ça ne propose que 3 minutes max par morceau alors que Suno peut monter à 8 minutes. Je pense donc que les musiciens IA "pros" resteront chez les concurrents. Mais c'est pas la même cible alors ça ne me choque pas. Flow Music vise plutôt les créateurs de contenu qui veulent se faire une BO rapide !
Dernier détail, les droits commerciaux restent flous sur la version gratuite. À vous donc de vérifier ça dans les conditions d'utilisation avant de coller votre nouveau morceau dans une vidéo monétisée. Côté dataset d'entraînement, Google dit s'appuyer sur des contenus qu'il estime pouvoir exploiter via ses CGU YouTube et ses accords partenaires sauf que des artistes indépendants ont porté plainte en mars 2026 en contestant cette lecture, donc l'histoire n'est pas encore tranchée.
On verra bien, mais en attendant, c'est gratuit, dispo sans carte bancaire, et en deux clics c'est parti pour que vous commenciez à rêver d'une Victoire de la Musique. Moi de mon côté, je vais aller creuser les Spaces, c'est là que Flow Music se démarque vraiment. J'ai même fait une guitare en spaghetti, ma créativité est tellement sous cotée ^^!