Depuis la version 2.91.0 du CLI GitHub publiée mardi, chaque commande que vous tapez dans gh envoie des données de télémétrie vers GitHub par défaut. L'activation est silencieuse, sans message au premier lancement, sans consentement explicite, et il faut fouiller dans la doc pour tomber sur la page dédiée au sujet.

GitHub décrit la collecte comme pseudonyme côté client. Concrètement, le payload embarque le nom de la commande lancée, un identifiant d'invocation, un identifiant d'appareil, l'OS, l'architecture, l'agent et quelques drapeaux.

L'entreprise précise que le contenu exact peut varier d'un appel à l'autre. La justification officielle : les équipes produit ont besoin de voir comment le CLI est utilisé, avec la montée en puissance des agents IA qui le pilotent de plus en plus souvent en arrière-plan.

Côté sortie, il y a trois moyens de couper la télémétrie. Vous pouvez définir la variable d'environnement GH_TELEMETRY à false, ou DO_NOT_TRACK à true, ou lancer gh config set telemetry disabled. Simple en apparence.

Sauf que rien de tout ça n'est signalé à l'installation, et qu'un utilisateur qui n'est pas tombé sur le billet de Brandon Vigliarolo dans The Register ne saura probablement pas que c'est activé sur sa machine.

Le terme pseudonyme mérite aussi qu'on le regarde de près. Pseudonyme ne veut pas dire anonyme : il y a un identifiant d'appareil stable, il y a un identifiant d'invocation, et GitHub connaît déjà votre compte si vous êtes authentifié avec gh auth login.

Du coup, le recoupement entre votre activité CLI et votre identité GitHub n'a rien de théorique, même si GitHub ne promet pas de le faire.

En pratique, la télémétrie des outils de dev n'est pas une nouveauté. VS Code le fait depuis des années, npm aussi, et la plupart des éditeurs jouent le même jeu. Ce qui coince ici, c'est le choix de l'opt-out plutôt que de l'opt-in, et l'absence d'annonce claire sur le changelog principal.

Les utilisateurs reprochent surtout à GitHub d'avoir glissé l'info dans une page de doc au lieu d'un billet de blog dédié. Pour un outil qu'utilisent des gens très à cheval sur leur vie privée, c'est un drôle de calcul.

Bref, un outil CLI qui s'active en mode collecte par défaut sans prévenir, ça pique. Heureusement une variable d'environnement suffit à couper. Mais il faut savoir qu'elle existe.

Source : The Register

Mis à part son auteur, y'a un truc qui sent pas bon dans l'avant-projet de loi de Laurent Nuñez sur le séparatisme et l'entrisme. Au milieu des mesures sur la dissolution d'assos et l'interdiction d'ouvrages, le texte prévoit en effet d'étendre fortement les pouvoirs de blocage administratif des sites web en France. Et quand je dis "administratif", ça veut dire sans juge.

Bah ouais, ça servirait à quoi alors qu'il suffit d'un bon vieux coup de tampon de l'administration, et votre site peut disparaître de l'internet français.

Concrètement, le texte vise l'article 6-1 de la LCEN. Ce truc-là, c'est le bouton rouge que Pharos et l'ARCOM peuvent pousser depuis 2014 pour faire retirer un contenu. Aujourd'hui ça couvre le terrorisme, la pédopornographie, la vente de stupéfiants et les images de tortures.

Demain, le projet veut y rajouter l'apologie des crimes de guerre, les provocations à la haine ou à la discrimination, et surtout un motif tellement flou que c'en est vertigineux : les contenus "susceptibles de créer un trouble grave pour l'ordre public".

Et c'est là que ça coince. Car "Trouble grave à l'ordre public", vous savez ce que ça veut dire ? Moi oui ! Ça veut dire exactement ce que le préfet en charge veut bien que ça veuille dire. C'est le genre de formule qu'on met dans une loi quand on sait très bien qu'on en fera plus tard un usage BEAUCOUP PLUS LARGE que l'intention affichée initialement.

Et c'est là que ça me colle des boutons, parce qu'on a déjà vu ce film je ne sais combien de fois !!

2014, Cazeneuve, article 6-1 créé pour le terrorisme. 2020, loi Avia retoquée par le Conseil constitutionnel . 2021, extension aux stupéfiants. 2024, loi SREN et vérification d'âge. 2026, apologie crimes de guerre plus haine plus "trouble grave à l'ordre public". À chacune de leur itération, le périmètre s'élargit, les motifs deviennent encore plus flous, et le juge disparaît encore un peu plus du décor.

C'est ça le vrai sujet en fait. C'est pas la question de savoir si bloquer l'apologie des crimes de guerre est légitime (ça l'est). La vraie question c'est : Qui décide ?

Car pendant des siècles en France, seul un juge pouvait ordonner à un éditeur de se taire. Mais depuis 2014, c'est devenu la fête du slip puisque l'administration peut le faire toute seule, et Ô comme c'est bizarre, chaque loi qui arrive ensuite, élargit son, déjà trop grand, terrain de jeu. Alors bien sûr, le juge, on peut éventuellement le saisir après coup, en référé, avec un bon avocat mais dans l'intervalle, votre site a été déréférencé, votre trafic est en EEG plat, et votre asso par exemple, a claqué.

Surtout que la formulation "trouble grave à l'ordre public" est tellement élastique qu'elle peut demain couvrir à peu près n'importe quel sujet qui gêne. C'est pratique hein ? Un dossier sur les violences policières ? Un article sur les manifs ? Une tribune un peu incendiaire ? Allez hop, on coupe TOUT et on retourne sucer des feutres en réfléchissant à la prochaine loi liberticide !!

Vu que le texte part au Conseil d'État avant d'arriver au Conseil des ministres fin avril, le périmètre exact peut encore bouger donc je vous invite à suivre ça du coin de l'œil. Et si vous avez un site ou une asso qui risque de matcher, le bon réflexe c'est La Quadrature du Net . Eux savent contester ces trucs, et ils l'ont déjà fait pour Avia et SREN.

Bref, on se retrouve dans dix ans ou moins, et je vous parie qu'on rediscutera ENCORE d'une nouvelle extension de l'article 6-1, cette fois au nom d'une menace qu'on n'avait pas encore vu venir. L'effet cliquet, ça se déclenche toujours dans le même sens, malheureusement.

Source

Les salariés de Meta devront bientôt installer un logiciel qui enregistre leurs frappes clavier, les mouvements de souris et des captures d'écran régulières sur leur poste de travail.

Le programme s'appelle Model Capability Initiative, et il doit alimenter les futurs modèles d'IA maison capables de faire du travail de bureau en autonomie. L'info a été révélée par The Register cette semaine.

Concrètement, l'outil surveille l'activité sur une liste d'applications professionnelles, dont Gmail, GChat, VCode et l'outil interne Metamate. Meta a justifié le dispositif en expliquant que ses modèles d'IA ne comprennent pas bien comment les humains utilisent un ordinateur.

Les données serviront à entraîner des agents capables de reproduire les micro-gestes que les modèles actuels galèrent à faire, comme sélectionner une option dans un menu déroulant ou enchaîner deux raccourcis clavier. Le directeur technique Andrew Bosworth a expliqué que la vision, c'est d'avoir des agents qui font le boulot pendant que les humains dirigent, relisent et corrigent les sorties.

Côté salariés, l'accueil est glacial. Un ingénieur cité par The Register résume la chose : il y a une différence entre savoir que votre travail est évalué et savoir que chaque frappe clavier peut nourrir un modèle commercial vendu à des clients externes.

L'analyste Ed Zitron, très critique sur l'IA, décrit l'ambiance interne chez Meta comme horrible et parle d'une culture de la paranoïa qui ne va pas s'arranger avec cette nouvelle couche de surveillance.

Le programme cible d'abord les employés basés aux États-Unis. En Europe, les règles sur le pistage des salariés sont beaucoup plus strictes, donc Meta évite de tester ce genre de dispositif sous les yeux de la CNIL irlandaise ou de son équivalent allemand.

Il y a aussi l'ironie évidente de la situation : Meta surveille les utilisateurs depuis quinze ans pour son ciblage publicitaire, et a collectionné les amendes RGPD au passage. Maintenant ce sont ses propres salariés qui passent sous le scanner.

En pratique, ce qui est demandé ressemble à ce que font déjà plusieurs boîtes qui entraînent des agents : il faut des jeux de données de démonstrations humaines sur des tâches réelles pour que l'IA apprenne. Sauf que voilà, Meta franchit un cap en allant chercher ces données dans l'outil quotidien de ses salariés.

Bref, chez Meta le clavier devient un jeu de données d'entraînement. Difficile d'imaginer que des ingénieurs un peu pointus acceptent ça longtemps sans râler, et on les comprend.

Source : The Register

Si votre coeur bat, sachez que la CIA peut vous retrouver n'importe où !

C'est pas moi qui le dis, c'est John Ratcliffe, le directeur de la CIA en personne, qui l'a annoncé ce lundi 7 avril après que ses équipes aient utilisé un outil baptisé Ghost Murmur pour localiser un membre d'équipage américain abattu en Iran, à 65 kilomètres de distance, en captant juste les battements de son coeur.

On dirait vraiment de la SF mais je vais tout vous expliquer.

L'officier des systèmes d'armes d'un F-15E Strike Eagle (oui c'est son titre officiel), nom de code "Dude 44 Bravo", s'est éjecté de son appareil et a du se planquer dans une crevasse en plein désert montagneux du sud de l'Iran, avec les forces iraniennes qui le cherchaient trèèèès activement. Durant 2 jours, le gars a survécu en terrain hostile et c'est là que la CIA a décidé de dégainer Ghost Murmur pour la toute première fois en conditions réelles.

Et la techno est vraiment dingue ! Le système utilise de la magnétométrie quantique, c'est-à-dire des capteurs construits autour de défauts microscopiques dans des diamants synthétiques et ces capteurs sont capables de détecter la signature électromagnétique des battements cardiaques... C'est un signal normalement tellement faible qu'on ne peut le mesurer qu'à l'hôpital, avec des capteurs collés sur la peau.

Hé bien Ghost Murmur capte ce signal à des dizaines de kilomètres en utilisant l'IA pour isoler un seul battement de cœur du bruit ambiant. Comme l'a dit un officiel du gouvernement américain, "c'est comme entendre une voix dans un stade, sauf que le stade fait 2 500 km²" !

Et devinez qui est derrière tout ça... Lockheed Martin et sa division Skunk Works , ceux là même qui ont pondu le SR-71, le F-117, et à peu près tous les trucs volants classifiés du Pentagone. Le système a été testé à bord d'hélicoptères Black Hawk et pourrait finalement être adapté pour les F-35. Et son nom n'est pas choisi au hasard : "Murmur" c'est le terme clinique pour un souffle au coeur, et "Ghost" parce que la cible est invisible... sauf pour eux.

Bon, après faut relativiser quand même. Le plus gros problème c'est que ce bidule fonctionne surtout en zone déserte, là où y'a quasi zéro interférence électromagnétique. Donc si vous êtes le seul être vivant dans un rayon de 100 bornes, ça marchera du tonnerre de Zeus mais par contre, en plein centre-ville avec des milliers de cœurs qui font boum boum au mètre carré, ça ne marchera pas aussi bien. Et surtout, ça demande un temps de traitement conséquent car on n'est clairement pas du temps réel. Mais le jour où ça miniaturise assez pour tenir dans un drone civil... là, même un randonneur en forêt devient traçable.

Xavier Dupont de Ligonnès, t'es dans la merde ! ^^

D'abord y'a donc eu les IMSI-Catchers pour intercepter nos communications mobiles puis les capteurs quantiques chinois pour traquer les sous-marins . Et maintenant on localise un humain à son battement de cœur... hé bé... Et pour votre culture G sachez que c'est la même famille de capteurs NV-diamond que l'armée US développe pour détecter à distance tout ce qui est explosifs improvisés.

Donc la question maintenant n'est plus "est-ce qu'on peut vous trouver ?" mais "est-ce qu'on le veut vraiment ?".

Voilà c'est foutu pour vous planquer dans le Larzac... Vous pouvez passer votre téléphone en mode avion autant que vous voudrez, votre cœur lui pourra toujours vous trahir... ^^

Source

Un Strasbourgeois de 37 ans a été interpellé par le RAID après avoir formulé des menaces dans une conversation avec ChatGPT. OpenAI a signalé les propos au FBI, qui a transmis l'alerte aux autorités françaises via la plateforme Pharos.

L'affaire a été classée sans suite, mais elle montre que les échanges avec les chatbots ne sont pas vraiment privés.

Des menaces repérées par OpenAI

Les faits remontent au 3 avril. L'homme a indiqué à ChatGPT vouloir acheter un pistolet Glock pour "tuer un agent du renseignement de la CIA, du Mossad ou de la DGSI". Les propos ont été détectés par les systèmes de modération d'OpenAI, qui applique depuis 2024 une politique claire : si une conversation présente un risque de violence physique, l'entreprise peut transmettre les échanges aux forces de l'ordre.

Ici, OpenAI a alerté le FBI, qui a relayé l'information aux autorités françaises via Pharos, la plateforme de signalement en ligne gérée par l'OCLCTIC.

Le RAID intervient, aucune arme trouvée

L'intervention a eu lieu au domicile de l'homme, dans le quartier de Koenigshoffen à Strasbourg. Le RAID est entré sans incident et n'a trouvé aucune arme sur place. L'homme a été placé en garde à vue puis libéré le lendemain.

Il a expliqué être schizophrène, en rupture de traitement depuis deux ans, et avoir voulu "tester la fiabilité et la surveillance de l'intelligence artificielle" plutôt que planifier quoi que ce soit. Le parquet de Strasbourg a classé l'affaire sans suite et l'homme a été hospitalisé d'office en psychiatrie.

Vos conversations avec les chatbots ne sont pas privées

Cette affaire est un bon rappel pour tous les utilisateurs de ChatGPT et d'autres assistants IA. OpenAI le dit dans ses conditions d'utilisation : les conversations peuvent être analysées, et dans certains cas transmises à la police.

Depuis février 2024, l'entreprise a perturbé plus de 40 réseaux qui enfreignaient ses règles. Et le mécanisme est rapide : entre les propos tenus à Strasbourg et l'intervention du RAID, il s'est visiblement passé très peu de temps. La coopération entre OpenAI, le FBI et les autorités françaises a fonctionné en quasi temps réel.

C'est le genre d'histoire qui fait réfléchir. On parle quand même d'un type qui tape des menaces dans un chatbot depuis chez lui et qui voit le RAID débarquer à sa porte quelques heures plus tard. Ici l'affaire s'est bien terminée, l'homme avait visiblement besoin de soins et pas d'un Glock.

Mais ça pose une question très concrète : est-ce que tous les utilisateurs de ChatGPT, Claude ou Gemini ont bien conscience que leurs conversations sont surveillées et peuvent remonter aux autorités de n'importe quel pays ? On imagine bien que non.

Source : Vosges Matin

China-linked hackers breached an FBI surveillance system, exposing sensitive investigation data and prompting a “major incident” classification.

The post FBI Declares Surveillance System Breach a ‘Major Incident’ appeared first on TechRepublic.

Le Monde a réussi à localiser le porte-avions nucléaire français Charles-de-Gaulle grâce à l'application de sport Strava. Un officier a enregistré un footing de 7 km sur le pont du navire avec sa montre connectée, et son profil public a diffusé les coordonnées GPS en temps réel.

Le navire était déployé en Méditerranée orientale, au large de Chypre, en pleine mission liée au conflit au Moyen-Orient.

Un footing de 7 km qui trahit un navire de guerre

Le 13 mars, à 10h35, un jeune officier prénommé Arthur a lancé un jogging sur le pont du Charles-de-Gaulle. 35 minutes de course, un peu plus de 7 km, et sa montre connectée a transmis le tout à Strava via Bluetooth.

Son profil étant public, n'importe qui pouvait voir le tracé GPS de sa course, et donc la position exacte du porte-avions. Le Monde a vérifié en croisant avec une image satellite de l'Agence spatiale européenne, qui a confirmé la présence du navire à seulement six kilomètres du point GPS.

Le Charles-de-Gaulle se trouvait à ce moment au nord-ouest de Chypre, à une centaine de kilomètres des côtes turques, dans le cadre d'un déploiement lié au conflit au Moyen-Orient.

En remontant le profil du même officier, Le Monde a aussi pu reconstituer les déplacements du navire sur plusieurs semaines : au large du Cotentin le 14 février, en mer Baltique le 27 février, avec une escale à Copenhague.

Pas la première fois que Strava met l'armée dans l'embarras

L'affaire fait partie d'une enquête plus large baptisée "StravaLeaks", que Le Monde avait déjà lancée à l'automne 2024. Les journalistes avaient alors identifié les gardes du corps d'Emmanuel Macron, de Donald Trump et de Vladimir Poutine via leurs activités sportives sur l'application.

Des agents de la DGSE en mission en Irak avaient aussi été repérés de cette manière. Au total, plus de 450 utilisateurs de Strava liés à l'armée française ont été actifs sur la plateforme au cours de la dernière décennie, et certains ont enregistré des séances à proximité de sites où sont amarrés des sous-marins nucléaires, à l'Île Longue.

Le problème est connu depuis 2018, quand un analyste avait remarqué que la carte de chaleur de Strava révélait des bases et des patrouilles américaines en Syrie, en Irak et en Afghanistan. Le Pentagone avait alors interdit les montres connectées en déploiement. Visiblement, la leçon n'a pas traversé toutes les frontières.

L'état-major reconnaît le problème

Du côté de la Marine nationale, la réponse est laconique : cette diffusion d'informations "n'est pas conforme aux consignes en vigueur".

Par défaut, les comptes Strava sont paramétrés en mode public, ce qui veut dire que chaque séance enregistrée est visible par n'importe qui. Il suffit d'une montre connectée qui passe les contrôles de sécurité à bord, d'un profil mal configuré, et la position d'un navire de guerre en mission se retrouve sur internet.

On a quand même du mal à croire qu'en 2026, après toutes les alertes de ces dernières années, un officier de la Marine puisse encore courir sur le pont d'un porte-avions nucléaire avec sa montre GPS en mode public sur Strava.

C'est le genre d'erreur qui ne devrait plus arriver. Mais bon, tant que les smartwatches ne seront pas simplement interdites à bord des navires en opération, ce type de fuite continuera à se produire. Et on ne peut pas vraiment conclure que c'est uniquement la faute du marin : c'est aussi un problème de procédure, parce qu'une montre qui passe le portique de sécurité sans déclencher d'alerte, c'est probablement un peu gênant.

Source : France Info

Des documents obtenus par la presse révèlent que les douanes américaines ont utilisé les données de localisation issues du système publicitaire en ligne pour pister des téléphones. Et ce, sans mandat.

Le mécanisme repose sur les enchères publicitaires en temps réel, qui diffusent vos coordonnées GPS à des milliers d'entreprises chaque jour. Apple a limité la casse sur iPhone, mais ça ne suffit pas.

Comment vos applications vous trahissent

Le système est assez redoutable dans sa simplicité. À chaque fois qu'une publicité s'affiche dans une application sur votre smartphone, une enchère se joue en quelques millisecondes.

Votre téléphone envoie ce qu'on appelle une requête d'enchère, qui contient votre identifiant publicitaire, vos coordonnées GPS, votre adresse IP, le type d'appareil utilisé, et même vos centres d'intérêt supposés. Ces informations sont envoyées simultanément à des milliers d'annonceurs potentiels, et tous les participants reçoivent ces données, qu'ils remportent ou non l'enchère.

Des courtiers en données se font passer pour des acheteurs publicitaires et récoltent ces informations à grande échelle. Mobilewalla, par exemple, a collecté les données de plus d'un milliard de personnes, dont 60 % provenaient de ces enchères publicitaires selon la FTC (le gendarme du commerce américain).

Gravy Analytics, un autre courtier, a vu fuiter des données qui référençaient des milliers d'applications : Candy Crush, Tinder, Grindr, MyFitnessPal, des applications de grossesse ou religieuses. Beaucoup de développeurs ne savaient même pas que leurs applications alimentaient cette collecte.

Des agences fédérales clientes depuis des années

Entre 2019 et 2021, les douanes américaines ont mené un programme pilote pour tester si ces identifiants publicitaires pouvaient servir à reconstituer les déplacements de personnes sur le territoire. Le service de l'immigration (la célèbre ICE) et le FBI ont aussi acheté de la donnée de localisation auprès du courtier Venntel, et s'en sont servis pour identifier des immigrés ensuite arrêtés.

L'ICE a aussi acquis un outil appelé Webloc, qui collecte la position de millions de téléphones chaque jour et permet de lancer des recherches par zone géographique.

En mars 2026, 70 parlementaires américains ont demandé l'ouverture d'une enquête par l'inspecteur général du département de la sécurité intérieure. Le Montana est devenu le premier État à interdire aux autorités l'achat de données sensibles qui nécessiteraient normalement un mandat. Au niveau fédéral, une loi portée par le sénateur Ron Wyden a été votée par la Chambre en 2024, mais n'a pas passé le Sénat.

Ce que vous pouvez faire, et ce qu'Apple a déjà fait

Bonne nouvelle quand même pour les utilisateurs d'iPhone : depuis 2021, Apple demande systématiquement si vous autorisez le suivi publicitaire via la fonction "Demander à l'app de ne pas me suivre".

Résultat : 96 % des utilisateurs américains ont refusé le suivi, ce qui désactive l'identifiant publicitaire sur la plupart des iPhone. Une étude a même montré que les utilisateurs d'iPhone avaient subi moins de fraudes financières après cette mesure.

Côté Android, il est aussi possible de désactiver l'identifiant publicitaire, mais la démarche est bien moins visible. L'EFF (Electronic Frontier Foundation) recommande dans tous les cas de vérifier les permissions de localisation accordées à vos applications et de les limiter au strict minimum.

On savait que la publicité en ligne aspirait pas mal de données, mais là on parle quand même d'agences gouvernementales qui achètent tranquillement votre position GPS sans passer par un juge. Pour protéger sa vie privée , il ne suffit plus de refuser les cookies.

Le fait que par exemple, Apple, ait mis en place la transparence du suivi publicitaire sur iOS en 2021, et que 96 % des gens aient dit non, montre bien que personne ne souhaite être pisté. On ne peut pas vraiment conclure que le problème est réglé pour autant, car tout le système d'enchères publicitaires continue de fonctionner en arrière-plan, avec ou sans identifiant.

Source : Gizmodo

Vous avez des vieilles caméras de surveillance chinoises qui prennent la poussière parce qu'il vous est impossible de trouver leur flux vidéo ? Y'a pas de RTSP, y'a pas de doc, y'a juste un pauvre port 80 ouvert et une app Android en Mandarin qui est périmée depuis 2021 ?

JE VIENS VOUS SAUVER LES ZAMIS ! Hé oui, grace à Strix qui est capable de tester 102 787 patterns d'URL en 30 secondes et qui vous sort miraculeusement le bon flux vidéo qui marche, avec la config Frigate prête à être collée.

En fait, le principe est simple. Vous lancez un conteneur Docker, vous entrez l'IP de votre caméra et l'outil bombarde en parallèle toutes les URL connues pour ce type de matos. RTSP sur le port 554, MJPEG sur le 8080, snapshots JPEG sur le 80... et 30 à 60 secondes plus tard, vous avez la liste des flux qui répondent avec résolution, FPS et codec H.264 ou H.265.

L'installation tient en une ligne et l'interface web tourne sur le port 4567. Vous entrez l'IP, le login si besoin, et éventuellement le modèle de la caméra IP pour affiner la recherche. Après, même sans modèle, Strix se débrouille avec les 206 patterns les plus courants (sur les 102 787 de la base complète) + la découverte ONVIF . Du coup ça trouve un flux sur à peu près n'importe quoi, du Dahua au Foscam en passant par les marques fantômes d'AliExpress.

Un autre truc vraiment sympa aussi , c'est la génération de config. Vous collez votre fichier frigate.yml existant, même avec 500 caméras dedans, et l'outil ajoute proprement la 501ème sans rien casser ! Il configure automatiquement le flux HD 1080p pour l'enregistrement et le flux 640x480 pour la détection d'objets, le tout passant par go2rtc . Résultat, la conso CPU de Frigate peut carrément passer de 30% à 8%.

Et surtout, l'histoire derrière est assez dingue. Le dev derrière ce projet avait des vieux NVR chinois de 2016 qu'il voulait connecter à Frigate. Après 2 ans à tester toutes les URL possibles... rien. Snif... Tous les ports fermés sauf le 80. À vrai dire, ces machins ne parlaient même pas un protocole connu. Alors a fini par faire tout ce que fait un vrai bidouilleur quand il est énervé : Sniffer le trafic de l'app Android avec Wireshark !

Et grâce à cela, il a découvert un truc baptisé BUBBLE, tellement obscur que ça n'existe nulle part sur Google ! Cela lui a permis de construire une base de 67 288 modèles issus de 3 636 marques, des Hikvision jusqu'aux trucs sans nom d'AliExpress.

Et quand y'a pas de RTSP du tout (ce qui arrive souvent avec le matos chinois pas cher), l'outil se rabat sur les snapshots JPEG et les convertit en vrai flux vidéo via FFmpeg. C'est pas aussi clean qu'un vrai stream H.264 (et ça saccade un peu à 10 FPS), mais c'est largement suffisant pour de la détection de personnes ou de bagnoles.

Après, sachez le, ça ne marche qu'avec les caméras présentes sur votre réseau local. Les caméras cloud (Blink, Ring, Xiaomi) ne sont pas supportées. Et aussi, comme on n'est jamais trop prudent d'ailleurs, si vous branchez ce genre de vieux matos chinois, mettez-les dans un VLAN isolé sans accès Internet parce que côté sécurité, c'est la fête du slip sur ce genre de matos : Backdoors, mots de passe en clair sur le port 80, appels serveurs en Chine... va savoir ce qu'elles font quand personne ne regarde.

Strix a même tapé dans l'oeil du développeur de Frigate lui-même, qui a invité l'auteur à soumettre une PR officielle pour l'intégrer dans la doc officielle. Hé ben quelle classe ! Ah et y'a aussi un add-on Home Assistant en beta si vous êtes branchés domotique (pas forcément stable, le soft sous Docker reste plus fiable). Strix est écrit en Go, sous licence MIT, y'a une image Docker de 80-90 Mo sur Alpine Linux, avec FFmpeg et FFprobe embarqués, et ça tourne comme un charme sur AMD64 comme sur ARM64 (votre Raspberry Pi 4 suffit).

Bref, allez tester ça, car y'a clairement de quoi sauver pas mal de matos de la poubelle !

Depuis 2022, TOUS les policiers et gendarmes français ont accès à un logiciel de reconnaissance faciale directement sur leur téléphone de service. En vous prenant en photo lors d'un contrôle (chiiiiiz 😀), ils peuvent ensuite, en quelques secondes, consulter un énooOoorme fichier contenant 9 millions de portraits.

Tu parles d'un trombinoscope !!

Voilà, c'est ce que révèle une enquête impressionnante du média Disclose , documents internes du ministère de l'intérieur à l'appui.

En bref, les forces de l'ordre sont équipées d'un gros smartphone baptisé NEO, un genre de pavé noir rectangulaire qui ressemble à une tablette de poche et dessus, y'a une appli avec accès direct au TAJ (traitement d'antécédents judiciaires), un fichier qui couvre plus d'un quart de la population française. Nom, date de naissance, adresse, profession... et parfois des infos sensibles comme l'appartenance politique ou religieuse.

Ce logiciel, développé par l'allemand Cognitec (surement la contraction du mot "tech" et du mot "cogner"... rooooh) , affiche les 200 photos les plus ressemblantes en moins d'une minute. C'est comme la reco faciale de Yandex mais en encore plus facile ! On ouvre l'appli sur l'écran, on sélectionne la photo dans l'album, on clique sur le bouton "rapprocher", et le serveur crache ses résultats. C'est dingue.

Sauf que OH BIZARRE l'utiliser lors d'un contrôle d'identité, c'est totalement illégal ! En effet, le code de procédure pénale limite l'accès au TAJ à des agents "individuellement désignés et spécialement habilités", dans le cadre strict d'enquêtes judiciaires (et aux hackers qui font fuiter les datas ^^). Hé oui c'est pas fait pour scanner des gamins assis sous un platane sur une place à Marseille. Déso, hein.

Et pourtant ! Disclose a recueilli les témoignages de six personnes photographiées et identifiées entre 2021 et 2025, à Marseille, Paris et Lyon. Un gamin de 18 ans contrôlé sans même sortir sa carte d'identité... sa photo prise avec le téléphone a suffi. Un manifestant pro-Palestine forcé physiquement à faire face à la caméra, des mains gantées sur le visage.

Et un flic montre même la manip à Disclose sur son NEO, tranquille, en expliquant que "tout le monde y a accès dès la sortie de l'école de police". Hop, le portrait tombe en moins d'une minute. C'est chouette pour pour connaitre le prénom des gens sur Tinder, suffit de prendre en photo l'écran de son smartphone perso, hein.... bah quoi ?

L'IGPN elle-même le sait. En effet, dans son rapport 2023, la police des polices écrivait noir sur blanc que le TAJ est "très fréquemment utilisé sur la voie publique". Ah bah ça va, s'ils sont au courant, on est rassuré parce qu'ils ont surement dû faire quelque chose pour empêcher ça... ah bah non en fait parce que les consultations ont plus que doublé en 5 ans : 375 000 en 2019, près d'un million en 2024 !! Waaaaah, ça fait environ 2 500 tirage de portrait par jour, c'est fou !! Le problème, c'est que personne ne contrôle qui consulte quoi. Les accès sont tracés sur les serveurs, mais bon... tracer sans vérifier, ça sert pas à grand-chose. Et c'est pas forcément par manque de moyens car chaque consultation est horodatée et conservée trois ans, donc y'a le temps. Non, faut croire que c'est la flemme en fait.

Et là, Noémie Levain, juriste à La Quadrature du Net, pose les mots qui font mal : "Quand des policiers peuvent photographier qui ils veulent pour savoir qui est qui, c'est un renversement de l'État de droit."

Elle rappelle en effet, qu'en 1940, il a suffi d'un, je cite, "tout petit changement de curseur" dans les fichiers de police pour aller chercher les gens chez eux. Le parallèle fait froid dans le dos, mais il est factuel.

Et surtout c'est la deuxième fois, à vrai dire, que Disclose prend le ministère en flagrant délit sur ce sujet. En 2023, c'était Briefcam , un logiciel israélien de vidéosurveillance déployé illégalement. Le ministre avait dû le faire désactiver dans les semaines qui ont suivi. Hé bien, croyez le ou non, cette fois, le ministère n'a même pas daigné répondre aux questions de Disclose. Va savoir pourquoi... C'est trop bizaaaarre.

Maintenant si vous voulez savoir quels sont vos droits face à cette pratique, La Quadrature du Net a publié un guide en accès libre qui explique ce que la police peut et ne peut pas faire lors d'un contrôle. Franchement, c'est à lire et à partager !

Par contre, n'oubliez pas que cette technologie ne marche pas toujours. Par exemple, cette américaine vient de passer près de six mois en prison à cause d'un faux positif avec une technologie à la con de ce genre. Donc bon...

Bref, allez lire l'enquête complète de Disclose, c'est du journalisme d'investigation en accès libre et ça concerne directement vos libertés. Et si le cœur vous en dit, soutenez-les .

Source

La reconnaissance faciale vient encore de montrer ses limites aux États-Unis. Angela Lipps, 50 ans, grand-mère du Tennessee, a passé près de six mois en prison après qu'un algorithme l'a désignée à tort comme suspecte dans une affaire de fraude bancaire au Dakota du Nord.

Ses relevés bancaires ont prouvé qu'elle se trouvait à 2 000 kilomètres des faits. Elle attend toujours des excuses.

Un algorithme, une arrestation

Le 14 juillet 2025, des agents fédéraux américains débarquent chez Angela Lipps au Tennessee. Ils l'arrêtent sous la menace d'une arme, alors qu'elle garde quatre enfants. La police de Fargo, dans le Dakota du Nord, à environ 2 000 kilomètres de là, la soupçonnait d'avoir utilisé une fausse carte d'identité militaire pour retirer des dizaines de milliers de dollars dans plusieurs banques entre avril et mai 2025.

Pour identifier la suspecte filmée par les caméras de surveillance, les enquêteurs ont passé les images dans un logiciel de reconnaissance faciale. Le système a désigné Angela Lipps. Un détective a ensuite comparé la photo avec le permis de conduire et les réseaux sociaux de la quinquagénaire, et a validé l'identification. Sauf que ce n'était pas du tout elle.

108 jours sans la moindre audition

Classée comme fugitive, Angela Lipps est restée quatre mois en prison au Tennessee, sans caution et sans possibilité de se défendre. Elle n'a été transférée dans le Dakota du Nord que le 30 octobre, soit 108 jours après son arrestation.

Sa première comparution devant un tribunal a eu lieu le lendemain. Et c'est seulement le 19 décembre, cinq mois complets après l'arrestation, que la police de Fargo l'a interrogée pour la première fois.

Son avocat, Jay Greenwood, avait entre-temps obtenu ses relevés bancaires. Les documents montraient qu'Angela achetait des cigarettes et déposait ses chèques de sécurité sociale au Tennessee au moment même où la police la plaçait à Fargo. Les charges ont été abandonnées le 24 décembre, la veille de Noël. Cinq mois et dix jours d'incarcération pour une erreur de machine.

Tout perdu, zéro indemnisation

À sa sortie, Angela Lipps n'avait plus rien. Pas de manteau, pas d'argent, pas de moyen de rentrer chez elle. Pendant sa détention, elle a perdu sa maison, sa voiture et son chien. La police de Fargo n'a pris en charge aucun frais.

Ce sont des avocats de la défense locaux qui lui ont donné de quoi payer une chambre d'hôtel et de la nourriture le soir de Noël. Le lendemain, Adam Martin, fondateur de l'association F5 Project, l'a conduite en voiture jusqu'à Chicago pour qu'elle puisse regagner le Tennessee.

Un habitant de West Fargo, Michael Nessa, a depuis lancé une cagnotte GoFundMe en son nom, qui a récolté près de 20 000 dollars. Angela Lipps attend toujours des excuses de la police.

Ce n'est pas la première fois qu'une personne se retrouve derrière les barreaux à cause d'un faux positif de reconnaissance faciale aux États-Unis. Et dans la grande majorité des cas rendus publics, les victimes sont des femmes ou des personnes issues de minorités.

Côté procédure, qu'un détective ait "confirmé" l'identification en comparant une photo de surveillance avec un permis de conduire, ça en dit quand même long sur la rigueur du processus.

Si vous pensiez que ce genre de technologie était encadré par des garde-fous solides, l'affaire Lipps prouve le contraire. Six mois de prison, une vie brisée, et pas la moindre excuse. Franchement, on espère que ça fera réagir là-bas, mais on n'y mettrait pas notre main à couper. Un grand merci à Skribascode de nous avoir envoyé cette info !

Sources : Upper Michigan Source , KVRR

If not Palantir, why Palantir-shaped??

Palantir builds spy tech for the CIA, DHS, and ICE. It aggregates data, maps your life, and tells governments who to watch. Meta is building something with the same bones. It’s called Name Tag, a facial recognition feature coming to Ray-Ban smart glasses that lets a wearer look at a stranger in public and have an AI identify them in real time, pulling their name and profile directly from Facebook and Instagram. The surveillance hardware is a $300 fashion accessory, the database was built by 3 billion people tagging photos for free, and the targets are anyone, anywhere, who never agreed to any of it.

A leaked internal memo from May 2025, obtained by The New York Times, laid out the full scope: the feature is planned for every pair of Meta’s glasses, from Ray-Bans to the Oakley Meta HSTN sports line. Meta’s official response was a practiced non-denial: “we’re still thinking through options and will take a thoughtful approach if and before we roll anything out.” Companies that aren’t building something just say they’re not building it. Meta is not saying that.

The Database Was Being Built Before the Glasses Existed

Facebook turned on automatic photo tagging in 2010 with zero opt-in, and for eleven years, every time you tagged a friend’s face in a photo, you were feeding their facial recognition model. When Meta “deleted” over a billion faceprints in 2021 under lawsuit pressure, they kept the photos. They kept the social graph. They kept the engineers who built the whole thing. Name Tag isn’t a new product concept; it’s a previously mothballed capability getting a second run, this time with a camera on your face instead of a server in Menlo Park.

Anyone with a public Instagram account is immediately a potential target (it’s not like making your account private makes you any safer), which covers hundreds of millions of people who signed up to share photos, not to be enrolled in a real-world biometric identification system. Remember Portal, Meta’s smart home display with a face-tracking camera? It launched in 2018 right in the middle of the Cambridge Analytica fallout, and consumers collectively declined to put a Facebook camera in their living room. Meta discontinued it by 2022. The lesson they apparently took wasn’t “don’t build surveillance hardware.” It was “make sure the camera comes in wearing someone else’s face.”

They Know Exactly How We’ll React

“We will launch during a dynamic political environment where many civil society groups that we would expect to attack us would have their resources focused on other concerns.” That’s a sentence directly from an official internal planning document from Meta’s Reality Labs, dated May 2025, reviewed by The New York Times. The company was explicitly planning to exploit civic chaos as a launch window, timing the rollout of a mass surveillance feature to coincide with another crisis-event that occupies our mind so we’re distracted. Sleight of hand, with a dash of corporate evil. There’s no ethical framework in which that sentence represents good-faith product development.

Their original rollout plan was to debut Name Tag at a conference for the blind, wrapping a mass-surveillance tool in the language of accessibility before expanding it to the general public. That plan was eventually shelved, but the thinking behind it is the more revealing part. The accessibility framing was a softening mechanism, a way to generate human-interest coverage before the obvious misuse cases took over the conversation. Privacy advocates, abuse charities, and civil liberties groups were going to come for this feature regardless. The strategy was never to address their concerns. It was to buy a news cycle of goodwill first.

Your Face Is Being Reviewed in a Nairobi Office Park Right Now

Swedish newspapers Svenska Dagbladet and Göteborgs-Posten tracked Meta’s data pipeline from Ray-Ban glasses worn in Western homes to a company called Sama, operating out of an office park in Nairobi, Kenya. Workers there are paid to watch footage captured by glasses users and label what they see, teaching Meta’s AI to understand and interpret the visual world. The footage includes people on the toilet, naked bodies, couples in bed, bank card details accidentally filmed, and intimate conversations being had by people who had no idea they were being recorded, let alone reviewed by a contractor on another continent.

Meta’s defense was to point at a clause buried in their terms of service permitting “manual (human)” review of AI interactions, which is technically accurate and practically worthless as a justification, because no person buying a pair of fashion-forward smart glasses understands that clause to mean workers in Kenya are watching them undress. The April 2025 privacy policy update for the glasses silently expanded Meta’s right to use all captured photos, videos, and audio for AI training, with no prominent notification to existing owners. A class action lawsuit filed in San Francisco federal court in March 2026 argues this constitutes consumer fraud, given that Meta’s own marketing described the glasses as “designed for privacy, controlled by you.” The UK’s Information Commissioner’s Office wrote to Meta characterizing the situation as “concerning,” which in British regulatory language lands somewhere between “deeply troubled” and “genuinely alarmed.”

$2.1 Billion in Fines and Still Going

The fine history reads like a repeat offender’s rap sheet. Meta paid $650 million to settle an Illinois class action over collecting facial geometry without consent through Facebook’s “Tag Suggestion” feature. They paid another $68.5 million for the same BIPA violation in 2023. In 2024, Texas extracted $1.4 billion from them for capturing biometric data on millions of Texans “for commercial purposes” without informed consent, with the lawsuit specifically alleging Meta was disclosing that data for profit. That’s over $2.1 billion in biometric privacy penalties across four years, all for variations of the same violation, against the same company, building the same technology.

None of it changed the product roadmap. The Texas settlement of $1.4 billion represents roughly one percent of Meta’s $134 billion in 2023 revenue. The Electronic Privacy Information Center has filed complaints with the FTC calling Name Tag a direct facilitator of “stalking, harassment, doxxing and worse.” The EU’s AI Act classifies real-time remote biometric identification in public spaces as high-risk AI and prohibits it for most commercial applications. The fines and the regulatory pressure are clearly baked into Meta’s planning rather than functioning as deterrents. They paid $2.1 billion to establish what a decade of biometric data collection actually costs, looked at that number next to their revenue, and decided it wasn’t a fine. It was an investment.

The Glasses Are Just the Beginning

Name Tag as currently designed still requires the wearer to deliberately trigger an identification query. The next product removes even that minimal friction. Internal documents describe “super sensing” glasses with always-on cameras and microphones that record continuously for the entire duration they’re worn, feeding an unbroken stream to an AI assistant that builds a fully searchable log of the wearer’s day. The surveillance model shifts from opt-in query to permanent ambient default. Every person who passes within the glasses’ field of view gets their face processed, regardless of whether they’ve opted out, regardless of whether they even know the technology exists.

The threat model was demonstrated in 2024 by two Harvard students, AnhPhu Nguyen and Caine Ardayfio, using nothing but current, available hardware. They connected Ray-Ban Meta Gen 2 glasses to PimEyes, a commercial facial recognition engine, alongside LLM data extraction tools, FastPeopleSearch, and Cloaked.com for social security lookups. Streaming the feed to Instagram Live, they identified strangers on the Boston subway and pulled names, home addresses, phone numbers, and social security numbers in seconds. They approached a woman on the street, told her they’d met at a Cambridge Community Foundation event, and she believed them. They told a female student her Atlanta home address and her parents’ names; she confirmed they were right. Name Tag doesn’t make this possible. It already is possible. Name Tag just makes it Meta’s official product.

What “Opt-Out” Actually Means

Meta’s proposed safeguards rely on limiting identification to connected contacts or public accounts, and offering an opt-out toggle buried in Instagram settings. The connected-contacts restriction doesn’t address the most statistically common danger. Stalkers, abusers, and harassers overwhelmingly target people they already know. Limiting the feature to existing connections doesn’t reduce the risk to the most vulnerable users; it focuses it on them. Domestic abuse charities in the UK raised this point directly, noting that abusers could use Name Tag to locate survivors who have relocated, changed their appearance, or created entirely new digital identities to stay safe.

The opt-out toggle is available to Instagram’s roughly 2 billion monthly active users, almost none of whom will encounter it organically. Privacy protections that require the potential victim to proactively locate and activate a setting are not privacy protections. They are liability documentation. Abuse survivors, journalists, political dissidents, undocumented individuals, people in witness protection: these are the people with the highest stakes, and also the people with the least bandwidth to hunt through app settings on the off chance that facial recognition has been added to a device they don’t even own. The toggle protects Meta in a courtroom. It protects its users in no meaningful sense at all.

We Were Free Labor All Along

Twenty years of tagging photos, liking posts, following accounts, and uploading selfies. Every interaction trained the model. Every tagged face sharpened the database. Meta framed all of it as self-expression and social connection, and it was, but it was also free labor on the world’s largest biometric mapping project. The glasses are the hardware layer that connects that digital registry to the physical world. The data collection phase is largely complete. The deployment phase is now.

Reddit ran the same playbook with text and nobody stopped them either. In early 2024, Reddit signed a $60 million-per-year deal with Google to license user-generated content for AI training, then struck a separate deal with OpenAI estimated at $70 million annually. Two decades of forum posts, niche expertise, personal advice, and community-built knowledge that users created for each other got packaged and sold to the highest bidder. Users built the database. Reddit sold it. The users got nothing except the knowledge that their words now live inside a model they don’t control. Meta’s version is identical in structure and more intimate in substance, because the asset being extracted isn’t something you typed. It’s your face, your home, and the faces of everyone in your immediate vicinity.

While all of this unfolds on the hardware and data side, Meta is simultaneously stripping privacy from the software side. End-to-end encryption for Instagram DMs dies on May 8, 2026. Meta’s stated justification is that “very few people” were using it, which is a direct consequence of never making it the default and never promoting it. After May 8, Meta retains full technical access to message content, which means any contractor, government request, or legal process with sufficient leverage can access it too. The feature was specifically extended to users in Ukraine and Russia during the war as a safety measure for people in genuine danger. Those users are now being told to download their chats before the cutoff. The facial recognition is the front door. The unencrypted message access is the unlocked safe. At some point the question stops being “is Meta building a surveillance company?” and starts being “why are we still acting like it isn’t one?”

The post Meta Is Turning Its Smart Glasses Into A Mass Surveillance Tool… And You Can’t Stop It first appeared on Yanko Design.

-- Article en partenariat avec Incogni --

Vous n'avez probablement pas besoin d’un énième sermon sur la "vie privée". Vous avez besoin d’outils qui font le sale boulot à votre place. Incogni fait exactement ça : il passe ses journées à frapper à la porte des courtiers en données pour leur dire de supprimer vos infos , pendant que vous faites autre chose de vital. Comme préparer une raclette parce que l'hiver n'est pas terminé.

On imagine souvent les fuites comme des gros piratages de bases de données. Cela arrive parfois bien évidemment, sauf qu'en pratique, le plus gros de la collecte part de choses beaucoup plus banales : formulaires, programmes de fidélité, inscriptions sur des sites gratuits et désormais, les extensions IA qui se greffent au navigateur .

Une étude d’Incogni montre que plus de la moitié des extensions Chrome “dopées à l’IA” collectent au moins un type de données utilisateur. Sur presque 450 extensions analysées, 52% aspirent quelque chose, et près de 30% récupèrent des infos personnelles identifiables. Votre nom, adresse, email, parfois même du contenu que vous tapez (mails, formulaires, documents en ligne) et des éléments de localisation. Des outils archi populaires comme Grammarly ou QuillBot se retrouvent pointés du doigt pour le volume et la sensibilité des données auxquelles ils ont accès, tout en étant installés par des millions d'utilisateurs.

Le problème, c’est que ces flux ne restent pas cantonnés aux éditeurs d’extensions. Ils alimentent des courtiers en données ( data brokers ) qui recoupent, enrichissent et revendent ce qu’ils savent de vous. Ça concerne aussi bien les coordonnées, le profil socio‑démographique, les centres d’intérêt, comportement de navigation, historique d’achats, etc. Vous ne verrez jamais leur nom sur un bandeau de cookie, mais eux vous connaissent très bien.

Incogni : un service qui supprime vos données à grande échelle

Pour attaquer ce problème à la racine, Incogni automatise tout ce que vous pourriez théoriquement faire à la main, mais que personne ne fait vraiment :

• repérer quelles sociétés ont probablement vos données,
• leur envoyer des demandes de suppression basées sur le RGPD, CCPA & co,
• les relancer si elles traînent des pieds,
• vérifier que vos données ne réapparaissent pas quelques mois plus tard.

Concrètement, à l’inscription, vous fournissez quelques informations d’identification (nom, email, adresse postale) pour permettre à Incogni de vous retrouver dans les bases des brokers. Une fois la procuration numérique signée, la plateforme commence à envoyer des demandes d’effacement à plus de 420 sites de courtage et bases marketing, recrutement, scoring, etc., en votre nom. On peut parler d’un service “quasi mains libres” qui économise des dizaines d’heures de démarchage manuel en automatisant ces requêtes et les relances qui suivent.

Sur le tableau de bord, on voit très concrètement tout ce qui se passe :

• combien de demandes ont été envoyées,
• quels brokers ont répondu,
• combien ont confirmé la suppression,
• lesquels sont encore en attente ou en cours de relance.

Une fois la première vague passée (souvent 30 à 45 jours pour les réponses, selon mon test perso et ce que j'ai vu en ligne), Incogni continue à surveiller les mêmes acteurs et à renvoyer des demandes périodiques pour éviter les “résurrections” discrètes de votre profil dans leurs fichiers. C’est cette dimension continue qui en fait un outil pratique : au lieu de faire un gros ménage une fois et d’oublier, vous déléguez la routine.

Le mode sniper : faire retirer vos données d’un site précis

Le détail intéressant pour les cas particuliers : avec l’offre illimitée, vous pouvez demander à Incogni de s’attaquer à des sites spécifiques, au-delà de sa liste standard de brokers. Ça couvre par exemple :

• un annuaire de recherche de personnes qui expose votre adresse,
• une base obscure où votre numéro apparaît,
• une plateforme pro qui indexe trop bien vos données.

Le principe est simple : vous copiez l’URL du site ou de la page concernée dans l’interface, et l'outil ajoute ce cas à la liste des demandes à traiter. Il n’y a pas de limite de nombre de requêtes sur ce mode, ce qui en fait une option assez puissante pour “nettoyer” au fur et à mesure ce que vous découvrez dans Google. D'ailleurs petit conseil perso, n'hésitez pas à créer une alerte sur votre nom pour recevoir un mail dès qu'il apparaît quelque part, vous serez peut-être étonné.

Il y a des bornes logiques : Incogni ne pourra pas effacer des dossiers judiciaires publics, des registres gouvernementaux, ni vos propres contenus sur les réseaux sociaux, blogs ou forums. L’idée est de cibler les usages commerciaux de vos données, pas de réécrire l’histoire.

Ce que vous y gagnez concrètement

Sur le papier, “moins de données chez les brokers” sonne abstrait. Dans la pratique, ça se traduit par plusieurs bénéfices très concrets :

• Moins de démarchage ciblé : les listes marketing qui tournent avec votre mail et votre téléphone s’appauvrissent, ce qui se voit dans la baisse de certains spams ultra personnalisés.
• Moins de contexte pour les arnaques : un escroc qui ne connaît plus votre adresse, vos anciennes boîtes, vos habitudes, aura plus de mal à composer un message crédible.
• Moins d’exposition dans les moteurs de recherche de personnes ou annuaires douteux : vos fiches disparaissent au fil des suppressions, ce qui réduit les risques de harcèlement, doxxing ou simple curiosité mal placée.
• Moins de données à gérer en cas de fuite : si un broker se fait pirater, le volume d’informations vous concernant est moindre, donc l’impact potentiel aussi.

Et pour être utilisateur du service, on sent bien le côté progrès visible sans effort technique. Au bout de quelques semaines, le tableau de bord compte déjà des dizaines de suppressions confirmées, et le flux de courrier indésirable le plus ciblé commence à se tasser.

Et les extensions IA dans tout ça ?

Le rapport d’Incogni sur les extensions IA Chrome montre bien que le problème ne va pas disparaître. Tant qu’on installera des assistants magiques qui demandent un accès à tous les sites et à tout ce qu’on tape, les brokers auront de nouveaux tuyaux pour s’alimenter. La réponse ne peut pas être seulement “n’installez plus rien”, on a besoin de ces outils. Le service de Surfshark prend donc le problème par l’autre bout. Même si certaines données fuient via ces extensions ou d’autres services, il s’occupe de retrouver les endroits où elles se centralisent et d’exiger qu’elles soient effacées.

Le duo gagnant, c’est donc : limiter les permissions des extensions (et éviter celles qui demandent l’accès à tous les sites sans raison), comme le recommandent les chercheurs, et derrière, faire tourner un service comme Incogni pour vider régulièrement les réservoirs où vos infos finissent de toute façon.

Un outil de fond, pas un gadget de plus

Beaucoup de solutions privacy ajoutent une couche d’interface ou de jargon sans changer grand-chose au fond. Ici, la valeur est très terre à terre : du temps économisé, des démarches que vous n’auriez jamais faites vous‑même, et un suivi qui tourne en tâche de fond. Les analyses récentes en font un des services les plus rentables si votre objectif est simplement de faire disparaître votre fiche de la plupart des fichiers commerciaux sans y consacrer votre week‑end.

En résumé, Incogni ne promet pas l’invisibilité totale, mais il fait quelque chose que peu de gens ont la patience de faire. En 2026, ce n’est pas un luxe, c’est presque le minimum syndical pour que votre historique ne soit pas la matière première des prochaines dérives de l’IA ou du prochain mail d’arnaque trop bien informé.

Et vous pouvez en profiter à partir de 86€/an TTC pour la version standard (et même moins, 77€, avec le code KORBEN55). Pour la version illimitée, il faut compter 173€/an (ou 155 avec mon code).

→ Cliquez ici pour en savoir plus sur Incogni ←

Gaël Musquet, mon copain hacker, me parlait déjà de tracking TPMS en 2020. Du coup, quand je vois des chercheurs publier un document de recherche en 2026 pour "découvrir" qu'on peut pister une voiture via ses capteurs de pneus, bon, comment dire... je suis pas tombé de ma chaise.

Mais faut reconnaître que l'étude en question va quand même plus loin qu'une discussion entre 2 stands au FIC. En effet, une équipe d'IMDEA Networks et d'armasuisse (le labo de défense suisse, rien que ça) a posé 5 récepteurs SDR dans une ville pendant 10 semaines. Coût du matos, environ 100 dollars par capteur, qui est en gros un Raspberry Pi 4 avec un dongle RTL-SDR à 25 balles. Et grâce à cela, ils ont capté plus de 6 MILLIONS de messages, provenant de plus de 20 000 véhicules !

un Raspberry Pi 4 avec un dongle RTL-SDR - Source

Car oui, vous ne le savez peut-être pas, mais les capteurs de pression des pneus (TPMS pour les intimes) émettent régulièrement dès que le véhicule roule, sur 433 MHz en Europe. Et ces signaux contiennent un identifiant unique... qui bien sûr est en clair ^^. Pas de chiffrement, pas d'authentification, QUE DALLE. Donc avec un logiciel open source comme rtl_433 , ça devient vite facile de capter tout ça à plusieurs dizaines de mètres à la ronde.

En croisant les identifiants captés par plusieurs récepteurs, les chercheurs ont pu reconstituer les trajets des véhicules, identifier leurs horaires de travail, détecter les jours de télétravail et même estimer les variations de charge du véhicule (et potentiellement déduire la présence de passagers, même si c'est encore approximatif). Le tout sans caméra, sans GPS, et sans accès au réseau du véhicule !

Il suffirait de trouver l'identifiant d'une voiture précise pour déclencher par exemple automatiquement un lâcher de confettis en papier parfaitement inoffensifs à son passage, si vous voyez ce que je veux dire.

Alors attention, tous les véhicules ne sont pas logés à la même enseigne. Les TPMS dits "directs" (dTPMS), qu'on trouve souvent chez Toyota, Peugeot, Citroën, Hyundai ou Mercedes, émettent ces fameux signaux radio captables. Alors que les systèmes "indirects" (iTPMS), utilisés par la plupart des modèles Volkswagen, Audi ou Skoda, se basent sur les capteurs ABS et n'émettent rien par radio. Bref, si vous roulez en Golf de base, y'a de bonnes chances que vous soyez tranquilles sur ce coup-là même si certaines versions sportives ou haut de gamme (Golf R, GTI selon les marchés) peuvent embarquer du dTPMS.

Et le pire dans tout ça c'est que la réglementation UN R155 sur la cybersécurité automobile n'impose pas explicitement le chiffrement des TPMS. En gros, les constructeurs ne sont pas forcés de sécuriser ces transmissions. Pirelli et Bosch bossent bien sur un "Cyber Tyre" en Bluetooth Low Energy, mais c'est réservé au haut de gamme et c'est pas demain que ça arrivera sur votre Clio.

Donc côté protection, soyons honnêtes, y'a pas grand-chose à faire côté utilisateur. Vous ne pouvez pas désactiver vos TPMS (c'est obligatoire depuis 2014 pour les voitures neuves en Europe), et les capteurs ne proposent aucune option de chiffrement. Sauf si vous roulez en véhicule vintage d'avant 2014, c'est open bar. Une des parades serait que les constructeurs implémentent un système de rotation d'identifiants, un peu comme le fait déjà le Bluetooth avec les adresses MAC aléatoires, mais pour l'instant on en est loin.

Pour ceux qui veulent creuser le sujet, j'avais fait une rencontre avec Gaël Musquet il y a quelques années, où il expliquait déjà comment reprendre le contrôle de nos véhicules connectés. Et si vous voulez comprendre comment on hacke une voiture de manière plus générale, c'est un rabbit hole sans fond !

Bref, la prochaine fois que vous gonflez vos pneus... dites-leur bonjour de ma part.

Source

Les Ray-Ban Meta, c'est quand même le gadget parfait pour les voyeurs technophiles. Ce sont quand même des lunettes qui filment, prennent des photos et diffusent en live... le tout sans que PERSONNE autour ne s'en rende compte (ou presque). Alors forcément, quelqu'un a fini par coder une app pour les détecter !

Nearby Glasses , c'est une application Android développée par Yves Jeanrenaud qui scanne en permanence les signaux Bluetooth Low Energy autour de vous. Chaque appareil BLE diffuse en fait des trames pour s'annoncer avec un identifiant constructeur et les lunettes caméra de Meta utilisent les IDs 0x01AB et 0x058E (Meta Platforms) ainsi que 0x0D53 (Luxottica/Ray-Ban). Donc cette app écoute ces identifiants et vous balance une alerte dès qu'elle en capte un.

La détection repose sur le RSSI, en gros la puissance du signal reçu et par défaut, le seuil est à -75 dBm, soit environ 10-15 mètres en extérieur et 3-10 mètres en intérieur. Donc c'est pas foufou non plus mais c'est configurable, évidemment. Vous pouvez donc le durcir un peu pour ne choper que les lunettes vraiment proches, ou l'assouplir pour ratisser large (au prix de faux positifs en pagaille).

Les faux positifs, parlons-en d'ailleurs... Les casques Meta Quest utilisent les mêmes identifiants constructeur, du coup ça ne marche pas à tous les coups. Par exemple, si votre voisin joue en VR, votre téléphone va sonner ! L'app détecte aussi les Snap Spectacles (0x03C2)... pour les trois personnes qui en portent encore ^^.

Ah et l'app est UNIQUEMENT pour Android. La version iOS serait "on the way" selon le développeur... faut donc pas être pressé mais au moins c'est open source (AGPL-3.0), du coup n'importe qui peut vérifier ce que l'app fait de vos données Bluetooth.

Si le sujet vous parle, vous connaissez peut-être Ban-Rays , un projet hardware à base d'Arduino et de LEDs infrarouges qui détecte les Ray-Ban Meta via infrarouge et Bluetooth ! Hé bien Nearby Glasses, c'est l'approche 100% logicielle plutôt que hardware, ce qui est plus accessible mais forcément plus limitée... pas besoin de fer à souder, cela dit ^^.

C'est une rustine mais bon, c'est mieux que de se retrouver à poil sans permission sur le web.

Source

Amazon, fournisseur officiel de mauvaises idées en matière de vie privée depuis 1870 vient de nous pondre une nouvelle trouvaille !! À partir du 25 mars, si quelqu'un vous achète un cadeau via votre liste de souhaits Amazon, le vendeur tiers récupère votre adresse de livraison. Oui, votre VRAIE adresse !! Après en tant que français on a l'habitude que tous les escrocs de la planète aient nos infos persos . Mais rassurez-vous, Amazon a trouvé une solution ! Est-ce qu'il s'agit de corriger le problème ? Que nenni !! Ils nous recommandent simplement d'utiliser une boîte postale. Sympa !

Parce que jusqu'ici, quand un pote vous envoyait un truc depuis votre wishlist, le vendeur tiers voyait votre ville et votre région... c'est déjà pas top, mais bon. Sauf que maintenant, c'est l'adresse COMPLÈTE qui part chez le vendeur. Numéro, rue, code postal, la totale...

Et vous vous en doutez, ça touche en premier lieu les créateurs de contenu, les streamers, et tous les crevards qui ont une wishlist publique pour que leur communauté puisse leur offrir des trucs net d'impôts ^^.

Donc suffit qu'un harceleur crée un faux compte vendeur sur Amazon Marketplace (La vérification d'identité ? Minimale !), met un article à 3 euros, attend qu'un fan l'achète via la wishlist de sa cible... et hop, il a l'adresse complète récupérée. Pas besoin d'être un génie. Ou alors suffit d'attendre que le vendeur tiers laisse fuiter le fichier Excel dans lequel il stocke ses commandes... La vie est toujours pleine de surprises quand il s'agit de leaker des données perso.

EDIT : Merci à Matthieu qui m'a envoyé la preuve ! Amazon.fr vient d'envoyer un email à ses utilisateurs pour confirmer que ce changement arrive bien en France à compter du 25 mars 2026. L'option permettant de restreindre les achats auprès de vendeurs tiers pour les articles de vos listes sera supprimée. Donc c'est plus une hypothèse, c'est confirmé... faites le ménage dans vos wishlists MAINTENANT.

Et côté RGPD ?

En Europe, le RGPD impose que le partage de données personnelles repose sur une base légale. Consentement explicite, intérêt légitime, ou exécution d'un contrat et pas une case pré-cochée planquée dans les CGU.

Le problème, c'est qu'Amazon change les règles du jeu en cours de route, sans demander un consentement spécifique pour ce nouveau partage d'adresse avec des tiers. Et bien sûr, le moment venu, la CNIL pourrait avoir deux mots à dire là-dessus... après, on sait comment ça se passe, les amendes mettent des années à tomber. D'ailleurs, Amazon s'est déjà pris 746 millions d'euros par le Luxembourg en 2021 pour non-respect du RGPD mais visiblement, ça ne les a pas trop calmés.

Pour ceux qui s'intéressent à la suppression de leurs données perso en ligne , c'est le genre de truc qui fait grincer des dents.

Comment protéger votre adresse ?

Maintenant concrètement, voici ce que vous pouvez faire (ça ne marche pas à 100% mais c'est mieux que rien) :

Allez dans votre compte Amazon, section "Listes" puis "Gérer la liste". Vérifiez que votre wishlist est bien en mode "Privée" si vous ne voulez pas que n'importe qui la voie. Attention, le réglage par défaut c'est "Publique"... donc si vous n'avez jamais touché à ça, c'est probablement ouvert aux quatre vents.

Et si vous VOULEZ la garder publique (streamers, créateurs), utilisez une adresse qui n'est pas votre domicile. En France, une boîte postale La Poste coûte ~50 euros par an. Y'a aussi les Amazon Locker ou les points Mondial Relay... ce qui revient quand même à dire "débrouillez-vous", j'en ai bien conscience.

Le vrai problème

Le fond du problème, vous l'aurez compris, n'est pas technique. C'est qu'Amazon traite l'adresse de livraison comme une donnée de transaction banale alors que c'est une info sensible. Mais non, une adresse postale c'est pas un numéro de commande. Et surtout ça casse tout le principe d'anonymat des wishlists surtout quand la plateforme encourage les wishlists publiques depuis des années.

Bref, c'est confirmé pour la France au 25 mars, alors prenez les devants et prévenez votre influenceur préféré de faire le switch.

Source

Votre pseudo de justicier masqué sur Reddit ne vaut plus grand-chose, les amis... En effet, des chercheurs de l'ETH Zurich viennent de prouver qu'un LLM peut retrouver votre vraie identité à partir de vos posts anonymes, avec 67% de réussite... et pour moins de 4 dollars par profil.

L' étude a été publiée sur arXiv par six chercheurs, dont Nicholas Carlini d'Anthropic (les créateurs de Claude) et le principe fait flipper. En fait ils ont mis au point des agents IA qui analysent vos commentaires publics, créent un profil structuré... ou plutôt un portrait-robot de vos habitudes et centres d'intérêt, puis ratissent des milliers de candidats pour trouver à qui ça correspond.

Budget total de l'opération : environ 2 000 dollars pour 338 profils Hacker News passés au crible. Et sur tout ça, 226 ont été identifiés correctement, 25 sont des erreurs et 86 sont des "abstentions" quand le modèle doutait trop. Ça revient à 1 à 4 dollars par profil, et quand le modèle est assez sûr de lui pour donner une réponse (donc hors abstentions), il tape juste 9 fois sur 10. Pas cher payé donc pour s'offrir la fin de votre anonymat TOTAL !

Le truc, c'est que Hacker News c'était juste l'apéro. La même technique a été lâchée ensuite sur des interviews anonymisées, des profils LinkedIn et ce bon vieux Reddit. Même recette, et surtout mêmes résultats.

Le côté obscur de cette recherche, c'est que ça ouvre encore plus la porte aux arnaques d'ingénierie sociale sur mesure, au ciblage pub ultra-personnalisé sans votre consentement, et pire... à la traque de journalistes ou d'activistes planqués derrière un pseudo...

Notez que ce taux de 67%, c'est sur des profils Hacker News où les gens qui postent beaucoup de contenu technique assez spécifique. Mais sur un compte avec trois commentaires génériques, ça ne marche pas aussi bien. Mais bon, qui poste que 3 fois sur un forum ? Le piège, c'est qu'on finit toujours par en dire plus qu'on croit...

Maintenant côté protection, attention, c'est pas la fête. Si vous voulez éviter de vous faire traquer, faudra varier votre style d'écriture entre les plateformes, éviter de balancer trop de détails perso (ville, job, stack technique) dans vos commentaires, et surtout utiliser des comptes séparés plutôt qu'un seul pseudo partout. D'ailleurs le fingerprinting de navigateur c'est déjà un problème connu, mais là on parle de fingerprinting de votre STYLE D'ÉCRITURE donc carrément autre chose !

Perso, ça confirme finalement ce qu'on savait depuis le documentaire Rien à cacher : l'anonymat en ligne c'est surtout une illusion. Sauf que maintenant, même pas besoin d'être la NSA pour lever le voile... un LLM à 4 balles suffit.

Le pseudonymat face à un LLM c'est un grillage face à une perceuse... Bon courage aux anonymes qui me lisent...

Source

Leaked documents show that ICE more than tripled its Azure data storage in six months, even as Microsoft denied “mass surveillance” and urged lawmakers to set limits.

The post Microsoft Denies ‘Mass Surveillance’ as ICE Triples Down on Azure Usage appeared first on TechRepublic.

– Article invité, rédigé par Vincent Lautier –

Le CNRS vient de confirmer un incident de cybersécurité qui a mené au téléchargement non autorisé de fichiers contenant des données personnelles d'anciens agents. Noms, adresses, numéros de sécurité sociale, RIB : la totale donc. L'organisme a déposé plainte et prévenu la CNIL.

Des données très sensibles

C'est ce lundi 16 février que le CNRS a informé ses agents d'une fuite de données sur un de ses serveurs. Des fichiers contenant des informations de ressources humaines ont été téléchargés sans autorisation. Et on ne parle pas de données anodines : noms, prénoms, dates de naissance, adresses postales, numéros de sécurité sociale et RIB. Le tout accompagné du statut de l'agent, du type de contrat et de la structure d'affectation. Le serveur a été isolé et arrêté dès la découverte de l'incident, et l'organisme assure que la fuite ne s'est pas propagée au reste de ses infrastructures.

Qui est concerné ?

Seuls les personnels recrutés avant le 1er janvier 2007 sont touchés, qu'ils aient été titulaires ou non. Si vous avez travaillé au CNRS après cette date, vous n'êtes pas concerné. Le nombre exact de victimes n'a pas été communiqué, mais vu la taille de l'organisme, on parle potentiellement de plusieurs milliers de personnes. Le CNRS recommande de prévenir sa banque, de surveiller ses comptes, de vérifier si ses données circulent sur haveibeenpwned.com, et de rester vigilant face aux tentatives de phishing ou d'usurpation d'identité. La CNIL et l'ANSSI ont été prévenues, et une plainte a été déposée auprès de la section cybercriminalité du parquet de Paris.

Les institutions françaises en ligne de mire

On n'est pas vraiment sur une première niveau cyberattaques sur des services de l'état. Le ministère de l'Intérieur, celui des Sports, et d'autres organismes avaient été visés. L'URSSAF a aussi confirmé une fuite touchant les données de 12 millions de salariés. Le CNRS lui-même avait été la cible d'un défacement de plusieurs de ses sous-domaines fin janvier. Deux incidents distincts, mais la tendance est claire, et c'est franchement moche.

On va quand même saluer le fait que le CNRS a communiqué rapidement, avec un communiqué officiel et une FAQ pour les personnes concernées. C'est loin d'être toujours le cas. Mais on va quand même se questionner sur le fait que des RIB et des numéros de sécu trainent sur un serveur, alors qu'on parle de données parfois veilles depuis presque 20 ans... Pourquoi ces informations étaient-elles encore accessibles ? La question du stockage prolongé de données sensibles revient sur la table, et visiblement, personne n'a encore de bonne réponse. En attendant, si vous avez porté la blouse du CNRS avant 2007, un petit tour sur votre relevé bancaire ne serait pas du luxe.

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie "Gadgets Tech" , comme cette liseuse Android de dingue ou ces AirTags pour Android !