Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 15 juillet 2026Flux principal

La mort lente des CAPTCHA se poursuit: avec Precursor, Cloudflare va observer votre comportement à la lettre

15 juillet 2026 à 13:15

Cloudflare généralise Precursor, un système qui analyse en continu la façon dont un visiteur bouge sa souris ou tape au clavier pour distinguer un humain d'un bot. De quoi mesurer l'urgence avec laquelle l'industrie cherche des parades, trois semaines à peine après l'annonce du protocole PACT.

La mort lente des CAPTCHA se poursuit: avec Precursor, Cloudflare va observer votre comportement à la lettre

15 juillet 2026 à 13:15

Cloudflare généralise Precursor, un système qui analyse en continu la façon dont un visiteur bouge sa souris ou tape au clavier pour distinguer un humain d'un bot. De quoi mesurer l'urgence avec laquelle l'industrie cherche des parades, trois semaines à peine après l'annonce du protocole PACT.

À partir d’avant-hierFlux principal

Le blocage DNS casse tout sauf le piratage (dixit Google)

Par : Korben ✨
13 juillet 2026 à 11:26

Google est allé raconter à la Commission européenne ce que les gens qui s'y connaissent un peu en réseau répètent depuis 15 ans : Bloquer les résolveurs DNS, les VPN et les adresses IP pour lutter contre le piratage, ça ne marche pas.

Dans un document envoyé pour la consultation sur la révision de la directive copyright, Mountain View écrit que "bloquer les résolveurs DNS, les IP ou les VPN est inefficace, car cela ne supprime pas du tout le contenu et se contourne facilement en utilisant des résolveurs DNS alternatifs".

Le plus marrant ??? Bah c'est que Google sait très exactement de quoi il parle, vu que la justice française l'oblige déjà à filtrer son propre résolveur 8.8.8.8 pour protéger les matchs de foot de Canal+ (Fun fact : J'ai pas vu une seule image, ni score, ni entendu une seule histoire à propos de la Coupe du Monde cette année, tellement les algos savent que ça ne m'intéresse pas.... loool)

Pour ceux qui débarquent (oué oué), le blocage DNS, c'est demander aux annuaires du net (souvent ceux de votre FAI) de faire semblant de ne pas connaître l'adresse d'un site. Le site reste en ligne, ses serveurs tournent, et vous le retrouvez facilement en moins de 2 min, en changeant de résolveur ou en allumant un VPN.

Le blocage d'adresses IP, c'est encore pire, parce qu'une même adresse est souvent partagée par des milliers de sites sans aucun rapport entre eux... En bloquer une, ça revient donc souvent à couper l'électricité de tout l'immeuble pour punir un seul locataire.

Et des immeubles plongés dans le noir, la soumission de Google en aligne toute une collection. Je pense par exemple à ce document étiquetté "Privileged and Confidential" que la Commission a quand même publié (lol, des champions, je vous dis !) et qui cite le nom de clients de Google Cloud parfaitement en règle, qui pourtant ont été entièrement coupés à Internet fin 2019 au Portugal. Tout ça parce que des fournisseurs d'accès Internet locaux avaient bloqué des ASIP partagés pour viser certains sites pirates...

Ou encore un sous-domain de Google Drive ainsi que des IP Cloudflare sur lequel reposaient plus de 42 millions de domaines victimes du Piracy Shield italien. Ah et j'ai oublié l'Espagne qui vient compléter ce joli bingo parce que là-bas les blocages réclamés par LaLiga (la ligue de foot locale) durant les matchs, on fait carrément tomber +550 000 dont les sites d'Amnesty International, de l'UNICEF, du Sénat australien, de la Stanford Law Review et même des serveurs Amazon S3.

Et en France, je ne sais pas si vous vous souvenez, mais Cisco a carrément préféré débrancher son service OpenDNS plutôt que de se plier aux ordonnances de la justice. Quelle bonne ambiance dans ce terreau fertile à la dictature qui nous fonce dessus comme un train de la Deutsche Reichsbahn. (Point Godwin atteint, j'm'en fous, je fais ce que je veux, c'est mon site ^^).

Du coup, les ayants droit réclament maintenant de bloquer aussi les résolveurs alternatifs et les VPN eux-mêmes... et c'est exactement cette fuite en avant que Google demande d'arrêter. En tout cas dans son message, Google rappelle vivement ce que l'industrie du divertissement refuse d'entendre depuis l'époque de Napste : Quand vous avez un catalogue de merde émietté entre des dizaines de plateformes pour des prix exorbitants, avec de la pub, une qualité assez basse et des tas d'œuvres manquantes, eh bien, il ne faut pas s'étonner que le téléchargement illégal reparte de plus belle.

Maintenant, c'est vrai que Google ne joue pas les chevaliers blancs par pure bonté d'âme. En fait, ce qu'ils défendent, c'est leur résolveur maison, leur cloud et leurs clients. Elle reste par exemple très silencieuses sur tous les projets de loi de blocage qui avancent en ce moment même au Congrès américain.

Mais sur le fond, on ne peut pas leur donner le tort surtout quand je vois que le DNS4EU, le résolveur souverain européen, se fait déjà mettre la pression pour filtrer les sites pirates.

Voilà, la consultation est close depuis le 25 juin dernier et la commission est actuellement en train d'éplucher toutes les contributions pour décider des futures conneries qu'elle va faire. On croise les doigts quand même.

Source

Un compteur de visiteurs sur votre site, sans payer un centime

Par : Korben ✨
12 juillet 2026 à 07:45

Vous avez peut-être remarqué un petit point rouge tout en bas de mon site, avec un nombre à côté. Il s'agit du nombre de personnes passées sur le site durant la dernière heure.

Je voulais remettre ce truc depuis un bail, bien à l'ancienne comme dans les années 2000 mais sur un site statique, qui plus est sans tracker de stats JS type Google Analytics ou Matomo, et sans cookies de tracking, c'était pas franchement une option... jusqu'à maintenant !

Le compteur, en vrai, tout en bas de korben.info.

La solution évidente sur des sites statiques, c'est souvent un petit Worker Cloudflare qui compte les visiteurs et servirait le chiffre, mais ça se facture à chaque requête. À 390 000 pages vues par jour, ça grimpe vite à des dizaines de millions d'invocations par mois, soit dans les 6 à 7 dollars. C'est pas super cher mais pour un compteur qui n'est utile qu'à satisfaire mon égo tout en sachant s'il y a du monde aujourd'hui, ça ne sert strictement à rien ! Donc le Worker, je l'ai écarté direct.

Du coup j'ai fait ça à l'ancienne. Un petit script Python tourne sur la machine qui héberge le site, une fois par minute. Il pose une seule question à Cloudflare, à savoir combien d'adresses IP distinctes ont chargé une page durant la dernière heure (ou demi-heure, ou quart d'heure ou 5 min, c'est vous qui paramétrez), il écrit la réponse dans un minuscule fichier live.json de quelques centaines d'octets, et c'est tout. Ce fichier, Cloudflare le sert ensuite depuis son cache comme il servirait une image, gratuitement. Zéro Worker, zéro base de données, zéro abonnement, j'ai exactement le même résultat sans dépenser une thune.

Maintenant, faut que je sois clair sur ce que ce chiffre raconte. C'est le nombre de navigateurs distincts ayant chargé une page durant la dernière heure, hors trafic interne de Cloudflare. C'est un "*combien de monde est passé récemment *", pas un "combien lisent là tout de suite".

Et les bots là-dedans ?

En fait, les bots pourris , ceux qui scrapent en boucle, se font bloquer en amont par le Super Bot Fight Mode de Cloudflare, donc ils n'arrivent même pas jusqu'à mon site. Restent les gentils bots, du genre de Googlebot et compagnie, que je laisse passer exprès, parce que les bloquer reviendrait à me flinguer mon référencement. Sur les 7 derniers jours, Cloudflare classe à peine 4% comme bots vérifiés. Donc c'est une goutte d'eau, surtout qu'ils tournent sur une poignée d'IP. Donc oui, mon compteur avale deux ou trois crawlers au passage, mais je ne voulais pas vous mentir en écrivant "zéro bot". Mais l'essentiel c'est que les nuisibles, eux, ne soient pas comptabilisés.

J'ai aussi dû gérer un petit piège car l'API de Cloudflare plafonne sa réponse à 10 000 lignes. Et comme sur une heure entière de trafic ça peut se remplir vite, si je crève ce plafond, la requête sous-compterait sans rien dire. Donc le script lève un flag et le compteur affiche "10 000 personnes ou plus" plutôt qu'un faux nombre. Quand j'y serai aux 10 000 et plus, je pense que je réduirai alors le delta temps en passant de 1h à 30 min...etc.

Côté vie privée, c'est carré également. Cloudflare renvoie à mon serveur une liste JSON des IP passées dans l'heure, mon script en compte le nombre de distinctes, et efface cette liste de sa mémoire dans la milliseconde qui suit. Aucune IP n'est stockée, aucune n'atterrit dans un log, aucun fichier avec les IPs n'est créé sur le disque... Il ne reste qu'un entier. Comme je vous le disais, pas de cookie , pas de traceur, et rien qui touche votre navigateur . Et comme le compteur ne s'affiche jamais en dessous de 10 personnes, impossible d'isoler qui que ce soit.

Maintenant, si vous voulez le même chez vous, sachez que j'ai tout balancé en open source sur GitHub , sous licence MIT, donc servez-vous. Voici les pré-requis :

  1. votre site doit être derrière Cloudflare, le plan gratuit suffit largement.
  2. vous générez un token API Cloudflare avec le droit de lecture sur les analytics.
  3. vous posez le script live_count.py sur votre serveur et vous le lancez une fois par minute (ou toutes les 5 ou 10 min) via un cron.
  4. vous ajoutez le bout de JavaScript et son span dans vos pages, tout se règle par des attributs, aucun script inline, donc ça passe même avec une politique de sécurité stricte.

Le seul truc sur lequel ne pas vous louper, c'est de mettre un temps de cache court à live.json. Si c'est trop long, tous vos visiteurs verraient un chiffre périmé.

Voilà. Un petit compteur maison simili-live sans tracking et qui ne me coûte rien, c'est le bonheur !

PACT - Le token Cloudflare qui veut remplacer les CAPTCHA

Par : Korben ✨
24 juin 2026 à 16:04

Je viens d'apprendre que Cloudflare s'était associé à Chrome, Firefox et Edge pour régler un truc qui nous pourrit tous la vie sans que nous y pensions vraiment, à savoir prouver qu'on est des humains.

Leur projet s'appelle PACT pour Private Access Control Tokens, et l'idée c'est de remplacer les affreux CAPTCHA par un titi jeton cryptographique anonyme que votre browser baladera de sites en sites.

Alors comment ça fonctionne cette nouvelle connerie ?

Hé bien un site qui a déjà une bonne raison de vous croire humain, genre un service où vous avez un compte, émet un token anonyme. Votre navigateur le conserve, et quand vous débarquez ailleurs, il le présente comme une preuve que vous n'êtes ni un robot, ni un alien, ni un pervers narcissique manipulateur.

Comme vous avez passé le test une fois, vous n'avez donc plus à recliquer sur des feux tricolores et des passages piétons aux quatre coins du web... Et comme le token ne contient aucune donnée perso, le site qui le reçoit ne sait pas d'où il sort.

Derrière PACT, rien de sorcier niveau techno, c'est juste du Privacy Pass, l'architecture que l'IETF a posée noir sur blanc en 2024 avec les RFC 9576 à 9578 . Apple fait déjà exactement ça depuis 2022 avec ses Private Access Tokens planqués dans iOS 16 et macOS Ventura, et Cloudflare est même l'un de leurs émetteurs en production. Mais PACT, c'est la version next-gen de ce truc. Au lieu d'attester juste "cet appareil est un vrai iPhone", on atteste "il y a un humain dans la boucle". Les signatures RSA aveugles font que l'attesteur ne sait pas quel site vous visitez, et que le site, lui, ne sait pas qui vous êtes.

C'est plutôt une bonne idée, je trouve. Sauf que cette histoire de "personne", ça inclut aussi les bots autorisés. Genre votre agent IA qui réserve un billet de train ou fait vos courses pendant que vous dormez. Cloudflare veut également leur filer des tokens à eux aussi, pour les démarquer des crawlers sauvages qui pompent le web à l'aspirateur de chantier.

Et ça tombe bien, parce qu'aujourd'hui plus de la moitié du trafic web mondial, c'est déjà des bots.

Maintenant, le truc qui me chiffonne avec PACT c'est que ça crée mécaniquement un web à deux vitesses. D'un côté le trafic on aura le trafic "de confiance" avec son joli token, de l'autre tout le reste, traité comme suspect par défaut. Donc si vous surfez avec Tor, un navigateur exotique ou une config un peu trop cheloue, et que personne ne veut vous émettre de jeton parce que vous êtes un haxxor intransigeant avec sa vie privée, vous devenez un citoyen de seconde zone du web. Sans compter que ce serait ENCORE Cloudflare, déjà videur d'une énorme part d'Internet, qui se retrouvera à arbitrer qui mérite son laissez-passer.

Et puis ça ne règle pas le pistage. Le fingerprinting, votre IP, les mille autres signaux que votre navigateur balance dans la nature restent en place. PACT vire juste le CAPTCHA, mais pas la surveillance. Mozilla jure sur la tête de sa mère que sa participation sert justement à garder ce système ouvert, et j'avoue que je suis content qu'ils soient dans la même pièce que les autres filous, qui pourraient en profiter pour réécrire la norme entre eux. Maintenant, si ce qui reste de votre vie privée déjà bien publique avec toutes nos données perso qui ont fuitée, vous tient encore à cœur, un petit navigateur blindé comme LibreWolf ou un CAPTCHA qui ne vend pas vos clics tel que ALTCHA restent des choix plus sérieux que d'attendre un jeton de bonne conduite.

Voilà... Pour l'instant PACT n'est qu'un projet, sans date de sortie ni même de lieu de standardisation confirmé, et même si l'idée de virer les CAPTCHA est hyper séduisante, reste encore à savoir qui tiendra les clés du laissez-passer...

Source

Cloudflare, Firefox, Chrome et Microsoft Edge s’allient pour créer PACT, un protocole qui veut en finir avec les CAPTCHA

23 juin 2026 à 16:03

Cloudflare s'associe aux trois principaux navigateurs du marché pour développer un nouveau protocole baptisé PACT, censé remplacer les CAPTCHA et le suivi intrusif par des jetons cryptographiques anonymes. Un projet ambitieux, mais dont le déploiement réel reste encore très incertain.

« Beaucoup de temps, d’efforts et d’argent » : ce que Cloudflare a appris en testant Claude Mythos sur sa propre infrastructure

19 mai 2026 à 11:16

Le géant américain des infrastructures internet Cloudflare a soumis le modèle de cybersécurité d'Anthropic à l'épreuve de ses propres dépôts de code. Les enseignements, tout juste publiés dans un article de blog, sont précieux, et les mises en garde le sont encore plus.

Accès NAS à distance : comparatif des 5 meilleures solutions (VPN, DDNS, Cloudflare…)

Par : Fx
24 avril 2026 à 07:00
acces nas distant - Accès NAS à distance : comparatif des 5 meilleures solutions (VPN, DDNS, Cloudflare…)

Accéder à son NAS depuis l’extérieur n’a rien de compliqué… mais toutes les méthodes ne se valent pas. Certaines privilégient la simplicité, d’autres la sécurité ou les performances. Si vous possédez un NAS, vous vous êtes probablement déjà demandé quelles solutions existent et quelles sont leurs différences. Voici un rapide tour d’horizon, avec les bonnes pratiques à connaître 😉

acces nas distant - Accès NAS à distance : comparatif des 5 meilleures solutions (VPN, DDNS, Cloudflare…)

Accès à distance

Quand on possède un NAS, on devient vite exigeant en matière de sécurité. Pendant longtemps, il était strictement impossible d’accéder à mon NAS depuis l’extérieur. Et puis, les usages ont changé, les enfants ont grandi… nos besoins ne sont plus les mêmes.

La question n’est donc plus “faut-il y accéder ?” mais plutôt “comment le faire correctement ?”

Accès facile des constructeurs

Les fabricants de NAS proposent des solutions clés en main, très simples à configurer. Chacun propose son propre service de type Cloud Relay.

Service Accès
Synology QuickConnect quickconnect.to/mon-id
QNAP myQNAPcloud Link qlink.to/mon-id
ASUSTOR EZ-Connect mon-id.ezconnect.to
UGREEN UGREENlink ug.link/mon-id
TerraMaster TNAS.online tnas.online/mon-id

L’activation se fait généralement en un clic, sans configuration réseau ni redirection de port. Ces services fonctionnent via un serveur relais hébergé par le fabricant. Cela signifie que vos données transitent par une infrastructure tierce. Même si elles sont chiffrées, cela implique une dépendance à l’écosystème du fabricant… et des performances souvent en retrait.

Sa simplicité extrême pousse de nombreux utilisateurs à l’activer sans en mesurer les implications, d’autant que certains fabricants la proposent dès le premier démarrage. C’est tellement simple que personnellement, je trouve cela dangereux.

DDNS

Le DDNS (Dynamic DNS) permet d’associer une adresse IP publique (celle de votre Box qui change régulièrement) à un nom de domaine fixe.  Vous pouvez acheter un domaine (.fr, .com, .eu…) pour quelques euros par an chez un registrar comme OVH ou Cloudflare, ou opter pour un sous-domaine gratuit via des services tiers tels que ChangeIP, FreeDNS, ou ceux proposés directement par les fabricants de NAS. Dans ce dernier cas, vous n’aurez pas la maîtrise totale du nom de domaine.

Cette méthode nécessite une redirection de port sur votre routeur. Il est également possible d’intégrer un reverse proxy (directement sur le NAS ou sur un autre équipement) pour gérer proprement un domaine et ses sous-domaines avec HTTPS.

VPN auto-hébergé

Héberger son propre serveur VPN est la solution offrant le meilleur rapport sécurité/contrôle. Le VPN constitue une porte d’entrée chiffrée vers votre réseau domestique. Pour accéder au NAS, vous devez d’abord vous authentifier via ce tunnel sécurisé… vous êtes connectés ensuite comme si vous étiez en local.

Le serveur VPN peut être installé sur :

  • Votre Box ou routeur ;
  • Un appareil dédié comme un Raspberry Pi ;
  • Le NAS lui-même.

Je recommande WireGuard, qui combine une sécurité élevée avec d’excellentes performances, notamment en mobilité. C’est la solution que je privilégie personnellement. La contrepartie, c’est que sa configuration est plus technique que les autres méthodes. Elle nécessite également une redirection d’un port sur votre Box.

VPN hybride (mesh VPN)

Des solutions comme Tailscale proposent une approche simplifiée du VPN. Il suffit d’installer l’application sur le NAS et sur vos appareils, puis de se connecter avec un compte. La mise en relation entre les appareils est gérée automatiquement, sans configuration réseau.

Ces outils sont bien sécurisés (chiffrement de bout en bout), mais les données transitent via les serveurs de l’éditeur pour l’établissement de la connexion. Les performances sont souvent inférieures à un VPN auto-hébergé. L’offre gratuite est souvent suffisante pour un usage personnel…

Cloudflare Tunnel

Cloudflare Tunnel permet d’exposer son NAS via un nom de domaine, sans ouvrir le moindre port sur votre box… et en bénéficiant de la protection applicative de Cloudflare (WAF, gestion des accès, authentification à deux facteurs…).

Le fonctionnement repose sur un agent installé sur le NAS (généralement via Docker), qui établit une connexion sortante vers les serveurs Cloudflare. C’est ce tunnel qui permet l’accès depuis l’extérieur, sans exposition directe de votre réseau. La limite principale reste la même que pour toute solution cloud : vous faites confiance à un tiers pour le transit de vos données.

Rappel de sécurité

Dès qu’un NAS est accessible depuis Internet, il devient une cible potentielle. Des robots scannent en permanence le Web à la recherche de services exposés et des failles exploitables.

Je vous recommande d’appliquer un minimum de règles de sécurité :

  • Activez le blocage automatique après plusieurs tentatives de connexion infructueuses ;
  • Désactivez les comptes par défaut (admin, guest) ;
  • Activez le pare-feu du NAS ;
  • Utilisez un mot de passe robuste (majuscules, minuscules, chiffres et caractères spéciaux) ;
  • Changez les ports par défaut ;
  • Forcez l’utilisation du HTTPS (redirection HTTP vers HTTPS) ;
  • Maintenez votre NAS à jour (système et applications) ;
  • Mettez en place des sauvegardes régulières…

Il faut respecter toutes ces règles, voire plus…

En synthèse

Accéder à son NAS à distance est aujourd’hui indispensable, mais cela ne doit pas se faire au détriment de la sécurité. Plus une solution est simple à activer, plus elle mérite d’être questionnée. Prenez le temps de comprendre vos besoins et privilégiez toujours une approche sécurisée, même si elle demande un peu plus d’effort à la mise en place.

Facilité Sécurité Contrôle Ouverture de port
Solution constructeur ⭐⭐⭐⭐⭐ ⭐⭐ ⭐ Non
DDNS ⭐⭐⭐ ⭐⭐ ⭐⭐⭐⭐ Oui
VPN auto-hébergé ⭐⭐ ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐⭐ Oui
VPN hybride ⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐ Non
Cloudflare Tunnel ⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐⭐⭐ Non

Au fait, pourquoi les puzzles ont disparu de notre navigation ? Et vers où allons-nous ?

28 mars 2026 à 17:02

Pendant des années, prouver qu'on était humain ressemblait à un examen de conduite : identifier des feux tricolores, reconnaître des bus ou des vélos sur des grilles pixelisées. Des petits rituels qui ont structuré une décennie entière de navigation. Puis ils ont disparu, presque sans qu'on s'en rende compte, pour laisser place à un système moins visible et plus sophistiqué.

« Vérifiez que vous êtes humain », comment des hackers ont rendu leur piège invisible grâce à cet outil incontournable

13 mars 2026 à 09:31

Dans un article de blog publié le 11 mars 2026, les chercheurs de DomainTools ont mis au jour une campagne de phishing particulièrement fourbe, visant à dérober les identifiants Microsoft 365 de ses victimes. Sa particularité ? Détourner un outil de protection légitime de Cloudflare pour se rendre invisible aux scanners de sécurité.

Cloudflare lance le crawl automatique de sites web, voici ce que ça change vraiment

11 mars 2026 à 09:36

Le 10 mars 2026, Cloudflare a annoncé le lancement d'un outil capable d'aspirer l'intégralité d'un site web en une seule commande. Une annonce qui surprend de la part d'une entreprise dont le cœur de métier a longtemps consisté à protéger les sites précisément contre ce type d'opération.

❌
❌