Il transforme une carte à 15 euros en station météo sous Windows 95
Un maker français a fabriqué une station météo miniature avec une interface façon Windows 95, logée dans un boîtier imprimé en 3D en forme de vieux moniteur cathodique. Le projet tourne sur une carte ESP32 à une quinzaine d'euros et récupère la météo en temps réel via Wi-Fi. Prévisions, vent, images satellite, tout y est.
Un mini écran façon années 90
Jordan Blanchard a publié son projet sur Hackaday.io et le résultat a de quoi plaire aux nostalgiques. L'interface reprend les codes visuels de Windows 95 : fenêtres avec barres de titre, panneaux biseautés, typographie pixelisée.
On y retrouve la météo du jour, les prévisions heure par heure, la vitesse du vent avec boussole, et même des images satellite et radar. Le tout sur un écran TFT de 2,8 pouces en 320 x 240 pixels, ce qui colle parfaitement au style rétro.
Le boîtier est imprimé en 3D et reproduit la forme d'un petit moniteur cathodique. Un mécanisme a été ajouté sur la face avant pour actionner les boutons physiques de la carte, qui se trouvent à l'arrière.
Une quinzaine d'euros de matériel
La base du projet, c'est un ESP32-2432S028, plus connu sous le nom de Cheap Yellow Display. C'est une carte de développement vendue autour de 15 euros, qui intègre un processeur ESP32 avec Wi-Fi et Bluetooth, un écran tactile TFT de 2,8 pouces, un lecteur micro-SD et un connecteur haut-parleur. Pas besoin de soudure, la carte arrive montée.
Les données météo viennent de l'API Open-Meteo, et le système gère aussi l'affichage d'images de webcams et de satellites. Une batterie lithium avec un module de charge permet de faire fonctionner le tout sans fil.
Du code Arduino en libre accès
Le sketch Arduino est téléchargeable sur la page du projet. Jordan précise avoir utilisé ChatGPT pour l'aider sur certaines parties de l'interface, ce qui est assez courant dans la communauté maker.
Le système utilise du réseau asynchrone pour que l'affichage reste fluide pendant le téléchargement des données, et un cache local en SPIFFS pour garder la météo accessible même sans connexion.
C'est le genre de petit projet qui donne envie de s'y mettre. Pour une quinzaine d'euros de matériel et un peu de temps, on obtient un objet qui a du charme et qui est utile au quotidien. Et puis retrouver l'interface de Windows 95 sur un écran de 2,8 pouces, ça a quand même un petit côté régressif assez plaisant.
Source : Hackaday
Quand la publicité ciblée devient un outil de surveillance pour le gouvernement américain
Des documents obtenus par la presse révèlent que les douanes américaines ont utilisé les données de localisation issues du système publicitaire en ligne pour pister des téléphones. Et ce, sans mandat.
Le mécanisme repose sur les enchères publicitaires en temps réel, qui diffusent vos coordonnées GPS à des milliers d'entreprises chaque jour. Apple a limité la casse sur iPhone, mais ça ne suffit pas.
Comment vos applications vous trahissent
Le système est assez redoutable dans sa simplicité. À chaque fois qu'une publicité s'affiche dans une application sur votre smartphone, une enchère se joue en quelques millisecondes.
Votre téléphone envoie ce qu'on appelle une requête d'enchère, qui contient votre identifiant publicitaire, vos coordonnées GPS, votre adresse IP, le type d'appareil utilisé, et même vos centres d'intérêt supposés. Ces informations sont envoyées simultanément à des milliers d'annonceurs potentiels, et tous les participants reçoivent ces données, qu'ils remportent ou non l'enchère.
Des courtiers en données se font passer pour des acheteurs publicitaires et récoltent ces informations à grande échelle. Mobilewalla, par exemple, a collecté les données de plus d'un milliard de personnes, dont 60 % provenaient de ces enchères publicitaires selon la FTC (le gendarme du commerce américain).
Gravy Analytics, un autre courtier, a vu fuiter des données qui référençaient des milliers d'applications : Candy Crush, Tinder, Grindr, MyFitnessPal, des applications de grossesse ou religieuses. Beaucoup de développeurs ne savaient même pas que leurs applications alimentaient cette collecte.
Des agences fédérales clientes depuis des années
Entre 2019 et 2021, les douanes américaines ont mené un programme pilote pour tester si ces identifiants publicitaires pouvaient servir à reconstituer les déplacements de personnes sur le territoire. Le service de l'immigration (la célèbre ICE) et le FBI ont aussi acheté de la donnée de localisation auprès du courtier Venntel, et s'en sont servis pour identifier des immigrés ensuite arrêtés.
L'ICE a aussi acquis un outil appelé Webloc, qui collecte la position de millions de téléphones chaque jour et permet de lancer des recherches par zone géographique.
En mars 2026, 70 parlementaires américains ont demandé l'ouverture d'une enquête par l'inspecteur général du département de la sécurité intérieure. Le Montana est devenu le premier État à interdire aux autorités l'achat de données sensibles qui nécessiteraient normalement un mandat. Au niveau fédéral, une loi portée par le sénateur Ron Wyden a été votée par la Chambre en 2024, mais n'a pas passé le Sénat.
Ce que vous pouvez faire, et ce qu'Apple a déjà fait
Bonne nouvelle quand même pour les utilisateurs d'iPhone : depuis 2021, Apple demande systématiquement si vous autorisez le suivi publicitaire via la fonction "Demander à l'app de ne pas me suivre".
Résultat : 96 % des utilisateurs américains ont refusé le suivi, ce qui désactive l'identifiant publicitaire sur la plupart des iPhone. Une étude a même montré que les utilisateurs d'iPhone avaient subi moins de fraudes financières après cette mesure.
Côté Android, il est aussi possible de désactiver l'identifiant publicitaire, mais la démarche est bien moins visible. L'EFF (Electronic Frontier Foundation) recommande dans tous les cas de vérifier les permissions de localisation accordées à vos applications et de les limiter au strict minimum.
On savait que la publicité en ligne aspirait pas mal de données, mais là on parle quand même d'agences gouvernementales qui achètent tranquillement votre position GPS sans passer par un juge.
Le fait que par exemple, Apple, ait mis en place la transparence du suivi publicitaire sur iOS en 2021, et que 96 % des gens aient dit non, montre bien que personne ne souhaite être pisté. On ne peut pas vraiment conclure que le problème est réglé pour autant, car tout le système d'enchères publicitaires continue de fonctionner en arrière-plan, avec ou sans identifiant.
Source : Gizmodo
Ils trouvent 100 failles dans le noyau Windows pour 600 dollars
2 chercheurs en sécurité, Yaron Dinkin et Eyal Kraft, viennent de publier les résultats d'une expérience qui devrait donner des sueurs froides à pas mal de monde... Ils ont découvert 521 vulnérabilités dans les pilotes du noyau Windows, dont une bonne centaine exploitables pour de l'escalade de privilèges. Et tout ça ne leur a coûté que 600 dollars !
Mais comment ont ils fait ? Hé bien ils se sont construit un pipeline en 5 étapes. D'abord, il a fallut récupérer 1654 pilotes uniques depuis le catalogue Microsoft Update ainsi que depuis les sites des constructeurs.
Ensuite, ils ont lancé un prétraitement automatique pour classer les cibles par surface d'attaque. Pour faire simple, dans Windows, quand un logiciel veut causer à un pilote du noyau, il lui envoie des commandes appelées IOCTL (Input/Output Control)... c'est un peu la sonnette d'entrée entre le monde utilisateur et le monde noyau. Leur pipeline analysait donc la complexité des fonctions qui répondent à ces commandes (les "handlers IOCTL"). Plus un handler est complexe, plus il y a de chances qu'une erreur s'y planque.
Et ils cherchaient en priorité les pilotes qui utilisent un mode de transfert de données appelé METHOD_NEITHER, c'est à dire le mode "démerde-toi". Car contrairement aux autres modes où Windows joue les intermédiaires et vérifie un minimum ce qui transite, ici le pilote reçoit directement les pointeurs bruts depuis l'espace utilisateur, sans aucun filet de sécurité du noyau. C'est ensuite au développeur du pilote de tout vérifier lui-même… et spoiler : beaucoup ne le font pas correctement ! Bref, c'est le genre de truc qui sent la vuln à plein nez.
Ensuite pour la recherche de vulnérabilité, c'est à dire vraiment le cœur de leur système, ils ont mis en place un conseil de 3 agents LLM avec chacun un rôle bien défini. Un agent décompile d'abord le binaire et renomme les fonctions, ensuite un autre identifie la surface d'attaque, et enfin le troisième audite chaque fonction pour trouver des corruptions mémoire. Le tout via OpenRouter , en mixant les modèles pour optimiser le ratio vulnérabilités par token. Coût moyen par cible : 3 dollars.
Et les résultats obtenus sont assez crazy loco car sur 202 binaires analysés, ils ont trouvé 521 vulns au total dont 45% de bugs de lecture/écriture mémoire arbitraire. Et 70% de ces vulnérabilités sont classées High ou Critical.
Mais évidemment y'a du faux positif (environ 60%), donc ils ont du faire une review manuelle de chacun de ces bugs. Mais même après le tri ça laisse plus de 100 bugs réellement exploitables pour de l'escalade de privilèges sur Windows 11 ! Et les vendeurs concernés, c'est pas des petits joueurs : AMD, Intel, NVIDIA, Dell, Lenovo, IBM, Fujitsu...
D'ailleurs, le cas du driver AMD Crash Defender (amdfendr.sys) est parlant. Le device est accessible en écriture par n'importe quel utilisateur, expose des IOCTLs sans validation de taille correcte et permet de la corruption heap. Avec un peu de pool grooming, on arrive donc à de l'exécution de code kernel. Et quand on sait que ce driver tourne sur les instances AWS EC2 Windows avec processeurs AMD, on comprend vite que la surface d'attaque s'étend largement jusqu'au cloud.
(En parlant de reverse engineering assisté par IA, perso en ce moment, je suis en train de faire joujou avec Claude Code et Ghidra pour un projet dont je vous parlerai peut-être plus tard si j'y arrive, et franchement ça marche troooop bien c'est fou ! Les chercheurs de l'étude notent d'ailleurs qu'aujourd'hui, ils utiliseraient probablement "juste Claude Code avec des skills custom" plutôt que leur pipeline maison. C'est dire si l'outil d'Anthropic est fou !
Après le plus flippant dans cette histoire, comme d'habitude c'est pas les bugs. Non, ce sont les réactions des constructeurs car sur 15 vulnérabilités confirmées et rapportées à 8 vendeurs, toutes avec un score CVSS (gravité de la faille, sur 10) supérieur à 7, un seul a patché ! Il s'agit de Fujitsu, avec la CVE-2025-65001 . Les autres ont rejeté les rapports ou baissé les priorités malgré des vidéos de proof-of-concept montrant par exemple un BSOD depuis un compte utilisateur standard !
Le problème c'est que certains de ces produits hardware sont en fin de vie. Donc y'a plus de support. Mais ils ne révoquent pas les certificats de signature du driver. Du coup, ces pilotes restent utilisables pour des attaques BYOVD (Bring Your Own Vulnerable Driver), où un attaquant chargerait volontairement un driver signé mais vérolé pour compromettre le noyau.
Si vous bossez en sécurité, les chercheurs ont publié une liste de 234 hashes en double-SHA256 pour vérifier si vos machines contiennent des drivers affectés. Pour checker vos drivers, c'est simple :
sha256sum driver.sys | awk '{print $1}' | tr -d '\n' | sha256sum
...et vous comparez avec leur liste.
Ce qui est clair en tout cas, c'est que l'IA en cybersécurité n'est plus un concept de labo. Microsoft avait déjà son Security Copilot qui trouvait des failles dans GRUB2, et maintenant ces chercheurs indépendants qui scannent l'intégralité de l'écosystème drivers Windows pour le prix d'un Macbook Neo... La course entre attaquants et défenseurs vient clairement de changer de vitesse.
En toute décontraction, Casio lance une calculatrice à 600 euros
Casio vient de dévoiler la S100X Urushi, une version laquée à la main de sa calculatrice haut de gamme. Produite en 650 exemplaires par des artisans japonais, elle sera disponible le 9 avril pour 99 000 yens, soit environ 600 euros. Un petit budget donc. Mais pourquoi est-elle si chère ?
À cause de la laque pardi !
Allez je vous dis tout. Cette S100X Urushi est recouverte de laque urushi, une technique japonaise vieille de plusieurs siècles. La laque est appliquée à la main par les artisans de Yamakyu Shikko, un atelier de laquerie qui a presque 95 ans d'existence. Le procédé prend environ un mois par unité, entre les couches de laque, le séchage et l'inspection finale.
Le résultat est un reflet quasi miroir sur le boîtier noir, avec de légères variations d'une pièce à l'autre puisque chaque application est unique. Casio indique d'ailleurs que la laque vieillit bien avec le temps, ce qui est plutôt logique et bien heureux, vu la réputation de cette technique au Japon.
Une base déjà très haut de gamme
La S100X qui sert de base à cette édition n'est pas n'importe quelle calculatrice. Elle est fabriquée à l'usine Yamagata Casio, la seule unité de production de la marque au Japon, et utilise un corps en aluminium usiné avec des bords diamantés.
L'écran LCD incliné affiche 12 chiffres dans un bleu-noir qui rappelle l'encre de stylo-plume, et le clavier à structure pantographe offre des touches basses avec un retour tactile précis. Le tout pèse 265 grammes pour 183 x 110,5 x 17,8 mm. La version standard est vendue elle 38 500 yens au Japon, soit environ 235 euros, mais votre comptabilité vaut mieux que ça non ?
650 exemplaires dans le monde
La S100X Urushi sera mise en vente le 9 avril 2026 au prix de 99 000 yens, soit à peu près 600 euros. Elle est livrée dans un coffret avec des détails dorés et le logo Casio en feuille d'or. La production est limitée à 650 unités dans le monde, et on imagine bien que les collectionneurs japonais vont se ruer dessus.
Bon, 600 euros pour une calculatrice, ça fait quand même lever un sourcil. Mais on n'est clairement pas dans le même registre qu'une Casio de bureau à 10 balles. L'angle artisanal est sincère : un mois de travail par pièce, de la laque naturelle posée par des artisans avec presque un siècle de savoir-faire, ça a un prix.
Casio fait ici ce que les horlogers japonais comme Seiko pratiquent depuis longtemps, appliquer un savoir-faire ancestral à un objet technique. Reste que 650 exemplaires à ce tarif, ça va partir très vite, même si on aime bien l'idée.
Source : Hypebeast
ChatGPT leur a coûté 200 000 dollars, ils ont créé leur propre IA pour corriger le tir
Une startup spécialisée dans le dessalement de l'eau a perdu 200 000 dollars et quatre mois de recherche après avoir fait confiance à ChatGPT et Grok pour un choix de matériaux. Du coup, l'équipe a développé Rozum, un moteur de raisonnement qui fait tourner plusieurs modèles d'IA en parallèle et vérifie leurs réponses avant de les livrer.
Une erreur qui a fait très mal
L'histoire commence chez Waterline Development, une entreprise californienne qui travaille sur la désalinisation de l'eau. L'équipe devait choisir entre deux types d'électrodes en carbone pour son procédé. Elle a demandé à ChatGPT et à Grok de l'aider à trancher. Les deux modèles ont recommandé le tissu de carbone. Sauf que ce choix était le mauvais : mauvaise conductivité, problèmes de rétention d'eau, durabilité insuffisante. Derek Bednarski, le fondateur (passé par Tesla pendant huit ans), résume la situation : les modèles se sont trompés avec aplomb, et ça leur a coûté quatre mois et 200 000 dollars.
Et voilà que l'équipe a décidé de construire son propre outil. En janvier 2026, le projet est devenu une entreprise à part entière : Rozum Corporation, basée à San Mateo en Californie. Le nom vient du slave, il veut dire "raison".
Comment ça fonctionne
Rozum fait tourner plusieurs modèles d'IA en même temps sur une même question. Chaque réponse passe ensuite par un système de vérification qui utilise des outils déterministes : exécution de code, outils de chimie comme RDKit, mathématiques symboliques. Le système détecte les erreurs, les hallucinations, les calculs faux et les citations inventées.
Sur un test de 1 000 questions de niveau doctorat, cette vérification a signalé des affirmations non fondées dans 76,2 % des réponses des modèles. Et 21,3 % des sources citées par ces modèles n'existaient tout simplement pas. Sur le test de référence Humanity's Last Exam, Rozum affiche 65,7 % de bonnes réponses, soit 7 points de plus que le meilleur score connu publiquement.
Pas pour tout le monde
Le service est accessible sur liste d'attente. Il coûte plus cher qu'un modèle classique et prend beaucoup plus de temps, de quelques minutes à plusieurs heures par requête. Rozum ne vise pas le grand public. La cible, ce sont les ingénieurs, les chercheurs et les analystes qui prennent des décisions où chaque erreur coûte des millions.
Sur le papier, c'est malin. Quand on sait que trois quarts des réponses des meilleurs modèles contiennent des affirmations non vérifiées, on comprend que certains secteurs ne puissent pas se contenter d'un ChatGPT brut. Bon par contre, un outil qui met des heures à répondre et qui coûte plus cher, ça limite forcément l'usage au quotidien. On est clairement sur un produit de niche, pour ceux qui investissent des millions sur une analyse technique. Pour le commun des mortels qui demande une recette de gâteau à ChatGPT, on est tranquilles, a minima.
Source : Globenewswire
DarkSword, le kit d'exploit qui transforme votre iPhone en passoire
Google, iVerify et Lookout viennent de mettre au jour un kit d'exploitation baptisé DarkSword, capable de prendre le contrôle total d'un iPhone en enchaînant six failles iOS dont trois zero-day. Espions russes, vendeurs de surveillance turcs et hackers saoudiens s'en sont servis. Apple a corrigé le tir avec iOS 26.3, mais jusqu'à 270 millions d'appareils restent exposés.
Six failles, trois zero-day et un iPhone grand ouvert
Pour tout vous dire, DarkSword, avec son nom qui fait peur, n'est pas un petit malware de plus qui pointe le bout de son nez. C'est une chaîne d'exploitation complète écrite en JS, qui cible tous les iPhone qui tournent sous iOS, de la version 18.4 à la 18.7.
Le principe : vous tombez sur une page web piégée dans Safari, une iFrame charge du code malveillant, et c'est parti.
Ensuite, il contourne les protections du bac à sable via le processus GPU, escalade les privilèges jusqu'au noyau, et finit par injecter un module dans le daemon mediaplaybackd. Six vulnérabilités au total, dont trois étaient des zero-day au moment de leur exploitation : CVE-2026-20700, CVE-2025-43529 et CVE-2025-14174.
Et les données aspirées ne sont pas anecdotiques : e-mails, fichiers iCloud, contacts, SMS, historique Safari, mots de passe, photos, données de localisation, et même les messages Telegram et WhatsApp.
Les portefeuilles crypto aussi sont visés. Le tout en quelques secondes à peine, avec nettoyage des traces après exfiltration. Du travail soigné, d'après les chercheurs, même si le code n'est curieusement pas du tout obfusqué.
Espions russes, vendeurs de surveillance et sites ukrainiens piégés
Trois groupes distincts ont utilisé DarkSword depuis novembre 2025. Le premier, UNC6353, est un groupe d'espionnage présumé russe qui a ciblé des utilisateurs ukrainiens via des sites web compromis. Le deuxième, UNC6748, a utilisé un faux domaine Snapchat pour piéger des cibles en Arabie saoudite.
Et le troisième n'est autre que PARS Defense, un vendeur turc de solutions de surveillance commerciale. Chacun déploie sa propre variante de malware : GHOSTBLADE, GHOSTKNIFE ou GHOSTSABER selon le cas.
DarkSword est d'ailleurs le deuxième kit d'exploit iOS découvert en un mois, après Coruna. Les deux partagent une partie de leur infrastructure, mais sont développés par des équipes différentes.
Selon iVerify, jusqu'à 270 millions d'iPhone seraient potentiellement vulnérables, et Lookout estime que 15 % des appareils iOS en circulation tournent encore sur des versions antérieures à iOS 26.
Mettez à jour, et vite
Apple a corrigé l'ensemble des failles avec iOS 26.3, sorti plus tôt ce mois-ci. La version la plus récente est iOS 26.3.1. Si vous n'avez pas encore fait la mise à jour, c'est le moment.
Pour les profils les plus exposés — journalistes, militants, chercheurs en sécurité — Apple recommande aussi d'activer le mode Isolement, qui limite les surfaces d'attaque en désactivant certaines fonctionnalités de Safari et des services de messagerie.
Deux kits d'exploit iOS découvert en l'espace d'un mois, avec des acteurs aussi variés que des espions russes et des boîtes de surveillance turques, ça fait quand même beaucoup. On savait que l'iPhone n'était pas invulnérable, mais là on parle de chaînes complètes qui fonctionnent sur des versions récentes d'iOS, pas sur de vieux iPhone 6 oubliés dans un tiroir.
Bon, au moins, Apple a réagi et les correctifs sont là. Mais entre le moment où ces failles ont été exploitées, fin 2025, et leur correction complète, il s'est passé plusieurs mois. Franchement, si vous repoussez les mises à jour iOS depuis des semaines, c'est peut-être le bon moment d'appuyer sur le bouton.
Peon Ping - Donnez de la voix à vos agents IA
"Something need doing ?" Si cette réplique vous file un frisson nostalgique, alors vous allez adorer Peon Ping !!
Il s'agit d'un outil CLI open source qui joue des voix de personnages de jeux vidéo quand vos agents IA ont besoin de votre attention. Vous lancez Claude Code, vous passez sur autre chose, et le moment venu, un peon de Warcraft III vous gueule "Work complete!" quand c'est terminé.
Concrètement, ce truc s'intercale via des hooks entre vous et votre IDE, comme ça, chaque événement (démarrage de session, fin de tâche, erreur, demande de permission) déclenche une réplique différente. Du coup le peon dit "Something need doing?" quand l'agent attend un input, et "I can't do that!" quand y'a une erreur.
Ça marche avec Claude Code, Cursor, Codex, et une dizaine d'autres outils (Kiro, Windsurf, Copilot, Gemini CLI, OpenCode, Antigravity, Rovo Dev CLI...), tout ça livré avec plus de 160 packs sonores dans 14 langues, de GLaDOS à StarCraft en passant par Zelda, Red Alert 2 ou Team Fortress 2.
Installation
Deux options principales. La plus propre, via Homebrew :
brew install PeonPing/tap/peon-ping
Sinon, le bon vieux curl :
curl -fsSL https://raw.githubusercontent.com/PeonPing/peon-ping/main/install.sh | bash
Et pour Windows, y'a un script PowerShell :
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/PeonPing/peon-ping/main/install.ps1" -UseBasicParsing | Invoke-Expression
Par défaut, l'installeur télécharge 5 packs (Warcraft, StarCraft, Portal). Si vous voulez tout d'un coup :
curl -fsSL https://raw.githubusercontent.com/PeonPing/peon-ping/main/install.sh | bash -s -- --all
Attention par contre, sous WSL2, il faudra installer ffmpeg au préalable pour lire les formats audio autres que WAV.
Configuration
Une fois installé, lancez le setup :
peon-ping-setup
Ça détectera votre environnement, configurera les hooks et téléchargera les packs sonores en local. Ensuite, dès votre prochaine session Claude Code, vous entendrez un joli "Ready to work?" au démarrage.
Maintenant, si Warcraft c'est pas votre truc et que vous voulez changer de voix, genre passer à GLaDOS (une IA qui vous insulte pendant que vous codez avec une IA... ahahah), ça se fait en une commande :
peon packs use glados
Vous pouvez binder un pack à un dossier spécifique avec peon packs bind glados, comme ça, chaque projet a sa propre ambiance sonore, et si vous êtes du genre à aimer les trucs en français, il y a aussi des packs dans la langue du roi Arthur.
Moi j'en ai rien à foutre, j'installe les packs Age of Empires + Red Alert ou rien !!
Les commandes utiles
Tout passe par la commande peon :
peon status # Vérifier si c'est actif
peon volume 0.7 # Régler le volume
peon pause # Couper le son (réunion...)
peon resume # Remettre le son
peon packs list # Voir les packs installés
peon packs next # Passer au pack suivant
peon preview # Écouter un aperçu
Petit détail bien pensé, le système de "no repeats" fait qu'il ne jouera jamais le même son deux fois de suite dans la même catégorie. Et vous pouvez activer/désactiver chaque catégorie individuellement (greeting, acknowledge, complete, error, annoyed) si y'a des sons qui vous cassent les pieds.
En bonus, le terminal affiche le nom du projet et son statut dans le titre de l'onglet, avec un petit point indicateur quand c'est terminé. De grosses bannières desktop s'afficheront aussi quand un événement se produit, même si vous êtes sur une autre app.
Et si vous bossez en SSH ou dans un devcontainer, y'a un mode relay qui renvoie l'audio sur votre machine locale via peon relay --daemon. Pas mal du tout, hein ?
Le mode Peon Trainer
Maintenant, c'est là que ça part complètement en cacahuète car Peon Ping intègre un mode fitness qui vous rappelle de faire des pompes et des squats pendant que vous codez. L'objectif : 300 reps par jour, rien que ça !!
Dès que vous ouvrez une session, le Peon vous accueille avec un "Pushups first, code second! Zug zug!". Ensuite, toutes les 20 minutes environ, il vous relance. Et si vous ignorez, ça escalade jusqu'à "You sit too long! Peon say do pushups NOW!".
Pour logger vos reps en pleine session de code, pas besoin de quitter le terminal :
peon trainer on # Activer le mode trainer
/peon-ping-log 25 pushups # Logger 25 pompes
/peon-ping-log 30 squats # Logger 30 squats
Quand vous atteignez les 300, le Peon célèbre avec un "THREE HUNDRED! Human strong like orc now!" et vous laisse tranquille pour le reste de la journée. Pas mal comme incentive pour bouger un peu entre deux refactorisations, non ?
Pour ceux qui utilisent Claude Code au quotidien , y'a aussi un serveur MCP intégré qui permet à l'agent de choisir lui-même quel son jouer. L'agent qui communique en répliques de Warcraft... on vit une époque formidable !
D'ailleurs, les plus motivés peuvent carrément créer leurs propres packs via openpeon.com . Le format suit la spec ouverte CESP (Coding Event Sound Pack), comme ça n'importe quel IDE peut l'adopter.
Le Peon Pet
Et le truc le plus mignon du projet c'est ce petit orc animé qui squatte un coin de votre écran. Ce Peon Pet réagit en temps réel aux événements de Claude Code. Il dort quand rien ne se passe, se réveille au démarrage d'une session, tape frénétiquement du clavier quand l'agent bosse, et fait sa danse de la victoire quand la tâche est terminée. C'est du Electron + Three.js, le tout en open source bien sûr.
En résumé, c'est votre Tamagotchi de développeur, sauf qu'au lieu de le nourrir, c'est lui qui vous engueule pour bosser.
Voilà, si checker votre terminal toutes les 30 secondes pour voir si Claude Code a avancé dans sa life, ça vous saoule, c'est le genre de petit outil con mais génial qui change la vie.
Zug zug !
Llamafile - Exécutez des modèles de langage en un seul fichier !
llamafile est un projet complètement barré qui va vous permettre de transformer des modèles de langage en exécutables. Derrière se cache en fait la fusion de deux projets bien badass : llama.cpp , un framework open source de chatbot IA, et Cosmopolitan Libc , une libc portable pour compiler des programmes C multiplateformes. En combinant astucieusement ces deux technos, les petits gars de Mozilla ont réussi à pondre un outil qui transforme les poids de modèles de langage naturel en binaires exécutables.
Imaginez un peu, vous avez un modèle de langage qui pèse dans les 4 gigas, dans un format .gguf (un format couramment utilisé pour les poids de LLM). Et bien avec llamafile, vous pouvez le transformer en un exécutable standalone qui fonctionnera directement sur le système sur lequel il est sans avoir besoin d'installer quoi que ce soit. Ça va permettre de démocratiser l'utilisation et la diffusion des LLM.
Et niveau portabilité, c'est le feu puisque ça tourne sur six OS, de Windows à FreeBSD en passant par macOS. Les devs ont bien bossé pour que ça passe partout, en résolvant des trucs bien crados comme le support des GPU et de dlopen() dans Cosmopolitan et croyez-moi (enfin, croyez-les) ça n'a pas été une mince affaire !
Niveau perf aussi c'est du brutal ! Sur Linux llamafile utilise pledge() et SECCOMP pour sandboxer le bousin et empêcher les accès fichiers non désirés et avec les derniers patchs de
Justine Tunney
, la perf CPU pour l'inférence en local a pris un boost de malade du genre 10 fois plus rapide qu'avant. Même sur un Raspberry Pi on peut faire tourner des petits modèles à une vitesse honnête.
Mise à jour : llamafile 0.10
Bonne nouvelle, le projet est loin d'être mort puisque la version 0.10 vient de sortir (mars 2026) et elle apporte pas mal de changements. Déjà, le projet a migré de Mozilla Ocho vers Mozilla.ai , ce qui montre que Mozilla prend le truc au sérieux côté IA.
Le gros morceau de cette release, c'est un tout nouveau build system. Fini le bazar monolithique, maintenant llama.cpp, whisper.cpp et Stable Diffusion sont intégrés comme des sous-modules Git. L'avantage c'est que ça permet de suivre beaucoup plus facilement les dernières versions de llama.cpp et donc de supporter les modèles les plus récents dès leur sortie.
Côté utilisation, on a maintenant trois modes bien distincts :
- Mode TUI (Terminal User Interface) : vous chattez directement dans votre terminal avec le modèle, avec même un mode "think" pour le raisonnement étendu
- Mode CLI : pour poser une question rapide en one-shot, genre
llamafile "c'est quoi un llamafile ?"et hop, la réponse arrive direct - Mode serveur : avec le flag
--server, ça lance le serveur llama.cpp classique pour exposer une API compatible OpenAI
Autre truc cool, le support multimodal est là avec le nouvel argument --image. Vous pouvez balancer une image au modèle et il l'analyse. Ça marche avec des modèles comme Qwen3-VL, LLaVA 1.6 ou Ministral 3.
Côté GPU, Metal fonctionne nativement sur macOS (ARM64) sans bidouille, et le support CUDA est restauré sur Linux. Par contre, le GPU sur Windows n'est pas encore de la partie, et le sandboxing via pledge()/SECCOMP a été temporairement retiré dans cette version.
Bref, si vous aviez testé llamafile il y a un moment et que vous aviez trouvé ça un peu limité, c'est peut-être le moment de retélécharger la bête et de voir ce que ça donne avec les modèles de 2026. C'est toujours aussi simple : un fichier, on le rend exécutable, on le lance, et c'est parti.
Alors on dit merci qui ?
Merci Mozilla ! 🙏🦊
Des scientifiques ont réussi à faire pousser des patates dans du sol lunaire
Des chercheurs de l'université d'État de l'Oregon ont cultivé des pommes de terre dans un sol qui reproduit la composition du régolite lunaire. Les tubercules ont poussé, mais avec pas mal d'aide terrestre et quelques surprises un peu moins réjouissantes côté métaux lourds.
Du compost de vers pour compenser la poussière de Lune
Le régolite lunaire, c'est cette couche de poussière et de roche broyée qui recouvre la surface de la Lune. Problème : il ne contient aucune matière organique. Pour simuler ce sol en laboratoire, l'équipe de David Handy, biologiste spatial, a utilisé un mélange de minéraux broyés et de cendres volcaniques qui reproduit la composition chimique lunaire. Et pour donner une chance aux patates, les chercheurs ont ajouté du vermicompost, un engrais organique produit par des vers de terre.
Avec un ratio de 70 % de régolite simulé pour 30 % de compost, les résultats étaient quasi identiques à ceux obtenus en terre normale. Avec seulement 5 % de compost, les pommes de terre poussaient quand même, mais elles étaient plus petites et visiblement plus stressées.
Des patates lunaires, mais pas vraiment mangeables
Après environ deux mois de croissance, les tubercules ont été récoltés, lyophilisés et analysés. L'ADN des plantes montrait une activation claire de gènes liés au stress. Et surtout, les pommes de terre contenaient des concentrations plus élevées en cuivre et en zinc que celles cultivées sur Terre, à un niveau qui pourrait les rendre dangereuses pour la consommation humaine. Par contre, leur valeur nutritionnelle globale restait comparable à celle des pommes de terre classiques, ce qui a surpris les chercheurs eux-mêmes.
L'étude, publiée en prépublication sur bioRxiv, reste à ce stade un travail de laboratoire. Il ne s'agit pas de vrai sol lunaire mais d'une simulation, et les conditions de gravité et de radiation de la Lune n'ont pas été reproduites. On est encore très loin d'un potager lunaire fonctionnel.
C'est le genre d'étude qui fait marrer et qui fait rêver en même temps. On pense forcément à Seul sur Mars et à Matt Damon qui faisait pousser ses patates, sauf qu'ici c'est la Lune et c'est en labo dans l'Oregon. Le fait que les pommes de terre poussent quand même dans un sol aussi hostile est encourageant pour les futures missions longue durée, même si le problème des métaux lourds va demander pas mal de travail. On en est encore aux toutes premières étapes, mais si un jour on mange des frites sur la Lune, on saura d'où c'est parti.
Source : Slashdot
Framasoft dit tout haut ce qu'on est nombreux à penser tout bas
Framasoft a publié aujourd'hui 2 articles sur le numérique public. Le premier, c'est un dossier ultra costaud (impressionnant !) qui tenez-vous bien, défend la Suite numérique de l'État (Tchap, visio LiveKit, France Transfert, Grist, assistant Mistral...) face à ses détracteurs.
Et le second, c'est une tribune parue dans l'Humanité, qui explique pourquoi le fantasme de l'"Airbus du numérique" est une impasse.
Sur la Suite numérique, Framasoft remet en fait les pendules à l'heure. OUI, le développement a coûté 9,3 millions d'euros, mais comparé au système de paie Louvois qui a coûté 500 millions ou à l' ONP qui a coûté un peu moins de 350 millions, on est clairement sur une autre échelle ! Ainsi, dans son article, Framasoft calcule que le coût annuel revient à 75€ par agent public. Franchement c'est pas "cher" quand on sait que c'est plutôt 300 à 590€ pour une licence Microsoft 365 ou un Google Workspace. Donc en fait, cette suite numérique, c'est pas forcément délirant comme investissement.
Ah et sur le fameux "Airbus du numérique", leur tribune est, elle aussi, limpide puisqu'elle nous explique que créer un champion européen du cloud, ça reviendrait à reproduire les mêmes erreurs que les GAFAM mais avec de l'argent public.
Le problème de cette approche en fait, c'est qu'on reste prisonnier du même modèle de centralisation des données, donc pour Framasoft, la seule vraie alternative, ce sont les communs numériques à savoir tout ce qui est logiciels libres, serveurs décentralisés, gouvernance collective...etc.
Après ça ne veut pas dire que c'est facile à mettre en place, mais au moins c'est pas du greenwashing à la con ou appelez ça comme vous voulez.
Voilà, si vous suivez ce blog depuis un moment, vous savez que c'est un sujet qui me tient à cœur. J'en parle ici depuis des années, que ce soit quand Framasoft a lancé Dégooglisons Internet ou plus récemment avec le guide pour larguer Google . Et je suis assez attristé de voir que finalement, ce débat n'a pas bougé d'un pouce dans le cerveau de certaines personnes alors que de mon point de vue et de celui de Framasoft, c'est plutôt une bonne chose que l’État s'y mette enfin !
Bref, allez lire leurs deux articles, vous allez apprendre plein de trucs : Le dossier complet et la tribune !