Autoblog de korben.info

Europol, Microsoft et plusieurs agences de six pays européens viennent de mettre hors service Tycoon 2FA, une plateforme de phishing vendue sur abonnement qui contournait la double authentification. 330 domaines ont été saisis, et le développeur principal a été identifié au Pakistan.

Une machine à phishing sur abonnement

Pour mieux vous poser le tableau, le Tycoon 2FA fonctionnait comme un service clé en main pour cybercriminels. Pour 120 dollars les dix jours ou 350 dollars par mois, n'importe qui pouvait accéder à un panneau de contrôle avec des pages de phishing prêtes à l'emploi, qui imitent les interfaces de connexion de Microsoft 365, Outlook, Gmail ou même SharePoint.

Le kit interceptait les sessions d'authentification en temps réel, ce qui permettait de contourner la double authentification sans que la victime ne se doute de quoi que ce soit. Depuis août 2023, la plateforme a généré des dizaines de millions de mails de phishing par mois. Microsoft estime en fait que Tycoon 2FA représentait à elle seule 62 % des tentatives de phishing bloquées mi-2025, c'est faramineux.

100 000 organisations touchées dans le monde

64 000 incidents de phishing ont été reliés à la plateforme, et près de 100 000 organisations ont été compromises à travers le monde, dont des hôpitaux, des écoles et des administrations publiques.

Les États-Unis arrivent en tête avec 179 000 victimes, suivis du Royaume-Uni, du Canada, de l'Inde et de la France avec 6 823 victimes identifiées. Si vous utilisez Microsoft 365 ou Outlook au quotidien, c'est le genre de kit qui ciblait directement vos identifiants. Le développeur principal, un certain Saad Fridi basé au Pakistan, a été identifié par Trend Micro dès novembre 2025 sous les pseudos "SaaadFridi" et "Mr_Xaad".

L'opération a mobilisé les polices de six pays (Lettonie, Lituanie, Portugal, Pologne, Espagne et Royaume-Uni) sous la coordination du Centre européen de lutte contre la cybercriminalité d'Europol.

330 domaines saisis d'un coup

Microsoft a mené la partie technique en neutralisant 330 domaines qui servaient de pages de phishing et de panneaux de contrôle. Cloudflare, Coinbase, Intel 471, Proofpoint, SpyCloud et Trend Micro ont aussi participé à l'opération. La plateforme n'a toujours pas donné lieu à des arrestations à ce stade. Le développeur a été identifié, mais aucune interpellation n'a été annoncée.

Le fait que des boîtes privées comme Microsoft et Trend Micro travaillent main dans la main avec Europol est interessant, et ça produit des résultats. Mais 330 domaines saisis sur une infra qui en générait de nouveaux toutes les 24 à 72 heures, on peut se demander combien de temps ça va tenir.

La France est le cinquième pays le plus touché avec presque 7 000 victimes, et quand on sait que le phishing représente 43 % des cyberattaques déclarées par les entreprises françaises, ça donne une idée de l'ampleur du problème.

On espère que cette opération servira d'exemple, mais d'autres plateformes du même genre sont probablement déjà en train de prendre le relais.

Sources : The Hacker News , Europol

Plus de 600 employés de Google et OpenAI ont signé une lettre ouverte baptisée « We Will Not Be Divided », pour demander des limites claires sur l'usage militaire de l'IA. Le nombre de signataires est monté à près de 900 en quelques jours. Il y a deux gros problèmes dans cette histoire : la surveillance de masse et les armes autonomes. Le contexte est tellement tendu que le Pentagone a même blacklisté Anthropic pour avoir refusé de coopérer.

Une lettre, deux lignes rouges

La lettre, publiée le 28 février sur le site notdivided.org, a d'abord réuni 573 employés de Google et 93 d'OpenAI. En quelques jours, le compteur est monté à près de 900 signatures, dont 800 côté Google. Les signataires posent deux lignes rouges : pas de surveillance de masse des citoyens américains, et pas de systèmes d'armes autonomes sans supervision humaine. « Les responsables gouvernementaux tentent de pousser les entreprises d'IA à abandonner certaines limites éthiques. Cette stratégie ne fonctionne que si aucun de nous ne sait où se situent les autres », peut-on lire dans la lettre.

Anthropic blacklisté par le Pentagone

Tout est parti d'un bras de fer entre Anthropic et le Pentagone. Le département de la Défense avait donné un ultimatum à Anthropic : lever ses restrictions sur Claude pour permettre son utilisation dans la surveillance domestique et les armes autonomes, ou perdre ses contrats fédéraux. Anthropic a refusé. La réponse a été immédiate : Trump a ordonné l'arrêt de toute utilisation des produits Anthropic par les agences fédérales, et le secrétaire à la Défense Pete Hegseth a désigné l'entreprise comme « risque pour la chaîne d'approvisionnement ». Le gouvernement a même menacé d'invoquer le Defense Production Act, une loi datant de la guerre de Corée, pour forcer Anthropic à coopérer. Et quelques heures après ce refus, OpenAI annonçait un accord avec le Pentagone pour déployer ses modèles sur les réseaux classifiés.

Altman tente de calmer le jeu

Sam Altman a organisé une session de questions-réponses sur X le samedi 1er mars. Il a reconnu que l'accord avait été « précipité » et que « les apparences ne sont pas bonnes ». Sa justification : vouloir « désamorcer » les tensions entre le Pentagone et Anthropic, et éviter que le gouvernement ne force les entreprises privées à coopérer. Sauf que l'accueil a été glacial. L'application Claude est montée à la deuxième place de l'App Store en téléchargements, les bureaux d'OpenAI à San Francisco ont été recouverts de graffitis, et l'un des employés d'OpenAI, Leo Gao, a qualifié les protections du contrat de « décoration de vitrine ».

Le timing d'OpenAI, qui a signé avec le Pentagone le jour même où Anthropic se faisait blacklister, est quand même difficile à avaler. Altman peut dire ce qu'il veut, ça ressemble surtout à du pur opportunisme. Le plus parlant, c'est que le grand public a spontanément pris le parti d'Anthropic, et que les propres employés d'OpenAI contestent l'accord. Perso, j'attends de voir si les lignes rouges réclamées par les salariés déboucheront sur de vraies politiques internes. Pour le moment, c'est Anthropic qui sort grandi de cette séquence, l'air de rien.

Sources : Techradar , Digital Information World

On entend beaucoup parler de l'IA générative ces derniers temps. Et dans les médias classiques, c'est souvent pour s'en inquiéter (pas ici, vous savez que j'essaye de rester positif). Il faut quand même reconnaitre que : phishing plus convaincant, deepfakes, malware qui s'adapte tout seul... la liste des risques est longue et légitime.

Mais il y a un angle qu'on oublie parfois : cette même technologie peut aussi renforcer sérieusement nos défenses. C'est exactement la position que défend Surfshark depuis quelques mois. Pas en mode "l'IA va tout résoudre", mais avec une approche pragmatique. À savoir comment utiliser ces outils pour anticiper, tester et contrer les menaces avant qu'elles n'arrivent jusqu'à vous. Je vous explique comment ça fonctionne, ce que ça change concrètement, et pourquoi c'est une bonne nouvelle pour votre sécurité au quotidien.

L'IA générative n'est pas juste un outil d'attaque

Quand on parle de cybersécurité et d'IA, le premier réflexe est de penser aux cybercriminels. C'est vrai, ils l'utilisent. Pour écrire du code malveillant plus vite, personnaliser des campagnes de phishing, ou générer des variantes de malware qui contournent les signatures classiques. Mais les équipes de défense ont accès aux mêmes capacités. La différence ? L'intention et le cadre d'utilisation.

La "generative AI", dans ce contexte, c'est la capacité à produire du contenu nouveau à partir de modèles entraînés. Cela peut être du texte, du code ou encore des scénarios d'attaque simulés. Ce n'est pas de la magie. C'est de l'ingénierie appliquée à la sécurité. Concrètement, ça permet trois choses essentielles :

D'abord, la détection proactive. Au lieu d'attendre qu'une menace soit identifiée pour la bloquer, les modèles peuvent simuler des milliers de variantes d'attaques plausibles, puis entraîner les systèmes de détection à les reconnaître. C'est comme faire des exercices d'incendie avant que le feu ne se déclare.

Ensuite, l'analyse comportementale. L'IA peut modéliser ce à quoi un trafic réseau "normal" ressemble pour votre infrastructure, puis signaler les écarts subtils qui échapperaient à des règles statiques. Pas besoin que l'attaque corresponde à une signature connue, si le comportement est suspect, le système alerte.

Enfin, l'automatisation des réponses. Quand un incident est détecté, chaque minute compte. L'IA peut résumer les alertes, suggérer des actions de confinement, isoler un compte compromis, générer un rapport pour l'équipe, etc. Les analystes gardent la main sur les décisions stratégiques, mais ne perdent plus de temps sur des tâches répétitives.

Comment Surfshark met ça en pratique

Surfshark n'utilise pas l'IA générative pour faire du marketing ou ajouter des fonctionnalités gadget. L'approche est plus terre-à-terre.

Leur équipe sécurité s'appuie sur ces modèles pour tester en continu leurs propres défenses. Ils génèrent des scénarios d'attaque réalistes, adaptés à leur infrastructure, puis vérifient que leurs systèmes réagissent comme prévu. C'est une forme de "pen-testing" augmenté, plus rapide et plus exhaustif que les méthodes manuelles.

Un autre usage concret c'est l'entraînement des équipes. Plutôt que de se baser uniquement sur des incidents passés, ils peuvent créer des simulations dynamiques, avec des variantes imprévisibles. Ça permet de préparer les analystes à des situations qu'ils n'ont jamais rencontrées, sans attendre qu'elles arrivent pour de vrai.

Côté produit, certaines fonctionnalités bénéficient indirectement de ces avancées. CleanWeb , par exemple, qui bloque pubs et trackers, s'appuie sur des modèles capables d'identifier des schémas de collecte de données de plus en plus sophistiqués. L'IA ne remplace pas les listes de blocage, mais elle aide à les mettre à jour plus vite, face à des acteurs qui adaptent leurs techniques en permanence.

Et pour ceux qui s'inquiètent de la confidentialité, Surfshark précise que les données utilisées pour entraîner ces modèles sont soit synthétiques, soit anonymisées. Rien de ce que vous faites via leur VPN ne sert à nourrir des modèles externes. La politique no-logs, auditée par Deloitte ou très récemment SecuRing (audit en janvier 2026), reste la règle.

Utiliser l'IA en sécurité sans se mettre en danger

Si vous êtes tenté d'expérimenter avec des outils d'IA générative dans votre propre environnement, quelques précautions s'imposent. Déjà, ne partagez jamais d'informations sensibles avec des plateformes publiques comme ChatGPT, Claude, etc. Même si l'outil semble inoffensif, vos requêtes peuvent être conservées, analysées, ou fuiter en cas de brèche. Pour du travail sur des configurations, des logs ou des politiques de sécurité, privilégiez des environnements contrôlés, en local ou avec des fournisseurs qui garantissent la confidentialité des données.

Formez vos équipes. L'IA peut générer du code, du texte, des scénarios très convaincants ... mais elle peut aussi se tromper, introduire des biais, ou proposer des solutions qui semblent logiques alors qu'elles créent des failles. Un œil humain reste indispensable pour valider, contextualiser et décider.

Enfin, gardez une approche critique. L'IA n'est pas une solution miracle. Elle amplifie les capacités humaines, mais ne les remplace pas encore. Une bonne hygiène de sécurité (mises à jour, authentification forte, segmentation réseau) reste la base. L'IA vient en couche supplémentaire, pas en fondation.

Vous le savez maintenant, je ne suis pas de ceux qui voient l'IA comme une menace absolue, ni comme une panacée. C'est juste un outil. Comme un marteau : ça dépend de la main qui le tient.

Ce qui me convainc dans l'approche de Surfshark depuis plusieurs années, c'est le pragmatisme. Pas de promesses grandioses, pas de discours "disruptif". Juste une volonté d'utiliser ce qui fonctionne pour améliorer la protection, tout en restant transparent sur les limites et les risques. Si vous cherchez un VPN qui intègre une réflexion sérieuse sur l'avenir de la cybersécurité, sans sacrifier la simplicité ni la confidentialité, Surfshark coche les cases. L'IA générative n'est pas l'argument principal de leur offre, cela dit c'est un atout discret qui renforce la crédibilité technique de l'ensemble.

L'offre du moment

Surfshark propose toujours son offre à 87% de réduction plus trois mois offerts sur l'engagement 24 mois. Cela revient à 1,99 euro HT par mois (2.39€/mois TTC), avec une garantie satisfait ou remboursé de trente jours. Vous pouvez tester le service, vérifier par vous-même les performances, la facilité d'usage, la réactivité du support et vous avez en plus l' Alternative ID inclus. Si ça ne correspond pas à vos attentes, vous êtes remboursé, sans justification. C'est le prix d'un sandwich triangle par mois pour protéger un nombre illimité d'appareils !

En plus, du 25 février au 23 mars (et dans la limite du stock disponible), Surfshark frappe fort encore plus fort avec une offre exclusive en partenariat avec CALM, l’application de méditation et de sommeil la plus téléchargée au monde. En choisissant un abonnement Surfshark de 1 ou 2 ans, vous obtenez automatiquement 12 mois de CALM Premium offerts, quelle que soit la formule choisie. Elle est pas belle la vie ?

Profitez de l'offre à prix cassé !

Note : il s'agit d'un lien affilié. Cela ne change rien pour vous, mais cela me permet de continuer à produire ce type de contenu indépendant, sans recourir à la publicité intrusive.

Votre PC Windows rame ? Vous ouvrez Chrome et il met 10 secondes à afficher une page vide ? Sans parler de Windows Update qui mouline en arrière-plan et qui transforme votre PC en radiateur ?

Et bien il existe quelques astuces simples pour regagner en fluidité, améliorer la vitesse et la réactivité de votre système, le tout sans avoir à tout réinstaller ou à acheter du nouveau matos.

Je vais vous montrer 9 manipulations concrètes qui peuvent vraiment faire la différence, surtout si votre PC commence à prendre de l'âge ou si vous avez peu de RAM. Rien de révolutionnaire, juste des réglages qui marchent.

Ce qu'il faut savoir avant de commencer

Ces astuces fonctionnent sur Windows 10 et Windows 11. Certaines désactivent des fonctionnalités visuelles ou des services en arrière-plan, donc vous allez gagner en performances mais perdre quelques animations ou fonctions que vous n'utilisez peut-être jamais. C'est un compromis.

• Prérequis : avoir un compte administrateur sur votre PC.
• Temps estimé : 15-20 minutes pour tout appliquer.
• Et surtout, créez un point de restauration avant de commencer (cherchez "Créer un point de restauration" dans le menu Démarrer).

Comme ça, si quelque chose se passe mal, vous pourrez revenir en arrière.

Yolobox - Lâchez vos agents IA sauvages sans flinguer votre home

Thu, 05 Mar 2026 10:07:32 +0100 - (source)

J'avoue que faire tourner un agent IA en mode YOLO sur votre machine, y'a de quoi flipper un peu. Un mauvais prompt et hop, votre répertoire home part en fumée.

Mais heureusement, pour ça y'a Yolobox , un outil en Go qui fait tourner vos agents IA dans un conteneur Docker isolé. En gros, l'agent a les pleins pouvoirs dans son bac à sable par défaut comme ça, votre répertoire home reste intouchable. Claude Code, Codex, Gemini CLI, GitHub Copilot, tout est compatible, préconfiguré et prêt à l'emploi.

En fait avec Yolobox, seul votre dossier projet est monté en lecture-écriture avec le même chemin que sur votre machine et comme ça, l'agent bosse comme si de rien n'était. Sauf que tout le reste (vos clés SSH, vos credentials, vos photos de vacances à la plage naturiste et j'en passe...) est inaccessible depuis le conteneur. L'agent peut faire sudo, installer ce qu'il veut, déglinguer sa config... en fait RIEN ne s'échappe.

L'installation tient en une ligne :

brew install finbarr/tap/yolobox

Par contre, faut Docker Desktop qui tourne derrière, car sans ça, rien ne démarre. Ensuite c'est yolobox claude pour lancer Claude Code, yolobox codex pour Codex, yolobox gemini pour le CLI Google. Ou yolobox run suivi de n'importe quelle commande si vous avez un agent custom...

Côté sécu, y'a 4 niveaux qui vont du basique au parano. Le mode par défaut avec isolation conteneur standard. Un cran au-dessus avec --no-network et --readonly-project pour couper le réseau et passer le projet en lecture seule. Ensuite du Podman rootless. Et le niveau max avec isolation VM complète, parce que des fois faut pas déconner. Ça supporte aussi le runtime Apple Container pour ceux qui veulent rester full macOS.

Et les outils de dev sont déjà embarqués dans l'image : Node.js 22, Python 3, Go, Bun, ripgrep, fzf, jq... Les volumes persistants gardent également vos installations entre les sessions, donc pas besoin de tout réinstaller à chaque lancement.

Attention quand même, ça ne marche pas contre un escape de conteneur délibéré car hé, Docker reste Docker. Mais si vous utilisez Claude Code en mode autonome et que vous faites du vibe coding, c'est le minimum vital pour éviter qu'un agent aille fouiller là où il faut pas .

Bref, allez voir ça et merci à Lorenper pour le partage !

Chronoquoi ?

Thu, 05 Mar 2026 09:58:00 +0100 - (source)

— Article rédigé par l’ami Remouk (DansTonChat) – Merci à lui —

Découvert au détour d'un post reddit, intrigué par le concept et le fait que le jeu ait été réalisé par une seule personne, j'ai demandé une clef au développeur, qui s'avère être français. Il a gentiment accepté, et comme j'ai sincèrement (spoiler) adoooooré l'aventure proposée, je vous en parle ! Il s'agit de Chronoquartz .

Dès le début, c'est le bordel : les méchants volent le chronoquartz et blabla y a rien qui va, y a le feu partout c'est la catastrophe. Résultat : on se retrouve en prison. Bah super. Ça commence bien.

Heureusement, on est malin, on sort de la prison, on avance, on explore quelques salles en évitant les gardes, on se heurte à quelques portes fermées, et au bout de 10 déplacements BIM on se retrouve à notre point de départ.

Quoi ?!

Ok alors attention c'est un peu compliqué à expliquer… Mais en gros, on est dans une boucle temporelle. À chaque fois qu'on change de pièce, ça compte comme un "tour". Et on a 10 tours avant que la boucle ne recommence à zéro. On remonte dans le temps, au tour "0" et on refait 10 tours. Durant ces 10 tours, vous pouvez chercher des indices, qui, mis bout à bout, vous permettrons d'avancer plus loin.

C'est un peu "un jour sans fin" mais dans un jeu vidéo.

Dis comme ça, c'est assez flou, j'en suis conscient. Mais manette en main, on se prend immédiatement au jeu, on s'habitue très vite à cette mécanique, et on voit où le développeur veut en venir. C'est très malin et bien pensé !

On progresse tranquillement, c'est super satisfaisant, et quand on commence à être à l'aise avec le concept, PAF l'aventure "s'ouvre" encore plus, de nouvelles mécaniques arrivent, et c'est… Trop bien !

C'est donc un jeu de réflexion / exploration / énigmes, mais dans lequel on doit réfléchir de manière très différente de d'habitude. Il faut souvent "sortir du cadre" et penser "out of the box" comme disent les américains (ouais je suis bilingue).

Les graphismes sont super mignons, joliment pixelisés, c'est bien fait (aucun bug ou quoi que ce soit), tout est fluide comme il faut. Les musiques sont tops ! C'est vraiment très bien foutu, immense bravo à Infinite Stairs.

En dehors de 2 ou 3 indices qui manquaient un peu, selon moi, de clarté (et encore, j'imagine que ça dépend des gens ?), j'ai trouvé que c'était très futé, très malin.

Le genre de problèmes devant lesquels où on se creuse la tête à fond, puis on a un déclic et MAIS OUI BIEN SÛR ça devient absolument évident. :D

En conclusion, un petit jeu (comptez 6-7h pour voir la fin) à petit prix (10€) qui m'a marqué par l'originalité de son concept, de ses énigmes. L'idée est pourtant casse-gueule mais c'est vraiment réussi, intelligent, globalement bien équilibré, si vous aimez vous creuser la tête : je conseille fortement !

Dispo sur PC (Steam) et Nintendo Switch

Shuffle - Quand 4 IA redesignent votre site (et c'est moche)

Thu, 05 Mar 2026 09:48:07 +0100 - (source)

Shuffle , c'est un outil qui vous propose de redesigner votre site web avec 4 modèles d'IA différents. Vous collez votre URL, vous décrivez ce que vous voulez... et boom, Claude Opus 4.6, GPT-5.2, Gemini 3 Pro et Kimi K2.5 vous pondent chacun leur version. J'ai testé sur ma home. Verdict : c'est moche de fou !

Vous arrivez sur la page, vous entrez l'adresse de votre site, vous tapez un petit prompt du genre "modernise mon blog tech" et vous lancez la machine. Les 4 modèles bossent alors en parallèle et au bout de 30 secondes environ, vous avez 4 propositions de redesign à comparer côte à côte.

Je trouvais le concept cool, sauf que dans la pratique, c'est une autre histoire. Comme je vous le disais en intro, j'ai testé sur korben.info, et les 4 IA ont eu exactement la même idée lumineuse : tout foutre en thème sombre. QUATRE sur QUATRE ! Pas un seul n'a osé proposer autre chose qu'un fond #1a1a2e dégeu avec des accents néon bleu-vert. Original, hein !!

Les 4 propositions de redesign de korben.info... toutes en dark mode. Désolé si votre site ressemble à ça.

On dirait que pour les IA, "blog tech" = "dark mode obligatoire"... et du coup ça ressemble à tous les médias tech génériques qu'on retrouve partout. Sauf si vous précisez "fond clair" dans le prompt, mais même là, c'est pas garanti.

Claude Opus a pondu une esthétique "hacker" avec du code Matrix en fond vert (carrément, on se laaache). GPT-5.2 a carrément rebaptisé le site "KORBEN NEXT" avec une baseline inventée de toute pièce, "La veille tech qui va droit au but"... euh, merci mais non merci j'aime pas le foot. Gemini 3 Pro a opté pour un style magazine éditorial et Kimi K2.5 (le modèle chinois de Moonshot AI) a sorti le gradient hero classique, propre... ou plutôt fade.

Bah ouais, les IA analysent la structure, les catégories, les images... mais le résultat c'est finalement toujours le même template sombre "tech media 2024" qu'on a vu un million de fois. Alors que pour moi, Korben.info c'est pas du tout cette ambiance.

Mais l'outil a quand même des qualités puisque l'éditeur visuel permet de modifier le résultat en drag-and-drop sans toucher au CSS, et vous pouvez même exporter le code dans 4 formats : Next.js, Laravel, WordPress ou HTML classique. En fait, ça peut servir de très bon point de départ si vous avez la flemme de partir d'une page blanche et si votre webdesigner est devenu injoignable depuis qu'il est parti à Punta Cana.

Côté prix, y'a une version gratuite mais limitée à quelques générations, et après puis c'est 24 dollars par mois...etc.

Ça aurait pu être un excellent outil mais malheureusement, les modèles sont formatés sur les mêmes tendances, les mêmes palettes, les mêmes layouts. C'est dommage je trouve. Voilà, après je pourrais vous faire une conclusion bien neuneu genre "C'est pas demain qu'une IA remplacera un vrai directeur artistique qui comprend l'identité d'une marque." mais la réalité, c'est que un humain moyen motivé qui sait ce qu'il veut peut avoir un truc incroyablement bien généré par IA s'il prend le temps le temps de se former et qu'il ne lâche rien ! Tenez par exemple, 100% du template graphique de mon site a été généré à l'aide de l'IA et moi derrière pour la fouetter...

Voilà, si vous voulez rigoler un peu, allez tester votre site sur Shuffle mais ne vous attendez pas à un miracle !

Perspective Intelligence - L'IA de votre Mac sort de sa cage

Thu, 05 Mar 2026 09:36:37 +0100 - (source)

Apple Intelligence, c'est super cool... sauf que c'est verrouillé et dispo sur les appareils Apple uniquement. Du coup, pas moyen d'en profiter depuis votre PC Windows, votre Chromebook ou votre téléphone Android. C'est pour cela qu'un dev a eu une idée plutôt pas con qui consiste à transformer votre Mac en serveur IA accessible depuis n'importe quel navigateur.

Le projet s'appelle Perspective Intelligence Web et le principe c'est que vous installez Perspective Server , ou plutôt une petite app dans la barre de menus de macOS. Et ensuite celle-ci expose les Foundation Models d'Apple (les modèles de langage intégrés à macOS, ceux qui tournent en local sur votre puce M1, M2, M3 ou M4) sous forme d'API compatible OpenAI sur le port 11435. Et voilà comment votre Mac devient un vrai serveur d'inférence IA !

Le client web, c'est du Next.js 16 avec un look à la iMessage, thème sombre, bulles de chat, streaming en temps réel via SSE. Vous vous connectez depuis Chrome sur Windows, Firefox sur Linux, Safari sur iPad... peu importe. Tant que ça affiche une page web, c'est que ça marche !

Et cela vous met à dispo 8 agents spécialisés : code, écriture, traduction, résumés, créativité, tutorat... et même un mode accessibilité. Les conversations sont classées automatiquement et l'historique est stocké dans PostgreSQL (compatible avec le tier gratuit de Neon, donc zéro coût côté BDD).

D'ailleurs l'API de Perspective Server est compatible OpenAI ET Ollama comme ça, vous pouvez aussi brancher Cursor IDE, Continue.dev, ou même Xcode 26 dessus. En gros, tout ce qui sait causer à une API OpenAI peut utiliser l'IA locale de votre Mac. C'est gratos, c'est local, et ça respecte votre vie privée ! Que demande le peuple ?

Si vous avez déjà bidouillé avec Ollama et les modèles locaux , c'est le même genre d'approche... sauf que là ce sont les modèles d'Apple qui font le boulot.

Et côté Apple, faut savoir qu'avec OpenELM en 2024, Apple a commencé à publier certains de ses modèles IA en open source. La différence ici, c'est que les Foundation Models de macOS 26 sont bien plus costauds... et surtout intégrés nativement au système. Ce que fait Perspective Server c'est de les rendre accessibles via une API standard, ce qu'Apple ne propose pas, comme vous pouvez vous douter.

Côté sécurité, le serveur gère les sessions multi-turn avec un TTL de 30 minutes et un système de "guardrail recovery" qui vire les sessions problématiques pour éviter que l'IA parte en vrille. 50 sessions max en parallèle, 3 inférences simultanées... sauf si vous invitez tout le quartier sur l'API, vous serez plutôt à l'aise.

L'installation se fait en une commande curl :

curl -fsSL https://raw.githubusercontent.com/Techopolis/perspective-intelligence-web-community/main/scripts/install.sh | bash

Et éditez ensuite next-app/.env.local avec l'URL de votre base Postgres (DATABASE_URL), puis faites :

cd perspective-intelligence-web-community/next-app && npm install && npx drizzle-kit push && npm run dev

Ouvrez ensuite l'URL http://localhost:3000 , créez vous un compte et vous pouvez commencer à chatter avec l'IA d'Apple.

Voilà, c'est encore jeune mais l'idée est carrément bonne donc à garder dans un coin si vous avez un Mac qui s'ennuie parce que vous avez investi dans un Mac Mini avant de vous rendre compte qu'OpenClaw ça ne servait pas à grand chose ^^ !

Chrome DevTools MCP - Quand Google file les clés de Chrome à l'IA

Thu, 05 Mar 2026 09:24:36 +0100 - (source)

Si vous utilisez un agent IA pour coder, y'a un truc qui sorti y'a quelques semaines et qui change clairement la donne. En fait c'est l'équipe de Chrome DevTools qui a balancé son propre serveur MCP pour connecter vos agents directement aux entrailles de Chrome. 29 outils répartis en 6 catégories (input, navigation, émulation, perf, réseau, debug)... et comme vous allez voir, c'est du lourd !

J'ai testé et c'est pas un wrapper qui clique bêtement sur des boutons. Chrome DevTools MCP donne en réalité un accès direct au Chrome DevTools Protocol via Puppeteer à votre IA. Du coup, votre agent peut capturer des traces de performance, lancer un audit Lighthouse, prendre des snapshots mémoire ou inspecter les requêtes réseau. En gros, TOUT ce que vous faites à la main dans l'onglet DevTools de Chrome, votre IA peut le faire à votre place.

D'ailleurs, si vous aviez kiffé BrowserWing qui enregistre vos actions navigateur pour les rejouer via MCP, ici c'est l'approche inverse. Pas de replay mais votre agent accède directement aux outils de debug. Et l'installation tient en une ligne. Vous collez ça dans votre settings.json (VS Code) ou votre config MCP et hop, c'est parti :

{
 "mcpServers": {
 "chrome-devtools": {
 "command": "npx",
 "args": ["-y", "chrome-devtools-mcp@latest"]
 }
 }
}

Y'a aussi toutes les lignes de commande à taper dans votre console sur le Github, selon votre outil. Ça marche avec VS Code, Cursor, Claude Code , Cline, JetBrains, Gemini CLI... en gros, tout ce qui cause MCP.

Et côté options, y'a aussi de quoi s'amuser. Le mode --headless pour tourner sans interface graphique, --isolated pour un profil Chrome temporaire qui se nettoie tout seul (pratique pour les tests), --slim pour n'exposer que les outils essentiels si vous voulez garder ça minimal, ou encore --channel pour choisir entre Chrome stable, beta, dev ou canary.

Le truc vraiment pratique (enfin moi en tant que "webmaster", j'adore) c'est la partie analyse de performance. Votre agent lance une trace, l'analyse et vous sort un diagnostic, du genre que votre First Contentful Paint est à 3.2 secondes parce qu'un script de 800 Ko bloque le rendu... tout ça sans que vous ayez à ouvrir les DevTools vous-même ! Pour déboguer des pages lentes, c'est carrément royal.

Attention quand même, tout ce que le navigateur affiche est exposé au client MCP donc évitez de lancer ça sur des pages avec vos mots de passe ou vos coordonnées bancaires, évidemment. Ah et comme ça reste un produit du méchant Google qui pompe toutes vos datas, sachez que les stats d'utilisation sont activées par défaut, donc pensez à les désactiver avec --no-usage-statistics si ça vous chiffonne ^^.

Voilà, pour du débogage et de l'analyse de perf pilotés par IA, y'a pas mieux pour l'instant.

Merci à Letsar et Lorenper pour le partage !

vphone - Un iPhone virtuel sur Mac (merci Apple)

Thu, 05 Mar 2026 08:36:20 +0100 - (source)

Virtualiser macOS sur un Mac, tout le monde ou presque sait le faire. Même chose avec Linux... Mais iOS c'est un peu le Graal... Le truc interdit !

Sauf que des chercheurs en sécu viennent de tomber sur VPHONE600AP, un composant planqué dans le firmware Private Cloud Compute d'Apple qui permet de faire tourner iOS 26 en VM sur un simple Mac tout simplement via le Virtualization.framework. En gros, Apple a laissé traîner la clé sous le paillasson...

Pour ceux qui débarquent, Private Cloud Compute (PCC) c'est l'infrastructure serveur qu'Apple utilise pour faire tourner Apple Intelligence et bizarrement, le firmware de ces serveurs, qu'Apple appelle cloudOS, contient un composant qui n'a rien à faire là : un iPhone virtuel. VPHONE600AP, de son petit nom.

iOS 26 dans une VM sur Mac, avec le wallpaper clownfish en guise de bienvenue

C'est vrai que jusqu'ici, on pouvait faire tourner des VM sur iOS via UTM, mais dans l'autre sens c'était niet. Mais le chercheur du nom de wh1te4ever (bien connu dans le milieu du jailbreak iOS) a documenté comment exploiter ce composant dans un writeup hyper détaillé que je vous invite à lire.

La recette, c'est pas sorcier sur le papier : on prend le firmware d'un iPhone 16 sous iOS 26.1 (~8 Go à télécharger), on y greffe les éléments vphone récupérés dans cloudOS, et on patche le résultat jusqu'à ce que le tout accepte de démarrer dans une VM. En pratique, on se doute que c'est évidemment un poil plus corsé que ça mais c'est le résultat qui compte !

Côté patches, 3 niveaux de casse-tête s'offrent à vous. Le mode Regular, le plus pépère, qui se contente de 38 modifications. Le mode Development qui en empile 47. Et le mode Jailbreak avec ses 84 patches !

Le device tree du firmware vphone, aka "iPhone Research Environment Virtual Machine"

Ces patches touchent à tout ce qui empêche normalement iOS de tourner en dehors d'un vrai iPhone : le bootloader (iBSS, iBEC, LLB), la vérification du volume système (SSV bypass), le système de fichiers APFS (seal verification), et le trustcache TXM.

Et pour simplifier tout ça, un autre dev nommé Lakr233 a créé vphone-cli , un outil en ligne de commande qui automatise tout le processus. Téléchargement des firmwares, application des patches, boot de la VM... quelques commandes dans le Terminal et c'est parti. Sans cet outil, il faudrait se taper chaque patch à la main, parce que le processus complet prend une bonne vingtaine d'étapes.

Ensuite, une fois la bête lancée, trois façons d'y accéder : SSH sur le port 22222 pour bidouiller, VNC sur le 5901 si vous voulez voir l'écran, ou RPC sur le 5910. Le tout en 1179x2556, la résolution d'un iPhone 16. Pas mal pour du virtuel !

Bon, quelques conditions quand même.... il faut macOS 15 (Sequoia) minimum, désactiver SIP et AMFI via csrutil disable en mode Recovery, et surtout un Mac Apple Silicon...

Sur Mac Intel, ça ne marchera pas. Maintenant, si vous avez déjà bidouillé de la virtualisation sur Mac , ça ne devrait pas trop vous dépayser, mais comprenez bien que c'est un outil de recherche en sécurité avant tout... même si perso, tester des apps iOS sans vrai iPhone, c'est pas du luxe quand on fait mon job.

Merci à Lorenper pour le lien de vphone-cli !

< Older

Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles