Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierGénéralistes

Les flux RSS c'est la vie !

Par : Korben ✨
28 juin 2026 à 08:37

J'aime bien lire les articles de l'EFF (l'Electronic Frontier Foundation, la Quadrature du Net des américains quoi...) et là ils viennent de publier un truc m'a fait plaisir : un vrai plaidoyer pour la défense du RSS .

Vous connaissez mon avis là dessus et c'est vrai que depuis que Google a signé l'arrêt de mort de cette techno au profit d'algo à la con type Discover , y'a énormément moins de monde qui l'utilise. Et je trouve ça triste.

Alors que les flux RSS, c'est la liberté ! Ça décloisonne le contenu d'un site pour le faire atterrir dans l'appli de votre choix, ça permet d'en extraire des choses, de le faire traiter par exemple par un programme...etc. Et surtout c'est vous qui gérez la façon dont vous voyez le contenu. Vous pouvez le filtrer, l'ordonner comme vous voulez et surtout le lire avec le lecteur de flux de votre choix.

C'est super pratique, et ça permet par exemple de parcourir uniquement les titres des articles, et de ne s'arrêter que sur ceux qui vous intéressent. Moi y'a plein de trucs qui m'intéressent en ce moment et que j'ai envie de partager. Je suis hyper actif et atteint de FOMO, donc ça bombarde. En plus j'ai que ça à foutre de la journée en général, donc bon, désolé ! ^^ Mais heureusement, avec les flux RSS vous pouvez faire une sélection plus fine et éviter de lire des trucs qui ne vous intéressent pas.

Perso, ça fait des années que je fais de la veille, c'est une partie importante de mon boulot. J'ai commencé sur un lecteur de flux tout pourri, puis je suis passé par Netvibes, Google Reader (paix à son âme), puis Feedly et aujourd'hui j'expérimente Inoreader. Le RSS ne m'a jamais quitté et quand les sites n'en proposent pas, je m'arrange toujours avec des scripts ou des outils customs pour m'en faire un que je peux importer dans mon lecteur !

J'aime tellement ça que sur korben.info, que je vous propose des flux RSS complets (qui contiennent tout le contenu). Le premier, /feed , c'est le flux tech que vous connaissez, historique, exactement comme vous l'aimez. Que de la techno, du code, de la sécu, de l'open source.

Et le petit nouveau c'est /feedfull , qui propose les même sujets tech qu'au-dessus + des sujets un peu plus grand public / mainstream. Dernièrement, j'avais envie envie d'ouvrir un peu plus les portes du site et écrire aussi pour ceux qui ne bidouillent pas et qui veulent juste être au courant d'un truc utile ou deux. Et heureusement, Vincent m'aide dans cette nouvelle aventure !

Bref, c'est vous qui choisissez votre flux, je ne vous l'impose pas ! Et c'est la même logique sur la page d'accueil avec ce petit switch dans le header.

"Complet", c'est l'affichage par défaut, vous voyez tout. Et si vous cliquez sur "Techos", hop, le contenu grand public disparaît. Votre choix est mémorisé dans le local storage de votre navigateur, et voilà.

Si vous n'avez pas encore de lecteur RSS, n'importe lequel fera l'affaire, de Feedly cité plus haut à un truc plus moderne comme MrRSS . Vous copiez l'adresse du flux, vous la collez, c'est réglé. Et tant qu'on y est, vous pouvez aussi reprendre la main sur votre actu côté Google avec cette manip.

Bref, deux flux, un switch, et c'est vous qui tenez le barre !

Source

DNS4EU refuse de bloquer les sites pirates de la BREIN

Par : Korben ✨
27 juin 2026 à 15:19

DNS4EU dont je vous ai causé y'a pas longtemps, c'est le service de DNS co-financé par l'UE et opéré par une société tchèque nommée Whalebone. Et bizarrement, depuis des mois, cette société récupère auprès de l'organisation anti-piratage néerlandaise (la BREIN) des listes de sites pirates.

Du coup, les utilisateurs commencent à se poser des questions... Pourquoi faire ?

Et bien d'après les dernières nouvelles, ils ne s'en servent pas.

La BREIN envoie automatiquement sa liste contenant +300 sites bloqués vers DNS4EU comme ils le font déjà avec les FAI, et je pense qu'ils voyaient ça comme une bonne astuce pour bloquer un maximum de sites illégaux.

Mais pas de bol, Whalebone a fini par expliquer que comme la BREIN n'était pas une vraie autorité de régulation, bah y'avait aucune raison qu'ils utilisent leur liste pour faire du DNS filtrant. Hé ouiiii.

Vous allez voir la nuance... En fait dans le cadre de l'appel d'offre de la Commission européenne en 2022, il était demandé à ce que le prestataire filtre le contenu illégal "sur base légale", donc sur ordonnance d'un tribunal. Par exemple, ça a déjà été le cas avec la France, qui a ordonné par décision de justice de bloquer certains sites sur DNS4EU .

Mais cette liste de la BREIN s'appuie uniquement sur des décisions de justice obtenues CONTRE les FAI néerlandais et pas contre DNS4EU. Ah ils sont trop malins !

Après côté usage, ça reste un DNS classique avec cinq profils au choix, un qui bloque juste le malware et le phishing, un qui ajoute le blocage des pubs, un avec protection des enfants, la combinaison des deux, et un "unfiltered" sans le moindre filtre (86.54.11.100 si ça vous tente). Le filtrage, c'est vous qui choisissez, les blocages imposés par la justice mis à part.

Et sur les 63 millions de blocages décidés par DNS4EU lui-même, l'écrasante majorité c'est du phishing et des arnaques, pas du téléchargement. On est donc trèèèès loin de ces cinglés de flics du copyright. Pour l'instant en tout cas...

Je dis "pour l'instant" parce qu'actuellement, on est dans un contexte où la justice européenne serre la vis partout, avec par exemple la France qui ordonne aux VPN de filtrer ou encore l' Italie avec son Piracy Shield qui veut faire plier Cloudflare. Mais bon, pour le moment, ce DNS souverain a su dire qui dit "nee" (c'est comme ça qu'on dit "non" en néerlandais) à ces fifous d'ayants droit et pour ça, je les remercie.

Après, un DNS qui propose en option de bloquer ou non les pubs, ça ne me gêne pas une seconde. Mais si un jour c'est pour faire du DNS menteur histoire de faire plaisir aux ayants droit, là ce sera boycott direct pour moi. Bref, je surveille ça de près et je ne manquerai pas de vous tenir au courant.

Source

Adblock for YouTube - 10 millions d'installs et un piège dormant

Par : Korben ✨
25 juin 2026 à 22:20

Mise à jour du 26 juin 2026 : Mathias Rochus, le fondateur d'AdBlock Ltd qui édite l'extension, m'a contacté pour réagir. Il souligne que cette capacité n'a jamais servi (le rapport Island le confirme) et que le scriptlet en cause, trusted-create-element, n'est pas maison : il vient de la bibliothèque open-source de scriptlets d'AdGuard que beaucoup de bloqueurs embarquent. Surtout, il annonce corriger les deux problèmes dès aujourd'hui : suppression pure et simple du scriptlet inutilisé pour qu'aucune config serveur ne puisse l'appeler, et vérification du vrai domaine youtube.com au lieu d'une chaîne posée n'importe où dans l'URL. La nouvelle version doit encore passer la revue de Google.

Une précision quand même, parce que c'est le cœur du sujet : selon le rapport Island, quand le serveur renvoie certains paramètres, l'élément créé est une balise <script> dont le contenu est fourni directement par le serveur. Autrement dit, le verrou qu'on retire servait bien à faire tourner du code venu d'ailleurs. Le correctif, lui, est une bonne nouvelle pour les 10 millions d'utilisateurs. Je reviendrai vérifier une fois la mise à jour en ligne.


Si vous avez installé une extension qui s'appelle "Adblock for YouTube" pour virer les pubs de vos vidéos, prenez deux minutes pour lire mon article.

Les chercheurs Oleg Zaytsev et Shachar Gritzman, de la boîte de sécurité Island, viennent de passer au peigne fin une de ces extensions installée par plus de 10 millions de personnes, et ce qu'ils ont trouvé dedans n'est pas très joli joli. Le truc affiche fièrement un badge "Featured" sur le Chrome Web Store, fait bien le boulot promis (il bloque les pubs), mais il embarque aussi de quoi exécuter n'importe quel bout de JavaScript sur n'importe quel site que vous visitez.

Et ça, ça craint !

Mais avant que vous fermiez l'onglet en panique, sachez tout d'abord qu'il existe plusieurs extensions qui portent ce nom. Celle qui pose problème a un identifiant précis, cmedhionkhpnakcndndgjdbohmhepckk. Donc pour vérifier, tapez chrome://extensions dans votre barre d'adresse, activez le "Mode développeur" en haut à droite, et regardez l'ID affiché sous chaque extension. Si vous tombez sur celui-là, virez-la sans réfléchir. Si c'est un autre identifiant, ce n'est pas l'extension visée par cette analyse, ce qui ne veut pas dire pour autant que tous les bloqueurs du store sont blancs comme neige, hein...

Ce qui inquiète Island, ce n'est pas une ligne de code qui vole vos données là, maintenant mais plutôt une capacité en sommeil. L'extension contient ce que les chercheurs appellent les ingrédients architecturaux pour faire tourner du code arbitraire, et la mèche peut être allumée par un simple changement côté serveur sans que cela se voit.

En clair, du jour au lendemain, le bidule pourrait se mettre à lire vos pages, aspirer vos données et à agir à votre place dans vos comptes perso, vos applis de boulot ou vos panneaux d'admin. Au moment de l'analyse, le mécanisme dormait. Il n'était pas absent.

Et le détail qui fait sourire jaune, c'est quand même ce garde-fou censé limiter l'extension à YouTube. En théorie elle ne s'active que sur le site de Google mais en pratique, elle tourne sur absolument tous les sites, avec une vérification qui regarde juste si la chaîne "youtube.com" apparaît quelque part dans l'URL.

Oui n'importe où, du coup une adresse comme bank.example.com/search?q=youtube.com passe le test sans problème donc autant vous dire que le verrou ne verrouille pas grand chose...

Cette extension traîne sur le store depuis 2014. Au départ c'était donc un bête bloqueur de pub YouTube, jusqu'à un changement de propriétaire en 2018. Les premières versions embarquaient carrément un SDK d'injection de pub baptisé Unistream, finalement retiré en juin 2024, et les chemins d'injection de script pilotables à distance sont présents depuis février 2025. 3 autres extensions de blocage de pub liées au même écosystème ont déjà été dégagées du Chrome Web Store pour cause de malware.

Toutefois, pour le moment, il n'y a aucune preuve qu'un payload malveillant ait réellement été poussé aux utilisateurs, mais c'est la combinaison de plusieurs de ces facteurs qui pue : une extension à 10 millions d'installs, un accès à tous les sites, un canal d'injection téléguidé, un passé d'injection de pub et des cousines déjà bannies. Gloups !

Donc je vous conseille vivement de faire le tour de vos extensions. CRXplorer vous aidera à débusquer celles qui sont louches, et si vous cherchez à bloquer les pubs proprement, j'avais fait le point sur les bonnes méthodes pour ça . Petit rappel au passage, sur Chrome le uBlock Origin complet a été débranché par le passage à Manifest V3, et il ne reste que sa version Lite, forcément moins fortiche.

Donc si vous voulez le vrai, c'est sur Firefox que ça se passe maintenant.

Bref, méfiez-vous des bloqueurs de pub qui réclament la lune et au moindre doute sur l'ID, désinstallez cette merde !

Source

Commodore Callback 8020 - Le flip phone anti-réseaux sociaux

Par : Korben ✨
16 juin 2026 à 16:10

Commodore est de retour les amis ! Et pas avec une énième réédition miniaturisé avec IA du C64. Non, la marque, rachetée l'an dernier par le YouTubeur Peri Fractic devenu maintenant son PDG, sort un téléphone à clapet !

Un vrai de vrai de boomer qui se ferme d'un coup sec quand vous en avez marre d'écouter les conneries de votre correspondant. Il s'appelle le Callback 8020 et sa promesse c'est de faire tout ce dont vous avez besoin, et rien de ce qui vous bouffe la vie.

Sous le clapet, pas d'Android classique donc mais un Sailfish OS , le système Linux développé par Jolla, l'équipe d'ex-ingénieurs Nokia dont je vous ai déjà causé. Le navigateur web et les réseaux sociaux sont bloqués au niveau du système, et il est parfaitement impossible de les réactiver (normalement...mais bon, j'imagine qu'un bidouilleur y arrivera).

Mais peu importe, c'est le but et en échange, ce bidule fait tourner 99% des apps Android sans passer par Google : WhatsApp, Signal, Maps, Spotify, Ubert...etc, tout ça répond présent. Mais par contre, pas d'email, pas de Slack ni de Teams.

Quand vous n'êtes pas au boulot, vous n'êtes pas au boulot !

Le reste ensuite, c'est du concentré de nostalgie bien pensée.

On y retrouve donc un écran interne de 3,25 pouces, un petit écran externe de 1,77 pouce qui n'affiche que l'heure, la batterie et le signal du réseau, un clavier T9 à l'ancienne, et surtout pas de tactile pour vous couper l'envie de scroller.

La caméra arrière est une 48MP de Sony, il y a également une prise jack 3,5mm et une radio FM. Le son passe par un DAC audiophile signé ESS et Cirrus Logic, et ça tombe bien puisque c'est justement ESS qui avait fait la synthèse vocale de Ghostbusters et Mission Impossible sur C64. Du coup le téléphone est bourré de sonneries basées sur la puce SID, et il peut même piloter le Commodore 64 Ultimate quand les deux sont sur le même réseau WiFi.

L'idée d'avoir un téléphone qui vous force à lâcher l'écran n'est pas neuve... Je pense par exemple au Light Phone III fait déjà ça, mais à 799 dollars et sans WhatsApp ni applis utiles, bof. Alors que ce Commodore est bien moins cher et garde tout l'aspect pratique du téléphone. Le projet s'appuie aussi sur des études sérieuses, notamment une de PNAS Nexus en 2025 qui montre que couper l'accès en ligne améliore l'attention et le bien-être, et également un sondage Pew la même année où 45% des ados disent passer trop de temps sur les réseaux.

Même Leonard Tramiel, le fils de Jack Tramiel le fondateur de Commodore, valide le truc en parlant d'un vrai break sans option pour ceux qui en ont besoin.

Et pour les bidouilleurs, tout n'est pas verrouillé puisque vous pouvez sideloader vos propres APK, sauf les applis de réseaux sociaux et les navigateurs qui resteront bloqués quoi qu'il arrive. Il y a même un app store maison, le Commostore, où vous pourrez demander qu'une appli soit whitelistée via un formulaire. Ensuite, si c'est validé, ça peut aller vite (environ 24 heures).

Je vous avoue que ça me chauffe bien... J'ai commencé ma carrière sur un Commodore 64 et chaque jour qui passe, quand je vois ce qu'est devenu Internet, j'ai envie de tout arrêter et de me débrancher... Alors ce dumb-smartphone c'est peut un signe pour moi que la boucle est bouclée. En plus je le trouve magnifique surtout la version beige très début des années 80 !

J'avoue, je me tâte... C'est en pré-commande et la livraison est promise pour fin 2026. Après ouiiii, je sais, je connais le destin chaotique des reboots de Commodore (la marque a déjà essayé de renaître plus d'une fois) donc pas sûr que ce soit un bon investissement.

Surtout que c'est vendu une coucouille à partir de 499 dollars pour l'entrée de gamme, 549 pour la version translucide Starlight et 639 pour la "Founders" avec son bouton C= plaqué or pour ceux qui se prennent pour Elon Musk. Je suis donc extrêmement halluciné de voir un dumbphone à ce prix-là .

Reste à voir si le Callback sortira vraiment et tiendra ses promesses, mais l'idée d'un téléphone Commodore qui vous aide à décrocher, en 2026, j'avoue que ça me parle foooort ! Pré-commandes le 30 juin.

Quand les Motorola prennent une commission sur vos achats Amazon

Par : Korben ✨
26 mai 2026 à 07:34

J'sais pas si vous avez vu, mais sur les Motorola Razr 2026, l'app maison Smart Feed intercepte le lancement de l'application Amazon pour y glisser en soumsoum un petit code d'affiliation. Comme ça, à chaque fois que vous tapez sur l'icône Amazon, votre clic se met à rapporter une commission à un compte tiers. Vous ne payez pas un centime de plus rassurez-vous, c'est le principe de l'affiliation, mais il me semble que c'est pas très réglo de ne pas le dire. En plus je pense que ça va à l'encontre des CGU d'Amazon... Breeeef, y'a rien qui va dans cette histoire.

Le truc se déclenche donc uniquement quand vous ouvrez Amazon le menu des applications, et pas depuis un raccourci sur l'écran d'accueil. A ce moment là, pendant une fraction de seconde, Chrome clignote à l'écran, et votre téléphone passe par un site nommé kira-abboud.com, pour ensuite utiliser un lien qui repart vers l'app Amazon avec le code d'affiliation sramz-kff-008-20 comme si de rien n'était. Comme ça Amazon, pense que vous arrivez de ce lien affilié.

C'est tellement rapide que la plupart des gens ne verront jamais rien....

Sauf que kira-abboud.com renvoie vers une influenceuse mode, @kirasfashionfinds présente sur Instagram, et qui n'a aucun lien apparent avec Motorola. Pire, le code d'affiliation collé à votre session ne correspond même pas à ceux qu'elle a déjà publiés. Et voilà comment on se retrouve avec un téléphone vendu par une grosse marque qui détourne vos clics vers un compte tiers, sans la moindre explication.

Côté technique, les logs réseau pointent vers devicenative.com. C'est une régie qui place de la pub sur les smartphones via un SDK intégré aux launchers Android, avec une intégration Motorola documentée. En clair, le mécanisme qui pourrit votre app Amazon pointe vers un kit publicitaire préinstallé d'usine.

Reste à savoir maintenant si c'est un choix assumé de Motorola ou un SDK pub qui part en vrille, voire un hack... et pour l'instant, personne ne le sait.

Ce qui est sûr, c'est que le coupable porte un nom et un numéro de version. Sur la version 2.03.0056 de Smart Feed, aucun détournement alors que sur la 2.03.0070, le hijack apparaît. Et bizarrement, installer manuellement cette même version mise à jour ne reproduit pas le comportement. Autrement dit, y'a quelque chose qui s'active côté serveur ou côté usine, et pas juste dans le code de l'app. C'est vraiment super bizarre...

Les Razr 2026 et Razr Fold sont touchés, tout comme le Razr 60 Ultra de 2025 à l'origine du signalement. Le Moto G Stylus 2026 testé en parallèle, lui, ne l'est pas.

Après la bonne nouvelle, c'est que la parade est facile à faire ! Direction Paramètres, Applications, vous cherchez Smart Feed, et vous le désactivez. D'après les tests que j'ai pu lire, ça n'a pas d'impact visible sur le reste du téléphone donc mieux vaut désactiver cette merde parce que c'est réversible en deux clics et bien moins casse-gueule que de virer l'app via adb.

Perso, qu'un téléphone vendu par une marque sérieuse détourne nos clics vers un compte tiers via un domaine bidon, ça me rend fou et même si à l'échelle d'un clic, la commission c'est trois fois rien, étalé sur tout un parc d'appareils, ça finit par peser lourd niveau oseille pour celui qui encaisse.

Ce problème dépasse le cadre "Motorola" d'ailleurs puisque less apps préinstallées qu'on ne peut pas virer (les fameux bloatware) sont devenues un canal de monétisation à part entière et comme personne ne vérifie jamais ce que ces trucs font tourner en arrière-plan, c'est la fête du slip ! C'est exactement le même genre de paranoïa raisonnable que quand on se demande si votre téléphone vous écoute sauf qu'ici, pas besoin de théorie, puisque ce détournement est parfaitement visible.

Pour l'instant, Motorola a été contacté mais n'a pas réagi et le code d'affiliation continue de tourner sur les appareils concernés tant que Smart Feed reste actif. J'imagine quand même qu'Amazon va s'occuper de le désactiver en attendant d'en savoir plus.

Bref, bon courage si vous avez un Motorola récent !

Source

Comment activer l'adblock natif de Firefox 149 ?

Par : Korben ✨
30 avril 2026 à 13:55

Vincent en avait parlé il y a peu : Firefox 149 embarque maintenant discrètement adblock-rust , le moteur Adblock de Brave, désactivé par défaut et contrôlé uniquement par deux prefs dans about:config.

A l'origine, je vous avais parlé d'une extension mais après analyse plus approfondie, celle-ci n'est pas vraiment nécessaire. Y'a juste deux valeurs à coller dans about:config et le moteur tourne. Merci donc à François qui m'a indiqué cette méthode directe.

Étape 1 : Activer le moteur

Dans la barre d'adresse, tapez about:config et acceptez l'avertissement. Cherchez la préférence suivante :

privacy.trackingprotection.content.protection.enabled

Passez-la à true. Si elle n'existe pas encore dans votre profil, créez-la : clic droit quelque part dans la liste → Nouveau → Booléen.

Étape 2 : Charger vos listes de filtres

Cherchez ensuite cette seconde préférence :

privacy.trackingprotection.content.protection.test_list_urls

Collez-y la valeur suivante, toutes les URLs séparées par des pipes :

https://easylist.to/easylist/easylist.txt|https://easylist.to/easylist/easyprivacy.txt|https://secure.fanboy.co.nz/fanboy-cookiemonster.txt|https://raw.githubusercontent.com/uBlockOrigin/uAssets/refs/heads/master/filters/annoyances-others.txt|https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_2_Base/filter.txt|https://raw.githubusercontent.com/uBlockOrigin/uAssets/refs/heads/master/filters/filters.txt|https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_3_Spyware/filter.txt|https://pgl.yoyo.org/adservers/serverlist.php?hostformat=adblockplus&showintro=1&mimetype=plaintext

Ça couvre 8 listes : EasyList, EasyPrivacy, Fanboy Cookie Monster, uBO Annoyances (les 4 de base), plus uBO Filters, AdGuard Base, AdGuard Tracking et Peter Lowe. Si vous voulez un profil plus léger, vous pouvez supprimer des URLs avant de coller.

Petite note : le préfixe test_ dans le nom de cette pref indique que la feature est encore expérimentale dans Firefox 149. Les noms peuvent donc changer dans une version future.

Désactiver ETP (optionnel mais recommandé)

La protection contre le pistage intégrée de Firefox (ETP) et adblock-rust filtrent chacun de leur côté. C'est redondant. Pour désactiver ETP, allez dans about:preferences → Confidentialité et sécurité → Protection renforcée contre le pistage → cochez "Personnalisée", puis décochez tout ce que vous voulez confier à adblock-rust.

Limitation actuelle : adblock-rust ne gère pas encore les sélecteurs CSS de masquage d'éléments, les règles ## du style uBlock Origin. Brave les supporte déjà, Firefox devrait suivre. En attendant, quelques pubs que uBO cachait via CSS resteront visibles.

Pour le contexte technique complet sur l'intégration de ce moteur, allez lire l'article de Vincent sur l'arrivée discrète d'adblock-rust dans Firefox 149 . Et si vous voulez un guide général pour bloquer les pubs et trackers sur le web , c'est par là.

Merci à François pour la méthode et la liste de filtres !

Souveraineté numérique : pourquoi basculer sur une stack privacy européenne

Par : Korben ✨
30 avril 2026 à 11:06
-- Article en partenariat avec Proton --

L'actualité de la tech ces derniers mois donne des sueurs froides. Entre les rebondissements autour du CLOUD Act, la section 702 de FISA qui permet aux agences US d'accéder aux données des non-américains sans mandat, et les tensions diplomatiques internationales, la question de la souveraineté numérique n'est plus un débat de geeks. C'est un enjeu concret pour quiconque stocke, communique ou navigue en ligne.

Dans ce contexte, choisir ses outils, c'est faire un acte politique. Pas besoin de militer avec un mégaphone. Parfois, il suffit de changer de fournisseur et c'est là que Proton (lancé en 2014) entre en piste.

La localisation de vos données est importante

Si vous utilisez encore des services gratuits basés aux États-Unis (coucou Google, Meta & co), sachez que vos données sont, juridiquement, à portée de main du FBI, de la NSA ou de n'importe quelle agence fédérale disposant d'une subpoena (en gros l'équivalent d'une assignation à comparaître). Le CLOUD Act (pour Clarifying Lawful Overseas Use of Data) permet aux autorités américaines d'exiger l'accès aux données détenues par des entreprises US, même si ces données sont stockées sur des serveurs en Europe. Pepouze, ont fait comme chez nous quoi.

La Suisse, par contre, n'est pas membre de l'UE ni de l'EEE. Elle dispose de lois strictes sur la protection des données (LPD) et n'est donc pas soumise au CLOUD Act. Proton, basé à Genève, opère donc sous un cadre juridique qui privilégie la vie privée des utilisateurs. Ce n'est pas mon opinion, c'est un fait juridique.

Ajoutez à cela que tous les produits Proton sont open source, régulièrement audités par des tiers indépendants, qu'ils appliquent une politique de no-logs vérifiée et vous obtenez une stack technique qui résiste.

Proton VPN : la porte d'entrée idéale (à 1 €/mois)

Commençons par le produit phare de la suite : Proton VPN. Pourquoi un VPN ? Pas seulement pour contourner des géoblocages (même si bah ... accéder à un catalogue Netflix étranger a son charme). Un VPN sérieux chiffre votre trafic, masque votre trafic aux yeux de votre FAI, et vous protège sur les réseaux Wi-Fi publics crades. Comme tous les VPN sérieux, il restaure une couche de confidentialité dans un internet de plus en plus surveillé.

D'ailleurs si Proton coche la plupart des cases techniques essentielles, il va même plus loin avec des fonctionnalités pensées pour les usages exigeants :

**VPN Accelerator : la vitesse sans compromis
**Oubliez le mythe du « VPN qui ralentit tout ». Grâce au VPN Accelerator (une techno propriétaire qui optimise le traitement des protocoles et réduit la latence), Proton améliore les performances jusqu'à 400 % sur les connexions longue distance. Couplé à un réseau de serveurs 10 Gbps (plus de 20 000 serveurs dans 140+ pays), le résultat est plutôt pas mal du tout. Streaming fluide, téléchargements rapides, navigation réactive, ça poutre bien.

**Stealth : contourner la censure avancée
**Vous voyagez dans un pays restrictif ? Le protocole Stealth, basé sur un WireGuard tunnellisé via TLS, rend votre trafic VPN indiscernable d'une connexion HTTPS classique. Du coup il passe à travers la plupart des pare-feux et méthodes de blocage sophistiquées. Idéal pour les journalistes, les activistes, ou simplement les voyageurs qui veulent accéder à leurs services habituels sans friction.

**Secure Core : la double protection
**Pour les scénarios à haut risque, Secure Core route votre trafic via au moins deux serveurs. D'abord il passera par un nœud d'entrée situé dans un pays à forte protection des données (Suisse, Islande, Suède), puis par un serveur de sortie. Cette architecture en « double VPN » protège contre les attaques par corrélation de trafic et les compromissions de nœud de sortie. Les serveurs Secure Core sont hébergés dans des data centers durcis (anciennes bases militaires, installations souterraines, accès biométriques) et exploités sur des réseaux dédiés.

Ajoutez à ça des fonctionnalités comme :

  • NetShield : un bloqueur DNS intégré qui filtre pubs, trackers et malwares avant qu'ils n'atteignent votre appareil.
  • Kill Switch & Always-on VPN : coupe automatiquement le trafic si la connexion VPN tombe, pour éviter toute fuite d'IP.
  • Tor over VPN : accédez au réseau Tor en un clic, sans configuration complexe.
  • Split Tunneling : choisissez quelles applications passent par le VPN, et lesquelles utilisent votre connexion directe.
  • Chiffrement de bout en bout : AES-256, ChaCha20, clés 4096-bit RSA.

Mais parlons prix, car c'est souvent là que le bât blesse. Les VPN « premium » tournent souvent autour de 10-12 €/mois. Proton propose actuellement une offre d'appel à 1 euro par mois pour Proton VPN .

Pour le prix d'un café serré, vous testez un VPN sérieux, sans engagement long terme, et vous soutenez une entreprise qui se bat pour la vie privée en ligne. C'est un point d'entrée à très faible risque.

L'offre est visible directement sur leur site, sans code promo alambiqué. Si l'expérience vous convainc, vous pourrez toujours migrer vers une formule plus complète plus tard.

La cohérence d'une stack privacy

Un VPN protège votre navigation. Mais vos emails dans tout ça ? Et vos fichiers stockés dans le cloud ? Hé bien c'est là que la vision de Proton prend tout son sens puisqu'ils proposent un écosystème unifié plutôt que des outils disparates.

**Proton Mail : l'email chiffré de bout en bout
**Finis les scans publicitaires de vos messages (coucou Gmail). Proton Mail chiffre vos emails avant même qu'ils ne quittent votre appareil. Seul le destinataire possédant la clé privée peut les lire. Même Proton ne peut pas accéder au contenu de vos messages. L'interface est épurée, les applications mobiles sont fluides, et l'intégration avec un client email tiers (via IMAP/SMTP) est possible sur les formules payantes.

**Proton Drive : le stockage cloud qui respecte votre vie privée
**Lancé plus récemment, Proton Drive permet de stocker vos fichiers avec un chiffrement de bout en bout. Fini les analyses automatiques de vos photos ou documents. Vous gardez le contrôle total. L'intégration avec Proton Mail permet d'envoyer des fichiers volumineux de manière sécurisée, directement depuis votre boîte de réception.

**Le tout-en-un : Proton Unlimited
**Si vous commencez à voir l'intérêt d'avoir VPN + Mail + Drive sous le même toit, sachez que Proton propose l'offre Proton Unlimited. Elle regroupe :

  • Proton VPN (accès complet à tous les serveurs, dont Secure Core et Stealth)
  • Proton Mail (avec adresse personnalisée, alias illimités et 500 Go de stockage partagé)
  • Proton Drive (stockage étendu, partage chiffré, synchronisation multi-appareils)
  • Proton Pass ( gestionnaire de mots de passe avec authentification 2FA intégrée et surveillance du dark web)
  • Proton Calendar (agenda chiffré, partage sécurisé d'événements)

Le tout pour un tarif unique, souvent plus avantageux que l'addition des services séparés. Et bonne nouvelle c'est que l'offre découverte à 1 €/mois peut parfois s'appliquer à Proton Unlimited selon les promotions en cours (à vérifier sur leur page dédiée). C'est l'occasion idéale pour tester l'écosystème complet sans se ruiner.

La souveraineté numérique, ça se construit pas à pas

Basculer vers une stack privacy européenne, ce n'est pas un geste magique qui résoudra tous les problèmes de surveillance en ligne. Mais c'est un pas concret, mesurable, pour reprendre le contrôle sur vos données. C'est un projet aligné avec des valeurs de protection de la vie privée.

Proton n'est pas parfait. L'écosystème est encore jeune comparé aux géants du secteur, certaines fonctionnalités avancées arrivent progressivement, et le prix (même avec l'offre d'appel) reste un investissement supérieur au zéro pratiqué par le "tout gratuit". L'abonnement couvre jusqu'à 10 machines, ce qui est assez large pour la plupart des familles, mais c'est pas de l'illimité non plus.

Si vous hésitez encore, rappelez-vous : 1 euro. C'est le prix d'un café (demi café bientôt), soit un coût marginal pour un test sans risque. Si l'expérience ne vous satisfait pas, vous aurez perdu l'équivalent d'un sucre en poudre. Mais si c'est le cas, vous aurez fait un pas significatif vers la reprise de contrôle de votre vie numérique.

Prêt à tester ? Découvrez l'offre Proton VPN à 1 €/mois.

Et, si le cœur vous en dit, explorez l'offre Proton Unlimited pour embrasser toute la stack d'un coup. Parce que la souveraineté numérique, ça commence par un choix. Ce choix, c'est toujours le vôtre, vous avez encore les clés du bonheuuuur dans vos mains. Et comme d'hab, naviguez sûr et gardez le contrôle.

FAQ rapide (oui vous vous êtes posé l'une d'entre elles, je sais) 

*- Proton VPN conserve-t-il des logs de navigation ?
*Non. Proton VPN applique une politique stricte de no-logs, vérifiée par des audits indépendants. Aucune adresse IP, aucun historique de navigation, aucune donnée de session n'est conservée. Sous droit suisse, Proton ne peut même pas être contraint de commencer à logger.

*- Puis-je utiliser Proton VPN pour regarder du streaming étranger ? 
*Oui, Proton VPN propose des serveurs optimisés pour le streaming (Netflix, Disney+, Prime Video, etc.) sur ses formules payantes. La performance est au rendez-vous grâce au protocole WireGuard et au VPN Accelerator.

*- Le protocole Stealth fonctionne-t-il partout ? 
*Stealth est conçu pour contourner la censure avancée (Chine, Iran, Russie, etc.). Il n'est pas infaillible à 100 %, mais il représente l'une des solutions les plus robustes du marché, régulièrement mise à jour face aux nouvelles techniques de blocage.

*- La Suisse est-elle vraiment un havre de confidentialité ? 
*Sans être complète, la législation suisse (LPD) reste l'une des plus protectrices au monde. La Suisse n'est pas membre des alliances de surveillance Five Eyes, Nine Eyes ou Fourteen Eyes. Cela ne garantit pas une immunité absolue, mais cela crée un cadre juridique nettement plus favorable que bien d'autres juridictions.

*- L'offre à 1 €/mois est-elle limitée dans le temps ?
*Il s'agit d'une offre promotionnelle ponctuelle. Si vous lisez ces lignes et qu'elle est toujours active, n'attendez pas ! Vous pourrez toujours annuler ou modifier votre abonnement plus tard.

*- Proton est-il compatible avec mes appareils ? 
*Sauf cas exceptionnel, la réponse devrait être : oui. Les applications Proton sont disponibles pour Windows, macOS, Linux, iOS, Android, Android TV, Chromebook, et via extensions navigateur (Chrome, Firefox). Un seul abonnement couvre jusqu'à 10 appareils simultanément.

Une faille IndexedDB permettait de relier toutes vos identités Tor

Par : Korben ✨
23 avril 2026 à 06:12

Bon, les amis, si vous utilisez Tor Browser pour faire du sérieux, faut que vous sachiez un truc. Le bouton "New Identity", censé vous donner une nouvelle identité vierge à chaque clic... bah il laissait filer, jusqu'à il y a peu de temps, un identifiant stable tant que Firefox tournait.

Deux chercheurs de Fingerprint ont en effet trouvé comment une fonction toute bête du navigateur se transformait en empreinte unique de votre browser, partagée entre tous les sites que vous visitiez.

Il faut donc dès à présent faire la mise à jour vers Firefox 150 ou l'ESR 140.10.0 (la version long-terme utilisée par Tor Browser), ainsi que la dernière version de Tor Browser qui récupère le patch. Si vous voulez en savoir plus, la CVE c'est CVE-2026-6770 , classé comme sévérité modérée par Mozilla.

Le truc marche en vase clos mais traverse les murs.

Mais avant, IndexedDB c'est quoi ?

En gros c'est une mini-base de données que les sites web peuvent créer dans votre navigateur, pour stocker des trucs en local (du cache, des données offline, l'état d'une app web). Chaque site peut y ranger plusieurs bases nommées, et une petite fonction JavaScript indexedDB.databases() permet au site de demander la liste de ses bases.

Rien de foufou sur le papier. Sauf que dans Firefox en navigation privée, le navigateur renomme en coulisse chaque base avec un identifiant aléatoire (UUID), et range tout ça dans une seule grosse table interne. Et le gros problème, c'est que cette table est partagée entre tous les sites ouverts, et pas cloisonnée site par site.

Et là, ça devient croustillant puisque quand un site redemande la liste de ses bases, Firefox la renvoie sans la trier, dans un ordre qui dépend de la structure interne de cette table partagée. Du coup, deux sites totalement différents qui créent chacun seize bases dans le même ordre récupèrent exactement la même suite en retour. Pas l'ordre de création donc mais une permutation bizarre, genre g,c,p,a,l,f,n,d,j,b,o,h,e,m,i,k.

Je vous passe les détails mais ça fait dans les 17 000 milliards de combinaisons possibles. Donc largement de quoi distinguer votre navigateur parmi des millions, comme une empreinte digitale qui colle au doigt !

Et ce qui pique vraiment c'est que cet identifiant survit à la fermeture de toutes vos fenêtres privées. Tant que le process Firefox tourne en arrière-plan, l'ID reste. Un site peut donc vous reconnaître après que vous ayez fermé vos onglets privés, rouvert une session pensée comme neuve, et revisité le site. Pour le user, c'est une session fraîche alors que pour le serveur c'est clairement le même navigateur qu'il y a dix minutes.

Côté Tor Browser c'est pire puisque le bouton "New Identity" a pour mission explicite de couper tout lien avec ce que vous faisiez avant. Il ferme les onglets, efface l'historique, vide les cookies, tire de nouveaux circuits Tor. La promesse officielle, c'est "empêcher votre activité future d'être liée à ce qui précède".

Sauf que cette fameuse table interne, elle, ne bouge pas. Le New Identity reset donc tout sauf ce qu'il ignore. C'est comme changer de fringues dans le même ascenseur... en gardant le même parfum. Techniquement vous êtes différent, mais reconnaissable en deux secondes. Bref, c'est assez grave car un site capable d'exploiter la faille peut lier votre session avant-New-Identity à votre session après-New-Identity.

Tant qu'on n'a pas redémarré Firefox complètement, l'ID persiste.

Les chercheurs disent avoir fait une divulgation responsable, directement à Mozilla et au Tor Project avant publication donc c'est nickel, et les deux équipes ont poussé les patches avant de communiquer sur quoi que ce soit. Donc les utilisateurs à jour sont tout simplement protégés contre cette faille précise.

Après si vous êtes du genre parano, pensez à redémarrer complètement votre Tor Browser entre deux sessions vraiment sensibles. Ça coupe le process Firefox, ça vide cette fameuse table, et ça évite ce genre de surprise pour d'autres leaks similaires qu'on n'aurait pas encore trouvés.

A bon entendeur, salut !!

Source

Loi séparatisme - Le blocage sans juge gagne du terrain

Par : Korben ✨
22 avril 2026 à 15:59

Mis à part son auteur, y'a un truc qui sent pas bon dans l'avant-projet de loi de Laurent Nuñez sur le séparatisme et l'entrisme. Au milieu des mesures sur la dissolution d'assos et l'interdiction d'ouvrages, le texte prévoit en effet d'étendre fortement les pouvoirs de blocage administratif des sites web en France. Et quand je dis "administratif", ça veut dire sans juge.

Bah ouais, ça servirait à quoi alors qu'il suffit d'un bon vieux coup de tampon de l'administration, et votre site peut disparaître de l'internet français.

Concrètement, le texte vise l'article 6-1 de la LCEN. Ce truc-là, c'est le bouton rouge que Pharos et l'ARCOM peuvent pousser depuis 2014 pour faire retirer un contenu. Aujourd'hui ça couvre le terrorisme, la pédopornographie, la vente de stupéfiants et les images de tortures.

Demain, le projet veut y rajouter l'apologie des crimes de guerre, les provocations à la haine ou à la discrimination, et surtout un motif tellement flou que c'en est vertigineux : les contenus "susceptibles de créer un trouble grave pour l'ordre public".

Et c'est là que ça coince. Car "Trouble grave à l'ordre public", vous savez ce que ça veut dire ? Moi oui ! Ça veut dire exactement ce que le préfet en charge veut bien que ça veuille dire. C'est le genre de formule qu'on met dans une loi quand on sait très bien qu'on en fera plus tard un usage BEAUCOUP PLUS LARGE que l'intention affichée initialement.

Et c'est là que ça me colle des boutons, parce qu'on a déjà vu ce film je ne sais combien de fois !!

2014, Cazeneuve, article 6-1 créé pour le terrorisme. 2020, loi Avia retoquée par le Conseil constitutionnel . 2021, extension aux stupéfiants. 2024, loi SREN et vérification d'âge. 2026, apologie crimes de guerre plus haine plus "trouble grave à l'ordre public". À chacune de leur itération, le périmètre s'élargit, les motifs deviennent encore plus flous, et le juge disparaît encore un peu plus du décor.

C'est ça le vrai sujet en fait. C'est pas la question de savoir si bloquer l'apologie des crimes de guerre est légitime (ça l'est). La vraie question c'est : Qui décide ?

Car pendant des siècles en France, seul un juge pouvait ordonner à un éditeur de se taire. Mais depuis 2014, c'est devenu la fête du slip puisque l'administration peut le faire toute seule, et Ô comme c'est bizarre, chaque loi qui arrive ensuite, élargit son, déjà trop grand, terrain de jeu. Alors bien sûr, le juge, on peut éventuellement le saisir après coup, en référé, avec un bon avocat mais dans l'intervalle, votre site a été déréférencé, votre trafic est en EEG plat, et votre asso par exemple, a claqué.

Surtout que la formulation "trouble grave à l'ordre public" est tellement élastique qu'elle peut demain couvrir à peu près n'importe quel sujet qui gêne. C'est pratique hein ? Un dossier sur les violences policières ? Un article sur les manifs ? Une tribune un peu incendiaire ? Allez hop, on coupe TOUT et on retourne sucer des feutres en réfléchissant à la prochaine loi liberticide !!

Vu que le texte part au Conseil d'État avant d'arriver au Conseil des ministres fin avril, le périmètre exact peut encore bouger donc je vous invite à suivre ça du coin de l'œil. Et si vous avez un site ou une asso qui risque de matcher, le bon réflexe c'est La Quadrature du Net . Eux savent contester ces trucs, et ils l'ont déjà fait pour Avia et SREN.

Bref, on se retrouve dans dix ans ou moins, et je vous parie qu'on rediscutera ENCORE d'une nouvelle extension de l'article 6-1, cette fois au nom d'une menace qu'on n'avait pas encore vu venir. L'effet cliquet, ça se déclenche toujours dans le même sens, malheureusement.

Source

Il charge TOUTES les extensions Firefox dans son navigateur

Par : Korben ✨
22 avril 2026 à 10:12

Vous vous souvenez du mème " Oh, tu aimes les extension Firefox ? Alors nomme les toutes ! " ?

Bah Jack s'est dit que plutôt que les nommer, autant toutes les installer. Oui, les 84 194 extensions d'un seul coup !

Sur le papier c'est pas si compliqué. Tu télécharges les .xpi depuis l'API publique Mozilla (aucune authentification requise), tu les colles dans le dossier extensions/ d'un profil Firefox, tu édites extensions.json pour tout activer. Sauf que l'API de recherche plafonne à 600 pages max, soit environ 30 000 résultats. Du coup Jack a du combiner plusieurs tris pour contourner la limite et chopper les 84 235 extensions existantes, soit 49,3 Go de données au total.

Première tentative dans une VM Windows Tiny11 : le pagefile bouffe malheureusement tout le disque, Firefox gèle, et c'est la fin. Du coup, essai suivant sur Mac avec 6 heures de téléchargement, soit 400 Go d'écritures disque... la fenêtre Firefox s'ouvre mais ne répond jamais ! Entre 4 000 et 6 000 extensions actives certes mais les sites web ne chargent plus (une des extensions bloque tout mais laquelle ??). Bref, plus grand-chose ne répond à part le about:addons.

6 mois plus tard, Jack retente alors l'opération avec une VM. 84 194 extensions chargées, en 1h43 auquel s'ajoute 39 minutes pour que Firefox réécrive le fichier extensions.json (qui pèse du 189 Mo), +24 minutes avant que le navigateur affiche quoi que ce soit, avec une consommation mémoire stabilisée vers 32 Go. La cause du ralentissement est chirurgicale... En fait Firefox sérialise extensions.json en entier à chaque écriture donc ça marche nickel pour 15 extensions mais pour 84 194, c'est pas le même délire.

Le plus intéressant après, c'est pas la démarche elle-même, c'est surtout ce que ça révèle sur le store de Mozilla. En effet, après analyse, 34,3 % des extensions n'ont aucun utilisateur quotidien. 19 % sont totalement abandonnées, sans user, sans review ni capture écran, et encore moins une icône. Y'a aussi des contributeurs un peu chelous comme un certain "Dr. B" qui a publié à lui seul 84 extensions, toutes générées avec Grok 3.

Et puis il y a aussi des extensions de phishing crypto avec des homoglyphes cyrilliques . L'extension malveillante "Іron Wаllеt" par exemple récupère ses URLs depuis un NocoDB trois secondes après installation. Le groupe Innover Online Group contrôle à lui seul plus de 700 000 utilisateurs via un paquet d'extensions de spam affilié sur Yahoo Search. Mozilla en a pour le moment désactivé 3 dans la foulée.

Autre moment drôle : Windows Defender a flaggé HackTools comme cheval de Troie alors que c'est légitime. Y'a aussi la plus grosse extension installée, dmitlichess, qui pèse 196 Mo car elle embarque 2 000 fichiers audio), et la plus petite fait 7 518 octets... sans contenir une seule ligne de code. Bref, y'a des pépites.

Et Jack a publié son dataset en CC0 sur Hugging Face sans oublier que son code est dispo donc si vous avez 50 Go à cramer et envie de faire joujou avec l' écosystème Firefox , servez-vous !

Bref, un Firefox lancé avec TOUTES les extensions du store Mozilla, ça fonctionne techniquement, mais c'est loin d'être utilisable. Mais après pour faire de l'analyse et des stats, je trouve ça marrant.

Source

Rename World - Et si on renommait la Terre entière ?

Par : Korben
8 avril 2026 à 11:30

Et si vous pouviez renommer n'importe quel lieu sur la carte du monde ?

Genre, transformer "Paris" en "Pain au Chocolat City" ou "Bordeaux" en "Chocolatine Land" ? Hé bien c'est exactement ce que propose Rename World , et y'a déjà plus de 40 000 renommages au compteur.

Le principe est hyper simple : vous cliquez sur un nom de lieu, vous proposez un nouveau nom, et la communauté vote. Les meilleures propositions restent, les autres disparaissent dans l'oubli. Y'a pas besoin de créer un compte pour explorer la carte, c'est ouvert à tout le monde et c'est dispo en français !

J'ai d'abord cru que ça allait être un festival de noms vulgaires et de spam... mais en fait non. Le créateur (qui se fait appeler kafk) a mis en place un filtre de mots plus un dashboard d'administration qui lui permet de dégager les trolls en quelques clics. Sur les 40 000+ propositions, le spam reste donc marginal et la majorité des renommages sont soit créatifs, soit du jeu de mots inoffensif. Après évidemment, si quelqu'un challenge votre proposition, faudra convaincre la communauté de voter pour vous.

Je vous présente Clermont-Ferrand ^^ :

Mais le site ne s'arrête pas au simple renommage. Y'a aussi un mode Name Duel où deux propositions s'affrontent en face à face, un Quiz pour tester vos connaissances géo, et un Leaderboard pour les plus prolifiques. Du coup c'est devenu un vrai petit jeu communautaire.

Il y a également un bouton "Hide NZ" qui permet de supprimer carrément la Nouvelle-Zélande de la cartographie mondiale. Si vous traînez un peu sur r/MapsWithoutNZ, vous comprendrez la référence. Et un bouton "Show NZ" pour les gens bien, évidemment.

Côté technique, kafk a préféré utiliser des PMTiles (40 Go stockées chez Cloudflare) plutôt que des tuiles raster classiques, ce qui rend la navigation bien plus fluide. Le rendu vectoriel s'appuie comme d'hab sur OpenStreetMap et tourne sur le serveur d'un de ses potes équipé de 256 Go de RAM (oui, on a les amis qu'on mérite ^^). Attention par contre, si vous cherchez à renommer un endroit précis (genre votre village de consanguins) et que le libellé ne s'affiche pas, faudra jouer avec le niveau de zoom car c'est du vectoriel, les étiquettes géographiques apparaissent à des échelles différentes.

Si vous avez déjà perdu des heures sur des cartes interactives de Westeros , attendez de voir ce qui se passe quand Internet a le droit de renommer le monde réel. Perso, j'ai cherché ce que les gens avaient fait de ma ville... et j'ai pas été déçu. Y'a aussi un Discord pour la communauté si vous voulez proposer des idées ou signaler des soucis.

Bref, allez-y, renommez votre bled, la préfecture de votre département, et bon courage à kafk pour la modération !

Ah et merci à AV pour l'info !

Ghost Murmur - La CIA vous localise grâce à vos battements de cœur

Par : Korben
8 avril 2026 à 05:11

Si votre coeur bat, sachez que la CIA peut vous retrouver n'importe où !

C'est pas moi qui le dis, c'est John Ratcliffe, le directeur de la CIA en personne, qui l'a annoncé ce lundi 7 avril après que ses équipes aient utilisé un outil baptisé Ghost Murmur pour localiser un membre d'équipage américain abattu en Iran, à 65 kilomètres de distance, en captant juste les battements de son coeur.

On dirait vraiment de la SF mais je vais tout vous expliquer.

L'officier des systèmes d'armes d'un F-15E Strike Eagle (oui c'est son titre officiel), nom de code "Dude 44 Bravo", s'est éjecté de son appareil et a du se planquer dans une crevasse en plein désert montagneux du sud de l'Iran, avec les forces iraniennes qui le cherchaient trèèèès activement. Durant 2 jours, le gars a survécu en terrain hostile et c'est là que la CIA a décidé de dégainer Ghost Murmur pour la toute première fois en conditions réelles.

Et la techno est vraiment dingue ! Le système utilise de la magnétométrie quantique, c'est-à-dire des capteurs construits autour de défauts microscopiques dans des diamants synthétiques et ces capteurs sont capables de détecter la signature électromagnétique des battements cardiaques... C'est un signal normalement tellement faible qu'on ne peut le mesurer qu'à l'hôpital, avec des capteurs collés sur la peau.

Hé bien Ghost Murmur capte ce signal à des dizaines de kilomètres en utilisant l'IA pour isoler un seul battement de cœur du bruit ambiant. Comme l'a dit un officiel du gouvernement américain, "c'est comme entendre une voix dans un stade, sauf que le stade fait 2 500 km²" !

Et devinez qui est derrière tout ça... Lockheed Martin et sa division Skunk Works , ceux là même qui ont pondu le SR-71, le F-117, et à peu près tous les trucs volants classifiés du Pentagone. Le système a été testé à bord d'hélicoptères Black Hawk et pourrait finalement être adapté pour les F-35. Et son nom n'est pas choisi au hasard : "Murmur" c'est le terme clinique pour un souffle au coeur, et "Ghost" parce que la cible est invisible... sauf pour eux.

Bon, après faut relativiser quand même. Le plus gros problème c'est que ce bidule fonctionne surtout en zone déserte, là où y'a quasi zéro interférence électromagnétique. Donc si vous êtes le seul être vivant dans un rayon de 100 bornes, ça marchera du tonnerre de Zeus mais par contre, en plein centre-ville avec des milliers de cœurs qui font boum boum au mètre carré, ça ne marchera pas aussi bien. Et surtout, ça demande un temps de traitement conséquent car on n'est clairement pas du temps réel. Mais le jour où ça miniaturise assez pour tenir dans un drone civil... là, même un randonneur en forêt devient traçable.

Xavier Dupont de Ligonnès, t'es dans la merde ! ^^

D'abord y'a donc eu les IMSI-Catchers pour intercepter nos communications mobiles puis les capteurs quantiques chinois pour traquer les sous-marins . Et maintenant on localise un humain à son battement de cœur... hé bé... Et pour votre culture G sachez que c'est la même famille de capteurs NV-diamond que l'armée US développe pour détecter à distance tout ce qui est explosifs improvisés.

Donc la question maintenant n'est plus "est-ce qu'on peut vous trouver ?" mais "est-ce qu'on le veut vraiment ?".

Voilà c'est foutu pour vous planquer dans le Larzac... Vous pouvez passer votre téléphone en mode avion autant que vous voudrez, votre cœur lui pourra toujours vous trahir... ^^

Source

Hister - Un vrai moteur de recherche pour votre historique web

Par : Korben
3 avril 2026 à 09:14

Bon, j'ai la crève et y'a du bricolage qui m'attend, du coup aujourd'hui y'aura pas des centaines d'article. Mais faut quand même que je vous parle de Hister , le nouveau projet d'Adam Tauber (le créateur de Searx ) qui indexe localement tout ce que vous visitez sur le web pour le retrouver en texte intégral.

Vous installez l'extension Chrome ou Firefox, vous lancez le binaire Go sur votre machine (ça tourne sous Linux, macOS et Windows), et hop, chaque page que vous visitez est indexée en full-text. Du coup, quand vous cherchez ce tuto que vous aviez lu y'a 3 semaines mais dont vous avez zappé l'URL, vous ouvrez l'interface web locale de Hister, vous tapez un mot qui était dans le contenu de la page et ça ressort ! Si vous aviez testé Deeper History à l'époque, c'est le même concept mais en beaucoup plus costaud.

L'interface de Hister - sobre mais efficace

Sous le capot, Hister utilise blevesearch, un moteur d'indexation en Go qui gère le fuzzy matching et les requêtes booléennes. En gros, vous tapez "configuration nginx reverse proxy" et ça vous ressort cette page de doc que vous aviez consultée y'a un mois, même si vous ne vous souvenez que de 2 mots. Efficace donc. Et l'outil capture les pages telles qu'elles étaient au moment de votre visite donc si un site modifie son contenu ou si un article disparaît, vous aurez toujours la version d'origine. Y'a même un mode aperçu hors-ligne pour consulter ces snapshots sans connexion !

Côté vie privée (forcément, quand ça vient du mec qui a pondu Searx déjà en 2013... le temps file les amis ^^), tout reste sur votre machine. Et pour les domaines sensibles comme votre banque ou votre mutuelle, une blacklist permet même d'exclure certains sites de l'indexation. Enfin pour ceux qui ont déjà des années de navigation derrière eux, la commande hister import aspirera votre historique Chrome ou Firefox existant, comme ça pas besoin de repartir de zéro.

Pour installer ça, téléchargez le binaire depuis les releases GitHub , puis lancez le serveur et installez l'extension ( Firefox ou Chrome) qui va bien. Y'a aussi un Docker Compose pour ceux qui préfèrent tout conteneuriser. Prévoyez aussi quelques Go sur le disque pour la base d'index car ça se rempli vite...

Tauber dit avoir réduit sa dépendance à Google de moitié en un mois et demi juste avec ça. Et je trouve ça logique parce que quand vous avez déjà visité la bonne page une fois, ça ne sert plus à rien de redemander à Google de vous la remonter entre 3 pubs et une réponse IA à côté de la plaque. Autant récupérer ce que vous aviez déjà !

Voilà, je suis sûr que ça va vous plaire... Et si vous voulez tester avant d'installer quoi que ce soit, une démo tourne en ligne.

Allez, je retourne bricoler...

Open DroneLog - Vos logs de drone restent chez vous

Par : Korben
16 mars 2026 à 11:27

Si vous pilotez un drone DJI, vos logs de vol finissent probablement sur Airdata ou un service cloud du même genre. En gros ce sont des trucs qui aspirent vos trajectoires GPS, vos altitudes en mètres, vos tensions de batterie en millivolts... et qui stockent tout ça sur des serveurs quelque part dans le cloud. Ouais, bof.

Eh bien Open DroneLog , c'est exactement l'inverse à savoir un carnet de vol open source qui garde tout en local, dans une base DuckDB (une base de données embarquée ultra-légère) sur votre machine.

Avec cet outil, vous importez vos fichiers .txt DJI (tous les modèles : Mini, Mavic, Air, Phantom...), les CSV de l'app Litchi, ou même les exports Airdata, et hop, le logiciel mouline tout ça pour vous afficher vos vols sur une carte 3D interactive avec le replay de la trajectoire. Vous pouvez alors accélérer jusqu'à x16, voir la télémétrie en temps réel (altitude, vitesse, signal RC, tensions des cellules de batterie) et même visualiser les mouvements des joysticks.

Pas mal donc pour comprendre pourquoi votre Mavic a décidé de faire un plongeon kamikaze ce jour-là !

Visualisation 3D d'une trajectoire de vol dans Open DroneLog

Un truc bien pensé dans l'appli, c'est l'auto-tagging car le logiciel détecte automatiquement les vols de nuit, les passages à haute vitesse, les situations de batterie froide... et colle des étiquettes sur chaque vol sans que vous ayez à lever le petit doigt. Pour ceux qui se demandent à quoi ça sert de tenir un journal de vol, disons que le jour où l'aviation civile vous pose des questions sur vos habitudes de pilotage, avoir un historique propre de tous vos vols avec coordonnées et télémétrie, ça peut clairement vous sauver la mise (surtout si vous volez près de zones sensibles).

Côté déploiement, vous avez le choix : app desktop (Windows, macOS, Linux), image Docker pour l'auto-héberger, ou la webapp pour tester sans rien installer. Le Docker est clairement le meilleur choix parce que vous pouvez monter un dossier de logs et configurer une synchro automatique via cron. Genre, votre drone se pose, vous branchez la carte SD sur le NAS, copiez les fichiers .txt dans le dossier monté, et l'import se fait tout seul toutes les 8 heures. Ça tourne même sur un Raspberry Pi !

D'ailleurs, ça me rappelle l'époque lointaine où on construisait son propre drone dans le garage.

Les graphiques de télémétrie : altitude, vitesse, batterie, tout y passet'as anal

Le géocodage inversé (qui transforme vos coordonnées GPS en noms de lieux) se fait hors-ligne donc c'est top pour la vie privée et d'ailleurs, si le sujet vous parle, le projet OwnTracks applique la même philosophie à la géolocalisation perso.

Le logiciel gère aussi les profils multiples (pratique si vous avez plusieurs pilotes ou flottes), le suivi de la santé des batteries avec historique des cycles, la maintenance avec seuils configurables, et l'export dans à peu près tous les formats imaginables : CSV, JSON, GPX, KML. Y'a même un générateur de "FlyCards" pour partager vos stats de vol sur les réseaux en format 1080x1080 ! Et le tout est traduit en 11 langues, dont le français.

Le projet est sous licence AGPLv3, et pour l'instant c'est DJI-only (pas de Parrot ni Autel en natif). Bref, si vous cherchez un carnet de vol drone qui ne balance pas vos coordonnées GPS dans le cloud, c'est tout trouvé !

Internet vous connaît par cœur : Incogni appuie sur "effacer" à votre place

Par : Korben
13 mars 2026 à 06:49
-- Article en partenariat avec Incogni --

Vous n'avez probablement pas besoin d’un énième sermon sur la "vie privée". Vous avez besoin d’outils qui font le sale boulot à votre place. Incogni fait exactement ça : il passe ses journées à frapper à la porte des courtiers en données pour leur dire de supprimer vos infos , pendant que vous faites autre chose de vital. Comme préparer une raclette parce que l'hiver n'est pas terminé.

On imagine souvent les fuites comme des gros piratages de bases de données. Cela arrive parfois bien évidemment, sauf qu'en pratique, le plus gros de la collecte part de choses beaucoup plus banales : formulaires, programmes de fidélité, inscriptions sur des sites gratuits et désormais, les extensions IA qui se greffent au navigateur .

Une étude d’Incogni montre que plus de la moitié des extensions Chrome “dopées à l’IA” collectent au moins un type de données utilisateur. Sur presque 450 extensions analysées, 52% aspirent quelque chose, et près de 30% récupèrent des infos personnelles identifiables. Votre nom, adresse, email, parfois même du contenu que vous tapez (mails, formulaires, documents en ligne) et des éléments de localisation. Des outils archi populaires comme Grammarly ou QuillBot se retrouvent pointés du doigt pour le volume et la sensibilité des données auxquelles ils ont accès, tout en étant installés par des millions d'utilisateurs.

Le problème, c’est que ces flux ne restent pas cantonnés aux éditeurs d’extensions. Ils alimentent des courtiers en données ( data brokers ) qui recoupent, enrichissent et revendent ce qu’ils savent de vous. Ça concerne aussi bien les coordonnées, le profil socio‑démographique, les centres d’intérêt, comportement de navigation, historique d’achats, etc. Vous ne verrez jamais leur nom sur un bandeau de cookie, mais eux vous connaissent très bien.

Incogni : un service qui supprime vos données à grande échelle

Pour attaquer ce problème à la racine, Incogni automatise tout ce que vous pourriez théoriquement faire à la main, mais que personne ne fait vraiment :

  • repérer quelles sociétés ont probablement vos données,
  • leur envoyer des demandes de suppression basées sur le RGPD, CCPA & co,
  • les relancer si elles traînent des pieds,
  • vérifier que vos données ne réapparaissent pas quelques mois plus tard.

Concrètement, à l’inscription, vous fournissez quelques informations d’identification (nom, email, adresse postale) pour permettre à Incogni de vous retrouver dans les bases des brokers. Une fois la procuration numérique signée, la plateforme commence à envoyer des demandes d’effacement à plus de 420 sites de courtage et bases marketing, recrutement, scoring, etc., en votre nom. On peut parler d’un service “quasi mains libres” qui économise des dizaines d’heures de démarchage manuel en automatisant ces requêtes et les relances qui suivent.

Sur le tableau de bord, on voit très concrètement tout ce qui se passe :

  • combien de demandes ont été envoyées,
  • quels brokers ont répondu,
  • combien ont confirmé la suppression,
  • lesquels sont encore en attente ou en cours de relance.

Une fois la première vague passée (souvent 30 à 45 jours pour les réponses, selon mon test perso et ce que j'ai vu en ligne), Incogni continue à surveiller les mêmes acteurs et à renvoyer des demandes périodiques pour éviter les “résurrections” discrètes de votre profil dans leurs fichiers. C’est cette dimension continue qui en fait un outil pratique : au lieu de faire un gros ménage une fois et d’oublier, vous déléguez la routine.

Le mode sniper : faire retirer vos données d’un site précis

Le détail intéressant pour les cas particuliers : avec l’offre illimitée, vous pouvez demander à Incogni de s’attaquer à des sites spécifiques, au-delà de sa liste standard de brokers. Ça couvre par exemple :

  • un annuaire de recherche de personnes qui expose votre adresse,
  • une base obscure où votre numéro apparaît,
  • une plateforme pro qui indexe trop bien vos données.

Le principe est simple : vous copiez l’URL du site ou de la page concernée dans l’interface, et l'outil ajoute ce cas à la liste des demandes à traiter. Il n’y a pas de limite de nombre de requêtes sur ce mode, ce qui en fait une option assez puissante pour “nettoyer” au fur et à mesure ce que vous découvrez dans Google. D'ailleurs petit conseil perso, n'hésitez pas à créer une alerte sur votre nom pour recevoir un mail dès qu'il apparaît quelque part, vous serez peut-être étonné.

Il y a des bornes logiques : Incogni ne pourra pas effacer des dossiers judiciaires publics, des registres gouvernementaux, ni vos propres contenus sur les réseaux sociaux, blogs ou forums. L’idée est de cibler les usages commerciaux de vos données, pas de réécrire l’histoire.

Ce que vous y gagnez concrètement

Sur le papier, “moins de données chez les brokers” sonne abstrait. Dans la pratique, ça se traduit par plusieurs bénéfices très concrets :

  • Moins de démarchage ciblé : les listes marketing qui tournent avec votre mail et votre téléphone s’appauvrissent, ce qui se voit dans la baisse de certains spams ultra personnalisés.
  • Moins de contexte pour les arnaques : un escroc qui ne connaît plus votre adresse, vos anciennes boîtes, vos habitudes, aura plus de mal à composer un message crédible.
  • Moins d’exposition dans les moteurs de recherche de personnes ou annuaires douteux : vos fiches disparaissent au fil des suppressions, ce qui réduit les risques de harcèlement, doxxing ou simple curiosité mal placée.
  • Moins de données à gérer en cas de fuite : si un broker se fait pirater, le volume d’informations vous concernant est moindre, donc l’impact potentiel aussi.

Et pour être utilisateur du service, on sent bien le côté progrès visible sans effort technique. Au bout de quelques semaines, le tableau de bord compte déjà des dizaines de suppressions confirmées, et le flux de courrier indésirable le plus ciblé commence à se tasser.

Et les extensions IA dans tout ça ?

Le rapport d’Incogni sur les extensions IA Chrome montre bien que le problème ne va pas disparaître. Tant qu’on installera des assistants magiques qui demandent un accès à tous les sites et à tout ce qu’on tape, les brokers auront de nouveaux tuyaux pour s’alimenter. La réponse ne peut pas être seulement “n’installez plus rien”, on a besoin de ces outils. Le service de Surfshark prend donc le problème par l’autre bout. Même si certaines données fuient via ces extensions ou d’autres services, il s’occupe de retrouver les endroits où elles se centralisent et d’exiger qu’elles soient effacées.

Le duo gagnant, c’est donc : limiter les permissions des extensions (et éviter celles qui demandent l’accès à tous les sites sans raison), comme le recommandent les chercheurs, et derrière, faire tourner un service comme Incogni pour vider régulièrement les réservoirs où vos infos finissent de toute façon.

Un outil de fond, pas un gadget de plus

Beaucoup de solutions privacy ajoutent une couche d’interface ou de jargon sans changer grand-chose au fond. Ici, la valeur est très terre à terre : du temps économisé, des démarches que vous n’auriez jamais faites vous‑même, et un suivi qui tourne en tâche de fond. Les analyses récentes en font un des services les plus rentables si votre objectif est simplement de faire disparaître votre fiche de la plupart des fichiers commerciaux sans y consacrer votre week‑end.

En résumé, Incogni ne promet pas l’invisibilité totale, mais il fait quelque chose que peu de gens ont la patience de faire. En 2026, ce n’est pas un luxe, c’est presque le minimum syndical pour que votre historique ne soit pas la matière première des prochaines dérives de l’IA ou du prochain mail d’arnaque trop bien informé.

Et vous pouvez en profiter à partir de 86€/an TTC pour la version standard (et même moins, 77€, avec le code KORBEN55). Pour la version illimitée, il faut compter 173€/an (ou 155 avec mon code).

→ Cliquez ici pour en savoir plus sur Incogni ←

TPMS - Vos pneus balancent votre position en clair

Par : Korben
27 février 2026 à 13:55

Gaël Musquet, mon copain hacker, me parlait déjà de tracking TPMS en 2020. Du coup, quand je vois des chercheurs publier un document de recherche en 2026 pour "découvrir" qu'on peut pister une voiture via ses capteurs de pneus, bon, comment dire... je suis pas tombé de ma chaise.

Mais faut reconnaître que l'étude en question va quand même plus loin qu'une discussion entre 2 stands au FIC. En effet, une équipe d'IMDEA Networks et d'armasuisse (le labo de défense suisse, rien que ça) a posé 5 récepteurs SDR dans une ville pendant 10 semaines. Coût du matos, environ 100 dollars par capteur, qui est en gros un Raspberry Pi 4 avec un dongle RTL-SDR à 25 balles. Et grâce à cela, ils ont capté plus de 6 MILLIONS de messages, provenant de plus de 20 000 véhicules !

un Raspberry Pi 4 avec un dongle RTL-SDR - Source

Car oui, vous ne le savez peut-être pas, mais les capteurs de pression des pneus (TPMS pour les intimes) émettent régulièrement dès que le véhicule roule, sur 433 MHz en Europe. Et ces signaux contiennent un identifiant unique... qui bien sûr est en clair ^^. Pas de chiffrement, pas d'authentification, QUE DALLE. Donc avec un logiciel open source comme rtl_433 , ça devient vite facile de capter tout ça à plusieurs dizaines de mètres à la ronde.

En croisant les identifiants captés par plusieurs récepteurs, les chercheurs ont pu reconstituer les trajets des véhicules, identifier leurs horaires de travail, détecter les jours de télétravail et même estimer les variations de charge du véhicule (et potentiellement déduire la présence de passagers, même si c'est encore approximatif). Le tout sans caméra, sans GPS, et sans accès au réseau du véhicule !

Il suffirait de trouver l'identifiant d'une voiture précise pour déclencher par exemple automatiquement un lâcher de confettis en papier parfaitement inoffensifs à son passage, si vous voyez ce que je veux dire.

Alors attention, tous les véhicules ne sont pas logés à la même enseigne. Les TPMS dits "directs" (dTPMS), qu'on trouve souvent chez Toyota, Peugeot, Citroën, Hyundai ou Mercedes, émettent ces fameux signaux radio captables. Alors que les systèmes "indirects" (iTPMS), utilisés par la plupart des modèles Volkswagen, Audi ou Skoda, se basent sur les capteurs ABS et n'émettent rien par radio. Bref, si vous roulez en Golf de base, y'a de bonnes chances que vous soyez tranquilles sur ce coup-là même si certaines versions sportives ou haut de gamme (Golf R, GTI selon les marchés) peuvent embarquer du dTPMS.

Et le pire dans tout ça c'est que la réglementation UN R155 sur la cybersécurité automobile n'impose pas explicitement le chiffrement des TPMS. En gros, les constructeurs ne sont pas forcés de sécuriser ces transmissions. Pirelli et Bosch bossent bien sur un "Cyber Tyre" en Bluetooth Low Energy, mais c'est réservé au haut de gamme et c'est pas demain que ça arrivera sur votre Clio.

Donc côté protection, soyons honnêtes, y'a pas grand-chose à faire côté utilisateur. Vous ne pouvez pas désactiver vos TPMS (c'est obligatoire depuis 2014 pour les voitures neuves en Europe), et les capteurs ne proposent aucune option de chiffrement. Sauf si vous roulez en véhicule vintage d'avant 2014, c'est open bar. Une des parades serait que les constructeurs implémentent un système de rotation d'identifiants, un peu comme le fait déjà le Bluetooth avec les adresses MAC aléatoires, mais pour l'instant on en est loin.

Pour ceux qui veulent creuser le sujet, j'avais fait une rencontre avec Gaël Musquet il y a quelques années, où il expliquait déjà comment reprendre le contrôle de nos véhicules connectés. Et si vous voulez comprendre comment on hacke une voiture de manière plus générale, c'est un rabbit hole sans fond !

Bref, la prochaine fois que vous gonflez vos pneus... dites-leur bonjour de ma part.

Source

Nearby Glasses - L'app qui détecte les lunettes caméra Meta

Par : Korben
26 février 2026 à 14:41

Les Ray-Ban Meta, c'est quand même le gadget parfait pour les voyeurs technophiles. Ce sont quand même des lunettes qui filment, prennent des photos et diffusent en live... le tout sans que PERSONNE autour ne s'en rende compte (ou presque). Alors forcément, quelqu'un a fini par coder une app pour les détecter !

Nearby Glasses , c'est une application Android développée par Yves Jeanrenaud qui scanne en permanence les signaux Bluetooth Low Energy autour de vous. Chaque appareil BLE diffuse en fait des trames pour s'annoncer avec un identifiant constructeur et les lunettes caméra de Meta utilisent les IDs 0x01AB et 0x058E (Meta Platforms) ainsi que 0x0D53 (Luxottica/Ray-Ban). Donc cette app écoute ces identifiants et vous balance une alerte dès qu'elle en capte un.

La détection repose sur le RSSI, en gros la puissance du signal reçu et par défaut, le seuil est à -75 dBm, soit environ 10-15 mètres en extérieur et 3-10 mètres en intérieur. Donc c'est pas foufou non plus mais c'est configurable, évidemment. Vous pouvez donc le durcir un peu pour ne choper que les lunettes vraiment proches, ou l'assouplir pour ratisser large (au prix de faux positifs en pagaille).

Les faux positifs, parlons-en d'ailleurs... Les casques Meta Quest utilisent les mêmes identifiants constructeur, du coup ça ne marche pas à tous les coups. Par exemple, si votre voisin joue en VR, votre téléphone va sonner ! L'app détecte aussi les Snap Spectacles (0x03C2)... pour les trois personnes qui en portent encore ^^.

Ah et l'app est UNIQUEMENT pour Android. La version iOS serait "on the way" selon le développeur... faut donc pas être pressé mais au moins c'est open source (AGPL-3.0), du coup n'importe qui peut vérifier ce que l'app fait de vos données Bluetooth.

Si le sujet vous parle, vous connaissez peut-être Ban-Rays , un projet hardware à base d'Arduino et de LEDs infrarouges qui détecte les Ray-Ban Meta via infrarouge et Bluetooth ! Hé bien Nearby Glasses, c'est l'approche 100% logicielle plutôt que hardware, ce qui est plus accessible mais forcément plus limitée... pas besoin de fer à souder, cela dit ^^.

C'est une rustine mais bon, c'est mieux que de se retrouver à poil sans permission sur le web.

Source

Firefox 148 - Un seul bouton pour virer toute l'IA

Par : Korben
26 février 2026 à 14:18

Vous voulez désactiver l'IA dans votre navigateur ? Bonne chance pour les couillons qui utilisent Chrome... faut passer par 5 réglages planqués dans chrome://settings et chrome://flags, tripatouiller des flags expérimentaux, bref, c'est un vrai parcours du combattant. Firefox 148, de son côté, a eu une idée folle : Mettre UN bouton. Hop, terminé.

Mozilla vient en effet de sortir la version 148 de Firefox et le gros morceau, c'est la section "Contrôles de l'IA" dans les paramètres (about:preferences#ai). Un seul toggle " Bloquer les améliorations IA " et paf, toutes les fonctions IA du navigateur sont coupées d'un coup. Traductions automatiques, regroupement d'onglets, previews de liens, texte alternatif des PDF, et même les chatbots de la barre latérale (ChatGPT, Claude, Gemini, Copilot, Le Chat). Tout dégage !

C'est le top pour les fragilous qui refusent le progrès ^^... Roohh ça va je blague ! Et le vrai intérêt du truc, c'est que ça verrouille les futures fonctions IA aussi. Du coup, si Mozilla ajoute de nouvelles features IA plus tard, elles seront automatiquement bloquées. Pas besoin de revenir fouiller dans les paramètres à chaque update. D'ailleurs, toutes les fonctions IA sont déjà désactivées par défaut... faut donc les activer manuellement si vous en voulez.

Et attention, ça ne bloque pas les extensions tierces qui intègrent leur propre IA, genre les "résumeurs" de page ou les assistants de rédaction. Le toggle, lui, garantit uniquement que les fonctions NATIVES restent coupées quoi qu'il arrive.

Et maintenant comparons avec la concurrence, parce que c'est là que ça pique les yeux.

Comme je vous le disais dans mon intro trollesque, chez Google, désactiver l'IA dans Chrome (et ses dérivés) relève carrément du sport extrême. Faut couper Gemini (chrome://settings/ai), désactiver le mode IA et Help Me Write (chrome://flags), bloquer la recherche IA dans l'historique, et pour les AI Overviews... ben y'a pas vraiment de bouton.

Brave fait un peu mieux heureusement ! Leur assistant Leo est opt-in par défaut, tourne dans un profil isolé qui ne peut pas accéder à vos données de navigation, et applique une politique zéro log. Même leur mode "agentic AI" en Nightly est désactivé de base. C'est propre, mais y'a pas de kill switch global comme Firefox. Du coup, si vous voulez la solution radicale plutôt que du cas par cas, Firefox gagne.

Et pour ceux qui se demandent pourquoi Firefox investit dans l'IA tout en permettant de la couper... en fait, Mozilla joue la carte de la transparence. Les modèles locaux utilisés par Firefox sont supprimés du disque quand vous désactivez les fonctions et tout est vérifiable dans about:processes si vous êtes du genre parano.

Au passage, cette version corrige également une quarantaine de failles de sécurité et embarque la Sanitizer API , ce qui est une première parmi les navigateurs. Et si vous êtes encore sur Firefox ESR, ça ne marchera pas... faudra donc attendre la prochaine ESR pour en profiter.

Voilà, si l'IA dans votre navigateur vous gave, vous savez où aller -> Firefox, tout simplement.

Source

Un LLM à 4 dollars peut griller votre pseudo

Par : Korben
26 février 2026 à 13:47

Votre pseudo de justicier masqué sur Reddit ne vaut plus grand-chose, les amis... En effet, des chercheurs de l'ETH Zurich viennent de prouver qu'un LLM peut retrouver votre vraie identité à partir de vos posts anonymes, avec 67% de réussite... et pour moins de 4 dollars par profil.

L' étude a été publiée sur arXiv par six chercheurs, dont Nicholas Carlini d'Anthropic (les créateurs de Claude) et le principe fait flipper. En fait ils ont mis au point des agents IA qui analysent vos commentaires publics, créent un profil structuré... ou plutôt un portrait-robot de vos habitudes et centres d'intérêt, puis ratissent des milliers de candidats pour trouver à qui ça correspond.

Budget total de l'opération : environ 2 000 dollars pour 338 profils Hacker News passés au crible. Et sur tout ça, 226 ont été identifiés correctement, 25 sont des erreurs et 86 sont des "abstentions" quand le modèle doutait trop. Ça revient à 1 à 4 dollars par profil, et quand le modèle est assez sûr de lui pour donner une réponse (donc hors abstentions), il tape juste 9 fois sur 10. Pas cher payé donc pour s'offrir la fin de votre anonymat TOTAL !

Le truc, c'est que Hacker News c'était juste l'apéro. La même technique a été lâchée ensuite sur des interviews anonymisées, des profils LinkedIn et ce bon vieux Reddit. Même recette, et surtout mêmes résultats.

Le côté obscur de cette recherche, c'est que ça ouvre encore plus la porte aux arnaques d'ingénierie sociale sur mesure, au ciblage pub ultra-personnalisé sans votre consentement, et pire... à la traque de journalistes ou d'activistes planqués derrière un pseudo...

Notez que ce taux de 67%, c'est sur des profils Hacker News où les gens qui postent beaucoup de contenu technique assez spécifique. Mais sur un compte avec trois commentaires génériques, ça ne marche pas aussi bien. Mais bon, qui poste que 3 fois sur un forum ? Le piège, c'est qu'on finit toujours par en dire plus qu'on croit...

Maintenant côté protection, attention, c'est pas la fête. Si vous voulez éviter de vous faire traquer, faudra varier votre style d'écriture entre les plateformes, éviter de balancer trop de détails perso (ville, job, stack technique) dans vos commentaires, et surtout utiliser des comptes séparés plutôt qu'un seul pseudo partout. D'ailleurs le fingerprinting de navigateur c'est déjà un problème connu, mais là on parle de fingerprinting de votre STYLE D'ÉCRITURE donc carrément autre chose !

Perso, ça confirme finalement ce qu'on savait depuis le documentaire Rien à cacher : l'anonymat en ligne c'est surtout une illusion. Sauf que maintenant, même pas besoin d'être la NSA pour lever le voile... un LLM à 4 balles suffit.

Le pseudonymat face à un LLM c'est un grillage face à une perceuse... Bon courage aux anonymes qui me lisent...

Source

❌
❌