Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

Votre cerveau en mode pilote automatique - Bruxelles accuse Meta

Il est 1h12 du mat', vous êtes allongé dans le canap, le téléphone à 20 cm du museau, et votre pouce swipe encore et encore dans un automatisme le plus complet... Un reel de chat, une recette de lasagnes, un type qui répare une tondeuse. Vous aviez ouvert Instagram pour répondre à un message d'un pote il y a 40 minutes, et vous en êtes là. Ah bah bravo ! Mais ne vous blâmez pas trop car en sortir est à peu près aussi facile que de quitter un repas de famille avant le café.

Et c'est d'ailleurs pour ça que Bruxelles vient de mettre un nom là-dessus : "le mode pilote automatique".

L'expression est écrite noir sur blanc dans le communiqué que la Commission européenne a publié ce matin et vous l'aurez deviné, on parle bien de ce foutu scroll infini, mais également de l'autoplay, des notifications push et des reels qui je cite, "nourrissent l'envie de continuer à scroller" et "contribuent à des habitudes malsaines et à un usage compulsif". Conclusion, Instagram et Facebook enfreignent le Digital Services Act ! Ah !

Et attention, pas à cause du contenu qui circule dessus. Non, c'est vraiment à cause du design des app en lui-même.

Ce qu'on reproche à Meta, c'est de n'avoir jamais sérieusement évalué ce que ce design fait à votre bien-être physique et mental, mineurs et adultes vulnérables compris, alors qu'elle avait les données sous les yeux. Notamment sur le temps que vos ados passent sur ses applis la nuit.

Et les garde-fous maison prennent cher au passage car les outils de gestion du temps proposés par Meta, même activés par défaut pour les ados, se contournent trop facilement et ne réduisent en rien l'usage. Sans parler des contrôles parentaux qui ne fonctionnent, écrit la Commission, que si vous avez "une expertise technique adéquate" et du temps à y consacrer. Pffff !

Alors Bruxelles sort sa liste de courses : Couper l'autoplay et le scroll infini par défaut, vous imposer de vraies pauses d'écran , et rendre les recommandations moins obsédées par votre engagement. Notre régulateur préféré demande à Meta d'éteindre par défaut le moteur à attention qui fait rentrer le pognon ^^.

Sauf que rien n'est joué. Ce ne sont là que des conclusions préliminaires, et pas une condamnation.

Meta doit encore répondre par écrit, le Comité européen des services numériques donnera ensuite son avis, et seulement après tombera, ou pas, une décision de non-conformité. Au bout du chemin, une amende qui pourrait grimper jusqu'à 6 % du chiffre d'affaires mondial (environ 201 milliards de dollars en 2025, sortez la calculette).

Meta monte déjà au créneau, et rétorque que ces conclusions du régulateur "*ne prennent pas correctement en compte les mesures significatives que nous avons prises pour protéger les ados *". Évidemment !

Tout ceci ne date pas d'hier puisque la procédure est ouverte depuis mai 2024 mais Bruxelles tape sur plusieurs fronts. Le volet vérification d'âge des moins de 13 ans a déjà eu ses conclusions, celui sur les effets "rabbit hole" des recommandations tourne encore, et TikTok avait déjà goûté à la fessée avec sa version rémunérée .

Perso, je ne crois pas une seconde que Meta coupe le scroll infini par défaut sans se battre durant des années mais je suis quand même content de voir que ça bouge un peu sur ce qu'on appelle l'économie de l'attention dont on est tous victimes.

Bref, la prochaine fois que vous vous réveillez à 1h du mat' à regarder une critique ciné chiante ou un gars qui vous parle de ses montres de luxe alors que vous n'avez pas un rond, dites-vous que l'Europe viendra bientôt vous sauver !

Source

StatCounter n'identifie plus 1 visite sur 5 (et ça fausse tout)

Windows serait passé sous la barre des 60 % de parts de marché. C'est ce qu'on peut lire un peu partout dans la presse tech cette semaine. C'est StatCounter qui le dit avec précisément 56,61 % de Windows comptabilisé en juin 2026. Et juste en dessous, sur la ligne suivante du même tableau, il y a une case bien étrange qui s'appelle "Unknown" et qui est évaluée à 21,45 %. Presque 5 fois Linux ! Et ça, pas grand monde n'en parle...

StatCounter compte ce "Unknown" comme un OS, à côté de macOS, de Chrome OS, de Linux et même de la PlayStation, et si vous cliquez sur le petit bouton "Download" de la page Statcounter, le CSV que vous récupérez ne contient aucune case "Unknown". Le site recalcule tout sans elle et dans ce fichier, Windows remonte à 72 % de part de marché.

Du coup, je me suis demandé quelle était la bonne mesure pour connaître la part de Windows sur le desktop. Est-ce que c'est 56,61 % en comptant les visiteurs non identifiés comme un système d'exploitation, ou 72 % en ne les comptant pas. Si vous faites la division vous-même, 56,61 sur 78,55 (100 − 21,45 = 78,55) donne bien les 72 % du CSV.

Et là, si vous comparez avec l'an dernier, vous verrez qu'en juin 2025, Windows était à 70,13 % dans ce tableau, et "Unknown" à 9,17 %.

Et 12 mois plus tard, v'la ti pas que Windows perd un peu plus de 13 points et la case des non-identifiés en gagne 12. Étrange non ?

Les 2 courbes sont presque symétriques ( Source : StatCounter )

Mais la domination de Microsoft s'effrite quand même, car même sur la base ils sont passés de 77,22 % à ces 72 % en un an. Donc y'a bien une tendance, mais ça n'a rien de l'effondrement annoncé partout. Linux, lui, grimpe de 4,50 % à 5,59 % sur cette même base, et le gros gagnant de l'année, c'est Apple, qui passe de 16,90 % à 20,87 % !

Alors qu'est-ce qu'il y a dans cette case Unknown en réalité ? Et bien on ne le sait pas car StatCounter ne dit pas ce qu'il y a dedans. Mais sur Hacker News , les hypothèses tournent autour des scrapers d'IA qui n'envoient pas d'user-agent standard, des bots qui se déguisent en Windows, et des navigateurs qui brouillent votre empreinte .

Mais pour le moment, aucune n'est réellement prouvée. Ce qui est mesurable par contre, c'est que la case des inconnus gonfle... Nous sommes à peine en juillet 2026 et elle est déjà à 23,67 % de part de marché. Perso, ça m'intrigue plus que le podium Windows / Apple / Linux.

Après, le parseur de StatCounter s'est d'ailleurs déjà planté en beauté par le passé. En octobre 2025, il affichait Windows 7 à 9,61 % pour le mois de septembre, contre 0,88 % en juillet et suite à une résurrection / correction aussi miraculeuse que silencieuse, si vous allez regarder la même case aujourd'hui, vous y lirez 1,62 %.

Leur FAQ précise tout de même que les stats restent révisables durant 45 jours donc ces chiffres qu'on voit actuellement peuvent encore bouger jusqu'à la mi-août... On verra bien.

En tout cas, je suis content de voir que la poussée de Linux n'est pas une illusion. La plupart des jeux Windows tournent maintenant sous Proton , Windows 11 continue de refuser les machines trop vieilles , sans parler du fait que Windows 10 est mort et enterré depuis octobre 2025 (même si les rustines de sécurité de l'ESU tiennent encore la baraque jusqu'en octobre 2027...) donc vous avez tous de vraies raisons de bouger.

Bref, Windows baisse, Linux monte mais un cinquième du panel est devenu invisible, et ça c'est louche...

Source

Tecno, itel et Infinix cachent un mouchard système impossible à virer

Si vous lisez ça depuis Abidjan, Dakar, Douala ou Kinshasa, y'a une chance sur deux que votre téléphone soit un Tecno, un Infinix ou un itel. Trois marques, mais un seul patron : Transsion, qui trône sur près de la moitié des smartphones vendus en Afrique.

Et si je vous parle de ça aujourd'hui, c'est parce qu'un chercheur en sécu, Buchodi, vient de décortiquer ce que ces appareils racontent dans votre dos et c'est pas joli, joli.

Son terrain de jeu, c'est un Tecno Spark 40 tout ce qu'il y a de banal. En rétro-ingénierant le firmware, il tombe sur un framework maison signé Transsion, baptisé Athena pour la collecte et oneID pour le pistage entre applis. On n'est pas sur une appli lambda que vous auriez installée, mais un truc costaud câblé au niveau du système, avec les pleins pouvoirs.

Et ce qu'il remonte, c'est du lourd ! Votre position GPS précise, les antennes-relais autour de vous, la consommation réseau appli par appli sur une soixantaine d'applis, quelle appli est affichée à l'écran en temps réel, et même quelle appli vient d'allumer la caméra (pas ce que filme la caméra, hein, juste le fait qu'une appli l'ait activée).

Ensuite, tout ça part vers des domaines en shalltry.com et transsion-os.com. Shalltry, c'est la branche logicielle de Transsion, et les serveurs tournent sur du cloud loué en Europe.

Donc c'est de la télémétrie++ qui part chez le fabricant, mais le gros souci, c'est qu'on ne peut rien désactiver ni désinstaller facilement. C'est vraiment une brique essentielle du téléphone reposant sur le SDK du constructeur. Ça prend racine dans l'application Réglages (pour les paramètres), l'interface système, et surtout dans un module assez discret nommé com.hoffnung qui est bardé de permissions flippantes comme lire le presse-papier en arrière-plan, connaître toutes les applis installées, forcer l'arrêt des autres.

Alors oui, c'est chiffré avec un bon vieux AES, sauf que ça ne sert pas à grand chose parce que la clé de déchiffrement est planquée dans le code de l'application elle-même. Autrement dit, quiconque met la main sur le fichier récupère la clé avec, et peut tout ouvrir. Le chiffrement n'est là que pour faire un peu de camouflage afin que vous ne puissiez pas voir facilement ce qui sort de votre poche. Mais ce n'est absolument pas de la confidentialité.

Et malheureusement, ça ne s'arrête pas à votre smartphone puisque ce même SDK se balade aussi dans des applications grand public très très populaires en Afrique comme Boomplay (100 millions de téléchargements et des poussières), StarTimes ou Orange Max it. Du coup, même avec un mobile d'un autre fabricant, vous pouvez trimballer ce mouchard sans le savoir.

Alors oui, c'est vrai, tous les smartphones font de la télémétrie. Google, Apple, Samsung, Xiaomi, tout le monde collecte des trucs, et des centaines d'applis passées au crible violaient déjà le RGPD début 2026. C'est déjà pas normal, mais ça peut normalement se désactiver assez facilement. Mais dans le cas de Transsion, c'est fait au niveau système, c'est totalement invisible et la destination est très opaque...

Puis surtout, ça concerne la moitié du continent !

Notez que ce n'est pas la première fois que les constructeurs chinois low cost se font choper puisqu' en 2016 déjà, une backdoor chinoise se planquait dans le firmware de smartphones low-cost et balançait contacts et SMS toutes les 72 heures. Plus récemment, il y a eu aussi un malware qui s'appelle Triada et qui a été préinstallé sur environ 53 000 Tecno W2 vendus en Éthiopie, au Ghana ou encore au Cameroun avec, s'il vous plaît, des abonnements souscrits totalement à l'insu de leur propriétaire.

C'était des composants différents à chaque fois, mais le motif se répète.

Alors que faire les amis ? Eh bien la bonne nouvelle, c'est qu'on peut quand même bloquer 2-3 trucs pour les empêcher de remonter des infos. Vu que tout transite par ces fameux domaines, il suffit de bloquer *.shalltry.com (et *.transsion-os.com tant qu'à faire) au niveau DNS.

Ça se fait facilement avec un NextDNS, un AdGuard ou un Pi-hole à la maison, ou directement sur le téléphone avec cette application qui s'appelle Personal DNS Filter , et comme ça, la télémétrie se retrouve isolée sans toucher au reste.

Par contre, ça ne sert à rien d'aller trifouiller les réglages du téléphone parce que ce n'est pas désactivable à partir de là. Désolé.

Source

Données de santé Doctolib - Comment vous opposer à leur usage IA ?

Cet aprem, je bossais tranquillou quand j'ai reçu un mail de DoctoLib qui m'a bien énervé avec pour titre : "Doctolib s'engage dans la recherche pour améliorer la santé". Bon, si on s'arrête au titre, on se dit "Ah bravo, Doctolib", sauf qu'en le lisant en entier, j'ai vite compris qu'ils venaient de décider à ma place que mes données de santé allaient nourrir des trucs, des bidules et des machins pour de la recherche en intelligence artificielle.

Et bien sûr que si ça ne me plaisait pas, bah fallait que je le dise.

Alors ce qu'ils expliquent dans ce mail, c'est qu'à partir d'août 2026, Doctolib lance un projet de recherche mené par une équipe associée à Inria, l'Inserm et l'Université Paris Cité pour, je cite "améliorer les parcours de soins grâce à l'IA". Jusque-là, difficile de cracher dessus, ce sont des institutions publiques sérieuses et l'objectif est louable. Le truc, c'est ce qu'ils vont manger pour y arriver : nos données démographiques, nos données de santé, et même celles de vos proches rattachés à votre compte. Et cela que ces données aient été renseignées par nous ou par nos soignants.

Et surtout, Doctolib ne nous demande pas notre accord. Ils s'appuient sur ce qu'on appelle l'intérêt légitime, une base légale du RGPD qui leur permet de piocher dans nos données sans passer par la case consentement. Hé ouais, en clair, on ne vous prend pas votre consentement, on vous l'enlève. Vous n'avez même pas à dire oui, c'est déjà oui par défaut, et vous êtes obligé de dire non si vous voulez sortir du dispositif.

Ils présentent ça comme de l'intérêt légitime, sauf qu'en même temps on ne sait pas du tout sur quoi ils vont bosser, on ne sait pas avec qui ils vont bosser, on ne sait pas comment nos données seront sécurisées, bref, on ne sait rien du tout. Alors forcément, moi je m'inquiète surtout que leur mail annonce clairement que d'autres travaux suivront, "avec des hôpitaux ou des institutions privées ou publiques". Donc on accepte qu'ils signent à notre place un chèque en blanc avec nos données pour des projets futurs dont personne ne connaît le contenu et basta, tout ça sous couvert d'intérêt légitime. Ce n'est que mon avis mais je trouve ça vraiment léger.

Alors oui, tout ça est parfaitement légal. Doctolib s'appuie sur la méthodologie MR-004 de la CNIL , qui encadre la recherche en santé et autorise justement ce fonctionnement par opposition plutôt que par consentement. Rien d'illégal là-dedans. Mais légal ne veut pas dire que je dois être d'accord.

Et c'est bien ça le problème... Ce cadre légal permet à une entreprise privée comme Doctolib de considérer que nos données de santé lui appartiennent assez pour les offrir (ou les revendre, je n'en sais rien ??) à la recherche, tant que vous ne levez pas la main pour refuser.

Doctolib tente de nous rassurer aussi en expliquant que les données sont pseudonymisées et "ne permettent pas de nous identifier directement". Notez bien le "directement", lol, ça ne se mouille pas trop. En réalité, pseudonymisé, ça ne veut pas dire anonyme... Ça veut seulement dire qu'on a remplacé votre nom par un code, mais que le lien existe toujours quelque part et reste réversible. Aux yeux de la loi, ça reste encore vos données personnelles . La vraie anonymisation, elle, est irréversible, et ce n'est pas ce dont on parle ici.

Et puis il y a le contexte... Non, Doctolib n'a pas subi de grosse fuite de données, il faut être honnête là-dessus mais on nage actuellement dans un écosystème tech en France qui prend l'eau de partout : 33 millions de Français touchés par le piratage des mutuelles Viamedis et Almerys début 2024, une quinzaine de millions de plus avec la fuite Cegedim en 2026. Chaque base de données de santé qui se constitue quelque part, c'est une cible de plus.

Et il y a un mois à peine, le Canard Enchaîné accusait Doctolib de transmettre des infos à Google, Microsoft et Anthropic pour de l'IA. Doctolib a répondu que ces boîtes n'étaient que des prestataires techniques qui n'entraînent pas leurs modèles avec vos données. Alors peut-être, hein, mais quand on nous demande de faire confiance sur parole pour des données aussi intimes que notre santé, l'inquiétude a le droit d'exister.

Bref, moi je m'oppose, et si vous êtes sur Doctolib je vous invite au moins à décider en connaissance de cause. Le mail est probablement arrivé dans vos spams, donc pour refuser, sachez que ça se passe dans les paramètres de confidentialité de votre compte, via le formulaire d'exclusion de la recherche . Ça bloque toute utilisation future de vos données et de celles de vos proches, sans aucun impact sur vos rendez-vous ni sur vos soins. Faites-le avant août 2026, car c'est le moment où le premier projet démarre.

Enfin bref, moi je pense qu'on devrait avoir à donner son accord, et pas à courir derrière ces boîtes pour retirer un accord qu'on n'a jamais donné en pleine conscience... C'est ça qui me dérange surtout.

Windows cache un identifiant secret que Microsoft file au FBI

Putain, c'est abusé, vous allez voir ! Peter Stokes, 19 ans, accusé d'appartenir au groupe Scattered Spider, enchaînait les VPN et changeait de pays pour brouiller les pistes mais le FBI l'a quand même coincé. Et vous savez grâce à quoi ?

Hé bien grâce à un petit numéro planqué dans son Windows. C'est Microsoft qui l'a mouchardé aux enquêteurs et ça a suffi pour le relier à une intrusion malgré tous ses VPN.

Et alors me direz-vous, vous aussi vous avez un numéro sur votre machine qui peut servir à vous identifier... Ce truc s'appelle le GDID, pour Global Device Identifier et c'est un identifiant unique qui est attribué lors de chaque installation de Windows. Il sert à la télémétrie, au rapport de plantage, à la vérification des licences et surtout il reste constant même après des mises à jour.

Vous ne le voyez jamais, vous ne l'avez jamais choisi, et il ne bouge pas d'un poil quand vous changez d'adresse IP. Normal, un VPN protège la couche réseau, mais pas ce que laisse fuiter votre OS. Et ça on l'apprend dans la plainte de 39 pages qui a été rendue publique début juillet, où elle expliquait comment Microsoft a fourni au FBI l'historique des adresses IP rattachées à ce GDID précis.

Les enquêteurs n'ont eu qu'à croiser ça avec les comptes perso de Stokes, de son compte Apple à ses comptes de gaming, en passant par Snapchat et Facebook, pour finalement découvrir des adresses IP à Tallinn, New York, ou encore la Thaïlande, ce qui correspond exactement à ses déplacements.

Le mec pouvait empiler 10 VPN s'il le voulait, Microsoft le suivait à la trace quand même. Et c'est là que ça me hérisse le poil, parce que le problème, ce n'est pas que la justice ait serré un type accusé d'avoir extorqué des millions. Ça, c'est le boulot du FBI, et tant mieux s'ils l'ont arrêté.

Non, le vrai problème, c'est que Microsoft dispose d'un identifiant permanent sur plus d'un milliard de machines, qu'ils ne communiquent pas dessus, qu'ils le partagent tranquille sur demande, et qu'on ne peut même pas le désactiver.

Alors on fait quoi ? Bah déjà, on arrête de subir. Vous pouvez installer Windows 11 sans compte Microsoft pour couper une partie de la laisse, désactiver la télémétrie facultative pour limiter les autres fuites, ou carrément regarder du côté d'une stack privacy européenne . Aucune de ces astuces ne touchera au GDID par contre, car il n'y a aucun bouton pour ça, et c'est bien ça le fond du problème.

Mais bon, j'imagine que des petits malins vont sortir des logiciels qui vont permettre soit de désactiver ce numéro ... Et là, vous pourrez compter sur moi pour que je vous le partage. Quoi qu'il en soit, quand vous utilisez Windows, gardez juste en tête que vous n'êtes jamais vraiment seul. Et que quelqu'un vous épie en permanence... Brrrr.

Source

Tromper les caméras de surveillance avec une veste

Nicole Scheller a passé toutes ses études de mode à bosser sur un sujet qui compte pour elle : la contre-surveillance. Tout ceci a fini par devenir un vrai métier : depuis septembre 2023, sa marque Urban Privacy, montée à Leipzig avec le designer Daniel PreuB, habille ceux qui n'ont pas envie d'être reconnus par la première caméra intelligente venue.

Leur veste phare ne paie pas de mine telle qu'elle, sauf que son imprimé cache un piège : des formes qui évoquent vaguement des visages humains, disséminées sur tout le tissu. Les algorithmes de détection, dressés à trouver deux yeux et une bouche dans n'importe quelle bouillie de pixels, mordent à l'hameçon, verrouillent sur ces faux visages et perdent le vôtre en route.

La coupe fait le reste. Ample, asymétrique, elle embrouille aussi les logiciels qui prétendent deviner votre genre au premier coup d'œil, une manie dont ces systèmes ont du mal à se défaire.

Alors bien sûr, personne ne devient invisible là-dedans, et la marque ne le promet même pas : le vêtement rend simplement l'identification plus complexe, pas impossible, et son côté voyant fait partie du plan, puisqu'il s'agit autant de protester que de se protéger.

La collection FACEPTION Reloaded, lancée au printemps, va du t-shirt à 35 euros au hoodie à 65 euros, avec un sweatshirt à 59 euros, le tout cousu dans des ateliers européens. Mais le produit qui se vend le mieux n'a rien à voir avec les motifs : c'est OFLAIN, une pochette de smartphone (facturée quand même 115 euros dans sa version 2 (l'ancienne coûtait 80 euros)), qui fait office de cage de Faraday. En gros, c'est une enveloppe métallique qui coupe tout, GPS, Wi-Fi, Bluetooth, jusqu'à la puce sans contact de votre carte bleue.

Il y a aussi un foulard à 65 euros, imprimé d'un QR code qui balance l'adresse  no-photos-pls.com  sur l'écran de quiconque vous photographie.

Les Italiens de Cap_able font la même chose depuis Turin avec des pulls tricotés dont les motifs, générés par IA, font prendre le porteur pour une girafe ou un zèbre, entre 60 et 90% du temps selon la marque. Sauf que voilà, les logiciels de détection se mettent à jour plus vite que votre garde-robe, et le motif qui marche aujourd'hui sera grillé l'an prochain. C'est une course sans fin.

Le sujet pose en fait beaucoup de questions outre-Rhin : Alexander Dobrindt, le ministre de l'Intérieur, veut désormais des caméras biométriques dans les gares, et l'ONG AlgorithmWatch alerte sur le pistage de masse. Bref, un simple vêtement, mais un vrai sujet.

Source : Euronews

Pegasus a espionné l'eurodéputé qui enquêtait sur... Pegasus

Stelios Kouloglou, ancien eurodéputé grec, et journaliste d'investigation, siégeait à la commission PEGA du Parlement européen et à l'époque, son cheval de bataille c'était de traquer Pegasus, le mouchard pour smartphone de la société israélienne NSO Group.

Eh bien devinez quoi ? Son smartphone à lui était aussi infecté par Pegasus !

C'est Citizen Lab, un labo planqué à l'université de Toronto, qui a retourné son iPhone en mai dernier et qui a retrouvé la trace de 2 infections. La première en octobre 2022, et la suivante en mars 2023. Pile au moment où la commission PEGA bossait sur son rapport, donc...

Mais avant de tout vous expliquer, je me permets de faire un petit rappel pour ceux qui ont raté le premier épisode. Pegasus, c'est un outil d'une société privée qui travaille dans la surveillance et qui s'appelle NSO Group. Cet outil est capable de s'installer tout seul sur un iPhone, sans avoir besoin du moindre clic de la victime. Aucune interaction, aucune trace et une fois qu'il est en place, cette saloperie siphonne tout ! Ce que votre micro et vos caméras enregistrent, vos messages, votre géoloc, vos datas...etc. Le Parlement européen avait donc monté la commission PEGA en avril 2022 justement pour comprendre pourquoi des États membres s'amusaient à espionner des journalistes, des avocats et des opposants politiques avec ça.

Alors qui a infecté Kouloglou ?

Eh bien personne n'a trouvé et c'est bien le problème. NSO ne donne jamais le nom de ses clients, et l'entreprise n'a pas répondu aux sollicitations. Kouloglou, lui, accuse le gouvernement grec, son propre pays, qui figure parmi les États épinglés par la commission aux côtés de la Pologne, la Hongrie et l'Espagne.

Sauf que Citizen Lab, le labo qui a fait l'analyse, n'a pu confirmer aucune piste et pense que d'autres parlementaires ont ou seront également infectés. Et le pire dans toute cette histoire, c'est qu'il ne se passe rien de plus...

La commission PEGA a rendu son rapport en mai 2023 avec une liste de recommandations comme encadrer le spyware, créer un labo technique européen, ouvrir des voies de recours et le Parlement a voté pour. Très bien ! Sauf que depuis la Commission européenne a rangé tout ça dans un tiroir.

Ça fait donc maintenant 3 ans que ces recommandations prennent la poussière. Et Kouloglou n'est même pas un cas isolé puisqu'il y a déjà eu Nikos Androulakis, un autre eurodéputé grec, visé lui par Predator, le cousin de Pegasus. À l'époque, tout le monde avait crié au scandale mais nous sommes maintenant quelques années plus tard, et il n'y a aucun aucune répercussion ni aucun changement.

Et pendant que la justice avance à deux à l'heure, et cela même si NSO s'est pris une déculottée par WhatsApp , le marché du mouchard se porte comme un charme ! Candiru, Paragon, Intellexa... Pour chaque NSO qui trébuche, d'autres se partagent le gâteau.

Alors qu'est-ce qu'on fait, nous, simples mortels sans immunité parlementaire ?

Bah déjà, si vous êtes journaliste, militant ou juste un parano bien organisé, activez le Lockdown Mode d'Apple , qui a déjà fait échouer des attaques de ce type. Et si vous flairez quelque chose de louche, sachez qu'on peut faire analyser un smartphone pour y détecter une infection , exactement comme Citizen Lab l'a fait pour Kouloglou.

Bref, un député qui enquête sur les espions se fait espionner, et l'Europe regarde ailleurs... J'ai connu meilleure pub pour la démocratie !

Source

Google veut scanner votre main pour prouver que vous êtes humain

Google en a marre que les IA passent ses CAPTCHA les doigts dans le nez, alors sa nouvelle idée de génie à la con pour vérifier que vous êtes bien humain, ça va bientôt être de vous faire agiter la main devant votre webcam.

"Hé COUCOU le CAPTCHA !"

Vous autorisez la caméra, vous faites un petit geste la paume grande ouverte, et Google extrait de la vidéo ce qui s'appelle des hand landmark data, soit 21 points de repère sur les articulations de vos doigts. En gros c'est la carte de votre paluche, branchée sur Google Cloud Fraud Defense, leur brique anti-fraude maison.

Mais alors pourquoi vos grosses mains pleines de poils ?? Seraient-ils fétichistes ?

Hé bien parce que tout d'abord, les CAPTCHA visuels type "cliquez sur les feux de circulation" sont devenus une vraie formalité pour les agents IA qui les résolvent à tous les coups .

Sauf que vous vous en doutez, les humains sont malins comme des singes et ont déjà réussi à bernet le machin avec une simple photo de banque d'images brandie devant la webcam. Ça la fout mal hein ?

En plus, comme les anciens captchas restent dispo pour tous les gens qui n'ont pas de bras ou qui ne peuvent pas bouger, hé bien c'est toujours contournable comme avant. Je me demande vraiment à quoi tout ça rime, soit quelque chose m'échappe, soit c'est stupide... Breeeef.

Côté vie privée, Google jure sur la tête de ses morts que toutes les vidéos et les photos prises par le CAPTCHA sont supprimées une fois le défi relevé, qu'aucun son n'est enregistré et que rien n'est associé à votre identité mais peu importe ce qu'ils nous baragouinent, on n'a aucun moyen de le vérifier de toute façon.

Puis que ce soit votre main, votre visage ou vos fesses, prendre 21 points de mesure sur votre anatomie, ça reste de la biométrie quand même. Rien qu'avec ça, vous pouvez identifier une personne avec 99% de précision... Donc n'allez pas me dire qu'ils n'ont pas autre chose en tête avec cette connerie.

Et je vous parle pas du fait que la caméra chope tout ce qu'il y a autour de vous, votre tête bien sûr, mais aussi vos papiers qui trainent sur le bureau, ce qu'il y a sur un écran, vos bouquins dans l'armoire, la tête de vos gosses dans un cadre et que sais-je encore. C'est beaucoup trop d'infos perso récupérées juste pour pouvoir être identifié comme un humain, je trouve.

Quoiqu'il en soit, si montrer patte blanche à Google vous refroidit, y'a des alternatives comme ALTCHA ne balancent pas vos données à Mountain View, que les sites peuvent mettre en place.

Mais ça va être à vous de faire votre propre lobbying pour que les sites les adoptent.

Source : Tom's Hardware

Claude Code planquait un mouchard dans la date du prompt

Vous utilisez Claude Code tous les jours pour coder, et pendant ce temps-là l'outil d'Anthropic utilisé par des milliers de dev, joue les mouchards. Thereallo , un développeur qui fouillait le binaire par simple souci de vie privée, est tombé sur une fonction qui apparemment modifie en douce la ligne "Today's date is…" du system prompt. Pas le texte que vous lisez ou écrivez mais littéralement l'apostrophe et le tiret de la date.

2 petits caractères auxquels vous ne faites pas gaffe, et qui pourtant peuvent en dire beaucoup...

En gros, c'est de la stéganographie , c'est-à-dire l'art de cacher une info à la vue de tous. Claude Code échange l'apostrophe de "Today's" contre son jumeau Unicode invisible (U+2019, U+02BC ou U+02B9 selon les cas) et remplace au passage les tirets de la date par des slashs.

function Zup() {
if (Crt()) return null;
let host = Qup();
let timezone = e0t();
let cnTZ = timezone === "Asia/Shanghai" || timezone === "Asia/Urumqi";
if (!host) {
return {
known: false,
labKw: false,
cnTZ,
host: null,
};
}
return {
known: Jup().some((domain) => host === domain || host.endsWith("." + domain)),
labKw: Xup().some((keyword) => host.includes(keyword)),
cnTZ,
host,
};
}
function edp(known, labKw) {
if (!known && !labKw) return "'";
if (known && !labKw) return "\u2019";
if (!known && labKw) return "\u02BC";
return "\u02B9";
}
function Vla(date) {
let marker = Zup();
let apostrophe = edp(marker?.known ?? false, marker?.labKw ?? false);
let renderedDate = marker?.cnTZ ? date.replaceAll("-", "/") : date;
return `Today${apostrophe}s date is ${renderedDate}.`;
}

Tout ceci ne se produit que quand vous avez bidouillé la variable ANTHROPIC_BASE_URL afin de router vos requêtes ailleurs que chez Anthropic et si et seulement si le nom de domaine est dans une liste précise. Ou alors si votre fuseau horaire est réglé sur Shanghai ou Urumqi en Asie.

Mais c'est que ça m'a l'air hyper spécifique ça quand même... Qui est ce qu'Anthropic chercherait à tracer ?? Je me le demande bien.

Reste que le contenu de cette fameuse liste a de quoi faire tiquer. Tout d'abord, elle n'est pas en clair. C'est du base64 passé à la moulinette avec un XOR et la clé 91. Et une fois décodée, on y trouve des mots-clés comme deepseek, moonshot, zhipu ou baichuan, et une flopée de domaines chinois (baidu, alibaba, bytedance, jd) plus tout un tas de proxys et de revendeurs d'accès Claude.

Si vous n'avez pas le cerveau trop lent, vous l'aurez compris, ce marqueur sert à repérer les gens qui font tourner Claude Code à travers des intermédiaires chinois. Et Anthropic n'a pas nié.

Thariq Shihipar, qui bosse sur Claude Code, a expliqué sur X que c'était une expérience lancée en mars pour empêcher la distillation , cette technique où un concurrent aspire les réponses d'un modèle pour entraîner le sien à moindre coût. C'est exactement le reproche que la boîte fait à Alibaba.

Vu sous cet angle, vouloir détecter les revendeurs pirates et les pipelines de distillation, ça se défend donc très bien. Mais la méthode, aïe aïe aie, elle est plus que discutable car ça manque sévèrement de transparence.

Ce code dormait là depuis la version 2.1.91 sortie début avril, ni vu ni connu. En plus, c'est un peu couillon parce qu'en plus d'abîmer la confiance des utilisateurs de Claude Code qui se demandent quel autre mystère renferme cet outil, ça se déjoue en quelques secondes. Il suffit de changer de fuseau horaire, de changer de domaine ou de le patcher. Bref, ça n'a pas dû piéger grand monde...

Le marqueur a été retiré dans la foulée avec la version 2.1.197 donc pensez bien à mettre à jour votre install.

Source

Fingerprint Defender - Brouiller son empreinte sur Firefox

Si vous me lisez depuis longtemps, vous savez forcément que le Fingerprinting est une technique de pistage qui permet de vous identifier en mesurant les petites particularités de votre navigateur telles que les polices installées, votre carte graphique, la résolution de votre écran et j'en passe. Toutes ces petites choses mises bout à bout forment ainsi une empreinte quasi unique. Hé c'est exactement contre ça que Digital Fracture, un petit studio anglais situé dans la ville de Poole, vient de sortir Fingerprint Defender pour Firefox.

La plupart des outils anti-pistage mentent sur tout : faux user-agent, faux écran, faux GPU sauf que mentir, ça vous rend encore plus repérable. Bah oui, un browser qui prétend être 3 machines à la fois, ça se repère vite.

Du coup, Fingerprint Defender fait l'inverse : il randomise seulement les surfaces qui servent à vous tracer, et laisse passer vos vraies valeurs communes pour que vous ressembliez à tout le monde.

Ainsi, chaque session il ajoute un léger bruit aléatoire sur le canvas, sur la sortie audio de l'AudioContext et sur les mesures de position des éléments de la page. Il bloque aussi les fuites d'IP par WebRTC et coupe l'API Battery Status (que Firefox planque déjà aux sites depuis des années, mais bon). Et pour l'écran, il annonce du 1920x1080, la résolution la plus banale qui soit !

Et surtout, il laisse volontairement passer votre WebGL, votre fuseau horaire, vos polices et votre user-agent réels. Pourquoi me direz-vous ?? Eh bien parce que ce sont des valeurs que des millions de gens partagent donc c'est complètement inutile de les falsifier. Ça vous complique juste la vie.

Le pari de "se fondre dans la masse" est bien meilleur qu'un spoofer naïf, et la recherche sur le sujet (le fameux Panopticlick de l'EFF ) montre bien que la protection vraiment béton, c'est l'uniformité totale. Il faut faire en sorte que tous les utilisateurs soient strictement identiques, comme le fait Tor Browser.

Après Firefox fait déjà une bonne partie du boulot nativement... j'en avais parlé quand Firefox a musclé sa protection contre le pistage par empreinte . Et si vous aimez bricoler vos réglages, vous serez content d'apprendre qu'il existe plein d'autres façons de réduire les traces que vous laissez sur Firefox . Mais cette extension dont je vous parle aujourd'hui peut parfaitement venir se rajouter à ça.

Après bon, c'est une extension Firefox donc on peut l'ouvrir pour mater les sources directement mais sachez que bien que ce soit sous licence MPL 2.0 (Mozilla), y'a aucun répo public. Snif...

À tester par curiosité, même si c'est à ne pas confondre avec Tor, lol.

PACT - Le token Cloudflare qui veut remplacer les CAPTCHA

Je viens d'apprendre que Cloudflare s'était associé à Chrome, Firefox et Edge pour régler un truc qui nous pourrit tous la vie sans que nous y pensions vraiment, à savoir prouver qu'on est des humains.

Leur projet s'appelle PACT pour Private Access Control Tokens, et l'idée c'est de remplacer les affreux CAPTCHA par un titi jeton cryptographique anonyme que votre browser baladera de sites en sites.

Alors comment ça fonctionne cette nouvelle connerie ?

Hé bien un site qui a déjà une bonne raison de vous croire humain, genre un service où vous avez un compte, émet un token anonyme. Votre navigateur le conserve, et quand vous débarquez ailleurs, il le présente comme une preuve que vous n'êtes ni un robot, ni un alien, ni un pervers narcissique manipulateur.

Comme vous avez passé le test une fois, vous n'avez donc plus à recliquer sur des feux tricolores et des passages piétons aux quatre coins du web... Et comme le token ne contient aucune donnée perso, le site qui le reçoit ne sait pas d'où il sort.

Derrière PACT, rien de sorcier niveau techno, c'est juste du Privacy Pass, l'architecture que l'IETF a posée noir sur blanc en 2024 avec les RFC 9576 à 9578 . Apple fait déjà exactement ça depuis 2022 avec ses Private Access Tokens planqués dans iOS 16 et macOS Ventura, et Cloudflare est même l'un de leurs émetteurs en production. Mais PACT, c'est la version next-gen de ce truc. Au lieu d'attester juste "cet appareil est un vrai iPhone", on atteste "il y a un humain dans la boucle". Les signatures RSA aveugles font que l'attesteur ne sait pas quel site vous visitez, et que le site, lui, ne sait pas qui vous êtes.

C'est plutôt une bonne idée, je trouve. Sauf que cette histoire de "personne", ça inclut aussi les bots autorisés. Genre votre agent IA qui réserve un billet de train ou fait vos courses pendant que vous dormez. Cloudflare veut également leur filer des tokens à eux aussi, pour les démarquer des crawlers sauvages qui pompent le web à l'aspirateur de chantier.

Et ça tombe bien, parce qu'aujourd'hui plus de la moitié du trafic web mondial, c'est déjà des bots.

Maintenant, le truc qui me chiffonne avec PACT c'est que ça crée mécaniquement un web à deux vitesses. D'un côté le trafic on aura le trafic "de confiance" avec son joli token, de l'autre tout le reste, traité comme suspect par défaut. Donc si vous surfez avec Tor, un navigateur exotique ou une config un peu trop cheloue, et que personne ne veut vous émettre de jeton parce que vous êtes un haxxor intransigeant avec sa vie privée, vous devenez un citoyen de seconde zone du web. Sans compter que ce serait ENCORE Cloudflare, déjà videur d'une énorme part d'Internet, qui se retrouvera à arbitrer qui mérite son laissez-passer.

Et puis ça ne règle pas le pistage. Le fingerprinting, votre IP, les mille autres signaux que votre navigateur balance dans la nature restent en place. PACT vire juste le CAPTCHA, mais pas la surveillance. Mozilla jure sur la tête de sa mère que sa participation sert justement à garder ce système ouvert, et j'avoue que je suis content qu'ils soient dans la même pièce que les autres filous, qui pourraient en profiter pour réécrire la norme entre eux. Maintenant, si ce qui reste de votre vie privée déjà bien publique avec toutes nos données perso qui ont fuitée, vous tient encore à cœur, un petit navigateur blindé comme LibreWolf ou un CAPTCHA qui ne vend pas vos clics tel que ALTCHA restent des choix plus sérieux que d'attendre un jeton de bonne conduite.

Voilà... Pour l'instant PACT n'est qu'un projet, sans date de sortie ni même de lieu de standardisation confirmé, et même si l'idée de virer les CAPTCHA est hyper séduisante, reste encore à savoir qui tiendra les clés du laissez-passer...

Source

Fatigue informationnelle - Quand fuir l'actu n'est pas une faiblesse

Je ne lis pas les médias d'actu, et je ne vais quasiment plus sur les réseaux sociaux. Pas par flemme, mais parce qu'à force, je ne voyais plus le monde QUE par le prisme des mauvaises nouvelles et de la négativité (sans parler de la connerie humaine omniprésente mais ça c'est un autre sujet... lol).

Et il se trouve qu'un psychologue de l'université Wilfrid Laurier, Ali Jasemi, vient justement de mettre un peu de science sur ce ras-le-bol que je ressens depuis longtemps. Car si je sature, c'est pas uniquement à cause des drames relayés par BFM ou France Info.

Il y a aussi toutes ces anecdotes sans intérêt mais négatives au possible, ces vidéos d'agression, ces grosses ou petites injustices, cette haine, ces attaques et tout ce qu'on voit à longueur de journée sur nos réseaux sociaux et qui est imaginé, fabriqué et poussé pour nous faire réagir, nous indigner et faire du clic. Et j'avoue qu'au-delà d'un certain stade, ça devient trèèès compliqué à gérer émotionnellement.

Je suis aussi convaincu qu'au bout d'un moment, soit on s'écroule, soit on se retrouve totalement immunisé à la souffrance des autres ou de la nature.

En me coupant de toute cette merde, j'ai surtout remarqué qu'une information vraiment importante finira toujours par arriver jusqu'à moi. Et si personne autour de moi n'en parle, c'est probablement que ce n'était que du bruit. Comme ça, j'évite la quasi-totalité des faits divers, et bizarrement je me porte plutôt bien.

Et d'après ce qu'explique Jasemi, je ne suis apparemment pas le seul à pratiquer ça puisque les nouvelles générations se débranchent également de plus en plus de l'actualité. Dans son analyse parue sur The Conversation , il explique que la fatigue informationnelle, ce n'est ni de la paresse, ni de la faiblesse, et encore moins un désintérêt des nouvelles générations. C'est, je cite, "la réaction prévisible d'un cerveau humain confronté à un environnement pour lequel il n'a jamais été conçu".

Car le truc, c'est que notre cerveau est précisément câblé pour ça. Pendant des centaines de milliers d'années, le cerveau qui prêtait attention aux menaces, c'était celui qui survivait. Un prédateur planqué dans les fourrés comptait davantage qu'un joli coucher de soleil, sauf qu'aujourd'hui, ce vieux réflexe se fait exploiter à la chaîne par les pros de l'économie de l'attention.

Une étude parue dans Nature Human Behaviour a passé au crible plus de 105 000 titres d'articles, et le résultat est sans appel puisque chaque mot négatif ajouté dans un titre fait grimper le taux de clic d'environ 2,3%. Et les mots positifs, eux, font l'inverse, ils font fuir le lecteur. Donc autant vous dire que tout ce flux de news génère pas mal de "plaisir" pour nos cerveaux déjà bien ramollis et torturés, et qu'on glisse très vite dans cette espèce de transe du scroll infini de la mauvaise nouvelle.

Aujourd'hui, c'est 40% des gens dans le monde qui évitent activement les infos, au moins de temps en temps, contre moins de 30% à la fin des années 2010. Chez les plus accros, ceux que les chercheurs classent en consommation problématique, ce qui représente 16,5% des adultes américains quand même, 61% déclarent se sentir physiquement mal, contre 6% chez les autres.

Et ce n'est pas la première fois que les études tirent la sonnette d'alarme sur notre rapport aux écrans. Il y a vraiment un côté fascination pour les contenus de merde, les contenus violents, dégradants et j'en passe. C'est un problème, même si c'est profondément humain. Et comme pour toutes les addictions, il y a un moment où ça bascule, où c'est elle qui prend les commandes et où vous n'êtes plus celui qui décide.

Après, je ne vais pas vous mentir, se couper totalement de l'info et des sources fiables, ça a un revers chez certaines personnes. En effet, ça peut laisser le champ libre à la désinformation si on ne prend pas soin de choisir ses sources et surtout de les croiser. Les escrocs de la fake news sont nombreux et il est facile de se faire berner quand on n'a pas l'habitude.

C'est humain, et il faut lutter contre ça, même si j'ai un peu l'impression qu'il n'y a pas grand monde qui lutte en ce moment...

Alors si vous saturez vous aussi, sachez que vous n'êtes ni faible ni paresseux. Coupez le robinet, gardez deux ou trois sources que vous avez choisies, et faites confiance au reste... L'important finira toujours par vous trouver.

Source : ScienceDaily

❌