Newsletter du 15 Juin 2026

Kubernetes runtime security : The guide Tout le monde a entendu parler d'eBPF, mais peu de gens peuvent expliquer ce que c'est sans faire une pause gênante. C'est un espion cousu directement dans le kernel Linux qui intercepte chaque syscall, chaque connexion, chaque exécution de process, avant même que l'application s'en rende compte. Cilium Tetragon s'appuie là-dessus pour faire ce que vos scans d'image ne feront jamais : surveiller ce qui se passe vraiment au moment où ça se passe. Pas avant le déploiement, pas après l'incident, mais pendant, et en prime il mappe les événements kernel bruts vers vos ressources Kubernetes, parce que "PID 4052 a ouvert un socket" c'est bien, mais "le pod frontend en prod vient de spawner un bash qui tente un curl vers une IP inconnue" c'est mieux. Ce chouette guide archi complet couvre l'architecture, la modélisation des menaces, les tracing policies et les use cases de conformité. Dense, sourcé, recommandé, l'article aborde 15000 autres trucs assez pointus.

Docker monitoring that fits in an SSH connection Tori, c'est un outil de monitoring Docker qui a eu la bonne idée de ne pas devenir le problème qu'il est censé résoudre : un binaire, zéro port exposé, tout transite par SSH sur un socket Unix donc rien à firewall, rien à sécuriser en plus. Côté features, on a des métriques host complètes, état et stats de vos containers, tail de logs avec filtres regex, alertes configurables par webhook ou email, le tout stocké dans SQLite, moins de 50 Mo de RAM, et un support multi-serveurs pour switcher entre vos machines depuis un seul terminal. Pour les gens qui gèrent 1 à 10 serveurs et qui ont mieux à faire que maintenir une stack Prometheus + Grafana qui consomme plus de ressources que le service de sécurité de l'Élysée.

Introduction to nixidy Encore un projet qui part du même constat universel, à savoir que personne sur cette planète n'a jamais su ce qui se cache vraiment dans un fichier de values Helm de 600 lignes, ni ce qui finit réellement dans le cluster une fois le helm template, grep, prière et commit habituels effectués. La proposition est simple, remplacer Helm, Kustomize et le YAML brut par une unique expression Nix par environnement, typée de bout en bout, où écrire replicas égale deux entre guillemets plante au build et pas quinze minutes dans un rollout en prod. Nixidy génère du YAML plat et diffable, plus les manifests Argo CD qui pointent dessus, façon rendered manifests pattern. On récupère aussi toute la mécanique de composition façon NixOS, héritage entre environnements, surcharges propres, de quoi arrêter de copier un fichier entier pour changer un seul chiffre. Seul bémol, et pas des moindres, il faut désormais apprendre Nix pour déployer un nginx, ce qui revient globalement à échanger un problème de YAML contre un problème de syntaxe que même ses utilisateurs les plus fervents qualifient de "particulière".

Over 400 Arch Linux packages compromised Plus de 400 packages AUR compromis pour distribuer un rootkit et un infostealer : La supply chain, ce buffet à volonté où n'importe qui peut déposer un plat sans que personne ne vérifie ce qu'il y a dedans bref, cette semaine, c'est l'AUR qui trinque avec plus de 400 packages modifiés pour télécharger un binaire qui vole vos tokens GitHub, vos clés SSH, vos cookies, vos données Slack, Discord, Teams, Telegram, et probablement votre dignité. Le tout avec un rootkit eBPF optionnel pour se planquer dans le kernel et rendre le nettoyage aussi efficace qu'un coup d'aspirateur sur un incendie. Si vous êtes sur Arch, vérifiez vos packages, changez vos credentials, et repensez peut-être à vos choix de distribution, pas parce qu'Arch est mauvais, mais parce que "btw I use Arch" sonne différemment quand c'est un attaquant qui le dit.

A love letter to Neovim Un dev utilise Vim depuis 2011 et a survécu à toutes les tentatives de l'industrie de lui vendre un éditeur avec des panneaux, des sidebars et une extension IA qui respire fort. Il est toujours là, dans son terminal, avec ses motions, ses macros et la sérénité d'un moine qui a trouvé la vérité absolue et ne comprend plus vraiment pourquoi les autres souffrent autant. Neovim n'est pas un outil pour lui, c'est une grammaire, un mode de vie, une expérience proche du divin que seuls comprennent ceux qui ont survécu à la première semaine où appuyer sur j ne tapait pas la lettre j. À lire si vous avez envie de vous faire évangéliser par quelqu'un de parfaitement conscient de s'être radicalisé mais qui assume complètement.

Maigret Un chouette outil OSINT qui prend un pseudo en entrée et part fouiller 3000 sites pour reconstituer le profil complet de son propriétaire, comptes liés, informations publiques, identités croisées, le tout sans clé API et avec la discrétion d'un détective qui n'a pas besoin de se présenter. Récursif par nature, il tire sur chaque fil trouvé pour en découvrir de nouveaux, exporte en HTML, PDF, JSON, graph interactif, et propose même une synthèse IA pour les flemmards pressés. Pratique pour l'OSINT légitime, terrifiant pour se rappeler ce qu'on a posté sous son vrai pseudo en 2009.

Mon homelab Un retour d'expérience par votre serviteur sur pourquoi un homelab reste l'une des meilleures façons de rester technique quand votre quotidien professionnel ressemble de plus en plus à une succession de réunions PowerPoint. N'oubliez pas de liker si ce retour d'expérience vous parle, c'est bon pour ce qu'il reste de mon égo.

Real-time monitoring dashboard for Claude Code Un énième dashboard pour Claude Code, sauf que celui-là a au moins la décence de rester sur votre machine et de ne rien envoyer nulle part. cc-lens lit vos fichiers locaux ~/.claude/ et vous visualise tout ce que vous préfériez peut-être ne pas savoir, genre combien vous avez vraiment dépensé ce mois-ci, à quelle heure vous codez le plus souvent, quels projets vous ont coûté un rein, et le ratio inquiétant entre vos sessions productives et celles où vous avez juste demandé à Claude de refactoriser la même fonction sept fois d'affilée. Sessions, tokens, coûts estimés, outils les plus utilisés, calendrier d'activité, et même un "Wrapped" annuel pour partager votre honte sur LinkedIn. Un npx cc-lens suffit, aucun compte, aucune clé API, aucun cloud qui sait que vous avez passé trois heures sur un bug de CSS pendant 3 jours.

Gentle-AI Vous avez installé Claude Code, Cursor ou n'importe quel autre agent IA et vous avez réalisé que c'était globalement un chatbot qui écrit du code sans mémoire, sans contexte, et sans aucune idée de ce que vous faisiez la semaine dernière. Gentle-AI règle ça en transformant votre agent en quelque chose qui ressemble enfin à un collègue qui se souvient des décisions d'architecture, connaît vos conventions, et ne vous redemande pas pour la sixième fois quel framework vous utilisez. Au menu : mémoire persistante entre sessions via Engram, workflows Spec-Driven Development, attribution de modèles différents par phase (le gros modèle pour la conception, le pas cher pour l'exploration), serveurs MCP préconfigurés, et support de 15 agents dont Claude Code, Cursor, Gemini CLI et quelques autres dont vous n'avez probablement jamais entendu parler.