Le CNRS vient de confirmer un incident de cybersécurité qui a mené au téléchargement non autorisé de fichiers contenant des données personnelles d'anciens agents. Noms, adresses, numéros de sécurité sociale, RIB : la totale donc. L'organisme a déposé plainte et prévenu la CNIL.

Des données très sensibles

C'est ce lundi 16 février que le CNRS a informé ses agents d'une fuite de données sur un de ses serveurs. Des fichiers contenant des informations de ressources humaines ont été téléchargés sans autorisation. Et on ne parle pas de données anodines : noms, prénoms, dates de naissance, adresses postales, numéros de sécurité sociale et RIB. Le tout accompagné du statut de l'agent, du type de contrat et de la structure d'affectation. Le serveur a été isolé et arrêté dès la découverte de l'incident, et l'organisme assure que la fuite ne s'est pas propagée au reste de ses infrastructures.

Qui est concerné ?

Seuls les personnels recrutés avant le 1er janvier 2007 sont touchés, qu'ils aient été titulaires ou non. Si vous avez travaillé au CNRS après cette date, vous n'êtes pas concerné. Le nombre exact de victimes n'a pas été communiqué, mais vu la taille de l'organisme, on parle potentiellement de plusieurs milliers de personnes. Le CNRS recommande de prévenir sa banque, de surveiller ses comptes, de vérifier si ses données circulent sur haveibeenpwned.com, et de rester vigilant face aux tentatives de phishing ou d'usurpation d'identité. La CNIL et l'ANSSI ont été prévenues, et une plainte a été déposée auprès de la section cybercriminalité du parquet de Paris.

Les institutions françaises en ligne de mire

On n'est pas vraiment sur une première niveau cyberattaques sur des services de l'état. Le ministère de l'Intérieur, celui des Sports, et d'autres organismes avaient été visés. L'URSSAF a aussi confirmé une fuite touchant les données de 12 millions de salariés. Le CNRS lui-même avait été la cible d'un défacement de plusieurs de ses sous-domaines fin janvier. Deux incidents distincts, mais la tendance est claire, et c'est franchement moche.

On va quand même saluer le fait que le CNRS a communiqué rapidement, avec un communiqué officiel et une FAQ pour les personnes concernées. C'est loin d'être toujours le cas. Mais on va quand même se questionner sur le fait que des RIB et des numéros de sécu trainent sur un serveur, alors qu'on parle de données parfois veilles depuis presque 20 ans... Pourquoi ces informations étaient-elles encore accessibles ? La question du stockage prolongé de données sensibles revient sur la table, et visiblement, personne n'a encore de bonne réponse. En attendant, si vous avez porté la blouse du CNRS avant 2007, un petit tour sur votre relevé bancaire ne serait pas du luxe.

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie "Gadgets Tech" , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Je suis complètement passé à côté de ce truc jusqu'à ce que David (merci à lui !) m'envoie un petit message pour me dire : "Hé Korben, t'as vu Anytype ? C'est comme Notion mais en mieux". Du coup, j'ai testé et j'ai vraiment halluciné.

Si vous êtes du genre à noter tout ce qui vous passe par la tête dans Notion ou Evernote, vous connaissez le problème. Vos données sont hébergées on ne sait où, et le jour où la boite décide de changer ses conditions d'utilisation ou de fermer boutique, vous êtes marron.

Hé bien Anytype, c'est la réponse à cette angoisse.

C'est une application local-first et chiffrée de bout en bout qui permet de créer votre propre "internet personnel". Petite nuance importante : Anytype n'est pas "open source" au sens strict de l'OSI. Leurs protocoles (notamment AnySync) sont bien open source sous licence MIT, mais les applications elles-mêmes sont distribuées sous une licence "source available" ( Any Source Available License 1.0 ). Concrètement, le code est consultable et modifiable, mais l'utilisation commerciale est restreinte. C'est pas du tout la même chose, et c'est important de ne pas confondre pour éviter l'openwashing. Cela dit, l'équipe est transparente là-dessus , ce qui est appréciable.

En gros, tout ce que vous créez (notes, tâches, documents, tableaux) est stocké localement sur votre machine. Pas de cloud obscur, pas de tracking, c'est votre disque dur, vos règles.

Leur point fort, c'est leur protocole AnySync car ça permet de synchroniser vos données entre vos appareils (ordi, téléphone, tablette) en peer-to-peer comme ça y'a pas besoin de serveur central. Vos appareils discutent directement entre eux, un peu comme si vous aviez votre propre réseau privé.

Au niveau de l'interface, on retrouve ce système de blocs qu'on aime bien chez la concurrence, mais avec une approche "objet". Dans AnyType comme chez Ikea, tout est un objet : une tâche, une personne, une note, un livre. Et vous pouvez lier tous ces objets entre eux pour créer un véritable graphe de connaissances tel un grand architecte de la matrice du dimanche).

Ce qui est cool aussi, c'est que l'équipe a déjà ajouté une fonction de publication web (vos pages peuvent devenir des pages publiques statiques) et propose une API côté desktop qui tourne en local. Elle travaille aussi sur l'intégration d'une IA locale . Parce que oui, avoir une IA qui vous aide à trier vos notes sans envoyer vos données à l'autre bout du monde, c'est quand même plus rassurant.

Si vous voulez aller encore plus loin, vous pouvez même héberger votre propre "noeud" de sauvegarde sur un serveur à la maison. D'ailleurs si vous aimez ce genre d'outils souverains, jetez un oeil à Local Deep Research pour vos recherches. Comme ça, vous avez une copie de secours chiffrée, accessible 24/7, sans dépendre de personne.

Bref, si vous cherchez une alternative souveraine pour gérer votre vie numérique, foncez voir ça. C'est gratuit jusqu'à 100 MB de stockage, c'est beau, et ça respecte votre vie privée. Que demande le peuple ?

Merci encore à David pour la découverte et à Alexandre pour la précision sur la licence !

Source

Un peu moins de 700 000 liens, c'est le nombre de références vers archive.today que Wikipedia envisage de supprimer d'un coup ! Et la raison est assez dingue... en fait le service d'archivage a planqué du code DDoS dans son CAPTCHA afin d'attaquer le blog d'un mec qui a eu le malheur de chercher l'identité du fondateur du site.

L'histoire est tordue vous allez voir...

En 2023, un blogueur du nom de Jani Patokallio publie un article sur son blog Gyrovague pour tenter d'identifier le créateur d'archive.today, un certain "Denis Petrov" (probablement un pseudo). Pas de quoi fouetter un chat, sauf que le principal intéressé n'a visiblement pas kiffé.

Du coup, un bout de JavaScript s'est retrouvé comme de par hasard dans la page CAPTCHA du service, exécutant une requête vers le blog de Patokallio toutes les 300 millisecondes. Chaque visiteur qui passait par le CAPTCHA devenait alors un soldat involontaire d'une attaque DDoS.

Et le bonhomme ne s'est pas arrêté là... il a ensuite menacé de créer un site porno avec le nom du blogueur. On est vraiment dans la réponse proportionnée, clairement.

Le souci, c'est que Wikipedia utilise archive.today de manière MASSIVE. Cela représente 695 000 liens répartis sur environ 400 000 pages. C'est le deuxième fournisseur d'archives de toute l'encyclopédie !

Du coup, les éditeurs se retrouvent face à un sacré dilemme. D'un côté, on a ceux qui veulent tout blacklister parce que "la sécurité de vos lecteurs, ça passe avant les citations". Et de l'autre, ceux qui rappellent que le service contient des archives qu'on ne trouve NULLE PART ailleurs, même pas sur la Wayback Machine .

Bon courage pour trouver un remplaçant les mecs !

Et petit détail qui n'en est pas un, au passage... En fait, archive.today sert aussi à contourner des paywalls. C'est pratique pour vérifier des sources, ou lire de supers articles sans payer mais techniquement c'est illégal.

Mais quand la source originale a disparu, on fait comment ? Et c'est là tout l'intérêt de ces services d'archivage.

Bon, les paywalls, on comprend tous pourquoi ça existe. Produire de l'info de qualité, ça coûte un bras. Sauf que c'est quand même un truc un peu naze. Vous bossez, vous produisez un contenu top, et au final y'a que 10 personnes qui payent pour le lire. Et ce sont les mêmes 10 personnes qui sont pigistes et qui vont reprendre votre info pour la diffuser gratuitement sur leur média ! On le voit avec Mediapart... des enquêtes énormes derrière un paywall, et toute la presse qui reprend leurs scoops sans payer. Je trouve ça vraiment dommage.

Moi, ce que j'aime dans le fait d'écrire sur le web, c'est que vous me lisiez. Et mettre du contenu derrière un paywall, ça voudrait dire que plein d'entre vous ne me liraient plus. C'est pour cela que même le contenu que je réserve en avant-première sur Patreon , au bout de quelques semaines, je le libère pour tout le monde.

Quand je vois The Verge par exemple qui en met dans tous les sens... ben j'y vais plus. J'ai pas envie de payer un abonnement de plus pour une valeur ajoutée pas folle. C'est un peu comme les bandeaux cookies, à savoir un effet de bord regrettable du web moderne. On doit faire avec parce que personne n'a trouvé mieux comme idée...

Bref, entre les DDoS vengeurs, les 700 000 liens en sursis et les paywalls qui pourrissent tout ... le web ouvert, c'est pas gagné les amis. Voilà voilà.

Source

Vous connaissez le concept de déni plausible appliqué aux mots de passe ? L'idée c'est que si quelqu'un chope votre coffre-fort de passwords et tente de le cracker en brute force, il va obtenir des résultats... mais jamais savoir si ce sont les bons. Niark niark !

Hé bien c'est exactement le principe de Mistikee , un gestionnaire de mots de passe développé par un dev indé français. Le truc qui le différencie de tout ce qu'on connait (Bitwarden, KeePass et compagnie), c'est que le mot de passe maitre n'est JAMAIS stocké. Du coup, peu importe ce que vous tapez comme mot de passe maitre, Mistikee va toujours vous donner une réponse. Sauf que seul le bon mot de passe maitre donnera la bonne réponse... les autres donneront des résultats tout aussi crédibles mais complètement faux.

Mistikee, le gestionnaire de mots de passe à déni plausible

En gros, un attaquant qui tente un brute force va se retrouver avec des milliers de réponses plausibles et aucun moyen de savoir laquelle est la bonne. Bon courage ! Comme si chaque clé ouvrait la serrure, mais donnait accès à une pièce différente (et y'a qu'une seule vraie pièce). Oui, comme dans Peacemaker ^^.

Côté technique, l'app régénère vos mots de passe à la volée à partir du mot de passe maitre via une dérivation cryptographique. Pas de base de données déchiffrable, pas de fichier .kdbx qu'on peut attaquer avec hashcat ou john.

Attention quand même : Faut choisir un mot de passe maitre SOLIDE, hein... parce que si vous mettez "1234", le déni plausible ne va pas faire de miracles. Et si vous oubliez votre vrai mot de passe maitre ? Terminé. Aucune récupération possible (c'est le revers de la médaille, forcément).

Les écrans de Mistikee sur mobile

L'outil est dispo sur Android, iOS, macOS et Windows et tout est stocké en local sur votre appareil avec une synchro chiffrée de bout en bout via le cloud si vous voulez utiliser plusieurs appareils. Par contre, pas d'extension navigateur pour le moment, faudra copier-coller à la main... c'est pas le plus pratique si vous avez 50 comptes sur lesquels vous connecter dans la journée. Et le modèle économique est honnête, c'est gratuit avec une option premium en paiement unique à 4,99 euros (pas d'abonnement, ça nous change des Dashlane et compagnie qui vous ponctionnent +40 balles par an).

Voilà j'ai fait le tour... Alors ça ne remplacera pas forcément votre gestionnaire habituel pour le quotidien, surtout si vous avez 200+ entrées avec des TOTP et tout le bazar. Mais faut voir ça plutôt un coffre-fort complémentaire pour vos secrets les plus sensibles, ceux où vous voulez vraiment cette couche de protection supplémentaire contre le brute force. Par exemple pour un journaliste ou un activiste qui traverse une frontière avec son laptop c'est pas rien.

Le Lockdown Mode d'Apple, vous en avez déjà entendu parler non ? C'est cette fonctionnalité un peu planquée dans les réglages de votre iPhone qui permet de transformer votre téléphone en véritable forteresse. Et enfin, on vient d'avoir la preuve que ça marche pour de vrai.

En effet, le FBI a perquisitionné le domicile d'une journaliste du Washington Post, Hannah Natanson, en janvier dernier. L'objectif c'était de récupérer ses appareils électroniques dans le cadre d'une enquête sur des fuites d'informations classifiées. Les agents ont donc saisi entre autres un MacBook Pro, un iPhone, un enregistreur audio et un disque dur externe.

Sauf que voilà, l'iPhone était en mode isolement...

Du coup, le CART (l'équipe d'analyse forensique du FBI) s'est retrouvé comme des cons devant l'écran verrouillé. Et 2 semaines après la saisie, toujours rien. Impossible d'extraire la moindre donnée. D'habitude, avec un Cellebrite UFED Premium ou un GrayKey, c'est l'affaire de quelques heures... mais là, que dalle.

Et perso, ça me fait bien marrer.

Parce que pour ceux qui débarquent, ce mode isolement c'est un bouclier qu'Apple a conçu à la base pour protéger les utilisateurs ciblés par des spywares type Pegasus . Ça bloque la plupart des pièces jointes dans les messages, ça charge les pages web différemment et surtout, ça empêche toute connexion USB à un accessoire tant que l'appareil n'est pas déverrouillé. Et c'est justement ce dernier point qui est intéressant car les outils forensiques type GrayKey ou Cellebrite ont aussi besoin de se brancher physiquement au téléphone pour faire leur boulot.

Faut savoir que les mandats de perquisition autorisaient même les agents à appuyer les doigts de la journaliste sur ses appareils ou à les placer devant son visage pour les déverrouiller par biométrie. Sympa l'ambiance aux USA...

Et ça a d'ailleurs fonctionné sur son MacBook Pro. Pas de chance.

Mais l'iPhone, lui, a tenu bon. C'est assez rare d'avoir une confirmation aussi directe de l'efficacité de cette protection via un document judiciaire. D'habitude, on reste dans le flou total sur ce que les forces de l'ordre arrivent ou n'arrivent pas à cracker.

Voilà alors petit rappel pour ceux qui veulent blinder leur iPhone . Pour activer le mode isolement, c'est dans Réglages > Confidentialité et sécurité > Mode Isolement > Activer.

Attention quand même, votre iPhone va redémarrer et certaines fonctionnalités seront limitées (messages, navigation web, FaceTime avec des inconnus), donc c'est un peu handicapant au quotidien. Faudra choisir entre confort et blindage, y'a pas de magie. Mais si vous avez des trucs sensibles à protéger, le choix est vite fait. Combiné avec les protections d'iOS 18 qui font passer automatiquement votre iPhone en mode "Before First Unlock" après 72 heures d'inactivité, ça commence à faire une sacrée forteresse.

Bref, si vous êtes journaliste, activiste, ou juste un peu parano (aucun jugement), activez-le. Ça marche !

Source

Je vous en parlais y'a pas longtemps, Neocities c'est cette plateforme qui fait revivre l'esprit GeoCities avec ses sites web persos pleins de GIFs qui clignotent et de fonds étoilés. Eh ben les galères continuent pour eux... et ça pique.

Car Bing a décidé de bloquer purement et simplement les 1,5 million de sites hébergés sur leur service. C'est le domaine ENTIER neocities.org qui a été viré de l'index du moteur de recherche de Microsoft et du coup, tous les sous-domaines des utilisateurs avec, en fait. D'ailleurs, c'est pas la première fois puisqu'un blocage similaire avait déjà eu lieu l'été dernier, soi-disant résolu après un contact avec Microsoft.

Kyle Drake, le fondateur, a vu son trafic Bing passer d'environ 500 000 visiteurs par jour à... zéro. Et en cherchant "Neocities" sur Bing, y'a juste un site copycat qui apparait en bonne place. D'ailleurs c'est possiblement du phishing donc gaffe à vous !

Après avoir découvert de ce qu'il se passe, Drake tente de contacter Microsoft pour régler ça. Il soumet alors une douzaine de tickets via les Bing Webmaster Tools. Sauf que derrière, y'a personne. Enfin si, y'a un chatbot IA qui répond en boucle sans rien résoudre. Le mec a même essayé d'acheter de la pub Bing juste pour avoir un être humain au bout du fil. QUE DALLE !

C'est quand Ars Technica a contacté Microsoft que ça a (un peu) bougé. En 24 heures, hop, la page d'accueil est réapparue dans les résultats de recherche. Sauf que les sous-domaines des utilisateurs, eux, sont toujours bloqués pour la plupart. Microsoft a juste dit que "certains sites violaient leurs règles", sans dire lesquels. Et bien sûr, ils refusent de discuter directement avec la plateforme...

Bing ne pèse que ~4,5% du marché mondial. Mais c'est le moteur par défaut de Windows, et surtout, plein d'autres moteurs (dont DuckDuckGo) s'appuient en bonne partie sur l'index Bing en coulisses. Du coup, c'est pas juste un problème Bing, c'est tout un pan du web qui perd l'accès à ces sites.

Le fondateur le dit lui-même , c'est "un des derniers bastions du contenu humain" sur le web. Pas d'IA slop ni de contenu généré pour gratter du référencement. Neocities, ce sont juste des gens qui font des sites persos chelous, des fanpages, de l'art...etc bref c'est totalement le genre de truc qu'un moteur de recherche devrait mettre en avant à une époque où tout est noyé sous de la bouillie synthétique. Mais bon...

Heureusement que Google continue d'indexer les sites Neocities normalement... ^^

Source

Les data brokers, ces intermédiaires invisibles du Web, ont transformé votre vie numérique en produit de consommation courante. Ils collectent, recoupent et monétisent des milliers de détails sur vous : adresse précise, numéros de téléphone, emails secondaires, habitudes d'achat, revenus estimés, présence sur les réseaux, même des inférences sur votre santé ou vos orientations politiques ou sexuelles. Incogni s'attaque à ce rouleau compresseur en demandant, à votre place et en continu, la suppression de ces informations chez plus de 420 courtiers, pour que votre profil cesse enfin d'être un actif coté en bourse.

Le Web aspire vos infos plus vite que vous ne pouvez cliquer sur « refuser »

On pense souvent que les fuites viennent de gros hacks spectaculaires ou sont offertes par nos sites gouvernementaux. Mais la réalité est bien plus banale et implacable. Chaque inscription à un service, chaque programme de fidélité, chaque appli « pratique », chaque extension Chrome boostée à l'IA devient une porte ouverte. Une étude récente d'Incogni sur 442 extensions Chrome alimentées par l'IA montre que 67% d'entre elles collectent des données utilisateur, 41% raflent des infos personnelles identifiables (mots de passe, historique, localisation, communications privées), et un tiers ont un impact de risque élevé en cas de compromission. Des outils comme Grammarly, DeepL ou QuillBot, avec des millions d'utilisateurs, demandent des permissions massives pour injecter du code partout et aspirer votre activité. Tout ça au nom de la « productivité ».

Ces données ne restent pas dans un coffre : elles se déversent chez les brokers, qui les raffinent et les revendent. Résultat : votre adresse exacte apparaît sur des sites de recherche de personnes, votre profil d'achat sert à des pubs invasives ou à des hausses de prix ciblées, et des escrocs utilisent ces détails pour monter des phishings crédibles. Sans intervention, votre empreinte s'alourdit d'année en année, rendant les scams plus efficaces et les usurpations d'identité plus simples à exécuter.

Incogni : l'agent qui harcèle les brokers à votre place

Plutôt que de vous laisser batailler avec des formulaires opt-out incompréhensibles et des réponses en 45 jours maximum (comme l'exige le RGPD), Incogni prend le relais dès l'inscription. Le service scanne les brokers susceptibles de détenir vos infos, envoie des demandes légales de suppression, et relance tous les 60 à 90 jours ceux qui traînent ou rechignent. Un audit Deloitte confirme que cela couvre bien 420+ brokers, avec des relances systématiques et des confirmations de suppression obtenues dans la grande majorité des cas.

Le tableau de bord de l'outil est limpide : gravité de l'exposition par broker, statut des requêtes (confirmée, en attente, refus), et même des suppressions personnalisées sur des sites hors liste standard (genre un vieux forum, un annuaire pro, un résultat Google tenace). Et ça va assez vite, avec une baisse notable des spams ciblés dès la première semaine et des fiches publiques qui s'évaporent progressivement. Si un broker ne coopère pas ? Incogni peut escalader vers les autorités de protection des données.

Pourquoi vos données dans de mauvaises mains vous coûtent cher

Avoir ses infos chez les brokers, c'est non seulement envahir sa boîte mail de pubs sur mesure, mais aussi faciliter les scams. Un appel téléphonique cherchant à vous arnaquer, un faux site de livraison avec votre adresse exacte, un mail d'« urgence bancaire » avec vos vrais détails, ou une usurpation qui passe crème parce que le voleur connaît déjà votre contexte. Les rapports sur les fraudes en ligne montrent que ces attaques exploitent précisément ces données achetées à bas prix.

Incogni brise ce cycle en rendant votre profil moins attractif : moins de détails disponibles, moins de valeur marchande, moins de copies circulant. Les retours d'utilisateurs confirment une réduction des recherches de personnes qui vous listent, des démarchages ciblés qui s'estompent, et une sérénité accrue face aux fuites futures. Le service gère aussi les relances pour que les suppressions tiennent dans le temps, transformant une corvée ponctuelle en maintenance automatique.

Prendre le contrôle : une démarche qui paye sur la durée

Le vrai pouvoir d'Incogni réside dans sa persistance. Contrairement à un ménage manuel qui s'essouffle vite, il continue d'envoyer des demandes, suit les réponses, et ajoute de nouveaux brokers au fil des mises à jour (des dizaines par an). Basé aux Pays-Bas, il respecte scrupuleusement le RGPD et d'autres régimes comme le CCPA, avec une procuration numérique qui vous décharge légalement de tout le process. Son efficacité pour les particuliers comme les pros qui veulent limiter les risques sur des listes clients ou employés n'est pas prise en défaut.

Vos données ne sont pas condamnées à rester en vente éternellement. Des lois vous donnent le droit à l'effacement, et Incogni est l'outil qui passe ses journées à l'exercer pour vous. En 2026, alors que les extensions IA et les brokers s'enhardissent, commencer par nettoyer ce qui traîne est le geste le plus concret pour reprendre les rênes. Moins de données en circulation, c'est moins de spam, moins de scams crédibles, et surtout la fin de cette sensation diffuse d'être constamment observé par des inconnus qui en savent trop long.

Au niveau du prix, ça reste constant. Vous pouvez toujours vous protéger à partir de 77,63€ TTC par année, soit -55% avec le code KORBEN55.

-> Cliquez ici pour reprendre vos données en main ! <-

Vous vous souvenez quand je vous parlais du fameux kill switch IA de Firefox en décembre dernier ? Hé bien c'est désormais chose faite ! Mozilla vient d'annoncer que Firefox 148, qui sort le 24 février, embarquera une toute nouvelle section "Contrôles de l'IA" dans ses paramètres, entièrement dédiée aux contrôles de l'IA.

Et perso, je suis RAVI.

La nouvelle section Contrôles de l'IA dans Firefox 148

J'ai fouillé un peu dans les menus de la Nightly pour voir à quoi ça ressemble et c'est plutôt bien fichu. Vous aurez accès à un panneau centralisé dans Paramètres > Contrôles de l'IA, qui vous permettra de gérer individuellement chaque fonctionnalité IA du navigateur. Traduction automatique, texte alternatif pour les PDF (top pour l'accessibilité), groupement d'onglets intelligent, prévisualisation de liens, tout ça avec de l'IA locale ... et même un chatbot (pas local) intégré dans la barre latérale. Du coup, chaque brique peut être activée ou désactivée selon vos envies ou votre religion ^^.

Mozilla a intégré le support de Claude (d'Anthropic), ChatGPT, Microsoft Copilot, Google Gemini et Mistral Le Chat. Cinq fournisseurs au choix, directement dans la sidebar depuis un petit moment déjà et j'avoue que je l'utilise pas mal (avec Claude) pour lire des résumés de pages trop longues (mon temps est précieux ^^) ou avoir des explications sur des trucs un peu trop compliqués pour mon petit cerveau.

La vraie feature cool c'est ce bouton magique. Y'a un switch global "Bloquer les améliorations ayant recours à l'IA" qui coupe TOUT d'un seul geste. Toutes les fonctions IA actuelles ET futures. Vos préférences sont conservées entre les mises à jour, ce qui veut dire que Mozilla ne viendra pas réactiver un truc en douce après un update. C'est ce que le nouveau PDG Anthony Enzor-DeMeo avait promis en décembre... et ils ont tenu parole, les bougres !

Vous avez déjà remarqué à quel point nos claviers Android sont devenus bavards ? Que ce soit Gboard ou SwiftKey , ils ont tous la fâcheuse tendance à vouloir "améliorer l'expérience utilisateur" en envoyant vos habitudes de frappe sur des serveurs distants. Forcément, quand on sait que tout ce qu'on tape, des mots de passe aux messages privés, passe par cette petite interface, ça peut vite donner des sueurs froides niveau vie privée.

Alors c'est exactement pour contrer cette tendance qu'un nouveau projet open source vient de pointer le bout de son nez : Urik .

Pas de télémétrie dans ce clavier, et pour les plus paranos, sachez que le dictionnaire personnalisé et l'apprentissage des mots sont également stockés dans une base de données locale chiffrée avec SQLCipher. Vos frappes restent donc chez vous et nulle part ailleurs. On est dans la même philosophie que FUTO Voice Input , ce qui prouve qu'on peut avoir des outils intelligents sans pour autant sacrifier sa vie privée.

Côté technique, Urik n'est pas un clavier au rabais. Développé en Kotlin, sous licence GPL-3.0, il propose tout ce qu'on attend d'un outil moderne : la saisie par glissement (swipe), le contrôle du curseur via la barre d'espace et le support de dispositions alternatives comme le Dvorak, le Colemak ou le Workman.

Et pour la correction orthographique, il s'appuie sur l'algorithme SymSpell qui tourne lui aussi intégralement sur le téléphone. L'intelligence du truc permet d'ailleurs d'éviter de corriger bêtement les URLs ou les adresses email, ce qui évite pas mal de frustrations au quotidien.

Petite parenthèse, pour ceux qui ont besoin d'outils de protection supplémentaires sur mobile, n'hésitez pas aussi à jeter un œil à Oversec pour chiffrer vos communications.

Urik, de son côté, soigne aussi l'accessibilité avec un support complet de TalkBack et des thèmes à haut contraste conformes aux normes WCAG AA. L'application nécessite au minimum Android 8.0 et bien qu'elle soit encore officiellement en bêta, elle est déjà très stable pour un usage quotidien.

Alors oui, ça demande un petit temps d'adaptation quand on quitte les géants du secteur, mais le gain en sérénité est immédiat. Plus besoin de se demander si votre prochain message va finir dans une base de données publicitaire.

Sachez aussi que le projet est entièrement financé par sa communauté, ce qui garantit une certaine indépendance vis-à-vis des trackers habituels. Bref, si vous cherchez à reprendre le contrôle sur ce que vous saisissez, c'est clairement une alternative à tester d'urgence sur votre smartphone.

A télécharger ici sur le PlayStore !

Merci à Lorenper pour le partage !

Vous devez tester un service en ligne et là, PAF 🥲 formulaire d'inscription 🥲 Ouiiiin !!!

Et bien sûr, même si vous pouvez remplir tous les champs avec un tas de conneries, forcement à un moment, ça vous demande votre email. Et là, impossible d'y échapper... Heureusement pour éviter ça, il existe des services d'emails jetables et je vous propose qu'ensemble qu'on fasse un petit point dessus parce que ça a beaucoup bougé ces dernières années..

Yopmail , c'est un peu le vétéran du domaine. J'suis certain que vous le connaissez par cœur car ce site tourne quand même depuis 2004 (22 ans au compteur ! Comme mon site en fait !) et le principe c'est que vous choisissez un nom au pif, genre " [email protected] ", et hop, vous avez une boîte mail temporaire. Pas d'inscription, pas de mot de passe, rien. Les messages restent 8 jours puis disparaissent et le truc cool c'est qu'ils ajoutent un nouveau domaine tous les jours pour éviter les blacklists, du coup y'a moins de chances que votre adresse jetable soit refusée.

Sauf que Yopmail a une limitation importante... En effet, n'importe qui peut accéder à votre boîte si il en devine le nom. J'ai testé avec "[email protected]" et effectivement, on tombe sur les mails de dizaines d'autres personnes qui ont eu la même idée... pas ouf pour du confidentiel. Côté envoi de mails, c'est un peu plus nuancé : vous ne pouvez pas initier une conversation vers l'extérieur, mais vous pouvez répondre à un mail reçu d'une adresse externe, à condition que le message n'ait pas été identifié comme spam et que l'expéditeur soit authentifiable (merci Fred, le créateur de Yopmail, pour la précision !).

Pour ceux qui veulent du "privacy first" radical, y'a aussi MephistoMail qui ne garde aucun log. Attention par contre, l'inbox peut disparaître à tout moment sans prévenir. J'ai failli me faire avoir la première fois, j'ai fermé l'onglet avant de récupérer mon lien de confirmation et pouf, game over. Pensez donc à copier ce dont vous avez besoin AVANT de fermer.

Dans la catégorie "je veux juste une inbox vite fait", j'ai aussi croisé pas mal de services qui font le job pour récupérer un lien de confirmation ou un code OTP en 10 secondes chrono. TrashMail.de par exemple, c'est du mail jetable basique mais efficace. Byom.de est marrant également parce que c'est un peu en mode "catch-all" où vous inventez n'importe quelle adresse, vous la balancez au site qui vous demande un email, puis seulement ensuite vous allez lire ce qui est arrivé. Et si vous trouvez que le "10 minutes mail" c'est trop court, Muellmail.com joue justement la carte "10 min, c'est pas assez" sans vous prendre la tête.

Ah, et pour les devs / QA qui aiment automatiser des tests de signup (oui, je vous vois 😄), y'a aussi mail.tm qui propose des boîtes temporaires avec mot de passe, plus une API, et des services comme Temp-Mail qui ont carrément une API officielle pour tester des workflows email en boucle. Pratique quand vous devez valider "inscription -> email -> clic -> compte OK" sans y passer votre vie.

Et puis y'a une autre catégorie qui m'intéresse de plus en plus : les gestionnaires d'alias. J'ai d'abord hésité entre SimpleLogin et addy.io, mais j'ai fini par choisir Addy.io (anciennement AnonAddy) parce que c'est open source sous licence AGPL-3.0 et que vous pouvez l'héberger vous-même si vous êtes parano. Le principe c'est qu'au lieu d'avoir un mail jetable, vous créez des alias illimités qui redirigent vers votre vraie boîte. Si un alias se fait spammer, vous le désactivez en un clic sans toucher au reste. Y'a une version gratuite et des abonnements entre 1 et 3$/mois (Lite à 1$/mois, Pro à 3$/mois). Par contre attention, si vous self-hostez, faut quand même gérer un serveur mail et ça c'est pas une mince affaire...

Et du coup, si vous voulez le même délire qu'addy.io mais avec une autre approche, SimpleLogin est une très bonne option aussi puisque c'est open source, auto-hébergeable, et le gros plus c'est que vous pouvez répondre / envoyer depuis vos alias (Et ça c'est trop bien quand faut valider un truc ou parler à un support sans exposer votre vraie adresse). Bref, c'est le genre d'outil qui passe mieux que les domaines jetables quand un site commence à sortir la sulfateuse anti-temp-mail.

Et si vous êtes déjà chez un fournisseur mail orienté privacy, y'a des alternatives "pas jetables mais ultra pratiques". Je pense à Tuta par exemple permet d'avoir des alias (et même du catch-all sur domaine perso selon les offres). Migadu aussi est très cool dans le genre "j'ai mon domaine, je veux créer plein d'adresses/alias sans payer par boîte", et ils annoncent être une boite suisse avec des datacenters en France. C'est pas du "mail jetable", mais pour garder le contrôle sur le long terme, c'est une approche qui se défend.

Et pour les plus motivés (ou les plus masochistes 😅), y'a la voie du "je self-host tout" avec des stacks comme mailcow , Mailu ou docker-mailserver . Mais je vous le dis cash patate, monter son propre serveur mail, c'est la porte ouverte aux joies de SPF/DKIM/DMARC, de la réputation d'IP, des mails qui finissent en spam "parce que lol", et des heures à se demander pourquoi Outlook vous boude. Donc oui c'est souverain de votre village de ploucs, oui c'est stylé, oui c'est gratuit si votre temps vaut tripette, mais c'est pas un petit dimanche tranquille.

Côté souveraineté européenne, tout ce que je viens de vous présenter peut aider à limiter l'exposition aux joies du Cloud Act... mais attention, faut regarder au cas par cas où c'est hébergé et qui opère le service. Dans tous les cas, gardez en tête que certains sites comme Amazon ou PayPal bloquent carrément les domaines de mails jetables connus. Dans ce cas, les alias (surtout si vous avez votre propre domaine) passent généralement mieux parce que ça ressemble à une adresse "normale" qui redirige vers votre vraie boîte.

Bref, pour le quotidien Yopmail fera bien le taf (le gars sûr !), mais si vous voulez envoyer des mails, éviter les blacklistages (c'est comme ça qu'on dit ??), ou garder le contrôle sur vos alias à long terme, regardez du côté de TempMail, SimpleLogin ou addy.io.

Et si vous aimez bricoler et souffrir, vous savez ce qu'il vous reste à faire... 😈

Avec tout ce qui se passe en ce moment côté souveraineté numérique, je me suis dit qu'il était temps de vous parler d'une alternative à Google que beaucoup ignorent encore. En plus, j'ai passé pas mal de temps dessus ces dernières semaines, histoire de voir si ça tenait la route, alors il est temps de partager ça avec vous.

Startpage, c'est un moteur de recherche basé à Zeist aux Pays-Bas qui existe depuis 2006 et qui a une approche assez radicale : Vous donner les résultats de Google... sans que Google ne sache que vous existez.

Quand vous tapez une recherche sur Startpage, le moteur va interroger Google à votre place, récupérer les résultats, et vous les afficher. Sauf que votre IP, vos cookies, votre historique... Google n'en voit pas la couleur. C'est comme envoyer quelqu'un faire vos courses pour vous ^^.

Et là où ça devient vraiment intéressant dans le contexte actuel, c'est que Startpage est basé aux Pays-Bas. Du coup, il est soumis au RGPD et aux lois européennes sur la protection des données. Et SURTOUT PAS au Cloud Act américain qui permet aux autorités US de demander vos données même si elles sont stockées en Europe. C'est pas rien comme différence...

Bon, je dis pas que c'est parfait non plus hein. Rien ne l'est. Fin 2018, Privacy One Group, une filiale de System1 (société américaine spécialisée dans... la pub), a pris une participation majoritaire dans Startpage. L'annonce n'est tombée qu'en 2019, ce qui a fait tiquer pas mal de monde dans la communauté vie privée. PrivacyTools.io par exemple l'a même retiré de ses recommandations pendant un moment...

Mais depuis, Startpage a publié des clarifications... en fait selon eux, System1 n'a pas accès aux données de recherche, et la société reste opérée depuis les Pays-Bas avec des serveurs européens.

Côté fonctionnalités, y'a un truc que j'adore et que j'utilise quasi systématiquement depuis 3 semaines c'est le mode "Anonymous View". En fait quand vous cliquez sur un résultat de recherche, au lieu d'aller directement sur le site (qui peut alors tracker votre visite), Startpage peut ouvrir la page via un proxy. Le site que vous visitez ne voit alors que l'IP de Startpage et pas la vôtre. C'est un peu comme un proxy intégré pour chaque clic, qui bloque aussi les scripts de fingerprinting.

Pas mal non ?

D'ailleurs, niveau interface, c'est propre et sans fioritures. Y'a pas de doodles tout naze, pas de suggestions de recherche personnalisées, pas de "vous pourriez aussi aimer", pas d'Ads vers des sites frauduleux... Non, c'est comme à l'ancienne avec juste un bon vieux champ de recherche et des résultats. Ça nous change donc des pages d'accueil de Google qui sont devenues de véritables panneaux publicitaires et dans lesquelles on se perd assez vite.

Alors évidemment, y'a quelques inconvénients aussi... D'abord les résultats sont parfois un peu moins "personnalisés" que sur Google. Normal, vu qu'ils n'ont aucune idée de qui vous êtes, ils ne peuvent donc pas vous proposer le resto le plus proche de chez vous. Faudra donc parfois préciser "Paris", "Clermont-Ferrand" ou "France" dans vos recherches locales. J'ai galéré un peu au début avec ça, car on prend vite de mauvaises habitudes (merci la flemme) mais après j'ai découvert qu'on pouvait préciser ça dans les paramètres.

Et puis de temps en temps, Startpage peut avoir des ralentissements... les joies de l'intermédiation. Mais rien de rédhibitoire rassurez-vous !

Comparé à DuckDuckGo qui utilise principalement Bing comme source et qui est américain (bouuuuh, arrêtez de recommander cette bouze ^^), ou à Qwant qui galère un peu côté pertinence , Startpage offre un compromis intéressant. A savoir la qualité Google sans le tracking Google, et le tout hébergé en Europe.

Car oui avec tout ce qui se passe géopolitiquement en ce moment, je pense que c'est bien de changer un peu ses habitudes. Vous devriez essayer... Car entre les discussions sur le Cloud Act, les tensions transatlantiques sur les données personnelles, et les GAFAM américains qui aspirent nos données comme des Dyson sous amphét'... avoir une alternative européenne soumise au RGPD, c'est pas juste une question de principe. C'est une vraie question de souveraineté numérique. Les Pays-Bas, c'est pas parfait (aucun pays l'est), mais au moins c'est une juridiction où la CNIL locale a du mordant.

Maintenant pour l'utiliser, rien de sorcier. Vous allez sur startpage.com et vous pouvez même le configurer comme moteur par défaut dans votre navigateur. Attention par contre, sur certains navigateurs (Safari notamment), c'est un peu planqué dans les préférences. Y'a aussi une extension pour Firefox et Chrome si vous voulez. Et si vous voulez aller plus loin dans la protection de votre vie privée, combinez ça avec une extension qui gère vos cookies .

Et voilà, si vous en avez marre de voir des pubs ultra-ciblées qui semblent lire dans vos pensées, et d'offrir la moindre de vos requêtes aux américains, ce moteur de recherche néerlandais vaut vraiment le coup d'œil.

À découvrir ici !

Ce matin, en trainant sur GitHub (mon sport du dimanche, je sais c'est triste), je suis tombé sur un truc qui m'a intéressé et qui je pense vous sera utile (comme la plupart des trucs que je présente ici) surtout si vous êtes coincé derrière un pare-feu d'entreprise totalement paranoïaque. Ou encore si votre FAI s'amuse à brider certains protocoles. Ça peut arriver dans ces cas là, on se sent un peu comme un rat en cage, à chercher la moindre petite ouverture pour respirer un peu de notre liberté.

Cet outil, ça s'appelle Smtp-Tunnel-Proxy et le concept c'est de faire passer tout votre trafic pour de bêtes emails. Alors vous vous dites peut-être "Mouais, encore un tunnel qui va ramer comme pas possible", mais en creusant un peu, vous allez voir, c'est pas con.

En fait ce que fait ce petit script Python (ou binaire Go) c'est qu'il enveloppe vos paquets TCP dans une connexion qui ressemble à s'y méprendre à du trafic SMTP chiffré. En gros, le truc simule un handshake avec un serveur mail (comme Postfix), lance le chiffrement TLS 1.2+, et hop, une fois le tunnel établi, il balance la purée en binaire sans que le DPI (Deep Packet Inspection) puisse y voir quelque chose. Comme ça le firewall n'y comprend plus rien, le petit chou ^^.

C'est un peu comme un tunnel SSH en fait mais déguisé en serveur mail, ce qui le rend beaucoup plus discret. Parce que là où un tunnel SSH peut être repéré par sa signature un peu trop évidente, une connexion SMTP chiffrée, c'est ce qu'il y a de plus banal sur le net. Du coup, ça passe crèèèème.

Niveau fonctionnalités, x011 (le dev) a fait les choses bien. Le truc est multi-utilisateurs avec des secrets partagés pour l'auth, supporte le multiplexing (plusieurs connexions dans un seul tunnel), et gère même une whitelist d'IP pour éviter que n'importe qui ne squatte votre tunnel. C'est propre quoi.

L'installation côté serveur est simplifiée grâce notamment à un script tout fait que vous pouvez lancer sur n'importe quel petit VPS. Un petit curl et c'est réglé :

curl -sSL https://raw.githubusercontent.com/x011/smtp-tunnel-proxy/main/install.sh | sudo bash

Et côté client, c'est encore plus simple car une fois votre utilisateur créé sur le serveur, vous récupérez un petit fichier zip contenant tout ce qu'il faut. Vous lancez le script start.bat ou start.sh, et boum, vous avez un proxy SOCKS5 local qui tourne sur 127.0.0.1:1080.

Il ne vous reste alors plus qu'à configurer votre navigateur ou vos applications pour passer par ce proxy SOCKS, et vous voilà libre comme l'air.

C'est dingue ce qu'on peut faire avec un peu d'ingéniosité, non ?

Attention quand même, ça reste du tunnel, donc ne faites pas de bêtises avec... A moins que le DPI en face analyse l'entropie de manière ultra poussée (ce qui est rare car coûteux en ressources), ça devrait tenir, mais ne vous croyez pas invisible pour autant. Pour contourner de la censure ou accéder à vos services hébergés à la maison depuis un wifi public bridé, c'est donc l'outil parfait. Si les mails passent, tout passe !

Le code est dispo sur GitHub pour ceux qui veulent. Perso je me garde ça sous le coude comme ça, ni vu ni connu j't'embouille sur ton wifi bridé nord coréen là ^^.

Yop les amis !

Mauvaise nouvelle pour les amateurs de lecture japonaises qui avaient leurs petites habitudes sur Bato.to. Le site, véritable institution du scantrad manga, a été mis hors ligne et cette fois, c'est pas une simple maintenance qui a mal tourné ou un serveur qui a pris feu (quoi que, ça arrive plus souvent qu'on ne le pense ^^).

Non, c'est la CODA (Content Overseas Distribution Association), c'est à dire l'organisme japonais de lutte contre le piratage, qui en collaboration avec les autorités chinoises, ont fait arrêter l'opérateur du site fin novembre. Le gars a admis opérer non seulement Bato.to mais aussi une soixantaine de sites liés comme xbato.com ou mangapark.io.

Honnêtement, impossible de se connecter ce matin, c'est le désert total. Apparemment, la base de données a été saisie et les serveurs sont aux fraises.

Du coup, c'est tout un empire qui s'effondre. Pour vous donner une idée de l'ampleur du truc, Bato.to c'était 350 millions de visites cumulées sur l'ensemble du réseau rien que pour le mois de mai 2025. Et niveau thunes, ça brassait pas mal puisque les revenus publicitaires montaient jusqu'à 400 000 yuans par mois lors des pics d'audience, soit environ 57 000 dollars. Ça commence à faire une belle somme pour de la scanlation illégale, surtout quand on sait que la plupart des traducteurs font ça pour la gloire (ou pour le kiff).

Perso, je trouve ça super moche de voir disparaître des archives communautaires aussi énormes parce que même si c'était pas "légal" c'était quand même un peu le temple du scan manga où l'on trouvait des pépites introuvables ailleurs, même si la qualité variait selon les équipes. Mais bon, faut pas se leurrer, quand y'a autant d'oseille en jeu, c'était inévitable...

Si vous êtes en manque de lecture, sachez que l'offre légale a quand même méga bougé. Avant c'était la galère absolue, mais maintenant on a des trucs comme Manga Plus (qui appartient à la Shueisha , donc c'est la source directe) ou Mangas.io . C'est quand même plus propre pour soutenir les mangakas qui triment sur leurs planches, sauf si vous lisez des trucs hyper obscurs qui n'arriveront jamais chez nous, là c'est plus compliqué...

D'ailleurs, pour ceux qui galèrent avec les chapitres qui sortent uniquement en japonais, y'a des outils incroyables maintenant. J'avais testé Manga Net sur Android et plus récemment Koharu, un traducteur de mangas par IA codé en Rust et franchement, ça automatise une grande partie du boulot de nettoyage et de trad. C'est peut-être ça l'avenir du scantrad finalement... des outils persos pour lire ce qu'on veut localement sans dépendre de gros sites qui finissent par se faire chopper.

Bref, une page se tourne. L'opérateur a été libéré sous caution en attendant la suite de la procédure, mais ne comptez pas trop sur un retour du site de sitôt. Va falloir trouver une autre crémerie ou, folie suprême, commencer à acheter vos tomes préférés.

Ahahaha !

Source

Vous avez sûrement déjà eu ce moment de solitude où vous devez filer le mot de passe du WiFi, de Netflix ou d'un compte commun à un pote. Et là, comme un mec bourré qui recontacte son ex après une soirée déprimante, vous finissez par l'envoyer par SMS ou l'écrire sur un bout de papier qui finira à la poubelle.

C'est le genre de truc qui rend dingue niveau sécurité, mais bon, dans la vraie vie on le fait tous !

Au début, je cherchais donc juste un moyen simple de faire ça proprement, et je suis tombé sur ShareMyLogin. C'est un petit outil open source très bien pensé qui permet de partager des identifiants (ou n'importe quel secret) via un lien unique, en chiffrant tout directement dans votre navigateur (Chrome, Firefox, peu importe).

Le principe vous le connaissez, c'est du Zero Knowledge. Du coup, comme le chiffrement se fait localement avant l'envoi, le serveur ne reçoit techniquement que des données illisibles. C'est dans l'esprit de ce que proposent des services comme Bitwarden Send ou LockTransfer pour les pros , mais ici sous forme d'un petit outil dédié et gratuit.

Côté technique, on retrouve donc bien de l'AES-256-GCM pour le chiffrement et du PBKDF2 (avec 250 000 itérations) pour la dérivation de clé. Concrètement, vous tapez votre secret, l'outil génère un lien, et hop, vous filez ce lien à votre destinataire.

Ce qui est cool, c'est que le code est disponible sur GitHub . Je vous invite d'ailleurs à aller jeter un oeil à encrypt.ts et decrypt.ts qui montrent bien que la crypto est gérée côté client. Après, si vous utilisez la version hébergée, vous devrez faire confiance à l'administrateur pour qu'il ne modifie pas le code à la volée. Mais si vous hébergez votre propre instance, ce qui est franchement conseillé si vous êtes à cheval sur la sécu, c'est top !

Bien sûr pour le partage de mots de passe critiques au quotidien, je vous recommande d'utiliser les fonctions de partage de votre gestionnaire de mots de passe habituel. Mais pour un dépannage ponctuel, genre filer le code du digicode à un livreur ou un accès temporaire, ShareMyLogin fera très bien le job.

Le projet propose aussi une API si vous voulez intégrer ça dans vos propres moulinettes.

Source

Tim Berners-Lee, le papa du Web, tape du poing sur la table . Dans cette interview accordée au Guardian aujourd'hui, il explique en gros qu'il est grand temps de "reprendre Internet" aux géants qui l'ont transformé en machine à fric.

Il était temps que ça sorte !

Parce lui parle carrément d'une "bataille pour l'âme du web". Rien que ça ! Selon lui, le web actuel est devenu un truc "optimisé pour la méchanceté" et la surveillance de masse. Je ne peux pas le contredire sur la méchanceté et en effet, la centralisation excessive et le modèle actuel ont largement perverti sa vision d'origine.

Sa solution, vous en avez peut-être déjà entendu parler, c'est le projet Solid (porté notamment par sa startup Inrupt ) qui propose de stocker ses données dans des "pods" personnels. L'idée c'est de découpler les données des applications. Vous gardez vos infos dans votre pod (hébergé chez vous ou chez un fournisseur de confiance) et vous donnez accès aux apps au cas par cas. Comme ça on peut reprendre (un peu) le contrôle de notre vie en ligne.

Il s'inquiète aussi pour l'IA et réclame un "CERN de l'IA" pour éviter que la technologie ne nous échappe totalement. C'est mal barré ça je pense, même si je suis d'accord avec lui.

Perso en ce qui me concerne, j'ai jamais changé mon fusil d'épaule et vous le savez, puisque depuis toujours j'invite tout le monde dès que j'en ai l'occasion à créer son site, à créer son forum, à créer sa plateforme et à en finir avec ces conneries de plateformes centralisée.

Alors peut-être que ça ne marchera pas, ou peut-être que son appel sera entendu et que ça marchera. Mais en tout cas, si à un moment, vous voulez publier des trucs sur le web, essayez un tout petit peu d'héberger vos propres trucs vous-même. Attentio, je ne vous dis pas de monter un cluster Kubernetes dans votre salon (sauf si vous kiffez ça) ou de switcher en mode auto-hébergement pur et dur sur un Raspberry Pi (bien que ce soit très cool avec Yunohost )... Non, vous pouvez simplement prendre un hébergeur comme O2Switch par exemple. C'est pas très cher.

Je crois que quand on a une passion, on peut mettre un petit peu d'argent dedans pour se faire plaisir. Puis ça peut marcher dans l'autre sens aussi... À l'époque, moi je me souviens, il y avait un pote qui ouvrait son serveur pour qu'on puisse y mettre des pages web et ce genre de truc via un petit FTP. Donc ceux qui savent gérer des serveurs web, vous pouvez peut-être aussi envisager de créer un espace non pas accessible à la Terre entière, mais au moins accessible à vos amis, à des connaissances, gratuitement. Un truc un peu facile à utiliser, à l'ancienne...

Voilà, je trouverai ça vraiment cool que ça revienne un petit peu à la mode et que le web se repeuple. Qu'on sorte un peu des GAFAM et des algos toxiques...

Quelques pages statiques et c'est suffisant pour s'exprimer sans se prendre le chou avec la technique. J'en suis la preuve vivante ! Le site sur lequel vous êtes est 100% statique. On n'a pas besoin de monter une startup à chaque fois qu'on veut faire un site.

Je ne sais pas si les fournisseurs d'accès internet offrent toujours un petit bout d'espace web, mais si vous avez ça qui traîne, profitez-en aussi.

Bref, écoutez Papi Tim et Tonton Korben et ensemble, reprenons le contrôle, un serveur à la fois.

Source

Edit du 22/12/2025 : Bonne nouvelle ! Le développeur a finalement récupéré son compte. Un employé d'Apple Executive Relations basé à Singapour l'a contacté pour lui annoncer que tout était réglé. Il s'avère que la carte cadeau qu'il avait essayé d'utiliser avait déjà été "consommée" d'une manière ou d'une autre (probablement du tampering classique de carte cadeau), et son compte s'est retrouvé flaggé à cause de ça. Apple lui a conseillé de n'acheter des cartes cadeaux que directement chez eux et quand il a demandé si ça signifiait que leur chaîne d'approvisionnement (Blackhawk Network, InComm et autres revendeurs) était peu fiable, Apple a refusé de commenter. Comme quoi, même après 25 ans de fidélité, faut quand même gueuler un bon coup pour que ça bouge...

Vous vous souvenez de mes conseils sur les backups ? Ceux que je vous rabâche régulièrement depuis des années ? Hé bien voici une histoire qui va vous donner envie de les suivre une bonne fois pour toutes.

Dr Paris Buttfield-Addison, c'est un développeur Apple depuis 25 ans. Le mec a écrit plus de 20 bouquins sur Objective-C et Swift, il co-organise le plus ancien événement développeur Apple non-officiel... Bref, c'est pas un random qui a téléchargé une app météo une fois. C'est un évangéliste Apple depuis 30 ans.

Et bien du jour au lendemain, son compte Apple ID a été fermé. Sans explication. Sans recours. Sans rien.

L'élément déclencheur ? Il a essayé de racheter une carte cadeau Apple de 500 dollars pour payer son abonnement iCloud+ de 6 To. Le code a foiré, le vendeur lui a proposé un remplacement, et quelques temps après... boom, compte verrouillé.

Résultat : environ 30 000 dollars de matos Apple devenu inutilisable, des milliers de dollars de logiciels et médias achetés auxquels il n'a plus accès, plus d'iMessage, et surtout des téraoctets de photos de famille qu'il ne peut plus récupérer. 25 ans de souvenirs numériques, volatilisés.

Le support Apple ? Réponse standard : fermé pour "conformité avec les conditions". Pas d'explication. Zéro escalade possible. Et comme conseil : créer un nouveau compte. Sauf que ça pourrait aussi le faire bannir ce nouveau compte. Logique Apple...

Et le pompon ? On lui a également suggéré de se présenter physiquement au siège australien d'Apple. Comme si le mec allait prendre un billet d'avion pour aller plaider sa cause en personne. C'est difficilement compréhensible comme réponse venant d'une boîte qui vaut 3000 milliards de dollars.

Le truc, c'est que cette histoire peut arriver à n'importe qui. Que ce soit chez Apple, Google ou Microsoft, vous êtes à la merci d'un algorithme qui décide un beau matin que votre compte est suspect. Et bonne chance pour trouver un interlocuteur prêt à mouiller sa chemise pour vous. Spoiler : y'en a pas.

Moi-même j'ai eu tellement de problèmes de synchro avec iCloud au fil des années que j'ai perdu des fichiers. C'est de la merde, vraiment. Optez pour un truc mieux si vous le pouvez.

Du coup, comment éviter ça ? L'idéal c'est l'auto-hébergement si vous avez le temps et les compétences. Sinon, au minimum, faites des backups réguliers de vos données. Pour Apple Notes par exemple, y'a un outil qui s'appelle Exporter qui permet d'exporter toutes vos notes vers du Markdown ou du HTML. Comme ça le jour où Tim Cook décide que votre tronche lui revient pas, vous aurez au moins une copie de vos données quelque part.

Bref, ne faites jamais confiance à 100% à ces plateformes avec vos données les plus précieuses. Elles peuvent vous couper l'accès du jour au lendemain, et vous n'aurez aucun recours...

Source : hey.paris

Vous connaissez Anna's Archive , cette bibliothèque pirate qui sauvegarde tous les livres et articles scientifiques de l'humanité ? Hé bien ils viennent de s'attaquer à un nouveau chantier : sauvegarder Spotify (en tout cas le plus possible), c'est à dire des millions de morceaux + de la métadonnées, soit ~300 téraoctets de données !!

Anna's Archive se focalise normalement sur le texte (livres, et documents de recherche) parce que c'est ce qui a la plus haute densité d'information mais leur mission, c'est de préserver le savoir et la culture de l'humanité, et ça inclut donc aussi la musique. Et comme ils ont trouvé un moyen de scraper Spotify à grande échelle, ils se sont dit "Hey pourquoi pas ? On est des oufs".

Et ça donne la plus grande base de données de métadonnées musicales jamais rendue publique, avec 186 millions d'ISRCs uniques (ces codes qui identifient chaque enregistrement). Pour vous donner un ordre de grandeur, MusicBrainz n'en a que 5 millions. Niveau fichiers audio, ils ont aussi archivé environ 86 millions de morceaux, ce qui représente 99,6% des écoutes sur la plateforme (même si ça ne fait "que" 37% du catalogue total). Donc si vous écoutez un morceau au hasard sur Spotify, y'a 99,6% de chances qu'il soit dans l'archive.

Pour trier tout ça, ils ont utilisé la métrique "popularité" de Spotify qui va de 0 à 100. Ainsi, pour les morceaux avec une popularité supérieure à 0, ils ont récupéré quasiment tout en qualité originale (OGG Vorbis 160kbit/s) et pour les morceaux à popularité 0 (soit ~70% du catalogue, des trucs que personne n'écoute), ils ont réencodé en OGG Opus 75kbit/s pour gagner de la place… mais ils ne sont pas allés au bout de la longue traîne (trop de stockage pour trop peu de gain, et pas mal de contenu “bof” à popularité 0). Pour 99% des gens ça sonne pareil, même si je sais que les audiophiles vont me tuer dans les commentaires ^^.

En regardant les stats qu'ils ont produit à partir de ce qui a été scrappé, les 3 morceaux les plus populaires (Die With A Smile de Lady Gaga et Bruno Mars, BIRDS OF A FEATHER de Billie Eilish, et DtMF de Bad Bunny) ont été streamés plus de fois que les 20 à 100 millions de morceaux les moins populaires combinés. Bon, ils précisent aussi que la popularité est très dépendante du moment, donc ce top est un peu arbitraire mais ça montre à quel point la longue traîne est looooongue sur les plateformes de streaming...

Après le problème avec la préservation musicale actuelle (ce qu'on retrouve sur les sites de Torrent par exemple), c'est qu'elle se concentre uniquement sur les artistes populaires et la qualité maximale (FLAC lossless). Du coup, y'a plein de musique obscure qui ne survit que si une seule personne décide de la partager. Et ces fichiers sont souvent mal seedés. Et c'est pour ça que je trouve l'approche d'Anna's Archive plutôt pas mal car elle consiste à archiver tout ce qui existe (ou presque), même en qualité "suffisante", plutôt que de se concentrer sur un sous-ensemble en qualité parfaite.

Et comme vous vous en doutez, tout est distribué via des torrents, avec les métadonnées déjà disponibles (moins de 200 Go compressés) et les fichiers audio qui arrivent progressivement par ordre de popularité. Note la base s'arrête à juillet 2025, donc tout ce qui est sorti après peut ne pas être là (même s'il y a quelques exceptions).

Bref, c'est la première archive de préservation musicale vraiment ouverte, que n'importe qui peut mirrorer s'il a assez de stockage et voilà comment grâce à l'aide de tout le monde, le patrimoine musical de l'humanité sera protégé pour toujours des catastrophes naturelles, des guerres, des coupes budgétaires et autres désastres... Par contre, pas sûr que ça la protège de la boulimie des IA génératives.

Merci à Lilian pour l'info !

Source

Keonne Rodriguez, le développeur derrière Samourai Wallet, vient de se prendre 5 ans de taule pour avoir créé un portefeuille Bitcoin qui protégeait un peu trop bien l'anonymat de ses utilisateurs.

Samourai Wallet, c'était un portefeuille Bitcoin open source lancé en 2015 avec comme promesse de permettre aux gens d'utiliser leurs bitcoins sans que le monde entier puisse tracer chacune de leurs transactions. Le truc utilisait une technique appelée le "coin mixing" qui, pour faire simple, mélange les transactions de plusieurs personnes pour brouiller les pistes et rendre le traçage quasi impossible.

Grave erreur car ça les États n'aiment pas !

Et voilà pourquoi en avril 2024, le FBI a débarqué chez Rodriguez à 6h du matin, arme au poing, devant sa femme et ses enfants. L'accusation ? Blanchiment d'argent et exploitation d'une entreprise de transmission monétaire non autorisée. Le Département de la Justice américain affirme que plus de 237 millions de dollars de "produits criminels" seraient passés par Samourai, provenant selon eux du trafic de drogue, de marchés du darknet, de fraudes diverses et même d'un site pédopornographique.

Rodriguez maintient qu'il a juste créé un logiciel, point. Dans l'interview ci-dessous accordée à Reason Magazine juste avant son incarcération ce 19 décembre, il explique qu'il n'a jamais eu accès aux fonds des utilisateurs et qu'il ne savait pas qui utilisait son outil ni pourquoi.

Je sais pas vous, mais moi dès que j'ai un truc à écrire sur mon smartphone, je le dicte. Et que je sois sous Android ou soit iOS, je sais très bien que chaque mot que je prononce part directement sur les serveurs de Google ou Apple. Pourquoi j'ai trouvé FUTO Voice Input , intéressant parce que lui, garde tout sur votre téléphone...

C'est une appli Android qui utilise le modèle Whisper d'OpenAI pour faire de la reconnaissance vocale vraiment précise et ça tourne nickel sur un smartphone moderne. Trois tailles de modèle sont dispo : tiny, base, et small. La base suffira dans 90% des cas, mais vous pouvez basculer sur la small qui est un peu plus grosse, si vous avez un accent à couper au couteau ou si vous parlez dans le métro.

FUTO Voice Input supporte également 16 langues dont le français, l'anglais, l'allemand, l'espagnol, le japonais et plein d'autres et l'appli s'intègre directement comme clavier de saisie vocale Android, du coup elle fonctionne avec n'importe quelle application. Vous pouvez donc l'utiliser avec des claviers comme AnySoftKeyboard ou Unexpected Keyboard . Par contre, oubliez Gboard ou le clavier Samsung qui ont leur propre système verrouillé.

Le projet vient de FUTO, une organisation fondée par Eron Wolf (ex-investisseur de WhatsApp) et Louis Rossmann, le YouTubeur américain connu pour son combat pour le droit à la réparation, y bosse comme directeur de la com. Donc niveau éthique, je pense que c'est OK.

L'appli est dispo sur le Play Store, sur F-Droid, ou en APK direct d'environ 70 Mo. Y'a une version gratuite et une version payante sous forme de licence unique (pas d'abonnement, ouf) et le code source est ouvert et disponible sur GitLab.

Voilà, si vous en avez marre que vos paroles soient analysées par des serveurs à l'autre bout de la planète, FUTO Voice Input c'est une très bonne option !

Merci à PARADOXE_ pour l'info !