Newsletter du 01 Juin 2026
Mon idiot de chat a marché sur mon clavier la semaine dernière, a ouvert un terminal, tapé quelque chose d'incompréhensible, appuyé sur entrée, et le term s'est refermé immédiatement après. J'ai fait un history, c'était "qsdfmlkjyubc", commande inconnue, aucun effet, aucun risque. Mon chat, lui, avait déjà changé de pièce et dormait sur le canapé avec le mépris tranquille de quelqu'un qui sait exactement ce qu'il a fait et qui n'a aucune intention de l'expliquer. Sa surface d'attaque est parfaitement documentée : manger et être ignoré.
Ce niveau de transparence, j'aurais du mal à l'affirmer pour la moitié des extensions VS Code ou zsh installées sur ma machine, pour les Github Actions qui tournent dans mes pipelines, ou pour les agents IA auxquels je délègue de plus en plus de trucs sans toujours regarder ce qu'ils produisent.
En 2026, le composant le plus auditable de mon infrastructure dort donc sur mon canapé et me regarde avec condescendance.
Bonne lecture.
Cyril
La pépite de la semaine
La sécurité par l'obscurité est morte, et la plupart des équipes tech continuent de vivre leur meilleure vie comme si de rien n'était. Le raisonnement de l'article se tient, parce que scanner l'intégralité de l'internet public prend désormais quelques heures, comprendre une codebase inconnue avec un LLM prend quelques minutes, et construire un exploit personnalisé pour votre système spécifique ne nécessite plus ni état-nation ni budget conséquent, juste un abonnement et une mauvaise journée. L'incident GitHub de mai 2026 est bien là pour l'illustrer : une extension VS Code vérolée a suffi à exfiltrer des repos internes en 18 minutes chez Microsoft, avec tous leurs moyens, toutes leurs équipes sécurité, et vraisemblablement un budget annuel supérieur au PIB de plusieurs pays. La conclusion ? Partez du principe que votre code a déjà fuité, et construisez votre modèle de sécurité en conséquence. Une lecture fortement recommandée, à lire avant votre prochaine réunion où quelqu'un dira "on n'est pas assez gros pour être une cible" avec la sérénité tranquille d'un mec qui n'a jamais lu un post-mortem de sa vie.
Le coeur de la veille
Traefik log dashboard C'est un agent Go qui parse vos logs et expose une API REST, couplé à une interface web super classe temps réel avec des charts et un globe 3D interactif pour regarder d'où viennent vos visiteurs avec l'air grave de quelqu'un qui surveille une invasion imminente. Ça supporte plusieurs instances Traefik depuis une interface unique, ça envoie des alertes où vous voulez, la GeoIP fonctionne avec les bases Maxmind comme d'hab, et il y a même une CLI optionnelle pour les irréductibles du terminal qui dorment avec un câble RJ45 en guise de doudou. Je l'ai déployé en cinq minutes avec Docker Compose et je me suis demandé comment je faisais avant, probablement en fixant des fichiers de logs bruts avec l'expression vide d'un homme qui a perdu quelque chose mais ne sait plus quoi. Il y a même une appli mobile si vous tenez absolument à surveiller votre reverse proxy depuis les toilettes d'un aéroport.
OpenTofu 1.12 is out OpenTofu v1.12.0, le fork open source de Terraform né un soir où HashiCorp a décidé que l'open source c'était bien mais le business c'était mieux, est sorti avec son lot de nouveautés dont certaines vont vous faire sourire et d'autres vous donner l'impression de lire un retex rédigé par quelqu'un qui vous en veut personnellement. Dans la catégorie des trucs qu'on comprend, le prevent_destroy dynamique qui permet enfin de référencer une variable dans le bloc lifecycle pour protéger sa base de prod tout en laissant le même module faire n'importe quoi en dev. Pour le reste, il y a des améliorations sur la gestion des checksums des providers, un nouveau json-into dont je vous laisse deviner l'utilité, et des histoires de WinRM deprecated et d'architectures 32 bits en voie d'extinction qui concernent visiblement quelqu'un quelque part.
Megalodon chums the waters in 5.5K Github repo En six heures un lundi matin, quelqu'un a poussé des commits malveillants dans 5500 repositories GitHub signés "build-bot" avec le message "ci: add build optimization step", et une bonne partie des mainteneurs les ont mergés sans sourciller parce que ça ressemblait exactement à ce que leur pipeline fait déjà tout seul. Le malware exfiltre credentials AWS, GCP, Azure, SSH, Docker, Kubernetes, Vault, Terraform et une trentaine d'autres secrets, et last but not least, l'attaquant n'a même pas eu besoin de compromettre un compte npm, il a juste compromis le repo GitHub et laissé le mainteneur publier les versions vérolées lui-même.
En bref
Lightning fast kubernetes navigator LFK, c'est un navigateur Kubernetes en TUI avec une interface en trois colonnes à la Miller, des raccourcis vim, 460 thèmes de couleurs parce que visiblement certains trouvent que déboguer des pods est plus supportable en Catppuccin Mocha, et une hiérarchie de navigation par ownership qui permet de descendre proprement de son cluster jusqu'aux containers sans perdre le fil. Il gère ArgoCD, Helm, KEDA, la capture de trafic, les orphans, le RBAC, les port-forwards, et à peu près tout ce qu'on fait habituellement en jonglant entre cinq terminaux et un kubectl get pods qui ne répond pas. C'est disponible sur Homebrew, AUR, apt, dnf et Nix, ce qui couvre la quasi-totalité de l'humanité à l'exception des utilisateurs Windows pour qui il existe quand même un installateur Scoop, preuve que même les plus grandes causes humanitaires ont leurs bénévoles.
Engineering metrics for beginners Un article qui tombe à pic pour tous ceux qui ont déjà subi une réunion où quelqu'un brandissait des Story Points comme preuve scientifique que son équipe allait sauver l'humanité. Joseph Gefroh y explique avec une patience de saint que les métriques d'ops ne sont utiles que si on sait pourquoi on les collecte, ce qui élimine d'emblée environ 80% des dashboards Grafana que j'ai vus dans ma carrière et qui servent principalement à décorer les open spaces. Il y a aussi cette phrase qu'on devrait tatouer sur le front de certains CTOs : les lignes de code ne sont pas une métrique de productivité. Le reste est à lire avant votre prochain sprint review, de préférence avec un anxiolytique à portée de main.
Sous les pavés l'IA
Using my fucking brain Un dev raconte comment il a mergé une PR générée par Claude sans avoir lu le bug, sans avoir regardé le code, sans avoir compris ce qu'il corrigeait, et comment il s'en est rendu compte après coup avec ce désagréable sentiment de chute libre dans l'estomac qu'on connaît tous. Le pire dans l'histoire, c'est que Claude avait raison, et c'est précisément ça le problème : le workflow aurait été identique si ça avait été faux, ce qui est à peu près aussi rassurant que de découvrir que vous avez conduit une heure les yeux fermés et que vous êtes quand même arrivé à destination. Sa conclusion est simple et je la trouve assez juste : si je ne peux pas expliquer le changement, je ne peux pas le shipper. Ce qui est intéressant dans ce post, c'est qu'il ne fait pas le procès de l'IA, il fait le sien, ce qui est beaucoup plus utile que le énième article sur les hallucinations qui nous explique d'être prudents avec un grand sourire de consultant facturé 1200 euros la journée.
Building an agent with the Cline SDK Un tuto bien fichu sur le SDK de Cline, qui permet d'embarquer un agent de coding directement dans vos propres scripts plutôt que de le laisser vivre sa meilleure vie dans une sidebar VS Code que vous fermez par accident toutes les dix minutes. L'auteur illustre le concept avec un générateur de release notes qui lit l'historique git et produit du markdown propre, ce qui est exactement le genre de tâche que tout le monde dans votre équipe remet à plus tard depuis huit mois, que personne ne veut faire, et qui finit invariablement par être rédigée à la main un vendredi soir avec le niveau de précision d'un homme qui a raté le dernier RER. Le code est minimal, le concept est solide, et si vous avez déjà écrit "misc fixes and improvements" dans un changelog en espérant que personne ne pose de questions, cet article est pour vous.