lundi.dev

Tous les lundis, la tech ensemble
Tous les anciens épisodes

…même si Ctrl-S est dans votre mémoire musculaire

lundi.dev du lundi 23 février 2026

Sauvegarder n’est pas un réflexe

Imaginez. Vous vous réveillez, un lundi matin. Vous démarrez votre ordinateur machinalement, avant d’aller vous faire un café. En revenant avec un mug à la main, le constat est clair autant que votre matinée est fichue : votre disque dur ne fonctionne plus. Kaput.

Si vous pensez que ça n’arrive qu’aux autres, détrompez-vous. Deux amis ont vécu cette amère expérience récemment. Si l’un d’entre eux était surtout frustré d’avoir perdu un SSD — et de devoir en racheter un nouveau à un prix actuellement exorbitant — mon autre ami a perdu des mois de travail personnel, son prototype de jeu, qu’il développait avec passion durant ses soirées et ses week-ends.

« Un travail qui n’est sauvegardé que sur ton disque dur n’est pas sauvegardé du tout. » Ça peut sembler être du bon sens pour certains, mais je suis persuadé que nombre d’entre vous sont persuadés que ça ne vaut pas le coup, ou que ça ne peut pas leur arriver. Pourtant, des attaques de rançongiciels (okay, de ransomwares), des vols de matériel, ou tout simplement une panne de disque complètement random, ça arrive, et souvent au pire moment.

Maintenant qu’on a dit ça, que faire pour s’en prémunir ? Si vous êtes tolérant·e aux risques, l’achat d’un disque dur externe et un rappel dans votre calendrier tous les trois mois, ça peut déjà vous aider : un peu comme un piton à l’escalade, vous ferez une chute, mais elle sera moins longue et moins dévastatrice, quelques mois de travail tout au plus.

Mais à l’heure où presque tout le monde a accès à la fibre, les offres de sauvegarde en ligne et chiffrée semblent être la solution la plus simple. Si vous êtes sous Windows ou macOS, il y a des solutions clé en main qui proposent des sauvegardes « illimitées » anti-catastrophes, facturées par ordinateur couvert pour environ 8 euros par mois. C’est cher, mais si vous vous réveillez un matin aux côtés d’un disque dur à jamais évanoui, vous savez que vous n’aurez rien perdu, si ce n’est le temps de tout retélécharger. J’utilise Backblaze, mais je suis sûr qu’il y en a d’autres ; visez plutôt les solutions dédiées aux sauvegardes, les systèmes de drives étant beaucoup plus chers car optimisés pour un usage assez différent. Si vous êtes plutôt dans la débrouille, vous pouvez vous en tirer pour bien moins cher avec des outils comme BorgBackup et un fournisseur de stockage de type S3 Glacier (ou un équivalent en Europe chez Scaleway ou OVH par exemple).

Mais je me permets d’insister : un simple rappel trimestriel et un disque dur externe, stocké loin de votre ordinateur, ça ne respectera peut-être pas les exigences « 2+1 » de votre pote barbu, mais ça a de grandes chances de vous éviter de repartir de zéro.

Les 5 tabs

Aujourd’hui, je vous propose deux vulnérabilités trouvées avec des réactions très différentes, une interaction sur GitHub digne d’une dystopie, un conte moderne anti-IA, et pour changer d’air, une triforce.

  • I found a Vulnerability. They found a Lawyer.
    On en est encore là : ce témoignage rageant d’un ingénieur informatique qui découvre par hasard une faille de sécurité béante chez un petit assureur maltais, et qui obtient parmi les pires réactions possibles alors qu’il semble avoir suivi les règles à la lettre (en plus de s’être comporté de manière très professionnelle). L’occasion pour vous, chers lecteurs et lectrices, de bien vérifier que votre employeur a bien mis en place un fichier security.txt et surtout un processus adéquat pour gérer ce genre de situation… mais ça va être difficile de faire pire que ce contre-exemple.

  • The watchers: how OpenAI, the US Government, and Persona built an identity surveillance machine that files reports on you to the feds
    (Attention, ce site lance une musique en arrière-plan dès la fin de l’animation, que vous pourrez ensuite couper en bas à droite.) Ce désagrément ne devrait pas vous empêcher de constater le côté un peu fou de ce qui y est décrit : les développeurs d’une plateforme de vérification d’identité (de type KYC, pour « Know Your Customer ») ont oublié de désactiver les source-maps, dévoilant alors l’intégralité du code source de leur front-end. Résultat : on découvre que ces identités sont parfois envoyées directement à des services de renseignement, ou que des règles métier… étranges ? existent sur ce genre de plateformes. Après, il suffit parfois de lire les petites lignes de la politique de confidentialité pour découvrir où partent vos données en échange d’une coche sur LinkedIn… au moins, le CEO de l’entreprise derrière cette plateforme de vérification semble se comporter de manière bien plus professionnelle que mon premier lien, c’est rassurant.

  • An AI Agent Published a Hit Piece on Me
    Cette histoire est hallucinante, sans mauvais jeu de mots. Le mainteneur du paquet Python matplotlib, utilisé pour faire des graphiques, a reçu une pull request de la part… d’un agent IA, d’un robot conversationnel autonome, vous savez, de ceux qui vérifient régulièrement l’heure. Jusque là, rien de très étonnant, bien que cela montre que l’on s’habitue un peu trop vite à l’exceptionnel (un robot qui rédige de zéro une proposition de modification de code qui dépasse la simple application de règles pré-écrites, ça aurait été de la science-fiction y’a cinq ans). Non, ce qui est étonnant, pardon, terrifiant, c’est que ce robot n’a pas apprécié que ce mainteneur lui refuse, de manière professionnelle, sa contribution, et a donc publié un pamphlet sur son blog (oui, le robot a un blog) en trouvant des détails sur les précédentes contributions du mainteneur pour détruire sa réputation. Je vous laisse découvrir ça, tout comme les trois posts de blogs qui ont suivi. Si l’anglais n’est pas votre fort et que vous êtes frustré·e que Google Translate ne fonctionne pas, vous pouvez suivre ma traduction à la volée réalisée dans mon stream de lundi dernier. Épilogue ou coïncidence : GitHub permet enfin de désactiver ou de restreindre les pull requests sur un projet.

  • Algernon have seen the future (post sur Mastodon)
    Après toutes ces terribles histoires, voici plutôt un témoignage d’activisme anti-IA-générative qui aurait pu être un conte tant il est à la fois mignon et réconfortant. Comme parfois avec les contes, ça part pourtant d’une situation assez affligeante sur l’utilisation d’un LLM par une institutrice hongroise pour écrire des consignes de devoirs…

  • Rise of the Triforce
    Un incroyable post de blog de l’équipe derrière Dolphin, l’émulateur GameCube et Wii. Là, c’est une plongée dans l’histoire méconnue d’un partenariat tri-partite (d’où ce nom) entre Sega, Nintendo et Namco pour créer un système de borne d’arcade littéralement basé sur une GameCube.

Le changelog

Beaucoup d’IA cette semaine, mais promis, il n’y a pas que ça dans ce changelog.

  • Letter from San Francisco : Child’s Play, tech's new generation and the end of thinking
    J’ai vraiment hésité à promouvoir cet article (ou cette nouvelle, ou ce reportage ?) absolument exceptionnel directement dans mes cinq tabs, mais le temps nécessaire pour le lire est aussi grand que l’histoire racontée est improbable (mais apparemment vraie) et je ne sais pas où classer ça. Vraiment hein, je ne savais vraiment pas quoi faire à la sortie de la lecture de cet article, si ce n’est laisser un profond et bruyant soupir m'échapper.

  • My smart sleep mask broadcasts users' brainwaves to an open MQTT broker
    Utiliser Claude pour faire de la rétro-ingénierie sur un gadget lié au sommeil acheté sur Kickstarter et trouver de quoi le piloter par Bluetooth Low Energy, c’est rigolo. Découvrir que l’app du constructeur envoie les patterns d’activité cérébrale à un serveur distant qui n’est même pas sécurisé correctement, c’est le « comique dystopique » dans lequel nous vivons.

  • Deploying Rust to production checklist
    Je suis tombé par hasard sur ce petit post de blog qui récapitulait quelques bonnes pratiques et choses à vérifier avant de mettre en production un binaire Rust — c’est évidemment plein d’opinions, mais ça permet de se mettre à jour soi-même et de vérifier si on n’a pas oublié une astuce qui serait évidente pour d’autres.

  • The Pentagon Just Sent a Terrifying Message to AI Companies
    La direction des armées américaines n’est pas contente qu’Anthropic ose lui dire qu’ils ne sont pas fans-fans de l’idée d’aider des robots-tueurs. Je n’arrive pas à savoir si c’est sincère de la part d’Anthropic (je pariais plutôt sur un gros coup de comm’), mais ce papier me fait plutôt pencher pour une position au moins un peu sincère, qui ne plaît pas du tout à un pouvoir qui n’accepte pas « Non merci » comme réponse.

  • Advice, not control: the role of Remote Assistance in Waymo’s operations
    Waymo prends le temps de rappeler que non, il n’y a pas quelqu’un qui contrôle les voitures à distance en direct, même si une bonne partie de l’internet aimerait le croire. Pour le coup, ça fait depuis 2024 qu’ils ont expliqué comment leur système d’aide à la décision fonctionnait (en gros, quand une Waymo a un doute, elle s’arrête — si possible sur un bord de la route — et demande à un agent de confirmer la marche à suivre, dans des situations exceptionnelles), mais c’est moins fun que de dire « AI means Actually Indians » : un bon slogan n’en fait pas une vérité.

  • 15+ years later, Microsoft morged my diagram
    Microsoft n’a décidément plus aucune once de respectabilité et laisse « un sous-traitant » (qui a bon dos…) repomper un diagramme d’une quinzaine d’année, sans le citer évidemment, sous prétexte que c’est une IA générative qui l’aurait produit. Si seulement des humains avaient relu la page avant de « morger »…

  • Lyria 3 : A new way to express yourself: Gemini can now create music
    Toujours dans le rayon « en avait-on vraiment besoin », Gemini via un nouveau modèle Lyria 3 va pouvoir générer la meilleure musique possible pour accompagner votre diaporama de photo.

  • You can jailbreak an F-35 just like an iPhone, says Dutch defense chief
    Allez, faisons comme ça ; à quand un tutoriel chez iFixit pour démonter un Rafale ?

  • IPv6 Adoption in 2026
    L’IPv6 est à la traine un peu partout dans le monde. Heureusement que l’Arcep pousse les opérateurs en France à se bouger sur ce sujet ; avec plus de 80% des connexions fixes et mobiles compatibles IPv6, on pourrait presque crier c0c0::71c0.

  • Keep Android Open
    Si vous n’aviez pas suivi, Google essaie peut-être de nous la faire à l’envers en rendant la vérification de l’identité des développeurs et développeuses obligatoire sur Android, même lors du sideloading. Ils ont certes fait marche arrière dans leur communication… mais l’équipe derrière F-Droid a raison de souligner qu’on n’a encore aucune garantie de ça. Le DMA européen devrait nous aider sur ce sujet, mais encore faut-il que la Commission Européenne se bouge…

  • DNS-PERSIST-01: A New Model for DNS-based Challenge Validation
    Une info qui peut être utile aux administrateurs systèmes qui me lisent : si vous en avez raté l’annonce, vous pouvez peut-être désormais simplifier une partie de votre infrastructure de renouvellement de certificats TLS grâce à la mise en place par Let’s Encrypt d’un système de vérification de domaine par DNS qui soit persistant, sans besoin de modifier régulièrement votre zone. Pratique.

  • Solving Factorio Quality
    Pour terminer, si vous connaissez le jeu Factorio, vous pourriez être intéressé par le post de Simon. Comme il le dit si bien en introduction : « Je joue à Factorio de manière tout à fait normale : en écrivant des calculs de maths sous forme de code avec des matrices pour planifier mon usine. » Si ça pique votre curiosité, promis : les maths n’étaient pas mon fort durant mes études d’ingénieur et j’ai quand même tout compris.

Quoi de neuf chez Stan ?

J’ai été sélectionné par l’ATmosphereConf 2026 pour y faire une présentation ! Cette conférence dédiée à Bluesky et aux autres projets utilisant l’AT Protocol se tiendra le week-end du 28 et 29 mars, à Vancouver dans l’ouest du Canada.

Intitulée « Blousques: Case Study on the Challenges in Translating Bluesky's UI », j’y présenterai tous les défis que j’ai rencontrés en traduisant l’interface de Bluesky, mais aussi tout ce qui fait la spécificité d’être des utilisateur·ices francophones d’un réseau social en pleine croissance.

C’est une réelle surprise pour moi, car j’avais conditionné ma participation à la prise en charge de mon voyage depuis Paris… mais apparement l’intérêt pour le sujet de l’internationalisation a été suffisamment fort pour qu’ils passent outre le coût d’un vol transatlantique et de cinq nuits d’hôtel sur place.

À part ça, je commence normalement à l’heure où vous lisez ces lignes une nouvelle mission chez un client avec qui mes premières discussions informelles dataient de plus d’un an ; je ne sais pas si (et quand) je pourrais vous raconter tout ça, mais ça me fait plaisir d’y retrouver des sujets qui m’attirent depuis le début de ma carrière !

J’arrive enfin à réduire la taille de cette newsletter à quelque chose de plus digeste. J’espère que vous êtes toujours satisfait de sa lecture ! N’hésitez pas à me répondre directement via la fonction « Répondre » de votre logiciel d’e-mail, c’est un plaisir de lire vos réactions. Et si vous ne la lisez pas depuis votre propre adresse… vous savez ce qui vous reste à faire ;)

J’ai été traumatisé par une perte de données quand j’avais 10 ans ; toutes mes premières créations numériques, supprimées à cause d’un technicien informatique qui n’avait pas pris la peine de conserver un dossier C:\Stan dont personne n’avait cru bon de lui prévenir de l’existence.

Si ne serait-ce qu’une personne prenait le temps de mettre en place une sauvegarde régulière après avoir lu cette newsletter, cela vaudrait toutes les statistiques d’ouverture d’e-mail du monde.

À très vite,

— Stan (@signez.fr)

C’était la version web de la newsletter de lundi.dev du lundi 23 février 2026.

Vous pouvez vous abonner à cette newsletter pour la recevoir dès 11h un lundi sur deux, ou souscrire au flux dédié avec votre lecteur RSS/Atom habituel.