Newsletter du 27 Avril 2026
La France envisage donc de migrer ses postes de travail vers Linux, et on imagine déjà la scène : un agent de la DINUM, 15 ans d'Excel avec des macros VBA imbriquées comme des poupées russes, qui découvre LibreOffice Calc un lundi matin. C'est le genre de moment où on comprend pourquoi les plans de migration ont des taux d'échec qui feraient rougir un déploiement Kubernetes en prod un vendredi.
Mais cette fois, il y a quelque chose de différent. L'État n'a pas choisi Ubuntu par facilité ou Debian par habitude : il a choisi NixOS, une distribution déclarative et reproductible, et l'a durcie aux normes ANSSI pour donner naissance à Sécurix, avec Bureautix comme environnement de bureau de référence. Authentification FIDO2, Secure Boot, TPM2, gestion des utilisateurs par dépôt Git en lieu et place de l'Active Directory, des choix techniques sérieux, assumés, et qui montrent qu'on a réfléchi au problème plutôt que de juste coller une nouvelle distro sur les postes et espérer que ça passe.
Oui, Munich a essayé et échoué. Oui, les pilotes d'imprimantes multifonctions en SMBv1 vont faire des victimes. Oui, les 2 millions d'agents de la fonction publique ne basculeront pas en un claquement de doigts, et la première à souffrir sera sans doute la personne du service RH qui a un fichier Excel de 47 onglets avec des liaisons croisées que LibreOffice ouvrira de travers. Tout ça est réel, documenté, et personne ne prétend le contraire.
Mais l'alternative, c'est de continuer à faire tourner l'ensemble du système d'information de l'État sur des logiciels dont on ne contrôle ni le code, ni les mises à jour, ni les conditions d'accès, dans un contexte géopolitique où cette dépendance n'est plus une abstraction mais un risque concret. Sécurix et Bureautix sont encore en alpha, hébergés avec une certaine ironie sur GitHub qui appartient à Microsoft, mais la direction est bonne et les choix techniques sont les bons. Il fallait commencer quelque part.
Cyril
La pépite de la semaine
Homelable, c'est l'outil qu'on attendait tous pour transformer le schéma Visio de votre infra dessiné sur une serviette en 2019 en quelque chose de vaguement présentable. Le principe : un scan nmap de vos plages réseau, une interface canvas où vous approuvez les machines découvertes, des healthchecks en continu pour savoir lesquelles sont mortes sans que personne ne vous ait prévenu, et un export PNG pour coller le tout dans votre wiki Confluence que personne ne lit. Le détail qui va faire craquer les plus atteints d'entre vous : un serveur MCP intégré qui permet à Claude de lire votre topologie, déclencher des scans et gérer vos nodes en langage naturel, ce qui signifie concrètement que vous pouvez demander à une IA de gérer le bordel réseau que vous avez mis trois ans à construire et que vous êtes le seul à comprendre, enfin, à peu près.
Le coeur de la veille
Kubernetes 1.36, workloads applicatifs et cycle de vie mutable Pendant des années, modifier les ressources d'un pod signifiait le tuer, le recréer, attendre que le scheduler daigne le regarder, et sacrifier une chèvre à l'équinoxe pour que ça reparte proprement. La v1.36 débarque avec sept KEPs qui racontent tous la même histoire : Kubernetes apprend enfin à toucher aux workloads sans les raser, le resize in-place au niveau pod passe Beta (KEP-5419), les Jobs suspendus deviennent mutables avant démarrage comme si vous pouviez changer la commande d'un pizza livreur déjà en route (KEP-5440), on peut redémarrer tous les conteneurs d'un pod sans perdre son IP ni ses GPUs ni sa dignité (KEP-5532), les StatefulSets gagnent enfin Recreate après seulement quelques années d'attente, ce qui dans le temps Kubernetes équivaut à trois ères géologiques (KEP-3541), et les Deployments apprennent à attendre que les pods terminants soient vraiment morts avant d'en spawner de nouveaux, concept révolutionnaire qu'on appelle dans le reste de l'univers "attendre son tour" (KEP-5882). Benjamin Romeo détaille tout ça avec la précision qui ferait pleurer un auditeur, feature gates à activer, cas limites à éviter, et combinaisons de policies qui transformeront votre vendredi soir en séance de thérapie de groupe. Une lecture accessible et indispensable.
Highlights from Git 2.54 Git 2.54 est sorti et pour une fois on n'est pas obligé de faire semblant que c'est excitant : ça l'est vraiment. La nouveauté qui va changer la vie des gens comme moi qui poussent des commits avec des messages du type "fix", "fix2" et "fix_final_VRAIMENT_final" : git history, une commande expérimentale qui permet de réécrire proprement un message de commit ou de découper un commit monolithique sans invoquer le rebase interactif et les trois cérémonies chamaniques qui l'accompagnent. Côté hooks, terminée la grande tradition du symlink copié-collé entre repos avec la même faute de frappe partout, on peut désormais les définir dans gitconfig, en empiler plusieurs pour le même événement, et les désactiver sans les supprimer comme le ferait quelqu'un qui a lu un livre sur le rangement. Enfin, git maintenance run adopte le repacking géométrique par défaut, ce qui signifie que vos repos seront désormais maintenus efficacement sans intervention humaine, concept tellement étranger à nos habitudes que j'ai dû le vérifier deux fois.
Minimal, fast and modern http client Kivo, c'est un client HTTP qui se présente comme l'alternative légère à Postman pour ceux qui en ont assez de sacrifier 800 Mo de RAM et l'âme de leur laptop juste pour envoyer un GET sur localhost. Cross-platform, stockage local, collections hiérarchiques, gestion d'environnements et un moteur de requêtes JSON pour filtrer les réponses sans invoquer jq comme un toxico un vendredi soir. En v0.4.1, donc encore jeune, mais ça avance plus vite que votre migration vers quelque chose de moins gourmand que vous repoussez depuis 2023.
Docker supply chain hardening Une image Docker à 730 000 pulls avec une note Scout de D, c'est le genre de situation où on comprend mieux pourquoi les DSI ont des insomnies. L'auteur s'est retrouvé dans ce cas, a décidé de faire le ménage, et documente tout : passage en multi-stage build, épinglage des digests, USER non-root, signature cosign keyless, SBOM, provenance SLSA et score OpenSSF qui passe de "embarrassant" à 7.8/10. Le tout pour 16 heures de travail initial et une heure par mois de maintenance, ce qui au tarif d'un incident de supply chain reste une affaire. L'incident de prod au passage : une attestation pushée sur Docker Hub dont l'API OCI referrers a silencieusement refusé le handoff, corrigé en basculant vers GitHub Attestations. La morale de l'histoire, c'est que les outils pour signer et attester une image sont gratuits, les workflows font moins de 300 lignes de YAML, et la seule vraie raison pour laquelle la plupart des images publiques tournent encore sans rien de tout ça, c'est que personne n'a pris le temps de le faire.
En bref
Arch Linux now has a bit-for-bit reproductible Docker image L'image Docker officielle d'Arch Linux est désormais reproductible bit-for-bit, et derrière l'annonce un peu geek se cache un vrai sujet : la supply chain security. Deux builds indépendants produisent exactement la même image, vérifiable par digest, ce qui signifie concrètement qu'on peut détecter si quelqu'un a glissé une surprise dans votre image entre sa construction et votre docker pull. Le genre de garantie qui aurait peut-être évité quelques sueurs froides post-XZ Utils à ceux qui avaient la mémoire courte. Bémol assumé : les clés pacman ont été retirées pour garantir la reproductibilité, ce qui est un peu comme livrer un coffre-fort sans la combinaison en promettant que c'est pour votre sécurité. L'image est dispo sous le tag "repro", en attendant mieux.
Dockerfile practices are Devops tax before they are a security concern Votre Dockerfile, c'est le jean du dimanche de votre pipeline : tout le monde sait qu'il est là, personne ne le lave vraiment, et un jour ça finit en prod avec une image de 2,3 Go que personne ne peut expliquer. C'est le constat un peu douloureux que dresse cet article, qui rappelle que les mauvaises pratiques Dockerfile ne tombent pas du ciel : elles s'accumulent tranquillement, décision par décision, deadline après deadline, jusqu'au jour où vos builds prennent 22 minutes et bloquent toute l'équipe pendant deux jours pour une raison que personne ne peut tracer. Les suspects habituels sont toujours les mêmes : images de base non épinglées, dépendances installées après la copie des sources (ce qui invalide le cache à chaque changement de code), et le classique COPY . . placé trop tôt par quelqu'un qui avait autre chose à faire. L'article présente DockSec, un outil open source qui combine Trivy (lol), Hadolint et une couche IA pour transformer les findings en conseils actionnables par des humains normaux. Le cas concret partagé est assez éloquent : après optimisation des layers et du cache, les builds sont passés de 12-16 minutes à 3,5-4,5 minutes, et les images ont maigri de 60 à 75%. Des chiffres qui font réfléchir, surtout quand on sait que la résistance au changement se dissout généralement dès le premier PR qui passe en 4 minutes au lieu de 14.
Sous les pavés l'IA
CodeBurn Un énième dashboard en TUI pour surveiller ce que vos agents IA dépensent en tokens, sauf que celui-là lit directement les sessions de Claude Code, Codex, Cursor et consorts sur disque sans proxy ni API key et vous dit combien de fois votre IA a raté sa première tentative avant de trouver la solution que vous auriez codée en dix minutes.
Cursor and chainguard partner to lock down the AI agent supply chain Cursor et Chainguard s'associent pour régler un problème que personne n'avait vraiment anticipé : quand votre agent IA écrit du code en mode automatique, il sélectionne aussi des dépendances à vitesse machine, sans la moindre pause pour vérifier que le package npm qu'il vient de choisir n'a pas été backdooré la semaine dernière par un type basé à Montargis. Le deal : Cursor branche ses agents sur le catalogue Chainguard plutôt que sur les registres publics, avec plus de 2300 images reconstruites en continu, zéro CVE connue à la sortie, et des rebuilds qui suivent les patches upstream en quelques heures. Les dépendances Python, JavaScript et Java passent par des sources vérifiables et signées, et la configuration des credentials est gérée automatiquement par Cursor pour que vous n'ayez rien à changer à vos workflows.