Wikipedia bannit Archive.today en masse & F-Droid alerte sur Android - Actualités Hacker News (21 févr. 2026)
February 21, 202613m 56s
Audio is streamed directly from the publisher (mcdn.podbean.com) as published in their RSS feed. Play Podcasts does not host this file. Rights-holders can request removal through the copyright & takedown page.
Show Notes
Merci de soutenir ce podcast en visitant nos sponsors:
- Prezi: Créez rapidement des présentations avec l'IA - https://try.prezi.com/automated_daily
- Découvrez l'avenir de l'audio IA avec ElevenLabs - https://try.elevenlabs.io/tad
- Investissez comme les professionnels avec StockMVP - https://www.stock-mvp.com/?via=ron
Soutenez directement The Automated Daily:
Offre-moi un café: https://buymeacoffee.com/theautomateddaily
Sujets du jour: Wikipedia bannit Archive.today en masse - Wikipédia déprécie et blacklist Archive.today après un détournement via CAPTCHA pour DDoS et des soupçons d’altération d’archives. Impact: ~695 000 liens à remplacer (Archive.org, Ghostarchive, etc.). F-Droid alerte sur Android - F-Droid estime que l’ouverture d’Android reste menacée par les changements d’installation d’apps promis par Google, avec un “advanced flow” toujours flou. Bannières d’alerte, mobilisation auprès des autorités, et nombreuses mises à jour d’apps. LinkedIn badge bleu et Persona - La vérification “real person” de LinkedIn passerait par Persona, avec collecte de passeport (NFC), selfie, biométrie faciale, signaux comportementaux et recoupements tiers. Le billet pointe des risques GDPR, sous-traitants US (CLOUD Act) et clauses d’arbitrage. Dependabot critiqué dans l’écosystème Go - Filippo Valsorda juge Dependabot trop bruyant, surtout pour Go, en générant des PR inutiles et des scores CVSS discutables. Il propose plutôt `govulncheck` + tests CI contre les dernières dépendances pour réduire les faux positifs. Divulgation vulnérabilité et menaces juridiques - Un ingénieur découvre une faille critique chez un assureur plongée: IDs séquentiels, mot de passe par défaut, pas de MFA, pas de rate limit. La réponse via cabinet juridique menace de poursuites et exige une déclaration façon NDA, malgré une correction annoncée. Claws, agents IA sur machine - Andrej Karpathy popularise l’idée des “Claws”: une couche d’orchestration pour agents LLM (planification, contexte, outils, persistance) sur matériel personnel. Des implémentations légères émergent (ex: NanoClaw ~4 000 lignes, conteneurs par défaut). Local AI : ggml chez Hugging Face - L’équipe derrière `ggml` et `llama.cpp` rejoint Hugging Face pour renforcer l’avenir du “Local AI” tout en gardant des projets open source et communautaires. Objectifs: intégration “single-click” avec `transformers`, packaging, UX et qualité des modèles. Facebook envahi par contenus IA - Un retour sur Facebook après des années décrit un fil d’actualité saturé de contenus “suggested” douteux, dont images possiblement générées par IA et bait d’engagement. Le billet souligne l’érosion du produit cœur et la difficulté à distinguer vrai et faux. CERN reconstruit le premier navigateur - Le CERN propose une reconstruction du tout premier navigateur WorldWideWeb (NeXT, 1990) directement dans un navigateur moderne. On y retrouve menus, double-clic sur liens, et même des fonctions d’édition et création de liens.
-https://f-droid.org/2026/02/20/twif.html
-https://thelocalstack.eu/posts/linkedin-identity-verification-privacy/
-https://words.filippo.io/dependabot/
-https://dixken.de/blog/i-found-a-vulnerability-they-found-a-lawyer
-https://simonwillison.net/2026/Feb/21/claws/
-https://pilk.website/3/facebook-is-absolutely-cooked
-https://github.com/ggml-org/llama.cpp/discussions/19759
-https://arstechnica.com/tech-policy/2026/02/wikipedia-bans-archive-today-after-site-executed-ddos-and-altered-web-captures/
-https://worldwideweb.cern.ch/
Transcription de l'Episode
Wikipedia bannit Archive.today en masse
On commence donc par cette décision assez spectaculaire côté Wikipédia. La version anglophone a choisi de déprécier et de blacklister Archive.today — vous savez, ces liens d’archivage souvent utilisés pour contourner des paywalls ou figer une page à un instant donné. La raison: pendant des discussions entre éditeurs, le site a été associé à un détournement via une page CAPTCHA qui aurait servi à orchestrer une attaque DDoS contre le blog Gyrovague. En clair: des lecteurs qui cliquent sur un lien d’archive pourraient, sans le vouloir, participer à une attaque. Et ça, pour Wikipédia, c’est un seuil de risque inacceptable.
F-Droid alerte sur Android
Deuxième problème, tout aussi grave pour un service d’archivage: des éléments suggérant que certaines captures auraient été altérées. Des éditeurs indiquent avoir vu des modifications dans des snapshots, notamment l’insertion d’un nom propre dans des pages archivées, ce qui sape la confiance dans l’intégrité des preuves. Résultat: consensus pour bloquer les nouveaux liens, et supprimer ou remplacer les anciens. L’ordre de grandeur donne le vertige: plus de 695 000 liens répartis sur environ 400 000 pages. Les alternatives recommandées tournent autour d’Archive.org, Ghostarchive, Megalodon, ou tout simplement des sources qui n’exigent pas d’archivage tiers. Et en toile de fond, une question revient: est-ce que la Wikimedia Foundation devrait créer son propre service d’archives, contrôlé et audité, pour éviter ce genre de dépendance risquée ?
LinkedIn badge bleu et Persona
Restons sur l’idée de contrôle — mais cette fois sur Android. F-Droid, via son billet “This Week in F-Droid”, affirme que le projet est “sous menace” parce que les changements annoncés par Google sur l’installation d’applications restent au programme. Beaucoup d’utilisateurs auraient cru, notamment après des échanges à FOSDEM 2026, que Google avait fait marche arrière et que “l’ouverture d’Android” était acquise. F-Droid parle plutôt d’un malentendu amplifié par la répétition de messages PR et de reprises médiatiques.
Dependabot critiqué dans l’écosystème Go
Le point central, c’est ce fameux “advanced flow” promis par Google pour l’installation d’apps en dehors du Play Store. Selon F-Droid, on ne voit pas clairement ce mécanisme dans les versions Android récentes, ou alors pas de manière observable et stable, ce qui laisse planer une incertitude: qu’est-ce qui sera réellement déployé, quand, et avec quelles contraintes pour les stores alternatifs et le sideloading ? En réaction, F-Droid ajoute des bannières d’alerte sur son site et dans ses clients — F-Droid et F-Droid Basic — pour inciter les utilisateurs à exprimer leurs inquiétudes auprès des autorités locales compétentes. Et F-Droid n’est pas seul: IzzyOnDroid affiche aussi une bannière, et Obtainium propose déjà un avertissement dans l’application.
Divulgation vulnérabilité et menaces juridiques
À côté du volet “politique produit”, il y a aussi des nouvelles techniques. La réécriture de F-Droid Basic avance avec une version 2.0-alpha3: export CSV des apps installées, historique d’installation, choix de miroir, option pour empêcher les captures d’écran, infobulles d’interface, nouveau menu “My Apps”, tri persistant, plus des corrections et des traductions. Attention toutefois: si vous êtes sur la branche 1.23.x, l’alpha ne viendra pas toute seule, il faut activer les mises à jour bêta manuellement. L’équipe mentionne aussi une période de récupération après des corrections liées à une mise à niveau Debian, et pousse les projets encore sur Java 17 à envisager Java 21.
Claws, agents IA sur machine
Et comme souvent chez F-Droid, il y a un tour d’horizon d’applications: retour de Buses en 1.10 après deux ans, Conversations et Quicksy en 2.19.10+free avec des améliorations de workflow et tablette, et un changement notable côté “flavor Play Store” qui évite d’utiliser directement une bibliothèque Google en passant par Play Services via IPC. On note aussi Dolphin Emulator 2512 et sa longue liste de changements upstream, Image Toolbox 3.6.1 avec des correctifs et de nouveaux outils “IA”, Luanti 5.15.1 pour des corrections dont du scintillement, une rafale de mises à jour Nextcloud (client 33.0.0, Talk 23.0.0, et “Nextcloud Hub 26 Winter”), et ProtonVPN 5.15.70.0 qui abandonne OpenVPN pour WireGuard et Stealth — ce qui réduit nettement la taille de l’app. Bilan du catalogue: une nouvelle app ajoutée, quelques suppressions, et des centaines de mises à jour.
Local AI : ggml chez Hugging Face
On enchaîne avec un sujet qui touche beaucoup de monde: la vérification d’identité “badge bleu” sur LinkedIn. Un auteur raconte avoir voulu obtenir le badge “real person” et découvrir que la vérification n’est pas gérée directement par LinkedIn, mais par Persona Identities, Inc., un prestataire d’identité basé à San Francisco. Le flux dure quelques minutes, mais la quantité de données impliquées est impressionnante: photos complètes du passeport, y compris lecture de la puce NFC, selfie “vivant”, biométrie dérivée de la géométrie du visage, infos d’identité nationale, coordonnées, et aussi des données techniques comme l’appareil, l’IP, voire la géolocalisation. Même des signaux comportementaux sont cités, comme l’hésitation ou la détection de copier-coller.
Facebook envahi par contenus IA
Persona indique également croiser les informations avec un “réseau global” de sources tierces — registres d’identité, agences de crédit, opérateurs mobiles, bases postales, services publics. L’auteur souligne un point sensible en Europe: l’usage des images et selfies pour “améliorer les systèmes”, potentiellement via entraînement IA, en s’appuyant sur la base juridique des “intérêts légitimes” plutôt que sur un consentement explicite, ce qui ouvre un débat GDPR. LinkedIn, de son côté, recevrait des résultats plus limités — nom, année de naissance, type d’ID, émetteur, résultat, et une image floutée/expurgée — mais Persona partagerait plus largement avec sous-traitants, partenaires, affiliés, acquéreurs potentiels et forces de l’ordre selon les cas.
CERN reconstruit le premier navigateur
Autre détail concret: la liste de sous-traitants inclurait une majorité d’entreprises aux États-Unis, et même des acteurs liés à l’IA. L’auteur relie ça au CLOUD Act: même si des données sont stockées en Allemagne, une entreprise US et ses prestataires peuvent être légalement contraints de fournir des données stockées à l’étranger, parfois avec des obligations de silence. Et il critique la fragilité de certains cadres juridiques de transfert, en rappelant l’historique du Privacy Shield invalidé et les contestations autour des mécanismes EU–US. Enfin, il rappelle l’asymétrie contractuelle: limitation de responsabilité à 50 dollars et arbitrage obligatoire. Son conseil est très pragmatique: avant de juger le badge “utile”, demander l’accès, la suppression, et exercer un droit d’opposition via les contacts privacy/DPO du prestataire.
Story 10
Passons maintenant à la sécurité côté développement, avec une charge assez nette contre Dependabot. Filippo Valsorda explique que, dans la pratique, Dependabot agit souvent comme une “machine à bruit”: il ouvre des PR à la chaîne, génère de l’occupation, et finit par décourager les vrais travaux de sécurité. Son exemple est parlant dans l’écosystème Go: il a corrigé une vulnérabilité dans `filippo.io/edwards25519` — une fonction de calcul pouvait retourner des résultats invalides dans un cas précis, si l’objet récepteur n’était pas le point identité. Sauf que, même si énormément de projets dépendent indirectement du module, pratiquement personne n’utilise la méthode vulnérable.
Story 11
Et pourtant, Dependabot aurait déclenché des milliers de PR dans des dépôts non affectés, avec en prime des signaux discutables: score CVSS présenté comme “inventé” ou incohérent, et un “compatibility score” alarmant, alors que le patch est littéralement minuscule. Pire: des alertes sur des dépôts qui n’importent même pas le bon paquet — par exemple un repo n’utilisant qu’un sous-package non concerné. Valsorda rappelle que l’écosystème Go a un atout: la base de vulnérabilités Go fournit des métadonnées très précises, jusqu’au niveau des symboles. Donc un scanner correct devrait filtrer au moins par paquets importés, et un très bon scanner — comme `govulncheck` — va plus loin avec de l’analyse statique pour voir si le symbole vulnérable est réellement atteignable.
Story 12
Sa proposition est simple et “anti-toil”: désactiver Dependabot pour la sécurité, et remplacer par deux GitHub Actions planifiées. La première lance `govulncheck` quotidiennement. La seconde exécute la suite de tests contre les versions les plus récentes des dépendances — l’idée étant de détecter tôt les ruptures sans forcer un flux constant de mises à jour dans le code produit. Bonus non négligeable: si les nouvelles dépendances restent cantonnées à la CI tant qu’on n’a pas choisi de les intégrer, on réduit aussi le risque supply chain côté utilisateurs finaux.
Story 13
Toujours dans la sécurité, mais côté “terrain”, une histoire de divulgation coordonnée qui se passe mal. Un instructeur de plongée et ingénieur plateforme, en voyage autour de l’île de Cocos au Costa Rica, tombe sur une faille critique dans le portail membre d’un grand assureur plongée — et il est lui-même assuré chez eux. Le problème: comptes étudiants créés avec des identifiants numériques séquentiels, mot de passe par défaut identique pour tous, pas d’obligation de changer au premier login, pas de rate limiting, pas de verrouillage, pas de MFA. En clair: prise de contrôle de compte par simple devinette d’ID + mot de passe standard. Les données exposées incluraient nom, adresse, téléphone, e-mail, date de naissance — y compris pour des mineurs.
Story 14
Il dit avoir vérifié le minimum, puis s’être arrêté, et avoir signalé le tout le 28 avril 2025 via une démarche de divulgation coordonnée, en notifiant aussi CSIRT Malta dans le cadre de la politique nationale maltaise. La réponse arrive… via le cabinet d’avocats des DPO, pas via une équipe technique. On y évoque la réinitialisation des mots de passe par défaut et un déploiement de la 2FA, mais la lettre reproche aussi d’avoir impliqué des autorités, menace sur la responsabilité en cas de divulgation, et suggère une infraction pénale. Le point de friction: une “déclaration” à signer le jour même, avec demande de passeport, et des clauses de confidentialité perçues comme une tentative de bâillon. Il refuse la partie NDA, propose une version limitée attestant la suppression des données, et l’organisation insiste en citant un article du code pénal maltais et en demandant de ne pas mentionner le nom en blog ou conférence. La faille serait corrigée, mais l’auteur questionne l’absence de confirmation sur la notification aux personnes affectées, potentiellement requise par le GDPR. Et il critique un réflexe classique: blâmer les utilisateurs pour ne pas avoir changé leur mot de passe, alors que le design imposait un secret faible à grande échelle.
Story 15
On bascule vers l’IA, mais sous un angle très “outil” et très “local”. Andrej Karpathy évoque les “Claws”, une idée de couche supérieure au-dessus des agents LLM: orchestration, planification, gestion du contexte, appel d’outils, persistance… bref, tout ce qui transforme un chatbot en système qui travaille dans le temps. Il raconte avoir acheté un Mac mini pour expérimenter, notant au passage que les Apple Store verraient une demande étonnante et un peu mystérieuse. Karpathy dit être prudent sur certaines implémentations spécifiques, mais adorer le concept général.
Story 16
Ce qui accélère l’adoption, c’est l’émergence de versions “à taille humaine”. Il cite NanoClaw: un moteur d’environ 4 000 lignes de code, donc relativement auditable et modifiable, avec exécution en conteneurs par défaut. Simon Willison, qui relaye la discussion, pense que “Claw” est en train de devenir un terme d’art: des systèmes d’agents sur matériel personnel, pilotables par messages, capables de répondre à des instructions et de planifier des tâches.
Story 17
Dans la même veine “Local AI”, l’équipe ggml.ai — à l’origine de `ggml` et `llama.cpp` — annonce rejoindre Hugging Face. Le message, publié le 20 février 2026 par Georgi Gerganov, présente ça comme une manière de soutenir durablement l’IA locale et de garder le futur “vraiment ouvert”. Point important: les projets restent open source, communautaires, et gouvernés comme avant sur les choix techniques et d’architecture. La différence, c’est que Hugging Face apporte des ressources pour que l’équipe puisse maintenir et supporter l’écosystème à plein temps, sur la durée.
Story 18
La feuille de route annoncée insiste sur l’intégration plus fluide avec `transformers` — idéalement du “single-click” — pour élargir le support de modèles et mieux contrôler la qualité. Deuxième axe: packaging et expérience utilisateur, pour que des non-spécialistes puissent déployer et utiliser des modèles locaux sans assembler dix outils. L’idée de fond est claire: à mesure que l’inférence sur machine personnelle devient crédible face au cloud, l’enjeu n’est plus seulement la perf, c’est aussi la simplicité, la fiabilité et l’ouverture.
Story 19
Petite pause “plateformes sociales”, avec un billet au vitriol sur Facebook. Un auteur s’y reconnecte après environ huit ans pour retrouver un groupe de voisinage… et ne retrouve rien. Par curiosité, il scrolle le fil d’actualité et constate qu’après une publication d’une page suivie, le reste est surtout constitué de contenus “suggérés” qui n’ont plus grand-chose à voir avec ses amis: séries de posts de type “thirst trap”, souvent de jeunes femmes, parfois avec une apparence d’images générées par IA, accompagnées de légendes génériques et parfois légèrement NSFW.
Story 20
Et ce n’est pas seulement une question de contenu racoleur: l’auteur décrit aussi des vidéos “émouvantes” qui sentent la fabrication, des memes relationnels calibrés pour le partage, et des mini-sketches taillés pour l’engagement. Il pointe même une fonctionnalité de questions suggérées par IA, qui proposerait des invites franchement douteuses, parfois sexistes ou objectifiantes. Ce qui l’inquiète le plus, c’est la difficulté croissante à distinguer le réel du synthétique, malgré des artefacts typiques — texte illisible, logos déformés. Et il finit par arrêter en tombant sur des images de filles paraissant très jeunes, ce qu’il juge profondément dérangeant. Conclusion: Facebook ne lui sert plus qu’en cas de nécessité, par exemple pour des infos d’école ou d’associations locales.
Story 21
Pour terminer, un détour par l’histoire du web, avec un projet du CERN: le “2019 WorldWideWeb Rebuild”. Il s’agit de recréer l’application WorldWideWeb — le tout premier navigateur, conçu sur une machine NeXT au CERN en décembre 1990 — à l’intérieur d’un navigateur moderne. L’objectif est autant pédagogique que culturel: permettre à n’importe qui de “vivre” l’expérience de l’époque, avec une interface minimaliste, des interactions d’un autre temps, comme le double-clic sur les liens, et une logique de menus très marquée.
Story 22
Le site guide pas à pas: ouvrir une URL via le chemin de menu d’origine, et même éditer un document ou créer un lien, car ce premier navigateur était aussi un outil d’édition — une idée qu’on a un peu perdue en route. Le projet s’accompagne de ressources: chronologie, pages de contexte, typographie NeXT, extraits de code, et récit de fabrication. C’est un bon rappel que le web n’a pas démarré comme un flux infini: au départ, c’était un outil sobre, orienté documents, et étonnamment “auteur-friendly”.
Abonnez-vous aux flux spécifiques par édition:
- Space news
* Apple Podcast English
* Spotify English
* RSS English Spanish French
- Top news
* Apple Podcast English Spanish French
* Spotify English Spanish French
* RSS English Spanish French
- Tech news
* Apple Podcast English Spanish French
* Spotify English Spanish Spanish
* RSS English Spanish French
- Hacker news
* Apple Podcast English Spanish French
* Spotify English Spanish French
* RSS English Spanish French
- AI news
* Apple Podcast English Spanish French
* Spotify English Spanish French
* RSS English Spanish French
Visit our website at https://theautomateddaily.com/
Send feedback to [email protected]
Youtube
LinkedIn
X (Twitter)
- Prezi: Créez rapidement des présentations avec l'IA - https://try.prezi.com/automated_daily
- Découvrez l'avenir de l'audio IA avec ElevenLabs - https://try.elevenlabs.io/tad
- Investissez comme les professionnels avec StockMVP - https://www.stock-mvp.com/?via=ron
Soutenez directement The Automated Daily:
Offre-moi un café: https://buymeacoffee.com/theautomateddaily
Sujets du jour: Wikipedia bannit Archive.today en masse - Wikipédia déprécie et blacklist Archive.today après un détournement via CAPTCHA pour DDoS et des soupçons d’altération d’archives. Impact: ~695 000 liens à remplacer (Archive.org, Ghostarchive, etc.). F-Droid alerte sur Android - F-Droid estime que l’ouverture d’Android reste menacée par les changements d’installation d’apps promis par Google, avec un “advanced flow” toujours flou. Bannières d’alerte, mobilisation auprès des autorités, et nombreuses mises à jour d’apps. LinkedIn badge bleu et Persona - La vérification “real person” de LinkedIn passerait par Persona, avec collecte de passeport (NFC), selfie, biométrie faciale, signaux comportementaux et recoupements tiers. Le billet pointe des risques GDPR, sous-traitants US (CLOUD Act) et clauses d’arbitrage. Dependabot critiqué dans l’écosystème Go - Filippo Valsorda juge Dependabot trop bruyant, surtout pour Go, en générant des PR inutiles et des scores CVSS discutables. Il propose plutôt `govulncheck` + tests CI contre les dernières dépendances pour réduire les faux positifs. Divulgation vulnérabilité et menaces juridiques - Un ingénieur découvre une faille critique chez un assureur plongée: IDs séquentiels, mot de passe par défaut, pas de MFA, pas de rate limit. La réponse via cabinet juridique menace de poursuites et exige une déclaration façon NDA, malgré une correction annoncée. Claws, agents IA sur machine - Andrej Karpathy popularise l’idée des “Claws”: une couche d’orchestration pour agents LLM (planification, contexte, outils, persistance) sur matériel personnel. Des implémentations légères émergent (ex: NanoClaw ~4 000 lignes, conteneurs par défaut). Local AI : ggml chez Hugging Face - L’équipe derrière `ggml` et `llama.cpp` rejoint Hugging Face pour renforcer l’avenir du “Local AI” tout en gardant des projets open source et communautaires. Objectifs: intégration “single-click” avec `transformers`, packaging, UX et qualité des modèles. Facebook envahi par contenus IA - Un retour sur Facebook après des années décrit un fil d’actualité saturé de contenus “suggested” douteux, dont images possiblement générées par IA et bait d’engagement. Le billet souligne l’érosion du produit cœur et la difficulté à distinguer vrai et faux. CERN reconstruit le premier navigateur - Le CERN propose une reconstruction du tout premier navigateur WorldWideWeb (NeXT, 1990) directement dans un navigateur moderne. On y retrouve menus, double-clic sur liens, et même des fonctions d’édition et création de liens.
-https://f-droid.org/2026/02/20/twif.html
-https://thelocalstack.eu/posts/linkedin-identity-verification-privacy/
-https://words.filippo.io/dependabot/
-https://dixken.de/blog/i-found-a-vulnerability-they-found-a-lawyer
-https://simonwillison.net/2026/Feb/21/claws/
-https://pilk.website/3/facebook-is-absolutely-cooked
-https://github.com/ggml-org/llama.cpp/discussions/19759
-https://arstechnica.com/tech-policy/2026/02/wikipedia-bans-archive-today-after-site-executed-ddos-and-altered-web-captures/
-https://worldwideweb.cern.ch/
Transcription de l'Episode
Wikipedia bannit Archive.today en masse
On commence donc par cette décision assez spectaculaire côté Wikipédia. La version anglophone a choisi de déprécier et de blacklister Archive.today — vous savez, ces liens d’archivage souvent utilisés pour contourner des paywalls ou figer une page à un instant donné. La raison: pendant des discussions entre éditeurs, le site a été associé à un détournement via une page CAPTCHA qui aurait servi à orchestrer une attaque DDoS contre le blog Gyrovague. En clair: des lecteurs qui cliquent sur un lien d’archive pourraient, sans le vouloir, participer à une attaque. Et ça, pour Wikipédia, c’est un seuil de risque inacceptable.
F-Droid alerte sur Android
Deuxième problème, tout aussi grave pour un service d’archivage: des éléments suggérant que certaines captures auraient été altérées. Des éditeurs indiquent avoir vu des modifications dans des snapshots, notamment l’insertion d’un nom propre dans des pages archivées, ce qui sape la confiance dans l’intégrité des preuves. Résultat: consensus pour bloquer les nouveaux liens, et supprimer ou remplacer les anciens. L’ordre de grandeur donne le vertige: plus de 695 000 liens répartis sur environ 400 000 pages. Les alternatives recommandées tournent autour d’Archive.org, Ghostarchive, Megalodon, ou tout simplement des sources qui n’exigent pas d’archivage tiers. Et en toile de fond, une question revient: est-ce que la Wikimedia Foundation devrait créer son propre service d’archives, contrôlé et audité, pour éviter ce genre de dépendance risquée ?
LinkedIn badge bleu et Persona
Restons sur l’idée de contrôle — mais cette fois sur Android. F-Droid, via son billet “This Week in F-Droid”, affirme que le projet est “sous menace” parce que les changements annoncés par Google sur l’installation d’applications restent au programme. Beaucoup d’utilisateurs auraient cru, notamment après des échanges à FOSDEM 2026, que Google avait fait marche arrière et que “l’ouverture d’Android” était acquise. F-Droid parle plutôt d’un malentendu amplifié par la répétition de messages PR et de reprises médiatiques.
Dependabot critiqué dans l’écosystème Go
Le point central, c’est ce fameux “advanced flow” promis par Google pour l’installation d’apps en dehors du Play Store. Selon F-Droid, on ne voit pas clairement ce mécanisme dans les versions Android récentes, ou alors pas de manière observable et stable, ce qui laisse planer une incertitude: qu’est-ce qui sera réellement déployé, quand, et avec quelles contraintes pour les stores alternatifs et le sideloading ? En réaction, F-Droid ajoute des bannières d’alerte sur son site et dans ses clients — F-Droid et F-Droid Basic — pour inciter les utilisateurs à exprimer leurs inquiétudes auprès des autorités locales compétentes. Et F-Droid n’est pas seul: IzzyOnDroid affiche aussi une bannière, et Obtainium propose déjà un avertissement dans l’application.
Divulgation vulnérabilité et menaces juridiques
À côté du volet “politique produit”, il y a aussi des nouvelles techniques. La réécriture de F-Droid Basic avance avec une version 2.0-alpha3: export CSV des apps installées, historique d’installation, choix de miroir, option pour empêcher les captures d’écran, infobulles d’interface, nouveau menu “My Apps”, tri persistant, plus des corrections et des traductions. Attention toutefois: si vous êtes sur la branche 1.23.x, l’alpha ne viendra pas toute seule, il faut activer les mises à jour bêta manuellement. L’équipe mentionne aussi une période de récupération après des corrections liées à une mise à niveau Debian, et pousse les projets encore sur Java 17 à envisager Java 21.
Claws, agents IA sur machine
Et comme souvent chez F-Droid, il y a un tour d’horizon d’applications: retour de Buses en 1.10 après deux ans, Conversations et Quicksy en 2.19.10+free avec des améliorations de workflow et tablette, et un changement notable côté “flavor Play Store” qui évite d’utiliser directement une bibliothèque Google en passant par Play Services via IPC. On note aussi Dolphin Emulator 2512 et sa longue liste de changements upstream, Image Toolbox 3.6.1 avec des correctifs et de nouveaux outils “IA”, Luanti 5.15.1 pour des corrections dont du scintillement, une rafale de mises à jour Nextcloud (client 33.0.0, Talk 23.0.0, et “Nextcloud Hub 26 Winter”), et ProtonVPN 5.15.70.0 qui abandonne OpenVPN pour WireGuard et Stealth — ce qui réduit nettement la taille de l’app. Bilan du catalogue: une nouvelle app ajoutée, quelques suppressions, et des centaines de mises à jour.
Local AI : ggml chez Hugging Face
On enchaîne avec un sujet qui touche beaucoup de monde: la vérification d’identité “badge bleu” sur LinkedIn. Un auteur raconte avoir voulu obtenir le badge “real person” et découvrir que la vérification n’est pas gérée directement par LinkedIn, mais par Persona Identities, Inc., un prestataire d’identité basé à San Francisco. Le flux dure quelques minutes, mais la quantité de données impliquées est impressionnante: photos complètes du passeport, y compris lecture de la puce NFC, selfie “vivant”, biométrie dérivée de la géométrie du visage, infos d’identité nationale, coordonnées, et aussi des données techniques comme l’appareil, l’IP, voire la géolocalisation. Même des signaux comportementaux sont cités, comme l’hésitation ou la détection de copier-coller.
Facebook envahi par contenus IA
Persona indique également croiser les informations avec un “réseau global” de sources tierces — registres d’identité, agences de crédit, opérateurs mobiles, bases postales, services publics. L’auteur souligne un point sensible en Europe: l’usage des images et selfies pour “améliorer les systèmes”, potentiellement via entraînement IA, en s’appuyant sur la base juridique des “intérêts légitimes” plutôt que sur un consentement explicite, ce qui ouvre un débat GDPR. LinkedIn, de son côté, recevrait des résultats plus limités — nom, année de naissance, type d’ID, émetteur, résultat, et une image floutée/expurgée — mais Persona partagerait plus largement avec sous-traitants, partenaires, affiliés, acquéreurs potentiels et forces de l’ordre selon les cas.
CERN reconstruit le premier navigateur
Autre détail concret: la liste de sous-traitants inclurait une majorité d’entreprises aux États-Unis, et même des acteurs liés à l’IA. L’auteur relie ça au CLOUD Act: même si des données sont stockées en Allemagne, une entreprise US et ses prestataires peuvent être légalement contraints de fournir des données stockées à l’étranger, parfois avec des obligations de silence. Et il critique la fragilité de certains cadres juridiques de transfert, en rappelant l’historique du Privacy Shield invalidé et les contestations autour des mécanismes EU–US. Enfin, il rappelle l’asymétrie contractuelle: limitation de responsabilité à 50 dollars et arbitrage obligatoire. Son conseil est très pragmatique: avant de juger le badge “utile”, demander l’accès, la suppression, et exercer un droit d’opposition via les contacts privacy/DPO du prestataire.
Story 10
Passons maintenant à la sécurité côté développement, avec une charge assez nette contre Dependabot. Filippo Valsorda explique que, dans la pratique, Dependabot agit souvent comme une “machine à bruit”: il ouvre des PR à la chaîne, génère de l’occupation, et finit par décourager les vrais travaux de sécurité. Son exemple est parlant dans l’écosystème Go: il a corrigé une vulnérabilité dans `filippo.io/edwards25519` — une fonction de calcul pouvait retourner des résultats invalides dans un cas précis, si l’objet récepteur n’était pas le point identité. Sauf que, même si énormément de projets dépendent indirectement du module, pratiquement personne n’utilise la méthode vulnérable.
Story 11
Et pourtant, Dependabot aurait déclenché des milliers de PR dans des dépôts non affectés, avec en prime des signaux discutables: score CVSS présenté comme “inventé” ou incohérent, et un “compatibility score” alarmant, alors que le patch est littéralement minuscule. Pire: des alertes sur des dépôts qui n’importent même pas le bon paquet — par exemple un repo n’utilisant qu’un sous-package non concerné. Valsorda rappelle que l’écosystème Go a un atout: la base de vulnérabilités Go fournit des métadonnées très précises, jusqu’au niveau des symboles. Donc un scanner correct devrait filtrer au moins par paquets importés, et un très bon scanner — comme `govulncheck` — va plus loin avec de l’analyse statique pour voir si le symbole vulnérable est réellement atteignable.
Story 12
Sa proposition est simple et “anti-toil”: désactiver Dependabot pour la sécurité, et remplacer par deux GitHub Actions planifiées. La première lance `govulncheck` quotidiennement. La seconde exécute la suite de tests contre les versions les plus récentes des dépendances — l’idée étant de détecter tôt les ruptures sans forcer un flux constant de mises à jour dans le code produit. Bonus non négligeable: si les nouvelles dépendances restent cantonnées à la CI tant qu’on n’a pas choisi de les intégrer, on réduit aussi le risque supply chain côté utilisateurs finaux.
Story 13
Toujours dans la sécurité, mais côté “terrain”, une histoire de divulgation coordonnée qui se passe mal. Un instructeur de plongée et ingénieur plateforme, en voyage autour de l’île de Cocos au Costa Rica, tombe sur une faille critique dans le portail membre d’un grand assureur plongée — et il est lui-même assuré chez eux. Le problème: comptes étudiants créés avec des identifiants numériques séquentiels, mot de passe par défaut identique pour tous, pas d’obligation de changer au premier login, pas de rate limiting, pas de verrouillage, pas de MFA. En clair: prise de contrôle de compte par simple devinette d’ID + mot de passe standard. Les données exposées incluraient nom, adresse, téléphone, e-mail, date de naissance — y compris pour des mineurs.
Story 14
Il dit avoir vérifié le minimum, puis s’être arrêté, et avoir signalé le tout le 28 avril 2025 via une démarche de divulgation coordonnée, en notifiant aussi CSIRT Malta dans le cadre de la politique nationale maltaise. La réponse arrive… via le cabinet d’avocats des DPO, pas via une équipe technique. On y évoque la réinitialisation des mots de passe par défaut et un déploiement de la 2FA, mais la lettre reproche aussi d’avoir impliqué des autorités, menace sur la responsabilité en cas de divulgation, et suggère une infraction pénale. Le point de friction: une “déclaration” à signer le jour même, avec demande de passeport, et des clauses de confidentialité perçues comme une tentative de bâillon. Il refuse la partie NDA, propose une version limitée attestant la suppression des données, et l’organisation insiste en citant un article du code pénal maltais et en demandant de ne pas mentionner le nom en blog ou conférence. La faille serait corrigée, mais l’auteur questionne l’absence de confirmation sur la notification aux personnes affectées, potentiellement requise par le GDPR. Et il critique un réflexe classique: blâmer les utilisateurs pour ne pas avoir changé leur mot de passe, alors que le design imposait un secret faible à grande échelle.
Story 15
On bascule vers l’IA, mais sous un angle très “outil” et très “local”. Andrej Karpathy évoque les “Claws”, une idée de couche supérieure au-dessus des agents LLM: orchestration, planification, gestion du contexte, appel d’outils, persistance… bref, tout ce qui transforme un chatbot en système qui travaille dans le temps. Il raconte avoir acheté un Mac mini pour expérimenter, notant au passage que les Apple Store verraient une demande étonnante et un peu mystérieuse. Karpathy dit être prudent sur certaines implémentations spécifiques, mais adorer le concept général.
Story 16
Ce qui accélère l’adoption, c’est l’émergence de versions “à taille humaine”. Il cite NanoClaw: un moteur d’environ 4 000 lignes de code, donc relativement auditable et modifiable, avec exécution en conteneurs par défaut. Simon Willison, qui relaye la discussion, pense que “Claw” est en train de devenir un terme d’art: des systèmes d’agents sur matériel personnel, pilotables par messages, capables de répondre à des instructions et de planifier des tâches.
Story 17
Dans la même veine “Local AI”, l’équipe ggml.ai — à l’origine de `ggml` et `llama.cpp` — annonce rejoindre Hugging Face. Le message, publié le 20 février 2026 par Georgi Gerganov, présente ça comme une manière de soutenir durablement l’IA locale et de garder le futur “vraiment ouvert”. Point important: les projets restent open source, communautaires, et gouvernés comme avant sur les choix techniques et d’architecture. La différence, c’est que Hugging Face apporte des ressources pour que l’équipe puisse maintenir et supporter l’écosystème à plein temps, sur la durée.
Story 18
La feuille de route annoncée insiste sur l’intégration plus fluide avec `transformers` — idéalement du “single-click” — pour élargir le support de modèles et mieux contrôler la qualité. Deuxième axe: packaging et expérience utilisateur, pour que des non-spécialistes puissent déployer et utiliser des modèles locaux sans assembler dix outils. L’idée de fond est claire: à mesure que l’inférence sur machine personnelle devient crédible face au cloud, l’enjeu n’est plus seulement la perf, c’est aussi la simplicité, la fiabilité et l’ouverture.
Story 19
Petite pause “plateformes sociales”, avec un billet au vitriol sur Facebook. Un auteur s’y reconnecte après environ huit ans pour retrouver un groupe de voisinage… et ne retrouve rien. Par curiosité, il scrolle le fil d’actualité et constate qu’après une publication d’une page suivie, le reste est surtout constitué de contenus “suggérés” qui n’ont plus grand-chose à voir avec ses amis: séries de posts de type “thirst trap”, souvent de jeunes femmes, parfois avec une apparence d’images générées par IA, accompagnées de légendes génériques et parfois légèrement NSFW.
Story 20
Et ce n’est pas seulement une question de contenu racoleur: l’auteur décrit aussi des vidéos “émouvantes” qui sentent la fabrication, des memes relationnels calibrés pour le partage, et des mini-sketches taillés pour l’engagement. Il pointe même une fonctionnalité de questions suggérées par IA, qui proposerait des invites franchement douteuses, parfois sexistes ou objectifiantes. Ce qui l’inquiète le plus, c’est la difficulté croissante à distinguer le réel du synthétique, malgré des artefacts typiques — texte illisible, logos déformés. Et il finit par arrêter en tombant sur des images de filles paraissant très jeunes, ce qu’il juge profondément dérangeant. Conclusion: Facebook ne lui sert plus qu’en cas de nécessité, par exemple pour des infos d’école ou d’associations locales.
Story 21
Pour terminer, un détour par l’histoire du web, avec un projet du CERN: le “2019 WorldWideWeb Rebuild”. Il s’agit de recréer l’application WorldWideWeb — le tout premier navigateur, conçu sur une machine NeXT au CERN en décembre 1990 — à l’intérieur d’un navigateur moderne. L’objectif est autant pédagogique que culturel: permettre à n’importe qui de “vivre” l’expérience de l’époque, avec une interface minimaliste, des interactions d’un autre temps, comme le double-clic sur les liens, et une logique de menus très marquée.
Story 22
Le site guide pas à pas: ouvrir une URL via le chemin de menu d’origine, et même éditer un document ou créer un lien, car ce premier navigateur était aussi un outil d’édition — une idée qu’on a un peu perdue en route. Le projet s’accompagne de ressources: chronologie, pages de contexte, typographie NeXT, extraits de code, et récit de fabrication. C’est un bon rappel que le web n’a pas démarré comme un flux infini: au départ, c’était un outil sobre, orienté documents, et étonnamment “auteur-friendly”.
Abonnez-vous aux flux spécifiques par édition:
- Space news
* Apple Podcast English
* Spotify English
* RSS English Spanish French
- Top news
* Apple Podcast English Spanish French
* Spotify English Spanish French
* RSS English Spanish French
- Tech news
* Apple Podcast English Spanish French
* Spotify English Spanish Spanish
* RSS English Spanish French
- Hacker news
* Apple Podcast English Spanish French
* Spotify English Spanish French
* RSS English Spanish French
- AI news
* Apple Podcast English Spanish French
* Spotify English Spanish French
* RSS English Spanish French
Visit our website at https://theautomateddaily.com/
Send feedback to [email protected]
Youtube
X (Twitter)