Keonne Rodriguez, le développeur derrière Samourai Wallet, vient de se prendre 5 ans de taule pour avoir créé un portefeuille Bitcoin qui protégeait un peu trop bien l'anonymat de ses utilisateurs.

Samourai Wallet, c'était un portefeuille Bitcoin open source lancé en 2015 avec comme promesse de permettre aux gens d'utiliser leurs bitcoins sans que le monde entier puisse tracer chacune de leurs transactions. Le truc utilisait une technique appelée le "coin mixing" qui, pour faire simple, mélange les transactions de plusieurs personnes pour brouiller les pistes et rendre le traçage quasi impossible.

Grave erreur car ça les États n'aiment pas !

Et voilà pourquoi en avril 2024, le FBI a débarqué chez Rodriguez à 6h du matin, arme au poing, devant sa femme et ses enfants. L'accusation ? Blanchiment d'argent et exploitation d'une entreprise de transmission monétaire non autorisée. Le Département de la Justice américain affirme que plus de 237 millions de dollars de "produits criminels" seraient passés par Samourai, provenant selon eux du trafic de drogue, de marchés du darknet, de fraudes diverses et même d'un site pédopornographique.

Rodriguez maintient qu'il a juste créé un logiciel, point. Dans l'interview ci-dessous accordée à Reason Magazine juste avant son incarcération ce 19 décembre, il explique qu'il n'a jamais eu accès aux fonds des utilisateurs et qu'il ne savait pas qui utilisait son outil ni pourquoi.

Je sais pas vous, mais moi dès que j'ai un truc à écrire sur mon smartphone, je le dicte. Et que je sois sous Android ou soit iOS, je sais très bien que chaque mot que je prononce part directement sur les serveurs de Google ou Apple. Pourquoi j'ai trouvé FUTO Voice Input , intéressant parce que lui, garde tout sur votre téléphone...

C'est une appli Android qui utilise le modèle Whisper d'OpenAI pour faire de la reconnaissance vocale vraiment précise et ça tourne nickel sur un smartphone moderne. Trois tailles de modèle sont dispo : tiny, base, et small. La base suffira dans 90% des cas, mais vous pouvez basculer sur la small qui est un peu plus grosse, si vous avez un accent à couper au couteau ou si vous parlez dans le métro.

FUTO Voice Input supporte également 16 langues dont le français, l'anglais, l'allemand, l'espagnol, le japonais et plein d'autres et l'appli s'intègre directement comme clavier de saisie vocale Android, du coup elle fonctionne avec n'importe quelle application. Vous pouvez donc l'utiliser avec des claviers comme AnySoftKeyboard ou Unexpected Keyboard . Par contre, oubliez Gboard ou le clavier Samsung qui ont leur propre système verrouillé.

Le projet vient de FUTO, une organisation fondée par Eron Wolf (ex-investisseur de WhatsApp) et Louis Rossmann, le YouTubeur américain connu pour son combat pour le droit à la réparation, y bosse comme directeur de la com. Donc niveau éthique, je pense que c'est OK.

L'appli est dispo sur le Play Store, sur F-Droid, ou en APK direct d'environ 70 Mo. Y'a une version gratuite et une version payante sous forme de licence unique (pas d'abonnement, ouf) et le code source est ouvert et disponible sur GitLab.

Voilà, si vous en avez marre que vos paroles soient analysées par des serveurs à l'autre bout de la planète, FUTO Voice Input c'est une très bonne option !

Merci à PARADOXE_ pour l'info !

Vous voulez tester un service, télécharger un truc, ou vous inscrire sur un site que vous n'utiliserez probablement qu'une fois et là, une fois encore, on vous demande votre email. Alors vous pétez un câble, vous retournez votre bureau en hurlant, vous jetez votre tasse de café sur le visage de votre collègue, et vous essayez de vous suicidez en mettant frénétiquement votre langue dans la multiprise. Ne rigolez pas, ça arrive tous les jours !

Heureusement, voici une solution qui va vous permettre de contourner le problème. Ça s'appelle MephistoMail , et c'est un service d'email jetable, anonyme, et qui ne garde aucun log de vos activités. Vous allez sur le site, vous copiez l'adresse temporaire qui vous est attribuée, vous l'utilisez pour vous inscrire quelque part, et hop, les mails de confirmation arrivent dans votre inbox temporaire. Une fois que c'est fait, vous fermez l'onglet et tout disparaît.

Vous allez me dire, le concept n'est pas nouveau, y'a des dizaines de services de temp mail qui existent depuis des années. Mais MephistoMail se distingue par son approche "privacy first" assez radicale. Pas de tracking, pas de logs, pas de collecte de données et surtout l'inbox est vraiment volatile et peut être supprimée à tout moment par le système.

Du coup, y'a quelques limitations à connaître avant de vous lancer. Ce service est prévu principalement pour recevoir des emails, pas pour en envoyer. Certains sites ont également commencé à bloquer les domaines de temp mail connus, donc ça marchera pas partout. Et surtout, ne l'utilisez jamais pour des trucs sensibles comme votre banque ou des services critiques. Si vous perdez l'accès à l'inbox avant d'avoir récupéré votre lien de confirmation, c'est game over.

L'utilisation est par contre hyper simple et surtout y'a pas de compte à créer, pas de mot de passe à retenir, bref pas d'emmerdes.

Voilà, si vous en avez marre de donner votre vraie adresse mail à n'importe qui et de vous retrouver noyé sous les newsletters non désirées, MephistoMail fera bien le taf. Et en plus c'est gratuit !

Si vous cherchez un utilitaire en ligne de commande simple à utiliser qui permette de transférer des fichiers et des répertoires entre 2 ordinateurs, voici un projet très cool qui mérite vraiment le coup d'œil.

Le projet s'appelle Croc et il permet d'envoyer ou recevoir des fichiers au travers d'Internet via un serveur relais, directement depuis le terminal, et cela aussi bien depuis un Mac qu'un Linux ou un Windows. Les transmissions sont chiffrées de bout en bout à l'aide de la méthode PAKE (Password-Authenticated Key Exchange), ce qui permet de générer des clés de chiffrement robustes même à partir de mots de passe faibles. Du coup, même si quelqu'un intercepte votre code de transfert, il ne pourra pas décrypter vos données.

Vous pouvez transférer plusieurs fichiers en même temps, et si par malheur un transfert est interrompu, Croc saura automatiquement le reprendre. Et si vous voulez vraiment améliorer les choses niveau confidentialité, vous pouvez même spécifier un proxy Tor.

L'outil fonctionne sans avoir besoin de configurer quoi que ce soit côté réseau. Pas de serveur à installer, pas de port forwarding à configurer sur votre box, ça passe à travers les firewalls et les NAT sans broncher. Et le petit plus sympa, c'est qu'il supporte IPv6 en priorité avec fallback IPv4.

Pour l'installer, c'est hyper simple. Avec curl :

curl https://getcroc.schollz.com | bash

Sur Mac avec Homebrew :

brew install croc

Sur Windows avec Scoop ou Chocolatey :

scoop install croc

choco install croc

Y'a aussi des packages pour Arch (pacman), Fedora (dnf), Nix, Conda, et même une image Docker si vous préférez.

Pour envoyer un fichier, vous tapez :

croc send FICHIER_OU_DOSSIER

Vous obtiendrez alors un code (genre trois mots random) que vous devrez transmettre à votre destinataire. Celui-ci n'aura qu'à entrer :

croc LE-CODE-RECU

Et hop, la connexion s'établit et le fichier se transfère direct. Vous pouvez même envoyer du texte au lieu d'un fichier avec :

croc send --text "votre message secret"

Et pour les paranos qui ne veulent faire confiance à personne, il est possible de lancer votre propre serveur relais avec :

croc relay

Du coup vous n'êtes plus dépendant des relais publics et tout reste chez vous.

Bref, Croc c'est le genre d'outil qu'on installe une fois et qu'on utilise durant des années car c'est simple, efficace, sécurisé. Et comme ce projet a plus de 33 000 étoiles sur GitHub, je pense que c'est pas juste moi qui trouve ça cool...

Article publié initialement le 15/12/2021 et mis à jour le 19/12/2025

Vous vous souvenez de mes conseils bien chiants sur l'importance de faire des backups ? Mais siii, ceux que je vous rabâche régulièrement depuis des années et que vous ne suivez pas du tout ?

Hé bien voici une histoire qui va vous donner envie de les suivre une bonne fois pour toutes (enfin j'espère... ^^) !

Dr Paris Buttfield-Addison, est basé en Australie et c'est un développeur Apple depuis 25 ans et le mec a écrit plus de 20 bouquins sur Objective-C et Swift, et co-organise le plus ancien événement développeur Apple non-officiel... Bref, c'est pas un random qui a téléchargé une app météo une fois. C'est un évangéliste Apple depuis 30 ans.

Et bien du jour au lendemain, son compte Apple ID a été fermé sans aucune explication. Et bien sûr, impossible de faire un recours.

L'élément déclencheur de sa mésaventure c'est qu'il a essayé de racheter une carte cadeau Apple de 500 dollars pour payer son abonnement iCloud+ de 6 To. Le code a foiré, le vendeur lui a proposé un remplacement, et quelques temps après... boom, compte verrouillé.

Résultat, environ 30 000 dollars de matos Apple devenu inutilisable, des milliers de dollars de logiciels et médias achetés auxquels il n'a plus accès, plus d'iMessage non plus, et surtout des téraoctets de photos de famille qu'il ne peut plus récupérer.

Voilà comment 25 ans de souvenirs et de boulot se sont fait vaporiser...

Et le support Apple n'a pas dit grand chose à part que le compte a été fermé pour "non conformité avec les conditions". Pas d'autre explication ni possibilité de faire escalader sa demande au support. Tout ce qu'on lui a conseillé c'est de créer un nouveau compte...

On lui a également suggéré de se présenter physiquement au siège australien d'Apple comme si le mec allait prendre un billet d'avion pour aller plaider sa cause en personne. Bref, c'est bizarre comme réponse venant d'une boîte qui vaut 4000 milliards de dollars.

Le truc, c'est que cette histoire peut arriver à n'importe qui. Que ce soit chez Apple, Google ou Microsoft, nous sommes tous à la merci d'un algorithme qui décide un beau matin que notre compte est suspect ou à la bonne humeur de Donald Trump comme ce qui est arrivé à ce juge . Et bonne chance pour trouver un interlocuteur prêt à mouiller sa chemise pour vous...

Moi-même j'ai eu tellement de problèmes de synchro avec iCloud au fil des années que j'ai perdu des fichiers. C'est de la grosse merde donc optez pour un truc mieux si vous le pouvez.

Alors du coup, comment on évite ça ?

L'idéal c'est bien sûr l'auto-hébergement si vous avez le temps et les compétences (Oui, c'est gratuit que si votre temps ne vaut rien...sinon, faut relever les manches un peu ^^). Sinon, au minimum, faites des backups réguliers de vos données. Pour Apple Notes par exemple, y'a un outil qui s'appelle Exporter que j'aime beaucoup qui permet d'exporter toutes vos notes vers du Markdown ou du HTML comme ça le jour où Tim Cook décide que votre tronche lui revient pas, vous aurez au moins une copie de vos données quelque part.

Bref, ne faites jamais confiance à 100% à ces plateformes avec vos données les plus précieuses. Elles peuvent vous couper l'accès du jour au lendemain, et vous n'aurez aucun recours comme ce pauvre évangéliste qui a consacré sa vie à Apple...

Vous vous souvenez des histoires d’employés Samsung qui ont balancé du code source confidentiel dans ChatGPT en 2023 ? Hé bien ce genre de bourde n’a pas disparu, bien au contraire. Un rapport d’ Harmonic Security sorti en fin d’année dernière estimait que près de 80% des données exposées via les IA génératives passent par ChatGPT et plus de 40% des fichiers envoyés contiennent des infos sensibles. Email du boss, clé API, numéro de carte… on balance tout ça sans réfléchir dans nos prompts.

Du coup, y’a un super projet open source qui vient de sortir sur GitHub pour mettre un garde-fou entre vos doigts et vos conneries potentielles. Ça s’appelle PrivacyFirewall et c’est une extension Chrome qui intercepte ce que vous tapez ou collez dans ChatGPT, Claude ou Gemini avant que ça parte chez eux.

L’extension scanne en temps réel ce que vous écrivez et si elle détecte un email, un numéro de téléphone, une clé AWS, un token JWT ou n’importe quel pattern qui ressemble à une donnée sensible, elle bloque le collage et affiche une alerte. Vous pouvez bien sûr forcer l’envoi si vous êtes sûr de vous, mais au moins vous êtes prévenu.

Y’a deux modes de fonctionnement. Le mode “Lite” utilise des regex et tourne directement dans l’extension sans rien installer. C’est instantané et ça attrape déjà pas mal de trucs comme les emails, les numéros de cartes bancaires, les adresses IP, les clés privées et les patterns d’API. Et sinon, le mode “IA” est plus costaud puisqu’il fait tourner un modèle BERT en local sur votre machine via FastAPI mais là ça détecte aussi les noms de personnes, les organisations, les lieux… bref tout ce qui pourrait identifier quelqu’un dans vos données.

Et le truc important, vous l’aurez compris, c’est que tout se passe en local. Aucune données transmises à l’extérieur, zéro télémétrie, pas de tracking. Vous pouvez même vérifier dans les DevTools de Chrome que rien ne sort de votre machine.

Pour l’installation, vous clonez le repo GitHub , vous chargez l’extension en mode développeur dans Chrome, et c’est parti. Si vous voulez le mode IA, faut lancer un petit serveur Python en local qui va télécharger le modèle BERT la première fois (environ 400 Mo). Après ça, le serveur tourne sur localhost et l’extension communique avec lui.

Le projet est encore en beta mais il est déjà utilisable. Y’a aussi un concurrent qui s’appelle Prompt Firewall sur le Chrome Web Store si vous voulez comparer les approches mais PrivacyFirewall a l’avantage d’être totalement transparent niveau code et de proposer la détection NER en plus des regex.

Bref, c’est pas forcément pour tout le monde mais si vous manipulez des données sensibles au boulot et que vous utilisez des IA au quotidien, ça peut vous éviter de belles boulettes. Surtout que maintenant avec la mémoire persistante de ChatGPT, les infos que vous balancez par erreur peuvent rester stockées bien plus longtemps qu’avant.

Amazon vient d’annoncer un truc qui va faire plaisir à tous les lecteurs d’ebooks. A partir du 20 janvier 2026, les auteurs auto-édités pourront proposer leurs ebooks sans DRM en formats EPUB et PDF via la plateforme KDP (Kindle Direct Publishing). Vous pourrez enfin télécharger vos achats dans un format lisible ailleurs que sur Kindle et ça, ça fait plaisir parce que DeDRM ça commençait à bien faire ^^.

Toutefois, cette décision d’activer ou non le DRM reste entre les mains des auteurs et vu les réactions sur les forums KDP, beaucoup risquent de garder les verrous en place. Pour les titres déjà publiés, rien ne change automatiquement et les auteurs qui le souhaitent devront se connecter au portail KDP et modifier manuellement les paramètres de chaque livre s’ils veulent proposer les versions sans DRM. Et Amazon dans sa grande bonté, prévient que les modifications prendront jusqu’à 72 heures pour être effectives…

Donc si vous désactivez le DRM sur vos ouvrages, tous les acheteurs vérifiés pourront télécharger les fichiers EPUB et PDF. Et si vous réactivez le DRM plus tard, les nouveaux téléchargements dans ces formats seront bloqués. Rassurez-vous quand à vos royalties, elles restent identiques dans les deux cas.

Ce qui est dingue dans cette histoire, c’est qu’Amazon renforce en parallèle le DRM sur ses liseuses Kindle de 11e et 12e génération. Une mise à jour récente a en effet introduit un nouveau système de protection qui empêche les utilisateurs de sauvegarder leurs ebooks, sauf en jailbreakant l’appareil. Ils ont aussi supprimé la possibilité de télécharger et transférer des livres via USB.

Du coup, d’un côté Amazon ouvre une porte aux formats ouverts pour les auteurs indépendants, et de l’autre ils cadenassent encore plus leur écosystème Kindle pour les éditeurs traditionnels. La grande majorité des livres sur le Kindle Store restera donc protégée par DRM…

Bref, pour les lecteurs qui jonglent entre différentes plateformes (Apple Books, Google Play, Kobo et j’en passe), ça pourrait quand même faciliter les choses puisque vous pourrez importer vos achats KDP sans protection dans la liseuse de votre choix.

Mais encore faut-il que les auteurs jouent le jeu ? On verra bien !

Source

Y’a un truc que j’adore avec Apple, c’est quand ils nous font des petits moves de génie en douce, sans que personne s’en rende compte. Et en voici un que John Gruber de Daring Fireball vient de débusquer.

Vous ne le savez peut-être pas mais la Russie vient de bloquer des tas de services comme Whatsapp, Snapchat ou encore FaceTime sur son territoire. Officiellement, c’est parce que le FSB (les services secrets russes) ne peut pas espionner les appels chiffrés de bout en bout.

Toutefois, bizarrement, iMessage continue de fonctionner là-bas.

Alors pourquoi ?

Hé bien parce qu’Apple a conçu iMessage de façon à ce qu’il soit techniquement impossible à bloquer sans casser toutes les notifications push de l’iPhone. Et ça, les amis, c’était apparemment prévu dès le départ, car quand Apple a lancé iMessage en 2011, les opérateurs télécom ne désiraient qu’une chose : LE BLOQUER !

Pensez donc, un service de messagerie gratuit qui allait tuer leur poule aux SMS d’or ! Sauf qu’Apple avait anticipé le coup et a fait en sorte qu’iMessage utilise le même canal que le service APNs (Apple Push Notification Service), c’est à dire celui qui gère TOUTES les notifications de TOUTES vos apps. Ainsi, si vous bloquez iMessage sur un réseau, vous bloquez aussi les notifs de Gmail, Twitter, WhatsApp, et absolument tout le reste. Et pour les opérateurs, c’était inacceptable commercialement car ils auraient perdu des millions de clients en plus de se prendre un procès au cul de la part d’Apple.

Et c’est exactement pour cette même raison que iMessage fonctionne encore aujourd’hui contre les régimes autoritaires. La Russie peut donc bloquer FaceTime parce que c’est un service séparé avec ses propres ports mais iMessage c’est tellement imbriqué dans l’infrastructure de base d’iOS que le bloquer reviendrait à rendre les iPhone à moitié inutilisables.

Et aucun pays ne peut se permettre ça, même pas la Chine.

Après, la Russie n’est pas tendre avec le reste des messageries. Facebook, Instagram, Twitter, Discord, LinkedIn , tous sont bloqués et YouTube est tellement ralenti qu’il est devenu inutilisable. WhatsApp et Telegram ont perdu les appels vocaux quand à Signal et Viber, ils sont bannis.

Et ce qui est malin dans le design d’Apple, c’est que tout passe par le port 5223 en TLS (ou le 443 en fallback) et les messages sont chiffrés de bout en bout avec des clés que même Apple ne possède pas. Donc le gouvernement russe peut regarder passer les paquets si ça l’amuse, il ne verra que du bruit. Et s’il veut filtrer ce bruit spécifiquement, il coupera aussi les notifs de toutes les apps russes.

Bref, Apple a construit un bouclier anti-censure directement dans l’architecture d’iOS, et personne ne s’en était rendu compte jusqu’à aujourd’hui. Bien joué !

Tous les détails sont sur Daring Fireball

Bonne nouvelle, les amis, Tor vient d’implémenter CGO (Counter Galois Onion) !

Si ça ne vous dit rien, c’est normal, moi non plus je ne connaissais pas, mais je vais tout vous expliquer !

Jusqu’à maintenant, le réseau Tor protégeait votre anonymat avec du chiffrement en oignon. Plusieurs couches de crypto, une par relais et ça marche bien… sauf qu’il existe une technique vicieuse qu’on appelle les attaques par tagging.

Le tagging c’est quand un attaquant modifie votre trafic chiffré à différents endroits du réseau (genre en ajoutant un marqueur invisible dans certains noeuds), puis il observe ce qui sort de l’autre côté pour vous tracer. C’est comme quand vous collez un traceur GPS dans votre voiture, sauf que là c’est des bits dans du trafic chiffré.

Et de son côté, CGO fait encore mieux que de bloquer cette attaque. En effet, il transforme chaque attaque en auto-sabotage ! Si quelqu’un modifie ne serait-ce qu’un seul bit de votre trafic chiffré, tout le message devient illisible. Et pas seulement ce message… tous les messages futurs de la session deviennent du bruit blanc irrécupérable.

Avec ça en place, l’attaquant se tire une balle dans le pied à chaque tentative.

Derrière ce système, il y a 4 cryptographes qui ont bossé très dur : Jean Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam. Ils ont publié leur recherche cette année et ça a été implémenté dans Arti, la version Rust de Tor et l’implémentation C arrive bientôt.

Ce qui change tout, c’est le calcul risque/bénéfice pour les attaquants car avant, tenter de tracer quelqu’un avait peu de conséquences si ça échouait. Mais maintenant, tenter de tracer quelqu’un détruit définitivement votre capacité à surveiller cette personne. Et vous vous en doutez, les agences de surveillance détestent perdre leur accès… Elles préfèrent observer en silence plutôt que de tout casser dans une tentative maladroite. Du coup CGO les force à choisir. Soit rester invisibles, soit tout perdre.

Et puis il y a un autre aspect génial à cette techno, c’est le forward secrecy renforcé que ça engendre car à chaque message, CGO transforme les clés de chiffrement de façon irréversible. Même si un attaquant récupère vos clés actuelles, il ne peut pas déchiffrer les messages précédents car les clés précédentes ont été broyées et remplacées à chaque étape.

CGO remplace aussi l’ancien système d’authentification qui utilisait un digest de 4 bytes par un authenticateur de 16 bytes. C’est donc bien plus costaud et plus difficile à falsifier ainsi qu’à contourner.

Comme d’hab, Tor publie l’algorithme en open source donc vous pouvez vous plonger dans le code si ça vous amuse.

Cette implémentation de CGO est encore expérimentale pour le moment, mais une fois que cela aura été éprouvé par la communauté et testé pendant plusieurs mois, voire des années, ce sera déployé officiellement dans les futurs relais, puis dans les services onion de Tor.

Voilà donc comment Tor fait de chaque tentative de surveillance un auto-sabotage irréversible, et ça les amis, c’est un message qui devrait faire réfléchir pas mal de gens dans des bureaux sans fenêtres.

Source