Fauxx part d'une idée toute simple et un peu vicieuse qui est que plutôt que de cacher ce que vous faites en ligne avec votre smartphone Android, pourquoi ne pas générer en permanence des tas de fausses recherches, des faux trajets GPS et des fausses identités ? Cela permet ainsi de noyer vos vraies données dans un tas d'autres...

En tout cas, c'est l'objectif du dev qui veut, je cite, rendre votre signal réel « statistiquement indiscernable du bruit ». Comme ça pendant que votre téléphone vit sa meilleure vie dans votre poche, l'app Fauxx tape des requêtes bidon sur Google, Bing, DuckDuckGo et Yahoo, visite des sites au hasard dans des dizaines de catégories, clique sur quelques pubs, balade un faux GPS et change d'empreinte de navigateur. Oui, je vous raconte pas la gueule de la batterie après... En tout cas, c'est gratuit, open source, et sous licence AGPL

Le moteur qu'utilise Fauxx s'appelle le Demographic Distancing Engine, et il empile 4 couches de faux : du bruit pur, un profil démographique que vous pouvez bricoler vous-même, du scraping de profils publicitaires que Google et Facebook se font déjà de vous, et une nouvelle persona synthétique générée chaque semaine.

Et le timing de tout ça suit une loi de Poisson pour imiter une navigation humaine plausible plutôt qu'un bot qui montre sa tête pile toutes les dix minutes. L'outil jongle quand même avec plus de 250 empreintes de navigateur et arrose des milliers de sites classés par catégorie.

Ces techniques d'offuscation, ça me rappelle un peu TrackMeNot , une extension qui balançait de fausses requêtes dans votre moteur de recherche et dont je vous avais parlé. Et 8 ans plus tard, AdNauseam évidemment qui poussait le délire en cliquant automatiquement sur toutes les pubs pour pourrir les profils publicitaires.

Hé bien Fauxx, c'est la version 2026 de cette petite guérilla, en mode appli mobile Android.

Après faut pas être débile non plus, noyer les trackers sous du faux ne les tue pas. Google l'a d'ailleurs dit noir sur blanc, ils détectent et filtrent la grande majorité de cette fausse activité. AdNauseam et ses quelques dizaines de milliers d'utilisateurs, face à un marché de la donnée qui pèse plus de 300 milliards de dollars, c'est une goutte d'eau en fait...

Et puis Fauxx coupe lui-même sa protection avant d'atteindre le plafond imposé par Android 15, qui limite les services en arrière-plan à six heures cumulées par tranche de 24h. Vous avez alors une notif qui vous demande de relancer l'appli à la main. C'est moche, mais c'est une contrainte du système, et pas un bug de l'appli !

Après comme je vous le disais plus haut, du faux trafic en continu, ça bouffe de la batterie et de la donnée mobile. Faut voir Fauxx un peu comme du sable jeté dans les rouages de la machine à pomper vos données... C'est une forme de geste politique... C'est pas incroyable mais c'est mieux que de rester les bras croisés.

Après, le mieux, c'est encore de le combiner avec les vraies mesures comme faire virer vos infos des data brokers et bien sûr, garder en tête que vos données sont déjà en vente quelque part.

Voilà, Fauxx ne vous rendra pas invisible mais entre subir le pistage en silence et foutre un peu le bordel dans la machine... le choix est vite vu. C'est gratuit, l'appli est sur F-Droid et le code est sur GitHub .

Le Royaume-Uni a mis en place via l'Online Safety Act un système de vérification d'âge obligatoire sur les plateformes accessibles aux mineurs, avec contrôles biométriques à la clé pour estimer l'âge à partir d'un selfie.

Sur le papier, c'était la grande solution pour empêcher les ados d'accéder à TikTok, Instagram ou aux sites pour adultes. En pratique, c'est l'inverse : les enfants britanniques se passent les méthodes pour passer outre, et les méthodes en question sont parfois franchement drôls

En fait, selon une étude d'Internet Matters, près de la moitié des enfants britanniques (46 %) considèrent les systèmes de vérification d'âge comme faciles à contourner, et un tiers reconnaissent l'avoir déjà fait.

Les méthodes documentées vont de la classique fausse date de naissance au VPN, mais aussi à des techniques plus créatives : envoyer une vidéo du visage de quelqu'un d'autre, voire d'un personnage de jeu vidéo, et le meilleur : se dessiner une moustache au feutre pour tromper l'estimation d'âge faciale. J'adore.

Côté plateformes, c'est du coup difficile à gérer. L'Online Safety Act prévoit des amendes importantes contre les services qui laisseraient passer ces contournements, mais le régulateur Ofcom rame pour qualifier la responsabilité quand le gosse a triché lui-même avec une astuce que la plateforme n'a pas su détecter.

Internet Matters relève d'ailleurs que les adultes profitent aussi de ces failles, ce qui complique encore le tableau quand un majeur peut piquer la session d'un mineur, ou inversement.

L'autre limite, c'est la captation des données biométriques. Pour vérifier qu'un gosse est bien un gosse, il faut analyser son visage, ce qui veut dire stocker (ou au moins traiter) une image biométrique d'un mineur.

Plusieurs experts ont déjà soulevé le paradoxe : pour protéger les enfants, on les oblige à transmettre leur visage à une plateforme étrangère. Et si la plateforme se fait pirater (spoiler : ça arrive régulièrement), on a une fuite de données très sensibles dans la nature.

Vous l'avez compris, une régulation qui se fait contourner par un coup de feutre sous le nez, c'est probablement le signe qu'il faut revoir la copie.

Source : Independent

Pour accéder à certaines fonctionnalités de Claude, Anthropic peut maintenant vous demander une pièce d'identité officielle (passeport, permis de conduire, carte nationale d'identité) et un selfie en temps réel. La vérification est gérée par Persona, un prestataire externe, et les données ne sont ni stockées par Anthropic, ni utilisées pour l'entraînement des modèles. Les photocopies, les cartes étudiantes et les pièces numériques ne sont pas acceptées.

Le mécanisme se déclenche a priori dans plusieurs cas : accès à des capacités spécifiques, vérifications d'intégrité de plateforme, ou mesures de conformité. Anthropic ne détaille pas vraiment les usages qui déclenchent cette vérification, ce qui crée du coup un flou que pas mal d'utilisateurs n'apprécient pas des masses.

Le timing est franchement gênant. Des millions d'utilisateurs ont migré vers Claude ces derniers mois, après les polémiques sur la surveillance et les accords controversés d'OpenAI avec des agences gouvernementales. "Vous avez quitté OpenAI pour la vie privée. Claude veut maintenant votre passeport", déclarent même certains journalistes. L'image n'est pas fausse.

Anthropic se défend, en expliquant que les images restent chez Persona, Anthropic y accède uniquement sur demande (appel, par exemple), et le prestataire est contractuellement interdit de les utiliser à d'autres fins que la vérification et la prévention des fraudes. Pas de revente, pas de marketing. Sur le papier, c'est propre. En pratique, vous donnez quand même un document d'identité gouvernemental à un sous-traitant pour pouvoir poser des questions à un chatbot.

La vraie question, c'est pourquoi. Anthropic invoque la sécurité et la conformité, mais la pression réglementaire sur les modèles d'IA pousse les éditeurs à vérifier l'âge et l'identité des utilisateurs, surtout quand leurs modèles deviennent plus puissants. On l'a vu avec OpenAI et son programme Trusted Access for Cyber, même logique d'accès vérifié. 

Pour les utilisateurs qui utilisent Claude pour du code, de l'écriture ou de la recherche, ça ne changera probablement rien au quotidien. La vérification ne se déclenche pas pour tout le monde, pas tout le temps. Mais si ça tombe sur vous, refuser revient à perdre l'accès aux fonctionnalités concernées. Pas d'alternative proposée.

Bref, il y a là une logique réglementaire, mais le contraste avec l'image "pro-vie privée" d'Anthropic pique un peu.

Source : Helpnetsecurity

À partir du 24 avril, GitHub activera par défaut la collecte des données d'interaction Copilot pour les utilisateurs Free, Pro et Pro+. Le gros sujet ici, c'est que le code, les suggestions acceptées et même la structure de vos dépôts pourront servir à améliorer les modèles d'IA de la plateforme.

Ce qui change à partir du 24 avril

GitHub vient d'annoncer une mise à jour de sa politique de confidentialité qui concerne directement Copilot. À compter du 24 avril 2026, la plateforme collectera par défaut les données d'interaction de ses utilisateurs pour entraîner ses modèles d'intelligence artificielle.

On parle ici des suggestions de code acceptées ou modifiées, des extraits de code envoyés au modèle, du contexte autour du curseur, des commentaires, de la documentation, des noms de fichiers, de la structure des dépôts, et même des retours comme les pouces en l'air ou en bas sur les suggestions.

Mario Rodriguez, le directeur produit de GitHub, assure que cette collecte permettra aux modèles de mieux comprendre les méthodes de développement et de proposer des suggestions de code plus précises et sécurisées.

Qui est concerné

Tous les abonnés Copilot Free, Pro et Pro+ sont concernés par ce changement. Et c'est automatique, pas besoin de cocher quoi que ce soit. Par contre, les comptes Copilot Business et Enterprise échappent à cette collecte, tout comme les étudiants et enseignants qui bénéficient de Copilot Pro gratuitement.

GitHub précise aussi que les utilisateurs qui avaient déjà désactivé le partage de données pour l'amélioration du produit conserveront leur réglage. Pour les autres, c'est l'opt-out qui s'applique, c'est-à-dire que c'est activé par défaut et c'est à vous de faire la démarche pour refuser.

Comment désactiver la collecte

Pour ceux qui ne souhaitent pas que leur code serve à nourrir les modèles de GitHub, la manipulation est assez simple. Il faut se rendre dans les paramètres du compte, section Copilot, puis dans les options de confidentialité.

L'option à désactiver s'appelle "Allow GitHub to use my data for AI model training". GitHub insiste sur le fait que le contenu des dépôts privés n'est pas collecté "au repos", mais attention, si vous utilisez Copilot activement avec le partage activé, vos interactions dans un dépôt privé sont bien concernées.

La tendance est lourde : après Anthropic, JetBrains et Microsoft lui-même, GitHub suit le mouvement et pioche dans les données de ses utilisateurs pour alimenter ses modèles.

Le choix de l'opt-out plutôt que de l'opt-in est quand même un classique américain qui passe toujours un peu mal de ce côté de l'Atlantique. D'ailleurs, sur la page de discussion GitHub, les réactions parlent d'elles-mêmes : 59 pouces vers le bas contre 3 petites fusées.

Difficile de faire plus clair comme signal. Bon par contre, au moins les comptes pro entreprise et les étudiants sont protégés, c'est déjà ça. Reste que pour tous les développeurs indépendants et les contributeurs open source en offre gratuite, c'est un peu l'histoire du produit gratuit dont on finit par être la matière première. Allez, un petit tour dans les paramètres et on n'en parle plus.

Source : Ghacks.net

Gaël Musquet, mon copain hacker, me parlait déjà de tracking TPMS en 2020. Du coup, quand je vois des chercheurs publier un document de recherche en 2026 pour "découvrir" qu'on peut pister une voiture via ses capteurs de pneus, bon, comment dire... je suis pas tombé de ma chaise.

Mais faut reconnaître que l'étude en question va quand même plus loin qu'une discussion entre 2 stands au FIC. En effet, une équipe d'IMDEA Networks et d'armasuisse (le labo de défense suisse, rien que ça) a posé 5 récepteurs SDR dans une ville pendant 10 semaines. Coût du matos, environ 100 dollars par capteur, qui est en gros un Raspberry Pi 4 avec un dongle RTL-SDR à 25 balles. Et grâce à cela, ils ont capté plus de 6 MILLIONS de messages, provenant de plus de 20 000 véhicules !

un Raspberry Pi 4 avec un dongle RTL-SDR - Source

Car oui, vous ne le savez peut-être pas, mais les capteurs de pression des pneus (TPMS pour les intimes) émettent régulièrement dès que le véhicule roule, sur 433 MHz en Europe. Et ces signaux contiennent un identifiant unique... qui bien sûr est en clair ^^. Pas de chiffrement, pas d'authentification, QUE DALLE. Donc avec un logiciel open source comme rtl_433 , ça devient vite facile de capter tout ça à plusieurs dizaines de mètres à la ronde.

En croisant les identifiants captés par plusieurs récepteurs, les chercheurs ont pu reconstituer les trajets des véhicules, identifier leurs horaires de travail, détecter les jours de télétravail et même estimer les variations de charge du véhicule (et potentiellement déduire la présence de passagers, même si c'est encore approximatif). Le tout sans caméra, sans GPS, et sans accès au réseau du véhicule !

Il suffirait de trouver l'identifiant d'une voiture précise pour déclencher par exemple automatiquement un lâcher de confettis en papier parfaitement inoffensifs à son passage, si vous voyez ce que je veux dire.

Alors attention, tous les véhicules ne sont pas logés à la même enseigne. Les TPMS dits "directs" (dTPMS), qu'on trouve souvent chez Toyota, Peugeot, Citroën, Hyundai ou Mercedes, émettent ces fameux signaux radio captables. Alors que les systèmes "indirects" (iTPMS), utilisés par la plupart des modèles Volkswagen, Audi ou Skoda, se basent sur les capteurs ABS et n'émettent rien par radio. Bref, si vous roulez en Golf de base, y'a de bonnes chances que vous soyez tranquilles sur ce coup-là même si certaines versions sportives ou haut de gamme (Golf R, GTI selon les marchés) peuvent embarquer du dTPMS.

Et le pire dans tout ça c'est que la réglementation UN R155 sur la cybersécurité automobile n'impose pas explicitement le chiffrement des TPMS. En gros, les constructeurs ne sont pas forcés de sécuriser ces transmissions. Pirelli et Bosch bossent bien sur un "Cyber Tyre" en Bluetooth Low Energy, mais c'est réservé au haut de gamme et c'est pas demain que ça arrivera sur votre Clio.

Donc côté protection, soyons honnêtes, y'a pas grand-chose à faire côté utilisateur. Vous ne pouvez pas désactiver vos TPMS (c'est obligatoire depuis 2014 pour les voitures neuves en Europe), et les capteurs ne proposent aucune option de chiffrement. Sauf si vous roulez en véhicule vintage d'avant 2014, c'est open bar. Une des parades serait que les constructeurs implémentent un système de rotation d'identifiants, un peu comme le fait déjà le Bluetooth avec les adresses MAC aléatoires, mais pour l'instant on en est loin.

Pour ceux qui veulent creuser le sujet, j'avais fait une rencontre avec Gaël Musquet il y a quelques années, où il expliquait déjà comment reprendre le contrôle de nos véhicules connectés. Et si vous voulez comprendre comment on hacke une voiture de manière plus générale, c'est un rabbit hole sans fond !

Bref, la prochaine fois que vous gonflez vos pneus... dites-leur bonjour de ma part.

Source

Les Ray-Ban Meta, c'est quand même le gadget parfait pour les voyeurs technophiles. Ce sont quand même des lunettes qui filment, prennent des photos et diffusent en live... le tout sans que PERSONNE autour ne s'en rende compte (ou presque). Alors forcément, quelqu'un a fini par coder une app pour les détecter !

Nearby Glasses , c'est une application Android développée par Yves Jeanrenaud qui scanne en permanence les signaux Bluetooth Low Energy autour de vous. Chaque appareil BLE diffuse en fait des trames pour s'annoncer avec un identifiant constructeur et les lunettes caméra de Meta utilisent les IDs 0x01AB et 0x058E (Meta Platforms) ainsi que 0x0D53 (Luxottica/Ray-Ban). Donc cette app écoute ces identifiants et vous balance une alerte dès qu'elle en capte un.

La détection repose sur le RSSI, en gros la puissance du signal reçu et par défaut, le seuil est à -75 dBm, soit environ 10-15 mètres en extérieur et 3-10 mètres en intérieur. Donc c'est pas foufou non plus mais c'est configurable, évidemment. Vous pouvez donc le durcir un peu pour ne choper que les lunettes vraiment proches, ou l'assouplir pour ratisser large (au prix de faux positifs en pagaille).

Les faux positifs, parlons-en d'ailleurs... Les casques Meta Quest utilisent les mêmes identifiants constructeur, du coup ça ne marche pas à tous les coups. Par exemple, si votre voisin joue en VR, votre téléphone va sonner ! L'app détecte aussi les Snap Spectacles (0x03C2)... pour les trois personnes qui en portent encore ^^.

Ah et l'app est UNIQUEMENT pour Android. La version iOS serait "on the way" selon le développeur... faut donc pas être pressé mais au moins c'est open source (AGPL-3.0), du coup n'importe qui peut vérifier ce que l'app fait de vos données Bluetooth.

Si le sujet vous parle, vous connaissez peut-être Ban-Rays , un projet hardware à base d'Arduino et de LEDs infrarouges qui détecte les Ray-Ban Meta via infrarouge et Bluetooth ! Hé bien Nearby Glasses, c'est l'approche 100% logicielle plutôt que hardware, ce qui est plus accessible mais forcément plus limitée... pas besoin de fer à souder, cela dit ^^.

C'est une rustine mais bon, c'est mieux que de se retrouver à poil sans permission sur le web.

Source

Amazon, fournisseur officiel de mauvaises idées en matière de vie privée depuis 1870 vient de nous pondre une nouvelle trouvaille !! À partir du 25 mars, si quelqu'un vous achète un cadeau via votre liste de souhaits Amazon, le vendeur tiers récupère votre adresse de livraison. Oui, votre VRAIE adresse !! Après en tant que français on a l'habitude que tous les escrocs de la planète aient nos infos persos . Mais rassurez-vous, Amazon a trouvé une solution ! Est-ce qu'il s'agit de corriger le problème ? Que nenni !! Ils nous recommandent simplement d'utiliser une boîte postale. Sympa !

Parce que jusqu'ici, quand un pote vous envoyait un truc depuis votre wishlist, le vendeur tiers voyait votre ville et votre région... c'est déjà pas top, mais bon. Sauf que maintenant, c'est l'adresse COMPLÈTE qui part chez le vendeur. Numéro, rue, code postal, la totale...

Et vous vous en doutez, ça touche en premier lieu les créateurs de contenu, les streamers, et tous les crevards qui ont une wishlist publique pour que leur communauté puisse leur offrir des trucs net d'impôts ^^.

Donc suffit qu'un harceleur crée un faux compte vendeur sur Amazon Marketplace (La vérification d'identité ? Minimale !), met un article à 3 euros, attend qu'un fan l'achète via la wishlist de sa cible... et hop, il a l'adresse complète récupérée. Pas besoin d'être un génie. Ou alors suffit d'attendre que le vendeur tiers laisse fuiter le fichier Excel dans lequel il stocke ses commandes... La vie est toujours pleine de surprises quand il s'agit de leaker des données perso.

EDIT : Merci à Matthieu qui m'a envoyé la preuve ! Amazon.fr vient d'envoyer un email à ses utilisateurs pour confirmer que ce changement arrive bien en France à compter du 25 mars 2026. L'option permettant de restreindre les achats auprès de vendeurs tiers pour les articles de vos listes sera supprimée. Donc c'est plus une hypothèse, c'est confirmé... faites le ménage dans vos wishlists MAINTENANT.

Et côté RGPD ?

En Europe, le RGPD impose que le partage de données personnelles repose sur une base légale. Consentement explicite, intérêt légitime, ou exécution d'un contrat et pas une case pré-cochée planquée dans les CGU.

Le problème, c'est qu'Amazon change les règles du jeu en cours de route, sans demander un consentement spécifique pour ce nouveau partage d'adresse avec des tiers. Et bien sûr, le moment venu, la CNIL pourrait avoir deux mots à dire là-dessus... après, on sait comment ça se passe, les amendes mettent des années à tomber. D'ailleurs, Amazon s'est déjà pris 746 millions d'euros par le Luxembourg en 2021 pour non-respect du RGPD mais visiblement, ça ne les a pas trop calmés.

Pour ceux qui s'intéressent à la suppression de leurs données perso en ligne , c'est le genre de truc qui fait grincer des dents.

Comment protéger votre adresse ?

Maintenant concrètement, voici ce que vous pouvez faire (ça ne marche pas à 100% mais c'est mieux que rien) :

Allez dans votre compte Amazon, section "Listes" puis "Gérer la liste". Vérifiez que votre wishlist est bien en mode "Privée" si vous ne voulez pas que n'importe qui la voie. Attention, le réglage par défaut c'est "Publique"... donc si vous n'avez jamais touché à ça, c'est probablement ouvert aux quatre vents.

Et si vous VOULEZ la garder publique (streamers, créateurs), utilisez une adresse qui n'est pas votre domicile. En France, une boîte postale La Poste coûte ~50 euros par an. Y'a aussi les Amazon Locker ou les points Mondial Relay... ce qui revient quand même à dire "débrouillez-vous", j'en ai bien conscience.

Le vrai problème

Le fond du problème, vous l'aurez compris, n'est pas technique. C'est qu'Amazon traite l'adresse de livraison comme une donnée de transaction banale alors que c'est une info sensible. Mais non, une adresse postale c'est pas un numéro de commande. Et surtout ça casse tout le principe d'anonymat des wishlists surtout quand la plateforme encourage les wishlists publiques depuis des années.

Bref, c'est confirmé pour la France au 25 mars, alors prenez les devants et prévenez votre influenceur préféré de faire le switch.

Source

Votre pseudo de justicier masqué sur Reddit ne vaut plus grand-chose, les amis... En effet, des chercheurs de l'ETH Zurich viennent de prouver qu'un LLM peut retrouver votre vraie identité à partir de vos posts anonymes, avec 67% de réussite... et pour moins de 4 dollars par profil.

L' étude a été publiée sur arXiv par six chercheurs, dont Nicholas Carlini d'Anthropic (les créateurs de Claude) et le principe fait flipper. En fait ils ont mis au point des agents IA qui analysent vos commentaires publics, créent un profil structuré... ou plutôt un portrait-robot de vos habitudes et centres d'intérêt, puis ratissent des milliers de candidats pour trouver à qui ça correspond.

Budget total de l'opération : environ 2 000 dollars pour 338 profils Hacker News passés au crible. Et sur tout ça, 226 ont été identifiés correctement, 25 sont des erreurs et 86 sont des "abstentions" quand le modèle doutait trop. Ça revient à 1 à 4 dollars par profil, et quand le modèle est assez sûr de lui pour donner une réponse (donc hors abstentions), il tape juste 9 fois sur 10. Pas cher payé donc pour s'offrir la fin de votre anonymat TOTAL !

Le truc, c'est que Hacker News c'était juste l'apéro. La même technique a été lâchée ensuite sur des interviews anonymisées, des profils LinkedIn et ce bon vieux Reddit. Même recette, et surtout mêmes résultats.

Le côté obscur de cette recherche, c'est que ça ouvre encore plus la porte aux arnaques d'ingénierie sociale sur mesure, au ciblage pub ultra-personnalisé sans votre consentement, et pire... à la traque de journalistes ou d'activistes planqués derrière un pseudo...

Notez que ce taux de 67%, c'est sur des profils Hacker News où les gens qui postent beaucoup de contenu technique assez spécifique. Mais sur un compte avec trois commentaires génériques, ça ne marche pas aussi bien. Mais bon, qui poste que 3 fois sur un forum ? Le piège, c'est qu'on finit toujours par en dire plus qu'on croit...

Maintenant côté protection, attention, c'est pas la fête. Si vous voulez éviter de vous faire traquer, faudra varier votre style d'écriture entre les plateformes, éviter de balancer trop de détails perso (ville, job, stack technique) dans vos commentaires, et surtout utiliser des comptes séparés plutôt qu'un seul pseudo partout. D'ailleurs le fingerprinting de navigateur c'est déjà un problème connu, mais là on parle de fingerprinting de votre STYLE D'ÉCRITURE donc carrément autre chose !

Perso, ça confirme finalement ce qu'on savait depuis le documentaire Rien à cacher : l'anonymat en ligne c'est surtout une illusion. Sauf que maintenant, même pas besoin d'être la NSA pour lever le voile... un LLM à 4 balles suffit.

Le pseudonymat face à un LLM c'est un grillage face à une perceuse... Bon courage aux anonymes qui me lisent...

Source

Le CNRS vient de confirmer un incident de cybersécurité qui a mené au téléchargement non autorisé de fichiers contenant des données personnelles d'anciens agents. Noms, adresses, numéros de sécurité sociale, RIB : la totale donc. L'organisme a déposé plainte et prévenu la CNIL.

Des données très sensibles

C'est ce lundi 16 février que le CNRS a informé ses agents d'une fuite de données sur un de ses serveurs. Des fichiers contenant des informations de ressources humaines ont été téléchargés sans autorisation. Et on ne parle pas de données anodines : noms, prénoms, dates de naissance, adresses postales, numéros de sécurité sociale et RIB. Le tout accompagné du statut de l'agent, du type de contrat et de la structure d'affectation. Le serveur a été isolé et arrêté dès la découverte de l'incident, et l'organisme assure que la fuite ne s'est pas propagée au reste de ses infrastructures.

Qui est concerné ?

Seuls les personnels recrutés avant le 1er janvier 2007 sont touchés, qu'ils aient été titulaires ou non. Si vous avez travaillé au CNRS après cette date, vous n'êtes pas concerné. Le nombre exact de victimes n'a pas été communiqué, mais vu la taille de l'organisme, on parle potentiellement de plusieurs milliers de personnes. Le CNRS recommande de prévenir sa banque, de surveiller ses comptes, de vérifier si ses données circulent sur haveibeenpwned.com, et de rester vigilant face aux tentatives de phishing ou d'usurpation d'identité. La CNIL et l'ANSSI ont été prévenues, et une plainte a été déposée auprès de la section cybercriminalité du parquet de Paris.

Les institutions françaises en ligne de mire

On n'est pas vraiment sur une première niveau cyberattaques sur des services de l'état. Le ministère de l'Intérieur, celui des Sports, et d'autres organismes avaient été visés. L'URSSAF a aussi confirmé une fuite touchant les données de 12 millions de salariés. Le CNRS lui-même avait été la cible d'un défacement de plusieurs de ses sous-domaines fin janvier. Deux incidents distincts, mais la tendance est claire, et c'est franchement moche.

On va quand même saluer le fait que le CNRS a communiqué rapidement, avec un communiqué officiel et une FAQ pour les personnes concernées. C'est loin d'être toujours le cas. Mais on va quand même se questionner sur le fait que des RIB et des numéros de sécu trainent sur un serveur, alors qu'on parle de données parfois veilles depuis presque 20 ans... Pourquoi ces informations étaient-elles encore accessibles ? La question du stockage prolongé de données sensibles revient sur la table, et visiblement, personne n'a encore de bonne réponse. En attendant, si vous avez porté la blouse du CNRS avant 2007, un petit tour sur votre relevé bancaire ne serait pas du luxe.

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie "Gadgets Tech" , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Avec tout ce qui se passe en ce moment côté souveraineté numérique, je me suis dit qu'il était temps de vous parler d'une alternative à Google que beaucoup ignorent encore. En plus, j'ai passé pas mal de temps dessus ces dernières semaines, histoire de voir si ça tenait la route, alors il est temps de partager ça avec vous.

Startpage, c'est un moteur de recherche basé à Zeist aux Pays-Bas qui existe depuis 2006 et qui a une approche assez radicale : Vous donner les résultats de Google... sans que Google ne sache que vous existez.

Quand vous tapez une recherche sur Startpage, le moteur va interroger Google à votre place, récupérer les résultats, et vous les afficher. Sauf que votre IP, vos cookies, votre historique... Google n'en voit pas la couleur. C'est comme envoyer quelqu'un faire vos courses pour vous ^^.

Et là où ça devient vraiment intéressant dans le contexte actuel, c'est que Startpage est basé aux Pays-Bas. Du coup, il est soumis au RGPD et aux lois européennes sur la protection des données. Et SURTOUT PAS au Cloud Act américain qui permet aux autorités US de demander vos données même si elles sont stockées en Europe. C'est pas rien comme différence...

Bon, je dis pas que c'est parfait non plus hein. Rien ne l'est. Fin 2018, Privacy One Group, une filiale de System1 (société américaine spécialisée dans... la pub), a pris une participation majoritaire dans Startpage. L'annonce n'est tombée qu'en 2019, ce qui a fait tiquer pas mal de monde dans la communauté vie privée. PrivacyTools.io par exemple l'a même retiré de ses recommandations pendant un moment...

Mais depuis, Startpage a publié des clarifications... en fait selon eux, System1 n'a pas accès aux données de recherche, et la société reste opérée depuis les Pays-Bas avec des serveurs européens.

Côté fonctionnalités, y'a un truc que j'adore et que j'utilise quasi systématiquement depuis 3 semaines c'est le mode "Anonymous View". En fait quand vous cliquez sur un résultat de recherche, au lieu d'aller directement sur le site (qui peut alors tracker votre visite), Startpage peut ouvrir la page via un proxy. Le site que vous visitez ne voit alors que l'IP de Startpage et pas la vôtre. C'est un peu comme un proxy intégré pour chaque clic, qui bloque aussi les scripts de fingerprinting.

Pas mal non ?

D'ailleurs, niveau interface, c'est propre et sans fioritures. Y'a pas de doodles tout naze, pas de suggestions de recherche personnalisées, pas de "vous pourriez aussi aimer", pas d'Ads vers des sites frauduleux... Non, c'est comme à l'ancienne avec juste un bon vieux champ de recherche et des résultats. Ça nous change donc des pages d'accueil de Google qui sont devenues de véritables panneaux publicitaires et dans lesquelles on se perd assez vite.

Alors évidemment, y'a quelques inconvénients aussi... D'abord les résultats sont parfois un peu moins "personnalisés" que sur Google. Normal, vu qu'ils n'ont aucune idée de qui vous êtes, ils ne peuvent donc pas vous proposer le resto le plus proche de chez vous. Faudra donc parfois préciser "Paris", "Clermont-Ferrand" ou "France" dans vos recherches locales. J'ai galéré un peu au début avec ça, car on prend vite de mauvaises habitudes (merci la flemme) mais après j'ai découvert qu'on pouvait préciser ça dans les paramètres.

Et puis de temps en temps, Startpage peut avoir des ralentissements... les joies de l'intermédiation. Mais rien de rédhibitoire rassurez-vous !

Comparé à DuckDuckGo qui utilise principalement Bing comme source et qui est américain (bouuuuh, arrêtez de recommander cette bouze ^^), ou à Qwant qui galère un peu côté pertinence , Startpage offre un compromis intéressant. A savoir la qualité Google sans le tracking Google, et le tout hébergé en Europe.

Car oui avec tout ce qui se passe géopolitiquement en ce moment, je pense que c'est bien de changer un peu ses habitudes. Vous devriez essayer... Car entre les discussions sur le Cloud Act, les tensions transatlantiques sur les données personnelles, et les GAFAM américains qui aspirent nos données comme des Dyson sous amphét'... avoir une alternative européenne soumise au RGPD, c'est pas juste une question de principe. C'est une vraie question de souveraineté numérique. Les Pays-Bas, c'est pas parfait (aucun pays l'est), mais au moins c'est une juridiction où la CNIL locale a du mordant.

Maintenant pour l'utiliser, rien de sorcier. Vous allez sur startpage.com et vous pouvez même le configurer comme moteur par défaut dans votre navigateur. Attention par contre, sur certains navigateurs (Safari notamment), c'est un peu planqué dans les préférences. Y'a aussi une extension pour Firefox et Chrome si vous voulez. Et si vous voulez aller plus loin dans la protection de votre vie privée, combinez ça avec une extension qui gère vos cookies .

Et voilà, si vous en avez marre de voir des pubs ultra-ciblées qui semblent lire dans vos pensées, et d'offrir la moindre de vos requêtes aux américains, ce moteur de recherche néerlandais vaut vraiment le coup d'œil.

À découvrir ici !

Vous pensiez avoir tout vu avec les manipulations d'images ? Les générateurs de mèmes, les filtres rigolos, tout ça... Bon, on rigole bien entre potes. Sauf que là, c'est la Maison Blanche qui s'y met et tristement c'est pas pour faire du "lol".

Je vous explique le délire. Jeudi dernier, l'administration Trump a voulu crâner sur les réseaux sociaux. Ils ont annoncé l'arrestation de plusieurs manifestants qui avaient perturbé un office religieux dimanche dernier à Cities Church (St. Paul). Ils protestaient contre un pasteur, David Easterwood, qui serait également le directeur par intérim de l'antenne locale de l'agence fédérale U.S. Immigration and Customs Enforcement (ICE).

Jusque-là, de la politique classique. Mais là où ça dérape sévère, c'est quand ils ont balancé la photo de l'une des personnes arrêtées. La dame en question s'appelle Nekima Levy Armstrong et c'est pas n'importe qui. Avocate des droits civils, ancienne présidente du chapitre de Minneapolis de la NAACP. Elle est une figure très respectée. Sur la photo originale de son arrestation, elle a un visage neutre. Digne.

Sauf que la Maison Blanche a trouvé ça trop "calme" sans doute. Alors ils ont diffusé une version de la photo manipulée numériquement pour la transformer complètement.

Résultat, sur l'image postée par le compte officiel @WhiteHouse, on voit Nekima Levy Armstrong en train de sangloter à chaudes larmes. Genre gros bébé qui chiale. Et c'est là que le venin se diffuse car ce n'est pas juste une modification esthétique.

C'est carrément une manipulation symbolique dégueulasse !

A gauche la photo IA, à droitela VRAIE photo

En faisant ça, ils activent un vieux levier bien rance : le stéréotype de la "Sapphire" ou de la " Angry Black Woman ". C'est un genre d'hyperbole qui trouve ses racines dans les représentations caricaturales du XIXe siècle (les fameux minstrel shows ) avant d'être codifié au XXe siècle.

L'idée c'est de présenter les femmes noires comme des êtres intrinsèquement hystériques, incapables de se contrôler, qui hurlent et chouinent pour un rien. C'est une technique de déshumanisation pure et simple. La Maison Blanche a transformé une opposante politique digne en caricature pleurnicharde pour lui ôter toute crédibilité.

Et quand les journalistes ont demandé des comptes, le service de presse de la Maison Blanche a renvoyé vers un post sur X de Kaelan Dorr (directeur adjoint de la communication) dont la réponse est glaciale : "L'application de la loi continuera. Les mèmes continueront." Hop. Circulez, y'a rien à voir. C'est assumé. Ils manipulent l'information, déforment la réalité pour servir un discours politique, et ils appellent ça un "mème".

Putain, que ces gens sont à vomir.

Le fond de l'histoire maintenant, c'est que ces gens demandaient justice pour Renee Good, une mère de famille abattue par un agent de l'ICE le 7 janvier dernier. L'administration invoque la légitime défense, mais des vidéos et des analyses contestent fermement cette version. Ce sont des vies brisées, des tragédies réelles et en face, on a un gouvernement qui s'amuse avec des outils IA pour transformer la douleur et la dignité en "blague" raciste.

Y'a vraiment de quoi se taper la tête contre les murs. Ça me rappelle un peu les dérives qu'on voit avec les IA qui manipulent les émotions pour du business ou de la politique. Cette technologie devrait faire avancer la science et booster la productivité mais pour l'instant, dans les mains de certains, ça sert surtout à industrialiser la haine et à maquiller le mensonge. Comme le dit souvent Mikko Hyppönen, si c'est intelligent, c'est vulnérable et là c'est pas de l'IoT, mais notre perception de la réalité déjà bien fragilisée depuis quelques années, qui est visée.

Voilà... quand la technologie sert à fabriquer de la désinformation d'État, il est grand temps, je pense, de se réveiller. Donc restez aux aguets les amis, parce que les fascistes, eux la vérité, ils s'en tamponnent le coquillard.

Source

Vous pensiez que votre imprimante de bureau était juste un objet d'un autre temps qui enchaine des bourrages papier toute la journée et vous réclame de l'encre hors de prix comme un enfant qui attend sa têtée ? Ben va falloir revoir vos priorités niveau paranoïa, parce que c'est bien plus que ça !

Une enquête du Washington Post vient en effet de révéler comment le FBI a identifié un de leurs lanceurs d'alerte grâce aux logs d'impression de son employeur. Aurelio Luis Perez-Lugones, spécialiste IT pour un sous-traitant du gouvernement américain, aurait fait des captures d'écran de documents classifiés dans un SCIF (ces salles ultra-sécurisées où même votre téléphone n'entre pas), puis les aurait collés dans Word avant de les imprimer.

Et comment ils l'ont su ?

Hé bien il semblerait que les logs d'impression de sa boîte aient joué un rôle clé dans l'enquête, en complément des caméras de vidéosurveillance, bien sûr.

Car oui, ces systèmes ne se contentent pas de noter "Jean-Michel a imprimé 47 pages le 15 janvier". Non, ils peuvent stocker le contenu intégral des documents, les métadonnées, l'heure exacte, le poste de travail utilisé...etc. En gros, votre patron sait exactement ce que vous avez imprimé, et depuis combien de temps vous essayez de photocopier votre CV en douce.

Mais le plus flippant dans cette histoire, c'est que ça ne s'arrête pas aux logs réseau puisque même votre imprimante perso à la maison, elle-même, peut vous balancer, et cela depuis des décennies...

Vous avez déjà entendu parler des révélations d'Edward Snowden sur la surveillance de masse ? Ben là, c'est pareil, mais en version papier.

En effet, depuis les années 80, la plupart des imprimantes laser couleur intègrent un système de traçage appelé Machine Identification Code (MIC). Grâce à ce système, chaque page que vous imprimez contient une grille quasi-invisible de points jaunes d'environ 0,1 millimètre, espacés d'un millimètre. Ces points encodent le numéro de série de votre machine et la date/heure d'impression, ce qui fait que n'importe quel document imprimé peut être relié à une imprimante spécifique.

C'est discret, faut de bons yeux.

Le Chaos Computer Club et l'EFF ont documenté ce système depuis des années et l'EFF maintient même une liste des fabricants qui utilisent ces mouchards (spoiler : la plupart des grandes marques y sont).

Comment vérifier si votre imprimante vous espionne

Première étape : imprimez une page avec du contenu coloré sur fond blanc. Ensuite, examinez-la sous une lumière bleue ou un microscope et là vous verrez probablement une grille de points jaunes, à peine détectables à l'œil nu.

Pour les plus techniques d'entre vous, l'outil DEDA (Dot Evidence Documentation and Analysis) développé par l'Université Technique de Dresde permet d'analyser et même d'anonymiser ces traces.

Comment auditer les logs d'impression en entreprise

Si vous êtes admin réseau ou simplement curieux de savoir ce que votre boîte enregistre, voici où chercher :

Sur Windows Server, direction la console de gestion d'impression. Les logs sont généralement dans l'Observateur d'événements sous "Applications et services" > "Microsoft" > "Windows" > "PrintService". Activez les logs "Operational" si ce n'est pas déjà fait.

Sur les imprimantes réseau, accédez à l'interface web d'administration (généralement l'IP de l'imprimante dans un navigateur). Cherchez une section "Logs", "Journal" ou "Historique des travaux". Certains modèles HP Enterprise ou Xerox stockent des semaines entières de données.

Sur les serveurs d'impression centralisés type PaperCut ou Equitrac, c'est la fête car ces solutions peuvent stocker énormément de données, du nom d'utilisateur jusqu'au contenu OCR des documents scannés si des modules ou intégrations spécifiques ont été activés.

Comment limiter ces traces

Pour les points jaunes, DEDA propose un mode d'anonymisation qui ajoute du bruit dans le pattern. C'est pas parfait, mais ça complique sérieusement le traçage !

Après pour les logs réseau, c'est plus compliqué... En entreprise, vous n'avez généralement pas le contrôle. Par contre, si c'est chez vous, désactivez simplement la journalisation dans les paramètres de votre imprimante et évitez les services cloud des fabricants.

Ah et une dernière chose : si vous imprimez des documents sensibles mes petits lanceurs d'alertes préférés, privilégiez une imprimante laser noir et blanc d'occasion payée en cash. Les modèles monochromes n'ont pas les fameux points jaunes, et une machine sans historique réseau, c'est une machine qui ne parle pas.

Encore une fois c'est difficile de lutter contre cette surveillance généralisée, mais au moins maintenant vous savez que votre imprimante n'est pas qu'un simple périphérique !

C'est potentiellement le meilleur indic de votre bureau !

Source

Bon, on savait que c’était tendu en Iran pour chopper un peu d’Internet libre, mais là on passe clairement au niveau supérieur dans la traque technologique.

En effet, si vous pensiez que poser une antenne Starlink sur votre toit en scred suffisait pour échapper aux mollahs, vous allez être déçus. On n’est plus sur du "je cache le routeur derrière un ficus et tout ira bien", mais sur un mélange de coupures massives, de brouillage, et de chasse aux terminaux qui ressemble très fort à de la guerre électronique.

Déjà, rappelons un peu le contexte... Quand l’État coupe Internet et bride même le téléphone, Starlink devient systématiquement la bouée. Normal c'est de la connexion satellite, donc ça passe partout. Mais le Wall Street Journal raconte que, ces derniers jours, les autorités ont commencé à fouiller et confisquer des paraboles, notamment dans l’ouest de Téhéran, avec des perturbations plus fortes le soir, au moment où les gens descendent dans la rue. Forcément avoir du Starlink c’est illégal et les kits sont passés en contrebande via des bateaux depuis Dubaï, ou par la route via le Kurdistan irakien, etc. Bref, le tuyau vers l'Internet libre est rare, cher, risqué… mais vital pour sortir des vidéos de ce qui se passe dans le pays.

Dishy, l’antenne Starlink pour les intimes, est une antenne à réseau phasé qui dirige son énergie vers le satellite. Mais le truc à comprendre, c’est que "faisceau étroit" ne veut pas dire "invisible" car comme toute émission radio, ça laisse une empreinte. Du coup, un terminal qui transmet peut être détecté, surtout si en face il y a des moyens sérieux de radiogoniométrie / SIGINT (repérer qu’il y a une source, estimer une direction, recouper depuis plusieurs points, etc.).

Et à partir du moment où on peut recouper des mesures, on n’est plus très loin de remonter à un quartier… voire plus précis selon les moyens et la densité de capteurs.

Et justement, c'est là qu'on sort du folklore puisqu'avec tout ce qui se passe actuellement en Iran, il y a une intensification des efforts pour brouiller le service ainsi qu'une chasse active aux utilisateurs. Sur le volet "matos", on voit par exemple circuler des noms de systèmes russes présentés comme capables de repérer des terminaux Starlink (certains médias russes ont même mis en avant un système surnommé "Borshchevik") mais ce genre d’étiquette et les performances annoncées sont difficiles à vérifier indépendamment depuis l’extérieur. Ce qui est sûr en tout cas, c’est que sur le terrain, l’Iran traite ça comme une cible de guerre électronique, et pas comme un simple routeur interdit.

Autre point important chez Starlink, c'est le GNSS (GPS & co). On entend souvent que les affreux s'amusent à brouiller le GPS, donc l’antenne ne sait plus où elle est, donc ça marche plus. Mais la réalité est moins binaire car oui, le brouillage/spoofing GNSS peut compliquer ou empêcher la mise en service, dégrader la stabilité, ou foutre le bazar dans la synchronisation, surtout si le terminal a été déplacé ou redémarre en zone hostile. Mais selon les versions, les firmwares et les conditions radio, ça va plutôt d'un "ça rame" à un "ça coupe". Ce n'est donc pas forcément un interrupteur magique universel même si pour le régime iranien, ça reste une arme efficace pour rendre l’accès instable au moment où les gens en ont le plus besoin.

Évidemment, côté utilisateurs, c’est système D sur fond de parano (justifiée), et de créativité. On a vu passer des paraboles planquées sous des structures ou déguisées en objets du quotidien et beaucoup font attention au "bruit" autour de l'antenne... Par exemple certains évitent de laisser un Wi-Fi qui hurle “SALUT JE SUIS LÀ” au voisinage et passent sur du filaire quand c’est possible. Parce qu’au-delà du lien satellite, le premier truc qui peut trahir, c’est aussi tout ce qui rayonne localement (Wi-Fi, équipements, habitudes de trafic…). Et quand en face y'a des gens qui fouillent, confisquent, et cherchent des preuves, chaque détail compte.

L’Iran aurait même poussé le dossier à l’Union Internationale des Télécommunications (ITU, ONU) afin de tenter de faire interdire le service d'Elon Musk sur son territoire. Mais les États-Unis et Starlink résistent à l’idée d’appliquer ce bannissement au-delà du fait de couper des terminaux identifiés. En clair, c'est pas juste une chasse technique mais c’est aussi une bataille diplomatique et juridique pour l'Iran.

Mais alors si Starlink devient trop dangereux ou trop instable, qu’est-ce qu’il reste au peuple iranien ? Hé bien là, on passe en mode plan B / plan C. Par exemple, certains regardent du côté des messageries capables de faire du relais local / du store-and-forward , des réseaux mesh à l’ancienne en Bluetooth / Wi-Fi direct, pour faire passer des messages de proche en proche quand Internet est mort. Ça ne remplace pas une connexion, c'est certain, mais ça peut maintenir une circulation d’infos dans une ville, et parfois faire remonter des messages vers une passerelle qui, elle, a accès au monde extérieur.

On parle aussi beaucoup du "satellite-to-cell / direct-to-device" c'est à dire envoyer des SMS via satellite avec un téléphone standard. La techno existe et avance, oui, mais attention, ce n’est pas non plus une baguette magique activable n’importe où, car ça dépend des déploiements, des accords opérateurs, des fréquences, et… du fait que le régime ne vous mette pas des bâtons dans les roues par d’autres moyens. Disons donc que c’est une possibilité à garder en tête mais pas un joker garanti à ce jour.

Et puis il y a les hacks "crypto" qui reviennent dans les discussions dès qu’un pays se retrouve isolé. Là aussi, il faut être précis car recevoir des infos via satellite (genre l’état de la blockchain Bitcoin) c’est un truc connu, mais émettre une transaction vers le réseau, il faut quand même un canal de sortie quelque part (une passerelle, un relais, une connexion, même indirecte). Donc oui, il y a des bricolages via despasserelles (SMS, relais, etc.), mais ce n’est pas du "Bitcoin par SMS directement vers les nœuds" comme par magie.

Dernier point, parce qu’on voit passer des chiffres et des infographies qui donnent beaucoup de chiffres... Tant que la coupure Internet rend la vérification infernale, il faut être prudent sur les chiffres qu'on nous annonce sur la situation dans le pays. Par contre, sur la partie forensique réseau des initiatives comme Whisper compilent des signaux techniques (BGP, instabilités, etc.) qui aident à comprendre comment un pays comme l'Iran se fait effacer d’Internet et ça, c’est une pièce très utile du puzzle, même si ça ne remplace pas une enquête indépendante sur le terrain.

Voilà, je trouve ça très moche ce qui se passe là bas et voir que la technologie, qui devrait être un pont, devient un champ de bataille, ça me révolte. Alors en attendant, un grand respect aux bidouilleurs et autres geeks qui se trouvent là-bas et qui risquent gros pour juste nous envoyer de l'info sur ce qui se passe vraiment chez eux.

Vous vous souvenez du dark web , ce truc mystérieux qui fait flipper les politiques, les journalistes et votre belle-maman avec Tor, les .onion et tout le folklore ? Hé bien figurez-vous qu'une bonne partie du crime en ligne s'est déplacée ailleurs. Maintenant en 2026, pour monter le plus grand marché illicite en ligne jamais mesuré, y'a plus besoin de toute cette sophistication technique.

Y'a juste à aller sur Telegram, une simple app de messagerie, et hop, c'est parti.

La firme d'analyse crypto Elliptic vient en effet de publier des chiffres qui donnent le tournis. Huione Guarantee, une plateforme de "garantie" pour arnaqueurs sinophones hébergée sur Telegram, a brassé 27 milliards de dollars de transactions entre 2021 et 2025. Vingt-sept milliards les gars !

Pour vous donner une idée, AlphaBay , le célèbre marché noir du dark web démantelé par les autorités en 2017 et considéré comme dix fois plus gros que Silk Road , n'avait fait "que" 1 milliard en un peu plus de deux ans. Hydra, le mastodonte russe qui a terrorisé les autorités pendant environ six ans, culminait quand à lui à 5 milliards.

Hé bien Huione les a atomisés en opérant... en plein jour sur une app grand public.

Chute brutale des volumes Huione après le ban Telegram du 13 mai 2025 ( Source Elliptic )

Finalement, le 13 mai 2025, Telegram a fini par bannir Huione Guarantee. Victoire ? Pas vraiment. Car deux marchés concurrents ont immédiatement pris le relais : Tudou Guarantee et Xinbi Guarantee.

Et là, le magie-magie, on découvre que Huione détient 30% des parts de Tudou. Autant dire qu'ils ont juste changé d'enseigne...

Et aujourd'hui, ces deux plateformes traitent environ 2 milliards de dollars par mois en blanchiment d'argent, vente de données volées, faux sites d'investissement, outils de deepfake et autres joyeusetés. Elliptic surveille actuellement plus de 30 marchés de ce type sur Telegram et c'est pas triste...

Tudou prend le relais : explosion des volumes après la fermeture de Huione ( Source Elliptic )

Et tout ça sert à quoi ?

Principalement aux arnaques dites "pig butchering" (littéralement "boucherie de cochon"), ces escroqueries sentimentalo-crypto où l'arnaqueur vous "engraisse" patiemment avant de vous plumer. Le FBI estime que ces arnaques siphonnent près de 10 milliards de dollars par an aux victimes américaines.

Juste aux États-Unis, hein. Mais nous aussi on en reçoit tous les jours...

Et derrière ces arnaques, on trouve malheureusement des centres au Cambodge, au Myanmar et au Laos où des milliers de personnes sont forcées de travailler sous la menace. C'est ça l'envers cauchemardesque de ces chiffres astronomiques.

Ce qui me sidère, c'est que pendant des années, on nous a vendu le dark web comme l'eldorado intraçable des criminels, avec Tor, le chiffrement bout en bout, les protocoles anonymes... Et au final, le plus grand marché illicite de tous les temps opère sur une app que votre grand-mère pourrait installer. Les seules compétences requises c'est juste de parler chinois et d'être assez teigneux pour recréer un channel quand on se fait bannir.

Tom Robinson, cofondateur d'Elliptic, explique que c'est tout simplement "le plus grand marché illicite en ligne à avoir jamais existé". Plus grand que Silk Road, AlphaBay et Hydra réunis, tout ça OKLM sur Telegram.

On se demande ce que fout Pavel Durov... hmm...

En tout cas, ça montre que la sophistication technique n'est pas le facteur limitant du crime en ligne. Par contre, on est visiblement loin d'avoir résolu le problème. Quand Telegram en bannit un, y'en a deux autres qui poussent. C'est sans fin !

Bref, la prochaine fois qu'on vous parle du "dark web" comme de la grande menace, vous pourrez sourire car le vrai game se joue sur des apps qu'on trouve en libre accès sur l'App Store.

Source

Vous vous souvenez de mon article sur la machine à désinformation qu'est devenu X ? Et bien j'ai une bonne nouvelle pour vous :** les Français commencent enfin à se barrer de ce cloaque numérique !! Woohoo \o/ !**

En effet, Médiamétrie vient de sortir les chiffres de novembre 2025 et c'est un massacre pour le réseau social d'Elon. Pour la première fois depuis 2017, X ne figure plus dans le top 50 des marques les plus visitées en France. Le réseau social qui devait "révolutionner la liberté d'expression" (mdrrrr) se retrouve maintenant derrière Dailymotion, Allociné et même Yahoo. YAHOO putain !!! Le site que plus personne n'utilise depuis 15 ans fait mieux que le joujou à 44 milliards de Musk.

En novembre, X comptabilisait 14,4 millions de visiteurs uniques en France. C'est le même niveau que Reddit et pendant ce temps, Facebook et Instagram font trois fois plus d'audience et même LeBonCoin fait deux fois mieux. Le roi autoproclamé de la "free speech" se fait doubler par un site de petites annonces pour vendre des canapés d'occaz, c'est couillon quand même.

Et j'avoue, ça me fait plaisir. Parce que X c'est devenu quoi au juste ? Un repaire à fachos, à complotistes et à bots russes qui se refilent leurs fake news préférées en boucle. Un endroit où l'engagement prime sur la vérité, où les Community Notes arrivent 75 heures trop tard (quand elles arrivent...), et où le système de monétisation récompense littéralement ceux qui propagent de la merde. Souvenez-vous de l'attentat de Sydney où un innocent s'est fait menacer de mort parce que des abrutis cherchaient du clic facile...

Moi j'ai quitté tout ça. X, Facebook, Mastodon, Bluesky... Tous ces réseaux sociaux toxiques où on passe son temps à se foutre sur la gueule et je m'en porte mille fois mieux. Plus de notifications anxiogènes, plus de fils d'actualité conçus pour maximiser et cristalliser les colères, plus de cette économie de l'attention qui nous transforme tous en zombies.

Et visiblement je suis pas le seul à avoir eu cette illumination puisqu'en Europe, l'usage de X a chuté de 10 à 40% selon les pays. Les annonceurs continuent de fuir (qui a envie de voir sa pub à côté d'un tweet négationniste ?) et Musk a viré 80% de ses employés, passant de 7500 à 1500 personnes... donc y'a plus personne pour modérer quoi que ce soit.

Alors maintenant tous ces beaufs vont pouvoir rester entre eux à se branler la nouille sur leurs théories du complot préférées et ils vont pouvoir se persuader mutuellement que le Grand Remplacement c'est vrai, que les vaccins rendent autiste, et que Taylor Swift est une psy-op de la CIA. Grand bien leur fasse. Pendant ce temps, le reste du monde aura déserté leur petit club de losers et la vie continuera sans eux.

Vivement que X.com disparaisse dans les limbes de l'Internet, rejoindre MySpace et Google+ au cimetière des réseaux sociaux has-been. Ce sera bien mérité parce qu'il n'y a plus rien à sauver là bas.

Source

Pour moi, 2024 a été l'année noire de nos données personnelles en France. Et 2025 n'a pas corrigé le tir, bien au contraire. L'année qui s'est écoulée a juste confirmé qu'on était entrés dans une espèce de routine du "demain ce sera pire". Y'a pas eu un secteur épargné, pas un organisme qui n'a pas été touché. Santé, télécom, grande distribution, services publics, fédérations sportives... C'est un festival du piratage qui s'est abattu sur l'Hexagone ces 2 dernières années.

Et SaxX, le hacker éthique que vous connaissez surement, vient de publier sur son LinkedIn un bilan édifiant : 48 organisations françaises piratées en un an. La liste fait froid dans le dos.

En réalité c'est même plus que ça, puisque ça a commencé dès février 2024 avec le piratage massif de Viamedis et Almerys, les deux opérateurs de tiers payant qui gèrent la quasi-totalité des remboursements santé en France. Plus de 33 millions de Français concernés, avec leurs noms, numéros de sécu, dates de naissance... Pas les données bancaires certes, mais suffisamment pour monter des arnaques à l'usurpation d'identité bien ficelées.

Un mois plus tard, en mars 2024, c'est France Travail qui tombait. L'ex-Pôle Emploi s'est fait siphonner les données de potentiellement 43 millions de personnes inscrites au cours des 20 dernières années. Le pire c'est que la direction avait été alertée sur des faiblesses de sécu avant l'attaque. Des suspects ont été arrêtés... et c'était des gamins. Des gamins qui ont quand même eu accès aux données de la moitié du pays.

Septembre 2024 a aussi été un carnage. Un seul pirate, sous le pseudo Horror404x, a réussi à compromettre Boulanger (jusqu'à 27 millions de "lignes" revendiquées), Cultura (entre 1,5 et 2,6 millions de comptes selon les sources), Truffaut (270 000 comptes), Grosbill, Cybertek, et même l'Assurance Retraite (des centaines de milliers de retraités). Comment ? Simplement en ciblant un prestataire commun lié aux systèmes de livraison. Un seul maillon faible, et c'est toute la chaîne qui cède.

Puis en octobre-novembre 2024, ce sont les opérateurs télécoms qui se sont fait dépouiller. Free d'abord, avec plus de 19 millions de clients touchés, dont plusieurs millions avec des IBAN dans la nature. Et là, on est dans le bingo complet avec identité + coordonnées + infos contractuelles + IBAN = terrain parfait pour les arnaques "faux conseiller", les prélèvements frauduleux, les ouvertures de comptes. Ces derniers risquent d'ailleurs une amende pouvant aller jusqu'à 48 millions d'euros . Puis SFR a suivi avec au moins deux épisodes : une première fuite autour de 50 000 clients à l'automne 2024, puis des millions revendiqués ensuite. N'oubliez pas, quand ça nie, quand ça minimise, quand ça traîne... ça laisse juste plus de temps aux escrocs.

Et autour de ces gros blocs, y'a eu surtout une pluie d'incidents plus petits : Auchan, Picard, Molotov, LDLC, Norauto, Meilleurtaux... Sans oublier Direct Assurance, Speedy, Point S. Bref, 2024, c'est l'année où on a compris que ça touchait TOUT LE MONDE.

Et puis 2025 arrive, et là, le grand délire. Le piratage de nos données n'est plus une exception... Ce n'est plus un accident... C'est une industrie.

Début 2025, on voit apparaitre à nouveau des attaques "système"... C'est à dire des fournisseurs, des prestataires, des outils utilisés partout qui se font poutrer. L'exemple parfait c'est Harvest (logiciels financiers) et, par ricochet, des clients de MAIF et BPCE. Même logique que ce qu'on a eu en 2024... On tape un intermédiaire, et ça permet de toucher une grappe entière dans un secteur donné. Puis sans surprise, au printemps 2025, ça tombe comme des mouches : Intersport, Autosur, Cerballiance, Indigo, Afflelou, Carrefour Mobile, Easy Cash, Hertz... Et derrière chaque nom, c'est toujours la même chanson : "pas de données bancaires" (ok), mais tout le reste suffit largement pour faire de la merde.

L'été 2025, on a eu droit à des cibles plus "haut niveau" : Sorbonne Université, CNFPT, des acteurs santé, et côté marques : Dior, Louis Vuitton, Cartier... Côté transport y'a eu Air France et côté télécom, Bouygues Telecom ! On n'est plus sur un site e-commerce qui s'est fait péter via un formulaire php mal sécurisé...non, on est sur du volume, des identifiants, des IBAN, des chaînes d'approvisionnement complètes...

Ensuite, à l'automne 2025, c'est la sphère "sport" et "administrations" qui se fonbt hacher menu : des fédérations en cascade (souvent via des outils mutualisés), France Travail qui ressort encore, la Fédération Française de Tir (via un prestataire), et des histoires d'ARS qui donnent des sueurs froides.

Et la fin 2025, c'est la cerise radioactive sur le gâteau puisqu'on a Pajemploi, HelloWork, Leroy Merlin, Mondial Relay, Colis Privé, Eurofiber, Weda, Resana, Médecin Direct, Cuisinella, La Poste (attaque qui met à l'arrêt des services au pire moment, je pense que vous en avez tous entendu parler), le Ministère de l'Intérieur, le Ministère des Sports, PornHub...

On termine donc l'année en beauté avec l'impression que tout le monde est une cible "normale". 9 personnes sur 10 en France ont été touchées d'après SaxX. C'est dingue quand même.

Et ce qui me fait bouillir de rage, c'est qu'on est coincés, putain.

Réfléchissez deux secondes... Vous cherchez un emploi ? Vous êtes OBLIGÉS de vous inscrire à France Travail et de leur filer votre vie entière. Vous voulez être remboursé de vos frais de santé ? Pas le choix, c'est Viamedis ou Almerys. Vous voulez un téléphone ? Free, SFR, Orange... Et votre numéro de sécu, votre IBAN, votre adresse. Vous voulez une retraite (loool) ? La CNAV veut tout savoir. Et si vous refusez de donner ces infos ? Vous êtes tout simplement hors-la-loi. Pas d'emploi, pas de remboursement santé, pas de téléphone, pas de retraite. Fin de partie.

Donc le deal c'est soit vous filez vos données personnelles à des organismes qui se feront pirater tôt ou tard, soit vous vivez en ermite dans une grotte en dehors de la société. Super choix 👍.

Et qu'est-ce qu'on a en échange de cette "confiance" forcée ?

On a des systèmes d'information qui ressemblent à des passoires, des prestataires sous-payés qui deviennent des portes d'entrée open bar pour les hackers, et des communications de crise qui arrivent des semaines après les faits. "Vos données bancaires ne sont pas concernées" nous rabache-t-on à chaque fois, comme si c'était une consolation alors que notre identité COMPLÈTE est en vente pour le prix d'un Happy Meal.

Et ce qui m'inquiète le plus, c'est l'effet cumulatif car chaque fuite isolée peut sembler "gérable" mais quand vous croisez les bases de Viamedis (numéro de sécu), France Travail (historique pro), un opérateur télécom (IBAN), un distributeur (habitudes de conso)... Vous obtenez un profil complet exploitable. Y'a 600 millions de comptes qui sont partis dans la nature rien que cette année... Donc de quoi monter des arnaques ultra-ciblées, des usurpations d'identité sophistiquées, voire du chantage.

Et dans certains cas, ça va encore plus loin... Regardez le piratage de la Fédération Française de Tir avec le gars qui s'est fait attaquer chez lui ...Et c'est pas le seul... Ça montre jusqte à quel point une fuite peut devenir un risque "hors écran". Quand on sais qui est licencié, où il habite, comment le joindre... on peut mettre en place très facilement du repérages, des pressions, du ciblage. Et là, j'vous parle de risque physique, pas juste de spam ou de démarchage au téléphone. Et ça sera la même violence avec leur future loi pour collecter toutes les datas des propriétaires de wallet crypto self-custody.

Bref, je sens ce malaise qui monte de plus en plus car on nous demande toujours plus d'infos. Pour ouvrir un compte, pour s'inscrire quelque part, pour accéder à un service... et vous comme moi, savons pertinemment que ces infos vont fuiter un jour. C'est pas "si", c'est "quand", perso, j'en ai ma claque... ça commence à bien faire.

Alors voilà ma vraie question, celle que nos chers élus devraient se poser : A-t-on vraiment besoin de collecter autant de données ?

Pourquoi France Travail a besoin de garder mes infos pendant 20 ans ? Pourquoi mon opérateur télécom doit connaître mon adresse postale exacte ? Pourquoi ma carte de fidélité Auchan doit être liée à mon identité complète ? Est-ce qu'on pourrait pas, je sais pas moi, minimiser un peu tout ça ?

Et surtout, est-ce qu'on pourrait pas trouver un système qui nous permettrait de prouver notre identité sans avoir à déballer notre vie entière ? Genre juste vérifier que oui, je suis majeur, que oui, j'habite en France, sans pour autant filer mon adresse, mon numéro de téléphone, ma photo, ma carte d'identité et la liste de tous mes comptes en banque. Ces technologies existent et y'a déjà des solutions de type zero-knowledge proof. Ça fait des années que je vous en parle, mais apparemment, c'est plus simple de continuer à empiler des bases de données géantes qui finiront toutes par être piratées.

On a une CNIL qui fait ce qu'elle peut avec les moyens du bord. On a une ANSSI qui alerte et recommande. Mais où est la vraie réflexion ? Où sont les députés et les ministres qui se posent la question de la minimisation des données ? Où est le débat sur les alternatives à ce système de merde où le citoyen est obligé de tout donner pour exister socialement ?

Parce que là, on nous demande de "rester vigilants face au phishing" (lol), de "vérifier nos comptes", de "changer nos mots de passe régulièrement"... Bref, de gérer les conséquences de leurs négligences. C'est un peu comme demander aux passagers du Titanic de vider l'eau avec des seaux pendant que le capitaine continue à foncer droit sur l'iceberg suivant.

Voilà, pour moi ce bilan 2024-2025, c'est pas juste une liste de chiffres. C'est le symptôme d'une société qui a numérisé jusqu'à l’écœurement nos vies en marche forcée sans jamais se poser les bonnes questions. On a foncé tête baissée dans la collecte massive de données "parce que c'est pratique, tkt", sans jamais se demander si on en avait vraiment besoin, et sans jamais investir sérieusement pour les protéger.

Alors à nos chers décideurs, j'ai envie de dire réveillez-vous bande de moules !! Car le prochain gros piratage, c'est pas dans 10 ans, hein, c'est dans les prochains mois. Et ce sera encore 30 ou 40 millions de Français qui verront leurs données dans la nature. Ça vous semble normal ? Moi non, et je mettrais ma main à couper que je suis pas le seul à en avoir ras-le-bol.

Merci à SaxX pour ce travail de compilation et d'alerte !

Pour ceux qui auraient raté l'info, deux terroristes ont ouvert le feu le 14 décembre dernier, lors d'une célébration de Hanoukka à Bondi Beach (Sydney en Australie), tuant 15 personnes. Et dans les minutes qui ont suivi, X s'est transformé, comme à son habitude, en machine à désinformation...

Un homme d'affaires pakistanais portant le même nom que l'un des tireurs (Naveed Akram) s'est alors retrouvé accusé d'être l'auteur de l'attentat. Sa photo a été partagée des milliers de fois, il a reçu des menaces de mort et sa famille a même été harcelée. Sauf que ce gars n'avait strictement rien à voir avec l'attaque, mais partageait juste un nom de famille très courant avec le vrai coupable.

Mais ça, les abrutis de cette planète n'y ont même pas pensé. C'est dire s'ils sont cons...

Après vous allez me dire : « Ouais mais y'a les Community Notes pour corriger ça » sauf que ça marche pas de fou ces notes de la communauté. A titre d'exemple, selon le Center for Countering Digital Hate , 74% de la désinformation liée aux élections américaines de 2024 n'a JAMAIS reçu de note de la communauté. Et quand une note finit par arriver, il faut compter entre 7 et 75 heures selon les cas pour qu'elle soit diffusée.

Donc autant dire une éternité à l'échelle d'Internet...

Et comme si la situation n'était pas encore assez critique, d'après une étude du MIT, les fausses infos se propagent 6 fois plus vite que les vraies sur ces plateformes. Bref, on est foutu face à la connerie humaine.

Surtout que d'après Timothy Graham , chercheur en médias numériques à l'université QUT en Australie, il y a maintenant une économie autour de la désinformation, notamment sur X car leur système de monétisation paie les créateurs en fonction de l'engagement généré par les utilisateurs vérifiés. Ainsi, Plus vos posts font réagir, plus vous gagnez d'argent.

Et devinez quel type de contenu génère le plus d'engagement ?

Hé bien les trucs faux, les trucs scandaleux, les trucs qui font monter les tensions.

Y'a même eu une vidéo de feux d'artifice présentée comme des « célébrations arabes » après l'attentat qui n'était que pure invention. C'était en fait les feux d'artifice de Noël du Rotary Club local, programmés des mois à l'avance. Le truc a fait des millions de vues avant d'être démenti. Certains parmi vous ont peut-être mordu à l'hameçon de cette fake news d'ailleurs.

Pire encore, Grok, l'IA d'Elon Musk intégrée à X, a carrément inventé le nom du héros qui a désarmé l'un des tireurs. Quand les utilisateurs lui demandaient qui avait sauvé des vies, l'IA sortait « Edward Crabtree » de nulle part, un nom totalement fictif tiré d'un site web frauduleux créé le jour même de l'attentat.

Et pendant ce temps, le vrai héros de cette tragédie, Ahmed al-Ahmed, un Australien d'origine syrienne qui a risqué sa vie pour désarmer l'un des tireurs et protéger les victimes, était à peine mentionné. Plus de 2,6 millions de dollars ont été collectés pour lui depuis, mais il a fallu creuser fort pour trouver la vraie histoire pendant que les fake news monopolisaient l'attention.

Le problème c'est que le modèle économique de X encourage les comptes à poster vite et fort, sans vérification. Avoir 5 millions d'impressions et seulement 2000 abonnés, ça permet de monétiser. Et plus on génère de réactions, plus on palpe... Du coup, poster « BREAKING : le tireur identifié » avec une photo d'un random est rentable, même si c'est faux.

Surtout si c'est faux, en fait... Vous savez ce syndrome de "Les merdias mainstream nous cachent des choses, mais heureusement j'ai vu une vérité alternative sur X.com et c'est encore la faute aux zarabes, à l'Europe et aux élites judéo-maçonique-réptiliennes qui veulent manger nos enfants" qui frappe ce genre de personnes dont le cerveau est trop atrophié pour qu'ils puissent développer une réflexion qui leur est propre.

Après, je ne pense pas être naïf, car la désinformation a toujours existé, mais là on parle quand même d'un système de merde qui récompense financièrement ceux qui la propagent. C'est plus un bug, c'est une feature et quand un innocent se fait menacer de mort parce qu'un comploplo en slip dans sa cave a voulu faire du clic, ça me fout les nerfs.

Bref, tant que l'engagement restera la métrique reine et que les plateformes paieront au buzz plutôt qu'à la véracité des faits, on continuera à subir ce genre de dérives horribles...

Vous utilisez une extension VPN gratuite sous Chrome ou Edge pour "protéger votre vie privée" ? Cool story les bro, mais si je vous disais que cette même extension enregistre peut-être toutes vos conversations avec ChatGPT, Claude, Gemini et compagnie pour les revendre à des courtiers en données (les fameux data brokers) ?

Hé bien c'est exactement ce que viennent de découvrir les chercheurs en sécurité de Koi qui ont mis le doigt sur 4 extensions très populaires comptabilisant plus de 8 millions d'utilisateurs au total : Urban VPN Proxy (6 millions à elle seule), 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker qui aspirent silencieusement tout ce que vous tapez dans vos chat IA préférées.

Le truc vicieux, c'est que ces extensions ne se contentent pas de regarder votre historique de navigation comme les trackers classiques. Non non non, elles injectent du code JavaScript directement dans les pages des chatbots IA quand vous les visitez et ça modifie les fonctions de base du navigateur (fetch() et XMLHttpRequest pour les techos) pour intercepter absolument tout ce qui passe entre vous et l'IA.

Vos prompts, les réponses du chatbot, les métadonnées de conversation, tout est aspiré et envoyé vers les serveurs analytics.urban-vpn.com et stats.urban-vpn.com. Et le pire c'est que cette collecte continue en arrière plan même quand le VPN est désactivé. Bye bye tous vos secrets.

Derrière ces extensions se cache Urban Cyber Security Inc., une boîte affiliée à BiScience, un courtier en données bien connu des chercheurs en sécurité. Ces gens-là sont passés de la collecte d'historique de navigation à la collecte de conversations IA complètes, soit un niveau de sensibilité bien supérieur vu ce qu'on peut raconter à une IA (questions médicales, code propriétaire, problèmes personnels, données financières...).

Et devinez quoi ? Ces extensions arboraient fièrement le badge "Featured" sur le Chrome Web Store et le Microsoft Edge Add-ons, censé garantir que Google et Microsoft ont vérifié leur sécurité. Nos deux géants américains ont donc validé des extensions qui violent directement leur propre politique d'utilisation limitée des données utilisateurs.

Bref, si vous avez installé une de ces extensions et utilisé ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok ou Meta AI depuis juillet de cette année, partez du principe que toutes ces conversations sont maintenant sur les serveurs d'un data broker et potentiellement revendues à des annonceurs.

La morale de l'histoire, c'est que dans le cas des VPN gratuits, le produit c'est littéralement tout ce que vous faites en ligne. Donc si vous voulez vraiment protéger votre vie privée avec un VPN, mieux vaut payer quelques euros par mois pour un service sérieux comme NordVPN ou Surfshark qui n'a pas besoin de revendre vos données pour survivre.

Vous pensiez encore que WhatsApp était secure grâce au chiffrement de bout en bout ?

Pauvres fous ^^ !

En fait, des chercheurs de l’Université de Vienne viennent (!!) de démontrer qu’on peut vous espionner à distance via Whatsapp sans que vous receviez la moindre notif.

L’attaque s’appelle “Careless Whisper” (oui, comme la chanson de George Michael) et elle exploite un truc tout bête : les accusés de réception, ces petits checks bleus qui vous indiquent qu’un message a été délivré puis vu…

Ainsi, en envoyant des messages spécialement conçus pour l’occasion, notamment des réactions à des messages qui n’existent pas, un attaquant peut déclencher des accusés de réception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui apparaît, mais de l’autre côté, votre stalker psychopathe mesure le temps que met votre téléphone à répondre.

Et en analysant ces temps de réponse, on peut savoir si votre écran est allumé ou éteint, si WhatsApp est ouvert au premier plan, quel système d’exploitation vous utilisez, combien d’appareils sont connectés à votre compte, et même déduire vos horaires de sommeil. Tout sans que vous ayez le moindre indice qu’on vous surveille, évidemment !

La recherche, disponible ici , a d’ailleurs reçu le Best Paper Award à la conférence RAID 2025. Les chercheurs ont testé sur WhatsApp et Signal, et les deux sont vulnérables. Mais sur WhatsApp, c’est le pire, car l’application autorise des payloads de réaction jusqu’à 1 Mo, ce qui permet de générer 13 Go de trafic par heure sur le téléphone de la victime, donc ça permet même de vider tranquillement sa batterie de 15 à 18% par heure sans qu’elle ne s’en rende compte.

Un développeur a même créé un outil open source pour tester la faille de manière responsable et en respectant la loi évidemment. Si vous voulez tester, faites-le uniquement sur votre matériel. L’interface de ce PoC permet de traquer en temps réel l’activité d’un numéro de téléphone. En dessous d’un certain seuil sur le délai de réponse, la personne est active, et au-dessus, elle dort ou son téléphone est en veille.

Les chercheurs ont bien sûr signalé la faille à Meta en septembre 2024, qui a “accusé réception” (lol), mais aucune correction n’a été apportée depuis. Et chez Signal ils n’ont pas répondu du tout.

Alors comment on fait pour se protéger de ça ? Et bien dans Whatsapp, il y’a une option qui se trouve dans Paramètres → Confidentialité et autoriser seulement “Mes Contacts” à voir ce qu’on partage, ce qui permet de limiter les accusés de réception à vos contacts uniquement. Ça ne règle pas tout, mais ça complique la tâche des inconnus qui voudraient vous traquer.

Voilà, une fois encore, même sur les apps avec du chiffrement de bout en bout qui protège le contenu des messages, ça ne fait pas tout, car il y a toujours des métadonnées qui peuvent être exploitées de manière frauduleuse, donc soyez vigilant :)

Quand je bossais comme consultant y’a genre 10 000 ans, je devais tracker le temps que je passais pour chaque client dans un fichier Excel. Et ça mes amis, c’était super chiant mais nécessaire. Après peut-être que vous de votre côté, vous n’êtes pas tropfliqué mais vous vous imposez l’envoi de messages Slack stratégiques juste avant de vous déconnecter, ou vous faites partir des emails à 23h pour montrer que vous êtes un esclave acharné du capitalisme ?

Bienvenue dans l’ère du grand théâtre de la productivité.

Après quand on est freelance ou qu’on essayer de bien équilibrer son temps de travail, c’est sympa aussi de pouvoir tracker ce qu’on fait en temps réel, pour nous-même, sans forcement que personne d’autre ne regarde.

Hé bien c’est exactement ce que propose Neura Hustle Tracker qui est un tracker de temps open-source, écrit en Rust, qui tourne dans votre terminal et stocke TOUT en local sur votre machine dans un PostgreSQL. Comme ça, aucune donnée ne quitte votre ordinateur.

L’idée, c’est donc de reprendre le pouvoir sur vos propres données de productivité en enregistrant automatiquement les applications que vous utilisez, le temps passé sur chacune, et afficher ça sous la forme de graphiques directement dans votre terminal.

Comme ça vous verrez le temps pharamineux que vous passez sur Korben.info ou Slack au lieu de vraiment bosser. Pour l’installer, ça marche sous Windows, macOS et Linux et ça peut tourner dans un Docker. La doc est ici.

Vous pouvez même le lancer au démarrage de l’ordi, comme ça, le tracking démarre instantanément dès que vous commencez à bosser. Par contre, n’oubliez pas de le couper quand vous voulez faire un truc en dehors des radars hein ^^.

Le projet est encore jeune, mais il évolue rapidement. Adolfo, le développeur principal, a d’ailleurs récemment ajouté des commandes pour naviguer dans l’historique complet (touches h pour history et b pour breakdown) et améliore régulièrement la qualité des visualisations.

Voilà, donc si vous en avez marre que votre productivité soit transformée en KPI pour votre manager, et que vous voulez juste comprendre comment vous passez vraiment votre temps sans avoir à rendre de comptes à personne, Neura Hustle Tracker mérite le coup d’oeil. C’est gratuit, et c’est open-source !

Un grand merci à Lorenper pour le partage !

Vous scrollez tranquillement r/rance à 2h du mat’ pour tuer le temps avant de dormir, vous lisez quelques posts, regardez des memes, rigolez sur un truc débile. Mais savez-vous que Reddit enregistre chaque post que vous lisez, chaque image que vous ouvrez, chaque seconde que vous passez sur chaque thread ? Et ça, ils le font même si vous n’avez pas de compte y compris si vous êtes en navigation privée.

Bienvenue dans le monde merveilleux du tracking obligatoire !

Heureusement, pour lutter contre ça, sans se priver de Reddit, il existe Redlib , un front-end alternatif open source, codé en Rust, qui va vous permettre de lire Reddit sans que Reddit ne sache que vous existiez. Pas d’inscription, pas de JavaScript, pas de pubs, pas de tracking. Vous remplacez juste “reddit.com” par “redlib.tiekoetter.com” dans l’URL et hop, vous avez le même contenu sans la surveillance.

D’ailleurs, petite histoire rapide pour comprendre pourquoi Redlib existe…

En 2023, Reddit a décidé de tuer toutes les apps tierces populaires comme Apollo ou BaconReader en rendant son API hors de prix. Le vrai objectif n’était pas de monétiser l’API, mais plutôt de forcer tout le monde à passer par leur app officielle bourrée de trackers et de pubs. À cette époque, il existait Libreddit, un projet similaire à Redlib qui permettait de lire Reddit en privé mais Reddit a commencé à imposer des rate limits agressifs qui ont tué Libreddit… Projet tragiquement décédé, fin de l’histoire…

Sauf que non. Un dev a décidé de ressusciter Libreddit sous un nouveau nom : Redlib. Et là, coup de génie technique, au lieu de se connecter normalement à l’API Reddit, Redlib utilise une technique appelée OAuth token spoofing.

En gros, Redlib se fait passer pour l’application officielle Android de Reddit. Il envoie les mêmes headers HTTP, utilise les mêmes tokens d’authentification, et imite le comportement de l’app officielle. Du coup, Reddit pense que c’est son app qui fait des requêtes, et laisse tout passer sans bloquer. Alors évidemment, la première question qui vous vient surement c’est : Est ce légal ??

Et bien comme pour toutes les bonnes choses de la vie, techniquement, on est dans une “zone grise”. Mais après éthiquement parlant, vous lisez du contenu public que les gens ont posté gratuitement sur une plateforme publique, donc j’imagine que pour le concepteur de Redlib, y’a pas mort d’homme.

Donc pour utiliser Redlib, vous avez donc cette instance publique redlib.tiekoetter.com qui vous permet de libérer n’importe quel lien Reddit. Mais pour les plus geeks d’entre vous, ceux qui sont à fond dans l’auto-hébergement parce qu’ils ont beaucoup de temps libre (lol), vous pouvez le mettre en place chez vous également avec Docker. Le repo GitHub explique tout, c’est assez rapide à mettre en place.

La différence avec l’expérience Reddit normale est d’ailleurs flagrante car sur reddit.com, vous êtes bombardé de popups “Install our app”, de bannières de cookies, de pubs…etc. Le site est lourd, lent, et essaie constamment de vous pousser vers l’app mobile alors qu’au contraire, sur Redlib, c’est du contenu pur et dur. Pas de JavaScript, pas de popups, juste les threads et les commentaires. Et c’est super rapide !! Même les images passent par le serveur Redlib, donc Reddit ne voit jamais votre IP quand vous chargez une photo.

Maintenant, faut quand même savoir que Reddit n’est pas content de cette situation. Ils essaient régulièrement de bloquer les instances Redlib en bannissant des adresses IP. C’est pour cela que certaines instances publiques rencontrent parfois des erreurs du style “Failed to parse page JSON data”, mais la communauté Redlib réagit en général très vite, change d’IP, ajuste les tokens OAuth, et le service repart.

Bref, je vous conseille de tester, surtout si vous en avez marre de vous faire harceler par des messages vous incitant à installer l’app mobile.

Reddit, c’est bien mais Reddit sans surveillance, c’est mieux !

Vous en avez marre de cliquer sur “Accepter les cookies” à chaque fois que vous visitez un site web ? Du genre vraiment marre, au point de parfois renoncer à lire un article plutôt que de devoir encore cliquer sur ces bannières ? Et bien si j’en crois Mashable , la Commission européenne envisage sérieusement de revoir la directive e-Privacy de 2009 qui nous a imposé cette avalanche de bandeaux moches.

Enfin !!

Il était temps qu’ils se réveillent à Bruxelles, parce que bon, l’intention de départ était louable c’est sûr… Il s’agissait de protéger notre vie privée en nous demandant notre consentement avant de nous traquer. Sauf que dans les faits, on s’est tous retrouvés à cliquer frénétiquement sur “Accepter tout” juste pour pouvoir lire tranquillement notre article. C’est ce qu’on appelle la “cookie fatigue”, et elle a complètement détourné l’objectif initial de la loi, en plus de faire perdre des heures de travail à toute l’économie européenne .

La Commission européenne explore donc plusieurs pistes pour simplifier tout ça. L’idée principale de leurs réflexions, ce serait de permettre aux utilisateurs de définir leurs préférences une bonne fois pour toutes dans les paramètres de leur navigateur. Fini les popups sur chaque site et vos navigateurs Chrome, Firefox, Safari et consorts deviendraient les gardiens de vos préférences cookies. Techniquement, c’est déjà possible avec le Do Not Track, mais personne ne l’utilise vraiment.

Ça m’énerve vraiment de lire ça, car ces bandeaux cookies, c’était vraiment la pire implémentation qu’ils pouvaient mettre en place alors que depuis J-0 tout le monde leur gueule fort dans les oreilles “Mais bande de nazes, faut l’implémenter dans le navigateur”.

Enfin, j’imagine qu’il vaut mieux tard que jamais.

Bref, bientôt les affreux bandeaux cookies qui faisaient mouiller les ayatollahs du RGPD vont disparaitre… quelle bonne nouvelle ! Pour ma part, en ce qui concerne mon site, j’ai écrit à la CNIL (en recommandé svp !) en début d’année pour leur demander leur avis, afin de savoir si je respectais bien le RGPD. Je n’ai jamais eu de réponse de leur part (snif), mais de mon point de vue, de celui de lecteurs dont c’est le métier, de CookieViz , et de ma régie pub, j’étais pas trop mal.

Après, depuis mon courrier à la CNIL y’a eu pas mal de changements quand même. J’sais pas si vous avez suivi mon actu, mais cet été, j’ai notamment retiré le bandeau des cookies.

What ??? Suis-je un vil criminel ?

Non, en fait c’est parce que j’ai supprimé tout ce qui était scripts de stats (Google analytics / Matomo) parce qu’elles n’avaient plus aucun sens vu que tout le monde les bloque… J’utilise également uniquement le player “no-cookies” de Youtube, et j’ai aussi enlevé toutes les bannières de pubs parce que c’est quelque chose que je voulais faire depuis loooongtemps. Ça me fait des revenus en moins c’est sûr (ouille), mais je compte sur mon Patreon pour contrebalancer ça.

C’était pas une décision simple puisqu’un peu risqué, et j’espère que l’avenir me donnera raison. En plus, comme j’ai aussi totalement arrêté de partager mes articles sur mes comptes de réseaux sociaux , ça a provoqué également une jolie petite baisse de trafic. Après, contrairement à mes confrères de la presse tech, je ne suis pas équipé pour faire la course à l’audience vu que je suis à 99% tout seul à écrire, à gérer la technique, le code du site, faire rentrer la thune, et la gestion de ma boite…etc., donc bon, ça ne change pas grand-chose, toutefois ne plus avoir de publicités programmatiques, ça renforce encore cette absence d’enjeux liés au trafic et ça me fait un truc en moins à gérer.

Par conséquent, le site est plus rapide à charger, il est visuellement plus joli (à mon goût), bref, j’en suis très content ! Et ça se ressent sur mes dernières stats (réalisées sans tracking car générées à partir des logs de mon serveur web), puisque mon site a enregistré au mois d’août (le pire mois de l’année à cause des vacances), 1,4 million de visiteurs uniques ! Du coup, je suis assez content et fier parce que ça veut dire que ce que j’écris vous intéresse et ça c’est cool !

Voilà, je referme cette parenthèse sur le meilleur site Tech de France (hein, quoi ?? ^^) pour revenir à cette réforme européenne. Histoire d’avancer un peu, le Danemark a suggéré que les cookies “techniquement nécessaires” ou pour des “statistiques simples” ne devraient plus nécessiter de consentement. Ça paraît logique, mais faut pas oublier quand même que malgré tout, les données s’envolent aux États-Unis la plupart du temps (je pense à Google Analytics) et ça, c’est pas cool, donc j’espère qu’ils resteront vigilants là-dessus, même pour de simples stats.

De leur côté, les lobbyistes de l’industrie Tech poussent fort pour avoir plus de marge de manœuvre afin de décider eux-mêmes de ce qui nécessite un consentement ou pas (lol, tu m’étonnes), mais forcément, les défenseurs de la vie privée tirent la sonnette d’alarme et je les rejoins là-dessus ! En effet, ces derniers craignent qu’on donne trop de pouvoir aux entreprises et qu’on se retrouve avec encore plus de tracking qu’avant, mais cette fois, sans qu’on le sache.

Du coup, la vraie question pour le régulateur c’est de trouver l’équilibre entre une bonne protection de la vie privée et une expérience utilisateur fonctionnelle. Pas simple, mais le Do Not Track (ou un équivalent) pourra aider.

Bref, est-ce qu’on verra disparaître ces satanées bannières RGPD ? Peut-être pas complètement, mais on pourrait au moins avoir quelque chose de plus intelligent qui permettrait de configurer une seule fois vos préférences dans Firefox ou Chrome, et hop, tous les sites respecteront automatiquement vos choix. Comme ça, plus besoin de cliquer sur quoi que ce soit… Les cookies strictement nécessaires passeront alors directement et les cookies marketing seront bloqués si vous l’avez décidé.

Comme ça tout le monde sera content… enfin, j’imagine ?

Vous pensiez être invisible en mode incognito avec votre VPN ?

Et bien Meta vient de nous prouver que vous étiez aussi discret qu’un rhinocéros dans un magasin de porcelaine. En effet, leur dernière trouvaille technique transforme votre smartphone en mouchard et cette fois, ça pourrait leur coûter la bagatelle de 32 milliards d’euros d’amende.

L’affaire a éclaté en juin 2025 quand une équipe de cinq chercheurs a révélé au grand jour le “localhost tracking” de Meta. Tim Vlummens, Narseo Vallina-Rodriguez, Nipuna Weerasekara, Gunes Acar et Aniketh Girish ont découvert que Facebook et Instagram avaient trouvé le moyen de contourner toutes les protections d’Android pour vous identifier, même quand vous faites tout pour rester anonyme. VPN activé, mode incognito, cookies supprimés à chaque session… Meta s’en fichait complètement.

En ce moment, c’est un peu compliqué pour Firefox et ça me rend triste. Je n’aimerais pas que mon navigateur préféré disparaisse faute de moyens.

Entre la baisse des parts de marché face à Chrome, les licenciements chez Mozilla et les récentes décisions contestées sur leur modèle économique, le panda roux semble parfois naviguer en eaux troubles. Mais si cela devait arriver, vu que c’est open source, la relève est déjà prête ! Firefox durci, télémétrie supprimée, pistage neutralisé, DuckDuckGo par défaut, uBlock Origin préinstallé et j’en passe…