Newsletter du 08 Juin 2026
Je suis malade depuis quinze jours. Pas le genre de maladie qui impressionne, juste une crève ordinaire et tenace, le genre qui s'incruste comme un process zombie : techniquement mort, mais toujours là et qu'un kill -9 ne résout pas.
J'ai essayé le repos, et j'ai essayé de travailler quand même, ce qui revenait à la même chose vu la qualité de mes décisions. J'ai participé à des comités de direction avec 38 de fièvre en me convainquant que j'étais parfaitement lucide. Les comptes-rendus, eux, ne sont pas convaincus.
Le vrai point positif de ces deux semaines : quand vous n'êtes plus trop là pour arbitrer et débloquer, vous voyez enfin ce qui tient tout seul et ce qui tenait grâce à vous. C'est le meilleur audit organisationnel qui soit, et il ne coûte qu'une boîte de Doliprane.
Cyril
La pépite de la semaine
Andrew Tridgell a créé rsync il y a trente ans, a un PhD en CS, plus de 40 ans d'expérience, et aimerait bien aller faire de la voile. Au lieu de ça il se prend une tempête de rapports de sécurité générés par IA, décide d'utiliser Claude et Gemini pour l'aider à réécrire sa suite de tests, et Internet lui explique qu'il a trahi l'humanité. Sa réponse est un billet de blog d'une politesse glaçante que vous devez lire, ne serait-ce que pour la conclusion : openrsync, l'alternative brandie triomphalement par les indignés, échoue avec 85 tests sur 98 avec la suite de tests qu'il vient d'écrire. Certaines vengeances se servent froides, d'autres se servent avec des résultats de CI.
Le coeur de la veille
A native Kubernetes desktop client Klustr, c'est un énième client desktop pour K8s mais qui est vraiment prometteur. Construit avec Wails et React, il lit votre kubeconfig existant et parle directement à l'API Kubernetes sans rien installer dans votre cluster, comme K9s, Headlamp et à peu près tous ses concurrents. Ce qui le distingue un peu du lot c'est son interface graphique soignée, son mode multi-cluster pour regarder plusieurs environnements partir en fumée depuis une seule fenêtre, sa gestion native d'ArgoCD et Flux sans avoir besoin de leurs CLIs respectifs, et un Access Review qui vous montre la matrice complète des permissions par sujet sans impersonation. Disponible sur macOS et Linux, et sur Windows dès que quelqu'un aura eu le courage de valider les builds.
Hardened images explained Les cowboys de chez Docker ont pondu un article qui mérite qu'on s'y arrête. Votre image de base Ubuntu standard embarque 400 paquets, votre appli en utilise 25, et les 375 autres sont là, bien tranquilles, à attendre qu'un scanner les trouve ou qu'un attaquant s'en serve comme tremplin. Le shell qui traîne en prod, c'est un terminal offert à qui réussit à entrer, le package manager, c'est la livraison gratuite d'outils supplémentaires, et comme on dit à Montargis, une image slim c'est pas une image hardenée, c'est juste une grosse image qui a fait un régime. L'article détaille ce que ça implique vraiment : minimisation agressive, patching continu avec SLA défini, et métadonnées de supply chain vérifiables, SBOM, provenance SLSA, signatures cryptographiques. C'est dense, bien structuré, et ça donne enfin un vocabulaire précis pour expliquer à votre RSSI pourquoi "on a pris l'image officielle" n'est pas une réponse suffisante.
Gittuf, a signed log for git refs Bonne nouvelle, vos branch protections, vos required reviews et vos CODEOWNERS sont parfaitement sécurisés, dans une base de données gérée par la forge, modifiable par la forge, sans laisser la moindre trace dans git. Autrement dit, la seule chose qui protège votre repo, c'est que personne n'ait encore eu l'idée de désactiver le toggle le temps d'un push. Gittuf règle ça en stockant chaque mouvement de ref comme une entrée signée directement dans le repo, vérifiable sans passer par la forge et avec des clés qu'elle ne détient pas. C'est le genre de truc qui aurait évité l'incident tj-actions de 2025 et ses 23 000 repos compromis, mais bon, on apprend toujours mieux après.
En bref
Gubernator Un mec regarde son cluster Kubernetes à trois pods et réalise qu'il a reproduit l'administration de l'Empire romain pour faire tourner un blog de recettes. La réponse logique : construire un autre Empire romain, mais en plus petit et avec SQLite. Gubernator, c'est donc un orchestrateur Go à binaire unique qui appelle ses workers des "Centurions", son API "le Sénat", et qui promet de tuer Kubernetes pour les petits environnements avec la même énergie que le village d'Astérix promettait de résister à l'envahisseur romain. Ingress natif, observabilité intégrée, zéro dépendance externe, une interface Flutter pour les gens qui trouvent que le terminal manque de charme. C'est ambitieux, c'est en Go, et ça pose malgré tout la bonne question : à partir de combien de nœuds est-ce que Kubernetes cesse d'être la solution pour devenir le problème qu'on essaie de résoudre ?
Github and the crime against software Efron Licht a commencé à écrire cet article un jour où GitHub était en rade (ce qui est déjà une phrase qu'on peut écrire n'importe quel jour de l'année), sauf qu'Efron, plutôt que de soupirer et d'aller se faire un café comme un être humain normal, a décidé de mesurer scientifiquement l'étendue du désastre. Il a donc créé un repo vide appelé "ghsucks", l'a uploadé sur GitHub, GitLab et Codeberg, a simulé une connexion 3G comme sur son iPhone 4 de 2012, et a passé ce qui ressemble à plusieurs semaines de sa vie à analyser des archives HAR avec des outils qu'il a écrits lui-même pour l'occasion. Le résultat : GitHub charge plus de code qu'il n'en a fallu pour écrire DOOM, MS-DOS et le compilateur Zig réunis pour afficher un fichier README. Codeberg fait la même chose en trois secondes. C'est l'article le plus dément et le plus jouissif que vous lirez cette semaine, et quelque part, on est soulagés qu'il existe des gens comme Efron pour transformer leur colère en chiffres plutôt qu'en thread LinkedIn.
Let the agents democratize open source DHH a encore sorti sa plume et cette fois il s'attaque aux projets open source qui commencent à interdire les contributions assistées par IA. Son argument est simple : l'open source a passé des décennies à se battre pour que tout le monde puisse modifier du logiciel, et voilà que "tout le monde" se révèle avoir des astérisques dès que c'est un LLM qui aide à taper le code. Il appelle ça du protectionnisme de guilde, invoque Nietzsche, et conclut que refuser des contributions IA c'est surtout se consoler d'avoir souffert pour apprendre à programmer. On n'est pas obligés d'être d'accord sur tout, mais l'argument mérite qu'on s'y confronte plutôt que de l'ignorer, surtout quand il vient de quelqu'un qui a assez d'audience pour que ça compte.
30 Juin-1er Juillet 2026 | Espace Champerret
80% des dépenses cloud européennes qui finissent dans des poches américaines, 70% des données françaises hébergées hors UE, ce sont les chiffres qui font mal et qui expliquent pourquoi cet événement existe. Deux jours à l'Espace Champerret avec 100 exposants, 25 conférences et 30 ateliers pour passer enfin de "on devrait faire quelque chose" à des alternatives concrètes et opérationnelles. L'entrée à la plénière et aux ateliers est gratuite, les conférences sont payantes, et l'inscription se fait en cliquant sur le bouton jaune. Une chance sur deux que je traîne là-bas si mon boss valide mon RTT.
Sous les pavés l'IA
Parallel Code Le dev m'a contacté directement pour en parler et j'avoue que le concept m'a suffisamment intrigué pour que je compte le tester ce weekend au lieu de faire quelque chose d'utile comme relire Joyce dans le texte ou manger du verre pilé. L'idée c'est de lancer dix agents IA en parallèle, chacun enfermé dans son propre worktree git comme un stagiaire en salle d'isolement, sur dix branches différentes, puis inspecter les diffs, garder ce qui tient debout et supprimer le reste sans avoir à soutenir le regard de personne. Compatible Claude Code, Codex et Gemini, MIT, gratuit, et avec une fonctionnalité "AI Arena" qui fait s'affronter les agents en temps réel, parce qu'apparemment regarder des LLM se battre sur votre codebase était le divertissement qui manquait à votre début de semaine.
AI agent-driven container escape Le socket Docker que vous avez monté dans votre container applicatif "juste pour les besoins du déploiement" est désormais aussi exploitable par un agent IA autonome que par un humain, mais dix fois plus vite et sans pause déj. Le 29 mai, les coyotes de chez Sysdig ont observé un LLM enchaîner seul container escape, vol de clés SSH, et dump complet du Secret store Kubernetes, credentials de base de données, clés AWS, clé OpenAI, webhook Slack, le buffet complet. L'agent testait ses propres primitives d'évasion, validait ses outils avec des canaries jetables et balisait ses sorties pour que le prochain tour de contexte sache où couper. Les recommandations en fin d'article se résument à "ne faites pas les choses qu'on vous dit de ne pas faire depuis 2018", ce qui à ce stade relève moins de la cybersécurité que de la philosophie.