Vous vous souvenez quand je vous parlais du fameux kill switch IA de Firefox en décembre dernier ? Hé bien c'est désormais chose faite ! Mozilla vient d'annoncer que Firefox 148, qui sort le 24 février, embarquera une toute nouvelle section "Contrôles de l'IA" dans ses paramètres, entièrement dédiée aux contrôles de l'IA.

Et perso, je suis RAVI.

La nouvelle section Contrôles de l'IA dans Firefox 148

J'ai fouillé un peu dans les menus de la Nightly pour voir à quoi ça ressemble et c'est plutôt bien fichu. Vous aurez accès à un panneau centralisé dans Paramètres > Contrôles de l'IA, qui vous permettra de gérer individuellement chaque fonctionnalité IA du navigateur. Traduction automatique, texte alternatif pour les PDF (top pour l'accessibilité), groupement d'onglets intelligent, prévisualisation de liens, tout ça avec de l'IA locale ... et même un chatbot (pas local) intégré dans la barre latérale. Du coup, chaque brique peut être activée ou désactivée selon vos envies ou votre religion ^^.

Mozilla a intégré le support de Claude (d'Anthropic), ChatGPT, Microsoft Copilot, Google Gemini et Mistral Le Chat. Cinq fournisseurs au choix, directement dans la sidebar depuis un petit moment déjà et j'avoue que je l'utilise pas mal (avec Claude) pour lire des résumés de pages trop longues (mon temps est précieux ^^) ou avoir des explications sur des trucs un peu trop compliqués pour mon petit cerveau.

La vraie feature cool c'est ce bouton magique. Y'a un switch global "Bloquer les améliorations ayant recours à l'IA" qui coupe TOUT d'un seul geste. Toutes les fonctions IA actuelles ET futures. Vos préférences sont conservées entre les mises à jour, ce qui veut dire que Mozilla ne viendra pas réactiver un truc en douce après un update. C'est ce que le nouveau PDG Anthony Enzor-DeMeo avait promis en décembre... et ils ont tenu parole, les bougres !

Vous avez déjà remarqué à quel point nos claviers Android sont devenus bavards ? Que ce soit Gboard ou SwiftKey , ils ont tous la fâcheuse tendance à vouloir "améliorer l'expérience utilisateur" en envoyant vos habitudes de frappe sur des serveurs distants. Forcément, quand on sait que tout ce qu'on tape, des mots de passe aux messages privés, passe par cette petite interface, ça peut vite donner des sueurs froides niveau vie privée.

Alors c'est exactement pour contrer cette tendance qu'un nouveau projet open source vient de pointer le bout de son nez : Urik .

Pas de télémétrie dans ce clavier, et pour les plus paranos, sachez que le dictionnaire personnalisé et l'apprentissage des mots sont également stockés dans une base de données locale chiffrée avec SQLCipher. Vos frappes restent donc chez vous et nulle part ailleurs. On est dans la même philosophie que FUTO Voice Input , ce qui prouve qu'on peut avoir des outils intelligents sans pour autant sacrifier sa vie privée.

Côté technique, Urik n'est pas un clavier au rabais. Développé en Kotlin, sous licence GPL-3.0, il propose tout ce qu'on attend d'un outil moderne : la saisie par glissement (swipe), le contrôle du curseur via la barre d'espace et le support de dispositions alternatives comme le Dvorak, le Colemak ou le Workman.

Et pour la correction orthographique, il s'appuie sur l'algorithme SymSpell qui tourne lui aussi intégralement sur le téléphone. L'intelligence du truc permet d'ailleurs d'éviter de corriger bêtement les URLs ou les adresses email, ce qui évite pas mal de frustrations au quotidien.

Petite parenthèse, pour ceux qui ont besoin d'outils de protection supplémentaires sur mobile, n'hésitez pas aussi à jeter un œil à Oversec pour chiffrer vos communications.

Urik, de son côté, soigne aussi l'accessibilité avec un support complet de TalkBack et des thèmes à haut contraste conformes aux normes WCAG AA. L'application nécessite au minimum Android 8.0 et bien qu'elle soit encore officiellement en bêta, elle est déjà très stable pour un usage quotidien.

Alors oui, ça demande un petit temps d'adaptation quand on quitte les géants du secteur, mais le gain en sérénité est immédiat. Plus besoin de se demander si votre prochain message va finir dans une base de données publicitaire.

Sachez aussi que le projet est entièrement financé par sa communauté, ce qui garantit une certaine indépendance vis-à-vis des trackers habituels. Bref, si vous cherchez à reprendre le contrôle sur ce que vous saisissez, c'est clairement une alternative à tester d'urgence sur votre smartphone.

A télécharger ici sur le PlayStore !

Merci à Lorenper pour le partage !

Vous devez tester un service en ligne et là, PAF 🥲 formulaire d'inscription 🥲 Ouiiiin !!!

Et bien sûr, même si vous pouvez remplir tous les champs avec un tas de conneries, forcement à un moment, ça vous demande votre email. Et là, impossible d'y échapper... Heureusement pour éviter ça, il existe des services d'emails jetables et je vous propose qu'ensemble qu'on fasse un petit point dessus parce que ça a beaucoup bougé ces dernières années..

Yopmail , c'est un peu le vétéran du domaine. J'suis certain que vous le connaissez par cœur car ce site tourne quand même depuis 2004 (22 ans au compteur ! Comme mon site en fait !) et le principe c'est que vous choisissez un nom au pif, genre " [email protected] ", et hop, vous avez une boîte mail temporaire. Pas d'inscription, pas de mot de passe, rien. Les messages restent 8 jours puis disparaissent et le truc cool c'est qu'ils ajoutent un nouveau domaine tous les jours pour éviter les blacklists, du coup y'a moins de chances que votre adresse jetable soit refusée.

Sauf que Yopmail a une limitation importante... En effet, n'importe qui peut accéder à votre boîte si il en devine le nom. J'ai testé avec "[email protected]" et effectivement, on tombe sur les mails de dizaines d'autres personnes qui ont eu la même idée... pas ouf pour du confidentiel. Côté envoi de mails, c'est un peu plus nuancé : vous ne pouvez pas initier une conversation vers l'extérieur, mais vous pouvez répondre à un mail reçu d'une adresse externe, à condition que le message n'ait pas été identifié comme spam et que l'expéditeur soit authentifiable (merci Fred, le créateur de Yopmail, pour la précision !).

Pour ceux qui veulent du "privacy first" radical, y'a aussi MephistoMail qui ne garde aucun log. Attention par contre, l'inbox peut disparaître à tout moment sans prévenir. J'ai failli me faire avoir la première fois, j'ai fermé l'onglet avant de récupérer mon lien de confirmation et pouf, game over. Pensez donc à copier ce dont vous avez besoin AVANT de fermer.

Dans la catégorie "je veux juste une inbox vite fait", j'ai aussi croisé pas mal de services qui font le job pour récupérer un lien de confirmation ou un code OTP en 10 secondes chrono. TrashMail.de par exemple, c'est du mail jetable basique mais efficace. Byom.de est marrant également parce que c'est un peu en mode "catch-all" où vous inventez n'importe quelle adresse, vous la balancez au site qui vous demande un email, puis seulement ensuite vous allez lire ce qui est arrivé. Et si vous trouvez que le "10 minutes mail" c'est trop court, Muellmail.com joue justement la carte "10 min, c'est pas assez" sans vous prendre la tête.

Ah, et pour les devs / QA qui aiment automatiser des tests de signup (oui, je vous vois 😄), y'a aussi mail.tm qui propose des boîtes temporaires avec mot de passe, plus une API, et des services comme Temp-Mail qui ont carrément une API officielle pour tester des workflows email en boucle. Pratique quand vous devez valider "inscription -> email -> clic -> compte OK" sans y passer votre vie.

Et puis y'a une autre catégorie qui m'intéresse de plus en plus : les gestionnaires d'alias. J'ai d'abord hésité entre SimpleLogin et addy.io, mais j'ai fini par choisir Addy.io (anciennement AnonAddy) parce que c'est open source sous licence AGPL-3.0 et que vous pouvez l'héberger vous-même si vous êtes parano. Le principe c'est qu'au lieu d'avoir un mail jetable, vous créez des alias illimités qui redirigent vers votre vraie boîte. Si un alias se fait spammer, vous le désactivez en un clic sans toucher au reste. Y'a une version gratuite et des abonnements entre 1 et 3$/mois (Lite à 1$/mois, Pro à 3$/mois). Par contre attention, si vous self-hostez, faut quand même gérer un serveur mail et ça c'est pas une mince affaire...

Et du coup, si vous voulez le même délire qu'addy.io mais avec une autre approche, SimpleLogin est une très bonne option aussi puisque c'est open source, auto-hébergeable, et le gros plus c'est que vous pouvez répondre / envoyer depuis vos alias (Et ça c'est trop bien quand faut valider un truc ou parler à un support sans exposer votre vraie adresse). Bref, c'est le genre d'outil qui passe mieux que les domaines jetables quand un site commence à sortir la sulfateuse anti-temp-mail.

Et si vous êtes déjà chez un fournisseur mail orienté privacy, y'a des alternatives "pas jetables mais ultra pratiques". Je pense à Tuta par exemple permet d'avoir des alias (et même du catch-all sur domaine perso selon les offres). Migadu aussi est très cool dans le genre "j'ai mon domaine, je veux créer plein d'adresses/alias sans payer par boîte", et ils annoncent être une boite suisse avec des datacenters en France. C'est pas du "mail jetable", mais pour garder le contrôle sur le long terme, c'est une approche qui se défend.

Et pour les plus motivés (ou les plus masochistes 😅), y'a la voie du "je self-host tout" avec des stacks comme mailcow , Mailu ou docker-mailserver . Mais je vous le dis cash patate, monter son propre serveur mail, c'est la porte ouverte aux joies de SPF/DKIM/DMARC, de la réputation d'IP, des mails qui finissent en spam "parce que lol", et des heures à se demander pourquoi Outlook vous boude. Donc oui c'est souverain de votre village de ploucs, oui c'est stylé, oui c'est gratuit si votre temps vaut tripette, mais c'est pas un petit dimanche tranquille.

Côté souveraineté européenne, tout ce que je viens de vous présenter peut aider à limiter l'exposition aux joies du Cloud Act... mais attention, faut regarder au cas par cas où c'est hébergé et qui opère le service. Dans tous les cas, gardez en tête que certains sites comme Amazon ou PayPal bloquent carrément les domaines de mails jetables connus. Dans ce cas, les alias (surtout si vous avez votre propre domaine) passent généralement mieux parce que ça ressemble à une adresse "normale" qui redirige vers votre vraie boîte.

Bref, pour le quotidien Yopmail fera bien le taf (le gars sûr !), mais si vous voulez envoyer des mails, éviter les blacklistages (c'est comme ça qu'on dit ??), ou garder le contrôle sur vos alias à long terme, regardez du côté de TempMail, SimpleLogin ou addy.io.

Et si vous aimez bricoler et souffrir, vous savez ce qu'il vous reste à faire... 😈

Avec tout ce qui se passe en ce moment côté souveraineté numérique, je me suis dit qu'il était temps de vous parler d'une alternative à Google que beaucoup ignorent encore. En plus, j'ai passé pas mal de temps dessus ces dernières semaines, histoire de voir si ça tenait la route, alors il est temps de partager ça avec vous.

Startpage, c'est un moteur de recherche basé à Zeist aux Pays-Bas qui existe depuis 2006 et qui a une approche assez radicale : Vous donner les résultats de Google... sans que Google ne sache que vous existez.

Quand vous tapez une recherche sur Startpage, le moteur va interroger Google à votre place, récupérer les résultats, et vous les afficher. Sauf que votre IP, vos cookies, votre historique... Google n'en voit pas la couleur. C'est comme envoyer quelqu'un faire vos courses pour vous ^^.

Et là où ça devient vraiment intéressant dans le contexte actuel, c'est que Startpage est basé aux Pays-Bas. Du coup, il est soumis au RGPD et aux lois européennes sur la protection des données. Et SURTOUT PAS au Cloud Act américain qui permet aux autorités US de demander vos données même si elles sont stockées en Europe. C'est pas rien comme différence...

Bon, je dis pas que c'est parfait non plus hein. Rien ne l'est. Fin 2018, Privacy One Group, une filiale de System1 (société américaine spécialisée dans... la pub), a pris une participation majoritaire dans Startpage. L'annonce n'est tombée qu'en 2019, ce qui a fait tiquer pas mal de monde dans la communauté vie privée. PrivacyTools.io par exemple l'a même retiré de ses recommandations pendant un moment...

Mais depuis, Startpage a publié des clarifications... en fait selon eux, System1 n'a pas accès aux données de recherche, et la société reste opérée depuis les Pays-Bas avec des serveurs européens.

Côté fonctionnalités, y'a un truc que j'adore et que j'utilise quasi systématiquement depuis 3 semaines c'est le mode "Anonymous View". En fait quand vous cliquez sur un résultat de recherche, au lieu d'aller directement sur le site (qui peut alors tracker votre visite), Startpage peut ouvrir la page via un proxy. Le site que vous visitez ne voit alors que l'IP de Startpage et pas la vôtre. C'est un peu comme un proxy intégré pour chaque clic, qui bloque aussi les scripts de fingerprinting.

Pas mal non ?

D'ailleurs, niveau interface, c'est propre et sans fioritures. Y'a pas de doodles tout naze, pas de suggestions de recherche personnalisées, pas de "vous pourriez aussi aimer", pas d'Ads vers des sites frauduleux... Non, c'est comme à l'ancienne avec juste un bon vieux champ de recherche et des résultats. Ça nous change donc des pages d'accueil de Google qui sont devenues de véritables panneaux publicitaires et dans lesquelles on se perd assez vite.

Alors évidemment, y'a quelques inconvénients aussi... D'abord les résultats sont parfois un peu moins "personnalisés" que sur Google. Normal, vu qu'ils n'ont aucune idée de qui vous êtes, ils ne peuvent donc pas vous proposer le resto le plus proche de chez vous. Faudra donc parfois préciser "Paris", "Clermont-Ferrand" ou "France" dans vos recherches locales. J'ai galéré un peu au début avec ça, car on prend vite de mauvaises habitudes (merci la flemme) mais après j'ai découvert qu'on pouvait préciser ça dans les paramètres.

Et puis de temps en temps, Startpage peut avoir des ralentissements... les joies de l'intermédiation. Mais rien de rédhibitoire rassurez-vous !

Comparé à DuckDuckGo qui utilise principalement Bing comme source et qui est américain (bouuuuh, arrêtez de recommander cette bouze ^^), ou à Qwant qui galère un peu côté pertinence , Startpage offre un compromis intéressant. A savoir la qualité Google sans le tracking Google, et le tout hébergé en Europe.

Car oui avec tout ce qui se passe géopolitiquement en ce moment, je pense que c'est bien de changer un peu ses habitudes. Vous devriez essayer... Car entre les discussions sur le Cloud Act, les tensions transatlantiques sur les données personnelles, et les GAFAM américains qui aspirent nos données comme des Dyson sous amphét'... avoir une alternative européenne soumise au RGPD, c'est pas juste une question de principe. C'est une vraie question de souveraineté numérique. Les Pays-Bas, c'est pas parfait (aucun pays l'est), mais au moins c'est une juridiction où la CNIL locale a du mordant.

Maintenant pour l'utiliser, rien de sorcier. Vous allez sur startpage.com et vous pouvez même le configurer comme moteur par défaut dans votre navigateur. Attention par contre, sur certains navigateurs (Safari notamment), c'est un peu planqué dans les préférences. Y'a aussi une extension pour Firefox et Chrome si vous voulez. Et si vous voulez aller plus loin dans la protection de votre vie privée, combinez ça avec une extension qui gère vos cookies .

Et voilà, si vous en avez marre de voir des pubs ultra-ciblées qui semblent lire dans vos pensées, et d'offrir la moindre de vos requêtes aux américains, ce moteur de recherche néerlandais vaut vraiment le coup d'œil.

À découvrir ici !

Ce matin, en trainant sur GitHub (mon sport du dimanche, je sais c'est triste), je suis tombé sur un truc qui m'a intéressé et qui je pense vous sera utile (comme la plupart des trucs que je présente ici) surtout si vous êtes coincé derrière un pare-feu d'entreprise totalement paranoïaque. Ou encore si votre FAI s'amuse à brider certains protocoles. Ça peut arriver dans ces cas là, on se sent un peu comme un rat en cage, à chercher la moindre petite ouverture pour respirer un peu de notre liberté.

Cet outil, ça s'appelle Smtp-Tunnel-Proxy et le concept c'est de faire passer tout votre trafic pour de bêtes emails. Alors vous vous dites peut-être "Mouais, encore un tunnel qui va ramer comme pas possible", mais en creusant un peu, vous allez voir, c'est pas con.

En fait ce que fait ce petit script Python (ou binaire Go) c'est qu'il enveloppe vos paquets TCP dans une connexion qui ressemble à s'y méprendre à du trafic SMTP chiffré. En gros, le truc simule un handshake avec un serveur mail (comme Postfix), lance le chiffrement TLS 1.2+, et hop, une fois le tunnel établi, il balance la purée en binaire sans que le DPI (Deep Packet Inspection) puisse y voir quelque chose. Comme ça le firewall n'y comprend plus rien, le petit chou ^^.

C'est un peu comme un tunnel SSH en fait mais déguisé en serveur mail, ce qui le rend beaucoup plus discret. Parce que là où un tunnel SSH peut être repéré par sa signature un peu trop évidente, une connexion SMTP chiffrée, c'est ce qu'il y a de plus banal sur le net. Du coup, ça passe crèèèème.

Niveau fonctionnalités, x011 (le dev) a fait les choses bien. Le truc est multi-utilisateurs avec des secrets partagés pour l'auth, supporte le multiplexing (plusieurs connexions dans un seul tunnel), et gère même une whitelist d'IP pour éviter que n'importe qui ne squatte votre tunnel. C'est propre quoi.

L'installation côté serveur est simplifiée grâce notamment à un script tout fait que vous pouvez lancer sur n'importe quel petit VPS. Un petit curl et c'est réglé :

Yop les amis !

Mauvaise nouvelle pour les amateurs de lecture japonaises qui avaient leurs petites habitudes sur Bato.to. Le site, véritable institution du scantrad manga, a été mis hors ligne et cette fois, c'est pas une simple maintenance qui a mal tourné ou un serveur qui a pris feu (quoi que, ça arrive plus souvent qu'on ne le pense ^^).

Non, c'est la CODA (Content Overseas Distribution Association), c'est à dire l'organisme japonais de lutte contre le piratage, qui en collaboration avec les autorités chinoises, ont fait arrêter l'opérateur du site fin novembre. Le gars a admis opérer non seulement Bato.to mais aussi une soixantaine de sites liés comme xbato.com ou mangapark.io.

Honnêtement, impossible de se connecter ce matin, c'est le désert total. Apparemment, la base de données a été saisie et les serveurs sont aux fraises.

Du coup, c'est tout un empire qui s'effondre. Pour vous donner une idée de l'ampleur du truc, Bato.to c'était 350 millions de visites cumulées sur l'ensemble du réseau rien que pour le mois de mai 2025. Et niveau thunes, ça brassait pas mal puisque les revenus publicitaires montaient jusqu'à 400 000 yuans par mois lors des pics d'audience, soit environ 57 000 dollars. Ça commence à faire une belle somme pour de la scanlation illégale, surtout quand on sait que la plupart des traducteurs font ça pour la gloire (ou pour le kiff).

Perso, je trouve ça super moche de voir disparaître des archives communautaires aussi énormes parce que même si c'était pas "légal" c'était quand même un peu le temple du scan manga où l'on trouvait des pépites introuvables ailleurs, même si la qualité variait selon les équipes. Mais bon, faut pas se leurrer, quand y'a autant d'oseille en jeu, c'était inévitable...

Si vous êtes en manque de lecture, sachez que l'offre légale a quand même méga bougé. Avant c'était la galère absolue, mais maintenant on a des trucs comme Manga Plus (qui appartient à la Shueisha , donc c'est la source directe) ou Mangas.io . C'est quand même plus propre pour soutenir les mangakas qui triment sur leurs planches, sauf si vous lisez des trucs hyper obscurs qui n'arriveront jamais chez nous, là c'est plus compliqué...

D'ailleurs, pour ceux qui galèrent avec les chapitres qui sortent uniquement en japonais, y'a des outils incroyables maintenant. J'avais testé Manga Net sur Android et plus récemment Koharu, un traducteur de mangas par IA codé en Rust et franchement, ça automatise une grande partie du boulot de nettoyage et de trad. C'est peut-être ça l'avenir du scantrad finalement... des outils persos pour lire ce qu'on veut localement sans dépendre de gros sites qui finissent par se faire chopper.

Bref, une page se tourne. L'opérateur a été libéré sous caution en attendant la suite de la procédure, mais ne comptez pas trop sur un retour du site de sitôt. Va falloir trouver une autre crémerie ou, folie suprême, commencer à acheter vos tomes préférés.

Ahahaha !

Source

Vous avez sûrement déjà eu ce moment de solitude où vous devez filer le mot de passe du WiFi, de Netflix ou d'un compte commun à un pote. Et là, comme un mec bourré qui recontacte son ex après une soirée déprimante, vous finissez par l'envoyer par SMS ou l'écrire sur un bout de papier qui finira à la poubelle.

C'est le genre de truc qui rend dingue niveau sécurité, mais bon, dans la vraie vie on le fait tous !

Au début, je cherchais donc juste un moyen simple de faire ça proprement, et je suis tombé sur ShareMyLogin. C'est un petit outil open source très bien pensé qui permet de partager des identifiants (ou n'importe quel secret) via un lien unique, en chiffrant tout directement dans votre navigateur (Chrome, Firefox, peu importe).

Le principe vous le connaissez, c'est du Zero Knowledge. Du coup, comme le chiffrement se fait localement avant l'envoi, le serveur ne reçoit techniquement que des données illisibles. C'est dans l'esprit de ce que proposent des services comme Bitwarden Send ou LockTransfer pour les pros , mais ici sous forme d'un petit outil dédié et gratuit.

Côté technique, on retrouve donc bien de l'AES-256-GCM pour le chiffrement et du PBKDF2 (avec 250 000 itérations) pour la dérivation de clé. Concrètement, vous tapez votre secret, l'outil génère un lien, et hop, vous filez ce lien à votre destinataire.

Ce qui est cool, c'est que le code est disponible sur GitHub . Je vous invite d'ailleurs à aller jeter un oeil à encrypt.ts et decrypt.ts qui montrent bien que la crypto est gérée côté client. Après, si vous utilisez la version hébergée, vous devrez faire confiance à l'administrateur pour qu'il ne modifie pas le code à la volée. Mais si vous hébergez votre propre instance, ce qui est franchement conseillé si vous êtes à cheval sur la sécu, c'est top !

Bien sûr pour le partage de mots de passe critiques au quotidien, je vous recommande d'utiliser les fonctions de partage de votre gestionnaire de mots de passe habituel. Mais pour un dépannage ponctuel, genre filer le code du digicode à un livreur ou un accès temporaire, ShareMyLogin fera très bien le job.

Le projet propose aussi une API si vous voulez intégrer ça dans vos propres moulinettes.

Source

Tim Berners-Lee, le papa du Web, tape du poing sur la table . Dans cette interview accordée au Guardian aujourd'hui, il explique en gros qu'il est grand temps de "reprendre Internet" aux géants qui l'ont transformé en machine à fric.

Il était temps que ça sorte !

Parce lui parle carrément d'une "bataille pour l'âme du web". Rien que ça ! Selon lui, le web actuel est devenu un truc "optimisé pour la méchanceté" et la surveillance de masse. Je ne peux pas le contredire sur la méchanceté et en effet, la centralisation excessive et le modèle actuel ont largement perverti sa vision d'origine.

Sa solution, vous en avez peut-être déjà entendu parler, c'est le projet Solid (porté notamment par sa startup Inrupt ) qui propose de stocker ses données dans des "pods" personnels. L'idée c'est de découpler les données des applications. Vous gardez vos infos dans votre pod (hébergé chez vous ou chez un fournisseur de confiance) et vous donnez accès aux apps au cas par cas. Comme ça on peut reprendre (un peu) le contrôle de notre vie en ligne.

Il s'inquiète aussi pour l'IA et réclame un "CERN de l'IA" pour éviter que la technologie ne nous échappe totalement. C'est mal barré ça je pense, même si je suis d'accord avec lui.

Perso en ce qui me concerne, j'ai jamais changé mon fusil d'épaule et vous le savez, puisque depuis toujours j'invite tout le monde dès que j'en ai l'occasion à créer son site, à créer son forum, à créer sa plateforme et à en finir avec ces conneries de plateformes centralisée.

Alors peut-être que ça ne marchera pas, ou peut-être que son appel sera entendu et que ça marchera. Mais en tout cas, si à un moment, vous voulez publier des trucs sur le web, essayez un tout petit peu d'héberger vos propres trucs vous-même. Attentio, je ne vous dis pas de monter un cluster Kubernetes dans votre salon (sauf si vous kiffez ça) ou de switcher en mode auto-hébergement pur et dur sur un Raspberry Pi (bien que ce soit très cool avec Yunohost )... Non, vous pouvez simplement prendre un hébergeur comme O2Switch par exemple. C'est pas très cher.

Je crois que quand on a une passion, on peut mettre un petit peu d'argent dedans pour se faire plaisir. Puis ça peut marcher dans l'autre sens aussi... À l'époque, moi je me souviens, il y avait un pote qui ouvrait son serveur pour qu'on puisse y mettre des pages web et ce genre de truc via un petit FTP. Donc ceux qui savent gérer des serveurs web, vous pouvez peut-être aussi envisager de créer un espace non pas accessible à la Terre entière, mais au moins accessible à vos amis, à des connaissances, gratuitement. Un truc un peu facile à utiliser, à l'ancienne...

Voilà, je trouverai ça vraiment cool que ça revienne un petit peu à la mode et que le web se repeuple. Qu'on sorte un peu des GAFAM et des algos toxiques...

Quelques pages statiques et c'est suffisant pour s'exprimer sans se prendre le chou avec la technique. J'en suis la preuve vivante ! Le site sur lequel vous êtes est 100% statique. On n'a pas besoin de monter une startup à chaque fois qu'on veut faire un site.

Je ne sais pas si les fournisseurs d'accès internet offrent toujours un petit bout d'espace web, mais si vous avez ça qui traîne, profitez-en aussi.

Bref, écoutez Papi Tim et Tonton Korben et ensemble, reprenons le contrôle, un serveur à la fois.

Source

Edit du 22/12/2025 : Bonne nouvelle ! Le développeur a finalement récupéré son compte. Un employé d'Apple Executive Relations basé à Singapour l'a contacté pour lui annoncer que tout était réglé. Il s'avère que la carte cadeau qu'il avait essayé d'utiliser avait déjà été "consommée" d'une manière ou d'une autre (probablement du tampering classique de carte cadeau), et son compte s'est retrouvé flaggé à cause de ça. Apple lui a conseillé de n'acheter des cartes cadeaux que directement chez eux et quand il a demandé si ça signifiait que leur chaîne d'approvisionnement (Blackhawk Network, InComm et autres revendeurs) était peu fiable, Apple a refusé de commenter. Comme quoi, même après 25 ans de fidélité, faut quand même gueuler un bon coup pour que ça bouge...

---

Vous vous souvenez de mes conseils sur les backups ? Ceux que je vous rabâche régulièrement depuis des années ? Hé bien voici une histoire qui va vous donner envie de les suivre une bonne fois pour toutes.

Dr Paris Buttfield-Addison, c'est un développeur Apple depuis 25 ans. Le mec a écrit plus de 20 bouquins sur Objective-C et Swift, il co-organise le plus ancien événement développeur Apple non-officiel... Bref, c'est pas un random qui a téléchargé une app météo une fois. C'est un évangéliste Apple depuis 30 ans.

Et bien du jour au lendemain, son compte Apple ID a été fermé. Sans explication. Sans recours. Sans rien.

L'élément déclencheur ? Il a essayé de racheter une carte cadeau Apple de 500 dollars pour payer son abonnement iCloud+ de 6 To. Le code a foiré, le vendeur lui a proposé un remplacement, et quelques temps après... boom, compte verrouillé.

Résultat : environ 30 000 dollars de matos Apple devenu inutilisable, des milliers de dollars de logiciels et médias achetés auxquels il n'a plus accès, plus d'iMessage, et surtout des téraoctets de photos de famille qu'il ne peut plus récupérer. 25 ans de souvenirs numériques, volatilisés.

Le support Apple ? Réponse standard : fermé pour "conformité avec les conditions". Pas d'explication. Zéro escalade possible. Et comme conseil : créer un nouveau compte. Sauf que ça pourrait aussi le faire bannir ce nouveau compte. Logique Apple...

Et le pompon ? On lui a également suggéré de se présenter physiquement au siège australien d'Apple. Comme si le mec allait prendre un billet d'avion pour aller plaider sa cause en personne. C'est difficilement compréhensible comme réponse venant d'une boîte qui vaut 3000 milliards de dollars.

Le truc, c'est que cette histoire peut arriver à n'importe qui. Que ce soit chez Apple, Google ou Microsoft, vous êtes à la merci d'un algorithme qui décide un beau matin que votre compte est suspect. Et bonne chance pour trouver un interlocuteur prêt à mouiller sa chemise pour vous. Spoiler : y'en a pas.

Moi-même j'ai eu tellement de problèmes de synchro avec iCloud au fil des années que j'ai perdu des fichiers. C'est de la merde, vraiment. Optez pour un truc mieux si vous le pouvez.

Du coup, comment éviter ça ? L'idéal c'est l'auto-hébergement si vous avez le temps et les compétences. Sinon, au minimum, faites des backups réguliers de vos données. Pour Apple Notes par exemple, y'a un outil qui s'appelle Exporter qui permet d'exporter toutes vos notes vers du Markdown ou du HTML. Comme ça le jour où Tim Cook décide que votre tronche lui revient pas, vous aurez au moins une copie de vos données quelque part.

Bref, ne faites jamais confiance à 100% à ces plateformes avec vos données les plus précieuses. Elles peuvent vous couper l'accès du jour au lendemain, et vous n'aurez aucun recours...

Source : hey.paris

Vous connaissez Anna's Archive , cette bibliothèque pirate qui sauvegarde tous les livres et articles scientifiques de l'humanité ? Hé bien ils viennent de s'attaquer à un nouveau chantier : sauvegarder Spotify (en tout cas le plus possible), c'est à dire des millions de morceaux + de la métadonnées, soit ~300 téraoctets de données !!

Anna's Archive se focalise normalement sur le texte (livres, et documents de recherche) parce que c'est ce qui a la plus haute densité d'information mais leur mission, c'est de préserver le savoir et la culture de l'humanité, et ça inclut donc aussi la musique. Et comme ils ont trouvé un moyen de scraper Spotify à grande échelle, ils se sont dit "Hey pourquoi pas ? On est des oufs".

Et ça donne la plus grande base de données de métadonnées musicales jamais rendue publique, avec 186 millions d'ISRCs uniques (ces codes qui identifient chaque enregistrement). Pour vous donner un ordre de grandeur, MusicBrainz n'en a que 5 millions. Niveau fichiers audio, ils ont aussi archivé environ 86 millions de morceaux, ce qui représente 99,6% des écoutes sur la plateforme (même si ça ne fait "que" 37% du catalogue total). Donc si vous écoutez un morceau au hasard sur Spotify, y'a 99,6% de chances qu'il soit dans l'archive.

Pour trier tout ça, ils ont utilisé la métrique "popularité" de Spotify qui va de 0 à 100. Ainsi, pour les morceaux avec une popularité supérieure à 0, ils ont récupéré quasiment tout en qualité originale (OGG Vorbis 160kbit/s) et pour les morceaux à popularité 0 (soit ~70% du catalogue, des trucs que personne n'écoute), ils ont réencodé en OGG Opus 75kbit/s pour gagner de la place… mais ils ne sont pas allés au bout de la longue traîne (trop de stockage pour trop peu de gain, et pas mal de contenu “bof” à popularité 0). Pour 99% des gens ça sonne pareil, même si je sais que les audiophiles vont me tuer dans les commentaires ^^.

En regardant les stats qu'ils ont produit à partir de ce qui a été scrappé, les 3 morceaux les plus populaires (Die With A Smile de Lady Gaga et Bruno Mars, BIRDS OF A FEATHER de Billie Eilish, et DtMF de Bad Bunny) ont été streamés plus de fois que les 20 à 100 millions de morceaux les moins populaires combinés. Bon, ils précisent aussi que la popularité est très dépendante du moment, donc ce top est un peu arbitraire mais ça montre à quel point la longue traîne est looooongue sur les plateformes de streaming...

Après le problème avec la préservation musicale actuelle (ce qu'on retrouve sur les sites de Torrent par exemple), c'est qu'elle se concentre uniquement sur les artistes populaires et la qualité maximale (FLAC lossless). Du coup, y'a plein de musique obscure qui ne survit que si une seule personne décide de la partager. Et ces fichiers sont souvent mal seedés. Et c'est pour ça que je trouve l'approche d'Anna's Archive plutôt pas mal car elle consiste à archiver tout ce qui existe (ou presque), même en qualité "suffisante", plutôt que de se concentrer sur un sous-ensemble en qualité parfaite.

Et comme vous vous en doutez, tout est distribué via des torrents, avec les métadonnées déjà disponibles (moins de 200 Go compressés) et les fichiers audio qui arrivent progressivement par ordre de popularité. Note la base s'arrête à juillet 2025, donc tout ce qui est sorti après peut ne pas être là (même s'il y a quelques exceptions).

Bref, c'est la première archive de préservation musicale vraiment ouverte, que n'importe qui peut mirrorer s'il a assez de stockage et voilà comment grâce à l'aide de tout le monde, le patrimoine musical de l'humanité sera protégé pour toujours des catastrophes naturelles, des guerres, des coupes budgétaires et autres désastres... Par contre, pas sûr que ça la protège de la boulimie des IA génératives.

Merci à Lilian pour l'info !

Source

Keonne Rodriguez, le développeur derrière Samourai Wallet, vient de se prendre 5 ans de taule pour avoir créé un portefeuille Bitcoin qui protégeait un peu trop bien l'anonymat de ses utilisateurs.

Samourai Wallet, c'était un portefeuille Bitcoin open source lancé en 2015 avec comme promesse de permettre aux gens d'utiliser leurs bitcoins sans que le monde entier puisse tracer chacune de leurs transactions. Le truc utilisait une technique appelée le "coin mixing" qui, pour faire simple, mélange les transactions de plusieurs personnes pour brouiller les pistes et rendre le traçage quasi impossible.

Grave erreur car ça les États n'aiment pas !

Et voilà pourquoi en avril 2024, le FBI a débarqué chez Rodriguez à 6h du matin, arme au poing, devant sa femme et ses enfants. L'accusation ? Blanchiment d'argent et exploitation d'une entreprise de transmission monétaire non autorisée. Le Département de la Justice américain affirme que plus de 237 millions de dollars de "produits criminels" seraient passés par Samourai, provenant selon eux du trafic de drogue, de marchés du darknet, de fraudes diverses et même d'un site pédopornographique.

Rodriguez maintient qu'il a juste créé un logiciel, point. Dans l'interview ci-dessous accordée à Reason Magazine juste avant son incarcération ce 19 décembre, il explique qu'il n'a jamais eu accès aux fonds des utilisateurs et qu'il ne savait pas qui utilisait son outil ni pourquoi.

Je sais pas vous, mais moi dès que j'ai un truc à écrire sur mon smartphone, je le dicte. Et que je sois sous Android ou soit iOS, je sais très bien que chaque mot que je prononce part directement sur les serveurs de Google ou Apple. Pourquoi j'ai trouvé FUTO Voice Input , intéressant parce que lui, garde tout sur votre téléphone...

C'est une appli Android qui utilise le modèle Whisper d'OpenAI pour faire de la reconnaissance vocale vraiment précise et ça tourne nickel sur un smartphone moderne. Trois tailles de modèle sont dispo : tiny, base, et small. La base suffira dans 90% des cas, mais vous pouvez basculer sur la small qui est un peu plus grosse, si vous avez un accent à couper au couteau ou si vous parlez dans le métro.

FUTO Voice Input supporte également 16 langues dont le français, l'anglais, l'allemand, l'espagnol, le japonais et plein d'autres et l'appli s'intègre directement comme clavier de saisie vocale Android, du coup elle fonctionne avec n'importe quelle application. Vous pouvez donc l'utiliser avec des claviers comme AnySoftKeyboard ou Unexpected Keyboard . Par contre, oubliez Gboard ou le clavier Samsung qui ont leur propre système verrouillé.

Le projet vient de FUTO, une organisation fondée par Eron Wolf (ex-investisseur de WhatsApp) et Louis Rossmann, le YouTubeur américain connu pour son combat pour le droit à la réparation, y bosse comme directeur de la com. Donc niveau éthique, je pense que c'est OK.

L'appli est dispo sur le Play Store, sur F-Droid, ou en APK direct d'environ 70 Mo. Y'a une version gratuite et une version payante sous forme de licence unique (pas d'abonnement, ouf) et le code source est ouvert et disponible sur GitLab.

Voilà, si vous en avez marre que vos paroles soient analysées par des serveurs à l'autre bout de la planète, FUTO Voice Input c'est une très bonne option !

Merci à PARADOXE_ pour l'info !

Vous voulez tester un service, télécharger un truc, ou vous inscrire sur un site que vous n'utiliserez probablement qu'une fois et là, une fois encore, on vous demande votre email. Alors vous pétez un câble, vous retournez votre bureau en hurlant, vous jetez votre tasse de café sur le visage de votre collègue, et vous essayez de vous suicidez en mettant frénétiquement votre langue dans la multiprise. Ne rigolez pas, ça arrive tous les jours !

Heureusement, voici une solution qui va vous permettre de contourner le problème. Ça s'appelle MephistoMail , et c'est un service d'email jetable, anonyme, et qui ne garde aucun log de vos activités. Vous allez sur le site, vous copiez l'adresse temporaire qui vous est attribuée, vous l'utilisez pour vous inscrire quelque part, et hop, les mails de confirmation arrivent dans votre inbox temporaire. Une fois que c'est fait, vous fermez l'onglet et tout disparaît.

Vous allez me dire, le concept n'est pas nouveau, y'a des dizaines de services de temp mail qui existent depuis des années. Mais MephistoMail se distingue par son approche "privacy first" assez radicale. Pas de tracking, pas de logs, pas de collecte de données et surtout l'inbox est vraiment volatile et peut être supprimée à tout moment par le système.

Du coup, y'a quelques limitations à connaître avant de vous lancer. Ce service est prévu principalement pour recevoir des emails, pas pour en envoyer. Certains sites ont également commencé à bloquer les domaines de temp mail connus, donc ça marchera pas partout. Et surtout, ne l'utilisez jamais pour des trucs sensibles comme votre banque ou des services critiques. Si vous perdez l'accès à l'inbox avant d'avoir récupéré votre lien de confirmation, c'est game over.

L'utilisation est par contre hyper simple et surtout y'a pas de compte à créer, pas de mot de passe à retenir, bref pas d'emmerdes.

Voilà, si vous en avez marre de donner votre vraie adresse mail à n'importe qui et de vous retrouver noyé sous les newsletters non désirées, MephistoMail fera bien le taf. Et en plus c'est gratuit !

-- Article en partenariat avec Incogni --

Si vous êtes comme moi, chaque fin d’année, vous faites peut-être le ménage dans vos mails, vos dossiers, parfois dans la vie pro. Mais le vrai bazar ne se trouve plus dans nos tiroirs : il est éparpillé dans des centaines de bases de données commerciales, de sites de recherche de personnes et de courtiers en données qui vendent notre profil en kit. Ces entreprises savent où vous habitez, ce que vous achetez, avec qui vous vivez, vos revenus probables, vos centres d’intérêt, parfois même votre état de santé supposé. Incogni s’attaque précisément à ce chantier invisible : faire supprimer, légalement et en continu, ces informations là où elles valent le plus pour les autres… et le moins pour vous.

Vos données se baladent partout (et vous ne les suivez plus)

Les « data brokers » vivent d’un modèle simple : collecter le maximum d’informations sur vous, les recouper puis les revendre à des publicitaires, assureurs, chasseurs de têtes, agrégateurs de profils, voire des acteurs beaucoup moins recommandables. Ils se nourrissent de formulaires, programmes de fidélité, applis, jeux « gratuits », cookies, traqueurs, fuites de sites, réseaux sociaux, etc. Une fois votre profil créé, il se duplique et se revend en boucle. Le résultat, ce sont des pubs ultra ciblées, des spams de plus en plus crédibles, une augmentation des risques d’usurpation d’identité, et la sensation désagréable d’être constamment suivi, même hors ligne. Bref c'est bien relou.

Le passage à 2026 est un moment idéal pour reprendre la main, parce que la tendance ne va pas s’inverser spontanément. Encore moins à l'époque de l'IA omniprésente. Plus on attend, plus votre « clone » numérique prend de la valeur (à chaque nouvelle information ajoutée) et plus il se multiplie. L’enjeu n’est pas de disparaître à 100% (ça c'est probablement mission impossible), mais de réduire la surface d’attaque : moins de données en circulation, moins de points d’entrée pour les arnaques, les hausses de tarifs ciblées, les fuites massives. Incogni propose d’industrialiser ce ménage, là où le faire à la main demanderait des centaines d’heures et une patience hors-norme.

Incogni : le service qui passe sa journée à dire « supprimez-moi »

L’idée d’Incogni est brutale dans le bon sens du terme : plutôt que de vous fournir des conseils abstraits, le service va directement chercher vos données chez plus de 420 courtiers et sites spécialisés, puis leur envoie des demandes de suppression en s’appuyant sur les lois en vigueur (RGPD en Europe, CCPA en Californie, PIPEDA si vous êtes au Canada, etc.). Dès l’inscription, le robot lance une première vague de requêtes, puis relance automatiquement tous les acteurs qui prennent trop leur temps. Des rapports réguliers indiquent qui a répondu, ce qui a été supprimé, ce qui est en cours, et ce qui résiste encore.

Pour l’utilisateur, tout se concentre dans un tableau de bord : on y voit les brokers contactés, le type de données qu’ils exploitent, et le statut de chaque requête (suppression confirmée, en attente, refus, relance planifiée). Les plans les plus complets ajoutent la possibilité de soumettre des demandes personnalisées sur des sites précis exposant vos infos : un vieux forum, un annuaire obscur, une base d’anciens clients, etc. Dans ces cas-là, l’équipe d’Incogni prend le relais et gère la procédure à votre place. C’est cette automatisation et ce suivi sur la durée qui font la différence avec un « grand ménage » ponctuel.

Ce que disent les chiffres (et pourquoi 2026 est le bon moment)

Incogni publie régulièrement des études sur la façon dont les gens laissent filer leurs données, notamment autour de périodes comme le Black Friday qui vient de se terminer. Une enquête récente menée aux États-Unis montre, par exemple, que les consommateurs sont nombreux à multiplier les comptes, newsletters et inscriptions « juste pour une promo », sans réfléchir à ce que deviennent leurs informations après coup. Beaucoup sous-estiment totalement le nombre de bases dans lesquelles leurs données terminent, et la durée pendant laquelle elles y restent. Certes, c’est basé sur des comportements américains, mais il n’y a aucune raison de penser que les Français, qui raffolent tout autant des bons plans et des achats en ligne, soient fondamentalement différents dans ce domaine.

Cette étude met surtout en lumière un paradoxe : les gens disent être inquiets pour leur vie privée… mais acceptent sans sourciller des conditions d’utilisation qui autorisent les marchands à revendre leurs infos. Fin 2025 / début 2026, c’est donc une fenêtre parfaite pour briser ce cercle. Après une année de formulaires, de comptes créés « juste pour voir », d’abonnements, d’inscriptions à des loteries en ligne, commencer 2026 en nettoyant tout ce qui peut l’être est un geste à la fois symbolique et très concret. Incogni se positionne précisément comme ce bouton « reset » annuel, voire permanent.

Pour les particuliers, les pros, et tous ceux qui ont mieux à faire

Une des forces d’Incogni , c’est d’être pensé aussi bien pour le particulier qui en a assez de voir son nom sur des sites de recherche de personnes, que pour la petite boîte qui doit prouver qu’elle prend la protection des données au sérieux. En entreprise, le service peut contribuer à limiter les risques de fuite de fichiers clients ou d’employés utilisés en dehors du cadre initial, tout en fournissant des rapports utiles pour les audits internes ou les échanges avec la CNIL & Co. Dans l’e‑commerce, la santé ou les services financiers, réduire ce qui traîne chez les courtiers, c’est aussi limiter l’ampleur possible d’un futur incident.

Du côté des particuliers, l’intérêt est plus instinctif : moins de spam personnalisé, moins de démarchage ciblé, moins d'appels non sollicités, moins de chances que des informations sensibles (adresse, date de naissance, numéros de téléphone, données de localisation, historique d’achat) servent à monter un dossier d’usurpation d’identité ou de scam bien ficelé. L’inscription est rapide, la prise en main se fait en quelques minutes, et les premiers résultats se voient souvent sous quelques semaines (baisse de certains spams, disparition progressive de fiches sur des sites de recherche de personnes). Certaines évaluations indépendantes mentionnent même des vérifications externes (type audit Deloitte) des cycles de relance et des promesses de suppression.

Une démarche à inscrire dans la durée… mais à commencer maintenant

Le piège, ce serait de penser qu’un gros nettoyage une fois suffit. Les data brokers continuent d’aspirer en permanence des flux venant de nouvelles sources, de nouveaux partenaires, de nouveaux formulaires. C’est pour cela qu’Incogni fonctionne plutôt comme un abonnement qu’un simple « passage unique » : le service renvoie régulièrement des demandes, vérifie que les suppressions tiennent dans le temps, et ajoute à sa liste de nouveaux courtiers au fil des mois (des dizaines supplémentaires par an, selon les retours récents). L’objectif est de maintenir votre exposition à un niveau minimum, malgré la tendance inverse du marché.

Le début 2026 est un excellent prétexte pour enclencher cette logique. Faire son bilan de l’année, nettoyer ses comptes, resserrer ses mots de passe, activer un gestionnaire , et, en parallèle, lâcher Incogni sur les courtiers en données pour qu’il fasse le travail ingrat. Le combo est simple : vous limitez ce que vous donnez à l’avenir, et un service automatisé retire ce qui traîne déjà dans la nature. Ce n’est pas de la parano, c’est de l’hygiène numérique, au même titre qu’un antivirus ou un VPN. Surfshark propose d'ailleurs le triple combo dans son offre Surfshark One .

On ne récupérera sans doute jamais un contrôle absolu sur toutes les miettes laissées au fil des années. Mais réduire le volume de données exploitables, c’est déjà reprendre l’avantage. Et si un outil peut passer ses journées à harceler les courtiers en votre nom, autant le laisser faire pendant que vous vous occupez de choses plus intéressantes que de lire des politiques de confidentialité en petits caractères (vous pouvez me préparer du pain d'épice et me l'envoyer pour mes fêtes par exemple, au hasard).

Vous avez encore quelques jours pour profiter de l'offre de fin d'année à -55%, donc ne tardez pas trop. L'abonnement standard annuel revient à 86,26€ TTC, mais en appliquant le code KORBEN55 vous économisez encore un peu plus, puisque vous ne payerez que 77,63€ TTC.

-> Cliquez ici pour obtenir Incogni au meilleur tarif <-

Vous avez des dossiers sensibles que vous aimeriez chiffrer avant de les balancer sur un cloud ou un disque externe ? Ça tombe bien, je vous ai trouvé un petit outil en Rust qui va vous plaire.

Obsidenc , c'est son nom, est un utilitaire de chiffrement que son créateur qualifie de "paranoid-grade". Et après avoir jeté un œil au code source, je peux vous dire que c'est pas du marketing puisque ce truc archive votre répertoire en TAR et le chiffre avec XChaCha20-Poly1305, un algorithme AEAD moderne qui assure à la fois la confidentialité et l'intégrité de vos données.

Côté dérivation de clé, ça utilise Argon2id conforme à la RFC 9106. Pour les non-initiés, Argon2id c'est l'algo qui a gagné le Password Hashing Competition et qui est spécifiquement conçu pour résister aux attaques par GPU et circuits spécialisés (ASIC). L'outil adapte automatiquement les paramètres à votre machine en utilisant 85% de votre RAM disponible (entre 512 Mo minimum et 2 Go maximum) afin de rendre le brute-force astronomiquement coûteux. Et si vous avez moins de RAM dispo, il compense en augmentant le nombre d'itérations.

C'est du code Rust bien propre qui utilise les bibliothèques cryptographiques RustCrypto (bien auditées par la communauté) et le code implémente des bonnes pratiques de sécurité comme le memory locking (mlock sur Unix, VirtualLock sur Windows) pour éviter que vos clés se retrouvent dans le swap, et le zeroize pour effacer la mémoire sensible après utilisation.

Vous compilez ça avec cargo build --release, puis pour chiffrer un dossier :

obsidenc encrypt ~/mon-dossier ~/mon-dossier.oen

Pour déchiffrer :

obsidenc decrypt ~/mon-dossier.oen ~/mon-dossier-dechiffre

Le mot de passe doit faire minimum 20 caractères (pas de négociation possible, déso pas déso) et vous devez le confirmer deux fois. Vous pouvez aussi ajouter un fichier de clé en plus du mot de passe pour du 2FA old-school.

L'outil a aussi quelques protections défensives sympas. Par exemple, il refuse les symlinks (vecteur d'attaque classique), limite le nombre de fichiers à 1 million et la longueur des chemins à 4096 caractères pour éviter les zip bombs. Sur les systèmes Unix, il vérifie même que votre fichier de clé n'est pas lisible par tout le monde (chmod 600 obligatoire).

Cet outil part du principe qu'un attaquant peut avoir accès à votre fichier chiffré et dispose de temps illimité pour tenter de le casser, du coup, tout est conçu pour rendre l'attaque offline la plus douloureuse possible.

Bref, si vous cherchez un moyen de sauvegarder vos dossiers sensibles de manière vraiment sécurisée avant de les balancer sur un cloud ou un disque externe, obsidenc fait le taf et en plus c'est open source (MIT/Apache 2.0) !

Vous utilisez une extension VPN gratuite sous Chrome ou Edge pour "protéger votre vie privée" ? Cool story les bro, mais si je vous disais que cette même extension enregistre peut-être toutes vos conversations avec ChatGPT, Claude, Gemini et compagnie pour les revendre à des courtiers en données (les fameux data brokers) ?

Hé bien c'est exactement ce que viennent de découvrir les chercheurs en sécurité de Koi qui ont mis le doigt sur 4 extensions très populaires comptabilisant plus de 8 millions d'utilisateurs au total : Urban VPN Proxy (6 millions à elle seule), 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker qui aspirent silencieusement tout ce que vous tapez dans vos chat IA préférées.

Le truc vicieux, c'est que ces extensions ne se contentent pas de regarder votre historique de navigation comme les trackers classiques. Non non non, elles injectent du code JavaScript directement dans les pages des chatbots IA quand vous les visitez et ça modifie les fonctions de base du navigateur (fetch() et XMLHttpRequest pour les techos) pour intercepter absolument tout ce qui passe entre vous et l'IA.

Vos prompts, les réponses du chatbot, les métadonnées de conversation, tout est aspiré et envoyé vers les serveurs analytics.urban-vpn.com et stats.urban-vpn.com. Et le pire c'est que cette collecte continue en arrière plan même quand le VPN est désactivé. Bye bye tous vos secrets.

Derrière ces extensions se cache Urban Cyber Security Inc., une boîte affiliée à BiScience, un courtier en données bien connu des chercheurs en sécurité. Ces gens-là sont passés de la collecte d'historique de navigation à la collecte de conversations IA complètes, soit un niveau de sensibilité bien supérieur vu ce qu'on peut raconter à une IA (questions médicales, code propriétaire, problèmes personnels, données financières...).

Et devinez quoi ? Ces extensions arboraient fièrement le badge "Featured" sur le Chrome Web Store et le Microsoft Edge Add-ons, censé garantir que Google et Microsoft ont vérifié leur sécurité. Nos deux géants américains ont donc validé des extensions qui violent directement leur propre politique d'utilisation limitée des données utilisateurs.

Bref, si vous avez installé une de ces extensions et utilisé ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok ou Meta AI depuis juillet de cette année, partez du principe que toutes ces conversations sont maintenant sur les serveurs d'un data broker et potentiellement revendues à des annonceurs.

La morale de l'histoire, c'est que dans le cas des VPN gratuits, le produit c'est littéralement tout ce que vous faites en ligne. Donc si vous voulez vraiment protéger votre vie privée avec un VPN, mieux vaut payer quelques euros par mois pour un service sérieux comme NordVPN ou Surfshark qui n'a pas besoin de revendre vos données pour survivre.