Gaël Musquet, mon copain hacker, me parlait déjà de tracking TPMS en 2020. Du coup, quand je vois des chercheurs publier un document de recherche en 2026 pour "découvrir" qu'on peut pister une voiture via ses capteurs de pneus, bon, comment dire... je suis pas tombé de ma chaise.

Mais faut reconnaître que l'étude en question va quand même plus loin qu'une discussion entre 2 stands au FIC. En effet, une équipe d'IMDEA Networks et d'armasuisse (le labo de défense suisse, rien que ça) a posé 5 récepteurs SDR dans une ville pendant 10 semaines. Coût du matos, environ 100 dollars par capteur, qui est en gros un Raspberry Pi 4 avec un dongle RTL-SDR à 25 balles. Et grâce à cela, ils ont capté plus de 6 MILLIONS de messages, provenant de plus de 20 000 véhicules !

un Raspberry Pi 4 avec un dongle RTL-SDR - Source

Car oui, vous ne le savez peut-être pas, mais les capteurs de pression des pneus (TPMS pour les intimes) émettent régulièrement dès que le véhicule roule, sur 433 MHz en Europe. Et ces signaux contiennent un identifiant unique... qui bien sûr est en clair ^^. Pas de chiffrement, pas d'authentification, QUE DALLE. Donc avec un logiciel open source comme rtl_433 , ça devient vite facile de capter tout ça à plusieurs dizaines de mètres à la ronde.

En croisant les identifiants captés par plusieurs récepteurs, les chercheurs ont pu reconstituer les trajets des véhicules, identifier leurs horaires de travail, détecter les jours de télétravail et même estimer les variations de charge du véhicule (et potentiellement déduire la présence de passagers, même si c'est encore approximatif). Le tout sans caméra, sans GPS, et sans accès au réseau du véhicule !

Il suffirait de trouver l'identifiant d'une voiture précise pour déclencher par exemple automatiquement un lâcher de confettis en papier parfaitement inoffensifs à son passage, si vous voyez ce que je veux dire.

Alors attention, tous les véhicules ne sont pas logés à la même enseigne. Les TPMS dits "directs" (dTPMS), qu'on trouve souvent chez Toyota, Peugeot, Citroën, Hyundai ou Mercedes, émettent ces fameux signaux radio captables. Alors que les systèmes "indirects" (iTPMS), utilisés par la plupart des modèles Volkswagen, Audi ou Skoda, se basent sur les capteurs ABS et n'émettent rien par radio. Bref, si vous roulez en Golf de base, y'a de bonnes chances que vous soyez tranquilles sur ce coup-là même si certaines versions sportives ou haut de gamme (Golf R, GTI selon les marchés) peuvent embarquer du dTPMS.

Et le pire dans tout ça c'est que la réglementation UN R155 sur la cybersécurité automobile n'impose pas explicitement le chiffrement des TPMS. En gros, les constructeurs ne sont pas forcés de sécuriser ces transmissions. Pirelli et Bosch bossent bien sur un "Cyber Tyre" en Bluetooth Low Energy, mais c'est réservé au haut de gamme et c'est pas demain que ça arrivera sur votre Clio.

Donc côté protection, soyons honnêtes, y'a pas grand-chose à faire côté utilisateur. Vous ne pouvez pas désactiver vos TPMS (c'est obligatoire depuis 2014 pour les voitures neuves en Europe), et les capteurs ne proposent aucune option de chiffrement. Sauf si vous roulez en véhicule vintage d'avant 2014, c'est open bar. Une des parades serait que les constructeurs implémentent un système de rotation d'identifiants, un peu comme le fait déjà le Bluetooth avec les adresses MAC aléatoires, mais pour l'instant on en est loin.

Pour ceux qui veulent creuser le sujet, j'avais fait une rencontre avec Gaël Musquet il y a quelques années, où il expliquait déjà comment reprendre le contrôle de nos véhicules connectés. Et si vous voulez comprendre comment on hacke une voiture de manière plus générale, c'est un rabbit hole sans fond !

Bref, la prochaine fois que vous gonflez vos pneus... dites-leur bonjour de ma part.

Source

Les Ray-Ban Meta, c'est quand même le gadget parfait pour les voyeurs technophiles. Ce sont quand même des lunettes qui filment, prennent des photos et diffusent en live... le tout sans que PERSONNE autour ne s'en rende compte (ou presque). Alors forcément, quelqu'un a fini par coder une app pour les détecter !

Nearby Glasses , c'est une application Android développée par Yves Jeanrenaud qui scanne en permanence les signaux Bluetooth Low Energy autour de vous. Chaque appareil BLE diffuse en fait des trames pour s'annoncer avec un identifiant constructeur et les lunettes caméra de Meta utilisent les IDs 0x01AB et 0x058E (Meta Platforms) ainsi que 0x0D53 (Luxottica/Ray-Ban). Donc cette app écoute ces identifiants et vous balance une alerte dès qu'elle en capte un.

La détection repose sur le RSSI, en gros la puissance du signal reçu et par défaut, le seuil est à -75 dBm, soit environ 10-15 mètres en extérieur et 3-10 mètres en intérieur. Donc c'est pas foufou non plus mais c'est configurable, évidemment. Vous pouvez donc le durcir un peu pour ne choper que les lunettes vraiment proches, ou l'assouplir pour ratisser large (au prix de faux positifs en pagaille).

Les faux positifs, parlons-en d'ailleurs... Les casques Meta Quest utilisent les mêmes identifiants constructeur, du coup ça ne marche pas à tous les coups. Par exemple, si votre voisin joue en VR, votre téléphone va sonner ! L'app détecte aussi les Snap Spectacles (0x03C2)... pour les trois personnes qui en portent encore ^^.

Ah et l'app est UNIQUEMENT pour Android. La version iOS serait "on the way" selon le développeur... faut donc pas être pressé mais au moins c'est open source (AGPL-3.0), du coup n'importe qui peut vérifier ce que l'app fait de vos données Bluetooth.

Si le sujet vous parle, vous connaissez peut-être Ban-Rays , un projet hardware à base d'Arduino et de LEDs infrarouges qui détecte les Ray-Ban Meta via infrarouge et Bluetooth ! Hé bien Nearby Glasses, c'est l'approche 100% logicielle plutôt que hardware, ce qui est plus accessible mais forcément plus limitée... pas besoin de fer à souder, cela dit ^^.

C'est une rustine mais bon, c'est mieux que de se retrouver à poil sans permission sur le web.

Source

Amazon, fournisseur officiel de mauvaises idées en matière de vie privée depuis 1870 vient de nous pondre une nouvelle trouvaille !! À partir du 25 mars, si quelqu'un vous achète un cadeau via votre liste de souhaits Amazon, le vendeur tiers récupère votre adresse de livraison. Oui, votre VRAIE adresse !! Après en tant que français on a l'habitude que tous les escrocs de la planète aient nos infos persos . Mais rassurez-vous, Amazon a trouvé une solution ! Est-ce qu'il s'agit de corriger le problème ? Que nenni !! Ils nous recommandent simplement d'utiliser une boîte postale. Sympa !

Parce que jusqu'ici, quand un pote vous envoyait un truc depuis votre wishlist, le vendeur tiers voyait votre ville et votre région... c'est déjà pas top, mais bon. Sauf que maintenant, c'est l'adresse COMPLÈTE qui part chez le vendeur. Numéro, rue, code postal, la totale...

Et vous vous en doutez, ça touche en premier lieu les créateurs de contenu, les streamers, et tous les crevards qui ont une wishlist publique pour que leur communauté puisse leur offrir des trucs net d'impôts ^^.

Donc suffit qu'un harceleur crée un faux compte vendeur sur Amazon Marketplace (La vérification d'identité ? Minimale !), met un article à 3 euros, attend qu'un fan l'achète via la wishlist de sa cible... et hop, il a l'adresse complète récupérée. Pas besoin d'être un génie. Ou alors suffit d'attendre que le vendeur tiers laisse fuiter le fichier Excel dans lequel il stocke ses commandes... La vie est toujours pleine de surprises quand il s'agit de leaker des données perso.

EDIT : Merci à Matthieu qui m'a envoyé la preuve ! Amazon.fr vient d'envoyer un email à ses utilisateurs pour confirmer que ce changement arrive bien en France à compter du 25 mars 2026. L'option permettant de restreindre les achats auprès de vendeurs tiers pour les articles de vos listes sera supprimée. Donc c'est plus une hypothèse, c'est confirmé... faites le ménage dans vos wishlists MAINTENANT.

Et côté RGPD ?

En Europe, le RGPD impose que le partage de données personnelles repose sur une base légale. Consentement explicite, intérêt légitime, ou exécution d'un contrat et pas une case pré-cochée planquée dans les CGU.

Le problème, c'est qu'Amazon change les règles du jeu en cours de route, sans demander un consentement spécifique pour ce nouveau partage d'adresse avec des tiers. Et bien sûr, le moment venu, la CNIL pourrait avoir deux mots à dire là-dessus... après, on sait comment ça se passe, les amendes mettent des années à tomber. D'ailleurs, Amazon s'est déjà pris 746 millions d'euros par le Luxembourg en 2021 pour non-respect du RGPD mais visiblement, ça ne les a pas trop calmés.

Pour ceux qui s'intéressent à la suppression de leurs données perso en ligne , c'est le genre de truc qui fait grincer des dents.

Comment protéger votre adresse ?

Maintenant concrètement, voici ce que vous pouvez faire (ça ne marche pas à 100% mais c'est mieux que rien) :

Allez dans votre compte Amazon, section "Listes" puis "Gérer la liste". Vérifiez que votre wishlist est bien en mode "Privée" si vous ne voulez pas que n'importe qui la voie. Attention, le réglage par défaut c'est "Publique"... donc si vous n'avez jamais touché à ça, c'est probablement ouvert aux quatre vents.

Et si vous VOULEZ la garder publique (streamers, créateurs), utilisez une adresse qui n'est pas votre domicile. En France, une boîte postale La Poste coûte ~50 euros par an. Y'a aussi les Amazon Locker ou les points Mondial Relay... ce qui revient quand même à dire "débrouillez-vous", j'en ai bien conscience.

Le vrai problème

Le fond du problème, vous l'aurez compris, n'est pas technique. C'est qu'Amazon traite l'adresse de livraison comme une donnée de transaction banale alors que c'est une info sensible. Mais non, une adresse postale c'est pas un numéro de commande. Et surtout ça casse tout le principe d'anonymat des wishlists surtout quand la plateforme encourage les wishlists publiques depuis des années.

Bref, c'est confirmé pour la France au 25 mars, alors prenez les devants et prévenez votre influenceur préféré de faire le switch.

Source

Votre pseudo de justicier masqué sur Reddit ne vaut plus grand-chose, les amis... En effet, des chercheurs de l'ETH Zurich viennent de prouver qu'un LLM peut retrouver votre vraie identité à partir de vos posts anonymes, avec 67% de réussite... et pour moins de 4 dollars par profil.

L' étude a été publiée sur arXiv par six chercheurs, dont Nicholas Carlini d'Anthropic (les créateurs de Claude) et le principe fait flipper. En fait ils ont mis au point des agents IA qui analysent vos commentaires publics, créent un profil structuré... ou plutôt un portrait-robot de vos habitudes et centres d'intérêt, puis ratissent des milliers de candidats pour trouver à qui ça correspond.

Budget total de l'opération : environ 2 000 dollars pour 338 profils Hacker News passés au crible. Et sur tout ça, 226 ont été identifiés correctement, 25 sont des erreurs et 86 sont des "abstentions" quand le modèle doutait trop. Ça revient à 1 à 4 dollars par profil, et quand le modèle est assez sûr de lui pour donner une réponse (donc hors abstentions), il tape juste 9 fois sur 10. Pas cher payé donc pour s'offrir la fin de votre anonymat TOTAL !

Le truc, c'est que Hacker News c'était juste l'apéro. La même technique a été lâchée ensuite sur des interviews anonymisées, des profils LinkedIn et ce bon vieux Reddit. Même recette, et surtout mêmes résultats.

Le côté obscur de cette recherche, c'est que ça ouvre encore plus la porte aux arnaques d'ingénierie sociale sur mesure, au ciblage pub ultra-personnalisé sans votre consentement, et pire... à la traque de journalistes ou d'activistes planqués derrière un pseudo...

Notez que ce taux de 67%, c'est sur des profils Hacker News où les gens qui postent beaucoup de contenu technique assez spécifique. Mais sur un compte avec trois commentaires génériques, ça ne marche pas aussi bien. Mais bon, qui poste que 3 fois sur un forum ? Le piège, c'est qu'on finit toujours par en dire plus qu'on croit...

Maintenant côté protection, attention, c'est pas la fête. Si vous voulez éviter de vous faire traquer, faudra varier votre style d'écriture entre les plateformes, éviter de balancer trop de détails perso (ville, job, stack technique) dans vos commentaires, et surtout utiliser des comptes séparés plutôt qu'un seul pseudo partout. D'ailleurs le fingerprinting de navigateur c'est déjà un problème connu, mais là on parle de fingerprinting de votre STYLE D'ÉCRITURE donc carrément autre chose !

Perso, ça confirme finalement ce qu'on savait depuis le documentaire Rien à cacher : l'anonymat en ligne c'est surtout une illusion. Sauf que maintenant, même pas besoin d'être la NSA pour lever le voile... un LLM à 4 balles suffit.

Le pseudonymat face à un LLM c'est un grillage face à une perceuse... Bon courage aux anonymes qui me lisent...

Source

Mark Zuckerberg a témoigné devant un tribunal de Los Angeles dans un procès important. Le sujet ? Les effets d'Instagram et Facebook sur la santé mentale des adolescents, avec près de 1 600 plaintes de familles et de districts scolaires américains regroupées dans cette affaire. Des documents internes accablants ont été dévoilés à l'audience.

Un procès hors norme

C'est devant la Cour supérieure de Los Angeles que le patron de Meta s'est présenté pour répondre aux accusations. Ce procès test doit déterminer si Instagram et Facebook ont contribué à dégrader la santé mentale des adolescents qui les utilisent. L'audience a démarré avec le témoignage de Kaley, une jeune femme de 20 ans qui a commencé à utiliser YouTube à 6 ans et Instagram à 9 ans. Son avocat, Mark Lanier, a déroulé devant le jury un collage de plus de 10 mètres composé de centaines de selfies qu'elle avait postés sur la plateforme. Dépression, dysmorphie corporelle, idées suicidaires : la jeune femme a décrit un parcours que des milliers d'autres familles affirment avoir vécu.

Des documents internes chocs

Et des preuves, il y en a : les avocats des plaignants ont sorti des documents internes de Meta qui datent de 2015. On y apprend qu'Instagram comptait à l'époque quatre millions d'utilisateurs de moins de 13 ans, soit environ 30 % des enfants américains de 10 à 12 ans. Un mémo de 2018 est encore plus direct : « Si on veut gagner gros avec les ados, il faut les attraper quand ils sont pré-ados ». Difficile d'être plus explicite.

Un autre document interne, daté de 2020, montre que les enfants de 11 ans avaient quatre fois plus de chances de revenir sur Facebook que les autres tranches d'âge. Zuckerberg a reconnu que les outils de protection avaient mis du temps à arriver. Il a même déclaré : « j'aurais aimé qu'on y arrive plus tôt » devant le tribunal. Sur les filtres de beauté, il a évoqué un compromis : les laisser disponibles sans les recommander.

Mais quelle défense pour Meta ?

Meta et Google, aussi visés dans cette procédure, défendent la même ligne : les réseaux sociaux ne causent pas directement de troubles psychologiques chez les jeunes. Probablement un peu embarrassés, les avocats de Meta expliquent que des dizaines de protections ont été mises en place ces dernières années, et aussi que la responsabilité incombe surtout aux parents. Le procès devrait durer six semaines, et d'autres dirigeants seront appelés à témoigner. L'enjeu dépasse clairement cette salle d'audience : si les plaignants obtiennent gain de cause, ça pourrait déclencher des milliers d'autres procédures à travers les États-Unis.

On a tous en tête un gosse qui passe ses journées sur TikTok ou Instagram, et ce procès met des visages et des chiffres sur ce problème qu'il est compliqué d'ignorer désormais. Le mémo « attrapez-les quand ils sont pré-ados » fait vraiment froid dans le dos. Reste à voir si ce procès changera quoi que ce soit, ou si dans cinq ans on en sera encore au même point, à regarder nos gamins scroller à l'infini en se disant que quelqu'un devrait faire quelque chose.

Article invité publié par Vincent Lautier .
Vous pouvez aussi me lire sur mon blog , sur Mac4ever , ou lire tous les tests que je publie ici, comme cette Webcam 4K , ou ce dock Thunderbolt 5 .

Le CNRS vient de confirmer un incident de cybersécurité qui a mené au téléchargement non autorisé de fichiers contenant des données personnelles d'anciens agents. Noms, adresses, numéros de sécurité sociale, RIB : la totale donc. L'organisme a déposé plainte et prévenu la CNIL.

Des données très sensibles

C'est ce lundi 16 février que le CNRS a informé ses agents d'une fuite de données sur un de ses serveurs. Des fichiers contenant des informations de ressources humaines ont été téléchargés sans autorisation. Et on ne parle pas de données anodines : noms, prénoms, dates de naissance, adresses postales, numéros de sécurité sociale et RIB. Le tout accompagné du statut de l'agent, du type de contrat et de la structure d'affectation. Le serveur a été isolé et arrêté dès la découverte de l'incident, et l'organisme assure que la fuite ne s'est pas propagée au reste de ses infrastructures.

Qui est concerné ?

Seuls les personnels recrutés avant le 1er janvier 2007 sont touchés, qu'ils aient été titulaires ou non. Si vous avez travaillé au CNRS après cette date, vous n'êtes pas concerné. Le nombre exact de victimes n'a pas été communiqué, mais vu la taille de l'organisme, on parle potentiellement de plusieurs milliers de personnes. Le CNRS recommande de prévenir sa banque, de surveiller ses comptes, de vérifier si ses données circulent sur haveibeenpwned.com, et de rester vigilant face aux tentatives de phishing ou d'usurpation d'identité. La CNIL et l'ANSSI ont été prévenues, et une plainte a été déposée auprès de la section cybercriminalité du parquet de Paris.

Les institutions françaises en ligne de mire

On n'est pas vraiment sur une première niveau cyberattaques sur des services de l'état. Le ministère de l'Intérieur, celui des Sports, et d'autres organismes avaient été visés. L'URSSAF a aussi confirmé une fuite touchant les données de 12 millions de salariés. Le CNRS lui-même avait été la cible d'un défacement de plusieurs de ses sous-domaines fin janvier. Deux incidents distincts, mais la tendance est claire, et c'est franchement moche.

On va quand même saluer le fait que le CNRS a communiqué rapidement, avec un communiqué officiel et une FAQ pour les personnes concernées. C'est loin d'être toujours le cas. Mais on va quand même se questionner sur le fait que des RIB et des numéros de sécu trainent sur un serveur, alors qu'on parle de données parfois veilles depuis presque 20 ans... Pourquoi ces informations étaient-elles encore accessibles ? La question du stockage prolongé de données sensibles revient sur la table, et visiblement, personne n'a encore de bonne réponse. En attendant, si vous avez porté la blouse du CNRS avant 2007, un petit tour sur votre relevé bancaire ne serait pas du luxe.

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie "Gadgets Tech" , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Les data brokers, ces intermédiaires invisibles du Web, ont transformé votre vie numérique en produit de consommation courante. Ils collectent, recoupent et monétisent des milliers de détails sur vous : adresse précise, numéros de téléphone, emails secondaires, habitudes d'achat, revenus estimés, présence sur les réseaux, même des inférences sur votre santé ou vos orientations politiques ou sexuelles. Incogni s'attaque à ce rouleau compresseur en demandant, à votre place et en continu, la suppression de ces informations chez plus de 420 courtiers, pour que votre profil cesse enfin d'être un actif coté en bourse.

Le Web aspire vos infos plus vite que vous ne pouvez cliquer sur « refuser »

On pense souvent que les fuites viennent de gros hacks spectaculaires ou sont offertes par nos sites gouvernementaux. Mais la réalité est bien plus banale et implacable. Chaque inscription à un service, chaque programme de fidélité, chaque appli « pratique », chaque extension Chrome boostée à l'IA devient une porte ouverte. Une étude récente d'Incogni sur 442 extensions Chrome alimentées par l'IA montre que 67% d'entre elles collectent des données utilisateur, 41% raflent des infos personnelles identifiables (mots de passe, historique, localisation, communications privées), et un tiers ont un impact de risque élevé en cas de compromission. Des outils comme Grammarly, DeepL ou QuillBot, avec des millions d'utilisateurs, demandent des permissions massives pour injecter du code partout et aspirer votre activité. Tout ça au nom de la « productivité ».

Ces données ne restent pas dans un coffre : elles se déversent chez les brokers, qui les raffinent et les revendent. Résultat : votre adresse exacte apparaît sur des sites de recherche de personnes, votre profil d'achat sert à des pubs invasives ou à des hausses de prix ciblées, et des escrocs utilisent ces détails pour monter des phishings crédibles. Sans intervention, votre empreinte s'alourdit d'année en année, rendant les scams plus efficaces et les usurpations d'identité plus simples à exécuter.

Incogni : l'agent qui harcèle les brokers à votre place

Plutôt que de vous laisser batailler avec des formulaires opt-out incompréhensibles et des réponses en 45 jours maximum (comme l'exige le RGPD), Incogni prend le relais dès l'inscription. Le service scanne les brokers susceptibles de détenir vos infos, envoie des demandes légales de suppression, et relance tous les 60 à 90 jours ceux qui traînent ou rechignent. Un audit Deloitte confirme que cela couvre bien 420+ brokers, avec des relances systématiques et des confirmations de suppression obtenues dans la grande majorité des cas.

Le tableau de bord de l'outil est limpide : gravité de l'exposition par broker, statut des requêtes (confirmée, en attente, refus), et même des suppressions personnalisées sur des sites hors liste standard (genre un vieux forum, un annuaire pro, un résultat Google tenace). Et ça va assez vite, avec une baisse notable des spams ciblés dès la première semaine et des fiches publiques qui s'évaporent progressivement. Si un broker ne coopère pas ? Incogni peut escalader vers les autorités de protection des données.

Pourquoi vos données dans de mauvaises mains vous coûtent cher

Avoir ses infos chez les brokers, c'est non seulement envahir sa boîte mail de pubs sur mesure, mais aussi faciliter les scams. Un appel téléphonique cherchant à vous arnaquer, un faux site de livraison avec votre adresse exacte, un mail d'« urgence bancaire » avec vos vrais détails, ou une usurpation qui passe crème parce que le voleur connaît déjà votre contexte. Les rapports sur les fraudes en ligne montrent que ces attaques exploitent précisément ces données achetées à bas prix.

Incogni brise ce cycle en rendant votre profil moins attractif : moins de détails disponibles, moins de valeur marchande, moins de copies circulant. Les retours d'utilisateurs confirment une réduction des recherches de personnes qui vous listent, des démarchages ciblés qui s'estompent, et une sérénité accrue face aux fuites futures. Le service gère aussi les relances pour que les suppressions tiennent dans le temps, transformant une corvée ponctuelle en maintenance automatique.

Prendre le contrôle : une démarche qui paye sur la durée

Le vrai pouvoir d'Incogni réside dans sa persistance. Contrairement à un ménage manuel qui s'essouffle vite, il continue d'envoyer des demandes, suit les réponses, et ajoute de nouveaux brokers au fil des mises à jour (des dizaines par an). Basé aux Pays-Bas, il respecte scrupuleusement le RGPD et d'autres régimes comme le CCPA, avec une procuration numérique qui vous décharge légalement de tout le process. Son efficacité pour les particuliers comme les pros qui veulent limiter les risques sur des listes clients ou employés n'est pas prise en défaut.

Vos données ne sont pas condamnées à rester en vente éternellement. Des lois vous donnent le droit à l'effacement, et Incogni est l'outil qui passe ses journées à l'exercer pour vous. En 2026, alors que les extensions IA et les brokers s'enhardissent, commencer par nettoyer ce qui traîne est le geste le plus concret pour reprendre les rênes. Moins de données en circulation, c'est moins de spam, moins de scams crédibles, et surtout la fin de cette sensation diffuse d'être constamment observé par des inconnus qui en savent trop long.

Au niveau du prix, ça reste constant. Vous pouvez toujours vous protéger à partir de 77,63€ TTC par année, soit -55% avec le code KORBEN55.

-> Cliquez ici pour reprendre vos données en main ! <-

Avec tout ce qui se passe en ce moment côté souveraineté numérique, je me suis dit qu'il était temps de vous parler d'une alternative à Google que beaucoup ignorent encore. En plus, j'ai passé pas mal de temps dessus ces dernières semaines, histoire de voir si ça tenait la route, alors il est temps de partager ça avec vous.

Startpage, c'est un moteur de recherche basé à Zeist aux Pays-Bas qui existe depuis 2006 et qui a une approche assez radicale : Vous donner les résultats de Google... sans que Google ne sache que vous existez.

Quand vous tapez une recherche sur Startpage, le moteur va interroger Google à votre place, récupérer les résultats, et vous les afficher. Sauf que votre IP, vos cookies, votre historique... Google n'en voit pas la couleur. C'est comme envoyer quelqu'un faire vos courses pour vous ^^.

Et là où ça devient vraiment intéressant dans le contexte actuel, c'est que Startpage est basé aux Pays-Bas. Du coup, il est soumis au RGPD et aux lois européennes sur la protection des données. Et SURTOUT PAS au Cloud Act américain qui permet aux autorités US de demander vos données même si elles sont stockées en Europe. C'est pas rien comme différence...

Bon, je dis pas que c'est parfait non plus hein. Rien ne l'est. Fin 2018, Privacy One Group, une filiale de System1 (société américaine spécialisée dans... la pub), a pris une participation majoritaire dans Startpage. L'annonce n'est tombée qu'en 2019, ce qui a fait tiquer pas mal de monde dans la communauté vie privée. PrivacyTools.io par exemple l'a même retiré de ses recommandations pendant un moment...

Mais depuis, Startpage a publié des clarifications... en fait selon eux, System1 n'a pas accès aux données de recherche, et la société reste opérée depuis les Pays-Bas avec des serveurs européens.

Côté fonctionnalités, y'a un truc que j'adore et que j'utilise quasi systématiquement depuis 3 semaines c'est le mode "Anonymous View". En fait quand vous cliquez sur un résultat de recherche, au lieu d'aller directement sur le site (qui peut alors tracker votre visite), Startpage peut ouvrir la page via un proxy. Le site que vous visitez ne voit alors que l'IP de Startpage et pas la vôtre. C'est un peu comme un proxy intégré pour chaque clic, qui bloque aussi les scripts de fingerprinting.

Pas mal non ?

D'ailleurs, niveau interface, c'est propre et sans fioritures. Y'a pas de doodles tout naze, pas de suggestions de recherche personnalisées, pas de "vous pourriez aussi aimer", pas d'Ads vers des sites frauduleux... Non, c'est comme à l'ancienne avec juste un bon vieux champ de recherche et des résultats. Ça nous change donc des pages d'accueil de Google qui sont devenues de véritables panneaux publicitaires et dans lesquelles on se perd assez vite.

Alors évidemment, y'a quelques inconvénients aussi... D'abord les résultats sont parfois un peu moins "personnalisés" que sur Google. Normal, vu qu'ils n'ont aucune idée de qui vous êtes, ils ne peuvent donc pas vous proposer le resto le plus proche de chez vous. Faudra donc parfois préciser "Paris", "Clermont-Ferrand" ou "France" dans vos recherches locales. J'ai galéré un peu au début avec ça, car on prend vite de mauvaises habitudes (merci la flemme) mais après j'ai découvert qu'on pouvait préciser ça dans les paramètres.

Et puis de temps en temps, Startpage peut avoir des ralentissements... les joies de l'intermédiation. Mais rien de rédhibitoire rassurez-vous !

Comparé à DuckDuckGo qui utilise principalement Bing comme source et qui est américain (bouuuuh, arrêtez de recommander cette bouze ^^), ou à Qwant qui galère un peu côté pertinence , Startpage offre un compromis intéressant. A savoir la qualité Google sans le tracking Google, et le tout hébergé en Europe.

Car oui avec tout ce qui se passe géopolitiquement en ce moment, je pense que c'est bien de changer un peu ses habitudes. Vous devriez essayer... Car entre les discussions sur le Cloud Act, les tensions transatlantiques sur les données personnelles, et les GAFAM américains qui aspirent nos données comme des Dyson sous amphét'... avoir une alternative européenne soumise au RGPD, c'est pas juste une question de principe. C'est une vraie question de souveraineté numérique. Les Pays-Bas, c'est pas parfait (aucun pays l'est), mais au moins c'est une juridiction où la CNIL locale a du mordant.

Maintenant pour l'utiliser, rien de sorcier. Vous allez sur startpage.com et vous pouvez même le configurer comme moteur par défaut dans votre navigateur. Attention par contre, sur certains navigateurs (Safari notamment), c'est un peu planqué dans les préférences. Y'a aussi une extension pour Firefox et Chrome si vous voulez. Et si vous voulez aller plus loin dans la protection de votre vie privée, combinez ça avec une extension qui gère vos cookies .

Et voilà, si vous en avez marre de voir des pubs ultra-ciblées qui semblent lire dans vos pensées, et d'offrir la moindre de vos requêtes aux américains, ce moteur de recherche néerlandais vaut vraiment le coup d'œil.

À découvrir ici !

Microsoft vient de confirmer qu'ils filent les clés de chiffrement BitLocker au FBI quand celui-ci débarque avec un mandat. Et même si on s'en doutait fooort, c'est la première fois qu'on a la preuve que ça arrive vraiment.

L'affaire s'est passée à Guam (une île américaine dans le Pacifique), où des agents fédéraux enquêtaient sur une histoire de fraude. Ils avaient besoin d'accéder aux ordis de suspects, sauf que les disques étaient chiffrés avec l'outil BitLocker , le chiffrement intégré à Windows. Du coup, ni une ni deux, le FBI a envoyé un mandat à Microsoft pour récupérer les clés de récupération stockées dans le cloud.

Et Microsoft a dit oui, bien sûr, voilà les clés, servez-vous, c'est cadeau !

Le truc, c'est que par défaut, quand vous activez BitLocker sur un PC avec un compte Microsoft, Windows envoie automatiquement une copie de votre clé de récupération sur les serveurs de Redmond. C'est présenté comme une fonctionnalité pratique, genre "au cas où vous oubliez votre mot de passe". Sauf que du coup, Microsoft a accès à vos clés.

Et si Microsoft a accès, le gouvernement aussi.

Côté Apple, c'est une autre histoire. J'sais pas si vous vous souvenez de l'affaire de San Bernardino en 2016 mais le FBI avait demandé à Apple de créer un firmware spécial pour désactiver les protections anti-bruteforce de l'iPhone d'un terroriste. Tim Cook avait dit non. Pas parce qu'Apple ne pouvait pas techniquement le faire, mais parce que créer cet outil aurait ouvert une brèche pour tout le monde.

Microsoft, eux, ont fait le choix inverse. Leur architecture permet explicitement de conserver une copie des clés côté serveur. Alors oui, c'est pratique si vous perdez votre mot de passe, mais c'est aussi une porte d'entrée pour quiconque a un mandat... ou autre chose.

Microsoft dit recevoir environ 20 requêtes par an pour des clés BitLocker, et qu'ils ne peuvent pas toujours y répondre, genre quand l'utilisateur n'a pas activé la sauvegarde cloud.

On s'en serait douté...

Bref, si vous utilisez BitLocker et que vous tenez vraiment à ce que vos données restent privées, désactivez la sauvegarde automatique de la clé sur le compte Microsoft.

Concrètement, pour cela vous avez deux options : utiliser un compte local au lieu d'un compte Microsoft (la clé ne sera jamais envoyée dans le cloud), ou si vous êtes sur Windows Pro/Enterprise, passer par les stratégies de groupe (gpedit.msc → Configuration ordinateur → Modèles d'administration → Composants Windows → Chiffrement de lecteur BitLocker) pour forcer la sauvegarde locale uniquement.

Autrement, vous pouvez aussi simplement sauvegarder votre clé sur une clé USB ou l'imprimer. C'est moins pratique, mais au moins elle reste chez vous.

Source

Vous pensiez avoir tout vu avec les manipulations d'images ? Les générateurs de mèmes, les filtres rigolos, tout ça... Bon, on rigole bien entre potes. Sauf que là, c'est la Maison Blanche qui s'y met et tristement c'est pas pour faire du "lol".

Je vous explique le délire. Jeudi dernier, l'administration Trump a voulu crâner sur les réseaux sociaux. Ils ont annoncé l'arrestation de plusieurs manifestants qui avaient perturbé un office religieux dimanche dernier à Cities Church (St. Paul). Ils protestaient contre un pasteur, David Easterwood, qui serait également le directeur par intérim de l'antenne locale de l'agence fédérale U.S. Immigration and Customs Enforcement (ICE).

Jusque-là, de la politique classique. Mais là où ça dérape sévère, c'est quand ils ont balancé la photo de l'une des personnes arrêtées. La dame en question s'appelle Nekima Levy Armstrong et c'est pas n'importe qui. Avocate des droits civils, ancienne présidente du chapitre de Minneapolis de la NAACP. Elle est une figure très respectée. Sur la photo originale de son arrestation, elle a un visage neutre. Digne.

Sauf que la Maison Blanche a trouvé ça trop "calme" sans doute. Alors ils ont diffusé une version de la photo manipulée numériquement pour la transformer complètement.

Résultat, sur l'image postée par le compte officiel @WhiteHouse, on voit Nekima Levy Armstrong en train de sangloter à chaudes larmes. Genre gros bébé qui chiale. Et c'est là que le venin se diffuse car ce n'est pas juste une modification esthétique.

C'est carrément une manipulation symbolique dégueulasse !

A gauche la photo IA, à droitela VRAIE photo

En faisant ça, ils activent un vieux levier bien rance : le stéréotype de la "Sapphire" ou de la " Angry Black Woman ". C'est un genre d'hyperbole qui trouve ses racines dans les représentations caricaturales du XIXe siècle (les fameux minstrel shows ) avant d'être codifié au XXe siècle.

L'idée c'est de présenter les femmes noires comme des êtres intrinsèquement hystériques, incapables de se contrôler, qui hurlent et chouinent pour un rien. C'est une technique de déshumanisation pure et simple. La Maison Blanche a transformé une opposante politique digne en caricature pleurnicharde pour lui ôter toute crédibilité.

Et quand les journalistes ont demandé des comptes, le service de presse de la Maison Blanche a renvoyé vers un post sur X de Kaelan Dorr (directeur adjoint de la communication) dont la réponse est glaciale : "L'application de la loi continuera. Les mèmes continueront." Hop. Circulez, y'a rien à voir. C'est assumé. Ils manipulent l'information, déforment la réalité pour servir un discours politique, et ils appellent ça un "mème".

Putain, que ces gens sont à vomir.

Le fond de l'histoire maintenant, c'est que ces gens demandaient justice pour Renee Good, une mère de famille abattue par un agent de l'ICE le 7 janvier dernier. L'administration invoque la légitime défense, mais des vidéos et des analyses contestent fermement cette version. Ce sont des vies brisées, des tragédies réelles et en face, on a un gouvernement qui s'amuse avec des outils IA pour transformer la douleur et la dignité en "blague" raciste.

Y'a vraiment de quoi se taper la tête contre les murs. Ça me rappelle un peu les dérives qu'on voit avec les IA qui manipulent les émotions pour du business ou de la politique. Cette technologie devrait faire avancer la science et booster la productivité mais pour l'instant, dans les mains de certains, ça sert surtout à industrialiser la haine et à maquiller le mensonge. Comme le dit souvent Mikko Hyppönen, si c'est intelligent, c'est vulnérable et là c'est pas de l'IoT, mais notre perception de la réalité déjà bien fragilisée depuis quelques années, qui est visée.

Voilà... quand la technologie sert à fabriquer de la désinformation d'État, il est grand temps, je pense, de se réveiller. Donc restez aux aguets les amis, parce que les fascistes, eux la vérité, ils s'en tamponnent le coquillard.

Source

Vous pensiez que votre imprimante de bureau était juste un objet d'un autre temps qui enchaine des bourrages papier toute la journée et vous réclame de l'encre hors de prix comme un enfant qui attend sa têtée ? Ben va falloir revoir vos priorités niveau paranoïa, parce que c'est bien plus que ça !

Une enquête du Washington Post vient en effet de révéler comment le FBI a identifié un de leurs lanceurs d'alerte grâce aux logs d'impression de son employeur. Aurelio Luis Perez-Lugones, spécialiste IT pour un sous-traitant du gouvernement américain, aurait fait des captures d'écran de documents classifiés dans un SCIF (ces salles ultra-sécurisées où même votre téléphone n'entre pas), puis les aurait collés dans Word avant de les imprimer.

Et comment ils l'ont su ?

Hé bien il semblerait que les logs d'impression de sa boîte aient joué un rôle clé dans l'enquête, en complément des caméras de vidéosurveillance, bien sûr.

Car oui, ces systèmes ne se contentent pas de noter "Jean-Michel a imprimé 47 pages le 15 janvier". Non, ils peuvent stocker le contenu intégral des documents, les métadonnées, l'heure exacte, le poste de travail utilisé...etc. En gros, votre patron sait exactement ce que vous avez imprimé, et depuis combien de temps vous essayez de photocopier votre CV en douce.

Mais le plus flippant dans cette histoire, c'est que ça ne s'arrête pas aux logs réseau puisque même votre imprimante perso à la maison, elle-même, peut vous balancer, et cela depuis des décennies...

Vous avez déjà entendu parler des révélations d'Edward Snowden sur la surveillance de masse ? Ben là, c'est pareil, mais en version papier.

En effet, depuis les années 80, la plupart des imprimantes laser couleur intègrent un système de traçage appelé Machine Identification Code (MIC). Grâce à ce système, chaque page que vous imprimez contient une grille quasi-invisible de points jaunes d'environ 0,1 millimètre, espacés d'un millimètre. Ces points encodent le numéro de série de votre machine et la date/heure d'impression, ce qui fait que n'importe quel document imprimé peut être relié à une imprimante spécifique.

C'est discret, faut de bons yeux.

Le Chaos Computer Club et l'EFF ont documenté ce système depuis des années et l'EFF maintient même une liste des fabricants qui utilisent ces mouchards (spoiler : la plupart des grandes marques y sont).

Comment vérifier si votre imprimante vous espionne

Première étape : imprimez une page avec du contenu coloré sur fond blanc. Ensuite, examinez-la sous une lumière bleue ou un microscope et là vous verrez probablement une grille de points jaunes, à peine détectables à l'œil nu.

Pour les plus techniques d'entre vous, l'outil DEDA (Dot Evidence Documentation and Analysis) développé par l'Université Technique de Dresde permet d'analyser et même d'anonymiser ces traces.

Comment auditer les logs d'impression en entreprise

Si vous êtes admin réseau ou simplement curieux de savoir ce que votre boîte enregistre, voici où chercher :

Sur Windows Server, direction la console de gestion d'impression. Les logs sont généralement dans l'Observateur d'événements sous "Applications et services" > "Microsoft" > "Windows" > "PrintService". Activez les logs "Operational" si ce n'est pas déjà fait.

Sur les imprimantes réseau, accédez à l'interface web d'administration (généralement l'IP de l'imprimante dans un navigateur). Cherchez une section "Logs", "Journal" ou "Historique des travaux". Certains modèles HP Enterprise ou Xerox stockent des semaines entières de données.

Sur les serveurs d'impression centralisés type PaperCut ou Equitrac, c'est la fête car ces solutions peuvent stocker énormément de données, du nom d'utilisateur jusqu'au contenu OCR des documents scannés si des modules ou intégrations spécifiques ont été activés.

Comment limiter ces traces

Pour les points jaunes, DEDA propose un mode d'anonymisation qui ajoute du bruit dans le pattern. C'est pas parfait, mais ça complique sérieusement le traçage !

Après pour les logs réseau, c'est plus compliqué... En entreprise, vous n'avez généralement pas le contrôle. Par contre, si c'est chez vous, désactivez simplement la journalisation dans les paramètres de votre imprimante et évitez les services cloud des fabricants.

Ah et une dernière chose : si vous imprimez des documents sensibles mes petits lanceurs d'alertes préférés, privilégiez une imprimante laser noir et blanc d'occasion payée en cash. Les modèles monochromes n'ont pas les fameux points jaunes, et une machine sans historique réseau, c'est une machine qui ne parle pas.

Encore une fois c'est difficile de lutter contre cette surveillance généralisée, mais au moins maintenant vous savez que votre imprimante n'est pas qu'un simple périphérique !

C'est potentiellement le meilleur indic de votre bureau !

Source

Aujourd'hui, on va parler d'un truc qui gratte un peu : le tracking web.

Vous savez, cette sensation d'être suivi par une armée de régies publicitaires dès qu'on clique sur un article de presse ou qu'on cherche une nouvelle paire de pompes. Bah la CNIL, via son laboratoire d innovation (le LINC), développe depuis 2013 un outil qui permet de mettre des images sur ce sentiment de persécution numérique : CookieViz .

L'outil de dataviz du LINC ( Source )

CookieViz, c'est un logiciel de dataviz en temps réel qui analyse les interactions entre un navigateur et les serveurs distants. Vous naviguez via l'outil (qui embarque son propre navigateur pour la version desktop) et celui-ci débusque les cookies et les requêtes observables envoyées vers des domaines tiers.

Et souvent, le résultat ressemble à un gros plat de cyber spaghettis où chaque fil mène à un tracker différent.

La version 2.3, publiée en juin 2022 (ça date un peu, c'est vrai) reste la référence stable du projet. Le système d'analyse a été revu pour être plus stable et le navigateur intégré est plus sécurisé et la visualisation met en avant le rôle central des places de marché publicitaires dans les mécanismes d'enchères en temps réel (RTB). Vous verrez ainsi comment un seul clic peut déclencher une cascade de connexions vers des acteurs dont vous n'avez jamais entendu parler.

Le projet est open source et disponible sur GitHub ( Source )

Alors oui, pour ceux qui se demandent comment voir les cookies de suivi sans installer un logiciel complet, les navigateurs comme Chrome ou Firefox proposent des outils rudimentaires dans leurs menus de réglages. Mais franchement, à côté de CookieViz, c'est un peu comme essayer de comprendre le trafic routier en regardant par le trou d'une serrure.

Pour les amateurs de bidouille, sachez aussi que c'est du logiciel libre sous licence GPLv3 donc vous pouvez donc aller gratter le code, l'améliorer ou simplement vérifier que la CNIL ne vous espionne pas en douce (ahaha, je plaisante hein...^^).

L'outil est dispo en version desktop pour Windows, Linux et macOS et il existe aussi une extension officiellement publiée pour Firefox , tandis que les utilisateurs de Chrome ou Opera devront passer par une installation manuelle du code depuis la branche Chromium du projet.

Moi j'ai préféré l'installé à la main comme ceci en clonant le projet :

git clone https://github.com/LINCnil/CookieViz
cd CookieViz

Puis modifiez le package.json pour utiliser une version moderne de NW.js
(la version 0.64.1 originale n'est plus disponible). Dans devDependencies, remplacez :

"nwjs-builder-phoenix": "^1.15.0"

par :

"nw": "0.92.0-sdk"

Et dans scripts, remplacez :

"start": "run --x64 --mirror https://dl.nwjs.io/ ."

par :

"start": "nw ."

Puis installez et lancez :

npm install
npm run start

Ensuite, vous voilà paré pour l'audit !

Et si vous voulez vraiment reprendre le contrôle, n'oubliez pas qu'il existe d'autres solutions complémentaires. Vous pouvez par exemple essayer d' embrouiller les sites avec User-Agent Switcher (même si c'est loin d'être une protection ultime face au fingerprinting moderne) ou carément automatiser le nettoyage avec Cookie AutoDelete . Mais perso, je trouve que pour l'aspect pédagogique et "prise de conscience", CookieViz reste un outil de premier plan.

Voilà, si vous voulez voir la gueule de votre tracking en direct et réaliser que la vie privée sur le web moderne ça n'existe pas (sauf ici), allez donc faire un tour sur le site du LINC .

De quoi verser une petite larme sur le web d'antan...

Source

TikTok vient de lâcher une info qui va faire grincer des dents tous ceux qui comme moi tiennent à leur vie privée. Le réseau social chinois va prochainement déployer dans l'Union européenne une nouvelle technologie d'intelligence artificielle dont le but est d'estimer si un compte appartient à un utilisateur de moins de 13 ans en analysant... votre comportement.

Fini le simple formulaire où l'on tape une date de naissance bidon, TikTok passe à la vitesse supérieure sous la pression des régulateurs européens. Le système va donc scanner vos infos de profil, les vidéos que vous postez, mais surtout des "signaux comportementaux".

En gros, l'algorithme va analyser comment vous interagissez avec l'app pour prédire votre tranche d'âge. Mais rassurez-vous, si l'IA vous siffle parce qu'elle pense que vous n'avez pas l'âge requis, votre compte ne sera pas banni instantanément, mais envoyé à des modérateurs humains spécialisés là dedans pour une vérification manuelle.

Après même si ça part d'une bonne intention, l'enfer en est pavé et le souci ici c'est que l'analyse comportementale sera constante. Donc si vous avez des centres d'intérêt un peu "jeunes" ou si vous utilisez l'app d'une certaine manière, vous pourriez vous retrouver flaggé par erreur. À l'inverse, un gamin un peu malin pourrait adopter un comportement "adulte" pour passer sous les radars. C'est le jeu du chat et de la souris, mais avec vos données personnelles comme mise de départ.

Et quid de la confidentialité ? Même si TikTok a travaillé en concertation avec la Commission irlandaise de protection des données (DPC) pour que le système respecte les règles de l'UE, ByteDance reste sous surveillance étroite. Je me demande où seront stockés ces signaux comportementaux et surtout à quoi ils serviront d'autre ? De mon point de vue, le risque de dérive vers un profilage publicitaire encore plus intrusif est réel avec ce genre de process...

Maintenant, si votre compte est bloqué et que vous voulez contester, TikTok proposera plusieurs options de confirmation d'âge en backup tels que :

1. Envoyer un selfie accompagné d'une pièce d'identité.
2. Effectuer une vérification par carte bancaire (via un micro-débit temporaire).
3. Utiliser un service tiers d'estimation de l'âge par analyse faciale.

En tout cas, je trouve marrant que pour "protéger les mineurs", on finisse toujours par demander encore plus de données biométriques ou bancaires à tout le monde. Données qui vont encore se retrouver sur BreachForums ou je ne sais où d'ici quelques années...

Source