iOS et notifications persistantes & Firefox, Tor et fingerprinting - Actualités Hacker News (23 avr. 2026)
iOS corrige un bug Signal, Firefox/Tor touchés par un fingerprinting, SS7 toujours abusé, et un plaidoyer pour un cloud moins verrouillé. Écoutez.
Our Sponsors
Today's Hacker News Topics
-
iOS et notifications persistantes
— Apple a corrigé un bug iOS où le texte de notifications pouvait rester en cache et être récupéré ensuite, y compris pour des messages Signal supposés supprimés. Mots-clés : iOS, Signal, notifications, forensic, confidentialité. -
Firefox, Tor et fingerprinting
— Une vulnérabilité Firefox (CVE-2026-6770) permettait de dériver un identifiant stable via l’ordre renvoyé par indexedDB.databases(), avec un impact jusque dans Tor Browser. Mots-clés : Firefox, Tor Browser, IndexedDB, fingerprinting, suivi inter-sites. -
Surveillance via réseaux télécoms
— Citizen Lab décrit des campagnes de géolocalisation clandestines exploitant SS7 et parfois Diameter, via de faux opérateurs et des points de transit télécom. Mots-clés : SS7, Diameter, Citizen Lab, géolocalisation, surveillance. -
Cloud: primitives à repenser
— David Crawshaw critique la “forme” actuelle du cloud : VM rigides, stockage et réseau coûteux, et une portabilité illusoire malgré Kubernetes. Mots-clés : cloud, hyperscalers, coûts, egress fees, lock-in. -
SQLite avec pub/sub intégré
— Honker propose des mécanismes type NOTIFY/LISTEN pour SQLite afin d’avoir pub/sub et files de jobs durables dans la même base, sans broker externe. Mots-clés : SQLite, extension, pub/sub, work queue, transactions. -
Zig, compilateurs et apprentissage
— Un développeur documente la création d’un compilateur C en Zig, sous forme de journal de progression, illustrant la montée en puissance de Zig pour les outils bas niveau. Mots-clés : Zig, compilateur C, apprentissage, toolchain, développement. -
Réparer plutôt que remplacer
— Ursa Ag attire des agriculteurs avec des tracteurs volontairement “déconnectés”, basés sur des moteurs diesel anciens remanufacturés, pour favoriser la réparabilité et l’indépendance. Mots-clés : right-to-repair, agriculture, tracteurs, réparabilité, électronique.
Sources & Hacker News References
- → David Crawshaw Launches exe.dev to Rebuild Cloud Computing Primitives
- → Ursa Ag Bets on Electronics-Free Tractors to Win Over Repair-Weary Farmers
- → Honker Adds Postgres-Style NOTIFY/LISTEN, Queues, and Streams to SQLite via WAL-Based Push Notifications
- → Blog Post Calls for Default Byte Color-Coding in Hex Editors
- → Apple Patches iOS Bug That Let Forensic Tools Retrieve Deleted Messages From Notification Cache
- → Bloggers Warn of Conversation-Style Comment Spam Hiding Links
- → Jiga pitches AI-driven manufacturing sourcing platform and outlines remote-first, transparent culture amid hiring push
- → Citizen Lab Finds Covert Vendors Exploiting Telecom Signaling to Track Phone Locations
- → Developer Indexes a Zig-Based C Compiler Tutorial Series
- → Firefox and Tor Browser Bug Enabled Cross-Site Tracking via IndexedDB Result Ordering
Full Episode Transcript: iOS et notifications persistantes & Firefox, Tor et fingerprinting
Des messages Signal que vous pensiez effacés ont pu être récupérés… non pas en cassant le chiffrement, mais à cause d’un détail côté iPhone. Et ce n’est pas la seule surprise du jour côté vie privée. Bienvenue dans The Automated Daily, hacker news edition. Le podcast créé par l’IA générative. Nous sommes le 23 avril 2026. Aujourd’hui, on parle de correctifs qui comblent des angles morts, de surveillance télécom qui refuse de disparaître, d’une remise en cause frontale des “primitives” du cloud, et de quelques outils qui rendent les développeurs plus rapides… ou au moins moins frustrés.
iOS et notifications persistantes
On commence par la confidentialité sur mobile. Apple a publié une mise à jour iOS et iPadOS pour corriger un bug où des notifications censées être supprimées pouvaient rester stockées sur l’appareil, parfois pendant plusieurs semaines. Le point sensible, c’est que ces notifications pouvaient contenir le texte de messages issus d’apps comme Signal, y compris quand l’utilisateur pensait avoir tout effacé ou activé des messages éphémères. Pourquoi ça compte : beaucoup de protections “disparition automatique” reposent sur l’idée que le système d’exploitation ne garde pas de copies inattendues. Là, le problème n’était pas le chiffrement, mais la rétention de traces côté OS — et c’est précisément ce que les outils de forensic exploitent quand un téléphone est saisi.
Firefox, Tor et fingerprinting
Dans la même veine, Mozilla a corrigé une vulnérabilité de Firefox qui transformait un détail d’implémentation en outil de suivi. En gros, l’ordre des résultats renvoyés par l’API indexedDB.databases() pouvait révéler un identifiant stable, suffisamment riche pour relier l’activité d’un utilisateur entre sites, sans cookies. Le plus gênant : en navigation privée, cet identifiant pouvait survivre tant que le processus Firefox restait ouvert, et dans Tor Browser, il pouvait même traverser certaines actions de “nouvelle identité”. L’intérêt de l’histoire, c’est un rappel brutal : en matière de vie privée, des choses aussi banales que “l’ordre d’une liste” peuvent devenir un signal de fingerprinting. Correctif annoncé côté Firefox, mais tout l’écosystème Gecko doit suivre.
Surveillance via réseaux télécoms
Et puis il y a la surveillance “invisible” qui passe sous les radars des applications : Citizen Lab affirme avoir identifié deux campagnes de traçage de localisation exploitant les failles historiques des réseaux de signalisation télécom, notamment SS7, et parfois Diameter quand les protections sont mal appliquées. Le tableau décrit ressemble à un scénario de film, sauf que c’est du quotidien : des sociétés-écrans se faisant passer pour des opérateurs, des requêtes de localisation qui transitent via quelques prestataires, et au final des cibles suivies à l’échelle internationale. Pourquoi c’est important : malgré des années d’alertes, ces protocoles restent un talon d’Achille structurel, difficile à corriger globalement, et particulièrement dangereux pour des personnes à risque, journalistes ou opposants.
Cloud: primitives à repenser
On passe à l’infrastructure, avec un texte très critique sur le cloud moderne. L’ingénieur David Crawshaw explique qu’il construit une nouvelle plateforme, mais surtout il attaque l’idée que les briques de base des hyperscalers auraient “la bonne forme”. Dans sa vision, on s’est habitués à des compromis devenus normaux : des VM attachées à des tailles rigides CPU/mémoire, un stockage qui pousse vers des modèles distants et parfois lents, et un réseau où l’économie — notamment les frais d’egress — verrouille les architectures. Ce qui rend l’analyse intéressante, c’est son argument que Kubernetes et les couches PaaS maquillent le problème plus qu’elles ne le résolvent : si les primitives sont mal taillées, la portabilité et la simplicité deviennent des promesses quasi impossibles. Et avec l’arrivée d’agents de code basés sur l’IA qui pourraient augmenter la quantité de logiciels produits, la “friction cloud” passerait du statut d’ennui à celui de goulot d’étranglement financier et opérationnel.
SQLite avec pub/sub intégré
Toujours côté développeurs, un projet attire l’attention : Honker, une extension chargeable pour SQLite, accompagnée de bindings, qui apporte une logique de NOTIFY/LISTEN façon Postgres… mais sans serveur séparé. L’idée, c’est de traiter files de jobs, pub/sub et événements comme des lignes dans la même base SQLite. Résultat : quand votre application écrit des données et publie un événement, tout peut être validé ou annulé ensemble, ce qui évite les “double écritures” et les incohérences qu’on rencontre souvent avec un broker externe. Pourquoi c’est notable : SQLite est de plus en plus utilisé dans des applis embarquées, des outils locaux, des services mono-machine — et ces contextes ont quand même besoin de tâches en arrière-plan fiables. Honker propose une voie “moins d’infra, plus de garanties”, à condition d’accepter les limites d’un modèle centré sur une machine.
Zig, compilateurs et apprentissage
Dans la rubrique apprentissage et outillage, un développeur a regroupé ses billets sur un gros projet personnel : écrire un compilateur C en Zig, chapitre par chapitre. Ce n’est pas une doc léchée, plutôt un carnet de bord — mais c’est précisément ce qui plaît à beaucoup de lecteurs : on voit les erreurs, les choix, la progression. Pourquoi ça compte : Zig continue de s’imposer comme un langage pertinent pour construire des outils bas niveau, avec une approche plus moderne que le C tout en restant proche de la machine. Et ce genre de série rend la barrière d’entrée moins intimidante pour celles et ceux qui veulent comprendre comment “naît” une toolchain.
Réparer plutôt que remplacer
On termine avec un sujet très concret, loin des datacenters : des tracteurs. Une startup canadienne, Ursa Ag, dit recevoir un fort intérêt d’agriculteurs américains en construisant des machines neuves… mais volontairement basées sur des moteurs diesel des années 1990 remanufacturés, et en évitant l’électronique moderne. Le pitch est simple : des moteurs réparables sans logiciel propriétaire, sans autorisation du concessionnaire, sans diagnostic verrouillé. Pourquoi c’est intéressant : c’est un signal que, dans certains métiers, la sophistication technologique peut être perçue comme un risque opérationnel, surtout quand elle s’accompagne de verrouillage et de coûts. Et si la demande se confirme, ça mettra une pression supplémentaire sur les grands fabricants pour concilier innovation, réparabilité et contrôle.
Voilà pour l’essentiel aujourd’hui. Entre les caches de notifications qui trahissent nos attentes, les détails d’API qui deviennent des traceurs, et des infrastructures — cloud ou télécom — qui gardent des failles “structurelles”, le thème du jour est clair : la confiance se joue souvent dans les couches qu’on regarde le moins. TrendTeller vous retrouve demain pour une nouvelle édition. Les liens vers toutes les histoires sont dans les notes de l’épisode.