Autoblog de korben.info

Cyberbro - L'analyse d'IoC facile et en open source

Wed, 04 Feb 2026 11:02:09 +0100 - (source)

Salut les amis ! Aujourd'hui, je voulais vous partager une petite pépite qu'un lecteur, Stanislas, m'a envoyée. Si vous bossez dans la cyber ou que vous passez votre temps à analyser des trucs bizarres qui trainent sur vos serveurs, vous allez adorer Cyberbro.

Cyberbro c'est une plateforme d'analyse d'IoC (Indicators of Compromise) en open source. Grâce à ça, au lieu de vous paluchez 15 sites différents pour vérifier une IP ou un hash, vous balancez tout dans Cyberbro. L'outil va alors extraire automatiquement les infos de vos logs et interroger une vingtaine de services comme VirusTotal, MISP, Shodan, AbuseIPDB ou même Microsoft Defender pour vous dire si c'est dangereux.

Sous le capot, ça gère l'extraction avancée de TLD pour ne pas se planter sur les domaines, et ça fait du "pivoting" automatique. En gros, ça va chercher tout seul les domaines, URLs ou IPs liés via reverse DNS et RDAP. Toutes les données sont ensuite stockées proprement dans une base SQLite locale qui sert aussi de cache, ce qui permet de ne pas flinguer vos quotas d'API si vous analysez deux fois la même chose.

C'est hyper fluide, ça tourne sous Python et l'interface est vraiment propre. Stanislas a même poussé le vice jusqu'à proposer une intégration MCP (Model Context Protocol) pour l'utiliser avec Claude ou Ollama. Ça permet de générer des rapports d'analyse complets via LLM en deux secondes. Et y'a même des extension navigateur pour Chrome et Firefox ainsi qu'une API. C'est ouf !

Franchement, pour un projet perso, ça rigole pas du tout ! D'ailleurs, c'est déjà utilisé par pas mal de SOC en France, donc c'est du sérieux.

Pour tester ça, c'est hyper fastoche. Un petit coup de Docker Compose et hop, c'est prêt à l'emploi. Il vous suffit de cloner le dépôt, d'éditer le fichier de secrets et de lancer le bousin.

Un grand merci à Stanislas pour ce superbe partage et pour tout le boulot abattu depuis un an. C'est ce genre de projet qui rend la communauté cyber plus forte 💪.

A découvrir ici !

MrRSS – Un lecteur RSS avec résumé & traduction IA intégrés

Wed, 04 Feb 2026 10:08:00 +0100 - (source)

Vous faites partie de ceux qui, comme moi, ont gardé leurs bonnes vieilles habitudes de veille techno avec les flux RSS ? Ce truc que tout le monde a enterré y'a 10 ans (merci Google), continue pourtant de tourner tranquillement dans l'ombre... Hé bien figurez-vous que des développeurs continuent d'y croire et de nous pondre des agrégateurs toujours plus sympas.

C'est pourquoi aujourd'hui je vous présente MrRSS , un petit lecteur de flux qui a la particularité d'être développé en Go côté back et Vue.js côté interface, le tout empaqueté avec Wails v3 pour fonctionner sur Windows, macOS et Linux.

Le projet tourne depuis un petit moment déjà et intègre l'IA pour la traduction et le résumé automatique des articles. Comme ça, si vous tombez sur un article en anglais un peu technique, l'outil peut vous le traduire ou vous en faire un résumé rapide. C'est plutôt pratique quand on suit des dizaines de sources et qu'on veut faire le tri efficacement.

Dans l'interface, on retrouve toutes les fonctionnalités qu'on attend d'un bon lecteur : import et export OPML pour migrer facilement depuis un autre outil, découverte intelligente des flux à partir d'une simple URL, et gestion des catégories pour organiser tout ça . Le développeur a aussi pensé aux raccourcis clavier pour naviguer rapidement entre les articles.

Voilà, si vous cherchez un lecteur RSS desktop open source qui fait le job sans fioritures mais avec quelques fonctionnalités modernes sympa comme l'IA, c'est par ici que ça se passe.

Amusez-vous bien et un grand merci à Lorenper pour le partage !

GitHub - Enfin un bouton pour bloquer les Pull Requests ?

Wed, 04 Feb 2026 07:00:08 +0100 - (source)

GitHub vient peut-être de trouver une piste sérieuse pour sauver la santé mentale des mainteneurs de projets open source. Parce que je sais pas si vous le savez mais gérer un projet populaire sur GitHub, c'est un peu comme essayer de vider l'océan avec une petite cuillère, surtout avec la montée en puissance des contributions de faible qualité, dont une bonne partie est désormais générée par IA ...

Le problème, c'est que la quantité ne veut pas dire la qualité... Entre les Pull Requests (PR) qui ne respectent pas les guidelines du "README.md" et celles qui sont abandonnées en cours de route, les mecs derrière les gros dépôts commencent à fatiguer. Du coup, un représentant de GitHub explique dans une discussion avec la communauté explorer très sérieusement plusieurs options, dont la possibilité de désactiver purement et simplement les Pull Requests sur un dépôt.

Si l'idée est validée, ce serait un vrai changement car actuellement, pour arrêter de recevoir des contributions, la solution la plus radicale reste de passer le repo en mode "archive", ce qui gèle tout le projet (lecture seule). Certains utilisent des automatisations via des fichiers .github/workflows/close-pr.yml, mais c'est du bricolage. L'idée ici, c'est donc d'avoir un bouton spécial pour dire "Ok les gars, on n'accepte plus les modifs pour le moment", sans pour autant couper les issues ou les discussions.

GitHub évalue aussi d'autres leviers, genre limiter les PR uniquement aux collaborateurs du projet ou permettre la suppression définitive d'une PR polluante directement depuis l'interface. Perso, j'aime bien cette idée de bouton car elle évite de bloquer tout le reste du projet inutilement. Le coût de revue d'une PR, même foireuse, reste un effort humain important, alors que la générer avec Copilot ou ChatGPT ne demande qu'un effort minime pour l'expéditeur.

D'ailleurs, si vous faites partie de ceux qui aiment gérer vos PR depuis le terminal , vous voyez bien le délire... quand la liste s'allonge de dizaines d'entrées inutiles, y'a de quoi avoir envie de tout balancer par la fenêtre !!

Bref, peu importe ce qui sera décidé mais c'est bien de voir GitHub à l'écoute. Et si ils valident ces changements, ça pourrait carrément faciliter la vie de pas mal de développeurs qui saturent face au tri permanent.

Bref, je trouve que c'est une super idée !

Source

Xcode 26.3 - Les agents IA Anthropic et OpenAI débarquent enfin !

Tue, 03 Feb 2026 20:30:34 +0100 - (source)

Apple vient de lâcher une bombe pour tous les développeurs pommés de leur écosystème. Si vous pensiez que l'IA dans l'IDE se limitait à de l'autocomplétion un peu boostée, accrochez-vous parce que la version 26.3 de Xcode arrive (enfin, sa Release Candidate pour l'instant) et elle apporte avec elle le "codage agentique". Aaah je l'attendais depuis looongtemps !

Concrètement, ça veut dire qu'au lieu d'avoir un simple assistant qui vous suggère la fin de votre boucle "for", vous avez maintenant de véritables agents capables de prendre des initiatives. Donc intégration directe de Claude (Anthropic) et de Codex (OpenAI). Apple qui ouvre les vannes et vous laisse choisir votre moteur préféré parmi ces deux-là au lancement, c'est fou !

Le délire est assez poussé puisque ces agents ne se contentent pas d'écrire du code dans un coin. Ils ont accès à la structure complète de votre projet, à la doc officielle d'Apple (histoire de privilégier les dernières APIs) et peuvent même lancer des builds ou des tests pour vérifier que leur tambouille fonctionne. Si ça plante, ils analysent l'erreur et tentent de corriger le tir tout seuls. C'est un peu comme ce qu'on retrouve déjà dans Cursor et Windsurf.

Perso, ce qui me botte le plus, c'est l'utilisation du Model Context Protocol (MCP) parce que je me sers tout le temps de ça. Pour ceux qui ne suivent pas, c'est un protocole ouvert qui permet d'interfacer Xcode avec des agents compatibles.

Et côté interface, c'est plutôt propre. Y'a un petit panneau à gauche pour donner vos ordres en langage naturel ("Ajoute-moi une vue SwiftUI pour gérer le profil utilisateur avec une image ronde et un dégradé"), et tadaaa, l'agent découpe la tâche en petites étapes. On voit le code changer en temps réel, avec des surbrillances pour ne pas être perdu. D'ailleurs, si le résultat est foireux (ça arrive, hein), Xcode crée des "milestones" à chaque modification effectuée par l'agent pour revenir en arrière en un clic. Pas de panique donc.

Si vous voulez mettre les mains dedans tout de suite, la Release Candidate est dispo depuis ce 3 février sur le site développeur d'Apple.

Et pour ceux qui veulent vraiment monter en compétence, Apple organise un atelier "code-along" ce jeudi 5 février sur son site développeur. C'est l'occasion de voir comment dompter ces agents sans qu'ils ne transforment votre projet en plat de spaghettis.

Bref, le métier de dev est en train de muter sévère et ce nouvel Xcode 26.3 pose une sacrée brique.

A vous de jouer maintenant !

Source

Écouter YouTube écran éteint sans payer – Les méthodes qui marchent encore

Tue, 03 Feb 2026 16:10:28 +0100 - (source)

Vous l'avez peut-être remarqué si vous utilisez Brave, Vivaldi ou Edge sur votre mobile... Google a décidé encore une fois de serrer la vis. La fête du slip semble toucher à sa fin pour la lecture en arrière-plan de YouTube via les navigateurs tiers. C'est donc la douche froide pour ceux qui profitaient de cette petite faille pour écouter de la musique écran éteint sans passer à la caisse.

En gros, Google a durci ses contrôles pour bloquer cette fonctionnalité sur les navigateurs mobiles tiers. L'objectif, selon eux, est d'assurer une expérience "cohérente" (et surtout de vous pousser vers l'abonnement YouTube Premium). Ça s'inscrit dans cette guerre sans fin contre les bloqueurs de pubs qui dure depuis 2023. C'est de bonne guerre, diront certains, mais c'est surtout très agaçant quand on a l'habitude de bidouiller.

Heureusement, comme toujours sur le Web, quand une porte se ferme, une fenêtre s'ouvre (ou on casse le mur, c'est selon). Voici le point complet sur ce qui marche encore... et ce qui ne marche plus.

Mise à jour : Suite à vos nombreux retours par mail (merci !), j'ai complété cet article avec plusieurs astuces supplémentaires, notamment pour Brave, iOS et ReVanced.

Brave, Vivaldi, Edge... c'est plié

Autant le dire tout de suite, cette méthode est quasiment MORTE. La majorité des tests récents montrent que la lecture s'arrête net quand vous verrouillez l'écran ou quand l'app passe en arrière-plan. Y'a bien quelques retours isolés qui parlent d'un fonctionnement occasionnel sur Brave, mais c'est devenu tellement aléatoire que c'est pas la peine de compter dessus. Cette porte-là, Google l'a bien refermée.

Cela dit, un lecteur m'a filé une astuce intéressante pour Brave. En allant dans Confidentialité > Filtrage de contenu > Filtres personnalisés, vous pouvez ajouter la ligne suivante :

youtube.com##+js(brave-video-bg-play)

Ça injecte un script qui force la lecture en arrière-plan. J'ai pas encore assez de recul pour dire si ça tient dans le temps, mais ça vaut clairement le coup d'essayer si vous êtes fidèles à Brave.

La méthode Firefox (fragile)

Si vous êtes sur Android, Firefox reste votre meilleur allié... mais plus pour très longtemps peut-être. Avec l'extension Video Background Play Fix dispo pour Firefox Android, vous pouvez encore faire croire à YouTube que vous êtes toujours actif sur l'onglet même quand l'écran est verrouillé. Ça marche quelques jours, parfois quelques semaines, jusqu'à ce que YouTube patche le truc.

Pour les plus téméraires, il y a toujours la technique du caméléon : changer votre User-Agent avec l'extension User-Agent Switcher pour vous faire passer pour un PC de bureau. Sauf que YouTube ne se fie plus uniquement au user-agent pour ses vérifications... Du coup c'est de moins en moins fiable.

Bref, on installe et on croise les doigts. C'est le jeu du chat et de la souris permanent et rien n'est garanti à 100%.

Les clients alternatifs (la vraie solution)

Si vous en avez marre de jouer au chat et à la souris avec Google, la solution radicale c'est de passer sur un client alternatif. C'est aujourd'hui la méthode LA PLUS FIABLE pour écouter YouTube en arrière-plan sans passer à la caisse.

NewPipe reste LA référence open source. Lecture en arrière-plan, téléchargement de vidéos, mode Picture-in-Picture, zéro pub, zéro tracker, pas besoin de compte Google. L'app gère aussi SoundCloud, PeerTube et Bandcamp. Seul hic, YouTube casse régulièrement les API et l'app peut planter du jour au lendemain (y'a eu DEUX hotfixes rien qu'en janvier 2026). Hop, on met à jour via F-Droid et ça repart. Vous lancez la vidéo, vous appuyez sur le bouton "Arrière-plan" et voilà. Votre écran s'éteint, la musique continue. C'est magique !

Mais NewPipe c'est pas la seule option. Tubular est un fork de NewPipe avec SponsorBlock intégré (pour skipper automatiquement les segments sponsorisés) et le retour des dislikes. LibreTube passe par un proxy Piped, donc YouTube ne voit même pas votre IP... et l'interface est plus moderne. Et puis y'a Grayjay , le couteau suisse qui regroupe YouTube, Twitch, Dailymotion et PeerTube dans une seule app (pas totalement open source par contre, mais très complet).

Et y'a un truc que BEAUCOUP d'entre vous m'ont signalé par mail et que j'aurais pas dû zapper... ReVanced . Le concept est différent des apps ci-dessus puisque ReVanced ne remplace pas YouTube, il le PATCHE. Vous gardez l'app YouTube officielle avec son interface, mais avec la lecture en arrière-plan, zéro pub et même SponsorBlock en bonus. Il faut installer le ReVanced Manager pour appliquer les patches, plus un service appelé GmsCore qui simule les Google Play Services. C'est maintenu activement et plutôt stable (genre 3 mises à jour par an suffisent). Par contre, faites gaffe aux faux sites qui tentent de surfer sur la réputation du projet... le seul dépôt officiel, c'est sur GitHub .

Toutes ces apps (sauf ReVanced) s'installent via F-Droid ou en APK. Pas via le Play Store, forcément... Google aime pas trop ce genre de trucs.

Et sur iOS ?

Pour les utilisateurs d'iPhone, c'est toujours plus compliqué qu'Android... mais pas autant que je le pensais ! Plusieurs d'entre vous m'ont envoyé des pistes et y'a des trucs qui marchent vraiment bien.

Tube PiP permet d'avoir le mode Picture-in-Picture sur YouTube, ce qui vous laisse réduire la vidéo et utiliser votre téléphone normalement pendant que ça continue de tourner. C'est dispo directement sur l'App Store, donc pas de bidouilles à faire.

Et puis y'a Video Lite qui gère YouTube mais aussi Twitch, Rumble et même TikTok (bon ça c'est optionnel). Lecture en arrière-plan, pas de pubs... Y'a juste une petite pub au démarrage de l'app elle-même (qui se bypass apparemment en passant par un VPN type ProtonVPN). Un lecteur m'a d'ailleurs précisé qu'il avait créé un compte Google dédié pour l'occasion, par parano... et franchement, il a pas tort.

Bref, sur iOS c'est pas aussi riche qu'Android mais vous avez quand même de quoi faire.

Du coup voilà, que vous soyez sur Android ou iOS, y'a des solutions. Sur Android, passez sur ReVanced si vous voulez garder l'app officielle, sur NewPipe / Tubular si vous préférez un truc 100% indépendant, ou même sur WeTube pour une expérience sans pub dispo sur le Play Store. Sur iOS, testez Tube PiP ou Video Lite. Tout le reste (navigateurs tiers), c'est du bricolage temporaire que Google finira par casser.

Amusez-vous bien !

Source

C'est prouvé : Le vibe coding va tuer l'open source

Tue, 03 Feb 2026 15:29:57 +0100 - (source)

Une équipe de chercheurs en économie vient de poser des maths sur un truc que pas mal de devs sentaient venir... Le vibe coding serait en train de tuer l'open source. Pas au sens figuré, hein. Au sens "les mainteneurs ne pourront bientôt plus payer leurs factures". J'ai parcouru le papier ce midi, et je pense que ça va vous choquer...

En gros, le document modélise ce qui se passe quand des millions de devs arrêtent d'aller sur Stack Overflow et de lire la doc officielle pour plutôt demander à Claude, Copilot, Cursor ou Windsurf de tout faire à leur place. En fait, à cause de ces nouvelles habitudes, les projets open source qui vivaient de la pub sur leur site, des sponsors attirés par le trafic, ou de la visibilité communautaire... perdent tout. Le trafic baisse, les dons baissent, les revenus baissent.

Et les chiffres font mal !

Tailwind CSS, par exemple. J'ai regardé les stats npm de tailwindcss sur npmtrends.com... les téléchargements hebdo dépassent les 44 millions en janvier 2026, c'est du jamais vu. Sauf que les visites sur tailwindcss.com ont plongé d'environ 40%.

Côté revenus, c'est encore pire, puisque ça a chuté d'à peu près 80%. Adam Wathan, le créateur de Tailwind, en parlait début 2026 et ça avait l'air de bien le déprimer.

Pendant ce temps, Stack Overflow a perdu un quart de son activité depuis fin 2022 avec l'arrivée de ChatGPT. Bah oui, plus besoin de poser des questions quand l'IA vous mâche le travail.

En fait, l'IA utilise MASSIVEMENT l'open source pour générer du code. Elle s'appuie dessus, elle recommande les packages, elle les intègre automatiquement. Mais elle ne renvoie personne vers les sites des projets. C'est un peu comme si Spotify jouait vos morceaux sans jamais afficher le nom de l'artiste... et sans le payer non plus !

D'ailleurs, les auteurs du papier font exactement cette analogie. Ils proposent un modèle "Spotify pour l'open source" où les plateformes d'IA (OpenAI, Anthropic, GitHub) partageraient leurs revenus d'abonnement avec les mainteneurs en fonction de l'utilisation réelle des packages. Leur calcul montre que sociétés d'IA devraient contribuer au minimum à hauteur 84% de ce que les utilisateurs classiques apportent, sinon c'est la spirale de la mort pour les projets.

Perso, ça me rappelle la fameuse lettre de Bill Gates en 1976 qui gueulait déjà que personne ne voulait payer pour le logiciel. Cinquante ans plus tard, on en est toujours au même point, sauf que maintenant c'est l'IA qui fait le travail de sape. Et comme le disait Linus Torvalds récemment , le vibe coding c'est "horrible, horrible" pour la maintenance du code. Pas juste parce que le code généré est souvent bancal, mais parce que ça coupe le lien entre le dev et l'écosystème qui le nourrit.

Après, attention, ça veut pas dire que TOUS les projets open source vont crever du jour au lendemain. Ceux qui ont des contrats enterprise genre Red Hat ou du support payant à la Elastic s'en sortent... pour l'instant. Pareil pour les gros projets type Linux ou Kubernetes qui sont soutenus par des fondations. Le problème, c'est surtout les petits projets maintenus par une ou deux personnes qui vivaient de la visibilité. Vous savez, le mec qui maintient un package npm avec 2 millions de téléchargements hebdo depuis son appart, sans sponsor... ben lui, il est dans la panade. Sauf si le mec a un Patreon bien rempli ou un contrat de consulting à côté, mais ça c'est l'exception, pas la règle.

Et n'allez pas croire que les GitHub Sponsors suffisent... j'ai galéré à trouver ne serait-ce qu'un seul projet avec plus de 500$/mois via ce système.

Le plus flippant dans tout ça, c'est que même si l'IA rend chaque dev individuellement plus productif, le résultat net peut être carrément NÉGATIF pour tout le monde. Moins de projets open source viables, moins de diversité, moins d'innovation à la base. Et ces auteurs le démontrent mathématiquement avec leur modèle à deux canaux (productivité vs diversion de la demande).

Et sachez le, même dans le scénario le plus optimiste où les plateformes d'IA payeraient leur part, si ce ratio tombe en dessous de 84%... c'est foutu. Le modèle diverge et les projets meurent quand même.

Bref, si les plateformes d'IA ne trouvent pas un moyen de rémunérer l'open source qu'elles exploitent, on court droit vers un appauvrissement massif de l'écosystème open source.

Source

Sklad – Vos snippets chiffrés sous la main

Tue, 03 Feb 2026 14:17:28 +0100 - (source)

Si vous êtes du genre détendu, vous avez forcément un fichier texte quelque part dans votre ordi avec des bouts de code, des clés API, des mots de passe... le tout en clair dans un fichier avec un nom équivoque genre passwords.txt posé OKLM dans ~/Desktop/.

Alors bien sûr, on est nombreux à utiliser un gestionnaire de mots de passe classique pour éviter ça, mais en fait le souci c'est pas les mots de passe. C'est tous ces petits snippets qu'on copie-colle 15 fois par jour... des commandes Docker, des tokens temporaires, des regex que j'oublie à chaque fois. Bref, il nous manque un bidule entre le presse-papier et le coffre-fort.

Et c'est exactement ce que fait Sklad !! Cet outil est un gestionnaire de snippets chiffrés qui vit dans votre barre de tâches et auquel vous balancez tout ce que vous copiez-collez régulièrement. Ensuite, vous organisez ça dans des dossiers, et hop, un clic gauche sur l'icône de la barre de menu et ça copie directement le dernier snippet utilisé. C'est carrément mieux qu'un clipboard manager classique type CopyQ parce qu'il y a du chiffrement AES-256 avec dérivation Argon2, ce qui est plutôt rassurant pour stocker du token.

Du coup, tout reste en local sur votre machine et le fichier de données atterrit dans ~/Library/Application Support/sklad/ sur macOS (ou l'équivalent AppData sur Windows). Ainsi, en cas de vol de ce fichier, le gars qui l'a récupérer devra se débrouiller avec de l'AES-256... bon courage.

Côté raccourcis, y'a Cmd+K (ou Ctrl+K sur Windows/Linux) pour chercher dans vos snippets. Pratique pour retrouver vos commandes kubectl par exemple et si vous avez des snippets avec des caractères spéciaux (genre des backticks dans du code Markdown), j'ai remarqué que le copier-coller peut parfois foirer selon le terminal. iTerm2 s'en sort bien, mais sur le Terminal.app natif j'ai eu des soucis avec les guillemets échappés. Rien de dramatique, mais faut le savoir.

Y'a le thème sombre et le thème clair et l'app est dispo en binaires pré-compilés pour Windows (.msi), macOS (ARM et Intel en .dmg) et Linux (.deb et .AppImage). Notez que comme d'hab, au premier lancement sur macOS, faudra passer par Réglages > Confidentialité pour autoriser l'app... Apple oblige.

Sklad est encore un projet hyper jeune donc ça risque de bouger pas mal et surtout, ça ne remplace pas un KeePass ou un Bitwarden. Pourquoi ? Hé bien parce que c'est pas le même usage. Voyez plutôt Sklad comme votre tiroir à snippets chiffrés qui conviendra pour tout ce qui ne peut pas aller dans votre gestionnaire de mot de passe.

Bref, si ça vous tente, c'est par ici !

Merci à lorenper pour la découverte.

Firefox 148 - L'IA arrive, mais c'est vous le patron

Tue, 03 Feb 2026 11:33:16 +0100 - (source)

Vous vous souvenez quand je vous parlais du fameux kill switch IA de Firefox en décembre dernier ? Hé bien c'est désormais chose faite ! Mozilla vient d'annoncer que Firefox 148, qui sort le 24 février, embarquera une toute nouvelle section "Contrôles de l'IA" dans ses paramètres, entièrement dédiée aux contrôles de l'IA.

Et perso, je suis RAVI.

La nouvelle section Contrôles de l'IA dans Firefox 148

J'ai fouillé un peu dans les menus de la Nightly pour voir à quoi ça ressemble et c'est plutôt bien fichu. Vous aurez accès à un panneau centralisé dans Paramètres > Contrôles de l'IA, qui vous permettra de gérer individuellement chaque fonctionnalité IA du navigateur. Traduction automatique, texte alternatif pour les PDF (top pour l'accessibilité), groupement d'onglets intelligent, prévisualisation de liens, tout ça avec de l'IA locale ... et même un chatbot (pas local) intégré dans la barre latérale. Du coup, chaque brique peut être activée ou désactivée selon vos envies ou votre religion ^^.

Mozilla a intégré le support de Claude (d'Anthropic), ChatGPT, Microsoft Copilot, Google Gemini et Mistral Le Chat. Cinq fournisseurs au choix, directement dans la sidebar depuis un petit moment déjà et j'avoue que je l'utilise pas mal (avec Claude) pour lire des résumés de pages trop longues (mon temps est précieux ^^) ou avoir des explications sur des trucs un peu trop compliqués pour mon petit cerveau.

La vraie feature cool c'est ce bouton magique. Y'a un switch global "Bloquer les améliorations ayant recours à l'IA" qui coupe TOUT d'un seul geste. Toutes les fonctions IA actuelles ET futures. Vos préférences sont conservées entre les mises à jour, ce qui veut dire que Mozilla ne viendra pas réactiver un truc en douce après un update. C'est ce que le nouveau PDG Anthony Enzor-DeMeo avait promis en décembre... et ils ont tenu parole, les bougres !

Attention quand même, y'a un piège pour les impatients : Toutes les fonctions IA sont désactivées par défaut. Faut donc aller les activer vous-même, une par une. Comme ça, pas de mauvaise surprise au premier lancement et pas d'hystériques colériques sur le dos de Mozilla. C'est un peu plus de clics pour ceux qui veulent TOUT activer, mais au moins personne pourra dire qu'on lui a forcé la main. Sauf que si vous êtes comme moi et que vous voulez tout tester d'un coup... bah va falloir être patient et cocher chaque case ^^.

C'est ça que j'adore chez Mozilla. Pendant que d'autres navigateurs vous imposent des fonctions IA sans rien demander (coucou les bulles Copilot dans Edge que vous pouvez même pas virer proprement...), Firefox continue de miser sur le choix de l'utilisateur. Comme je le dis depuis des années, l'important c'est d'avoir le choix . Vous voulez de l'IA partout ? Activez tout. Vous n'en voulez pas ? Un clic et c'est réglé. Pas de dark patterns, pas de menus cachés au fin fond des about:config.

Pour ceux qui ont suivi l'évolution de Firefox 142 avec l'IA locale et les LLM qui tournent directement sur votre machine, c'est la suite logique. Mozilla construit petit à petit un écosystème IA qui respecte la vie privée, et ça franchement... c'est tellement rare que ça mérite d'être dit.

Bref, la version est déjà dispo dans Firefox Nightly pour les plus impatients !

Source

Urik – Le clavier Android qui ne balance rien sur Internet

Tue, 03 Feb 2026 10:40:00 +0100 - (source)

Vous avez déjà remarqué à quel point nos claviers Android sont devenus bavards ? Que ce soit Gboard ou SwiftKey , ils ont tous la fâcheuse tendance à vouloir "améliorer l'expérience utilisateur" en envoyant vos habitudes de frappe sur des serveurs distants. Forcément, quand on sait que tout ce qu'on tape, des mots de passe aux messages privés, passe par cette petite interface, ça peut vite donner des sueurs froides niveau vie privée.

Alors c'est exactement pour contrer cette tendance qu'un nouveau projet open source vient de pointer le bout de son nez : Urik .

Pas de télémétrie dans ce clavier, et pour les plus paranos, sachez que le dictionnaire personnalisé et l'apprentissage des mots sont également stockés dans une base de données locale chiffrée avec SQLCipher. Vos frappes restent donc chez vous et nulle part ailleurs. On est dans la même philosophie que FUTO Voice Input , ce qui prouve qu'on peut avoir des outils intelligents sans pour autant sacrifier sa vie privée.

Côté technique, Urik n'est pas un clavier au rabais. Développé en Kotlin, sous licence GPL-3.0, il propose tout ce qu'on attend d'un outil moderne : la saisie par glissement (swipe), le contrôle du curseur via la barre d'espace et le support de dispositions alternatives comme le Dvorak, le Colemak ou le Workman.

Et pour la correction orthographique, il s'appuie sur l'algorithme SymSpell qui tourne lui aussi intégralement sur le téléphone. L'intelligence du truc permet d'ailleurs d'éviter de corriger bêtement les URLs ou les adresses email, ce qui évite pas mal de frustrations au quotidien.

Petite parenthèse, pour ceux qui ont besoin d'outils de protection supplémentaires sur mobile, n'hésitez pas aussi à jeter un œil à Oversec pour chiffrer vos communications.

Urik, de son côté, soigne aussi l'accessibilité avec un support complet de TalkBack et des thèmes à haut contraste conformes aux normes WCAG AA. L'application nécessite au minimum Android 8.0 et bien qu'elle soit encore officiellement en bêta, elle est déjà très stable pour un usage quotidien.

Alors oui, ça demande un petit temps d'adaptation quand on quitte les géants du secteur, mais le gain en sérénité est immédiat. Plus besoin de se demander si votre prochain message va finir dans une base de données publicitaire.

Sachez aussi que le projet est entièrement financé par sa communauté, ce qui garantit une certaine indépendance vis-à-vis des trackers habituels. Bref, si vous cherchez à reprendre le contrôle sur ce que vous saisissez, c'est clairement une alternative à tester d'urgence sur votre smartphone.

A télécharger ici sur le PlayStore !

Merci à Lorenper pour le partage !

Nginx Proxy Manager - Le reverse proxy que même ma grand-mère pourrait configurer

Tue, 03 Feb 2026 08:48:00 +0100 - (source)

L'autre jour, je voulais juste exposer un petit service tournant sur mon NAS pour y accéder à distance quand je suis en déplacement. Alors je me suis dit "Allez, je vais faire ça propre avec Traefik" mais bon, debugger du fichier YAML parce qu'on oublie des indentations à un moment ça casse la tête. J'ai +40 balais et pas que ça à foutre.

Si vous hébergez vos propres services à la maison (self-hosting powaaaah !) et que vous êtes un peu bordélique comme moi, vous installez un truc, puis un autre, et vous finissez avec une collection de ports impossible à mémoriser du genre monip:8080, monip:32400, monip:9000… Aarrgh, l'enfer !!!

Et ne me lancez pas sur la gestion des certificats SSL !! Si vous voulez faire ça bien, faut générer des certificats Let's Encrypt à la main pour chaque service, modifier les fichiers de conf Nginx en priant pour ne pas oublier un point-virgule… et j'en passe et des pas mûres… Alors je sais, oui ça nous occupe et pendant ce temps là, on n'est pas dehors en train de voler des voitures mais j'sais pas vous, moi j'ai mieux à faire.

Hé bien, figurez-vous les copains, qu'il existe un outil qui transforme ce cauchemar en promenade de santé. Ça s'appelle Nginx Proxy Manager, et une fois que vous aurez lu mon article et testé vous penserez : "Mais pourquoi je me suis emmerdé la vie pendant tout ce temps, mortecouille ?!".

Nginx Proxy Manager, c'est quoi ce truc ?

En gros, c'est une interface graphique super propre pour gérer Nginx. Au lieu de taper des lignes de commandes et d'éditer des fichiers de config obscurs, vous avez un beau tableau de bord pour :

Rediriger vos domaines (ex: plex.mondomaine.fr) vers vos conteneurs Docker.
Gérer vos certificats SSL (HTTPS) automatiquement.
Sécuriser l'accès à certains services avec un mot de passe.

Mais en vrai, c'est plus riche que ça. Dans la barre du haut, vous avez tout ce qu'il faut pour piloter votre reverse proxy comme un adulte responsable : des hosts (proxy, redirections, streams, 404), des certificats (Let's Encrypt ou certifs locaux), des utilisateurs, des règles d'accès (Access Lists), et même des logs d'audit pour savoir qui a fait quoi (au cas où un de vos potes "teste un truc vite fait" et casse tout).

C'est le reverse proxy pour ceux qui veulent que ça marche, tout de suite, sans devenir ingénieur réseau bac+12 ou devoir se taper 2h d'explications IRL d'un barbu qui pue de la gueule ^^.

Installation en 3 minutes chrono (avec Docker)

Bon, on ne va pas y passer la nuit. La méthode la plus propre, c'est évidemment Docker Compose. Si vous ne l'avez pas, installez-le (allez, un petit apt install docker-compose et on n'en parle plus).

Créez un dossier nginx-proxy-manager et collez-y ce fichier docker-compose.yml :

version: '3.8'
services:
 app:
 image: 'jc21/nginx-proxy-manager:latest'
 restart: unless-stopped
 ports:
 - '8080:80' # Port HTTP public
 - '8181:81' # Port d'administration (à garder pour vous)
 - '8443:443' # Port HTTPS public
 volumes:
 - ./data:/data
 - ./letsencrypt:/etc/letsencrypt
 db:
 image: 'jc21/mariadb-aria:latest'
 restart: unless-stopped
 environment:
 MYSQL_ROOT_PASSWORD: 'npm'
 MYSQL_DATABASE: 'npm'
 MYSQL_USER: 'npm'
 MYSQL_PASSWORD: 'npm'
 volumes:
 - ./mysql:/var/lib/mysql

Petit piège à éviter : Faites gaffe si vous avez déjà un serveur web (Apache ou Nginx) qui tourne sur la machine hôte. Il va falloir couper le service ou changer les ports, sinon Docker va vous jeter une erreur parce que le port 80 est déjà pris. Du coup, vérifiez bien avec un petit netstat -tulpn | grep 80 avant de lancer la sauce.

Ah oui, et si vous utilisez un pare-feu comme UFW (ce que je vous recommande chaudement), n'oubliez pas d'ouvrir le port 81 : ufw allow 81. Sinon, vous allez pleurer devant une page blanche et vous demander pourquoi ça marche pas.

Ensuite, lancez la bête :

docker-compose up -d

Et voilà ! C'est tout. Votre serveur tourne. Si vous avez des erreurs, c'est probablement parce que vos ports sont déjà utilisés. Ou que les dossiers data, Let's Encrypt et MySQL n'existent pas encore. Moi j'ai ça sur mon NAS :

La configuration que même ma grand-mère pourrait le faire

Ouvrez votre navigateur et allez sur http://votre-ip:8181 et créez vous un compte.

Une fois dedans, pour exposer un service, c'est ridicule tellement c'est easyyyy

Cliquez sur "Add Proxy Host".
Entrez votre nom de domaine (ex: nextcloud.mondomaine.fr).
Indiquez l'IP de la machine et le port du service (ex: 8080).
Allez dans l'onglet "SSL", cochez "Request a new SSL Certificate" et "Force SSL".
Sauvegardez.

En fait, le seul truc qui peut coincer, c'est la propagation DNS. Si vous venez d'acheter votre nom de domaine il y a 5 minutes, pas de panique si Let's Encrypt refuse de générer le certificat. Attendez une petite heure et réessayez. C'est classique.

Et hop, fini. Votre service est accessible en HTTPS, avec le petit cadenas vert qui va bien. Nginx Proxy Manager s'occupe de discuter avec Let's Encrypt et de renouveler le certificat tout seul. C'est carrément magique.

Tour d'horizon des fonctionnalités qui sauvent des week-ends

Parce que oui, Nginx Proxy Manager ne fait pas "juste" proxy + "cadenas". Dans le menu Hosts, vous avez plusieurs types de trucs à créer, et chacun sert à un usage bien précis. Et côté Certificats et sécurité, il y a de quoi faire sans sortir le marteau-piqueur.

Certificats Let's Encrypt (HTTP et DNS) + certifs locaux

On va commencer par le sujet qui donne des boutons : les certificats. Dans l'onglet Certificates, vous pouvez gérer tout ça au même endroit :

Let's Encrypt en HTTP-01 : le classique. NPM ouvre la voie, répond au challenge, et basta. Pratique pour un service.mondomaine.fr exposé "normalement".
Let's Encrypt en DNS-01 : là, c'est le mode "j'ai compris la vie". Vous pouvez valider le certificat via votre DNS (donc sans dépendre d'un port 80 accessible), et surtout ça permet les wildcards du style *.mondomaine.fr. Donc un seul certif et roule ma poule, même si vous ajoutez 12 sous-domaines demain à 3h du mat.
Certificats locaux : vous pouvez aussi importer un certificat existant (genre un certif de votre boîte, un truc interne, un CA maison, ou même un self-signed si vous aimez vivre dangereusement). Ça évite de dépendre de Let's Encrypt si vous êtes en mode "tout en local, rien sur Internet".

Et le meilleur c'est que NPM gère le renouvellement automatique. Donc plus de rappel calendrier "renouveler les certifs" tous les 2 mois, sinon c'est le drame et tout le monde vous écrit "ça marche plus ton truc".

Plusieurs comptes, parce que tout le monde n'est pas "admin"

Dans Users, vous pouvez créer plusieurs comptes pour accéder à l'interface. Typiquement :

un compte admin pour vous, le chef, le patron, le seigneur des reverse proxies.
un compte "moins dangereux" pour quelqu'un qui doit juste consulter ou bidouiller un truc sans toucher à toute l'infra.

Et ça, couplé aux Audit Logs (j'y reviens juste après), c'est très pratique quand plusieurs personnes mettent les mains dedans. Parce que "c'est pas moi, j'ai rien touché" est une phrase universelle, on la retrouve dans toutes les cultures.

Access Lists, le videur à l'entrée

Alors ça, c'est une des fonctions les plus sous-cotées. Les Access Lists permettent de mettre en place des règles d'accès et de les réutiliser partout :

Basic Auth (login/mot de passe) : parfait pour protéger une appli pas prévue pour être publique, ou un petit outil d'admin que vous ne voulez pas exposer "en clair".
Allow/Deny par IP : le top pour dire "seulement depuis mon IP / mon VPN / mon réseau". Et là, même si quelqu'un devine votre URL, il se prend un mur.

Vous créez une Access List une fois, et ensuite vous l'appliquez à vos Proxy Hosts. Du coup, pas besoin de refaire 50 fois la même conf. C'est propre, c'est net, c'est carré.

Les redirections propres (HTTP -> HTTPS, domaine A -> domaine B, etc.)

Besoin de rediriger un vieux domaine vers un nouveau ? Ou de faire un joli http:// qui part systématiquement en https:// ? Les Redirection Hosts servent exactement à ça. C'est bête mais ça évite d'aller trifouiller des règles Nginx à la main.

Exemples typiques :

mondomaine.fr -> www.mondomaine.fr
ancientruc.mondomaine.fr -> nouveautruc.mondomaine.fr
http -> https (pour les retardataires)

Streams - Quand ce n'est pas du HTTP mais que vous voulez quand même un reverse proxy

Le web, c'est bien, mais tout n'est pas en HTTP. Certaines applis parlent en TCP/UDP (bases de données, services réseau, protocoles chelous, etc.). C'est là que Streams entrent en jeu. Cette fonctionnalité vous permet de proxyfier des flux réseau, genre "ce port externe pointe vers ce port interne".

Alors oui, c'est plus "brut" que les Proxy Hosts, mais ça dépanne vraiment quand vous avez un service qui n'a rien à faire derrière un vhost HTTP. Et ça se configure aussi en 2 clics, sans incantations démoniaques.

404 Hosts - La sortie de secours

Les 404 Hosts, c'est la petite finition qui fait plaisir (non, rien à voir avec votre salon de massage préféré). Vous pouvez définir un "host poubelle" qui répond proprement quand quelqu'un tape un domaine qui n'existe pas chez vous, ou quand un bot scanne votre serveur en espérant trouver /phpmyadmin par magie.

Au lieu de laisser traîner une réponse moche ou ambiguë, vous renvoyez une 404 nette, propre, assumée. C'est pas de la sécurité absolue, mais c'est une bonne hygiène, et ça évite de donner trop d'infos aux curieux.

Audit Logs

Dans Audit Logs, vous avez l'historique des actions effectuées dans l'interface : création/modif de hosts, changements de certifs, etc. C'est le genre de truc dont on se fout… jusqu'au jour où on en a besoin. Et là, vous êtes content de pouvoir remonter le film de l'horreur.

Et enfin, mon bonus : Le mode "je sais ce que je fais" (les options avancées Nginx)

Et si un jour vous voulez aller un cran plus loin, NPM permet aussi d'ajouter des réglages plus "Nginx pur jus" par host (headers, règles, conf custom). Donc vous commencez en mode clic-clic, et si vous devenez un peu psycho sur l'optimisation, vous pouvez aussi affiner. Sans tout casser, normalement.

2/3 conseils de daron pour éviter les boulettes

Ne laissez pas l'admin ouvert au monde : le port 8181 (ou votre port d'admin) c'est "pour vous". Si possible, limitez-le via pare-feu / VPN / IP autorisées. C'est le panneau de commande de votre château, pas un distributeur de bonbons.
Utilisez les Access Lists pour tout ce qui est sensible : dashboards, outils d'admin, services pas prévus pour Internet, etc.
Pensez au DNS-01 si vous voulez des wildcards ou si vous n'avez pas envie d'exposer le port 80.

Et par rapport aux autres ?

Je vous vois venir les puristes : "Oui mais Traefik c'est mieux car c'est dynamique". C'est vrai. J'ai testé Traefik, et c'est une tuerie pour les environnements qui bougent tout le temps. Mais sa config en YAML peut vite devenir une usine à gaz si vous débutez. Caddy est top aussi (un seul fichier de conf), mais il faut quand même mettre les mains dans le cambouis.

Perso, je pense que Nginx Proxy Manager est un excellent choix pour un homelab par exemple. C'est un peu le choix du confort, celui des grosses feignasses comme moi parce que c'est visuel, c'est du clic-bouton clic clic, et pour un petit serveur perso, c'est franchement imbattable.

Bref, si vous galérez encore avec vos vhosts Nginx, arrêtez de vous faire du mal. Installez ça, et profitez de la vie (et de vos week-ends).

Nginx Proxy Manager c'est par ici !

< Older

Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles