Y’a un truc que j’adore avec Apple, c’est quand ils nous font des petits moves de génie en douce, sans que personne s’en rende compte. Et en voici un que John Gruber de Daring Fireball vient de débusquer.

Vous ne le savez peut-être pas mais la Russie vient de bloquer des tas de services comme Whatsapp, Snapchat ou encore FaceTime sur son territoire. Officiellement, c’est parce que le FSB (les services secrets russes) ne peut pas espionner les appels chiffrés de bout en bout.

Toutefois, bizarrement, iMessage continue de fonctionner là-bas.

Alors pourquoi ?

Hé bien parce qu’Apple a conçu iMessage de façon à ce qu’il soit techniquement impossible à bloquer sans casser toutes les notifications push de l’iPhone. Et ça, les amis, c’était apparemment prévu dès le départ, car quand Apple a lancé iMessage en 2011, les opérateurs télécom ne désiraient qu’une chose : LE BLOQUER !

Pensez donc, un service de messagerie gratuit qui allait tuer leur poule aux SMS d’or ! Sauf qu’Apple avait anticipé le coup et a fait en sorte qu’iMessage utilise le même canal que le service APNs (Apple Push Notification Service), c’est à dire celui qui gère TOUTES les notifications de TOUTES vos apps. Ainsi, si vous bloquez iMessage sur un réseau, vous bloquez aussi les notifs de Gmail, Twitter, WhatsApp, et absolument tout le reste. Et pour les opérateurs, c’était inacceptable commercialement car ils auraient perdu des millions de clients en plus de se prendre un procès au cul de la part d’Apple.

Et c’est exactement pour cette même raison que iMessage fonctionne encore aujourd’hui contre les régimes autoritaires. La Russie peut donc bloquer FaceTime parce que c’est un service séparé avec ses propres ports mais iMessage c’est tellement imbriqué dans l’infrastructure de base d’iOS que le bloquer reviendrait à rendre les iPhone à moitié inutilisables.

Et aucun pays ne peut se permettre ça, même pas la Chine.

Après, la Russie n’est pas tendre avec le reste des messageries. Facebook, Instagram, Twitter, Discord, LinkedIn , tous sont bloqués et YouTube est tellement ralenti qu’il est devenu inutilisable. WhatsApp et Telegram ont perdu les appels vocaux quand à Signal et Viber, ils sont bannis.

Et ce qui est malin dans le design d’Apple, c’est que tout passe par le port 5223 en TLS (ou le 443 en fallback) et les messages sont chiffrés de bout en bout avec des clés que même Apple ne possède pas. Donc le gouvernement russe peut regarder passer les paquets si ça l’amuse, il ne verra que du bruit. Et s’il veut filtrer ce bruit spécifiquement, il coupera aussi les notifs de toutes les apps russes.

Bref, Apple a construit un bouclier anti-censure directement dans l’architecture d’iOS, et personne ne s’en était rendu compte jusqu’à aujourd’hui. Bien joué !

Tous les détails sont sur Daring Fireball

J’ai découvert un truc qui m’a laissé sur le cul (c’est le cas de le dire). Kohler, le fabricant de sanitaires américain, vient de lancer Dekoda . Il s’agit d’une caméra à 599 dollars que vous collez sur le rebord de vos toilettes pour photographier vos beaux étrons. Je vous jure que je n’invente rien, allez voir le site !

Voici grosso merdo (oui, ça va être la thématique de cet article ^^) le pitch commercial : Analyser vos déjections avec de l’IA pour suivre votre santé intestinale. Tout un programme !

La caméra capture des images de vos joyeuses productions fécales après chaque passage, les envoie à une app iPhone (Android arrivera plus tard parce que bon, les utilisateurs Android peuvent bien attendre pour faire analyser leur merde), et l’intelligence artificielle vous dit si tout va bien au sein de vos entrailles. Le système se base sur l’échelle de Bristol, qui est une classification médicale qui note vos selles de 1 (crottes de bique) à 7 (diarrhée de compétition).

Et bon appétit !

Côté fonctionnalités, Dekoda peut détecter la présence de sang dans les urines ou les selles… ce qui effectivement peut indiquer des problèmes allant de l’infection au cancer. L’app suit également vos tendances sur la durée et vous alerte si quelque chose cloche. Le truc peut même analyser votre niveau d’hydratation en scrutant votre pipi.

Mais attention, le vrai problème n’est pas que cette caméra existe. Le problème c’est la sécurité de vos données intimes car Kohler affirme que tout est protégé par un “chiffrement de bout en bout” (E2E), sauf que quand on creuse un peu, c’est du pipeau. Un chercheur en sécurité a mis en évidence que ce fameux E2E… c’est juste du HTTPS classique. La “deuxième extrémité” du chiffrement, c’est Kohler lui-même qui peut déchiffrer vos photos de toilettes comme bon lui semble. Donc, l’argument commercial de chiffrement E2E est un mensonge.

Et ça va encore plus loin puisque dans les conditions d’utilisation, vous acceptez que vos données “dé-identifiées” servent à entraîner leurs algorithmes d’IA et soient potentiellement partagées avec des tiers pour “améliorer les produits et services”. En gros, quelque part dans un datacenter, vos cacas anonymisés servent à éduquer des modèles de machine learning gratuitement. Comme c’est romantique.

Et si un jour, il y a fist de données, euh pardon, fuite de données, le monde entier pourra associer ces jolies photos à votre nom, et en extraire de l’info médicale sensible qui pourrait intéresser votre assureur ou votre employeur.

Le dispositif se fixe sur la plupart des cuvettes sans outil, par contre si vous avez des toilettes noires ou foncées, ça risque de ne pas fonctionner car les capteurs ont besoin de réflexion lumineuse pour fonctionner.

Côté tarifs, en plus des 599 dollars pour l’appareil, il faut également prendre un abonnement entre 70 et 156 dollars par an pour l’analyse IA de votre caca.

Alors certes, surveiller sa santé intestinale c’est important et les changements dans les selles peuvent effectivement être des indicateurs précoces de problèmes de santé mais entre ça et installer une caméra connectée dans vos toilettes et que toute parte sur les serveurs d’une entreprise américaine avec un “chiffrement” bidon… y’a peut-être un juste milieu.

Genre, regarder vous-même comment ça se passe de temps en temps ?

Source

Marre de passer par WeTransfer ou Google Drive pour envoyer un fichier à quelqu’un ? Bah ouais, faut se créer des comptes, attendre que ça upload sur un serveur tiers, et puis est ce que vous savez ce qu’ils font réellement de vos données ?

Ça tombe bien alors car AltSendme est fait pour vous ! C’est un fork

C’est une application desktop open source (sous licence AGPL-3.0) qui permet d’envoyer des fichiers directement d’un ordi à un autre en peer-to-peer. Pas de serveur intermédiaire, pas de stockage cloud, pas de compte à avoir, vous déposez simple votre fichier sur l’app et celle-ci génère un code de partage (un “ticket”) que vous devez ensuite envoyer à votre destinataire par le moyen de votre choix (mail, SMS, chat, pigeon voyageur…), et le transfert se fait en direct !

Le truc cool avec AltSendme c’est que ça utilise, tout comme SendMe , la techno Iroh pour le networking P2P avec du QUIC + TLS 1.3 pour le chiffrement. Donc vos fichiers sont chiffrés de bout en bout et ne transitent jamais par un serveur tiers. Et si la connexion directe entre les deux machines n’est pas possible (becoz du NAT un peu capricieux), l’app fait du hole punching automatique et peut basculer sur un relais chiffré en fallback.

Côté performances, ça peut monter jusqu’à 4 Gbps en théorie ce qui est pas mal pour du P2P. Et si votre connexion saute en plein transfert, pas de panique les amis puisque les téléchargements peuvent reprendre là où ils en étaient.

L’application est dispo sur Windows, macOS et Linux et le code est sur GitHub . Y’a même une interopérabilité possible avec l’outil CLI sendme pour ceux qui préfèrent le terminal. Notez aussi que le dev accepte les dons via Buy Me a Coffee ou GitHub Sponsors si vous voulez soutenir le projet.

Bref, si vous cherchez une alternative à WeTransfer qui respecte votre vie privée et qui ne fait pas transiter vos fichiers par des vilains serveurs d’américains, AltSendme vaut le détour !

Merci à Lorenper pour la découverte !

Une grosse lacune de Signal sur iPhone c’est qu’il était impossible de sauvegarder proprement son historique de messages. Par exemple, si vous changiez de téléphone ou si vous deviez réinstaller l’app, pouf, tout disparaissait.

Hé bien maintenant c’est terminé puisqu’ils viennent de lancer les Secure Backups sur iOS avec la version 7.86.

Techniquement, rien de magique, c’est simplement une sauvegarde chiffrée de bout en bout de tous vos messages et médias, protégée par une clé de récupération de 64 caractères générée localement. Et comme cette clé n’est jamais partagée avec les serveurs de Signal, cela veut dire que personne (même pas Signal) ne peut lire ou restaurer vos données sans elle. Les fichiers médias sont même chiffrés deux fois et modifiés pour masquer leur taille. Bref, du costaud niveau sécu.

Maintenant côté pratique, y’a deux formules. La version gratuite vous permet de stocker jusqu’à 100 Mo de messages texte, plus les photos, vidéos et fichiers des 45 derniers jours. Et si ça vous suffit pas parce que vous êtes un salop de riche ^^, y’a une offre payante à 1,99$/mois qui débloque le stockage de tout votre historique de messages plus jusqu’à 100 Go de médias sans la limite des 45 jours.

C’est d’ailleurs la première fois que Signal propose un truc payant donc ça va encore whiner chez les radins, mais l’idée c’est de couvrir les coûts de stockage des gros fichiers médias sans passer par la pub ou la revente de données. Bref, c’est cohérent.

Maintenant, pour activer tout ça, c’est hyper simple ! Vous allez dans Réglages > Sauvegardes > Configurer > Activer les sauvegardes. Et voilà… L’app génèrera votre clé de récupération, vous choisissez votre formule, et c’est parti mon kiki.

Signal avait déjà lancé cette fonctionnalité sur Android en septembre dernier et pour la suite, ils prévoient d’étendre les sauvegardes sécurisées à l’application desktop et de permettre le transfert d’historique chiffré entre Android, iOS et desktop. Cool non ?

Bref, si vous utilisez Signal sur iPhone, mettez à jour et activez les sauvegardes parce que perdre des années de conversations et tous les contacts de votre cartel pour un changement de téléphone, c’est vraiment pas cool ^^.

Source

Vous vous souvenez de Chat Control ? Ce projet de règlement européen qui voulait scanner tous vos messages privés pour détecter des contenus pédocriminels ? J’en avais parlé à l’époque et je m’étais bien énervé dessus. Hé bien après plus de 3 ans de négociations, de votes ratés, de blocages par l’Allemagne , les Pays-Bas et l’Autriche… le Conseil de l’UE a enfin trouvé un accord.

Et devinez quoi ? Bah c’est du vent.

Le grand compromis trouvé ce 26 novembre c’est donc de rendre le scanning… (roulements de tambours)… volontaire ! Oui, oui, volontaire. Ainsi, au lieu d’obliger toutes les messageries à scanner vos conversations, on leur demande gentiment si elles veulent bien le faire et en parallèle, on prolonge indéfiniment l’exemption qui permet déjà aux plateformes de scanner volontairement sans violer les lois européennes sur la vie privée. Je rappelle quand même que exemption devait expirer en avril 2026… Hé bien là, elle devient permanente.

Alors oui, techniquement c’est moins pire que le projet initial, mais quand même 3 ans de réunions à se tripoter la nouille, à payer des salaires, à faire des notes de frais, à bailler aux corneilles et j’en passe, pour nous pondre un magnifique “Bon ben finalement on change rien, les entreprises font ce qu’elles veulent”, je trouve ça magistral !

Et le pire c’est que même ce compromis light fait tiquer les experts en vie privée car quelques jours avant l’accord, un groupe de scientifiques a envoyé une lettre ouverte prévenant que le texte “présente toujours des risques élevés pour la société” sans bénéfices clairs pour les enfants. Les associations de défense des droits numériques dénoncent en fait une ruse politique car le texte mentionne que seront bonnes “toutes les mesures appropriées d’atténuation des risques” ce qui est une formulation suffisamment vague pour permettre aux gouvernements de dire plus tard que le scanning est essentiel pour la sécurité.

D’ailleurs Signal avait prévenu que si le scanning devenait obligatoire, ils quitteraient le marché européen plutôt que de compromettre le chiffrement de leurs utilisateurs. Bon au final c’est pas arrivé, mais ça donne une idée de l’ambiance.

Voilà, maintenant le Conseil va négocier avec le Parlement européen et les trilogues (les négociations finales) sont prévus début 2026, donc on n’a pas fini d’en entendre parler.

Et voilà comment se passent 3 ans de cirque bureaucratique pour revenir au point de départ ^^.

Source

Bonne nouvelle, les amis, Tor vient d’implémenter CGO (Counter Galois Onion) !

Si ça ne vous dit rien, c’est normal, moi non plus je ne connaissais pas, mais je vais tout vous expliquer !

Jusqu’à maintenant, le réseau Tor protégeait votre anonymat avec du chiffrement en oignon. Plusieurs couches de crypto, une par relais et ça marche bien… sauf qu’il existe une technique vicieuse qu’on appelle les attaques par tagging.

Le tagging c’est quand un attaquant modifie votre trafic chiffré à différents endroits du réseau (genre en ajoutant un marqueur invisible dans certains noeuds), puis il observe ce qui sort de l’autre côté pour vous tracer. C’est comme quand vous collez un traceur GPS dans votre voiture, sauf que là c’est des bits dans du trafic chiffré.

Et de son côté, CGO fait encore mieux que de bloquer cette attaque. En effet, il transforme chaque attaque en auto-sabotage ! Si quelqu’un modifie ne serait-ce qu’un seul bit de votre trafic chiffré, tout le message devient illisible. Et pas seulement ce message… tous les messages futurs de la session deviennent du bruit blanc irrécupérable.

Avec ça en place, l’attaquant se tire une balle dans le pied à chaque tentative.

Derrière ce système, il y a 4 cryptographes qui ont bossé très dur : Jean Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam. Ils ont publié leur recherche cette année et ça a été implémenté dans Arti, la version Rust de Tor et l’implémentation C arrive bientôt.

Ce qui change tout, c’est le calcul risque/bénéfice pour les attaquants car avant, tenter de tracer quelqu’un avait peu de conséquences si ça échouait. Mais maintenant, tenter de tracer quelqu’un détruit définitivement votre capacité à surveiller cette personne. Et vous vous en doutez, les agences de surveillance détestent perdre leur accès… Elles préfèrent observer en silence plutôt que de tout casser dans une tentative maladroite. Du coup CGO les force à choisir. Soit rester invisibles, soit tout perdre.

Et puis il y a un autre aspect génial à cette techno, c’est le forward secrecy renforcé que ça engendre car à chaque message, CGO transforme les clés de chiffrement de façon irréversible. Même si un attaquant récupère vos clés actuelles, il ne peut pas déchiffrer les messages précédents car les clés précédentes ont été broyées et remplacées à chaque étape.

CGO remplace aussi l’ancien système d’authentification qui utilisait un digest de 4 bytes par un authenticateur de 16 bytes. C’est donc bien plus costaud et plus difficile à falsifier ainsi qu’à contourner.

Comme d’hab, Tor publie l’algorithme en open source donc vous pouvez vous plonger dans le code si ça vous amuse.

Cette implémentation de CGO est encore expérimentale pour le moment, mais une fois que cela aura été éprouvé par la communauté et testé pendant plusieurs mois, voire des années, ce sera déployé officiellement dans les futurs relais, puis dans les services onion de Tor.

Voilà donc comment Tor fait de chaque tentative de surveillance un auto-sabotage irréversible, et ça les amis, c’est un message qui devrait faire réfléchir pas mal de gens dans des bureaux sans fenêtres.

Source

Une étude menée par les universités de Californie à San Diego et du Maryland révèle que près de la moitié des satellites utilisés pour des communications dans le monde transmettent des données non chiffrées, rendant possibles l’interception d’appels, de messages et de données sensibles.

L'examen de la loi concernant la lutte contre le narcotrafic a montré que le chiffrement des communications restait exposé à certains périls. Durant l'examen du projet de loi sur la cybersécurité et la résilience des infrastructures critiques, les députés ont adopté un amendement qui vient contrer certaines menaces.

L'examen de la loi concernant la lutte contre le narcotrafic a montré que le chiffrement des communications restait exposé à certains périls. Durant l'examen du projet de loi sur la cybersécurité et la résilience des infrastructures critiques, les députés ont adopté un amendement qui vient contrer certaines menaces.

Les géants de la tech doivent résister aux demandes visant à affaiblir le chiffrement. Voilà le rappel que vient de faire une autorité américaine aux grandes entreprises de la Silicon Valley, en nommant spécifiquement certaines législations récentes en Europe. Motif ? Cela pourrait nuire aux droits des Américains.