Fin de partie pour la riposte graduée. Le Conseil d'État a déclaré illégale, le 30 avril 2026, la phase la plus dure du dispositif anti-piratage Arcom, héritier de la Hadopi.

La décision s'applique immédiatement et décapite le système après 17 ans de chasse aux téléchargeurs sur les réseaux peer-to-peer. La Quadrature du Net, qui pilote le contentieux depuis 2019, a publié dans la foulée un bilan intitulé "Hadopi (2009-2026)".

Concrètement, deux failles ont été retenues. La juridiction a constaté que le décret de 2010 n'oblige nulle part les opérateurs à stocker les adresses IP dans "un compartiment totalement isolé", comme l'avait pourtant exigé la Cour de justice de l'Union européenne en avril 2024.

Et surtout, la troisième étape de la riposte graduée, celle qui transmet votre dossier au procureur après deux avertissements ignorés, ne prévoyait aucune autorisation judiciaire préalable. Du coup, les sanctions pénales, jusqu'à 1 500 euros d'amende et 3 000 euros en cas de récidive, ne peuvent plus être déclenchées.

Les deux premiers étages tiennent quand même encore debout. Si vous récupérez un torrent illégal demain, l'Arcom peut toujours vous envoyer un email d'avertissement, puis une lettre recommandée. Mais l'arme dissuasive, le passage devant le juge, exige désormais qu'un magistrat valide d'abord l'identification de l'abonné, et que les données aient été stockées dans le respect du droit européen.

Côté Arcom, l'institution prépare déjà une bascule sur le blocage de sites pirates et le déréférencement, c'est-à-dire la pression sur les intermédiaires plutôt que sur vous, particuliers.

Pour rappel, Hadopi a été lancée en 2009 sous le gouvernement Sarkozy, puis fusionnée avec le CSA en 2021 pour devenir l'Arcom. Le bilan ? Environ 13 millions d'avertissements envoyés et seulement 500 jugements rendus en 17 ans.

Soit un taux de conversion qui ferait glousser n'importe quel directeur commercial. La Quadrature, qui a mené le contentieux avec FDN et Franciliens.net, parle aujourd'hui d'une "victoire" pour les droits fondamentaux et appelle à ne pas ressusciter le dispositif sous une autre forme.

La Quadrature rappelle que le dispositif a surtout servi à criminaliser le partage culturel non-marchand entre internautes, sans jamais améliorer la rémunération des artistes ni endiguer le piratage à grande échelle.

Le streaming illégal, les plateformes IPTV, les sites de direct download : tout ça a continué à prospérer pendant que l'Autorité s'acharnait sur les utilisateurs de torrents. À côté, l'industrie culturelle a fini par s'adapter avec Spotify, Deezer ou Netflix, sans qu'on ait eu besoin de surveiller les abonnés de manière excessive.

Bref, on aura mis 17 ans à constater que ficher massivement les internautes sans contrôle judiciaire, c'est illégal, mais on s'en est toujours douté.

Source : La Quadrature du Net

Coup dur pour DNS4EU. Le résolveur DNS public co-financé par la Commission européenne, présenté il y a moins d'un an comme l'alternative souveraine à Google et Cloudflare, doit désormais bloquer une trentaine de domaines de streaming pirate, sur ordre du tribunal judiciaire de Paris.

La décision date du 17 avril, après deux ordonnances réclamées par Canal+ et restées sans réponse côté défense.

Concrètement, l'ordonnance vise 37 domaines au total, répartis entre 16 sites qui diffusaient illégalement le MotoGP et 21 autres qui faisaient pareil avec la Formule 1. On y retrouve des grands classiques de l'IPTV pirate comme daddylive3.com, iptvsupra.com ou king365tv.me.

Whalebone, la société tchèque qui opère DNS4EU pour le compte de l'Union européenne, doit donc rentrer ces noms de domaine dans son moteur de blocage et empêcher leur résolution depuis la France.

Sauf que la mesure déborde déjà du territoire français. Le blocage est appliqué même pour des utilisateurs basés hors de France, ce qui pose une vraie question de juridiction et de portée extraterritoriale d'une décision parisienne sur un service censé desservir 450 millions d'Européens. 

Bref, le DNS public européen finit par être plus restrictif que prévu, et pas vraiment dans le sens où Bruxelles l'avait vendu.

L'autre détail gênant : Whalebone n'a même pas comparu à l'audience du 19 février. Le tribunal a donc statué par défaut, en faveur de Canal+, sans le moindre argument contradictoire. Difficile de mieux perdre un procès.

La société tchèque, qui s'est vendue auprès de Bruxelles comme un acteur clé de la souveraineté numérique européenne, va devoir s'expliquer sur cette absence.

En pratique, ce genre de blocage DNS reste contournable en quelques minutes par n'importe quel utilisateur un peu débrouillard, qui n'a qu'à changer son résolveur dans les paramètres système pour pointer ailleurs. Mais la portée symbolique est assez moche, parce qu'elle inscrit DNS4EU dans la même logique de contrôle que les services qu'il prétendait justement remplacer.

Et ce n'est pas la première fois que la justice française élargit le périmètre. Depuis 2024, les ordonnances de blocage anti-piratage ont visé successivement les FAI, puis les résolveurs DNS de Google, Cloudflare et Cisco, puis les VPN comme NordVPN ou ExpressVPN, et désormais le DNS souverain européen lui-même.

Canal+ s'appuie à chaque fois sur l'article L.333-10 du Code du sport, qui permet de viser "toute personne susceptible de contribuer" à remédier au piratage.

Bref, un DNS public financé par l'UE pour protéger les Européens, qui finit forcé de filtrer hors de ses frontières par un tribunal national. C'est un peu n'importe quoi.

Source : TorrentFreak

Le sergent-chef Gannon Van Dyke, 38 ans, stationné à Fort Bragg, a été arrêté et inculpé pour avoir empoché quelques 410 000 dollars de gains sur Polymarket en misant sur la chute de Nicolás Maduro, alors même qu'il participait à l'opération qui l'a capturé.

L'information vient du département de la Justice américain, relayée hier par CNN. Le procureur Jay Clayton, qui pilote le dossier à New York, a déclaré que ceux à qui on confie les secrets de la nation ont le devoir de les protéger.

Van Dyke a créé son compte Polymarket en décembre, juste avant l'opération Absolute Resolve qui a exfiltré Maduro du palais présidentiel de Caracas dans la nuit du 3 janvier. Entre le 27 décembre et le 2 janvier, quelques heures avant la prise, il a enchaîné 13 paris avec environ 33 000 dollars de mise pour un gain final de 409 000 dollars. Le timing est quand même franchement foireux, c'est assez dingue qu'il n'ait pas imaginé qu'il allait se faire prendre.

Cinq chefs d'accusation sont retenus contre lui : fraude électronique (jusqu'à 20 ans de prison), transaction monétaire illégale (10 ans), et trois violations du Commodity Exchange Act (10 ans chacune). Le total théorique dépasse largement la retraite.

La CFTC, le régulateur américain des marchés à terme, a également porté plainte au civil. C'est la toute première fois qu'elle inculpe quelqu'un pour délit d'initié sur un marché de prédictions.

Du côté de la plateforme, Polymarket a publié un message sur X expliquant avoir détecté l'utilisateur en train de trader sur une information classifiée et avoir alerté le DOJ de son côté. C'est donc la plateforme elle-même qui a balancé son client.

Polymarket est un marché de prédictions sur blockchain, censé garantir une forme de neutralité et d'anonymat. Sauf que des paris de 33 000 dollars avec un timing chirurgical juste avant une opération militaire classifiée, ça laisse des traces que même la blockchain ne camoufle pas.

L'affaire ouvre une nouvelle catégorie juridique. Jusqu'à présent, l'insider trading s'appliquait aux marchés financiers classiques, pas aux marchés de prédictions basés sur des événements. Avec cette inculpation, la CFTC pose un précédent : parier sur un événement à partir d'informations confidentielles d'État peut désormais vous valoir les mêmes poursuites qu'un délit d'initié sur Wall Street. Pour les juristes spécialisés, c'est un moment assez important..

Bref, parier 33 000 dollars sur Polymarket juste avant de participer soi-même à l'opération qui déclenche le jackpot, c'est quand même pas très intelligent.

Source : CNN

Mis à part son auteur, y'a un truc qui sent pas bon dans l'avant-projet de loi de Laurent Nuñez sur le séparatisme et l'entrisme. Au milieu des mesures sur la dissolution d'assos et l'interdiction d'ouvrages, le texte prévoit en effet d'étendre fortement les pouvoirs de blocage administratif des sites web en France. Et quand je dis "administratif", ça veut dire sans juge.

Bah ouais, ça servirait à quoi alors qu'il suffit d'un bon vieux coup de tampon de l'administration, et votre site peut disparaître de l'internet français.

Concrètement, le texte vise l'article 6-1 de la LCEN. Ce truc-là, c'est le bouton rouge que Pharos et l'ARCOM peuvent pousser depuis 2014 pour faire retirer un contenu. Aujourd'hui ça couvre le terrorisme, la pédopornographie, la vente de stupéfiants et les images de tortures.

Demain, le projet veut y rajouter l'apologie des crimes de guerre, les provocations à la haine ou à la discrimination, et surtout un motif tellement flou que c'en est vertigineux : les contenus "susceptibles de créer un trouble grave pour l'ordre public".

Et c'est là que ça coince. Car "Trouble grave à l'ordre public", vous savez ce que ça veut dire ? Moi oui ! Ça veut dire exactement ce que le préfet en charge veut bien que ça veuille dire. C'est le genre de formule qu'on met dans une loi quand on sait très bien qu'on en fera plus tard un usage BEAUCOUP PLUS LARGE que l'intention affichée initialement.

Et c'est là que ça me colle des boutons, parce qu'on a déjà vu ce film je ne sais combien de fois !!

2014, Cazeneuve, article 6-1 créé pour le terrorisme. 2020, loi Avia retoquée par le Conseil constitutionnel . 2021, extension aux stupéfiants. 2024, loi SREN et vérification d'âge. 2026, apologie crimes de guerre plus haine plus "trouble grave à l'ordre public". À chacune de leur itération, le périmètre s'élargit, les motifs deviennent encore plus flous, et le juge disparaît encore un peu plus du décor.

C'est ça le vrai sujet en fait. C'est pas la question de savoir si bloquer l'apologie des crimes de guerre est légitime (ça l'est). La vraie question c'est : Qui décide ?

Car pendant des siècles en France, seul un juge pouvait ordonner à un éditeur de se taire. Mais depuis 2014, c'est devenu la fête du slip puisque l'administration peut le faire toute seule, et Ô comme c'est bizarre, chaque loi qui arrive ensuite, élargit son, déjà trop grand, terrain de jeu. Alors bien sûr, le juge, on peut éventuellement le saisir après coup, en référé, avec un bon avocat mais dans l'intervalle, votre site a été déréférencé, votre trafic est en EEG plat, et votre asso par exemple, a claqué.

Surtout que la formulation "trouble grave à l'ordre public" est tellement élastique qu'elle peut demain couvrir à peu près n'importe quel sujet qui gêne. C'est pratique hein ? Un dossier sur les violences policières ? Un article sur les manifs ? Une tribune un peu incendiaire ? Allez hop, on coupe TOUT et on retourne sucer des feutres en réfléchissant à la prochaine loi liberticide !!

Vu que le texte part au Conseil d'État avant d'arriver au Conseil des ministres fin avril, le périmètre exact peut encore bouger donc je vous invite à suivre ça du coin de l'œil. Et si vous avez un site ou une asso qui risque de matcher, le bon réflexe c'est La Quadrature du Net . Eux savent contester ces trucs, et ils l'ont déjà fait pour Avia et SREN.

Bref, on se retrouve dans dix ans ou moins, et je vous parie qu'on rediscutera ENCORE d'une nouvelle extension de l'article 6-1, cette fois au nom d'une menace qu'on n'avait pas encore vu venir. L'effet cliquet, ça se déclenche toujours dans le même sens, malheureusement.

Source

Le noyau Linux est en train de retirer le support matériel des processeurs Baikal, fabriqués par Baikal Electronics en Russie. Pas juste les mainteneurs cette fois, le code lui-même. Les drivers et le support de la plateforme MIPS Baikal-T1 sont en cours de suppression dans les sources du noyau, après des années de tensions autour des sanctions internationales.

Pour remettre en contexte, le support du Baikal-T1 (un CPU MIPS double coeur P5600 cadencé à 1,2 GHz) et du SoC BE-T1000 avait été intégré au noyau Linux à partir de la branche 5.8. Baikal Electronics travaille sur des processeurs domestiques russes, en MIPS et en ARM, pensés pour réduire la dépendance de la Russie aux puces étrangères.

Le problème, c'est que l'entreprise est directement sanctionnée par les États-Unis, l'Union européenne et d'autres pays, avec le soupçon que ses puces puissent finir dans du matériel militaire.

En octobre 2024, une première étape avait été franchie. Onze mainteneurs russes avaient été retirés du fichier MAINTAINERS du noyau, dont Serge Semin, responsable du driver Baikal-T1 PVT et de la plateforme MIPS Baikal-T1.

Linus Torvalds avait tranché clairement : "C'est parfaitement clair pourquoi le changement a été fait, il ne sera pas annulé." Greg Kroah-Hartman, de son côté, avait invoqué des "exigences de conformité" liées aux sanctions américaines OFAC.

Mais à l'époque, le code restait. Les mainteneurs partaient, les drivers non. Du coup, un développeur de chez Baikal pouvait toujours soumettre un patch, même si trouver quelqu'un pour le merger devenait compliqué.

Jakub Kicinski, mainteneur du sous-système réseau du noyau, avait d'ailleurs refusé publiquement d'accepter des patches venant d'employés de Baikal Electronics, en invoquant un malaise personnel face à la situation.

L'étape en cours va plus loin. C'est le support matériel lui-même qui est en train d'être retiré. Concrètement, ça veut dire que les futures versions du noyau ne compileront plus pour cette plateforme, et que les distributions qui montent en version perdront le support natif de ces puces.

Pour les quelques machines qui tournent sur du Baikal-T1 en dehors de Russie (il y en a très peu), ça implique de rester sur un noyau ancien ou de maintenir un fork.

Côté Russie, Baikal Electronics maintient son propre fork du noyau Linux sur GitHub. Le projet n'est pas mort, il est juste découplé de l'upstream. Ça pose quand même une vraie question sur la viabilité long terme d'un fork désormais très isolé, sans les contributions de la communauté internationale.

Bref, Linux tranche dans le dur cette fois. Plus de mainteneurs, et bientôt plus de code non plus.

Source : Phoronix

Le mouvement Stop Killing Games a officialisé son soutien à la Protect Our Games Act, un projet de loi californien qu'il a contribué à rédiger avec le député américain Chris Ward.

Le texte a été déposé sous la référence AB-1921 ("Digital games: ordinary use"), et il cible directement un des points douloureux du jeu vidéo moderne, les titres serveur-dépendants qui deviennent inutilisables quand l'éditeur décide de débrancher les serveurs.

La logique du texte est simple. Pour un jeu connecté vendu en Californie, l'éditeur aura deux options en fin de vie. Soit il remplace le jeu par une alternative comparable, sans coût supplémentaire pour le client.

Soit il publie un plan de fin de vie détaillant les étapes prises pour permettre aux joueurs de continuer à faire tourner leur jeu après l'arrêt du support officiel. Mode offline, serveur privé documenté, patch communautaire autorisé, c'est à l'éditeur de choisir le mécanisme. Mais il doit choisir quelque chose.

Pour rappel, Stop Killing Games est né en 2024 sous l'impulsion de Ross Scott, après l'arrêt brutal de The Crew par Ubisoft. Un jeu acheté, joué, puis tout simplement rendu injouable. Sans contrepartie.

Le mouvement a depuis bien grandi. En Europe, une Initiative citoyenne a recueilli un peu plus de 1,3 million de signatures validées, et la Commission européenne a jusqu'à fin juillet pour rendre sa réponse officielle. Une audition publique au Parlement européen est prévue le 16 avril.

L'angle californien est intéressant parce que la Californie a longtemps servi de laboratoire réglementaire pour le reste des États-Unis sur les questions consommateur et numérique.

Si AB-1921 passe, les éditeurs ne pourront plus faire semblant que le problème n'existe pas sur le marché américain. Et comme les équipes juridiques préfèrent rarement gérer 50 législations différentes, un texte californien peut aisément devenir une norme de facto pour l'ensemble des US.

Évidemment, la loi n'est qu'un projet pour l'instant, et l'industrie du jeu vidéo a des lobbyistes qui savent tuer ce genre de texte en commission. Mais l'énergie du mouvement est réelle, et le timing avec l'offensive européenne est bien calibré. Ça met la pression des deux côtés de l'Atlantique en même temps.

Bref, Stop Killing Games continue d'avancer sur plusieurs fronts, et forcer les éditeurs à penser à la fin de vie dès la conception, c'est plutôt sain.

Source : Techspot

Plus de 230 millions de dollars. C'est ce qui a été misé sur le climat et la météo via Kalshi depuis juillet 2021, dont plus de la moitié rien que sur les neuf premiers mois de 2025.

La plateforme américaine de marchés de prédiction laisse ses utilisateurs acheter des contrats "oui" ou "non" sur la température de demain à Chicago, le passage d'un ouragan sur la Floride, ou encore la probabilité que la planète franchisse les 2°C avant 2050.

Le fonctionnement est simple. Vous pariez 15 cents sur "il fera 78°F à Los Angeles demain", s'il fait bien 78°F vous récupérez un dollar. Profit : 85 cents. C'est rapide. Derrière, Kalshi s'appuie sur les données officielles du NOAA et du National Weather Service, les mêmes qui alimentent depuis toujours les bulletins télé.

Sauf que cette fois, ces données publiques financées par les impôts américains servent à enrichir des traders privés. Du coup, pas mal de scientifiques trouvent ça un peu gênant.

Les défenseurs du système poussent une idée séduisante : agréger les paris de milliers de gens pourrait produire des prévisions météo plus précises que les modèles classiques. En théorie, c'est la "sagesse des foules" appliquée aux nuages.

En pratique, personne n'a vraiment prouvé que les marchés battent les modèles numériques du NOAA sur les températures à 7 jours. Les parieurs les plus sérieux lisent justement... les modèles du NOAA.

Côté éthique, ça coince. Kalshi refuse explicitement les paris sur les incendies de forêt, parce que l'entreprise elle-même reconnaît que ça créerait une incitation financière à mettre le feu. Logique. Mais rien n'empêche de parier sur le trajet d'un ouragan ou sur le niveau de pluie pendant une inondation, au moment même où des gens perdent leur maison.

Une étude parue dans Nature Climate Change en 2023 montre que parier sur le climat augmente un peu la prise de conscience chez les joueurs, mais l'effet reste modeste, entre quelques pourcents. Pas exactement de quoi compenser l'inconfort moral.

Le modèle avance quand même à toute vitesse. Kalshi pèse désormais près de 90% du marché américain de la prédiction et a dépassé les 12 milliards de dollars de volume mensuel en mars 2026.

En face, les régulateurs commencent à serrer : l'Arizona a déposé des poursuites pénales contre la plateforme en mars 2026 pour exploitation d'un jeu d'argent non licencié et paris électoraux. Plusieurs États pourraient suivre. Mais bon, tant que les investisseurs continuent d'affluer, l'entreprise n'a aucune raison de lever le pied.

Bref, transformer une tempête en ticket de loto sur fond de données publiques, ça pose quand même quelques questions.

Source : Bloomberg

xAI vient de déposer plainte devant un tribunal fédéral du Colorado pour faire annuler le SB 24-205, une loi qui doit entrer en vigueur le 30 juin prochain. Ce texte impose aux développeurs de systèmes d'IA "à haut risque" de mettre en place des garde-fous contre les discriminations algorithmiques.

Sont concernés les outils utilisés pour prendre des décisions dans l'emploi, le logement, l'éducation, la santé et les services financiers. En clair, si votre IA aide à trier des CV ou à accorder un prêt, elle doit prouver qu'elle ne discrimine personne.

Le problème pour xAI, c'est que Grok, son modèle phare, tomberait pile dans cette catégorie. L'entreprise d'Elon Musk estime que la loi l'obligerait à modifier le fonctionnement de son IA pour "refléter les opinions de l'État du Colorado sur la diversité et la discrimination" plutôt que de rester objective.

Le premier amendement comme bouclier

L'argument principal de xAI tient en un mot : liberté d'expression. Dans sa plainte, l'entreprise affirme que la loi du Colorado viole le premier amendement de la Constitution américaine.

Elle reproche au texte d'interdire aux développeurs de créer des systèmes d'IA qui produisent "un discours que l'État du Colorado n'aime pas", tout en les forçant à aligner leur travail sur les préférences de l'État.

C'est un angle juridique assez audacieux. Considérer qu'un modèle d'IA produit du "discours" protégé par la Constitution, ça revient à dire que le code et les réponses générées par une machine sont une forme d'expression. xAI demande au tribunal de déclarer la loi inconstitutionnelle et d'empêcher son application.

Washington contre les États

Derrière cette plainte, il y a un bras de fer plus large entre régulation fédérale et régulation locale. xAI cite des décrets de la Maison Blanche qui critiquent la multiplication des lois étatiques sur l'IA.

L'administration Trump pousse pour un cadre national unique, estimant qu'un patchwork de réglementations état par état freinerait la compétitivité américaine et poserait des problèmes de sécurité nationale.

Le Colorado fait figure de pionnier sur le sujet. Le SB 24-205 est l'une des lois les plus complètes du pays en matière de régulation de l'IA. Elle oblige les développeurs à fournir une documentation détaillée sur les risques de leurs systèmes, à publier un site web résumant leurs pratiques, et à signaler toute discrimination algorithmique découverte au procureur général dans les 90 jours.

xAI, qui a récemment fusionné avec SpaceX, attaque moins de trois mois avant l'entrée en vigueur du texte. Si le tribunal donne raison à Musk, ça pourrait décourager d'autres États de légiférer sur le sujet. À l'inverse, un rejet de la plainte renforcerait la légitimité de ce type de régulation locale.

En tout cas, utiliser le premier amendement pour protéger une IA de toute obligation anti-discrimination, c'est un précédent que beaucoup de juristes vont suivre de près.

Source : Bloomberg Law

Gérald Darmanin veut que la France aille puiser dans les ADN stockés chez les sociétés américaines de tests récréatifs pour faire tourner le FNAEG. Rien que ça !! Ces tests sont pourtant interdits dans l'Hexagone depuis belle lurette, et la fiabilité de ces boîtes est tellement douteuse qu'elles ont déjà validé des échantillons d'ADN de chien comme des résultats humains parfaitement cohérents. Franchement, y a de quoi hurler.

Bienvenue dans la Loi Sûre !

Le garde des sceaux a annoncé la couleur le 20 octobre dernier depuis le pôle cold cases du tribunal judiciaire de Nanterre. Le projet de loi SURE (pour Sanction Utile, Rapide et Effective) est arrivé en Conseil des ministres le 18 mars de cette année, avec passage au Sénat cette semaine du 13 avril et débat à l'Assemblée Nationale prévu pour juin. Au menu, la généalogie génétique autorisée sous contrôle du juge, réservée aux crimes les plus graves comme les meurtres, viols, et autres enlèvements. Selon Darmanin, une trentaine d'affaires non élucidées trouveraient ainsi une réponse, et les 50 000 traces du FNAEG qu'il mentionnait sans correspondance connaîtraient peut-être enfin leur propriétaire. Vous vous souvenez peut-être de Bruno L., surnommé le "prédateur des bois" ? C'est déjà comme ça qu'il a été coincé fin 2022, avec un coup de main du FBI. C'était une première en France.

Alors sur le papier, ça sonne plutôt bien. Sauf que le problème c'est que la technique repose sur un truc vraiment gênant : comparer l'ADN d'une scène de crime avec les bases américaines remplies de millions d'échantillons envoyés volontairement par des particuliers curieux de leurs origines.

En fait, ces tests ADN récréatifs sont interdits en France depuis des années. L'article 16-10 du Code civil limite l'examen génétique à des fins médicales ou scientifiques, et le Code pénal (article 226-28-1) prévoit 3 750 euros d'amende.

En 2019, le député Jean-François Eliaou déposait d'ailleurs la question (question parlementaire n°15638 pour ceux qui la veulent) pour rappeler que ces pratiques constituent une "atteinte à la personne humaine". Sauf qu'en pratique, rien n'a jamais empêché les curieux de balancer leur crachat dans une enveloppe direction le Texas ou Israël. Alors pour rattraper le coup, plutôt que d'assumer ce vide juridique, le Garde des Sceaux préfère aller exploiter les données qu'on aurait jamais dû laisser partir. Certes la loi sera encadrée par un juge, mais ça ne change rien à l'origine bancale des échantillons.

Et puis y'a la fiabilité de ces boîtes. Vous allez voir, c'est dingue. Gizmodo avait documenté le cas d'une société de tests qui avait analysé sans sourciller un échantillon d'ADN de labrador en lui crachant un beau résultat de généalogie humaine. Des journalistes ont aussi obtenu des rapports cohérents avec des échantillons bidons. J'en parlais déjà en 2018 dans un vieil article , et rien n'a vraiment bougé depuis. Ces sociétés vendent du rêve sur de la flotte, parce que leur modèle économique repose sur le divertissement, pas sur la rigueur forensique.

Et c'est avec ce genre de base qu'on veut bâtir des enquêtes criminelles françaises ??? Serieux ?

Attendez, y'a pire ! Bah oui, n'importe qui peut s'inscrire avec le nom qu'il veut et envoyer l'ADN de son voisin. Ou de son ex. Ou de la personne qu'il rêve de coincer pour un règlement de compte. Aucune vérification d'identité sérieuse, aucune authentification du donneur. Donc autant dire qu'un type un peu motivé peut polluer une base entière avec des échantillons bidons, et regarder ensuite le FNAEG avaler des correspondances pourries sans broncher. C'est du grand art.

Bienvenue dans le consentement éclairé à la sauce marketing.

Et pendant ce temps, le Comité Consultatif National d'Éthique, qui devrait normalement être saisi sur un texte qui légalise l'exploitation de données génétiques obtenues hors cadre légal français, n'a pas été consulté par le gouvernement sur cette Loi SURE.

Voilà, voilà. Encore de la grande démocratie bien exécutée, comme à leur habitude...

Bref, petit rappel, les amis, si vous avez déjà envoyé votre ADN à ce genre de boîte, foncez dans vos paramètres pour vous "opter out". Ça ne retirera pas l'échantillon des bases, mais vous sortirez des listes de matches accessibles aux enquêteurs.

C'est toujours ça de pris.

Source : Le Monde

Le ministère sud-coréen des Sciences vient d'annoncer un programme d'accès mobile universel. Le principe : une fois votre forfait data épuisé, vous ne tombez plus dans le néant. Les trois opérateurs du pays (SK Telecom, KT et LG Uplus) devront fournir un débit illimité à 400 kbps à tous leurs abonnés, sans frais supplémentaires. Plus de 7 millions de personnes sont concernées par la mesure.

400 kbps, ça ne fait rêver personne. Mais c'est assez pour envoyer des messages, consulter ses mails, utiliser une appli de navigation ou passer un appel en VoIP. Dans le faits, il n'est pas question ici de remplacer un véritable forfait avec du bon débit, mais de s'assurer que personne ne se retrouve vraiment coupé du réseau, et c'est loin d'être bête.

Des forfaits 5G à moins de 10 euros

Les opérateurs se sont aussi engagés à lancer des forfaits 5G à 20 000 wons maximum, soit environ 13,50 dollars. Pour un pays où la 5G est omniprésente depuis des années, c'est un signal fort : le gouvernement veut que tout le monde puisse y accéder, pas seulement ceux qui peuvent se payer les offres premium.

Ce programme va d'ailleurs plus loin, puisqu'il prévoit aussi des enveloppes data et des appels offerts pour les personnes âgées, et un meilleur Wi-Fi dans les métro et les trains. L'idée là est vraiment d'attaquer tous les angles de la fracture numérique, et c'est assez fou, quand on sait à quel point le pays est pourtant déjà avancé sur ces sujets.

Pourquoi maintenant ?

Le timing n'a rien d'anodin. Les trois opérateurs sud-coréens sortent d'une série de scandales qui a sérieusement entamé la confiance du public. On parle par exemple de SK Telecom, qui a subi une grosse fuite de données l'année dernière, avec 23 millions de données SIM qui se sont retrouvées dans la nature, et plusieurs failles qui ont permis plusieurs intrusions depuis 2021.

L'opérateur a écopé d'une amende record de 97 millions de dollars et a perdu près de 800 000 clients en un mois. LG Uplus a eu droit à son propre épisode avec 3 To de données clients retrouvées sur le dark web. Et KT n'a pas été épargné non plus, entre des failles sur ses femtocells et des accusations de distribution de malware.

Le vice-Premier ministre Bae Kyunghoon a été assez direct : il ne suffit plus de promettre que ça ne se reproduira pas. Les opérateurs doivent montrer de "l'innovation et une contribution" que les citoyens puissent "percevoir concrètement". Fini les excuses donc.

Un modèle à suivre ?

La Corée du Sud traite ici l'accès au réseau mobile comme un droit fondamental. C'est un virage que peu de pays ont pris aussi franchement. En Europe, on parle beaucoup de service universel, mais ça reste souvent cantonné au fixe ou au très haut débit filaire.

L'approche coréenne a le mérite d'être pragmatique. Plutôt que de légiférer dans le vide, le gouvernement s'appuie sur les scandales récents pour forcer la main aux opérateurs. Du donnant-donnant : vous avez perdu la confiance du public, vous la regagnez en offrant un service minimum garanti. Reste à voir si 400 kbps en 2026, ça tient la route au quotidien.

Source : The Register

Le fabricant de tracteurs John Deere vient de signer un accord à 99 millions de dollars pour régler un recours collectif lié au droit à la réparation. L'entreprise devra aussi fournir pendant dix ans les outils logiciels permettant aux agriculteurs de réparer leurs machines eux-mêmes. Un dossier qui fait écho aux combats menés contre Apple et d'autres constructeurs tech.

Des tracteurs verrouillés par le logiciel

Le procès remonte à 2022. Des agriculteurs américains ont attaqué John Deere en l'accusant de verrouiller ses tracteurs, moissonneuses et autres engins agricoles par le logiciel, et de forcer ses clients à passer par des concessionnaires agréés pour la moindre réparation.

Le problème est le même que celui qu'on connaît dans le monde des smartphones ou des ordinateurs portables : le constructeur contrôle les outils de diagnostic et refuse de les partager avec des réparateurs indépendants ou avec les propriétaires des machines.

Certains agriculteurs en étaient arrivés à pirater le logiciel de leurs propres tracteurs pour pouvoir les réparer. John Deere avait signé un accord préliminaire en 2023 pour donner un accès limité aux outils de diagnostic, mais ça n'avait pas suffi à calmer les choses.

99 millions et 10 ans d'outils de réparation

L'accord prévoit un fonds de 99 millions de dollars pour indemniser les agriculteurs qui ont payé des réparations chez des concessionnaires agréés entre janvier 2018 et la date d'approbation de l'accord. Les plaignants devraient récupérer entre 26 et 53% des surcoûts facturés, ce qui est bien au-dessus de la moyenne habituelle dans ce type de recours (entre 5 et 15% en général).

John Deere s'engage aussi à fournir pendant dix ans les outils numériques nécessaires à la maintenance, au diagnostic et à la réparation de ses machines.

L'accord doit encore être validé par le tribunal fédéral de l'Illinois. John Deere continue de nier toute faute, mais accepte quand même de payer. Et l'entreprise fait en plus l'objet d'une plainte séparée de la FTC, la commission fédérale du commerce, qui l'accuse de verrouiller abusivement ses processus de réparation.

Un signal pour toute l'industrie tech

Ce dossier dépasse le monde agricole. Le droit à la réparation est un sujet qui concerne aussi Apple, Samsung, et à peu près tous les fabricants d'appareils électroniques. En Europe, la législation avance sur le sujet, et aux Etats-Unis, plusieurs Etats ont déjà voté des lois pour obliger les constructeurs à partager leurs outils de diagnostic et leurs pièces détachées.

L'accord Deere est un des plus gros règlements financiers dans ce domaine, et il pourrait servir de référence pour d'autres procédures similaires dans l'automobile ou l'électronique grand public.

99 millions de dollars et dix ans d'engagement, c'est quand même un gros signal. Quand un fabricant de tracteurs est contraint de lâcher ses outils de diagnostic sous pression juridique, on imagine bien que les fabricants de smartphones et de PC prennent des notes.

Le parallèle avec Apple est direct : la marque a longtemps freiné la réparation indépendante avant de faire des concessions sous la pression des législateurs. En tout cas, c'est une bonne nouvelle pour les consommateurs, et pas que les agriculteurs.

Source : Reuters

La cour d'appel de Paris vient de confirmer que les fournisseurs de DNS alternatifs doivent bloquer l'accès aux sites de streaming et d'IPTV pirates. Google, Cloudflare et Cisco ont perdu leur appel face à Canal+.

Cinq appels rejetés d'un coup

La cour d'appel de Paris a tranché cinq affaires distinctes dans lesquelles Canal+ demandait à Google (Google Public DNS), Cloudflare (1.1.1.1) et Cisco (OpenDNS) de bloquer des centaines de noms de domaine liés à du streaming illégal. Les trois entreprises avaient fait appel des ordonnances rendues en première instance par le tribunal judiciaire de Paris.

C'est la première fois qu'une cour d'appel française valide ce type de blocage DNS en s'appuyant sur l'article L.333-10 du Code du sport, qui permet aux détenteurs de droits d'exiger le blocage de domaines en cas de piratage grave et répété.

Les arguments qui n'ont pas fonctionné

Cloudflare et Cisco avaient plaidé que leurs services avaient une fonction "neutre et passive", comparable à un annuaire qui traduit des noms de domaine en adresses IP. La cour a estimé que cette neutralité était tout simplement hors sujet : ce qui compte, c'est la capacité technique à bloquer un accès, pas la nature du service.

Google a tenté un autre angle en expliquant que le blocage DNS était inefficace puisqu'il suffit d'un VPN pour le contourner. La cour a balayé l'argument en rappelant que tout système de filtrage peut être contourné, et que ça ne le rend pas inutile pour autant.

Cisco avait aussi chiffré le coût de mise en place à 64 semaines-personne de travail. Pas suffisant non plus pour convaincre les juges.

Canal+ continue de pousser

Cette décision s'ajoute à celle obtenue contre les fournisseurs de VPN fin 2025, quand NordVPN, ExpressVPN et d'autres avaient eux aussi été contraints de bloquer des sites pirates en France.

Canal+ verrouille progressivement tous les moyens de contournement. Et la chaîne ne compte visiblement pas s'arrêter là : le blocage d'adresses IP serait déjà en test, avec un premier essai lors de Roland-Garros.

Les frais de mise en place sont à la charge de Google, Cloudflare et Cisco.

Canal+ est en train de poser des briques une par une. D'abord les FAI, puis les VPN, maintenant les DNS. On imagine bien que le blocage IP est la prochaine étape.

Côté efficacité, ça reste un jeu du chat et de la souris, mais la justice française envoie un signal clair : si un service technique peut aider à bloquer du piratage, il devra le faire. Et à ses frais, en plus.

Source : Torrent Freak

Une coalition d'entreprises européennes vient de lancer Euro-Office, une suite bureautique open source qui ambitionne de concurrencer Microsoft 365. Le problème, c'est que le projet est un fork d'OnlyOffice, et ce dernier accuse Nextcloud et IONOS de violer sa licence.

Un projet présenté au Bundestag

Euro-Office a été dévoilé le 27 mars à Berlin, directement au Bundestag. Derrière le projet, on retrouve huit organisations européennes : IONOS, Nextcloud, Eurostack, XWiki, OpenProject, Soverin, Abilian et BTactic.

L'idée est de proposer une suite bureautique capable d'éditer documents, tableurs et présentations, avec une compatibilité Microsoft complète, le tout sous contrôle européen.

Plutôt que de repartir de zéro, la coalition a choisi de forker le code open source d'OnlyOffice, jugé plus moderne et performant dans un navigateur que les alternatives dérivées de LibreOffice. Une préversion est d'ailleurs déjà proposée sur GitHub, et la première version stable est annoncée pour cet été.

OnlyOffice accuse de violation de licence

Et voilà que ça se complique. Deux jours après l'annonce, OnlyOffice a publié un billet de blog accusant Nextcloud et IONOS de violer les conditions de sa licence AGPL v3.

Le reproche est précis : Euro-Office aurait supprimé toutes les références à la marque OnlyOffice, alors que la licence impose de conserver le logo et les attributions dans les travaux dérivés. Ces conditions supplémentaires ont été ajoutées en mai 2021 via la section 7 du fichier LICENSE.txt.

Côté Nextcloud, on se défend en affirmant que les forks font partie de l'ADN de l'open source. L'entreprise dit avoir consulté Bradley M. Kuhn, le créateur de la licence AGPL, qui soutiendrait leur position "à 100 %".

La Free Software Foundation serait aussi de leur côté. Nextcloud avance par ailleurs que la collaboration directe avec OnlyOffice était compliquée, pointant les origines russes de l'équipe fondatrice. OnlyOffice rétorque que sa propriété intellectuelle est détenue en Lettonie (Ascensio System SIA) depuis 2009, que sa holding est à Singapour, et que l'activité russe a été cédée à des investisseurs locaux en 2019.

La souveraineté numérique en toile de fond

Le timing n'est pas anodin. Partout en Europe, des administrations et des entreprises cherchent à réduire leur dépendance aux outils américains.

Euro-Office arrive avec un argument fort : une suite bureautique développée et hébergée en Europe, sans dépendance vis-à-vis d'acteurs non européens. C'est exactement ce que réclament plusieurs gouvernements depuis des années.

C'est quand même un drôle de démarrage pour un projet censé incarner la souveraineté numérique européenne. On lance une alternative à Microsoft en forkant le code d'une société enregistrée en Lettonie mais aux racines russes, et trois jours plus tard on se retrouve avec une accusation de violation de licence sur les bras.

Le fond du débat juridique est intéressant : est-ce qu'on peut forker un logiciel AGPL et retirer les mentions de la marque originale ?

Source : OnlyOffice.com

Le fichier national qui recense toutes les armes détenues en France vient de se faire trouer en version XXL !

En effet, un affreux pirate a réussi à exfiltrer les données liées à la possession de plus de 62 000 armes, et parmi elles, les noms, prénoms, dates de naissance, adresses email et surtout les adresses postales de leurs propriétaires. Mais ce n'est pas tout puisque le fichier contiendrait également le détail complet de chaque arme (modèle, calibre, numéro de série, classement) ainsi que l'historique des transactions (ventes, cessions, réparations, destructions).

Donc on a maintenant dans la nature un joli tableur Excel avec en colonne A le numéro de série de votre Beretta, et en colonne B votre adresse.

J'vois vraiment pas ce qui pourrait mal tourner... 🤡

Alors pour ceux qui débarquent, le SIA (Système d'Information sur les Armes) c'est LA base de données du ministère de l'Intérieur dans laquelle tous les détenteurs d'armes doivent obligatoirement s'enregistrer. Que vous soyez chasseur avec votre Browning, tireur sportif avec votre Glock ou que vous ayez hérité du vieux Manufrance de papy, vous êtes dedans !!

Le ministère a d'ailleurs confirmé l'intrusion dans un courrier envoyé aux personnes concernées (environ 41 000 détenteurs selon les dernières estimations).

En fait, le cybercriminel a compromis les identifiants d'un armurier situé dans le département 84 (c'est le Vaucluse pour les nuls en géo) et a accédé à son Livre de Police Numérique (LPN), le registre dématérialisé qui liste toutes les transactions d'armes du professionnel et qui est directement interconnecté avec le SIA.

Les identifiants de l'armurier auraient pu être récupérés via du phishing, un logiciel espion ou même le vol d'un ordinateur... bref, les classiques, et cerise sur le gâteau, le pirate affirme même avoir été interrompu en pleine exfiltration, ce qui veut dire qu'il aurait pu aspirer encore plus de données s'il n'avait pas été coupé dans son élan.

Le ministère se veut rassurant (lol) en précisant que "le système d'information sur les armes n'a pas été atteint" directement. Mouais... techniquement c'est vrai, c'est le compte pro de l'armurier qui a sauté et pas le SIA en lui-même. Mais en vrai le résultat est le même pour les gens dont l'adresse postale se balade maintenant sur un forum du dark web.

Côté butin, le pirate revendique pas moins d'un listing de 62 511 armes se composant de 46% de carabines, 29% de fusils de chasse, 11% de fusils à pompe et 8% d'armes de poing, le tout allant de la catégorie B (soumise à autorisation) à la catégorie C (sur déclaration).

L'Union Française des amateurs d'Armes (UFA) tempère en rappelant que la base contient plusieurs millions d'armes, et que ces chiffres "tendent à faire penser que la fuite ne concerne pas l'ensemble du système". Heureusement les gars ! Après 41 000 détenteurs avec leurs adresses et le numéro de série de leurs joujoux dans la nature, c'est quand même pas rien non plus.

Et surtout c'est pas la première fois. C'est même la troisième fuite liée au milieu des armes en 6 mois. En octobre 2025, la Fédération Française de Tir (FFTir) s'était déjà fait trouer, puis en janvier 2026 c'était au tour de la Fédération Nationale des Chasseurs (FNC), et maintenant le SIA. Le trio gagnant !!

Les conséquences avaient d'ailleurs été très concrètes après la fuite FFTir puisque la préfecture de police avait alerté sur des repérages et prises de renseignement suspects signalés aux forces de l'ordre, avec des cambrioleurs qui débarquaient chez des tireurs sportifs pour récupérer leurs armes.

Le ministère a déposé plainte et notifié la CNIL et recommande de changer régulièrement de mot de passe et ne jamais communiquer ses identifiants. Merciiiii on n'y avait pas pensé ! Mais le plus beau c'est la mesure d'urgence annoncée en réaction car à partir du 1er avril 2026 (oui, demain), tous les professionnels devront activer la double authentification pour accéder à leur compte SIA. Oui, y'en n'avait pas... un simple identifiant + mot de passe suffisait pour accéder à une base qui gère les données de millions de détenteurs d'armes en France. Ça laisse rêveur.

Après, si vous êtes inscrit au SIA et que vous n'avez pas reçu le courrier du ministère, ça ne veut pas forcément dire que vous n'êtes pas touché alors dans le doute, méfiez-vous de tout appel ou visite prétendument officielle vous demandant de remettre ou montrer vos armes car la police, la gendarmerie et les douanes ne viendront jamais chez vous récupérer vos armes suite à une fuite de données. Donc si quelqu'un sonne à votre porte avec ce prétexte, c'est forcément une arnaque (ou pire...) comme ça s'est passé après la fuite FFTir.

Bref, entre le pistage permanent de nos données en ligne et toutes ces bases gouvernementales qui fuient comme des passoires , j'imagine que la prochaine étape, ça sera le vol et la diffusion du fichier des codes nucléaires mis à dispo sur un forum de script kiddies...

Source

Un développeur américain a soumis en une semaine des modifications à trois projets Linux majeurs pour y ajouter un champ de date de naissance, au nom de lois californiennes et brésiliennes qui entreront en vigueur en janvier 2027.

Le plus gros morceau, systemd, a accepté la modification et refuse de revenir en arrière. La communauté open source est depuis en ébullition.

Un développeur solitaire, trois projets visés

Dylan M. Taylor, ingénieur DevOps basé en Caroline du Nord, a soumis des pull requests à systemd, Ubuntu et Arch Linux en mars 2026. Son objectif : ajouter un champ "date de naissance" dans la base de données utilisateur de chaque système, pour se conformer à trois lois qui entrent en vigueur le 1er janvier 2027.

La loi californienne AB-1043, la loi du Colorado SB26-051 et la loi brésilienne Lei 15.211 imposent aux systèmes d'exploitation de collecter l'âge des utilisateurs dès la création du compte, puis de transmettre cette donnée aux magasins d'applications via une API.

Le plus surprenant, c'est que personne ne lui a demandé de faire ça. Taylor a lu les textes de loi, estimé que Linux devait s'y conformer, et s'est mis au travail tout seul.

Il a lui-même reconnu dans sa pull request pour Arch Linux que le système serait "totalement inefficace pour empêcher quiconque de mentir sur son âge". Il a qualifié sa propre fonctionnalité de "hilarante d'inutilité", mais a quand même insisté pour l'intégrer.

systemd a accepté, et le revert a été refusé

Côté systemd, la modification a été acceptée par Luca Boccassi, un mainteneur qui travaille chez Microsoft. La pull request a généré 945 commentaires. Quand un autre développeur a tenté de faire annuler la fusion, Lennart Poettering, le créateur de systemd (ancien Red Hat, passé par Microsoft), a personnellement rejeté la demande le 19 mars.

Son argument : le champ est optionnel, systemd ne force rien, et les distributions sont libres de l'utiliser ou non. Le champ date de naissance reste donc dans le code.

Côté Ubuntu, les deux pull requests sont restées à l'état de brouillon. Un vice-président de Canonical a précisé qu'il n'y avait "aucun plan concret" pour intégrer cette fonctionnalité.

Côté Arch Linux, le mainteneur a verrouillé la discussion en attendant un avis juridique. Et Artix Linux a pris la position la plus claire : jamais de vérification d'identité ni d'âge dans leur distribution.

Des lois qui posent un vrai problème technique

Ces lois partent du principe que c'est au système d'exploitation de jouer le rôle de contrôleur d'identité. Sauf que Linux n'est pas Windows ou macOS : c'est un projet communautaire, maintenu par des bénévoles et des entreprises aux intérêts variés.

Collecter des données personnelles dans un système open source pour les transmettre à des magasins d'applications, c'est un changement de philosophie assez radical.

Un développeur d'Ubuntu a proposé une approche différente : une interface D-Bus optionnelle, sans stocker de date de naissance brute. Plus respectueux de la vie privée, mais ça ne fait pas non plus l'unanimité.

On a donc là un ingénieur qui admet que sa propre fonctionnalité ne sert à rien, et qui l'intègre quand même dans un des composants les plus utilisés de Linux. Le tout validé par un mainteneur employé chez Microsoft. Difficile de ne pas remarquer le problème.

Que des lois imposent la vérification d'âge aux systèmes d'exploitation, c'est une chose. Mais que ça passe par un bénévole qui pousse du code dans un projet open source sans que personne ne s'en rende compte avant la fusion, c'est un peu particulier quand même.

Source : Sambent

Le Monde a réussi à localiser le porte-avions nucléaire français Charles-de-Gaulle grâce à l'application de sport Strava. Un officier a enregistré un footing de 7 km sur le pont du navire avec sa montre connectée, et son profil public a diffusé les coordonnées GPS en temps réel.

Le navire était déployé en Méditerranée orientale, au large de Chypre, en pleine mission liée au conflit au Moyen-Orient.

Un footing de 7 km qui trahit un navire de guerre

Le 13 mars, à 10h35, un jeune officier prénommé Arthur a lancé un jogging sur le pont du Charles-de-Gaulle. 35 minutes de course, un peu plus de 7 km, et sa montre connectée a transmis le tout à Strava via Bluetooth.

Son profil étant public, n'importe qui pouvait voir le tracé GPS de sa course, et donc la position exacte du porte-avions. Le Monde a vérifié en croisant avec une image satellite de l'Agence spatiale européenne, qui a confirmé la présence du navire à seulement six kilomètres du point GPS.

Le Charles-de-Gaulle se trouvait à ce moment au nord-ouest de Chypre, à une centaine de kilomètres des côtes turques, dans le cadre d'un déploiement lié au conflit au Moyen-Orient.

En remontant le profil du même officier, Le Monde a aussi pu reconstituer les déplacements du navire sur plusieurs semaines : au large du Cotentin le 14 février, en mer Baltique le 27 février, avec une escale à Copenhague.

Pas la première fois que Strava met l'armée dans l'embarras

L'affaire fait partie d'une enquête plus large baptisée "StravaLeaks", que Le Monde avait déjà lancée à l'automne 2024. Les journalistes avaient alors identifié les gardes du corps d'Emmanuel Macron, de Donald Trump et de Vladimir Poutine via leurs activités sportives sur l'application.

Des agents de la DGSE en mission en Irak avaient aussi été repérés de cette manière. Au total, plus de 450 utilisateurs de Strava liés à l'armée française ont été actifs sur la plateforme au cours de la dernière décennie, et certains ont enregistré des séances à proximité de sites où sont amarrés des sous-marins nucléaires, à l'Île Longue.

Le problème est connu depuis 2018, quand un analyste avait remarqué que la carte de chaleur de Strava révélait des bases et des patrouilles américaines en Syrie, en Irak et en Afghanistan. Le Pentagone avait alors interdit les montres connectées en déploiement. Visiblement, la leçon n'a pas traversé toutes les frontières.

L'état-major reconnaît le problème

Du côté de la Marine nationale, la réponse est laconique : cette diffusion d'informations "n'est pas conforme aux consignes en vigueur".

Par défaut, les comptes Strava sont paramétrés en mode public, ce qui veut dire que chaque séance enregistrée est visible par n'importe qui. Il suffit d'une montre connectée qui passe les contrôles de sécurité à bord, d'un profil mal configuré, et la position d'un navire de guerre en mission se retrouve sur internet.

On a quand même du mal à croire qu'en 2026, après toutes les alertes de ces dernières années, un officier de la Marine puisse encore courir sur le pont d'un porte-avions nucléaire avec sa montre GPS en mode public sur Strava.

C'est le genre d'erreur qui ne devrait plus arriver. Mais bon, tant que les smartwatches ne seront pas simplement interdites à bord des navires en opération, ce type de fuite continuera à se produire. Et on ne peut pas vraiment conclure que c'est uniquement la faute du marin : c'est aussi un problème de procédure, parce qu'une montre qui passe le portique de sécurité sans déclencher d'alerte, c'est probablement un peu gênant.

Source : France Info

Des documents obtenus par la presse révèlent que les douanes américaines ont utilisé les données de localisation issues du système publicitaire en ligne pour pister des téléphones. Et ce, sans mandat.

Le mécanisme repose sur les enchères publicitaires en temps réel, qui diffusent vos coordonnées GPS à des milliers d'entreprises chaque jour. Apple a limité la casse sur iPhone, mais ça ne suffit pas.

Comment vos applications vous trahissent

Le système est assez redoutable dans sa simplicité. À chaque fois qu'une publicité s'affiche dans une application sur votre smartphone, une enchère se joue en quelques millisecondes.

Votre téléphone envoie ce qu'on appelle une requête d'enchère, qui contient votre identifiant publicitaire, vos coordonnées GPS, votre adresse IP, le type d'appareil utilisé, et même vos centres d'intérêt supposés. Ces informations sont envoyées simultanément à des milliers d'annonceurs potentiels, et tous les participants reçoivent ces données, qu'ils remportent ou non l'enchère.

Des courtiers en données se font passer pour des acheteurs publicitaires et récoltent ces informations à grande échelle. Mobilewalla, par exemple, a collecté les données de plus d'un milliard de personnes, dont 60 % provenaient de ces enchères publicitaires selon la FTC (le gendarme du commerce américain).

Gravy Analytics, un autre courtier, a vu fuiter des données qui référençaient des milliers d'applications : Candy Crush, Tinder, Grindr, MyFitnessPal, des applications de grossesse ou religieuses. Beaucoup de développeurs ne savaient même pas que leurs applications alimentaient cette collecte.

Des agences fédérales clientes depuis des années

Entre 2019 et 2021, les douanes américaines ont mené un programme pilote pour tester si ces identifiants publicitaires pouvaient servir à reconstituer les déplacements de personnes sur le territoire. Le service de l'immigration (la célèbre ICE) et le FBI ont aussi acheté de la donnée de localisation auprès du courtier Venntel, et s'en sont servis pour identifier des immigrés ensuite arrêtés.

L'ICE a aussi acquis un outil appelé Webloc, qui collecte la position de millions de téléphones chaque jour et permet de lancer des recherches par zone géographique.

En mars 2026, 70 parlementaires américains ont demandé l'ouverture d'une enquête par l'inspecteur général du département de la sécurité intérieure. Le Montana est devenu le premier État à interdire aux autorités l'achat de données sensibles qui nécessiteraient normalement un mandat. Au niveau fédéral, une loi portée par le sénateur Ron Wyden a été votée par la Chambre en 2024, mais n'a pas passé le Sénat.

Ce que vous pouvez faire, et ce qu'Apple a déjà fait

Bonne nouvelle quand même pour les utilisateurs d'iPhone : depuis 2021, Apple demande systématiquement si vous autorisez le suivi publicitaire via la fonction "Demander à l'app de ne pas me suivre".

Résultat : 96 % des utilisateurs américains ont refusé le suivi, ce qui désactive l'identifiant publicitaire sur la plupart des iPhone. Une étude a même montré que les utilisateurs d'iPhone avaient subi moins de fraudes financières après cette mesure.

Côté Android, il est aussi possible de désactiver l'identifiant publicitaire, mais la démarche est bien moins visible. L'EFF (Electronic Frontier Foundation) recommande dans tous les cas de vérifier les permissions de localisation accordées à vos applications et de les limiter au strict minimum.

On savait que la publicité en ligne aspirait pas mal de données, mais là on parle quand même d'agences gouvernementales qui achètent tranquillement votre position GPS sans passer par un juge. Pour protéger sa vie privée , il ne suffit plus de refuser les cookies.

Le fait que par exemple, Apple, ait mis en place la transparence du suivi publicitaire sur iOS en 2021, et que 96 % des gens aient dit non, montre bien que personne ne souhaite être pisté. On ne peut pas vraiment conclure que le problème est réglé pour autant, car tout le système d'enchères publicitaires continue de fonctionner en arrière-plan, avec ou sans identifiant.

Source : Gizmodo