Le noyau Linux est en train de retirer le support matériel des processeurs Baikal, fabriqués par Baikal Electronics en Russie. Pas juste les mainteneurs cette fois, le code lui-même. Les drivers et le support de la plateforme MIPS Baikal-T1 sont en cours de suppression dans les sources du noyau, après des années de tensions autour des sanctions internationales.
Pour remettre en contexte, le support du Baikal-T1 (un CPU MIPS double coeur P5600 cadencé à 1,2 GHz) et du SoC BE-T1000 avait été intégré au noyau Linux à partir de la branche 5.8. Baikal Electronics travaille sur des processeurs domestiques russes, en MIPS et en ARM, pensés pour réduire la dépendance de la Russie aux puces étrangères.
Le problème, c'est que l'entreprise est directement sanctionnée par les États-Unis, l'Union européenne et d'autres pays, avec le soupçon que ses puces puissent finir dans du matériel militaire.
En octobre 2024, une première étape avait été franchie. Onze mainteneurs russes avaient été retirés du fichier MAINTAINERS du noyau, dont Serge Semin, responsable du driver Baikal-T1 PVT et de la plateforme MIPS Baikal-T1.
Linus Torvalds avait tranché clairement : "C'est parfaitement clair pourquoi le changement a été fait, il ne sera pas annulé." Greg Kroah-Hartman, de son côté, avait invoqué des "exigences de conformité" liées aux sanctions américaines OFAC.
Mais à l'époque, le code restait. Les mainteneurs partaient, les drivers non. Du coup, un développeur de chez Baikal pouvait toujours soumettre un patch, même si trouver quelqu'un pour le merger devenait compliqué.
Jakub Kicinski, mainteneur du sous-système réseau du noyau, avait d'ailleurs refusé publiquement d'accepter des patches venant d'employés de Baikal Electronics, en invoquant un malaise personnel face à la situation.
L'étape en cours va plus loin. C'est le support matériel lui-même qui est en train d'être retiré. Concrètement, ça veut dire que les futures versions du noyau ne compileront plus pour cette plateforme, et que les distributions qui montent en version perdront le support natif de ces puces.
Pour les quelques machines qui tournent sur du Baikal-T1 en dehors de Russie (il y en a très peu), ça implique de rester sur un noyau ancien ou de maintenir un fork.
Côté Russie, Baikal Electronics maintient son propre fork du noyau Linux sur GitHub. Le projet n'est pas mort, il est juste découplé de l'upstream. Ça pose quand même une vraie question sur la viabilité long terme d'un fork désormais très isolé, sans les contributions de la communauté internationale.
Bref, Linux tranche dans le dur cette fois. Plus de mainteneurs, et bientôt plus de code non plus.
Source : Phoronix
Zéro. C'est la durée que vous pouvez désormais choisir comme limite Shorts dans les réglages YouTube, sur iOS comme sur Android. Mettez le curseur à zéro, les Shorts disparaissent de votre page d'accueil. Fini le défilement vertical entre deux vidéos longues. Le déploiement mondial est en cours depuis le 15 avril, d'abord pour les comptes parentaux, puis pour tout le monde.
La manipulation prend dix secondes. Vous ouvrez les réglages, vous allez dans "Gestion du temps", vous trouvez "Limite du fil Shorts", vous descendez à zéro. YouTube affiche alors un message disant que votre fil est "en pause pour la journée". Ça se réinitialise le lendemain matin. Les Shorts ne sont pas supprimés de l'app pour autant, ils restent visibles dans l'onglet Abonnements, et si quelqu'un vous envoie un lien direct vers un Short, vous pouvez toujours le regarder. Mais le carrousel infini de la page d'accueil, celui qui vous happe quand vous vouliez juste chercher un tuto, lui, est coupé.
Ce qui est malin, c'est que YouTube n'a pas créé de bouton "désactiver les Shorts". Des millions de gens le réclamaient. La plateforme a plutôt recyclé un outil de bien-être numérique existant, le minuteur de visionnage, et a étendu sa plage jusqu'à zéro. Vous ne "désactivez" rien. Vous vous fixez un "objectif de temps" de zéro minutes. C'est du pur habillage sémantique, mais ça protège YouTube d'un aveu officiel que son propre format pose un problème d'addiction.
YouTube avait mis en place des limites allant de 15 minutes à 2 heures il y a quelques mois, sous pression des régulateurs (Digital Services Act en Europe, auditions au Congrès américain). L'option zéro en est l'extension logique. Mais c'est aussi un aveu discret. Pas mal d'adultes veulent juste un YouTube sans TikTok dedans, et c'est un constat que Google n'avait visiblement pas envie de formuler publiquement.
Pour les créateurs qui misent tout sur le format court, c'est quand même un problème. Leurs vidéos restent accessibles aux abonnés, mais la visibilité organique via l'accueil tombe à zéro pour tous les utilisateurs qui vont activer l'option. YouTube n'a pas communiqué de chiffres sur l'adoption, et ne le fera probablement pas.
Bref, si les Shorts vous gonflent, l'interrupteur existe. Il est juste planqué trois menus plus loin.
Source : The Verge
Une attaque par la chaîne d'approvisionnement a frappé WordPress début avril. Un individu a racheté une trentaine de plugins via la marketplace Flippa, y a injecté du code malveillant et a attendu huit mois avant de l'activer. WordPress a fermé les 31 plugins concernés le 7 avril, mais la mise à jour officielle ne suffit pas à nettoyer les sites touchés.
L'attaque est redoutable par sa simplicité. Un individu, identifié sous le prénom "Kris", a racheté pour plusieurs centaines de milliers d'euros un catalogue d'une trentaine de plugins WordPress sur Flippa, une marketplace de vente de sites et d'extensions. Ces plugins appartenaient à la société Essential Plugin / WP Online Support. Ils étaient actifs, mis à jour, et installés sur des milliers de sites.
En achetant le catalogue, l'acheteur a récupéré l'accès au dépôt officiel WordPress.org et a pu pousser des mises à jour directement aux utilisateurs. Le code malveillant a été injecté dès août 2025, mais il est resté dormant pendant huit mois. L'activation a eu lieu les 5 et 6 avril 2026.
Côté technique, l'attaque est assez vicieuse. Le module injecté (wpos-analytics) utilise une désérialisation PHP pour communiquer avec un serveur de commande. Et là, le point intéressant : au lieu d'utiliser un domaine classique pour piloter la backdoor, le malware résout l'adresse de son serveur C2 via un smart contract Ethereum, en interrogeant des points d'accès RPC publics. Résultat, couper un nom de domaine ne sert à rien. L'attaquant peut mettre à jour le smart contract à tout moment pour pointer vers un nouveau serveur.
Le payload injecte du code dans le fichier wp-config.php (environ 6 Ko) et crée un fichier wp-comments-posts.php, un nom assez proche des fichiers légitimes pour passer inaperçu. Le tout sert à afficher du spam SEO (liens, redirections, fausses pages) uniquement à Googlebot, ce qui rend l'attaque invisible pour le propriétaire du site.
WordPress.org a fermé les 31 plugins touchés le 7 avril et a poussé une mise à jour forcée le lendemain. Sauf que cette mise à jour ne nettoie pas le fichier wp-config.php, qui est le vrai point de persistance de la backdoor. Si vous avez l'un de ces plugins installé (Countdown Timer Ultimate, Popup Anything on Click, Post Grid and Filter Ultimate, WP Slick Slider, Album and Image Gallery Plus Lightbox, Responsive WP FAQ, entre autres), il faut aller vérifier votre wp-config.php manuellement et chercher un bloc de code d'environ 6 Ko qui n'a rien à y faire. Le fichier wp-comments-posts.php à la racine du site doit aussi être supprimé s'il est présent.
La vraie leçon ici, c'est que la confiance dans un plugin WordPress repose sur son historique, et qu'un changement de propriétaire peut tout remettre en question du jour au lendemain. WordPress.org ne vérifie pas les changements de mains sur les comptes développeurs, et n'a aucun mécanisme d'alerte quand un catalogue entier passe à un nouvel acheteur. Tant que ce trou existe, ce genre d'attaque peut se reproduire. Et le fait que la mise à jour officielle ne nettoie même pas les sites infectés, c'est quand même un problème.
Source : The Next Web
Tapez $TSLA ou $BTC dans un post sur X, et maintenant ça vous affiche un cours en temps réel, un graphique interactif et un fil de discussion lié à l'actif. C'est disponible depuis le 14 avril sur iPhone. Pour Android et le site web, ça sera pour plus tard.
Le principe est assez simple. Un $ticker dans un post déclenche la suggestion automatique de l'actif correspondant. Le graphique couvre de 1 jour à 1 an, le prix est actualisé en continu, et le fil agrège les posts qui mentionnent cet actif. Côté crypto, les adresses de contrats sur Solana et Base sont aussi prises en charge, ce qui veut dire que les memecoins sont de la partie. Forcément.
Au Canada, X va plus loin. Un partenariat avec Wealthsimple permet d'acheter ou vendre directement depuis la timeline. Un bouton "trade" apparaît sur chaque page Cashtag et route l'ordre vers Wealthsimple, actions comme crypto. C'est la première intégration courtier sur X, et probablement un ballon d'essai avant de pousser ça ailleurs.
Elon Musk parle depuis des années de transformer X en "app à tout faire". Nikita Bier, responsable produit, avait teasé les Cashtags en janvier, et la livraison a été plutôt rapide. Le volet financier de X n'est plus juste un slide de keynote, il commence à exister dans l'app.
Sauf que voilà, mélanger discussions crypto et exécution d'ordres dans une timeline où circulent du pump-and-dump, du shilling payé et des faux comptes, c'est un cocktail que les régulateurs vont scruter de très près. La SEC n'a rien dit pour l'instant. Mais Cashtags + trading intégré + memecoins + algorithme de viralité, ça coche quand même pas mal de cases potentiellement problématiques.
Pour les utilisateurs français, la fonction est visible mais pas encore utilisable avec un courtier local. Le trading reste cantonné à Wealthsimple au Canada. Si X veut ouvrir ça en Europe, il faudra passer par les agréments MiFID, et ce n'est pas gagné pour le moment.
Bref, X se rapproche du super-app financier que Musk promet depuis le rachat. Le régulateur, lui, se rapproche de X.
Source : Forbes
La mise à jour d'avril du SDK Agents d'OpenAI introduit deux nouvelles briques qui manquaient pour passer de l'agent-jouet au déploiement réel. Le sandboxing natif permet de confiner un agent dans un espace de travail isolé, avec accès limité aux fichiers et outils d'un périmètre défini. Et le nouveau harness d'exécution sépare proprement le plan de contrôle (boucle agent, appels modèle, routing d'outils, approbations, tracing, récupération d'erreurs) du plan de calcul (sandbox où l'agent lit, écrit, exécute du code, installe des dépendances, snapshot son état).
L'architecture est pensée pour les agents "long-horizon", ceux qui travaillent sur des tâches complexes en plusieurs étapes, sur des durées longues, avec un besoin de persistance d'état entre les étapes. Le harness gère la coordination, le développeur apporte son propre compute et stockage. C'est une séparation qui permet de brancher le SDK sur n'importe quelle infrastructure, que ce soit Cloudflare, Vercel, Blaxel ou un cluster interne.
Le SDK introduit aussi une abstraction "Manifest" pour décrire un workspace de manière portable. En clair, vous décrivez les outils, les fichiers et les permissions disponibles dans un format standardisé, et le harness sait reconstituer l'environnement ailleurs. C'est utile pour le test, pour la reproductibilité, et pour déployer le même agent dans des environnements différents sans reconfigurer à la main.
Le lancement est Python d'abord, TypeScript prévu après. Classique. Ça peut agacer les équipes full-stack qui bossent en TypeScript, mais c'est quand même très cohérent avec le fait que la majorité des workloads agents en prod tournent encore en Python, surtout côté data et sécurité.
Ce qui est intéressant, c'est le sous-texte. OpenAI pousse un modèle où son SDK est le harness, et le compute est chez le client ou chez un partenaire cloud. C'est un positionnement de plateforme d'orchestration, pas de fournisseur d'infra. Anthropic et Google proposent des approches comparables avec leurs propres SDKs, mais OpenAI a l'avantage du premier écosystème de plugins et d'outils tiers déjà en place.
Bref, pour les devs qui construisent des agents en prod, cette release comble de vrais trous. Sandboxing et harness, c'étaient les deux pièces manquantes.
Source : Techcrunch
Pour accéder à certaines fonctionnalités de Claude, Anthropic peut maintenant vous demander une pièce d'identité officielle (passeport, permis de conduire, carte nationale d'identité) et un selfie en temps réel. La vérification est gérée par Persona, un prestataire externe, et les données ne sont ni stockées par Anthropic, ni utilisées pour l'entraînement des modèles. Les photocopies, les cartes étudiantes et les pièces numériques ne sont pas acceptées.
Le mécanisme se déclenche a priori dans plusieurs cas : accès à des capacités spécifiques, vérifications d'intégrité de plateforme, ou mesures de conformité. Anthropic ne détaille pas vraiment les usages qui déclenchent cette vérification, ce qui crée du coup un flou que pas mal d'utilisateurs n'apprécient pas des masses.
Le timing est franchement gênant. Des millions d'utilisateurs ont migré vers Claude ces derniers mois, après les polémiques sur la surveillance et les accords controversés d'OpenAI avec des agences gouvernementales. "Vous avez quitté OpenAI pour la vie privée. Claude veut maintenant votre passeport", déclarent même certains journalistes. L'image n'est pas fausse.
Anthropic se défend, en expliquant que les images restent chez Persona, Anthropic y accède uniquement sur demande (appel, par exemple), et le prestataire est contractuellement interdit de les utiliser à d'autres fins que la vérification et la prévention des fraudes. Pas de revente, pas de marketing. Sur le papier, c'est propre. En pratique, vous donnez quand même un document d'identité gouvernemental à un sous-traitant pour pouvoir poser des questions à un chatbot.
La vraie question, c'est pourquoi. Anthropic invoque la sécurité et la conformité, mais la pression réglementaire sur les modèles d'IA pousse les éditeurs à vérifier l'âge et l'identité des utilisateurs, surtout quand leurs modèles deviennent plus puissants. On l'a vu avec OpenAI et son programme Trusted Access for Cyber, même logique d'accès vérifié.
Pour les utilisateurs qui utilisent Claude pour du code, de l'écriture ou de la recherche, ça ne changera probablement rien au quotidien. La vérification ne se déclenche pas pour tout le monde, pas tout le temps. Mais si ça tombe sur vous, refuser revient à perdre l'accès aux fonctionnalités concernées. Pas d'alternative proposée.
Bref, il y a là une logique réglementaire, mais le contraste avec l'image "pro-vie privée" d'Anthropic pique un peu.
Source : Helpnetsecurity
Sandbox-exec, c'est un utilitaire en ligne de commande dont pas grand monde ne parle mais qui est intégré à macOS et qui permet de lancer n'importe quel programme dans un bac à sable sécurisé, avec des restrictions sur mesure. Apple l'a déprécié, mais ça marche toujours... et c'est franchement pratique.
Avec ce truc, il suffit de créer un petit fichier de profil (extension .sb) et vous lancez votre commande avec sandbox-exec -f profil.sb votre_commande. En faisant ça, le programme de votre choix tournera dans un environnement verrouillé où il ne pourra accéder qu'à ce que vous autorisez explicitement.
Ensuite, vous avez deux philosophies. Soit vous bloquez tout par défaut et vous n'autorisez que le strict nécessaire, c'est à dire l'approche parano parfaite pour tester du code louche. Soit vous autorisez tout et vous ne bloquez que ce qui craint. La première est plus sûre, la seconde plus rapide à mettre en place.
Voici un exemple concret pour avoir un terminal coupé du réseau. Suffit de 3 lignes de profil (c'est du LISP) :
(version 1)
(allow default)
(deny network*)
Et là, sandbox-exec -f no-network.sb zsh vous donnera un shell qui peut tout faire sauf se connecter à Internet. Sympa donc pour lancer un script dont vous n'êtes pas sûr à 100% ! Par contre, pour les apps GUI c'est plus capricieux... en testant la même chose avec Firefox, le navigateur arrive quand même à se connecter (il passe probablement par un autre mécanisme réseau). Du coup, pour les applications graphiques, faudra tester au cas par cas.
D'ailleurs, macOS embarque déjà plein de profils dans /System/Library/Sandbox/Profiles/. Ce sont ceux qu'Apple utilise pour ses propres services et certains sont bien commentés, ce qui en fait une super base pour créer les vôtres (Votre IA personnelle en sera ravie ^^).
Côté debug, si un programme plante dans le bac à sable sans explication, la commande log stream --predicate 'sender=="Sandbox"' affichera en temps réel toutes les opérations bloquées. Comme ça, vous voyez exactement ce qui coince et vous ajustez votre profil en conséquence.
Après comme je vous le disais en intro, Apple a officiellement déprécié sandbox-exec car elle préfère pousser son App Sandbox via Xcode, pensé pour les apps du Mac App Store. Mais bon pour isoler rapidement un script en ligne de commande, l'App Sandbox ne sert à rien. Du coup, cet utilitaire CLI reste le seul moyen natif de faire du sandboxing à la volée sur Mac.
Et avec les agents IA qui exécutent du code YOLO partout sur nos machines, avoir un outil comme celui-ci pour isoler un process sans rien installer, c'est plutôt cool je pense ! Si vous utilisez déjà des outils comme Opcode (une GUI pour Claude Code) qui intègrent déjà du sandboxing, c'est exactement cette couche en dessous. Il s'agit de Seatbelt, le framework de sandboxing kernel de macOS, qui fait tout le boulot au niveau OS.
Bref, si la sécurité de votre Mac vous préoccupe, allez gratouiller un peu ça. Tous les profils sont déjà sur votre machine, y'a plus qu'à jouer avec !
Le sujet central du lancement de GPT-5.4-Cyber, c'est moins le modèle que le mécanisme d'accès.
OpenAI a annoncé une version fine-tunée de GPT-5.4 dédiée aux cas d'usage cybersécurité, avec une particularité assumée : moins de restrictions sur les capacités du modèle, mais accès réservé aux participants vérifiés du programme Trusted Access for Cyber.
Concrètement, ce GPT-5.4-Cyber sait faire des choses que les modèles grand public refusent ou limitent. On parle ici de Reverse engineering de binaires sans code source, analyse de malware, étude de vulnérabilités, génération de workflows défensifs avancés, et j'en passe.
Des tâches utiles pour un chercheur en sécurité, mais potentiellement dangereuses si elles tombent entre les mauvaises mains. D'où le verrou d'accès au niveau du compte plutôt qu'au niveau du prompt.
Le programme Trusted Access for Cyber avait été lancé plus tôt dans l'année pour donner à des pros de la sécu vérifiés un accès à des capacités normalement bridées.
OpenAI y ajoute désormais des niveaux supplémentaires, avec un principe simple. Plus le niveau de vérification d'identité est élevé, plus les capacités du modèle sont débloquées. Accès étendu à des milliers d'individus et des centaines d'équipes sécurité, à condition de passer les contrôles.
Ce qui frappe en fait, c'est le changement de posture. OpenAI avait longtemps mis l'accent sur le bridage direct du modèle, via du RLHF agressif et des garde-fous au niveau du prompt. L'approche qui s'impose en 2026, c'est celle de la vérification d'identité plus du monitoring d'usage, avec un modèle plus compétent en face.
Moins de refus, plus de traçabilité. C'est cohérent avec le fait que les red teams avaient largement documenté comment contourner les garde-fous classiques.
Le timing est intéressant. L'annonce tombe une semaine après un lancement similaire chez un concurrent sur le même créneau. Mythos avait ouvert le bal avec un modèle spécialisé cyber et un mécanisme d'accès vérifié comparable.
Du coup, OpenAI ne veut pas laisser le marché et pousse son infra d'identité plutôt que de tenter une bataille de benchmarks.
Côté risques, la question qui reste ouverte c'est la solidité du processus de vérification. Un acteur malveillant avec une couverture légitime (société écran, identité empruntée, insider dans une boîte de pentest) peut techniquement passer les contrôles, et OpenAI indique surveiller l'usage a posteriori plutôt que bloquer en amont. Une fuite d'output reste exploitable même si le compte d'origine est révoqué derrière.
Bref, modèle plus fort, bridage déplacé du prompt vers l'identité. On est là devant un marché cyber-IA qui bouge très vite.
Source : Bloomberg
L'app desktop Google est officiellement disponible sur Windows 10 et supérieur, dans le monde entier (en anglais pour l'instant), avec un raccourci Alt+Espace qui fait popper une barre de recherche unifiée.
Web, Google Drive, fichiers locaux, apps installées, tout est cherchable depuis la même fenêtre. Les utilisateurs macOS reconnaîtront immédiatement l'inspiration. C'est un vrai petit Spotlight.
L'outil traînait en bêta Search Labs depuis septembre 2025, d'abord réservé aux comptes perso anglophones aux États-Unis. Google a pris le temps d'améliorer le produit, d'ajouter des fonctions, et surtout d'intégrer Gemini côté IA.
Concrètement, la barre de recherche sert de point d'entrée à plusieurs choses. Vous tapez un mot, vous récupérez des résultats web classiques, des fichiers Drive, des fichiers locaux et des apps Windows installées dans le même flux.
À côté, un bouton Google Lens permet de faire du "Circle to Search" sur votre écran Windows, pour identifier un objet, traduire un texte dans une image ou lancer une recherche visuelle. Upload de fichier, partage d'écran pour poser des questions à l'IA sur ce qui s'affiche, accès rapide aux AI Overviews ou à AI Mode, tout est là.
Là où Google marche sur les plates-bandes de Microsoft, c'est précisément sur le terrain que Copilot revendique sous Windows. Sauf que Copilot est imposé par Microsoft, alors que l'app Google vient en alternative, plus discrète, activable au raccourci clavier, et qui pompe ses résultats dans l'index Google plutôt que dans Bing.
Pour un utilisateur Windows très lié à l'écosystème Google (Gmail, Drive, Docs, Calendar), ça fera plus de sens que Copilot, même si l'intégration OS est évidemment moins profonde.
Pour ceux qui ne veulent pas de Gemini, l'app est quand même potentiellement utile pour la recherche unifiée locale + Drive + web, même sans toucher à l'IA.
Ce petit Alt+Espace peut donc remplacer avantageusement la recherche Windows par défaut, qui mélange souvent les résultats avec des suggestions Bing pas toujours intéressantes.
D'un point de vue de la sécurité, Google explique indexer les fichiers locaux en respectant les permissions du compte, mais l'outil envoie forcément une partie des requêtes et du contexte vers les serveurs Google, ne serait-ce que pour les réponses IA.
Pour une machine pro sur laquelle transitent des docs sensibles, c'est à considérer avant de l'installer, et probablement à discuter avec la DSI.
Bref, Google tente son Spotlight sur Windows. Si vous vivez dans l'écosystème Google et que Copilot vous irrite, ça vaut le test.
Source : 9to5Google
Six ans. C'est le temps qu'il aura fallu à Mozilla pour changer d'avis sur l'API Web Serial. Firefox Nightly 151 l'intègre désormais, avec activation via un flag à aller chercher dans le menu. Le premier commit côté code date de mi-janvier, et le déploiement pour les utilisateurs Nightly est effectif depuis le 13 avril.
Pour ceux qui ne connaissent pas, Web Serial est l'API standardisée qui permet à une page web de communiquer directement avec un périphérique série connecté en USB, en Bluetooth ou via un vrai port série.
Imprimante 3D, Arduino, carte ESP32, débogueur JTAG, microcontrôleur industriel, hub domotique, tout ce qui expose une liaison série peut être piloté depuis du JavaScript. C'est par exemple ce qui fait tourner l'IDE Arduino en ligne, Espruino, les flasheurs ESP dans le navigateur, et une bonne partie de la scène maker moderne.
Chrome, Edge, Opera et Vivaldi supportent Web Serial depuis 2020. Firefox, lui, tenait une position claire, trop risqué, le consentement utilisateur ne protège pas assez, la surface d'attaque sur le matériel connecté est bien trop large.
Un ingénieur de Mozilla l'avait écrit noir sur blanc à l'époque. Les utilisateurs Firefox qui bidouillaient avec des cartes électroniques étaient de fait poussés sur Chrome ou sur une extension tierce bancale. En 2026, Mozilla rend les armes et aligne Firefox sur le reste de l'écosystème, Apple mis à part.
Apple, justement, reste fermement opposé à Web Serial, WebUSB et WebHID côté WebKit. Les arguments avancés sont les mêmes qu'à l'époque Mozilla, fingerprinting, sécurité, risques sur l'OS.
Safari n'intégrera pas l'API dans un avenir prévisible. Donc en pratique, si vous avez une webapp qui dialogue avec du matos, iOS et iPadOS restent hors-jeu pour cet usage.
Côté permissions, Web Serial exige une validation utilisateur explicite pour chaque périphérique, avec une fenêtre de sélection gérée par le navigateur. Le site ne peut pas lister les ports disponibles sans action.
C'est un garde-fou correct, mais qui ne supprime pas le risque de phishing physique (un site malveillant qui vous demande de sélectionner un périphérique sous un prétexte bidon).
Pour les makers, l'arrivée dans Firefox est une vraie bonne chose. Ça fait un navigateur supplémentaire pour flasher un ESP depuis le web, une option pour ceux qui refusent Chrome par principe, et un moins gros verrou à faire sauter pour les tutoriels d'électronique amateur. La version stable devrait arriver dans quelques mois si les retours Nightly sont propres.
Bref, Firefox s'aligne, Apple s'isole, et la bidouille matérielle reprend ses droits dans le navigateur, tout va bien.
Source : The Register