Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 17 juillet 2026Flux principal

La Belgique bloque wawacity.pizza, mais les pirates se sont déjà mis au poker

Par : Korben ✨
17 juillet 2026 à 12:02

La Belgique vient de bloquer wawacity.pizza. Et wawacity.rodeo. Ah et aussi wawacity.taxi, wawacity.futbol, wawacity.motorcycles, wawacity.irish, sans oublier zone-telechargement.meme et zone-telechargement.monster ( la liste est ici ).

113 domaines au total, classés le 3 juillet dernier comme contrefaisants par le président du tribunal de l'entreprise francophone de Bruxelles dont 37 pour Wawacity et 36 pour Zone-Téléchargement . Y'a même un zone-telechargement.gratis, qui est au moins honnête sur le prix de la marchandise ^^ !

Sauf que depuis le 9 juillet, les deux sites tournent à nouveau sur un TLD en .poker. Soit la veille du jour où la BAPO, le service belge de lutte contre la contrefaçon en ligne, a publié sa décision d'exécution. Autrement dit, la liste était déjà obsolète avant que Telenet, Proximus, Orange Belgium, Mobile Vikings et DIGI aient eu le temps d'y toucher ! Et les anciennes adresses en .codes et .expert, ne sont pas dans la liste belge non plus.

Du coup, vous vous demandez peut-être pourquoi ces deux sites collectionnent les TLD les plus improbables du registre. Hé bien c'est pas du folklore, c'est une réponse directe à l'ARCOM. À chaque fois que les FAI français appliquent une salve de blocages DNS , les opérateurs enregistrent un nouveau domaine et redirigent leur public via des pages d'atterrissage et des canaux Telegram. La Belgique hérite donc d'un stock de domaines cramés par la France, et les bloque consciencieusement, un par un, avec plusieurs coups de retard.

Après, les ayants droit ne sont pas con non plus puisqu'ils ont explicitement demandé au tribunal de bloquer les pages "panneau indicateur", c'est à dire celles qui vous disent où le site a déménagé cette semaine.

Résultat, wawacity-info.com et zone-telechargement-info.com sont aussi dans la liste. Ces deux pages n'hébergent aucun contenu protégé et ne pointent vers aucun fichier illégal, elles se contentent de vous annoncer quelle est l'adresse active du moment. Le tribunal a validé quand même, au motif qu'elles "facilitent l'accès".

Et là, si vous mettez ces deux pages indicatrices côte à côte, vous voyez tout de suite qu'elles sont quasiment identiques. Même mise en page, même messages sur Telegram, où les deux comptes arrosent des dizaines de milliers d'abonnés avec un texte identique au mot près. Wawacity et Zone-Téléchargement, c'est donc très probablement la même équipe, ce qui explique pourquoi les deux changent de domaine en même temps, comme un couple qui déménage.

Movix, visé par la même décision, a lui aussi déjà migré vers un nouveau TLD et reste accessible. Le reste de la fournée complète les 113 comme Lookmovie et ses treize variantes, KissKH, animepahe, anime-sama, WatchSeries, voir-anime, Streamex. La liste noire belge dépasse maintenant les 1000 domaines depuis le lancement du dispositif en 2025, et elle peut être mise à jour chaque semaine avec 50 nouveaux noms.

50 par semaine, c'est impressionnant ! Face à des gars qui basculent leur trafic sur un nouveau TLD en quelques minutes, montre en main, la justice est dépassée ! Et pas parce qu'elle est nulle hein, mais parce que le blocage DNS n'a jamais empêché personne de taper une autre adresse qui renvoie vers le même service... On avait déjà vu le même théâtre quand la Belgique a censuré Internet Archive , et quand le Conseil d'État a éteint la riposte graduée d'Hadopi après 17 ans .

Prochaine étape probable, les ayants droit s'attaqueront surement aux canaux Telegram. En attendant, quelqu'un devrait leur dire que cette .pizza était déjà bien froide ^^.

Source : TorrentFreak

Contourner un géoblocage via VPN n'a rien d'illégal, dit la CJUE

Par : Korben ✨
17 juillet 2026 à 09:40

En voilà une bonne nouvelle ! La Cour de justice de l'Union européenne vient de rendre un arrêt le 9 juillet dernier qui précise que contourner un géoblocage avec un VPN ne fait pas de vous un pirate.

Et croyez-moi, nos ayants droit préférés ne vont pas adorer.

En plus, toute cette affaire est un petit bijou de bizarrerie juridique. Les manuscrits d'Anne Frank sont protégés par le droit d'auteur aux Pays-Bas jusqu'en 2037, mais ils sont déjà tombés dans le domaine public dans plein d'autres pays européens, comme la Belgique par exemple. En septembre 2021, l'Anne Frank Stichting, la fondation d'Amsterdam qui gère la Maison d'Anne Frank, a mis en ligne gratuitement une édition scientifique des manuscrits, en néerlandais, avec un géoblocage pour couper l'accès depuis les pays où l'œuvre reste protégée.

Et c'est à ce moment-là, que l'Anne Frank Fonds, la fondation suisse qui détient les droits de l'œuvre, attaque car pour elle, un blocage qu'on peut déjouer avec un simple VPN ne protège rien du tout.

Alors comme c'était un peu compliqué, la Cour suprême des Pays-Bas a renvoyé la question à Luxembourg.

Et la réponse de la CJUE est claire comme de l'eau de roche : le géoblocage suffit. Tant qu'il est fait dans "l'état de l'art", c'est une mesure efficace, même si un VPN peut le contourner en deux clics. Le simple fait qu'on puisse passer outre ne transforme pas la mise en ligne en "communication au public" illicite.

Et voici le passage qui nous intéresse vraiment : le fournisseur de VPN n'est pas responsable. Il ne donne pas accès à l'œuvre et ne joue "aucun rôle indispensable" dans sa diffusion, écrit la Cour. Si un jour un géoblocage bâclé laisse fuiter une œuvre protégée, c'est celui qui l'a mise en ligne qui répond, pas le VPN qui a servi à sauter la barrière.

Attention quand même à ne pas sur-interpréter non plus... Cela ne veut pas dire que la Cour vous délivre un permis de pirater tranquille via VPN. Elle parle d'une œuvre déjà libre de droits quelque part, de la responsabilité de l'éditeur, et elle blanchit les fournisseurs de VPN au passage. Mais le message de fond c'est bien que le VPN reste un outil parfaitement légal , et pas un complice.

Sauf qu'en France, vu qu'on est des gros nuls, on fait tout l'inverse. Pendant que le Luxembourg range le VPN du côté des outils neutres, la justice française le traite comme un FAI qu'on réquisitionne. Canal+, qui tient les droits de la Premier League et du Top 14, a déjà fait condamner les cinq gros du secteur, NordVPN, ExpressVPN, CyberGhost, Proton et Surfshark, à bloquer les sites de streaming sportif pirate pour leurs abonnés français.

Proton s'est même retrouvé sommé de filtrer une trentaine de domaines fin janvier 2026, avec des ordonnances "dynamiques" que l'Arcom peut étendre à la volée. Je vous racontais déjà tout ça quand la France a commencé à ordonner aux VPN de bloquer ces sites .

Notez aussi que Proton, société suisse, avait justement annoncé vouloir porter la question du blocage des VPN devant la CJUE. L'arrêt Anne Frank tombe donc très bien car ça leur fait plus de munitions.

Reste maintenant LA vraie question : les injonctions françaises, fondées sur le Code du sport, tiendront-elles face à la jurisprudence de Luxembourg ? Vivement le prochain round ^^.

Uptobox : à cause de quelques tweets, ce technicien doit 306 000 euros à Disney

16 juillet 2026 à 17:28

Disney considérait une addition à 16 millions d'euros contre un simple technicien d'Uptobox, la cour d'appel de Paris vient de la ramener à 306 000, et ce qui reste ne tient même pas à son travail sur les serveurs, mais à quelques messages qu'il a postés sur X. Une histoire folle.

Petit rappel pour ceux qui n'ont jamais croisé le nom. Uptobox était un gros hébergeur de fichiers, une sorte de coffre-fort en ligne où l'on déposait et s'échangeait des vidéos, très utilisé pour récupérer films et séries piratés. Lancé en 2010, il pesait encore plus d'un million de visiteurs par mois avant d'être bloqué puis fermé en 2023.

Le technicien, surnommé Lucas pour rester anonyme, vit aux Émirats et gérait l'infrastructure des serveurs depuis 2012. Disney voulait le faire passer pour l'un des vrais patrons cachés du site.

Sauf que la cour n'a rien vu de tel. Il se décrivait bien comme directeur technique sur les réseaux, mais aucun élément ne prouvait qu'il pilotait la plateforme, et les juges n'ont retenu qu'un salarié chargé de la technique.

Reste une question que l'affaire pose forcément, celle de savoir pourquoi juger à Paris un homme installé à Dubaï. La réponse tient au droit français, qui s'applique dès qu'une contrefaçon vise le public de l'Hexagone, et Uptobox distribuait bel et bien des films protégés à des internautes français.

Ce qui a fini par lui coûter cher, ce sont donc ses tweets. À l'été 2023, il avait expliqué en public comment contourner le blocage du site en changeant de serveurs DNS.

Pour la justice, ces quelques messages suffisaient à engager sa responsabilité personnelle. Comme ils ne couvraient que deux mois, la cour a limité le préjudice à cette courte période, d'où une note très largement allégée.

16 millions demandés, 306 000 obtenus, et juste pour une poignée de tweets, comme quoi même quand on s'appelle Disney on ne peut pas obtenir tout et n'importe quoi.

Source : Clubic

Hier — 16 juillet 2026Flux principal
À partir d’avant-hierFlux principal

Le blocage DNS casse tout sauf le piratage (dixit Google)

Par : Korben ✨
13 juillet 2026 à 11:26

Google est allé raconter à la Commission européenne ce que les gens qui s'y connaissent un peu en réseau répètent depuis 15 ans : Bloquer les résolveurs DNS, les VPN et les adresses IP pour lutter contre le piratage, ça ne marche pas.

Dans un document envoyé pour la consultation sur la révision de la directive copyright, Mountain View écrit que "bloquer les résolveurs DNS, les IP ou les VPN est inefficace, car cela ne supprime pas du tout le contenu et se contourne facilement en utilisant des résolveurs DNS alternatifs".

Le plus marrant ??? Bah c'est que Google sait très exactement de quoi il parle, vu que la justice française l'oblige déjà à filtrer son propre résolveur 8.8.8.8 pour protéger les matchs de foot de Canal+ (Fun fact : J'ai pas vu une seule image, ni score, ni entendu une seule histoire à propos de la Coupe du Monde cette année, tellement les algos savent que ça ne m'intéresse pas.... loool)

Pour ceux qui débarquent (oué oué), le blocage DNS, c'est demander aux annuaires du net (souvent ceux de votre FAI) de faire semblant de ne pas connaître l'adresse d'un site. Le site reste en ligne, ses serveurs tournent, et vous le retrouvez facilement en moins de 2 min, en changeant de résolveur ou en allumant un VPN.

Le blocage d'adresses IP, c'est encore pire, parce qu'une même adresse est souvent partagée par des milliers de sites sans aucun rapport entre eux... En bloquer une, ça revient donc souvent à couper l'électricité de tout l'immeuble pour punir un seul locataire.

Et des immeubles plongés dans le noir, la soumission de Google en aligne toute une collection. Je pense par exemple à ce document étiquetté "Privileged and Confidential" que la Commission a quand même publié (lol, des champions, je vous dis !) et qui cite le nom de clients de Google Cloud parfaitement en règle, qui pourtant ont été entièrement coupés à Internet fin 2019 au Portugal. Tout ça parce que des fournisseurs d'accès Internet locaux avaient bloqué des ASIP partagés pour viser certains sites pirates...

Ou encore un sous-domain de Google Drive ainsi que des IP Cloudflare sur lequel reposaient plus de 42 millions de domaines victimes du Piracy Shield italien. Ah et j'ai oublié l'Espagne qui vient compléter ce joli bingo parce que là-bas les blocages réclamés par LaLiga (la ligue de foot locale) durant les matchs, on fait carrément tomber +550 000 dont les sites d'Amnesty International, de l'UNICEF, du Sénat australien, de la Stanford Law Review et même des serveurs Amazon S3.

Et en France, je ne sais pas si vous vous souvenez, mais Cisco a carrément préféré débrancher son service OpenDNS plutôt que de se plier aux ordonnances de la justice. Quelle bonne ambiance dans ce terreau fertile à la dictature qui nous fonce dessus comme un train de la Deutsche Reichsbahn. (Point Godwin atteint, j'm'en fous, je fais ce que je veux, c'est mon site ^^).

Du coup, les ayants droit réclament maintenant de bloquer aussi les résolveurs alternatifs et les VPN eux-mêmes... et c'est exactement cette fuite en avant que Google demande d'arrêter. En tout cas dans son message, Google rappelle vivement ce que l'industrie du divertissement refuse d'entendre depuis l'époque de Napste : Quand vous avez un catalogue de merde émietté entre des dizaines de plateformes pour des prix exorbitants, avec de la pub, une qualité assez basse et des tas d'œuvres manquantes, eh bien, il ne faut pas s'étonner que le téléchargement illégal reparte de plus belle.

Maintenant, c'est vrai que Google ne joue pas les chevaliers blancs par pure bonté d'âme. En fait, ce qu'ils défendent, c'est leur résolveur maison, leur cloud et leurs clients. Elle reste par exemple très silencieuses sur tous les projets de loi de blocage qui avancent en ce moment même au Congrès américain.

Mais sur le fond, on ne peut pas leur donner le tort surtout quand je vois que le DNS4EU, le résolveur souverain européen, se fait déjà mettre la pression pour filtrer les sites pirates.

Voilà, la consultation est close depuis le 25 juin dernier et la commission est actuellement en train d'éplucher toutes les contributions pour décider des futures conneries qu'elle va faire. On croise les doigts quand même.

Source

Fuites de données : comment savoir si vos données sont déjà sur le dark web [Sponso]

Par : humanoid xp
7 juillet 2026 à 14:52

Cet article a été réalisé en collaboration avec Bitdefender

La sécurité de vos données personnelles ne dépend pas que de vous. Découvrez comment Bitdefender Ultimate Security vous protège au-delà de votre navigation web.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Fuites de données : comment savoir si vos données sont déjà sur le dark web [Sponso]

Par : humanoid xp
7 juillet 2026 à 14:52

Cet article a été réalisé en collaboration avec Bitdefender

La sécurité de vos données personnelles ne dépend pas que de vous. Découvrez comment Bitdefender Ultimate Security vous protège au-delà de votre navigation web.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

« On doit accepter qu’un logiciel soit fini », le Flipper Zero laisse doucement la place au Flipper One

6 juillet 2026 à 10:14

Le 1er juillet 2026, un billet publié par Pavel Zhovner, fondateur de Flipper Devices, est venu clarifier l'avenir du Flipper Zero. Un texte qui laisse entrevoir un retrait progressif de l'appareil culte, au profit de son successeur.

« J’aurais pu rickroller toute la Coupe du monde » : une hackeuse professionnelle a mis la main sur les caméras du Mondial 2026

3 juillet 2026 à 11:50

Une hackeuse professionnelle, connue sous le pseudonyme « Bobdahacker », raconte comment le fait de s'inscrire comme agent de joueurs sur le portail public de la FIFA lui a permis en quelques clics de contrôler les flux vidéo de tous les matchs du Mondial 2026.

Affaire YggTorrent : la gendarmerie française annonce le démantèlement du site, trois mois après sa fermeture

2 juillet 2026 à 17:22

ygg

Trois mois après l'effondrement d'YggTorrent, la Gendarmerie nationale revendique le démantèlement de la plateforme et douze interpellations. Un communiqué qui referme un dossier judiciaire, mais qui n'a pas manqué de faire tiquer une partie des internautes.

Kim Dotcom - Son extradition aux USA se rapproche

Par : Korben ✨
1 juillet 2026 à 14:34

Le 20 janvier 2012, 76 policiers et deux hélicoptères débarquent sur le manoir de Coatesville, en Nouvelle-Zélande, pour coffrer un gros bonhomme allemand la veille de ses 38 ans. Ce bonhomme, c'est Kim Dotcom , le patron de Megaupload.

Et quatorze ans plus tard, la justice néo-zélandaise vient encore de lui claquer la porte au nez !

En effet, la Cour d'Appel de Nouvelle-Zélande a rejeté ce 1er juillet la totalité de ses recours contre son extradition vers les États-Unis. Tous ses arguments, balayés un par un et là, il ne lui reste plus qu'une seule cartouche à savoir la Cour suprême néo-zélandaise.

Vous vous demandez peut-être ce qu'on lui reproche exactement ?

Hé bien, aux États-Unis, Kim Dotcom traîne 12 chefs d'accusation sur les 13 du dossier initial, la charge de blanchiment ayant sauté en cours de route... Il est accusé de violation massive du copyright, de racket, de fraude électronique et j'en passe...

Le gouvernement américain parle de 175 millions de dollars de revenus criminels et de plus de 500 millions de préjudice pour les ayants droit. Et au bout du tunnel, une peine de 30 à 150 ans de prison fédérale pour lui. Donc autant dire la perpétuité.

Et c'est là que le dossier devient franchement bancal puisque ses 2 bras droits, Mathias Ortmann et Bram van der Kolk, ont plaidé coupable, eux, en Nouvelle-Zélande et ont obtenu chacun deux ans et demi de taule environ, purgés sur place. Mêmes accusations, même boîte, même raid pour Kim, sauf que lui a choisi de se battre bec et ongles. Du coup, pour punir une telle défiance, on lui promet un aller simple pour la Virginie et un demi-siècle derrière les barreaux.

Son avocat, Ron Mansfield, l'a pourtant martelé... soit on jugeait les trois en Nouvelle-Zélande, soit aucun et perso, je trouve que c'est difficile de lui donner tort sur ce point précis. Sauf que la Nouvelle-Zélande n'a pas de " forum bar ", une règle qu'on retrouve au Royaume-Uni, qui laisse un juge bloquer une extradition quand le pays aurait très bien pu organiser le procès lui-même.

Mais ça n'a pas d'importance. La réalité, c'est que la justice américaine a accepté de lâcher Ortmann et van der Kolk, mais pas Dotcom. Ils veulent sa tête car il est le visage de Megaupload et quelqu'un doit payer. Mais après tout ce temps, le bonhomme a vieilli, il a encaissé un AVC en cours de route, et vu défiler l'arrêt complet de ses sociétés, le gel de ses comptes aux quatre coins de la planète, avant finalement de relancer Mega le successeur de Megaupload en version "clean".

Alors est-ce que Dotcom est un enfant de chœur ?

Bien sûr que non.

Megaupload, c'était une belle pompe à fric qui carburait en partie au contenu piraté, tout le monde le sait. Mais j'avoue que le voir risquer 150 ans de prison alors que ses associés n'en ont pris que 30 mois, je trouve que ça manque un peu de dosage. Cette affaire sans fin ressemble plus à une vendetta que les studios d'Hollywood veulent obtenir qu'à de la justice.

Mais il lui reste la Cour suprême donc on verra bien. Encore quelques mois de sursis, peut-être un an ou deux... Force à lui.

Source : TorrentFreak

DNS4EU refuse de bloquer les sites pirates de la BREIN

Par : Korben ✨
27 juin 2026 à 17:19

DNS4EU dont je vous ai causé y'a pas longtemps, c'est le service de DNS co-financé par l'UE et opéré par une société tchèque nommée Whalebone. Et bizarrement, depuis des mois, cette société récupère auprès de l'organisation anti-piratage néerlandaise (la BREIN) des listes de sites pirates.

Du coup, les utilisateurs commencent à se poser des questions... Pourquoi faire ?

Et bien d'après les dernières nouvelles, ils ne s'en servent pas.

La BREIN envoie automatiquement sa liste contenant +300 sites bloqués vers DNS4EU comme ils le font déjà avec les FAI, et je pense qu'ils voyaient ça comme une bonne astuce pour bloquer un maximum de sites illégaux.

Mais pas de bol, Whalebone a fini par expliquer que comme la BREIN n'était pas une vraie autorité de régulation, bah y'avait aucune raison qu'ils utilisent leur liste pour faire du DNS filtrant. Hé ouiiii.

Vous allez voir la nuance... En fait dans le cadre de l'appel d'offre de la Commission européenne en 2022, il était demandé à ce que le prestataire filtre le contenu illégal "sur base légale", donc sur ordonnance d'un tribunal. Par exemple, ça a déjà été le cas avec la France, qui a ordonné par décision de justice de bloquer certains sites sur DNS4EU .

Mais cette liste de la BREIN s'appuie uniquement sur des décisions de justice obtenues CONTRE les FAI néerlandais et pas contre DNS4EU. Ah ils sont trop malins !

Après côté usage, ça reste un DNS classique avec cinq profils au choix, un qui bloque juste le malware et le phishing, un qui ajoute le blocage des pubs, un avec protection des enfants, la combinaison des deux, et un "unfiltered" sans le moindre filtre (86.54.11.100 si ça vous tente). Le filtrage, c'est vous qui choisissez, les blocages imposés par la justice mis à part.

Et sur les 63 millions de blocages décidés par DNS4EU lui-même, l'écrasante majorité c'est du phishing et des arnaques, pas du téléchargement. On est donc trèèèès loin de ces cinglés de flics du copyright. Pour l'instant en tout cas...

Je dis "pour l'instant" parce qu'actuellement, on est dans un contexte où la justice européenne serre la vis partout, avec par exemple la France qui ordonne aux VPN de filtrer ou encore l' Italie avec son Piracy Shield qui veut faire plier Cloudflare. Mais bon, pour le moment, ce DNS souverain a su dire qui dit "nee" (c'est comme ça qu'on dit "non" en néerlandais) à ces fifous d'ayants droit et pour ça, je les remercie.

Après, un DNS qui propose en option de bloquer ou non les pubs, ça ne me gêne pas une seconde. Mais si un jour c'est pour faire du DNS menteur histoire de faire plaisir aux ayants droit, là ce sera boycott direct pour moi. Bref, je surveille ça de près et je ne manquerai pas de vous tenir au courant.

Source

Relay attack - Ils volent une voiture avec un babyphone

Par : Korben ✨
22 juin 2026 à 20:36

Vous vous souvenez du streamer Twitch qui s'était fait piquer sa caisse en plein live, à cause d'un boîtier bizarre posé contre sa porte d'entrée ?

Tout le monde a crié au fake évidemment, sauf que dans une certaine mesure, c'était vrai ! Et le voleur, c'était Mark Rober en personne, l'ex-ingénieur de la NASA devenu YouTubeur, qui a inventé toute cette mise en scène pour démontrer une bonne fois pour toutes comment on vole une voiture récente sans même toucher à la serrure.

La méthode s'appelle la relay attack, l'attaque par relais, et le principe est tellement simple que c'en est gênant. En effet, les voitures passent leur vie à chuchoter, quatre fois par seconde environ, des petits "hé psst, t'es là, ma clé ?". Et quand la clé est assez proche pour entendre ce murmure, elle hurle en retour le mot de passe secret qui déverrouille les portes et permet de démarrer le véhicule. Sauf que ce chuchotement, une équipe de voleurs peut le capter depuis votre voiture, l'amplifier, et le balancer jusqu'à votre clé restée sur le meuble de l'entrée ou dans la poche de votre veste. La clé croit alors que la voiture est juste là, elle répond, et hop, la caisse s'ouvre. Ça prend 30 secondes chrono, ça ne déclenche aucune alarme, et surtout y'a aucune effraction, ce qui arrange bien ces inutiles d'assureurs.

Alors pour bien comprendre comment tout ceci fonctionne, Rober a voulu s'équiper comme un vrai voleur. Direction le dark web, où un certain Dimitri (un russe... Bah quoi les clichés ?) lui a vendu un boîtier de vol clé en main pour 12 000 dollars en Bitcoin. L'appareil arrive, il le passe au CT Scan pour voir ce qu'il y a dedans sans le faire péter, et le verdict tombe : il s'est fait escroquer comme un débutant.

En fait, tous les composants hors de prix de ce machin pouvaient être remplacés par la même chose que ce qu'on trouve dans un babyphone vidéo de 2004.

Le babyphone de 2004 dont les entrailles remplacent un boitier dark web a 12 000 dollars.

La caméra du babyphone capte un signal, l'antenne le transmet à l'écran déporté et il suffit de couper deux fils au bon endroit pour transformer ça en relais radio . Son clone maison lui est donc revenu à quelques centaines de dollars de matos au lieu des douze mille que Dimitri a empochés. Et surtout il fonctionnait mieux que l'original. Breeeef...

Avant ce genre d'attaque, voler une bagnole demandait quand même un peu de doigté. Le slim jim, une tige métallique qu'on glissait dans la portière, a été tué dans les années 90 par les constructeurs qui ont blindé les mécanismes de serrure. Le démarrage en pontant les fils façon Mac Gyver est devenu inutile le jour où un calculateur ECU a pris le contrôle du moteur. Et plus récemment, vous avez peut-être entendu parler des Kia Boys , ces ados qui ont fait le tour de TikTok en démarrant des Kia et Hyundai d'avant 2022 avec un simple câble USB enfoncé dans le contact.

C'était couillon, mais ces modèles n'avaient pas d'antidémarrage électronique... une économie de bout de chandelle des constructeurs qui leur a quand même coûté 8,3 millions de véhicules à patcher en urgence. Comme quoi, la sécurité par l'obscurité, ça finit toujours par se payer un jour ou l'autre...

Et est-ce que vous saviez ce que deviennent ces voitures une fois envolées ??

Eh bien, même si l'essentiel des vols est l'œuvre d'abrutis d'ados qui font joyride pour Instagram , le reste est récupéré par une filière criminelle très organisée, démonté en pièces détachées dans un atelier en moins d'une heure ou encore expédié en conteneur à l'autre bout du monde.

Maintenant, pour bloquer les attaques relais et toutes ses déclinaisons, il suffit d'empêcher votre clé d'entendre ce "chuchotement" de la voiture. La première règle, qui est aussi la plus bête, est donc de ne JAMAIS poser vos clés près de la porte d'entrée... Éloignez-les au maximum, à l'autre bout de votre logement si vous le pouvez

Et la deuxième règle, c'est d'empêcher la clé de capter quoi que ce soit... Une boîte à biscuits en métal fait par exemple parfaitement l'affaire. Ou alors un bout de papier alu pour l'emballer...

Une simple boite a biscuits en métal suffit a rendre la clé sourde.

C'est ce qu'on appelle une cage de Faraday dans laquelle le signal radio préfère filer dans le métal conducteur plutôt que de traverser. Les pochettes anti-RFID vendues une dizaine d'euros font pareil et sont quand même plus classe, mais testez-les avant de leur faire réellement confiance.

Ah et sinon, sur certains modèles comme ma Ioniq 5 , vous pouvez aussi désactiver l'ouverture automatique "à distance via la clé et "sans les mains" et exiger une pression sur le bouton de la clé. C'est plus safe même si c'est moins fun ^^.

Un grand merci à Lilian pour le partage.

FIFA - Un hacker pouvait rickroller le Mondial 2026 en direct

Par : Korben ✨
16 juin 2026 à 09:53

Avis aux fans de foot parmi vous qui comptent regarder cette Coupe du Monde 2026, j'ai une bonne et une mauvaise nouvelle à vous annoncer ! Non, je déconne, je n'ai que des mauvaises nouvelles à vous annoncer !

La première, c'est qu'un chercheur en sécurité qui se fait appeler BobDaHacker s'est inscrit comme agent de joueurs sur la plateforme publique de la FIFA, et s'est retrouvé, quelques clics plus tard, à prendre possession des commandes de TOUS LES FLUX caméra de la Coupe du Monde ! Oui, tous ces flux en direct diffusés sur toutes les chaînes du monde.

La deuxième mauvaise nouvelle, c'est que la FIFA n'a jamais pris la peine de lui répondre parce que visiblement, elle s'en branle que quelqu'un hack ses flux vidéo.

Et le pire les amis, c'est que c'était super fastoche à faire....

Tout commence donc sur le site agents.fifa.org, un portail où n'importe qui peut demander une licence d'agent en uploadant une pièce d'identité. BobDaHacker s'execute et après 2 refus pour une photo de mauvaise qualité, une troisième tentative est alors validée, et hop, notre chercheur en sécurité se retrouve automatiquement ajouté à l'annuaire d'identités de la FIFA. Avec ce sésame, il peut alors accéder à la "Football Data Platform", puis au panneau de gestion du streaming.

A partir de là, l'appli Angular du service lui affiche un joli "access denied"... sauf que c'est du flan car, tenez vous bien, le contrôle d'accès fonctionne côté client. Ouais, ouais, c'est de la folie. En fait, les APIs derrière acceptent gentiment n'importe quelle requête authentifiée sans jamais vérifier votre rôle.

Et au moment où il ouvre l'outil de gestion du streaming, le gars hallucine !! Devant lui, il peut voir chaque match du Mondial 2026 avec ses 5 flux caméra : le programme principal, le flux tactique, la Camera1 et les deux caméras placées en hauteur derrière les buts. Pour chacun d'entre eux, il y a l'adresse d'envoi du flux vidéo (l'URL RTMP d'ingestion), le manifest de preview et la sortie HLS.

Alors histoire d'être sûr de ne pas halluciner, il colle un des liens dans VLC et le flux vidéo s'affiche en live !

Pour bien comprendre l'enjeu, cette diffusion du Mondial est gérée par HBS, qui couvre 104 matchs dans 16 villes réparties entre les États-Unis, le Canada et le Mexique, avec 45 caméras par match. Ce sont littéralement les images que des milliards de gens, vous compris (mais pas moi), allez regarder. Et tout cela se monnaye à prix fort avec les chaines de TV par exemple.

Ce bon vieux BobDaHacker aurait pu balancer un rick roll, une vidéo de fesses, ou un faux discours de Trump annonçant l'arrivée des extraterrestre en direct, sur toutes les chaînes télé de la planète. Ou même tout couper...

Mais il ne l'a pas fait parce que c'est un professionnel ! (Sans parler de la certitude de finir en zonzon ^^.)

En prime, il pouvait aussi modifier les statistiques diffusées en temps réel, lire les notes préparées des commentateurs, et fouiller dans les fichiers planqués dans un blob storage Azure, à savoir des rapports de transferts, des comparatifs de revenus, des stats des arbitres et des coachs, et un mystérieux Debbie.xlsx dont on ne connaitra jamais le contenu...

Je me demande quand même dans quelle mesure, les mafias de l'IPTV n'étaient pas déjà au courant de ce "bug"... On ne le saura jamais.

Mais pour BobDaHacker, c'est là que commence la vraie galère, celle qui dure toute la nuit, parce que prévenir la FIFA d'un truc pareil, ça devrait être simple et pourtant, ça ne l'est pas du tout.

Il balance son rapport à plus de 10 adresses email de la FIFA, et 5 lui reviennent en erreur. Il tente alors un WhatsApp au responsable Football Technology & Data de la boîte, mais sans succès. Il appelle ensuite les bureaux de Zurich, mais pas de bol c'est fermé. Même la ligne téléphonique réservée à la presse est fermée aussi. Il laisse alors un simple message vocal au centre de diffusion de Dallas.

Et finalement, c'est MediaKind, le prestataire technique du streaming, qui décroche en pleine nuit. Puis la CISA américaine, dont la hotline 24/7 l'accueille plutôt bien. Et enfin le FBI, qu'il contacte carrément sur Signal.

Évidemment, la FIFA a été informée en suivant la règle du responsible disclosure et tout a été patché très rapidement.

Mais bizarrement, à ce jour, la FIFA n'a jamais répondu. Pas un merci, pas même un "vu". Voilà, le gars aura sauvé la Coupe du Monde mais n'aura même pas le droit à 2 places offertes pour aller voir un match, ni même une tape sur l'épaule.

La blague, c'est qu'ils ont même oublié de le retirer de la liste de diffusion de la Football Data Platform, du coup, il reçoit encore aujourd'hui les documents officiels des matchs du Mondial 2026 dans sa boîte mail.

Toute une analyse a été postée sur le blog du chercheur et je vous invite à la lire, parce que c'est un cas d'école.

Bravo à BobDaHacker qui a sans doute évité gratuitement l'un des plus gros bad buzz de l'histoire du foot.

Messagerie Tchap piratée : l’État rassure et le hacker jubile, pourquoi est-ce si difficile de dénicher la vérité ?

9 juin 2026 à 11:06

Le 8 juin 2026, la Direction interministérielle du numérique (DINUM) a confirmé la compromission de Tchap, la messagerie des agents publics. Depuis, la réalité de l'incident est coincée entre deux narratifs : celui d'une institution qui veut rassurer, et celui d'un cybercriminel qui veut vendre.

« La voie à suivre est de ne pas payer la rançon » : Grafana Labs subit un chantage, mais le choix s’avère facile

18 mai 2026 à 11:26

Dans une publication LinkedIn, le 17 mai 2026, l'éditeur d'outils de monitoring et de visualisation de données Grafana Labs a révélé que son environnement GitHub a été compromis par un acteur non identifié, qui a réussi à mettre la main sur un token permettant d'accéder à l'ensemble de ses dépôts de code.

Hadopi est presque mort : le dispositif anti-piratage ne peut plus vous envoyer devant un juge

30 avril 2026 à 17:17

Le Conseil d'État annule plusieurs dispositions du décret de 2010 qui permet à Hadopi de s'attaquer aux pirates en plusieurs étapes (le principe de riposte graduée, avec un envoi devant le juge au troisième mail). Saisie en 2019, la juridiction administrative juge que le cœur du dispositif anti-piratage n'est pas conforme au droit européen.

Il s’appelait « HexDex » : le hacker qui pillait les fédérations sportives françaises, a été arrêté

23 avril 2026 à 09:51

Il s'appelait « HexDex » sur les forums du dark web, et son nom est devenu familier des équipes de sécurité informatique françaises au fil des mois. Lundi 20 avril 2026, ce hacker de 21 ans a été interpellé en Vendée par la Brigade de lutte contre la cybercriminalité (BL2C), alors qu'il s'apprêtait à publier de nouvelles données volées.

❌
❌