Une fibre optique de télécom standard, celle qui passe peut-être à quelques mètres de votre bureau en ce moment, peut être transformée en microphone à distance.

C'est ce qu'ont démontré des chercheurs à la conférence NDSS 2026, le rendez-vous annuel de la sécurité réseau qui s'est tenu à San Diego. Leur démo est carrément flippante. Pas de matériel posé sur place, pas de signal radio détectable, et une qualité audio largement suffisante pour transcrire ce qu'on dit dans une pièce.

Le principe repose sur une technique appelée DAS (Distributed Acoustic Sensing, en français "détection acoustique distribuée"), qui consiste à envoyer un laser dans la fibre depuis une extrémité et à analyser comment la lumière revient.

Quand des ondes sonores frappent le câble, elles le font vibrer de manière minuscule, ce qui modifie le trajet de la lumière. En mesurant ces modifications, on peut reconstituer le son d'origine, comme si la fibre devenait un long micro de plusieurs dizaines de mètres.

Pour booster la sensibilité, les chercheurs ont fabriqué un petit accessoire qu'ils appellent "Sensory Receptor", en gros un cylindre en plastique PET de 65 mm de diamètre autour duquel ils enroulent 15 mètres de fibre. Le cylindre concentre les vibrations et amplifie le signal capté.

Les résultats ? À deux mètres de la fibre, le taux d'erreur sur les mots (le WER, qui mesure combien de mots sont mal transcrits par un système de reconnaissance vocale) descend sous les 20 %. Dans un test grandeur nature mené dans un bureau, avec une cinquantaine de mètres de fibre séparant les deux pièces et le boîtier installé sous un meuble, ils tombent à 9 %.

Quasiment un transcript parfait donc. En bonus ils ont utilisé OpenAI Whisper et NVIDIA Parakeet, deux modèles d'IA de reconnaissance vocale grand public, donc rien d'exotique côté logiciel.

Et le truc qui change tout, c'est l'indétectabilité. Une fibre passive ne consomme pas d'électricité, n'émet aucune onde radio, et passe inaperçue aux détecteurs de mouchards classiques utilisés par les services de contre-espionnage. 

es balayages TSCM (les outils déployés pour chercher des micros cachés dans une pièce sensible) passent à côté. Limite tout de même : il faut être à environ 5 mètres maximum de la fibre, et celle-ci ne doit pas être enterrée trop profondément. Mais dans n'importe quel immeuble de bureaux moderne, où la fibre court partout dans les faux plafonds, ça peut fonctionner !

Source : Hackaday

Si vous croisez un robot-chien Unitree dans un hall d'HLM, sur un parking, un chantier, ou en train de patrouiller dans votre ville, faut que vous sachiez 2 trucs quand même :

Un, n'importe qui peut le rooter en moins d'une minute avec son téléphone. Et de deux, le robot lui-même envoie en continu un flux chiffré vers un tunnel cloud opéré depuis la Chine. C'est en tout cas ce que Benn Jordan, musicien indépendant et chercheur amateur, vient de démontrer hier dans une enquête de 24 minutes qui fait, comme il le dit lui-même, un meilleur boulot que toute l'infrastructure cybersécurité du gouvernement américain.

Pour le hacker, suffit donc de se connecter au robot en Bluetooth, puis d'injecter une commande curl à la fin du mot de passe Wi-Fi, on éteint le toutou, on le rallume, et au reboot le robot exécute votre commande quand il active le Wi-Fi. C'est tout et c'est vraiment magique !! Pas besoin d'accès root physique donc mais juste un bon vieux téléphone et un Bluetooth pourri !

Le boss !

Alors vous pensez peut-être que ce n'est pas très grave parce que ces robots sont des gadgets mais c'est faux puisque les robots-chiens Unitree sont actuellement utilisés par les services de police de Pullman (Washington), Port St. Lucie (Floride) et Topeka (Kansas) et un peu partout ailleurs dans le monde.

Les Marines américains les déploient en test, certains armés de lance-roquettes, les forces chinoises leur sanglent diverses armes sur le dos depuis un moment et l'Ukraine s'en sert pour repérer des munitions non-explosées. Et dans le civil, ces robots circulent même dans des HLM d'Atlanta pour le compte de sociétés de surveillance privée...

En France, le tableau est un peu différent. Pas de déploiement confirmé par les forces de l'ordre ou l'armée pour l'instant. Chez nous, c'est Boston Dynamics Spot et l' E-Doggy d'Evotech (robot 100% français, utilisé au déminage pendant les JO 2024) qui tiennent ces marchés-là. Les Unitree restent encore dans les labos tels que l' INRIA Paris et le labo HUCEBOT de Nancy qui utilisent le Go2 pour leurs recherches en locomotion robotique.

En dehors de la recherche, le cas le plus avancé est celui d'Orano, qui a testé fin 2025 le G1 humanoïde d'Unitree sur son site nucléaire de Marcoule en partenariat avec Capgemini (c'est un humanoïde, pas un quadrupède, mais même fabricant, même firmware, mêmes questions). Côté distribution, INNOV8 Power est également partenaire officiel Unitree depuis VivaTech 2025 et INGEN Geosciences distribue la marque depuis 2020. Le réseau pour vendre ces robots à des boîtes de sécurité privées françaises est donc déjà bien en place.

Du coup quand un mec démontre qu'on peut en prendre le contrôle complet rapidement, ça mérite qu'on regarde ça d'un peu plus près...

Et quand je dis contrôle complet, c'est pas un excès de langage. Avec cet accès root, Benn Jordan a réussi à enregistrer, télécharger et live streamer l'audio et la vidéo captés par le robot. Sans authentification donc ni même sans passer par l'app officielle. C'est assez dingue... On peut même contrôler les mouvements du robot. Une belle merde donc !

Cette faille n'est d'ailleurs pas une nouveauté absolue puisque j'avais déjà couvert le hack BLE des humanoïdes Unitree en décembre dernier. Et ensuite rebelote en mars dernier avec deux nouvelles CVE sur le Go2, partiellement patchées. La répétition des conneries devient un peu lourdingue chez Unitree...

La deuxième partie de l'enquête, elle, atteint un autre niveau puisque Benn Jordan a entendu parler de rapports affirmant que d'autres robots Unitree contenaient une backdoor envoyant des données à des serveurs étrangers. Il a donc voulu vérifier ça lui-même.

Il a donc transformé un Raspberry Pi sous Linux en routeur avec le mode moniteur activé, et lancé BetterCap pour analyser chaque paquet sortant.

Un hacker au pseudo "fuzzeddffmepg" a balancé sur un forum cybercriminel le 7 mai une base de données présentée comme provenant d'Action Populaire, le réseau militant numérique de la France Insoumise.

Au programme : environ 120 000 adresses email uniques, 20 000 numéros de téléphone, et un paquet de données personnelles couvrant pratiquement neuf ans d'activité, de 2017 à 2026.

Le contenu de la fuite est franchement gênant pour les adhérents. On y trouve les noms et prénoms des utilisateurs, leurs adresses email et numéros de téléphone, leurs adresses postales liées à des paiements, leurs participations à des groupes et événements, mais aussi des messages privés et échanges internes, plus des données de paiement et d'abonnement.

La période couverte va de 2017 à 2026, soit pratiquement toute l'histoire d'Action Populaire en tant que plateforme militante. Le hacker affirme avoir exploité une faille sur une infrastructure décrite comme obsolète, et il menace de publier d'autres extractions, dont des serveurs de messagerie.

Côté LFI, aucune confirmation officielle pour le moment. Silence radio. Ce qui n'est pas franchement la meilleure stratégie quand vos propres adhérents lisent partout sur le web que leurs données traînent en libre service.

La situation a un goût particulièrement improbable parce que LFI venait justement de déposer une proposition de résolution pour créer une commission d'enquête parlementaire sur "l'accumulation et la fuite de données personnelles en France". Sauf que voilà, demander une enquête sur les fuites pendant qu'on se fait fuiter, c'est un peu tendu.

Au passage, ce hack n'est pas isolé. Depuis quelques mois, les fuites se multiplient en France, du public au privé : CPAM, Parcoursup, ANTS, et maintenant un parti politique. Le hacker a clairement expliqué viser une infrastructure obsolète, et c'est un peu le même refrain qu'on entend partout sur l'état général de la sécurité des plateformes hébergées en France.

Concrètement, les risques pour les adhérents exposés sont réels. L'appartenance politique étant une donnée sensible au sens du RGPD, ces 120 000 personnes peuvent désormais s'attendre à des campagnes de phishing très ciblées, du harcèlement téléphonique en règle, et possiblement de l'usurpation d'identité.

Pour les militants, c'est franchement pénible. La CNIL devrait normalement être saisie par le parti dans les 72 heures suivant la prise de connaissance de l'incident~~, mais sans communication officielle, impossible de savoir si cette obligation a été respectée~~. Mise à jour : la LFI a bien prévenu ses membres et adhérents !

Screenshot

Bref, une infrastructure à l'abandon finit toujours par parler. Et ça tombe pile quand LFI réclamait plus de protection des données. Joli timing.

Source : French Breaches

Vous le savez, il y a un algorithme dans votre téléphone qui décide ce que vous allez lire aujourd'hui et il s'appelle Google Discover.

Google Discover, c'est le flux d'articles qui apparaît quand vous ouvrez l'appli Google sur Android ou iOS, ou que vous swippez à gauche depuis la home de votre smartphone Android et Chrome mobile aussi. Et pas besoin d'avoir cherché quoi que ce soit puisque Google analyse votre historique, connaît vos centres d'intérêt, et vous sert ainsi des articles « adaptés » en continu.

Sauf que l'algo confond souvent « ce que vous voulez lire » avec « ce qui génère le plus de clics ». Et là, ça part en couille sévère...

Du coup vous vous retrouvez avec des articles qui expliquent que le cash va être interdit dans deux mois, que les conducteurs avec une moustache vont devoir repasser le permis, ou que l'Union Européenne s'apprête à requalifier la pizza comme « sandwich plat » pour l'assujettir à une nouvelle taxe.

Et pendant ce temps, les vraies actus tech que vous aimez tant, elles, se noient quelque part entre deux horoscopes et une pub déguisée en article. Et c'est d'ailleurs ça le gros défaut de tous les flux algorithmiques : ils optimisent l'engagement mais pas l'exactitude. On est tous humain, alors forcément un titre alarmiste battra toujours un article de qualité sobre et bien sourcé. L'algo se contrefout royalement de respecter les 3 neurones qui vous restent... ^^

Mais Discover a quand même un truc pas con ! En fait depuis fin de l'année dernière, Google permet de suivre directement des éditeurs sur le réseau, un peu comme un flux RSS mais sans lecteur à installer ni boîte mail à gérer. Suffit de cliquer sur un bouton et hop, les articles de vos sources préférées remontent en priorité dans votre feed Google Discover !

Par exemple, si vous voulez voir les articles de Korben.info apparaître dans votre flux (de la vraie tech, sourcée, sans moustaches ni taxes pizza), c'est par là, il suffit d'aller sur mon profil Google Discover et de cliquer sur le bouton "Suivre sur Google".

Et comme ça, une fois abonné, mes publications remonteront directement dans votre Discover. Perso, je trouve ça pas mal du tout comme système.

Bref, si vous ne voulez pas que votre téléphone vous apprenne demain que les chats seront bientôt recensés comme « animaux de surveillance passive » par un nouveau décret gouvernemental, pensez à bien choisir vos sources !

Et pour trouver les liens de vos médias préférés, vous pouvez passer par cet outil de Julien .

Le Royaume-Uni a mis en place via l'Online Safety Act un système de vérification d'âge obligatoire sur les plateformes accessibles aux mineurs, avec contrôles biométriques à la clé pour estimer l'âge à partir d'un selfie.

Sur le papier, c'était la grande solution pour empêcher les ados d'accéder à TikTok, Instagram ou aux sites pour adultes. En pratique, c'est l'inverse : les enfants britanniques se passent les méthodes pour passer outre, et les méthodes en question sont parfois franchement drôles.

En fait, selon une étude d'Internet Matters, près de la moitié des enfants britanniques (46 %) considèrent les systèmes de vérification d'âge comme faciles à contourner, et un tiers reconnaissent l'avoir déjà fait.

Les méthodes documentées vont de la classique fausse date de naissance au VPN, mais aussi à des techniques plus créatives : envoyer une vidéo du visage de quelqu'un d'autre, voire d'un personnage de jeu vidéo, et le meilleur : se dessiner une moustache au feutre pour tromper l'estimation d'âge faciale. J'adore.

Côté plateformes, c'est du coup difficile à gérer. L'Online Safety Act prévoit des amendes importantes contre les services qui laisseraient passer ces contournements, mais le régulateur Ofcom rame pour qualifier la responsabilité quand le gosse a triché lui-même avec une astuce que la plateforme n'a pas su détecter.

Internet Matters relève d'ailleurs que les adultes profitent aussi de ces failles, ce qui complique encore le tableau quand un majeur peut piquer la session d'un mineur, ou inversement.

L'autre limite, c'est la captation des données biométriques. Pour vérifier qu'un gosse est bien un gosse, il faut analyser son visage, ce qui veut dire stocker (ou au moins traiter) une image biométrique d'un mineur.

Plusieurs experts ont déjà soulevé le paradoxe : pour protéger les enfants, on les oblige à transmettre leur visage à une plateforme étrangère. Et si la plateforme se fait pirater (spoiler : ça arrive régulièrement), on a une fuite de données très sensibles dans la nature.

Vous l'avez compris, une régulation qui se fait contourner par un coup de feutre sous le nez, c'est probablement le signe qu'il faut revoir la copie.

Source : Independent

Alexander Hanff, consultant, a remonté un truc pas net sur Chrome. La dernière version du navigateur télécharge en arrière-plan un modèle de langage local appelé Gemini Nano, qui pèse environ 4 Go, sans jamais demander la moindre permission à l'utilisateur.

Le fichier s'appelle weights.bin, il atterrit dans un dossier OptGuideOnDeviceModel quelque part dans votre profil Chrome, et il sert ensuite à des fonctions du genre "Help me write" ou détection de fraude.

Hanff a documenté l'opération via les logs système de son macOS. Le 24 avril 2026 vers 16h38, Chrome crée le dossier. Quelques minutes plus tard, il télécharge et décompresse les 4 Go (l'opération prend une quinzaine de minutes), puis il les déplace à l'emplacement final. Tout ça pendant que vous ne touchez rien à votre machine. Si vous supprimez le fichier à la main, il sera réinstallé silencieusement au prochain lancement du navigateur.

Hanff estime entre 100 millions et 1 milliard de machines concernées dans le monde. Multipliez 4 Go par 1 milliard et vous obtenez de quoi remplir une bonne partie d'un datacenter.

L'auteur calcule également l'impact carbone du déploiement, entre 6 000 et 60 000 tonnes de CO2e rien que pour le réseau, sans compter l'empreinte SSD. Pour un fichier que personne ne vous a demandé d'installer.

Sur le plan légal, Hanff parle d'une "violation directe" de l'article 5(3) de la directive ePrivacy européenne, qui interdit de stocker quoi que ce soit sur l'appareil d'un utilisateur sans consentement explicite. Il évoque aussi un manquement RGPD. Si la qualification tient, ça serait une amende salée pour Google, sachant que les Cnil européennes ont déjà sanctionné Meta et Microsoft pour des choses bien moins foireuses.

Pour s'en débarrasser, trois options : aller dans chrome://flags pour désactiver les fonctions IA, passer par les politiques d'entreprise si vous gérez un parc de machines, ou virer Chrome, tout simplement.

Bref, Google qui pousse 4 Go d'IA en silence sur des centaines de millions de machines, c'est un sale moche.

Source : That Privacy Guy

Depuis la version 2.91.0 du CLI GitHub publiée mardi, chaque commande que vous tapez dans gh envoie des données de télémétrie vers GitHub par défaut. L'activation est silencieuse, sans message au premier lancement, sans consentement explicite, et il faut fouiller dans la doc pour tomber sur la page dédiée au sujet.

GitHub décrit la collecte comme pseudonyme côté client. Concrètement, le payload embarque le nom de la commande lancée, un identifiant d'invocation, un identifiant d'appareil, l'OS, l'architecture, l'agent et quelques drapeaux.

L'entreprise précise que le contenu exact peut varier d'un appel à l'autre. La justification officielle : les équipes produit ont besoin de voir comment le CLI est utilisé, avec la montée en puissance des agents IA qui le pilotent de plus en plus souvent en arrière-plan.

Côté sortie, il y a trois moyens de couper la télémétrie. Vous pouvez définir la variable d'environnement GH_TELEMETRY à false, ou DO_NOT_TRACK à true, ou lancer gh config set telemetry disabled. Simple en apparence.

Sauf que rien de tout ça n'est signalé à l'installation, et qu'un utilisateur qui n'est pas tombé sur le billet de Brandon Vigliarolo dans The Register ne saura probablement pas que c'est activé sur sa machine.

Le terme pseudonyme mérite aussi qu'on le regarde de près. Pseudonyme ne veut pas dire anonyme : il y a un identifiant d'appareil stable, il y a un identifiant d'invocation, et GitHub connaît déjà votre compte si vous êtes authentifié avec gh auth login.

Du coup, le recoupement entre votre activité CLI et votre identité GitHub n'a rien de théorique, même si GitHub ne promet pas de le faire.

En pratique, la télémétrie des outils de dev n'est pas une nouveauté. VS Code le fait depuis des années, npm aussi, et la plupart des éditeurs jouent le même jeu. Ce qui coince ici, c'est le choix de l'opt-out plutôt que de l'opt-in, et l'absence d'annonce claire sur le changelog principal.

Les utilisateurs reprochent surtout à GitHub d'avoir glissé l'info dans une page de doc au lieu d'un billet de blog dédié. Pour un outil qu'utilisent des gens très à cheval sur leur vie privée, c'est un drôle de calcul.

Bref, un outil CLI qui s'active en mode collecte par défaut sans prévenir, ça pique. Heureusement une variable d'environnement suffit à couper. Mais il faut savoir qu'elle existe.

Source : The Register

Mis à part son auteur, y'a un truc qui sent pas bon dans l'avant-projet de loi de Laurent Nuñez sur le séparatisme et l'entrisme. Au milieu des mesures sur la dissolution d'assos et l'interdiction d'ouvrages, le texte prévoit en effet d'étendre fortement les pouvoirs de blocage administratif des sites web en France. Et quand je dis "administratif", ça veut dire sans juge.

Bah ouais, ça servirait à quoi alors qu'il suffit d'un bon vieux coup de tampon de l'administration, et votre site peut disparaître de l'internet français.

Concrètement, le texte vise l'article 6-1 de la LCEN. Ce truc-là, c'est le bouton rouge que Pharos et l'ARCOM peuvent pousser depuis 2014 pour faire retirer un contenu. Aujourd'hui ça couvre le terrorisme, la pédopornographie, la vente de stupéfiants et les images de tortures.

Demain, le projet veut y rajouter l'apologie des crimes de guerre, les provocations à la haine ou à la discrimination, et surtout un motif tellement flou que c'en est vertigineux : les contenus "susceptibles de créer un trouble grave pour l'ordre public".

Et c'est là que ça coince. Car "Trouble grave à l'ordre public", vous savez ce que ça veut dire ? Moi oui ! Ça veut dire exactement ce que le préfet en charge veut bien que ça veuille dire. C'est le genre de formule qu'on met dans une loi quand on sait très bien qu'on en fera plus tard un usage BEAUCOUP PLUS LARGE que l'intention affichée initialement.

Et c'est là que ça me colle des boutons, parce qu'on a déjà vu ce film je ne sais combien de fois !!

2014, Cazeneuve, article 6-1 créé pour le terrorisme. 2020, loi Avia retoquée par le Conseil constitutionnel . 2021, extension aux stupéfiants. 2024, loi SREN et vérification d'âge. 2026, apologie crimes de guerre plus haine plus "trouble grave à l'ordre public". À chacune de leur itération, le périmètre s'élargit, les motifs deviennent encore plus flous, et le juge disparaît encore un peu plus du décor.

C'est ça le vrai sujet en fait. C'est pas la question de savoir si bloquer l'apologie des crimes de guerre est légitime (ça l'est). La vraie question c'est : Qui décide ?

Car pendant des siècles en France, seul un juge pouvait ordonner à un éditeur de se taire. Mais depuis 2014, c'est devenu la fête du slip puisque l'administration peut le faire toute seule, et Ô comme c'est bizarre, chaque loi qui arrive ensuite, élargit son, déjà trop grand, terrain de jeu. Alors bien sûr, le juge, on peut éventuellement le saisir après coup, en référé, avec un bon avocat mais dans l'intervalle, votre site a été déréférencé, votre trafic est en EEG plat, et votre asso par exemple, a claqué.

Surtout que la formulation "trouble grave à l'ordre public" est tellement élastique qu'elle peut demain couvrir à peu près n'importe quel sujet qui gêne. C'est pratique hein ? Un dossier sur les violences policières ? Un article sur les manifs ? Une tribune un peu incendiaire ? Allez hop, on coupe TOUT et on retourne sucer des feutres en réfléchissant à la prochaine loi liberticide !!

Vu que le texte part au Conseil d'État avant d'arriver au Conseil des ministres fin avril, le périmètre exact peut encore bouger donc je vous invite à suivre ça du coin de l'œil. Et si vous avez un site ou une asso qui risque de matcher, le bon réflexe c'est La Quadrature du Net . Eux savent contester ces trucs, et ils l'ont déjà fait pour Avia et SREN.

Bref, on se retrouve dans dix ans ou moins, et je vous parie qu'on rediscutera ENCORE d'une nouvelle extension de l'article 6-1, cette fois au nom d'une menace qu'on n'avait pas encore vu venir. L'effet cliquet, ça se déclenche toujours dans le même sens, malheureusement.

Source

Les salariés de Meta devront bientôt installer un logiciel qui enregistre leurs frappes clavier, les mouvements de souris et des captures d'écran régulières sur leur poste de travail.

Le programme s'appelle Model Capability Initiative, et il doit alimenter les futurs modèles d'IA maison capables de faire du travail de bureau en autonomie. L'info a été révélée par The Register cette semaine.

Concrètement, l'outil surveille l'activité sur une liste d'applications professionnelles, dont Gmail, GChat, VCode et l'outil interne Metamate. Meta a justifié le dispositif en expliquant que ses modèles d'IA ne comprennent pas bien comment les humains utilisent un ordinateur.

Les données serviront à entraîner des agents capables de reproduire les micro-gestes que les modèles actuels galèrent à faire, comme sélectionner une option dans un menu déroulant ou enchaîner deux raccourcis clavier. Le directeur technique Andrew Bosworth a expliqué que la vision, c'est d'avoir des agents qui font le boulot pendant que les humains dirigent, relisent et corrigent les sorties.

Côté salariés, l'accueil est glacial. Un ingénieur cité par The Register résume la chose : il y a une différence entre savoir que votre travail est évalué et savoir que chaque frappe clavier peut nourrir un modèle commercial vendu à des clients externes.

L'analyste Ed Zitron, très critique sur l'IA, décrit l'ambiance interne chez Meta comme horrible et parle d'une culture de la paranoïa qui ne va pas s'arranger avec cette nouvelle couche de surveillance.

Le programme cible d'abord les employés basés aux États-Unis. En Europe, les règles sur le pistage des salariés sont beaucoup plus strictes, donc Meta évite de tester ce genre de dispositif sous les yeux de la CNIL irlandaise ou de son équivalent allemand.

Il y a aussi l'ironie évidente de la situation : Meta surveille les utilisateurs depuis quinze ans pour son ciblage publicitaire, et a collectionné les amendes RGPD au passage. Maintenant ce sont ses propres salariés qui passent sous le scanner.

En pratique, ce qui est demandé ressemble à ce que font déjà plusieurs boîtes qui entraînent des agents : il faut des jeux de données de démonstrations humaines sur des tâches réelles pour que l'IA apprenne. Sauf que voilà, Meta franchit un cap en allant chercher ces données dans l'outil quotidien de ses salariés.

Bref, chez Meta le clavier devient un jeu de données d'entraînement. Difficile d'imaginer que des ingénieurs un peu pointus acceptent ça longtemps sans râler, et on les comprend.

Source : The Register

Si votre coeur bat, sachez que la CIA peut vous retrouver n'importe où !

C'est pas moi qui le dis, c'est John Ratcliffe, le directeur de la CIA en personne, qui l'a annoncé ce lundi 7 avril après que ses équipes aient utilisé un outil baptisé Ghost Murmur pour localiser un membre d'équipage américain abattu en Iran, à 65 kilomètres de distance, en captant juste les battements de son coeur.

On dirait vraiment de la SF mais je vais tout vous expliquer.

L'officier des systèmes d'armes d'un F-15E Strike Eagle (oui c'est son titre officiel), nom de code "Dude 44 Bravo", s'est éjecté de son appareil et a du se planquer dans une crevasse en plein désert montagneux du sud de l'Iran, avec les forces iraniennes qui le cherchaient trèèèès activement. Durant 2 jours, le gars a survécu en terrain hostile et c'est là que la CIA a décidé de dégainer Ghost Murmur pour la toute première fois en conditions réelles.

Et la techno est vraiment dingue ! Le système utilise de la magnétométrie quantique, c'est-à-dire des capteurs construits autour de défauts microscopiques dans des diamants synthétiques et ces capteurs sont capables de détecter la signature électromagnétique des battements cardiaques... C'est un signal normalement tellement faible qu'on ne peut le mesurer qu'à l'hôpital, avec des capteurs collés sur la peau.

Hé bien Ghost Murmur capte ce signal à des dizaines de kilomètres en utilisant l'IA pour isoler un seul battement de cœur du bruit ambiant. Comme l'a dit un officiel du gouvernement américain, "c'est comme entendre une voix dans un stade, sauf que le stade fait 2 500 km²" !

Et devinez qui est derrière tout ça... Lockheed Martin et sa division Skunk Works , ceux là même qui ont pondu le SR-71, le F-117, et à peu près tous les trucs volants classifiés du Pentagone. Le système a été testé à bord d'hélicoptères Black Hawk et pourrait finalement être adapté pour les F-35. Et son nom n'est pas choisi au hasard : "Murmur" c'est le terme clinique pour un souffle au coeur, et "Ghost" parce que la cible est invisible... sauf pour eux.

Bon, après faut relativiser quand même. Le plus gros problème c'est que ce bidule fonctionne surtout en zone déserte, là où y'a quasi zéro interférence électromagnétique. Donc si vous êtes le seul être vivant dans un rayon de 100 bornes, ça marchera du tonnerre de Zeus mais par contre, en plein centre-ville avec des milliers de cœurs qui font boum boum au mètre carré, ça ne marchera pas aussi bien. Et surtout, ça demande un temps de traitement conséquent car on n'est clairement pas du temps réel. Mais le jour où ça miniaturise assez pour tenir dans un drone civil... là, même un randonneur en forêt devient traçable.

Xavier Dupont de Ligonnès, t'es dans la merde ! ^^

D'abord y'a donc eu les IMSI-Catchers pour intercepter nos communications mobiles puis les capteurs quantiques chinois pour traquer les sous-marins . Et maintenant on localise un humain à son battement de cœur... hé bé... Et pour votre culture G sachez que c'est la même famille de capteurs NV-diamond que l'armée US développe pour détecter à distance tout ce qui est explosifs improvisés.

Donc la question maintenant n'est plus "est-ce qu'on peut vous trouver ?" mais "est-ce qu'on le veut vraiment ?".

Voilà c'est foutu pour vous planquer dans le Larzac... Vous pouvez passer votre téléphone en mode avion autant que vous voudrez, votre cœur lui pourra toujours vous trahir... ^^

Source

Un Strasbourgeois de 37 ans a été interpellé par le RAID après avoir formulé des menaces dans une conversation avec ChatGPT. OpenAI a signalé les propos au FBI, qui a transmis l'alerte aux autorités françaises via la plateforme Pharos.

L'affaire a été classée sans suite, mais elle montre que les échanges avec les chatbots ne sont pas vraiment privés.

Des menaces repérées par OpenAI

Les faits remontent au 3 avril. L'homme a indiqué à ChatGPT vouloir acheter un pistolet Glock pour "tuer un agent du renseignement de la CIA, du Mossad ou de la DGSI". Les propos ont été détectés par les systèmes de modération d'OpenAI, qui applique depuis 2024 une politique claire : si une conversation présente un risque de violence physique, l'entreprise peut transmettre les échanges aux forces de l'ordre.

Ici, OpenAI a alerté le FBI, qui a relayé l'information aux autorités françaises via Pharos, la plateforme de signalement en ligne gérée par l'OCLCTIC.

Le RAID intervient, aucune arme trouvée

L'intervention a eu lieu au domicile de l'homme, dans le quartier de Koenigshoffen à Strasbourg. Le RAID est entré sans incident et n'a trouvé aucune arme sur place. L'homme a été placé en garde à vue puis libéré le lendemain.

Il a expliqué être schizophrène, en rupture de traitement depuis deux ans, et avoir voulu "tester la fiabilité et la surveillance de l'intelligence artificielle" plutôt que planifier quoi que ce soit. Le parquet de Strasbourg a classé l'affaire sans suite et l'homme a été hospitalisé d'office en psychiatrie.

Vos conversations avec les chatbots ne sont pas privées

Cette affaire est un bon rappel pour tous les utilisateurs de ChatGPT et d'autres assistants IA. OpenAI le dit dans ses conditions d'utilisation : les conversations peuvent être analysées, et dans certains cas transmises à la police.

Depuis février 2024, l'entreprise a perturbé plus de 40 réseaux qui enfreignaient ses règles. Et le mécanisme est rapide : entre les propos tenus à Strasbourg et l'intervention du RAID, il s'est visiblement passé très peu de temps. La coopération entre OpenAI, le FBI et les autorités françaises a fonctionné en quasi temps réel.

C'est le genre d'histoire qui fait réfléchir. On parle quand même d'un type qui tape des menaces dans un chatbot depuis chez lui et qui voit le RAID débarquer à sa porte quelques heures plus tard. Ici l'affaire s'est bien terminée, l'homme avait visiblement besoin de soins et pas d'un Glock.

Mais ça pose une question très concrète : est-ce que tous les utilisateurs de ChatGPT, Claude ou Gemini ont bien conscience que leurs conversations sont surveillées et peuvent remonter aux autorités de n'importe quel pays ? On imagine bien que non.

Source : Vosges Matin

China-linked hackers breached an FBI surveillance system, exposing sensitive investigation data and prompting a “major incident” classification.

The post FBI Declares Surveillance System Breach a ‘Major Incident’ appeared first on TechRepublic.

Le Monde a réussi à localiser le porte-avions nucléaire français Charles-de-Gaulle grâce à l'application de sport Strava. Un officier a enregistré un footing de 7 km sur le pont du navire avec sa montre connectée, et son profil public a diffusé les coordonnées GPS en temps réel.

Le navire était déployé en Méditerranée orientale, au large de Chypre, en pleine mission liée au conflit au Moyen-Orient.

Un footing de 7 km qui trahit un navire de guerre

Le 13 mars, à 10h35, un jeune officier prénommé Arthur a lancé un jogging sur le pont du Charles-de-Gaulle. 35 minutes de course, un peu plus de 7 km, et sa montre connectée a transmis le tout à Strava via Bluetooth.

Son profil étant public, n'importe qui pouvait voir le tracé GPS de sa course, et donc la position exacte du porte-avions. Le Monde a vérifié en croisant avec une image satellite de l'Agence spatiale européenne, qui a confirmé la présence du navire à seulement six kilomètres du point GPS.

Le Charles-de-Gaulle se trouvait à ce moment au nord-ouest de Chypre, à une centaine de kilomètres des côtes turques, dans le cadre d'un déploiement lié au conflit au Moyen-Orient.

En remontant le profil du même officier, Le Monde a aussi pu reconstituer les déplacements du navire sur plusieurs semaines : au large du Cotentin le 14 février, en mer Baltique le 27 février, avec une escale à Copenhague.

Pas la première fois que Strava met l'armée dans l'embarras

L'affaire fait partie d'une enquête plus large baptisée "StravaLeaks", que Le Monde avait déjà lancée à l'automne 2024. Les journalistes avaient alors identifié les gardes du corps d'Emmanuel Macron, de Donald Trump et de Vladimir Poutine via leurs activités sportives sur l'application.

Des agents de la DGSE en mission en Irak avaient aussi été repérés de cette manière. Au total, plus de 450 utilisateurs de Strava liés à l'armée française ont été actifs sur la plateforme au cours de la dernière décennie, et certains ont enregistré des séances à proximité de sites où sont amarrés des sous-marins nucléaires, à l'Île Longue.

Le problème est connu depuis 2018, quand un analyste avait remarqué que la carte de chaleur de Strava révélait des bases et des patrouilles américaines en Syrie, en Irak et en Afghanistan. Le Pentagone avait alors interdit les montres connectées en déploiement. Visiblement, la leçon n'a pas traversé toutes les frontières.

L'état-major reconnaît le problème

Du côté de la Marine nationale, la réponse est laconique : cette diffusion d'informations "n'est pas conforme aux consignes en vigueur".

Par défaut, les comptes Strava sont paramétrés en mode public, ce qui veut dire que chaque séance enregistrée est visible par n'importe qui. Il suffit d'une montre connectée qui passe les contrôles de sécurité à bord, d'un profil mal configuré, et la position d'un navire de guerre en mission se retrouve sur internet.

On a quand même du mal à croire qu'en 2026, après toutes les alertes de ces dernières années, un officier de la Marine puisse encore courir sur le pont d'un porte-avions nucléaire avec sa montre GPS en mode public sur Strava.

C'est le genre d'erreur qui ne devrait plus arriver. Mais bon, tant que les smartwatches ne seront pas simplement interdites à bord des navires en opération, ce type de fuite continuera à se produire. Et on ne peut pas vraiment conclure que c'est uniquement la faute du marin : c'est aussi un problème de procédure, parce qu'une montre qui passe le portique de sécurité sans déclencher d'alerte, c'est probablement un peu gênant.

Source : France Info

Des documents obtenus par la presse révèlent que les douanes américaines ont utilisé les données de localisation issues du système publicitaire en ligne pour pister des téléphones. Et ce, sans mandat.

Le mécanisme repose sur les enchères publicitaires en temps réel, qui diffusent vos coordonnées GPS à des milliers d'entreprises chaque jour. Apple a limité la casse sur iPhone, mais ça ne suffit pas.

Comment vos applications vous trahissent

Le système est assez redoutable dans sa simplicité. À chaque fois qu'une publicité s'affiche dans une application sur votre smartphone, une enchère se joue en quelques millisecondes.

Votre téléphone envoie ce qu'on appelle une requête d'enchère, qui contient votre identifiant publicitaire, vos coordonnées GPS, votre adresse IP, le type d'appareil utilisé, et même vos centres d'intérêt supposés. Ces informations sont envoyées simultanément à des milliers d'annonceurs potentiels, et tous les participants reçoivent ces données, qu'ils remportent ou non l'enchère.

Des courtiers en données se font passer pour des acheteurs publicitaires et récoltent ces informations à grande échelle. Mobilewalla, par exemple, a collecté les données de plus d'un milliard de personnes, dont 60 % provenaient de ces enchères publicitaires selon la FTC (le gendarme du commerce américain).

Gravy Analytics, un autre courtier, a vu fuiter des données qui référençaient des milliers d'applications : Candy Crush, Tinder, Grindr, MyFitnessPal, des applications de grossesse ou religieuses. Beaucoup de développeurs ne savaient même pas que leurs applications alimentaient cette collecte.

Des agences fédérales clientes depuis des années

Entre 2019 et 2021, les douanes américaines ont mené un programme pilote pour tester si ces identifiants publicitaires pouvaient servir à reconstituer les déplacements de personnes sur le territoire. Le service de l'immigration (la célèbre ICE) et le FBI ont aussi acheté de la donnée de localisation auprès du courtier Venntel, et s'en sont servis pour identifier des immigrés ensuite arrêtés.

L'ICE a aussi acquis un outil appelé Webloc, qui collecte la position de millions de téléphones chaque jour et permet de lancer des recherches par zone géographique.

En mars 2026, 70 parlementaires américains ont demandé l'ouverture d'une enquête par l'inspecteur général du département de la sécurité intérieure. Le Montana est devenu le premier État à interdire aux autorités l'achat de données sensibles qui nécessiteraient normalement un mandat. Au niveau fédéral, une loi portée par le sénateur Ron Wyden a été votée par la Chambre en 2024, mais n'a pas passé le Sénat.

Ce que vous pouvez faire, et ce qu'Apple a déjà fait

Bonne nouvelle quand même pour les utilisateurs d'iPhone : depuis 2021, Apple demande systématiquement si vous autorisez le suivi publicitaire via la fonction "Demander à l'app de ne pas me suivre".

Résultat : 96 % des utilisateurs américains ont refusé le suivi, ce qui désactive l'identifiant publicitaire sur la plupart des iPhone. Une étude a même montré que les utilisateurs d'iPhone avaient subi moins de fraudes financières après cette mesure.

Côté Android, il est aussi possible de désactiver l'identifiant publicitaire, mais la démarche est bien moins visible. L'EFF (Electronic Frontier Foundation) recommande dans tous les cas de vérifier les permissions de localisation accordées à vos applications et de les limiter au strict minimum.

On savait que la publicité en ligne aspirait pas mal de données, mais là on parle quand même d'agences gouvernementales qui achètent tranquillement votre position GPS sans passer par un juge. Pour protéger sa vie privée , il ne suffit plus de refuser les cookies.

Le fait que par exemple, Apple, ait mis en place la transparence du suivi publicitaire sur iOS en 2021, et que 96 % des gens aient dit non, montre bien que personne ne souhaite être pisté. On ne peut pas vraiment conclure que le problème est réglé pour autant, car tout le système d'enchères publicitaires continue de fonctionner en arrière-plan, avec ou sans identifiant.

Source : Gizmodo

Vous avez des vieilles caméras de surveillance chinoises qui prennent la poussière parce qu'il vous est impossible de trouver leur flux vidéo ? Y'a pas de RTSP, y'a pas de doc, y'a juste un pauvre port 80 ouvert et une app Android en Mandarin qui est périmée depuis 2021 ?

JE VIENS VOUS SAUVER LES ZAMIS ! Hé oui, grace à Strix qui est capable de tester 102 787 patterns d'URL en 30 secondes et qui vous sort miraculeusement le bon flux vidéo qui marche, avec la config Frigate prête à être collée.

En fait, le principe est simple. Vous lancez un conteneur Docker, vous entrez l'IP de votre caméra et l'outil bombarde en parallèle toutes les URL connues pour ce type de matos. RTSP sur le port 554, MJPEG sur le 8080, snapshots JPEG sur le 80... et 30 à 60 secondes plus tard, vous avez la liste des flux qui répondent avec résolution, FPS et codec H.264 ou H.265.

L'installation tient en une ligne et l'interface web tourne sur le port 4567. Vous entrez l'IP, le login si besoin, et éventuellement le modèle de la caméra IP pour affiner la recherche. Après, même sans modèle, Strix se débrouille avec les 206 patterns les plus courants (sur les 102 787 de la base complète) + la découverte ONVIF . Du coup ça trouve un flux sur à peu près n'importe quoi, du Dahua au Foscam en passant par les marques fantômes d'AliExpress.

Un autre truc vraiment sympa aussi , c'est la génération de config. Vous collez votre fichier frigate.yml existant, même avec 500 caméras dedans, et l'outil ajoute proprement la 501ème sans rien casser ! Il configure automatiquement le flux HD 1080p pour l'enregistrement et le flux 640x480 pour la détection d'objets, le tout passant par go2rtc . Résultat, la conso CPU de Frigate peut carrément passer de 30% à 8%.

Et surtout, l'histoire derrière est assez dingue. Le dev derrière ce projet avait des vieux NVR chinois de 2016 qu'il voulait connecter à Frigate. Après 2 ans à tester toutes les URL possibles... rien. Snif... Tous les ports fermés sauf le 80. À vrai dire, ces machins ne parlaient même pas un protocole connu. Alors a fini par faire tout ce que fait un vrai bidouilleur quand il est énervé : Sniffer le trafic de l'app Android avec Wireshark !

Et grâce à cela, il a découvert un truc baptisé BUBBLE, tellement obscur que ça n'existe nulle part sur Google ! Cela lui a permis de construire une base de 67 288 modèles issus de 3 636 marques, des Hikvision jusqu'aux trucs sans nom d'AliExpress.

Et quand y'a pas de RTSP du tout (ce qui arrive souvent avec le matos chinois pas cher), l'outil se rabat sur les snapshots JPEG et les convertit en vrai flux vidéo via FFmpeg. C'est pas aussi clean qu'un vrai stream H.264 (et ça saccade un peu à 10 FPS), mais c'est largement suffisant pour de la détection de personnes ou de bagnoles.

Après, sachez le, ça ne marche qu'avec les caméras présentes sur votre réseau local. Les caméras cloud (Blink, Ring, Xiaomi) ne sont pas supportées. Et aussi, comme on n'est jamais trop prudent d'ailleurs, si vous branchez ce genre de vieux matos chinois, mettez-les dans un VLAN isolé sans accès Internet parce que côté sécurité, c'est la fête du slip sur ce genre de matos : Backdoors, mots de passe en clair sur le port 80, appels serveurs en Chine... va savoir ce qu'elles font quand personne ne regarde.

Strix a même tapé dans l'oeil du développeur de Frigate lui-même, qui a invité l'auteur à soumettre une PR officielle pour l'intégrer dans la doc officielle. Hé ben quelle classe ! Ah et y'a aussi un add-on Home Assistant en beta si vous êtes branchés domotique (pas forcément stable, le soft sous Docker reste plus fiable). Strix est écrit en Go, sous licence MIT, y'a une image Docker de 80-90 Mo sur Alpine Linux, avec FFmpeg et FFprobe embarqués, et ça tourne comme un charme sur AMD64 comme sur ARM64 (votre Raspberry Pi 4 suffit).

Bref, allez tester ça, car y'a clairement de quoi sauver pas mal de matos de la poubelle !

Depuis 2022, TOUS les policiers et gendarmes français ont accès à un logiciel de reconnaissance faciale directement sur leur téléphone de service. En vous prenant en photo lors d'un contrôle (chiiiiiz 😀), ils peuvent ensuite, en quelques secondes, consulter un énooOoorme fichier contenant 9 millions de portraits.

Tu parles d'un trombinoscope !!

Voilà, c'est ce que révèle une enquête impressionnante du média Disclose , documents internes du ministère de l'intérieur à l'appui.

En bref, les forces de l'ordre sont équipées d'un gros smartphone baptisé NEO, un genre de pavé noir rectangulaire qui ressemble à une tablette de poche et dessus, y'a une appli avec accès direct au TAJ (traitement d'antécédents judiciaires), un fichier qui couvre plus d'un quart de la population française. Nom, date de naissance, adresse, profession... et parfois des infos sensibles comme l'appartenance politique ou religieuse.

Ce logiciel, développé par l'allemand Cognitec (surement la contraction du mot "tech" et du mot "cogner"... rooooh) , affiche les 200 photos les plus ressemblantes en moins d'une minute. C'est comme la reco faciale de Yandex mais en encore plus facile ! On ouvre l'appli sur l'écran, on sélectionne la photo dans l'album, on clique sur le bouton "rapprocher", et le serveur crache ses résultats. C'est dingue.

Sauf que OH BIZARRE l'utiliser lors d'un contrôle d'identité, c'est totalement illégal ! En effet, le code de procédure pénale limite l'accès au TAJ à des agents "individuellement désignés et spécialement habilités", dans le cadre strict d'enquêtes judiciaires (et aux hackers qui font fuiter les datas ^^). Hé oui c'est pas fait pour scanner des gamins assis sous un platane sur une place à Marseille. Déso, hein.

Et pourtant ! Disclose a recueilli les témoignages de six personnes photographiées et identifiées entre 2021 et 2025, à Marseille, Paris et Lyon. Un gamin de 18 ans contrôlé sans même sortir sa carte d'identité... sa photo prise avec le téléphone a suffi. Un manifestant pro-Palestine forcé physiquement à faire face à la caméra, des mains gantées sur le visage.

Et un flic montre même la manip à Disclose sur son NEO, tranquille, en expliquant que "tout le monde y a accès dès la sortie de l'école de police". Hop, le portrait tombe en moins d'une minute. C'est chouette pour pour connaitre le prénom des gens sur Tinder, suffit de prendre en photo l'écran de son smartphone perso, hein.... bah quoi ?

L'IGPN elle-même le sait. En effet, dans son rapport 2023, la police des polices écrivait noir sur blanc que le TAJ est "très fréquemment utilisé sur la voie publique". Ah bah ça va, s'ils sont au courant, on est rassuré parce qu'ils ont surement dû faire quelque chose pour empêcher ça... ah bah non en fait parce que les consultations ont plus que doublé en 5 ans : 375 000 en 2019, près d'un million en 2024 !! Waaaaah, ça fait environ 2 500 tirage de portrait par jour, c'est fou !! Le problème, c'est que personne ne contrôle qui consulte quoi. Les accès sont tracés sur les serveurs, mais bon... tracer sans vérifier, ça sert pas à grand-chose. Et c'est pas forcément par manque de moyens car chaque consultation est horodatée et conservée trois ans, donc y'a le temps. Non, faut croire que c'est la flemme en fait.

Et là, Noémie Levain, juriste à La Quadrature du Net, pose les mots qui font mal : "Quand des policiers peuvent photographier qui ils veulent pour savoir qui est qui, c'est un renversement de l'État de droit."

Elle rappelle en effet, qu'en 1940, il a suffi d'un, je cite, "tout petit changement de curseur" dans les fichiers de police pour aller chercher les gens chez eux. Le parallèle fait froid dans le dos, mais il est factuel.

Et surtout c'est la deuxième fois, à vrai dire, que Disclose prend le ministère en flagrant délit sur ce sujet. En 2023, c'était Briefcam , un logiciel israélien de vidéosurveillance déployé illégalement. Le ministre avait dû le faire désactiver dans les semaines qui ont suivi. Hé bien, croyez le ou non, cette fois, le ministère n'a même pas daigné répondre aux questions de Disclose. Va savoir pourquoi... C'est trop bizaaaarre.

Maintenant si vous voulez savoir quels sont vos droits face à cette pratique, La Quadrature du Net a publié un guide en accès libre qui explique ce que la police peut et ne peut pas faire lors d'un contrôle. Franchement, c'est à lire et à partager !

Par contre, n'oubliez pas que cette technologie ne marche pas toujours. Par exemple, cette américaine vient de passer près de six mois en prison à cause d'un faux positif avec une technologie à la con de ce genre. Donc bon...

Bref, allez lire l'enquête complète de Disclose, c'est du journalisme d'investigation en accès libre et ça concerne directement vos libertés. Et si le cœur vous en dit, soutenez-les .

Source

La reconnaissance faciale vient encore de montrer ses limites aux États-Unis. Angela Lipps, 50 ans, grand-mère du Tennessee, a passé près de six mois en prison après qu'un algorithme l'a désignée à tort comme suspecte dans une affaire de fraude bancaire au Dakota du Nord.

Ses relevés bancaires ont prouvé qu'elle se trouvait à 2 000 kilomètres des faits. Elle attend toujours des excuses.

Un algorithme, une arrestation

Le 14 juillet 2025, des agents fédéraux américains débarquent chez Angela Lipps au Tennessee. Ils l'arrêtent sous la menace d'une arme, alors qu'elle garde quatre enfants. La police de Fargo, dans le Dakota du Nord, à environ 2 000 kilomètres de là, la soupçonnait d'avoir utilisé une fausse carte d'identité militaire pour retirer des dizaines de milliers de dollars dans plusieurs banques entre avril et mai 2025.

Pour identifier la suspecte filmée par les caméras de surveillance, les enquêteurs ont passé les images dans un logiciel de reconnaissance faciale. Le système a désigné Angela Lipps. Un détective a ensuite comparé la photo avec le permis de conduire et les réseaux sociaux de la quinquagénaire, et a validé l'identification. Sauf que ce n'était pas du tout elle.

108 jours sans la moindre audition

Classée comme fugitive, Angela Lipps est restée quatre mois en prison au Tennessee, sans caution et sans possibilité de se défendre. Elle n'a été transférée dans le Dakota du Nord que le 30 octobre, soit 108 jours après son arrestation.

Sa première comparution devant un tribunal a eu lieu le lendemain. Et c'est seulement le 19 décembre, cinq mois complets après l'arrestation, que la police de Fargo l'a interrogée pour la première fois.

Son avocat, Jay Greenwood, avait entre-temps obtenu ses relevés bancaires. Les documents montraient qu'Angela achetait des cigarettes et déposait ses chèques de sécurité sociale au Tennessee au moment même où la police la plaçait à Fargo. Les charges ont été abandonnées le 24 décembre, la veille de Noël. Cinq mois et dix jours d'incarcération pour une erreur de machine.

Tout perdu, zéro indemnisation

À sa sortie, Angela Lipps n'avait plus rien. Pas de manteau, pas d'argent, pas de moyen de rentrer chez elle. Pendant sa détention, elle a perdu sa maison, sa voiture et son chien. La police de Fargo n'a pris en charge aucun frais.

Ce sont des avocats de la défense locaux qui lui ont donné de quoi payer une chambre d'hôtel et de la nourriture le soir de Noël. Le lendemain, Adam Martin, fondateur de l'association F5 Project, l'a conduite en voiture jusqu'à Chicago pour qu'elle puisse regagner le Tennessee.

Un habitant de West Fargo, Michael Nessa, a depuis lancé une cagnotte GoFundMe en son nom, qui a récolté près de 20 000 dollars. Angela Lipps attend toujours des excuses de la police.

Ce n'est pas la première fois qu'une personne se retrouve derrière les barreaux à cause d'un faux positif de reconnaissance faciale aux États-Unis. Et dans la grande majorité des cas rendus publics, les victimes sont des femmes ou des personnes issues de minorités.

Côté procédure, qu'un détective ait "confirmé" l'identification en comparant une photo de surveillance avec un permis de conduire, ça en dit quand même long sur la rigueur du processus.

Si vous pensiez que ce genre de technologie était encadré par des garde-fous solides, l'affaire Lipps prouve le contraire. Six mois de prison, une vie brisée, et pas la moindre excuse. Franchement, on espère que ça fera réagir là-bas, mais on n'y mettrait pas notre main à couper. Un grand merci à Skribascode de nous avoir envoyé cette info !

Sources : Upper Michigan Source , KVRR

If not Palantir, why Palantir-shaped??

Palantir builds spy tech for the CIA, DHS, and ICE. It aggregates data, maps your life, and tells governments who to watch. Meta is building something with the same bones. It’s called Name Tag, a facial recognition feature coming to Ray-Ban smart glasses that lets a wearer look at a stranger in public and have an AI identify them in real time, pulling their name and profile directly from Facebook and Instagram. The surveillance hardware is a $300 fashion accessory, the database was built by 3 billion people tagging photos for free, and the targets are anyone, anywhere, who never agreed to any of it.

A leaked internal memo from May 2025, obtained by The New York Times, laid out the full scope: the feature is planned for every pair of Meta’s glasses, from Ray-Bans to the Oakley Meta HSTN sports line. Meta’s official response was a practiced non-denial: “we’re still thinking through options and will take a thoughtful approach if and before we roll anything out.” Companies that aren’t building something just say they’re not building it. Meta is not saying that.

The Database Was Being Built Before the Glasses Existed

Facebook turned on automatic photo tagging in 2010 with zero opt-in, and for eleven years, every time you tagged a friend’s face in a photo, you were feeding their facial recognition model. When Meta “deleted” over a billion faceprints in 2021 under lawsuit pressure, they kept the photos. They kept the social graph. They kept the engineers who built the whole thing. Name Tag isn’t a new product concept; it’s a previously mothballed capability getting a second run, this time with a camera on your face instead of a server in Menlo Park.

Anyone with a public Instagram account is immediately a potential target (it’s not like making your account private makes you any safer), which covers hundreds of millions of people who signed up to share photos, not to be enrolled in a real-world biometric identification system. Remember Portal, Meta’s smart home display with a face-tracking camera? It launched in 2018 right in the middle of the Cambridge Analytica fallout, and consumers collectively declined to put a Facebook camera in their living room. Meta discontinued it by 2022. The lesson they apparently took wasn’t “don’t build surveillance hardware.” It was “make sure the camera comes in wearing someone else’s face.”

They Know Exactly How We’ll React

“We will launch during a dynamic political environment where many civil society groups that we would expect to attack us would have their resources focused on other concerns.” That’s a sentence directly from an official internal planning document from Meta’s Reality Labs, dated May 2025, reviewed by The New York Times. The company was explicitly planning to exploit civic chaos as a launch window, timing the rollout of a mass surveillance feature to coincide with another crisis-event that occupies our mind so we’re distracted. Sleight of hand, with a dash of corporate evil. There’s no ethical framework in which that sentence represents good-faith product development.

Their original rollout plan was to debut Name Tag at a conference for the blind, wrapping a mass-surveillance tool in the language of accessibility before expanding it to the general public. That plan was eventually shelved, but the thinking behind it is the more revealing part. The accessibility framing was a softening mechanism, a way to generate human-interest coverage before the obvious misuse cases took over the conversation. Privacy advocates, abuse charities, and civil liberties groups were going to come for this feature regardless. The strategy was never to address their concerns. It was to buy a news cycle of goodwill first.

Your Face Is Being Reviewed in a Nairobi Office Park Right Now

Swedish newspapers Svenska Dagbladet and Göteborgs-Posten tracked Meta’s data pipeline from Ray-Ban glasses worn in Western homes to a company called Sama, operating out of an office park in Nairobi, Kenya. Workers there are paid to watch footage captured by glasses users and label what they see, teaching Meta’s AI to understand and interpret the visual world. The footage includes people on the toilet, naked bodies, couples in bed, bank card details accidentally filmed, and intimate conversations being had by people who had no idea they were being recorded, let alone reviewed by a contractor on another continent.

Meta’s defense was to point at a clause buried in their terms of service permitting “manual (human)” review of AI interactions, which is technically accurate and practically worthless as a justification, because no person buying a pair of fashion-forward smart glasses understands that clause to mean workers in Kenya are watching them undress. The April 2025 privacy policy update for the glasses silently expanded Meta’s right to use all captured photos, videos, and audio for AI training, with no prominent notification to existing owners. A class action lawsuit filed in San Francisco federal court in March 2026 argues this constitutes consumer fraud, given that Meta’s own marketing described the glasses as “designed for privacy, controlled by you.” The UK’s Information Commissioner’s Office wrote to Meta characterizing the situation as “concerning,” which in British regulatory language lands somewhere between “deeply troubled” and “genuinely alarmed.”

$2.1 Billion in Fines and Still Going

The fine history reads like a repeat offender’s rap sheet. Meta paid $650 million to settle an Illinois class action over collecting facial geometry without consent through Facebook’s “Tag Suggestion” feature. They paid another $68.5 million for the same BIPA violation in 2023. In 2024, Texas extracted $1.4 billion from them for capturing biometric data on millions of Texans “for commercial purposes” without informed consent, with the lawsuit specifically alleging Meta was disclosing that data for profit. That’s over $2.1 billion in biometric privacy penalties across four years, all for variations of the same violation, against the same company, building the same technology.

None of it changed the product roadmap. The Texas settlement of $1.4 billion represents roughly one percent of Meta’s $134 billion in 2023 revenue. The Electronic Privacy Information Center has filed complaints with the FTC calling Name Tag a direct facilitator of “stalking, harassment, doxxing and worse.” The EU’s AI Act classifies real-time remote biometric identification in public spaces as high-risk AI and prohibits it for most commercial applications. The fines and the regulatory pressure are clearly baked into Meta’s planning rather than functioning as deterrents. They paid $2.1 billion to establish what a decade of biometric data collection actually costs, looked at that number next to their revenue, and decided it wasn’t a fine. It was an investment.

The Glasses Are Just the Beginning

Name Tag as currently designed still requires the wearer to deliberately trigger an identification query. The next product removes even that minimal friction. Internal documents describe “super sensing” glasses with always-on cameras and microphones that record continuously for the entire duration they’re worn, feeding an unbroken stream to an AI assistant that builds a fully searchable log of the wearer’s day. The surveillance model shifts from opt-in query to permanent ambient default. Every person who passes within the glasses’ field of view gets their face processed, regardless of whether they’ve opted out, regardless of whether they even know the technology exists.

The threat model was demonstrated in 2024 by two Harvard students, AnhPhu Nguyen and Caine Ardayfio, using nothing but current, available hardware. They connected Ray-Ban Meta Gen 2 glasses to PimEyes, a commercial facial recognition engine, alongside LLM data extraction tools, FastPeopleSearch, and Cloaked.com for social security lookups. Streaming the feed to Instagram Live, they identified strangers on the Boston subway and pulled names, home addresses, phone numbers, and social security numbers in seconds. They approached a woman on the street, told her they’d met at a Cambridge Community Foundation event, and she believed them. They told a female student her Atlanta home address and her parents’ names; she confirmed they were right. Name Tag doesn’t make this possible. It already is possible. Name Tag just makes it Meta’s official product.

What “Opt-Out” Actually Means

Meta’s proposed safeguards rely on limiting identification to connected contacts or public accounts, and offering an opt-out toggle buried in Instagram settings. The connected-contacts restriction doesn’t address the most statistically common danger. Stalkers, abusers, and harassers overwhelmingly target people they already know. Limiting the feature to existing connections doesn’t reduce the risk to the most vulnerable users; it focuses it on them. Domestic abuse charities in the UK raised this point directly, noting that abusers could use Name Tag to locate survivors who have relocated, changed their appearance, or created entirely new digital identities to stay safe.

The opt-out toggle is available to Instagram’s roughly 2 billion monthly active users, almost none of whom will encounter it organically. Privacy protections that require the potential victim to proactively locate and activate a setting are not privacy protections. They are liability documentation. Abuse survivors, journalists, political dissidents, undocumented individuals, people in witness protection: these are the people with the highest stakes, and also the people with the least bandwidth to hunt through app settings on the off chance that facial recognition has been added to a device they don’t even own. The toggle protects Meta in a courtroom. It protects its users in no meaningful sense at all.

We Were Free Labor All Along

Twenty years of tagging photos, liking posts, following accounts, and uploading selfies. Every interaction trained the model. Every tagged face sharpened the database. Meta framed all of it as self-expression and social connection, and it was, but it was also free labor on the world’s largest biometric mapping project. The glasses are the hardware layer that connects that digital registry to the physical world. The data collection phase is largely complete. The deployment phase is now.

Reddit ran the same playbook with text and nobody stopped them either. In early 2024, Reddit signed a $60 million-per-year deal with Google to license user-generated content for AI training, then struck a separate deal with OpenAI estimated at $70 million annually. Two decades of forum posts, niche expertise, personal advice, and community-built knowledge that users created for each other got packaged and sold to the highest bidder. Users built the database. Reddit sold it. The users got nothing except the knowledge that their words now live inside a model they don’t control. Meta’s version is identical in structure and more intimate in substance, because the asset being extracted isn’t something you typed. It’s your face, your home, and the faces of everyone in your immediate vicinity.

While all of this unfolds on the hardware and data side, Meta is simultaneously stripping privacy from the software side. End-to-end encryption for Instagram DMs dies on May 8, 2026. Meta’s stated justification is that “very few people” were using it, which is a direct consequence of never making it the default and never promoting it. After May 8, Meta retains full technical access to message content, which means any contractor, government request, or legal process with sufficient leverage can access it too. The feature was specifically extended to users in Ukraine and Russia during the war as a safety measure for people in genuine danger. Those users are now being told to download their chats before the cutoff. The facial recognition is the front door. The unencrypted message access is the unlocked safe. At some point the question stops being “is Meta building a surveillance company?” and starts being “why are we still acting like it isn’t one?”

The post Meta Is Turning Its Smart Glasses Into A Mass Surveillance Tool… And You Can’t Stop It first appeared on Yanko Design.

-- Article en partenariat avec Incogni --

Vous n'avez probablement pas besoin d’un énième sermon sur la "vie privée". Vous avez besoin d’outils qui font le sale boulot à votre place. Incogni fait exactement ça : il passe ses journées à frapper à la porte des courtiers en données pour leur dire de supprimer vos infos , pendant que vous faites autre chose de vital. Comme préparer une raclette parce que l'hiver n'est pas terminé.

On imagine souvent les fuites comme des gros piratages de bases de données. Cela arrive parfois bien évidemment, sauf qu'en pratique, le plus gros de la collecte part de choses beaucoup plus banales : formulaires, programmes de fidélité, inscriptions sur des sites gratuits et désormais, les extensions IA qui se greffent au navigateur .

Une étude d’Incogni montre que plus de la moitié des extensions Chrome “dopées à l’IA” collectent au moins un type de données utilisateur. Sur presque 450 extensions analysées, 52% aspirent quelque chose, et près de 30% récupèrent des infos personnelles identifiables. Votre nom, adresse, email, parfois même du contenu que vous tapez (mails, formulaires, documents en ligne) et des éléments de localisation. Des outils archi populaires comme Grammarly ou QuillBot se retrouvent pointés du doigt pour le volume et la sensibilité des données auxquelles ils ont accès, tout en étant installés par des millions d'utilisateurs.

Le problème, c’est que ces flux ne restent pas cantonnés aux éditeurs d’extensions. Ils alimentent des courtiers en données ( data brokers ) qui recoupent, enrichissent et revendent ce qu’ils savent de vous. Ça concerne aussi bien les coordonnées, le profil socio‑démographique, les centres d’intérêt, comportement de navigation, historique d’achats, etc. Vous ne verrez jamais leur nom sur un bandeau de cookie, mais eux vous connaissent très bien.

Incogni : un service qui supprime vos données à grande échelle

Pour attaquer ce problème à la racine, Incogni automatise tout ce que vous pourriez théoriquement faire à la main, mais que personne ne fait vraiment :

• repérer quelles sociétés ont probablement vos données,
• leur envoyer des demandes de suppression basées sur le RGPD, CCPA & co,
• les relancer si elles traînent des pieds,
• vérifier que vos données ne réapparaissent pas quelques mois plus tard.

Concrètement, à l’inscription, vous fournissez quelques informations d’identification (nom, email, adresse postale) pour permettre à Incogni de vous retrouver dans les bases des brokers. Une fois la procuration numérique signée, la plateforme commence à envoyer des demandes d’effacement à plus de 420 sites de courtage et bases marketing, recrutement, scoring, etc., en votre nom. On peut parler d’un service “quasi mains libres” qui économise des dizaines d’heures de démarchage manuel en automatisant ces requêtes et les relances qui suivent.

Sur le tableau de bord, on voit très concrètement tout ce qui se passe :

• combien de demandes ont été envoyées,
• quels brokers ont répondu,
• combien ont confirmé la suppression,
• lesquels sont encore en attente ou en cours de relance.

Une fois la première vague passée (souvent 30 à 45 jours pour les réponses, selon mon test perso et ce que j'ai vu en ligne), Incogni continue à surveiller les mêmes acteurs et à renvoyer des demandes périodiques pour éviter les “résurrections” discrètes de votre profil dans leurs fichiers. C’est cette dimension continue qui en fait un outil pratique : au lieu de faire un gros ménage une fois et d’oublier, vous déléguez la routine.

Le mode sniper : faire retirer vos données d’un site précis

Le détail intéressant pour les cas particuliers : avec l’offre illimitée, vous pouvez demander à Incogni de s’attaquer à des sites spécifiques, au-delà de sa liste standard de brokers. Ça couvre par exemple :

• un annuaire de recherche de personnes qui expose votre adresse,
• une base obscure où votre numéro apparaît,
• une plateforme pro qui indexe trop bien vos données.

Le principe est simple : vous copiez l’URL du site ou de la page concernée dans l’interface, et l'outil ajoute ce cas à la liste des demandes à traiter. Il n’y a pas de limite de nombre de requêtes sur ce mode, ce qui en fait une option assez puissante pour “nettoyer” au fur et à mesure ce que vous découvrez dans Google. D'ailleurs petit conseil perso, n'hésitez pas à créer une alerte sur votre nom pour recevoir un mail dès qu'il apparaît quelque part, vous serez peut-être étonné.

Il y a des bornes logiques : Incogni ne pourra pas effacer des dossiers judiciaires publics, des registres gouvernementaux, ni vos propres contenus sur les réseaux sociaux, blogs ou forums. L’idée est de cibler les usages commerciaux de vos données, pas de réécrire l’histoire.

Ce que vous y gagnez concrètement

Sur le papier, “moins de données chez les brokers” sonne abstrait. Dans la pratique, ça se traduit par plusieurs bénéfices très concrets :

• Moins de démarchage ciblé : les listes marketing qui tournent avec votre mail et votre téléphone s’appauvrissent, ce qui se voit dans la baisse de certains spams ultra personnalisés.
• Moins de contexte pour les arnaques : un escroc qui ne connaît plus votre adresse, vos anciennes boîtes, vos habitudes, aura plus de mal à composer un message crédible.
• Moins d’exposition dans les moteurs de recherche de personnes ou annuaires douteux : vos fiches disparaissent au fil des suppressions, ce qui réduit les risques de harcèlement, doxxing ou simple curiosité mal placée.
• Moins de données à gérer en cas de fuite : si un broker se fait pirater, le volume d’informations vous concernant est moindre, donc l’impact potentiel aussi.

Et pour être utilisateur du service, on sent bien le côté progrès visible sans effort technique. Au bout de quelques semaines, le tableau de bord compte déjà des dizaines de suppressions confirmées, et le flux de courrier indésirable le plus ciblé commence à se tasser.

Et les extensions IA dans tout ça ?

Le rapport d’Incogni sur les extensions IA Chrome montre bien que le problème ne va pas disparaître. Tant qu’on installera des assistants magiques qui demandent un accès à tous les sites et à tout ce qu’on tape, les brokers auront de nouveaux tuyaux pour s’alimenter. La réponse ne peut pas être seulement “n’installez plus rien”, on a besoin de ces outils. Le service de Surfshark prend donc le problème par l’autre bout. Même si certaines données fuient via ces extensions ou d’autres services, il s’occupe de retrouver les endroits où elles se centralisent et d’exiger qu’elles soient effacées.

Le duo gagnant, c’est donc : limiter les permissions des extensions (et éviter celles qui demandent l’accès à tous les sites sans raison), comme le recommandent les chercheurs, et derrière, faire tourner un service comme Incogni pour vider régulièrement les réservoirs où vos infos finissent de toute façon.

Un outil de fond, pas un gadget de plus

Beaucoup de solutions privacy ajoutent une couche d’interface ou de jargon sans changer grand-chose au fond. Ici, la valeur est très terre à terre : du temps économisé, des démarches que vous n’auriez jamais faites vous‑même, et un suivi qui tourne en tâche de fond. Les analyses récentes en font un des services les plus rentables si votre objectif est simplement de faire disparaître votre fiche de la plupart des fichiers commerciaux sans y consacrer votre week‑end.

En résumé, Incogni ne promet pas l’invisibilité totale, mais il fait quelque chose que peu de gens ont la patience de faire. En 2026, ce n’est pas un luxe, c’est presque le minimum syndical pour que votre historique ne soit pas la matière première des prochaines dérives de l’IA ou du prochain mail d’arnaque trop bien informé.

Et vous pouvez en profiter à partir de 86€/an TTC pour la version standard (et même moins, 77€, avec le code KORBEN55). Pour la version illimitée, il faut compter 173€/an (ou 155 avec mon code).

→ Cliquez ici pour en savoir plus sur Incogni ←