Bon, vous le savez, l'Europe tient absolument à savoir votre âge, avant de vous laisser scroller librement sur le net. Alors pour cela, ils ont mis au point une application qui permet de prouver votre âge et qui nous est proposée comme simple à utiliser et respectueuse de notre vie privée.
Mais ça c'était sans compter sur Paul Moore , chercheur en sécurité, qui vient à nouveau de l'éclater à l'aide d'une simple extension Chrome...
Mais reprenons depuis le début, parce que cette appli, c'est le modèle de référence de la Commission européenne pour vérifier qu'un internaute a bien plus de 18 ans, sans avoir à dévoiler qui il est. Développée par un consortium germano-suédois, elle est actuellement en test dans cinq pays dont la France, et vise aujourd'hui surtout le contenu adulte / porno et les jeux d'argent.
Ce 13 juillet, notre bien-aimée Ursula von der Leyen a même annoncé vouloir réutiliser cette infrastructure pour barrer l'accès des plus jeunes aux réseaux sociaux, avec une loi attendue après l'été et un âge minimum autour de 13 ans. "Les réseaux sociaux ne sont pas un jouet", comme elle l'explique !
Et pour arriver à cela, rassurez-vous, l'UE ne va pas stocker la carte d'identité de chaque Européen puisque le principe de ce système de contrôle, c'est de prouver l'âge sans transmettre l'identité.
Enfin, en théorie...
Parce qu'en pratique, c'est un peu la fête du slip ! Déjà il y a le dépôt Github officiel qui prévient tout le monde que c'est une implémentation de référence et absolument pas un truc à déployer en production. Donc en gros démerdez-vous !
Et ensuite, cette application est censée présenter une preuve d'âge à un vérificateur sans avoir à balancer notre identité. Alors ce qu'a fait Paul Moore, c'est qu'il a fabriqué cette preuve directement à partir d'une extension Chrome, et la présenter au vérificateur officiel de la démo. Et comme vous vous en doutez, celui-ci l'a validée comme si de rien n'était
Ça a l'air tellement simple !
En même temps, vu que la clé crypto, c'est une simple clé logicielle P-256 et pas une clé qui est enfermée dans le coffre matériel du téléphone, eh bien c'est assez facile à déjouer. Il n'y a pas besoin de scanner son passeport ou sa carte d'identité, il n'y a aucune reconnaissance faciale, ni aucune attestation matérielle façon Play Integrity pour prouver que ça tourne sur du vrai matos et (rigolez pas) la même preuve peut être rejouée en boucle encore et encore !! Une preuve d'âge peut donc servir 2 fois de suite.
Et puis cette preuve d'identité, elle est à 100% sous le contrôle du client. Donc en gros c'est à l'application installée sur votre téléphone qu'on demande de ne pas tricher. Mais lol.
Pour Moore qui a mis au point ce hack, il n'y aurait aucun patch qui pourrait régler ça. C'est vraiment l'architecture qui est foireuse. Et comme tout repose sur la bonne foi de l'application, eh bien c'est foutu. N'importe qui détourne l'application ou forge sa propre app peut faire croire au vérificateur qu'il a plus de 18 ans.
Pour boucher ce trou, l'Europe dispose de deux pistes : Soit passer par une attestation matérielle en béton, comme celle que Google verrouille via Play Integrity, ce qui recale au passage les gens sous GrapheneOS, Linux et compagnie, ou alors faire de la vraie crypto à divulgation nulle, prévue pourtant dans la spec mais pas branchée dans cette version.
Ce qui est rigolo, c'est que Moore a expliqué sur X avoir codé son proof of concept avec une IA en quelques minutes. Et on n'oublie pas non plus que Bruxelles veut interdire les réseaux sociaux avant 13 ans et a fait passer Chat Control pour scanner nos messages.... Je trouve que ça fait beaucoup de "contrôle" qu'on essaye de déguiser en "protection".
En attendant, ils sont bien ridicules avec leur application de validation d'âge en mousse.
"Climatiser son appartement, c'est réchauffer celui du voisin." Vous l'avez forcément déjà entendue, cette bonne blague là... C'est comme ça que commence la dernière vidéo de Numerama, où durant 23 minutes, Julien Cadot démonte une par une les idées reçues sur la climatisation.
Et j'ai trouvé ça passionnant et d'utilité publique, donc je vous la partage. Le point de départ, c'est que la clim et la pompe à chaleur qu'on vous subventionne à coups de milliers d'euros, c'est rigoureusement le même objet. Même compresseur, même fluide, même physique. En France, on a quand même réussi le tour de force d'avoir une technologie qu'on subventionne l'hiver et qu'on diabolise l'été, comme il le dit dans la vidéo.
Je ne vais pas vous refaire la vidéo, elle se suffit largement à elle-même. L'îlot de chaleur urbain ? Les clims de TOUT Paris pèsent à peu près autant sur la température des rues que le trafic automobile dont personne ne parle jamais. Les fluides "1000 fois pires que le CO2" ? Un combat gagné il y a 30 ans, votre clim récente tourne au R32 voire au propane. On nous vend la peur d'un combat que la science a réglé depuis longtemps et je me demande bien pourquoi...
Et avec le kWh français ultra décarboné, si un pays sur Terre peut être climatisé proprement, c'est bien la France. Alors pourquoi s'en priver ??? La canicule de 2003 a tué 15 000 personnes. Celle de juin dernier compte déjà un bon millier de morts, à 85 % des plus de 65 ans, souvent chez eux dans des chambres à 35°C. Alors Julien pose la vraie question : faut-il continuer à sacrifier l'endroit où les gens vivent pour garder le trottoir un demi-degré plus frais ? Surtout que vu le climat qui attend nos villes dans 20 ans , les nuits fraîches ne reviendront pas.
Et moi, ce qui me sidère, c'est la réticence des gens. Je parle pas de ceux qui n'ont pas d'argent pour en faire poser une. Je parle de ceux qui ont la thune mais que ça embête de faire installer une clim, parce que "l'écologie" ou je ne sais quoi d'autre. Même des vieux qui souffrent dans leur maison, il faut vraiment insister pour les convaincre... Dur dur. Les anti-clim, pour moi, c'est comme les antivax. Ce sont des gens qui se reposent sur des trucs entendus il y a des années, qui se sont arrêtés là et qui se refilent des infos périmées entre eux. C'est dommage quand même de littéralement mourir de chaud juste par connerie.
Et l'administration n'aide pas, avec des PLU meurtriers qui nous interdisent les unités extérieures en façade. C'est dire le niveau de connerie institutionnelle dans ce pays.
Perso je déménage bientôt en location, et là il n'y a pas la clim, et en plus il y a une véranda... je pense que je vais devoir prendre une clim portable, alors que c'est le pire des 2 mondes, bruyant et énergivore, mais bon, c'est pas chez moi. J'essaierai quand même de convaincre la propriétaire d'en faire installer une vraie, quitte à en payer une petite partie. Je lui ferai regarder la vidéo, tiens.
Et si vous sautez le pas : comptez quelques milliers d'euros pour une clim fixe posée par un pro, prenez des modèles silencieux pour les chambres, et anticipez dès cet hiver parce que les installateurs sont débordés chaque été. L'article de Numerama détaille tout ça par écrit si vous voulez aller plus loin.
Voilà, vive la clim ! Et si un anti-clim vous ressort le coup des fluides qui trouent la couche d'ozone, offrez-lui un calendrier, parce que visiblement sa capacité à comprendre le monde s'est arrêtée en 1995.
Apple vient donc de mettre la main sur SigLens, un logiciel open source de surveillance d'applications, en rachetant les actifs de la petite société américaine qui le développe, SigScalr.
L'annonce est tombée ce 13 juillet, même si le dossier avait été notifié à l'Union européenne dès le mois de mars. Le montant reste secret.
De quoi parle-t-on au juste ? SigLens fait de l'observabilité, un mot barbare pour désigner l'art de surveiller ce qui se passe à l'intérieur d'une application ou d'un serveur.
Concrètement, l'outil collecte et fouille les logs, ces journaux où chaque logiciel note en continu ce qu'il fait, pour repérer un bug ou un ralentissement bien avant que l'utilisateur ne s'aperçoive de quoi que ce soit.
Ce marché, particulièrement stratégique, est surtout tenu par deux géants, Splunk et DataDog, dont les factures d'utilisation grimpent très vite. SigScalr cherche justement à faire le même travail, mais en étant 100 fois plus rapide, et en réduisant la facture par 10. Rien que ça !
Le projet est parti de pas grand-chose. SigScalr, basée à Nashua dans le New Hampshire, ne comptait qu'une poignée d'employés, avait levé moins de deux millions de dollars, et avait ouvert le code de SigLens en open source début 2024.
Apple n'a pas racheté l'entreprise entière, mais certains de ses actifs, avec la possibilité d'embaucher une partie de l'équipe. Dans le milieu, on appelle ça un "acqui-hire", quand un géant achète avant tout les cerveaux et la technologie, et pas vraiment toute la boîte.
L'intérêt pour Cupertino est assez limpide. Apple veut muscler ses outils de développement, et cette emplette suit de près celle de Play, un outil pour le langage Swift avalé en juin. Tout ça sent l'intégration dans Xcode, l'atelier maison où les développeurs fabriquent les applications iPhone et Mac.
Reste la question qui fâche pour la communauté. Quand un géant absorbe un projet open source, celui-ci finit souvent en sourdine, voire carrément à l'abandon, une fois ses créateurs partis travailler sur autre chose.
Voir Apple grignoter les briques open source qui l'arrangent, sans un mot sur l'avenir du projet, ça a quand même de quoi laisser les développeurs sur leur faim.
Source : Apple Insider
Faire tourner des jeux PS5 sur un simple PC, c'est encore de la science-fiction, mais quelques développeurs viennent de franchir un petit cap. Deux émulateurs, ces logiciels qui imitent une console pour lancer ses jeux ailleurs, commencent à montrer les premiers signes de vie.
Le plus avancé s'appelle SharpEMU , développé par un certain iExplosiveRage. Il arrive déjà à faire tourner un vrai jeu du commerce, Dreaming Sarah, un petit titre de plateforme et de réflexion en 2D.
Rien de fou. Sur Demon's Souls, par exemple, l'émulateur ne va pour l'instant que jusqu'à l'écran de chargement, sans jamais entrer réellement dans la partie.
Un second projet, KytyPS5 , signé Nmzik, en est à peu près au même point. Il parvient à lancer Silent Hill: The Short Message, une exclusivité PS5, mais s'arrête lui aussi au chargement.
Ce qui rend la nouvelle intéressante, c'est surtout le calendrier. On parle d'émuler une console qui reste la machine de salon actuelle de Sony, encore vendue en magasin, ce qui arrive rarement aussi tôt dans la vie d'un appareil.
Pour deviner où tout ça peut mener, il suffit de regarder du côté de la PS4. L'émulateur ShadPS4 est passé en quelques années d'un truc qui affichait de la bouillie de pixels à un logiciel capable de faire tourner des centaines de jeux, dont un Bloodborne aujourd'hui pleinement jouable.
Sauf que voilà, du côté de Sony, on doit un peu grincer des dents. Un des grands arguments pour acheter une PlayStation, ce sont ses exclusivités, et le jour où elles tourneront tranquillement sur PC, cet argument en prend un coup.
Le constructeur japonais n'a d'ailleurs jamais caché son agacement face à ce petit monde, en multipliant les mises en demeure et les actions en justice contre les projets qui touchent de trop près à ses consoles. L'émulation en soi reste légale, mais copier les jeux ou récupérer les fichiers internes de la machine l'est beaucoup moins.
À noter quand même qu'on est vraiment au tout début de l'histoire. Ces deux émulateurs, disponibles sur la plateforme GitHub, demandent pas mal de bidouille et ne font pour l'instant tourner presque rien de réellement jouable.
Voir la PS5 émulée alors qu'elle est encore en vente a de quoi étonner, mais entre l'écran de chargement et un jeu vraiment jouable, il reste quand même tout un monde.
Source : NotebookCheck
Vous vous souvenez de BirdNet-Pi ? Ce montage dont je vous avais parlé, qui collait un micro sur un Raspberry Pi pour reconnaître les piafs du jardin à l'oreille ? Et bien Henry Sowell, un maker qui signe sous le pseudo de veteranbv, vient de pousser le délire un cran plus loin avec Inky Bird Frame. Il s'agit d'un cadre e-ink accroché au mur qui affiche les oiseaux repérés autour de chez vous, façon planches naturalistes de carnet de terrain du 19e siècle.
Dans le cadre, un écran Pimoroni Inky Impression de 13,3 pouces, du e-paper 6 couleurs en 1600x1200, avec un Raspberry Pi Zero 2 W planqué derrière qui se contente d'afficher l'image. Mais le vrai boulot se fait ailleurs, sur un contrôleur (un Pi 4, ou n'importe quel Mac ou Linux qui traîne chez vous) qui surveille les observations publiques d'oiseaux dans un rayon configurable autour de votre maison.
Le cadre en situation, avec sa planche Eastern Bluebird ( Source )
Pour les données, vous prenez ce qui vous arrange. iNaturalist par défaut, eBird si vous préférez (avec un plafond à 50 km et 30 jours), ou même votre propre station BirdWeather si vous en avez déjà une qui écoute le jardin. Et grâce à àa, dès que vos micros captent une fauvette, hop, elle s'affiche sur votre mur.
C'est chouette hein ? (vous l'avez ?)
Aussi, quand une espèce jamais croisée dans votre coin pointe le bout de son bec, et que sa planche n'existe pas encore, hé bien le contrôleur la fabrique alors avec Codex, le CLI d'OpenAI, que le projet fait tourner via un simple abonnement ChatGPT, en s'appuyant sur des photos de référence sous licence et une fiche documentée sur l'oiseau.
Et pour éviter l'effet slop IA, chaque planche passe ensuite devant une seconde IA qui joue les contrôleuses qualité, en la comparant avec des photos de référence (plumage, proportions, forme du bec), en la vérifiant avec 2 sources d'autorité minimum et les noms scientifiques exacts.
Le catalogue commun compte déjà 71 espèces approuvées via des pull requests validées par la CI, c'est vraiment joli en plus, regardez :
Une planche du catalogue, générée puis validée par le pipeline ( Source )
Bon, maintenant le tarif. Comptez environ 360 dollars pour le cadre seul, dont 275 dollars juste pour l'écran (l'e-paper couleur en 13 pouces, ça douille !), et si vous ajoutez le Raspberry Pi 4, la facture montera à 350$.
Autre point qui pique un peu, le catalogue actuel est bourré d'oiseaux nord-américains, Eastern Bluebird, Northern Cardinal et toute la clique. Vos mésanges charbonnières et vos rouges-gorges, il faudra donc les générer vous-même, ce qui rend l'abonnement ChatGPT quasi obligatoire pour un utilisateur français.
Après pour le reste, j'ai l'impression que c'est assez complet. Ça fait une rotation des planches en séquentiel, aléatoire ou pondérée selon le nombre d'observations. Vous recevez des notifications pushover. Ça peut se brancher sur Discord, Slack ou Home Assistant via Apprise. Et toute l'intelligence reste bien sûr du côté du contrôleur.
Voilà, si ça peut vous intéresser, c'est sous licence MIT sur GitHub Avec le guide de montage, la liste des courses et bien sûr les photos de la construction.
Et si vous aimez les piafs, mais que monter d'oras péripi, c'est pas trop votre truc., Merlin Bird ID jetez un oeil aussi à ce projet qui est beaucoup plus simple d'accès puisqu'il tourne directement sur votre smartphone.
Voilà, je parle souvent de petits bricolages dans ce style, et c'est assez rare que j'ai envie de me lancer moi-même dedans, mais là, celui-là me plaît vraiment bien. Je ne sais pas si j'aurai le temps, mais je me dis que c'est un projet cool que je ferais bien un jour.
Un comité d'experts mandaté par la Commission européenne a rendu ses conclusions ce lundi, et la ligne est nette : il faut encadrer partout dans l'Union l'accès des mineurs aux plateformes en ligne.
L'idée principale, c'est une majorité numérique par étapes.
Avant 13 ans, on serait donc sur une tolérance zéro. Aucun réseau social, pas d'assistant d'intelligence artificielle. La seule exception tolérée serait un usage encadré par un parent ou installé dans le cadre de l'école.
Entre 13 et 18 ans, l'accès serait possible, mais sérieusement conditionné. Il faudrait une vérification d'âge fiable, et surtout des plateformes capables de prouver qu'elles ont retiré leurs fonctions les plus addictives, le défilement sans fin et les notifications qui vous rappellent toutes les cinq minutes.
Ce n'est qu'à 18 ans qu'un Européen récupérerait sa pleine autonomie numérique, avec quand même une vérification d'âge pour tout ce qui est réservé aux adultes.
Derrière tout ça, il y a l'idée que l'enfance est une période fragile pour le développement du cerveau. Ursula von der Leyen, la présidente de la Commission, estime que les enfants doivent pouvoir jouer et se faire des amis dans le vrai monde, sans qu'un algorithme ne s'en charge à leur place.
Sur le terrain, plusieurs pays ont déjà dégainé, la France en tête, suivie de l'Espagne, la Grèce, le Danemark, l'Autriche ou encore la Suède. L'Estonie, elle, freine des quatre fers et refuse la moindre interdiction, alors qu'une partie des Vingt-Sept n'a toujours pas tranché.
C'est justement pour éviter ce patchwork que Bruxelles pousse une règle commune, bien plus simple à imposer à des plateformes déjà largement encadrées à l'échelle européenne.
Et la Commission ne fait pas que cogiter. Vendredi, elle a sommé Meta de revoir les interfaces d'Instagram et Facebook, jugées trop addictives, sous peine d'amende, exactement comme elle l'avait déjà exigé de TikTok en début d'année.
Fixer la barre à 13 ans plutôt qu'à 15 ou 16 est un vrai pari, mais tant qu'on ne saura pas vérifier l'âge sans ficher tout le monde, le plus dur restera à faire.
Source : NYTimes
Google est allé raconter à la Commission européenne ce que les gens qui s'y connaissent un peu en réseau répètent depuis 15 ans : Bloquer les résolveurs DNS, les VPN et les adresses IP pour lutter contre le piratage, ça ne marche pas.
Dans un document envoyé pour la consultation sur la révision de la directive copyright, Mountain View écrit que "bloquer les résolveurs DNS, les IP ou les VPN est inefficace, car cela ne supprime pas du tout le contenu et se contourne facilement en utilisant des résolveurs DNS alternatifs".
Le plus marrant ??? Bah c'est que Google sait très exactement de quoi il parle, vu que la justice française l'oblige déjà à filtrer son propre résolveur 8.8.8.8 pour protéger les matchs de foot de Canal+ (Fun fact : J'ai pas vu une seule image, ni score, ni entendu une seule histoire à propos de la Coupe du Monde cette année, tellement les algos savent que ça ne m'intéresse pas.... loool)
Pour ceux qui débarquent (oué oué), le blocage DNS, c'est demander aux annuaires du net (souvent ceux de votre FAI) de faire semblant de ne pas connaître l'adresse d'un site. Le site reste en ligne, ses serveurs tournent, et vous le retrouvez facilement en moins de 2 min, en changeant de résolveur ou en allumant un VPN.
Le blocage d'adresses IP, c'est encore pire, parce qu'une même adresse est souvent partagée par des milliers de sites sans aucun rapport entre eux... En bloquer une, ça revient donc souvent à couper l'électricité de tout l'immeuble pour punir un seul locataire.
Et des immeubles plongés dans le noir, la soumission de Google en aligne toute une collection. Je pense par exemple à ce document étiquetté "Privileged and Confidential" que la Commission a quand même publié (lol, des champions, je vous dis !) et qui cite le nom de clients de Google Cloud parfaitement en règle, qui pourtant ont été entièrement coupés à Internet fin 2019 au Portugal. Tout ça parce que des fournisseurs d'accès Internet locaux avaient bloqué des ASIP partagés pour viser certains sites pirates...
Ou encore un sous-domain de Google Drive ainsi que des IP Cloudflare sur lequel reposaient plus de 42 millions de domaines victimes du Piracy Shield italien. Ah et j'ai oublié l'Espagne qui vient compléter ce joli bingo parce que là-bas les blocages réclamés par LaLiga (la ligue de foot locale) durant les matchs, on fait carrément tomber +550 000 dont les sites d'Amnesty International, de l'UNICEF, du Sénat australien, de la Stanford Law Review et même des serveurs Amazon S3.
Et en France, je ne sais pas si vous vous souvenez, mais Cisco a carrément préféré débrancher son service OpenDNS plutôt que de se plier aux ordonnances de la justice. Quelle bonne ambiance dans ce terreau fertile à la dictature qui nous fonce dessus comme un train de la Deutsche Reichsbahn. (Point Godwin atteint, j'm'en fous, je fais ce que je veux, c'est mon site ^^).
Du coup, les ayants droit réclament maintenant de bloquer aussi les résolveurs alternatifs et les VPN eux-mêmes... et c'est exactement cette fuite en avant que Google demande d'arrêter. En tout cas dans son message, Google rappelle vivement ce que l'industrie du divertissement refuse d'entendre depuis l'époque de Napste : Quand vous avez un catalogue de merde émietté entre des dizaines de plateformes pour des prix exorbitants, avec de la pub, une qualité assez basse et des tas d'œuvres manquantes, eh bien, il ne faut pas s'étonner que le téléchargement illégal reparte de plus belle.
Maintenant, c'est vrai que Google ne joue pas les chevaliers blancs par pure bonté d'âme. En fait, ce qu'ils défendent, c'est leur résolveur maison, leur cloud et leurs clients. Elle reste par exemple très silencieuses sur tous les projets de loi de blocage qui avancent en ce moment même au Congrès américain.
Mais sur le fond, on ne peut pas leur donner le tort surtout quand je vois que le DNS4EU, le résolveur souverain européen, se fait déjà mettre la pression pour filtrer les sites pirates.
Voilà, la consultation est close depuis le 25 juin dernier et la commission est actuellement en train d'éplucher toutes les contributions pour décider des futures conneries qu'elle va faire. On croise les doigts quand même.
Frank Denis , c'est le monsieur qui fait tourner un bon morceau d'Internet sans que personne le sache : libsodium, dnscrypt-proxy, Pure-FTPd, c'est lui. Et dernièrement, il s'est attaqué aux agents de codage IA avec Swival , un outil pensé pour les petits modèles qui tournent en local sur votre machine.
Le truc de Frank c'est d'écrire du logiciel réputé incassable depuis 25 ans. Si vous chiffrez vos requêtes DNS, y'a des chances que ça passe par son dnscrypt-proxy , et si vous utilisez du chiffrement dans à peu près n'importe quelle app moderne, libsodium n'est jamais bien loin. Du coup, quand ce profil-là sort un agent de codage en Python, licence MIT, gratuit, je pense que ça vaut le coup de s'y arrêter 2 minutes.
Il a codé cela parce que les outils d'agentique existants l'ont sérieusement gonflé. C'est beau, c'est neuf, c'est lavé avec Mir Laine mais.... ça plante !! Et l'autre reproche qu'il leur fait c'est concernant la confidentialité. En effet, utiliser un agent, c'est forcément voir partir on ne sait où nos données personnelles... nos clés API, nos URLs internes, nos noms de projets... tout ça est allègrement bouffé par le fournisseur de modèle qui derrière s'en sert pour tout un tas de choses pas cool. C'est notamment pour cela que Swival embarque une option --encrypt-secrets qui détecte les credentials dans les messages et les chiffre avant qu'ils quittent votre machine. Une denrée rare chez les agents de codage, et ça c'est du pur Frank Denis !
Y'a aussi la gestion du contexte, qui est le gros morceau. Les agents classiques sont conçus pour des modèles frontière avec des fenêtres géantes. Sauf que votre LLM local, lui, doit souvent se débrouiller avec 32K de contexte, et là tout déborde très vite. Swival, lui, prend le truc à l'envers. Chaque sortie d'outil est plafonnée direct à la source : 50 Ko max par fichier lu, 100 résultats de grep, 100 entrées par listing. Et une fois que l'agent a fini de fouiller votre code, un système de snapshots vire ses 12 000 tokens de lectures pour les remplacer par un résumé de 200 tokens.
Et c'est pas fini. Rajoutez là-dessus une compaction automatique en 7 niveaux progressifs (du simple ménage au grand débarras), plus des notes de travail qui survivent à tout ça. Résultat, un agent qui tient des sessions à rallonge sans partir en vrille. La doc montre d'ailleurs Swival en train d'avaler une refactorisation multi-fichiers avec Qwen3-Coder-Next dans 32K sous LM Studio sans broncher...
Et pour brancher tout ça, vous avez le choix. 11 backends quand même ! LM Studio par défaut (zéro config, il repère tout seul votre modèle chargé), llama.cpp pareil, HuggingFace, OpenRouter, Google Gemini et Vertex AI. Envie de lourd ? ChatGPT Plus ou AWS Bedrock. Et pour les curieux, les Apple Foundation Models en expérimental, un provider générique compatible OpenAI (ollama, vLLM, mlx_lm.server...) et même une commande externe de votre choix.
Pour trouver un modèle qui tienne dans votre RAM, Hugging Face sait filtrer selon votre matos et une fois que vous avez fait votre choix, l'installation tient en une ligne (via uv, Python 3.13 minimum) :
uv tool install swival
Ensuite, il suffit de taper, par exemple : "Refactore la gestion d'erreurs de src/api.py" et l'agent se met au travail pour peu que vous ayez déjà un LMStudio ou un llama.cpp qui tourne avec un modèle chargé...
Ah j'oubliais, si vous êtes sous Mac vous pouvez même l'installer avec Homebrew :
brew install swival/tap/swival
Ensuite, au niveau des commandes, il y a aussi, par exemple, une commande /audit qui vous permet de faire de la chasse aux failles de sécurité dans votre code. Tout cela avec des agents isolés chacun dans des worktrees séparés et qui sont obligés de reproduire chaque bug avant de l'inscrire dans le rapport.
Et côté sécurité, vous avez deux sandboxes au choix. Soit Agent FS d'un côté (l'agent bosse sur une copie de vos fichiers, votre projet reste intact) ou nono (non, pas le petit robot) de l'autre (avec barrières au niveau du noyau, blocage réseau compris). Sans oublier la mémoire persistante entre vos sessions, le support MCP et un mode serveur pour interconnecter vos agents entre eux.
Voilà donc de quoi venir jouer dans la cour de ZCode côté z.ai et compagnie...
Voilà, je me suis dit que ça allait vous intéresser, donc si vous voulez zieuter le code, direction GitHub , sinon, toute la doc se trouve sur le site officiel .
Merci Friendly_0day pour le lien !
Moi je me suis lancé en 2004 et un an plus tard il y a YouTube qui débarquait. C'était bien avant de se faire racheter par Google. Et j'avoue que j'en attendais pas grand-chose. Parce qu'à l'époque, on était vraiment sur des connexions pourries et la vidéo, c'était un truc très américain.
Mais à l'époque, moi de ce que je me souviens de YouTube, c'est que c'était très brut ça. On pouvait mettre des étoiles sur les vidéos pour les noter. Il y avait des catégories vraiment fourre-tout. Et puis c'était surtout pas mal de vidéos filmées au caméascope et numérisées après. Qui étaient bien pourries en termes de qualité.
Et voilà que un certain JR s'est dit que ce serait trop cool de reconstruire tout ça comme à l'époque. Et voilà comment est né KamTape , lancé en août 2023.
Si vous n'avez pas connu YouTube à ses débuts, vous allez kiffer parce que la reconstitution va très loin. Tout y est. Il y a les catégories d'époque (Gadgets & Games, Howto & DIY, Pets & Animals…), la notation avec les étoiles, les playlists, les favoris et bien sûr les abonnements.
Ah, et petite précision, il n'y a surtout aucun algorithme pour vous suggérer du contenu. Il n'y a pas de recommandation, il n'y a pas de page d'accueil qui vous connaît mieux que votre propre mère. Donc pour dénicher la vidéo de vos rêves, il faut cliquer au pif dans les catégories et hop, surprise !
La page d'accueil de KamTape, avec ses vidéos qui plafonnent à 400 vues.
Ce qui est cool, c'est qu'on peut même uploader ses propres vidéos, donc les youtubeurs là qui passez votre temps à vous plaindre de YouTube, vous savez quoi faire maintenant ^^.
Ah les trucs rigolos aussi c'est le Fact Sheet , qui reprend quasiment mot pour mot les vrais communiqués de presse de YouTube de l'époque en changeant juste le nom.
Du coup, la plateforme revendique très sérieusement 70 millions de vidéos vues par jour, 6 millions de visiteurs uniques et une place de 18e site le plus visité d'Internet... alors que leurs vidéos dépassent rarement les 400 vues.
Voilà, c'est un sacré portail temporel. Et puis surtout, c'est pas le seul dans ce délire, puisqu'il existe toute une scène de "revivals" qui ressuscitent les vieilles plateformes : BitView, VidLii, EraCast et compagnie, avec des wikis communautaires qui documentent leurs pannes et leurs changements de propriétaires comme s'il s'agissait de multinationales.
Et des pannes, KamTape en a connu un paquet ! Mais bon, un site qui plante de temps en temps, ça fait aussi partie du charme du early-web. En tout cas, si ce genre de plongée dans le web d'avant vous parle, allez fouiller Internet Artifacts , et pour la même ambiance côté jeux, y'a RetroAssembly qui tourne direct dans le navigateur.
Vous avez peut-être remarqué un petit point rouge tout en bas de mon site, avec un nombre à côté. Il s'agit du nombre de personnes passées sur le site durant la dernière heure.
Je voulais remettre ce truc depuis un bail, bien à l'ancienne comme dans les années 2000 mais sur un site statique, qui plus est sans tracker de stats JS type Google Analytics ou Matomo, et sans cookies de tracking, c'était pas franchement une option... jusqu'à maintenant !
Le compteur, en vrai, tout en bas de korben.info.
La solution évidente sur des sites statiques, c'est souvent un petit Worker Cloudflare qui compte les visiteurs et servirait le chiffre, mais ça se facture à chaque requête. À 390 000 pages vues par jour, ça grimpe vite à des dizaines de millions d'invocations par mois, soit dans les 6 à 7 dollars. C'est pas super cher mais pour un compteur qui n'est utile qu'à satisfaire mon égo tout en sachant s'il y a du monde aujourd'hui, ça ne sert strictement à rien ! Donc le Worker, je l'ai écarté direct.
Du coup j'ai fait ça à l'ancienne. Un petit script Python tourne sur la machine qui héberge le site, une fois par minute. Il pose une seule question à Cloudflare, à savoir combien d'adresses IP distinctes ont chargé une page durant la dernière heure (ou demi-heure, ou quart d'heure ou 5 min, c'est vous qui paramétrez), il écrit la réponse dans un minuscule fichier live.json de quelques centaines d'octets, et c'est tout. Ce fichier, Cloudflare le sert ensuite depuis son cache comme il servirait une image, gratuitement. Zéro Worker, zéro base de données, zéro abonnement, j'ai exactement le même résultat sans dépenser une thune.
Maintenant, faut que je sois clair sur ce que ce chiffre raconte. C'est le nombre de navigateurs distincts ayant chargé une page durant la dernière heure, hors trafic interne de Cloudflare. C'est un "*combien de monde est passé récemment *", pas un "combien lisent là tout de suite".
Et les bots là-dedans ?
En fait, les bots pourris , ceux qui scrapent en boucle, se font bloquer en amont par le Super Bot Fight Mode de Cloudflare, donc ils n'arrivent même pas jusqu'à mon site. Restent les gentils bots, du genre de Googlebot et compagnie, que je laisse passer exprès, parce que les bloquer reviendrait à me flinguer mon référencement. Sur les 7 derniers jours, Cloudflare classe à peine 4% comme bots vérifiés. Donc c'est une goutte d'eau, surtout qu'ils tournent sur une poignée d'IP. Donc oui, mon compteur avale deux ou trois crawlers au passage, mais je ne voulais pas vous mentir en écrivant "zéro bot". Mais l'essentiel c'est que les nuisibles, eux, ne soient pas comptabilisés.
J'ai aussi dû gérer un petit piège car l'API de Cloudflare plafonne sa réponse à 10 000 lignes. Et comme sur une heure entière de trafic ça peut se remplir vite, si je crève ce plafond, la requête sous-compterait sans rien dire. Donc le script lève un flag et le compteur affiche "10 000 personnes ou plus" plutôt qu'un faux nombre. Quand j'y serai aux 10 000 et plus, je pense que je réduirai alors le delta temps en passant de 1h à 30 min...etc.
Côté vie privée, c'est carré également. Cloudflare renvoie à mon serveur une liste JSON des IP passées dans l'heure, mon script en compte le nombre de distinctes, et efface cette liste de sa mémoire dans la milliseconde qui suit. Aucune IP n'est stockée, aucune n'atterrit dans un log, aucun fichier avec les IPs n'est créé sur le disque... Il ne reste qu'un entier. Comme je vous le disais, pas de cookie , pas de traceur, et rien qui touche votre navigateur . Et comme le compteur ne s'affiche jamais en dessous de 10 personnes, impossible d'isoler qui que ce soit.
Maintenant, si vous voulez le même chez vous, sachez que j'ai tout balancé en open source sur GitHub , sous licence MIT, donc servez-vous. Voici les pré-requis :
live_count.py sur votre serveur et vous le lancez une fois par minute (ou toutes les 5 ou 10 min) via un cron.span dans vos pages, tout se règle par des attributs, aucun script inline, donc ça passe même avec une politique de sécurité stricte.Le seul truc sur lequel ne pas vous louper, c'est de mettre un temps de cache court à live.json. Si c'est trop long, tous vos visiteurs verraient un chiffre périmé.
Voilà. Un petit compteur maison simili-live sans tracking et qui ne me coûte rien, c'est le bonheur !