Auteur/autrice : Éric

Impact de l’IA sur la recherche de failles de sécurité

Simon Willison a démarré un regroupement de ses liens à propos d’IA et de recherche de sécurité.

Les citations montrent qu’il se passe indéniablement quelque chose. La seconde citation (au moment où j’écris ce billet) est majeure.

On the kernel security list we’ve seen a huge bump of reports. We were between 2 and 3 per week maybe two years ago, then reached probably 10 a week over the last year with the only difference being only AI slop, and now since the beginning of the year we’re around 5–10 per day depending on the days (fridays and tuesdays seem the worst). Now most of these reports are correct, to the point that we had to bring in more maintainers to help us.

And we’re now seeing on a daily basis something that never happened before: duplicate reports, or the same bug found by two different people using (possibly slightly) different tools.
— Willy Tarreau, Lead Software Developer. HAPROXY

4 avril 2026
IA vs Google

Les estimations de coût énergétique convergent depuis un an vers environ 0.3Wh par requête standard sur un LLM de grande taille (ChatGPT, Claude, Gemini).

À ça on peut ajouter environ 50% de coûts fixes pour l’entraînement.

Je faisais des comparaisons avec des coûts carbone dans mes précédents billets.

Une étude fait un autre comparatif intéressant. 0.3Wh c’est aussi l’estimation du coût énergétique d’une recherche Google. Ça a déjà de quoi remettre quelques préjugés en place mais l’étude regarde ce qu’il se passe si on prend toute la chaîne de recherche.

Là c’est renversant.

Une recherche web c’est une page web, et rien que la transmission d’une page web moyenne par 4G coûte plus d’énergie que la recherche. Si vous ouvrez plusieurs pages à partir des liens retournés par Google, autant dire que la consommation explose.

S’il y a de la publicité sur la page web, on ajoute 0.10 à 0.25Wh par page, ce qui est loin d’être négligeable face au 0.3Wh de la requête LLM.

Le papier mérite d’être lu, rien que pour prendre conscience des échelles des différents éléments. On est loin de l’intuitif.

4 avril 2026
Je ne crois pas à une crise de l’emploi dans le secteur logiciel
Ma conviction c’est que, dans ce domaine, la demande croit exponentiellement avec la baisse des coûts. Les besoins en automatisation sont quasi illimités, ils ne sont juste pas rentables.

Si l’IA augmente la productivité¹, la baisse des coûts va libérer une masse de demandes qui n’étaient pas rentables avant et qui le deviendront. Plus on baisse les coûts, plus la demande va être massive.

Je ne crois pas une seconde à un renversement de l’équilibre offre/demande. C’est une croyance, une conviction, comme tout dans ce billet, mais elle est forte.

Je ne crois pas à la crise au niveau du secteur, mais ça ne veut pas dire que ça ira bien.

Dans le dernier billet je parle du fait d’imposer l’utilisation de l’IA dans les équipes de développement logiciel. Je ne dis pas que c’est idéal, mais personnellement je m’en fais beaucoup plus pour ceux dont l’entreprise ne les pousse pas vers l’IA, voire ne les met pas en capacité d’apprendre cette nouvelle façon de développer.

Ceux qui n’augmentent pas leur productivité via l’IA vont vivre deux effets :
1. L’augmentation de la demande ne les concernera pas, vu que leurs coûts ne permettront pas la rentabilité pour les clients
2. Sur les niveaux de demandes pré-existants, ils seront en concurrence avec d’autres professionnels plus productifs.
Dans ceux là, les meilleurs vont probablement simplement se retrouver massivement déclassés. Les moins bons risquent de se retrouver sur le carreau, durablement.

Je ne parie même pas qu’il sera facile de changer d’avis et embarquer dans le train de l’IA après coup : Il faudra un employeur qui parie sur le vieux développeur qui n’a pas su ou pas voulu évoluer, espérer que cette fois ça va fonctionner, et ça plutôt qu’embaucher un jeune IA-natif prometteur et moins cher.
1. C’est l’hypothèse, mais si vous n’y croyez pas alors il n’y a pas de crise à anticiper non plus, parce que ni l’offre ni la demande ne vont changer. Vous pouvez arrêter la lecture ;-) ↩︎
4 avril 2026
Je n’ai pas peur pour les développeurs juniors

L’IA demande de savoir relire le code. On sait le faire parce qu’on a appris à l’écrire. Comment feront les jeunes qui n’ont pas eu cette expérience ?

Je n’ai pas cette peur.

Je me repose sur ma calculette et je fais peu de calcul mental. Je ne saurais même pas utiliser une règle à calculer. Je n’ai que peu de formules ou données en tête, et je me reposerai sur le web pour les retrouver en cas de besoin.

Bref, il y a plein de choses que je ne sais pas faire alors que ça tombait sous le sens pour des plus âgés. Il y en a certaines qui ne me servent plus, ou qui ne me sont plus aussi importantes. Il y en a d’autres qui ont été remplacées par des outils. En échange, j’ai des nouveaux savoirs et des nouvelles compétences, que mes ainés n’avaient pas et qui me sont bien plus utiles aujourd’hui. Je ne me sens pas perdant au final.

Je n’ai pas peur pour les jeunes parce que je pense que ça revient exactement à ça.

S’ils en ont moins besoin avec l’IA, les jeunes auront peut-être moins d’expertise dans le code. Ils apprendront d’autres choses que moi je ne sais pas faire. Au final, accompagnés de l’IA, ils auront certainement plus de capacité que je n’en ai moi aujourd’hui.

S’ils en ont moins besoin.

Ou alors ils en auront besoin de cette expertise dans le code, et alors ils l’apprendront, au fur et à mesure, en commençant par faire plein de bêtises comme un junior puis en gagnant en expérience.

Peut-être qu’ils l’apprendront différemment, en relisant et en validant des IA plutôt qu’en écrivant eux-mêmes, ou en faisant plus de pair-programing que je n’ai pu en faire à mon époque.

Ce qui est certain c’est que, si c’est nécessaire, cet apprentissage aura lieu d’une façon ou d’une autre.

Si c’est nécessaire.

Je ne sais pas si ça restera nécessaire ou s’ils en auront moins besoin, mais je ne m’en fais dans aucun des deux cas. Ils s’adapteront à ce besoin.

Je m’en fais en réalité beaucoup plus pour les plus vieux, ceux qui n’auront pas appris à se servir de l’IA, ou qui n’auront pas changé leur façon de penser et de travailler. Ceux pour qui je m’en fais c’est pour les expérimentés actuels, pas pour les futurs juniors.

Je m’en fais pour eux parce que changer, remettre en cause notre façon d’aborder le métier et nous adapter à une nouvelle réalité, c’est beaucoup plus difficile que de commencer de zéro avec cette nouvelle réalité.

Entre le vieux qui sait tout de tête et le jeune accompagné d’Internet et de son smartphone, personnellement je parie sur le jeune.

4 avril 2026
« On m’oblige à utiliser l’IA »

Je le lis cette phrase depuis quelques temps sur les réseaux sociaux alors je fais mon coming out : Ça ne me semble pas forcément anormal. Utiliser l’IA fait même partie des directives que je donne à mes équipes.

Plus loin : C’est un critère de recrutement. Jusqu’à présent je voulais des ingénieurs curieux, ayant envie d’essayer. Désormais je ne prends que des personnes qui ont déjà un réel usage. La génération de code sur plus de 80% de ce qui est livré est un prérequis, mais non suffisant. Ce que je cherche ce sont ceux qui vont plus loin, qui vont utiliser l’IA comme levier pour l’ensemble des activités qu’ils auront au jour le jour.

Si certains sont bloqués sur ces sujets par leur employeur actuel, je vais chercher ceux qui explorent massivement côté perso et y voient la nécessité de changer d’employeur.

Une question de stratégie

Si vous êtes convaincus que le télétravail est la meilleure façon d’organiser le travail, vous allez instaurer une culture et une organisation qui va avec. Ça peut être plus d’écrit, plus d’asynchrone, un déplacement du budget des locaux vers le matériel ou vers des événements ponctuels dans l’année pour se retrouver, ou quoi que ce soit que vous imaginez.

Si vous trouvez des candidats qui aiment se retrouver dans des locaux avec leurs collègues, qui vont privilégier les discussions de face à face, ça ne collera pas. Ni pour eux, ni pour vous. Parfois il faut faire un choix, et laisser chacun faire ce qu’il veut finit par ne convenir à personne.

S’il s’agit d’acquérir cette nouvelle culture de télétravail, vous allez donner des guides. Pour acquérir les nouveaux usages il y a une phase de transformation à passer, là où on ne voit pas encore toujours le bénéfice individuellement.

Changer c’est difficile, donc vous allez aussi réduire au maximum le nombre de personnes qui auront ou pourraient avoir du mal à changer. Ça passera entre autres par un critère fort sur les recrutements, et même potentiellement par des départs si le décalage ne peut pas être résolu malgré les efforts.

Faire des choix

C’est vrai pour le télétravail. Ça peut se traduire de la même façon pour l’absence de télétravail. C’est vrai pour les choix technologiques, pour la langue de travail, pour les horaires, et même pour des choix culturels ou les valeurs portées par l’entreprise.

Parfois c’est une conviction forte. Parfois, même sans dire qu’une option est meilleure que l’autre, il a été jugé important que ce soit un choix commun, partagé.

C’est vrai pour tout choix stratégique. Le fait de travailler massivement avec ou sans l’IA en est un.

Rien de plus, rien de moins

Faire mon choix

Et donc oui, j’ai une conviction forte, avec une stratégie associée, et que ça implique un changement radical de pratiques, de métier et de façon de penser. Un choix a été fait, radical aussi.

Ça ne dit pas que les autres choix sont mauvais, c’est juste celui là qui a été fait. Il y a d’autres équipes, avec d’autres choix, et chacun va où il se sent bien.

Changement

Certains m’ont remonté que mon billet laisse croire que c’est uniquement une question d’imposer brutalement. Ce n’est pas le cas.

Je parle de choix d’entreprise. La façon de l’amener, de le déployer, l’accompagnement ou la discussion sont un sujet à part entière.

Le changement radical est par contre côté recrutement, justement pour ne pas avoir ensuite à gérer des situations difficiles.

3 avril 2026
J’avais besoin d’un bon système audio et je ne le savais pas

Depuis que j’ai un grand écran, je cherche à laisser mon macbook fermé. J’ai des haut-parleurs sur l’écran mais ça n’était pas super qualitatif.

J’ai acheté une paire de petites enceintes actives USB pour parfois faire passer de la musique, ou au moins avoir une qualité sonore un peu meilleure.

Là, révélation. Je ne galère pas autant que je le croyais à suivre les visio en anglais. Mon niveau d’anglais n’était pas le (seul) problème. J’avais juste un son qui n’était pas au niveau.

Maintenant que j’ai cette petite révélation je me rends compte que j’ai une vraie différence de capacité de suivi suivant le système sonore. Je ne les ai pas achetées pour ça, mais elles valaient le coup rien que pour ça.

Mes nouvelles enceintes sont clairement ce que j’ai de mieux. Les haut-parleurs internes du macbook pro ne sont pas mauvais. Mes casques sont tous derrière, et les haut-parleur de mon écran sont probablement encore derrière.

Bref, si vous avez de la fatigue ou du mal à suivre en visio, changer votre système de son peut faire la différence.
Ça a été le cas chez moi.

Voilà, désolé si c’est un enfonçage de porte ouvertes pour vous, c’était une découverte chez moi.

27 mars 2026
Je ne travaillerai jamais ni avec vous ni avec votre employeur

Vous m’appelez sur mon numéro de téléphone personnel (*) pour me vendre vos services ?

➡️ Je ne travaillerai jamais ni avec vous ni avec votre employeur.

Collaborer avec une entreprise qui ne respecte pas la loi sur les données personnelles ni la vie privée des tiers serait un risque juridique pour mes employeurs. Je ne leur ferai pas prendre.

Cette erreur risque également d’arriver aux oreilles de votre employeur, car je ferai immédiatement une requête RGPD à votre entreprise pour comprendre l’origine de mon numéro de téléphone. Je ne manquerai pas d’y expliciter les conséquences de votre action.

Cela me crée un réel préjudice en raison du harcèlement que ça constitue avec le nombre. Je fais donc systématiquement aussi une plainte à la CNIL. Parfois ça peut mener à une enquête derrière. Vous préférez probablement éviter cette mauvaise publicité.

Zéro tolérance. Ce n’est plus tenable.

(*) Si vous ne savez pas si c’est un numéro personnel ou professionnel, alors ne l’utilisez pas. C’est aussi simple que ça.

Les bases de données de Kaspr, Lusha et autres brokers du même type sont pleines de données personnelles qui sont identifiées comme professionnelles. Vous ne pourrez pas prétendre agir de bonne foi.

Posté sur Linkedin. Je vous encourage à faire le votre. Peut-être que ça ne changera rien. Peut-être que ça peut créer un mouvement qui sera suivi. Ça ne coûte rien d’essayer.

12 mars 2026
PPC et voyage à vélo
TL;DR: Je cherche
- Soit une batterie avec entrée et sortie USB, qui a en plus une sortie ronde 5.5mm en 24V. Je n’ai pas trouvé mais ça existe probablement quelque part.
- Soit une batterie USB qui sait sortir du 24V (PD 3.1 avec AVS) _et_ un câble entrée USB-C sortie DC ronde 5.5mm dont la puce force la négociation sur 24V.
Techniquement la première option est possible mais ça doit être niche et je n’ai pas encore trouvé.

La seconde option est plus réaliste mais si j’ai trouvé des câbles qui font ça à différents voltages, je n’en ai pas trouvé qui font du 24V.

Toutes les propositions sont bienvenues.

Une machine PPC en voyage à vélo

Si vous vous intéressez au fond, je suis appareillé depuis juin avec une machine à pression positive continue pour l’apnée du sommeil. Je ne m’en passerai plus si j’ai le choix, et certainement pas plusieurs jours d’affilée.

Le défaut c’est que j’ai pris goût aux voyages à vélo et j’aimerais concilier les deux.

Je peux envisager d’amener la machine avec moi malgré le poids et l’encombrement, mais j’aimerais bien une autonomie d’un jour ou deux.

Mon idéal serait une machine qui s’alimente sur le Power-Delivery USB. Je pourrais emporter un unique chargeur pour tout, et profiter de la batterie USB à charge rapide que j’emmène de toutes façons.

Malheureusement ces machines tournent en 24V. Il existe des batteries dédiées mais elles chargent lentement et demandent d’ajouter un chargeur 24V.

Sortir du 24V sur de l’USB Power-Delivery

L’option de base c’est d’avoir un câble avec petit convertisseur 20V vers 24V. Ça me permet déjà de réutiliser batterie et chargeur USB mais la puissance perdue dans la conversion réduit significativement l’autonomie.

L’idée c’est donc de sortir nativement du 24V. Ce n’est pas si rare sur le haut de gamme avec l’USB Power Delivery (PD 3.1 en AVS).

Ce qui coince c’est la connectique. Je n’ai pas trouvé de batterie avec sortie DC 24V dédiée pour l’instant. J’ai peur que si je trouve, je fasse une croix sur l’auto-charge rapide qui est importante pour moi dans le scénario voyage à vélo.

Il existe des câbles avec une entrée USB-C, une sortie DC ronde 5.5mm et une puce pour négocier un voltage précis. Ce serait parfait mais si j’en trouve sur différents voltages jusqu’à 20V, je ne trouve rien en 24V alors que ce serait théoriquement possible.

La machine de voyage

En parallèle, je louche aussi sur la Resmed AirMini. Les statistiques d’une batterie dédiée à ces appareils me laissent penser que sa consommation est identique à celle de la AirSense 11 mais elle est aussi surtout plus petite et beaucoup plus légère. En itinérance ça compte aussi.

Le problème c’est que je me vois mal choisir ce modèle plus bruyant toute l’année uniquement pour me faciliter la vie une paire de semaines de voyage à vélo. Ça ne règle de toutes façons pas mon problème de 24V.

Les machines AirMini (en haut) et AirSense 11 (en bas) de Resmed
11 mars 2026
Voiture individuelle

Les conséquences du modèle de société basé sur la voiture individuelle sont majeures. On a besoin d’un changement et raisonner ne suffira pas.

La voiture est trop ancrée, trop nécessaire. C’est exactement ce qu’il se passe avec le tabac et l’alcool.

Pour moi une des réponses doit être la même : Restreindre la publicité.

On peut interdire la publicité. Ça n’empêche pas l’achat mais ça peut permettre d’éviter de créer un besoin artificiel. C’est ce qui est fait pour le tabac.

Si on ne l’interdit pas, on peut limiter cette publicité aux caractéristiques de la voiture. On retire les associations à la liberté, au plaisir, au interactions sociales. Il s’agit de changer la perception sociale, lentement. C’est ce qui est fait sur le tabac.

Tout ça ne demanderait qu’un peu de volonté.

9 mars 2026
NAS custom
Je dis custom, mais si vous avez quelque chose qui convient parfaitement sur le marché, ça m’intéresse.

Usage:
- Serveur de fichiers
  - Interface web à la NextCloud pour ponctuellement chercher un fichier dans les archives
  - Interface réseau local (AFP, SMB) pour ponctuellement déverser de gros volumes pour archivage, lire un film, ou chercher un ficher dans les archives
  - Synchronisation automatique type Nextcloud de certains répertoires avec les laptops mac de la maison ; avoir une synchronisation sélective est un indispensable
- Serveur de sauvegarde
  - Faire tourner des scripts type getmail qui vont synchroniser localement des boites emails en ligne de plusieurs (dizaines) de Go
  - Faire tourner des scripts type rclone qui vont synchroniser localement des stockages de photo ou de fichiers en ligne sur plusieurs centaines de Go
  - Sauvegarde automatique des photos qui viennent des téléphones.
  - Faire tourner des scripts pour synchroniser localement d’autres types de fichiers en ligne, par exemple des dépôts git.
  - Faire tourner des scripts et potentiellement des navigateurs headless pour aller se connecter à différents services en ligne et y rapatrier les données personnelles en local.
  - Faire tourner du Borg ou similaire pour sauvegarder plusieurs To sur des serveurs en ligne.
  - Optionnellement: Servir de stockage pour TimeMachine
- Serveur local
  - Serveur Vaultwarden pour les mots de passe
  - Serveur IMAP pour certaines boites emails d’archive
  - Serveur Webcal/Caldav
  - Streaming musique / mp3
  - Parcours des galleries et archives photos
  - Potentiellement dans le futur, servir de serveur domotique
Bruit: Je n’ai pas de pièce isolée ou faire tourner ça. Le silence au repos est donc un indispensable. Le fanless serait idéal, et sinon plutôt des gros ventilateurs qui tournent peu. Dans tous les cas, ça implique une consommation réduite au repos.

Performance: À l’opposé, quand je déverse plusieurs dizaines de Go ou que je passe sur la sauvegarde incrémentale de plusieurs To, j’aimerais de bonnes performances en lecture/écriture. Je veux éviter les CPU faméliques et chipset de carte mère sans vraie bande passante, quitte à payer plus cher.

Stockage: Aujourd’hui j’ai un SSD SATA 2.5″de 8 To mais ça ne tiendra pas sur le long terme. Vu que désormais les NVMe ne sont pas plus chers et bien plus rapides, j’imagine qu’à terme ça sera plusieurs NVMe plus potentiellement un gros disque mécanique 3.5″ pour ce qui prend énormément de place mais qui est de moindre importance.

Le setup idéal serait donc au moins 4 ports NVMe et 2 baies SATA 3.5″. La réalité c’est que si j’ai 2 ports NVMe et 1 baie SATA 2.5″ ou 3.5″, je peux m’imaginer faire en scénario minimum.
8 février 2026