Hello les ami.e.s,

Ce mois-ci, il fait froid, il fait parfois neige, souvent pluie, et surtout on accumule les incidents un poil challengeants. Cloudflare et Shai-Hulud nous ont rappelé la fragilité de nos systèmes : de nos infrastructures, comme l’explique Matthew Prince, CEO de Cloudflare dans leur postmortem, puisque leur outage n’est pas dû à une attaque DDoS comme ils le pensaient initialement…. De nos écosystèmes de partage, puisque Shai-Hulud a réussi à compromettre des milliers de dépôts javascript en attaquant NPM. Ce bon vieux packages manager fonctionne davantage sur la confiance que sur la vérification, laissant ainsi des portes bien trop grandes ouvertes. La même confiance qui nous fait télécharger/forker/utiliser un repo plutôt qu’un autre sur Github parce que très starré ? Un piège, nous explique Eugene Rojavski. Bref, la sécurité, c’est le nerfs de la guerre, car comme le rappelle Blake Ross, “certaines personnes veulent juste voir ce monde brûler”. Alors, let’s read about security !

Et si on vous a transféré cet email, n’oubliez pas de vous abonner 💜.

👀 Les 4 articles à lire ce mois-ci

Qu’est-ce qui s’est passé le 18 novembre 2025 chez Cloudflare ?
Pourquoi se baser sur le nombre de stars d’un repo Github, c’est pas foufou ?
Mr. Fart’s Favorite Colors: why your phone’s security is unlike any other ?
L’écosystème Javascript (encore) mis à l’épreuve

👑 Une meuf de la tech à connaitre

✨Chelsea Manning✨

En parlant de sécurité, comment ne pas parler de Chelsea Manning ? Lanceuse d’alerte américaine et analyste du renseignement dans l’armée états-unienne, elle est connue pour avoir transmis à WikiLeaks une vaste collection de documents confidentiels et la vidéo devenue emblématique Collateral Murders.
Elle sera jugée et emprisonnée deux fois : pour la fuite des renseignements d’abord, jusqu’en 2017, puis pour avoir refusé de témoigner contre WikiLeaks, en 2019.
Manning a forcé un débat mondial sur la sécurité, la transparence et l’éthique. Aujourd’hui, elle travaille dans la cybersécurité et l’IA et conseille des activistes, des associations et des journalistes sur les questions de sécurité informatique.
Dans une conférence passionnante donnée début novembre, elle partage son parcours, défini majoritairement selon elle “not by what I learned, but by what I had the courage to unlearn”.

🏄🏼‍♀️ TMIL (this month I (un)learned)

Celle-ci elle est pour mes amoureux de Javascript. Ce mois-ci, j’ai appris qu’on pouvait mettre un finally après un bloc try-catch. En théorie, un finally s’exécute toujours, quoiqu’il arrive. Et par quoiqu’il arrive, j’entends, même s’il y a un return avant 🤯
Donc ça:

function test() {
  try {
    console.log("try")
    return 1
  } 
  catch(e) {
    console.log(e)
  }
  finally {
    return 2
  }
}

Ca output: try, 2.

Pas de 1. On rentre bien dans le try, ceci-dit, puisque le console.log est joué. La valeur de return 1, elle, est juste préparée, mais est écrasée par le return du finally.
Mais si ton finally ne return rien, ne thrown rien, bref n’altère pas ton flux, le try est bien return jusqu’au bout ! Essaye de remplacer le return 2 du finally par un console.log(‘finally’).
Output: try, finally, 1.

🍰 Et un peu de rab…

An OSINT deep dive into Luigi Mangione - Après pourquoi les IA ne savent pas calculer, pourquoi ne savent-elles pas donner l’heure ? - Javascript puzzle - Ce mois-ci, c’était aussi la réu du TC39 - Toujours moins de privacy

C’était la dernière newsletter de 2025… On se retrouve l’année prochaine ✨❄️