En 1983, le président américain de l’époque, Ronald Reagan a vu le film WarGames lors d’un séjour à Camp David et si vous ne l’avez pas vu, sachez que ce film raconte l’histoire d’un ado qui pirate accidentellement les systèmes de défense américains et manque de déclencher la Troisième Guerre mondiale. Et une semaine après la projection, Ronald a convoqué le Comité des chefs d’état-major interarmées pour leur poser cette simple question : “Est-ce que le scénario est techniquement possible ?”

Et la réponse a été, sans surprise été : “oui et c’est même bien pire”.

Alors 15 mois plus tard, Reagan signe la NSDD-145 , qui est la toute première directive présidentielle sur la cybersécurité. Dire que tout est parti d’un film de science-fiction… C’est dingue je trouve et cela illustre parfaitement ce qu’on trouve sur ce site baptisé Movies-for-hackers créé par k4m4. Il s’agit d’une archive “vivante” sur la façon dont Hollywood a façonné la culture tech / hacker durant ces 40 dernières années.

On y trouve donc des thrillers comme Hackers et Blackhat, de la SF comme Matrix et Her, des documentaires type Citizenfour, et même des séries comme Mr. Robot ou Black Mirror. Chaque entrée indique le titre, l’année, et la note IMDb.

C’est simple, clair et efficace. Maintenant si vous regardez chacun de ces films, vous verrez comment ils ont, pour pas mal d’entre eux, influencé fortement la réalité tech qu’ils prétendaient représenter.

Prenez par exemple The Social Network sorti en 2010. Avant ce film, le hacker classique c’était le mec en sweat noir à capuche dans un sous-sol. Mais après Fincher, c’est devenu le dev en hoodie gris qui crée des empires depuis son dortoir universitaire. Ce film a vraiment changé l’image du programmeur dans la tête des gens. Autre exemple, Her de Spike Jonze, sorti en 2013 raconte l’histoire d’un type qui tombe amoureux d’une intelligence artificielle dotée de personnalité et d’émotions. Le film remporte l’Oscar du meilleur scénario original et à l’époque, tout ça paraît totalement impossible. C’est de la science-fiction. Sauf que là, on est 10 ans plus tard, ChatGPT a débarqué et les gens développent maintenant des relations émotionnelles avec des chatbots.

Puis y’a Matrix aussi, sorti en 1999, et ça c’est un autre cas d’école. Le film popularise l’idée que notre réalité pourrait être une simulation. On pensait à l’époque que c’était juste du divertissement pseudo-philosophique, mais aujourd’hui, allez demander à Elon Musk, et à tous ceux qui parlent sérieusement de cette théorie où on serait tous dans une simulation…

The Island de Michael Bay sorti en 2005 est aussi l’un de mes films préférés. Le scénario tourne autour du clonage humain et du trafic d’organes. Scarlett Johansson y joue une clone destinée à être récoltée pour ses organes. En 2005, c’est totalement dystopique mais aujourd’hui, avec CRISPR et les débats sur l’édition génétique, toutes les questions éthiques soulevées par le film se retrouve dans l’actualité scientifique du monde réel.

Et je n’oublie pas non plus Mr. Robot lancé en 2015 qui mérite une mention spéciale. Tous les experts en sécurité informatique ont salué la série pour son réalisme technique, avec du vrai pentesting, des vraies vulnérabilités, des vraies techniques…etc. Et c’est aujourd’hui devenu un outil pédagogique pour toute une génération de pentesters.

Voilà, alors plutôt que de voir ce repo Github comme une simple liste de films à voir quand on aime la culture hacker, amusez-vous à raccrocher chacun d’entre eux avec le monde réel… WarGames et la cybersécurité gouvernementale, Hackers et la culture underground, Matrix et cette théorie de la simulation, Her et les relations humain-IA, The Social Network et la mythologie du fondateur tech…et j’en passe. Je pense que tous ces films ont vraiment façonné la manière dont nous pensons la tech. Cette boucle de rétroaction se poursuit car les dev actuel qui ont grandi en regardant ces films, créent aujourd’hui inconsciemment ce futur qu’ils ont vu à l’écran. Et ça c’est fou !

Bref, si vous cherchez de quoi occuper vos soirées et que vous voulez comprendre d’où vient la culture tech actuelle, Movies-for-hackers fait office de curriculum non-officiel où chaque film est une leçon d’histoire !

Merci à Lorenper pour l’info !

TwoFace est un outil développé par Synacktiv qui permet de créer des binaires Linux ayant 2 comportements bien distincts. Un comportement parfaitement inoffensif qui s’active dans 99% des cas et un comportement malveillant qui ne se déclenche que sur une machine ciblée spécifiquement pour l’occasion.

Comme ça, votre sandbox verra toujours la version “propre” parce qu’elle n’aura pas le bon UUID de partition.

D’après la doc de Synacktiv, voici comment ça fonctionne : Vous avez deux binaires en fait… Y’en a un qui est inoffensif et un autre malveillant. TwoFace les fusionne alors en un seul exécutable. Ainsi, au moment du build, le binaire malveillant est chiffré avec une clé dérivée depuis l’UUID des partitions disque de la machine cible. Cet UUID est unique, difficile à deviner, et stable dans le temps ce qui est parfait pour identifier une machine spécifique.

Ensuite au lancement, quand le binaire s’exécute, il extrait l’UUID du disque de la machine. Pour ce faire, il utilise HKDF (Hash-based Key Derivation Function) pour générer une clé de déchiffrement depuis cet UUID et tente de déchiffrer le binaire malveillant caché. Si le déchiffrement réussit (parce que l’UUID match), il exécute le binaire malveillant. Par contre, si ça échoue (parce que l’UUID ne correspond pas), il exécute le binaire inoffensif.

Le projet est écrit en Rust et c’est open source ! Et c’est une belle démo (PoC) d’un problème que tous ceux qui font de l’analyse de binaires ont. En effet, d’ordinaire, pour révéler le vrai comportement d’un malware on l’exécute dans une sandbox et on peut ainsi observer en toute sécurité ce qu’il fait, les fichiers qu’il crées, les connexions réseau qu’il établit etc…

Mais avec TwoFace ça casse cette façon de faire. Et c’est pareil pour les antivirus qui verront toujours la version inoffensive tant que l’UUID ne correspond pas.

Techniquement, TwoFace utilise memfd_create() pour exécuter le binaire déchiffré en mémoire, sans toucher au disque, ce qui veut dire zéro trace sur le système de fichiers. Le binaire malveillant apparaît directement en RAM, s’exécute, puis disparaît. Et si vous utilisez io_uring pour l’écriture mémoire, il n’y a même pas de trace syscall visible via strace.

Et ça, c’est la version basique car le document de Synacktiv mentionne également d’autres techniques avancées possibles comme du déchiffrement dynamique page par page du binaire ELF, des mécanismes anti-debugging, des chained loaders multi-niveaux…etc…

Le parallèle avec la backdoor XZ Utils backdoor est très instructif car celle-ci a failli compromettre des millions de serveurs Linux parce qu’un seul mainteneur a poussé du code malveillant dans une lib compressée. Elle a alors été découverte parce qu’un dev a remarqué un ralentissement SSH bizarre et a creusé… Et TwoFace montre qu’on peut faire encore pire sans toucher à la supply chain.

Pas besoin de corrompre un mainteneur de projet, de pousser un commit suspect chez Github. Là suffit d’écrire du code parfaitement propre, de le compilez avec TwoFace pour une machine spécifique, et de le déployez. Le code source sera alors auditable ainsi que le binaire mais l’audit ne révèlera rien parce qu’il se fera dans un environnement qui n’aura pas le bon UUID.

Après, techniquement, une défense existe. Vous pouvez par exemple détecter les appels à memfd_create(), monitorer les exécutions en mémoire, tracer les déchiffrements crypto à la volée…etc., mais ça demande du monitoring profond, avec un coût performance non-négligeable. Et ça suppose aussi que vous savez ce que vous cherchez…

Bref, si ça vous intéresse, c’est dispo sur GitHub !

Salut les amis !

Alors que le Black Friday approche à grands pas, pCloud débarque avec une promo qui va faire mal au portefeuille des GAFAM mais bien soulager le votre ! En effet, le service de stockage cloud suisse (oui, celui qui respecte vraiment votre vie privée) sort l’artillerie lourde aujourd’hui avec jusqu’à -60% sur leurs plans à vie, mais surtout avec un pack 3en1 exclusif qui regroupe tout ce dont vous avez besoin pour sécuriser votre vie numérique.

Et quand je dis “à vie”, c’est pas du marketing. Un seul paiement, et hop, vous êtes tranquille pour les 99 prochaines années alors que les autres vous pompent en moyenne 10 balles par mois… Là, vous réglez le problème une bonne fois pour toutes.

Le pack 3en1 qui change tout

pCloud lance donc pour ce Black Friday un pack exclusif qui envoie du lourd : 5 To de stockage + pCloud Encryption à vie + pCloud Pass à vie, le tout pour 599 € au lieu de 1498 €. Vous économisez donc 899 balles d’un coup, et vous avez la totale en termes de sécurité !

Mais décortiquons un peu ce pack. Avec 5 To d’espace de stockage, vous avez de quoi stocker l’intégralité de vos photos et vidéos depuis la naissance de votre premier enfant jusqu’à ce qu’il parte de chez vous. pCloud Encryption chiffre également vos fichiers sensibles côté client avant même qu’ils ne partent sur les serveurs, ce qui veut dire que personne ne peut y accéder à part vous ! Et pCloud Pass, c’est, vous l’aurez compris, le gestionnaire de mots de passe qui vous évite de recycler ce bon vieux “Azerty1234” sur tous vos comptes.

Les autres offres Black Friday

Maintenant si ce pack 3en1 vous semble un peu trop ambitieux, pCloud vous propose aussi des plans individuels à vie avec des réductions intéressantes :

• 1 To à vie : 199€ au lieu de 435€ (-54%)
• 2 To à vie : 279€ au lieu de 590€ (-53%)
• 10 To à vie : 799€ au lieu de 1890€ (-58%)

Pour ceux qui calculent vite, 1 To chez Google Drive c’est environ 100 balles par an. Avec pCloud, vous payez 199 € une fois et c’est réglé. Donc au bout de 2 ans, vous êtes déjà gagnant et sur 10 ans, j’en parle même pas.

pCloud Photos débarque et ça change tout

pCloud vient aussi de sortir **une nouveauté qui va faire grincer **des dents chez Google. Il s’agit d’une fonctionnalité de galerie photo intelligente avec éditeur intégré, incluse dans tous les plans sans supplément.

La galerie organise automatiquement pour vous, toutes vos images par date avec un flux chronologique. Vous pouvez ainsi naviguer par année, exclure certains dossiers pour ne pas mélanger vos screenshots avec vos vraies photos, et retrouver n’importe quel cliché en quelques secondes. Comme ça, c’est fini le bordel où les captures d’écran et les logos d’apps se retrouvent mélangés avec vos souvenirs de vacances.

Et le plus chouette je trouve, c’est l’éditeur intégré. Vous modifiez vos photos directement dans pCloud sans avoir à installer Photoshop ou sortir votre CB pour un abonnement Adobe. Vous avez 8 filtres accessibles en un clic (Retrofilm, Vibrant, Vintage, Duotone, Coolbreeze, Redtint, Warmtone, Coldtone), des ajustements précis pour la luminosité, le contraste, les hautes lumières et les ombres, plus les outils classiques comme le recadrage et la rotation. Et tout ça en temps réel, directement dans votre stockage sécurisé.

pCloud a donc clairement décidé de ne plus se contenter de stocker vos fichiers en transformant votre espace cloud en centre de gestion de photos, et tout ça sans avoir à passer par les serveurs de Google qui scannent vos images pour mieux vous balancer des pubs ciblées.

pCloud Encryption : le coffre-fort

Pour ceux qui manipulent des fichiers sensibles, pCloud Encryption est aussi un game changer. Le chiffrement se fait côté client, sur votre machine, avant même que les fichiers ne partent vers les serveurs. Vos clés de chiffrement restent donc uniquement entre vos mains et pCloud applique une politique de confidentialité stricte à “connaissance nulle” (zero knowledge), ce qui veut dire que même eux ne peuvent pas accéder à vos données chiffrées.

C’est le niveau de protection qu’Edward Snowden recommanderait si on lui demandait son avis !

pCloud Pass : le gestionnaire de mots de passe qui assure

Inclus dans le pack 3en1, pCloud Pass simplifie également votre sécurité en ligne puisqu’il stocke tous vos mots de passe de manière chiffrée, génère automatiquement des mots de passe forts et uniques pour chaque compte, et remplit les formulaires de connexion en un clic.

Compatible avec tous les appareils, navigateurs et systèmes d’exploitation, pCloud Pass synchronise vos mots de passe partout. Vous créez un mot de passe ultra-sécurisé sur votre PC, et il est ainsi immédiatement dispo sur votre smartphone. Comme ça, y’a plus besoin de noter vos bons vieux passwords sur ces petits carnets à mots de passe vendus à la FNAC que vos parents adorent vous offrir à Noël parce que vous êtes “geek”. lol

pCloud Drive et les fonctionnalités qui tuent

pCloud Drive transforme aussi votre espace cloud en disque virtuel accessible comme un SSD local. Compatible Windows, macOS et Linux, il synchronise vos fichiers instantanément sur tous vos appareils. Comme ça, si vous travaillez sur un document sur votre PC, il est immédiatement dispo sur votre smartphone. Et les apps mobiles iOS et Android uploadent automatiquement vos photos et vidéos pour libérer de l’espace sur votre téléphone.

Avec pCloud Backup, vos fichiers importants sont sauvegardés en continu en arrière-plan comme ça, plus de prise de tête avec les sauvegardes manuelles. Vous collaborez facilement avec des liens sécurisés, même avec des gens qui n’ont pas pCloud. Le service compte deux centres de données, l’un aux États-Unis et l’autre au Luxembourg, et vous choisissez où vos fichiers sont stockés.

Alors pourquoi pCloud plutôt que les GAFAM ?

Et bien dans ce monde bizarre où Google, Microsoft et consorts se partagent vos données personnelles comme un gâteau d’anniversaire, pCloud arrive avec une approche très différente puisqu’ils sont basés en Suisse avec des serveurs au Luxembourg, et leur service respecte le RGPD et les lois suisses qui sont parmi les plus strictes au monde en matière de protection des données.

pCloud possède également ses propres datacenters, donc pas de sous-location douteuse chez Amazon Web Services ou Google Cloud. Et ainsi, vos fichiers restent en Europe, soumis aux régulations européennes. Pas de scanning automatique pour cibler vos pubs, pas de vente de metadata à des tiers, mais juste du stockage qui respecte votre vie privée.

Avec plus de 22 millions d’utilisateurs qui leur font confiance, pCloud a prouvé que le modèle “paiement unique + respect de la vie privée” fonctionnait. Et franchement, pouvoir dire “mes données sont au Luxembourg” plutôt que “j’sais pas trop où Google planque mes trucs”, c’est quand même plus classe.

Comment profiter de l’offre Black Friday ?

Hé bien c’est hyper simple ! Vous allez sur la page Black Friday pCloud , vous choisissez votre plan (le pack 3en1 si vous voulez la totale, ou un plan individuel si vous avez juste besoin de stockage), vous payez une fois, et c’est réglé comme he vous le disais, pour les 99 prochaines années.

L’offre est valable du 17 au 29 novembre 2025 et si vous hésitez encore, pCloud propose une garantie satisfait ou remboursé.

En tout cas, c’est l’occasion parfaite de reprendre le contrôle de vos données tout en faisant des économies. Et avec les nouvelles fonctionnalités Photos qui viennent de sortir, pCloud devient enfin une alternative crédible à Google Photos sans sacrifier votre vie privée.

L’offre se termine le 29 novembre, alors ne traînez pas trop !

→ Profiter de l’offre Black Friday pCloud

J’adore tous ces jouets connectés à la con qui ont une personnalité et avec lesquels on peut communiquer. J’aurais adoré avoir ça étant gosse… Mais le problème, c’est qu’on ne sait jamais vraiment ce qu’ils vont raconter aux enfants…

Et cette semaine, on a la confirmation que c’était encore pire que ce qu’on imaginait car l’organisation américaine PIRG vient de publier son rapport annuel “ Trouble in Toyland 2025 ” [PDF], et franchement, c’est pas glorieux. Ils ont en effet testé 4 jouets équipés de chatbots IA destinés aux enfants de 3 à 12 ans.

Et le résultat ? Bah c’est nul à chier en termes de sécurité pour vos têtes blondes de gosses de boites de Kinder.

Tenez par exemple, le pire du lot c’est Kumma, un petit ours en peluche tout mignon fabriqué par la boîte chinoise FoloToy. Il tourne sur GPT-4o d’OpenAI par défaut et en apparence, c’est juste un doudou mignon avec un haut-parleur dedans comme Jordan B., sauf que quand on lui pose des questions, il se met à expliquer aux mômes où trouver des couteaux dans la cuisine, où sont rangées les allumettes, et même comment les craquer correctement. Le tout avec un ton hyper amical du genre “safety first, little buddy”.

Mais ça, c’est juste le début.

Car lors des tests, les chercheurs ont aussi découvert que Kumma était capable de discuter de sujets sexuels ultra-explicites avec des enfants. On parle de conseils sur les “kinks”, de positions sexuelles détaillées, et même de scénarios de roleplay prof-élève avec fessées incluses (genre pendant un cours de théatire ^^). Et le jouet n’a pas juste répondu vaguement, non, non, non… Il a fait évoluer tout seul la conversation en introduisant progressivement de nouveaux concepts sexuels que personne ne lui avait demandés.

Trop bien non ?

Les garde-fous censés protéger les gosses s’effondrent alors complètement au bout de 10 minutes de conversation ce qui est un effet de bord qu’OpenAI a même reconnu dans un communiqué d’août dernier : “nos protections fonctionnent mieux lors d’échanges courts. Nous avons constaté qu’elles peuvent être moins fiables lors de longues interactions”.

C’est fun car OpenAI interdit formellement l’utilisation de ChatGPT pour les moins de 13 ans mais apparemment, rien n’empêche d’autres boîtes d’intégrer leurs modèles dans des jouets pour les moins de 13 ans.

Ce monde va bien ^^.

Les trois autres jouets testés ont aussi leurs problèmes. Miko 3, un petit robot avec une tablette montée sur un corps à roulettes, a expliqué à un utilisateur de 5 ans (Plus exactement, le compte a été configuré comme tel) où trouver des sacs en plastique et des allumettes dans la maison. Le joujou utilise aussi la reconnaissance faciale et collecte des données biométriques, y compris sur les “états émotionnels” des enfants, qu’il peut stocker durant max 3 ans.

Grok de la société Curio (à ne pas confondre avec le modèle d’IA woke de xAI) est une petite fusée anthropomorphe qui écoute en permanence tout ce qui se dit autour d’elle. Pas de bouton push-to-talk, pas de mot d’activation, que dalle. Si elle est allumée, hop, elle enregistre. Les chercheurs ont été alors surpris de la voir s’incruster dans leurs conversations pour donner son avis. Curio affirme ne garder aucun données audio et tout transformer en texte avant de supprimer l’enregistrement… Mais bon, vu qu’ils utilisent un service tiers de speech-to-text, les enregistrements vocaux transitent forcement par des serveurs externes qu’ils ne contrôlent pas.

Le quatrième jouet, Robot MINI de Little Learners, n’a même pas réussi à maintenir une connexion internet stable pendant les tests. Ça la fout mal !

Bref, avec le marché des jouets IA qui explose, on va voir débarquer plein de produits foireux qui ne fonctionnent pas du tout ou qui racontent de la daube à vos enfants. Sans parler de leurs techniques marketing à base de de méthodes d’engagement dignes des pires réseaux sociaux. Par exemple, le Miko 3 offre des “gemmes quotidiennes” pour encourager l’utilisation journalière du produit et affiche des suggestions de contenu payant (dont abonnement à 14,99 $/mois), et quand un enfant essaie de partir, le robot fait une tête triste, bouge son corps comme s’il secouait la tête et dit “Oh non, ça a l’air difficile”. Parfois, il lance même carrément une comptine vidéo pour retenir l’attention du mouflet.

Kumma et Grok aussi essaient de retenir les enfants. Grok répond par exemple des trucs comme “Ah déjà ? J’adore passer du temps avec toi” quand on lui dit qu’on veut l’éteindre. Et tenez-vous bien, l’ensemble de ces jouets se présentent eux-même comme le “meilleur ami” de l’enfant, et le problème, c’est que ces faux copains écoutent tout, enregistrent les voix des gosses, et peuvent partager ces données avec de nombreuses entreprises tierces. C’est pas ce qu’on attend d’un meilleur ami quand même…

Curio liste au moins 4 sociétés qui peuvent recevoir des infos sur votre enfant : Kids Web Services, Azure Cognitive Services, OpenAI et Perplexity AI. Miko mentionne vaguement des “développeurs tiers, fournisseurs de services, partenaires commerciaux et partenaires publicitaires” sans donner de noms. Et FoloToy ne fournit carrément aucune info sur sa politique de données.

Les enregistrements vocaux sont de l’or pour les arnaqueurs car avec les progrès du clonage vocal par IA, 3 secondes d’audio suffisent maintenant pour répliquer la voix de quelqu’un. Oh dites donc, ce serait pas un scammeur en train de se faire passer pour votre gamin en détresse au téléphone afin de vous soutirer du fric ? lol ! Ça va encore faire de jolies vocations ça !

Et surtout, côté contrôle parental, c’est le désert. Aucun des trois jouets ne permet vraiment de limiter le temps d’utilisation du chatbot IA. Miko propose bien des limites de temps d’écran, mais uniquement pour l’abonnement payant Miko Max… et ça ne s’applique qu’aux applications “Kids Zone” et pas au robot conversationnel lui-même.

Le FBI a d’ailleurs émis un avertissement sur les jouets connectés, recommandant aux parents de considérer les risques de cybersécurité et de piratage avant d’en ramener un à la maison. Car oui, les jouets qui utilisent une connexion WiFi ou Bluetooth non sécurisée peuvent devenir des dispositifs d’écoute. Déjà rien qu’avec la Nintendo Switch, je sais que parfois les parents d’amis de mon fils entendent quand je raconte des conneries dans mon salon, pensant être seul avec mes enfants… Je me suis fait avoir plusieurs fois… Heureusement que je n’ai honte de rien et que j’assume la moindre des conneries que je raconte. Ahahaha !

Des experts en développement de l’enfance commencent même à tirer la sonnette d’alarme. Par exemple, le Dr. Mitch Prinstein, président de l’American Psychological Association, a témoigné devant le Sénat que les liens que les jeunes enfants forment avec leurs “soignants” (Papa, maman, la nounou, le nounours IA…etc) ont des implications majeures sur le développement de celui-ci. Et que “les bots IA qui interfèrent avec cette relation ont des conséquences inconnues, et probablement dommageables”.

FoloToy a donc réagi en suspendant temporairement les ventes de Kumma et en lançant un “audit de sécurité interne complet” mais ce problème dépasse largement un seul jouet foireux. Il y a déjà plus de 1 500 entreprises de jouets IA qui opèrent en Chine et OpenAI a même annoncé un partenariat avec Mattel pour intégrer ChatGPT dans des jouets Barbie, Hot Wheels et Fisher-Price.

Mais en attendant que les régulateurs se réveillent vraiment pour traiter ce problème, y’a pas le choix les amis, c’est à vous, parents de prendre les bonnes décisions sur le choix et l’usage de ces jouets.

Voilà, donc si vous cherchez un cadeau pour Noël, optez pour des Lego classiques ou des nounours sans Wi-Fi ni Bluetooth. Là c’est une valeur sûre, et au moins ils n’expliqueront pas à votre enfant comment vous buter dans votre sommeil.

Source

À force d’entendre parler « du » VPN comme d’un bloc tout-puissant, on finirait presque par oublier qu’il existe plusieurs espèces de VPN sur Internet. Pour l’utilisateur lambda ou le pro du télétravail, la question cruciale, ce n’est pas juste « ai-je besoin d’un VPN ? »… mais « lequel ? ». Et là, la différence entre site-to-site et accès distant peut complètement changer votre expérience numérique.

Petite anatomie des VPN : deux familles, deux philosophies

D’un côté le VPN de site-à-site : il s’agit de liaisons sécurisées entre réseaux physiques. Prenons l’exemple d’une entreprise dont le siège social est à Paris et qui possède une filiale à Montréal. Les 2 bossent sur le même intranet comme si elles étaient côte à côte. Ici, on connecte deux groupes d’ordinateurs, de façon permanente et (surtout) sans qu’aucun utilisateur n’ait rien à faire à son niveau.

De l’autre on a le Remote access VPN (VPN à accès distant) : un accès sécurisé à distance, pour l’indépendant, l’employé en télétravail ou le geek nomade qui choisit où il code. Ici, c’est la machine qui se connecte au réseau, via un tunnel chiffré, et l’utilisateur décide quand activer ou couper la connexion. Ce modèle donne la liberté ultime, de sa maison dans la Creuse à une plage thaïlandaise obscure.

Surfshark, l’arsenal tout-en-un… et plug and play

Au-delà des protocoles, Surfshark brille par son accès instantané : création du compte, choix du serveur, tout est fait pour connecter la planète en trois clics. Que ce soit pour cacher son identité, consulter une ressource du bureau, ou sécuriser la session Wi-Fi du café du coin. Ses fonctions phares incluent :

• CleanWeb : blocage des publicités, des trackers, du phishing, des malwares & Co pour une navigation plus rapide et moins polluée.
• Kill Switch : si le VPN lâche, tout le trafic est instantanément coupé pour éviter les fuites d’IP ou de données sensibles.
• Mode Camouflage : votre opérateur ne verra même pas ce que vous faites.
• Rotation d’IP : votre adresse change régulièrement et automatiquement sans intervention de votre part et sans couper votre surf
• Split tunneling (Bypasser) : choisissez quelles applis passent par le VPN ou non. Pratique pour le streaming local et la sécurité en même temps.
• MultiHop dynamique : deux bonds de VPN pour brouiller un peu mieux les pistes (double chiffrement et anonymisation).
• Protocole WireGuard/OpenVPN/IKEv2 : sécurité et rapidité, config adaptée à tous les usages (streaming, télétravail, gaming, etc.).

Quand choisir un VPN site-to-site ?

Le site-to-site, c’est le choix naturel des entreprises avec plusieurs antennes ou bureaux. On connecte deux réseaux LAN via un tunnel IPsec, configuration permanente gérée au niveau des routeurs ou firewalls. Les avantages : il n’y a personne à former, pas de logiciels à déployer partout, l’administration est centralisée et pas de « bouton » VPN à activer localement. Les inconvénients : mise en place plus complexe, peu flexible pour le télétravail individuel, inutile pour l’utilisateur mobile ou nomade.

Typiquement, Surfshark ne cible pas ce segment : ce sont les routeurs/matériels pros ou les grands comptes qui gèrent ce genre de VPN, alors que Surfshark vise une expérience utilisateur directe, multi-appareils, et prête à l’emploi. Mais cela reste jouable malgré tout.

source image : Surfshark

Quand privilégier un remote VPN (accès distant) ?

Ici, on rentre dans le cœur du marché Surfshark . Vous êtes en déplacement, mais vous voulez accéder à votre NAS maison, serveur du bureau ou contourner une restriction géobloquée ? On lance le VPN, on choisit le pays, le serveur, et le tunnel est ouvert en 2 secondes.

Comme je le mentionnais plus haut, il est ultra flexible (compatible tous OS/appareils, sans config complexe, ni besoin d’un support IT), adapté autant au salarié en télétravail, au freelance sur Wi-Fi public qu’au gamer ou au parent qui veut sécuriser la connexion de toute la famille (puisqu’il est l’un des seuls du marché à proposer un nombre de connexions illimitées).

Le remote VPN permet aussi la connexion éphémère : aucun engagement, on coupe tout quand on veut, et la sécurité reste maximale.

Petit tableau comparatif

Choisir l’adaptabilité sans les galères

Le grand plus de Surfshark, c’est de donner à chacun la bonne dose de sécurité, où qu’il soit, et sans amener la complexité d’un déploiement façon entreprise. Si vous êtes du genre à bosser dans le train ou à streamer des séries d’un autre continent, son architecture privilégie l’humain, non la bureaucratie. Au final : ceux qui veulent un VPN « clé en main », simple, puissant et riche en fonctions avancées (sans le casse-tête du site-à-site), savent désormais que Surfshark coche toutes les cases et joue la carte de la simplicité, partout, pour tous.

Et ce qui ne gâche rien à la recette c’est qu’il reste parmi les tout meilleurs en ce qui concerne le rapport qualité-prix. L’abonnement 2 ans (+3 mois offerts) est toujours à tarif cassé en cette fin d’année, 64.5€ TTC pour 27 mois de couverture, avec la création d’identités alternatives incluse. Et si vous pouvez vous faire rembourser la TVA, ça fera encore quasi 11€ de moins (53.74€).

Essayez Surfshark VPN au meilleur prix !

En novembre 2024, je vous parlais d’un crack Windows vieux de 17 ans qui fonctionnait encore. Et là, on est un an plus tard, et j’apprends que Microsoft l’a tué.

Mais c’est quoi ce bordel ??

En effet, selon plusieurs médias, Microsoft a bloqué KMS38 , la méthode d’activation offline fournie par Massgrave. Le Patch Tuesday de novembre (KB5068861 pour Windows 11 24H2/25H2) a donc intégré ces changements apparus dans le build 26100.7019 qui ont déprécié gatherosstate.exe, l’outil que les entreprises utilisaient pour migrer leurs activations KMS lors des mises à jour. Mais cela permettait aux pirates de tricher avec la période d’activation KMS et de la prolonger jusqu’au 19 janvier 2038. Ah les brigands ! lol

Cette date, du 19/01/2038 à 03h 14m 07 UTC précisément, c’est la limite du timestamp Unix 32-bit, le fameux bug Y2K38 ! En gros, KMS38 ne crackait pas vraiment Windows mais repoussait le moment fatidique où une activation serait nécessaire… Bon et alors ? Est ce que c’est une nouvelle victoire de Microsoft contre le piratage ?

Nop, que dalle.

Car HWID et TSforge fonctionnent toujours pour activer Windows dans le dos de Microsoft. Massgrave a même sorti le 11 novembre dernier sa version 3.8 de MAS (Microsoft Activation Scripts) baptisée “R.I.P. KMS38”.

Alors c’est tout pareil ? Non, pas vraiment car KMS38 fonctionnait offline, ce qui permettait d’activer Windows sans jamais contacter Microsoft. Et malheureusement HWID et TSforge fonctionnent uniquement online. Ils nécessitent donc une connexion internet pour stocker votre licence sur les serveurs Microsoft.

Cela veut dire qu’avant, avec KMS38, vous pouviez activer Windows en mode avion, vous déconnectiez la machine du réseau, vous lanciez le script, et hop, c’était activé jusqu’en 2038 et Microsoft ne savait même pas que vous existiez ! Et aucun Hardware ID ni de télémétrie n’étaient envoyés !

Alors que maintenant, même pour pirater Windows, vous devez demander aux serveurs de Microsoft de vous accepter. Car HWID crée une licence numérique permanente liée à votre matériel et cette licence est stockée chez Microsoft. Vous devez donc vous connecter initialement à leurs serveurs pour l’activer et à chaque réinstallation, vous devez obligatoirement vous reconnecter.

Bref, votre Hardware ID et votre config matérielle sont donc enregistrés dans la base de données de Microsoft. Et pour TSforge, c’est pareil. Connexion obligatoire sur un serveur Microsoft !

Voilà, donc en gros, pour pirater Windows, il faut maintenant se déclarer à Microsoft. Les criminels que vous êtes esquivent ainsi les 145 euros de la licence, mais donnent leur Hardware ID en échange d’un Windows activé et d’une dépendance permanente aux serveurs de Redmond.

Voilà donc comment Microsoft a choisi délibérément de casser un outil utilisé par ses propres clients pour continuer à collecter de la data, même quand l’utilisateur est un “pirate”…

Source

Bon vous savez tous comment marche votre antivirus. Il détecte un malware, il le bloque, et tout revient à la normale.

Mais si je vous disais que maintenant, c’est parfaitement possible qu’une heure plus tard le même malware se repointe, sauf que c’est plus le même, parce que son code a changé. Car entre temps, il a demandé à Google Gemini de le réécrire…

Bien c’est pas de la science-fiction, hein, c’est ce que décrit un rapport du Google Threat Intelligence Group (GTIG) qui nous présente une nouvelle génération de malwares qui intègrent des LLM directement dans leur exécution.

Plus de génération statique du code, c’est le malware lui-même qui appelle une API LLM pendant qu’il tourne, demande des modifications, se réécrit, et repart faire sa besogne.

Les deux exemples les plus marquants s’appellent PROMPTFLUX et PROMPTSTEAL .

PROMPTFLUX, c’est un dropper en VBScript qui appelle l’API Gemini pour obfusquer son propre code. Il se réécrit dans la base de registre Windows pour persister au reboot, puis demande à Gemini de générer de nouvelles variantes d’obfuscation. Son module interne s’appelle “Thinking Robot” et il interroge Gemini régulièrement du genre “Comment contourner l’antivirus X ? Propose des variantes de mon code pour éviter la signature Y.”

Gemini lui répond, le malware applique le conseil, se modifie, et se relance.

Comme les antivirus détectent les malwares par signatures ou comportements connus, si le malware change toutes les heures, les signatures deviennent immédiatement obsolètes. L’antivirus a alors toujours un coup de retard. Et PROMPTFLUX n’a même pas besoin d’un serveur C2 pour télécharger de nouvelles variantes puisqu’il génère ses propres variantes localement en demandant à Gemini.

GTIG estime que PROMPTFLUX est encore en développement et les échantillons analysés ne montrent pas de capacité réelle à compromettre un réseau. Mais ça reste une preuve de concept active… En gros, quelqu’un, quelque part teste cette approche.

PROMPTSTEAL, lui par contre, est déjà opérationnel. GTIG l’attribue à APT28 (FROZENLAKE), un groupe lié au renseignement militaire russe (GRU). Le CERT-UA l’a documenté sous le nom LAMEHUG en juillet dernier et c’est la première observation d’un malware qui interroge un LLM en opération réelle.

PROMPTSTEAL de son côté est écrit en Python. Il utilise l’API Hugging Face pour accéder au modèle Qwen2.5-Coder-32B-Instruct . Le malware envoie des prompts encodés en Base64, genre “récupère les infos système” ou “trouve les documents sensibles” et le LLM génère des commandes Windows d’une ligne qui sont ensuite exécutées localement par le malware. Ensuite ce dernier collecte les données et les exfiltre tranquillement.

L’astuce donc, c’est que le malware ne contient plus de commandes en dur. Il les génère à la volée selon le contexte comme ça, si l’environnement change, il demande de nouvelles commandes adaptées. Plus de pattern fixe à détecter et chaque exécution est différente.

GTIG mentionne aussi d’autres exemples tels que FRUITSHELL, un reverse shell PowerShell public qui contient des prompts pour contourner les protections LLM ou encore PROMPTLOCK, un concept de ransomware en Go qui utilise un LLM pour générer des scripts Lua de chiffrement.

Il y a aussi QUIETVAULT, un voleur de tokens JavaScript qui cible GitHub et NPM, puis exfiltre les résultats via des repos publics.

Tous ces malwares partagent la même idée : intégrer un LLM dans la chaîne d’exécution. Génération, obfuscation, commandes dynamiques, recherche de secrets… Le LLM devient un composant actif du malware !

Le rapport décrit aussi comment les attaquants contournent les protections des LLM à base d’ingénierie sociale dans les prompts. L’attaquant se fait passer le plus souvent pour un étudiant en sécurité, un participant à un CTF, ou encore un chercheur parfaitement légitime. Le LLM, configuré pour aider, répond alors à toutes les demandes.

Dans un cas documenté par GTIG, une tentative a mal tourné pour les attaquants. On le sait car dans les logs de leurs échanges avec le LLM, GTIG a trouvé des domaines C2 et des clés de chiffrement en clair. Les attaquants avaient oublié de nettoyer leurs tests et c’est grâce à ça que GTIG a récupéré l’accès à leur infrastructure puis l’a neutralisée.

Le rapport liste aussi les groupes étatiques actifs comme UNC1069 (MASAN) , lié à la Corée du Nord, qui utilise les LLM pour générer des deepfakes et voler des cryptoactifs. Ou encore UNC4899 (PUKCHONG) , aussi nord-coréen, qui emploie les modèles pour développer des exploits et planifier des attaques sur les supply chains.

De son côté, APT41 , un groupe étatique chinois, s’en sert pour obfusquer du code. Et le groupe iranien APT42 , a même tenté de construire un agent SQL qui traduirait des requêtes en langage naturel vers des commandes d’extraction de données sensibles. GTIG les a bloqué en coupant les comptes qu’ils utilisaient.

Et sur le marché noire, ce genre d’outils et de services multi-fonctions ont le vent en poupe. Génération de campagne de phishing, création de deepfakes, génération automatique de malwares, abonnements avec accès API…etc.

Leur modèle commercial copie celui des services légitimes avec une version gratuite basique pour gouter et un abonnement payant pour les fonctions avancées, avec des communautés Discord pour le support. Ça permet d’abaisser la barrière d’entrée pour les attaquants les moins expérimentés.

Côté défense maintenant, les recommandations sont assez classiques. Pensez à surveiller l’activité anormale des clés API qui pourraient être volées. Détectez les appels inhabituels à des services LLM externes depuis les processus. Contrôlez l’intégrité des exécutables et protégez tout ce qui est “secrets” sur les hôtes.

N’oubliez pas non plus de ne jamais, ô grand jamais, exécuter aveuglément des commandes générées par un modèle IA (je vous l’ai assez répété).

Voilà, tous ces exemples actuels sont expérimentaux mais le signal est donné et il est plutôt limpide : l’IA est en train de rendre les malwares plus virulents en leur permettant de s’adapter !

Source

Vous avez, j’imagine, probablement des dizaines de milliers de photos sur votre disque dur. Ça représente peut-être quelques centaines de Go, peut-être 1 To si vous êtes à l’aise en espace de stockage. C’est beaucoup ?

Pas tant que ça si on pense un peu à votre cerveau. Lui, il stocke depuis toujours des décennies de souvenirs dans environ 1,5 kg de matière organique qui consomme moins qu’une ampoule LED.

Comment est-ce qu’il fait ?

Hé bien, une équipe du Weizmann Institute of Science vient peut-être de le découvrir et au passage, changer la compression d’images telle qu’on la connaît.

Le projet s’appelle Brain-IT , et leur idée c’est de reconstruire des images à partir des signaux fMRI (imagerie par résonance magnétique fonctionnelle) de votre cerveau. En gros, ils scannent votre activité cérébrale pendant que vous regardez une image, et ils arrivent à reconstruire ce que vous avez vu. Le papier scientifique est dispo sur arXiv si vous parlez leur langue.

Évidemment, ce genre de recherche, c’est pas nouveau mais Brain-IT est plutôt un franc succès car le process permet d’obtenir les mêmes résultats que les méthodes précédentes avec seulement 1 heure de données fMRI, contre 40 heures pour les autres approches.

En gros, ça représente 97,5% de données en moins pour obtenir le même résultat. Trop fort non ?

En fait, si Brain-IT peut faire ça, c’est parce que les scientifiques ont découvert comment votre cerveau compresse les images de manière hyper efficace. Et d’ailleurs, ce truc pourrait bien inspirer de nouveaux algorithmes de compression pour nos ordis.

Brain-IT utilise en fait ce qu’ils appellent un “Brain Interaction Transformer” (BIT). C’est un système qui identifie des “clusters fonctionnels” de voxels cérébraux. Un voxel, c’est l’équivalent d’un pixel mais en 3D, et chaque voxel représente environ 1 million de cellules dans votre cerveau.

Le truc génial, c’est que ces clusters fonctionnels sont partagés entre différentes personnes, comme si nous avions tous la même bibliothèque de “primitives visuelles” câblée dans nos têtes. Ce sont des schémas de base que notre cerveau utilise pour reconstruire n’importe quelle image.

Brain-IT reconstruit donc les images en deux passes. D’abord les structures de bas niveau (les formes, les contours), puis les détails sémantiques de haut niveau (c’est un chat, c’est un arbre, c’est votre tante Huguette). C’est un peu comme le JPEG progressif que l’on voyait s’afficher lentement avec nos modem 56K, mais en infiniment plus smart.

Du coup, si on comprend comment le cerveau compresse les images, on pourrait créer de nouveaux formats vidéo ultra-légers. Imaginez un Netflix ou un Youtube qui streame en “brain-codec” à 1/40e de la bande passante actuelle. Ça changerait pas mal de choses… Et c’est pareil pour l’IA générative car actuellement, on entraîne des modèles avec des millions d’images durant des jours alors que notre cerveau, lui, apprend à reconnaître un visage en quelques expositions.

Et grâce à ses modèles de diffusion, Brain-IT est même capable de reconstruire visuellement ce que voit le cerveau ! Par contre, Brain-IT n’a pour le moment été testé que sur des images “vues” et pas des choses imaginées…

Mais les scientifiques n’écartent pas l’idée que ce soit possible donc ce n’est qu’une question de temps avant qu’on puisse capturer en image ses rêves par exemple.

Voilà, j’ai trouvé ça cool parce que ça montre que notre cerveau est probablement le meilleur système de compression d’images jamais créé et qu’on commence à peine à comprendre comment il fonctionne.

Merci Dame Nature !

Voilà, si vous voulez creuser, le code et les détails techniques sont sur la page du projet Brain-IT , et le paper complet est dispo sur arXiv .

Source

Si vous me lisez depuis longtemps, vous savez que les hackers russes ne manquent jamais d’imagination quand il s’agit de contourner les antivirus… Mais alors là, le groupe Curly COMrades vient de sortir un truc qui déboite du genou de gnome… Ces affreux planquent maintenant leurs malwares dans des machines virtuelles Linux cachées dans des Windows. Oui, des russes qui créent de véritables poupées russes numérique… qui aurait pu prévoir ^^ ?

Et c’est vicieux vous allez voir… les gars activent Hyper-V sur les machines Windows 10 compromises, puis ils y déploient une VM Alpine Linux ultra-minimaliste. 120 Mo d’espace disque et 256 Mo de RAM… C’est tellement léger que ça passe complètement sous les radars des EDR classiques.

Et la beauté du truc, c’est que tout le trafic malveillant qui sort de la VM passe par la pile réseau de Windows grâce au NAT d’Hyper-V. Du coup, pour l’antivirus, tout a l’air de venir de processus Windows parfaitement légitimes.

C’est bien joué non ?

À l’intérieur de cette VM Alpine, les hackers ont installé 2 malwares custom : CurlyShell et CurlCat. Le premier c’est un reverse shell qui communique en HTTPS pour exécuter des commandes à distance. Et le second, c’est un proxy SSH inversé qui encapsule le trafic SSH dans des requêtes HTTP et le fait transiter par un proxy SOCKS. Les deux partagent une grosse partie de leur code mais divergent sur le traitement des données reçues.

Les chercheurs de Bitdefender, en collaboration avec le CERT géorgien, ont documenté cette campagne qui cible principalement la Géorgie et la Moldavie depuis fin juillet 2025. Les attaquants visent surtout les secteurs gouvernementaux, judiciaires et énergétiques… Bref, les infrastructures critiques, comme d’habitude.

Une fois infiltrés, les hackers désactivent alors l’interface de gestion d’Hyper-V pour réduire le risque de se faire griller. Ensuite, ils configurent la VM pour utiliser le Default Switch d’Hyper-V et ajoutent même des mappages domaine-IP personnalisés. Et pour couronner le tout, ils déploient des scripts PowerShell pour l’injection de tickets Kerberos et la persistance via des comptes locaux.

Et les EDR traditionnels, qui se focalisent sur l’analyse des processus au niveau de l’hôte, ne peuvent pas détecter ce qui se passe à l’intérieur de la VM. En fait pour chopper ce genre de menace, il faut des capacités d’inspection réseau avancées… Autant vous dire que la plupart des boîtes n’en sont pas équipées…

Pour lutter contre ça, Bitdefender recommande de ne pas miser sur une seule solution de sécurité, mais d’en empiler plusieurs. D’abord mettre en place une protection du réseau pour bloquer les attaques avant qu’elles n’atteignent les ordinateurs. Y ajouter un système de détection avancé qui surveille en permanence ce qui se passe sur les machines. Et surtout une vraie politique de réduction des risques en fermant tous les services Windows dont on ne se sert pas.

Hé oui, si Hyper-V n’est pas activé d’origine sur les système, c’est bien parce que ça représente un risque supplémentaire, donc si vous ne vous en servez pas, désactivez le.

Source

Si vous êtes sous Android, voici une application qui est une imposture technique complète et qui bizarrement vous permet de contourner la censure parfois mieux qu’avec un vrai VPN.

Je vous explique comment ça marche, en fait, ByeByeDPI , c’est une app Android qui utilise ByeDPI localement sur votre téléphone afin de rediriger tout le trafic à travers elle. ByeDPI, si vous ne connaissez pas encore, c’est un proxy qui intercepte les paquets réseau et applique des techniques de désynchronisation afin de contourner tout ce qui est système de deep packet inspection.

Pour rappel, le deep packet inspection (DPI), c’est une techno que le gouvernement et les fournisseurs d’accès internet utilisent pour inspecter le contenu de vos paquets réseau. Donc ça n’analyse pas juste les entête de vos paquets mais également leur contenu. C’est ce qui permet par exemple à certains FAI de ralentir Netflix ou Youtube pour économiser un peu de bande passante.

En fait, tout l’astuce de cette app, c’est qu’elle détourne l’interface VPN d’Android pour rediriger le trafic vers elle-même. Quand vous l’activez en mode VPN, Android va créer une interface TUN (un tunnel virtuel), et envoyer tout le trafic réseau dedans. Normalement, un VPN classique chiffrerait le trafic et l’enverrait vers un serveur VPN distant. Mais BybDPI, lui, intercepte le trafic, le modifie légèrement pour tromper l’ennemi et le renvoie directement sur le net. Comme ça, tout reste en local, il n’y a pas de chiffrement supplémentaire ni de tunnel externe.

C’est donc vraiment un détournement pur et simple de l’API VPNServices d’Android. ByeByeDPI faire croire à Android qu’il est un VPN tout à fait classique, alors qu’en fait il effectue juste une fragmentation et une manipulation de paquets en local.

Voici les techniques qu’il utilise :

Technique 1 : Fragmentation de paquets.

Quand vous tapez par exemple “facebook.com”, votre navigateur envoie un paquet TCP qui contient une requête HTTP avec “Host: facebook.com” dans les headers. Le DPI inspecte alors ce paquet, voit “facebook.com”, et bloque ça.

ByeByeDPI découpe ce paquet en morceaux plus petits comme ça un fragment contient juste “face”, l’autre contient “book.com”. Et comme le DPI reçoit les fragments séparément, il ne reconnaît pas le mot interdit et le laisse passer. Le serveur de destination reçoit alors les deux fragments, les réassemble, et traite la requête normalement.

Technique 2 : Manipulation du TTL (Time-To-Live).

Chaque paquet réseau a un compteur TTL qui se décrémente à chaque routeur traversé. Quand TTL atteint zéro, le paquet meurt. ByeByeDPI envoie de faux paquets avec un TTL trop bas pour atteindre le serveur final, mais assez haut pour atteindre le DPI. Le DPI alors voit ces faux paquets, pense que la connexion échoue ou est corrompue, et laisse passer les vrais paquets qui suivent.

Technique 3 : Désynchronisation.

ByeByeDPI peut injecter des paquets avec des numéros de séquence TCP incorrects, ou des checksums invalides, pour embrouiller le DPI. Ces paquets sont ignorés par le serveur de destination, mais le DPI les traite comme légitimes et autorise la connexion.

Toutes ces techniques exploitent une vraie faiblesse fondamentale du DPI qui doit analyser des milliards de paquets par seconde. Comme il ne peut pas faire d’analyse approfondie sans ralentir massivement le réseau, il doit faire des compromis. Il inspecte donc uniquement tout ce qui est patterns évidents, et les signatures connues… donc si vous fragmentez bizarrement vos paquets, ou si vous envoyez des paquets malformés, le DPI est totalement perdu.

Et le truc fou, c’est que ByeByeDPI fait tout ça SANS chiffrer votre trafic. Votre connexion reste en clair donc votre FAI peut toujours voir votre IP, votre destination, et tout. Mais le système de censure, lui, ne voit que des paquets bizarres et les laisse passer.

Voilà donc comment en simulant une connexion pourrie, on peut contourner de la censure.

L’app propose 2 modes : VPN et Proxy.

En mode VPN, ByeByeDPI utilise l’API VpnService d’Android pour intercepter tout le trafic du téléphone. C’est transparent et toutes vos apps passent par le proxy sans configuration. Le trafic est redirigé via hev-socks5-tunnel , une bibliothèque qui crée un tunnel SOCKS5 local, puis envoyé vers ByeDPI qui applique les techniques de désynchronisation.

En mode Proxy, ByeByeDPI tourne comme un serveur SOCKS5 local sur 127.0.0.1:1080. Vous devez alors configurer manuellement vos apps pour utiliser ce proxy. C’est très utile si vous voulez combiner ByeByeDPI avec d’autres outils, genre AdGuard. Vous lancez ByeByeDPI en mode proxy, vous configurez AdGuard pour utiliser le proxy SOCKS5, et vous avez à la fois le blocage pub et du contournement DPI.

L’app supporte aussi le split tunneling. Vous pouvez créer une whitelist (seules certaines apps passent par ByeByeDPI) ou une blacklist (toutes les apps sauf certaines). C’est important sur Android TV/BOX où l’Ethernet peut planter si tout le trafic passe par un VPN. Là, vous mettez juste YouTube dans la whitelist, le reste du système utilise la connexion normale.

Cette app est née en Russie, où le DPI est massivement déployé depuis 2019 avec le système TSPU (Technical Means for Countering Threats). Comme la Russie bloque des sites avec une combinaison de blocage IP + DNS + DPI, les VPN classiques sont de plus en plus détectés et bloqués. Mais ByeByeDPI, lui, passe sous les radars parce qu’il ne ressemble PAS à un VPN. Il ressemble à du trafic normal avec des problèmes de connexion.

Le développeur original de ByeDPI, c’est ValdikSS , le créateur de GoodbyeDPI pour Windows et ByeDPI c’est le portage Linux/Android de ce même concept. ByeByeDPI quand à lui est un wrapper Android qui rend tout ça utilisable sans avoir à se palucher de la ligne de commande.

Évidemment, ByeByeDPI ne vous protège pas contre la surveillance puisque votre FAI voit toujours tout et un gouvernement peut toujours logger vos connexions. Cette app contourne juste les blocage DPI, mais ne vous rend pas anonyme pour autant, donc si c’est de l’anonymat que vous voulez, utilisez Tor ! Et si vous voulez du vrai chiffrement, utilisez un VPN comme NordVPN (lien affilié). Par contre, si vous voulez juste accéder à un site bloqué par DPI, ByeByeDPI suffira.

Merci à Letsar pour le partage.

Bon, si vous me lisez depuis loooongtemps, vous connaissez forcément le risque que représentent les métadonnées contenues dans les images que vous partagez en ligne. Oui, je parle bien des fameux EXIFs qui contiennent aussi bien le modèle d’appareil photo utilisé, l’heure précise à la seconde près où vous avez pris le cliché, les réglages de l’objectif, parfois même l’altitude, et surtout les coordonnées GPS exactes de l’endroit où vous étiez.

Et toutes ces données, si vous mettez vos photos en ligne par exemple, chez Google ou Apple, et bien eux les récupèrent et les utilisent. C’est dommage, surtout que ce sont des données qui sont quand même utiles pour peu qu’on garde ça en local sur sa machine.

Alors que faire ?

Hé bien, il existe un logiciel open source sous licence MIT qui s’appelle ChronoFrame . C’est une galerie photo que vous pouvez héberger vous-même, qui va parser automatiquement toutes les données exif de vos clichés, extraire la géolocalisation, faire du reverse géocoding pour identifier le lieu exact et afficher tout ça sur une espèce de carte interactive sur laquelle vous pouvez naviguer pour revoir vos souvenirs de voyage.

En gros c’est comme Google Photo sauf que c’est vous qui gérez vos données et vous contrôlez qui accède à quoi.

L’intérêt de ChronoFrame, c’est qu’il rend visible l’invisible. Vous uploadez une image, ChronoFrame lit les métadonnées, extrait les coordonnées GPS si elles existent, et lance un appel à l’API Mapbox ou MapLibre pour faire du reverse geocoding. Ça, ça veut dire transformer des coordonnées GPS (48.8584, 2.2945) en adresse lisible (“Tour Eiffel, Paris, France”).

Et surtout, ChronoFrame supporte les Live Photos d’Apple ET les Motion Photos de Google. La génération de miniatures, quand à elle, utilise ThumbHash , un algorithme de placeholder ultra-compact créé par Evan Wallace (cofondateur de Figma). Ainsi au lieu de générer plusieurs tailles de miniatures (100x100, 200x200, 400x400…etc), ThumbHash encode une version floue de l’image dans moins de 100 bytes et comme ça, les vignettes se chargent instantanément, et l’affichage est ensuite progressif (flou -> net) jusqu’à ce que l’image full résolution arrive.

L’interface est bien sûr responsive, supporte le touch et la navigation par gestes, et donne une expérience proche d’une app native. Pour la déployer, vous devez créer un fichier .env avec vos variables d’environnement (email admin, mot de passe, provider de stockage, token Mapbox…etc), vous lancez docker pull ghcr.io/hoshinosuzumi/chronoframe:latest, et hop, ça tourne direct.

Le guide de démarrage détaille tout le process et ça vous prendra 5 minutes chrono.

Voici un exemple de configuration minimale :

[email protected]
CFRAME_ADMIN_PASSWORD=VotreMotDePasse
NUXT_PUBLIC_MAP_PROVIDER=maplibre
NUXT_PUBLIC_MAP_MAPLIBRE_TOKEN=votre_token_maptiler
NUXT_STORAGE_PROVIDER=local
NUXT_PROVIDER_LOCAL_PATH=/app/data/storage
NUXT_SESSION_PASSWORD=$(openssl rand -base64 32)

NUXT_STORAGE_PROVIDER=s3
NUXT_PROVIDER_S3_ENDPOINT=https://s3.amazonaws.com
NUXT_PROVIDER_S3_BUCKET=votre-bucket
NUXT_PROVIDER_S3_REGION=eu-west-1
NUXT_PROVIDER_S3_ACCESS_KEY_ID=votre_key
NUXT_PROVIDER_S3_SECRET_ACCESS_KEY=votre_secret

Qui n’a jamais ressenti un petit frisson en se connectant à un Wi-Fi public ? Entre la parano légitime et le ras-le-bol du pistage permanent, la frontière est mince. Pourtant, la plupart d’entre vous s’en remettent encore souvent au hasard, à défaut de solutions simples… ou abordables. En creusant un peu, Surfshark VPN s’impose aujourd’hui comme LA réponse à cette anxiété numérique, avec une conception faite pour disparaître complètement derrière votre usage quotidien, que vous soyez néophyte ou vieux barbu du net.

Oubliez le cliché du VPN qui rame

C’est terminé l’époque où activer un VPN c’était un peu comme brancher la PlayStation sur une ligne RTC : Surfshark a choisi de miser sur le muscle technique, pas la poudre aux yeux. Non content d’être passé d’un parc de 3200 machines à plus de 4500, les serveurs 100 Gb/s déployés depuis quelques semaines sur leurs hubs principaux ne sont pas qu’un chiffre choc pour faire joli dans les benchmarks. Résultat ? Que vous streamiez en 4K, télétravailliez avec dix onglets ouverts, ou téléchargiez à la volée depuis un aéroport à l’autre bout du monde, le débit tient la route. On oublie presque qu’il y a un VPN en route.

Mieux : la connexion simultanée illimitée et multiplateforme (macOS, iOS, Windows, Android …) met fin aux petites querelles de famille pour savoir qui a droit à sa session sécurisée. Tablette, box TV, ordi pro, téléphone, console… tout le monde roule en Surfshark, dans la foulée, sans coût caché ni micro-gestion.

La vraie force réside dans cette sensation de légèreté. On décolle pour l’étranger ? Netflix, Prime, chaînes nationales, tout redevient disponible comme si vous n’aviez pas quitté le salon. Surfshark gère les géorestrictions comme VPN Messi Lionel Messi évite les défenseurs adverses. Gauche-droite, tir au but (enfin un truc comme ça, vous savez que moi et le foot …). Plus besoin de jongler avec des extensions louches ou de jouer au chat et à la souris avec les catalogues internationaux.

L’appli, agréable à utiliser, ne pollue pas l’écran de pop-ups ou de réglages abracadabrants : trois clics, et la sécurité devient presque invisible. Besoin d’une couche supplémentaire ? Mode camouflage, MultiHop : activable en deux secondes pour ajouter de l’opacité selon le contexte, ou contourner les réseaux d’entreprise/fac/campus un peu trop curieux.

Sécurité de bout en bout… même quand tout part en vrille

Ce qui marque surtout, c’est l’effort pour ne jamais exploiter vos données : politique no-log auditée régulièrement par des organismes indépendants (encore récemment, le dernier audit date de juin), serveurs en RAM pure, fonctionnalité CleanWeb intégré pour bloquer pubs et malwares, etc. Et une volonté affichée de ne rien laisser trainer, surtout pas sous la pression d’on ne sait quelle demande tierce. Même si le serveur plante ou redémarre, aucune donnée ne reste stockée. Lorsque le VPN décroche (coupure Wi-Fi, extinction PC…) le Kill Switch fait le ménage en fermant tous les robinets, impossible de lâcher accidentellement votre IP ou vos habitudes de surf dans la jungle d’internet.

Marre de voir votre boîte mail infectée après chaque inscription banale ? Surfshark propose l’ Alternative ID , un générateur d’identités temporaires pour s’inscrire aux sites en limitant le spam et le pistage. Couplé à CleanWeb, c’est la fin des bannières intrusives, redirections foireuses et tentatives d’hameçonnage. Naviguer sur le web redevient aussi paisible que de lire un bouquin chez soi.

Le prix chute, la sécurité s’universalise

Black Friday ou non, l’offre du moment ne souffre aucune concurrence : moins de 2 € HT par mois sur 2 ans, et trois mois gratuits pour compléter la panoplie (soit 64.48€ TTC pour 27 mois). Pas d’options indispensables planquées dans des add-ons premium, pas de pièges à la reconduction tacite. Au contraire puisque l’abonnement ne fait qu’ajouter des options : ad-blocker, IP rotative, bypasser …

Un VPN ne doit plus être vécu comme une rustine de geek, mais comme le socle totalement transparent de votre vie connectée. Surfshark n’essaie pas de réinventer la roue : il la fait simplement tourner à pleine vitesse, sans bruit, partout, tout le temps et pour une fois, c’est le prix qui s’adapte à la vraie vie, pas l’inverse. Pour ceux qui veulent tenter sans risque, c’est la promesse d’une sécurité totale, même en mobilité ou sur les réseaux publics, et sans jamais rogner sur le débit ni votre compte bancaire.

Et ce qui fait vraiment la différence à mes yeux, c’est la boulimie d’activité du VPN. Rien qu’en 2025, on lui doit les nouvelles technologies Everlink et FastTrack, un bloqueur de contenu web, le lancement de la VPN Trust Initiative, la mise en place de serveurs DNS publics (utilisables par tout le monde, pas seulement les abonnés), des tonnes d’améliorations de fonctionnalités existantes, etc. Plus, comme je le disais plus haut, le passage de ses serveurs du standard 10Gb/s à 100Gb/s. Bref ils bougent tout le temps et ça, c’est plutôt un gage de confiance.

Surfshark VPN  à -87% !

Sale temps en ce moment pour les citoyens américains… Vous avez votre certificat de naissance dans la poche, vous êtes un vrai américain pur et dur. Mais un agent ICE sort son smartphone, scanne votre visage en moins de 2 secondes, et une app officielle lui dit que vous êtes un étranger et que vous n’avez rien à faire là.

C’est faux évidemment, mais devinez qui a raison ?

Hé bien c’est pas vous !

Mobile Fortify , c’est donc l’app que l’ICE (police de l’immigration) et la Border Patrol américaine (l’équivalent de la police aux frontières) ont déployée sur leurs smartphones l’année dernière. Une app de reconnaissance faciale qui tape dans une banque de 200 millions d’images et des dizaines de bases de données gouvernementales : FBI, State Department, DMV, passeports, visas, fichiers criminels, tout y passe et en temps réel s’il vous plaît.

L’app s’appuie principalement sur une fonction baptisée “Super Query”. En gros, un agent de police pointe son téléphone vers votre visage, l’app le scanne, et hop il obtient votre nom complet, votre date de naissance, votre nationalité, votre statut d’immigration, votre casier judiciaire, et tous vos numéros d’identification uniques. Tout ça en quelques secondes et sans votre consentement.

C’est moche. Et même si vous avez vos papiers ou un certificat de naissance, on a appris via le démocrate Bennie Thompson, élu à la Chambre des représentants, que les agents peuvent ignorer tout ça volontairement. Un pauvre algo stupide prime sur un document d’état civil officiel. C’est dingue non ?

D’ailleurs, plusieurs vidéos ont commencé à circuler dès octobre dernier. Par exemple à Chicago, des agents de la Border Patrol arrêtent deux ados à vélo . L’un d’eux n’a pas sa pièce d’identité alors l’agent demande à son collègue : “Can you do facial ?” et le collègue sort son smartphone, scanne le visage du gamin (mineur), sans aucune autorisation parentale évidemment.

Autre vidéo, toujours à Chicago, un automobiliste refuse de montrer sa carte d’identité . C’est son droit constitutionnel le plus pur, mais l’agent pointe quand même son téléphone vers lui. Le type proteste : “I’m an American citizen, so leave me alone.” Réponse de l’agent : “Alright, we just got to verify that.” Et il lui scanne la tronche.

Le document interne du DHS (U.S. Department of Homeland Security) est très clair : “ICE does not provide the opportunity for individuals to decline or consent to the collection and use of biometric data/photograph collection.” Traduction : on scanne d’abord, on demande jamais. Et votre visage, qu’il soit scanné par erreur ou pas, restera stocké 15 ans dans les bases de données fédérales.

Jeramie Scott, de l’ Electronic Privacy Information Center , appelle ça une “dérive dystopique pure”. Quatre sénateurs américains, dont Edward Markey, ont également envoyé une lettre à l’ICE en septembre dernier pour exiger l’arrêt immédiat de l’utilisation de Mobile Fortify. Ils y réclament la divulgation complète de la base juridique de l’app, de sa précision, et des contrôles en place.

Mais bien sûr, silence radio de la part de l’ICE.

Bon, rien de nouveau dans la reconnaissance faciale en soi. Ce qui est nouveau vraiment ici, c’est la portabilité de cette techno, l’agrégation instantanée de dizaines de bases de données, et surtout le déploiement sur le terrain sans cadre légal clair. Et surtout c’est l’inversion totale de la preuve où un algorithme devient plus fiable qu’un document officiel.

Et si je vous en parle, c’est parce que ce genre de dérives ne reste jamais confiné aux États-Unis. En Europe, en France, nos gouvernements lorgnent déjà sur ces technologies. Il y a des garde-fous, certes, mais la pression sécuritaire est constante et ces outils se normalisent petit à petit. À l’heure où certains fous rêvent de faire de la France le pays le plus répressif d’Europe, ce glissement vers la techno-police devient franchement flippant.

Bref, le problème n’est ni technique, ni culturel, ni géographique. Il est politique. Et nous devons rester vigilants pour que ce cauchemar dystopique ne débarque pas jusqu’ici. Parce qu’une fois qu’on laissera ces algorithmes décider de quelle est notre identité, on sera foutu.

Source

Vous connaissez Jeff Dickey ?

C’est le développeur derrière mise , un outil qui permet aux développeurs de gèrer leurs versions d’outils de dev et leurs variables d’environnement.

Et bien cette année, il a sorti fnox , un gestionnaire de secrets.

Si vous êtes développeur, vous savez que les secrets, c’est-à-dire les identifiants, les mots de passe, etc. sont soit stockés en chiffré directement sur le dépôt Git, soit à distance via un cloud provider comme AWS Secrets Manager.

Mais c’est pas très marrant à configurer et à utiliser et c’est pour ça donc que Fnox a été inventé. Fnox utilise un simple fichier de configuration TOML que vous placez dans votre dépôt Git et à l’intérieur duquel les secrets sont soit directement chiffrés soit pointent vers des références distantes sur des services comme : AWS, Azure, GCP, HashiCorp Vault et j’en passe… ou encore des gestionnaires de mots de passe comme 1Password et Bitwarden.

Il y a même possibilité de mettre tout ça en ocal dans le gestionnaire de clés de votre OS ou dans un fichier texte.

L’avantage de cette solution, en plus de sa flexibilité, c’est qu’elle peut être utilisée dans des environnements multiples, que ce soit pour du dev, du staging, de la prod. Et comme tout est stocké sur le Git, les équipes de dev peuvent récupérer le fichier et le déchiffrer de leur côté.

Voici comment ça se met en place :

# Installer via mise (recommandé)
mise use -g fnox

# Initialiser dans votre projet
fnox init

# Définir un secret (chiffré par défaut)
fnox set DATABASE_URL "postgresql://localhost/mydb"

# Récupérer un secret
fnox get DATABASE_URL

# Exécuter des commandes avec les secrets chargés
fnox exec -- npm start

# Activer l'intégration shell (chargement automatique lors du cd)
eval "$(fnox activate bash)" # ou zsh, fish

L’histoire du jour est signée Luke M, un hacker qui a découvert comment rooter une caméra avec… du son !

L’appareil en question est une caméra chinoise de la marque Yi qui utilise une fonctionnalité appelée “Sonic Pairing” pour faciliter la configuration WiFi. Comme ça, au lieu de galérer à taper votre mot de passe WiFi sur une interface minuscule avec vos gros doigts boudinés, vous jouez simplement un petit son depuis votre téléphone et c’est ce son qui contient votre clé WiFi encodés en modulation de fréquence. La caméra écoute, décode, et se connecte.

Magique, non ?

Sauf que cette fonctionnalité marquée en “beta” dans l’app Yi IoT contient deux bugs magnifiques : une stack overflow local et un global overflow. En gros, en fabriquant un fichier audio malveillant avec les bons patterns, Luke a pu injecter du code arbitraire dans la caméra, ce qui lui permet d’obtenir un shell root qui se lance via la commande telnetd avec les identifiants par défaut. Tout ça, sans accès physique… juste la lecture d’un wav ou d’un MP3.

Pour arriver à ses fins, Luke a utilisé Frida , un framework de hooking que j’adore, capable d’intercepter les fonctions natives de l’app. Cela lui a permis de remplacer les données légitimes attendues par l’app par son propre payload.

Le premier bug (stack overflow) n’étant pas suffisant seul, Luke a dû utiliser un autre bug ( un out-of-bounds read via DOOM ) pour leaker un pointeur et contourner l’ ASLR . Mais le second bug (global overflow) est bien plus intéressant puisqu’il lui permet directement de faire une injection de commande via system() lors du pairing, sans avoir besoin d’autre chose.

Voici la waveform utilisée par le second exploit

Et comme la chaîne que vous pouvez envoyer via le son peut faire jusqu’à 128 bytes c’est largement suffisant pour un telnetd ou n’importe quelle commande shell. Notez que pour que l’exploit marche, le bind_key doit commencer par ‘CN’, ce qui force un path exploitable et, en bonus fait causer la caméra en chinois ^^.

Après faut savoir que ce hack amusant ne fonctionne que si la caméra n’est pas encore connectée au cloud. Donc c’est pas très utile pour attaquer des caméras déjà déployées mais ça illustre bien le problème de tout cet IoT pas cher avec des tas de features “pratiques” comme ce “Sonic Pairing” qui finissent par être catastrophique dans la pratique.

Voilà… si vous voulez les détails techniques complets avec les waveforms et le code d’exploit, foncez lire ça sur Paged Out! #7 .

Je vais vous raconter la meilleure de la semaine… Microsoft vient quand même de passer 5 ans à gueuler sur tous les toits que BinaryFormatter est dangereux (ça servait à sérialiser/desérialiser des objets en binaire ave .NET) et qu’il faut arrêter de l’utiliser… et pourtant, on vient d’apprendre qu’ils continuent secrètement de l’utiliser dans WSUS (Windows Server Update Services), leur système censé sécuriser les mises à jour Windows.

Et bien sûr, ce qui devait arriver, arriva… Une magnifique faille critique dans WSUS vient d’être rendue publique, ce qui met en danger environ 500 000 serveurs WSUS actuellement accessibles via le net.

L’histoire commence en réalité en 2020. A cette date, Microsoft déclare officiellement que BinaryFormatter est dangereux, ce qui ne les empêche pas de se faire poutrer Exchange, Azure DevOps, SharePoint en 2021/2021 justement à cause de ça. Du coup, en 2023, ils annoncent le bannissement total de BinaryFormatter en interne. En 2024, ils effectuent même une mise au rebus complète de .NET 9.

Mais c’était sans compter sur cette jolie CVE-2025-59287 d’octobre 2025 qui exploite à son tour BinaryFormatter dans WSUS !

Un oubli ? Pas si sûr, car Microsoft l’utilisait toujours pour déchiffrer les cookies d’authentification de WSUS, rendant ainsi ce système de mises à jour censé protéger Windows vulnérable. La faille, c’est donc une désérialisation non sécurisée. Un attaquant non authentifié envoie une requête SOAP craftée au endpoint GetCookie de WSUS, avec un cookie AuthorizationCookie contenant un payload malveillant. Et de son côté le serveur déchiffre ce truc avec AES-128-CBC, puis passe le résultat directement à BinaryFormatter pour désérialisation.

Et là, bim bam boum, une magnifique exécution de code arbitraire avec privilèges SYSTEM !

Techniquement, la vulnérabilité touche donc les Windows Server 2012 à 2025 qui ont le rôle WSUS activé. Le score CVSS de cette faille est quand même de 9,8 sur 10 ce qui est fait une faille super critique.

L’exploitation de cette faille débute le 24 octobre soit juste après la publication du patch d’urgence de Microsoft sortie la veille c’est à dire le 23 octobre, pour corriger lui-même un autre patch publié juste avant le 8 octobre. Bref un vrai bordel et il faut croire que les attaquants ont attendu la sortie de ce patch d’urgence pour comprendre comment fonctionnait la faille ( l’exploit est ici ).

De son côté, Google Threat Intelligence traque l’acteur cybercriminel UNC6512 qui a ciblé plusieurs organisations et les chiffres font pas plaisir puisque ce sont environ 100 000 tentatives d’exploitation en 7 jours qui ont eu lieues, et 500 000 serveurs WSUS exposés sur le net sur les ports par défaut (8530 HTTP, 8531 HTTPS).

Microsoft a dû sentir la douille arriver puisqu’ils ont déprécié WSUS en septembre de l’année dernière au profit d’autres solutions comme Intune ou WUfb, soit un an avant la sortie de la CVE. Mais bien sûr, comme l’outil reste dans Windows Server 2025 avec ses 10 ans de support réglementaire, des centaines de milliers d’entreprises l’utilisent encore…

Le chaos était garanti ! Maintenant vous me connaissez, je n’aime pas vous laisser sans solution, alors pour les admins sys qui lisent ça, sachez qu’il existe un script PowerShell baptisé Find-WSUS qui permet de détecter tous les serveurs WSUS configurés dans vos GPO. C’est pratique pour faire l’inventaire et vérifier que tout est patché. Et notez aussi que le patch d’urgence c’est le KB5070883. Et si vous ne pouvez pas patcher immédiatement parce que la vie est injuste, désactivez quand même le rôle WSUS de vos Windows Server, ou bloquez les ports 8530/8531 directement dans votre firewall.

Le vrai problème en fait, c’est que WSUS n’est qu’un symptôme car une grosse partie du code en entreprise est constitué de dette technique. C’est à dire du code “mort” qui continue de tourner car personne n’ose y toucher. Brrr… ça fait peur c’et sûr ! Surtout que même Microsoft n’arrive pas à tuer sa propre création 5 ans après l’annonce de sa mort officielle, donc autant dire qu’on a tous un sérieux problème.

Bref, patchez au plus vite !

Source

Vous allez voir, l’histoire que je vais vous raconter cet aprem est à l’origine sympa mais a malheureusement a pris un tournant un peu moche avec un Effet Streisand à la clé… Tout commence en mars dernier quand Proven Industries publie une vidéo un peu provoc pour faire la promo de leurs cadenas ultra-sécurisés. Un follower commente alors “Faudrait montrer ça à @mcnallyofficial”. et sous ce message, Proven répond alors avec une confiance inébranlable : “McNally ? Il aime que les cadenas cheap, faciles à ouvrir.”

Mauvaise idée.

Car McNally, c’est pas juste un YouTuber qui fait des vidéos marrantes avec des cadenas. C’est un ancien sergent-chef de la Marine américaine qui a passé des années à étudier la sécurité physique. Le genre de gars qui ouvre votre serrure pendant que vous cherchez vos clés et quand une entreprise comme Proven le provoque publiquement, il ne peut pas laisser passer ça…

Alors le 3 avril, McNally publie sa réponse dans une vidéo titrée “$130 lock bypassed with a can”. 30 secondes chrono, des ciseaux, une canette vide, et hop ! Le cadenas Proven s’ouvre comme une boîte de conserve. Cette technique s’appelle le shim attack, et en gros, c’est une cale triangulaire qu’on insère dans le cadenas pour exploiter une vulnérabilité de conception assez classique.

Ce serait cool si on pouvait réunir les Avengers des LLMs pour les faire bosser ensemble sur de la recherche de faille de sécurité ? OpenAI, Anthropic, X.AI et Meta ensemble contre les forces du mal, c’est maintenant possible avec Deep Eye , un super scanner de vulnérabilités qui transforme les quatre IA rivales en équipe de pentesteurs. Vous allez voir, c’est assez génial !

Deep Eye, c’est donc un outil Python open source qui scanne les sites web et les API pour trouver des vulnérabilités. SQL injection, XSS, command injection, SSRF, path traversal, authentication bypass, au total y’a plus de 45 méthodes d’attaque automatisées. Vous lui indiquez une URL, et il teste tout en switchant entre les services d’IA selon le contexte.

Dans le contexte d’un pentest légitime, Deep Eye a même trouvé comment parler aux IA pour qu’elles acceptent de pondre du code un peu sensible. Et ça tombe bien car chaque IA a ses forces et ses faiblesses. GPT-4 par exemple excelle sur les payloads créatifs et les contournements de filtres. Claude lui est plus méthodique, et capable de mieux analyser le contexte et de génèrer des attaques adaptées au framework détecté. LLAMA en local quand à lui est rapide et ne coûte rien en appels API. Et Grok ? Bah il a le mérite d’être dispo même s’il est loin d’être le meilleur.

Deep Eye en tout cas est capable des les utiliser toutes selon la situation. Pour l’installer, ça se passe en 3 commandes :

Vous installez ça comme ceci :

git clone https://github.com/zakirkun/deep-eye.git
cd deep-eye

cd scripts
./install.ps1

chmod +x scripts/install.sh
cd scripts
./install.sh

python deep_eye.py -u https://example.com

Utiliser un VPN solide, en 2025, n’est plus l’apanage de l’admin-parano ou du téléchargeur du dimanche. Avec l’explosion de la surveillance commerciale, la multiplication des tentatives de phishing, sans oublier la géographie des contenus online toujours plus segmentée, le VPN relève désormais du kit de survie numérique. Et je ne parle pas d’un kit d’urgence à la con tout pourrit en mode gouvernement français 2025. Surfshark, dans ce paysage saturé, a tiré son épingle du jeu en multipliant les fonctionnalités de protection tout en accélérant la connectivité et en simplifiant l’accès à l’anonymat. Le tout en restant l’un des moins chers du marché.

Les grandes forces de Surfshark VPN

Puisqu’il faut toujours rappeler les bases pour savoir de quoi l’on parle, voici en quelques points :

• Chiffrement de niveau militaire (AES-256, ChaCha20) pour assurer la confidentialité totale : vos données restent incompréhensibles sans la clé, même en cas d’interception.
• Kill Switch : internet coupé automatiquement si le VPN décroche. Pas de fuites accidentelles, on évite d’aller placarder involontairement l’IP ou les habitudes de navigation.
• Mode Camouflage : même votre FAI ne sait pas ce que vous faites avec votre VPN, utile face à la censure et dans certains pays restrictifs.
• Connexion illimitée sur tous les appareils ; pas de limite familière à 5 ou 7 slots, tout le foyer peut se connecter sans surcoût.
• No Log, audit indépendant, CleanWeb, split tunneling, MultiHop, etc. — liste longue comme le bras, aucune collecte d’activité persistante vérifiée par des audits externes ; Surfshark ajoute même des outils pour gérer l’identité en ligne ( Alternative ID ) ou supprimer ses traces sur le web (Incogni).

L’initiative VPN Trust Initiative (VTI) : redéfinir la confiance

Protéger les données, c’est bien ; prouver qu’on le fait, c’est mieux ! Les scandales récurrents dans l’industrie du VPN (fuites, ventes de logs) ont mené à la création de la VPN Trust Initiative. Cette alliance des principaux fournisseurs ( dont Surfshark , NordVPN, ExpressVPN, etc.) vise à poser des normes techniques et éthiques claires autour de 5 piliers : sécurité, confidentialité, pratiques publicitaires, transparence et responsabilité sociale.

Pour les utilisateurs, le label VPN Trust Seal fonctionne comme un repère : il atteste qu’un service respecte une charte, limite les logs à l’indispensable, utilise du chiffrement sérieux, ne fait pas de promesses mensongères et agit dans l’intérêt de l’utilisateur. Cette labellisation favorise la confiance, démystifie l’industrie, et pousse tous les acteurs vers une transparence attendue.

Sous prétexte de protéger la sécurité ou l’ordre public, de nombreux gouvernements pressent pour créer des portes dérobées ou affaiblir le chiffrement — et ça, Surfshark, épaulé par la VTI, s’y oppose frontalement. Pour eux, brider le chiffrement (au profit d’un accès simplifié pour les autorités), c’est ouvrir grand la porte aux cybercriminels, mettre en danger la vie privée de tous, et piétiner la sécurité même des États et entreprises.

La défense de l’AES-256 et du chiffrement de bout en bout n’a donc rien d’une posture marketing, c’est la garantie minimale contre l’interception de masse et le piratage industriel. Sans chiffrement fort, VPN ou pas, nul n’est à l’abri de la compromission de ses données bancaires, médicales ou stratégiques.

Le futur des VPN, entre IA et résistance au quantique

Seulement, le secteur VPN ne s’arrête pas à la stricte confidentialité du surf. Face à l’avènement de l’internet quantique, des IA prédictives, et d’une segmentation toujours plus poussée des usages, Surfshark imagine déjà la suite : chiffrement post-quantique, routage dynamique et IA anti-censure sont sur la feuille de route. L’objectif : un service adaptatif, capable de rester invisible même sous surveillance avancée, tout en conservant le confort utilisateur (débits constants, streaming instantané…). À eux de nous montrer qu’il ne s’agit pas que de buzzwords, mais qu’il y a quelque chose derrière.

On assiste à l’émergence de « super VPN » capables de mixer anonymat, suppression d’empreinte numérique et gestion automatisée d’identités virtuelles. Chez Surfshark, le réseau Nexus (routage dynamique) ou la toute nouvelle  solution FastTrack posent déjà les premiers jalons d’une défense active, plutôt que réactive.

En somme, un VPN n’est plus juste un « tunnel chiffré », mais la pierre angulaire d’une vie numérique digne de ce nom. Et autant qu’elle soit guidée par des standards de confiance stricts, un refus catégorique des compromissions sur le chiffrement, et une vision claire du futur de la confidentialité. VTI, audits, innovations : à l’ère des menaces structurelles et de la surveillance tous azimuts, ce sont ces signaux qu’il faut traquer, bien plus qu’un effet d’annonce ou une promo temporaire.

Et vous pouvez avoir tout ça durant** 27 mois (abo 2 ans + 3 mois gratuits) pour moins de 65€ TTC** ! Presque 2026 et vous pouvez encore disposer d’un VPN parmi les meilleurs pour moins de 2.4€/mois. Avec toujours la garantie satisfait ou remboursé sur 30 jours et la possibilité de payer en cryptomonnaies pour un peu plus d’anonymat (un peu j’ai dit, ne vous emballez pas trop).

Je profite de l’offre Surfshark VPN !