Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

L'app de la Maison Blanche s'incruste sur les tel des fonctionnaires

Par : Korben ✨
25 juin 2026 à 16:53

J'sais pas si vous avez vu encore ce truc de dingue qui est arrivé aux Etats-Unis mais des employés de l'USDA, du Département d'État et du Département du Travail, qui ont parlé à WIRED sous anonymat par peur de représailles, ont vu apparaître sur l'écran de leur smartphone pro, l'app officielle de la Maison Blanche, et cela du jour au lendemain. Certains ont alors essayé de la supprimer pour voir, mais elle est revenue immédiatement. C'est fou !

Alors comment c'est possible ? Hé bien le CIO fédéral Greg Barbaccia a envoyé une directive à toutes les agences en mai pour coller l'app sur, je cite, "tous les téléphones mobiles fournis par l'État dans la branche exécutive". Donc déclencher un téléchargement automatique, sans aucune action requise de l'employé. C'est, si vous voulez mon avis, le même principe que le contrôle parental... Vous ne l'avez pas voulu, mais vous ne pouvez pas le refuser et en plus, votre papa, c'est Trump.

Et alors, elle fait quoi cette app exactement ?

Hé bien, elle vous balance des news sur Donald et sa présidence et y'a même un accès direct à la Présidence. Ouais, en gros c'est un bouton "Envoyer un texto au Président Trump" qui pré-remplit même votre message à votre place : avec du "Greatest President Ever" en veux tu, en voilà... La section News, elle, agrège les communiqués officiels et des articles triés sur le volet de Fox, Breitbart et du New York Post, tous biiiiien gentils avec l'administration.

Bref, c'est propagande à temps complet dans la popoche pour tous les fonctionnaires.

Bon, jusque là, certes on est dans le ridicule le plus assumé mais attendez un peu, ça va se gâter. Car oui les amis, niveau sécu, cette app est un risque sur pattes. En effet, l'app a été pondue par 45Press, une petite boîte de l'Ohio spécialisée dans... le développement WordPress. Le contrat a été signé le 6 février dernier avec un premier versement de 1,4 million de dollars pour commencer et jusqu'à 8 millions au total quand la mission sera achevée. C'est incroyable ! Et pour la blague, le fondateur de 45Press gère aussi, à côté, un annuaire en ligne de lieux historiques et paranormaux. Voilà pour le profil des gens à qui on a confié le dev d'une app qui est maintenant sur TOUS les smartphones de tous les gens au service de l'Etat... Et j'vois vraiment pas ce qui pourrait mal se passer... looool.

Une enquête de NOTUS a révélé également que l'app embarquait des widgets fabriqués par Elfsight, une entreprise... russe. Bah ouais, pourquoi pas hein ?? loool

Résultat, des infos personnelles de responsables de la Maison Blanche se sont retrouvées maintenant exposées puisqu'à chaque ouverture, l'app crache l'adresse IP complète , le fuseau horaire, l'opérateur et un identifiant persistant vers des serveurs tiers. Quand je pense qu'à sa sortie sur l'App Store, la fiche de cette app promettait "zéro donnée collectée"... Quelle blague. Et comme Apple ne vérifie rien, le bobard est passé crème (la fiche a été corrigée depuis).

Du coup les fonctionnaires font ce qu'ils peuvent pour ignorer cette merde et ne pas la lancer afin de ne pas se faire pourrir le cerveau.

Bref, à mon avis, la prochaine étape pour Trump, ça va être de carrément leur retirer le smartphone et de les mettre tous sous babyphone. Vous l'avez lu ici en premier, looool.

Source

Let's Encrypt - Les sanctions US s'invitent dans le contrat

Par : Korben ✨
9 juin 2026 à 16:32

Si vous êtes développeur en Iran, à Cuba ou en Corée du Nord, vous venez officiellement de perdre l'accès à Let's Encrypt !

En effet, la version 1.7 du Subscriber Agreement publiée par l'ISRG (Internet Security Research Group), l'organisation derrière le service, est malheureusement entrée en vigueur le 4 juin dernier. Et sur les 8 pages du document, il n'y a qu'un seul ajout, mais il pèse trèèès lourd : section 3.1, un nouveau bullet point oblige maintenant chaque utilisateur à garantir qu'il "n'est pas localisé, organisé sous les lois de, ou résident dans un pays cible de sanctions américaines complètes".

En pratique, la liste OFAC des juridictions sous sanctions globales actuelles couvre Cuba, l'Iran, la Corée du Nord, et les zones occupées de Crimée, Donetsk et Lougansk (la Syrie en a été retirée fin 2025 ce qui montre bien à quel point ce périmètre peut évoluer rapidement).

Et le couperet ne tombe pas que sur des États-paria abstraits puisque ONG d'aide humanitaire, journalistes, universités, et tout le monde qui travaille ou vit dans ces zones perd le service. Du coup, pour récupérer un certificat HTTPS gratuit, vous devez maintenant signer une clause d'embargo. Plusieurs utilisateurs rapportent également que des certificats de sites russes auraient déjà été révoqués au cours des derniers mois, sans préavis officiel de l'ISRG...

Le piège, c'est la section 2.2 du contrat, intacte depuis longtemps mais qui prend un sens tout neuf : l'agrément reste en vigueur tant que vous possédez un seul certificat valide. Cela veut dire qu'une violation potentielle sur UN certificat peut donc, en théorie, déclencher une révocation en cascade de TOUS les autres, un peu comme un crédit immobilier où une mensualité ratée rendrait tout le contrat caduque...

Je vous laisse imaginer la tronche d'un hébergeur qui gère mille sites le jour où ça tombe et qui crée des certificats Let's Encrypt pour ses clients... La section 4.2 énumère onze motifs de révocation activables "à la seule discrétion" de l'ISRG, dont la violation de l'agrément et un joli fourre-tout "d'autres motifs raisonnables et légaux".

Notez que l'ISRG est domiciliée à San Jose, en Californie et que tous les CA américains (DigiCert, Sectigo, GlobalSign US) sont déjà soumis aux mêmes obligations OFAC depuis toujours, donc c'est pas vraiment non plus une surprise... Mais ça tombe toujours mal ce genre de conneries.

Maintenant, côté alternatives, si vous voulez sortir de la juridiction US, y'a pas grand chose... Je me souviens de ZeroSSL qui ressemblait à une option européenne mais qui a été racheté début 2024 par HID Global (filiale du suédois Assa Abloy, basée au Texas... donc aux Etats-Unis), donc soumis aux mêmes obligations OFAC à terme. Après vous avez peut-être des services à me recommander ? Sinon il faudra passer par des certificats payants.

Bref, le HTTPS gratuit a toujours eu un drapeau, mais on faisait juste semblant de l'oublier...

❌
❌