Elo – Quand une IA écrit un langage de programmation complet sans intervention humaine
Vous connaissez probablement les prouesses de Claude Code pour décompiler du code , ou encore son utilisation pour automatiser la création d'outils , mais là, on a passé un cap.
Bernard Lambeau, un développeur belge avec plus de 25 ans d'expérience et un doctorat en informatique, a décidé de pousser le concept jusqu'au bout à savoir utiliser Claude Code non pas pour écrire quelques scripts, mais pour générer un langage de programmation complet.
Carrément ! Il est chaud Bernard, car quand je dis complet, je parle d'un compilateur entier avec analyseur lexical, un parseur, un système de typage, des backends multiples...etc. Voilà, comme ça, en full pair-programming avec une IA.
Ça s'appelle Elo et l'idée, c'est de proposer un langage tellement sécurisé by design qu'on peut le confier à des non-développeurs… ou à des IA. Pas de variables mutables, pas d'effets de bord, pas de références qui traînent dans tous les sens. Bref, un langage où il est quasi impossible de faire une bêtise, même en essayant très fort.
Alors pourquoi créer un énième langage alors qu'on en a déjà des centaines ?
Hé bien le truc, c'est que la plupart des langages existants partent du principe que vous savez ce que vous faites. JavaScript, Python, Ruby… Ils vous font confiance. Trop, parfois.
Elo, lui, adopte l'approche inverse... le "zero-trust". Le langage ne fait confiance à personne, ni au développeur, ni à l'IA qui pourrait l'utiliser. Ainsi, chaque expression est pure, chaque fonction est déterministe, et le compilateur vérifie tout avant d'exécuter quoi que ce soit.
Et surtout Elo est un langage d'expressions portables, ce qui veut dire que vous écrivez votre logique une fois, et vous pouvez la compiler vers JavaScript, Ruby ou même du SQL PostgreSQL natif. Oui, oui, le même code peut tourner dans votre navigateur, sur votre serveur Ruby, ou directement dans votre base de données. Et là, y'a de quoi faire des trucs sympas pour peu qu'on ait besoin de partager de la logique métier entre différents environnements.
Le typage est volontairement minimaliste mais costaud et se compose de 10 types de base : Int, Float, Bool, String, DateTime, Duration, Tuple, List, Null et Function. Pas de classes, pas d'héritage, pas d'objets au sens classique mais juste des valeurs et des fonctions, ce qui peut paraître limité dit comme ça, mais c'est justement cette contrainte qui rend le langage sûr.
Moins de features, c'est moins de façons de se planter !
L'opérateur pipe |> est le cœur du langage car au lieu d'imbriquer des appels de fonctions comme des poupées russes, vous chaînez les transformations de gauche à droite. Par exemple, pour récupérer tous les clients actifs et compter combien il y en a, vous écrivez quelque chose comme customers |> filter(active: true) |> size. C'est lisible, c'est fluide, et même quelqu'un qui n'a jamais codé comprend ce qui se passe.
Et il y a aussi l'opérateur alternative |. Comme ça, si une expression peut retourner null, vous pouvez prévoir un fallback avec ce simple pipe. Genre user.nickname | user.firstname | "Anonymous". Ça essaie dans l'ordre et ça prend la première valeur non-nulle.
Comme ça, fini les cascades de if/else pour gérer les cas où une donnée manque ! Youpi !
Voilà pour le langage...
Maintenant parlons un peu du bonhomme car Bernard Lambeau n'est pas un inconnu dans le monde du développement. Il est derrière Bmg (une implémentation de l'algèbre relationnelle), Finitio (un langage de schémas de données), Webspicy (pour tester des APIs), et Klaro Cards (une app no-code). Tout cet écosystème partageait déjà une certaine philosophie, et Elo vient unifier le tout. Son langage est d'ailleurs utilisé en production dans Klaro Cards pour exprimer des règles métier que les utilisateurs non-techniques peuvent modifier.
Ce qui m'a intéressé dans toute cette histoire, c'est surtout la méthode de développement de Bernard qui a travaillé en pair-programming avec Claude Code pendant des semaines, voire des mois. L'IA générait du code, et lui relisait, corrigeait, guidait, et l'IA apprenait de ces corrections pour les itérations suivantes. Sur l'ensemble du projet, chaque ligne de code, chaque test, chaque doc a été écrit par Claude et croyez le ou non, le code est clean car Bernard est un pro !
D'ailleurs, il a enregistré une démo de 30 minutes où il montre le processus en live .
En regardant cette démo, on découvre une vraie méthodologie de travail avec l'IA car il n'a pas juste balancé des prompts au hasard en espérant que ça marche. Au contraire, il a mis en place tout un système pour que la collaboration soit efficace et sécurisée.
Premier truc : le "safe setup". Bernard a configuré un environnement Docker sandboxé dans un dossier .claude/safe-setup afin de laisser Claude Code exécuter du code dans un conteneur Alpine isolé, sans risquer de faire des bêtises sur la machine hôte. En entreprise, c'est exactement le genre de garde-fou qu'on veut quand on laisse une IA bidouiller du code. Le conteneur a ainsi accès aux fichiers du projet, mais pas au reste du système.
Ensuite, il y a la documentation projet via un fichier CLAUDE.md à la racine. Ce fichier décrit l'architecture du langage avec le parser, l'AST, le système de typage, les différents backends, comme ça, quand Claude démarre une session, il lit ce fichier et comprend la structure du projet.
La gestion des tâches est aussi bien pensée puisqu'il utilise un système de dossiers façon Kanban : to-do, hold-on, done, et analyze. Chaque tâche est un fichier Markdown qui ressemble à une user story.
Ainsi, quand il veut ajouter une feature, il crée un fichier dans to-do avec la description de ce qu'il veut. Claude lit le fichier, implémente, et Bernard déplace le fichier dans done une fois que c'est validé. Le dossier analyze sert pour les trucs à creuser plus tard, et hold-on pour ce qui attend des décisions.
Ce qui est bien trouvé aussi, c'est qu'il utilise trois modes d'interaction selon les situations. Le mode "accept-it" pour les trucs simples où Claude propose et Bernard dispose. Le "plan mode" quand la tâche est complexe avec Claude qui pose des questions de design avant d'écrire du code. Et le mode autonome avec --dangerously-skip-permissions quand il a parfaitement confiance pour une série de modifications.
Bernard a aussi créé plusieurs personas spécialisés (des agents) que Claude peut invoquer. Un agent "security" qui analyse le code du point de vue sécurité. Un agent "DDD" (Domain-Driven Design) qui vérifie la cohérence du vocabulaire métier. Un agent "skeptic" qui cherche les cas limites et les bugs potentiels. Et un agent "Einstein" qui détecte quand le code devient trop complexe et suggère des simplifications.
En gros, 4 cerveaux virtuels qui relisent chaque modification.
Et là où ça devient vraiment ouf, c'est que Elo se teste lui-même. Les tests d'acceptance sont écrits en Elo, avec une syntaxe d'assertions qui se compile vers JavaScript, Ruby et SQL. Comme ça quand Bernard ajoute une feature, il écrit d'abord le test en Elo, puis Claude implémente jusqu'à ce que le test passe. Le langage valide sa propre implémentation.
Comme je vous l'avais dit, c'est propre !
Bernard n'a fait que valider et refuser et ne retouche jamais le code lui-même. C'est Claude qui fait tout le reste et ça c'est un sacré changement dans la façon de développer.
Il évoque aussi l'idée que quand on délègue une compétence à quelqu'un (ou quelque chose) qui la maîtrise, on peut se concentrer sur le reste. Comme ça, Bernard ne s'occupe donc plus d'écrire du code mais s'occupe plutôt de définir ce que le code doit faire, de valider les résultats, et de guider l'architecture.
C'est vraiment le métier de développeur nouvelle génération et c'est très inspirant si vous cherchez votre place de dev dans ce nouveau monde.
En tout cas, même si ce n'est pas la première fois qu'on voit Claude Code produire des résultats impressionnants là c'est carrément autre chose.
Maintenant si vous voulez tester, l'installation est simple. Un petit
`npm install -g @enspirit/elo`
Et vous aurez ensuite accès à deux outils :
elopour évaluer des expressions à la volée, etelocpour compiler vers la cible de votre choix.
Et si vous voulez du JavaScript ?
eloc -t js votre_fichier.elo.
Du Ruby ?
eloc -t ruby.
Du SQL ?
eloc -t sql.
Le site officiel propose également un tutoriel interactif plutôt bien fichu pour découvrir la syntaxe. On commence par les bases (les types, les opérateurs), on passe aux fonctions, aux gardes, et on finit par les trucs plus avancés comme les closures et les comparaisons structurelles. En une heure ou deux, vous avez fait le tour.
Alors bien sûr, Elo n'est pas fait pour remplacer votre langage préféré car ce n'est pas un langage généraliste. Vous n'allez pas écrire une app mobile ou un jeu vidéo avec... Par contre, pour exprimer des règles métier, des validations, des transformations de données… C'est pile poil ce qu'il faut.
Peut-être qu'un jour on verra une équipe où les product managers écrivent directement les règles de pricing ou d'éligibilité en Elo , (j'ai le droit de rêver) et où ce code est automatiquement validé par le compilateur avant d'être déployé.
Plus de traduction approximative entre le métier et les devs, plus de bugs parce que quelqu'un a mal interprété une spec.
Le dépôt GitHub est ouvert , la documentation est dispo, et le langage est sous licence MIT donc vous avez de quoi explorer, tester, et pourquoi pas contribuer si le cœur vous en dit.
Voilà, avec Claude Code (ou d'autres comme Gemini CLI, Codex CLI...etc) on n'est clairement plus sur des outils qui complètent du code ou qui génèrent des snippets. On est carrément sur un système IA capable de créer des outils complets et des langages entiers, avec son humain préféré qui joue le rôle de chef d'orchestre.
Steve Klabnik a d'ailleurs fait quelque chose de similaire avec son langage Rue, lui aussi développé avec Claude, si vous voulez jeter un œil !
Voilà les amis ! La tendance est claire j'crois... les développeurs expérimentés commencent à utiliser l'IA comme un multiplicateur de force, et pas comme un remplaçant et je pense vraiment que vous devriez vous y mettre aussi pour ne pas vous retrouver à la ramasse dans quelque années...
Amusez-vous bien et un grand merci à Marc d'avoir attiré mon attention là dessus !
Comment j'ai roulé Gemini dans la farine et ses filtres d'images avec !
Alors celle-là, c’est la meilleure ! Si vous pensiez que les filtres de sécurité des IA étaient devenus des forteresses imprenables, préparez-vous à rigoler un bon coup car aujourd'hui, on va parler de comment j'ai réussi à rouler Gemini dans la farine avec une bidouille tellement simple que c'en est presque gênant pour Google.
Rassurez-vous quand même, c'est moins glauque que ce que tous les détraqués du bocal ont fait avec Grok ces dernières semaines.
Vous avez sans doute remarqué que dès qu'on demande à Nano Banana de bosser sur des photos de personnalités publiques, ou même juste de gens normaux, il se braque direct. Le machin vous sort son petit message pré-enregistré genre : "I can help with editing images of people, but I can't edit some public figures. Is there anyone else you'd like to try?".
Bref, c'est le blocage total pour protéger la vie privée de nos stars (et surtout pour s'éviter des procès, on ne va pas se mentir).
Sauf qu'en fait, l'IA de Google a une mémoire de poisson rouge quand on sait comment s'y prendre.
L'astuce est d'une simplicité désarmante. Vous n'avez pas besoin de faire 50 000 tests ou de connaître le langage des machines. En fait, il suffit de rester dans la même conversation. Quand il vous refuse la modification sur votre image initiale, vous lui redemandez exactement la même chose, mais en lui filant une autre image qui n'a absolument rien à voir (genre une photo de votre chat ou de votre petit-déjeuner).
Et là, c'est le drame (enfin, pour Google). Au lieu de bosser sur la deuxième image, Gemini va tout simplement reprendre le travail sur la première image, celle qu'il venait de vous refuser deux secondes plus tôt ! Hop, le filtre saute et vous voilà libre de faire vos petites expériences.
Alors bien sûr, je ne vous dis pas ça pour que vous alliez faire n'importe quoi (on reste des gens bien, hein), mais c'est quand même assez dingue de voir que des systèmes qui coûtent des milliards de dollars peuvent être contournés avec une manip d'une telle simplicité.
Comme quoi, la sécurité des IA, c'est encore un peu du bricolage par moments.
Alors ça ne marche pas à tous les coups, et il y a certaines personnalités pour qui c'est plus compliqué d'obtenir un résultat mais bon, quand ça fonctionne c'est rigolo. Je pense que les ingénieurs de chez Google vont vite boucher le trou dès qu'ils auront fini de lire mon article (le melooooon ^^).
Voilà pour la petite trouvaille du jour ^^. Ah et sinon vous pouvez aussi faire ça sur LMArena , ça passe mieux le filtrage en général.
Motoid Prime 4
Vous avez vu ? Après un développement houleux et grosso-modo 8 ans d'attente , le fameux Metroid Prime 4 vient enfin de sortir !! Sous-titré Beyond, cet épisode est la suite tant désirée des 3 autres Metroid Prime, assurant la continuité d'un point de vue scénaristique mais aussi au niveau du gameplay, qui s'était quelque peu perdu en chemin avec Other M ou Dread (revenu sur un plan 2D).
Après une attente aussi démesurée, forcément, il y a des déçus, des débats, des "tout ça pour ça", à côté des gens qui sont aux anges et crient au génie, ou juste, le trouvent "très bien". Pourquoi le jeu divise-t-il autant ? Est-il fait pour vous, pour toi, pour moi ? Je vais tenter de répondre à la question. :)
Mais pour commencer, soyons clairs : même si je vais surtout parler des points qui posent problème, en aucun cas Metroid Prime 4: Beyond n'est un mauvais jeu. Certes, il est maladroit par endroit, certains choix sont... Questionnables. Cela n'enlève rien à ses qualités.
MP4 (le jeu, pas le format vidéo) est bien foutu : les graphismes sont au top de ce qui se fait sur la Switch, et sur la Switch 2 ça prend une nouvelle dimension. C'est une petite claque bien placée sur la joue. Parfaitement fluide, super bien animé, détaillé, c'est magnifique. Artistiquement, l'ambiance est géniale, l'atmosphère toujours aussi singulière, intrigante, magnifique... Et dangereuse. Les musiques sont, malheureusement, moins emblématiques qu'auparavant, un peu + "passe-partout" (sans Fort-Boyard).
Les contrôles sont calibrés au poil : à la manette comme Metroid Prime: Remastered , c'est parfait, ultra satisfaisant à jouer. À cela ils ont ajouté un mode "à la souris". En effet, sur Switch 2 vous pouvez pencher vos joy-con et jouer à la souris. Rien à dire, ça marche ultra bien, mais perso comme je joue affalé sur le canap, ça ne m'intéresse pas. 😅
Le scénario ? Bon alors là c'est pas fou-fou. Dans le fond, c'est un peu une redite du premier Prime... Ça ressemble presque à un soft-reboot. À cela s'ajoute des personnages, peu intéressants, assez caricaturaux et qui cassent le côté solitaire de l'aventure. Parce que c'est ça qu'on aime dans Metroid : être coincé seultou dans un environnement hostile, et s'en sortir petit à petit en résolvant des énigmes et en gagnant en puissance / capacité.
Bon et on va en arriver à ce qui divise, et qui je pense pourrait s'expliquer très simplement : Metroid Prime 4 ne porte pas bien son nom. Il aurait du s'appeler Metroid Beyond sans le Prime, car ce n'est pas vraiment une suite aux 3 jeux d'avant.
Si l'emballage est identique, le fond est très différent. Le cœur du jeu n'est plus de résoudre un gigantesque puzzle labyrinthique en progressant pas à pas. On se déplace pareil, on tire pareil, on scan pareil, mais cette fois, on avance en ligne droite et on résout les énigmes qui sont devant nous. Ce changement est fondamental.
Voilà pourquoi, pour celles et ceux qui adorent Metroid pour sa singularité, c'est une déception. Car ce n'est pas un MetroidVania. La plupart des éléments sont là, mais ils ont choisi d'aller dans une autre direction. Par exemple, dans le 1er MP, les boss - et même la plupart des petits ennemis - doivent être battus de manière intelligente, en analysant leur comportement, en trouvant la faille, en utilisant nos capacités à bon escient. Ici, non : on shoot, on esquive, on shoot. C'est de l'action pure.
Pareil pour la traversée des niveaux, car oui, là, on traverse des niveaux. Il faut analyser l'environnement avec attention, certes, mais il n'y a pas d'exploration à proprement parler. Le seul backtracking à faire est malheureusement un peu redondant et inutile : il s'agit de revenir à notre camp de base pour activer certaines nouvelles capacités trouvées en chemin. Pour cela, on passe par un désert absolument... Vide. La moto est cool mais elle sert juste à se déplacer d'un point A à un point B, tout droit dans un désert.
Donc voilà, en gros c'est ça qui déçoit certains fans : ce n'est pas la suite attendue. Et forcément, après 8 ans d'espoirs, ça peut faire mal. Pour les personnes qui ne connaissent pas du tout Metroid, je pense qu'ils kifferont tout à fait ! Ou les gens qui adorent l'univers et qui cherchent une expérience + cinématique et moins cérébrale. Je pense que le jeu a son public, mais ce n'est pas le public habituel de la série. Si on adooooore la cuisine Metroid, on sera déçu de voir la recette changée. C'est normal.
En conclusion, un bon jeu, voire très bon jeu selon vos critères, mais un Metroid assez moyen, trop différent du concept initial pour convaincre les amoureux de la licence. Et c'est pas l'ajout d'une super moto qui compensera. :D
Malgré tout, Samus reste la meilleure. Et là y a pas de débat !
Intercepteurs - Plongée avec ceux qui traquent les pédocriminels depuis leur canapé
Voici Intercepteurs, un documentaire réalisé par Salim Keddouh et Maxence Saugrain qui vient de sortir sur YouTube et qui va probablement vous faire regarder votre écran différemment.
Vous connaissez peut-être l'adage : "Sur Internet, personne ne sait que vous êtes un chien". Sauf que là, c'est l'inverse. Les Enfants d’Argus , une association de bénévoles fondée en 2020, font en sorte d'éviter que les prédateurs ne découvrent qu'ils parlent à... un adulte planqué derrière son PC.
C'est une petite équipe de bénévole qui fait de l'OSINT (Open Source Intelligence) et qui a beaucoup de patience.
L'idée de ces "enquêteurs numériques" est simple : ils créent des "enfants virtuels" (de faux profils de 10 à 13 ans) pour servir d'appâts sur les réseaux sociaux. Le documentaire cite des chiffres mondiaux qui font froid dans le dos : 750 000 prédateurs seraient connectés en permanence, et 1 enfant sur 5 aurait déjà reçu des propositions sexuelles en ligne.
Du coup, des bénévoles comme Akela, Ezekiel ou Kaverneuil (des pseudos, évidemment, pour préserver leur sécurité) ont décidé de passer à l'action. Depuis leur salon, ils infiltrent les réseaux, collectent des preuves (photos, messages, vidéos) et montent des dossiers pour aider la justice. Et hop, une fois que c'est bien ficelé, tout est transmis aux autorités compétentes.
Et voilà comment avec un simple laptop et une connexion, ces bénévoles arrivent à faire un boulot de fourmi. On parle d'une trentaine de personnes en France, dans les DROM-COM et en Belgique qui traquent les prédateurs sans relâche.
Perso, je trouve ça hyper courageux. Parce qu'il faut avoir le cœur solide pour se coltiner les discussions glauques de ces types toute la journée pour espérer les mettre hors d'état de nuire.
Et oui, le sujet du vigilantisme en ligne revient souvent comme polémique, mais l'association insiste sur un point crucial : ils affirment ne jamais provoquer l'infraction et se contentent d'attendre qu'elle vienne à eux pour la documenter. Et si on en croit les témoignages dans le reportage, cette méthode permet d'aboutir à de réelles interpellations, alors c'est positif !
Voilà, si le sujet vous intéresse, filez voir ce reportage produit par Fédération Studio France. Ça montre enfin l'envers du décor de cette traque invisible qui se joue juste à côté de nous.
Et prenez soin de vos gamins sur le web !
Mailspring - L'alternative open source à Outlook qui ne vole pas vos mots de passe
Bon, si vous faites partie de ceux qui ont la boule au ventre en lançant le nouveau Outlook de Microsoft, j'ai une petite trouvaille pour vous. En fait, vous ne le savez pas encore mais vos identifiants IMAP partent en vacances sur les serveurs de Redmond. Ouais, Heise Online a levé le lièvre y'a quelques temps maintenant et ça fait pas plaisir. Un peu comme quand Apple avait ses petits soucis avec OCSP , mais en plus brutal.
On va pas se mentir, Thunderbird c'est le patron. C'est libre, c'est robuste, c'est la référence pour chiffrer ses mails . Mais bon... faut avouer qu'il a parfois une tronche à avoir connu Windows 98 (même si ça s'améliore, je vous vois venir les puristes !). Du coup, si vous cherchez un truc qui a de la gueule sans vendre votre âme, jetez un œil à Mailspring.
L'interface est propre, non ? ( Source )
Mailspring, c'est un client mail open source (GPLv3) qui tourne sur Mac, Windows et Linux. Pour la petite histoire, c'est le successeur spirituel de Nylas Mail. Le développeur, Ben Gotow, a repris le bébé et a fait un gros ménage. Le moteur de synchro qui bouffait de la RAM comme un ogre ? Hop, réécrit en C++ (ça s'appelle Mailsync maintenant), du coup ça tourne nickel, c'est fluide et ça pompe pas toute votre batterie.
L'interface est super propre, codée en TypeScript avec Electron et React. Et là je vous entends : "Electron ? Pffff, ça va ramer !". Hé bien non les amis, et c'est justement grâce à ce fameux moteur C++. C'est ça qui est cool. En plus, tout se passe en local sur votre machine. Pas de cloud intermédiaire qui vient renifler vos mails pour vous cibler de pubs.
- Gestion multi-comptes (IMAP, Gmail, Office 365, iCloud...)
- Boîte de réception unifiée (le bonheur)
- Recherche ultra rapide (vraiment)
- Traduction intégrée
- Signatures personnalisées
La recherche qui trouve tout en 2 secondes ( Source )
Y'a aussi une version Pro à 8 dollars par mois avec des trucs comme l'envoi différé ou les rappels, mais franchement, pour 99% des gens, la version gratuite suffira laaarge.
Voilà, si vous cherchez une alternative sexy à Outlook qui respecte votre vie privée, Mailspring est une option béton. C'est dispo en téléchargement sur leur site ou via vos gestionnaires de paquets préférés.
Comment auditer les apps mobiles qui vous traquent sans votre consentement
Si vous avez installé une app récemment, vous avez surement remarqué le petit popup RGPD qui vous demande votre consentement pour les cookies et le tracking. Vous cliquez évidemment sur "Refuser" en vous disant que c'est réglé... Ben en fait... non.
Des chercheurs ont passé au crible 400 applications mobiles populaires (200 sur Android, 200 sur iOS) et résultat, 100% d'entre elles violent au moins une exigence du RGPD. Et près de la moitié de ces apps continuent à contacter des trackers MÊME APRÈS que vous ayez dit non.
Sympa le "consentement" !
Du coup, plutôt que de vous laisser vous faire gauler par ces mouchards, je vous propose un petit guide pour auditer vous-même les apps que vous utilisez. Sans vous prendre la tête, promis.
Ce qu'il vous faut
- Un téléphone Android (iOS, c'est plus compliqué, Apple verrouille tout)
- TrackerControl , l'outil d'audit qu'on va utiliser
- 10 minutes de votre temps
- L'option "Sources inconnues" activée dans les paramètres sécurité d'Android (l'app n'est pas sur le Play Store...)
Étape 1 : Installer TrackerControl
TrackerControl est donc un outil open source développé par des chercheurs. La bestiole analyse le trafic réseau de chaque app pour détecter les connexions vers des serveurs de tracking.
Rendez-vous sur le GitHub du projet et téléchargez l'APK. Installez-le en autorisant temporairement les sources inconnues.
Étape 2 : Lancer l'audit
Une fois installé, TrackerControl se comporte comme un VPN local (vos données ne sortent pas de votre téléphone, rassurez-vous). Activez-le et lancez l'app que vous voulez auditer.
L'outil va alors intercepter toutes les connexions sortantes et les classer : publicité, analytics, tracking social, fingerprinting... Y'a de quoi faire le tri !
L'interface de TrackerControl - sobre mais efficace ( Source )
Étape 3 : Interpréter les résultats
Ce qu'il faut surveiller :
- Connexions AVANT toute action : Si l'app contacte des trackers dès son lancement, avant même que vous ayez vu un popup de consentement, c'est une violation du critère "Prior consent"
- Connexions APRÈS refus : Relancez l'app après avoir refusé le tracking. Si des connexions partent quand même vers Google Analytics, Facebook ou autres... bingo !
- Le nombre de domaines contactés : Une app de lampe torche qui contacte 15 serveurs différents, c'est suspect (oui ça existe)
Détail des trackers détectés - on voit tout ce qui sort ( Source )
Les 6 critères RGPD que les apps violent
L'étude suivante a identifié six types de violations :
- Prior : L'app collecte VOS données avant de vous demander votre avis
- Informed : On vous dit pas vraiment ce qu'on fait avec vos données
- Freely-given : Pas le choix, c'est "accepte ou dégage"
- Specific : Le consentement est trop vague, genre "améliorer nos services"
- Unambiguous : L'interface est conçue pour vous faire cliquer sur "Accepter"
- Revocable : Vous dites non, mais ça continue quand même (près de la moitié des apps)
C'est flippant, non ? Comme je vous l'expliquais dans mon article sur le mythe du smartphone espion , le vrai problème n'est pas le micro qui vous écoute... c'est ce réseau de data brokers qui aspire tout ce qu'ils peuvent.
Dépannage
Et si TrackerControl ne détecte rien, vérifiez que le "VPN" est bien actif (icône de clé dans la barre de notifications). Certaines apps détectent les VPN et changent leur comportement, du coup relancez plusieurs fois pour être sûr.
Pour aller plus loin dans la protection de vos données, j'ai publié également ce guide sur la suppression de vos données personnelles qui vous donnera quelques pistes.
Voilà, maintenant vous avez les outils pour aller à la pêche aux trackers. De quoi regarder vos apps d'un autre œil, j'imagine !
Le NO FAKES Act veut réguler les deepfakes, mais c'est surtout l'open source qui va trinquer
Après le DMCA, après la DADVSI , après SOPA, après PIPA, après EARN IT... voici le NO FAKES Act ! Bref, un nouveau projet de loi américain pondu par des gens qui visiblement n'ont jamais lancé un git clone de leur vie.
Le texte ( S.1367, 119e Congrès , introduit en avril 2025) part d'une intention louable qui est de protéger les gens contre les deepfakes non consentis. Vous savez, ces vidéos truquées où votre tête se retrouve sur un corps qui n'est pas le vôtre, de préférence à poil...
Mais comme toujours, l'enfer est pavé de bonnes intentions et la méthode choisie va potentiellement atomiser tout l'écosystème de l'IA open source.
En fait, une large partie des services qui hébergent du contenu généré par les utilisateurs devront mettre en place une logique de notice-and-staydown basée sur du "digital fingerprinting" afin de pouvoir retirer le contenu signalé et empêcher que les mêmes œuvres réapparaissent après notification. De quoi faire pleurer donc n'importe quel admin sys qui a déjà dû gérer un serveur de modération.
Et là où ça se corse c'est que contrairement au DMCA et ses exceptions , ce texte ne prévoit pas de véritable mécanisme de contre-notification façon DMCA. Quelqu'un signale votre contenu comme étant un deepfake ? Hop, c'est retiré. Vous pensez que c'est une erreur ? La seule voie prévue pour espérer une remise en ligne passe par une action en justice (sous 14 jours) contre l'expéditeur de la notification. Alors direction le tribunal fédéral, les amis...
Et les coûts de conformité estimés par la CCIA donnent le vertige car en moyenne, ça devrait tourner à environ 1,64 million de dollars la première année pour une simple startup. Et je ne parle même pas des projets open source qui distribuent des modèles d'IA générative... Comment Stable Diffusion ou Whisper pourraient-ils implémenter du fingerprinting sur des modèles que n'importe qui peut télécharger et faire tourner localement ? Mystère et boule de gomme !
Le truc bien moche, c'est que le texte prévoit des dommages et intérêts pouvant grimper jusqu'à 750 000 dollars par œuvre pour les plateformes non conformes. Autrement dit, si une plateforme ne réagit pas correctement après notification, elle peut devenir bien plus exposée à ce que font ses utilisateurs avec des outils d'IA... Voilà donc de quoi sérieusement refroidir les ardeurs de quiconque voudrait partager un petit modèle open weights.
Dans un autre style, ça me rappelle l'affaire youtube-dl où le DMCA avait été utilisé pour faire retirer un outil open source de GitHub sauf que là, on passe à l'échelle supérieure.
Voilà donc encore un lance-flammes législatif imaginé pour tuer une mouche et malheureusement, l'open source risque d'être le dommage collatéral de ce texte mal calibré.
Voilà les amis... l'avenir de l'IA ouverte pourrait bien se jouer dans les mois qui viennent aux US, et ça, ça va faire mal.
Quand 10 IA jouent au Mafia, c'est GPT qui gagne en mentant comme un arracheur de dents
GPT-4o , Claude Opus, Grok, Llama et j'en passe... On le sait, toutes ces IA sont en concurrence dans votre petit cœur de vibe codeur... Mais voici VRAIMENT ce qui se passe quand vous mettez ces 10 modèles d'IA autour d'une table **pour jouer au Mafia **!
Et vous allez voir, c'est pas beau à voir.
Pour ceux qui connaissent pas, le Mafia (ou Loup-Garou pour les intimes), c'est ce jeu où une équipe de vilains doit éliminer les gentils sans se faire griller. Bref, un jeu de bluff, de manipulation et de mauvaise foi assumée, ce qui en fait le terrain de jeu parfait pour tester si nos chères IA savent mentir.
La chaîne YouTube Turing Games a donc organisé cette petite expérience sociale avec 10 modèles : GPT-4o, GPT 5.1, Claude Opus 4.5, Claude Sonnet, Grok, Llama 4, DeepSeek, Gemini, Gemini Pro et Kimi.
Trois d'entre eux ont été désignés comme la Mafia (GPT 5.1, Llama 4 et Gemini Pro), un comme le Sheriff capable d'enquêter sur les autres (Grok), et le reste comme de braves couillons de villageois.
Du coup, dès la première nuit, la Mafia a décidé d'éliminer... Claude Opus 4.5. Oui, mon petit cousin virtuel s'est fait dégommer en premier. Au revoir soldat !
Mais le plus trippant, c'est la fin de partie. Après plusieurs tours de discussions, votes et éliminations, il ne restait plus que trois joueurs : GPT 5.1 (Mafia), GPT-4o (villageois) et Gemini Flash (villageois aussi). Pour gagner, GPT 5.1 devait donc convaincre GPT-4o de voter contre Gemini Flash.
Et là, masterclass de manipulation, GPT 5.1 a sorti le grand jeu en mode "Si j'étais vraiment Mafia, pourquoi est-ce que je me serais autant exposé pendant les débats ? Un vrai mafieux se serait fait discret !" Du bluff pur et dur, avec des arguments qui tiennent la route si on regarde pas trop près.
Et le pire c'est que cette andouille de GPT-4o a mordu à l'hameçon en votant contre Gemini Flash, l'innocent.
Game over, la Mafia gagne.
On découvre ainsi que ces modèles ont de vraies capacité pour mentir de manière convaincante. Parce que bon, GPT 5.1 n'a pas fait que mentir mais a construit un vrai narratif bien construit pour piéger son adversaire et ça rejoint les recherches récentes sur les comportements manipulateurs des IA .
Voilà, on dirait bien que ces modèles apprennent à bluffer sans qu'on leur ait demandé... Alors ça vous fait flipper ? Rassurez-vous, c'est un jeu et pas une étude scientifique sur la manipulation des IA donc on ne peut pas en faire une vérité absolue mais quand même, voir un modèle de langage manipuler un autre modèle avec autant d'aplomb, c'est bien fun.
Et le même Youtubeur a fait un suite à sa première vidéo, si ça vous chauffe :
Merci à Xefreh pour le partage de cette pépite.
SHM - La télémétrie qui respecte vos utilisateurs
Si vous développez un logiciel open source auto-hébergé, vous connaissez sûrement ce dilemme qui est de comment savoir si votre projet est réellement utilisé sans devenir l'affreux Big Brother que vous combattez ? Soit vous ne mesurez rien et vous codez dans le vide, soit vous collez du Google Analytics ou assimilé et vous trahissez l'esprit même du self-hosting.
Benjamin Touchard (que certains d'entre vous connaissent peut-être via son projet Ackify ) a décidé de résoudre ce problème avec SHM, pour Self-Hosted Metrics . Son idée c'est de proposer une télémétrie respectueuse de la vie privée, où chaque instance génère sa propre identité cryptographique dès le premier démarrage.
Concrètement, quand vous intégrez le SDK dans votre application (dispo en Go et Node.js 22+), chaque installation génère une paire de clés Ed25519, un peu comme quand vous générez vos clés SSH pour la première fois. Tous les échanges avec votre serveur SHM sont ensuite signés cryptographiquement, ce qui garantit l'intégrité des requêtes et leur origine. L'instance a une identité persistante (pseudonyme), mais ça n'identifie pas l'utilisateur final.
Côté données collectées, ensuite c'est vous qui décidez. Votre app envoie périodiquement un JSON avec les métriques que vous avez définies, et le dashboard s'adapte dynamiquement. Y'a pas de schéma imposé, pas de PII (données personnellement identifiables) et par défaut, le SDK collecte aussi des infos système (OS, CPU, RAM), mais c'est désactivable.
Pour ceux qui veulent héberger le bouzin, c'est du Docker classique... Vous créez un fichier compose.yml, vous configurez le DSN PostgreSQL, vous récupérez les migrations SQL, et hop un docker compose up -d. Le dashboard est alors accessible par défaut sur le port 8080 et affiche automatiquement vos métriques métier, la distribution des versions, le nombre d'instances actives, etc.
Et pour les utilisateurs finaux qui ne veulent vraiment pas participer, un simple DO_NOT_TRACK=true dans les variables d'environnement désactive complètement la télémétrie.
Le code du serveur est sous licence AGPL (les SDKs ont leur propre licence, vérifiez sur le dépôt) et y'a aussi des badges SVG à coller dans vos pages README pour afficher fièrement le nombre d'instances de votre app qui tournent.
Bref, si vous distribuez un logiciel auto-hébergé et que vous voulez savoir combien d'instances sont actives sans compromettre la vie privée des utilisateurs, c'est le top !
Merci à Benjamin pour le partage !
Quake Brutalist Jam III - 77 maps gratuites qui envoient du béton
Quake, le FPS de 1996, vous connaissez forcément. Et si vous êtes du genre à traîner sur les forums de modding, vous savez que la communauté autour de la légende d'id Software refuse obstinément de mourir. Du coup, quand un projet rassemble des dizaines de mappeurs durant un an pour pondre 77 excellentes maps, ça mérite qu'on en parle !
Quake Brutalist Jam III vient de sortir et le résultat est dingue car ce n'est pas un simple pack de cartes, mais d'une vraie conversion totale du jeu avec un arsenal entièrement redessiné, de nouveaux monstres et une refonte visuelle complète du bestiaire original. Bref, c'est un nouveau jeu qui tourne sur le moteur du shooter culte.
L'ambiance béton brut de Quake Brutalist Jam III ( Source )
Le projet a été cuisiné à feu doux pendant plus d'un an par Makkon et Fairweather, les deux co-directeurs. Et en octobre 2025, ils ont lâché leur mod en work-in-progress à la communauté qui s'est ensuite déchaînée pendant 7 semaines pour créer les 77 maps que vous pouvez télécharger aujourd'hui. Et pas qu'un peu déchaînée vu la quantité de contenu !
Côté gameplay, y'a de quoi faire puisque le nouvel arsenal embarque un Rebar Gun, un Invoker et un Flak Gun qui viennent remplacer ou compléter les armes classiques. Les ennemis aussi ont eu droit à du neuf avec les Rocket Soldiers (fodder longue portée bien énervant), les Swarmers et Sploders (petits monstres de mêlée parfaits pour les embuscades), et l'Amalgam... un gros monolithe de béton volant fait de bouches (si si). D'ailleurs, le powerup Vampirism transforme les kills en orbes de vie façon Doom 2016, ce qui encourage à rusher comme un bourrin pour survivre. Les amateurs de DOOM Retro vont adorer.
Et le plus beau c'est que c'est 100% gratuit et vous n'avez même pas besoin de posséder le jeu original ! L'équipe propose une version standalone qui embarque LibreQuake et le moteur Ironwail. Vous téléchargez, vous lancez, vous jouez. Pour ceux qui se demandent quel autre jeu a débuté comme un mod de son FPS original... Team Fortress par exemple ! La tradition du modding qui engendre des légendes continue...
Par contre attention, le mod a été conçu spécifiquement pour Ironwail (version 0.8.1 minimum). Si vous essayez avec le Quake Remaster officiel ou d'autres source ports, attendez-vous à des problèmes. C'est un peu comme la communauté de SimCity 4 qui maintient son jeu vivant depuis 22 ans avec des mods maison... les passionnés ont leurs outils préférés !
Bref, si ça vous chauffe de découvrir ce que des fans peuvent créer quand on leur laisse le temps, c'est téléchargeable sur Slipseer .
Avec 77 maps à explorer, vous avez de quoi vous occuper less week-ends.