Newsletter du 04 Mai 2026
Une nouvelle recrue débarque dans une boîte. Neuf jours plus tard, elle n'a toujours pas de laptop parce que personne n'arrive à créer ses accès, le ticket tourne en rond entre trois équipes, chacune documentant avec soin pourquoi ce n'est pas elle le problème.
L'équipe A dit que c'est l'équipe B, l'équipe B dit que c'est l'équipe C, et l'équipe C dit que c'est le device. Le device dit rien parce que personne ne l'a encore configuré.
Neuf jours, avec une personne réelle, assise quelque part, qui attend.
Kant avait formalisé ça dans son fondement de la métaphysique des mœurs. Dans sa deuxième formulation de l'impératif catégorique, il pose une obligation morale absolue : traiter l'humanité, en soi comme en autrui, toujours comme une fin et jamais simplement comme un moyen. Pas une recommandation ni une bonne pratique, une sorte de loi morale universelle.
Ce qui se passe dans ce ticket, c'est donc philosophiquement l'exact opposé. La nouvelle recrue n'est pas une collègue à accueillir, c'est une patate chaude avec un numéro d'incident. Chaque équipe l'utilise comme prétexte pour justifier son propre désengagement, proprement, poliment, avec des "best regards" et tout.
L'incident a fini par être résolu, mais le vrai problème n'était ni le ticket, ni les équipes, ni les outils. C'est qu'on a construit des organisations où la responsabilité collective a été méthodiquement remplacée par des processus conçus précisément pour que personne n'en porte jamais vraiment. Les ITSM, les RACI, les SLA etc ne sont plus des outils de résolution et deviennent des outils de dilution.
Dans ce contexte, Kant est moins une leçon de philosophie qu'un miroir un peu gênant.
Cyril
La pépite de la semaine
Une belle plongée dans le temps long de l'open source, signée Armin Ronacher (le papa de Flask et Jinja2) qui publie un billet un poil nostalgique sur ce qu'était l'open source avant GitHub. Les plus jeunes y apprendront qu'avant on gérait ses propres forges, ses propres Trac, ses propres Subversion, et qu'une dépendance c'était un engagement réfléchi, pas un npm install lancé complètement ivre un samedi soir. GitHub a tout centralisé, tout simplifié, tout archivé, et en faisant ça il est devenu une infrastructure sociale autant que technique. Le problème c'est qu'on lui a confié la mémoire collective de l'open source, et que cette mémoire est désormais liée au bon vouloir de la pieuvre de Redmond et à ses lubies produit du moment. Armin ne crie pas à la catastrophe, il observe juste qu'on est peut-être en train de retourner vers un web plus décentralisé, plus autonome, et aussi plus oublieux. Et que cette fois, on devrait peut-être prévoir un plan pour ne pas tout reperdre, parce que vingt ans de pull requests et d'issues, ça ne se retrouve pas facilement sur une instance Gitea hébergée dans le garage de quelqu'un.
Le coeur de la veille
Identity-aware VPN and tunneled reverse-proxy Un outil que j'aime beaucoup et qui passe en version 1.18.1. Pour les non-initiés, Pangolin c'est une plateforme d'accès distant open source basée sur WireGuard qui combine reverse proxy et VPN en une seule chose, avec du zero-trust, du NAT traversal, des certificats SSL automatiques et un contrôle d'accès granulaire. Dit autrement, c'est ce que vous vouliez faire avec trois outils différents, deux semaines de configuration et une franche envie de tout plaquer pour élever des chèvres dans le Larzac, mais en beaucoup moins douloureux. Cette version corrige principalement des bugs autour de la gestion des certificats, quelques soucis de migration et un rendu cassé sous Firefox qui devait agacer les trois personnes qui l'utilisent encore.
Black-box & white-box security auditor for web applications Crockett et Tubbs faisaient du renseignement en costumes en lin sur fond de synthés, VICE fait pareil mais sur vos applications web en moins classe et sans Ferrari. C'est un auditeur de sécurité en ligne de commande que j'ai testé cette semaine et qui m'a rendu de vrais services. Il fonctionne dans deux modes : on lui donne une URL et il crawle le site comme un attaquant le ferait, en cherchant des secrets dans les bundles JS, des ports ouverts, des headers mal configurés, des injections SQL et tout le reste, ou on lui pointe un répertoire et il lit le code source, les fichiers .env, les dépendances npm et les migrations Supabase pour trouver ce qui cloche. Le tout produit un score de 0 à 100 avec un rapport HTML propre à partager avec son RSSI pour lui faire peur avant le weekend. Ça s'intègre aussi avec GitHub Action pour scanner chaque PR automatiquement. C'est pas parfait, il y a des faux positifs, mais pour un npm install -g vice-security lancé entre deux cafés, le rapport de sortie est honnêtement impressionnant.
Emacs is my browser Un radicalisé a décidé d'utiliser Emacs comme navigateur principal. Pas comme blague, pas comme expérience sociale, mais pour de vrai, au quotidien, et sur son téléphone aussi via Termux. Le détraqué utilise EWW, le navigateur intégré à Emacs, et affirme couvrir 85 à 90% de ses besoins web sans JavaScript, sans distractions, sans réseaux sociaux, sans rien de ce qui fait qu'internet est devenu insupportable. Il lit de la doc, fait des recherches, consulte des blogs, ouvre les PDFs dans Emacs, les vidéos dans mpv, et surfe sur Gopher et Gemini avec Elpher comme si on était en 1999 et que le monde n'avait pas encore mal tourné. Pour les 10% restants, il bascule sur Chromium avec la honte dans les yeux. C'est radical, c'est cohérent, c'est exactement le genre de billet qu'on attendait d'un utilisateur d'Emacs un lundi matin.
En bref
Le gouvernement néerlandais bâtit une alternative à Github Les Pays-Bas font ce que la France discute en commission depuis 2019 : ils construisent leur propre forge git souveraine, basée sur Forgejo, et ils l'appellent code.overheid.nl. Le choix de Forgejo plutôt que GitLab n'est pas anodin, c'est un projet entièrement open source, à but non lucratif, sans fonctionnalités cachées derrière un paywall, ce qui colle parfaitement au principe qu'ils ont eu le bon goût de formuler clairement : argent public, code public. La plateforme est encore en phase pilote, construite avec les développeurs plutôt que pour eux, et les organismes publics qui ont déjà une expérience avec Forgejo peuvent rejoindre l'initiative. C'est pas révolutionnaire sur le papier, mais dans un contexte où la souveraineté numérique reste un PowerPoint dans la plupart des administrations européennes, voir un gouvernement poser des actes concrets, ça mérite qu'on le souligne.
User-friendly Kubernetes logging Je sais pas comment je suis passé à côté aussi longtemps, mais Kubetail m'est devenu indispensable en quelques jours. C'est un dashboard de logs pour Kubernetes qui fait une chose simple et bien : agréger en temps réel les logs de tous les containers d'un workload dans une timeline chronologique unique, que ce soit dans le navigateur ou dans le terminal. Fini le kubectl logs -f sur dix pods en parallèle dans autant de fenêtres comme un sauvage. Ça utilise directement l'API Kubernetes, les données ne quittent pas le cluster, ça suit les containers éphémères quand ils meurent et renaissent, et ça filtre par workload, timestamp, zone de dispo ou grep. C'est disponible partout (desktop, cluster, Docker) et ça s'installe en trente secondes. La roadmap inclut la world peace en dernière étape, ce qui me semble honnête.
Sous les pavés l'IA
Iocaine Le nom vient de la Poudre d'Iocaine dans Princess Bride, ce poison incolore, inodore et mortel décrit comme "l'un des plus redoutables connus de l'homme". Le concept est d'une simplicité jouissive : puisque les crawlers IA aspirent votre contenu sans votre consentement pour entraîner des modèles qui vous remplaceront ensuite, autant leur servir de la bouillie empoisonnée qui va polluer leurs datasets et leur faire regretter d'être nés. Léger, scriptable, transparent pour les humains, cauchemardesque pour le reste.
Securing autonomous AI agents on K8s Un long article de fond signé Nik Kale qui pose une question simple avec des réponses compliquées genre comment sécuriser des agents IA autonomes sur Kubernetes quand tout ce qu'on sait faire en sécurité K8s repose sur des hypothèses que ces agents violent allègrement ? Dépendances dynamiques, credentials multi-domaines, consommation de ressources imprévisible, flux d'exécution non déterministe, l'agent IA c'est le cauchemar de votre RBAC et de vos network policies. L'auteur partage les patterns qu'il a développés en prod : isolation via des Kubernetes Jobs plutôt que des Deployments, gestion des secrets avec HashiCorp Vault en credentials éphémères, et un modèle de confiance graduée en quatre phases (shadow, read-only, remediation limitée, autonomie complète...) où la promotion entre phases est conditionnée à des métriques opérationnelles concrètes et pas à un planning produit. C'est dense, c'est sourcé, c'est le genre d'article qu'on bookmarke avant de déployer son premier agent en prod, et qu'on relit à 2h du matin quand il part en vrille.