Cet article fait partie de ma série spéciale hackers . Bonne lecture !

Le 7 août 2019, dans le Mississippi, des centaines d'enfants rentrent de leur premier jour d'école. Cartables sur le dos, ils s'attendent à retrouver leurs parents pour raconter leur journée.

Mais à la place, ils découvrent des maisons vides ou des usines encerclées par des agents fédéraux. Ce jour-là, l'ICE (les services d'immigration américains) mène la plus grande opération de l'histoire du pays en un seul État : 680 personnes sont arrêtées, menottées et embarquées dans des camionnettes blanches.

Source

L'enquête qui a mené à ces rafles n'a pas été montée "à l’ancienne" sur un tableau en liège avec des punaises et de la ficelle rouge. Dans des affidavits et les documents obtenus via des demandes FOIA, on voit apparaître un nom de module qui revient comme un sortilège : FALCON Tipline. Un outil Palantir vendu à la branche Homeland Security Investigations (HSI) et utilisé pour centraliser, recouper et exploiter des signalements, des identités, des liens, des infos de terrain… jusqu’à planifier des actions coordonnées comme celle du Mississippi.

Le plus "magique" (façon Mordor), c'est que tout ça s'appuie sur un contrat très concret, très administratif, qui décrit FALCON comme une plateforme de recherche fédérée et d’analyse, capable de faire parler ensemble des bases de données qui n'étaient pas censées se rencontrer. Voilà. Rien de secret... Juste le genre de PDF qui sent la paperasse… mais qui peut briser des vies.

Mais si cette logistique monstrueuse a pu être déployée avec une telle précision chirurgicale, c'est grâce à une technologie dont vous n'avez peut-être jamais entendu parler, mais qui sait déjà probablement tout de vous.

Son nom ? Palantir.

Pour comprendre comment une startup de la Silicon Valley est devenue l'œil de Sauron qui surveille le monde, il faut remonter au début des années 2000. On est juste après le 11 septembre. L'Amérique est en état de choc et ses agences de renseignement cherchent désespérément un moyen de "connecter les points" (connect the dots comme ils disent...) pour prévenir la prochaine attaque.

Le Pentagone essaie bien de lancer un programme de surveillance totale appelé Total Information Awareness, mais le projet est jugé trop orwellien et se fait descendre par l'opinion publique en 2003. C'est exactement à ce moment-là que Peter Thiel décide de fonder Palantir Technologies avec Stephen Cohen, Joe Lonsdale, Nathan Gettings et Alex Karp.

Ce qui est "marrant", c’est qu’on a enterré le programme (trop visible, trop caricatural), mais pas l’idée. Palantir arrive pile au bon moment : la même promesse, mais emballée dans un joli paquet cadeau d'outil d’analyse, vendue par une boîte privée, et surtout, développée directement avec les gens qui allaient s’en servir.

La surveillance version startup, avec des NDA, des badges et des salles sans fenêtre était née...

Peter Thiel, c'est un personnage à part dans la tech. Co-fondateur de PayPal, premier investisseur de Facebook, libertarien pur jus et fan absolu de J.R.R. Tolkien. Le nom "Palantir" vient d'ailleurs du Seigneur des Anneaux puisque ce sont ces pierres de vision qui permettent de voir à travers le temps et l'espace.

Le truc, c'est que chez PayPal, Thiel et son équipe avaient déjà développé des algorithmes de détection de fraude super performants baptisés "Igor". C'est pour cela que Thiel s'est dit "Hé, et si on appliquait ces mêmes méthodes de traque financière à la lutte antiterroriste ?"

Peter Thiel ( source )

Le problème, c'est qu'en 2004, personne à la Silicon Valley ne veut toucher à la défense. Les investisseurs flippent, du coup, Thiel et son fonds d'investissement posent environ 30 millions de dollars pour couvrir les premiers coûts et vont chercher un allié improbable : In-Q-Tel, le fonds de capital-risque à but non lucratif soutenu par la CIA.

In-Q-Tel injecte environ 2 millions de dollars et au delà de l'argent, c'est une surtout une validation capitale pour la société. Et c'est ainsi que durant trois ans, les ingénieurs de Palantir vont bosser main dans la main avec les analystes du renseignement pour construire leur premier logiciel : Gotham.

Et quand je dis "bosser main dans la main", c’est pas une image. Leur délire, c’était d’envoyer des ingénieurs directement chez les clients, dans les agences, parfois sur site sensible, pour modeler l’outil à la demande. Pas une ESN, hein… plutôt une greffe. Tu poses le logiciel, tu poses les devs, et tu laisses la créature grandir dans l’ombre.

Pour diriger cette boîte de surveillance, Thiel choisit Alex Karp. Un mec encore plus atypique que lui. Karp est un philosophe, titulaire d'un doctorat en théorie sociale de l'université de Francfort, dyslexique, qui ne sait pas conduire et qui passe cinq heures par jour à faire du ski de fond ou du Qigong. Il vit dans une baraque perdue dans le New Hampshire et se décrit comme un "gauchiste fou", alors que Thiel est un "dingue de droite". Ce duo improbable va pourtant créer l'entreprise la plus puissante et la plus secrète de la planète.

Alex Karp ( source )

Le fonctionnement de Gotham est simple sur le papier, mais terrifiant en pratique. Pensez à un aspirateur géant capable d'ingérer n'importe quel type de donnée : Imagerie satellite, rapports d'interrogatoires, conversations sur les réseaux sociaux, fichiers fiscaux, plaques d'immatriculation, relevés bancaires. Le logiciel fusionne tout ça pour créer un "jumeau numérique" du monde réel. Si vous avez un compte chez Ladar Levison (le fondateur de Lavabit qui a hébergé Snowden) ou que vous avez été mentionné dans une écoute de la NSA, Palantir peut recréer tout votre réseau social en quelques clics.

C'est d'ailleurs avec les révélations d'Edward Snowden que le monde a commencé à entrevoir l'ampleur du truc. En 2017, des documents montrent que Palantir proposait des outils comme "XKEYSCORE Helper" pour faciliter l'analyse des données capturées par la NSA. Le logiciel permettait aux agents de naviguer dans des masses de données privées avec une fluidité déconcertante. Même si Alex Karp jure sur tous les tons qu'il protège les libertés civiles, la réalité des contrats raconte une autre histoire.

Et ce n’est pas qu’un délire "NSA / USA". Dans la même veine, des docs évoquent aussi Kite, un système custom pour le GCHQ (les espions britanniques), avec des champs et des imports extensibles pour avaler des formats de données bien tordus. Palantir, évidemment, a tenté de calmer le jeu ensuite en expliquant que "XKEYSCORE helper" n’était qu’un module périphérique et limité, pas un accès à la matrice complète…

Mais l’histoire "secrète" de Palantir a aussi un épisode qui sent la naphtaline et le scandale. En effet, en 2010-2011, des emails fuités (merci Anonymous) ont montré qu'une dream team HBGary / Berico / Palantir avait participé à la préparation d’un plan de riposte contre WikiLeaks et ses soutiens. Dans le package, on parlait de méthodes sales, de pression, et même d’idées de désinformation. Résultat, Palantir a publiquement présenté ses excuses et a coupé les ponts avec HBGary.

Je vous parle quand même d'une boîte qui a récupéré le contrat Maven Smart System (le fameux Project Maven) quand Google l'a lâché suite à la révolte de ses employés. Maven utilise l'IA pour aider les analystes militaires à identifier des cibles au milieu d'un déluge de données de surveillance.

Et aujourd'hui, Palantir est partout.

En Ukraine, Alex Karp a été le premier PDG occidental à rencontrer Zelensky après l'invasion russe de 2022. Leurs logiciels servent à faire de la fusion de données à grande vitesse (drones, satellites, sources ouvertes) pour accélérer la décision militaire. Et ça ne s'arrête pas là puisqu'en juillet 2025, l'armée américaine a signé un accord-cadre monumental jusqu'à 10 milliards de dollars sur 10 ans pour consolider et simplifier l'achat des logiciels Palantir.

Mais Palantir ne s'arrête pas aux zones de guerre. L'entreprise s'infiltre dans nos services publics. Au Royaume-Uni, un consortium mené par Palantir a décroché un contrat de 330 millions de livres pour gérer la Federated Data Platform du NHS (le système de santé national). En septembre 2025, ils ont même remis ça avec un partenariat défense annoncé par le gouvernement britannique, censé débloquer jusqu'à 1,5 milliard de livres d'investissements et faire du Royaume-Uni leur QG européen défense. En France, la DGSI a longtemps utilisé Palantir avant d'essayer de construire sa propre alternative pour retrouver sa souveraineté numérique… sauf que fin 2025, le contrat a encore été prolongé "temporairement", en attendant que l’outil souverain arrive vraiment.

Et ce qui est vraiment inquiétant avec Palantir, c'est ce qu'ils proposent en matière de "police prédictive". Par exemple, à Los Angeles ou à la Nouvelle-Orléans, leurs algorithmes ont été utilisés pour tenter d'identifier des zones ou des individus à risque. En gros, le logiciel décide si vous avez le profil d'un futur délinquant en analysant vos liens sociaux et vos antécédents. À la Nouvelle-Orléans, le programme a même tourné pendant des années dans une discrétion quasi totale, sans que le conseil municipal ne soit vraiment au courant, jusqu'à ce que la presse sorte l'affaire. Des audits ont d'ailleurs montré que ces systèmes pouvaient renforcer les préjugés et cibler injustement certaines communautés. Tu m'étonnes...

Exemple de dashboard de police prédictive ( source )

Aujourd'hui, Palantir est cotée en bourse et sa valorisation explose littéralement (on parle d'environ 430 milliards de dollars début 2026). Alex Karp a réussi son pari à savoir rendre la surveillance de masse extrêmement rentable. L'entreprise vise d'ailleurs un chiffre d'affaires annuel autour de 4,4 milliards de dollars sur 2025, porté par sa nouvelle plateforme d'IA (AIP) et ses "agents" autonomes capables de structurer n'importe quelle base de données en un clin d'œil. Mais comme dans Tolkien, les palantír sont des outils dangereux. Celui qui les utilise peut être lui-même observé et corrompu.

Alors, faut-il avoir peur de Palantir ? Clairement oui !

Quand on voit comment Snowden explique la surveillance aujourd'hui, on comprend que Palantir est l'outil qui rend l'espionnage d'État accessible à n'importe quel analyste, sans qu'il ait besoin d'être un génie du code. C'est la démocratisation d'Orwell à grande échelle.

Bref, la prochaine fois que vous entendrez parler d'une startup qui veut "aider les gouvernements à mieux gérer leurs données", rappelez-vous de l'histoire du Mississippi en 2019 et de Palantir car derrière les beaux discours sur la sécurité, il y a souvent des algorithmes invisibles et des pierres de vision qui ne dorment jamais.

Sources :

• The Guardian - NHS Palantir Contract
• Amnesty International - Palantir Human Rights Risk
• The Intercept - How Palantir helped the NSA
• Bloomberg - Palantir and Israel Strategic Partnership
• Reuters - US Army contract and Maven prototype
• VICE - Comment Palantir est utilisé lors des raids ICE
• ICE (FOIA) - Contrat Palantir / HSI (FALCON)
• The Guardian - Documents FOIA sur la relation ICE / Palantir (Falcon, etc.)
• TechCrunch - Palantir et Cambridge Analytica (lien "personnel" d’un employé)
• TechCrunch - XKEYSCORE Helper & Kite (GCHQ)
• Palantir (blog) - Correcting the record (XKEYSCORE Helper)
• Forbes - Palantir s’excuse (affaire WikiLeaks / HBGary)
• The Verge - Le programme de police prédictive secret à la Nouvelle-Orléans
• Reuters - Accord-cadre US Army
• U.S. Army - Enterprise Agreement avec Palantir (31 juillet 2025)
• Gouvernement britannique - Partenariat défense avec Palantir (septembre 2025)
• Defense News - Karp rencontre Zelensky (2022)
• Reuters - Palantir et le targeting en Ukraine
• Next.ink - La DGSI renouvelle encore son contrat avec Palantir (décembre 2025)

Voici Intercepteurs, un documentaire réalisé par Salim Keddouh et Maxence Saugrain qui vient de sortir sur YouTube et qui va probablement vous faire regarder votre écran différemment.

Vous connaissez peut-être l'adage : "Sur Internet, personne ne sait que vous êtes un chien". Sauf que là, c'est l'inverse. Les Enfants d’Argus , une association de bénévoles fondée en 2020, font en sorte d'éviter que les prédateurs ne découvrent qu'ils parlent à... un adulte planqué derrière son PC.

Si vous avez installé une app récemment, vous avez surement remarqué le petit popup RGPD qui vous demande votre consentement pour les cookies et le tracking. Vous cliquez évidemment sur "Refuser" en vous disant que c'est réglé... Ben en fait... non.

Des chercheurs ont passé au crible 400 applications mobiles populaires (200 sur Android, 200 sur iOS) et résultat, 100% d'entre elles violent au moins une exigence du RGPD. Et près de la moitié de ces apps continuent à contacter des trackers MÊME APRÈS que vous ayez dit non.

Sympa le "consentement" !

Du coup, plutôt que de vous laisser vous faire gauler par ces mouchards, je vous propose un petit guide pour auditer vous-même les apps que vous utilisez. Sans vous prendre la tête, promis.

Ce qu'il vous faut

• Un téléphone Android (iOS, c'est plus compliqué, Apple verrouille tout)
• TrackerControl , l'outil d'audit qu'on va utiliser
• 10 minutes de votre temps
• L'option "Sources inconnues" activée dans les paramètres sécurité d'Android (l'app n'est pas sur le Play Store...)

Étape 1 : Installer TrackerControl

TrackerControl est donc un outil open source développé par des chercheurs. La bestiole analyse le trafic réseau de chaque app pour détecter les connexions vers des serveurs de tracking.

Rendez-vous sur le GitHub du projet et téléchargez l'APK. Installez-le en autorisant temporairement les sources inconnues.

Étape 2 : Lancer l'audit

Une fois installé, TrackerControl se comporte comme un VPN local (vos données ne sortent pas de votre téléphone, rassurez-vous). Activez-le et lancez l'app que vous voulez auditer.

L'outil va alors intercepter toutes les connexions sortantes et les classer : publicité, analytics, tracking social, fingerprinting... Y'a de quoi faire le tri !

L'interface de TrackerControl - sobre mais efficace ( Source )

Étape 3 : Interpréter les résultats

Ce qu'il faut surveiller :

• Connexions AVANT toute action : Si l'app contacte des trackers dès son lancement, avant même que vous ayez vu un popup de consentement, c'est une violation du critère "Prior consent"
• Connexions APRÈS refus : Relancez l'app après avoir refusé le tracking. Si des connexions partent quand même vers Google Analytics, Facebook ou autres... bingo !
• Le nombre de domaines contactés : Une app de lampe torche qui contacte 15 serveurs différents, c'est suspect (oui ça existe)

Détail des trackers détectés - on voit tout ce qui sort ( Source )

Les 6 critères RGPD que les apps violent

L'étude suivante a identifié six types de violations :

• Prior : L'app collecte VOS données avant de vous demander votre avis
• Informed : On vous dit pas vraiment ce qu'on fait avec vos données
• Freely-given : Pas le choix, c'est "accepte ou dégage"
• Specific : Le consentement est trop vague, genre "améliorer nos services"
• Unambiguous : L'interface est conçue pour vous faire cliquer sur "Accepter"
• Revocable : Vous dites non, mais ça continue quand même (près de la moitié des apps)

C'est flippant, non ? Comme je vous l'expliquais dans mon article sur le mythe du smartphone espion , le vrai problème n'est pas le micro qui vous écoute... c'est ce réseau de data brokers qui aspire tout ce qu'ils peuvent.

Dépannage

Et si TrackerControl ne détecte rien, vérifiez que le "VPN" est bien actif (icône de clé dans la barre de notifications). Certaines apps détectent les VPN et changent leur comportement, du coup relancez plusieurs fois pour être sûr.

Pour aller plus loin dans la protection de vos données, j'ai publié également ce guide sur la suppression de vos données personnelles qui vous donnera quelques pistes.

Voilà, maintenant vous avez les outils pour aller à la pêche aux trackers. De quoi regarder vos apps d'un autre œil, j'imagine !

Source

Vous vous souvenez du dark web , ce truc mystérieux qui fait flipper les politiques, les journalistes et votre belle-maman avec Tor, les .onion et tout le folklore ? Hé bien figurez-vous qu'une bonne partie du crime en ligne s'est déplacée ailleurs. Maintenant en 2026, pour monter le plus grand marché illicite en ligne jamais mesuré, y'a plus besoin de toute cette sophistication technique.

Y'a juste à aller sur Telegram, une simple app de messagerie, et hop, c'est parti.

La firme d'analyse crypto Elliptic vient en effet de publier des chiffres qui donnent le tournis. Huione Guarantee, une plateforme de "garantie" pour arnaqueurs sinophones hébergée sur Telegram, a brassé 27 milliards de dollars de transactions entre 2021 et 2025. Vingt-sept milliards les gars !

Pour vous donner une idée, AlphaBay , le célèbre marché noir du dark web démantelé par les autorités en 2017 et considéré comme dix fois plus gros que Silk Road , n'avait fait "que" 1 milliard en un peu plus de deux ans. Hydra, le mastodonte russe qui a terrorisé les autorités pendant environ six ans, culminait quand à lui à 5 milliards.

Hé bien Huione les a atomisés en opérant... en plein jour sur une app grand public.

Chute brutale des volumes Huione après le ban Telegram du 13 mai 2025 ( Source Elliptic )

Finalement, le 13 mai 2025, Telegram a fini par bannir Huione Guarantee. Victoire ? Pas vraiment. Car deux marchés concurrents ont immédiatement pris le relais : Tudou Guarantee et Xinbi Guarantee.

Et là, le magie-magie, on découvre que Huione détient 30% des parts de Tudou. Autant dire qu'ils ont juste changé d'enseigne...

Et aujourd'hui, ces deux plateformes traitent environ 2 milliards de dollars par mois en blanchiment d'argent, vente de données volées, faux sites d'investissement, outils de deepfake et autres joyeusetés. Elliptic surveille actuellement plus de 30 marchés de ce type sur Telegram et c'est pas triste...

Tudou prend le relais : explosion des volumes après la fermeture de Huione ( Source Elliptic )

Et tout ça sert à quoi ?

Principalement aux arnaques dites "pig butchering" (littéralement "boucherie de cochon"), ces escroqueries sentimentalo-crypto où l'arnaqueur vous "engraisse" patiemment avant de vous plumer. Le FBI estime que ces arnaques siphonnent près de 10 milliards de dollars par an aux victimes américaines.

Juste aux États-Unis, hein. Mais nous aussi on en reçoit tous les jours...

Et derrière ces arnaques, on trouve malheureusement des centres au Cambodge, au Myanmar et au Laos où des milliers de personnes sont forcées de travailler sous la menace. C'est ça l'envers cauchemardesque de ces chiffres astronomiques.

Ce qui me sidère, c'est que pendant des années, on nous a vendu le dark web comme l'eldorado intraçable des criminels, avec Tor, le chiffrement bout en bout, les protocoles anonymes... Et au final, le plus grand marché illicite de tous les temps opère sur une app que votre grand-mère pourrait installer. Les seules compétences requises c'est juste de parler chinois et d'être assez teigneux pour recréer un channel quand on se fait bannir.

Tom Robinson, cofondateur d'Elliptic, explique que c'est tout simplement "le plus grand marché illicite en ligne à avoir jamais existé". Plus grand que Silk Road, AlphaBay et Hydra réunis, tout ça OKLM sur Telegram.

On se demande ce que fout Pavel Durov... hmm...

En tout cas, ça montre que la sophistication technique n'est pas le facteur limitant du crime en ligne. Par contre, on est visiblement loin d'avoir résolu le problème. Quand Telegram en bannit un, y'en a deux autres qui poussent. C'est sans fin !

Bref, la prochaine fois qu'on vous parle du "dark web" comme de la grande menace, vous pourrez sourire car le vrai game se joue sur des apps qu'on trouve en libre accès sur l'App Store.

Source

Vous voulez protéger vos enfants sur internet ? Cool. Préparez-vous à configurer 17 paramètres sur la Nintendo Switch, 29 réglages différents pour Minecraft (sur un site web séparé, évidemment), et à lire 572 articles de blog pour comprendre comment fonctionne le téléphone "sécurisé" que vous venez d'acheter.

Bienvenue dans le monde merveilleux de la protection parentale.

Un développeur américain, Chris Ferdinandi, vient de publier un constat qui résume parfaitement la situation . Il raconte comment son fils s'est retrouvé ajouté à un groupe de discussion GroupMe par un parfait inconnu, sans aucune vérification. L'application avait été installée via le compte familial, donc techniquement "approuvée". Sauf que le gamin de 12 ans pouvait maintenant recevoir des messages de n'importe qui sur la planète.

Et là, vous vous dites "ah mais y'a forcément un paramètre pour ça". Oui. Quelque part bien planqué dans un sous-menu. D'une autre application évidemment, sinon, ce serait trop facile. Et c'est accessible uniquement depuis le navigateur web du téléphone de l'enfant. Ou le vôtre. Ou les deux. Bonne chance pour le découvrir !

Et ce que dit Chris dans son article, c'est que ce n'est pas un accident de conception. C'est un choix délibéré.

La FTC américaine (l'équivalent de notre DGCCRF) a commencé à taper du poing sur la table. Par exemple, Epic Games a dû cracher 520 millions de dollars fin 2022 pour un combo COPPA + dark patterns dans Fortnite (dont 245 millions rien que pour les dark patterns).

Y'a aussi Disney qui a pris 10 millions d'amende pour violation de la vie privée des enfants. Et plusieurs États américains comme le Connecticut, le Montana et le Nebraska ont adopté des lois spécifiques pour interdire ces manipulations qui ciblent les mineurs. Même l'Union européenne s'y met avec le Digital Services Act qui impose de nouvelles obligations.

Mais pendant que les régulateurs jouent au chat et à la souris avec les géants de la tech, les parents sont coincés avec des systèmes de protection de la vie privée des enfants qui ressemblent à des usines à gaz soviétiques.

Prenez l'app Temps d’Écran d'Apple. Sur le papier, c'est génial mais en pratique, des experts en sécurité et sites spécialisés ont documenté au moins une demi-douzaine de méthodes de contournement bien connues. Votre gamin peut changer le fuseau horaire de l'appareil pour gagner quelques heures. Il peut utiliser Siri pour ouvrir des applications bloquées. Les widgets iMessage permettent d'accéder à du contenu normalement restreint. Et le grand classique : la réinitialisation d'usine qui efface toutes les restrictions d'un coup.

Sans parler des navigateurs intégrés dans les applications qui permettent de surfer même quand Safari est désactivé.

YouTube Kids, c'est encore mieux puisque Google nous promet un environnement "sûr et adapté". Sauf que des chercheurs ont retrouvé des vidéos violentes, des contenus à caractère sexuel, et des publicités manipulatrices qui passaient à travers les filtres.

L'algorithme, conçu pour maximiser le temps d'écran (et donc les revenus publicitaires), recommande parfois du contenu problématique sous prétexte qu'il "ressemble" à ce que l'enfant aime regarder (au hasard : des nichons ^^).

Et là, accrochez-vous.

Car des études scientifiques récentes commencent à montrer que les restrictions numériques strictes peuvent être... contre-productives . Des recherches publiées dans des revues de psychologie ont trouvé que les enfants soumis à des contrôles parentaux stricts développaient en fait PLUS de comportements à risque en ligne. Alors pourquoi Jamy ? Hé bien Fred, parce que le système repose sur la méfiance plutôt que l'éducation. Les gamins apprennent ainsi à contourner plutôt qu'à comprendre et le jour où ils ont enfin un accès libre (parce que oui, ce jour arrive forcément), ils n'ont aucune compétence pour naviguer de manière responsable.

C'est le paradoxe ultime ! On essaie de protéger nos enfants avec des outils qui les rendent potentiellement plus vulnérables.

Je pense que le vrai problème après, c'est qu'on a vendu aux parents l'idée que la technologie pouvait remplacer l'éducation. "Installez cette application et dormez tranquille." Sauf que ça ne marche pas comme ça. Gabb , un fabricant de téléphones "sécurisés" pour enfants, propose des centaines d'articles de blog et un peu moins d'un millier d'applications pré-approuvées. C'est du délire ! Aucun parent n'a le temps de lire tout ça en plus de son boulot, de la gestion du quotidien et des devoirs de maths du petit dernier.

Le système est donc conçu pour échouer. Ou plutôt, il est conçu pour que vous achetiez le prochain gadget "encore plus sécurisé", le prochain abonnement premium "avec surveillance avancée", ou la prochaine application "approuvée par des experts". C'est un business model, pas une solution éducative.

Ce qui fonctionne vraiment, d'après les études ? La communication.

Hé oui, il faut se retrousser les manches et expliquer pourquoi certains contenus sont problématiques plutôt que simplement les bloquer. Être présent quand le gamin découvre internet plutôt que déléguer à un algorithme. C'est moins sexy qu'un logiciel à 9,99€ par mois, mais c'est tellement plus efficace !

Bref, si vous voulez vraiment protéger vos enfants en ligne, la première étape c'est peut-être d'arrêter de croire que les outils de surveillance vont faire le taf à votre place. Car maintenant, on le sait, ils sont conçus pour vous donner l'illusion du contrôle, générer du fric et surtout pas pour éduquer.

Et ça, aucune mise à jour logicielle ne va le changer.

Source

La Cour suprême de Pennsylvanie vient de valider une pratique qui va faire polémique : les policiers peuvent désormais demander à Google de leur filer la liste de toutes les personnes ayant recherché un terme spécifique. C'est ce qu'ils appellent un "reverse keyword search warrant".

L'affaire remonte à 2016. Une femme est enlevée chez elle par un inconnu, puis violée. L'enquête piétine pendant plus d'un an, jusqu'à ce que les enquêteurs obtiennent un mandat demandant à Google qui avait recherché le nom ou l'adresse de la victime la semaine précédant l'agression. Un certain John Kurtz avait tapé cette adresse deux fois dans la même journée.

ADN prélevé sur un mégot de cigarette, correspondance confirmée, et le type finit par avouer cinq agressions. Il écope de 59 à 270 ans de prison. Oui moi aussi ça m'a fait bugger cette histoire de fourchette d'années de prison mais c'est comme ça qu'ils font là-bas... 59 ans minimum et jusqu'à 270 ans max.

Alors la première réaction c'est de se dire que le système a fonctionné puisque le violeur en série s'est retrouvé derrière les barreaux grâce à ses propres recherches Google. Sauf que la défense a contesté la légalité de ce mandat de recherche inversé, arguant que ça violait le 4ème amendement sur les perquisitions abusives.

Et la Cour a tranché : non, y'a pas de violation d'amendement. Pourquoi ? À cause de ce qu'on appelle la "third-party doctrine". En gros, dès que vous partagez une info avec un tiers (ici Google), vous perdez toute attente raisonnable de confidentialité dessus. Vos recherches appartiennent à Google, pas à vous. Point barre.

Après petite subtilité, le juge Wecht a aussi suggéré que le résultat aurait pu être différent si l'utilisateur avait pris des mesures de protection, tel qu'utiliser un VPN. Techniquement, si Kurtz avait fait ses recherches via un VPN, le mandat aurait pu ne pas tenir car là il y avait une volonté de conserver une certaine confidentialité... On marche sur la tête.

Mais ce qui chafouine la défense ici, ce sont les effets de bord car comme l'a souligné la juge Christine Donohue, ce type de mandat met en danger la vie privée de toute personne ayant recherché le nom ou l'adresse de la victime durant cette semaine-là. Des voisins curieux, un livreur qui voulait vérifier l'itinéraire, un journaliste local.... Tout le monde se retrouve potentiellement dans le viseur...

Et c'est là que ça devient vraiment préoccupant car qu'est-ce qui empêche d'appliquer la même logique à des recherches plus génériques ? "Avortement clinique" dans un État qui l'interdit ? "Comment traverser la frontière" pour les personnes en situation irrégulière ? Avec ce qui se passe actuellement aux États-Unis concernant les rafles d'immigration par ICE , on voit bien le potentiel de dérive.

Car le problème n'est pas la technique en soi mais l'absence de garde-fous. Rien n'empêche aujourd'hui une administration zélée de demander à Google la liste de tous ceux qui ont recherché tel ou tel terme politiquement sensible et avec cette décision de la Cour de Pennsylvanie, c'est maintenant parfaitement légal.

Google, de son côté, affirme avoir des "protections rigoureuses" en place et s'opposer aux demandes trop larges... On aimerait les croire mais l'entreprise traite des milliers de mandats chaque année, et la tentation de coopérer plutôt que de se battre devant les tribunaux doit être forte.

Alors combien de temps avant que cette jurisprudence fasse tache d'huile dans d'autres États ?

Source

Vous vous souvenez de mon article sur la machine à désinformation qu'est devenu X ? Et bien j'ai une bonne nouvelle pour vous :** les Français commencent enfin à se barrer de ce cloaque numérique !! Woohoo \o/ !**

En effet, Médiamétrie vient de sortir les chiffres de novembre 2025 et c'est un massacre pour le réseau social d'Elon. Pour la première fois depuis 2017, X ne figure plus dans le top 50 des marques les plus visitées en France. Le réseau social qui devait "révolutionner la liberté d'expression" (mdrrrr) se retrouve maintenant derrière Dailymotion, Allociné et même Yahoo. YAHOO putain !!! Le site que plus personne n'utilise depuis 15 ans fait mieux que le joujou à 44 milliards de Musk.

En novembre, X comptabilisait 14,4 millions de visiteurs uniques en France. C'est le même niveau que Reddit et pendant ce temps, Facebook et Instagram font trois fois plus d'audience et même LeBonCoin fait deux fois mieux. Le roi autoproclamé de la "free speech" se fait doubler par un site de petites annonces pour vendre des canapés d'occaz, c'est couillon quand même.

Et j'avoue, ça me fait plaisir. Parce que X c'est devenu quoi au juste ? Un repaire à fachos, à complotistes et à bots russes qui se refilent leurs fake news préférées en boucle. Un endroit où l'engagement prime sur la vérité, où les Community Notes arrivent 75 heures trop tard (quand elles arrivent...), et où le système de monétisation récompense littéralement ceux qui propagent de la merde. Souvenez-vous de l'attentat de Sydney où un innocent s'est fait menacer de mort parce que des abrutis cherchaient du clic facile...

Moi j'ai quitté tout ça. X, Facebook, Mastodon, Bluesky... Tous ces réseaux sociaux toxiques où on passe son temps à se foutre sur la gueule et je m'en porte mille fois mieux. Plus de notifications anxiogènes, plus de fils d'actualité conçus pour maximiser et cristalliser les colères, plus de cette économie de l'attention qui nous transforme tous en zombies.

Et visiblement je suis pas le seul à avoir eu cette illumination puisqu'en Europe, l'usage de X a chuté de 10 à 40% selon les pays. Les annonceurs continuent de fuir (qui a envie de voir sa pub à côté d'un tweet négationniste ?) et Musk a viré 80% de ses employés, passant de 7500 à 1500 personnes... donc y'a plus personne pour modérer quoi que ce soit.

Alors maintenant tous ces beaufs vont pouvoir rester entre eux à se branler la nouille sur leurs théories du complot préférées et ils vont pouvoir se persuader mutuellement que le Grand Remplacement c'est vrai, que les vaccins rendent autiste, et que Taylor Swift est une psy-op de la CIA. Grand bien leur fasse. Pendant ce temps, le reste du monde aura déserté leur petit club de losers et la vie continuera sans eux.

Vivement que X.com disparaisse dans les limbes de l'Internet, rejoindre MySpace et Google+ au cimetière des réseaux sociaux has-been. Ce sera bien mérité parce qu'il n'y a plus rien à sauver là bas.

Source

Pour moi, 2024 a été l'année noire de nos données personnelles en France. Et 2025 n'a pas corrigé le tir, bien au contraire. L'année qui s'est écoulée a juste confirmé qu'on était entrés dans une espèce de routine du "demain ce sera pire". Y'a pas eu un secteur épargné, pas un organisme qui n'a pas été touché. Santé, télécom, grande distribution, services publics, fédérations sportives... C'est un festival du piratage qui s'est abattu sur l'Hexagone ces 2 dernières années.

Et SaxX, le hacker éthique que vous connaissez surement, vient de publier sur son LinkedIn un bilan édifiant : 48 organisations françaises piratées en un an. La liste fait froid dans le dos.

En réalité c'est même plus que ça, puisque ça a commencé dès février 2024 avec le piratage massif de Viamedis et Almerys, les deux opérateurs de tiers payant qui gèrent la quasi-totalité des remboursements santé en France. Plus de 33 millions de Français concernés, avec leurs noms, numéros de sécu, dates de naissance... Pas les données bancaires certes, mais suffisamment pour monter des arnaques à l'usurpation d'identité bien ficelées.

Un mois plus tard, en mars 2024, c'est France Travail qui tombait. L'ex-Pôle Emploi s'est fait siphonner les données de potentiellement 43 millions de personnes inscrites au cours des 20 dernières années. Le pire c'est que la direction avait été alertée sur des faiblesses de sécu avant l'attaque. Des suspects ont été arrêtés... et c'était des gamins. Des gamins qui ont quand même eu accès aux données de la moitié du pays.

Septembre 2024 a aussi été un carnage. Un seul pirate, sous le pseudo Horror404x, a réussi à compromettre Boulanger (jusqu'à 27 millions de "lignes" revendiquées), Cultura (entre 1,5 et 2,6 millions de comptes selon les sources), Truffaut (270 000 comptes), Grosbill, Cybertek, et même l'Assurance Retraite (des centaines de milliers de retraités). Comment ? Simplement en ciblant un prestataire commun lié aux systèmes de livraison. Un seul maillon faible, et c'est toute la chaîne qui cède.

Puis en octobre-novembre 2024, ce sont les opérateurs télécoms qui se sont fait dépouiller. Free d'abord, avec plus de 19 millions de clients touchés, dont plusieurs millions avec des IBAN dans la nature. Et là, on est dans le bingo complet avec identité + coordonnées + infos contractuelles + IBAN = terrain parfait pour les arnaques "faux conseiller", les prélèvements frauduleux, les ouvertures de comptes. Ces derniers risquent d'ailleurs une amende pouvant aller jusqu'à 48 millions d'euros . Puis SFR a suivi avec au moins deux épisodes : une première fuite autour de 50 000 clients à l'automne 2024, puis des millions revendiqués ensuite. N'oubliez pas, quand ça nie, quand ça minimise, quand ça traîne... ça laisse juste plus de temps aux escrocs.

Et autour de ces gros blocs, y'a eu surtout une pluie d'incidents plus petits : Auchan, Picard, Molotov, LDLC, Norauto, Meilleurtaux... Sans oublier Direct Assurance, Speedy, Point S. Bref, 2024, c'est l'année où on a compris que ça touchait TOUT LE MONDE.

Et puis 2025 arrive, et là, le grand délire. Le piratage de nos données n'est plus une exception... Ce n'est plus un accident... C'est une industrie.

Début 2025, on voit apparaitre à nouveau des attaques "système"... C'est à dire des fournisseurs, des prestataires, des outils utilisés partout qui se font poutrer. L'exemple parfait c'est Harvest (logiciels financiers) et, par ricochet, des clients de MAIF et BPCE. Même logique que ce qu'on a eu en 2024... On tape un intermédiaire, et ça permet de toucher une grappe entière dans un secteur donné. Puis sans surprise, au printemps 2025, ça tombe comme des mouches : Intersport, Autosur, Cerballiance, Indigo, Afflelou, Carrefour Mobile, Easy Cash, Hertz... Et derrière chaque nom, c'est toujours la même chanson : "pas de données bancaires" (ok), mais tout le reste suffit largement pour faire de la merde.

L'été 2025, on a eu droit à des cibles plus "haut niveau" : Sorbonne Université, CNFPT, des acteurs santé, et côté marques : Dior, Louis Vuitton, Cartier... Côté transport y'a eu Air France et côté télécom, Bouygues Telecom ! On n'est plus sur un site e-commerce qui s'est fait péter via un formulaire php mal sécurisé...non, on est sur du volume, des identifiants, des IBAN, des chaînes d'approvisionnement complètes...

Ensuite, à l'automne 2025, c'est la sphère "sport" et "administrations" qui se fonbt hacher menu : des fédérations en cascade (souvent via des outils mutualisés), France Travail qui ressort encore, la Fédération Française de Tir (via un prestataire), et des histoires d'ARS qui donnent des sueurs froides.

Et la fin 2025, c'est la cerise radioactive sur le gâteau puisqu'on a Pajemploi, HelloWork, Leroy Merlin, Mondial Relay, Colis Privé, Eurofiber, Weda, Resana, Médecin Direct, Cuisinella, La Poste (attaque qui met à l'arrêt des services au pire moment, je pense que vous en avez tous entendu parler), le Ministère de l'Intérieur, le Ministère des Sports, PornHub...

On termine donc l'année en beauté avec l'impression que tout le monde est une cible "normale". 9 personnes sur 10 en France ont été touchées d'après SaxX. C'est dingue quand même.

Et ce qui me fait bouillir de rage, c'est qu'on est coincés, putain.

Réfléchissez deux secondes... Vous cherchez un emploi ? Vous êtes OBLIGÉS de vous inscrire à France Travail et de leur filer votre vie entière. Vous voulez être remboursé de vos frais de santé ? Pas le choix, c'est Viamedis ou Almerys. Vous voulez un téléphone ? Free, SFR, Orange... Et votre numéro de sécu, votre IBAN, votre adresse. Vous voulez une retraite (loool) ? La CNAV veut tout savoir. Et si vous refusez de donner ces infos ? Vous êtes tout simplement hors-la-loi. Pas d'emploi, pas de remboursement santé, pas de téléphone, pas de retraite. Fin de partie.

Donc le deal c'est soit vous filez vos données personnelles à des organismes qui se feront pirater tôt ou tard, soit vous vivez en ermite dans une grotte en dehors de la société. Super choix 👍.

Et qu'est-ce qu'on a en échange de cette "confiance" forcée ?

On a des systèmes d'information qui ressemblent à des passoires, des prestataires sous-payés qui deviennent des portes d'entrée open bar pour les hackers, et des communications de crise qui arrivent des semaines après les faits. "Vos données bancaires ne sont pas concernées" nous rabache-t-on à chaque fois, comme si c'était une consolation alors que notre identité COMPLÈTE est en vente pour le prix d'un Happy Meal.

Et ce qui m'inquiète le plus, c'est l'effet cumulatif car chaque fuite isolée peut sembler "gérable" mais quand vous croisez les bases de Viamedis (numéro de sécu), France Travail (historique pro), un opérateur télécom (IBAN), un distributeur (habitudes de conso)... Vous obtenez un profil complet exploitable. Y'a 600 millions de comptes qui sont partis dans la nature rien que cette année... Donc de quoi monter des arnaques ultra-ciblées, des usurpations d'identité sophistiquées, voire du chantage.

Et dans certains cas, ça va encore plus loin... Regardez le piratage de la Fédération Française de Tir avec le gars qui s'est fait attaquer chez lui ...Et c'est pas le seul... Ça montre jusqte à quel point une fuite peut devenir un risque "hors écran". Quand on sais qui est licencié, où il habite, comment le joindre... on peut mettre en place très facilement du repérages, des pressions, du ciblage. Et là, j'vous parle de risque physique, pas juste de spam ou de démarchage au téléphone. Et ça sera la même violence avec leur future loi pour collecter toutes les datas des propriétaires de wallet crypto self-custody.

Bref, je sens ce malaise qui monte de plus en plus car on nous demande toujours plus d'infos. Pour ouvrir un compte, pour s'inscrire quelque part, pour accéder à un service... et vous comme moi, savons pertinemment que ces infos vont fuiter un jour. C'est pas "si", c'est "quand", perso, j'en ai ma claque... ça commence à bien faire.

Alors voilà ma vraie question, celle que nos chers élus devraient se poser : A-t-on vraiment besoin de collecter autant de données ?

Pourquoi France Travail a besoin de garder mes infos pendant 20 ans ? Pourquoi mon opérateur télécom doit connaître mon adresse postale exacte ? Pourquoi ma carte de fidélité Auchan doit être liée à mon identité complète ? Est-ce qu'on pourrait pas, je sais pas moi, minimiser un peu tout ça ?

Et surtout, est-ce qu'on pourrait pas trouver un système qui nous permettrait de prouver notre identité sans avoir à déballer notre vie entière ? Genre juste vérifier que oui, je suis majeur, que oui, j'habite en France, sans pour autant filer mon adresse, mon numéro de téléphone, ma photo, ma carte d'identité et la liste de tous mes comptes en banque. Ces technologies existent et y'a déjà des solutions de type zero-knowledge proof. Ça fait des années que je vous en parle, mais apparemment, c'est plus simple de continuer à empiler des bases de données géantes qui finiront toutes par être piratées.

On a une CNIL qui fait ce qu'elle peut avec les moyens du bord. On a une ANSSI qui alerte et recommande. Mais où est la vraie réflexion ? Où sont les députés et les ministres qui se posent la question de la minimisation des données ? Où est le débat sur les alternatives à ce système de merde où le citoyen est obligé de tout donner pour exister socialement ?

Parce que là, on nous demande de "rester vigilants face au phishing" (lol), de "vérifier nos comptes", de "changer nos mots de passe régulièrement"... Bref, de gérer les conséquences de leurs négligences. C'est un peu comme demander aux passagers du Titanic de vider l'eau avec des seaux pendant que le capitaine continue à foncer droit sur l'iceberg suivant.

Voilà, pour moi ce bilan 2024-2025, c'est pas juste une liste de chiffres. C'est le symptôme d'une société qui a numérisé jusqu'à l’écœurement nos vies en marche forcée sans jamais se poser les bonnes questions. On a foncé tête baissée dans la collecte massive de données "parce que c'est pratique, tkt", sans jamais se demander si on en avait vraiment besoin, et sans jamais investir sérieusement pour les protéger.

Alors à nos chers décideurs, j'ai envie de dire réveillez-vous bande de moules !! Car le prochain gros piratage, c'est pas dans 10 ans, hein, c'est dans les prochains mois. Et ce sera encore 30 ou 40 millions de Français qui verront leurs données dans la nature. Ça vous semble normal ? Moi non, et je mettrais ma main à couper que je suis pas le seul à en avoir ras-le-bol.

Merci à SaxX pour ce travail de compilation et d'alerte !

Pour ceux qui auraient raté l'info, deux terroristes ont ouvert le feu le 14 décembre dernier, lors d'une célébration de Hanoukka à Bondi Beach (Sydney en Australie), tuant 15 personnes. Et dans les minutes qui ont suivi, X s'est transformé, comme à son habitude, en machine à désinformation...

Un homme d'affaires pakistanais portant le même nom que l'un des tireurs (Naveed Akram) s'est alors retrouvé accusé d'être l'auteur de l'attentat. Sa photo a été partagée des milliers de fois, il a reçu des menaces de mort et sa famille a même été harcelée. Sauf que ce gars n'avait strictement rien à voir avec l'attaque, mais partageait juste un nom de famille très courant avec le vrai coupable.

Mais ça, les abrutis de cette planète n'y ont même pas pensé. C'est dire s'ils sont cons...

Après vous allez me dire : « Ouais mais y'a les Community Notes pour corriger ça » sauf que ça marche pas de fou ces notes de la communauté. A titre d'exemple, selon le Center for Countering Digital Hate , 74% de la désinformation liée aux élections américaines de 2024 n'a JAMAIS reçu de note de la communauté. Et quand une note finit par arriver, il faut compter entre 7 et 75 heures selon les cas pour qu'elle soit diffusée.

Donc autant dire une éternité à l'échelle d'Internet...

Et comme si la situation n'était pas encore assez critique, d'après une étude du MIT, les fausses infos se propagent 6 fois plus vite que les vraies sur ces plateformes. Bref, on est foutu face à la connerie humaine.

Surtout que d'après Timothy Graham , chercheur en médias numériques à l'université QUT en Australie, il y a maintenant une économie autour de la désinformation, notamment sur X car leur système de monétisation paie les créateurs en fonction de l'engagement généré par les utilisateurs vérifiés. Ainsi, Plus vos posts font réagir, plus vous gagnez d'argent.

Et devinez quel type de contenu génère le plus d'engagement ?

Hé bien les trucs faux, les trucs scandaleux, les trucs qui font monter les tensions.

Y'a même eu une vidéo de feux d'artifice présentée comme des « célébrations arabes » après l'attentat qui n'était que pure invention. C'était en fait les feux d'artifice de Noël du Rotary Club local, programmés des mois à l'avance. Le truc a fait des millions de vues avant d'être démenti. Certains parmi vous ont peut-être mordu à l'hameçon de cette fake news d'ailleurs.

Pire encore, Grok, l'IA d'Elon Musk intégrée à X, a carrément inventé le nom du héros qui a désarmé l'un des tireurs. Quand les utilisateurs lui demandaient qui avait sauvé des vies, l'IA sortait « Edward Crabtree » de nulle part, un nom totalement fictif tiré d'un site web frauduleux créé le jour même de l'attentat.

Et pendant ce temps, le vrai héros de cette tragédie, Ahmed al-Ahmed, un Australien d'origine syrienne qui a risqué sa vie pour désarmer l'un des tireurs et protéger les victimes, était à peine mentionné. Plus de 2,6 millions de dollars ont été collectés pour lui depuis, mais il a fallu creuser fort pour trouver la vraie histoire pendant que les fake news monopolisaient l'attention.

Le problème c'est que le modèle économique de X encourage les comptes à poster vite et fort, sans vérification. Avoir 5 millions d'impressions et seulement 2000 abonnés, ça permet de monétiser. Et plus on génère de réactions, plus on palpe... Du coup, poster « BREAKING : le tireur identifié » avec une photo d'un random est rentable, même si c'est faux.

Surtout si c'est faux, en fait... Vous savez ce syndrome de "Les merdias mainstream nous cachent des choses, mais heureusement j'ai vu une vérité alternative sur X.com et c'est encore la faute aux zarabes, à l'Europe et aux élites judéo-maçonique-réptiliennes qui veulent manger nos enfants" qui frappe ce genre de personnes dont le cerveau est trop atrophié pour qu'ils puissent développer une réflexion qui leur est propre.

Après, je ne pense pas être naïf, car la désinformation a toujours existé, mais là on parle quand même d'un système de merde qui récompense financièrement ceux qui la propagent. C'est plus un bug, c'est une feature et quand un innocent se fait menacer de mort parce qu'un comploplo en slip dans sa cave a voulu faire du clic, ça me fout les nerfs.

Bref, tant que l'engagement restera la métrique reine et que les plateformes paieront au buzz plutôt qu'à la véracité des faits, on continuera à subir ce genre de dérives horribles...

-- Article en partenariat avec Incogni --

Si vous êtes comme moi, chaque fin d’année, vous faites peut-être le ménage dans vos mails, vos dossiers, parfois dans la vie pro. Mais le vrai bazar ne se trouve plus dans nos tiroirs : il est éparpillé dans des centaines de bases de données commerciales, de sites de recherche de personnes et de courtiers en données qui vendent notre profil en kit. Ces entreprises savent où vous habitez, ce que vous achetez, avec qui vous vivez, vos revenus probables, vos centres d’intérêt, parfois même votre état de santé supposé. Incogni s’attaque précisément à ce chantier invisible : faire supprimer, légalement et en continu, ces informations là où elles valent le plus pour les autres… et le moins pour vous.

Vos données se baladent partout (et vous ne les suivez plus)

Les « data brokers » vivent d’un modèle simple : collecter le maximum d’informations sur vous, les recouper puis les revendre à des publicitaires, assureurs, chasseurs de têtes, agrégateurs de profils, voire des acteurs beaucoup moins recommandables. Ils se nourrissent de formulaires, programmes de fidélité, applis, jeux « gratuits », cookies, traqueurs, fuites de sites, réseaux sociaux, etc. Une fois votre profil créé, il se duplique et se revend en boucle. Le résultat, ce sont des pubs ultra ciblées, des spams de plus en plus crédibles, une augmentation des risques d’usurpation d’identité, et la sensation désagréable d’être constamment suivi, même hors ligne. Bref c'est bien relou.

Le passage à 2026 est un moment idéal pour reprendre la main, parce que la tendance ne va pas s’inverser spontanément. Encore moins à l'époque de l'IA omniprésente. Plus on attend, plus votre « clone » numérique prend de la valeur (à chaque nouvelle information ajoutée) et plus il se multiplie. L’enjeu n’est pas de disparaître à 100% (ça c'est probablement mission impossible), mais de réduire la surface d’attaque : moins de données en circulation, moins de points d’entrée pour les arnaques, les hausses de tarifs ciblées, les fuites massives. Incogni propose d’industrialiser ce ménage, là où le faire à la main demanderait des centaines d’heures et une patience hors-norme.

Incogni : le service qui passe sa journée à dire « supprimez-moi »

L’idée d’Incogni est brutale dans le bon sens du terme : plutôt que de vous fournir des conseils abstraits, le service va directement chercher vos données chez plus de 420 courtiers et sites spécialisés, puis leur envoie des demandes de suppression en s’appuyant sur les lois en vigueur (RGPD en Europe, CCPA en Californie, PIPEDA si vous êtes au Canada, etc.). Dès l’inscription, le robot lance une première vague de requêtes, puis relance automatiquement tous les acteurs qui prennent trop leur temps. Des rapports réguliers indiquent qui a répondu, ce qui a été supprimé, ce qui est en cours, et ce qui résiste encore.

Pour l’utilisateur, tout se concentre dans un tableau de bord : on y voit les brokers contactés, le type de données qu’ils exploitent, et le statut de chaque requête (suppression confirmée, en attente, refus, relance planifiée). Les plans les plus complets ajoutent la possibilité de soumettre des demandes personnalisées sur des sites précis exposant vos infos : un vieux forum, un annuaire obscur, une base d’anciens clients, etc. Dans ces cas-là, l’équipe d’Incogni prend le relais et gère la procédure à votre place. C’est cette automatisation et ce suivi sur la durée qui font la différence avec un « grand ménage » ponctuel.

Ce que disent les chiffres (et pourquoi 2026 est le bon moment)

Incogni publie régulièrement des études sur la façon dont les gens laissent filer leurs données, notamment autour de périodes comme le Black Friday qui vient de se terminer. Une enquête récente menée aux États-Unis montre, par exemple, que les consommateurs sont nombreux à multiplier les comptes, newsletters et inscriptions « juste pour une promo », sans réfléchir à ce que deviennent leurs informations après coup. Beaucoup sous-estiment totalement le nombre de bases dans lesquelles leurs données terminent, et la durée pendant laquelle elles y restent. Certes, c’est basé sur des comportements américains, mais il n’y a aucune raison de penser que les Français, qui raffolent tout autant des bons plans et des achats en ligne, soient fondamentalement différents dans ce domaine.

Cette étude met surtout en lumière un paradoxe : les gens disent être inquiets pour leur vie privée… mais acceptent sans sourciller des conditions d’utilisation qui autorisent les marchands à revendre leurs infos. Fin 2025 / début 2026, c’est donc une fenêtre parfaite pour briser ce cercle. Après une année de formulaires, de comptes créés « juste pour voir », d’abonnements, d’inscriptions à des loteries en ligne, commencer 2026 en nettoyant tout ce qui peut l’être est un geste à la fois symbolique et très concret. Incogni se positionne précisément comme ce bouton « reset » annuel, voire permanent.

Pour les particuliers, les pros, et tous ceux qui ont mieux à faire

Une des forces d’Incogni , c’est d’être pensé aussi bien pour le particulier qui en a assez de voir son nom sur des sites de recherche de personnes, que pour la petite boîte qui doit prouver qu’elle prend la protection des données au sérieux. En entreprise, le service peut contribuer à limiter les risques de fuite de fichiers clients ou d’employés utilisés en dehors du cadre initial, tout en fournissant des rapports utiles pour les audits internes ou les échanges avec la CNIL & Co. Dans l’e‑commerce, la santé ou les services financiers, réduire ce qui traîne chez les courtiers, c’est aussi limiter l’ampleur possible d’un futur incident.

Du côté des particuliers, l’intérêt est plus instinctif : moins de spam personnalisé, moins de démarchage ciblé, moins d'appels non sollicités, moins de chances que des informations sensibles (adresse, date de naissance, numéros de téléphone, données de localisation, historique d’achat) servent à monter un dossier d’usurpation d’identité ou de scam bien ficelé. L’inscription est rapide, la prise en main se fait en quelques minutes, et les premiers résultats se voient souvent sous quelques semaines (baisse de certains spams, disparition progressive de fiches sur des sites de recherche de personnes). Certaines évaluations indépendantes mentionnent même des vérifications externes (type audit Deloitte) des cycles de relance et des promesses de suppression.

Une démarche à inscrire dans la durée… mais à commencer maintenant

Le piège, ce serait de penser qu’un gros nettoyage une fois suffit. Les data brokers continuent d’aspirer en permanence des flux venant de nouvelles sources, de nouveaux partenaires, de nouveaux formulaires. C’est pour cela qu’Incogni fonctionne plutôt comme un abonnement qu’un simple « passage unique » : le service renvoie régulièrement des demandes, vérifie que les suppressions tiennent dans le temps, et ajoute à sa liste de nouveaux courtiers au fil des mois (des dizaines supplémentaires par an, selon les retours récents). L’objectif est de maintenir votre exposition à un niveau minimum, malgré la tendance inverse du marché.

Le début 2026 est un excellent prétexte pour enclencher cette logique. Faire son bilan de l’année, nettoyer ses comptes, resserrer ses mots de passe, activer un gestionnaire , et, en parallèle, lâcher Incogni sur les courtiers en données pour qu’il fasse le travail ingrat. Le combo est simple : vous limitez ce que vous donnez à l’avenir, et un service automatisé retire ce qui traîne déjà dans la nature. Ce n’est pas de la parano, c’est de l’hygiène numérique, au même titre qu’un antivirus ou un VPN. Surfshark propose d'ailleurs le triple combo dans son offre Surfshark One .

On ne récupérera sans doute jamais un contrôle absolu sur toutes les miettes laissées au fil des années. Mais réduire le volume de données exploitables, c’est déjà reprendre l’avantage. Et si un outil peut passer ses journées à harceler les courtiers en votre nom, autant le laisser faire pendant que vous vous occupez de choses plus intéressantes que de lire des politiques de confidentialité en petits caractères (vous pouvez me préparer du pain d'épice et me l'envoyer pour mes fêtes par exemple, au hasard).

Vous avez encore quelques jours pour profiter de l'offre de fin d'année à -55%, donc ne tardez pas trop. L'abonnement standard annuel revient à 86,26€ TTC, mais en appliquant le code KORBEN55 vous économisez encore un peu plus, puisque vous ne payerez que 77,63€ TTC.

-> Cliquez ici pour obtenir Incogni au meilleur tarif <-

Vous utilisez une extension VPN gratuite sous Chrome ou Edge pour "protéger votre vie privée" ? Cool story les bro, mais si je vous disais que cette même extension enregistre peut-être toutes vos conversations avec ChatGPT, Claude, Gemini et compagnie pour les revendre à des courtiers en données (les fameux data brokers) ?

Hé bien c'est exactement ce que viennent de découvrir les chercheurs en sécurité de Koi qui ont mis le doigt sur 4 extensions très populaires comptabilisant plus de 8 millions d'utilisateurs au total : Urban VPN Proxy (6 millions à elle seule), 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker qui aspirent silencieusement tout ce que vous tapez dans vos chat IA préférées.

Le truc vicieux, c'est que ces extensions ne se contentent pas de regarder votre historique de navigation comme les trackers classiques. Non non non, elles injectent du code JavaScript directement dans les pages des chatbots IA quand vous les visitez et ça modifie les fonctions de base du navigateur (fetch() et XMLHttpRequest pour les techos) pour intercepter absolument tout ce qui passe entre vous et l'IA.

Vos prompts, les réponses du chatbot, les métadonnées de conversation, tout est aspiré et envoyé vers les serveurs analytics.urban-vpn.com et stats.urban-vpn.com. Et le pire c'est que cette collecte continue en arrière plan même quand le VPN est désactivé. Bye bye tous vos secrets.

Derrière ces extensions se cache Urban Cyber Security Inc., une boîte affiliée à BiScience, un courtier en données bien connu des chercheurs en sécurité. Ces gens-là sont passés de la collecte d'historique de navigation à la collecte de conversations IA complètes, soit un niveau de sensibilité bien supérieur vu ce qu'on peut raconter à une IA (questions médicales, code propriétaire, problèmes personnels, données financières...).

Et devinez quoi ? Ces extensions arboraient fièrement le badge "Featured" sur le Chrome Web Store et le Microsoft Edge Add-ons, censé garantir que Google et Microsoft ont vérifié leur sécurité. Nos deux géants américains ont donc validé des extensions qui violent directement leur propre politique d'utilisation limitée des données utilisateurs.

Bref, si vous avez installé une de ces extensions et utilisé ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok ou Meta AI depuis juillet de cette année, partez du principe que toutes ces conversations sont maintenant sur les serveurs d'un data broker et potentiellement revendues à des annonceurs.

La morale de l'histoire, c'est que dans le cas des VPN gratuits, le produit c'est littéralement tout ce que vous faites en ligne. Donc si vous voulez vraiment protéger votre vie privée avec un VPN, mieux vaut payer quelques euros par mois pour un service sérieux comme NordVPN ou Surfshark qui n'a pas besoin de revendre vos données pour survivre.

Vous pensiez que les apps de messagerie alternatives à WhatsApp c'était pour échapper à la surveillance des États ? Hé bien en Russie et dans les territoires ukrainiens occupés, c'est exactement l'inverse ! En ce moment, y'a une app qui s'appelle MAX, qui est présentée comme le "WhatsApp russe", et qui depuis le 1er septembre de cette année, est préinstallée de force sur tous les téléphones vendus.

Cette app c'est le rêve de tout dictateur en culottes courtes et installer MAX sur son téléphone, c'est donner volontairement le contrôle total de son appareil au FSB (les services de sécurité russes). Et quand je dis total, c'est accès à toutes vos données personnelles, vos contacts, vos messages, votre localisation... Selon des experts IT, l'app activerait même la caméra automatiquement toutes les 10 à 15 minutes pour prendre des photos à l'insu de l'utilisateur. Un véritable "espion de poche". Le KGB soviétique aurait tellement kiffé avoir ce truc à leur grande époque.

Et c'est pas fini puisque dans les territoires ukrainiens occupés, notamment dans les oblasts de Zaporizhzhia et Kherson, MAX est devenu un véritable test de loyauté. Aux checkpoints, l'absence de l'app sur un smartphone éveille les soupçons et déclenche des fouilles approfondies. Les autorités d'occupation ont même obligé tous leurs employés à l'utiliser, et les écoles communiquent exclusivement via MAX avec les parents. Histoire de vous faire "rigoler" un bon coup, sachez que même certains fonctionnaires de l'occupation seraient réticents à l'installer, bien conscients des risques...

Et depuis le 1er décembre, ils ont poussé le bouchon encore plus loin en interdisant la vente de cartes SIM non-russes, du coup, pour utiliser MAX, faut un numéro de téléphone russe ou biélorusse. Et comme je vous l'ai dit , WhatsApp, Telegram et compagnie sont progressivement bloqués, donc les possibilités de communiquer librement commencent à fondre comme neige au soleil. L'objectif affiché pour Vladoche et ses copains, c'est de couper complètement les Ukrainiens des territoires occupés du reste du monde et des sources d'information fiables.

Reporters sans Frontières a d'ailleurs dénoncé MAX comme un "outil de contrôle numérique" qui érige un véritable "rideau de fer numérique", isolant les citoyens des territoires occupés de toute information fiable. Et la dictature prévoit d'aller encore plus loin car bientôt, l'app sera obligatoire pour accéder aux services bancaires en ligne et aux services publics. C'est un véritable rideau de fer numérique qui isole les populations.

L'app revendique 50 millions d'utilisateurs, mais bon, quand t'as pas le choix et que c'est préinstallé de force sur ton téléphone, est-ce que ça compte vraiment comme des "utilisateurs" ? Souvenez-vous de TousAntiCovid, loool.

Bref, si vous voulez voir à quoi ressemble la surveillance de masse version 2025, MAX c'est l'exemple parfait et c'est une bonne piqûre de rappel sur pourquoi il faut continuer à se battre pour garder des messageries chiffrées et indépendantes...

Source

Vous pensiez que les technologies de surveillance chinoises étaient 100% chinoises ? Hé bien pas du tout. Une enquête passionnante d'AP vient de révéler que le gouvernement chinois utilise massivement des logiciels américains pour traquer ses propres citoyens, y compris ceux qui ont fui aux États-Unis.

L'histoire de Li Chuanliang est assez flippante. Cet ancien fonctionnaire chinois était en convalescence d'un cancer sur une île coréenne quand il a reçu un appel urgent lui disant de ne surtout pas rentrer en Chine. Quelques jours plus tard, un inconnu le prend en photo dans un café. Terrorisé à l'idée que la Corée du Sud le renvoie chez lui, Li s'enfuit aux États-Unis avec un visa touristique et demande l'asile.

Mais même là-bas, à New York, en Californie, au fin fond du désert texan, le gouvernement chinois a continué à le traquer. Ses communications ont été surveillées, ses biens saisis, ses déplacements suivis dans des bases de données policières. Et le pire, c'est que plus de 40 de ses proches ont été identifiés et détenus, y compris sa fille enceinte. Comment est-ce qu'ils ont fait ? Hé bien via différente méthodes, donc une qui consiste à remonter toutes les interactions humaines jusqu'aux chauffeurs de taxi grâce à la reconnaissance faciale.

Et c'est là que ça devient vraiment dingue car la techno utilisée pour contrôler les fonctionnaires chinois à l'étranger depuis une décennie vient en grande partie de la Silicon Valley. Des boîtes comme IBM, Oracle et Microsoft ont vendu leurs logiciels au Bureau d'Investigation des Crimes Économiques chinois.

IBM a notamment vendu son logiciel de surveillance i2 à cette division et des emails qui ont fuité montrent que ce même logiciel a été copié par Landasoft, un ancien partenaire d'IBM, puis revendu aux commissions disciplinaires chinoises. Le truc incluait des fonctions comme la "gestion des personnes associées" et le tracking des réservations d'hôtel.

Et les chiffres donnent le vertige car rien que l'année dernière, cette techno a permis d'identifier et de "punir" près de 900 000 fonctionnaires en Chine, soit presque 5 fois plus qu'en 2012. Et à l'international, plus de 14 000 personnes, dont environ 3 000 fonctionnaires, ont été ramenées de force en Chine depuis plus de 120 pays via les opérations " Fox Hunt " et " Sky Net ".

IBM a bien précisé qu'ils ont revendu cette division en 2022 et qu'ils ont des "processus robustes" pour garantir une utilisation responsable mais bon, oausi c'est un peu tard les gars.

Maintenant, pour Li, l'avenir est incertain car l'administration Trump a gelé toutes les demandes d'asile. Du coup, s'il ne rentre pas en Chine, il risque un procès par contumace et s'il est condamné et expulsé, c'est la prison à vie qui l'attend.

Bref, la prochaine fois qu'on vous parle de surveillance chinoise, n'oubliez pas d'où viennent les outils.

Ce matin, je vous parlais de ce mec qui s’est fait arrêter pour avoir effacé son téléphone devant les douaniers américains. Eh ben j’avais pas vu qu’il y avait encore mieux… L’administration Trump vient en effet de publier une proposition qui va vous faire halluciner… !!!!

Pour les ressortissants des 42 pays éligibles au programme ESTA (dont la FRANCE, l’Allemagne, le Royaume-Uni, le Japon…), il faudra bientôt fournir 5 ans d’historique de vos réseaux sociaux pour poser un pied sur le sol américain. Et c’est pas en option, non non non non… C’est une obligation. Le CBP (Customs and Border Protection) l’a annoncé dans le Federal Register hier (le 10 décembre).

Et attendez, c’est pas fini car en plus de vos posts Facebook, tweets et autres stories Instagram de ces 5 dernières années, ils veulent aussi récupérer toutes vos adresses email des 10 dernières années… vos numéros de téléphone (et ceux de votre famille)… les dates de naissance et lieux de résidence de vos proches… ainsi que vos données biométriques quand cela est faisable. Empreintes digitales, scan facial, scan de l’iris, et même votre ADN. On se croirait dans Bienvenue à Gattaca !

Officiellement, tout ça c’est pour “protéger les États-Unis des terroristes étrangers” suite à un décret de janvier 2025 sauf que le problème, comme l’explique un avocat spécialisé en immigration à The Register , c’est que les refus d’entrée ne seront plus basés sur des faits concrets… mais sur l’interprétation de vos opinions. Bref, si vous avez posté un truc qui plaît pas, c’est retour à la case départ. Donc autant vous dire que pour moi, c’est mort !

Et ce qui est marrant, c’est que ces politiques restrictives de connards ont coûté cette année aux États-Unis environ 30 milliards de dollars en perte économique pour le tourisme, et j’imagine que ça va augmenter… Les USA seraient l’un des seuls grand pays à voir ses revenus touristiques baisser. Des winners, j’vous dis !

La proposition est donc ouverte aux commentaires publics jusqu’au 9 février… On verra bien comment ça va se terminer et ce qui sera inscrit dans la loi.

De mon côté, ça fait 22 jours que j’ai décroché des réseaux sociaux et même si c’est dur, j’suis content. Déjà parce que ça fera moins de données à filer aux douaniers, y’aura moins de chiasse mentale qui ira se déverser dans mon cerveau et surtout moins de temps perdu à scroller… Bref, une meilleure santé mentale pour bibi.

Et un grand merci à l’administration américaine qui vient de me donner une raison supplémentaire de pas retourner aux États-Unis de sitôt. Dommage c’est un beau pays quand même.

Source

Vous pensiez que la fonctionnalité “Effacer toutes les données” de votre smartphone était là pour protéger votre vie privée ? Hé bien aux États-Unis, l’utiliser au mauvais moment peut désormais vous valoir des poursuites fédérales.

Bienvenue dans le pays de la liberté ! (lol)

Samuel Tunick, un activiste d’Atlanta, vient d’en faire les frais le 4 janvier dernier. Alors que les agents des douanes américaines (CBP) voulaient fouiller son Google Pixel, il a eu le réflexe de le wiper. Très mauvaise idée puisque le mec a été arrêté ce mois-ci par le FBI et le DHS, et fait maintenant face à des poursuites pour “destruction de preuves” et “obstruction à la saisie légale d’un bien par le gouvernement”.

Certes, il a fait preuve d’un gros manque de bon sens et l’acte d’accusation déclare que Tunick aurait “sciemment détruit le contenu numérique de son téléphone dans le but d’empêcher le gouvernement à prendre ledit bien sous sa garde”. Oui, effacer vos photos de vacances et vos conversations WhatsApp, c’est dorénavant privé l’Etat d’un bien potentiel.

D’ailleurs, on ne sait même pas pourquoi les douaniers voulaient fouiller son téléphone au départ mais la perquisition devait être effectuée par un officier du “Tactical Terrorism Response Team” (TTRT), une unité secrète du CBP que l’ACLU décrit comme des “équipes qui ciblent, détiennent, fouillent et interrogent des voyageurs innocents”.

Ces TTRT, c’est un truc de ouf ! Depuis leur création en 2015, ils opèrent dans des dizaines de points d’entrée américains et cette unité a détenu et interrogé plus de 600 000 voyageurs, dont un tiers de citoyens américains. Et ces agents peuvent cibler des gens sur la base de leurs “instincts”, sans qu’ils figurent sur une quelconque watchlist.

Car oui, le CBP considère que vos droits à la vie privée disparaissent à la frontière et leurs agents peuvent saisir et fouiller n’importe quel appareil électronique sans mandat ni motif raisonnable. Donc si vous refusez de donner votre mot de passe, ils peuvent confisquer votre téléphone pour analyse forensique. Et bien sûr, les citoyens américains ne peuvent pas être refoulés pour ça, mais les détenteurs de visa ou de green card et les touristes peuvent carrément se voir refuser l’entrée.

Comme d’hab, mes conseils pour voyager sont rasoirs mais faut partir avec un téléphone “propre” dédié aux voyages, stocker ses données sensibles dans le cloud (européen de préférence) plutôt que sur l’appareil, et surtout ne jamais, jamais effacer quoi que ce soit pendant une interaction avec les autorités. Ou alors faites comme moi et restez chez vous ^^. En tout cas, soyez pas con comme Tunick.

Ce dernier a d’ailleurs été libéré mais reste assigné à résidence dans le nord de la Géorgie en attendant son procès. Force à lui. M’enfin, sachez-le, le pays qui a inscrit le 4ème et le 5ème amendement dans sa Constitution considère que protéger sa vie privée équivaut à de l’obstruction.

Quelle belle évolution !

Source

Vous pensiez encore que WhatsApp était secure grâce au chiffrement de bout en bout ?

Pauvres fous ^^ !

En fait, des chercheurs de l’Université de Vienne viennent (!!) de démontrer qu’on peut vous espionner à distance via Whatsapp sans que vous receviez la moindre notif.

L’attaque s’appelle “Careless Whisper” (oui, comme la chanson de George Michael) et elle exploite un truc tout bête : les accusés de réception, ces petits checks bleus qui vous indiquent qu’un message a été délivré puis vu…

Ainsi, en envoyant des messages spécialement conçus pour l’occasion, notamment des réactions à des messages qui n’existent pas, un attaquant peut déclencher des accusés de réception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui apparaît, mais de l’autre côté, votre stalker psychopathe mesure le temps que met votre téléphone à répondre.

Et en analysant ces temps de réponse, on peut savoir si votre écran est allumé ou éteint, si WhatsApp est ouvert au premier plan, quel système d’exploitation vous utilisez, combien d’appareils sont connectés à votre compte, et même déduire vos horaires de sommeil. Tout sans que vous ayez le moindre indice qu’on vous surveille, évidemment !

La recherche, disponible ici , a d’ailleurs reçu le Best Paper Award à la conférence RAID 2025. Les chercheurs ont testé sur WhatsApp et Signal, et les deux sont vulnérables. Mais sur WhatsApp, c’est le pire, car l’application autorise des payloads de réaction jusqu’à 1 Mo, ce qui permet de générer 13 Go de trafic par heure sur le téléphone de la victime, donc ça permet même de vider tranquillement sa batterie de 15 à 18% par heure sans qu’elle ne s’en rende compte.

Un développeur a même créé un outil open source pour tester la faille de manière responsable et en respectant la loi évidemment. Si vous voulez tester, faites-le uniquement sur votre matériel. L’interface de ce PoC permet de traquer en temps réel l’activité d’un numéro de téléphone. En dessous d’un certain seuil sur le délai de réponse, la personne est active, et au-dessus, elle dort ou son téléphone est en veille.

Les chercheurs ont bien sûr signalé la faille à Meta en septembre 2024, qui a “accusé réception” (lol), mais aucune correction n’a été apportée depuis. Et chez Signal ils n’ont pas répondu du tout.

Alors comment on fait pour se protéger de ça ? Et bien dans Whatsapp, il y’a une option qui se trouve dans Paramètres → Confidentialité et autoriser seulement “Mes Contacts” à voir ce qu’on partage, ce qui permet de limiter les accusés de réception à vos contacts uniquement. Ça ne règle pas tout, mais ça complique la tâche des inconnus qui voudraient vous traquer.

Voilà, une fois encore, même sur les apps avec du chiffrement de bout en bout qui protège le contenu des messages, ça ne fait pas tout, car il y a toujours des métadonnées qui peuvent être exploitées de manière frauduleuse, donc soyez vigilant :)