HN Digest
Briefing personnel.

Edition quotidienne

Lire vite. Garder l'essentiel.

Les meilleurs longs formats de Hacker News, relus plus calmement.

6614 articles Page 234/662 Sans filtre

06:07

Canada’s Bill C-22 Is a Repackaged Version of Last Year’s Surveillance Nightmare

Le projet de loi C-22 reprend plusieurs éléments du précédent projet C-2 et cherche à élargir les pouvoirs de surveillance numériques au nom de la sécurité. Il obligerait les services numériques, y compris les opérateurs télécom et les applications de messagerie, à enregistrer et conserver les métadonnées pendant un an et à accroître le partage d'informations avec des gouvernements étrangers. Le texte permettrait au ministre de la Sécurité publique d'ordonner aux entreprises de créer des accès dérobés aux services, tout en interdisant aux sociétés de communiquer l'existence de ces ordres. Les définitions vagues d'« vulnérabilité systémique » et de « chiffrement » laissent une marge d'interprétation qui pourrait contraindre les fournisseurs à contourner le chiffrement, comme l'illustre la décision du Royaume-Uni sur la fonction de protection avancée d'Apple. Les critiques soulignent que ces mesures augmenteraient le volume de données stockées et les risques d'exploitation par des pirates, comme l'a montré la cyberattaque Salt Typhoon en 2024, et n'apporteraient pas de garanties claires en matière de vie privée ni de transparence.

06:07

Dead.Letter (CVE-2026-45185) – How XBOW found an unauthenticated RCE on Exim

Un bug dans Exim provoque un use-after-free lors de la fermeture TLS gérée par GnuTLS : un appel à ungetc() écrit un octet ('\n' ou '\r') dans le tampon de transfert libéré, corrompant les métadonnées de l'allocateur. Le déclenchement nécessite presque aucune configuration côté serveur (exemple reproduit sur Exim 4.97 tel que distribué par Debian/Ubuntu) et ce seul octet suffit, via une corruption ciblée, à permettre une escalade vers l'exécution de code à distance. Des chaînes d'exploitation décrites incluent une attaque sur les métadonnées glibc (largebin/FSOP) corrompant un FILE* pour pivoter en ROP et lire un fichier sensible, ainsi qu'une autre voie tirant parti de l'allocateur de pools d'Exim (store) pour gonfler un storeblock, piloter les allocations et écraser une ACL afin d'exécuter une commande arbitraire. Les auteurs racontent aussi une compétition entre équipes humaines et assistées par un modèle de langage : le LLM a produit rapidement des preuves de concept dans des configurations atténuées, l'approche humaine a obtenu une fuite de pointeur de pile et un exploit plus robuste contre la build de production, révélant à la fois l'utilité et les limites actuelles des LLM pour l'exploitation. La vulnérabilité a été signalée de manière responsable début mai 2026, corrigée par les mainteneurs, identifiée par un CVE et publiée de façon coordonnée avec les distributions le 12 mai 2026.

06:07

Show HN: Statewright – Visual state machines that make AI agents reliable

Ce projet définit des garde-fous basés sur des machines à états pour contrôler quels outils un agent IA peut utiliser à chaque phase d'un workflow. L'approche réduit l'espace de problèmes plutôt que d'augmenter la taille du modèle en limitant les outils et en appliquant des transitions et des gardes déterministes exécutés par un moteur Rust sans LLM. L'intégration se fait via des plugins et MCP pour Claude Code et d'autres agents, avec des commandes d'installation simples et un flux de démarrage pour lancer des workflows comme le bugfix. Les garde-fous incluent l'application par état des outils, des restrictions Bash et d'édition, des listes de commandes autorisées, des conditions de transition, des portes d'approbation et un isolement de session. Les résultats montrent des améliorations sur des modèles locaux modestes et des gains en robustesse, la solution étant disponible en cloud gratuit ou payant et en self-hosting sous licence Apache 2.0 avec quelques limitations d'intégration.

06:06

EFF to 4th Circuit: Electronic Device Searches at the Border Require a Warrant

L'Electronic Frontier Foundation, l'ACLU nationale et ses affiliés du Maryland, de Caroline du Nord, de Caroline du Sud et de Virginie, la National Association of Criminal Defense Lawyers, le Knight Institute et le Reporters Committee ont déposé un mémoire d'amicus auprès de la Cour d'appel du quatrième circuit pour demander qu'un mandat soit requis pour les fouilles d'appareils électroniques à la frontière. L'affaire U.S. v. Belmonte Cardozo concerne un citoyen dont le téléphone a été fouillé manuellement à l'aéroport de Dulles après un voyage en Bolivie, conduisant à la découverte de contenus d'abus sexuels sur mineurs et à des poursuites pénales. Le tribunal de district a rejeté la demande de suppression des preuves obtenues sans mandat et l'accusé a été finalement condamné pour pornographie enfantine et exploitation sexuelle de mineurs. Les auteurs du mémoire soulignent que les fouilles manuelles et forensiques sont toutes deux très intrusives, que leur nombre augmente (55 318 fouilles par la CBP lors de l'exercice 2025) et qu'elles permettent d'accéder à des informations intimes comme les croyances politiques, religieuses, la santé ou les relations. Ils demandent que la Cour adopte une norme unique exigeant un mandat fondé sur des motifs probables pour les deux types de fouilles en s'appuyant sur la jurisprudence de la Cour suprême dans Riley v. California et en estimant que l'exception de fouille à la frontière n'est pas adaptée à la nature des données contenues dans les appareils modernes.

06:06

We tested super-resolution pre-filter for LPR OCR. It did nothing

Une expérimentation sur 2 000 crops de plaques (<100 px) a comparé l'absence de SR, un modèle SR maison de 42k paramètres et un Real-ESRGAN préentraîné de 1,21M et a montré des résultats identiques : 0 % de correspondance exacte et 0,4 % de précision par caractère. Les modèles de super-résolution ont principalement halluciné des caractères plausibles mais incorrects, car l'information utile n'existe pas dans les images très basse résolution, et ces hallucinations ont contaminé le processus de vote. La haute précision système observée (98,6 %) provient du vote multi-crop et d'un entraînement OCR incluant des augmentations multi-échelle, ce qui permet au modèle de lire directement des crops basse résolution sans recourir au SR. Le SR peut être pertinent dans des cas restreints, par exemple pour prétraiter l'entrée d'un produit OCR commercial non re‑entraînable ou pour des scénarios autoroutiers où les crops restent durablement en dessous de ~60 px. La recommandation pratique est de mesurer la distribution des tailles de crops et d'investir dans des données et entraînements adaptés, le vote inter-images et l'optimisation de la capture plutôt que de déployer des modèles SR coûteux et sujets à hallucinations.

06:06

Bambu Lab is abusing the open source social contract

L'auteur explique qu'il continue d'utiliser son imprimante Bambu P1S mais qu'il a isolé l'appareil du réseau, bloqué les mises à jour et activé le mode développeur pour garder le contrôle. Il précise que Bambu Lab a rendu la solution cloud toujours connectée par défaut, de sorte que les fichiers d'impression transitent par les serveurs de l'entreprise. Un fork open source appelé OrcaSlicer-bambulab, conçu pour imprimer sans passer par le cloud, a conduit Bambu Lab à menacer son développeur en l'accusant d'usurpation d'identité. L'auteur juge que la réaction de Bambu Lab constitue un mauvais usage des droits et un affront à la culture open source, estimant que l'entreprise aurait pu chercher des solutions plus collaboratives et sécurisées. Plusieurs membres de la communauté ont proposé un soutien financier au développeur, et l'auteur suggère que certains consommateurs pourraient choisir des imprimantes d'autres fabricants.

06:06

Launch HN: Voker (YC S24) – Analytics for AI Agents

Voker est une plateforme d'analytics pour interactions d'agents IA qui transforme les conversations en données structurées consultables par les équipes produit, analystes et métiers. Elle automatise la classification d'intents, la détection de corrections et la reconnaissance des résolutions pour mesurer le taux de succès des interactions multi‑tours. La solution fournit des tableaux temporels de conversations interrogeables, des suivis de performance et des alertes comportementales pour repérer les lacunes de connaissance et la frustration des utilisateurs. Voker s'intègre aisément aux modèles et outils existants (OpenAI, Anthropic, Gemini, Langchain, etc.), propose un SDK léger et permet la rétention complète des données avec option d'auto‑hébergement. Plusieurs offres tarifaires adaptées à la montée en charge facilitent le déploiement, la corrélation des métriques d'agent avec les indicateurs business et l'optimisation continue des agents.