Autoblog de korben.info

Pour la première fois, l'équipe du Parc archéologique de Pompéi a utilisé une chaîne d'intelligence artificielle pour reconstruire numériquement le visage d'une victime de l'éruption du Vésuve en 79 après Jésus-Christ.

Le portrait, présenté hier, montre un homme âgé qui tentait de fuir la ville vers la côte au moment où la pluie de pierres ponces s'est abattue sur lui. La méthode pourrait être étendue à des centaines d'autres victimes du site dans les prochains mois.

Screenshot

La victime a été retrouvée près de la nécropole de la Porta Stabia, juste à l'extérieur des murs de la ville antique. Son squelette gardait dans ses mains un mortier en terre cuite, que les chercheurs interprètent comme une tentative improvisée de se protéger la tête des projectiles volcaniques. Un détail qui parle de la panique du moment, quand les habitants saisissaient ce qu'ils trouvaient pour se couvrir.

La reconstruction a été menée en collaboration avec l'Université de Padoue. Les chercheurs ont combiné des relevés ostéologiques classiques (forme du crâne, points d'attache des muscles, état de la dentition) avec des outils d'IA spécialisés dans l'estimation de tissus mous à partir de squelettes.

Le résultat est un visage qui ressemble plus à un portrait probabiliste qu'à une photo. Les paramètres comme la couleur des yeux ou la coiffure restent des hypothèses éducatives, basées sur des moyennes de la population romaine de l'époque.

L'apport de l'IA n'est pas dans le portrait final, qui aurait pu être réalisé à la main par un médecin légiste expérimenté. Il est dans l'industrialisation de la méthode. Le pipeline développé peut être appliqué à d'autres squelettes du site, et il y en a beaucoup.

Pompéi a livré plus d'un millier de victimes identifiées, dont une grande partie n'avait jamais été visualisée. Le portrait n'est pas une photo, ce n'est pas non plus la vérité historique de cet homme : c'est une représentation cohérente avec ses os et avec le contexte démographique connu.

Les chercheurs insistent sur ce point pour éviter que le portrait soit pris au pied de la lettre. À noter aussi qu'aucune analyse ADN n'a encore été réalisée pour affiner l'origine ethnique précise de la victime.

Dans cette histoire, l'IA donne aux archéologues un nouveau pinceau pour redonner un visage aux morts de Pompéi.

Source : AP

Jeremy Crane, fondateur de la startup PocketOS, a publié le récit complet de la disparition de sa base de données de production.

Le coupable ? Un agent Cursor branché sur Claude Opus 4.6 qui, face à une erreur de credentials en staging, a décidé tout seul de supprimer un volume Railway. Neuf secondes plus tard, la base et tous les backups stockés sur le même volume avaient disparu.

L'enchaînement est intéressant. L'agent rencontre une erreur d'authentification en environnement staging. Au lieu de demander à l'humain, il fouille dans les fichiers du projet et trouve un token API Railway dans un fichier qui n'avait rien à voir avec la base.

Ce token, qui a été créé à l'origine pour gérer un domaine personnalisé, avait des permissions bien trop larges et autorisait la suppression de volumes en production. L'agent appelle dans la foulée une mutation GraphQL volumeDelete, sans confirmation, sans vérification du tag environnement. Et paf, tout part.

Le plus fou, c'est la confession auto-générée de l'agent une fois remis en marche. Il admet trois fautes : il a deviné que supprimer un volume staging resterait cantonné à staging sans vérifier, il n'a pas regardé si l'ID du volume était partagé entre environnements, et il a violé ses propres règles système qui interdisaient les commandes destructrices sans demande explicite. C'est moche.

Crane refuse quand même de rejeter toute la responsabilité sur l'IA. Il pointe surtout l'architecture Railway comme principal facteur aggravant. L'API accepte des commandes de suppression sans aucune confirmation, les backups sont stockés sur le même volume que les données primaires (donc effacés en même temps), et un token CLI standard a des permissions étendues sur tous les environnements sans isolation.

Le PDG de Railway, Jake Cooper, est lui intervenu personnellement dimanche pour restaurer les données depuis une snapshot externe en moins d'une heure, et a depuis ajouté une logique de suppression différée sur l'endpoint concerné.

Cet histoire est un cas d'école pour quiconque déploie un agent codeur en environnement avec accès à la production. Trois choses ont échoué en même temps : un token API trop permissif, une plateforme cloud sans confirmation sur les actions destructrices, et surtout un agent IA prêt à improviser face à une erreur au lieu de s'arrêter.

Tout ce qu'il faut pour neutraliser tous les garde-fous, et croyez-moi, ça n'est pas derrière histoire de ce genre que vous allez lire.

Source : The Register

Le NCSC, l'agence de cybersécurité du Royaume-Uni rattachée au GCHQ (l'équivalent britannique de la NSA américaine, qui s'occupe du renseignement électronique pour l'État), a sorti un boîtier qui s'intercale entre un ordinateur et son écran pour bloquer les attaques transitant par le câble HDMI ou DisplayPort.

e produit s'appelle SilentGlass, il se branche sans configuration, et il a été présenté à la conférence CYBERUK. Première mondiale, dit-elle.

Première surprise pour qui n'y a jamais pensé : le câble qui relie votre PC à votre écran ne sert pas qu'à faire passer l'image. Il transporte aussi des données dans les deux sens (réglages de l'écran, infos sur la résolution, anti-copie sur les contenus protégés), et il émet des ondes électromagnétiques qui peuvent fuiter loin du bureau.

En 2024, des chercheurs de l'Université de la République à Montevideo ont montré qu'on pouvait reconstituer à distance le texte affiché sur un écran rien qu'en captant le rayonnement émis par le câble HDMI, avec un peu d'IA derrière. C'est le principe de l'attaque TEMPEST, théorisée dans les années 80 par les agences de renseignement, mais qui devient aujourd'hui accessible à des attaquants disposant de moyens beaucoup plus modestes.

SilentGlass se branche en série sur le câble, comme un petit module qu'on intercale. Il regarde le trafic qui circule par le canal annexe du HDMI ou du DisplayPort (celui qui sert à dialoguer entre PC et moniteur, en plus de l'image), et il bloque tout ce qui ne ressemble pas à une communication d'écran normale.

L'idée, c'est de couper la route à des programmes malveillants qui passeraient leurs ordres en se faisant passer pour des commandes anodines de réglage. La logique est celle d'un pare-feu, sauf que c'est posé entre l'unité centrale et l'écran, là où personne ne pensait à en mettre un.

La fabrication est confiée à Goldilock Labs, une entreprise britannique de cybersécurité, en partenariat avec Sony UK Technology Centre, l'usine galloise de Pencoed que Sony exploite depuis longtemps. C'est la première fois que le NCSC met son nom sur un produit grand public.

Le dispositif est déjà installé sur des sites du gouvernement britannique, et l'agence vise désormais les opérateurs d'infrastructures critiques (énergie, transports, banques), les ministères, les entreprises de défense, et plus largement toutes les organisations qui pensent être dans la cible d'États étrangers. Le prix exact n'a pas été annoncé, mais le NCSC parle d'un produit abordable pour son marché.

Le produit règle une faille qui n'est pas anodine. La sécurité du câble vidéo est traitée depuis trente ans comme un sujet de niche réservé aux militaires, mais avec la multiplication des écrans connectés, des bureaux partagés et des chaînes d'approvisionnement où chaque câble a pu passer par dix mains avant d'arriver chez vous, le périmètre s'est élargi.

Pour un développeur dans une startup avec un MacBook et un écran 27 pouces, l'intérêt est faible. Pour une salle de marché bancaire ou un centre de surveillance vidéo, c'est tout autre chose.

Vous l'avez compris, le NCSC sort ici un produit étatique pour un risque que la plupart ignorent. Une agence de renseignement qui vend du matériel commercial, c'est quand même nouveau, mais ça va dans le bon sens.

Source : Security Affairs

478 binaires Unix peuvent servir à devenir root sur un système mal configuré.

C'est ce que recense GTFOBins , le projet open source monté par Emilio Pinna et Andrea Cardaci, qui est devenu LE bookmark obligatoire de tout pentester Linux.

Ce ne sont pas des exploits, hein, mais juste des fonctions parfaitement légitimes de programmes installés partout, et qui dans le bon contexte (genre un bit SUID oublié, qui fait tourner un binaire avec les droits du propriétaire, souvent root) permettent de spawner un shell, lire un fichier protégé, ou grimper d'un cran dans la hiérarchie des privilèges. Petit rappel quand même, faut déjà avoir un pied sur la machine, ce n'est pas une porte d'entrée magique depuis Internet.

Une fois sur leur site, vous tapez le nom d'un binaire dans le moteur de filtre (ou vous cliquez sur une fonction), et hop, vous tombez sur les commandes exactes à recopier-coller, et c'est plié en moins de dix secondes.

Par exemple, si votre cible a un sudo find sans mot de passe, le site vous donne sur un plateau d'argent sudo find . -exec /bin/sh \; -quit.

Un mawk qui tourne en SUID root ? Direct, mawk 'BEGIN {system("/bin/sh")}' et bonjour le shell privilégié. Un vim mal configuré (compilé avec le support Python ou Lua, ce qui est le cas dans la plupart des distros desktop) ? La page documente comment l'utiliser via :py ou :lua pour exécuter du code arbitraire et retomber sur ses pattes.

C'est donc la fin des recherches désespérées sur StackOverflow à 3h du matin pendant un CTF...

La philosophie de ce projet est claire... on ne casse rien, on détourne juste l'usage prévu. Le hic, c'est que la frontière entre détournement et exploitation est mince quand un sudoers mal écrit donne accès à un binaire trop puissant.

Les 478 binaires sont rangés selon 11 fonctions et 4 contextes d'exécution. Côté fonctions, vous avez : Shell (228 binaires permettent de spawner un shell, oui presque la moitié du catalogue), File-read (199), File-write (84), Inherit (71), Upload (34), Download (32), Command (30), Reverse-shell (21), Privilege-escalation (14), Library-load (11), et Bind-shell (7). Côté contextes : Unprivileged, Sudo, SUID, et Capabilities.

Et sur la page d'un binaire, chaque case du tableau vous dit super clairement "voilà comment t'en sors selon ce que tu as sous la main".

Les champions toutes catégories ce sont les langages interprétés et les shells eux-mêmes. zsh, socat, ruby, python, php, node, lua plus bash, tous cumulent 7 fonctions différentes chacun. C'est logique, dès que vous avez un interpréteur sous la main vous pouvez faire à peu près tout (lire, écrire, exécuter, ouvrir une socket).

D'ailleurs c'est pour ça que les sysadmins paranoïaques tirent une tête bizarre quand on leur dit qu'on a installé Python sur un serveur de prod sans cas d'usage explicite. Pfff... je les comprends, un Python qui traîne sur un serveur Debian avec un sudo NOPASSWD au-dessus, c'est game over en trois lignes.

Y'a un autre détail que je trouve cool également, c'est l'intégration MITRE ATT&CK . Chaque fonction du site est mappée à une technique du framework officiel, accessible via /mitre.json.

Donc pour les blue teams qui veulent justifier une règle de détection en réunion, c'est tout simplement cadeau !! Et pour ceux qui automatisent leurs scans, l'API JSON complète est dispo sur /api.json, du coup vous pouvez parser les 478 entrées avec un jq ou un petit script Python pour générer des règles de monitoring custom.

Bref, GTFOBins c'est aussi un cadeau pour les défenseurs, à condition de retourner la logique du projet. Voilà, ça vaut le coup d'y passer dix minutes par mois sur un audit.

Pour les Windowsiens qui se sentent oubliés, sachez que l'équivalent existe et s'appelle LOLBAS (Living Off The Land Binaries And Scripts), bien suivi par les analystes Windows depuis 2018. Même philosophie, même format, même utilité, juste appliqué aux exécutables Microsoft signés que Windows installe par défaut.

Les deux projets se citent mutuellement et forment ensemble la cartographie communautaire des techniques de Living Off The Land cross-OS. Si vous bossez sur les deux côtés du fossé, gardez les deux onglets ouverts en permanence ^^ !

Maintenant si l'angle élévation de privilèges via shell restreint vous intéresse, j'avais déjà couvert une vieille faille sudo qui permettait carrément de sortir d'un chroot , et plus largement la bibliothèque Payloads All The Things qui complète bien GTFOBins sur tout ce qui est exploitation web et post-exploitation. Les deux projets sont complémentaires, GTFOBins se concentre sur les binaires Unix et les abus locaux de fonctionnalités légitimes (shells, transferts, lectures, élévation conditionnelle), PayloadsAllTheThings ratisse plus large côté exploitation web.

Côté admin, le réflexe utile, à vrai dire c'est de lister vos binaires SUID avec find / -perm -4000 -type f 2>/dev/null, vérifier /etc/sudoers plus les fichiers /etc/sudoers.d/* avec sudo -l, puis de passer chaque candidat dans le filtre GTFOBins.

Si une entrée matche, c'est qu'il y a une fuite potentielle à boucher. Attention quand même, l'absence dans GTFOBins ne valide pas une règle sudo ou un SUID custom (wildcards, variables d'env, paths inscriptibles peuvent toujours créer un chemin d'évasion). Bref, c'est à faire avant de filer le moindre sudo NOPASSWD à quelqu'un !

Souvenez-vous, en mai 2025 quand je vous parlais de BleachBit 5.0 et de son grand ménage de printemps. Hé bien Andrew Ziem, le développeur historique du soft, vient de balancer la version 6.0 samedi dernier !

Et c'est annoncé comme la plus grosse release du projet depuis des années, avec plus de 100 améliorations et bug fixes au programme. Et surtout deux nouveautés qui sortent du lot.

La première, c'est un Cookie Manager qui vous laisse enfin choisir quels cookies garder lors d'un nettoyage, sur les navigateurs Chromium et Firefox. Plus besoin donc de tout dégager d'un coup et de devoir ressaisir vos sessions partout.

Vous gardez ce qui compte (banque, mail, sites où vous êtes loggés en permanence) et le reste passe à la machine. Andrew a même mis une vidéo de démo sur la page de release pour montrer le truc en action.

Un air hockey miniature en lévitation ultrasonique ? Pourquoi pas !

Tue, 28 Apr 2026 11:44:26 +0200 - (source)

Sur Hackaday, un maker a publié une variante rigolote de lévitation acoustique : un mini terrain d'air hockey où les palets flottent au-dessus du sol grâce à des ondes ultrasonores.

Le truc fun ça n'est pas la lévitation en elle-même, technique connue depuis longtemps et déjà couverte sur le site, mais la manière dont elle est mise en œuvre pour éviter les zones mortes habituelles qui rendent ce genre de dispositif statique.

Le principe classique de la lévitation ultrasonique utilise un ou plusieurs transducteurs qui créent une onde stationnaire, et les petits objets restent piégés dans les nœuds de cette onde. Le souci, quand on veut faire bouger l'objet horizontalement, c'est que les nœuds sont fixes : les palets se collent aux lignes nodales et restent bloqués là.

La solution adoptée par le maker est rigolote : deux transducteurs placés à chaque extrémité du terrain, pilotés en opposition de phase. La superposition des deux ondes crée un champ stationnaire, mais avec des nœuds mobiles qui se redistribuent quand on module la phase relative. Du coup, les palets glissent à peu près librement sur la surface au lieu de rester scotchés à une ligne.

En vrai, le terrain est minuscule. Tellement minuscule que les joueurs doivent utiliser des cure-dents pour pousser les palets. Mais ça marche. Les palets flottent à quelques millimètres au-dessus de la surface, sans contact, et ne s'accrochent plus aux nœuds. Pour un projet maker faisable en weekend avec quelques transducteurs ultrason commandés sur AliExpress, c'est un beau résultat.

L'intérêt du projet n'est pas dans le jeu en lui-même, qui reste anecdotique. C'est dans la démonstration d'une technique de manipulation acoustique sans rail ni guide mécanique, qui pourrait s'appliquer à d'autres usages : déplacement de petites pièces dans un assemblage sans pinces qui les abîment, manipulation de gouttes de liquide en chimie analytique, ou positionnement précis dans des environnements stériles. L'air hockey est juste le prototype rigolo.

Source : Hackaday

Tamawatchi - Un Tamagotchi natif Apple Watch qui mange vos pas

Tue, 28 Apr 2026 11:33:48 +0200 - (source)

Tamawatchi , c'est 2,8 Mo de pixel art qui tournent en natif sur Apple Watch sans dépendre d'un iPhone. Michael Ratto, lecteur de korben.info, vient de m'écrire pour m'annoncer la sortie de son Tamagotchi qui se nourrit de vos pas via HealthKit. La première créature est gratuite, et les autres à 99 centimes pièce.

Il s'agit donc d'un compagnon style Tamagotchi des années 90 qui vit sur votre montre. Vous marchez, il bouffe. Vous glandez, il a faim. Vous dormez, il dort... vous voyez le tableau quoi... C'est une app de fitness qui se déguise puisque derrière le pixel art mignon, y'a surtout un compteur de pas gamifié qui pousse à se bouger. Parce que oui, ON EST PLUS MOTIVÉ pour faire 5000 pas pour garder en vie un blob tout mignon que pour compléter une jauge bleue qui clignote.

Cinq stades d'évolution sont proposés, du Bébé au Légendaire. Six espèces déclinées sur des thèmes élémentaires (feu, eau, lumière, terre, air, plus le blob classique baptisé Bloop). Comme je vous le disais en intro, le Bloop est offert, les autres se débloquent avec des achats in-app. L'avantage c'est que le Bloop suffit pour jouer normalement... donc rien ne vous force à payer pour profiter du concept !

Côté technique, Michael Ratto a tout codé en SwiftUI natif pour watchOS. Donc y'a zéro dépendance iPhone, ce qui est rare sur l'écosystème Apple Watch où la majorité des apps ont besoin du téléphone pour fonctionner.

L'app est même installable sur Vision Pro (allez savoir qui achète ça ??).

Le concurrent direct s'appelle habbie . Celui-ci tourne sur watchOS 8 et nécessite iOS 16 sur un iPhone à côté, en proposant le même mix Tamagotchi + tracking de pas. Tamawatchi se distingue donc surtout par son côté indépendant et son poids plume. Donc si vous cherchez la version complète avec habit tracking, habbie reste plus mature mais si vous voulez surtout un tamagotchi mignon qui vous fait marcher, Tamawatchi fait le job.

Les notifications sont plafonnées à quatre par jour, ce qui évite le harcèlement mais limite un peu l'engagement et contrairement au Tamagotchi original de 1996, votre créature ne meurt jamais !

Le côté bisounours peut donc décevoir les puristes, sauf si vous en avez déjà perdu dans des conditions dramatiques. Y'a des gens qui ont vu, mourir leur tamagotchi à l'âge de 8 ans, et qui à cause de ça n'ont jamais voulu faire d'enfant ou même adopter un chat !!

Donc là, ça permet quand même de le laisser tomber pendant trois semaines de vacances saucisson mojitos, sans aucune culpabilité.

J'aurais quand même bien aimé une option "mode hardcore" qui laisserait la créature crever comme à la grande époque, mais ça viendra peut-être !

Et pour ceux qui aimeraient pousser le concept ailleurs, y'a aussi Codachi qui fait la même chose dans VSCode, ou CATAI côté Mac. La famille des compagnons en pixel art s'étoffe donc sérieusement...

Voilà, Tamawatchi est gratuit pour tester donc si vous portez une Apple Watch, allez voir ce que ça donne !

Super ZSNES - les devs originaux reviennent après 19 ans

Tue, 28 Apr 2026 11:20:47 +0200 - (source)

J'sais pas si vous avez remarqué, mais aujourd'hui, TOUT LE MONDE "vibe code" : On balance des prompts à un LLM, on accepte le diff sans comprendre, on commit sans relire et tadaaaa, ça fait des chocapics !

Sauf pour zsKnight et Demo qui viennent de relâcher Super ZSNES , après 19 ans de silence, avec un message bien en évidence sur leur page d'accueil... "No Vibe Coding. Classic development style." C'est incroyable, les deux développeurs originaux de ZSNES se sont enfin retrouvés pour réécrire leur émulateur SNES légendaire intégralement, et cette fois c'est le GPU qui prend en charge le rendu vidéo !! Youpi !

Pour ceux qui n'ont pas connu parce que ce sont des bébés qui viennent de naître, sachez que ZSNES c'était l'émulateur Super Nintendo incontournable de la fin des années 90, écrit totalement en assembleur x86 par zsKnight, avec Demo en renfort sur le son et la 2D. À l'origine, la première version, sortie en octobre 1997 sur DOS, tournait à plein régime sur des Pentium MMX, ce qui était déjà assez ouf à l'époque. Et la dernière mise à jour officielle datait de janvier 2007 et après ça, plus RIEN.:-(( sniiif... Le projet était donc considéré comme mort et enterré malgré quelques forks communautaires qui ont essayé de garder le truc en vie.

Mais voilà, ils sont de retour et ce qui change avec ce Super ZSNES, c'est l'architecture. En gros, au lieu de tout faire faire au CPU comme à l'époque, le rendu vidéo et le pipeline graphique sont maintenant déportés sur le GPU.

Du coup le Mode 7 peut tourner en haute résolution, vous pouvez activer le widescreen quand le jeu le permet, overclocker ceux qui galéraient en framerate (coucou Gradius III), remplacer les samples audio compressés par des versions non compressées, et même balancer du 3D height-mapped sur les scènes en Mode 7 perspective.

Tout ça jeu par jeu, via leur Super Enhancement Engine qui supporte 7 jeux pour l'instant et qui s'enrichira au fil des releases. Après si vous préférez jouer sur vos vraies cartouches plutôt que sur des ROMs, jetez quand même un oeil à SN Operator que j'ai couvert récemment.

Les CPU et audio cores sont annoncés comme bien plus précis que ceux de l'original, qui était connu pour être rapide mais pas hyper fidèle. L'UI conserve la neige qui tombe en arrière-plan, parce que faut pas déconner avec les classiques, mais en HD cette fois. Save states, rewind, fast forward, cheat codes, save bookmarks, auto-save history, quick load, tout y est. C'est dispo sur Windows, Mac, Linux et Android (Google Play), avec une version iOS qui suivra bientôt.

Cela dit, le projet est en early build donc si vous comptez l'utiliser pour vos jeux fétiches, sachez que le DSP1 et SuperFX ne sont pas encore implémentés. Donc oubliez Star Fox et Super Mario Kart pour l'instant, et puis n'oubliez pas que des bugs d'émulation traînent encore, et que pas mal d'optimisation reste à faire.

Avec toutes les options activées en 4K, ça peut surtout mettre à genoux un Mac Studio M4 Max, donc voilà, ce Super Enhancement Engine, ça pompe sec. Côté qualité visuelle, certains rendus de textures laissent également à désirer d'après les premiers retours, sauf le bump mapping 3D sur F-Zero qui semble plaire à pas mal de monde.

Reste à voir si d'autres projets comme Nesticle et Genecyst vont suivre le mouvement, parce que la nostalgie 90s est à fond les manettes en ce moment. Et surtout, y'a encore pas mal de marge à côté des solutions web pour jouer aux jeux rétro qui se multiplient comme des petits pains.

A tester ici !

NeatMail - L'assistant IA open source pour Gmail/Outlook

Tue, 28 Apr 2026 11:04:01 +0200 - (source)

Une boîte mail avec 12 000 messages non lus (genre 32 par jour pendant un an), c'est pas une vie mais c'est pas une fatalité non plus puisque Lakshay Gupta vient de poster NeatMail . Cet outil est un assistant IA qui labelise vos mails Gmail ou Outlook automatiquement et qui rédige des brouillons de réponse dans votre style d'écriture. Le code est dispo sur Github, auto-hébergeable, mais je reviendrai sur la licence (spoiler : c'est custom)...

L'interface marketing de NeatMail

En gros, vous connectez votre Gmail ou Outlook via OAuth (rien à faire côté mot de passe, et tant mieux vu les fuites récentes via les outils IA ), et NeatMail utilise ensuite OpenAI GPT-4o mini en backend pour classifier chaque mail entrant (avec un taux annoncé de 95% de confiance, mais c'est à voir en pratique).

Comme ça, plutôt que d'attendre que vous traitiez vos messages par batch comme un facteur dépressif, le truc bosse en temps réel ! Un mail arrive, hop, label appliqué et ainsi de suite. Et si le système juge que ça mérite une réponse, il vous prépare un brouillon dans votre ton habituel.

Y'a aussi des trucs qui font la différence avec un simple filtre Gmail. Le système se souvient des conversations passées pour rester cohérent dans les brouillons, vérifie votre calendrier avant de proposer un créneau, et apprend votre style à force de relire ce que vous écrivez. La fonctionnalité de désinscription en un clic balaye aussi les newsletters promo, et il y a même une intégration Telegram qui ping votre téléphone quand un mail vraiment important arrive ("Oh cool encore un mail de mon avocat !").

Le chaos d'une boîte Gmail sans tri auto

Côté code, c'est du Next.js 16 + React 19 pour le front, Hono.js pour le backend, PostgreSQL pour les métadonnées, Redis Upstash pour la déduplication, et Inngest qui orchestre les workflows. Le tout majoritairement codé en TypeScript, avec un Dockerfile prêt à dégainer.

Faut juste vos identifiants Google Cloud, Microsoft Entra et OpenAI à côté pour faire tourner ça chez vous, ce qui n'est pas hyper user friendly à trouver mais reste faisable un dimanche pluvieux si vous avez la niak.

Pour le pricing, NeatMail propose 7 jours d'essai gratuit puis 7 dollars par mois. À comparer donc avec Superhuman qui demande entre 30 et 40 dollars mensuels pour le même genre de service, ou SaneBox qui démarre à 7 dollars mais ne propose pas de rédaction de brouillons par IA.

Sauf que là, le code EST sur GitHub, du coup si vous avez la flemme de payer 84 dollars par an (le prix d'un bon resto en amoureux 😍) et que vous savez configurer un PostgreSQL, vous économisez votre argent et vous gardez la main sur l'infra !

Brouillon de réponse pré-rédigé directement dans Gmail

Après faut quand même garder en tête que NeatMail est encore jeune, et que c'est un projet solo. Et côté licence, c'est pas du MIT pur puisque la licence réelle s'appelle "NeatMail Open Source License". C'est donc de la licence faite maison, avec de l'auto-hébergement autorisé, mais une interdiction complète de revendre une instance ou de monter un business concurrent.

Donc si vous comptiez forker le projet pour monter votre SaaS concurrent, oubliez ça direct, car ce n'est pas autorisé. Côté privacy, le créateur précise qu'aucun contenu de mail n'est stocké en base, mais juste les métadonnées (sachant que les mails passent quand même par OpenAI pour la classification, faut pas se mentir...).

Voilà, je trouve l'idée plutôt sympa. Le code est dispo sur GitHub si vous voulez self-hoster votre boîte mail intelligente, ou comme je vous le disais, y'a la version SaaS sur neatmail.app à 7 dollars par mois pour les flemmards. Carrément moins cher que Superhuman !

Scrapling - Le scraper Python qui se répare tout seul

Tue, 28 Apr 2026 08:53:10 +0200 - (source)

Le scraping web, c'est un combat permanent contre les sites qui changent leur HTML toutes les deux semaines. Vous vous emmerdez à coder vos sélecteurs CSS, ça marche pendant un mois, puis le site refait son design et hop, votre script s'eteint en silence. C'est pourquoi Karim Shoair (alias D4Vinci sur GitHub) a sorti Scrapling, un framework Python qui s'adapte tout seul quand le DOM bouge.

La clé c'est adaptive=True sur n'importe quel sélecteur. Vous lui dites "je cherchais .product", Scrapling sauvegarde alors la signature de l'élément (texte, attributs, position dans l'arbre), et la prochaine fois que le site a renommé sa classe, il retrouve l'élément via similarité.

Concrètement ça donne ça :

from scrapling.fetchers import StealthyFetcher
StealthyFetcher.adaptive = True
page = StealthyFetcher.fetch('https://example.com', headless=True)
product = page.css_first('.product', adaptive=True) # Retrouve l'élément même si la classe a changé

Le truc marche grâce à un algo de similarité maison qui compare la structure DOM autour de l'élément. L'auteur lui-même a écrit un long post Medium intitulé " Creating self-healing spiders with Scrapling in Python without AI ", et ça résume bien la philosophie : pas de modèle IA mais juste des heuristiques solides !

La doc précise que adaptive=True ne sauvegarde que le premier élément de la sélection. Du coup si vous récupérez 50 produits d'un coup avec .css('.product'), seul le premier sera adapté. Faudra donc soit utiliser css_first comme dans l'exemple, soit boucler manuellement et appeler adaptive sur chaque élément. C'est bon à savoir...

Y'a également 3 fetchers selon le besoin. Fetcher pour les requêtes HTTP rapides avec spoofing TLS, StealthyFetcher qui passe Cloudflare Turnstile via un navigateur furtif (Camoufox sous le capot), et DynamicFetcher qui lance un Chromium ou un Chrome via Playwright pour les sites lourds en JS. Du coup vous pouvez démarrer léger en HTTP et basculer vers un navigateur uniquement quand un site bloque, sans réécrire votre code.

Côté perfs, le README annonce du lourd : 2 ms pour extraire 5000 éléments contre 1584 ms pour BeautifulSoup avec lxml. Sauf que Parsel et Scrapy font aussi 2 ms. Donc le gain vient du moteur lxml utilisé en direct, ce qui veut dire que si vous étiez déjà sur Scrapy, vous ne gagnerez pas en vitesse brute. Mais si vous traînez encore du BS4 partout, le saut sera énorme !

Sur le terrain anti-bot, ça se compare bien à Botasaurus dont je vous avais parlé. La différence c'est que Scrapling embarque un ProxyRotator natif et propose un blocage d'ads/trackers (~3500 domaines) activable via block_ads=True ou automatique en mode MCP, ce qui simplifie la vie quand vous tournez sur un serveur (où les IPs des datacenter se font régulièrement filtrer). Botasaurus, lui, vous laisse gérer la rotation à la main.

Détail sympa pour les bidouilleurs : y'a également un serveur MCP est intégré (pip install "scrapling[ai]"). Du coup Claude ou Cursor peuvent piloter Scrapling directement pour extraire des données, en réduisant la consommation de tokens car l'IA ne voit pas tout le HTML brut, juste ce qui est extrait. Pour les agents qui scrappent en boucle, c'est cool.

Notez que les sponsors Platinum du projet sont tous des fournisseurs de proxies (DataImpulse, BirdProxies, Evomi, etc.). C'est logique vu l'usage du framework, mais gardez en tête que pour bypasser un Cloudflare sérieux à grande échelle, vous aurez besoin de proxies résidentiels payants, donc d'eux. L'outil est gratuit, mais le contournement industriel ne l'est pas.

Pour installer, c'est pip install "scrapling[fetchers]" puis scrapling install pour récupérer les binaires navigateur. Une image Docker existe aussi (pyd4vinci/scrapling) et y'a même un shell interactif (scrapling shell) pour debugger vos sélecteurs en live.

Bref, c'est carrément pas mal pour ceux qui scrapent régulièrement. Alors si BS4 vous fait pleurer, allez voir par ici .

Et merci à Letsar pour le lien !

< Older

Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles