Toutes les newsletters
#76

Newsletter du 06 Juillet 2026

KuberneteseBPFobservabilityAPIsécuritéWireGuardvirtualisationIAagentsMCPopen source

Je relis le Seigneur des Anneaux dans sa nouvelle traduction française. C'est bien, c'est fluide, c'est moderne. Quelques noms ont changé pour coller à une vision plus fidèle de Tolkien. Rivendell est devenu Fendeval, Hobbitebourg est devenu Hobbiteville, Frodon Saquet est devenu Frodo Bessac, etc.

Je l'ai lu pour la première fois à treize ans dans la vieille traduction, et peu importe ce que dit Daniel Lauzon, Rivendell restera toujours Rivendell dans ma tête. Pas par conservatisme ou par nostalgie, mais juste parce que certains noms ne sont pas des étiquettes, ils sont des territoires et portent une mémoire, une texture, une lumière particulière qui s'est déposée là au fil des lectures et que rien ne viendra déloger.

Tolkien le savait mieux que quiconque. Il était philologue et passait sa vie à chercher le nom juste, celui qui dit la vérité profonde de la chose, celui qui résonne dans la langue comme une cloche dans une vallée. Pour lui, nommer c'était presque sacré. Un nom mal choisi était une trahison, une approximation, une porte fermée sur quelque chose d'essentiel.

Dans nos métiers, on a pris le contre-pied absolu.

Administration système, Opérations, DevOps, SRE, Platform Engineering, DevSecOps, Cloud Native, FinOps, GitOps, AIOps... Les noms défilent comme des armées en marche, chacun convaincu d'avoir trouvé la formulation définitive, le mot qui va enfin tout expliquer, tout réconcilier, tout moderniser. Les conférences changent de nom, les offres d'emploi se réinventent, les consultants renouvellent leurs slides avec l'enthousiasme de ceux qui ont découvert que renommer les choses coûte moins cher que de les changer vraiment.

Et pourtant.

Au bout du couloir, dans la lumière froide des écrans, il y a toujours la même personne. Celle qui fait tourner les machines quand tout le monde dort. Celle qui connaît les noms vrais des choses, pas ceux des slides, pas ceux des fiches de poste, mais les vrais : le nom du process qui fuit, le nom du script qui tient tout debout depuis 2015, le nom de la chose qu'on ne peut pas redémarrer sans prévenir trois équipes et croiser les doigts.

Peu importe comment on appelle ce métier cette année. La finalité, elle, n'a pas bougé d'un pixel.

Tolkien aurait détesté ça, nous, on a appris à vivre avec.

Cyril

La pépite de la semaine

Un outil que je dois sûrement découvrir après tout le monde une fois de plus mais bref. Kubeshark fait de l'observabilité réseau sur Kubernetes en capturant le trafic directement au niveau du kernel via eBPF, ce qui lui permet entre autres de déchiffrer le trafic TLS sans gérer les clés ni coller des sidecars partout comme un animal. Concrètement vous pouvez visualiser en temps réel ce qui circule entre vos workloads, exporter des PCAPs filtrés par nœud, workload ou plage horaire, et requêter tout ça avec un langage qui combine sémantique Kubernetes, API et réseau. Il y a aussi une intégration MCP pour brancher votre agent IA dessus et lui poser des questions en langage naturel sur votre trafic, ce qui est soit l'avenir de l'observabilité soit une excellente façon de faire expliquer vos incidents par quelqu'un qui n'était pas là non plus. Dans les deux cas c'est fascinant.

Lire l'article

Le coeur de la veille

Shifting left is the whole game En gouvernance d'API, tout tient à un seul principe une fois qu'on l'a vu : attraper les problèmes le plus tôt possible, avant qu'ils aient le temps de fonder une famille en prod. La logique est bêtement comptable, une incohérence de nommage repérée en revue de design coûte une conversation gênante de trente secondes, la même chopée après le lancement coûte un breaking change, un guide de migration, un plan de comm et un an à supporter les deux versions pendant que tes consommateurs migrent à la vitesse d'un escargot sous calmants. Même défaut, facture qui explose, juste parce que tu l'as vu trop tard. Mais la phrase qui sauve le billet du sermon, c'est le caveat final : shifter à gauche règle les 25% mécaniques du problème, les 75% restants vivent dans les gens, la politique et l'organisation, soit exactement ce qu'aucun pipeline ne saura jamais automatiser, et crois-moi, ce n'est pas faute d'avoir essayé.

Islander for Wireguard management Une chouette gestion d'accès WireGuard pour ceux qui refusent le SaaS par principe et le CG-NAT par fatalité. Un binaire natif, un hub avec IP publique, et fini les .conf envoyés par mail à toute la boîte comme en 2011. Peers, groupes, ACL, portail self-service où l'employé génère sa propre config sans venir mendier à l'admin. L'auteur file la métaphore de l'insulaire coincé sur son île qui cherche un ferry pour rejoindre le continent, ce qui est joli, mais reconnaissons qu'un salarié en télétravail ressemble plus à un naufragé qu'à un touriste. Backend Quarkus, front Vue sans npm parce que quelqu'un a eu la décence de nous épargner un node_modules de 400 Mo, et une doc d'archi tellement complète (arc42, ADR, C4) que je soupçonne le projet d'avoir plus de documentation que d'utilisateurs.

Installons Tetragon dans Kubernetes Tetragon, c'est l'EDR pour Kubernetes qui te montre enfin ce qui se trame dans tes pods à coups d'eBPF : chaque process lancé, chaque fichier lu, chaque appel système, le tout craché en direct dans ton terminal. Signé Isovalent (les cowboys derrière Cilium), ça t'installe des programmes dans le noyau Linux sans que t'aies à écrire une seule ligne de C, ce qui est aussi une façon polie de dire que tu vas quand même devoir comprendre le noyau Linux un jour ou l'autre. Joseph Ligier nous déroule ça sur deux articles (et visiblement d'autres suivront) : le premier installe Tetragon sur un serveur seul pour bien saisir le truc, le second passe à K8s avec KinD et finit sur une tracing policy qui SIGKILL tout process osant lire le token du service account. Alors oui, l'auteur admet lui-même que sa policy se contourne en trois lignes, mais c'est joli sur le papier, et regarder un cat mourir en direct procure une satisfaction qu'aucune formation DevSecOps ne saura t'expliquer.

Putzen "Nettoyer" en allemand, et c'est exactement ce que fait cet outil en Rust : si Cargo.toml existe on dégage target, si package.json traîne adieu node_modules, le tout en parallèle. Le détail qui tue avec un podium or/argent/bronze pour célébrer ton plus gros ménage parce que rien ne motive un ops comme transformer la suppression de 40 Go de node_modules morts en discipline olympique.

En bref

The database that refused to die Postgres, cette base de données qui a survécu à l'abandon de son propre créateur un peu comme un chat qu'on lâche sur l'autoroute et qui revient trois ans plus tard régner sur le quartier. Stonebraker balance le code de Postgres "du haut d'une falaise" au milieu des années 90, et deux étudiants de Berkeley que personne ne connaissait le récupèrent, virent le moteur de règles pourri, remplacent QUEL par SQL et le shepherdent pendant trente ans jusqu'à en faire le socle sur lequel AWS, Azure et Google ont tous "parié la ferme". Cet article de The Register revient sur cette histoire improbable, avec au passage un aveu savoureux de Bruce Momjian sur le chiffrement au niveau fichier toujours absent.

Netbird Tu veux monter un réseau privé sans ouvrir un seul port ni sacrifier ton week-end à des règles de firewall ? NetBird fait exactement ça : un peer-to-peer basé sur WireGuard qui connecte toutes tes machines dans un tunnel chiffré où personne ne peut lire tes messages, contrairement à mon ex qui n'aurait pas dû fouiller mon téléphone. Contrôle d'accès granulaire, SSO, MFA, et une liste de plateformes supportées tellement longue qu'ils ont dû recopier le catalogue entier de l'informatique : Linux, macOS, ta box MikroTik, ton Synology, ton grille-pain sous Raspberry Pi. Bonus du moment : une "Agent Network" en beta pour filer à tes agents IA un accès sans clé à tes ressources privées, parce que ce qui manquait à ton infra, c'était clairement des LLM qui se baladent dans le tunnel comme chez eux.

On ditching Vagrant Après seize ans de bons et loyaux services, Benjamin Toll largue Vagrant pour revenir à KVM et libvirt avec ce raisonnement imparable : pourquoi empiler une couche d'abstraction pour faire un truc que le noyau Linux sait faire nativement depuis 2007 ? Le billet déroule un vrai tuto où l'auteur assume avoir traîné des années par pure flemme avant de faire les choses correctement. Note d'honnêteté rare, sa solution aux permissions du dossier partagé, c'est un chmod 777 bien crade qu'il qualifie lui-même de bricolage, avant de conclure qu'il y a pire dans la vie. On ne peut qu'être d'accord.

Sous les pavés l'IA

Cursor, Gitlab and Zed agree Github is breaking GitHub craque sous le poids de l'IA qu'il a lui-même lancée avec Copilot en 2021 : 1,4 milliard de commits par mois, 17 millions de PR générées par des agents, et des centaines d'incidents sur l'année. Résultat, tout le monde se rue pour reconstruire l'hébergement de code façon agents : Cursor sort Origin (juste après s'être fait racheter 60 milliards par SpaceX, détail anodin), GitLab dégaine Project Switch, et Zed propose DeltaDB qui remplace carrément les commits Git par un flux continu de deltas. Cet article des coyotes de chez The New Stack fait le tour de cette ruée, avec la punchline qui tue au passage : le pull request, ce truc conçu pour des humains qui relisaient le code un changement à la fois, devient une case à cocher pendant que plus personne ne regarde ce que pondent les agents. On propose même de compter en "tokens" plutôt qu'en lignes de code, ce qui tombe bien puisque c'est exactement l'unité que facture Cursor. Vraiment, quelle coïncidence.

Mcpsnoop Un Wireshark pour MCP, soit un proxy transparent qui te montre en direct chaque appel d'outil qui transite entre ton client IA et tes serveurs MCP. L'Inspector officiel se connecte comme un client à part et ne voit jamais le vrai trafic, ce qui te laisse à tail un log dans /tmp en devinant pourquoi un outil n'est pas appelé. mcpsnoop se glisse dans le tuyau, affiche chaque frame JSON-RPC dans une TUI colorée, flague erreurs et appels lents, et te laisse rejouer un call capturé. Le tout en un binaire Go sans dépendances, avec une note sécurité qui rappelle d'éviter de wrapper n'importe quoi trouvé dans la nature. Sage conseil qu'on ignorera tous joyeusement.