Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Pegasus a espionné l'eurodéputé qui enquêtait sur... Pegasus

Par : Korben ✨
3 juillet 2026 à 11:28

Stelios Kouloglou, ancien eurodéputé grec, et journaliste d'investigation, siégeait à la commission PEGA du Parlement européen et à l'époque, son cheval de bataille c'était de traquer Pegasus, le mouchard pour smartphone de la société israélienne NSO Group.

Eh bien devinez quoi ? Son smartphone à lui était aussi infecté par Pegasus !

C'est Citizen Lab, un labo planqué à l'université de Toronto, qui a retourné son iPhone en mai dernier et qui a retrouvé la trace de 2 infections. La première en octobre 2022, et la suivante en mars 2023. Pile au moment où la commission PEGA bossait sur son rapport, donc...

Mais avant de tout vous expliquer, je me permets de faire un petit rappel pour ceux qui ont raté le premier épisode. Pegasus, c'est un outil d'une société privée qui travaille dans la surveillance et qui s'appelle NSO Group. Cet outil est capable de s'installer tout seul sur un iPhone, sans avoir besoin du moindre clic de la victime. Aucune interaction, aucune trace et une fois qu'il est en place, cette saloperie siphonne tout ! Ce que votre micro et vos caméras enregistrent, vos messages, votre géoloc, vos datas...etc. Le Parlement européen avait donc monté la commission PEGA en avril 2022 justement pour comprendre pourquoi des États membres s'amusaient à espionner des journalistes, des avocats et des opposants politiques avec ça.

Alors qui a infecté Kouloglou ?

Eh bien personne n'a trouvé et c'est bien le problème. NSO ne donne jamais le nom de ses clients, et l'entreprise n'a pas répondu aux sollicitations. Kouloglou, lui, accuse le gouvernement grec, son propre pays, qui figure parmi les États épinglés par la commission aux côtés de la Pologne, la Hongrie et l'Espagne.

Sauf que Citizen Lab, le labo qui a fait l'analyse, n'a pu confirmer aucune piste et pense que d'autres parlementaires ont ou seront également infectés. Et le pire dans toute cette histoire, c'est qu'il ne se passe rien de plus...

La commission PEGA a rendu son rapport en mai 2023 avec une liste de recommandations comme encadrer le spyware, créer un labo technique européen, ouvrir des voies de recours et le Parlement a voté pour. Très bien ! Sauf que depuis la Commission européenne a rangé tout ça dans un tiroir.

Ça fait donc maintenant 3 ans que ces recommandations prennent la poussière. Et Kouloglou n'est même pas un cas isolé puisqu'il y a déjà eu Nikos Androulakis, un autre eurodéputé grec, visé lui par Predator, le cousin de Pegasus. À l'époque, tout le monde avait crié au scandale mais nous sommes maintenant quelques années plus tard, et il n'y a aucun aucune répercussion ni aucun changement.

Et pendant que la justice avance à deux à l'heure, et cela même si NSO s'est pris une déculottée par WhatsApp , le marché du mouchard se porte comme un charme ! Candiru, Paragon, Intellexa... Pour chaque NSO qui trébuche, d'autres se partagent le gâteau.

Alors qu'est-ce qu'on fait, nous, simples mortels sans immunité parlementaire ?

Bah déjà, si vous êtes journaliste, militant ou juste un parano bien organisé, activez le Lockdown Mode d'Apple , qui a déjà fait échouer des attaques de ce type. Et si vous flairez quelque chose de louche, sachez qu'on peut faire analyser un smartphone pour y détecter une infection , exactement comme Citizen Lab l'a fait pour Kouloglou.

Bref, un député qui enquête sur les espions se fait espionner, et l'Europe regarde ailleurs... J'ai connu meilleure pub pour la démocratie !

Source

Un boîtier Wi-Fi qui détecte les gens à travers les murs

Par : Korben ✨
2 juillet 2026 à 23:05

Ce serait marrant de détecter quelqu'un dans une pièce voisine, sans utiliser de caméra ou de capteur infrarouge. En fait, c'est possible avec juste du Wifi et c'est ce que nous prouve Talking Sasquach qui vient de se bricoler un petit boitier capable de faire ça.

Je vous rassure, l'idée n'a rien de neuf. Notre corps est plein d'eau, et l'eau ça renvoie et ça absorbe les ondes radio. Du coup, dès que vous bougez un peu votre popotin, bah ça perturbe les signaux Wi-Fi qui traversent la pièce.

Et si vous êtes trop gros, PAF vous passez en zone blanche ! (et pas en sauce blanche !)

Non, ça je l'ai inventé, vous pouvez vous détendre. Mais pour le reste, j'en parlais déjà en 2009 , avec des chercheurs de l'Utah qui reconstituaient carrément une image des gens de l'autre côté du mur, ondes radio à l'appui.

Sauf que là, plus besoin d'un labo puisque tout tient dans la main. Le cœur de l'engin est un M5Stack Cardputer ADV (c'est un ESP32-S3 avec un mini-écran, un clavier et une batterie intégrés) auquel il a collé un second écran TFT dans un boîtier imprimé en 3D. Ça donne un petit look cyberdeck bi-écran à l'appareil et tout ça pour une cinquantaine de dollars!

Sur les 2 coeurs de l'ESP32, y'a un qui gère l'affichage animé du radar tandis que l'autre mouline en continu les données captées par le Wifi. En fait le boitier lit ce qui s'appelle le CSI (Channel State Information) qui est un genre de signature de la façon dont le signal wifi rebondit partout autour de vous. Il surveille alors les variations d'amplitude et de phase sur des dizaines de trames et quand ça dépasse, BOOM, un blip vient s'allumer sur l'écran du radar, comme dans "À la poursuite d'Octobre rouge" ^^.

Après, contrairement à d'autres projets fake que j'ai pu voir passer, vous ne verrez personne à poil avec ça. C'est juste une interférence qui est pointée et pas une silhouette qui est dessinée finement et encore moins une triangulation de votre position.

Le seul garde-fou que Talking Sasquach a mis en place sur son radar, c'est qu'il faut d'abord se connecter au réseau wifi pour capter des choses. Mais en réalité, il n'y était pas obligé et ça peut fonctionner sans avoir à demander un accès à une box internet.

Le code est dispo sur GitHub sous licence MIT, et c'est écrit avec le framework Arduino si vous voulez reproduire le bidule.

Source

La Russie réclame 52 millions à Apple alors qu'ils n'y vendent plus rien

Par : Korben ✨
2 juillet 2026 à 11:35

4 milliards de roubles, c'est ce que réclame Moscou à Apple. Si vous n'êtes pas fortiche en roubles, c'est environ 52 millions de dollars.

Mais alors pourquoi la Russie réclame-t-elle une telle somme à Apple ? Eh bien c'est parce que Max , la messagerie du Kremlin ainsi que RuStore, sa boutique d'app et un moteur de recherche local ne sont pas pré-installés sur les iPhones vendus en Russie alors que c'était obligatoire depuis le 15 juillet.

Mais attendez, ce n'est pas la partie la plus drôle de cette actu. Non, le plus fun c'est qu'Apple ne vend officiellement plus un seul téléphone depuis mars 2022.

Mais lol. Tous les iPhones récents qui traînent là bas sont passés par des circuits d'import parallèle du Kazakhstan, de Dubaï ou de Hong Kong. Voilà, si vous vous demandiez comment on s'achète un iPhone à Moscou en 2026, bah maintenant vous savez.

En fait, tout est parti du grand ménage de juin dans l'App Store russe quand Apple a dégagé les apps du groupe VK, à savoir Max, VKontakte, Mail.ru et Odnoklassniki. Ils ont tout viré parce que sinon, le gouvernement américain allait leur taper sur les doigts... Mais bien sûr, le Kremlin exige maintenant des explications. Et vient se rajouter à cela, le FAS (le régulateur antitrust local) qui note des "conditions discriminatoires pour les développeurs nationaux" qui "portent atteinte aux droits et aux intérêts des consommateurs" et qui menace de coller une amende.

En fait, le gros problème avec Max, ce clone de Whatsapp du groupe VK c'est qu'il transforme votre smartphone en mouchard du FSB . Et depuis le 1er septembre 2025, la loi russe impose sa préinstallation sur tous les smartphones et tablettes vendus dans le pays, et RuStore est devenue obligatoire sur iOS au passage (Android y avait déjà droit).

Sauf que préinstaller un logiciel sur des téléphones qui entrent en douce dans le pays, bon courage. Vous pouvez être sûr qu'Apple ne va pas se faire chier à développer une config spéciale pour les iPhone de contrebande entrés en Russie... loool

Donc le seul vrai levier qu'a Moscou c'est de passer par l'App Store qui lui reste accessible sur ces smartphones et de tenter une négo là-dessus. Après, Apple a un petit historique avec la Russie. Ils ont déjà plié plusieurs fois face au Kremlin et ont retiré les apps VPN de l'App Store russe durant l'été 2024, suivies des médias indépendants et de Radio Free Europe quelques mois plus tard. Ajoutez à ça une amende antitrust d'environ 12 millions de dollars réglée en 2023, plus les abonnements et paiements coupés en avril dernier... Bref, la relation entre la Russie et son Sugar Daddy, Apple, est aussi compliquée que mon statut Facebook.

Maintenant pour les citoyens russes, qu'ils soient sur iPhone ou Android, le vrai souci c'est surtout que Moscou est en train de mettre au point une "super app" à la chinoise où absolument TOUT passe par leurs mains : Les messages, les paiements, les démarches administratives, les apps...etc tout doit passer par Max. C'est moche, mais bon, après c'est une dictature donc rien de très étonnant non plus...

Bref, rendez-vous le 15 juillet pour voir si le FAS met sa menace à exécution. En attendant, si vous causez avec de la famille ou des potes là-bas, bah évitez Max, je ne le répéterai jamais assez !

Source

Claude Code planquait un mouchard dans la date du prompt

Par : Korben ✨
1 juillet 2026 à 18:46

Vous utilisez Claude Code tous les jours pour coder, et pendant ce temps-là l'outil d'Anthropic utilisé par des milliers de dev, joue les mouchards. Thereallo , un développeur qui fouillait le binaire par simple souci de vie privée, est tombé sur une fonction qui apparemment modifie en douce la ligne "Today's date is…" du system prompt. Pas le texte que vous lisez ou écrivez mais littéralement l'apostrophe et le tiret de la date.

2 petits caractères auxquels vous ne faites pas gaffe, et qui pourtant peuvent en dire beaucoup...

En gros, c'est de la stéganographie , c'est-à-dire l'art de cacher une info à la vue de tous. Claude Code échange l'apostrophe de "Today's" contre son jumeau Unicode invisible (U+2019, U+02BC ou U+02B9 selon les cas) et remplace au passage les tirets de la date par des slashs.

function Zup() {
if (Crt()) return null;
let host = Qup();
let timezone = e0t();
let cnTZ = timezone === "Asia/Shanghai" || timezone === "Asia/Urumqi";
if (!host) {
return {
known: false,
labKw: false,
cnTZ,
host: null,
};
}
return {
known: Jup().some((domain) => host === domain || host.endsWith("." + domain)),
labKw: Xup().some((keyword) => host.includes(keyword)),
cnTZ,
host,
};
}
function edp(known, labKw) {
if (!known && !labKw) return "'";
if (known && !labKw) return "\u2019";
if (!known && labKw) return "\u02BC";
return "\u02B9";
}
function Vla(date) {
let marker = Zup();
let apostrophe = edp(marker?.known ?? false, marker?.labKw ?? false);
let renderedDate = marker?.cnTZ ? date.replaceAll("-", "/") : date;
return `Today${apostrophe}s date is ${renderedDate}.`;
}

Tout ceci ne se produit que quand vous avez bidouillé la variable ANTHROPIC_BASE_URL afin de router vos requêtes ailleurs que chez Anthropic et si et seulement si le nom de domaine est dans une liste précise. Ou alors si votre fuseau horaire est réglé sur Shanghai ou Urumqi en Asie.

Mais c'est que ça m'a l'air hyper spécifique ça quand même... Qui est ce qu'Anthropic chercherait à tracer ?? Je me le demande bien.

Reste que le contenu de cette fameuse liste a de quoi faire tiquer. Tout d'abord, elle n'est pas en clair. C'est du base64 passé à la moulinette avec un XOR et la clé 91. Et une fois décodée, on y trouve des mots-clés comme deepseek, moonshot, zhipu ou baichuan, et une flopée de domaines chinois (baidu, alibaba, bytedance, jd) plus tout un tas de proxys et de revendeurs d'accès Claude.

Si vous n'avez pas le cerveau trop lent, vous l'aurez compris, ce marqueur sert à repérer les gens qui font tourner Claude Code à travers des intermédiaires chinois. Et Anthropic n'a pas nié.

Thariq Shihipar, qui bosse sur Claude Code, a expliqué sur X que c'était une expérience lancée en mars pour empêcher la distillation , cette technique où un concurrent aspire les réponses d'un modèle pour entraîner le sien à moindre coût. C'est exactement le reproche que la boîte fait à Alibaba.

Vu sous cet angle, vouloir détecter les revendeurs pirates et les pipelines de distillation, ça se défend donc très bien. Mais la méthode, aïe aïe aie, elle est plus que discutable car ça manque sévèrement de transparence.

Ce code dormait là depuis la version 2.1.91 sortie début avril, ni vu ni connu. En plus, c'est un peu couillon parce qu'en plus d'abîmer la confiance des utilisateurs de Claude Code qui se demandent quel autre mystère renferme cet outil, ça se déjoue en quelques secondes. Il suffit de changer de fuseau horaire, de changer de domaine ou de le patcher. Bref, ça n'a pas dû piéger grand monde...

Le marqueur a été retiré dans la foulée avec la version 2.1.197 donc pensez bien à mettre à jour votre install.

Source

L'app de la Maison Blanche s'incruste sur les tel des fonctionnaires

Par : Korben ✨
25 juin 2026 à 16:53

J'sais pas si vous avez vu encore ce truc de dingue qui est arrivé aux Etats-Unis mais des employés de l'USDA, du Département d'État et du Département du Travail, qui ont parlé à WIRED sous anonymat par peur de représailles, ont vu apparaître sur l'écran de leur smartphone pro, l'app officielle de la Maison Blanche, et cela du jour au lendemain. Certains ont alors essayé de la supprimer pour voir, mais elle est revenue immédiatement. C'est fou !

Alors comment c'est possible ? Hé bien le CIO fédéral Greg Barbaccia a envoyé une directive à toutes les agences en mai pour coller l'app sur, je cite, "tous les téléphones mobiles fournis par l'État dans la branche exécutive". Donc déclencher un téléchargement automatique, sans aucune action requise de l'employé. C'est, si vous voulez mon avis, le même principe que le contrôle parental... Vous ne l'avez pas voulu, mais vous ne pouvez pas le refuser et en plus, votre papa, c'est Trump.

Et alors, elle fait quoi cette app exactement ?

Hé bien, elle vous balance des news sur Donald et sa présidence et y'a même un accès direct à la Présidence. Ouais, en gros c'est un bouton "Envoyer un texto au Président Trump" qui pré-remplit même votre message à votre place : avec du "Greatest President Ever" en veux tu, en voilà... La section News, elle, agrège les communiqués officiels et des articles triés sur le volet de Fox, Breitbart et du New York Post, tous biiiiien gentils avec l'administration.

Bref, c'est propagande à temps complet dans la popoche pour tous les fonctionnaires.

Bon, jusque là, certes on est dans le ridicule le plus assumé mais attendez un peu, ça va se gâter. Car oui les amis, niveau sécu, cette app est un risque sur pattes. En effet, l'app a été pondue par 45Press, une petite boîte de l'Ohio spécialisée dans... le développement WordPress. Le contrat a été signé le 6 février dernier avec un premier versement de 1,4 million de dollars pour commencer et jusqu'à 8 millions au total quand la mission sera achevée. C'est incroyable ! Et pour la blague, le fondateur de 45Press gère aussi, à côté, un annuaire en ligne de lieux historiques et paranormaux. Voilà pour le profil des gens à qui on a confié le dev d'une app qui est maintenant sur TOUS les smartphones de tous les gens au service de l'Etat... Et j'vois vraiment pas ce qui pourrait mal se passer... looool.

Une enquête de NOTUS a révélé également que l'app embarquait des widgets fabriqués par Elfsight, une entreprise... russe. Bah ouais, pourquoi pas hein ?? loool

Résultat, des infos personnelles de responsables de la Maison Blanche se sont retrouvées maintenant exposées puisqu'à chaque ouverture, l'app crache l'adresse IP complète , le fuseau horaire, l'opérateur et un identifiant persistant vers des serveurs tiers. Quand je pense qu'à sa sortie sur l'App Store, la fiche de cette app promettait "zéro donnée collectée"... Quelle blague. Et comme Apple ne vérifie rien, le bobard est passé crème (la fiche a été corrigée depuis).

Du coup les fonctionnaires font ce qu'ils peuvent pour ignorer cette merde et ne pas la lancer afin de ne pas se faire pourrir le cerveau.

Bref, à mon avis, la prochaine étape pour Trump, ça va être de carrément leur retirer le smartphone et de les mettre tous sous babyphone. Vous l'avez lu ici en premier, looool.

Source

Tapo C675D KIT - 2 objectifs 4K et zéro angle mort

Par : Korben ✨
18 juin 2026 à 09:54
-- Article en partenariat avec Tapo - Contient des liens affiliés --

La Tapo C675D KIT de TP-Link est une caméra de surveillance solaire qui vient de sortie, avec un truc qu'on voit rarement à ce tarif : 2 objectifs 4K.

Un grand-angle fixe qui surveille toute la scène, et un second monté sur rotule qui zoome et suit l'action tout seul comme un grand. J'avais déjà testé sa petite sœur, la Tapo C665G , et là j'avoue que Tapo monte clairement d'un cran.

Les deux objectifs, c'est malin parce que sur une caméra motorisée classique, dès qu'elle pivote pour suivre quelqu'un, elle perd le reste du champ. Ainsi, pendant qu'elle zoome sur le mec qui crochète votre portail, votre bagnole sort du cadre et son complice peut se barrer avec... Alors qu'ici, non. Le grand-angle reste planté sur ses 169° et filme tout en permanence, tandis que le téléobjectif part chasser le mouvement en tournant sur 360°. Et tout ça est diffusé sur deux flux 4K séparés.

Et le mieux, c'est que les deux bossent ensemble puisque c'est le grand-angle qui fait le boulot de détection : il repère le mouvement et envoie le téléobjectif se verrouiller dessus pour le suivre en temps réel. Tapo appelle ça le suivi intelligent synchronisé, moi j'appelle ça "la caméra qui te colle aux cul". Les deux capteurs crachent du vrai 4K (3840 x 2160), le grand-angle ouvre à 169° et le téléscopique à 66° avec un zoom x5 pour aller lire une plaque ou reconnaitre un visage au fond du jardin.

Pour l'installation, rien de sorcier comme d'hab avec Tapo. Le panneau solaire doit être orienté plein sud sinon il prend pas assez de lumière, et la caméra se fixe avec des vis. Y'a 9 vis et 9 chevilles dans la boîte, plus un gabarit autocollant pour percer droit. La recharge passe également par un port USB-C planqué sous une trappe étanche, et comme le câble entre le panneau et la caméra fait 3,6 mètres, vous pouvez vraiment placer le panneau looooiiin si la caméra est à l'ombre. Et surtout, les ports et les boitiers sont étanches (IP65), donc y'a pas de flotte qui rentre.

Côté énergie, y'a une batterie de 10000 mAh et un panneau solaire de 4,5 W donc il faut environ 90 minutes de soleil direct par jour pour tenir la journée, et jusqu'à 3 mois d'autonomie sur une charge si jamais le ciel fait la gueule. Avec les longues journées d'été et la canicule permanente qu'on se prend, zéro souci donc de ce côté.

Reste à voir cet hiver ce que ça donne, comme d'hab avec le solaire.

Petite différence quand même avec la C665G, ici, pas de 4G. C'est uniquement du WiFi bi-bande 2.4 et 5 GHz. Donc faut avoir du réseau là où vous la posez. C'est donc un peu moins polyvalent pour le fond du jardin, mais pour surveiller une maison, une cour ou une allée, le WiFi suffit largement et ça vous évitera de bloquer un forfait data pour ça.

Et pour le mode nuit, vous avez le choix : infrarouge classique en 850 nm pour le noir total, ou la vision nocturne couleur grâce aux projecteurs intégrés. Comme ça, plus besoin de deviner si c'est un chat noir ou un tout petit cambrioleur en sweat à capuche. La détection IA distingue également les personnes, les animaux et les véhicules, et ces fonctionnalités sont gratuites et sans abonnement, puisque tout est traité directement en local sur la caméra. Vous pouvez aussi définir des zones d'activité, genre surveiller l'allée mais ignorer la rue pour pas vous faire alerter à chaque voiture qui passe (puis de toute façon, c'est illégal de filmer la rue).

Pour le stockage, vous pouvez y glisser soit une carte microSD jusqu'à 512 Go en local, soit opter pour le cloud Tapo Care si vous préférez. Le mode capture 24/7 permet aussi à la caméra d'enregistrer en continu par petits intervalles pour ne pas vider la batterie, mais dès qu'elle détecte un truc qui gigote, elle passe en mode film complet. Y'a aussi l'audio bidirectionnel pour engueuler le livreur à distance, une sirène et des lumières d'alarme rouge et bleu pour faire fuir les curieux et le tout encaisse de -20°C à 45°C. Ah et j'oubliais, c'est compatible Alexa et Google Home, et tout est piloté depuis l'appli Tapo.

Pour les bidouilleurs, sachez que comme souvent sur les Tapo sur batterie, y'aura pas de flux RTSP à récupérer. C'est vraiment dommage et je comprends pas pourquoi les constructeurs n'en proposent pas d'office (ah oui, leur abonnement, c'est vrai...). Donc si vous vouliez la brancher à un Frigate ou à Motion sous Linux pour la gérer avec vos autres caméras, bah c'est mort. Par contre sur vos caméras qui exposent du RTSP, Cameradar reste très pratique pour tester si vos flux sont bien sécurisés, je vous invite à tester !

Bref, la C675D KIT, c'est la version "je veux tout voir et tout savoir" de la caméra solaire avec un vrai double objectif qui règle enfin ce défaut des caméras motorisées. Sans parler du panneau solaire qui vous évitera de tirer des câbles partout comme un électricien qui aurait bu trop de café.

Vous pouvez la trouver ici si ça vous tente !

UniFi UNVR Gen 2 Pro – Is It Worth $699 and $999?

Par : Rob Andrews
14 mai 2026 à 17:17
UniFi UNVR Gen 2 and UNVR Gen 2 Pro: What Has Actually Changed? UniFi’s UNVR range has always occupied a fairly clear role in the Protect ecosystem: a dedicated rackmount recorder for users who have outgrown smaller gateway-based recording, or who want their surveillance storage separated from the rest of their network hardware. With the […]

https://nascompares.com/?p=89386

Par : Rob Andrews
8 mai 2026 à 18:00
Synology Cameras Now Need a License for Surveillance Station Synology has changed the licensing position for selected cameras in its 2026 surveillance camera range, with the newly listed BC510, TC510, and BC800Z now requiring a Surveillance Device License when used with Synology Surveillance Station. This marks a notable shift from the previous value proposition of […]
❌
❌