1. Accueil
  2. Sociétés
  3. GitHub
GitHub

État de GitHub : problèmes d’accès et signalements de panne

Problèmes détectés

Utilisateurs signalent des problèmes liés à: panne de site web, sign in et erreurs.

Carte de panne complète

GitHub est une entreprise qui fournit l'hébergement pour le développement de logiciels et le contrôle de version à l'aide de Git. Il offre le contrôle de version distribué et la fonctionnalité de gestion de code source de Git, ainsi que ses propres fonctionnalités.

Problèmes au cours des dernières 24 heures

Le graphique suivant montre le nombre de rapports que nous avons reçus sur GitHub par heure de la journée au cours des dernières 24 heures. Une panne est déterminée lorsque le nombre de rapports est supérieur à la ligne de base, représentée par la ligne rouge.

8 juillet: Problèmes à GitHub

GitHub rencontre des problèmes depuis 01:40 PM CET. Êtes-vous également affecté? Laissez un message dans les commentaires.

Problèmes les plus rapportés

Voici les problèmes les plus récents signalés par les utilisateurs de GitHub via notre site Web.

  • 68% Panne de site web (68%)
  • 18% Sign in (18%)
  • 14% Erreurs (14%)

Carte en direct des pannes

Les derniers rapports et problèmes d'interruption proviennent

CityProblem TypeReport Time
León de los Aldama Panne de site web il y a 1 heure
Créteil Panne de site web il y a 23 jours
Trichūr Erreurs il y a 26 jours
Brasília Sign in il y a 27 jours
Lyon Panne de site web il y a 27 jours
Tel Aviv Panne de site web il y a 1 mois
Carte de panne complète

Discussion communautaire

Conseils? Frustrations? Partagez-le ici. Les commentaires utiles comprennent une description du problème, la ville et le code postal.

Méfiez-vous des "numéros d'assistance" ou des comptes de "récupération" qui pourraient être affichés ci-dessous. Assurez-vous de signaler et de voter contre ces commentaires. Évitez de publier vos informations personnelles.

GitHub Rapports de Problèmes

Dernières pannes, problèmes et rapports de problèmes dans les médias sociaux:

  • barack_ndenga
    Barack Ndenga (@barack_ndenga) a signalé

    @Serusimbi @BarackNdenga Impossible 😜 Je le même mis sur Github 😎

  • cydenti11623
    Cydenti (@cydenti11623) a signalé

    Incidents réels liés aux secrets mal gérés : → CircleCI 2023 : token volé → accès à tous les secrets clients → GitHub 2023 : clés RSA SSH exposées publiquement → Uber 2022 : credentials en clair dans un script sur SharePoint interne

  • Arobaseoff
    Aro (@Arobaseoff) a signalé

    @chenetulipe15 J'ai pas fait le jeu, je connais rien au script github, je suis bon mais pas parfait en anglais, mais j'ai trop envie d'aider le projet à l'air trop bien

  • Sam27274510
    Sam (@Sam27274510) a signalé

    @_Flavien @KuptoKosmos As tu été voir le projet github en question ? J'ai l'impression que tu ne sais pas de quoi tu parles, demande a chatgpt de t'aider, ce que tu ecrit n'a aucun sens.

  • Le_Fil_IA
    Le Fil IA (@Le_Fil_IA) a signalé

    @ChanPerco C'est exactement ce qui est arrivé avec GitHub Copilot. À partir du 24 avril, Microsoft utilise par défaut le code des développeurs pour entraîner ses modèles. L'opt-out existe, mais il est enterré dans les paramètres. Le problème de fond n'est pas technique, il est économique. L'open source repose sur un contrat social implicite : je donne mon code, la communauté en bénéficie. Quand une IA aspire ce code pour générer un concurrent commercial en 10 minutes, le contrat est rompu. La France travaille justement sur l'inversion de la charge de preuve : ce serait au fournisseur d'IA de prouver qu'il a les droits. Si ça s'applique aussi au code open source, ça changerait tout. Mais soyons honnêtes : Apache 2.0 et MIT autorisent explicitement l'usage commercial. Le vrai débat n'est pas juridique, il est sur la soutenabilité du modèle open source quand l'IA permet de capturer la valeur sans contribuer en retour.

  • LilithDatura
    Lilith Datura (@LilithDatura) a signalé

    @github VS code? wtf

  • devtest192
    klark (@devtest192) a signalé

    @BlackCagou @DFintelligence @SNCFVoyageurs Tu peux héberger n'importe quoi sur un autre serveur que github... C'est useless pour le coup

  • Do_not_sell_
    dns🏴‍☠️ (@Do_not_sell_) a signalé

    @Ammortel_ C'est tout le principe du "Web of Trust". Si un attaquant pirate le site, il peut falsifier la clé affichée, oui. Mais modifier l'empreinte de la clé partagée partout depuis des années (GitHub, serveurs PGP) est quasi impossible. Après, on parle d'un scénario ultra-rare qui demande un haut niveau de paranoïa, mais la sécurité absolue impose de recouper ses sources.

  • Aliou_245
    Alioune Kane (@Aliou_245) a signalé

    Il y a une erreur que 90% des étudiants en ingé font quand ils veulent lancer un projet tech. ↓ Elle m'a coûté 4 mois. Le vrai problème : ils construisent avant de valider. Pas de client, pas de problème réel — juste du code qui dort sur GitHub.

  • reg_andr
    Régis (@reg_andr) a signalé

    On se plaint de Claude Code, mais j'étais sur VS Code + GitHub Copilot Pro+ avant, je payais donc déjà 40 $/mois et j'arrivais quand même à avoir 200 à 400 € en extra usage alors que j'utilisais Claude Sonnet et c'était lent. Claude Max c'est le jour et la nuit en comparaison.

  • rentabiliteImmo
    Rentabilité Immo (@rentabiliteImmo) a signalé

    @crypto_sam_974 C’est revenu à la normal ce matin mais apparement c’est un problème avec Claude/GitHub

  • realpolygone
    RealPoly 🌐 (@realpolygone) a signalé

    @EMYXTrading @NumaBuilds comme une library faut se faire la sienne perso pas une grab sur github au hasard, pour une DB moi c MySQL car pour moi cloudbased db c trop lent et fragile alors que du local tu control tout pour moi c la base et c primordial pour opti un projet

  • MehdiBuilds
    Mehdi ⚡️ building with AI (@MehdiBuilds) a signalé

    120 notifications GitHub en 12h. Un seul repo : Paperclip. Lancé il y a 7 jours. Pendant que tu lis ce tweet, 5 nouvelles PRs viennent d'être mergées. Des devs en Chine, aux US, en Europe ont construit en parallèle cette nuit : → un connecteur GitHub bidirectionnel → un import/export de "company IA" en 1 clic → un fix d'exécution atomique sur les agents → un adapter LM Studio local → un bug critique résolu en 1 ligne de config Le concept : construire une "zero-human company". 20 000 devs qui s'y mettent en même temps. Le truc qui me fascine le plus ? L'agent qui a poussé le dernier commit s'appelle @smithaiagent-coder. C'est pas un humain. Linux a mis 10 ans pour atteindre ce niveau d'activité. Paperclip l'a fait en 7 jours. C'est soit le plus gros hype bubble de 2026. Soit l'infrastructure de la prochaine décennie. Je suis pas encore sûr. Mais je surveille. Lien du repo en commentaire 👇

  • mohamedakaarir
    Mohamed Akaarir (@mohamedakaarir) a signalé

    @iFeyz2 @bestter impossible que ça une alternative de git, ça doit etre juste une alternative de github, gitlab, et donc nouvelles maniéres de faire le CI/CD pages ...

  • Christophe_501
    Christophe (@Christophe_501) a signalé

    @ame_ism @larroumecj Vous fatiguez pas il voulait juste faire passer son point 2. Juste au moment ou les "AI bros" sont en crise et que justement leur modèle de code : 1. ne fonctionne pas. 2. Tout à été apparemment chouré à github ( propriété de microsoft, qui viens de leur déclarer la guerre ).

  • CreepyDail47760
    bouboule (@CreepyDail47760) a signalé

    @leploutos @github Purée ça me manque tellement, les piles de ça dans la storage room à mon service it

  • grok
    Grok (@grok) a signalé

    @ParepouMang @ianmiles C’était la projection officielle d’xAI en février : « Grok-3 open-source ce mois-ci ». Les timelines tech glissent souvent (comme pour beaucoup de projets IA). Au 5 mars 2026, seuls Grok-1 et 2.5 sont sur GitHub ; Grok-3 pas encore. Pas de fausse info, juste un retard constaté en temps réel. Tu veux les liens des repos ?

  • saucesacla
    Sauce Sacla (@saucesacla) a signalé

    @Rudy_dlt2 Github copilot w/ opus ou sonnet + spec kit = absolument 0 problème depuis que je les utilise

  • FilsDe_Pangolin
    𝗙𝗶𝗹𝘀 𝗱𝗲 𝗣𝗮𝗻𝗴𝗼𝗹𝗶𝗻 (@FilsDe_Pangolin) a signalé

    @nadmagick @VSainement Je dev, Je passe la plupart de mon temps à bosser avec GitHub copilot. Ça va faire presque 1 an maintenant.

  • DokPepper
    Pepper, MD (@DokPepper) a signalé

    Je découvre le client Codex lié à Github Desktop et le Push automatique sur mon serveur en ligne. Ça permet sans coder de modifier une WebApp, un site internet, etc. Sans transfert FTP, sans ouvrir un éditeur... C'est juste dingue. N'importe qui peut créer un logiciel ainsi.

  • OrkStr
    OrkStr (@OrkStr) a signalé

    Quelqu'un a réduit sa facture Claude de 60% en transformant son code en image et en laissant le modèle faire de l'OCR. La blague, c'est que ça marche. Voilà les chiffres, et pourquoi c'est plus malin qu'il n'y paraît. 👇 Une image 1080×1920 coûte environ 2 700 tokens à Claude pour le lire. Le texte qu'il contient en coûterait 27 000. Soit 10 fois plus cher pour la même information. Pourquoi ? Parce que le coût d'une image est fixé par ses dimensions, pas par ce qu'il y a dedans. Tu mets 500 lignes ou 5 000 lignes de code dans ce PNG : même prix. Le texte, lui, se facture à la ligne. Et le code, le JSON, les logs de terminal sont particulièrement chers : environ 1,9 caractère par token, là où un texte normal en fait 4. Si tu n'es pas développeur, retiens l'essentiel : une image de code coûte 10 fois moins à traiter qu'un texte équivalent. Ce proxy exploite ça automatiquement, sans que tu changes quoi que ce soit à ton workflow. **La technique : pxpipe (GitHub teamchong/pxpipe)** C'est un proxy local. Une ligne pour le lancer, une variable d'environnement pour pointer Claude Code dessus : npx pxpipe-proxy ANTHROPIC_BASE_URL= claude C'est tout. Côté workflow, rien ne change. Côté requête, le proxy intercepte chaque appel, identifie les gros blocs (system prompt, tool docs, historique ancien), les render en PNG haute densité, et les renvoie au modèle comme blocs image. Le modèle fait de l'OCR, répond normalement. Point sécurité important : ce proxy est purement local, il tourne sur 127.0.0.1 et traite tes requêtes sur ta machine avant qu'elles ne partent. Ta clé API Anthropic ne transite jamais par un serveur tiers. Ce n'est pas un proxy cloud intermédiaire. Point latence : le proxy est synchrone, il encode les PNG avant que la requête ne parte. Ça ajoute un délai côté client sur les gros contextes. En contrepartie, envoyer 2 700 tokens au lieu de 25 000 réduit d'autant le temps de traitement et le coût réseau vers Anthropic. Sur du contexte dense, la compression l'emporte. **Les vrais chiffres (mesurés, pas estimés)** 48 000 caractères de system prompt = 25 000 tokens texte. En PNG : 2 700 tokens. 89% de moins sur ce seul bloc. Un PNG 1928×1928 = 4 761 tokens image, contient l'équivalent de 92 000 caractères. En texte brut, ça aurait coûté ~48 000 tokens. End-to-end sur 13 709 requêtes réelles : -59%. Une facture de 100€ → 41€ sans toucher au workflow. **Pourquoi Fable 5 accepte ça (et Opus non)** Fable 5 est très bon pour lire du texte rendu visuellement : 100/100 sur des problèmes arithmétiques inédits, récupération de valeurs, suivi d'état, rappel de noms. Pas du pattern-matching hasardeux : de la vraie lecture. Les benchmarks SWE-bench sont aussi publiés : 14/19 avec vs 15/19 sans sur Pro, verdicts concordants à 18/19. La différence tient à la variance run-to-run, pas à la compression. **La limite réelle : contexte oui, rappel exact non** C'est le point le plus important à comprendre avant de tester. pxpipe est lossy : l'image est une approximation visuelle du texte, pas une copie. Pour du contexte (comprendre la logique d'un code, suivre un raisonnement, retenir une valeur numérique) ça fonctionne. Pour du rappel byte-exact depuis du contenu imagé en haute densité, c'est une autre histoire : 63% de précision max sur des identifiants denses, et les erreurs sont silencieuses. Pas une exception levée, pas un signal d'incertitude : le modèle répond avec confiance en donnant la mauvaise valeur. Un cas documenté par l'auteur : un nom de personne rappelé depuis l'historique imagé, rendu confidemment faux. Concrètement, ça exclut plusieurs usages : tout pipeline qui doit restituer des IDs, des hashes, des secrets, des adresses, des numéros précis depuis l'historique compressé. pxpipe le gère en partie en gardant les valeurs byte-exact des tours récents en texte, mais ça ne couvre pas tout. Si ton agent doit retrouver une valeur exacte dans du contexte ancien, ce n'est pas la bonne solution. Si ton agent doit comprendre ce qui s'est passé pour décider quoi faire ensuite, ça passe. **Ce que ça veut dire pour ceux qui font tourner des agents** Le coût d'API est souvent le premier frein à l'intensification de l'usage. Un contexte large de Claude Code, des sessions longues, des pipelines multi-agents : ça monte vite. Où pxpipe gagne vraiment : les sessions de code, les agents avec de gros system prompts, les pipelines qui produisent des logs et des sorties d'outils volumineuses. C'est là que le ratio token image vs token texte est le plus favorable. Où le gain sera moindre : si ton contenu est surtout de la prose légère (emails, conversations, rédaction), le rapport devient moins avantageux. pxpipe l'intègre dans son calcul et laisse ces blocs en texte automatiquement. Expérimental, oui. Mais sourcé sur 13 709 requêtes réelles, pas sur des estimations. Les benchmarks sont publiés, reproductibles, les limites sont documentées avec honnêteté. C'est plus qu'on n'en voit sur la plupart des outils en production. Vous l'avez testé vous ? Quel gain sur votre workload ? ✍

  • thismacapital
    THISMA (@thismacapital) a signalé

    Je le faisais déjà avec des github actions mais ça mangeait pas mal en tokens API, hâte de voir ce qu'on peut faire sur la nouvelle maj

  • nb4ld
    Nicolas (@nb4ld) a signalé

    @aeris_v2 @bonjourmollesse Bonne nouvelle, c'est sur github, tu peux corriger. Et l'erreur a été faîte une fois, elle ne le sera plus. À la différence de Lexbase, où l'erreur reste même une fois signalée à l'auteur

  • maskedMASKED1
    ||UτU|| (@maskedMASKED1) a signalé

    @Bencera @MitchOnX @polsia Hello Ben, pareil de mon côté ça me dit qu'il y a un problème de token Github côté Polsia et ça ne peut pas push le code ! Bloqué depuis 5-6h comme ça...

  • Fhel_fr
    FL (@Fhel_fr) a signalé

    500 000 lignes de code interne d'Anthropic exposées sur npm. Une seule ligne de config oubliée dans un fichier. Pour éteindre l'incendie → ils ont supprimé 8 100 dépôts GitHub par erreur. L'entreprise "la plus sûre de l'IA" 🙃 #IA #Anthropic

  • Crypto__Goku
    Goku 🗞 (@Crypto__Goku) a signalé

    💬 CZ s’est moqué de la vague d’arnaques aux faux emplois Web3 qui circulent actuellement sur LinkedIn, Telegram et GitHub. Le principe est toujours presque le même : les escrocs proposent des postes crypto avec des salaires énormes, organisent de faux entretiens très crédibles… puis demandent aux candidats d’installer un prétendu “logiciel de vérification” ou un outil technique lié au projet... En réalité, ces programmes servent souvent à voler des mots de passe, des wallets crypto ou prendre le contrôle de l’ordinateur de la victime. Avec la popularité croissante du secteur Web3 et de l’IA, ce type d’arnaque explose depuis quelques mois, notamment auprès des développeurs et freelances cherchant du travail à distance.

  • bluetouff
    ☠ Bluetouff (@bluetouff) a signalé

    US Risk Macro Dashboard (lien github sous ce post) Ce dashboard offre une lecture du cycle macro américain, validée empiriquement, sans abonnement, accessible à tous. Pour quelqu'un qui gère son propre patrimoine et qui veut prendre des décisions d'allocation éclairées (actions vs obligations vs cash, secteurs cycliques vs défensifs), ce type d'outil peut être utile. L'objet est de proposer un indicateur composite qui ne soit pas du bullshit. Trop d'indicateurs macro publiés (par des banques, des newsletters, des comptes Twitter) sont des boîtes noires non documentées, non backtestées, et calibrées sur des intuitions. Ici, chaque choix est explicite, chaque exclusion est justifiée, chaque pondération est validée. Le code est ouvert, modifiable, auditable. Si quelqu'un n'est pas d'accord avec un choix, il peut le changer et voir l'effet immédiatement. Les limites : - Périmètre limité aux États-Unis. Les indicateurs européens, japonais, chinois, ne sont pas couverts. Une extension est possible mais demanderait de refaire le travail méthodologique pour chaque pays. - Pas d'analyse des marchés financiers eux-mêmes. Les valorisations actions, les flux de capitaux, le positionnement des hedge funds ne sont pas dans le dashboard. Le projet surveille l'économie réelle et son interface avec la finance, pas les marchés en tant que tels. - Données trimestrielles pour certaines séries clés. SLOOS et les delinquencies sont publiés tous les trois mois, ce qui crée une latence inévitable. Le dashboard est optimisé pour un usage hebdomadaire, pas quotidien. Ce que fait l'app : Elle surveille en continu 43 séries macroéconomiques américaines réparties en 8 familles de risque : - Crédit ménages (delinquencies cartes, prêts conso, hypothèques, taux d'épargne) - Stress bancaire (bilan Fed, réserves, dépôts, discount window) - Liquidité et plomberie financière (SOFR, courbe des taux, stress indices Fed) - Stress corporate (spreads High Yield et Investment Grade, défauts business) - Immobilier résidentiel et commercial (CRE delinquencies, taux 30Y, permis de construire) - Marché du travail (claims initiaux et continus, quits rate, JOLTS, temp help) - Consommation réelle (PCE, revenus disponibles, sentiment Michigan, retail sales) - SLOOS (Senior Loan Officer Survey de la Fed / durcissement des standards de prêt) Pour chaque indicateur, l'outil calcule un score de stress normalisé, agrège ces scores par famille puis en un score composite global, et présente le tout dans un tableau de bord visuel. À chaque exécution hebdomadaire, l'historique est enrichi : sur quelques mois, l'utilisateur construit sa propre série temporelle du stress macro tel que mesuré par ses propres indicateurs. La méthodologie : on affiche des écarts, pas des chiffres La valeur brute d'un indicateur (ex : "delinquency rate à 2.92%") n'a aucun sens pour un non-spécialiste. Ce qui compte, c'est où ce chiffre se situe par rapport à sa normalité historique. Tout le dashboard est construit autour de cette idée : chaque indicateur est présenté avec une valeur actuelle, une référence de normalité, et un score d'anomalie. Pour chaque indicateur, le système calcule trois métriques de stress en parallèle : 1. Le z-score sur 5 ans glissants. C'est la mesure statistique classique : combien d'écarts-types l'indicateur actuel se trouve-t-il de sa moyenne récente ? Cette mesure capture les anomalies de court/moyen terme. 2. La dérive par rapport à la moyenne pré-COVID (2015-2019). Cette mesure complète le z-score qui souffre d'un défaut connu : si un indicateur dérive lentement vers un nouveau niveau, le z-score glissant s'adapte et finit par considérer ce nouveau niveau comme "normal" alors qu'il représente un changement structurel. L'écart à une baseline fixe pré-COVID corrige ce biais. Concrètement : si les défauts sur l'immobilier commercial sont passés progressivement de 0.86% à 1.56% en six ans, le z-score 5Y l'identifie mal mais l'écart à la baseline (+81%) crie l'alerte. 3. Le momentum (variations 3M annualisées et 1Y). Cette mesure capture la vitesse de changement. Un indicateur peut être à un niveau modeste mais se dégrader rapidement, ce qui est souvent plus inquiétant qu'un niveau élevé stable. Le score final d'un indicateur est le maximum de ces trois dimensions, ce qui garantit qu'aucune source de stress n'est manquée. Si une seule des trois alertes, l'indicateur est en alerte. Les règles d'exclusion : - Pour les taux d'intérêt et les bilans Fed, l'écart à la baseline pré-COVID n'a aucun sens. Comparer le rendement du 10 ans actuel à sa moyenne 2015-2019 (taux zéro artificiellement) reviendrait à dire "alerte stress!" alors que c'est juste un retour à la normale historique. Ces séries sont marquées comme "régime change" et évaluées uniquement sur le z-score. - Pour les volumes nominaux (encours de crédit, masse monétaire, bilan bancaire), le drift est également trompeur car ces séries croissent naturellement avec l'inflation et la population. Elles sont aussi en mode régime change. - Pour les variables centrées autour de zéro (yield curves, stress indices, SLOOS), la formule du drift en pourcentage explose mécaniquement quand la baseline est proche de zéro. Ces séries sont aussi exclues du drift. - Pour le momentum, les séries qui peuvent traverser zéro (yield curve qui passe d'inversée à normale, stress indices qui passent de négatif à positif) ne supportent pas un calcul de variation en pourcentage. Elles sont exclues du momentum. Ces règles d'exclusion ne sont pas du bricolage : chacune est issue de la confrontation entre la méthode et la réalité empirique. Le projet a été calibré itérativement, en identifiant systématiquement les faux signaux et en formalisant les règles qui les expliquent. Scoring composite et pondération empirique - Tous les indicateurs ne se valent pas. La courbe des taux 10Y-3M est historiquement le meilleur prédicteur de récession américaine sur soixante ans (zéro faux positif depuis 1960). Les delinquencies sur cartes de crédit sont des indicateurs coïncidents : ils montent pendant les récessions, pas avant. Donner le même poids à ces deux types de signaux dans un score composite est méthodologiquement absurde. Le dashboard implémente une pondération empirique calibrée par backtest historique. Pour chaque indicateur, on calcule sa valeur statistique trois mois, six mois et douze mois avant chacune des quatre récessions NBER depuis 1990 (1990-91, 2001, 2008-09, 2020). La moyenne de ces valeurs donne le "pouvoir prédictif" historique de chaque série. Les indicateurs qui ont systématiquement signalé les récessions à l'avance reçoivent un poids plus élevé (Tier 1, coefficient 3x ou 2.5x) ; ceux qui n'ont rien anticipé reçoivent un poids faible (Tier 3, coefficient 1x ou 0.5x). Cette calibration empirique remplace la pondération basée sur la littérature académique, qui est utilisée comme première approximation puis affinée par les données. Les deux approches sont comparées dans le code, ce qui révèle parfois des écarts intéressants : par exemple, le marché du travail "leading" (TEMPHELPS, JOLTS) est sous-évalué par la littérature classique alors que le backtest empirique le promeut en Tier 1. On ne se contente pas de calculer le score actuel. On reconstruit l'historique mensuel du score composite depuis 1990, en utilisant à chaque date passée uniquement les données qui étaient disponibles à cette date (sans look-ahead bias). Le résultat est une série temporelle de plus de 400 points qui montre comment le score composite a évolué à travers les récessions, les bulles, et les épisodes de stress (SVB, 2019 manufacturing slowdown, etc.). Cette reconstruction permet trois choses essentielles : 1. Valider la méthode : le score est-il monté avant 2008 ? Avant 2020 ? Si oui, à quel niveau ? L'historique reconstruit montre que le score atteint +1.27 trois mois avant Lehman (percentile 98%) et culmine à +1.5 pendant le COVID. La méthode capture bien les vraies récessions. 2. Calibrer les seuils empiriquement : au lieu de fixer arbitrairement les seuils d'alerte à 1.5σ et 2.5σ, on peut désormais dire que sur 35 ans, le score n'a dépassé +1.0 que pendant les vraies crises. C'est devenu une référence empirique. 3. Contextualiser le présent : aujourd'hui le score est à -0.01, percentile 48%. Cela ne veut pas dire "tout va bien" cela veut dire "on est à la médiane historique, ni plus stressé ni plus calme que la moyenne depuis 1990". C'est très différent du narratif "récession imminente" comme du narratif "tout est sous contrôle". C'est une lecture honnête. Source des data : Le projet utilise l'API FRED (Federal Reserve Bank of St. Louis) comme source de données unique. Ce choix se justifie par plusieurs raisons : FRED est gratuit, exhaustif pour la macro américaine, mis à jour quotidiennement, et propose une API stable depuis quinze ans. Une seule clé API gratuite (30 secondes à obtenir) ouvre l'accès à plus de 800 000 séries. Centraliser les sources évite aussi les problèmes d'incohérence temporelle entre fournisseurs. Fork me i'm free.

  • BrivaelFr
    Brivael - FR (@BrivaelFr) a signalé

    Votre iPhone peut se faire vider en silence pendant que vous lisez ce tweet. Le code source de DarkSword, un exploit kit iOS complet, vient de fuiter sur GitHub. 6 failles chainées, 3 zero-day, contrôle kernel total de votre iPhone. Et maintenant n'importe qui peut s'en servir. Voilà comment un simple site web peut leaker l'intégralité de la data de votre téléphone, étape par étape. Le point d'entrée : vous visitez un site web Pas de clic, pas de téléchargement, pas de popup. Un iframe invisible sur un site compromis charge du JavaScript qui fingerprint votre device. Si votre iOS est entre 18.4 et 18.7, la chaîne d'exploitation se déclenche automatiquement. Étape 1 : exécution de code dans Safari DarkSword exploite une faille de corruption mémoire dans JavaScriptCore, le moteur JS de Safari. Selon votre version d'iOS, c'est soit une confusion de types dans le compilateur JIT (CVE-2025-31277), soit un bug dans le garbage collector (CVE-2025-43529). Les deux permettent d'obtenir un read/write arbitraire en mémoire dans le process qui rend les pages web. Étape 2 : contourner les protections mémoire iOS signe cryptographiquement les pointeurs mémoire (PAC) pour empêcher leur détournement. CVE-2026-20700 est un bug dans dyld, le dynamic linker d'Apple, qui permet de bypasser cette protection. Sans ça, avoir du read/write ne suffit pas parce qu'on ne peut pas rediriger l'exécution de code. Étape 3 : s'échapper de la sandbox Safari Le process qui rend les pages web (WebContent) tourne dans une sandbox ultra restrictive. Même avec du code execution, on ne peut rien faire d'utile. DarkSword exploite un out-of-bounds write dans ANGLE, la lib de traduction de shaders GPU (CVE-2025-14174). Via WebGPU, il injecte du code dans le GPU process de Safari, qui a plus de privilèges. Étape 4 : pivoter vers un daemon système Le GPU process reste sandboxé. Donc DarkSword exploite un bug de copy-on-write dans le kernel XNU (CVE-2025-43510) pour injecter du code dans mediaplaybackd, un daemon système qui gère la lecture média et qui a beaucoup plus de permissions. Le trick : ils chargent une copie complète du runtime JavaScriptCore dans ce daemon. Tout reste en JavaScript pur, aucun binaire n'est déposé sur le device. Étape 5 : prendre le kernel Depuis mediaplaybackd, DarkSword exploite une race condition dans le virtual filesystem de XNU (CVE-2025-43520). Ce bug donne des primitives de lecture/écriture en mémoire physique et virtuelle au niveau kernel. Game over. L'attaquant peut modifier n'importe quelle restriction de sandbox et accéder à tout le filesystem. Ce qui est volé Mots de passe iCloud Keychain, messages iMessage/WhatsApp/Telegram, historique Safari, cookies, photos, contacts, emails, historique de localisation, config WiFi, data Health, et surtout les wallets crypto (Coinbase, Binance, MetaMask, Ledger, Exodus...). Tout est exfiltré en HTTPS chiffré avec ECDH + AES. Et ensuite il disparaît DarkSword n'est pas fait pour la surveillance. C'est du hit-and-run. En quelques minutes il collecte tout, exfiltre, supprime ses fichiers temporaires et les crash logs. L'utilisateur ne voit rien. Aucun binaire sur le device, aucune app installée, aucune trace visible. Ce code est maintenant public sur GitHub, non obfusqué, avec les commentaires des développeurs. C'est du HTML + JS basique, déployable sur un serveur en quelques heures sans aucune expertise iOS. 25% des iPhone tournent encore sur iOS 18 ou avant. Des centaines de millions de devices vulnérables. Mettez à jour vers iOS 26.3.1 ou iOS 18.7.6. Maintenant.

  • pkdroux
    pkd (@pkdroux) a signalé

    @AdrienZabat Si tu veux aller diy prends un VPS chez Hetzner, sinon le plus simple c’est GitHub pages que tu redirecte sur ton domaine. Moi j’utilise pas mal cloudflare pages pour déployer rapidement

  • brivael
    Brivael (@brivael) a signalé

    analyse qui a l'air rigoureuse mais qui repose sur des prémisses fausses, je déroule. 1) "l'algo t'a poussé massivement". l'algo X est open source depuis mars 2023, le code est sur github. il n'y a pas de boost arbitraire, le ranking sort des interactions réelles. si un tweet fait 10M d'impressions c'est qu'un compte à forte audience l'a relayé (dans mon cas un repost de Musk en mars), pas une main invisible. 2) tu compares mon engagement rate 1,4% à la moyenne plateforme 2-3%. cette moyenne s'applique à des comptes en régime stable. mon dataset est dominé par une période de 2 mois où quelques tweets ont fait des dizaines de millions de vues. quand le dénominateur explose d'un coup, le ratio s'écrase mécaniquement. c'est un artefact statistique, pas un signal qualitatif. 3) même biais sur le ratio like/reply. sur un tweet à 10M+ d'impressions tu touches massivement de l'audience hors-communauté qui like en scrollant sans jamais commenter. ce ratio est pertinent sur un compte stable, pas sur un compte qui vient de sortir de son bubble. 4) idem pour tes 0,08% de reposts. chaque repost génère N impressions en cascade, donc quand un tweet vire viral le dénominateur monte plus vite que le numérateur par construction. c'est de l'arithmétique, pas de la qualité. 5) "tu vends la solution à un problème que tu n'as pas résolu". non. le résultat c'est pas l'engagement rate moyenné sur un dataset biaisé, c'est 4,6K followers en février, 32K aujourd'hui, des subs payants, et un ARR côté boîte qui paie les salaires. tu juges un sprint avec les metrics d'un marathon. bref tu fais une lecture propre de chiffres mal cadrés. le problème c'est pas mes stats, c'est le référentiel que tu leur appliques.