Voici ma sélection de liens pour ces deux dernières semaines. Bonne lecture !
IA
Un développeur avec 15 ans d'expérience témoigne de comment Claude Code a paradoxalement réduit son plaisir à coder, en transformant la résolution de problèmes en simple tâche de contrôle qualité.
Un espace pour les développeurs qui veulent parler de leur métier, de leurs doutes, de leurs joies - sans filtre et sans pression.
Bonne nouvelle pour les utilisateurs de Claude Code : Anthropic a relevé les quotas par session de 5 heures et supprimé les restrictions aux heures de pointe pour les abonnés Pro et Max.
Les capacités d'une session de 5h sont doublées, le principe d'heure de pointe est supprimé pour certains abonnés et les limites de l'API sont largement repoussées.
Dans le même temps, Anthropic s'engagerait à dépenser 200 milliards de dollars sur cinq ans auprès de Google Cloud. L'argent que Google a investi dans Anthropic revient donc chez Google.
Deux cents milliards versés par une entreprise qui n'existe que depuis 2021 à une autre qui figure déjà parmi les plus riches de la planète. Quand on lit le chiffre pour la première fois, on se demande si quelqu'un n'a pas ajouté un zéro par erreur. L'accord entre Anthropic et…
Google révèle le premier cas documenté d'utilisation de l'IA pour développer une faille zero-day permettant de contourner l'authentification à deux facteurs, et l'exploiter à grande échelle.
Google identified the first malicious AI use for a zero-day 2FA bypass in an open-source admin tool, accelerating threat actor operations.
Des utilisateurs de Google Cloud se retrouvent avec des factures de dizaines de milliers de dollars après que leurs clés API ont été compromises et utilisées pour faire tourner des charges de travail IA coûteuses.
'What the hell is going on? It's just draining my money'
L'IA accélère votre travail, et du coup on vous en donne plus. Yoan Dev pose la question : et si on utilisait ce temps gagné pour... en faire moins ?
L'IA t'a fait gagner trois heures aujourd'hui. T'en as fait quoi ? Probablement codé trois heures de plus. Pourquoi le temps gagné par l'IA n'est jamais à nous, et comment le reprendre.
Dev
Le 11 mai dernier, 42 packages npm TanStack ont été compromis (84 versions malveillantes publiées). L'incident a été détecté en 20 minutes par des chercheurs externes. Le postmortem complet est ici.
On 2026-05-11, an attacker chained a pull_request_target Pwn Request, GitHub Actions cache poisoning across the fork↔base trust boundary, and OIDC token extraction from runner memory to publish 84 malicious versions across 42 @tanstack/* packages on npm. Full postmortem.
Dans la foulée, voici un outil qui aurait pu limiter les dégâts : Cooldowns impose une période d'attente avant d'installer une version fraîchement publiée. Le site estime qu'un tel mécanisme aurait bloqué 80 à 90 % des attaques supply chain connues.
A guide to configuring dependency cooldowns across package managers to protect against supply chain attacks.
Un guide de référence bien utile sur les normes USB : vitesses, connecteurs, câbles, Power Delivery...
Sécurité
Google Chrome installe silencieusement un modèle IA Gemini Nano de 4 Go sur votre appareil sans notification, et le fichier se réinstalle après suppression.
Google Chrome is downloading a 4 GB Gemini Nano model onto users' machines without consent, with no opt-in, no opt-out short of enterprise tooling, and an automatic re-download every time the user deletes it. The pattern is identical to the Anthropic Claude Desktop case I wrote about last month, but the scale is between two and three orders of magnitude larger. This article does the legal analysis and, for the first time, the environmental analysis. The numbers are not small.
Microsoft Edge charge tous vos mots de passe enregistrés en clair dans la mémoire dès le démarrage du navigateur, même sans visiter les sites concernés.
Alerte sécurité : Microsoft Edge stockerait vos mots de passe en clair. Découvrez comment protéger vos données et les bons réflexes à adopter dès maintenant.
La société française DataDome a bloqué une attaque DDoS de 2,45 milliards de requêtes réparties sur 1,2 million d'adresses IP en cinq heures. Pas de force brute ici : des requêtes distribuées à très basse fréquence pour éviter la détection, contrées par une analyse comportementale.
L'entreprise française DataDome a neutralisé une attaque DDoS de 2,45 milliards de requêtes envoyées en cinq heures, qui visait une plateforme de contenus en ligne. L'offensive était pilotée par un botnet de 1,2 million d'adresses IP.
Divers
Ask.com, lancé en 1996 sous le nom Ask Jeeves, ferme définitivement après trente ans d'existence. Une page du web qui se tourne.
GNT est le portail Hi-Tech français consacré aux nouvelles technologies (internet, logiciel, matériel, mobilité, entreprise) et au jeu vidéo PC et consoles.
Le gouvernement néerlandais a lancé une instance Forgejo auto-hébergée pour que ses administrations publiques hébergent leur code source sans dépendre de GitHub ou GitLab.
The self-hosted, FOSS-only platform is still in the pilot phase, but government agencies are already signing up.
Microsoft annonce des changements pour Windows Update : possibilité de reporter les mises à jour indéfiniment par tranches de 35 jours, et regroupement de toutes les mises à jour en un seul redémarrage mensuel.
Microsoft va vous redonner le contrôle sur l’installation des mises à jour Windows. Dans un billet publié le 24 avril 2026, l’entreprise a annoncé plusieurs…
