Google a balancé l'info via son équipe cyberdéfense, le GTIG (Google Threat Intelligence Group). Des cybercriminels ont utilisé une IA générative pour dénicher et écrire un code d'attaque exploitant une faille inconnue (ce qu'on appelle un zero-day, une vulnérabilité que l'éditeur du logiciel n'a pas encore corrigée).

Et ils s'apprêtaient à lancer une vague d'attaques massives. C'est, d'après Google, la première fois qu'on observe ça dans la vraie vie, pas en labo.

La faille concernait un outil d'administration de serveur open-source très utilisé, dont Google ne donne pas le nom (le temps que tout le monde installe le correctif).

Le bug permettait de contourner la double authentification, le fameux code à 6 chiffres ou la notification sur le téléphone qui sécurise vos comptes. En pratique, il fallait quand même un identifiant et un mot de passe valides au départ, donc ce n'est pas une attaque magique en un clic. Mais une fois ce sas franchi, la 2FA tombait toute seule.

Ce qui a mis la puce à l'oreille des chercheurs, c'est l'allure du script Python utilisé pour exploiter la faille. Trop bien écrit, trop documenté, trop scolaire en fait.

Il était bourré de commentaires pédagogiques (le genre qu'on retrouve dans un tuto pour débutant), il affichait un menu d'aide impeccable, et surtout un score de dangerosité CVSS complètement inventé. Cette dernière trouvaille, c'est l'indice qui ne trompe pas, seul un modèle de langage peut halluciner un chiffre officiel avec autant d'aplomb.

John Hultquist, le chef analyste du GTIG, explique que les IA génératives sont vraiment douées pour repérer ce genre de faille logique de haut niveau, là où les outils d'audit classique (les "fuzzers" qui bombardent un logiciel de données aléatoires pour le faire planter) passent à côté.

Google précise au passage que ce n'est pas Gemini, son propre modèle d'IA, qui a été utilisé. Lequel alors ? Mystère, l'équipe de Mountain View ne le dit pas. On imagine que les criminels n'ont pas demandé poliment l'autorisation à un éditeur d'IA. Affaire à suivre.

Le rapport donne d'autres pépites. Le groupe nord-coréen APT45 utiliserait l'IA pour tester des milliers d'exploits en masse. Des opérateurs chinois liés à l'État expérimenteraient l'IA pour chasser les vulnérabilités.

Des backdoors (des portes dérobées cachées) sur Android interrogent directement Gemini pour piloter les téléphones infectés. Et côté désinformation, des opérations russes intègrent du faux audio généré par IA dans de vraies images d'actualités. Bref, ça bouge de partout.

Bonne nouvelle quand même, la campagne d'attaque massive a été désamorcée. Google a coordonné un correctif discret avec l'éditeur avant que les criminels puissent appuyer sur le bouton. Cette fois.

Bref, l'IA fabrique maintenant des armes prêtes à l'emploi pour les criminels, et personne ne sait quel modèle a fait le boulot. Rien de rassurant donc.

Source : The Hacker News

Des faux installateurs Claude Code se baladent dans Google

Les chercheurs d'Ontinue, une boîte de cybersécurité, ont publié une analyse d'une campagne de vol de données qui vise directement les développeurs.

La méthode est en fait assez simple. Vous tapez "install claude code" dans Google, vous cliquez, plein d'innocence, sur le premier résultat sponsorisé, et là vous tombez sur une page qui ressemble trait pour trait à la doc officielle d'Anthropic. Sauf que le serveur derrière n'a rien à voir, et la commande d'installation à copier-coller a été modifiée.

L'astuce technique est intéressante. La commande PowerShell affichée n'est pas visible dans le code source qu'un scanner automatique pourrait analyser, elle est générée à la volée dans le HTML de la page. Du coup, les scans de sécurité voient du contenu légitime, l'utilisateur copie une commande malveillante, et paf, un loader PowerShell d'environ 600 Ko se lance discrètement.

Ce loader essaie ensuite quelque chose de carrément vicieux. Il abuse de IElevator2, une interface interne de Chromium (le moteur derrière Chrome, Edge, Brave, Vivaldi, Opera) lancée en janvier 2026 par Google pour mieux protéger les cookies et mots de passe avec un chiffrement renforcé. Le malware injecte un petit module dans le navigateur pour appeler cette interface depuis l'intérieur, ce qui lui permet de récupérer les clés et de déchiffrer toute la base. Cookies de session, mots de passe enregistrés, infos de paiement. Tout y passe.

Trois domaines pirates ont été enregistrés sur six jours en avril, tous derrière Cloudflare pour compliquer le takedown. Le bout de code utilisé ne correspond à aucune famille de malware connue (Lumma, StealC, Vidar). Le plus proche serait Glove Stealer, repéré en novembre 2024, mais avec une orchestration différente. Bref, ce serait un nouveau venu fabriqué exprès pour cette campagne.

Et la cible, c'est précisément les développeurs. Ce sont eux qui installent Claude Code (l'outil en ligne de commande d'Anthropic pour coder avec l'IA, concurrent direct de Cursor).

Et un développeur, dans son navigateur, c'est l'accès à GitHub, à AWS, à des dashboards de production, à des comptes Cloud, à des secrets qui se revendent potentiellement très cher. Les défenses classiques qui surveillent les exécutables natifs ne voient rien, tout se joue au niveau de l'appel COM (la mécanique Windows qui permet à des programmes de se parler entre eux) et de PowerShell.

Petit conseil : passez par anthropic.com directement, jamais par un résultat sponsorisé. Si vous avez collé une commande douteuse récemment, c'est le moment de regarder ce qui tourne sur votre machine.

Source : Infosecurity Magazine

J'sais pas si vous avez vu mais le Pentagone vient de balancer 161 documents OVNI déclassifiés sur ordre de ce bon vieux Trump ! Pete Hegseth, le secrétaire à la Défense (ou à la Guerre, j'sais plus comment on dit) a donc mis en ligne 119 PDFs, 28 vidéos et 14 images couvrant les années de 1948 à 2026.

Et vous allez voir, c'est la déception scientifique du siècle !

J'ai été voir un peu de quoi il en retournait et c'est majoritairement flou et nul à chier. Les vidéos infrarouges montrent des points lumineux qui font des virages à 90 degrés au-dessus de la Grèce, sans qu'on sache quel appareil filme ni quand précisément et les images sont caviardées "pour protéger l'identité des témoins, l'emplacement des installations et des informations militaires sensibles".

Du coup, y'a des trucs intrigants qui font bosser les complotistes et autres Lone Gunmen en culottes courtes mais très peu de métadonnées techniques exploitables. Parce que en pratique, sans contexte radar, sans signature thermique, et sans plateforme de captation identifiée, c'est IMPOSSIBLE de trancher entre OVNI, drone furtif chinois, reflet dans les nuages ou simple missile expérimental. Alors à choisir entre une vidéo IR de neuf secondes dégueulasse et une vraie étude radar avec données brutes, perso j'aurais vraiment préféré la seconde.

Mais bon, c'est l'Amérique et on sait qu'ils adorent le folklore Roswell, donc ça alimente la machine à connerie mais absolument pas tout ce qui est recherche scientifique et je trouve ça dommage...

Le programme s'appelle PURSUE (Presidential Unsealing and Reporting System for UAP Encounters), parce qu'il fallait bien un acronyme trop super cool pour habiller la chose et la promesse de Hegseth est la suivante : "Ces documents, cachés derrière le secret-défense, ont longtemps alimenté des spéculations justifiées et il est temps que les Américains les voient de leurs propres yeux."

On se croirait dans une intro de X-Files. Bah voilà, là on a vu et c'est naze. En pratique, c'est comme si la NASA publiait des photos de Mars filmées avec une caméra Game Boy...

Et je vous ai pas encore tout dit car certains rapports frisent le grand n'importe quoi. Le plus beau c'est cet orbe décrit par des forces de l'ordre fédérales américaines comme "similaire à l'œil de Sauron du Seigneur des Anneaux, sans la pupille". Je vous jure, c'est la description officielle. Le vrai mystère de PURSUE je crois, c'est plutôt de savoir si ces rapports ont été écrits par des fédéraux US, ou des mecs bourrés en convention de Comic-Con.

Sauf que ça n'est pas le pire... Dans un rapport de 1966, on trouve un objet décrit comme un "rayon laser, ou rayon cobalt", "auto-enveloppant", "similaire à un cocon autour d'un ver à soie", capable d'enfermer le système nerveux entier d'une personne. Okéééé, vous pouvez développer ? Elle pousse où votre ganja les gars ? Et une fois encore, i want to believe hein, mais va falloir nous fournir autre chose que des rapports de militaires alcoolisés...

Les astronautes d'Apollo 11 auraient même observé un "objet de taille importante" près de la Lune avec une "source lumineuse assez brillante", décrite comme un "possible laser", Apollo 12 et 17 ont aussi vu des trucs et je ne vous parle pas des humanoïdes de quatre pieds (1m20, oh les tchô loulous) qui auraient été aperçus près d'engins non identifiés.

Sauf que RIEN n'est corroboré par des preuves matérielles.

Et là où ça devient carrément ouf, c'est que depuis 2 jours, y'a même un faux rapport qui circule sur les réseaux sociaux, comme s'il sortait de ces fichiers PURSUE officiels où il est question d'une femme-chat avec des oreilles pointues et une queue aperçue en 1994. Je vous rassure, ce rapport n'est PAS dans les docs officiels du Pentagone, mais je voulais aussi vous en parler parce qu'il y en a qui partagent ça en mode "voilà la preuve". Faut dire que le Pentagone a publié 161 docs si flous que même les pires hoax semblent plus sérieux au milieu de toutes ces conneries. C'est merveilleux !

Bref, ces "révélations" sont loin d'en être...

Dire que le cas que le Pentagone classe parmi "les plus convaincants" ce sont des "orbes qui lancent d'autres orbes". Ils ont été aperçus en 2023, dans l'ouest des États-Unis et c'est ça le TOP du TOP de ces preuves... donc imaginez le reste ! D'ailleurs, l'AARO (Anomaly Resolution Office) a déjà publié ses conclusions sur tout ce bordel : Aucun de ces phénomènes n'a d'origine extraterrestre confirmée.

Voilà, voilà... On verra ce qu'ils nous sortiront par la suite, mais ça risque d'être drôle. Rendez nous Jacques Pradel !!

Et dire qu'il y a 32 ans, deux ados qui cherchaient des fichiers OVNI dans les serveurs du Pentagone ont fait paniquer Washington au point de déclencher une alerte de sécurité nationale historique et aujourd'hui, le même type de fichiers sort officiellement et c'est de la bouillie pour les cerveaux crédules...

Bref, tout ça pour ça... J'suis déçu un peu quand même... Moi j'attendais une vraie photo ou vidéo nette, une vraie étude scientifique, un vrai document sérieux.

Mais à la place, on a des fédéraux qui décrivent des bidules en forme de boules de bowling sans rien de plus que leur parole... Breeef, passez votre chemin les amis !

Source

Justin Poehnelt, Senior Developer Relations Engineer chez Google, vient de balancer sur Github un outil en ligne de commande (CLI), codé en Rust qui permet de faire un truc trop pratique, à savoir piloter entièrement Workspace depuis le terminal. Ce logiciel nommé GWS est donc capable de gérer Gmail, Drive, Calendar, Sheets et sept autres services Google d'un coup. Et en plus, comme il a été conçu pour les agents IA, donc c'est pas juste pour vous et votre terminal !

Une fois installé via npm, cargo, brew ou un binaire pré-compilé, vous tapez gws auth login pour vous authentifier via OAuth et vous pouvez ensuite attaquer onze services depuis votre shell : Drive, Gmail, Calendar, Sheets, Docs, Chat, Admin, Apps Script, Tasks, Workspace Events et Model Armor.

Niveau archi, au lieu de hard-coder chaque commande dans le binaire, gws interroge tout simplement le Discovery Service de Google au démarrage et reconstruit son arbre de commandes à la volée. Du coup quand Google ajoute un endpoint à l'API Sheets, le CLI le voit apparaître tout seul. C'est trop bien parce que ça évite de devoir attendre une release pour utiliser un éventuel nouveau service de Google. Et pour un agent IA qui re-fetch le schéma à chaque run, c'est plutôt une bonne idée.

Donc en plus de démarrer en moins d'une seconde, GWS crache des sorties en JSON structurées, y'a un mode --dry-run qui montre la requête sans l'envoyer, et de l'auto-pagination via --page-all. Et côté commandes utilitaires, vous avez aussi les + qui sont des helpers cousus main tels que gws gmail +send, gws drive +upload, gws calendar +agenda, gws sheets +append, gws gmail +triage et un gws gmail +standup-report qui résume vos mails de la semaine en quelques lignes.

Le repo embarque aussi 40+ skills d'agent prêts à l'emploi du type "résume mes mails non lus" ou "génère mon rapport", une extension Gemini CLI qui s'installe avec gemini extensions install https://github.com/googleworkspace/cli, et le helper +sanitize-response qui fait passer la sortie par Model Armor (le filtre anti-prompt-injection de Google Cloud) pour éviter les réponses bizarres.

En gros, c'est un outil pensé pour faire piloter votre Workspace par Claude, Gemini ou n'importe quel agent. Comme ça vous allez pouvoir écrire un workflow qui lit vos mails non lus, en fait un résumé, le poste dans un Chat et classe tout ça proprement dans Drive... sans avoir à toucher à la souris ni avoir à utiliser votre cerveau léthargique. Elle est pas belle la vie ?

Sauf que. Le projet porte le disclaimer "This is not an officially supported Google product", et un employé Google a confirmé sur le thread Hacker News (presque 1000 points, quand même) que c'est un projet DevRel. Comprendre : pas de SLA, pas de roadmap garantie, pas d'équipe SRE qui veille au grain. Vous savez comment ça finit chez Google avec ce genre de statut !

Bref si vous êtes chaud pour tester, le binaire est dispo ici . Maintenant reste à voir si Google lui donnera un statut officiel ou si GWS s'éteindra discrètement comme tant d'autres projets internes oubliés...

Vous le savez, il y a un algorithme dans votre téléphone qui décide ce que vous allez lire aujourd'hui et il s'appelle Google Discover.

Google Discover, c'est le flux d'articles qui apparaît quand vous ouvrez l'appli Google sur Android ou iOS, ou que vous swippez à gauche depuis la home de votre smartphone Android et Chrome mobile aussi. Et pas besoin d'avoir cherché quoi que ce soit puisque Google analyse votre historique, connaît vos centres d'intérêt, et vous sert ainsi des articles « adaptés » en continu.

Sauf que l'algo confond souvent « ce que vous voulez lire » avec « ce qui génère le plus de clics ». Et là, ça part en couille sévère...

Du coup vous vous retrouvez avec des articles qui expliquent que le cash va être interdit dans deux mois, que les conducteurs avec une moustache vont devoir repasser le permis, ou que l'Union Européenne s'apprête à requalifier la pizza comme « sandwich plat » pour l'assujettir à une nouvelle taxe.

Et pendant ce temps, les vraies actus tech que vous aimez tant, elles, se noient quelque part entre deux horoscopes et une pub déguisée en article. Et c'est d'ailleurs ça le gros défaut de tous les flux algorithmiques : ils optimisent l'engagement mais pas l'exactitude. On est tous humain, alors forcément un titre alarmiste battra toujours un article de qualité sobre et bien sourcé. L'algo se contrefout royalement de respecter les 3 neurones qui vous restent... ^^

Mais Discover a quand même un truc pas con ! En fait depuis fin de l'année dernière, Google permet de suivre directement des éditeurs sur le réseau, un peu comme un flux RSS mais sans lecteur à installer ni boîte mail à gérer. Suffit de cliquer sur un bouton et hop, les articles de vos sources préférées remontent en priorité dans votre feed Google Discover !

Par exemple, si vous voulez voir les articles de Korben.info apparaître dans votre flux (de la vraie tech, sourcée, sans moustaches ni taxes pizza), c'est par là, il suffit d'aller sur mon profil Google Discover et de cliquer sur le bouton "Suivre sur Google".

Et comme ça, une fois abonné, mes publications remonteront directement dans votre Discover. Perso, je trouve ça pas mal du tout comme système.

Bref, si vous ne voulez pas que votre téléphone vous apprenne demain que les chats seront bientôt recensés comme « animaux de surveillance passive » par un nouveau décret gouvernemental, pensez à bien choisir vos sources !

Et pour trouver les liens de vos médias préférés, vous pouvez passer par cet outil de Julien .

Alexander Hanff, consultant, a remonté un truc pas net sur Chrome. La dernière version du navigateur télécharge en arrière-plan un modèle de langage local appelé Gemini Nano, qui pèse environ 4 Go, sans jamais demander la moindre permission à l'utilisateur.

Le fichier s'appelle weights.bin, il atterrit dans un dossier OptGuideOnDeviceModel quelque part dans votre profil Chrome, et il sert ensuite à des fonctions du genre "Help me write" ou détection de fraude.

Hanff a documenté l'opération via les logs système de son macOS. Le 24 avril 2026 vers 16h38, Chrome crée le dossier. Quelques minutes plus tard, il télécharge et décompresse les 4 Go (l'opération prend une quinzaine de minutes), puis il les déplace à l'emplacement final. Tout ça pendant que vous ne touchez rien à votre machine. Si vous supprimez le fichier à la main, il sera réinstallé silencieusement au prochain lancement du navigateur.

Hanff estime entre 100 millions et 1 milliard de machines concernées dans le monde. Multipliez 4 Go par 1 milliard et vous obtenez de quoi remplir une bonne partie d'un datacenter.

L'auteur calcule également l'impact carbone du déploiement, entre 6 000 et 60 000 tonnes de CO2e rien que pour le réseau, sans compter l'empreinte SSD. Pour un fichier que personne ne vous a demandé d'installer.

Sur le plan légal, Hanff parle d'une "violation directe" de l'article 5(3) de la directive ePrivacy européenne, qui interdit de stocker quoi que ce soit sur l'appareil d'un utilisateur sans consentement explicite. Il évoque aussi un manquement RGPD. Si la qualification tient, ça serait une amende salée pour Google, sachant que les Cnil européennes ont déjà sanctionné Meta et Microsoft pour des choses bien moins foireuses.

Pour s'en débarrasser, trois options : aller dans chrome://flags pour désactiver les fonctions IA, passer par les politiques d'entreprise si vous gérez un parc de machines, ou virer Chrome, tout simplement.

Bref, Google qui pousse 4 Go d'IA en silence sur des centaines de millions de machines, c'est un sale moche.

Source : That Privacy Guy

Ouais, je sais, on est le 1er mai, et je suis pas censé bosser mais que voulez-vous on ne se refait pas ^^. Et si j'ai ouvert l'ordi ce matin, c'est pour vous parler de KULA !

KULA est un binaire tout simple qui permet de monitorer très facilement votre serveur Linux en temps réel, sans aucune dépendance. c0m4r , le dev derrière le projet, l'a codé en Go avec une obsession claire : Que ça marche partout sans rien installer à côté !

C'est vrai que les outils de monitoring temps réel sur Linux ont tendance à grossir avec le temps. Netdata est passé par exemple d'un script léger à une plateforme SaaS.

KULA veut faire exactement l'inverse ! Parce que si vous avez un VPS à 5 balles, un Raspberry Pi ou trois homelabs qui ronronnent dans le placard, c'est pas la peine de sortir un bazooka quand il y a ce petit binaire qui fait tout aussi bien.

Vous le posez sur la machine, vous lancez ./kula, et c'est plié ! Il y a même un installeur guidé en une commande (nia nia nia lisez le contenu du .sh avant de le lancer, nia nia nia, je me répète, je sais):

bash -c "$(curl -fsSL https://raw.githubusercontent.com/c0m4r/kula/refs/heads/main/addons/install.sh)"

Côté technique, le projet va chercher ses infos directement dans /proc et /sys toutes les secondes. Comme ça y'a pas besoin d'un programme "agent" séparé à installer, ni besoin de vous lancer dans du scraping HTTP. C'est juste KULA qui tourne en daemon et qui lit ce qui se passe au niveau du kernel.

Les données passent ensuite dans un moteur de stockage maison : un ring-buffer avec trois niveaux (1 seconde brut, 1 minute agrégé, 5 minutes agrégé), chacun ayant une taille max fixe (250 Mo, 150 Mo, 50 Mo par défaut). Et quand la limite est atteinte, les nouvelles données écrasent les vieilles. Comme ça l'usage disque est maîtrisé, et y'a pas besoin de faire de ménage.

Niveau métriques, c'est plutôt complet je trouve... CPU, GPU (VRAM, charge, conso), mémoire, swap, load average, processus par état, températures CPU/GPU/disque, batteries, entropie système, sync horloge. Le réseau remonte les débits par interface, les paquets par seconde, les erreurs, les drops, les retransmissions TCP, les connexions établies...etc.

Et côté disque c'est par composant : IOPS, lectures/écritures par seconde, octets/s, plus l'usage des systèmes de fichiers. Et bien sûr tout ce qui est containers Docker, podman, et même ces cgroups bruts dont vous êtes si fiers ^^, pour ceux qui font tourner des trucs sans Docker.

Et le truc auquel je ne m'attendais pas mais que j'aurais pu anticiper parce que c'est à la modeuuuuh, c'est l'assistant IA via Ollama. Vous configurez une instance Ollama locale, et le dashboard vous laisse causer à un modèle de votre choix qui peut analyser les courbes en cours, exporter du CSV par graphique, et même faire appel à une fonction get_metrics pour interroger les données en mode agent.

Tout ça en local bien sûr. C'est plutôt sympa pour debugger par exemple un pic de CPU récurrent à 3h du matin sans devoir vous taper des heures de graphes !

Le déploiement Docker c'est comme ça :

docker run -d --name kula --pid host --network host
 -v /proc:/proc:ro -v kula_data:/app/data c0m4r/kula:latest

Notez le paramètre --pid host et /proc:/proc:ro : car KULA a besoin de voir l'hôte et pas le container.

Bah ouais, c'est logique, sinon il va monitorer juste son propre container, ce qui n'a aucun intérêt, hein...

Notez que si vous êtes sur un VPS LXC mutualisé bas de gamme, certains hébergeurs restreignent l'accès à /proc du host... et là, malheureusement, KULA ne pourra remonter que ce qu'il voit ce qui est souvent pas grand-chose... sniiif.

Pour les puristes, y'a aussi des paquets .deb, .rpm, AUR pour Arch, et du multi-arch (amd64, ARM, RISC-V). Ça couvre à peu près tout ce qui se croise sur un homelab !

Et côté auth, c'est désactivé par défaut (le port par défaut est le 27960, pas le 80), mais quand vous l'activerez vous tomberez sur de l'Argon2id avec des jetons de session hashés en base.

Par contre, même si y'a quelques alertes internes (clock sync, low entropy, overload), vous n'aurez pas de notifications natives (pas de mail, ni Slack, ni webhook...etc). Et pas de support multi-node non plus puisque KULA monitore une machine à la fois.

Donc si vous avez 30 serveurs, faudra vous farcir 30 instances et 30 dashboards séparés. Pas glop ! Et bien sûr, c'est Linux only parce que tout repose sur /proc et /sys.

C'est encore un projet un peu jeune, donc à voir comment ça vieillit mais pour votre petit VPS perso d'amour ou une machine dans un setup d'auto-hébergement , c'est top pour esquiver à la fois htop qui est trop minimaliste et Grafana qui est trop usine à gaz.

Si vous voulez voir la démo, y'en a une ici : demo.kula.ovh !

Source

La cour d'appel de Paris vient de confirmer que les fournisseurs de DNS alternatifs doivent bloquer l'accès aux sites de streaming et d'IPTV pirates. Google, Cloudflare et Cisco ont perdu leur appel face à Canal+.

Cinq appels rejetés d'un coup

La cour d'appel de Paris a tranché cinq affaires distinctes dans lesquelles Canal+ demandait à Google (Google Public DNS), Cloudflare (1.1.1.1) et Cisco (OpenDNS) de bloquer des centaines de noms de domaine liés à du streaming illégal. Les trois entreprises avaient fait appel des ordonnances rendues en première instance par le tribunal judiciaire de Paris.

C'est la première fois qu'une cour d'appel française valide ce type de blocage DNS en s'appuyant sur l'article L.333-10 du Code du sport, qui permet aux détenteurs de droits d'exiger le blocage de domaines en cas de piratage grave et répété.

Les arguments qui n'ont pas fonctionné

Cloudflare et Cisco avaient plaidé que leurs services avaient une fonction "neutre et passive", comparable à un annuaire qui traduit des noms de domaine en adresses IP. La cour a estimé que cette neutralité était tout simplement hors sujet : ce qui compte, c'est la capacité technique à bloquer un accès, pas la nature du service.

Google a tenté un autre angle en expliquant que le blocage DNS était inefficace puisqu'il suffit d'un VPN pour le contourner. La cour a balayé l'argument en rappelant que tout système de filtrage peut être contourné, et que ça ne le rend pas inutile pour autant.

Cisco avait aussi chiffré le coût de mise en place à 64 semaines-personne de travail. Pas suffisant non plus pour convaincre les juges.

Canal+ continue de pousser

Cette décision s'ajoute à celle obtenue contre les fournisseurs de VPN fin 2025, quand NordVPN, ExpressVPN et d'autres avaient eux aussi été contraints de bloquer des sites pirates en France.

Canal+ verrouille progressivement tous les moyens de contournement. Et la chaîne ne compte visiblement pas s'arrêter là : le blocage d'adresses IP serait déjà en test, avec un premier essai lors de Roland-Garros.

Les frais de mise en place sont à la charge de Google, Cloudflare et Cisco.

Canal+ est en train de poser des briques une par une. D'abord les FAI, puis les VPN, maintenant les DNS. On imagine bien que le blocage IP est la prochaine étape.

Côté efficacité, ça reste un jeu du chat et de la souris, mais la justice française envoie un signal clair : si un service technique peut aider à bloquer du piratage, il devra le faire. Et à ses frais, en plus.

Source : Torrent Freak

Des milliers de faux messages imitant des notifications de sécurité Visual Studio Code ont été postés sur GitHub. Le but : rediriger les développeurs vers un site malveillant qui collecte leurs données système. La méthode est franchement vicieuse.

Une campagne massive sur GitHub Discussions

Les chercheurs en sécurité de Socket viennent de mettre le doigt sur une opération d'ampleur. Des centaines, voire des milliers de messages quasi identiques ont été publiés en quelques minutes sur la section Discussions de nombreux dépôts GitHub.

Chaque message reprend le même modèle : un titre alarmiste du type "Vulnérabilité grave Mise à jour immédiate requise", un faux identifiant CVE pour faire sérieux, et un lien vers une prétendue extension VS Code corrigée hébergée sur Google Drive.

Les comptes utilisés sont soit tout neufs, soit quasi inactifs, mais ils se font passer pour des mainteneurs de projets ou des chercheurs en sécurité. Et comme GitHub envoie des notifications par e-mail aux personnes qui suivent un dépôt ou qui sont taguées, les fausses alertes arrivent directement dans la boîte mail des développeurs. Vous pouvez donc vous faire avoir sans même ouvrir GitHub.

Un système de filtrage avant le malware

Bien sûr, le lien Google Drive ne vous amène pas d'un coup vers un fichier infecté. Il déclenche avant une série de redirections qui vous emmènent inlassablement vers un domaine bien foireux, où un script JavaScript va se charger du sale boulot.

Ce script collecte automatiquement le fuseau horaire, la langue, le système d'exploitation, l'identifiant du navigateur et même des indicateurs d'automatisation. Tout est envoyé vers un serveur de commande sans que vous n'ayez à cliquer sur quoi que ce soit.

L'idée derrière ce dispositif, c'est de trier les visiteurs. Les robots et les chercheurs en sécurité sont écartés, et seuls les vrais humains reçoivent la suite de l'attaque. Les chercheurs de Socket n'ont d'ailleurs pas réussi à capturer le malware de deuxième étape, ce qui montre que le filtrage fonctionne plutôt bien.

Ce n'est pas la première fois

GitHub a déjà été ciblé par ce genre de campagne. En mars 2025, une attaque similaire avait touché 12 000 dépôts avec de fausses alertes de sécurité qui poussaient les développeurs à autoriser une application OAuth malveillante.

Cette fois-là, les pirates obtenaient un accès direct aux comptes GitHub des victimes. En juin 2024, c'était via des commentaires et des demandes de fusion bidon que les attaquants redirigeaient vers des pages d'hameçonnage.

Le procédé est malin. Utiliser les notifications GitHub pour donner une apparence officielle à des messages bidons, c'est le genre d'astuce qui marche bien sur des développeurs pressés. 

Bon par contre, un lien Google Drive dans une alerte de sécurité, ça devrait quand même mettre la puce à l'oreille. Si vous recevez ce type de message, vérifiez toujours le CVE sur le site du NVD ou de MITRE avant de cliquer où que ce soit. Et si le lien pointe ailleurs que sur la boutique officielle de VS Code, passez votre chemin.

Source : Bleeping Computer

SynthID, le filigrane invisible que Google injecte dans chaque image Gemini, c'était censé être incassable. Sauf qu'un dev a eu l'idée toute bête de générer des images noires et blanches avec Gemini, puis de regarder ce qui restait dans le domaine fréquentiel. Et là, surprise... le watermark est apparu en clair avec toutes ses fréquences porteuses !

Le projet reverse-SynthID documente le truc de A à Z où on comprend en gros, que le marquage IA de Google fonctionne en injectant de l'énergie à des fréquences bien précises dans le spectre de l'image via une transformation de Fourier . Le chercheur a identifié 6 fréquences porteuses principales, toutes avec une cohérence de phase supérieure à 99,9% et la blague, c'est que ce pattern est fixe. Donc pas de message unique par image, pas de clé qui change... c'est juste la même empreinte spectrale sur toutes les images sorties du modèle Gemini.

Spectre FFT du watermark SynthID - les pics lumineux correspondent aux fréquences porteuses identifiées

Du coup, une fois que vous avez profilé cette empreinte avec une cinquantaine d'images PNG de référence (25 noires, 25 blanches, générées via l'API Gemini), vous pouvez faire deux trucs. D'abord, détecter le filigrane avec 90% de précision, sans avoir le moindre accès au code source de Google. Et ensuite le retirer en soustrayant les composantes spectrales identifiées, fréquence par fréquence, tout en préservant la qualité de l'image à plus de 40 dB PSNR. Visuellement identique à l'original !

Et c'est là que la différence avec UnMarker (dont je vous avais parlé) saute aux yeux car ce dernier "secoue" l'image en aveugle pour casser le watermark. Alors que Reverse-SynthID, c'est plutôt scruté à la loupe et hyper ciblé. Résultat, y'a clairement moins de dégradation et un drop de confiance du détecteur.

Les fréquences porteuses reconstruites - la structure diagonale du watermark SynthID

Par contre, je l'ai implémenté en Rust et j'ai essayé de voir si ça marchait vraiment sur mes propres images générée avec Gemini. Hé bien non, car le bypass ne fait PAS chuter la confiance du détecteur de 100 à 0, mais juste de quelques pourcents.

Le watermark est atténué, mais pas effacé. Ce n'est donc pas un outil clé en main pour faire disparaître tous les filigranes SynthID en un clic. Mais le fait qu'une seule personne, avec du Python et du traitement de signal classique (FFT, filtres notch, soustraction spectrale), ait pu reverse-engineerer un système que Google présente comme LA solution anti-deepfakes...

Ça confirme ce que les chercheurs de l'Université de Waterloo avaient déjà démontré : le watermarking d'images IA, c'est pété by design.

D'ailleurs, Google le sait très bien et ils pourraient changer le pattern demain et tout serait à refaire, mais ça confirme surtout que le principe même du watermarking spectral a une date de péremption. Après, ça arrange tout le monde d'avoir un truc à montrer quand les gouvernements demandent "et contre les deepfakes, vous faites quoi ?"

Et si c'est la petite étoile visible en bas à droite des images Gemini qui vous gêne (pas le watermark spectral invisible, juste le marqueur visuel), j'ai développé un outil pour mes Patreons qui s'en occupe.

Bref, tout est sur le repo si le reverse-engineering de watermarks IA, ça vous branche !

Google, iVerify et Lookout viennent de mettre au jour un kit d'exploitation baptisé DarkSword, capable de prendre le contrôle total d'un iPhone en enchaînant six failles iOS dont trois zero-day. Espions russes, vendeurs de surveillance turcs et hackers saoudiens s'en sont servis. Apple a corrigé le tir avec iOS 26.3, mais jusqu'à 270 millions d'appareils restent exposés.

Six failles, trois zero-day et un iPhone grand ouvert

Pour tout vous dire, DarkSword, avec son nom qui fait peur, n'est pas un petit malware de plus qui pointe le bout de son nez. C'est une chaîne d'exploitation complète écrite en JS, qui cible tous les iPhone qui tournent sous iOS, de la version 18.4 à la 18.7.

Le principe : vous tombez sur une page web piégée dans Safari, une iFrame charge du code malveillant, et c'est parti.

Ensuite, il contourne les protections du bac à sable via le processus GPU, escalade les privilèges jusqu'au noyau, et finit par injecter un module dans le daemon mediaplaybackd. Six vulnérabilités au total, dont trois étaient des failles zero-day au moment de leur exploitation : CVE-2026-20700, CVE-2025-43529 et CVE-2025-14174.

Et les données aspirées ne sont pas anecdotiques : e-mails, fichiers iCloud, contacts, SMS, historique Safari, mots de passe, photos, données de localisation, et même les messages Telegram et WhatsApp.

Les portefeuilles crypto aussi sont visés. Le tout en quelques secondes à peine, avec nettoyage des traces après exfiltration. Du travail soigné, d'après les chercheurs, même si le code n'est curieusement pas du tout obfusqué.

Espions russes, vendeurs de surveillance et sites ukrainiens piégés

Trois groupes distincts ont utilisé DarkSword depuis novembre 2025. Le premier, UNC6353, est un groupe d'espionnage présumé russe qui a ciblé des utilisateurs ukrainiens via des sites web compromis. Le deuxième, UNC6748, a utilisé un faux domaine Snapchat pour piéger des cibles en Arabie saoudite.

Et le troisième n'est autre que PARS Defense, un vendeur turc de solutions de surveillance commerciale. Chacun déploie sa propre variante de malware : GHOSTBLADE, GHOSTKNIFE ou GHOSTSABER selon le cas.

DarkSword est d'ailleurs le deuxième kit d'exploit iOS découvert en un mois, après Coruna. Les deux partagent une partie de leur infrastructure, mais sont développés par des équipes différentes.

Selon iVerify, jusqu'à 270 millions d'iPhone seraient potentiellement vulnérables, et Lookout estime que 15 % des appareils iOS en circulation tournent encore sur des versions antérieures à iOS 26.

Mettez à jour, et vite

Apple a corrigé l'ensemble des failles avec iOS 26.3, sorti plus tôt ce mois-ci. La version la plus récente est iOS 26.3.1. Si vous n'avez pas encore fait la mise à jour, c'est le moment.

Pour les profils les plus exposés — journalistes, militants, chercheurs en sécurité — Apple recommande aussi d'activer le mode Isolement, qui limite les surfaces d'attaque en désactivant certaines fonctionnalités de Safari et des services de messagerie.

Deux kits d'exploit iOS découvert en l'espace d'un mois, avec des acteurs aussi variés que des espions russes et des boîtes de surveillance turques, ça fait quand même beaucoup. On savait que l'iPhone n'était pas invulnérable, mais là on parle de chaînes complètes qui fonctionnent sur des versions récentes d'iOS, pas sur de vieux iPhone 6 oubliés dans un tiroir.

Bon, au moins, Apple a réagi et les correctifs sont là. Mais entre le moment où ces failles ont été exploitées, fin 2025, et leur correction complète, il s'est passé plusieurs mois. Franchement, si vous repoussez les mises à jour iOS depuis des semaines, c'est peut-être le bon moment d'appuyer sur le bouton.

Google va obliger tous les développeurs Android à s'enregistrer avec une pièce d'identité et à payer 25 dollars, même ceux qui distribuent leurs apps en dehors du Play Store. F-Droid, le dépôt d'applications open source qui existe depuis quinze ans, dit que c'est une menace pour sa survie.

Une inscription obligatoire dès septembre

L'été dernier, Google a annoncé que toutes les applications installées sur des appareils Android certifiés devront obligatoirement être liées à un compte développeur vérifié. Cette obligation entrera en vigueur dès le mois de septembre prochain au Brésil, en Indonésie, à Singapour et en Thaïlande. Le reste du monde suivra quatre mois plus tard.

Pour s'enregistrer, il faut fournir une pièce d'identité officielle, accepter les conditions de Google et payer 25 dollars. Et ça concerne tout le monde : les développeurs qui publient sur le Play Store, mais aussi ceux qui passent par des stores alternatifs, par F-Droid, ou qui proposent leurs apps en téléchargement direct depuis un site web.

F-Droid ne peut pas s'adapter

F-Droid héberge plus de 3 000 applications open source, sans pub et sans trackers. Le problème, c'est que F-Droid signe lui-même les apps qu'il distribue avec sa propre clé, et Google impose désormais une seule signature par application.

Ça casse tout le modèle : si l'app est déjà signée par le développeur sur le Play Store, la version F-Droid ne peut plus exister. Et F-Droid ne peut pas non plus forcer des centaines de contributeurs bénévoles à s'enregistrer chez Google et à fournir leurs papiers.

37 organisations ont signé une lettre ouverte contre ce projet, dont l'Electronic Frontier Foundation, la Free Software Foundation et Vivaldi. Une pétition sur Change.org a rassemblé 64 000 signatures de développeurs.

Le lien avec le procès Epic Games

Ce durcissement arrive juste après l'accord entre Google et Epic Games sur la distribution d'apps Android. Les deux entreprises ont annoncé un programme de stores enregistrés qui permet le sideloading, mais sans obliger Google à intégrer des stores tiers dans le Play Store. 

Certains y voient une manoeuvre : si les tribunaux n'obligent pas Google à ouvrir le Play Store, la vérification des développeurs lui donne quand même un contrôle indirect sur toute la distribution Android.

Google, de son côté, dit que c'est une question de sécurité et que ça permet de bloquer les développeurs malveillants plus rapidement. Les distributions Android alternatives comme LineageOS ou GrapheneOS ne sont pas concernées.

Google invoque la sécurité, mais le Play Store lui-même laisse régulièrement passer des apps malveillantes, donc l'argument ne tient pas tant que ça.

Obliger un développeur bénévole qui publie un petit outil open source à fournir ses papiers d'identité à Google, c'est quand même un peu naze. On verra si la mobilisation des 37 organisations et des 64 000 développeurs suffira à faire bouger les choses, mais pour l'instant le calendrier est maintenu.

Sources : Android Authority , F-Droid

En ce moment, j'ai une sciatique qui me rend dingue ! Du coup, entre deux grimaces sur ma chaise de bureau ergonomique, je me suis retrouvé à chercher des trucs pour améliorer ma posture devant l'écran... et je suis tombé sur Dorso, une petite app macOS qui surveille votre posture en temps réel et qui floute progressivement l'écran quand vous commencez à vous avachir.

Ainsi, votre Mac vous punit si vous vous tenez mal ! Vous lancez l'app, vous vous asseyez bien droit devant votre clavier, vous cliquez sur le bouton de calibration (aïe, mes vertèbres), et ensuite Dorso surveille votre position via la webcam de votre MacBook ou iMac grâce au framework Vision d'Apple.

Dès que votre tête commence à piquer du nez, l'écran se floute. Plus vous "slouchez", plus c'est flou. Du coup, soit vous vous redressez, soit vous bossez dans le brouillard comme un moine copiste myope. En tout cas, c'est redoutablement efficace pour corriger sa posture.

Sauf que la webcam, c'est pas le seul mode de détection. Si vous avez des AirPods Pro, Max ou 3e génération, Dorso peut utiliser les capteurs de mouvement de vos écouteurs pour détecter l'inclinaison de votre tête. Pas besoin de caméra, pas besoin de lumière... vos AirPods deviennent votre "coach posture" et quand vous les retirez des oreilles, l'app se met en pause toute seule. Par contre, attention, le mode AirPods nécessite macOS 14 minimum et l'autorisation "Motion & Fitness Activity" dans les réglages Confidentialité.

Côté vie privée, tout se passe en local sur votre machine. Aucune image n'est enregistrée, aucune donnée ne quitte votre Mac. Le flux vidéo de la webcam est traité en temps réel puis immédiatement supprimé et pour le flou, l'app utilise une API privée de CoreGraphics pour agir au niveau système, ce qui permet de flouter tous vos écrans d'un coup si vous avez un setup multi-moniteurs.

L'installation, c'est un brew install --cask dorso et hop, c'est réglé. Au premier lancement, il faudra autoriser l'accès caméra (mode webcam) ou Motion & Fitness (mode AirPods) dans les Réglages Système.

L'app se loge ensuite dans la barre de menu à côté de l'icône Bluetooth et vous pouvez régler la sensibilité sur 5 niveaux via un petit panneau de préférences. Y'a même une "dead zone" configurable pour que ça ne se déclenche pas au moindre mouvement de tête (genre quand vous regardez votre téléphone 2 secondes). Sans cette dead zone, la moindre gorgée de café vous vaut un écran tout flou, donc c'est indispensable !!

L'app s'appelait "Posturr" à l'origine mais une app iOS portait déjà ce nom et comme c'est complétement FDP de voler le nom des autres, il a trouvé un autre nom en lançant 30 agents Claude en parallèle pendant une heure... mais pour rien puisque c'est finalement lui qui a trouvé "Dorso" (Claude avait suggéré "Posturn", bof quoi). Comme quoi, même avec 30 IA qui bossent pour vous, le cerveau humain a encore son mot à dire !!

Perso, vu l'état de mon dos en ce moment, mon bureau debout ne suffit plus. Si vous aussi vous passez vos journées courbé devant votre écran comme Gollum devant son précieux, Dorso pourrait bien vous éviter de finir chez le kiné à 60 balles la séance. L'app tourne sous macOS 13+ (Intel et Apple Silicon), c'est sous licence MIT, et c'est gratuit !

Bref, y'a plus qu'à se redresser. Enfin... à essayer.

Google n'a jamais sorti d'API publique pour NotebookLM , son outil qui transforme vos documents en podcasts, quiz et autres résumés grâce à l'IA. Pas de SDK, pas de CLI, y'a rien du tout alors on est tous triiiiiste. A peine juste une interface web avec ses boutons moches et ses menus déroulants, mais impossible à scripter ou à intégrer dans le moindre pipeline bash.

Mais un dev bien inspiré a reverse-engineeré les endpoints REST internes et a pondu notebooklm-py, une lib Python de 168 Ko qui fait tout ce que le web UI refuse de faire. Franchement, c'était pas trop tôt ! Vous en avez rêvé, lui l'a fait !

Un pip install notebooklm-py et voilà, vous avez accès à toute la machinerie Notebook LM à savoir : créer des notebooks, injecter des sources (URLs, PDF, vidéos YouTube, fichiers Google Drive, documents Word, images PNG), poser des questions à vos docs, et surtout générer du contenu... podcasts audio en MP3, vidéos explicatives en MP4, quiz, flashcards, slides en PPTX, infographies en PNG, mind maps en JSON.

Carrément dingue ! Et tout ça pilotable depuis votre terminal zsh ou en script Python async.

En fait, le vrai bonus c'est que la lib déverrouille des fonctionnalités que l'interface web ne propose même pas comme télécharger tous vos podcasts d'un coup en batch au lieu de cliquer un par un sur chaque fichier MP3, exporter vos 50 flashcards en JSON structuré au lieu de juste les afficher à l'écran ou encore récupérer vos slides en PPTX éditable plutôt que le PDF figé.

Ce genre de features, on avait fini par accepter que Google s'en fiche mais pourtant, extraire l'arbre complet d'une mind map en JSON pour la balancer dans D3.js ou Mermaid... clairement c'est un truc que Google aurait dû proposer depuis le début !

Côté CLI, c'est propre. Vous vous authentifiez une fois via notebooklm login (ça ouvre Chromium via Playwright pour choper les cookies de session Google), puis vous enchaînez les commandes.

notebooklm create "Ma Recherche" pour créer un notebook vide,

notebooklm source add ./mon-rapport.pdf pour balancer vos fichiers,

notebooklm generate audio "rends ça punchy" --wait pour lancer la génération de podcast,

et notebooklm download audio ./podcast.mp3 pour récupérer le MP3 sur votre disque.

On peut même éditer ses slides individuellement avec des prompts en langage naturel, du genre "ajoute un graphique sur cette slide-là" !

Pour ceux qui veulent brancher ça dans leurs pipelines, y'a comme je le disais l'API Python async complète. Vous pouvez donc monter un petit cron qui ingère vos derniers bookmarks le vendredi soir, et génèrer un résumé audio de 5 minutes, puis balancer le MP3 directement sur votre NAS Synology.

D'ailleurs, si vous avez déjà joué avec des outils pour booster votre productivité avec l'IA , c'est un peu dans la même veine... sauf qu'ici on tape directement dans les tripes des serveurs Google, sans intermédiaire. Ça tourne avec du Python, et y'a même un mode "agent" (un skill en fait) pour brancher ça dans Claude Code ou Codex. Pas mal, hein ?

Le fait que ça gère aussi la recherche web et Drive avec import automatique des résultats dans vos notebooks, c'est top, un peu comme Oboe qui génère des cours complets via IA , mais en version terminal. Et surtout, pas d'abonnement mensuel à payer, c'est votre propre compte Google qui fait tourner la machine.

Bien sûr, ça reste du reverse-engineering d'APIs non-documentées de Google, ce qui fait que les endpoints REST peuvent changer du jour au lendemain et tout péter. Le projet le dit clairement, c'est plutôt taillé pour du prototypage, de la recherche ou des projets perso et SURTOUT PAS pour de la prod sur un serveur Nginx en front avec 10 000 utilisateurs prêts à ruer dans les brancards en cas de panne.

Et puis faut quand même s'authentifier via un vrai compte Google avec Playwright et Chromium, donc pas question de faire tourner ça sur un serveur headless sans un minimum de config.

Bref, tant que Google ne coupe pas ses endpoints, c'est open bar.

Profitez-en !

Google vient de lancer Gemini Embedding 2, son premier modèle d'embedding nativement multimodal. Texte, images, vidéo, audio et documents sont projetés dans un même espace vectoriel, ce qui permet de faire de la recherche sémantique croisée entre différents types de contenus.

Un seul modèle pour tout indexer

Jusqu'à présent, les modèles d'embedding se limitaient au texte. Vous vouliez indexer des images ou de la vidéo, il fallait un autre pipeline. Gemini Embedding 2 fait tout d'un coup : vous lui envoyez du texte, des images (jusqu'à 6), de la vidéo (jusqu'à 120 secondes) ou de l'audio (jusqu'à 80 secondes), et il vous renvoie un vecteur dans le même espace. Le modèle gère plus de 100 langues et prend en charge jusqu'à 8 192 tokens en entrée pour le texte.

Côté technique, le modèle utilise le Matryoshka Representation Learning, ce qui permet de choisir la taille des embeddings entre 128 et 3 072 dimensions. Google recommande 768 dimensions pour un bon compromis entre qualité et stockage, ce qui divise par quatre l'espace disque par rapport à la taille maximale.

Les tarifs et la concurrence

Le texte est facturé 0,20 dollar par million de tokens, avec un mode batch à moitié prix. Les images montent à 0,45 dollar, l'audio à 6,50 dollars et la vidéo à 12 dollars par million de tokens. Un palier gratuit est disponible pour tester.

Côté performances, Google affiche de bons scores sur les benchmarks MTEB : 69,9 en multilingue et 84,0 en code. Mais pour du texte seul, OpenAI reste bien moins cher avec son text-embedding-3-small à 0,02 dollar par million de tokens, soit dix fois moins.

Le modèle est disponible via l'API Gemini et Vertex AI, et compatible avec LangChain, LlamaIndex, Weaviate ou ChromaDB.

Le vrai argument de Google ici, c'est le multimodal. Si vous avez besoin d'indexer des catalogues produits avec photos et descriptions dans le même vecteur, ou de faire de la recherche dans des archives vidéo, il n'y a pas d'équivalent chez OpenAI pour le moment.

Mais pour du texte pur, la différence de prix est quand même importante. On attend de voir comment ça se comporte en production, et si les scores MTEB se confirment sur des cas d'usage réels.

Source : Blog Google

Le SEO poisoning, vous connaissez ?

C'est quand votre référencement se fait flinguer parce que votre site se retrouve associé à des sites de casino, de porno et de téléchargement illégal. Et devinez quoi... ça m'arrive depuis bientôt un an !

Tout a commencé l'année dernière quand un nom de domaine reprenant mon pseudo a été enregistré depuis la Chine. Un clone quasi parfait de korben.info, avec tout mon contenu aspiré, sauf que tous les liens avaient été remplacés par des redirections frauduleuses. Mon Patreon, mon Twitter, ma newsletter, mes liens Twitch... tout renvoyait vers des trackers douteux. En fait, ça a été fait via un service de clonage de sites à quelques yuans par mois (genre 50 yuans, soit 6 euros), capable d'aspirer l'intégralité des pages HTML, CSS, images et même l'ID Google Analytics. Sympa !

Hasard du scrapping, ils ont chopé ma version spéciale Pluribus que j'avais mise en ligne à l'époque.

Sur le coup, quand je m'en suis rendu compte, j'ai signalé le truc au registrar et j'ai attendu. Naïvement, je pensais que ça resterait un cas isolé. Par contre, attention... c'était juste l'apéro.

Car en décembre, ça s'est sérieusement accéléré. D'un coup, c'est pas un mais plusieurs réseaux distincts de sites qui se sont mis à publier du contenu m'associant à tout et n'importe quoi. Je vous parle de dizaines et de dizaines de sites, des .fr pour la plupart, montés de toute pièce avec du contenu bidon. Et là, bienvenue dans le monde merveilleux des PBN.

Un PBN, c'est un Private Blog Network. En gros, un ensemble de sites web qui ont l'air indépendants mais qui sont contrôlés par la même personne. À la base, ça sert à créer des backlinks pour faire monter un site dans les résultats de référencement naturel . Ça peut être utilisé de manière plus ou moins légitime pour booster sa visibilité. Mais ça peut aussi servir à démolir celle des autres, en les noyant sous des liens toxiques, en les mélangeant avec des sites de casino en ligne, de contenus pour adultes ou de téléchargement illégal. Et c'est exactement ce qui arrive à mon site en ce moment.

Concrètement, dans mon cas, ça fonctionne de deux manières. La première, c'est du cloaking. Ces sites présentent à Googlebot du contenu qui reprend mes meta descriptions, mon nom, mon contenu... sauf que quand un vrai visiteur clique dessus depuis Google, il tombe sur une fausse page RedTube. Du porno, quoi. L'idée c'est que Google finisse par associer korben.info à du contenu pour adultes. La deuxième technique, c'est de noyer mon nom dans du contenu qui n'a rien à voir avec la tech. Des articles, des liens vers des casinos... Le but c'est que Google se dise "ah mais en fait korben.info c'est pas un média tech", et que ma thématique soit complètement diluée dans les résultats de recherche.

Du coup, depuis 4 mois, mon quotidien c'est ça : contacter Google pour signaler les domaines frauduleux, écrire aux registrars pour faire fermer les noms de domaine, relancer les hébergeurs pour couper les serveurs. À vrai dire, entre les mails aux registrars, les formulaires abuse et les captures d'écran pour les dossiers, je passe 2-3 heures par jour là-dessus au lieu d'écrire des articles. J'ai même déposé des signalements auprès de la police. Première fois en 20 ans de blog que j'en arrive là !

Heureusement, à force de creuser, mes capacités en OSINT m'ont permis de cartographier tout le réseau : les connexions entre les sites, les gens qui se trouvent derrière... j'ai tout. Mais tant que les procédures sont en cours, je garde ça pour moi. Je ne peux pas vous mettre les captures d'écran les plus croustillantes de toute cette opération dont je suis la victime, j'en suis désolé...

Et le problème, c'est que tous les jours, y'a des nouveaux qui apparaissent. Des .fr, des .site, des .website, des .online... Dans mon fichier disavow.txt sur la Search Console de Google, j'ai inscrit +93 domaines à rejeter.

Le disavow, pour ceux qui connaissent pas, c'est un fichier que vous soumettez à Google pour lui dire "ces liens qui pointent vers mon site, ignore-les, c'est pas moi". Google dit que ses algorithmes détectent et ignorent déjà la plupart des liens toxiques automatiquement, mais le disavow reste une précaution supplémentaire. Sauf que quand vous voyez la liste s'allonger tous les jours, ça rassure pas des masses.

Vous le savez, le SEO c'est pas trop le domaine dans lequel je brille . Du coup, me retrouver sur mon ordi à éplucher des rapports WHOIS, des logs et des exports CSV de backlinks toxiques, c'est vraiment pas mon kiff. Et franchement, ça me fait flipper parce que mon site, c'est 20 ans de boulot et si demain il se fait blacklister ou noyer dans du contenu pourri, je perds une part de mon trafic... voire plus. Et comme Korben c'est littéralement ma vie, mon identité, c'est tout ce que j'ai.

Le truc dingue aussi, c'est que ces techniques datent du début des années 2010. C'est du old school mais bon, on s'y fait pas. J'ai l'impression de vider la mer avec une cuillère. Le problème c'est que ça ne s'arrête jamais. Vous en fermez 5, il en apparaît 10 !!!

Maintenant, si vous êtes dans le même cas, voici ce que vous pouvez faire. D'abord, surveillez vos backlinks via la Search Console ou des outils comme Ahrefs .

Attention, ne regardez pas forcement que les nouveaux liens, vérifiez aussi les anciens qui auraient pu changer de destination. Si vous repérez des domaines louches qui pointent vers votre site, créez un fichier disavow.txt et soumettez-le à Google.

Ensuite, signalez les sites frauduleux aux registrars (les infos sont dans le WHOIS) et aux hébergeurs. Et si c'est grave, n'oubliez pas le signalement auprès de la police ou de la gendarmerie via cybermalvaillance. Ça crée une trace officielle, même si les suites judiciaires prennent du temps.

Bref, si parmi vous il y en a qui veulent me mettre un lien vers korben.info depuis leur site ou leur blog, reprendre un de , un mot sur les réseaux... ça m'aiderait. Chaque backlink sain aide à contrebalancer la merde ❤️.

Bon, j'avoue qu'en 2026, la question n'est plus "faut-il quitter les GAFAM ?" mais plutôt "par quoi on les remplace ?". Entre les politiques de confidentialité qui changent tous les 4 matins, le CLOUD Act qui permet au gouvernement US d'accéder à vos données même si les serveurs sont en Europe, et un contexte géopolitique disons... tendu (merci Donaldi Trumpovich)... bref, il y a de quoi vouloir garder ses billes sur le vieux continent.

Et la bonne nouvelle, c'est que les alternatives européennes ne sont plus des gadgets de libristes barbus dans leur garage. On parle de vrais services, solides, souvent conformes RGPD par design, et qui n'ont plus à rougir face aux mastodontes américains. Du coup, je vous ai concocté LE guide pour vous y retrouver dans cette jungle d'alternatives made in EU.

Les 4 annuaires incontournables pour trouver des alternatives européennes

Avant de rentrer dans le vif du sujet catégorie par catégorie, sachez qu'il existe maintenant plusieurs annuaires spécialisés qui font le taf de curation pour vous. Parce que oui, trouver l'alternative européenne qui va bien, c'est pas toujours évident quand on ne sait pas où chercher.

Go European est celui qui a tout déclenché. Le projet est né en février 2025 sur le subreddit r/BuyFromEU et en à peine un mois, plus de 150 000 personnes avaient rejoint le mouvement. Aujourd'hui c'est plus de 1 000 produits et services indexés par une soixantaine de bénévoles. Le truc cool, c'est qu'il y a des extensions pour Firefox et Chrome qui vous suggèrent automatiquement une alternative européenne quand vous visitez un site US. Pas de prise de tête, pas de configuration complexe, juste ce qu'il faut.

European Alternatives est probablement le plus complet du lot. On parle de 61 catégories couvrant absolument tout : du web analytics (31 alternatives à Google Analytics !) au cloud computing, en passant par les VPN, les services de paiement, les outils de visioconférence, les chatbots IA et même les gestionnaires de mots de passe. Le site propose aussi une section " Alternatives to " super pratique où vous cliquez sur le logo de Slack, Dropbox, Zoom ou Stripe pour voir instantanément tous les concurrents européens. En gros, c'est devenu LA référence.

Et pour les devs parmi vous, TechAlternatives.eu recense plus de 550 alternatives GDPR-compliant dans plus de 70 catégories, avec un focus particulier sur l'infrastructure (Kubernetes managé, FaaS, PaaS...). C'est clairement le plus orienté tech des trois.

Enfin, European Tech Map se distingue avec sa carte interactive qui permet d'explorer plus de 500 entreprises tech européennes classées dans une trentaine de catégories et filtrables par pays. C'est le plus visuel du lot, et c'est super pratique pour voir d'un coup d'œil ce qui se fait chez vos voisins.

Cloud et stockage : adieu Dropbox et Google Drive

C'est probablement la catégorie où l'Europe a le plus à offrir. pCloud (Suisse) propose du stockage cloud avec chiffrement côté client et des offres à vie qui font mal à la concurrence... genre vraiment mal. Nextcloud (Allemagne) c'est carrément toute une suite collaborative open source que vous pouvez auto-héberger ou utiliser chez un hébergeur européen. Infomaniak (Suisse) propose kDrive avec 15 Go gratuits et une suite bureautique intégrée, le tout sur des serveurs alimentés en énergie renouvelable. Pas mal pour de la Suisse !

Côté infrastructure, OVHcloud (France) et Scaleway (France) rivalisent sérieusement avec AWS et Google Cloud, avec des datacenters 100% européens. Si vous êtes une boîte et que vous cherchez à rapatrier vos workloads, c'est clairement par là qu'il faut commencer.

Email et messagerie : Proton Mail n'est que la partie émergée

Proton Mail (Suisse) c'est un peu le poster child des alternatives européennes, et à raison : chiffrement de bout en bout, zéro accès à vos données, juridiction suisse. Mais il n'est pas seul ! Tuta (ex-Tutanota, Allemagne) offre une approche similaire avec en prime un calendrier chiffré. Infomaniak Mail propose aussi un service email pro solide et RGPD-compliant. Et si vous avez besoin d' adresses email jetables pour vos inscriptions douteuses, il y a des solutions européennes pour ça aussi (on ne juge pas).

Côté messagerie instantanée, Element (UK) basé sur le protocole Matrix est décentralisé et chiffré de bout en bout. Olvid (France) a carrément été certifiée par l'ANSSI et est utilisée par le gouvernement français (si ça c'est pas un gage de confiance). Et Threema (Suisse) fonctionne sans numéro de téléphone, ce qui en fait un vrai rempart pour la vie privée.

Moteurs de recherche et navigation web

Pour la recherche, Qwant (France) a son propre index et ne trace rien du tout. Startpage (Pays-Bas) vous donne les résultats de Google sans que Google sache que vous existez... c'est assez malin comme approche. Et Ecosia (Allemagne) plante des arbres avec les revenus publicitaires, si vous cherchez l'utile à l'agréable.

Côté navigateurs, Vivaldi (Norvège) est une vraie usine à gaz de la personnalisation (dans le bon sens du terme !), avec un bloqueur de pubs intégré et un respect de la vie privée qui change de Chrome. Mullvad Browser (Suède), développé en collab avec le Tor Project, pousse le curseur encore plus loin en minimisant votre empreinte numérique.

Et pour le DNS, sachez que DNS4EU est le résolveur DNS européen co-financé par l'UE et supervisé par l'ENISA. Une brique d'infrastructure que la plupart des gens ignorent mais qui est fondamentale pour la souveraineté numérique européenne.

Bureautique et productivité : on peut bosser sans Microsoft

Microsoft 365 et Google Workspace dominent le marché, mais les alternatives européennes arrivent en force. OnlyOffice (Lettonie) propose une suite complète compatible avec les formats MS Office. CryptPad (France) pousse le concept encore plus loin avec des documents collaboratifs chiffrés de bout en bout, idéal pour ceux qui ne veulent pas que leurs docs se baladent dans la nature. Et Nextcloud Office intègre Collabora Online pour de l'édition collaborative directement dans votre cloud.

Pour la gestion de projet, Zenkit (Allemagne) peut remplacer Trello et Notion, et Odoo (Belgique) c'est carrément un ERP/CRM open source complet qui fait tourner des boîtes entières. Et si vous cherchez un Zapier-like européen , Automatisch fait le taf en auto-hébergé.

IA et traduction : l'Europe a rattrapé son retard

C'est LE secteur où ça a bougé le plus vite. Mistral AI (France) avec Le Chat propose un assistant IA qui tient la comparaison avec ChatGPT, et leurs modèles open source font le bonheur des développeurs du monde entier. Aleph Alpha (Allemagne) cible les entreprises et les institutions avec des modèles souverains. Et Hugging Face (France), même si c'est plus une plateforme qu'un service grand public, c'est devenu THE place pour les modèles open source d'IA.

Pour la traduction, DeepL (Allemagne) n'a franchement plus besoin d'être présenté. La qualité de traduction est souvent supérieure à Google Translate, et le service traite des milliards de traductions. C'est probablement l'alternative européenne la plus aboutie de toute cette liste... et de loin.

VPN et sécurité : protéger ses données à l'européenne

Mullvad VPN (Suède) accepte les paiements en cash par courrier (oui oui, vous envoyez des billets dans une enveloppe) et ne demande aucune information personnelle à l'inscription. Proton VPN (Suisse) propose une offre gratuite généreuse et bénéficie de toute la réputation de l'écosystème Proton.

Pour les mots de passe, Proton Pass (Suisse - pas européen) et pCloud Pass font très bien le job. Et n'oubliez pas que des consortiums européens bossent même sur des alternatives open source à Google Play Integrity pour sécuriser Android sans dépendre de Google. Ça bouge à tous les étages !

Le vrai défi : passer à l'acte (progressivement)

Je sais ce que vous vous dites : "C'est bien joli tout ça mais changer tous ses outils d'un coup c'est l'enfer." Et vous avez raison. La bonne stratégie, c'est d'y aller progressivement. Commencez par un truc simple : remplacez votre moteur de recherche par Qwant ou Startpage, ça prend 30 secondes. La semaine d'après, essayez Proton Mail pour vos mails perso. Et ainsi de suite. Un service à la fois, sans se mettre la pression.

Ce qui est certain, c'est que l'écosystème européen n'a jamais été aussi mature. Entre la consultation de Bruxelles sur l'open source qui veut faire du logiciel libre une infrastructure essentielle, les communautés comme r/BuyFromEU qui fédèrent des centaines de milliers de personnes, et des boîtes européennes qui lèvent des millions... on n'est plus dans le "un jour peut-être" mais dans le "c'est maintenant".

Installez l'extension Go European , bookmarkez European Alternatives , TechAlternatives et European Tech Map , et explorez. Vous serez surpris de voir à quel point l'Europe a rattrapé son retard. Et avec le RGPD comme filet de sécurité, vos données restent chez vous. Pas mal, non ?

Article initialement publié le 29 décembre 2025 et mis à jour le 13 mars 2026

En 2024, je me suis acheté un WalkingPad A1 Pro (lien affilié) et j'ai complétement oublié de vous en faire un petit retour ! Ce mot ne vous dit peut-être rien, mais c'est ce petit tapis de marche pliable qui se glisse sous votre bureau debout. 143 cm de long, 55 cm de large, 6 km/h max + une télécommande et une appli pour piloter le tout. L'engin pèse dans les 28 kg et se plie en deux pour se planquer sous mon bureau. Et comme maintenant j'ai un peu de recul, je peux vous dire qu'il y a quelques trucs à savoir avant de craquer.

Déjà, si vous faites plus de 100 kg (comme moi, oui je sais, beau bébé), attendez-vous à des petits à-coups au démarrage car c'est conçu pour supporter max 105 kg (quand je l'ai acheté sur la fiche produit c'était écrit 136 kg donc j'sais pas trop...).

En fait, le moteur et la bande ont besoin de chauffer 2-3 minutes avant de tourner rond. Rien de dramatique, mais les premiers pas c'est saccadé. Ensuite, une fois le rythme chopé, ça roule !

Après le piège classique, c'est de vouloir aller trop vite. Dès que vous dépassez 3 km/h, votre clavier mécanique commence à danser sur le plateau du bureau et là... bonne chance pour viser un pixel avec votre souris. Plus vous allez lentement, plus vous êtes précis avec la souris. Perso, je reste à 2-3 km/h max quand je bosse, parce que au-delà c'est ingérable. On n'est pas là pour un marathon !

Au début, c'est perturbant, j'avoue. Genre votre cerveau sait plus s'il doit lire l'écran ou gérer vos jambes. Ça dure quelques jours, pas plus et ensuite, vous n'y pensez même plus, ça devient naturel et du coup vous marchez sans y penser.

Un groupe de fabricants européens mené par l'Allemand Volla Systeme vient de lancer le projet Unified Attestation, une alternative open source à Google Play Integrity.

L'objectif : permettre aux systèmes Android alternatifs d'accéder enfin aux applications bancaires et aux services d'identité numérique européens, le tout sans dépendre de Google pour la vérification de sécurité.

Le problème avec Play Integrity

Si vous utilisez un téléphone Android classique, avec les services Google, vous ne vous en rendez très certainement pas compte. Mais pour les utilisateurs de systèmes alternatifs comme /e/OS, LineageOS ou GrapheneOS, c'est franchement infernal : Google Play Integrity, le système qui permet aux applications de vérifier la sécurité d'un appareil, bloque purement et simplement l'accès aux applications bancaires, aux portefeuilles numériques et aux services d'identité.

Seuls les appareils certifiés par Google passent les niveaux de vérification les plus élevés. Les ROM alternatives, même parfaitement sécurisées, sont exclues sans ménagement.

Ce que propose Unified Attestation

Le consortium regroupe Murena (derrière /e/OS), IODE (France), Apostrophy (Suisse) et la UBports Foundation (Allemagne), avec l'intérêt d'un fabricant européen et d'un fabricant asiatique.

Le système comprend trois briques : un service intégré au système d'exploitation pour vérifier la sécurité de l'appareil, un service de validation décentralisé qui ne dépend d'aucune autorité unique, et une suite de tests ouverte pour certifier un OS sur un modèle donné.

Ce projet est publié sous licence Apache 2.0, avec une vérification hors ligne, et surtout sans collecte d'identifiants. Jörg Wurzer, le patron de Volla Systeme, résume bien le paradoxe : quand un seul acteur du marché contrôle la vérification de sécurité, ça crée une dépendance structurelle.

C'est d'autant plus problématique quand l'acteur en question est justement celui dont on cherche à se débarrasser.

Et l'Europe dans tout ça ?

Le timing n'arrive pas comme ça, pouf, par hasard. L'Union européenne développe en ce moment l'EUDI Wallet, un portefeuille d'identité numérique qui doit permettre à chaque citoyen d'avoir ses papiers sur son téléphone.

Le problème, c'est que la version actuelle de l'application utilise Google Play Integrity pour vérifier l'appareil. Résultat : si vous êtes sur un Android alternatif, pas de carte d'identité numérique pour vous. Des développeurs ont déjà signalé le problème sur GitHub, comparant la situation à un PC qui exigerait Windows pour ouvrir un document officiel.

Des développeurs gouvernementaux scandinaves se sont d'ailleurs positionnés parmi les premiers à vouloir tester Unified Attestation.

On est là sur une initiative qui va dans le bon sens, parce que jusqu'à présent, ça reste pénible que Google soit le seul à pouvoir dire si un smartphone Android est fiable ou non.

Unified Attestation ne va pas tout changer du jour au lendemain, et convaincre les banques d'adopter un système inconnu reste le plus gros obstacle. Mais que des développeurs gouvernementaux scandinaves s'y intéressent déjà, ça envoie un bon signal.

Source : Netzwoche.ch