Vous vous souvenez des histoires d’employés Samsung qui ont balancé du code source confidentiel dans ChatGPT en 2023 ? Hé bien ce genre de bourde n’a pas disparu, bien au contraire. Un rapport d’ Harmonic Security sorti en fin d’année dernière estimait que près de 80% des données exposées via les IA génératives passent par ChatGPT et plus de 40% des fichiers envoyés contiennent des infos sensibles. Email du boss, clé API, numéro de carte… on balance tout ça sans réfléchir dans nos prompts.

Du coup, y’a un super projet open source qui vient de sortir sur GitHub pour mettre un garde-fou entre vos doigts et vos conneries potentielles. Ça s’appelle PrivacyFirewall et c’est une extension Chrome qui intercepte ce que vous tapez ou collez dans ChatGPT, Claude ou Gemini avant que ça parte chez eux.

L’extension scanne en temps réel ce que vous écrivez et si elle détecte un email, un numéro de téléphone, une clé AWS, un token JWT ou n’importe quel pattern qui ressemble à une donnée sensible, elle bloque le collage et affiche une alerte. Vous pouvez bien sûr forcer l’envoi si vous êtes sûr de vous, mais au moins vous êtes prévenu.

Y’a deux modes de fonctionnement. Le mode “Lite” utilise des regex et tourne directement dans l’extension sans rien installer. C’est instantané et ça attrape déjà pas mal de trucs comme les emails, les numéros de cartes bancaires, les adresses IP, les clés privées et les patterns d’API. Et sinon, le mode “IA” est plus costaud puisqu’il fait tourner un modèle BERT en local sur votre machine via FastAPI mais là ça détecte aussi les noms de personnes, les organisations, les lieux… bref tout ce qui pourrait identifier quelqu’un dans vos données.

Et le truc important, vous l’aurez compris, c’est que tout se passe en local. Aucune données transmises à l’extérieur, zéro télémétrie, pas de tracking. Vous pouvez même vérifier dans les DevTools de Chrome que rien ne sort de votre machine.

Pour l’installation, vous clonez le repo GitHub , vous chargez l’extension en mode développeur dans Chrome, et c’est parti. Si vous voulez le mode IA, faut lancer un petit serveur Python en local qui va télécharger le modèle BERT la première fois (environ 400 Mo). Après ça, le serveur tourne sur localhost et l’extension communique avec lui.

Le projet est encore en beta mais il est déjà utilisable. Y’a aussi un concurrent qui s’appelle Prompt Firewall sur le Chrome Web Store si vous voulez comparer les approches mais PrivacyFirewall a l’avantage d’être totalement transparent niveau code et de proposer la détection NER en plus des regex.

Bref, c’est pas forcément pour tout le monde mais si vous manipulez des données sensibles au boulot et que vous utilisez des IA au quotidien, ça peut vous éviter de belles boulettes. Surtout que maintenant avec la mémoire persistante de ChatGPT, les infos que vous balancez par erreur peuvent rester stockées bien plus longtemps qu’avant.

Amazon vient d’annoncer un truc qui va faire plaisir à tous les lecteurs d’ebooks. A partir du 20 janvier 2026, les auteurs auto-édités pourront proposer leurs ebooks sans DRM en formats EPUB et PDF via la plateforme KDP (Kindle Direct Publishing). Vous pourrez enfin télécharger vos achats dans un format lisible ailleurs que sur Kindle et ça, ça fait plaisir parce que DeDRM ça commençait à bien faire ^^.

Toutefois, cette décision d’activer ou non le DRM reste entre les mains des auteurs et vu les réactions sur les forums KDP, beaucoup risquent de garder les verrous en place. Pour les titres déjà publiés, rien ne change automatiquement et les auteurs qui le souhaitent devront se connecter au portail KDP et modifier manuellement les paramètres de chaque livre s’ils veulent proposer les versions sans DRM. Et Amazon dans sa grande bonté, prévient que les modifications prendront jusqu’à 72 heures pour être effectives…

Donc si vous désactivez le DRM sur vos ouvrages, tous les acheteurs vérifiés pourront télécharger les fichiers EPUB et PDF. Et si vous réactivez le DRM plus tard, les nouveaux téléchargements dans ces formats seront bloqués. Rassurez-vous quand à vos royalties, elles restent identiques dans les deux cas.

Ce qui est dingue dans cette histoire, c’est qu’Amazon renforce en parallèle le DRM sur ses liseuses Kindle de 11e et 12e génération. Une mise à jour récente a en effet introduit un nouveau système de protection qui empêche les utilisateurs de sauvegarder leurs ebooks, sauf en jailbreakant l’appareil. Ils ont aussi supprimé la possibilité de télécharger et transférer des livres via USB.

Du coup, d’un côté Amazon ouvre une porte aux formats ouverts pour les auteurs indépendants, et de l’autre ils cadenassent encore plus leur écosystème Kindle pour les éditeurs traditionnels. La grande majorité des livres sur le Kindle Store restera donc protégée par DRM…

Bref, pour les lecteurs qui jonglent entre différentes plateformes (Apple Books, Google Play, Kobo et j’en passe), ça pourrait quand même faciliter les choses puisque vous pourrez importer vos achats KDP sans protection dans la liseuse de votre choix.

Mais encore faut-il que les auteurs jouent le jeu ? On verra bien !

Source

Y’a un truc que j’adore avec Apple, c’est quand ils nous font des petits moves de génie en douce, sans que personne s’en rende compte. Et en voici un que John Gruber de Daring Fireball vient de débusquer.

Vous ne le savez peut-être pas mais la Russie vient de bloquer des tas de services comme Whatsapp, Snapchat ou encore FaceTime sur son territoire. Officiellement, c’est parce que le FSB (les services secrets russes) ne peut pas espionner les appels chiffrés de bout en bout.

Toutefois, bizarrement, iMessage continue de fonctionner là-bas.

Alors pourquoi ?

Hé bien parce qu’Apple a conçu iMessage de façon à ce qu’il soit techniquement impossible à bloquer sans casser toutes les notifications push de l’iPhone. Et ça, les amis, c’était apparemment prévu dès le départ, car quand Apple a lancé iMessage en 2011, les opérateurs télécom ne désiraient qu’une chose : LE BLOQUER !

Pensez donc, un service de messagerie gratuit qui allait tuer leur poule aux SMS d’or ! Sauf qu’Apple avait anticipé le coup et a fait en sorte qu’iMessage utilise le même canal que le service APNs (Apple Push Notification Service), c’est à dire celui qui gère TOUTES les notifications de TOUTES vos apps. Ainsi, si vous bloquez iMessage sur un réseau, vous bloquez aussi les notifs de Gmail, Twitter, WhatsApp, et absolument tout le reste. Et pour les opérateurs, c’était inacceptable commercialement car ils auraient perdu des millions de clients en plus de se prendre un procès au cul de la part d’Apple.

Et c’est exactement pour cette même raison que iMessage fonctionne encore aujourd’hui contre les régimes autoritaires. La Russie peut donc bloquer FaceTime parce que c’est un service séparé avec ses propres ports mais iMessage c’est tellement imbriqué dans l’infrastructure de base d’iOS que le bloquer reviendrait à rendre les iPhone à moitié inutilisables.

Et aucun pays ne peut se permettre ça, même pas la Chine.

Après, la Russie n’est pas tendre avec le reste des messageries. Facebook, Instagram, Twitter, Discord, LinkedIn , tous sont bloqués et YouTube est tellement ralenti qu’il est devenu inutilisable. WhatsApp et Telegram ont perdu les appels vocaux quand à Signal et Viber, ils sont bannis.

Et ce qui est malin dans le design d’Apple, c’est que tout passe par le port 5223 en TLS (ou le 443 en fallback) et les messages sont chiffrés de bout en bout avec des clés que même Apple ne possède pas. Donc le gouvernement russe peut regarder passer les paquets si ça l’amuse, il ne verra que du bruit. Et s’il veut filtrer ce bruit spécifiquement, il coupera aussi les notifs de toutes les apps russes.

Bref, Apple a construit un bouclier anti-censure directement dans l’architecture d’iOS, et personne ne s’en était rendu compte jusqu’à aujourd’hui. Bien joué !

Tous les détails sont sur Daring Fireball

Bonne nouvelle, les amis, Tor vient d’implémenter CGO (Counter Galois Onion) !

Si ça ne vous dit rien, c’est normal, moi non plus je ne connaissais pas, mais je vais tout vous expliquer !

Jusqu’à maintenant, le réseau Tor protégeait votre anonymat avec du chiffrement en oignon. Plusieurs couches de crypto, une par relais et ça marche bien… sauf qu’il existe une technique vicieuse qu’on appelle les attaques par tagging.

Le tagging c’est quand un attaquant modifie votre trafic chiffré à différents endroits du réseau (genre en ajoutant un marqueur invisible dans certains noeuds), puis il observe ce qui sort de l’autre côté pour vous tracer. C’est comme quand vous collez un traceur GPS dans votre voiture, sauf que là c’est des bits dans du trafic chiffré.

Et de son côté, CGO fait encore mieux que de bloquer cette attaque. En effet, il transforme chaque attaque en auto-sabotage ! Si quelqu’un modifie ne serait-ce qu’un seul bit de votre trafic chiffré, tout le message devient illisible. Et pas seulement ce message… tous les messages futurs de la session deviennent du bruit blanc irrécupérable.

Avec ça en place, l’attaquant se tire une balle dans le pied à chaque tentative.

Derrière ce système, il y a 4 cryptographes qui ont bossé très dur : Jean Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam. Ils ont publié leur recherche cette année et ça a été implémenté dans Arti, la version Rust de Tor et l’implémentation C arrive bientôt.

Ce qui change tout, c’est le calcul risque/bénéfice pour les attaquants car avant, tenter de tracer quelqu’un avait peu de conséquences si ça échouait. Mais maintenant, tenter de tracer quelqu’un détruit définitivement votre capacité à surveiller cette personne. Et vous vous en doutez, les agences de surveillance détestent perdre leur accès… Elles préfèrent observer en silence plutôt que de tout casser dans une tentative maladroite. Du coup CGO les force à choisir. Soit rester invisibles, soit tout perdre.

Et puis il y a un autre aspect génial à cette techno, c’est le forward secrecy renforcé que ça engendre car à chaque message, CGO transforme les clés de chiffrement de façon irréversible. Même si un attaquant récupère vos clés actuelles, il ne peut pas déchiffrer les messages précédents car les clés précédentes ont été broyées et remplacées à chaque étape.

CGO remplace aussi l’ancien système d’authentification qui utilisait un digest de 4 bytes par un authenticateur de 16 bytes. C’est donc bien plus costaud et plus difficile à falsifier ainsi qu’à contourner.

Comme d’hab, Tor publie l’algorithme en open source donc vous pouvez vous plonger dans le code si ça vous amuse.

Cette implémentation de CGO est encore expérimentale pour le moment, mais une fois que cela aura été éprouvé par la communauté et testé pendant plusieurs mois, voire des années, ce sera déployé officiellement dans les futurs relais, puis dans les services onion de Tor.

Voilà donc comment Tor fait de chaque tentative de surveillance un auto-sabotage irréversible, et ça les amis, c’est un message qui devrait faire réfléchir pas mal de gens dans des bureaux sans fenêtres.

Source

Le 30 octobre, l’opérateur anonyme qui se cache derrière le site Archive.is a posté un truc sur X. Pas un long message, hein, mais juste le scan d’une assignation en justice envoyée par le FBI daté du jour même, accompagné d’un seul mot : “canary”.

Si vous me lisez depuis longtemps, vous savez ce que ça veut dire. Un warrant canary , c’est une technique pour contourner les bâillons juridiques. Ainsi, quand une agence gouvernementale vous sert une assignation avec interdiction d’en parler, vous ne pouvez pas dire “hey les copains, j’ai reçu une assignation”. Par contre, vous pouvez publier régulièrement “je n’ai reçu aucune assignation”. Et le jour où vous arrêtez de publier cette phrase, tout le monde comprend que le canari est mort.

Sauf que là, le canari n’est pas mort. Il chante fort en publiant directement l’assignation elle-même.

Le document demande à Tucows, le registrar canadien qui gère les domaines Archive.is, Archive.ph et Archive.today, de balancer toutes les infos sur leur client : nom, adresse, numéros de téléphone, logs de paiement, tout. Le FBI a jusqu’au 29 novembre pour obtenir ces données et bien sûr, le document précise : “Vous êtes prié de ne pas divulguer l’existence de ce subpoena indéfiniment, car toute divulgation pourrait interférer avec une enquête en cours.”

Raté, lol.

Depuis 2012, le domaine archive.is est enregistré sous le nom de “Denis Petrov”, à Prague. Denis Petrov, si vous voulez, c’est un peu l’équivalent russe de Jean Dupont donc autant dire que c’est probablement pas son vrai nom. Et durant ces 13 dernières années, personne n’a réussi à identifier la vraie personne qui se cache derrière ce service utilisé par des millions de personnes chaque mois.

En 2025, maintenir un service web aussi gros en terme de visites, tout en restant complètement anonyme, c’est un exploit. Il faut des serveurs et il faut payer ces serveurs. Il faut gérer les DNS, les noms de domaine, les sauvegardes donc à chaque étape, il y a normalement une trace. Un paiement, une facture, une identité à vérifier. Et pourtant…

Archive.is, pour ceux qui ne l’utilisent pas, c’est un service d’archivage web à la demande. En gros, vous lui balancez une URL, et il vous crache un snapshot de la page. Un genre d’instantané figé dans le temps. C’est donc un peu différent de la Wayback Machine de l’Internet Archive qui crawle méthodiquement le web pour garder une trace longue durée. Archive.is, c’est du court terme, du rapide, du “j’ai besoin d’archiver cette page maintenant avant qu’elle disparaisse”.

Et les gens utilisent ce service pour plein de raisons. Par exemple, archiver un thread Twitter avant qu’il soit supprimé, sauvegarder un article avant qu’il soit modifié ou encore documenter une preuve. Mais là où il excelle c’est dans le contournement des paywalls.

Et c’est ce dernier point qui énerve l’industrie médiatique. En juillet de cette année, la News/Media Alliance a même réussi à faire fermer 12ft.io, un autre service de contournement de paywall. Le fondateur, Thomas Millar, avait créé son service pendant la pandémie après avoir constaté que, je cite, “8 des 10 premiers liens sur Google étaient derrière un paywall”. 12ft.io était hébergé chez un provider classique, avec un nom et une adresse… Il s’est pris une menace légale, et le service a du fermer.

Mais Archive.is, lui, résiste. Comment ? Hé bien parce qu’il n’y a personne à assigner. Pas de boîte. Pas de CEO. Y’a juste un fantôme qui paie ses factures et maintient les serveurs.

A titre perso, je comprends pourquoi les paywalls existent… Les médias doivent se financer et le journalisme de qualité coûte cher. Mais quelque part, je trouve ça quand même hyper triste humainement et professionnellement, d’enquêter, de prendre le temps d’écrire un super truc afin d’informer les gens, pour au final être lu uniquement par trois pelés et un tondu…

Mais bon, c’est pas vraiment ça qui intéresse le FBI.

Ce qui les dérange, c’est pas le paywall. C’est l’anonymat. Cette idée qu’on puisse opérer une infrastructure critique sur web sans identité vérifiable, ça ne passe plus. Les gouvernements veulent savoir qui fait quoi et cela même si c’est légal, même si c’est utile. L’anonymat est devenu une anomalie.

Et c’est là que le “canary” prend tout son sens car en publiant cette assignation, l’opérateur d’Archive.is fait deux choses. D’abord, il prévient tout le monde qu’il est dans le viseur mais il transforme aussi un document juridique confidentiel en acte de résistance publique. Le FBI voulait enquêter en silence et maintenant, tout Internet sait.

Le FBI chasse un archiviste, c’est à dire quelqu’un dont le métier est de faire des snapshots de ce qu’on trouve sur le web avant que ça ne disparaisse. Et là, il vient d’archiver sa propre disparition potentielle. Son message Twitter est déjà dans les archives d’Archive.is lui-même…

Tucows, de son côté, a confirmé qu’ils “respectent les procédures légales valides”, ce qui veut dire qu’ils vont probablement fournir les infos. Sauf que si l’opérateur d’Archive.is a réussi à rester anonyme pendant 13 ans, je doute qu’il ait laissé son vrai nom et son adresse perso dans les champs du registrar. Il a probablement utilisé des services d’anonymisation de domaine, des boîtes postales, des paiements en crypto. Bref, le FBI va peut-être obtenir des données, mais ça mènera probablement à un autre fantôme… On verra bien.

Quoiqu’il en soit, dans 10 ans, tous les services web devront avoir un humain identifiable et assignable en justice derrière. C’est le sens de la vie… et cette époque où on pouvait lancer un service en ligne sans donner son identité, c’est terminé. Archive.is est donc peut-être le dernier dinosaure de cette ère révolue où Internet était encore un peu sauvage, un peu anonyme, un peu libre…

Le canari chante. Mais pour combien de temps encore ? Ça personne ne sait…

Source .